Blockchain, miedo y coronavirus: así es el riesgo del 'Gran Hermano' virtual

“Un gran poder conlleva una gran responsabilidad”. La frase ha pasado desde los discursos del 32º presidente de los Estados Unidos, Franklin D. Roosevelt, hasta los cómics de Spiderman, donde se hizo famosa. Y define a la perfección la capacidad de cambiar el mundo que tiene la tecnología de los datos y los peligros que se ciernen sobre la población si alguien con poder hace un uso inadecuado ilegal o al menos poco ético de ellos. El debate se ha abierto más si cabe en las últimas semanas con el uso de medidas como las aplicaciones capaces de geolocalizar a los ciudadanos para luchar contra el coronavirus. ¿Más control supone más seguridad? ¿Y eso tiene un límite, o podemos llegar a convertir nuestra vida en un Gran Hermano cibernético, un control total en manos de quienes gestionan los datos?

Así, una de las claves en este debate es quién controla los datos. En España, la aplicación de autoevaluación puesta en marcha por el Gobierno está mantenida por el Ministerio de Transportes, que garantiza que los servidores donde se almacena la información estarán siempre dentro de la UE y bajo su custodia, demarcada por la Ley de Protección de Datos española y otras normativas vigentes tanto nacionales como de carácter comunitario. Es lo que los expertos denominan una red centralizada. Un sistema donde los datos se almacenan en uno o varios servidores custodiados por el administrador de esa red, que tiene plenos poderes sobre ellos.

Sin embargo, desde hace varios años hay una tecnología de datos de la que todo el mundo habla. Es el BlockChain, un sistema de red descentralizado donde cada servidor tiene lo que los expertos llaman un certificado, un cifrado capaz de validar los datos vinculado al resto de los eslabones de la cadena. Así, para modificar cualquier línea de lo allí almacenado, hace falta el consenso y la verificación de la mayoría de los servidores. Cuanto más descentralizada es esa red, cuantos más eslabones tiene, más complicada es de manipular ya que no basta con vulnerar un solo uno de los servidores. Como ejemplo, este es el sistema que emplean criptomonedas como el Bitcoin. ¿Por qué? Porque la seguridad de los datos es tal y la red tan descentralizada que incluso para los gobiernos es prácticamente imposible acceder y modificarlos. ¿Cómo puede Hacienda confiscar tus bitcoin si no hay una cabeza a la que reclamar que sean bloqueados ni forma de acceder a ellos?

En teoría, la tecnología Blockchain hace que los datos de los usuarios estén mucho más seguros ante los ataques a una red. Es por ejemplo el método que utilizan entidades financieras como el BBVA, el Santander o Bankia para certificar su sistema de transacciones. Pero en la práctica, la seguridad depende también de otro parámetro: lo diseminados que estén sus servidores. En el mercado, hay muchas empresas especializadas en el uso y desarrollo de aplicaciones blockchain. Y en muchos casos, son ellos mismos o sus socios los que controlan también la red de servidores sobre las que funcionan. Ese es otro de los elementos de preocupación para los expertos en seguridad más extremos: la apariencia de una red de datos confidenciales fuera de toda vulnerabilidad, pero controlada en la práctica sobre unas solas manos.

Y eso, sin hablar de otra tecnología capaz de revolucionar la criptografía y la seguridad de forma exponencial: la informática cuántica, donde un superordenador es capaz de realizar en minutos una operación que a cualquier equipo de sobremesa le costaría miles de años. ¿El problema? Que por el momento cuestan ingentes cantidades de dinero además de que tienen que operar en dependencias especiales, laboratorios completamente aislados y a una temperatura de cero absoluto (-273 grados Celsius). Por eso, son contadas las unidades que hay en el mundo, en manos de corporaciones como Google, que alquilan de forma comercial su capacidad de procesado.

Desde que arrancó la pandemia, ha habido un intenso debate entre los programadores, los expertos en protección de datos y los desarrolladores de aplicaciones para saber qué sistema es mejor a la hora de gestionar los datos de los usuarios. Como primer ejemplo, muchos países tomaron el modelo de Singapur. En su aplicación, el Gobierno local apostaba por una red centralizada para los datos conexos a los historiales médicos y una red descentralizada para los movimientos y contactos de los ciudadanos que la habían descargados. Poco después, Google y Apple anunciaron una alianza para lanzar una aplicación de rastreo sobre la enfermedad, basada en la tecnología Blockchain. La baza más importante de este sistema es que ambos fabricantes, que copan el mercado mundial de telefonía móvil, quieren implantarlo de forma nativa como una funcionalidad más de sus sistemas operativos, descargable mediante actualización y activada solo con consentimiento del usuario. De facto, eso supondría que la aplicación estaría instalada de forma pasiva en la práctica totalidad de los teléfonos del planeta, y se activaría solo si el cliente da su consentimiento.

En España, la preocupación por el posible uso de estos datos es tal que el pasado 21 de marzo, más de un centenar de juristas, científicos y expertos en privacidad remitieron un comunicado al Gobierno donde alertaban de la necesidad de un procesado claro y ético de los datos recabados durante la pandemia. Unos datos de especial sensibilidad como si una persona ha estado contagiada de una enfermedad, considerados de los más confidenciales del mundo por entidades como la Electronic Frontier Foundation.

Como ejemplo de proyectos con Blokchain, son científicos de la Universidad de Salamanca, el Instituto de Investigaciones Biomédicas de Salamanca y el Instituto de Investigación en inteligencia Artificial los que -entre otros- trabajan en un sistema de seguimiento de la enfermedad por medio de una aplicación sobre tecnología de este tipo e inteligencia artificial.

Llegados a este punto, cabe explicar cómo funciona una aplicación contra el coronavirus y qué tipo de datos almacena. Por norma general, estos sistemas funcionan con una base de datos que otorga a cada usuario una identificación concreta dentro de la red. Se trata de un número. Una matrícula única para cada individuo similar, por ejemplo, a su número de teléfono. La aplicación recoge los datos analizados de cada uno de esos individuos, sus movimientos siempre que sea con su consentimiento, los terminales de los que está cerca gracias al Bluetooth, los datos que él mismo incorpore así como otros contenidos en fuentes abiertas. Y se cruzan unos con otros en virtud de un algoritmo para generar, por ejemplo un mapa de propagación y un modelo predictivo de cómo puede avanzara la pandemia.

Así, es vital lo que los expertos llaman la “calidad” del algoritmo. En este caso, prima la calidad “infectado” sobre el resto de calidades que puedan ser analizadas. Pero ¿Y si el algoritmo cambia sin conocimiento del usuario? ¿Y si esos datos, una vez recabados, son cruzados por ejemplo con los mapas de voto electoral para saber si fallece más gente por la enfermedad en territorios que votan al PP, a Podemos, a Ciudadanos, a Vox o al PSOE? O con el listado de clientes de una telefónica para vincular cada línea con una identidad real? ¿Y si esos datos acaban en manos de una aseguradora y los usa para subir las primas de sus seguros de vida a todos aquellos que han pasado el coronavirus? O se cruzan la geolocalización con la identidad de contrarios políticos para conocer con qué personas se han reunido, la posible ideología de personas privadas, etc. A los malos el juez les pone una pulsera localizadora, y los buenos se compran un móvil, dicen algunos agente de la Ley a modo de chascarrillo. En teoría, las posibilidades del uso de estas tecnologías para el mal es tan amplia como la capacidad humana para ejercerlo de cualquier otra forma. Pero es ahí donde entran las leyes.

En España, estos datos son custodiados bajo el amparo principal de tres normativas legales que hacen que los supuestos anteriores sean ilegales y perseguibles con pena de prisión. Son el Reglamento General de Protección de Datos de la Unión Europea, la Ley Orgánica 3/2018 de Protección de Datos y Garantía de los Derechos Digitales del Estado y la Ley 14/1986 General de Sanidad, que marca la especial protección y custodia de todos los datos de carácter médico vinculados con un paciente.