Sálvate es una aplicación para celulares con sistema operativo Android que permite verificar la información de vacunación contra la covid-19. Es promocionada desde hace un mes por la Dirección Regional de Salud (Diresa) de Lima y no está disponible en la tienda oficial Google Play, por lo que para acceder a ella es necesario visitar el portal web de la institución y, en la mayoría de casos, desactivar los permisos de seguridad del dispositivo para instalarla. La aplicación colapsó hace unos días; sin embargo, mientras funcionaba, el director de tecnología de Salud con Lupa, Jason Martínez, detectó graves errores que vulneran la información de la ciudadanía.
El uso de esta aplicación, a simple vista, resulta sencillo porque arroja el nombre de la persona inmunizada, número de dosis y fecha de vacunación tan solo con ingresar su número de documento de identidad. No obstante, si se revisa el código que hay detrás de cada resultado se puede acceder a información sensible como fotografía, lugar de nacimiento y residencia, lote de las vacunas aplicadas, etnia e, incluso, los nombres de los enfermeros que participaron en el proceso de vacunación.
La información sensible es innecesaria porque no contribuye a la verificación de la vacunación, el objetivo de la aplicación. Para el abogado especialista en derecho digital Erick Iriarte, al entregar información que no es relevante y de carácter personal se estaría vulnerando la Ley de Protección de Datos Personales, algo que ocurre, según comenta, porque las instituciones públicas no terminan de entender que la información que se pueda brindar de libre acceso debe cumplir la Ley de Datos Personales.
Edgar Huaranga, el director de tecnología de Hiperderecho, una organización que promueve el respeto de las libertades en entornos digitales, también revisó la aplicación y observó que, con leves modificaciones al código, era posible averiguar qué otras vacunas recibieron las personas. Además, se podía consultar los registros de forma automatizada para obtener una base de datos. Huaranga señala que falta mayor conciencia en quienes desarrollan tecnología: “A veces dicen: ya, está funcionando y cumple su objetivo; pero en el fondo no se dan cuenta de que están exponiendo más [datos] de lo necesario e incluso información sensible”.
Estas no son las únicas brechas de seguridad que presenta el aplicativo: su forma de distribución pone en riesgo a los usuarios de sufrir el robo de información almacenada en su dispositivo. Para acceder a la App, se debe hacer clic en un enlace que descarga un archivo conocido como APK (Android Application Package). Sin embargo, de acuerdo con Luis Ríos, jefe de desarrollo de la empresa de soluciones tecnológicas Arisale, se corre el riesgo de que alguien modifique el APK y distribuya un nuevo enlace con un malware —un software malicioso— simulando que envía el enlace original. Luego, cuando el virus se infiltra en el celular puede obtener, por ejemplo, información personal o financiera.
Desde Salud con Lupa solicitamos una entrevista a la Diresa de Lima para abordar el tema. Ante la falta de respuesta, envíamos un cuestionario con nueve interrogantes sobre la vulnerabilidad de datos personales y otras consultas, pero no lo contestaron.
¿De qué manera se podrían evitar los riesgos? El camino más sencillo es omitir dentro del código información que no se necesita mostrar en la interfaz de la aplicación. Otra opción, según Diego Velásquez, experto en arquitectura móvil, sería agregar un nivel de seguridad como un token o solicitar datos adicionales, como la fecha de nacimiento o la fecha de emisión del documento de identidad, datos que principalmente conoce la persona interesada.
Duplicidad de esfuerzos
Aparte de los riesgos de seguridad detectados en la aplicación, hay otro problema a tomar en cuenta: el registro parece incompleto. Diversos usuarios de Twitter se han quejado porque sus vacunas no aparecen en Sálvate, mientras que otros afirman que sí visualizan sus datos, pero no en la aplicación del Ministerio de Salud (Minsa). Las discrepancias podrían suceder porque la Diresa de Lima solo maneja información de su jurisdicción y no los datos de quienes, por ejemplo, fueron inmunizados en los ensayos clínicos y en el extranjero.
La aplicación móvil se empezó a difundir en las redes sociales de la Diresa de Lima desde noviembre, pero recién hace unos días los usuarios de Twitter comenzaron a promocionarla debido a la rapidez para obtener un resultado de búsqueda, sin considerar los aspectos técnicos que ponen en riesgo los datos personales y la aparente improvisación para crearla. Tal vez debido a las constantes búsquedas que bombardearon el sistema, la aplicación colapsó. El área de Comunicaciones de la Dirección Regional de Salud de Lima recalcó que se estaba solucionando el problema; sin embargo, hoy la aplicación ya no aparece en el portal web de la Dirección Regional de Salud de Lima.
Ahora, independientemente de todos los errores detectados, sigue pendiente una cuestión importante: ¿Por qué invertir tiempo y dinero en crear una aplicación paralela a la del Ministerio de Salud? ¿El que exista más de una no podría confundir a las personas? Solicitamos, sin éxito, una entrevista al Ministerio de Salud para conocer cómo se manejan los datos de vacunación, si otras entidades están facultadas para reutilizarlos y cómo actuaría ante la difusión de información personal.
La falta de seguridad de los datos personales no es reciente y, muchas veces, se resuelve sobre la marcha. Ello sucedió cuando el Minsa lanzó la aplicación Carnet de Vacunación, que permite verificar qué dosis de la vacuna contra la covid-19 ha recibido una persona. La aplicación incluyó una opción para que estos datos también se visualicen por medio de un código QR; es decir, en una imagen cuadrada que almacena la información. Desde dicha herramienta, se escaneaba con la cámara del celular el código de una persona para ver sus nombres, los últimos dígitos del documento de identidad y si tenía o no las dosis completas. Sin embargo, si era escaneado desde cualquier otra aplicación para leer código QR, se obtenía toda la información del certificado de vacunación como los números de lotes de las vacunas, lugar de inmunización, fecha de nacimiento y número de documento de identidad. Tras una alerta del periodista Jesús Veliz, el Ministerio de Salud corrigió el error y aseguró que solo se mostraría información relevante al leer el código desde cualquier otro aplicativo.
Otro aspecto a mencionar es que, a diferencia de la aplicación Sálvate, cuando uno accede al Carnet de Vacunación del Minsa, ya sea por el celular, tablet o una computadora, hay una opción para autorizar y leer el tratamiento que se les da a los datos personales. En el documento se explica qué tipo de información personal maneja la aplicación con la finalidad de verificar el esquema de vacunación contra la covid-19 y se recalca que no podrá ser utilizada para otros fines. Esta práctica, de informar a la ciudadanía sobre el uso de sus datos personales, debería aplicarse en todas las webs y aplicaciones de las instituciones que almacenan y usan información sensible, como lo son los datos de vacunación.