El gobierno indio debería convencer al público sobre la eficacia de Aarogya Setu en lugar de imponerla sobre ellos: Elliot Alderson, experto en ciberseguridad, le dice a Firstpost

El hacker ético francés Elliot Alderson, quien provocó un feroz debate sobre cuestiones de seguridad relacionadas con Aarogya Setu a principios de este mes, dijo que el gobierno indio debe convencer a la gente de la eficacia de la aplicación en lugar de obligarla a usarla.
En una entrevista con Firstpost, Alderson, un experto en ciberseguridad, respondió a varias afirmaciones hechas por el gobierno de la Unión sobre Aarogya Setu, que se está promocionando ampliamente como una aplicación de rastreo de contactos que ayuda a combatir COVID-19.
Aplicación Aarogya Setu en iOS
El Press Information Bureau ha dicho que la aplicación se desarrolló como una 'asociación público-privada' y, según los informes de los medios, varios voluntarios individuales han trabajado en ella, incluido el ex ejecutivo de Google India Lalitesh Katragadda y el fundador de MakeMyTrip, Deep Kalra.
"Publicar código fuente importante para ganar confianza"
Alderson dijo que el gobierno de la Unión debería seguir el ejemplo de varios otros países y hacer que la aplicación sea de código abierto, lo que permitiría que los codificadores e investigadores independientes la examinaran en busca de fallas de seguridad.
Él dijo: "Para ser potencialmente útil, muchas personas deben descargar y utilizar una aplicación de rastreo de contactos. Para garantizar la adopción de la aplicación a gran escala entre la población, debe ganarse su confianza. Publicar el código fuente es una forma de obtener esta confianza ".
En una entrevista para Hindustan Times, el CEO de MyGov, Abhishek Singh, dijo que la aplicación no se hizo de código abierto porque se hicieron cambios en su código ya que los desarrolladores obtendrían nuevas ideas.
Singh dijo que a menos que la aplicación sea estable, la liberación de su código fuente puede no ayudar, ya que siempre habrá alguien que genere falsas alarmas.
Sin embargo, varios países han desarrollado aplicaciones similares para facilitar el seguimiento de contactos y han hecho que las aplicaciones sean de código abierto: Israel, Singapur y el Reino Unido son ejemplos destacados.

Alderson señaló estos ejemplos en un tweet e instó al gobierno indio a hacer lo mismo.

Otra preocupación planteada por Singh fue que hacer que la aplicación sea de código abierto puede conducir a su mal uso por parte de actores no estatales.
En respuesta a esta preocupación, Alderson le dijo a Firstpost: “Este miedo es totalmente ilegítimo. Muchos países hicieron sus aplicaciones de código abierto y no pasó nada malo. Hacer público el código fuente de una aplicación es algo que se ha hecho durante años y es una práctica bastante estándar ".
Otro punto de discusión entre el gobierno y los activistas de la privacidad es si la aplicación garantiza el anonimato. El Economic Times citó a un alto funcionario del gobierno diciendo que todos los datos se anonimizan, y después de que se crea una identificación anónima del dispositivo, "todas las interacciones futuras" suceden con la identificación anónima del dispositivo.
Alderson no está de acuerdo. Él dijo: “Una vez que se declara infectado con COVID-19, sus datos de GPS de las últimas semanas se envían al gobierno indio. Este sistema es absolutamente no anónimo. Entonces, esta aplicación es un sistema de vigilancia para rastrear a las personas infectadas con COVID-19 ".
En una publicación de blog en Medium el 6 de mayo, Alderson demostró que es posible modificar la ubicación de la aplicación, lo que permite identificar cuántas personas están enfermas o infectadas, incluso sin estar físicamente presentes en su vecindad.
Sobre la base de los datos obtenidos, pudo demostrar que cinco personas se sintieron mal en la Oficina del Primer Ministro (PMO), dos personas se sintieron mal en el cuartel general del ejército y una persona se infectó en el Parlamento.
En la publicación del blog titulada "Aarogya Setu: La historia de un fracaso", Alderson también mostró que era posible modificar el radio de la aplicación a una cifra que normalmente no está disponible para los usuarios, aunque el El gobierno negó el reclamo.
Alderson también dijo que en una versión anterior de la aplicación, era posible que un atacante abriera cualquier archivo interno, incluida la base de datos local de un área.
Sin embargo, dijo que en la versión posterior, este problema fue "solucionado en silencio" por los desarrolladores. Al comentar sobre esto, Alderson dijo: “Les envié mi informe y solucionaron los problemas que marqué. Esa es la cosa mas importante."
"Obligar a las personas a instalar aplicaciones no es bueno"
El Ministerio del Interior de la Unión, en sus últimas pautas sobre el bloqueo del coronavirus, ya no obliga a los asistentes a la oficina a instalar la aplicación Aarogya Setu. Las nuevas directrices del 17 de mayo establecen que los empleadores deben asegurarse de que la aplicación sea descargada por todos los empleados que tengan teléfonos móviles compatibles "con el mejor esfuerzo".
Las pautas anteriores, fechadas el 1 de mayo, establecían: “El uso de Aarogya Setu será obligatorio para todos los empleados, privados y públicos. Será responsabilidad del jefe de las organizaciones respectivas garantizar una cobertura del 100 por ciento de esta aplicación entre los empleados ".
Al comentar sobre esto, Alderson dijo: “Este es un paso en la dirección correcta. Obligar a las personas a instalar una aplicación nunca es algo bueno. Puede obligarlos legalmente a instalar una aplicación, pero no puede obligarlos a usarla. En lugar de obligar a las personas, el gobierno indio debería gastar su energía en convencer a las personas de que esta aplicación es realmente útil (si esto es lo que cree) ".
Sin embargo, después de que los viajes aéreos y ferroviarios se hayan restaurado parcialmente, se ha hecho obligatorio para las personas que planean viajar en vuelos y trenes para instalar la aplicación Aarogya Setu. Además, algunas compañías privadas como Zomato y Xiaomi han hecho obligatorio que los empleados descarguen la aplicación.
En el distrito de Gautam Budh Nagar, que incluye a Noida, Greater Noida y Dadri, las autoridades locales obligaron a las personas a instalar la aplicación en un pedido del 3 de mayo. Sin embargo, la orden fue revocada el 20 de mayo después de que algunos residentes presentaron una representación ante el Comisionado Adjunto Adicional (Ley y orden) desafiando la base legal de la directiva.

Via: FirstPost