La app española de rastreo de contagios Radar Covid está disponible desde principios de julio para Android y Apple. Desde la segunda semana de agosto está en los primeros puestos de descargas en España para ambos sistemas operativos, junto a juegos y lectores de QR, según datos de App Annie. Más de 3,4 millones de españoles se la han descargado al menos una vez.
Pero el funcionamiento de la app sigue dependiendo de la integración en los sistemas de salud de las comunidades autónomas, y su puesta a punto no acaba de concluirse. En la Play Store de Android hay más de 4.200 comentarios sobre la app y cerca del 50% (1.988) son de 1 estrella. Aunque el segundo grupo (1.608 valoraciones) da 5 estrellas. La mayoría de quejas tiene que ver con su funcionamiento en el móvil y con errores que da con el sistema de reducción de gasto de batería o el modelo del móvil.
La frustración de los usuarios por una aplicación anunciada con todos los galones y que no funciona aún del todo es imposible de medir. Aunque es probable que haya datos de cuántas app hay borradas o inactivas. La comunidad tecnológica, sin embargo, sí tiene quejas más concretas, las cuales, de momento, no tienen respuesta clara desde el Gobierno. “Hay una nube de dudas sobre el funcionamiento porque no ha habido un proceso de generación de confianza. Hay mucho desconocimiento de la herramienta”, dice Gemma Galdón, fundadora de Eticas Consulting.
El código no está abierto
La app Radar Covid es del Gobierno, pero está desarrollada mediante un contrato con Indra a partir del código abierto de DP-3T, creado por un equipo liderado por la ingeniera española Carmela Troncoso desde Suiza. Así lo dicen las mismas políticas de la app: “Radar Covid emplea en su arquitectura el nuevo marco proporcionado por Apple y Google desarrollado a partir del Protocolo de DP-3T de rastreo de proximidad descentralizado para preservar la privacidad”.
El protocolo DP-3T está bajo una licencia Mozilla Public License 2.0 que obliga a quien lo usa a decir qué hace con él y cómo lo transforma. El Gobierno, de momento, no ha publicado el código detrás de Radar Covid. “No tiene ningún sentido”, dice David Barragán, cofundador y desarrollador de software en Kaleidos Open Source. “La licencia les obliga a que cuando usas el código comentes qué parte del código has usado y cómo. Pero no lo sabemos. Debemos confiar en que no lo han modificado”, añade.
Esta medida no es solo por transparencia: la app está hecha con dinero público. También por eficacia. En toda creación de código es inevitable que haya errores y desajustes. Más ojos ven más cosas: “La publicación del código cuando ya está hecho genera más costes porque la comunidad encontrará errores. No se trata solo de transparencia, sino también de contar con un proceso de revisión y validación colectiva de las especificaciones técnicas”, dice Galdón.
La secretaría de Estado de Inteligencia Artificial ha anunciado que el código se abrirá el próximo día 9 de septiembre. No está claro si dará solo la última versión o el proceso de todos los cambios y los que vaya a haber en el futuro. En el desarrollo de una app es importante saber qué hacía antes el código y ha dejado de hacer y por qué.
En una entrevista en la SER, la secretaria de Estado, Carme Artigas, dijo que el Gobierno no era “una startup”, para justificar dar el código presuntamente ya cerrado. No es, sin embargo, lo habitual en la comunidad: “Hay una percepción equivocada. Hay muchas instituciones que parecen percibir la sensación de que si haces un código y nadie lo ve, será más seguro. La experiencia nos dice que no es así. Si abres el código, alguien que quiera atacarte puede ver puntos flacos. Pero por cada persona que quiera atacar habrá 10 que quieran ayudar. Un producto con código cerrado es muy difícil que te ayuden a mejorarlo”, dice Manuel Carro, director de Imdea Software.
Carro especula que quizá Sedia e Indra quisieron evitar por la urgencia tener que sacar una app que tuviera a docenas de programadores comentando detalles en público: “Si quieres una versión depurada, cuantos más ojos lo vean mejor. Pero quizá Indra y Sedia no quisieran sacar un producto si supieran, porque se lo hubiesen dicho, que tiene problemas”, explica. Las prisas han podido llevar al retraso de la publicación del código. Pero ahora la publicación puede conllevar desafíos mayores.
Por ejemplo, tanto la app portuguesa Stayaway como la italiana Immuni, además de otras en el resto del continente, tienen su código abierto en GitHub.
Y además está ofuscado
Aunque el código no esté liberado, una app puede descompilarse para echar un ojo a lo que hay dentro. Radar Covid tampoco deja: ofusca el código. Eso significa que cambia conceptos para hacerlo incomprensible a otros programadores. Si no estuviera ofuscado, se obtendría una copia parecida al código inicial que escribieron los desarrolladores. Aunque no igual. Sería una copia barata del original, pero a falta de que esté abierto serviría para mirar.
¿Por qué Radar Covid ofusca y tampoco permite esa mirada más panorámica? “En código abierto no tiene ningún sentido. En código privativo, quizá sí. Hay muchas empresas que ofuscan ese código para que merezca la pena. Algo que quieras proteger. Tiene que ser algo que realmente quieras esconder”, dice Barragán.
Carmela Troncoso, la ingeniera española que lideró el proyecto DP-3T desde Suiza, se muestra también sorprendida de la prudencia española con el código, más cuando la licencia de su propio trabajo obliga a liberarlo en seguida.
La difícil integración con las comunidades
En principio la app es nacional y no puede saber dónde está cada posible contagiado. Todos los valores de las personas contagiadas deben estar en un solo servidor para que sea útil. ¿Cómo se ha resuelto que los 17 sistemas de salud de las comunidades autónomas puedan ofrecer sus servicios sin tener que saber dónde está cada posible contacto contagiado? Con un desplegable.
La app incluye un desplegable cuando recibes una notificación de riesgo alto, según explican fuentes de la Secretaría de Estado: “Al recibir una notificación de riesgo alto, se puede seleccionar en un desplegable la comunidad autónoma de tu interés (por residencia, por visita) y obtener el teléfono de asistencia sanitaria, así como un enlace a su portal informativo. Esto se hace sin consultar geolocalización, ni hacer consultas al servidor de alerta de contagios. De hecho, puedes ir seleccionando las distintas comunidades e ir viendo los teléfonos respectivos”, explican. En esta notificación puede verse un ejemplo:
El desplegable ya está activo. Funciona como el de la lengua, que sale al descargar la app y que por ahora permite solo castellano, catalán e inglés. Si una comunidad quiere personalizar su recorrido después de recibir un positivo, deberá hacerlo en su portal, no en la app. Los códigos que dará el personal sanitario a un positivo para que introduzca depende de cada comunidad y por tanto cada una sabrá cuántos entrega, según las mismas fuentes oficiales: “La implementación técnica que se hace con las comunidades implica habilitar la manera de que puedan distribuir códigos de positivo, a través del personal sanitario, cuando alguien es diagnosticado positivo tras un PCR. No es un proceso centralizado, sino de cada comunidad. Por tanto, como esa implementación se hace con cada comunidad se puede saber cuántos códigos distribuye cada una, pero evidentemente no a quién. Los códigos además son temporales y caducan a los siete días”.
¿Y el número de notificaciones?
En la jugosa entrevista con la SER, Artigas dijo que en los primeros días de integración en tres comunidades había habido 20 notificaciones: “Tenemos ya registrado que ha habido entradas de códigos por PCR positivos en Andalucía, Castilla y León y Baleares, y que se han generado unas 20 alarmas en esta misma semana de personas que habían recibido notificación de que habían estado cerca de un contacto”, dijo. ¿Cómo sabía la secretaría cuántas notificaciones había mandado el sistema?
Cuando alguien es positivo, esa persona introduce un código en la app que permite que se suban al servidor los números que ha intercambiado con otros ciudadanos en los últimos días. Las app del resto de ciudadanos preguntan al servidor varias veces al día si alguno de los números que han almacenado de otros contactos cercanos están en el servidor. Eso indicaría que ha habido contacto con alguien que hoy es positivo.
Si se da esa coincidencia, la notificación salta en el mismo móvil. Nadie fuera puede saber que ha habido ese aviso. Como mucho, puede saberse cuántas llamadas se han recibido donde el paciente da la app como motivo de alerta. Al cierre de esta pieza, Secretaría de Estado aún no había respondido a repetidas preguntas de EL PAÍS sobre este asunto. Sea como sea, es probable que estos misterios se revelen el próximo día 9, cuando el código completo salga a la luz.
Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.
Información sobre el coronavirus
– Aquí puede seguir la última hora sobre la evolución de la pandemia
– Así evoluciona la curva del coronavirus en España y en cada autonomía
– Descárguese la aplicación de rastreo para España
– Buscador: La nueva normalidad por municipios
– Guía de actuación ante la enfermedad