"Se han quedado cortos"

El Gobierno desvela (a medias) las tripas de la 'app' Radar Covid. ¿Qué hay tras su código?

La Secretaría de Estado de Digitalización e Inteligencia Artificial (Sedia) ha publicado hoy el código de Radar Covid. La comunidad tecnológica aplaude el movimiento, pero asegura que falta información

Foto: Foto: EFE.
Foto: EFE.

Llegó el día. El Gobierno, de la mano de la Secretaría de Estado de Digitalización e Inteligencia Artificial (Sedia), acaba de publicar tal y como había prometido el código de la 'app' Radar Covid. Era la principal exigencia que le hacía desde hace semanas la comunidad de desarrolladores, liberar el código al igual que han hecho el resto de países europeos para saber exactamente cómo funciona la 'app' que nos piden instalar en el móvil. La presión era máxima: más de 200 destacados académicos habían exigido en un manifiesto una serie de documentos a publicar hoy. ¿Ha cumplido el Gobierno? "El listón estaba muy alto. Aunque es un paso muy bueno, la verdad es que se queda corto. Nos hubiera gustado ver más documentación sobre el proyecto, apenas han aportado lo que se pedía".

Así lo resume Juan Caballero, profesor e investigador del IMDEA Software Institute y uno de los más de 200 firmantes del manifiesto publicado el pasado fin de semana. Caballero señala que hay dos grandes bloques para evaluar lo que ha liberado el Gobierno. Por un lado, saber si ha puesto sobre la mesa toda la documentación necesaria para entender el diseño de la 'app', las versiones, la infraestructura de servidores, etc. Por otro, conocer la calidad del código desde el punto de vista de seguridad y privacidad. ¿Hay fallos garrafales o es todo lo seguro que puede ser? "Se han comenzado a ver algunos fallos puntuales, pero creo que son menores. Me preocupaba mucho más lo primero. Y ahí no hay nada. Tampoco tenemos el histórico de desarrollo del proyecto, solo han publicado una foto fija del código a día de hoy".

Alessandra Gorla, otra de las firmantes del manifiesto, investigadora del IMDEA y especialista en ingeniería de 'software' de aplicaciones, coincide con su colega. Falta información. "Lo bueno es que al final lo han publicado, y en pocas horas hemos podido ver cómo se ha generado una enorme contribución, con gente reportando fallos, mejoras, propuestas... Pero para mí lo más importante era que aportaran el histórico del desarrollo y eso no lo han hecho", explica en conversación con Teknautas. ‪Guillermo Suárez-Tangil‬, especialista en ciberseguridad y profesor asociado en el King´s College de Londres, asegura a este diario que "publicar el código fuente es un paso muy importante de transparencia", pero añade el mismo inconveniente. "Me hubiese gustado ver más detalles sobre gobernanza (por ejemplo, quien tiene acceso al backend) y justificación de las decisiones de diseño".

Otros programadores independientes ajenos al manifiesto coinciden plenamente con el diagnóstico de Gorla y Caballero. "Que hayan liberado el código es significativo, va a permitir detectar fallos y hacer mejoras que de otra forma hubiera sido imposible. Pero no es suficiente. Crear un proyecto en 'software' libre no es solo publicar algo en GitHub [el servicio donde se ha liberado toda la documentación], es trabajar y colaborar con la comunidad de forma continua. Y para eso es fundamental aportar información que no hay. Si tuviera que puntuar su esfuerzo les daría un seis, lo han hecho, pero se han quedado cortos", explica José Manrique, especialista en proyectos de 'software' libre y consejero delegado de la tecnológica Bitergia.

Foto: EFE.
Foto: EFE.

Un vistazo al manifiesto publicado por la comunidad académica lo deja claro: de los seis puntos que pedían (un repositorio con el código que permita analizar la versión de todos los elementos del sistema; el repositorio de código utilizado durante el desarrollo, incluyendo el historial desde el inicio; un informe de diseño del sistema (aplicación y servidores), un informe de los mecanismos de monitorización de la aplicación y mecanismos asociados para asegurar la privacidad, evaluación de impacto en la protección de datos; información sobre el sistema de gobernanza e involucración de entidades privadas, y su rol y sus responsabilidades en el proyecto), lo publicado hoy por el Gobierno cubre en parte solo uno de ellos. Se pueden obtener conclusiones uniendo piezas de varios de los archivos, pero falta la documentación fundamental.

"El historial de trabajo nos permite saber cómo se han construido las cosas y por qué, hacia dónde ha ido el trabajo, qué decisiones se han tomado. No es algo crítico que invalide todo el trabajo, pero sí es clave", señala Jorge Ramos, programador independiente. "De momento, se ha publicado una versión del código actual, lo que es un buen inicio, y la comunidad ya ha identificado elementos a mejorar y de riesgo. Pero el manifiesto de la semana pasada establecía unos estándares de transparencia que de momento no se cumplen, aunque es posible que no esté aún toda la información en el repositorio", dice Gemma Galdón, fundadora de Eticas Consulting.

En el frente de la seguridad y privacidad del código, de momento hay muchas menos preocupaciones. A los pocos minutos de liberarse la información, varios usuarios avisaron de un "gazapo gordo", como lo describe Caballero: habían dejado varias claves privadas disponibles de forma pública para todo el mundo. Las borraron inmediatamente. "Es lo bonito de liberar el código, para eso se hace", señala Ramos. "Hay que decir que es un fallo que ocurre desgraciadamente muchísimas veces y a grandes empresas. GitHub está lleno de estas claves privadas. Se nota que ha habido demasiadas prisas e improvisación, y son cosas con las que hay que tener cuidado", explica Manrique.

Gorla explica un punto adicional que probablemente dará que hablar en las próximas semanas. "Se ha creado un debate importante sobre el tiempo que tarda la 'app' en comprobar si has estado en contacto con un positivo. Hace una comprobación solo dos veces al día, cada 12 horas. Eso quiere decir que si vas a la oficina a las ocho de la mañana y anoche estuviste en contacto con un positivo, tardará 12 horas en avisarte. Es demasiado tiempo. La 'app' italiana, Inmune, lo hace cada cuatro horas, creo que es mucho más adecuado", explica Gorla, quien añade que este tipo de debates es justo lo enriquecedor de publicar el código: buscar mejoras. Para ello, aseguran todas las fuentes consultadas, sería importante que el Gobierno facilitara aún más información.

Tecnología

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
3 comentarios
Por FechaMejor Valorados
Mostrar más comentarios