La actual aplicación Radar Covid para Android, como ha informado y publicado en GitHub el desarrollador Jorge J.Ramos, contiene una traza hacia Firebase, una herramienta de Google utilizada frecuentemente en el desarrollo de las apps, principalmente para obtener analíticas e información sobre errores.
Como indicamos en nuestro análisis a fondo del código de Radar Covid, actualmente el código de la app para Android no coincide con el código que se ha publicado en GitHub, y una de las diferencias es precisamente esta: la traza hacia Firebase no se encuentra en la versión de GitHub, pero sí en la versión 1.0 que actualmente se usa en Android.
Qué es Firebase y para qué se usa en Radar Covid
Firebase, como explica la propia Google, es una herramienta que permite registrar eventos en las aplicaciones. En otras palabras, sirve, entre otros, para enviar reportes de error al desarrollador. El principal "problema" es que para enviar estos reportes recoge por el camino varios datos: modelo de teléfono que ha descargado la app, tiempo de uso y demás.
Cada desarrollador puede usar Firebase con un fin específico. Desde la Secretaría de Estado de Inteligencia Artificial (SEDIA) nos indican que esta herramienta se usó durante la fase de pruebas de la aplicación para "acelerar el desarrollo" (detectar bugs) y que, en la versión actualizada (la publicada en GitHub), ya no está implementado.
"Por aclarar, nunca se ha recopilado dato alguno de usuarios. Sencillamente, se usó durante la fase de testing para acelerar el desarrollo, sin más. En la versión actualizada puedes ver que ya no está". Portavoz de SEDIA.
Si bien no se conoce de forma exacta qué datos recogió Radar Covid en su fase de testeo, desde SEDIA se asegura que nunca se recopiló dato alguno de los usuarios. Las dudas a nivel privacidad con este código son que, según la GDPR (Reglamento General de Protección de Datos), las apps están obligadas a informar sobre presencia de código externo (en este caso, el de Google), algo que no se ha hecho.
Si bien es cierto que han obviado este paso ya que la versión completa no utilizará Firebase (según nos comunican desde SEDIA), teniendo en cuenta que la versión 1.0 en Android tiene trazas de software, debería haberse indicado acorde al Reglamento.
¿Supone Firebase un riesgo para la privacidad?
En principio, no. En primer lugar porque el uso frecuente de Firebase es tomar analíticas sobre errores y uso de la aplicación, algo que suscriben desde SEDIA, afirmando que se ha usado en la fase de desarrollo de la app para agilizar el proceso. La actual aplicación contiene una traza hacia Firebase, pero no hay referencias explícitas en el código hacia el propio Firebase. Lo que hay es una referencia a una carpeta llamada 'Pods', un pequeño resto de un sistema llamado Cocoapods, el medio recomendado para implementar Firebase.
Lo más importante aquí es que la versión publicada en GitHub, que es la versión más actual, ya no contiene este código. De hecho, si nos fijamos en la versión de Radar Covid para iOS, la 1.07, esta traza no está presente. En Android aún tenemos la versión 1.0, que no está actualizada y contiene discrepancias con el código de GitHub.
Así pues, cuando la versión Android actualice, la promesa es que no habrá rastro sobre Firebase. La herramienta se utilizó durante el desarrollo de la app (sin especificarse en la política de privacidad) y, tras cumplir su función, se eliminará del código de la misma, como en el caso de iOS.
Ver 14 comentarios