El Ayuntamiento de Estocolmo tuvo una gran idea en 2013: poner en marcha una aplicación que permitiera gestionar todo lo relacionado con su sistema escolar —en Suecia es una competencia municipal—, permitiendo consultar notas, horarios y menús de comedores, notificar ausencias, etc.
Esa gran idea se torció pronto: el lanzamiento de 'Skolplattformen' se retrasó hasta mediados de 2018, tras haberse gastado 105 millones de euros del erario en su desarrollo. Y rápidamente quedó claro que el resultado era un desastre: era una app tremendamente compleja, con infinitos menús para moverse entre 18 módulos gestionados por hasta 5 empresas externas.
Sirva como ejemplo de su recepción entre los usuarios (profesores, padres y alumnos) que la versión Android cuenta con una puntuación de 1,2 en la Google Play Store.
1) Se desarrolla una alternativa
De modo que, hace un año, uno de esos padres —Christian Landgren, programador y CEO de la consultora Iteam— decidió empezar a crear su propia aplicación: escribió a los funcionarios municipales solicitando información sobre la API de Skolplattformen y, mientras esperaba una respuesta, empezó a hacer pruebas con ésta buscando someterla a ingeniería inversa.
En pocas horas, cuenta Landgren, "comencé a construir una API sobre su pésima API". Luego, unió esfuerzos con otros dos padres y desarrolladores para proseguir la tarea, abriendo todas las URLs posibles de la versión web de la aplicación y usando las herramientas de desarrollo del navegador para descubrir qué llamadas hacía a la API privada de la plataforma.
Eso fue más o menos en la misma época en que el equivalente sueco de la AEPD imponía a la Junta Educativa de Estocolmo una multa de más de 400.000 euros por las graves filtraciones de datos personales de Skolplattformen (eran accesibles desde búsquedas en Google).
Finalmente, los esfuerzos de los tres programadores se tradujeron en el lanzamiento de Öppna Skolplattformen ('Plataforma escolar abierta', en español) en febrero de 2021: todo su código estaba ya entonces disponible en Github como open source.
Era un código relativamente sencillo, porque sólo buscaba ofrecer acceso a las funciones de la original dirigidas a los padres, no las de profesores ni alumnos.
Pese a los constantes problemas de funcionamiento, valoración y privacidad de la app oficial, que podrían haber solventado en parte haciendo uso del citado código, el Ayuntamiento de Estocolmo decidió reaccionar a la noticia centrando su atención en lo que ellos entendían que era lo más importante: cerrar Öppna Skolplattformen.
2) El ayuntamiento azuza la policía y a la agencia de protección de datos contra los programadores
Para ello, se puso en contacto con los padres usuarios para pedirles que dejaran de usar la app alternativa, alegando que accedía ilegalmente a datos personales, e incluso recurrieron al mismo organismo que meses antes les habían impuesto a ellos la citada multa.
Al mismo tiempo, decidieron boicotear Öppna Skolplattformen cambiando el código de la app oficial para que las llamadas a su API por parte de la primera dejaran de funcionar.
Luego, pese a que ya habían iniciado reuniones con Landgren para intentar llegar a un entendimiento, notificaron a la policía que podría haberse cometido una violación de datos criminal —pese a que sólo se mostraba información pública y abierta— y pidieron a los investigadores de delitos cibernéticos que investigaran cómo funcionaba Öppna Skolplattformen.
"No querían colaborar ni siquiera discutir la opción de colaborar, simplemente pasaron de nosotros e informaron a la policía".
Y no sólo a la policía: también se encargó una auditoría externa a una consulta de seguridad… que el ayuntamiento decidió no publicar, pese a las fuertes leyes de transparencia de Suecia: los creadores de Öppna Skolplattformen tuvieron que impugnar ante los tribunales la no divulgación del documento.
Luego, a lo largo de marzo, se inició un estúpido juego del gato y el ratón: la app oficial se actualizó hasta siete veces para bloquear el acceso de la alternativa a su API, a lo que Öppna Skolplattformen contestó actualizando en otras siete ocasiones.
Y, mientras ocurría todo esto y el ayuntamiento solicitaba el cierre del repositorio GitHub, la Junta Escolar hizo público el informe policial: "Escribieron el informe policial de tal manera que parecía algo aterrador", explica Landgren, quien semanas más tarde terminó recibiendo una visita en su casa por parte delos investigadores de delitos cibernéticos.
Mientras tanto, la popularidad de Öppna Skolplattformen no hacía sino crecer: se sumaron hasta 40 personas al desarrollo de la misma, que solventaron bugs, desarrollaron funciones de búsqueda y tradujeron la app a varios idiomas. Incluso, a pesar de la persecución, notificaron a los responsables de la app oficial varios problemas de seguridad.
3) Los programadores ganan
Öppna Skolplattformen tuvo que esperar meses para contar con el visto bueno de las autoridades. La policía anunció ¡en agosto! que no creían que se hubiera cometido ningún crimen. Cuando finalmente se publicó la auditoría externa, quedó claro que ya en febrero el ayuntamiento de Estocolmo sabía que no se estaba enviando ninguna información confidencial a terceros ni representaba una amenaza para los usuarios. Y, por descontado, la AEPD sueca no llegó a tomar medida alguna contra la app.
Todo esto forzó a que, a principios de septiembre, el ayuntamiento anunciara que estaba dispuesta a permitir el acceso a su API, tanto para Öppna Skolplattformen como para cualquier otra app alternativa. Ahora, el equipo de desarrollo de Öppna Skolplattformen está en conversaciones con la ciudad de Gotemburgo para desarrollar su nueva plataforma escolar online.
Para los responsables de Öppna Skolplattformen, el problema no se limita a Skolplattformen, sino que a pesar del creciente sector sueco de startups, la tecnología del sector público se ha quedado muy atrás, "atrapada en los años 90", con proyectos fallidos que tardan años en completarse y que, para entonces, están completamente desactualizados. Según Landgren, lo que estaban haciendo con su app alternativa era ayudar a "cerrar esa brecha".
Vía | Wired
Imagen | Tommie Hansen
Ver 12 comentarios