Mantener un documento que demuestre que has recibido las dosis necesarias de una vacuna contra el COVID-19 puede ser molesto. Sin embargo, cada vez más personas lo aceptan como el precio a pagar por volver a la normalidad.
Con la reapertura de fronteras por parte de los países, hay una demanda justificada de versiones digitales de nuestros pasaportes de vacunación. Y los estados están respondiendo a esa demanda tan rápido como pueden. Pero debido a la prisa en sacar estas aplicaciones, muchas de ellas presentan graves problemas de vulnerabilidad.
En este artículo, recopilamos los casos más notorios. También proponemos una opción viable para detectar pasaportes de vacunación analógicos y digitales convincentes pero falsificados.
¿Por qué la vulnerabilidad de los pasaportes de vacunación representa un riesgo?
Todos sabemos que no existe una aplicación móvil perfecta. En muchos casos, un error no es más que una molestia. Sin embargo, la vulnerabilidad se convierte en una prioridad para las aplicaciones que almacenan datos sensibles, como el pasaporte de vacunación.
La corresponsal del New York Times, Ceylan Yeğinsu, escribe que el problema principal es que un pasaporte es un documento emitido por el gobierno para certificar datos personales. Por lo tanto, 'muchos temen [...] entregar información personal y sensible sobre la salud que los controladores de datos pueden abusar fácilmente.' Y a diferencia de las instalaciones médicas donde las leyes regulan estrictamente cómo se deben manejar dicha información, las empresas fuera de la industria de la salud pueden hacer lo que quieran con nuestros datos de salud.
Panda Security, un fabricante de soluciones antivirus, realizó una investigación no representativa sobre los pasaportes de vacunación. Resultó que el 56% de las personas se preocupa por la seguridad de sus datos. Desafortunadamente, tienen todas las razones para temer convertirse en víctimas de robo de datos. En las primeras etapas de la pandemia de COVID-19, cuatro estados de EE. UU. sufrieron ataques cibernéticos dirigidos a los solicitantes de beneficios de desempleo.
Por lo tanto, los certificados digitales de COVID deberían ser a prueba de balas desde el principio. Sin embargo, estos programas tuvieron que desarrollarse rápidamente para levantar las restricciones de viaje y sociales lo antes posible. Esto resultó en defectos de diversos grados de preocupación.
Ejemplos de vulnerabilidades conocidas del pasaporte de vacunas digital
NYC Safe: Una Foto para Engañar a Todos
Es difícil decir desde un pasaporte de vacunas impreso si es falso o no, y mucho menos desde una foto del documento. Este fue el caso de la aplicación NYC Safe de Nueva York. Fuertemente criticada por ser poco más que un almacenamiento de fotos para pasaportes COVID en papel, la aplicación permitía a las personas cargar cualquier documento, legítimo o falsificado. La debilidad del sistema se hizo demasiado evidente cuando aceptó un retrato de Mickey Mouse como prueba de vacunación.
NYC Excelsior Pass Wallet: Credenciales Falsas
El infame caso de este pasaporte de vacunación digital de EE. UU. para los ciudadanos del estado de Nueva York resaltó otro tipo de riesgo. Según descubrió el Grupo NCC, la aplicación NYC Excelsior Pass Wallet permitía a las personas crear y almacenar credenciales de vacunación falsas simplemente escaneando un documento falso. Los usuarios podían aprovechar fácilmente el hecho de que el certificado COVID no se verificaba adecuadamente.
Express Plus Medicare en Australia: Replicando el Validador Animado
Diez minutos. Eso fue todo lo que necesitó Richard Nelson, un ingeniero informático en Sídney, para exponer la vulnerabilidad de la aplicación COVID-19 de Express Plus Medicare en Australia. También demostró por qué los códigos QR son imprescindibles para los pasaportes de vacunación. El problema principal con el certificado COVID australiano es que, además de los datos básicos, presenta una animación supuestamente única para demostrar la validez del pasaporte. Nelson pudo replicar fácilmente esta animación, lo que le permitió crear tantos pasaportes de vacunación digitales falsos como quisiera.
VaxiCode Verif en Québec: Falsificaciones de Firmas Digitales
Como muchas de las aplicaciones de certificados COVID utilizadas en todo el mundo, el pasaporte de vacunación digital emitido por Québec, Canadá, utiliza códigos QR que contienen los datos de vacunación necesarios combinados con firmas digitales. La firma digital cuenta con criptografía asimétrica, utilizando dos claves. Teóricamente, esto garantiza que la aplicación del validador no identifique las credenciales falsas como legítimas.
Sin embargo, un experto en ciberseguridad logró engañar relativamente fácilmente a VaxiCode Verif. Generó un par de claves y puso a disposición la clave pública en un sitio web específico. Luego, creó dos códigos QR. Uno fingía ser un pasaporte de vacunación digital válido que contenía la clave pública y un simple certificado COVID falso. Luego, presentó el código QR con la clave pública a la aplicación. Esta lo rechazó correctamente como un certificado COVID válido, pero al mismo tiempo, descargó forzosamente la clave pública. Después de eso, la aplicación verificó que el otro pasaporte de vacunación digital falso era válido.
Debemos agregar que los desarrolladores de la aplicación reaccionaron rápidamente. Poco después del incidente, lanzaron una nueva versión que eliminaba el problema.
Certificado COVID Digital de la UE: Vacunar a los Muertos
Cuando se trata del pasaporte de vacunación europeo, llamado certificado COVID digital de la UE, los expertos suelen elogiarlo por implementar las estrictas normas de privacidad del GDPR, especialmente desde el extranjero. De hecho, permitir a los Estados miembros de la UE desarrollar sus propias versiones del certificado COVID fue un riesgo, que finalmente dio sus frutos. Sin embargo, esto no significa que no haya habido carencias.
Tim Berghoff de GData, una empresa alemana de seguridad informática, señaló muchos problemas con la versión alemana del certificado de la UE. Destacaremos dos:
- En el caso de los certificados COVID en papel emitidos por una farmacia o un médico, no se verificó la precisión de los datos transferidos a la aplicación. Los expertos en ciberseguridad lograron validar un pasaporte de vacunación de la UE aunque mostraba la misma fecha para la primera y segunda vacunación del sujeto evaluado.
- Berghoff y su equipo lograron crear un pasaporte de vacunación para Robert Koch, un microbiólogo alemán del siglo XIX. El certificado COVID de la UE no tuvo problemas para validar la vacunación de una persona que había fallecido hace mucho tiempo.
¿Son las Tarjetas de Vacunación en Papel la Respuesta?
No del todo. Concedido, parece un paso lógico olvidar los pasaportes de vacunación digitales y tener nuestras certificaciones de vacunación en nuestros bolsillos.
Al igual que sus contrapartes digitales, las certificaciones en papel también se apresuraron. Esto llevó a que los pasaportes de vacunación analógicos fueran fácilmente falsificables. En Estados Unidos, los Centros para el Control y la Prevención de Enfermedades (CDC) emitieron un certificado con datos escritos a mano. No sorprende que los estafadores aprovecharan la oportunidad y inundaran el mercado negro con pasaportes de vacunación falsos.
Consecuentemente, estos certificados falsos podrían terminar rápidamente en aplicaciones COVID con características de autenticación mínimas o nulas. Esto permite que personas no vacunadas entren en lugares que requieren que los individuos estén vacunados.
Verificación del Estado de Vacunación
Los errores y problemas de las aplicaciones siempre serán descubiertos y eliminados tarde o temprano. Esto es lo que sucedió en el caso de las aplicaciones de Quebec y del Estado de Nueva York. Además, los certificados COVID virtuales - al menos aquellos que implementan firmas digitales - todavía son más resistentes a la falsificación que sus contrapartes en papel. En cualquier caso, aquellos que confían más en los pasaportes de vacunación analógicos deberían asegurarse de guardarlos en un lugar seguro.
Si eres parte de un negocio y tienes que verificar la validez de los certificados de vacunación digitales, hay dos cosas que deberías considerar. En primer lugar, verifica y vuelve a verificar el documento frente a ti. Aunque algunos pasaportes de vacunación nacionales e internacionales no cuentan con soluciones avanzadas de seguridad como la firma digital, son minoría. El número de estados que requieren pasaportes de vacunación está aumentando. Es probable que muchos de ellos no acepten certificados vulnerables como documentos de viaje válidos.
Una forma de verificar que un individuo no esté presentando un certificado COVID falso es cruzarlo con otro documento de identificación. Un lector de identificación automatizado avanzado como Osmond puede verificar la autenticidad de un pasaporte de viaje y obtener virtualmente todos los datos de los pasaportes de viaje a través de la tecnología de reconocimiento óptico de caracteres, incluyendo el nombre del viajero, el país de origen y mucho más.
¿Tiene alguna pregunta o consulta? Estamos aquí para ayudarle en cada paso del proceso.
