A medida que el mundo se acostumbra a vivir con COVID-19, las personas tienen que demostrar cada vez más que están vacunadas, a menudo mediante el uso del llamado pasaporte de vacunación o pasaporte COVID que contiene su identidad y registro de vacunación. Las empresas, los restaurantes e incluso el bar del vecindario confían en este sistema que proporciona información precisa para ser entornos seguros y para mantener la privacidad del usuario. La persona que usa el pasaporte COVID también espera lo mismo.
Debido a la falta de orientación o política global, se ha dejado en manos del país, el estado o incluso los municipios locales decidir qué se considera un pasaporte de vacunación “oficial”. Sin requisitos claros, los proveedores de aplicaciones de pasaportes COVID del sector público y privado deben abordar la evaluación de una tecnología y un flujo de trabajo que incluya la recopilación de la cantidad mínima de datos médicos e información de identificación personal necesarios para demostrar que los registros de vacunación son legítimos.
Symantec, una división de Broadcom Software, analizó cómo funciona este pasaporte COVID y los posibles riesgos de seguridad y escenarios de amenazas que presentan.
¿Qué es el pasaporte COVID?
El pasaporte COVID es un formulario en papel o digital que certifica que una persona ha sido vacunada contra el COVID-19. Si bien se pueden usar pasaportes en papel, con mayor frecuencia se usa el formulario digital, que puede, en algunos casos, ser solo una captura de pantalla de los resultados o una imagen tomada de la tarjeta de vacunas (esto puede funcionar en algunos casos, aunque carece de autenticidad que los resultados son del proveedor y no han sido alterados).
Los pasaportes de vacunación tienen códigos QR que contienen y conectan los datos de salud codificados de un usuario (un registro de vacunación de un proveedor médico) a la aplicación de pasaporte de la persona vacunada. Los emisores de los datos de vacunación codificados incluyen proveedores de atención médica y entidades gubernamentales. Estas entidades siguen uno de los dos estándares relacionados con la estructura de los datos codificados.
El primer estándar, seguido principalmente por emisores en Estados Unidos y Canadá, es el marco de tarjeta de salud SMART de VCI, una amplia coalición de organizaciones líderes en tecnología y atención médica. El segundo estándar, reconocido internacionalmente, es el Certificado COVID Digital de la Unión Europea, y utiliza el Formato de Contenedor de Certificado de Salud Electrónico (HCERT). Ambos usan códigos QR y son muy similares en cuanto a la estructura de datos, con una diferencia clave, como veremos a continuación.
Siempre que sea posible, evite las ‘apps’ de terceros que afirman almacenar de forma segura sus registros de vacunación
Las herramientas, o aplicaciones de validación, utilizadas para decodificar los datos de vacunación en los códigos QR de la aplicación de pasaporte están fácilmente disponibles. Usando una de estas herramientas, veremos los datos contenidos en uno de los códigos QR, usando un código de ejemplo del sistema de registro digital de vacunas de California.
Es importante señalar que cualquier persona con el código QR puede decodificar esta información, ya que no está encriptada. Los mismos datos se pueden utilizar para copiar y generar el mismo código QR. La firma, por otro lado, puede usarse para verificar que el pasaporte no ha sido cambiado o manipulado y que proviene del emisor, en este caso el Estado de California.
En el ámbito internacional, los registros de vacunación con código QR utilizan el formato de contenedor de certificado de salud electrónico (HCERT). Al igual que la tarjeta de salud SMART, la imagen QR contiene un encabezado, una carga útil y una firma. La carga útil contiene principalmente los mismos datos del registro de vacunación: nombre, fecha de nacimiento, registro de vacunación y fechas. La firma también se utiliza para validar la autenticidad del registro de vacunación digital. Sin embargo, la diferencia está en el encabezado. Las tarjetas SMART Health contienen un enlace/URL al emisor en el encabezado, que incluye la clave pública utilizada para validar la autenticidad del registro mediante la firma. Los códigos QR de HCERT solo contienen el nombre del emisor en el encabezado, y depende de la aplicación verificadora encontrar y almacenar la clave pública del emisor.
Riesgos del pasaporte COVID
¿Cuáles son los riesgos reales de privacidad de datos asociados con los pasaportes de vacunación? Como mínimo, los datos personales que contienen incluyen el nombre de la persona, la fecha de nacimiento y el estado de vacunación. Estos datos pueden considerarse información médica y, si están expuestos, representan un riesgo si los obtienen los estafadores, que pueden usarlos para ataques de phishing dirigidos.
Otro riesgo, posiblemente mayor y potencialmente más grave, es la validez y precisión del pasaporte de vacunación. De manera similar a los pasaportes tradicionales, la falsificación o manipulación de los resultados puede, en algunas jurisdicciones, dar lugar a sanciones penales. Por lo tanto, la tecnología para identificar pasaportes COVID debe identificar de forma segura y precisa su validez y garantizar que los resultados no hayan sido alterados. De lo contrario, las personas pueden estar expuestas al virus y esto podría tener consecuencias mortales.
Symantec analizó 40 aplicaciones de pasaportes COVID y 10 aplicaciones de validación. Las aplicaciones que examinaron eran de entidades gubernamentales y proveedores de salud regionales en varios países del mundo.
Aplicaciones de billetera de pasaporte digital
Los pasaportes de vacunación se almacenan comúnmente en el dispositivo móvil de una persona dentro de una billetera digital. Esto proporciona la comodidad de poder abrir y mostrar rápida y fácilmente los registros de vacunación cuando se soliciten. Si se hace correctamente, la persona puede estar segura de que los datos son precisos y seguros. De lo contrario, un atacante podría leer el registro de vacunación, ya sea a través de un ataque de red o una aplicación maliciosa en el dispositivo móvil del usuario.
El análisis se centró en aplicaciones móviles disponibles públicamente que se utilizan para almacenar registros de vacunación. Apple y Google también brindan almacenamiento y recuperación de pasaportes de vacunación: Apple, a través de la aplicación Health; y Google, a través de Google Wallet, aunque los hallazgos de Symantec para estas soluciones no generaron ninguna alerta de seguridad.
La entrada Riesgos de las ‘apps’ del pasaporte COVID: lo que necesita saber se publicó primero en Redseguridad.
