kⒶosTICa

Llega el certificado covid digital... y el 3x2 en falsificaciones

Certificado Covid-19
Certificado Covid-19

La puesta en marcha del certificado covid digital en la Unión Europea (UE) ya ha hecho que los delincuentes comiencen a frotarse las manos. La actividad fraudulenta comercializando falsificaciones de estos salvoconductos con los que poder disfrutar de derechos fundamentales se va a disparar. Es un hecho. Ya ha comenzado.

Depender de un pedazo de papel o un código QR para poder ejercer libertades civiles, derechos fundamentales como la movilidad y, quizás como ya sucede en otros países europeos, de servicios sanitarios y actividades culturales, puede crear un mercado al margen. La Dark Web ya anda calentita: Si desde que empezó la pandemia los ciberdelincuentes se han hecho de oro con las estafas de material sanitario o vacunas falsas, ahora es el turno del certificado covid digital. Firmas de seguridad como Check Point advierten de que el número de anuncios falsos relacionados con vacunas se ha triplicado desde enero.

Esta misma compañía ya ha encontrado en la Dark Web certificados falsos que se hacían pasar por documentos oficiales del Centro para el Control de Enfermedades (CDC) de EEUU, vendiéndose a partir de 150 dólares cada uno; por 25 dólares se puede comprar un resultado negativo de prueba covid. Poder hacerse con uno de estos pases falsos es la puerta al disfrute de derechos fundamentales para todas aquellas personas que se postulan como anti-vacunas o que, sin serlo, continúan desconfiando de las vacunas covid por sus efectos secundarios desconocidos a largo plazo, tanto para ellas como para sus hijos e hijas menores.

Así las cosas, la competencia entre los ciberdelincuentes se está incrementando de tal manera que Check Point ha detectado, incluso, ofertas 3x2. Las autoridades no ocultan su preocupación por las consecuencias negativas que pueden traer consigo estas malas prácticas, instando a la ciudadanía a que no compartan en redes sociales imágenes de sus tarjetas o certificados de vacunación, pues podrían ser aprovechadas para futuras estafas.

En otros lugares del mundo, como en EEUU como su Excelsior Pass, el salvoconducto digital se ha basado en tecnología blockchain, con la participación de compañías como IBM en su desarrollo. Este desarrollo, claro está, se restringe a quienes posean un teléfono inteligente, algo que pese a estar muy extendido no cubre al 100% de la población. Además, organismos como Electronic Frontier Foundation (EFF) ya han advertido que este sistema crea un sistema donde los datos para probar la vacunación se conservarán indefinidamente, abriendo la puerta a un futuro en el que el gobierno mantenga identificaciones digitales para toda la ciudadanía y las use para recopilar y almacenar información personal.

A pesar de que en el caso europeo el certificado covid digital entrará en vigor el 1 de julio -con un período de introducción gradual de seis semanas- apenas se han desvelado sus detalles tecnológicos, aunque cuando comenzó a gestarse la idea el pasado mes de marzo la UE ya avanzó que será la Comisión quien ayudará –técnica y financieramente- a los Estados miembros a desarrollar un programa informático que las autoridades puedan utilizar para comprobar los códigos QR. La información sanitaria se almacenará en una base de datos segura en cada uno de los países y la propia Comisión Europea creará un portal que permitirá verificar todas las firmas de certificados en toda la UE. Este portal no gestionará los datos personales, sino que únicamente verificará la firma digital.

Más allá de las falsificaciones, la preocupación por la vulneración de la privacidad está encima de la mesa. En los primeros documentos técnicos publicados la UE indica que "el marco de confianza debe, por diseño y por defecto, garantizar la seguridad y la privacidad de los datos en las implementaciones del certificado de vacunación digital sistemas, garantizando tanto la seguridad como la privacidad".

En esta línea, aboga por utilizar las herramientas disponibles para restringir el acceso a los datos y la prevención del uso malintencionado de los datos, con un diseño que evite la recopilación de identificadores u otros datos similares que puedan tener referencias cruzadas con otros datos y reutilizarse para el seguimiento.