Sergio Álvarez, colaborador de HackerCar, me escribía a finales de la semana pasada para hacerme algunas preguntas sobre la seguridad que podríamos esperar de un sistema tan crítico a nivel de datos personales como es el del nuevo certificado de vacunación europeo.
Estas fueron las preguntas que me pasó, y estas mis respuestas, con las que ha creado un artículo que ya puedes leer por aquí (ES).
Índice de contenido
- ¿Qué puede aprender el certificado europeo de vacunación de las medidas de ciberseguridad en vehículos?
- Y viceversa, ¿qué puede aprender de ese certificado el mundo del motor?
- ¿Realmente es «ciberseguro» el certificado de vacunación? ¿Cuáles son los principales «ciberriesgos» para el portador del certificado?
- ¿Cómo podría una persona llegar a manipularlo? ¿Se observa alguna brecha?
- ¿Qué se puede llegar a saber de nosotros con él… más allá de nuestras vacunas?
¿Qué puede aprender el certificado europeo de vacunación de las medidas de ciberseguridad en vehículos?
Realmente puede y debe aprender sobre las medidas tradicionales de segurización de cualquier plataforma expuesta en la red que gestiona datos de índole personal.
En el caso de la industria automotriz, cada vez más es normal que nuestro coche esté asociado a una serie de sistemas que nos ofrecen prestaciones en remoto, como puede ser un servicio de atención ante accidentes, el localizador del vehículo, o los sistemas de gestión de datos de conducción vía app.
Al final hablamos de sistemas informáticos conectados a Internet que gestionan datos asociados de forma directa o indirectamente a nuestra identidad, y que por ello son potencialmente interesantes de comprometer.
En el caso del pasaporte de vacunación, creo que es obvio la importancia que tienen los datos asociados, al ser estos ya no solo personales, sino además de salud (los datos de mayor valor en el mercado negro).
En el diseño de este tipo de sistemas es importantísimo definir primero cuáles son los datos que realmente necesitamos gestionar, en qué aplicativos se van a utilizar, y cómo podemos almacenarnos y gestionarlos de forma segura.
Sobre esto último hay aún poca información más allá de la que se ha hecho pública (EN/PDF), pero sobre todo, si tuviera que centrar el tiro en algo, haría hincapié en estudiar con sumo cuidado la interoperatividad de los datos fuera del sistema core de vacunación.
Sin ir más lejos, recientemente tanto Volkswagen-Audi como a los pocos días Mercedes-Bentz dieron a conocer sendas fugas de información de sus clientes debidas, como decía, a problemas de seguridad que afectaban a sistemas EXTERNOS a la propia compañía, con acceso a la información interna.
Esa dependencia de terceros, que en un sistema de vacunación que debe ser interoperable, con decenas de sistemas sanitarios a lo largo y ancho de todos los países donde va a funcionar, entraña sin lugar a dudas un gran problema desde la óptica de la segurización informática.
Y viceversa, ¿qué puede aprender de ese certificado el mundo del motor?
Te diría que, a bote pronto, hay tres pilares en los que se ha diseñado el certificado de vacunación europeo, y que se me antojan, al menos sobre el papel, bastante correctos:
- El menor número posible de datos identificativos: Es decir, que la ficha de cada usuario deberá contener la menor información posible para los fines que se buscan (saber si está o no vacunada esa persona, y poder identificarla).
- Un único sistema de identificación: Por eso de no tener que replicar en cada país o zona un sistema propio, y añadir aún mayor complejidad a toda la red.
- Un framework de confianza: Es decir, toda esa cadena de confianza que hay que generar para que, en efecto, podamos confiar en un certificado que cualquiera pueda llevar en móvil indistintamente del país de emisión y del país donde estemos.
Todo esto requiere definir unos protocolos de verificación únicos y globales para cada soporte del certificado (que si código QR, que sin en papel, que si la versión digital…), que permitan a un centro expedirlos, certificarlos o incluso revocarlos. Con los roles y permisos adecuados para cada acción, y que todo esto, de paso, cumpla la normativa europea en cuanto a tratamiento de datos.
Como decía, al menos en papel suena genial, y con sus matices, es algo que se debería replicar en cualquier sistema que pretenda gestionar datos de carácter personal. Sea en la industria del automóvil, o en cualquiera otra.
¿Realmente es «ciberseguro» el certificado de vacunación? ¿Cuáles son los principales «ciberriesgos» para el portador del certificado?
A ver, la seguridad 100% no existe.
Partiendo de este hecho, y de nuevo a falta de ver cómo se comporta «en la vida real», lo cierto es que sí tiene buena pinta.
En todo caso, me sigue preocupando su aplicación en los endpoints, es decir, en cada uno de los sistemas sanitarios a pie de calle, por esa interoperatividad de la que hablaba.
Por ejemplo, hace apenas un día nos enterábamos que el sistema de sanidad de la Comunidad de Madrid que gestiona, entre otras cosas, el registro de vacunación de los ciudadanos, tenía un par de fallos de implementación (ES) que habrían permitido que un tercero pudiera acceder a dichos datos.
El sistema en sí puede que estuviera bien segurizado, pero al menos la comunicación con el portal web dejaba abierta esta posibilidad, mandando al traste la confianza de todo el sistema.
¿Cómo podría una persona llegar a manipularlo? ¿Se observa alguna brecha?
Supongo que los tiros irán, como suele ser habitual, por ver qué casuísticas no controladas se pueden explotar de los diferentes formatos del certificado que expedirán las autoridades.
Si es posible acceder a esa información mediante algún servicio web, ¿cómo está montado este? Si admite peticiones que ataquen directamente a la base de datos o usurpen la identidad de terceros…
Tampoco voy a darte muchas ideas, que no sabemos quién nos va a leer y con qué interés podría hacerlo :D.
¿Qué se puede llegar a saber de nosotros con él… más allá de nuestras vacunas?
A priori el sistema almacenará:
- El nombre legal de la persona.
- El día de nacimiento.
- El Tax ID (en nuestro caso, el DNIe), que será opcional.
- El sexo, también opcional.
- Los datos propios de la vacunación (tipo de vacuna, serie a la que pertenece y datos técnicos/sanitarios, así como el día y lugar de la vacunación, y también como opcional la siguiente fecha de vacunación).
- Los datos propios de certificación (entidad certificadora, identificador, y datos opcionales de validez).
Así que junta todo esto y únelo a cualquier otra base de datos ciudadana. Luego aplícale inteligencia para sacar conclusiones.
Desde por supuesto dónde vive la persona, pasando por una potencial segmentación/marginación de personas según estén o no vacunadas, hasta temas mucho más oscuros, como el que ya conté en más de una ocasión al respecto de lo que pasó en Holanda con aquel censo nacional que incluyó, además de los datos esperables en cualquier censo, las preferencias religiosas de cada ciudadano.
¿La razón? Ser mucho más eficientes con las subvenciones a según qué entidades religiosas. Es decir, algo a todas luces positivo.
¿El problema? Pues que al poco la Alemania nazi ocupó el país… y gracias a ese censo, el 90% de los judíos holandeses murieron en el Holocausto.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es un empresario e inversor español especializado en la Consultoría de Presencia Digital y Reputación Online, fundador de la agencia de reputación CyberBrainers, de la startup EliminamosContenido, y del sello editorial Ediciones PY. Además, es un reconocido escritor con su saga de ciencia ficción "25+1 Relatos Distópicos" y "Historias Conectadas", y la colección de fantasía épica "Memorias de Árganon". Dedica sus "horas libres" a concienciar sobre las oportunidades y riesgos del entorno digital, ya sea en charlas, talleres, sus escritos en blogs y las colaboraciones con medios de comunicación.