OpiniónSeguridad

Pasaporte de vacunación: ¿se han tomado todas las medidas para preservar la privacidad?

Jean-Michel Tavernier. Regional Sales Director. Ivanti France.

El ‘pasaporte de vacunación’ es un certificado sanitario - impulsado por el comisario europeo responsable en la materia y destinado a permitir la libre circulación de las personas - que será pronto una realidad. Mientras nos planteamos la vuelta a la normalidad,  no debemos caer en un exceso de optimismo que nos haga perder el sentido crítico... ¿Sabemos siquiera cómo garantizar la seguridad de los datos sanitarios personales?

El domingo 28 de marzo, Thierry Breton, comisario europeo responsable de la vacunación, presentó el modelo del certificado sanitario; un documento que deberá estar dotado de un código QR y que permitirá el seguimiento del historial médico de cada ciudadano europeo.

Aunque no será no obligatorio, este pasaporte de vacunación deberá estar disponible en papel y en formato digital en las páginas web de los Ministerios de Sanidad de cada país de la Unión Europea, y deberá solicitarse para viajar, para asistir a un evento importante o para acceder a un espacio público.

¿Sabemos siquiera cómo garantizar la seguridad de los datos sanitarios personales?

El código QR escaneado permitirá comprobar si el titular del certificado ha sido vacunado contra el COVID-19, y facilitará información sobre el origen de la vacuna recibida: si ya ha sido portador del virus, si tiene anticuerpos, etc.

Tras las recientes polémicas, ¿podemos garantizar la protección de nuestra privacidad? ¿Seremos más vulnerables a los ciberataques? ¿Estarán los dispositivos móviles suficientemente equipados para garantizar el acceso a todos los ciudadanos europeos? Soy consciente de que el código QR es una forma fácil de comprobar rápidamente cualquier información médica. Pero los procedimientos sencillos implican también ataques sencillos que están al alcance de todos.

Cada innovación tecnológica lleva implícita, casi inevitablemente, su correspondiente desventaja. Lo que significa que la democratización o la proliferación de los códigos QR en el futuro irá inevitablemente asociada a intentos de robo de datos. Desde el comercio minorista hasta la sanidad, todos los sectores han aprovechado las ventajas del código QR, olvidando a veces los peligros a los que se exponen. Los gobiernos y las empresas lo ven como una forma rápida y sencilla de vincular a las personas con sitios web, campañas promocionales, descuentos en tiendas, registros médicos, pagos móviles y muchos otros usos.

Aunque hackear un código QR real requiere una gran habilidad para sortear los puntos pixelados de la matriz del código, los piratas informáticos han encontrado una forma de corromper a los usuarios.  ¿Cómo? Incorporando malware en los códigos QR (que pueden generarse con herramientas gratuitas de muy fácil acceso en Internet). Los piratas informáticos intentan sacar el máximo partido a este fraude, y con toda seguridad ya están rentabilizando sus habilidades.  Y no nos cabe duda de que, si el pasaporte de vacunación es hackeado, las consecuencias serán desastrosas.

Guillaume Poupard, director general de la Agencia Nacional Francesa de Seguridad de los Sistemas de Información (Anssi), ya advirtió sobre las amenazas cibernéticas el pasado 4 de noviembre en el Senado; y, durante la revisión de los presupuestos para 2021, pidió a la Comisión de Asuntos Exteriores, Defensa y Fuerzas Armadas la máxima vigilancia contra ellas. Debemos de tener en cuenta que los ataques pueden adoptar varias formas y perseguir diferentes objetivos.

Hacking: ¿una fatalidad?

Para un usuario clásico, los códigos QR parecen todos iguales. Atrapados por la urgencia de la vida cotidiana o por la falta de vigilancia, todo el mundo puede ser fácilmente engañado y redirigido a un sitio web falso. También, podemos introducir datos personales o descargar programas maliciosos en nuestro smartphone. La explosión del teletrabajo ha sacado a la luz  los  fallos en los sistemas informáticos de una gran mayoría de empresas, independientemente de su tamaño. Y es que el riesgo de piratería informática también preocupa a las empresas, unido a la tendencia BYOD (Bring Your Own Device), que ha alertado sobre la falta de protección de los dispositivos utilizados para fines personales y profesionales.

Por muy preocupantes que sean estas amenazas, es posible prevenirlas: concienciar sobre los riesgos de los códigos QR es un buen primer paso. Pero las empresas también deben reforzar la seguridad de los dispositivos móviles para protegerse contra el phishing, el ransomware, el robo de identidad, etc. Los usuarios, independientemente de su pericia digital, deben asegurarse de que el código QR es legítimo, especialmente los códigos impresos, que pueden pegarse con un código diferente (y potencialmente malicioso). Por ello, sólo deben escanearse los códigos de entidades de confianza, y los enlaces "bit.ly" deben manejarse con extrema precaución.

El lanzamiento del pasaporte sanitario impulsará, con casi total seguridad, el uso masivo de los códigos QR. Por este motivo, resulta altamente recomendable para las empresas implantar en sus organizaciones una solución de defensa contra amenazas que proteja a todos sus empleados.  Al protegerlos contra los ataques y las descargas de aplicaciones maliciosas, la seguridad de los datos de la empresa se verá reforzada.  ¿Y para los ciudadanos que no tengan los medios para protegerse de los ataques? El futuro tendrá la última palabra.

Computing 806