EFEMadrid

El "certificado covid digital de la UE" (conocido como "pasaporte covid"), que entra en vigor de forma oficial mañana y acredita que el titular ha recibido las vacunas y puede cruzar las fronteras con más facilidad, incorpora una moderna y robusta tecnología basada en códigos QR que no está exenta de ciberriesgos.

Varios expertos en ciberseguridad y protección de datos han analizado para la Agencia EFE los peligros asociados al "pasaporte", que se centran en la falsificación y venta ilegal o en su utilización como señuelo para lanzar un ataque informático, pero también en que se use de forma ilícita para fines diferentes al de favorecer la movilidad -por ejemplo como requisito para acceder a un empleo-.

Aunque entra mañana en vigor, varios países, entre ellos España, adelantaron su puesta en marcha y millones de ciudadanos europeos ya los muestran en sus dispositivos móviles como salvoconducto que acredita su vacunación, que ha superado la enfermedad o que tiene una prueba diagnóstica negativa reciente, lo que facilita la movilidad y exime al titular de hacerse pruebas adicionales en otro país o de cumplir cuarentenas.

Los certificados están utilizando en la mayoría de los países los llamados "códigos de respuesta rápida" -los conocidos "QR"- que se han popularizado para leer las cartas de bares o restaurantes o acceder a numerosos contenidos.

SALVAGUARDAS PARA EVITAR LA DISCRIMINACIÓN

La Agencia Española de Protección de Datos ha recordado que el certificado se ha adoptado en un contexto de crisis de salud pública y que se circunscribe a ese terreno pero debe garantizar todos los derechos fundamentales, y entre ellos el de la protección de datos.

Fuentes de este organismo han señalado a EFE que la propuesta de ese certificado fue objeto de un dictamen conjunto por parte del Comité Europeo de Protección de Datos (del que forman parte todas las autoridades europeas de protección de datos y el Supervisor Europeo) y que la Comisión Europea asumió algunas de sus recomendaciones e introdujo modificaciones y mejoras.

Se trata de evitar situaciones de discriminación en un momento en el que no se puede garantizar la vacunación de toda la población, han observado las mismas fuentes, que han expresado su preocupación por que se pretenda utilizar el certificado para finalidades distintas a la de facilitar la libre circulación en la UE, como puede ser para entrar en tiendas o restaurantes o para acceder a un empleo.

La Agencia Española de Protección de Datos ha insistido en que el pasaporte debe contar con una base jurídica y ajustarse a los principios de "eficacia, necesidad y proporcionalidad" e incluir salvaguardas para evitar cualquier tipo de discriminación.

UN DOCUMENTO "VERAZ Y CONTRASTABLE"

La multinacional SICPA, responsable de la seguridad digital de numerosas instituciones, gobiernos y policías del mundo, ha destacado que las fuentes de emisión de esos certificados son "múltiples" y la importancia de que sean "legibles y verificables" en cualquier país, y que lo sean además de una forma rápida para evitar "cuellos de botella".

El director de Desarrollo de Negocio de la empresa, Fabián Torres, ha aseverado que el reglamento europeo de Protección de Datos es el más exhaustivo y garantista del mundo, pero ha incidido en que la información asociada al "pasaporte covid" tiene ser "veraz y contrastable" y en que esa rapidez de verificación tiene que casar con potentes medidas de seguridad que impidan su falsificación.

En declaraciones a EFE, Torres ha recordado que durante los últimos meses han proliferado las suplantaciones de identidad o las PCR falsas y está convencido de que también se van a falsificar estos pasaportes o de que códigos "QR" que no sean suficientemente seguros pueden dirigir hacia sitios "maliciosos" desde los que captar datos personales y realizar "ciberataques".

En el mismo sentido, Nuria Andrés, estratega de ciberseguridad de la empresa Proofpoint, ha subrayado la importancia de que los dispositivos móviles cuenten con programas que aseguren el almacenamiento de esos certificados y de contar además con el documento "físico", y ha alertado de que cuantas más organizaciones accedan a esa información "más expuesta está".

"Fuera de los organismos médicos o gubernamentales, es poco probable que se cuente con el nivel de protección adecuado para garantizar la seguridad de estos datos sensibles", ha manifestado a EFE Nuria Andrés, y ha citado el caso de las aerolíneas, que manejan gran cantidad de datos personales y financieros pero apenas bloquean los correos fraudulentos dirigidos a sus clientes.

LA PANDEMIA, UN FILÓN PARA LOS ATAQUES

Los ciberdelincuentes han aprovechado la actualidad ligada a la pandemia para engañar a las víctimas y con la entrada en vigor del "pasaporte" crecerán los ataques, ha augurado, convencida de que van a aumentar las comunicaciones fraudulentas de "supuestos" gobiernos, organismos o aerolíneas solicitando datos personales valiosos.

En la "internet oscura" proliferan ya vacunas y pasaportes falsos o los datos de millones de personas ya inmunizadas y Nuria Andrés ha observado que el pasado año se detectaron 300 campañas de "phishing" (sustituir páginas de internet por otras casi idénticas en las que los usuarios introducen sus datos confidenciales) y los ataques se podrían centrar ahora en las vacunas.

El director técnico de la empresa Check Point Software para España y Portugal, Eusebio Nieva, ha asegurado que la vacuna es ya un señuelo para los delincuentes y ha asegurado que se ha detectado un aumento del 500 por cien del número de "vendedores" de certificados de vacunación falsos entre marzo y mayo ante el crecimiento de la demanda por la proximidad de las vacaciones de verano.

Ha explicado a EFE que también se han multiplicado -un 25 por ciento- los dominios relacionados con los pasaportes y en numerosos países están disponibles en aplicaciones de mensajería instantánea, y ha coincidido en que los códigos "QR" pueden no ser suficientemente seguros y robustos y ser utilizados por los delincuentes para redirigir a direcciones "maliciosas" desde las que se pueden robar las credenciales del titular o acceder a sus aplicaciones, incluidas las bancarias o de comercio.