Expertos HC

Certificados digitales: sus puntos débiles y cómo evitarlos

La llegada de los certificados digitales de vacunación está generando un nuevo mercado en la Dark Web y otros canales. ¿Qué deben hacer las autoridades para subsanar sus puntos débiles?; ¿y nosotros? ¿Hay peligros de este tipo en el mundo del motor…?

Certificado vacunación COVID móvil

Llega el verano, los países empiezan a avanzar sus intenciones para contener la pandemia, y comienza la ‘picaresca digital’. Y es que la venta de falsos certificados de vacunación físicos en la Red ya es una realidad. Así lo hemos podido comprobar, en especial, con los de aquellos países que emiten certificados no estandarizados: EE.UU., Canadá, Australia… En cambio, aunque se han detectado algunos casos en los que el ciberdelincuente asegura haber vulnerado el certificado europeo, por ahora no hemos hallado información fiable al respecto. Al final del día, aprovechan sobre todo la heterogeneidad de los certificados: de la dificultad de tener un único punto de control o verificación de todos ellos de manera fiable. Por eso, en la Unión Europea, al existir un estándar, lo tienen más difícil… Ahora bien, si lograran vulnerar la base de datos de cualquiera de sus países, podrían empezar a generarlos.

Las medidas irrenunciables

En primer lugar, el cifrado debe ser el adecuado. A veces, es un cifrado demasiado débil, que ya ha sido vulnerado o, directamente, que no es el apropiado para esos datos. A continuación, necesitamos unas herramientas de verificación que se puedan usar de manera sencilla por quien tenga que encargarse de las comprobaciones.

Otro aspecto importante pasa por incorporar únicamente los datos imprescindibles para identificar tanto a la persona como al emisor. En este sentido, en el certificado de vacunación europeo vemos muchos datos privados o personales que podría conocer cualquiera con acceso al código QR: apellidos, nacionalidad, fecha de la vacuna, tipo de vacuna… Son demasiados. Las herramientas de verificación son muy simples en este caso, porque con cualquier lector de código QR te puedes ir a los datos y comprobar la identidad de quien los ha emitido. No se usa ningún lector cifrado o cualquier otra herramienta específica. Por lo tanto, aunque facilita la verificación, exponemos parte de nuestra privacidad. Se ha optado más por la facilidad de uso.

A vueltas con los QR…

En mi opinión, las medidas de seguridad para el acceso es algo que tenemos que pedir con cualquier certificado; no solamente quién los puede ver, sino quién puede modificar los datos, qué medidas de protección hay para evitar el “tampering”, que sean interceptados… De lo contrario, sin ir más lejos, podría darle a otra persona el certificado con mi código QR y mi documento en PDF; y, si sólo verificamos los datos por encima, podría pasar por vacunado. Hay que comprobar que la persona que lo lleva es quien dice ser; si no, puede ser extremadamente fácil reutilizarlo.

Entonces, ¿es mala idea usar códigos QR para certificados digitales? El problema estará en el otro extremo: Todo depende de cómo protejamos los datos contenidos. Si exige un certificado por parte de quien quiera conectarse y leerlos, y si además expone un certificado que realmente asegura que la dirección web es auténtica, la comunicación está garantizada.

Certificado Digital vacunación COVID-19

Mantente lejos de la “dark web”

La experiencia demuestra que es igual de vulnerable un certificado físico que uno digital. Lo único que cambia es el método. En la “Dark Web” te ofrecerán documentos de varios países, como los permisos de conducir. Pero nos resulta más fácil reaccionar con una herramienta digital. Es más fácil ponerle parches, que tener que retirar todos los certificados físicos anteriores para garantizar su fiabilidad. Con las medidas de protección adecuadas, me decanto por sistemas digitales de protección… En ocasiones, el verdadero problema son las prisas para tener ese documento en vigor o funcionando… y hay veces que no se tienen en cuenta medidas triviales. Sus responsables se protegen contra ataques cifrados, contra la interceptación del tráfico, la falsificación de DNS… pero se olvidan de los agujeros más básicos.

Pero los ‘cibertraficantes’ de certificados de vacunación no suelen ser los mismos que te venden puntos para el carné. Fundamentalmente, porque el mercado de los documentos físicos está más extendido; mientras que, por ahora, la demanda de certificados COVID es más limitada. En la “Dark Web” existen los llamados “market places”: tiendas para este tipo de productos falsos. A veces también utilizan Telegram por la privacidad, así como otros servicios de mensajería instantánea no estándar.

La “Dark Web” no compensa

El mayor error que cometen quienes entran en estos mercados es fiarse de la propia transacción. En muchas ocasiones son timos: les pagas en bitcoins y se quedan con ellos. Al final, la catadura moral de estos vendedores no da muchas garantías. En este sentido, los “market places” actúan como intermediarios, reteniendo el pago hasta que el vendedor emite el producto y el comprador confirma que lo ha recibido.

Por lo tanto, lo primero de todo, no vayamos nunca a la “Dark Web”; lo segundo, no fiarnos nunca de la otra persona, y lo tercero, mantener siempre el anonimato, porque en el otro lado la gente hará lo que sea por sacarte dinero: desde venderte cosas falsas, hasta chantajearte o extorsionarte. La “Dark Web” no es una versión de Amazon. Ni siquiera te puedes fiar de los “market places”, porque muchas veces se quedan con los pagos intermediarios.

Implicaciones para los certificados ‘automovilísticos’

Si hubiera demanda, estoy convencido de que habría producto para certificados como el de la ITV, permisos de circulación… Cualquiera es susceptible de ser falsificado; otra cosa es que la falsificación sea buena. Pero hay que tener en cuenta que, ahora mismo, son certificados físicos, con lo cual son más difíciles de conseguir.

Imagen de una Comprobación ITV

Cuando un concesionario o un taller trabaja con un certificado digital, no debe salirse nunca de los canales oficiales. Muchos de los ataques más comunes se aprovechan de los intentos de gestionar las excepciones. Imaginemos a un usuario que dice: “Oye, que tengo mucha prisa, yo te paso la documentación, no te preocupes…” Y, por ayudar, caemos en la trampa.

Y, por supuesto, sospechar de cualquier tipo de comunicación que nos intente provocar miedo. Los típicos ataques dephishingutilizan esta psicología, para que entres en modo pánico y corras a resolver el problema. Puedes acabar entregándoles tus credenciales. Tenemos que tener en cuenta que casi todos los ataques por Internet utilizan las mismas técnicas que los timos tradicionales: jugar con la psicología de las personas. Todos queremos ayudar a la gente. El empleado del concesionario o taller también puede pensar: “es que si no resuelvo esto me van a despedir, mi jefe se va a enfadar conmigo…”.

En definitiva, cuando la gente necesita un certificado, los ciberdelincuentes tienen negocio seguro; desde ese momento, alguien acaba ofreciendo el producto.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.