España comenzó a probar el pasaporte Covid el pasado 7 de junio, una herramienta que permite al personal fronterizo confirmar que un viajero ha sido vacunado contra el coronavirus o que ha dado negativo en un test de antígenos o PCR recientemente. De esta manera los usuarios pueden viajar entre países de la Unión Europea de forma segura y rápida.
Un documento que puede ser en papel o digital, incluyendo en este último formato un código QR con la información mínima esencial y un sello que garantiza su autenticidad. El pasaporte Covid, además, incluye datos sobre resultados de test realizados, detalles de la vacuna que se ha recibido o cualquier información que garantice que se ha pasado la Covid 19.
La llegada de esta iniciativa también ha traído consigo una variedad de preocupaciones relacionadas con la privacidad y seguridad de la información que se detalla, sin embargo, son los ciberdelincuentes uno de los principales interesados en él, pues se trata de un apetitoso caramelo para el cibercrimen.
Covid 19 como cebo
La industria aérea y el turismo han sido durante años un objetivo preciado dentro del cibercrimen. Cualquier iniciativa que aumente la posibilidad de obtener información personal es una oportunidad de oro. Además, desde que se declarara la pandemia, el coronavirus se ha convertido en un atractivo cebo para estafar a víctimas con test falsos; incluso en noviembre del año pasado se destapó que se vendían PCR negativas en la Dark Web para poder viajar.
Aspecto del certificado Covid de la Unión Europea.
Los cibercriminales han visto durante la pandemia una buena oportunidad para realizar ataques a los usuarios, desde señuelos de phishing hasta directamente aplicaciones maliciosas. En esta ocasión, el objetivo de los hackers es el nuevo pasaporte Covid, que da las condiciones adecuadas para acelerar la aparición de nuevos ataques, ya que cuantas más organizaciones almacenen o accedan a información personal, más expuesta estará en casos de pérdida o robo de datos.
"El pasaporte Covid plantea muchas cuestiones de privacidad, seguridad y la posible falsificación, como hasta qué punto están preparadas las partes implicadas para custodiar los datos de forma segura. Es decir, las aerolíneas han sido durante años un objetivo claro de los ciberdelincuentes, y cualquier aumento en la información personal que posee sólo servirá para crecer su interés", comenta Nuria Andrés, estratega de ciberseguridad para España de Proofpoint, firma especializada en ciberseguridad, a OMICRONO.
Óptimo para ataques
Los hackers no necesitan ningún estímulo extra para sacar provecho de circunstancias como la del Covid 19. Por ejemplo, en abril del año pasado se detectaron más de 300 campañas de phishing relacionadas con el coronavirus y muchos atacantes lograron que las víctimas pinchasen en el contenido malicioso, según la compañía.
"Hasta ahora, los ciberdelincuentes han aprovechado el coronavirus para robar a las víctimas dinero y credenciales a cambio de curas, pruebas y alertas fraudulentas. La iniciativa del pasaporte Covid ofrece otra oportunidad para crear nuevos incentivos falsos, y las condiciones son las adecuadas para acelerar este tipo de ataques", indica Nuria Andrés.
El certificado Covid de la Unión Europea con información personal.
Uno de los principales problemas con el pasaporte Covid es que la gran mayoría de ciudadanos no están informados acerca de este documento, como qué aspecto tiene, cómo se emite o qué información comparte. Por ello, "no es de extrañar que el usuario esté más receptivo a comunicaciones falsas por parte de los hackers, haciéndose pasar por aerolíneas y organismos del gobierno, que puedan solicitar información personal muy valiosa o hasta dinero", expone la experta en ciberseguridad. Aquí está el peligro potencial, ya que la gente está desesperada por volver a la normalidad y por viajar.
Sin embargo, "todo ello añade una urgencia, una desesperación que hace que estén más propensos a las campañas en las que se basan los ciberdelincuentes. Bajo presión social, emocional y de tiempo, las personas son menos propensas a comprobar los dominios web y más a abrir un enlace o un archivo adjunto de un remitente desconocido o no verificado", sentencia.
Los ciberdelincuentes suelen adaptar sus señuelos para obtener la máxima eficacia, perfeccionando su mensaje para que las víctimas cometan un error mediante ingeniería social, un ataque basado en engañar al usuario. Todo con el objetivo de obtener datos personales para realizar estafas, fraudes, pedir un dinero a cambio o para venderlos en la Dark Web, como ya ha sucedido en Italia con información de ciudadanos vacunados.
Un reto
Con el pasaporte Covid se vive una situación peligrosa de cara a la seguridad de los datos de los usuarios, ya que "no se sabe mucho sobre la logística, la mecánica y la estética de las propuestas de estos documentos. Esto supone un reto y una oportunidad. Hasta que no se sepa más sobre los organismos emisores y sus procesos es difícil ofrecer consejos sobre ganchos específicos", señala la estratega de ciberseguridad.
Sin embargo, la concienciación es la mejor defensa contra las ciberamenazas. Es decir, el usuario debe tener presente que se puede enfrentar a estos problemas, y que cuanto más sepa sobre los señuelos de las estafas de suplantación de identidad y robo de credenciales, más podrá contribuir para no caer en ellas. "Si hay algo de lo que podemos estar seguros es que los ciberdelincuentes aprovecharán la oportunidad del pasaporte Covid lanzando ataques muy selectivos contra viajeros esperanzados", concluye Nuria Andrés.
Te puede interesar...
- El invento de la NASA que llega a casa para eliminar al coronavirus
- El rastreo de COVID de Google no es privado: un bug en Android permite acceder a datos
- Cómo los relojes inteligentes podrían detectar la Covid días antes de tener síntomas
- Radar COVID: por qué es bueno instalar la app española aunque no esté en tu autonomía