ES NOTICIA:
Wake Up, Spain!, en directo
Ataque de Israel a Irán, en directo
Israel lanza un ataque contra Irán
EEUU veta a Palestina en la ONU
Israel prepara la invasión de Rafah
GP de China de F1, en directo
El significado de la nueva señal amarilla en el asfalto
Adiós a los dientes amarillos
Mario Picazo alerta de la llegada de una DANA
El alegato de Joseba Solozabal ante Otxandiano sobre ETA
Carla Vigo abandona el piso tutelado
Pueblo de Burgos
El motivo de salud por el que Laura Madrueño abandonó Supervivientes
El parador que nació del Prestige en Galicia
Tesla España
Bares de gaming en Madrid
La fruta que activa la hormona de la felicidad
Últimas noticias
Fallout
El desconocido pueblo medieval de Castilla-La Mancha
El sendero más increíble de Andalucía
El lado más personal de Arturo Valls
El truco de Martín Berasategui para la sopa de pescado
Alumnos de España
Infanta Sofia
Jaime Cantizano
Aragón
Castilla y León
Bernabéu
Sálvame
Cepillo de aire Aldi
Amenabar
Pueblo Castilla-La Mancha
Galicia
aire acondicionado
Sorteo de la Lotería Nacional del jueves
Cuánto dinero regalar en una boda
Un usuario muestra el código QR de su pasaporte Covid.

Un usuario muestra el código QR de su pasaporte Covid.

LA TRIBUNA

¿Garantiza el pasaporte Covid que eres quien dices ser?

¿Es el pasaporte Covid seguro? ¿Garantiza que somos quienes decimos ser y que no estamos compartiendo el mismo código QR con una segunda persona? Sin medidas de verificación adicionales, el actual pasaporte Covid es susceptible al fraude.

30 noviembre, 2021 06:13

Más allá de los debates morales que provocan medidas como la implantación del pasaporte sanitario, debemos reflexionar acerca de la eficacia tecnológica de los códigos QR y sobre el respaldo técnico que estos requieren desde el punto de vista de la ciberseguridad. 

Decía el recientemente fallecido Antonio Escohotado que una sociedad no es rica porque tenga diamantes o petróleo, sino porque tiene educación. El conocimiento pragmático de las tecnologías va mucho más allá del uso de Twitter o de Instagram. Y por eso es vital conocer la realidad de este tipo de medidas para comprender su utilidad. 

Hace un par de semanas tuve la oportunidad de comprobar en primera persona cómo funciona el pasaporte Covid en nuestro país vecino, Portugal. Para entrar en los pubs y las discotecas de Oporto tienes que mostrar un código QR. Sacas el móvil, muestras el archivo (que es leído por otro móvil) y, magia, ya estás dentro. ¡Que empiece la fiesta de los vacunados!

En ningún caso se pedía en Oporto una identificación que vinculara ese pasaporte con la persona que lo estaba mostrando. Ni siquiera se comprobaba si dos personas entraban con el mismo pasaporte en el mismo establecimiento. 

¿Es posible entonces que este simple gesto, el de enseñar tu código QR, demuestre algo? ¿Se ha diseñado esta medida con los criterios mínimos de seguridad? ¿Es acorde al año 2021 desde el punto de vista técnico?

Delegando en el ciudadano la descarga y el uso de este pasaporte, y teniendo en cuenta la familiaridad con la que hemos adoptado los códigos QR durante los últimos dos años, estamos generando la sensación de que albergamos algo auténtico en nuestro móvil. Pero experiencias como la de Portugal demuestran lo contrario. 

"Teniendo en cuenta el estado de la tecnología y los avances producidos durante los últimos veinte años, el actual pasaporte Covid sería aceptable… si viviéramos en el año 2000"

¿Se podría haber implantado el pasaporte Covid de otra manera? La respuesta es un rotundo sí.

Hablamos de que algo es auténtico en la identificación de una persona cuando ese algo confirma que la persona es quien dice ser. Cuando votamos, mostramos nuestro DNI, que se compara con el censo. Luego, la fotografía permite confirmar quiénes somos. Cuando vamos al notario a rubricar cualquier documento, se compara nuestra firma con la de nuestro DNI

Centrándonos en este aspecto, y sin entrar a valorar cuestiones técnicas, necesitamos algo que permita que enseñar el código QR desde el móvil sea un procedimiento unívoco. Teniendo en cuenta el estado de la tecnología y los avances producidos durante los últimos veinte años, el actual pasaporte Covid sería aceptable… si viviéramos en el año 2000.

Hoy tenemos suficientes medios técnicos para implantar una medida que cumpla con los criterios más básicos de seguridad, incluyendo una autenticación unívoca que proporcione garantías reales de identificación

El móvil se ha convertido en nuestro inseparable compañero y nos sirve para dotarnos de los avales que den credibilidad al pasaporte Covid. Nuestros dispositivos móviles permiten obtener datos biométricos, que están vinculados a nuestra identidad de manera unívoca: huella dactilar, lectura de iris, etcétera.

Pero antes de imponer un determinado modelo de pasaporte, o incluso de exigir ciertas funcionalidades, conviene saber que hasta para los modelos más simples hay solución

El certificado Covid se descarga a través de una página web, previa autenticación del individuo, y permite obtener un fichero que puede ser mostrado sin ninguna dificultad. 

"Técnicamente no es complicado que el pasaporte Covid incluya nuestra fotografía para que el establecimiento pueda confirmar que somos quienes decimos ser"

Hasta ahí poco que decir. El escenario actual asume que podamos compartir el mismo QR. Así, dos personas pueden acceder hoy a un establecimiento con el mismo código, si no existen medidas de control y/o de identificación adicionales.

Simplemente introduciendo una funcionalidad en esa descarga que impida mostrar el código QR sin la validación mediante huella dactilar ya estaríamos mejorando el escenario actual de manera significativa.

Es más, técnicamente tampoco es complicado que el pasaporte Covid incluya nuestra fotografía para que el establecimiento pueda confirmar que somos quienes decimos ser. 

Podemos usar nuestra huella dactilar, podemos usar la lectura de nuestro iris o incluso un tercer factor de autenticación que garantice la identificación unívoca en el pasaporte Covid. Así evitaríamos que recayera en el establecimiento la tarea de control, lo que en la práctica implica que la medida no es eficaz.

No es complicado. No son tecnologías disruptivas recientes. Es la aplicación de herramientas básicas de criptografía y certificación digital a las que nos hemos acostumbrado para relacionarnos con las Administraciones públicas. Son estas herramientas las que posibilitarían crear un escenario que mejore de manera radical el actual.

Podemos mejorar, estamos a tiempo. Pero la pelota está en el tejado de quienes han diseñado este escenario sin tener en cuenta los criterios mínimos de seguridad que permitan garantizar que el pasaporte Covid sea una herramienta acorde, proporcional y representativa desde el punto de vista tecnológico.

*** José Luis Narbona es especialista en ciberseguridad y análisis forense, profesor de Ingeniería Telemática en la Universidad de Alcalá y presidente de la Asociación Nacional de Ciberseguridad (ANCITE).

Portada

Siguiente
Antonio Prieto, en su despacho, el día de la entrevista.

El escritor ya está en Aguadulce

Anterior
Dabiz Muñoz en la cocina de DiverXo.

Dabiz Muñoz escandaliza a los pobristas de salón

Siguiente