Un certificado Covid válido de Mickey Mouse, Bob Esponja o de Adolf Hitler. Es lo que se ha filtrado estos días, dejando entrever que alguien ha podido obtener algunas claves privadas para crear varios pasaportes falsos. Se trata de varios casos concretos donde las claves ya han sido dadas de baja y ya no funcionan, pero han alertado a la Unión Europea sobre la seguridad del sistema de Certificado Digital Covid.
Según describe el Equipo de Respuesta ante Emergencias Informáticas (CERT) de la UE a BleepingComputer: "somos conscientes de presuntas manipulaciones fraudulentas del código QR del Certificado Covid de la UE y hemos visto los informes". Una confirmación de que se han manipulado estos pasaportes y ante ello, de manera prioritaria, están "siguiendo de cerca los desarrollos de este incidente y estamos en contacto con las autoridades correspondientes para investigarlo y tomar las medidas y acciones oportunas".
Certificados Covid supuestamente válidos por 300 dólares
Estos pasaportes digitales con código QR permiten a los ciudadanos europeos viajar de un lugar a otro y en múltiples países se solicitan para entrar en interiores. Se trata de una herramienta utilizada por millones de ciudadanos y a través de la cual se establecen distintas normas, algunas que pueden llegar a afectar a derechos fundamentales.
Es por esto que el hecho de falsificar un certificado covid puede llegar a ser tan relevante. Más cuando lo que se está viendo no es una falsificación al uso, sino un ataque a la seguridad del sistema, obteniendo un certificado temporalmente válido, al menos hasta que las autoridades lo detecten y den de baja esa clave privada.
El usuario reversebrain publicaba en su cuenta que, al menos en Italia, las claves habrían sido comprometidas de alguna forma. En su perfil de Github publicó los certificados de personajes ficticios como Mickey Mouse o Bob Esponja. También el de Adolf Hitler. Todos ellos fueron reconocidos como válidos por aplicaciones oficiales como Verifica C19. Si bien actualmente estos códigos ya han sido anulados tras anunciarse públicamente.
I think that private keys used to sign EU Digital COVID Certificate, at least in Italy, have been leaked in some ways
— reversebrain (@reversebrain) October 26, 2021
1/3
Si se han creado estos certificados Covid inventados, significa que habría sido posible conseguir un certificado válido desde el punto de vista criptográfico para cualquier persona.
En foros de la DarkWeb se pueden encontrar anuncios de la venta de estos pasaportes digitales que supuestamente todavía no han sido dados de baja por unos 300 dólares. Certificados de países como Francia, Alemania, Italia o Polonia, entre otros.
"Esto es preocupante, ya que puede hacer imposible distinguir entre certificados legítimos y los generados a través de claves filtradas. Este caso nos recuerda lo crítica que es la infraestructura utilizada para generar los certificados COVID-19 en el contexto actual. Es posible anular las claves de los certificados, pero esto tendrá consecuencias sociales y de seguridad más amplias", explica Giampaolo Dedola, experto de seguridad de Kaspersky.
David del Olmo, perito informático experto en fraude online, explica a Xataka que "las claves de esos pasaportes falsos probablemente han sido revocadas y no puedan ser utilizadas de nuevo". Del Olmo aporta además una solución, proponiendo que "además de comprobar dicho pasaporte se compruebe también la identidad de quien lo porta". Sobre estos certificados, probablemente sigan circulando por la DarkWeb aunque ya no tengan ningún tipo de validez.
Más allá de darlos de baja y comentar que están investigando la filtración, por el momento desde la Unión Europea no han realizado ningún tipo de comunicado ni conclusión, quedando por tanto este suceso en un ataque concreto a su sistema de seguridad.
En Xataka | Qué es el Certificado Digital Covid, qué tipos de certificado hay y cómo solicitarlos
Ver todos los comentarios en https://www.xataka.com
VER 118 Comentarios