Radar COVID tuvo una vulnerabilidad: con acceso al tráfico se sabía qué dispositivo comunicaba un contagio

Radar COVID tuvo una vulnerabilidad: con acceso al tráfico se sabía qué dispositivo comunicaba un contagio
14 comentarios Facebook Twitter Flipboard E-mail

El funcionamiento esencial de la aplicación oficial para ayudar a evitar la propagación del coronavirus, Radar COVID, es el siguiente: un usuario resulta positivo, recibe un código por parte de las autoridades sanitarias y lo introduce en el servicio.

A continuación, ese dato sirve a la aplicación para enviar al servidor la información que permite poner en marcha la maquinaria que explica la utilidad de la aplicación. Es decir, los avisos que de forma anónima reciben los posibles contactos estrechos que la persona contagiada ha tenido en los últimos 14 días.

Alguien con acceso al tráfico, quizás lo más complicado de conseguir, podría identificar a un dispositivo que comunica un positivo

Todo ello con la promesa de que estos procesos se realizan de forma anónima. Algo que no habría sido del todo así durante algún tiempo, según publica El País y se puede desprender de la actualización de la aplicación del 9 de octubre.

Un vistazo a…
Cómo solicitar el CERTIFICADO DIGITAL de PERSONA FÍSICA de la FNMT

Un tráfico revelador

Radar COVID

El proceso para informar de un positivo, el que hemos explicado al inicio, es prácticamente idéntico en la mayoría de aplicaciones de rastreo de este tipo. El punto diferencial del caso español frente a otros, explica el rotativo del grupo Prisa, es que el tráfico que se produce cuando se introduce el código que demuestra que el usuario se ha contagiado resulta revelador. Tiene un cierto tamaño y, además, se dirige a una máquina determinada.

Mientras otras aplicaciones de rastreo europeas simulan tráfico falso desde dispositivos móviles aleatorios con el objetivo de que la presencia de tráfico no sea sinónima necesariamente de un positivo real como especifica el protocolo DP3T, Radar COVID no empezó a hacer esto hasta el 9 de octubre. Esto supone que alguien con acceso al tráfico, quizás lo más complicado de conseguir, podría identificar a un dispositivo que comunica un positivo porque desde ellos se habría producido ese envío de información al servidor.

Al no producirse un tráfico ficticio, monitorizándose el tipo de tráfico que provoca la comunicación de un positivo podría identificarse qué dispositivo la ha realizado

Amazon podría haberlo comprobado porque la subida al servidor se hace con un programa de la compañía, asegura El País, así como cualquier otro agente que en redes de internet de diferente tipo hubiese podido estar escuchando ese tráfico en particular. Tráfico que, por otro lado, está cifrado y no identifica a la persona positiva que lo ha comunicado. Con la vulnerabilidad, en el caso de que se hubiese explotado con éxito, se identificaría el dispositivo y no quién está detrás como asegura erróneamente la información periodística publicada este jueves. Recordemos que la aplicación no identifica al propietario del dispositivo que la instala de ninguna manera.

El problema fue revelado el 28 de septiembre y confirmado en las últimas horas como "posible vulnerabilidad" por parte de fuentes de la Secretaría de Estado de Inteligencia Artificial, responsables de Radar COVID, al rotativo.

No se ha hecho público el problema ya solucionado, según han explicado fuentes gubernamentales a 'El País', porque no hay constancia de una violación de dichos datos

También han comunicado a la Agencia Española de Protección de Datos de acuerdo con la información publica, en cumplimiento del Reglamento General de Protección de Datos de la Unión Europea. Al no haber constancia de una violación de la seguridad de los datos personales, explican fuentes gubernamentales al periódico, no procede hacer pública la vulnerabilidad como establece el artículo 33 del reglamento que busca evitar la ocultación de ciberataques obligando a comunicarlos en 72 horas.

Fuentes de la Secretaría de Estado de Inteligencia Artificial, preguntadas por Genbeta, no consideran que se trate de una brecha de seguridad al no haber sido explotada y tener un alcance limitado. Además, subrayan que fue solventada y que el código de la aplicación lleva tiempo a disposición del público para que pueda ser examinado.

Comentarios cerrados
Inicio