¿Garantiza el pasaporte Covid que eres quien dices ser?
¿Es el pasaporte Covid seguro? ¿Garantiza que somos quienes decimos ser y que no estamos compartiendo el mismo código QR con una segunda persona? Sin medidas de verificación adicionales, el actual pasaporte Covid es susceptible al fraude.
Más allá de los debates morales que provocan medidas como la implantación del pasaporte sanitario, debemos reflexionar acerca de la eficacia tecnológica de los códigos QR y sobre el respaldo técnico que estos requieren desde el punto de vista de la ciberseguridad.
Decía el recientemente fallecido Antonio Escohotado que una sociedad no es rica porque tenga diamantes o petróleo, sino porque tiene educación. El conocimiento pragmático de las tecnologías va mucho más allá del uso de Twitter o de Instagram. Y por eso es vital conocer la realidad de este tipo de medidas para comprender su utilidad.
Hace un par de semanas tuve la oportunidad de comprobar en primera persona cómo funciona el pasaporte Covid en nuestro país vecino, Portugal. Para entrar en los pubs y las discotecas de Oporto tienes que mostrar un código QR. Sacas el móvil, muestras el archivo (que es leído por otro móvil) y, magia, ya estás dentro. ¡Que empiece la fiesta de los vacunados!
En ningún caso se pedía en Oporto una identificación que vinculara ese pasaporte con la persona que lo estaba mostrando. Ni siquiera se comprobaba si dos personas entraban con el mismo pasaporte en el mismo establecimiento.
¿Es posible entonces que este simple gesto, el de enseñar tu código QR, demuestre algo? ¿Se ha diseñado esta medida con los criterios mínimos de seguridad? ¿Es acorde al año 2021 desde el punto de vista técnico?
Delegando en el ciudadano la descarga y el uso de este pasaporte, y teniendo en cuenta la familiaridad con la que hemos adoptado los códigos QR durante los últimos dos años, estamos generando la sensación de que albergamos algo auténtico en nuestro móvil. Pero experiencias como la de Portugal demuestran lo contrario.
"Teniendo en cuenta el estado de la tecnología y los avances producidos durante los últimos veinte años, el actual pasaporte Covid sería aceptable… si viviéramos en el año 2000"
¿Se podría haber implantado el pasaporte Covid de otra manera? La respuesta es un rotundo sí.
Hablamos de que algo es auténtico en la identificación de una persona cuando ese algo confirma que la persona es quien dice ser. Cuando votamos, mostramos nuestro DNI, que se compara con el censo. Luego, la fotografía permite confirmar quiénes somos. Cuando vamos al notario a rubricar cualquier documento, se compara nuestra firma con la de nuestro DNI.
Centrándonos en este aspecto, y sin entrar a valorar cuestiones técnicas, necesitamos algo que permita que enseñar el código QR desde el móvil sea un procedimiento unívoco. Teniendo en cuenta el estado de la tecnología y los avances producidos durante los últimos veinte años, el actual pasaporte Covid sería aceptable… si viviéramos en el año 2000.
Hoy tenemos suficientes medios técnicos para implantar una medida que cumpla con los criterios más básicos de seguridad, incluyendo una autenticación unívoca que proporcione garantías reales de identificación.
El móvil se ha convertido en nuestro inseparable compañero y nos sirve para dotarnos de los avales que den credibilidad al pasaporte Covid. Nuestros dispositivos móviles permiten obtener datos biométricos, que están vinculados a nuestra identidad de manera unívoca: huella dactilar, lectura de iris, etcétera.
Pero antes de imponer un determinado modelo de pasaporte, o incluso de exigir ciertas funcionalidades, conviene saber que hasta para los modelos más simples hay solución.
El certificado Covid se descarga a través de una página web, previa autenticación del individuo, y permite obtener un fichero que puede ser mostrado sin ninguna dificultad.
"Técnicamente no es complicado que el pasaporte Covid incluya nuestra fotografía para que el establecimiento pueda confirmar que somos quienes decimos ser"
Hasta ahí poco que decir. El escenario actual asume que podamos compartir el mismo QR. Así, dos personas pueden acceder hoy a un establecimiento con el mismo código, si no existen medidas de control y/o de identificación adicionales.
Simplemente introduciendo una funcionalidad en esa descarga que impida mostrar el código QR sin la validación mediante huella dactilar ya estaríamos mejorando el escenario actual de manera significativa.
Es más, técnicamente tampoco es complicado que el pasaporte Covid incluya nuestra fotografía para que el establecimiento pueda confirmar que somos quienes decimos ser.
Podemos usar nuestra huella dactilar, podemos usar la lectura de nuestro iris o incluso un tercer factor de autenticación que garantice la identificación unívoca en el pasaporte Covid. Así evitaríamos que recayera en el establecimiento la tarea de control, lo que en la práctica implica que la medida no es eficaz.
No es complicado. No son tecnologías disruptivas recientes. Es la aplicación de herramientas básicas de criptografía y certificación digital a las que nos hemos acostumbrado para relacionarnos con las Administraciones públicas. Son estas herramientas las que posibilitarían crear un escenario que mejore de manera radical el actual.
Podemos mejorar, estamos a tiempo. Pero la pelota está en el tejado de quienes han diseñado este escenario sin tener en cuenta los criterios mínimos de seguridad que permitan garantizar que el pasaporte Covid sea una herramienta acorde, proporcional y representativa desde el punto de vista tecnológico.
*** José Luis Narbona es especialista en ciberseguridad y análisis forense, profesor de Ingeniería Telemática en la Universidad de Alcalá y presidente de la Asociación Nacional de Ciberseguridad (ANCITE).