El certificado de vacunación COVID digital en papel de la Unión Europea. Crédito:Nataliya Vaitkevich/Pexels, CC BY-SA 4.0
Los pasaportes de vacunación COVID han resultado extremadamente divisivos durante la pandemia de coronavirus, debido a problemas relacionados con las libertades civiles o su potencial para discriminar a los grupos más reacios a las vacunas dentro de la sociedad.
Pero a medida que muchos gobiernos de todo el mundo avanzan con su implementación en un intento por frenar la propagación de COVID-19, la seguridad de nuestros datos se ha convertido en un motivo importante de preocupación.
Muchos pases COVID funcionan mediante la producción de un código QR o un código de barras 2D para cada usuario que se puede escanear como prueba de vacunación. Los códigos de barras utilizados en algunos de estos pasaportes no son tan seguros porque no se generan con datos encriptados. Sin embargo, podrían asegurarse si los gobiernos nacionales, las organizaciones internacionales y las empresas tecnológicas globales trabajan juntas para aprovechar al máximo las emocionantes posibilidades que presenta esta tecnología.
Incrustado en el código de barras hay una credencial verificable que demuestra el estado de vacunación y una serie de datos personales según el formato del código de barras. Es probable que incluyan el nombre completo y la fecha de nacimiento del usuario. Para garantizar la autenticidad y evitar el fraude, el código de barras también contiene una firma digital única que se genera en función de su contenido.
Varios programas de pasaportes de vacunas ya han sido criticados por falta de seguridad, incluidos los de Nueva York y Quebec, que han sido criticados por permitir que las personas obtengan los códigos de barras de otras personas ingresando sus datos. Para mitigar algunas preocupaciones, la UE ha establecido su propio estándar abierto para pasaportes de vacunas:el Certificado COVID Digital de la UE (EUDCC). Ha sido adoptado por los 27 estados de la UE y otros 18 países.
Sin embargo, esto no ha abordado el hecho de que el contenido del certificado no está encriptado, por lo que cualquier persona con acceso al código de barras (y las habilidades necesarias) puede decodificarlo y recuperar la información personal que contiene. Esto se aplica a los pasaportes COVID en la UE, Canadá, Reino Unido, California y Nueva Zelanda. Solo hay ligeras diferencias en cómo se codifican los datos, pero en todos estos casos no están encriptados.
Para cifrar el contenido del certificado COVID, debe haber lo que se conoce como una clave de cifrado asociada al certificado y la identidad digital del propietario. Actualmente, la mayoría de los códigos de barras COVID no cifran su contenido debido a la falta de infraestructura de identidad digital, así como al requisito de operar sin conexión. Esto pone en riesgo la información personal de un usuario.
También hay otro problema con los certificados COVID actuales. Están firmados por el emisor (por ejemplo, el NHS) utilizando una clave o código específico de la región o del país. Si alguien obtuviera la clave, podría crear un certificado falso. Las autoridades tendrían que responder a los pasaportes COVID fraudulentos revocando la clave comprometida, lo que significaría que todos los certificados COVID preexistentes dejarían de ser válidos.
Por qué usar códigos de barras
Hasta hace poco, la gestión de identidad digital para un usuario de computadora consistía en una simple credencial de nombre de usuario y contraseña. Es un sistema que ha funcionado, en general, durante más de 60 años. Pero la explosión actual en el contenido en línea, los desafíos de la seguridad cibernética y las preocupaciones sobre la privacidad están impulsando la necesidad de que un usuario tenga más control de su propia identidad digital.
Nuestra identidad se compone esencialmente de millones de pequeñas verdades sobre nosotros mismos. Las credenciales verificables en un código de barras podrían permitirnos compartir solo una verdad en lugar de nuestra identidad completa, para adaptarse a la situación particular si los datos están encriptados adecuadamente.
Para su crédito, el certificado COVID hace precisamente eso. Es una simple prueba de una verdad individual, que en teoría le permite demostrar que ha sido vacunado sin revelar ningún otro detalle. El hecho de que el certificado no sea del todo seguro indica la ausencia de una infraestructura de identidad digital más robusta.
Riesgos potenciales
La ausencia de esta pieza del rompecabezas de la identidad digital debe rectificarse en algún momento en el futuro. Hasta entonces, los pasaportes COVID actuales podrían estar abiertos al abuso.
La información personal involucrada en el certificado de vacunación no es particularmente sensible a primera vista, porque a menudo se encuentra fácilmente en otros lugares, como una licencia de conducir, registros escolares o pasaporte. Pero en el futuro, cuando esta tecnología esté más extendida, probablemente usaremos certificados similares que contienen credenciales verificables en prácticamente todos los aspectos de nuestras vidas, como acceder a un edificio o servicios, o aprobar compras (tanto en la tienda como en línea). ).
Esto tiene consecuencias positivas y negativas para los usuarios. En el lado positivo, solo necesitaremos proporcionar la cantidad mínima de información personal de una manera muy fácil de usar. Por ejemplo, podremos registrarnos en sitios web sin siquiera ingresar un nombre.
Pero si presentamos códigos de barras no seguros en muchos lugares, cada uno de los cuales contiene pequeñas verdades únicas sobre nosotros mismos, eventualmente estos pueden combinarse potencialmente y la identidad de la persona con la que se relacionan puede verse comprometida.
Así trabajan muchos ciberdelincuentes en la actualidad, combinando datos de distintas fuentes de información, que permiten construir la identidad digital de una persona a lo largo del tiempo. Esto podría conducir a un mayor riesgo de robo de identidad y potencialmente utilizarse como base para una variedad de delitos cibernéticos.
Sin embargo, a pesar de todas estas preocupaciones sobre los pasaportes digitales, debemos recordar que si se puede asegurar a escala internacional, este tipo de tecnología de identidad digital tiene un potencial significativo para los ciudadanos, y no solo para los certificados de vacunación.