La 'app' Radar COVID registra una brecha de seguridad que vulnera la privacidad de los usuarios
La aplicación de rastreo del Gobierno ha tenido una brecha de seguridad desde su lanzamiento, y empresas como Amazon tenían acceso a los usuarios que comunicaban su positivo al alojar los datos de la 'app' en los servidores de Web Services
Madrid
Hace unos días expusimos los riesgos y garantías que presenta la aplicación Radar COVID, una aplicación que está operativa ya en todas las comunidades autónomas, excepto Cataluña, y que sirve para comunicar tu positivo en caso de contagio para que los contactos con los que has tenido relación tomen las medidas oportunas y así, evitar la propagación del coronavirus.
Los usuarios de la aplicación comentaron los inconvenientes a la hora de comunicar el positivo, ya que era un trámite indeseable, pues es necesario introducir en la app un código de diagnóstico que facilitan los médicos al obtener los resultados de la prueba PCR. Pero no siempre ocurre así, debido a la saturación de la atención primaria, muchos códigos no llegan a tiempo y los pacientes no pueden comunicar su contagio de coronavirus y alertar a sus contactos.
Los expertos en ciberseguridad señalaron las garantías de la aplicación, valorando la privacidad y el uso de bluetooth, que no permite que se almacenen datos personales ni su distribución a otras compañías. Sin embargo, advirtieron de los riesgos de ataque que podían sufrir los terminales móviles vía bluetooth y, recientemente, se ha conocido una brecha de seguridad desde el lanzamiento de la aplicación.
Riesgos de Radar COVID
El experto en seguridad informática de Deloitte, Francisco José Calzado, explicó que lo más preocupante de Radar COVID era "el uso ininterrumpido del bluetooth, ya que cuenta con una 'ventana más de ataque', lo cual hace que la superficie de ataque sea mayor". Y aseguraba que tener el bluetooth permanente activado, hace que la aplicación tenga una mayor superficie de exposición y por lo tanto, sea vulnerable a más vectores de ataque.
Asimismo, el Director Técnico de Check Point para España y Portugal, Eusebio Nieva, explicó que la aplicación había sido creada bajo un protocolo "que garantiza que los datos de trazabilidad de los usuarios estén en el dispositivo y no en un servidor central". De esa manera, el dispositivo genera una serie de claves aleatorias y los demás van recogiendo y acumulando esas señales, que "bajo ningún concepto se pueden asociar a ningún usuario, ni pueden sacar los datos del móvil". "Solo recoge la señal de los usuarios con los que has estado en contacto y si notifican el positivo, te llega el aviso", explicaba Nieva, garantizando la seguridad y la privacidad de los usuarios.
Amazon tenía acceso a los servidores
Sin embargo, la Secretaria de Estado de Inteligencia Artificial, encargada de impulsar la app, ha dado a conocer una brecha de seguridad, que se conocía desde el principio, aunque asegura que ya está subsanada. La brecha de seguridad tenía que ver con el tráfico de datos y como solo los positivos eran los que enviaban datos al servidor, quien tuviera acceso a la información de tráfico podría ver quién estaba mandando esos positivos.
Y es que, Amazon tenía acceso a los usuarios que declaraban su positivo a través de la aplicación. Aunque los datos de los usuarios están protegidos, en el momento que uno notificaba su positivo introduciendo las claves de diagnóstico al servidor de Radar COVID, quien tiene acceso a ese servidor, sabe quién está contagiado.
Si bien el tráfico del servidor está cifrado y el contenido de la comunicación es anónimo, hay compañías que tienen acceso a la información del servidor, como es la empresa Amazon. La subida de datos al servidor se hace con un software de la compañía estadounidense, con lo que también puede comprobar qué móviles mandaban positivos. Además, cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la se envían las claves, también podría tener acceso.
La brecha de seguridad no está en Amazon
La brecha de seguridad no está en que Amazon tenga acceso a los datos, sino que parte de los datos de la aplicación están alojados en servidores de Amazon Web Services y por un fallo en la configuración de la aplicación no estaba tan protegido. Al final, solo los positivos enviaban el código y era fácil descifrar cuáles eran positivos y cuáles negativos. Pero no es que Amazon haya aprovechado la brecha para entrar en los datos, sino que esos datos ya se estaban guardados en los servidores de Web Services.
La posibilidad de acceso no implica que se haya aprovechado. De hecho, Amazon asegura que no ha mirado los datos del servidor. Amazon no tenía ni tiene acceso a los datos. "Amazon Web Services no accede a los datos que sus clientes alojan en la nube de AWS. Los clientes (en este caso la app) mantienen en todo momento control y propiedad de sus datos", han asegurado desde Amazon Web Services.
Por tanto, no hay pruebas de que la brecha haya sido utilizada, pero existía y, como tal, debía ser reparada. Así, el Gobierno dejó pasar varias semanas desde que tuvo la confirmación de esta fuente de vulnerabilidad. Pero, a principios de octubre la Secretaría de Estado anunció en su cuenta oficial que este problema ya había sido solucionado con la última actualización.
"Ocultar una brecha de seguridad es un grave error"
"Ocultar cualquier brecha de seguridad es un grave error, ya que, entre otras cosas, crea una desconfianza brutal entre los usuarios que utilizan la aplicación, que perciben que la aplicación es insegura", señala el experto en ciberseguridad Calzado, que subraya que "para los expertos en el sector, supone una práctica muy negativa a la hora de llevar a cabo un desarrollo seguro".
Además, critica que no se solucionara antes este vector de ataque, pues según el Reglamento General de Protección de Datos, la notificación debe producirse "tan pronto como el responsable tenga conocimiento de que se ha producido" y en un plazo máximo de 72 horas. Y respecto a las fallas de seguridad, Calzado afirma que "están obligados a reconocerlo y notificarlo desde que son conscientes de esa vulnerabilidad, no cuando pasa el tiempo". Aunque la Secretaría de Estado alega que no se hizo pública la vulnerabilidad porque "no hubo constancia de una violación de la seguridad de los datos personales, tal como recoge el artículo 33 del Reglamento".
Esta negligencia puede conllevar no solo consecuencias legales, sino el descrédito de la población, que, si ya mostraban sus reticencias por la tardanza del código de diagnóstico, si ven su privacidad comprometida, no utilizarán la aplicación de rastreo.
Sandra Fernández Pérez
Graduada en Periodismo por la Universidad Complutense de Madrid y en Ciencia Política y Gestión de la...