Los pasaportes de vacunación se están adoptando en todo el mundo para realizar viajes internacionales con las debidas garantías de seguridad, pero ¿son realmente fiables?
Existe una serie de consideraciones en cuanto a su seguridad y privacidad que conviene tener en cuenta. De hecho, la fiabilidad de los códigos QR y las diferencias entre países en cuanto a normativa y regulación hacen que esta tecnología se convierta en una oportunidad de oro para los ‘malos’.
Preocupación por la privacidad
Durante la pandemia, los ciberdelincuentes sacaron buen partido del miedo, de la incertidumbre provocada por el virus, del espectacular aumento del comercio electrónico y de las citas para la vacunación. Situaciones que utilizaron a su favor aprovechándose de la vulnerabilidad de los ciudadanos, apremiados por la necesidad de ceder sus datos. Por ejemplo, el FBI reportó un incremento del 300 por ciento en la cibercriminalidad durante la pandemia. Y con toda seguridad surgirán nuevos ataques, dirigidos esta vez a los pasaportes de vacunación.
El considerable volumen de datos que alberga un pasaporte de vacunación (PCR, información de seguimiento y localización, datos personales y de salud, etc.) supone un problema de privacidad en sí mismo. Las personas deberían ser conscientes de este hecho y permitir que solo el personal de seguridad autorizado escanee sus códigos QR. Mientras que en un aeropuerto este personal puede ser más fácil de identificar, en la multitud que se concentra para acceder a un estadio o un concierto serán, sin duda, más difíciles de descifrar.
Las organizaciones sanitarias y las correspondientes aplicaciones de seguimiento y localización se han centrado en detener la propagación de COVID-19, y en ocasiones, la ciberseguridad ha pasado a un segundo plano
Y es que la información personal, incluidos los datos sanitarios, es de vital importancia. Tanto es así que su gestión se rige normalmente por normativas y leyes destinadas a proteger a los ciudadanos del país donde sus datos estén almacenados. Buenos ejemplos son la Ley de Transferencia y Responsabilidad de Seguro Médico en Estados Unidos o el Reglamento General de Protección de Datos en la Comunidad Europea. Sin embargo, su normativa y cumplimiento no están estandarizados internacionalmente, lo que acarrea confusión y una magnífica oportunidad para los ciberdelincuentes.
Las organizaciones sanitarias y las correspondientes aplicaciones de seguimiento y localización se han centrado en detener la propagación de COVID-19, y en ocasiones, la ciberseguridad ha pasado a un segundo plano. El sistema sanitario público de Irlanda cerró recientemente sus principales sistemas tecnológicos tras sufrir un ataque de ransomware; una interrupción que afectó a los hospitales y a los centros de pruebas de coronavirus de todo el país.
Si estas infraestructuras tecnológicas críticas pueden ser hackeadas, ¿qué puede impedir a los ciberdelincuentes poner como objetivo de sus ataques una aplicación del sistema nacional sanitario o el pasaporte de vacunación como siguiente paso?
Abuso de los códigos QR
Los códigos QR forman parte de los pasaportes de vacunación, ya que son una forma rápida y sencilla de contrastar cualquier información sin necesidad de establecer un contacto personal. El problema con los sistemas funcionalmente sencillos es que son vulnerables y pueden ser fácilmente hackeados.
Como he mencionado anteriormente, los ciberdelincuentes han pasado todo el confinamiento ideando nuevas formas de atacar a los consumidores. Por tanto, lo más lógico es que agudicen su creatividad para hacer lo propio con los códigos QR.
Los gobiernos y las empresas ven los códigos QR como una forma fácil y rápida de vincular a las personas con sitios web, campañas promocionales, descuentos en tiendas, registros médicos, pagos móviles y muchos otros usos. Pero estos no indican de antemano lo que llevan. Cuando escaneas uno, no puedes saber lo que vas a obtener. Es igual de fácil iniciar la descarga de malware en un dispositivo que consultar el menú de un restaurante. Además, se pueden clonar fácilmente, por lo que una citación de vacunación podría ser utilizada por dos personas.
Es por ello que los ciberatacantes están creando cada vez más códigos QR; los incorporan a los menús de un restaurante o a los registros de entrada en los locales con el fin de iniciar un ataque. Y si desean acceder a los sistemas de TI de una empresa, pueden conseguirlo simulando la entrada en un evento, haciendo que su código QR malicioso sea fácilmente escaneado.
La creciente amenaza asociada al uso de códigos QR se puso de manifiesto en un estudio reciente realizado por Ivanti. El 51 por ciento de los encuestados expresó su preocupación por su creciente uso, constatando que los escaneaban de todos modos. Y un tercio de la muestra admitió desconocer sus riesgos y no veía la necesidad de proteger sus dispositivos móviles. Riesgos que se ven agravados por el hecho de que el 49 por ciento de los encuestados no disponía de ningún software de seguridad para móviles.
Mantener la seguridad corporativa
Como conclusión, podemos afirmar que los códigos QR se han convertido en una importante amenaza para la seguridad. Siendo esto así, ¿qué medidas se podrían tomar para protegerse? Las empresas, como las salas de conciertos y los estadios, podrían colocar los códigos QR en lugares que sean fáciles de escanear a distancia y difíciles de manipular físicamente, como por ejemplo detrás de un mostrador.
Dado que los dispositivos móviles se utilizan tanto para actividades personales como de negocio, es muy importante que consumidores y empresas den prioridad a la seguridad móvil de sus empleados, independientemente de que el dispositivo sea propiedad de la compañía o del trabajador.
Para conseguirlo, es necesario poner en marcha un modelo de seguridad de «confianza cero» que verifique continuamente cada acción antes de permitir a los usuarios de los dispositivos móviles acceder a la red corporativa.
Los pasaportes de vacunación parecen ser un modelo sensato y conveniente para restablecer la normalidad en las economías europeas, pero los códigos QR presentan claramente un riesgo
El uso profesional de los dispositivos móviles de los empleados se puede proteger utilizando un software de gestión unificada del dispositivo (UEM), junto con la gestión de amenazas (MTD) para detectar y remediar los ataques. UEM gestiona de forma independiente las aplicaciones de trabajo y las personales y confirma que la comunicación entre la aplicación y la red están encriptadas y autorizadas.
Mientras que los pasaportes de vacunación parecen ser un modelo sensato y conveniente para restablecer la normalidad en las economías europeas, los códigos QR presentan claramente un riesgo tanto a nivel privado como corporativo. Los códigos maliciosos, introducidos por los dispositivos móviles de los empleados, pueden comprometer los sistemas digitales y los datos de una organización. Las soluciones MTD y UEM ofrecen la necesaria tranquilidad, garantizando que los dispositivos móviles que se conectan a la infraestructura digital de la empresa están protegidos.