Certificado Digital COVID
La brecha de seguridad en la plataforma de vacunación de Suiza demuestra la necesidad de tecnologías solventes para los pasaportes de vacunación
Una investigación revela que cualquiera con un mínimo conocimiento técnico podía introducirse en la plataforma y modificar el estado de vacunación de los ciudadanos
El escándalo desatado en Suiza a raíz de la brecha de seguridad en la plataforma online de vacunación de Suiza ha puesto de manifiesto la necesidad de contar con tecnologías solventes en la creación del Certificado Digital Verde, el llamado “pasaporte verde de vacunación” que permitirá retomar la movilidad en la Unión Europea durante el verano. “Necesitamos una tarjeta de vacunación segura, desarrollada con tecnología solvente y por empresas con experiencia probada, de manera que la privacidad de nuestros ciudadanos quede protegida”, subrayó Andreas Loewinger, CEO de Xplain, empresa suiza socia de la española NeXplain en el desarrollo de soluciones tecnológicas para la pandemia.
Esta semana, una investigación de los expertos de seguridad Sven Fassbender, Martin Tschirsich y André Zilch junto al medio suizo Republik reveló fallos de seguridad “críticos” en la web Meineimpfungen.ch (mesvaccins.ch en su versión francesa). Esta plataforma fue desarrollada por la fundación Meineimpfungen de Suiza, y es utilizada por la Oficina Federal de Salud Pública (BAG) así como por nueve de los 26 cantones suizos. En esta plataforma, los ciudadanos suizos que así lo desean puede acceder a sus datos de vacunación y, enlazado con la app myViavac, utilizarlos como tarjeta de vacunación electrónica. También se habían comenzado a volcar estos datos en la plataforma myCOVIDvac, cuyo propósito era servir de certificado electrónico para aquellos vacunados contra la COVID-19. Ya no: la agencia federal de protección de datos ha ordenado detener el funcionamiento todas estas web, app y plataformas de forma temporal hasta revisar la brecha de seguridad.
“Los datos son tan accesibles como los de un listín telefónico”, dice uno de los expertos en su informe “
La investigación reveló que, aunque en apariencia cada persona sólo puede acceder a sus datos, con un mínimo conocimiento técnico era posible inscribirse en la plataforma Meineimpfungen.ch / Mesvaccins.ch como médico, especialista o farmacéutico y así acceder a los datos sanitarios de 450.000 personas, de ellas 240,000 vacunadas contra la COVID-19. Aún más preocupante: quienes accediesen con una cuenta falsa podían modificar el estatus de vacunación de los usuarios de la plataforma. Un portavoz de la BAG citado por el medio francófono Le Temps ha clarificado que el proyecto de futuro certificado digital COVID-19 de Suiza no se ligará a la fundación Meineimpfungen y que la oficina federal trabaja actualmente en el pliego de exigencias técnicas para la elaboración de dicho certificado y la evaluación de dichas opciones.
La empresa suiza Xplain valora positivamente el paso atrás dado al desactivar las web y se ha puesto a disposición de las autoridades suizas. También participará en los eventuales concursos públicos que se convoquen de cara a la creación del certificado digital de vacunación. Xplain cuenta con más de veinte años de experiencia en el campo de la seguridad tecnológica y, de hecho, su sistema EneX es utilizado para la lectura de pasaportes y comprobación biométrica por parte de la agencia de fronteras suiza, así como de otras agencias suizas e internacionales.
TUS DATOS SOLO TE PERTENECEN A TI ..
La empresa tecnológica española NeXplain ha desarrollado junto a Xplain y la irlandesa Marino la tecnología ImmuvID. Mediante una sencilla interfaz y gracias a su tecnología, ImmuvID permite a empresas e instituciones certificar, en cuestión de segundos, el estado de vacunación o la validez de un test COVID (sea PCR, antígenos o de otro tipo), así como verificar la identidad de la persona que lo presenta mediante control biométrico.
“ImmuvID se basa en el concepto de ‘identidad soberana’, es decir, tus datos te pertenecen a ti y sólo tú decides cuándo o con quién compartirlos”, subraya Pieter Louw, cofundador de ImmuvID. Los datos personales y sanitarios no son almacenados por ImmuvID, sino que quienes deben comprobarlos lo hacen mediante una simple lectura de la información, sin descarga de datos. Esto se hace a través de un pairing encriptado con la institución que ha realizado el test o vacuna y que devuelve la información sobre si el QR leído certifica o no la validez del test o vacunación, sin intercambio de datos personales. De esta manera, no se puede acceder a los datos de las personas vacunadas.
“Para tranquilidad de los ciudadanos cabe recordar que, según los últimos criterios técnicos que ha publicado la Comisión Europea, el llamado Certificado Digital Verde también apuesta por un método similar”, explica Ada García, jefa de Estrategia de NeXplain: “Es decir, no una base de datos en la que están almacenados los datos de los usuarios sino un pairing con la entidad emisora de los certificados de test o vacunas (hospital, laboratorio…) que devuelve una respuesta afirmativa o negativa según la validez del certificado”. Con todo, García recuerda que ImmuvID añade una capa más de seguridad al incluir la comprobación biométrica de la persona que presenta el certificado, evitando el riesgo de falsificaciones.
NeXplain y sus socios de hallan en conversaciones con los Gobiernos de cuatro estados de la Unión Europea para implementar su tecnología que cumple escrupulosamente con la Regulación General de Protección de Datos de la UE, una de las más estrictas del mundo. También con las autoridades nacionales y locales de otros países de fuera de Europa y con diversas empresas que van desde la organización de Ferias y Congresos, a aerolíneas y hoteles. El objetivo es crear corredores y burbujas que permitan retomar la movilidad de forma segura.
ImmuvID forma parte de The Vaccination Credential Initiative, junto a Microsoft, Oracle y otras grandes empresas tecnológicas que, junto a organismos de salud y ONGs, tiene como objetivo crear un método seguro, verificable y que preserve la privacidad para acceder a sus credenciales de vacunación. También es parte del Good Health Pass Collaborative, en el que empresas tecnológicas y del sector turísticos trabajan para idear un patrón común de credenciales digitales de salud que facilite la interoperabilidad de los diversos sistemas en funcionamiento.