Hitler, Bob Esponja… la UE frena la epidemia de certificados Covid con nombres falsos

El caso no está del todo cerrado porque el origen de algunos certificados sanitarios fraudulentos sigue siendo un misterio

152

El Mundo

Ante la emisión desde hace unos días de certificados Covid de vacunación falsos, incluidos algunos a nombre de Adolf Hitler o Bob Esponja, los países europeos han rechazado el uso de las claves criptográficas mal protegidas, mientras las autoridades francesas y polacas han puesto en marcha una investigación.

“Somos muy conscientes de la presunta manipulación fraudulenta del código QR del certificado europeo Covid”, dijo a la AFP un portavoz de la Comisión Europea este viernes.

Desde el miércoles, algunos internautas han asegurado en foros y redes sociales que tenían las claves criptográficas secretas utilizadas para generar un código QR válido para el pase sanitario europeo.

Este código contiene la identidad de su titular e información sobre su estado de vacunación o inmunidad. Como prueba, estos usuarios han creado códigos válidos con nombres fantásticos, como Adolf Hitler o Bob Esponja.

Sin embargo, las claves de cifrado privadas no se vieron comprometidas, aseguró a AFP la Comisión Europea, que descarta la pista de fallos técnicos y denuncia en cambio una “actividad ilegal”.

En algunos casos, “los certificados fueron generados por personas con credenciales válidas para acceder a los sistemas informáticos nacionales”, dice la institución.

Pero según los expertos, los portales de Internet, incluido el de Macedonia del Norte (un país fuera de la UE pero integrado desde agosto en el sistema sanitario europeo) también carecían de las protecciones básicas y han generado muchos códigos fraudulentos.

“Cada país tiene una o más firmas, y en cada barrido encontramos la clave por la que se firmó“, explicó a AFP Gaëtan Leurent, investigador en criptografía del Instituto Nacional de Investigación en Ciencia y Tecnología. Digital.

MICKEY MOUSE

Para que el sistema funcione, todos los servidores utilizados para firmar el certificado deben estar debidamente protegidos. “Si un servicio permanece abierto y firma algo, en la práctica es como si la llave hubiera sido robada“, agregó.

Para remediar el error, los estados miembros de la red eHealth -salud pública en toda la Unión Europea- han acordado “bloquear los dos certificados fraudulentos para que sean considerados inválidos por las aplicaciones de verificación”. También se ha desactivado el portal de Macedonia.

En Francia, la aplicación TousAntiCovid Verif se actualizó el jueves por la mañana. La red eHealth también trabajará en “la mejora de los sistemas de invalidación y revocación, para poder reaccionar aún más rápidamente ante tales casos”.

El caso no está del todo cerrado porque el origen de algunos pases sanitarios fraudulentos sigue siendo un misterio. Un certificado de vacunación a nombre de Mickey Mouse parece haber sido firmado por las autoridades francesas, otros por los servicios polacos, quizás gracias a la complicidad entre los profesionales de la salud.

En septiembre se habían difundido en las redes sociales los códigos QR de los certificados de salud reales de Emmanuel Macron y Edouard Philippe, el primero por alguien que había consultado el expediente de vacunación del presidente según su Seguro de Salud, y el segundo por internautas que habían logrado escanearlo a partir de una foto de prensa.