El Gobierno da finalmente los detalles de la brecha de seguridad de Radar Covid

El Gobierno ha publicado finalmente un comunicado donde da los detalles de la brecha de seguridad en su aplicaci¨®n de rastreo de contactos Radar Covid, tal como avanz¨® EL PA?S el pasado 22 de octubre. Seg¨²n un tuit de la cuenta del Gobierno, la vulnerabilidad qued¨® resuelta el 9 de octubre, aunque en realidad la soluci¨®n definitiva se incorpor¨® en la actualizaci¨®n del d¨ªa 30 de octubre. El primer parche cubr¨ªa a¨²n de manera insegura el agujero.

¡°La vulnerabilidad es causada por el hecho de que las conexiones de Radar Covid con el servidor (la subida de las claves) solo las hacen los casos positivos. Por tanto, cualquier observador en el camino con la capacidad de monitorizar el tr¨¢fico entre la aplicaci¨®n y el servidor puede identificar qu¨¦ usuarios son positivos¡±, dice el texto. El modo de evitarlo es crear tr¨¢fico vac¨ªo hacia el servidor desde usuarios que no son positivos, tr¨¢fico cuya forma y modo de tratamiento sea igual que si fuera positivo: de esta manera se consigue que no puedan distinguirse unos de otros.

Publicar los detalles de una vulnerabilidad una vez resuelta es un procedimiento habitual en ciberseguridad. El mensaje fue finalmente publicado el viernes 13 por la noche en la plataforma para programadores GitHub. El encargado de colgar el informe fue el usuario Pantic79 (Milinko Pantic fue un jugador del Atl¨¦tico de Madrid en los a?os 90), cuya cuenta fue creada en julio de 2020 y que hab¨ªa publicado otras veces en GitHub en nombre de los desarrolladores de Radar Covid. El texto cita como autores del descubrimiento de la vulnerabilidad a la ingeniera Carmela Troncoso, que ha dirigido el equipo que desarroll¨® DP-3T, que es el protocolo que usa la app Radar Covid, y a otros dos miembros de su centro, la Escuela Polit¨¦cnica de Lausana: Linus Gasser y Wouter Lueks. Junto a ellos han participado dos investigadores espa?oles: Juan Tapiador, de la Universidad Carlos III, y Narseo Vallina-Rodr¨ªguez, de Imdea Networks.

La Secretar¨ªa de Estado de Inteligencia Artificial anunci¨® el 9 de octubre que la vulnerabilidad hab¨ªa sido resuelta. Pero seg¨²n una cronolog¨ªa que acompa?a la publicaci¨®n, no fue hasta el d¨ªa 30 en que qued¨® definitivamente solventada. El problema era que la soluci¨®n inicial a¨²n dejaba huecos para que un atacante pudiera inferir usuarios positivos a pesar del tr¨¢fico falso a?adido. Fuentes de la Secretar¨ªa de Estado ven el cambio como una mejora suplementaria, no esencial. ¡°El equipo de DP-3T propone cambiar la distribuci¨®n aleatoria de env¨ªo de tramas fake utilizando una funci¨®n exponencial en lugar de una uniforme, que se implementa el 30 de octubre¡±, dicen, lo que permite ¡°mejorar a¨²n m¨¢s la seguridad¡±.

El informe describe c¨®mo potenciales atacantes podr¨ªan saber desde qu¨¦ dispositivos se mandaban positivos por covid y tambi¨¦n, en un segundo paso, averiguar el usuario. Seg¨²n un est¨¢ndar habitual que se calcula autom¨¢ticamente a partir de la informaci¨®n que dan quienes la han encontrado, la vulnerabilidad es considerada de ¡°gravedad alta¡±, nivel solo por debajo de ¡°cr¨ªtica¡±. Para calcularlo se consideran varias variables: por ejemplo, si la complejidad del ataque es alta, si el autor debe estar en la red del sistema, si debe estar cerca o puede estar en cualquier lugar de Internet o si necesita interacci¨®n de la v¨ªctima o no.

Desde la Secretar¨ªa de Estado no ven tantos motivos para esa gravedad: ¡°Su alcance sea m¨¢s hipot¨¦tico que real¡±, dicen. Se refieren, sobre todo, a la magnitud de los posibles atacantes: ¡°La vulnerabilidad necesita del concurso del operador de telecomunicaciones y del proveedor de servicios en la nube, o de terceros no solo con capacidad de analizar tr¨¢fico, sino de correlacionarlo con datos personales que tenga y obtenga de la mano de otras aplicaciones que est¨¦n presentes en el mismo terminal m¨®vil¡±, dicen. Y a?aden que los contratos o las autoridades de protecci¨®n de datos lo impedir¨ªan: ¡°Cualquier an¨¢lisis por parte del operador de telecomunicaciones o del proveedor de servicios en la nube atenta contra los contratos vigentes y por supuesto contra la legislaci¨®n vigente en materia de protecci¨®n de datos¡±.

El peligro de ver el alcance como ¡°hipot¨¦tico¡± en una aplicaci¨®n que trata informaci¨®n sanitaria es la atenci¨®n en el manejo de los datos. ¡°Si los responsables creen que este tipo de problemas son menores¡±, dice Gloria Gonz¨¢lez Fuster, profesora investigadora de la Vrije Universiteit de Bruselas, ¡°cabe preguntarse si no estamos en una situaci¨®n m¨¢s problem¨¢tica de lo que podr¨ªa parecer, ya que el an¨¢lisis t¨¦cnico conf¨ªa en que alguien se estar¨¢ tomando debidamente en serio los riesgos. Desde un punto de vista legal, lo importante es recordar que estamos hablando de datos relativos a la salud, que se consideran datos sensibles, y toda infracci¨®n puede tener consecuencias graves¡±, a?ade.

Los atacantes con capacidad de analizar el tr¨¢fico desde un m¨®vil en el que se comunique un positivo por covid-19 son ciertamente las operadoras si se usa el m¨®vil, los proveedores de Internet si se hace a trav¨¦s de redes wifi, cualquier proveedor de VPN si se usa, el operador de la red en empresas o cualquier atacante que tenga acceso a la misma red en la que est¨¦ el caso positivo.

¡°El atacante puede tambi¨¦n desanonimizar el usuario¡±, dice el texto. ¡°Para que esta etapa adicional tenga ¨¦xito, el adversario necesita correlacionar el tr¨¢fico de Radar Covid con otra informaci¨®n identificable de la v¨ªctima. Esto puede lograrse asociando la conexi¨®n al contrato con el nombre de la victima o el tr¨¢fico de Radar Covid con otro generado por el usuario que contenga identificadores en abierto¡±, a?ade. Desde el Gobierno no tienen ning¨²n indicio de que esta vulnerabilidad haya sido explotada, ¡°siquiera remotamente¡±, dicen.

La Agencia Espa?ola de Protecci¨®n de Datos, consultada por este peri¨®dico, no ha querido por ahora valorar esta vulnerabilidad. ¡°La Agencia no valora las posibles vulnerabilidades de terceros si no es en la resoluci¨®n de un procedimiento¡±, dicen desde la AEPD. La Agencia tiene abierto un procedimiento sobre Radar Covid desde pr¨¢cticamente el d¨ªa que se anunci¨®, lo que evita que deban opinar sobre cada uno de los posibles problemas que vayan surgiendo con la aplicaci¨®n.

Radar Covid fue puesta en marcha a mediados de agosto. A finales de agosto se activ¨® en cinco comunidades aut¨®nomas. El primer contacto sobre la vulnerabilidad fue el 16 de septiembre. El primer parche se puso el 9 de octubre y el segundo el d¨ªa 30. Seg¨²n las cifras de positivos publicadas este domingo por EL PA?S esta vulnerabilidad pudo afectar a menos de los 13.000 usuarios que hasta principios de noviembre hab¨ªan usado la aplicaci¨®n para comunicar su positivo. El Gobierno a¨²n no ha publicado toda la documentaci¨®n necesaria sobre el c¨®digo abierto de Radar Covid ni el contrato con Indra para su desarrollo, que ha negado a este peri¨®dico y a otros tras peticiones por Transparencia.

En el comunicado se menciona el riesgo adicional del servidor en la nube, controlado por Amazon. ¡°El proveedor en la nube puede implementar un ataque entre las apps y el servidor, lo que le permitir¨ªa inspeccionar el contenido de la comunicaci¨®n y distinguir el tr¨¢fico falso del real¡±, dice el texto. Pero los investigadores ven ese peligro como ¡°bajo¡± y no lo mitigan t¨¦cnicamente debido a las ¡°obligaciones contractuales del proveedor, el Reglamento Europeo de Protecci¨®n de Datos (que resultar¨ªa en multas severas) y el impacto para su imagen p¨²blica¡±.

Puedes seguir a EL PA?S TECNOLOG?A RETINA en Facebook, Twitter, Instagram o suscribirte aqu¨ª a nuestra Newsletter.