El 1 de septiembre de 2021 el Gobierno Nacional presentó el sistema para generar el certificado de vacunación digital a través del portal MiVacuna del Ministerio de Salud.
Para hacer el análisis, lo primero que hicimos desde nuestro Laboratorio de Seguridad digital y privacidad K+LAB, fue intentar generar los certificados de algunas personas del equipo ya vacunadas. Negativo, el mensaje final que arroja el sistema es que aún no está disponible. Por esto, para nuestra primera revisión usamos el ejemplo presentado en el lanzamiento del sistema donde se mostró el certificado del Ministro de Salud. Puede ver el video completo aquí.
Este caso muestra un aspecto positivo y es que el Estado está incorporando algunas buenas prácticas de seguridad digital. Sin embargo, todavía tiene mucho por mejorar y, sobre todo, nos preocupa sus malas prácticas frente al uso, gestión y puesta en disposición masiva de datos personales.
Nuestra conclusión es que existe poca conciencia para diseñar sistemas respetuosos de los derechos de sus usuarios y usuarias.
El certificado
Es un documento web, que se genera entrando a la página de MiVacuna, contiene los datos de la persona y un código QR con el que otras personas o entidades pueden verificar el documento.
Generación
Podemos ver la generación del certificado en el video referido anteriormente:
Como se puede ver, el certificado muestra además del nombre y el número de identificación de la persona, su fecha de nacimiento, teléfono, correo electrónico y los datos de la vacuna aplicada, incluyendo marca, lugar, fecha, lote y dosis.
La disponibilidad de estos datos para cualquier persona que tenga acceso al QR es un problema grave de privacidad. Por el simple hecho de mostrar este certificado las personas usuarias están entregando su información personal sensible, cuestión que empeora si estos certificados se empiezan a usar como una suerte de pasaportes para entrar a lugares o acceder a servicios. Por ejemplo, si en un restaurante piden este certificado para entrar, quien lo revise, tendrá acceso a los datos personales de su visitante.
El código QR
Codifica una dirección de internet (URL) que lleva a una página con los datos de la persona portadora del certificado.
Inicialmente mostraba los mismos datos que se muestran en la generación, es decir que cualquier persona que leyera el QR podía ver y grabar el nombre, la cédula, la fecha de nacimiento, el correo electrónico y el teléfono de la persona dueña del certificado. Este error de diseño pone en peligro de fraude o acoso a quien enseñara su QR a cualquier otra persona. Se nota que no se hizo análisis de privacidad antes del lanzamiento de la aplicación.
Karisma (y seguramente otras personas y organizaciones) informó al Ministerio TIC (con quienes hemos creado un canal de confianza para el reporte de vulnerabilidades y posibles incidentes) y a la Superintendencia de Industria y Comercio de este problema de diseño que ponía en riesgo la seguridad y la privacidad de las personas usuarias. En pocas horas el sistema fue modificado para reducir los datos que recogía, pasando a desplegar nombre, cédula y los datos de la vacuna.
Así se veía inicialmente la página codificada en el código QR:
Así quedó:
De todos modos, este código se encuentra adjunto al certificado que se generó inicialmente y que también contiene los datos personales sensibles que eliminaron en esta página, que si bien es un paliativo no soluciona el problema del todo.
No pudimos verificar si el cambio en la página codificada en el QR también fue hecho en el documento original, ya que, como lo mencionamos antes, para el momento de escribir este documento, ninguna de las personas vacunadas cercanas pudo generar un certificado.
Análisis preliminar de seguridad
Es destacable que el sistema maneja cierta simpleza en sus flujos que habla positivamente de su diseño en cuanto a seguridad técnica se refiere.
Además el análisis hecho a la dirección (URL) codificada en el código QR muestra que los datos de consulta están encriptados. Teniendo en cuenta que una vulnerabilidad común en los sistemas informáticos de consultas públicas del estado es la de poder acceder a datos personales cambiando algún atributo de las consultas a las páginas, esto es un punto positivo.
Conclusiones
Los certificados de vacunación no son nuevos, lo nuevo es que sean digitales y que se anime o pretenda usarlos como una suerte de pasaportes para trabajar, viajar o entrar en algún lugar.
La guia de la OMS para la documentación digital de certificados sobre Covid-19 es clara en que estos certificados tienen riesgos y pueden generar daño. Le recuerda a los gobiernos que la pandemia no les da carta blanca y que deben honrar sus obligaciones legales en cuanto a protección de datos, el respeto a los derechos humanos y las libertades fundamentales que pueden ser vulneradas con la expansión del propósito de estos certificados sin bases científicas y que de ninguna manera se debe normalizar la vigilancia de los datos de salud de las personas.
Igualmente advierte que tomar medidas sobre la protección de los datos de las personas es unprerrequisito para el despliegue de estos sistemas, cuestión que podemos ver, no se hizo antes del lanzamiento del certificado colombiano y que se ejemplificó con la exposición de datos personales del ministro de salud.
Por el lado técnico, aunque hay cosas rescatables, el documento de la OMS es claro en que estos sistemas deberían funcionar con una Infraestructura de Llaves Públicas (PKI) parecida a la que se usa en los sitios web para verificar su autenticidad (HTTPS y el candadito al lado de la dirección en el navegador). Si bien el certificado colombiano utiliza criptografía para evitar ataques de enumer
*Publicado originalmente por Fundación Karisma bajo el título: Análisis preliminar sobre el certificado digital de vacunación en Colombia.
Licencia Creative Commons Attribution Share Alike 2.5