El Gobierno da finalmente los detalles de la brecha de seguridad de Radar Covid

Una usuaria de Radar Covid en la Comunidad de Madrid el pasado mes de octubre.

Una
usuaria
de
Radar
Covid
en
la
Comunidad
de
Madrid
el
pasado
mes
de
octubre.
Ricardo
Rubio
/
Europa
Press

El
Gobierno
ha
publicado
finalmente
un

comunicado

donde
da
los
detalles
de
la
brecha
de
seguridad
en
su
aplicación
de
rastreo
de
contactos
Radar
Covid,
tal
como
avanzó
EL
PAÍS
el

pasado
22
de
octubre.

Según
un
tuit
de
la
cuenta
del
Gobierno,
la
vulnerabilidad
quedó
resuelta
el
9
de
octubre,
aunque
en
realidad
la
solución
definitiva
se
incorporó
en
la
actualización
del
día
30
de
octubre.
El
primer
parche
cubría
aún
de
manera
insegura
el
agujero.

“La
vulnerabilidad
es
causada
por
el
hecho
de
que
las
conexiones
de
Radar
Covid
con
el
servidor
(la
subida
de
las
claves)
solo
las
hacen
los
casos
positivos.
Por
tanto,
cualquier
observador
en
el
camino
con
la
capacidad
de
monitorizar
el
tráfico
entre
la
aplicación
y
el
servidor
puede
identificar
qué
usuarios
son
positivos”,
dice
el
texto.
El
modo
de
evitarlo
es
crear
tráfico
vacío
hacia
el
servidor
desde
usuarios
que
no
son
positivos,
tráfico
cuya
forma
y
modo
de
tratamiento
sea
igual
que
si
fuera
positivo:
de
esta
manera
se
consigue
que
no
puedan
distinguirse
unos
de
otros.

Publicar
los
detalles
de
una
vulnerabilidad
una
vez
resuelta
es
un
procedimiento
habitual
en
ciberseguridad.
El
mensaje
fue
finalmente
publicado
el
viernes
13
por
la
noche
en
la
plataforma
para
programadores
GitHub.
El
encargado
de
colgar
el
informe
fue
el
usuario
Pantic79
(Milinko
Pantic
fue
un
jugador
del
Atlético
de
Madrid
en
los
años
90),
cuya
cuenta
fue
creada
en
julio
de
2020
y
que
había
publicado
otras
veces
en
GitHub
en
nombre
de
los
desarrolladores
de
Radar
Covid.
El
texto
cita
como
autores
del
descubrimiento
de
la
vulnerabilidad
a
la
ingeniera
Carmela
Troncoso,
que
ha
dirigido
el
equipo
que
desarrolló
DP-3T,
que
es
el
protocolo
que
usa
la
app
Radar
Covid,
y
a
otros
dos
miembros
de
su
centro,
la
Escuela
Politécnica
de
Lausana:
Linus
Gasser
y
Wouter
Lueks.
Junto
a
ellos
han
participado
dos
investigadores
españoles:
Juan
Tapiador,
de
la
Universidad
Carlos
III,
y
Narseo
Vallina-Rodríguez,
de
Imdea
Networks.

La
Secretaría
de
Estado
de
Inteligencia
Artificial
anunció
el
9
de
octubre
que
la
vulnerabilidad
había
sido
resuelta.
Pero
según
una
cronología
que
acompaña
la
publicación,
no
fue
hasta
el
día
30
en
que
quedó
definitivamente
solventada.
El
problema
era
que
la
solución
inicial
aún
dejaba
huecos
para
que
un
atacante
pudiera
inferir
usuarios
positivos
a
pesar
del
tráfico
falso
añadido.
Fuentes
de
la
Secretaría
de
Estado
ven
el
cambio
como
una
mejora
suplementaria,
no
esencial.
“El
equipo
de
DP-3T
propone
cambiar
la
distribución
aleatoria
de
envío
de
tramas

fake

utilizando
una
función
exponencial
en
lugar
de
una
uniforme,
que
se
implementa
el
30
de
octubre”,
dicen,
lo
que
permite
“mejorar
aún
más
la
seguridad”.

El
informe
describe
cómo
potenciales
atacantes
podrían
saber
desde
qué
dispositivos
se
mandaban
positivos
por
covid
y
también,
en
un
segundo
paso,
averiguar
el
usuario.
Según
un
estándar
habitual
que
se
calcula
automáticamente
a
partir
de
la
información
que
dan
quienes
la
han
encontrado,
la
vulnerabilidad
es
considerada
de
“gravedad
alta”,
nivel
solo
por
debajo
de
“crítica”.
Para
calcularlo
se
consideran
varias
variables:
por
ejemplo,
si
la
complejidad
del
ataque
es
alta,
si
el
autor
debe
estar
en
la
red
del
sistema,
si
debe
estar
cerca
o
puede
estar
en
cualquier
lugar
de
Internet
o
si
necesita
interacción
de
la
víctima
o
no.

Desde
la
Secretaría
de
Estado
no
ven
tantos
motivos
para
esa
gravedad:
“Su
alcance
sea
más
hipotético
que
real”,
dicen.
Se
refieren,
sobre
todo,
a
la
magnitud
de
los
posibles
atacantes:
“La
vulnerabilidad
necesita
del
concurso
del
operador
de
telecomunicaciones
y
del
proveedor
de
servicios
en
la
nube,
o
de
terceros
no
solo
con
capacidad
de
analizar
tráfico,
sino
de
correlacionarlo
con
datos
personales
que
tenga
y
obtenga
de
la
mano
de
otras
aplicaciones
que
estén
presentes
en
el
mismo
terminal
móvil”,
dicen.
Y
añaden
que
los
contratos
o
las
autoridades
de
protección
de
datos
lo
impedirían:
“Cualquier
análisis
por
parte
del
operador
de
telecomunicaciones
o
del
proveedor
de
servicios
en
la
nube
atenta
contra
los
contratos
vigentes
y
por
supuesto
contra
la
legislación
vigente
en
materia
de
protección
de
datos”.

El
peligro
de
ver
el
alcance
como
“hipotético”
en
una
aplicación
que
trata
información
sanitaria
es
la
atención
en
el
manejo
de
los
datos.
“Si
los
responsables
creen
que
este
tipo
de
problemas
son
menores”,
dice
Gloria
González
Fuster,
profesora
investigadora
de
la
Vrije
Universiteit
de
Bruselas,
“cabe
preguntarse
si
no
estamos
en
una
situación
más
problemática
de
lo
que
podría
parecer,
ya
que
el
análisis
técnico
confía
en
que
alguien
se
estará
tomando
debidamente
en
serio
los
riesgos.
Desde
un
punto
de
vista
legal,
lo
importante
es
recordar
que
estamos
hablando
de
datos
relativos
a
la
salud,
que
se
consideran
datos
sensibles,
y
toda
infracción
puede
tener
consecuencias
graves”,
añade.

Los
atacantes
con
capacidad
de
analizar
el
tráfico
desde
un
móvil
en
el
que
se
comunique
un
positivo
por
covid-19
son
ciertamente
las
operadoras
si
se
usa
el
móvil,
los
proveedores
de
Internet
si
se
hace
a
través
de
redes
wifi,
cualquier
proveedor
de
VPN
si
se
usa,
el
operador
de
la
red
en
empresas
o
cualquier
atacante
que
tenga
acceso
a
la
misma
red
en
la
que
esté
el
caso
positivo.

“El
atacante
puede
también
desanonimizar
el
usuario”,
dice
el
texto.
“Para
que
esta
etapa
adicional
tenga
éxito,
el
adversario
necesita
correlacionar
el
tráfico
de
Radar
Covid
con
otra
información
identificable
de
la
víctima.
Esto
puede
lograrse
asociando
la
conexión
al
contrato
con
el
nombre
de
la
victima
o
el
tráfico
de
Radar
Covid
con
otro
generado
por
el
usuario
que
contenga
identificadores
en
abierto”,
añade.
Desde
el
Gobierno
no
tienen
ningún
indicio
de
que
esta
vulnerabilidad
haya
sido
explotada,
“siquiera
remotamente”,
dicen.

La
Agencia
Española
de
Protección
de
Datos,
consultada
por
este
periódico,
no
ha
querido
por
ahora
valorar
esta
vulnerabilidad.
“La
Agencia
no
valora
las
posibles
vulnerabilidades
de
terceros
si
no
es
en
la
resolución
de
un
procedimiento”,
dicen
desde
la
AEPD.
La
Agencia
tiene
abierto
un
procedimiento
sobre
Radar
Covid
desde
prácticamente
el
día
que
se
anunció,
lo
que
evita
que
deban
opinar
sobre
cada
uno
de
los
posibles
problemas
que
vayan
surgiendo
con
la
aplicación.

Radar
Covid
fue
puesta
en
marcha
a
mediados
de
agosto.
A
finales
de
agosto
se
activó
en
cinco
comunidades
autónomas.
El
primer
contacto
sobre
la
vulnerabilidad
fue
el
16
de
septiembre.
El
primer
parche
se
puso
el
9
de
octubre
y
el
segundo
el
día
30.
Según
las
cifras
de
positivos
publicadas

este
domingo
por
EL
PAÍS

esta
vulnerabilidad
pudo
afectar
a
menos
de
los
13.000
usuarios
que
hasta
principios
de
noviembre
habían
usado
la
aplicación
para
comunicar
su
positivo.
El
Gobierno
aún
no
ha
publicado
toda
la
documentación
necesaria
sobre
el
código
abierto
de
Radar
Covid
ni
el
contrato
con
Indra
para
su
desarrollo,
que
ha
negado
a
este
periódico
y
a
otros
tras
peticiones
por
Transparencia.

En
el
comunicado
se
menciona
el
riesgo
adicional
del
servidor
en
la
nube,
controlado
por
Amazon.
“El
proveedor
en
la
nube
puede
implementar
un
ataque
entre
las
apps
y
el
servidor,
lo
que
le
permitiría
inspeccionar
el
contenido
de
la
comunicación
y
distinguir
el
tráfico
falso
del
real”,
dice
el
texto.
Pero
los
investigadores
ven
ese
peligro
como
“bajo”
y
no
lo
mitigan
técnicamente
debido
a
las
“obligaciones
contractuales
del
proveedor,
el
Reglamento
Europeo
de
Protección
de
Datos
(que
resultaría
en
multas
severas)
y
el
impacto
para
su
imagen
pública”.

Puedes
seguir
a
EL
PAÍS
TECNOLOGÍA
RETINA
en

Facebook
,

Twitter
,

Instagram

o
suscribirte
aquí
a
nuestra

Newsletter
.

Leave a Reply