Confrontados a la propagación de pasaportes de vacunación falsos, algunos bajo los nombres de Adolf Hitler o Bob Esponja, los países europeos decidieron revocar las claves criptográficas peor protegidas.
Debido a estas constantes situaciones, tanto Francia como Polonia lanzaron una investigación.
“Tuvimos conocimiento de supuestas manipulaciones fraudulentas en los códigos QR del certificado europeo del covid-19”, dijo un portavoz de la Comisión Europea.
Algunos internautas aseguran desde el miércoles en foros y redes sociales que disponen de claves criptográficas secretas. Se aseguró además que permiten generar códigos QR del pasaporte sanitario europeo.
Este código contiene la identidad de su propietario y la información sobre su estado de vacunación o su inmunidad respecto al coronavirus, al disponer de un test negativo o haberse curado de la enfermedad recientemente, según consignó la página web Nau.
Algunos usuarios se aprovecharon de estas claves criptográficas y crearon pasaportes sanitarios falsos con nombres extravagantes, como Adolf Hitler o Bob Esponja.
No obstante no hubo ninguna fuga de claves cifradas de ciudadanos, por lo que se descarta la posibilidad de que se trate de un fallo técnico.
Según Bruselas, en algunos casos “los certificados fueron generados por personas que disponían de datos de identificación válidos. Esto, para acceder a los sistemas informáticos nacionales”, afirmó la institución.
Según expertos, algunos portales de internet no disponía de las protecciones más básicas y esto permitió que se generaran códigos QR falsos.
“Cada país dispone de una o varias firmas y en cada certificado se encuentra la clave con la que se firmó”, explicó Gaëtan Leurent, investigador en criptografía en el Instituto Nacional de Investigación en Ciencias y Tecnología.
Mickey Mouse, Bob Esponja y Hitler
Para que todo el sistema funcione, los servidores utilizados para firmar los certificados sanitarios deben estar bien protegidos.
“Si un servidor está abierto y cualquiera puede firmar, en realidad se trata de prácticamente lo mismo de si el código hubiera sido robado”, añade Leurent.
Para solucionar este problema, los países miembros de eHealth (red de salud pública europea) acordaron “bloquear los dos certificados falsos para que sean considerados como no válidos por las aplicaciones de verificación”.
También se desactivó el portal de Macedonia del Norte.
Además, la red eHealth trabajará para “mejorar los sistema de validación y revocación para poder reaccionar aún más rápidamente ante este tipo de situaciones”.
Sin embargo, este caso aún no está totalmente cerrado, ya que se sigue desconociendo el origen de algunos pasaportes sanitarios fraudulentos.
Uno de ellos con el nombre de Mickey Mouse fue firmado por las autoridades sanitarias francesas, mientras que otro por las polacas. Esto quizás se debió a la intervención cómplice de profesionales sanitarios de estos países.
Ambos países impulsaron una investigación, indicó la Comisión Europea.
En septiembre, ya se habían difundido en las redes sociales en Francia el código QR del pasaporte de vacunación de Emmanuel Macron y del ex primer ministro Édouard Philippe.