Falsificación y nula confidencialidad son algunos de los problemas que presenta el recientemente estrenado Pase de Movilidad. En un rápido ejercicio, la Unidad de Reportajes de BioBioChile confirmó que cualquier persona puede acceder a los datos de quienes hayan completado su proceso de vacunación o incluso modificar los datos para su adulteración. Así, las críticas de los expertos no sólo apuntan al ámbito sanitario, donde se cuestiona el mal momento del anuncio, sino también a su implementación tecnológica. "Esto lo hicieron muy a la rápida”, fustiga uno de los especialistas.
Con bombos y platillos el domingo 23 de mayo el presidente, Sebastián Piñera, anunció la implementación definitiva del Pase de Movilidad para todos quienes tengan completado su esquema de vacunación contra la covid-19. La medida no ha estado exenta de críticas.
Solo tres días más tarde, el miércoles 26 del mismo mes, entró finalmente en vigencia el documento que se obtiene ingresando en Mevacuno.gob.cl y autenticándose mediante la Clave Única.
Se trata de una medida que busca darle mayores libertades a quienes decidieron vacunarse, independiente del estado en que se encuentre su comuna en el Plan Paso a Paso del Gobierno. Asimismo, el Ejecutivo busca que mediante esta fórmula indirectamente se fomente la vacunación.
Qué es el QR y cuáles son sus problemas
En simple, el pase no es otra cosa que un código QR que se lee con cualquier smartphone y que redirige al fiscalizador (guardia de algún comercio, policía o funcionario de alguna repartición estatal) a una página web donde se despliega un banner informando si el ciudadano tiene o no completada su vacunación.
Hasta ahí todo en orden, no obstante, las observaciones realizadas por expertos que apuntan a un bajo nivel de seguridad del mecanismo, principalmente en cuanto a la protección de datos de los usuarios y al riesgo inminente de falsificación o mal utilización del documento.
De hecho, a la hora de implementar el Pase de Movilidad el Ministerio de Salud (Minsal) decidió no dotarlo de firma electrónica avanzada, lo que hubiese permitido considerarlo como un instrumento público y así certificar la veracidad del mismo, pudiendo además perseguir penalmente a quienes lo falsifiquen.
Sin ir más lejos, el Artículo 4 de la Ley 19.799 indica expresamente que “los documentos electrónicos que tengan la calidad de instrumento público, deberán suscribirse mediante firma electrónica avanzada”. Algo que, como ya se señaló, no ocurre con el Pase de Movilidad.
Un caso emblemático en esta materia ocurrió el 8 de mayo recién pasado. La Tercera Sala de la Corte de Apelaciones de Valparaíso resolvió el sobreseimiento de una mujer que había sido condenada por falsificar un permiso de desplazamiento como los que se obtienen en la Comisaría Virtual.
En concreto, el tribunal de alzada decidió revocar la resolución de primera instancia al considerar que el permiso de desplazamiento no es un instrumento público, pues -justamente- no posee firma electrónica avanzada.
Confidencialidad
Otro flanco abierto es la posibilidad de que se vulnere la confidencialidad de los pacientes que eventualmente se contagien de covid-19.
El desarrollador de software independiente, Carlos Oliva, escribió un artículo cuestionando la seguridad del Pase de Movilidad, donde detalla varios de los aspectos a mejorar.
En diálogo con BioBioChile el experto asegura que actualmente es posible, por ejemplo, que cualquier persona visualice el Pase de Movilidad de otro ciudadano.
Tras conversar con él, BBCL hizo el ejercicio periodístico y comprobó lo fácil que es lograr su falsificación o ver los datos de otras personas aleatoriamente.
Oliva es categórico a la hora de encontrar alguna explicación: “Yo creo que es un tema de conocimiento no más, a mí me tinca que esto lo hicieron muy a la rápida”.
¿La solución? Una app para smartphones.
“Si se creara y utilizara una aplicación móvil que permite interpretar los datos del código del QR, si es que esos datos están bien diseñados se solucionaría el problema de la falsificación y el de la vulnerabilidad de los datos”, remarca.
Este medio se abstuvo de revelar la forma de acceder a la información de otros usuarios o de su falsificación, para evitar su facilitación. De todos modos, se destaca que para una persona con conocimientos básicos en manejo de internet le sería muy fácil vulnerar su seguridad.
Un mal momento
En el aspecto sanitario el panorama tampoco es favorable. Consultado por BioBioChile, Ignacio Silva, infectólogo y académico de la Escuela de Medicina de la Universidad de Santiago, explica que la decisión de lanzar un pase de estas características no es la mejor.
“En lo epidemiológico hoy día estamos en una situación de alta circulación viral, con una tasa de contagio tremendamente alta, una tasa de positividad elevada, una ocupación de camas críticas que es cercana al 95% de las camas reconvertidas, que es equivalente a más de un 300% de las camas habituales con las que cuenta el sistema asistencial”, critica.
Silva vaticina que “es muy probable que el impacto del Pase de Movilidad sea tremendo en la cantidad de casos diarios y eventualmente en la mortalidad”.
“Si bien es verdad que va a aumentar la vacunación -lo hemos visto, se ha aumentado la tasa de vacunación- la inmunidad generada por la vacuna demora 6 semanas, o sea, el impacto de las personas que hoy se están vacunando lo vamos a ver recién en 6 semanas más y en esas 6 semanas el riesgo al que estamos sometiendo a la población es demasiado alto por el momento epidemiológico en el que estamos”, añade.
Y sentencia: “Parece más lógico adoptar el Plan Paso a Paso para dar un poco más de libertades en situaciones controladas, libertad para ir por ejemplo a una plaza o parque el fin de semana con los niños en situaciones de bajo riesgo de contagio, podemos hacer esas modificaciones pequeñas antes de lanzar este pase de libre movilidad en un momento sanitario súper complejo”.
La respuesta
Requerido el Ministerio de Salud, indicaron que “el código QR, que permite el acceso al Pase de Movilidad, cuenta con todos los resguardos de seguridad que hacen altamente improbable que ocurran las situaciones descritas”.
En esa línea, añadieron que “entre esos resguardos, podemos mencionar algunos, tales como:
1. Se implementa silent authentication o anonymous authentication (asignación de usuarios únicos).
2. Se limita para responder solo desde la URL oficial
3. Se limita por IP la cantidad de consumos con diferentes caracteres
4. Al detectar caracteres extraños devuelve información ilegible”.
Pese a lo mencionado por el Minsal, ninguno de estos aspectos impide la vulneración de su seguridad, tal como comprobó empíricamente este medio.
Desde Salud indicaron también que “se realiza un monitoreo constante del comportamiento de la plataforma mevacuno.gob.cl, tanto desde el Ministerio de Salud como desde el Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior, con el fin de identificar y, eventualmente, responder lo antes posible ante cualquier incidente”.
“Esto, junto a los cuidados que puedan hacer las personas al descargar su código QR personal, por ejemplo, hacerlo únicamente a través de la plataforma mevacuno.gob.cl, aumentan los refuerzos en relación con la seguridad del pase”, concluyeron.
BioBioChile consultó al Ministerio Público para indagar respecto de los problemas que podrían existir a la hora de la persecución de quienes incurran en prácticas indebidas. Hasta el cierre de esta edición no se obtuvo respuesta.
