La semana pasada, los medios de comunicación comunicaban que la aplicación Radar COVID había sufrido una vulnerabilidad. Para poder comprender qué es lo que ha ocurrido y cómo ha sido solucionado debemos de ponernos en contexto.

¿Qué es y para qué sirve Radar COVID?

 

Es una aplicación española descargable, que se utiliza para informar a aquellas personas que la tienen instalada si han estado en contacto, en los últimos 14 días, con alguna personas que haya dado positivo en COVID-19. Para que esta app funcione, debe estar activado el bluetooth del dispositivo móvil.

Para poder comunicar un positivo, es necesario introducir en la app un código. Este código, tiene que ser facilitado por el servicio médico al obtener el resultado de la prueba PCR.

¿En qué ha consistido esta vulnerabilidad?

 

Expertos en esta materia aseguraban que tener el bluetooth activado de forma permanente, hace que la aplicación esté más expuesta, y por lo tanto sea más vulnerable. A pesar de que la aplicación ha sido creada bajo un protocolo que “garantiza” la no trazabilidad de los datos de los usuarios, debido a que están en el dispositivo y no en un servidor central.

La vulnerabilidad hallada puede revelar qué usuarios de la aplicación han sido los que han dado positivo por coronavirus. Como hemos dicho antes, la información compartida es anónima y está codificada, por lo que, aquello que ha quedado expuesto ha sido desde qué dispositivos se comunicaron los positivos.

 

 

¿Qué ocurre cuando se confirma un positivo?

 

Cuando se da este hecho, el usuario en cuestión recibe un código del centro médico de su Comunidad Autónoma. Al introducirlo en el programa, éste comparte con su servidor las claves que el móvil ha compartido con otros dispositivos con los que ha tenido un contacto estrecho en los últimos 14 días.

Las comunicaciones de los usuarios solo se dan tras la confirmación de que están contagiados.

En el momento en que un positivo introduce su código para comunicar su resultado, y así avisar a sus contactos estrechos de los último 14 días, existe la posibilidad de que Amazon AWS, que es el Datacenter que da servicio a la aplicación, pueda conocer qué dispositivo ha desencadenado ese flujo de información hacia los servidores de Amazon.

También cabe la posibilidad de que el operador de telefonía e Internet pueda conocer el dispositivo que ha provocado ese tráfico y deducir que su propietario ha comunicado su positivo en COVID-19.

Posibles consecuencias

 

Debido a las medidas de seguridad de la mencionada aplicación, y la protección y codificación de los datos que trata, debemos afirmar que ésta no envía datos personales. Lo que envía códigos aleatorios desligados del usuario. El único dato que se podría conocer es el dispositivo que ha generado ese tráfico de datos.

En principio, el operador de telefonía e Internet es capaz, a través de la IP del dispositivo, de identificar al propietario de la línea que ha comunicado el positivo. Aunque de forma indirecta, Amazon también podría cotejar las identidades de los dispositivos si éstos se utilizan en servicios que provee Amazon.

 

Solución para esta vulnerabilidad

 

La solución que han llevado a cabo para evitar esta vulnerabilidad, ha sido actualizar la App para que introduzca el envío aleatorio de falsos códigos de “positivo”. De esta forma, se trata de “esconder” el tráfico real de los datos, y así enmascarar los datos que se envían al servidor, haciendo más difícil detectar cuáles dispositivos envían códigos de positivos reales y cuáles de falsos positivos.

Inscríbete a nuestra newsletter y recibirás gratis la lista completa de sujetos obligados a nombrar DPO.

Elaborada por Julio César Miguel, DPO Certificado nº CP-X3-0038/2018.

Términos y condiciones

Has sido añadido a nuestra newsletter