Red Seguridad 097

126 red seguridad segundo trimestre 2022 opinión A medida que el mundo se acostumbra a vivir con COVID-19, las personas tie- nen que demostrar cada vez más que están vacunadas, a menudo mediante el uso de los llamados pasaportes de vacunación que contienen su identidad y registro de vacunación. Las empresas, los restaurantes e incluso el bar del ve- cindario confían en este sistema que proporciona información precisa para ser entornos seguros y para mantener la privacidad del usuario. La persona que usa el pasaporte COVID también espera lo mismo. Debido a la falta de orientación o po- lítica global, se ha dejado en manos del país, el estado o incluso los municipios locales decidir qué se considera un pa- saporte de vacunación “oficial”. Sin re- quisitos claros, los proveedores de apli- caciones de pasaportes de vacunas del sector público y privado deben abordar la evaluación de una tecnología y un flu- jo de trabajo que incluya la recopilación de la cantidad mínima de datos médicos e información de identificación personal necesarios para demostrar que los regis- tros de vacunación son legítimos. Symantec, una división de Broadcom Software, analizó cómo funcionan estos pasaportes COVID y los posibles riesgos de seguridad y escenarios de amenazas que presentan. Pasaporte vacunal Un pasaporte vacunal es un formulario en papel o digital que certifica que una persona ha sido vacunada contra una enfermedad, en este caso COVID-19. Si bien se pueden usar pasaportes en pa- pel, con mayor frecuencia se usa el for- mulario digital, que puede, en algunos casos, ser solo una captura de pantalla de los resultados o una imagen tomada de la tarjeta de vacunas (esto puede fun- cionar en algunos casos, aunque carece de autenticidad que los resultados son del proveedor y no han sido alterados). Los pasaportes de vacunación tienen códigos QR que contienen y conectan los datos de salud codificados de un usuario (un registro de vacunación de un proveedor médico) a la aplicación de pasaporte de la persona vacunada. Los emisores de los datos de vacuna- ción codificados incluyen proveedores de atención médica y entidades guber- namentales. Estas entidades siguen uno de los dos estándares relacionados con la estructura de los datos codificados. El primer estándar, seguido principal- mente por emisores en Estados Unidos y Canadá, es el marco de tarjeta de salud SMART de VCI, una amplia coalición de organizaciones líderes en tecnología y atención médica. El segundo estándar, reconocido internacionalmente, es el Certificado COVID Digital de la Unión Eu- ropea, y utiliza el Formato de Contene- dor de Certificado de Salud Electrónico (HCERT). Ambos usan códigos QR y son muy similares en cuanto a la estructura de datos, con una diferencia clave, como veremos a continuación. Las herramientas, o aplicaciones de validación, utilizadas para decodificar los datos de vacunación en los códigos QR de la aplicación de pasaporte están Kevin Watkins Security Researcher de Symantec Riesgos de las ‘apps’ de pasaporte vacunal: lo que necesita saber