Red Seguridad 097

red seguridad segundo trimestre 2022 127 opinión fácilmente disponibles. Usando una de estas herramientas veremos los datos contenidos en uno de los códigos QR, utilizando un código de ejemplo del sis- tema de registro digital de vacunas de California. Es importante señalar que cualquier persona con el código QR puede deco- dificar esta información, ya que no está encriptada. Los mismos datos se pueden utilizar para copiar y generar el mismo código QR. La firma, por otro lado, pue- de usarse para verificar que el pasaporte no ha sido cambiado o manipulado y que proviene del emisor, en este caso el Estado de California. Al proporcionar la firma y compartir la clave pública, cualquier persona puede verificar que el pasaporte de la vacuna no haya sido manipulado y que sea del emisor. En el ámbito internacional, los regis- tros de vacunación con código QR utili- zan el formato de contenedor de certi- ficado de salud electrónico (HCERT). Al igual que la tarjeta de salud SMART, la imagen QR contiene un encabezado, una carga útil y una firma. La carga útil contiene principalmente los mis- mos datos del registro de vacunación: nombre, fecha de nacimiento, registro de vacunación y fechas. La firma tam- bién se utiliza para validar la autentici- dad del registro de vacunación digital. Sin embargo, la diferencia está en el encabezado. Las tarjetas SMART Health contienen un enlace/URL al emisor en el encabezado, que incluye la clave pú- blica utilizada para validar la autentici- dad del registro mediante la firma. Los códigos QR de HCERT solo contienen el nombre del emisor en el encabezado, y depende de la aplicación verificadora encontrar y almacenar la clave pública del emisor. Riesgos de la aplicación ¿Cuáles son los riesgos reales de priva- cidad de datos asociados con los pasa- portes de vacunación? Como mínimo, los datos personales que contienen in- cluyen el nombre de la persona, la fecha de nacimiento y el estado de vacuna- ción. Estos datos pueden considerarse información médica y, si están expues- tos, representan un riesgo si los obtie- nen los estafadores, que pueden usarlos para ataques de phishing dirigidos. Otro riesgo, posiblemente mayor y potencialmente más grave, es la vali- dez y precisión del pasaporte de vacu- nación. De manera similar a los pasa- portes tradicionales, la falsificación o manipulación de los resultados puede, en algunas jurisdicciones, dar lugar a sanciones penales. Por lo tanto, la tec- nología para identificar pasaportes de vacunación debe identificar de forma segura y precisa su validez y garanti- zar que los resultados no hayan sido alterados. De lo contrario, las personas pueden estar expuestas al virus y esto podría tener consecuencias mortales. Symantec analizó 40 aplicaciones de pasaportes de vacunación y 10 aplica- ciones de validación. Las aplicaciones que examinaron eran de entidades gu- bernamentales y proveedores de salud regionales en varios países del mundo. Aplicaciones de billetera Los pasaportes de vacunación se alma- cenan comúnmente en el dispositivo mó- vil de una persona dentro de una billetera digital. Esto proporciona la comodidad de poder abrir y mostrar rápida y fácilmente Siempre que sea posible, evite las ‘apps’ de terceros que afirman almacenar de forma segura sus registros de vacunación