Red Seguridad 097

128 red seguridad segundo trimestre 2022 opinión los registros de vacunación cuando se so- liciten. Si se hace correctamente, la per- sona puede estar segura de que los datos son precisos y seguros. De lo contrario, un atacante podría leer el registro de va- cunación, ya sea a través de un ataque de red o una aplicación maliciosa en el dispositivo móvil del usuario. El análisis se centró en aplicaciones móviles disponibles públicamente que se utilizan para almacenar registros de vacunación. Apple y Google también brindan almacenamiento y recuperación de pasaportes de vacunación: Apple, a través de la aplicación Health; y Google, a través de Google Wallet, aunque los hallazgos de Symantec para estas solu- ciones no generaron ninguna alerta de seguridad. Escenarios de amenazas Las billeteras que almacenan datos en la nube pueden exponer los registros de vacunación del usuario al incluir cre- denciales de nube codificadas dentro de la aplicación. Durante nuestro análi- sis, también encontramos billeteras que contenían credenciales de la nube codi- ficadas, lo que podría exponer los datos confidenciales de los usuarios. Los registros de vacunas también pue- den estar expuestos si la aplicación de billetera digital transfiere datos desde la nube sin cifrar o de manera insegura. Además, los registros de vacunas pue- den estar expuestos si el usuario, sin sa- berlo, comparte los datos de salud con otras aplicaciones en su dispositivo, o si los registros de vacunas se almacenan de manera insegura en el dispositivo. Conociendo estos escenarios de ame- nazas, analizamos las aplicaciones en busca de comportamientos de riesgo que incluyen: acceso al almacenamien- to externo, deshabilitación de la valida- ción de la autoridad de certificación (CA) SSL, no requerimiento de HTTPS, envío de datos sin cifrar y utilización de cre- denciales de nube codificadas. De las 40 aplicaciones de billetera de pasaporte digital analizadas, 27 mostra- ron al menos uno de estos comporta- mientos de riesgo. Por otro lado, para verificar que un pa- saporte de vacunas es legítimo, existen aplicaciones de validación que decodifi- can los datos en el código QR y marcan si el registro de vacunación ha sido ma- nipulado. El registro contiene una firma que se puede usar para verificar que el registro es del emisor y no ha sido manipulado. Pero ¿cómo sabemos que el código QR es de un proveedor o emisor de salud es- pecífico? También dentro del código QR se encuentra el enlace a la clave pública utilizada para firmar el registro, que lue- go se utiliza para validar la firma. Cualquiera puede crear un código QR y colocar sus propios enlaces de emisor. Por lo tanto, una aplicación de valida- ción debe mostrar y/o incluir en la lista blanca solo los emisores aprobados. De lo contrario, cualquiera podría usar una URL falsa de emisor con nombre médico o estatal con datos de registros de vacu- nación falsos y la aplicación de valida- ción pasaría a la persona. Al transferir la clave pública del emisor o proveedor de salud, se debe acceder de forma segura a la URL y transferirla al dispositivo móvil que ejecuta la apli- cación. Si la aplicación de validación accede de manera insegura a la URL, un atacante puede cambiar la clave públi- ca y “pasar” su registro de vacunación falso. O, aún peor, cambiarlo para fallar selectivamente en otros registros de va- cunación. Sabiendo esto, buscamos los mismos comportamientos de riesgo enumerados anteriormente en siete aplicaciones de validación disponibles en el momento de realizar el informe, y encontramos que todas eran seguras. Conclusión Todo este artículo es un recordatorio para estar siempre atento a las aplica- ciones que afirman proteger su privaci- dad e identidad, incluidas las billeteras de pasaportes digitales. Siempre que sea posible, evite las apli- caciones de terceros que afirman alma- cenar de forma segura sus registros de vacunación y, en su lugar, utilice solucio- nes de billetera digital proporcionadas por las principales plataformas móviles, como la aplicación Apple Health y Goo- gle Wallet. Hay que tener presente siempre que los desarrolladores de aplicaciones solo deben recopilar y acceder a los datos de usuario necesarios para proporcionar el servicio al usuario. Los desarrolladores también deben comprender e imple- mentar las mejores prácticas de seguri- dad que protegen los datos privados de los usuarios en la nube, en tránsito y en el dispositivo. Cualquier otra cosa puede comprometer la privacidad de sus usua- rios, exponer datos médicos personales y potencialmente perjudicar por com- pleto la legitimidad de sus registros de vacunación.