El Gobierno da finalmente los detalles de la brecha de seguridad de Radar Covid

El Gobierno ha publicado finalmente un comunicado donde da los detalles de la brecha de seguridad en su aplicación de rastreo de contactos Radar Covid, tal como avanzó EL PAÍS el pasado 22 de octubre. Según un tuit de la cuenta del Gobierno, la vulnerabilidad quedó resuelta el 9 de octubre, aunque en realidad la solución definitiva se incorporó en la actualización del día 30 de octubre. El primer parche cubría aún de manera insegura el agujero.

“La vulnerabilidad es causada por el hecho de que las conexiones de Radar Covid con el servidor (la subida de las claves) solo las hacen los casos positivos. Por tanto, cualquier observador en el camino con la capacidad de monitorizar el tráfico entre la aplicación y el servidor puede identificar qué usuarios son positivos”, dice el texto. El modo de evitarlo es crear tráfico vacío hacia el servidor desde usuarios que no son positivos, tráfico cuya forma y modo de tratamiento sea igual que si fuera positivo: de esta manera se consigue que no puedan distinguirse unos de otros.

Publicar los detalles de una vulnerabilidad una vez resuelta es un procedimiento habitual en ciberseguridad. El mensaje fue finalmente publicado el viernes 13 por la noche en la plataforma para programadores GitHub. El encargado de colgar el informe fue el usuario Pantic79 (Milinko Pantic fue un jugador del Atlético de Madrid en los años 90), cuya cuenta fue creada en julio de 2020 y que había publicado otras veces en GitHub en nombre de los desarrolladores de Radar Covid. El texto cita como autores del descubrimiento de la vulnerabilidad a la ingeniera Carmela Troncoso, que ha dirigido el equipo que desarrolló DP-3T, que es el protocolo que usa la app Radar Covid, y a otros dos miembros de su centro, la Escuela Politécnica de Lausana: Linus Gasser y Wouter Lueks. Junto a ellos han participado dos investigadores españoles: Juan Tapiador, de la Universidad Carlos III, y Narseo Vallina-Rodríguez, de Imdea Networks.

La Secretaría de Estado de Inteligencia Artificial anunció el 9 de octubre que la vulnerabilidad había sido resuelta. Pero según una cronología que acompaña la publicación, no fue hasta el día 30 en que quedó definitivamente solventada. El problema era que la solución inicial aún dejaba huecos para que un atacante pudiera inferir usuarios positivos a pesar del tráfico falso añadido. Fuentes de la Secretaría de Estado ven el cambio como una mejora suplementaria, no esencial. “El equipo de DP-3T propone cambiar la distribución aleatoria de envío de tramas fake utilizando una función exponencial en lugar de una uniforme, que se implementa el 30 de octubre”, dicen, lo que permite “mejorar aún más la seguridad”.

El informe describe cómo potenciales atacantes podrían saber desde qué dispositivos se mandaban positivos por covid y también, en un segundo paso, averiguar el usuario. Según un estándar habitual que se calcula automáticamente a partir de la información que dan quienes la han encontrado, la vulnerabilidad es considerada de “gravedad alta”, nivel solo por debajo de “crítica”. Para calcularlo se consideran varias variables: por ejemplo, si la complejidad del ataque es alta, si el autor debe estar en la red del sistema, si debe estar cerca o puede estar en cualquier lugar de Internet o si necesita interacción de la víctima o no.

Desde la Secretaría de Estado no ven tantos motivos para esa gravedad: “Su alcance sea más hipotético que real”, dicen. Se refieren, sobre todo, a la magnitud de los posibles atacantes: “La vulnerabilidad necesita del concurso del operador de telecomunicaciones y del proveedor de servicios en la nube, o de terceros no solo con capacidad de analizar tráfico, sino de correlacionarlo con datos personales que tenga y obtenga de la mano de otras aplicaciones que estén presentes en el mismo terminal móvil”, dicen. Y añaden que los contratos o las autoridades de protección de datos lo impedirían: “Cualquier análisis por parte del operador de telecomunicaciones o del proveedor de servicios en la nube atenta contra los contratos vigentes y por supuesto contra la legislación vigente en materia de protección de datos”.

El peligro de ver el alcance como “hipotético” en una aplicación que trata información sanitaria es la atención en el manejo de los datos. “Si los responsables creen que este tipo de problemas son menores”, dice Gloria González Fuster, profesora investigadora de la Vrije Universiteit de Bruselas, “cabe preguntarse si no estamos en una situación más problemática de lo que podría parecer, ya que el análisis técnico confía en que alguien se estará tomando debidamente en serio los riesgos. Desde un punto de vista legal, lo importante es recordar que estamos hablando de datos relativos a la salud, que se consideran datos sensibles, y toda infracción puede tener consecuencias graves”, añade.

Los atacantes con capacidad de analizar el tráfico desde un móvil en el que se comunique un positivo por covid-19 son ciertamente las operadoras si se usa el móvil, los proveedores de Internet si se hace a través de redes wifi, cualquier proveedor de VPN si se usa, el operador de la red en empresas o cualquier atacante que tenga acceso a la misma red en la que esté el caso positivo.

“El atacante puede también desanonimizar el usuario”, dice el texto. “Para que esta etapa adicional tenga éxito, el adversario necesita correlacionar el tráfico de Radar Covid con otra información identificable de la víctima. Esto puede lograrse asociando la conexión al contrato con el nombre de la victima o el tráfico de Radar Covid con otro generado por el usuario que contenga identificadores en abierto”, añade. Desde el Gobierno no tienen ningún indicio de que esta vulnerabilidad haya sido explotada, “siquiera remotamente”, dicen.

La Agencia Española de Protección de Datos, consultada por este periódico, no ha querido por ahora valorar esta vulnerabilidad. “La Agencia no valora las posibles vulnerabilidades de terceros si no es en la resolución de un procedimiento”, dicen desde la AEPD. La Agencia tiene abierto un procedimiento sobre Radar Covid desde prácticamente el día que se anunció, lo que evita que deban opinar sobre cada uno de los posibles problemas que vayan surgiendo con la aplicación.

Radar Covid fue puesta en marcha a mediados de agosto. A finales de agosto se activó en cinco comunidades autónomas. El primer contacto sobre la vulnerabilidad fue el 16 de septiembre. El primer parche se puso el 9 de octubre y el segundo el día 30. Según las cifras de positivos publicadas este domingo por EL PAÍS esta vulnerabilidad pudo afectar a menos de los 13.000 usuarios que hasta principios de noviembre habían usado la aplicación para comunicar su positivo. El Gobierno aún no ha publicado toda la documentación necesaria sobre el código abierto de Radar Covid ni el contrato con Indra para su desarrollo, que ha negado a este periódico y a otros tras peticiones por Transparencia.

En el comunicado se menciona el riesgo adicional del servidor en la nube, controlado por Amazon. “El proveedor en la nube puede implementar un ataque entre las apps y el servidor, lo que le permitiría inspeccionar el contenido de la comunicación y distinguir el tráfico falso del real”, dice el texto. Pero los investigadores ven ese peligro como “bajo” y no lo mitigan técnicamente debido a las “obligaciones contractuales del proveedor, el Reglamento Europeo de Protección de Datos (que resultaría en multas severas) y el impacto para su imagen pública”.

Puedes seguir a EL PAÍS TECNOLOGÍA RETINA en Facebook, Twitter, Instagram o suscribirte aquí a nuestra Newsletter.