Prueba digital de vacunación: enormes debilidades en seguridad

En lugar de la tarjeta de vacunación amarilla, el certificado de vacunación digital en el teléfono inteligente debe servir como prueba de vacunación. Sin embargo, hay algunos defectos evidentes detrás de escena que podrían invalidar todo el concepto y que algunos plantean preguntas más que incómodas.Analizamos más de cerca el registro de vacunación digital y la forma en que se crea y se administra. No esperábamos lo que salió a la luz.   

«El acceso solo para personas vacunadas, examinadas o convalecientes» sigue siendo actualmente la norma en muchos restaurantes y lugares. Cualquiera que ya haya recibido su (s) vacuna (s) solo tiene que ir a la farmacia más cercana, mostrar su cartilla de vacunación y recibir un comprobante de vacunación en forma de código QR. Lo que suena bien en el papel tiene grandes inconvenientes en la práctica.  

El procedimiento de emisión

Los certificados de vacunación digitales son emitidos en particular por consultorios médicos y farmacias. No solo las vacunas que haya realizado usted mismo, sino también las vacunas de otros centros de vacunación, incluso del extranjero, deben y serán certificadas sin restricción, siempre que sea una vacuna aprobada aquí. 

Usando el ejemplo de las farmacias, el proceso funciona de la siguiente manera: Las farmacias reciben datos de acceso de la Asociación de Farmacéuticos Alemanes con los que pueden registrarse en un portal especial de la Asociación de Farmacéuticos. Para crear un certificado de vacunación digital, un farmacéutico debe registrar algunos datos: el nombre de la persona vacunada, la fecha de nacimiento, la fecha de la vacunación, la vacuna y el número de vacunaciones. 

En base a esto, se crea un certificado de vacunación digital ( ejemplo en el sitio web de la ciudad de Nuremberg )  y se firma digitalmente. Además de la firma digital, la información que se encuentra en forma de texto también corresponde a la información en el código QR. La aplicación CovPass o la aplicación de advertencia Corona no hacen prácticamente nada más que mostrar el código QR. 

Portal de vacunación del Instituto Robert Koch. (Fuente: https://digitaler-impfweise-app.de/impfzertifikat-ausstellen/)

Firma en blanco

La aplicación de advertencia de corona del Instituto Robert Koch es el punto débil significativo más notable en el proceso. Una mirada al código fuente (públicamente en Githubvisible) muestra: Simplemente no verificamos la firma digital en absoluto. Esto nos permitió adelantar la pandemia de corona al siglo XIX y crear un certificado de vacunación digital falso para Robert Koch, quien nació en 1843 y falleció hace mucho tiempo. La vacunación también habría tenido lugar durante la vida de Robert Koch en 1890. La aplicación de advertencia Corona acepta este certificado de vacunación sin quejas. Según la aplicación CWA, la vacunación también cuenta como completa, por supuesto. Eso solo requiere un período de espera mínimo de dos semanas después de la última vacunación. Con nuestro certificado de vacunación, el período de espera ha terminado durante unos buenos 130 años.

Evidentemente, este certificado de vacunación debe reconocerse como falso. Sin embargo, con el código del programa a continuación, también se pueden generar certificados de vacunación para las personas que viven en la actualidad. Al igual que el que emitimos para Robert Koch, estos certificados de vacunación no contienen una firma digital real. La aplicación de advertencia de corona actualmente los acepta de todos modos.

Aclaración: Este no es el problema ya conocido de que la visualización del certificado de vacunación puede manipularse cambiando el reloj del sistema en un dispositivo. El fenómeno descrito muestra que la aplicación de advertencia Corona no verifica la firma digital ni el contenido de la evidencia (nombre, fecha de vacunación, vacuna, etc.). Con el ataque descrito aquí, se puede crear cualquier certificado de vacunación con contenido completamente imaginado que no sea objetado por la aplicación de advertencia Corona.

El concepto de prueba digital de vacunación establece que todos los que verifican una prueba (policía, autoridades reguladoras, restaurantes, organizadores de eventos, …) verifican con la  aplicación CovPassCheck si el código QR y la firma son realmente correctos. En este punto, a más tardar, la falsificación quedaría expuesta: la aplicación CovPassCheck no se ve afectada por el punto débil mencionado. En la práctica, sin embargo, este paso a menudo debe omitirse si alguien puede mostrar un certificado aparentemente válido en la aplicación oficial supuestamente confiable del Instituto Robert Koch. 

En este punto, también debe indicarse claramente que esta vulnerabilidad no afecta las otras funciones de la aplicación de advertencia Corona para el seguimiento de contactos y la evaluación de riesgos.

Código de programa para la creación de certificados de vacunación sin firma válida

Debilidades en la exposición

Sin embargo, los problemas del proceso comienzan mucho antes. No hay control de plausibilidad de ningún tipo en la exposición. Esto se ilustra con un caso que tenemos ante nosotros en el que se ingresó una fecha incorrecta para la segunda fecha de vacunación cuando una farmacia creó la prueba digital, es decir, la de la primera vacunación. Inadvertidamente, la misma fecha volvió a aparecer en la máscara de entrada. Sin embargo, en lugar de un mensaje de error, la computadora escupió el certificado de vacunación completo.

A diferencia de los informes anteriores (por ejemplo, en las noticias diarias), el número de lote tampoco se registra (ver captura de pantalla del RKI). Esto muestra una primera curiosidad: en muchos casos, se advirtió a las personas sobre las publicaciones en las redes sociales de sus propios registros de vacunación, incluidos los números de lote utilizados, porque estos podrían ayudar a los falsificadores a crear registros de vacunación que parezcan genuinos. Por el contrario, si estos faltan en el certificado de vacunación digital, la posibilidad de detectar una falsificación es obviamente menor.
El médico de vacunación o el centro de vacunación tampoco figura en la prueba digital. El Instituto Robert Koch siempre se da como el emisor del certificado de vacunación, no como la farmacia o el consultorio médico que realmente emitió el certificado de vacunación.

Reconocer que una prueba se ha emitido como ilegítima es difícilmente posible de forma retrospectiva, ya que los datos relevantes no están incluidos en el certificado de vacunación digital.

Sin embargo, estos datos no se comprueban durante la creación. Al menos no del Instituto Robert Koch. Este aparece oficialmente como expositor en el certificado de vacunación, lo que significa que la población debe esperar que exista algún estándar de calidad asociado. En la práctica, sin embargo, el RKI no recibe ningún dato, solo emite claves criptográficas para firmar los registros de vacunación. Entonces el RKI no puede verificar nada. Esto deja dos organismos que teóricamente podrían comprobar algo: las farmacias o los consultorios médicos que emiten el certificado. O aquellos que técnicamente crean y firman los registros de vacunación digitales. En el caso de las farmacias, este es el portal central de la Asociación de Farmacéuticos Alemanes. Las opciones de prueba estarían limitadas de todos modos porque el número de lote y el centro de vacunación o
Sin embargo, el ejemplo anterior ilustra que no se comprueba nada de forma centralizada. Si una farmacia solicita un comprobante de vacunación para Mickey Mouse, recibirá un comprobante de vacunación.

Con un certificado de vacunación falsificado para una prueba digital «real»

Debe confiar en los consultorios médicos y las farmacias expositoras para realizar una verificación de plausibilidad. Sin embargo, según la información de que disponemos, este no es el caso en la práctica. 

Es casi seguro que un certificado de vacunación falsificado dará lugar a un certificado de vacunación digital debidamente firmado. Forjar un pase de vacunación es trivial. 

Las tarjetas de vacunación en blanco están disponibles legalmente para comprar en Internet. Sello también. Por supuesto, la firma de un médico de otra ciudad, o incluso de otro país, difícilmente puede comprobarse. Así que simplemente puedes inventarlo. 

Usted mismo puede crear fácilmente una etiqueta de lote de aspecto real. Se  puede encontrar una plantilla de Biontech abiertamente en Internet. Un fabricante de etiquetas multiusos para autoimpresión anuncia adecuadamente: «La etiqueta en el formato de 25×10 mm se puede utilizar como una etiqueta de pase de vacunación para la vacuna COMIRNATY® de Biontech». En las vacunas corona no se aplican etiquetas de lote, pero el lote se ingresa a mano . Según la información de que disponemos, este es el caso de la gran mayoría de los registros de vacunación. 
Incluso si durante unas semanas (más o menos) se han anunciado etiquetas a prueba de falsificaciones no resolverá el problema. Por un lado, las vacunas existentes con etiquetas más antiguas no son, por tanto, inválidas. Además, el proceso se frustra mientras no se prescriba su uso y los médicos continúen ingresando con frecuencia el número de lote a mano. 

¿Cómo se obtiene un número de lote adecuado como falsificador? Teóricamente, puede usar las publicaciones de redes sociales que aún existen con números de lote reales. En la práctica, sin embargo, un falsificador puede ahorrarse el esfuerzo. Según la información de que disponemos en los círculos de farmacias, no existe ninguna regulación o incluso una posibilidad concebible de una verificación de plausibilidad del número de lote. Dado que estos no están registrados en el certificado de vacunación digital, no hay necesidad de preocuparse por una prueba futura. 

Por cierto, lo que muchos no saben:
desde el 1 de junio de 2021, la falsificación de documentos de vacunación para la vacuna COVID19 ha sido punible de acuerdo con la Sección 74 (2) y la Sección 75a de la Ley de Protección contra Infecciones. La violación amenaza con hasta dos años de prisión.

Potencial de abuso en farmacias y prácticas médicas

Sin embargo, también es posible un escenario completamente diferente, a saber, que los certificados de vacunación falsos se emitan deliberadamente en farmacias y consultorios médicos, por ejemplo, por razones financieras, proximidad ideológica a los oponentes a la vacunación o cortesía personal.  

A diferencia del certificado de vacunación amarillo tradicional, no se espera una detección posterior basada en un examen posterior de un certificado de vacunación digital. Como se describe, las características que permiten detectar una falsificación tras una inspección más cercana ya no se incluyen en el certificado de vacunación digital. El Instituto Robert Koch aparece siempre como expositor oficial. Debido a que, según nuestra información, tampoco existe un requisito de documentación, el consultorio médico o la farmacia emisora ​​siempre pueden negar el comportamiento culpable. Podrían haberse falsificado certificados de vacunación amarillos para que el certificado de vacunación injustificado no fuera emitido deliberadamente. Dado que, por cierto, al menos en el caso de las farmacias, no se emite un acceso individual para cada empleado, sino un acceso colectivo para toda la farmacia, 

Debido a que las farmacias y los consultorios médicos reciben un reembolso por la preparación de cada certificado de vacunación individual, incluso si se emitió incorrectamente, también es cuestionable hasta qué punto habría una voluntad incondicional para aclarar tales incidentes . 

En este punto, debe decirse claramente: nadie debe poner a las farmacias y los consultorios médicos bajo sospecha generalizada. El problema radica en los procedimientos. Una responsabilidad que no se puede cumplir se transfiere a las farmacias y consultorios médicos durante la verificación del pase de vacunación. También es de temer que los datos de acceso se filtren debido a una autenticación débil, lo que posteriormente puede dar lugar a falsas sospechas. 

Autenticación deficiente

Pero eso no es todo: la seguridad del portal web, que utilizan las farmacias para crear registros de vacunación, también se puede mejorar. Aquí es suficiente una simple combinación de nombre de usuario y contraseña. En realidad, la autenticación multifactor de cada proceso individual debería ser el estándar en esta área, como se ha practicado durante años con los números de transacción (TAN) incluso en la banca en línea para particulares. Desafortunadamente, ese no es el caso aquí. Entonces, si logra acceder a la contraseña de una farmacia, puede emitir un comprobante de vacunación a voluntad. Y el malware que espía los datos de los usuarios de cualquier tipo (por ejemplo, registradores de pulsaciones de teclas o capturadores de formularios) ha sido parte del repertorio estándar de los delincuentes durante años. 

Junto con los problemas descritos anteriormente, es cuestionable si la emisión no autorizada de certificados de vacunación alguna vez llamaría la atención en este escenario. 

Al mismo tiempo, con esta autenticación débil, cualquier farmacia o consultorio médico sospechoso, o un empleado en esto, podría invocar como reclamo de protección que probablemente se haya producido un ataque de malware o que los datos de acceso se hayan perdido de alguna otra manera. 

Revocación imposible

De acuerdo con los escenarios que se acaban de describir, es obvio que debe existir al menos una opción de reacción para poder retirar certificados de vacunación digitales ilegítimos. 

Sin embargo, la última versión de las directivas de la UE sobre registros de vacunación describe el retiro de registros como una «característica adicional» en la que aún es necesario trabajar. 

Técnicamente, con la llamada «infraestructura de clave pública» que se utiliza aquí, tiene sentido recordar las claves utilizadas ilegalmente o comprometidas para firmar certificados de vacunación digitales. Sin embargo, al menos en el caso de las farmacias, esto no es una opción, ya que de acuerdo con los certificados que conocemos, todas las farmacias usan una única clave central (clave ID 5e455666a51e7857). La firma se emite finalmente a través del portal de la Asociación de Farmacéuticos Alemanes con su clave, no por la farmacia emisora ​​(o incluso por el empleado individual). 

Otra forma sería bloquear utilizando el identificador del certificado («Certificado de vacunación único / Identificador de afirmación», UVCI). Este tiene el siguiente formulario en los certificados que tenemos disponibles: 

01DE / EMISOR / CERTIFICATEID # CHECKSUM 

El emisor , es decir , el organismo emisor, de los certificados que conocemos comienza con el tipo de entidad emisora ​​(IZ para centro de vacunación, A para farmacias), seguido de un número de identificación con el que se puede identificar la farmacia o el centro de vacunación específico. Sin embargo, este formato solo se ha utilizado durante unos días, al menos para farmacias. Anteriormente, «DAVPU», es decir, la Asociación de Farmacéuticos Alemanes, se especificó como el emisor de todos los certificados. Si resulta que una farmacia había emitido previamente certificados de vacunación incorrectos en todos los ámbitos, estos certificados no podrían revocarse. A lo sumo, todos los certificados de todas las farmacias podrían retirarse en este momento, con los costos correspondientes. 
Otro escollo de este método: el identificador del certificado no se especifica para Europa, sino para cada país individualmente. En consecuencia, el bloqueo basado en el identificador del certificado requeriría una implementación separada para cada país. Si otro país de la UE no implementa los métodos de revocación alemanes en su aplicación respectiva, un certificado revocado en Alemania podría ser reconocido como válido en otros países. 

Sin embargo, hasta ahora estas han sido consideraciones puramente teóricas. Según el estado actual, los portales para farmacéuticos no contienen ninguna funcionalidad para recuperar los certificados de vacunación emitidos. En el código fuente de la aplicación CovPass , tampoco encontramos ninguna indicación de que existan opciones de bloqueo correspondientes. Y como se describió anteriormente, la aplicación de advertencia de corona de RKI acepta certificados de vacunación firmados de forma inválida, lo que significa que todos los pensamientos sobre un posible bloqueo no tienen sentido. 

En la práctica, esto significa: Incluso si se supiera que se habían emitido certificados de vacunación ilegítimos, mediante la presentación de certificados de vacunación amarillos falsificados, por farmacias y prácticas médicas maliciosas, o perdiendo sus datos de acceso, por ejemplo, a través de malware: los certificados de vacunación digitales no pudieron ser recordado en el momento. 

Conclusión: inmaduro y con graves defectos

Hubo numerosos fallos graves en el desarrollo del certificado de vacunación digital. Estos no están diseñados para fortalecer la confianza de los ciudadanos en las tecnologías puestas a disposición por las agencias gubernamentales. 

Básicamente, surge la impresión de que la introducción del certificado de vacunación digital fue ante todo una instantánea. Parece que ha jugado un papel más importante poder presentar la solución antes del inicio de la temporada navideña que proporcionar una solución sostenible y segura. 

Las firmas digitales de los certificados no se verifican en la aplicación Corona Warning. La autenticación de las farmacias para la creación de certificados de vacunación no cumple con los estándares de seguridad modernos. Nadie comprueba prácticamente la autenticidad del pase de vacunación amarillo. Tampoco es posible una verificación posterior porque los datos relevantes no forman parte del certificado de vacunación digital. El hecho de que esto puede tener consecuencias graves debe quedar claro en vista de los informes de certificados falsos masivos emitidos para eximir el requisito de la máscara. Prácticamente no existe la posibilidad de retirar los certificados de vacunación ilegítimos. 

En este contexto, sería realmente aconsejable resolver los problemas mencionados y retirar y volver a emitir todos los certificados de vacunación existentes. Debido a los costos para el contribuyente y debido a la pérdida de prestigio político, es cuestionable si eso realmente sucederá. 
Sin duda, la cuestión se reevaluaría si se descubrieran casos generalizados de fraude en los que se emitieran certificados de vacunación falsamente y ya no se puedan retirar. La implementación actual del procedimiento hará que sea difícil registrar tales casos. 

Con todo, actualmente se puede afirmar que los registros digitales de vacunación no han hecho del mundo un lugar más seguro, lo han hecho más seguro. 

Enlace:https://www.gdata.de/blog/digitaler-impfnachweis-schwaechen-bei-der-sicherheit Blog de G DATA  Thomas Siebert