La ‘app’ Radar Covid ha tenido una brecha de seguridad desde su lanzamiento
El Pais, España. Cuando un usuario de Radar Covid recibe la confirmación de su positivo, las autoridades de su comunidad autónoma deben darle un código. Si decide introducirlo en la app, su móvil mandará a un servidor las claves que ha compartido en los últimos días al estar cerca de otros usuarios. Esas claves son las que permitirán al resto de usuarios comprobar si han estado cerca del nuevo positivo.
Así, solo hay un momento en que los usuarios suben claves al servidor de Radar Covid: cuando son positivos. Aunque ese tráfico esté cifrado y el contenido de la comunicación sea anónimo, si hay subida al servidor implica que el usuario es positivo. Quien tenga acceso al tráfico, por tanto, sabe quién lo es.
La opción de acceso a esa información no está al alcance de cualquier usuario, pero su explotación va más allá de las operadoras telefónicas y de Internet. La empresa Amazon también tiene acceso a esa información: la subida al servidor se hace con un software de la compañía estadounidense, con lo que también puede comprobar qué móviles mandaban positivos. Además de grandes empresas, también tendría acceso cualquier individuo o empresa con la opción de entrar a la misma red wifi desde la que se envían las claves.
Otras apps de rastreo de contactos europeas solucionaban este problema de una manera fácil de entender: simulan tráfico falso desde móviles aleatorios para que desde fuera no pueda concluirse quién sube un positivo real y quién manda un paquete de datos falsos que el servidor sabe que lo son.
La app española Radar Covid no lo hace. El problema, cuya existencia fue subsanada, según el Gobierno, el pasado 9 de octubre. “No se ha comunicado al público en general, porque esa posible vulnerabilidad tiene un alcance muy limitado, dado que solo podría ser explotada por el operador de comunicaciones”, han explicado a EL PAÍS fuentes de la Secretaria de Estado de Inteligencia Artificial, encargada de impulsar la app.
La posibilidad de acceso no implica que se haya explotado, aunque en realidad no se sabe. No hay pruebas de que la brecha haya sido aprovechada, pero existía y, como tal, debía ser reparada. También las empresas con posibilidad de acceso tenían que querer hacerlo: es como dejar una puerta cerrada sin llave; para ver qué hay al otro lado hay que hacer el ejercicio de abrirla.
Es un esfuerzo anodino, pero hay que ejecutarlo y no es algo banal con este tipo de datos. Tampoco es algo que pueda hacerse después. Debe ser en directo, a no ser que se registrara. El Gobierno ha dejado pasar varias semanas desde que tuvo la confirmación de esta vulnerabilidad. La Secretaría de Estado anunció en su cuenta oficial que este problema ya había sido solucionado con la última actualización.