En medio de la enorme demanda que se ha desatado últimamente por las pruebas de detección de la Covid-19, un test de antígenos ha saltado a la noticia por haberse visto afectado por una grave vulnerabilidad.
La empresa de ciberseguridad F-Secure es la que ha descubierto el fallo en una investigación que decidió llevar a cabo sobre la prueba casera de Ellume, la primera en ser autorizada de venta libre en Estados Unidos. F-Secure eligió esta marca por el sistema Bluetooth que utiliza para analizar la muestra nasal y su objetivo era tratar de encontrar algún método para falsificar el resultado, según ha indicado la propia compañía en una entrada de su blog firmada por su analista en seguridad Ken Gannon, especializado en seguridad móvil.
Pudo cambiar el resultado e incluso obtener un certificado de la prueba falsificada
Además de analizar la muestra, el sistema Bluetooth de este test de antígenos se encarga de notificar el resultado en 15 minutos y no solamente se lo comunica al usuario, también a las autoridades sanitarias de Estados Unidos a través de la aplicación Android o iOS de Ellume. Sin embargo, Gannon descubrió que los usuarios podían cambiar el resultado antes de que la aplicación procesara y enviara los datos.
Para efectuar el hackeo, el investigador explica que utilizó un dispositivo Android rooteado para poder acceder a los datos que el test de antígenos estaba enviando al dispositivo. Una vez dentro, hizo modificaciones en la línea de código y falsificó el resultado de negativo a positivo, si bien afirma que el proceso "funciona en ambos sentidos". Y, tras haber realizado este cambio, la prueba envió el informe con el resultado positivo al móvil conectado a ella por Bluetooth.
Además, la investigación no se quedó ahí. F-Secure también consiguió un certificado del resultado modificado como positivo del proveedor de salud Azova, con el que Ellume está asociado para certificar los test Covid-19 para viajar o ir al trabajo.
Aunque Gannon realizó esta investigación por mera curiosidad, ha advertido que otras personas u organizaciones pueden aprovechar vulnerabilidades similares para eludir las medidas de salud pública. No obstante, el test de antígenos doméstico de Ellume es ahora más seguro que nunca gracias a que F-Secure le presentó los hallazgos de su investigación y la compañía ya ha corregido este fallo de su seguridad de su sistema Bluetooth, que asegura noha sido explotado.
"Analizamos todos los resultados hasta la fecha y confirmamos que ningún otro resultado se vio afectado. Además, habilitaremos un portal de verificación para permitir que las autoridades, incluidos los departamentos de salud, empleadores, escuelas y organizadores de eventos verifique la autenticidad de la prueba casera Ellume COVID-19", ha señalado el director de sistemas de información de la compañía, Alan Fox.