El certificado COVID Digital de la Unión Europea (UE), o "Green Pass", es un documento con un código QR acordado en el seno de sus países miembros que permite la movilidad de sus ciudadanos por sus territorios al acreditar de forma sencilla que han recibido la vacuna, se ha realizado una prueba cuyo resultado ha sido negativo o se han recuperado recientemente de la enfermedad.
El Reglamento que lo regula entró en vigor el pasado 1 de julio siendo las autoridades nacionales las responsables de su expedición. Sin embargo, esta semana se ha conocido que la clave privada que se utiliza para firmar los certificados Covid se ha filtrado y se está distribuyendo en aplicaciones de mensajería y en mercados online de violación de datos.
Como consecuencia, se está haciendo un uso incorrecto de la clave para generar certificados falsificados que están siendo reconocidos como legítimos por las aplicaciones oficiales a pesar de que algunos son totalmente inverosímiles. Es el caso de un certificado Covid a nombre de Adolf Hitler, que está siendo reconocido como válido por las aplicaciones oficiales Verifica C19, según ha comprobado "reversebrain", experto en la materia como indica en su perfil de GitHub.
This is worrying. If the leak would be confirmed, this means that fake EU Digital COVID Certificate can be forged to any person
— reversebrain (@reversebrain) October 26, 2021
3/3 pic.twitter.com/qvChHg5LEp
Según "Bleeping Computer", que ha profundizado sobre esta filtración, "reversebrain" informó más tarde que las aplicaciones Verifica C19 ya no reconocían los certificados falsificados, por lo que la clave privada filtrada había sido invalidada. No obstante, dicho medio apunta que realizó pruebas en las que comprobó que las versiones de Android e iOS de la aplicación Verifica C19 seguían tratando el código QR para el certificado de Adolf Hitler como legítimo, y que la aplicación también validó otros certificados falsificados de personajes ficticios como Mickey Mouse o Bob Esponja.
De acuerdo a los datos de códigos QR observados por "Bleeping Computer", los certificados Covid falsos que circulan por la red se han emitido desde diferentes países – como Francia, Alemania, Italia, Países Bajos, Macedonia del Norte, Polonia, entre otros –, "lo que indica que el problema podría afectar a toda la UE".
"El hecho de que cualquiera pueda falsificar certificados COVID válidos criptográficamente pone en duda la autenticidad de incluso los certificados legítimos emitidos por organismos gubernamentales de la UE. Si este fuera el caso, la clave privada tendría que ser revocada por las autoridades gubernamentales de toda la UE, invalidando así los certificados COVID legítimos y falsificados".
La UE ya está investigando este problema de seguridad
"Bleeping Computer" también ha observado en foros clandestinos donde se han publicado claves privadas a usuarios discutiendo métodos para hacer el "Green Pass" de la UE e incluso certificados que se han puesto a la venta por 300 dólares. Además, esta publicación se ha puesto en contacto con los Equipos de Respuesta para Emergencias Informáticas (CERT) de diferentes países de la UE, que han confirmado que ya están investigando el problema.
"Somos conscientes de presuntas manipulaciones fraudulentas del código QR del Certificado Covid de la UE y hemos visto los informes", dijo un portavoz. "Como prioridad, estamos siguiendo de cerca los desarrollos de este incidente y estamos en contacto con las autoridades relevantes de los estados miembros que están investigando y poniendo en marcha acciones correctivas", añadió.