Gobierno Cuando el gobierno de Costa Rica decidió implementar un sistema de verificación de vacunación para sus ciudadanos en Octubre del 2021, surgieron muchas preguntas de diversos sectores. Uno de estos sectores que levantó la mano para ayudar y verificar la idoneidad de la solución fue el sector de especialistas en ciberseguridad y protección de datos. Justamente por eso, con el fin de aportar a construir un sistema robusto, se realizó una evaluación de la postura de seguridad del sistema implementado y todos los componentes que lo envuelven.
Ver también: Seguridad de datos está garantizada al implementar Código QR para certificar vacunación contra la Covid-19 (Octubre 2021)
Ver también: Autoridades garantizan seguridad al implementar el Código QR del Certificado de Vacunación (Octubre 2021)
A continuación se muestra una prueba de concepto realizada en el mes de Octubre 2021 en la que se mostrará cómo un actor malicioso podría obtener datos sensibles de un usuario "víctima" con solo tener una foto del código QR. Esta foto se podría obtener fácilmente en la practica, ya que enseñar el código QR será requisito para entrar a distintos comercios según lo dictaminado por el gobierno.
El primero paso es tener la imagen del código QR guardada en la computadora. Puede ser albergada como una imagen con formato png.
Luego se baja el programa vacdec del siguiente repositorio de Github: https://github.com/hannob/vacdec. Este programa lo que hace es decodificar la información que el código QR trae y la muestra en consola como se muestra a continuación:
Los datos que interesan recabar son el nombre completo de la víctima, las fechas de vacunación de la persona y el nombre de la primera vacuna que se aplicó,
El campos que se llaman "dt" muestra las fechas de aplicación de las vacunas.
Con el nombre completo se puede hacer una búsqueda en el sitio https://servicioselectorales.tse.go.cr/chc/consulta_nombres.aspx para encontrar la cédula de la víctima, en este caso Esteban.
Y por último el campo "ma" especifica la casa farmacéutica de la vacuna que se aplicó. En este caso ORG-100030215 corresponde a Pfizer-BioNtech de acuerdo a la documentación oficial de EU Digital COVID Certificates que se encuentra fácilmente en internet: https://ec.europa.eu/health/sites/default/files/ehealth/docs/digital-green-value-sets_en.pdf
Ya con estos datos recopilados se puede suplantar la identidad de la víctima e iniciar sesión en el sitio: https://usuarios.ministeriodesalud.go.cr/
Una vez que se ingresa no parece que haya información personal relevante en el portal principal.
Sin embargo por medio del API se puede llamar al endpoint que retorna información personal sensible: https://apicovid.ministeriodesalud.go.cr/api/v1/auth/patients/me
Por ejemplo se puede leer el número celular, dirección de habitación, email y datos sobre el historial de salud con respecto al COVID 19.
Por medio del portal web también se pueden visualizar algunos de estos datos personales visitando la dirección: https://usuarios.ministeriodesalud.go.cr/profile/edit habiendo iniciado sesión:
Se recomienda deshabilitar la opción de iniciar sesión por medio de las fechas de vacunación, o bien retornar solo la información mínima requerida por medio del API y dejar por fuera el envío de información sensible. Todo esto antes de que entre en funcionamiento a escala nacional. También es importante alertar a los usuarios a no compartir su código QR con nadie mientras se realizan las correcciones necesarias.
El objetivo de este análisis fue el de reportar los hallazgos a las personas encargadas de la implementación del sistema. En ningún momento se utilizaron las técnicas mencionadas en este blog para recabar información de terceros sin su consentimiento.Se espera que se tomen las medidas del caso para mitigar la vulnerabilidad encontrada.
Para aclaración del lector este post fue publicado una vez se constató que las piezas vulnerables fueran resueltas y que actualmente el sistema utiliza una estructura muy diferente. Gracias a este y otros reportes de la comunidad se logró fortalecer el sistema de Código QR, migrarlo al formato europeo y eliminar la amenza.
Ver también: Gobierno pone a disposición sistema más ágil para obtener el certificado de vacunación contra la COVID-19
Debemos indicar que este estudio corresponde al mes de Octubre del año 2021 y el gobierno de la república realizo los ajustes correspondientes para relanzar el esquema del código QR en Noviembre 8, 2021
Ver también: Costa Rica va a iniciar a utilizar códigos QR para verificar la vacunación contra el COVID-19
Comments