La clave privada utilizada para firmar los certificados Covid Digital de la UE (también conocidos como Pasaporte Covid) fue filtrada y ya circula por aplicaciones de mensajería como Telegram y por mercados online de violación de datos.
Como consecuencia, la clave se ha usado para falsificar certificados y desde la Unión Europea han afirmado estar investigando este problema de seguridad.
En julio de este año entró en vigor el Reglamento sobre el certificado COVID digital de la Unión Europea. Es un pase, en forma de QR, que le permite a la ciudadanía viajar de un país a otro (e incluso, en algunos países, entrar en restaurantes o teatros).
Con ese documento digital, se puede mostrar que la persona que lo posee ha sido vacunada contra el covid-19, o que se ha realizado una prueba cuyo resultado ha sido negativo, o que se ha recuperado de la enfermedad recientemente.
Lo ocurrido indicaría que tener un QR de este tipo es más fácil de lo que parece a causa de un problema de seguridad que se ha reportado. Tanto es así que, por ejemplo, hay un certificado falso de Adolf Hitler que está siendo reconocido como válido por las aplicaciones oficiales de Verifica C19.
También Mickey Mouse, Bob Esponja y otros personajes ficticios, tienen su propio pasaporte Covid que las aplicaciones oficiales reconocen como válido aún hoy.
Esta falla de seguridad pone en tela de juicio la autenticidad de los certificados legítimos emitidos por organismos gubernamentales de la UE ya que cualquiera podría falsificar certificados covid válidos desde el punto de vista criptográfico.
La Unión Europea dice estar investigando el caso
Hay foros clandestinos donde se han publicado claves privadas, se discuten métodos para hacer el Certificado Digital de la UE e incluso, hay personas que ofrecen pasaportes digitales a cambio de un pago de 300 dólares.
Según los datos del código QR vistos por BleepingComputer, los certificados falsos que circulan por Internet han sido emitidos por diferentes países: Francia, Alemania, Italia, Países Bajos, Macedonia del Norte, Polonia, etc., lo que indica que el problema podría afectar a toda la Unión Europea.
Un portavoz del Equipo de Respuesta para Emergencias Informáticas (CERT) aclaró: «somos conscientes de las presuntas manipulaciones fraudulentas del código QR del Certificado Covid de la UE» y afirmó que están en «contacto con las autoridades pertinentes de los Estados miembros que están investigando y poniendo en marcha acciones correctivas».
