La Unión Europea ha levantado finalmente la prohibición que restringía la libre circulación de viajeros en Europa por la pandemia del COVID-19

A partir de ahora, los viajeros  dentro de la UE podrán descargar un certificado sanitario, digital o impreso, con la información esencial sobre su estado de vacunación, el “pasaporte COVID”, o pasaporte de vacunación que les permitirá el libre desplazamiento dentro del espacio europeo.

Los certificados contienen un código QR que autoriza los desplazamientos sin tener que entrar en cuarentena o someterse a pruebas adicionales de coronavirus. Aunque el pasaporte de vacunación se creó para los ciudadanos de la UE, los viajeros de otros países podrán también conseguirlo si cumplen con los debidos requisitos.

El código QR del “Pasaporte COVID” aumenta el riesgo de seguridad y privacidad

El pasado mes de marzo, el Comisario Europeo responsable de las vacunación esbozó los requisitos de un certificado sanitario no obligatorio, o pasaporte de vacunación, dotado de un código QR destinado a rastrear los historiales médicos de los ciudadanos europeos. El certificado sanitario está disponible en los sitios web de los Ministerios de Sanidad de cada país de la UE. 

Sin lugar a dudas, el “Pasaporte COVID” supondrá una proliferación de los códigos QR en toda Europa. Aunque se trata de una medida cómoda para las autoridades sanitarias, el uso de los códigos QR aumenta el riesgo para la privacidad y el posible robo de datos de los viajeros de la UE. Los códigos QR son vulnerables a los ciberataques y suponen una oportunidad de oro para los ciberdelincuentes, que incrustan programas maliciosos, sustituyen los códigos QR legítimos por otros maliciosos y, acto seguido, dirigen a los usuarios a sitios de phishing sin que sea posible detectarlos. En pocas palabras, los hackers utilizan los códigos QR para obtener información de forma ilícita, secuestrar cuentas y robar identidades y datos.

Cómo protegerse de los problemas de seguridad y privacidad relacionados con el uso de los códigos QR del pasaporte de vacunación de la UE

En la mayoría de los casos, un cracker necesita controlar el código QR para manipularlo y  realizar sus ataques. ¿Cómo actuar correctamente para no ser víctima de un ataque a un código QR?

1. Trate su pasaporte de vacunación como si fuera un pasaporte normal, siendo consciente de que contiene datos personales que no quiere exponer. Tan solo permita que el personal de seguridad autorizado en las zonas de embarque y de control o el personal sanitario escanee su código QR.
2. Utilice el pasaporte digital siempre que sea posible, ya que es menos probable que se extravíe (un documento en papel puede perderse más fácilmente). Si su certificado de vacunación estuviese en formato papel, guárdelo junto a su pasaporte y al resto de documentos de viaje. Y si se decide eliminar el código QR, asegúrese de hacerlo de forma permanente tirándolo a la basura.
3. Hay estafas y diferentes formas de acceder a los pasaportes de vacunación. Trate su pasaporte como lo haría con cualquier otro documento sanitario. Permita el acceso únicamente al personal de atención sanitaria autorizado o al de seguridad, y únicamente cuando resulte necesario para viajar. Asegúrese de obtener un pasaporte de vacunación válido a través de canales legítimos, ya que es probable que haya estafadores que intenten vender pasaportes de vacunación falsos o clonados.
4. Si alguien le pide escanear su código QR, cuestione siempre la fuente, ya que los códigos QR son una forma fácil de “atrapar” a un usuario desprevenido y cargar aplicaciones maliciosas o intentar capturar datos sensibles.

Cómo se puede abusar de los códigos QR

Ivanti llevó a cabo un estudio reciente entre más de 4.100 consumidores de Estados Unidos, Reino Unido, Francia, Alemania, China y Japón sobre la percepción y el uso de los códigos QR, que confirmaba la creciente amenaza existente asociada a su uso. Según este estudio, el 51% de los encuestados tiene dudas a la hora de utilizarlos pero los escanea igualmente, y un tercio desconoce sus riesgos y no entiende la necesidad de proteger sus dispositivos móviles.

El uso de códigos QR a través del nuevo pasaporte de vacunación sin duda impactará y aumentará la preocupación de los viajeros por su privacidad y seguridad. De hecho, según un estudio de Ivanti, el 31% de los encuestados ha visto cómo un código QR dirigía su dispositivo móvil a un sitio sospechoso o provocaba otras acciones maliciosas.

Las amenazas a la seguridad de los códigos QR suponen realmente un problema. Sin embargo, la tecnología puede proteger los dispositivos móviles contra estos abusos. Dado que los  móviles se utilizan para actividades personales y de trabajo, es fundamental que tanto los usuarios como las empresas prioricen la seguridad móvil de sus empleados, tanto si el dispositivo es propiedad de la empresa o del empleado. Debe llevarse a cabo una estrategia de seguridad de “confianza cero” para verificar continuamente cada transacción, antes de permitir que los usuarios de dispositivos móviles accedan a la red corporativa.