Certificados COVID europeos a nombre de Adolf Hitler o Mickey Mouse, a la venta en la 'dark web': los ciberdelincuentes ya preparan más

Hace una semana los medios se hicieron eco de una escabrosa noticia: ciberdelincuentes estaban poniendo a la venta en la deep web certificados COVID europeos a nombre de Adolf Hitler, Bob Esponja o Mickey Mouse. Estas ofertas son habituales en el patio trasero de la red y suelen ser estafas. En este caso no fue una mera anécdota: los pasaportes de vacunación eran reales.

Los usuarios comprobaron, tras escanear el código QR, que los criminales informáticos habían dispuesto en distintos foros de la deep web, que lo que se generaba en sus dispositivos era un certificado COVID europeo auténtico. Eso solo implicaba una cosa: la clave privada con la que los distintos Estados miembros generan estos certificados se ha visto comprometida.

Ahora lo que se sabe, según han podido descubrir los especialistas de Tarlogic, una firma gallega especializada en ciberseguridad, es que los ciberdelincuentes han anunciado que pronto liberarán más pasaportes de vacunación generados con esta clave privada.

Cómo solicitar, obtener y descargar en tu móvil el pasaporte COVID en cada comunidad autónoma

Si en un inicio se especuló con que los sistemas que se habían vulnerado (y permitido a los criminales informáticos acceder a las claves privadas con las que generar estos certificados) son los de Macedonia del Norte, Polonia e incluso Francia, han sido los propios ciberdelincuentes los que han asegurado que ahora saldrán certificados generados en Italia.

Todas estas aseveraciones las han hecho a lo largo de este jueves en un conocido foro de hacking que ha consultado Oscar Mallo, Cybersecurity Advisor en Tarlogic, y que explica a Business Insider España cuáles son algunas de las hipótesis iniciales que explicarían cómo se ha visto comprometido algo tan crítico como el certificado de vacunación que usan los ciudadanos de toda la Unión Europea.

Es pronto para sacar conclusiones, pero Mallo incide en que estas claves privadas se almacenan en una especie de sistema de cajas negras de las que no deberían poder exportarse. Por ello, "o alguien tuvo acceso a las claves, o estas se han visto expuestas de alguna manera, o bien se han comprometido los sistemas que estén integrados y participan en la emisión de estas claves".

Los criminales avanzan que ahora generarán claves italianas para estos pasaportes de vacunación, lo que demostraría que mantienen el acceso a un sistema vulnerado con el que pueden generar a placer estos documentos esenciales para el fin de la pandemia y para sectores como el turismo.

Un estudiante italiano se tatúa el certificado COVID en el brazo y demuestra que funciona al escaneárselo para pedir en un McDonald's

El miércoles pasado, la agencia de noticias italiana ANSA señaló que la Unión Europea mantendría reuniones técnicas "de alto nivel" para tratar de detectar si este podía ser un incidente aislado. Si los criminales cumplen la amenaza que han detectado los especialistas de Tarlogic, estaría claro que no se daría el caso de que este fuese un incidente aislado.

Los especialistas de Tarlogic, en el momento en el que se escribían estas líneas, continuaban investigando. El propio Mallo reconoce a este medio su sorpresa ante el posible hackeo de la herramienta que permite la generación de estos certificados: "Es curioso, todo esto incluye criptografía y unos requisitos de seguridad bastante elevados".

Una demostración de que todo es hackeable, concede el propio Mallo, y que en este caso pone en riesgo el mismo concepto del certificado COVID: si los ciberdelincuentes continúan emitiendo certificados falsos pero válidos en la deep web, los Estados miembros de la Unión Europea no tendrán forma de comprobar cuáles son los certificados legítimos y cuáles no.

En otras palabras: todo el sistema del certificado digital habrá sido un absoluto fiasco.