Qatar: fallo de seguridad en aplicación de rastreo de contactos expone datos personales confidenciales de más de un millón de personas
Los graves defectos de seguridad en la aplicación obligatoria de rastreo de contactos de Qatar que Amnistía Internacional puso al descubierto deben servir como llamada de atención a los gobiernos que están implementando aplicaciones contra la COVID-19, para que garanticen que las salvaguardias de la privacidad ocupan un lugar central en esta tecnología.
Una investigación del Security Lab de Amnistía ha permitido destapar una debilidad crítica en la configuración de la aplicación de rastreo de contactos de Qatar, Ehteraz. El defecto ya ha sido subsanado, pero habría permitido el acceso de ciberatacantes a información personal muy delicada —como el nombre, el documento nacional de identidad, el estado de salud y los datos de localización— de más de un millón de usuarios.
Amnistía alertó a las autoridades qataríes sobre esta vulnerabilidad en cuanto hizo el descubrimiento, el jueves 21 de mayo. Las autoridades actuaron rápidamente para subsanarla antes del viernes 22 de mayo.
“Aunque las autoridades de Qatar actuaran con rapidez para subsanarlo, era un grave defecto de seguridad y un fallo fundamental en la aplicación de rastreo de contactos de Qatar que cualquier ciberatacante podía haber aprovechado fácilmente. Una vulnerabilidad especialmente preocupante, dado que el viernes se declaró obligatorio el uso de la aplicación Ehteraz”, ha dicho Claudio Guarnieri, director del Security Lab de Amnistía Internacional.
Este incidente debe servir de advertencia a aquellos gobiernos que están adoptando precipitadamente aplicaciones de rastreo de contactos que a menudo están mal diseñadas y carecen de garantías de privacidad. Para que la tecnología cumpla una función eficaz frente al virus, la población debe confiar en que las aplicaciones de rastreo de contactos protegen su privacidad y otros derechos humanos.”
Más de 45 países tienen previsto implementar aplicaciones de rastreo de contactos para la COVID-19 o ya lo han hecho. A Amnistía Internacional le preocupa que gobiernos de todo el mundo —como los de Australia, Francia, Italia, Países Bajos y Reino Unido— se estén precipitando en la adopción de herramientas digitales que socavan la privacidad, cuya eficacia aún no ha sido demostrada y que pueden poner en peligro la seguridad de las personas.
Ehteraz ha sido desarrollada por el Ministerio del Interior qatarí y utiliza tecnologías GPS y Bluetooth para rastrear los casos de COVID-19. La aplicación, como tantas otras que se están implementando, sigue siendo muy problemática debido a la falta de garantías de privacidad. Se sigue enviando información personal delicada a una base central de datos y las autoridades pueden habilitar en cualquier momento el rastreo de la ubicación de los usuarios en tiempo real.
El pasado viernes se declararon obligatorios la descarga y el uso de la aplicación, que ya ha sido descargada más de un millón de veces sólo en la tienda de Google Play. Quienes no utilicen la aplicación se exponen a una condena de hasta tres años de cárcel y una multa de 200.000 riales qataríes (unos 55.000 dólares estadounidenses).
“Las autoridades de Qatar deben revocar su decisión de declarar la aplicación obligatoria, y todos los gobiernos deben garantizar que las aplicaciones de rastreo de contactos son totalmente voluntarias y se ajustan a los derechos humanos”, ha dicho Claudio Guarnieri.
El Security Lab de Amnistía Internacional pudo acceder a información confidencial —como el nombre, el estado de salud y las coordenadas GPS del lugar de confinamiento— de un usuario, ya que el servidor central no disponía de las medidas de seguridad necesarias para proteger estos datos.
Amnistía Internacional reconoce los esfuerzos e iniciativas del gobierno de Qatar para evitar la propagación de la pandemia de COVID-19 y las medidas que ha adoptado hasta la fecha, como el acceso a asistencia médica gratuita; sin embargo, todas las medidas deben ser acordes a las normas de derechos humanos.
Las vulnerabilidades no estaban incluidas en el análisis global de las aplicaciones de rastreo de contactos, dirigido a evaluar su observancia de los derechos humanos.
El rastreo de contactos es un componente importante de una respuesta eficaz a la pandemia, y las aplicaciones de rastreo de contactos tienen el potencial de apoyar este objetivo. Pero, para que sean compatibles con las obligaciones de derechos humanos, estas aplicaciones deben incorporar en su diseño la protección de los datos y la privacidad, lo que significa que los datos recopilados deben ser los mínimos necesarios y almacenarse de forma segura. Toda recopilación de datos debe limitarse al control de la propagación de la COVID-19 y no servir a ningún otro propósito, como hacer cumplir la ley, velar por la seguridad nacional o controlar la inmigración. Tampoco debe ponerse a disposición de terceros ni destinarse a fines comerciales. La decisión individual de descargar y usar aplicaciones de rastreo de contactos debe ser completamente voluntaria.
Información complementaria
La investigación llevada a cabo por el Security Lab de Amnistía permitió descubrir que la aplicación Ehteraz de Qatar solicitaba un código QR al servidor central facilitando el documento nacional de identidad del usuario registrado. No se requería ninguna autenticación adicional, por lo que cualquiera podía haber solicitado un código QR para cualquier usuario de Ehteraz.
La ausencia de autenticación y el hecho de que los documentos nacionales de identidad qataríes sigan un patrón coherente hacían que fuera posible generar automáticamente todos los números de documento de identidad y descargar los datos confidenciales almacenados por Ehteraz.
El código QR de la aplicación utiliza un sistema de colores. El rojo indica el estado médico “confirmado” del usuario (que supuestamente ha sido diagnosticado de COVID-19). El amarillo, que el usuario está “en cuarentena”. El gris, que es un “caso sospechoso”. Y si el código QR es verde, el usuario figura como “sano”.
Antes de que las autoridades tomaran medidas para reparar esta vulnerabilidad, la delicada información personal contenida en el código QR incluía el nombre del usuario en inglés y árabe, su lugar de confinamiento y, si había sido diagnosticado de COVID-19, el nombre del centro médico donde recibía tratamiento. El pasado viernes, las autoridades actuaron rápidamente para mitigar la exposición de datos eliminando los nombres y los datos de localización. A continuación, el domingo publicaron una actualización de la aplicación Ehteraz que parece haber añadido una nueva capa de autenticación para impedir la descarga de datos. Aunque estos cambios aparentemente han subsanado el problema, Amnistía Internacional no ha podido verificar si cumplen normas de seguridad suficientes.