El concepto de un pasaporte digital sanitario esta cada vez más cerca de convertirse en una realidad cotidiana. Los posibles beneficios para el turismo y la economía general son obvios y el concepto no es nuevo. Basta recordar que ya existe un Certificado Internacional de Vacunación, utilizado principalmente para garantizar la inmunización contra la fiebre amarilla y que es obligatorio cuando se viaja a ciertos países que presentan un riesgo especial de contagio de dicha enfermedad.

Al contrario que el Certificado Internacional de Vacunación, el pasaporte o el certificado que se avecina estará basado en tecnología y no en papel. En sí mismo, esto ya ofrece ventajas potenciales, pero también da lugar a posibles retos en cuanto a la privacidad y la seguridad de los datos. Teniendo en cuenta que incluirá información relativa a la salud del titular de los datos, es justo considerar que con arreglo al Reglamento General de Protección de Datos (RGPD), estamos ante una categoría especial de datos que nos obliga a redoblar la protección y la atención, puesto que posiblemente comporta mayores riesgos para los derechos, las libertades y las garantías de los ciudadanos en el caso de que se produzca un «data breach» o vulneración de datos.

 

 

Interesa, por tanto, analizar el potencial de riesgo asociado a:

  1. Fugas de información, que suponen un peligro para el titular de los datos;
  2. Fallos en la integridad de los procesos de expedición y verificación de certificados, lo que representa un peligro para la fiabilidad del sistema.

El hecho de que se trate de un certificado digital nos obliga a tener en cuenta la posibilidad teórica de bases de datos centrales de información que, de ser explotadas, podrían tener como resultado vulneraciones de volúmenes masivos de datos. A modo de ejemplo, cabe señalar que las fugas de información (algunas bastante recientes) de bases de datos de usuarios de redes sociales son recurrentes y por todos conocidas y afectan a cientos de miles o millones de titulares de datos. Para estas personas, se trata de un peligro real y añadido de robo de identidad, ataques de ingeniería social dirigidos, intentos de extorsión, etc. Estas preocupaciones estarán, por supuesto, en la lista de prioridades de los responsables de implementar el nuevo sistema de certificado sanitario.

Ya existen algunas propuestas de planteamientos concretos de distintas entidades. En lo que respecta a la Unión Europea, está previsto el Digital Green Certificate, cuyo objetivo es garantizar una de estas 3 cosas:

  1. El titular fue vacunado contra la covid-19; o
  2. El titular se ha sometido recientemente a una prueba con resultado negativo para COVID-19; o
  3. El titular se ha recuperado recientemente de la COVID-19, lo que significa que es inmune.

El certificado deberá contar con un código QR, cuya autenticidad estará garantizara por la firma digital autenticada de la entidad que lo expide o que hace que su falsificación resulte mucho más difícil que la de los pasaportes tradicionales. El certificado también deberá incluir datos personales de identificación que permitan asociar inequívocamente el código QR con su titular, permitiendo que el control de verificación compare estos datos con un documento de identidad. Cabe señalar que la verificación del código QR solo comprueba la autenticidad y validez de la firma digital asociada. Esa información será la única que pase a través de la red (denominada «gateway») y no los datos personales del titular, siendo las entidades que expiden el certificado las responsables a nivel del Estado miembro de las bases de datos con información relativa a los ciudadanos.

Toda vez que el certificado se integrará en una aplicación móvil, es importante garantizar la seguridad del almacenamiento, en caso de que el titular pierda el dispositivo móvil o en caso de que se produzca un acceso ilegal. La tecnología ofrece posibilidades interesantes, tales como la funcionalidad «secure enclave» de los iPhone de Apple, que está basada en hardware específico y ofrece una protección mejorada de la integridad de las operaciones criptográficas, incluso cuando el dispositivo se ha visto comprometido. El sistema operativo Android y otros tienen soluciones similares basada en smart wallets.

En el sentido de la protección de la integridad del sistema como un todo, será interesante estudiar los beneficios de una innovación prometedora que será introducida por otra iniciativa similar al pasaporte digital sanitario: el TravelPass de la Asociación Internacional de Transporte Aéreo (IATA, por sus siglas en inglés).  Su implementación se basa en tecnología blockchain, lo que significa que no existe una base de datos central de información susceptible de ser atacada por los hackers. Este tipo de tecnología se asocia sobre todo a la protección de las criptomonedas, aunque su aplicación a los datos de salud ya está comenzando a asentarse en relación con la protección de los registros y ayudas al diagnóstico médico en aplicaciones médicas. Un buen ejemplo es la aplicación e-hcert, que utiliza la cadena de bloques VeChain Thor y que también incluye certificados de vacunación.

Finalmente, una observación sobre los futuros pasos. Las buenas prácticas en la aplicación de mecanismos de protección en materia de ciberseguridad aconsejan una evolución en el sentido de incentivar la normalización de enfoques de implementación, basada en protocolos y tecnologías abiertas, en todos los componentes del proceso, desde la expedición del certificado, pasando por el almacenamiento local y central, la verificación y la comunicación. A medida que la necesidad de estos mecanismos de certificación se vuelve más urgente a escala mundial, es esencial garantizar un nivel de protección homogéneo y de alto nivel en todas las iniciativas, de forma que la armonización de las buenas prácticas fomente la confianza en las soluciones.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre