La aplicación Radar Covid ha detectado al menos cinco fallos críticos en su diseño antes de su lanzamiento, tal y como refleja la Evaluación de Impacto en Protección de Datos (EIPD) y el Análisis de Riesgos (AARR) publicados por la Secretaría de Estado de Digitalización e Inteligencia Artificial (SEDIA), organismo dependiente del Ministerio de Economía que elaboró la app para la cartera de Sanidad.
Los fallos fueron detectados por PILAR, una herramienta desarrollada por el Centro Criptológico Nacional (CCN), organismo adscrito al CNI (Centro Nacional de Inteligencia). PILAR permite analizar y detectar riesgos en sistemas de información y fue utilizada para el Análisis de Riesgos de Radar Covid, publicado junto al EIPD el pasado 25 de enero. Todos los fallos de seguridad publicados en el informe, al que ha tenido acceso Vozpópuli, han sido solucionados, según fuentes del CNI.
El informe aglutina los riesgos en diferentes categorías: extremadamente críticos, muy críticos, críticos, muy altos, altos, medios, bajos y despreciables. A cada categoría le atribuye una calificación numérica.
Teniendo en cuenta esto, aspectos como el acceso no autorizado, la suplantación de identidad o el abuso de privilegios de acceso fueron definidos como riesgos críticos. Estos conceptos y otros referentes a la ejercitación de derechos o la forma en que se facilitaba la información en materia de protección de datos se aglutinan en lo que el informe denomina como el 'activo' Radar Covid. La media de los items que lo integran dio como resultado la calificación de riesgo muy crítico a este 'activo'.
El análisis se centra en otros 'activos' (redes de comunicaciones, appRadar Covid, administradores/operadores, desarrolladores...). Cada uno de ellos se encuentra formado a su vez por varios items. El informe refleja el nivel potencial de riesgo de cada activo por orden (de mayor a menor).
El informe de Evaluación de Impacto en Protección de Datos (EIPD) es un trámite obligatorio, tal y como establece la ley, antes del lanzamiento de aplicaciones y servicios que traten datos sensibles y en grandes cantidades del ciudadano.
Interrogantes
La SEDIA lanzó la aplicación en junio de 2020 pero no ha sido hasta el pasado 25 de enero cuando ha hecho pública la EIPD y el Análisis de Riesgos. Este último archivo está fechado el 4 de noviembre y detalla que se trata de la versión 3.0, lo cual arroja interrogantes entre el lanzamiento de la aplicación, la detección de los fallos y la solución de los mismos. No queda claro si la app estaba ya en funcionamiento o no cuando los errores fueron detectados y solventados.
"Los documentos publicados recientemente en el repositorio indican en su redacción que fueron adoptados en noviembre de 2020, pero si acudimos a los metadatos del archivo, los PDF en concreto fueron creados el 14 de enero de 2021. Dado que estos documentos no cuentan con firma electrónica alguna, no resulta posible comprobar en qué momento quedó fijada la redacción en los términos que se han publicado, pudiendo haberse modificado el texto en cualquier momento previo a que se hicieran públicos", explica Sergio Carrasco Mayans, abogado especializado en nuevas tecnologías de Faseconsulting.
Además, añade que "aunque demos por cierto que tanto la Evaluación de Impacto como el Análisis de Riesgos corresponden a noviembre de 2020, debemos recordar que la aplicación fue distribuida de manera global con anterioridad a dicha fecha. No contamos con un historial de cambios para poder extraer el momento en que fueron mitigadas o solucionadas las diferentes vulnerabilidades que se han detectado en este tipo de aplicaciones, ni se ha dado acceso hasta el momento a las versiones iniciales del documento, lo cual resulta relevante al haber ido cambiando aspectos tanto de la infraestructura utilizada como de la misma aplicación", concluye.