CIBERSEGURIDAD

Aplicación NHS COVID-19 – ¿Máximo paternalismo neoliberal o benevolencia nacional?

Sin duda, la tecnología ha hecho la vida más llevadera durante una pandemia mundial. Desde Se están implementando drones para entregar medicamentos. y artículos esenciales en toda Irlanda, hasta el auge de las plataformas de videoconferencia, como Zoom, que crea una comunidad más conectada de trabajadores remotos. Las posibilidades de nuestra época cada vez más digital han hecho que el aislamiento sea más tolerable al proporcionar interconectividad y entretenimiento. Sin embargo, hay un lado más oscuro en la rápida adopción de la tecnología durante esta pandemia internacional, que asoma su cabeza bajo el disfraz de la seguridad de los datos personales.

El Reino Unido se encuentra actualmente detrás de un nuevo servicio de rastreo de COVID-19 que utiliza datos de Bluetooth de teléfonos móviles para que los usuarios sean conscientes de un posible contacto con personas infectadas. La aplicación móvil: ‘NHS COVID-19’ se está implementando actualmente en la Isla de Wight, con la perspectiva de una mayor aceptación en Gran Bretaña continental en las próximas semanas. Sin embargo, a pesar de las connotaciones de seguridad negativas de una aplicación de seguimiento, la mayoría de los británicos están a favor de permitir que el gobierno use datos de teléfonos móviles para rastrear la propagación del coronavirus. Si bien, en teoría, esto puede resultar beneficioso para rastrear la propagación del virus, otorgar al gobierno acceso a nuestros dispositivos personales es una pendiente resbaladiza con varios problemas de seguridad.

De acuerdo con la Sitio web del NHS, el objetivo de esta aplicación es “reducir la transmisión del virus alertando a las personas que pueden haber estado expuestas a la infección”. El NHS afirma que «la aplicación ha sido diseñada teniendo en cuenta la privacidad», y continúa estipulando que no recopila datos de identificación personal (PII) de los usuarios. Sin embargo, esto no resuelve varios problemas de seguridad que se han planteado. A pesar de las implicaciones positivas de este servicio que propone concienciar a la población británica de un posible contagio, hay un lado más oscuro de esta aplicación que tiene sus raíces en la vigilancia estatal y la seguridad de los datos personales. De hecho, las implicaciones éticas de este servicio solo se mencionaron brevemente en los párrafos finales de la declaración, lo que sugiere que la ética no está al frente del debate.

Además, Ian Levey del Centro Nacional de Seguridad Cibernética escribió un blog extenso detallando los parámetros de seguridad de la aplicación. Sin embargo, el tema de la seguridad no surge por completo hasta después de 10 párrafos de discusión general, de los cuales varios párrafos están dedicados a delinear cómo se ha utilizado el rastreo de contactos hace más de 500 años. El hecho de que la seguridad física no se discute hasta después de una larga lección de historia sugiere que hay más de lo que parece. Levy continúa afirmando varias veces que los datos recopilados son «anónimos» y solo se pueden utilizar para proporcionar información médica. Sin embargo, esto no significa que los usuarios no estén en riesgo.

De hecho, Levy continuó afirmando que “el monitoreo de seguridad cibernética del sistema mantiene registros que incluyen la dirección IP, pero tienen un acceso estrictamente controlado y solo son accesibles para el equipo de seguridad cibernética que se ocupa del sistema de la aplicación”. Sin embargo, esto no necesariamente tranquiliza la ansiedad del usuario, ya que cualquier información tiene el potencial de ser exfiltrada, ya sea por ciberdelincuentes capacitados, un punto de acceso no seguro o incluso un infiltrado descontento que busca obtener una ganancia rápida mediante la flagelación de información valiosa en el sitio web. web oscura.

Un problema clave con el desarrollo de esta aplicación es la velocidad a la que se está desarrollando. Por lo general, con aplicaciones urgentes como esta, a menudo existe un compromiso entre la velocidad y la funcionalidad. Tim Erlin, vicepresidente de Tripwire, describe esta preocupación y afirma: “puede ser difícil rechazar la seguridad y la privacidad cuando existe un fuerte sentido de urgencia en torno a cualquier proyecto”. De manera similar, Hugo van den Toorn, gerente de seguridad ofensiva en Outpost24, destacó otro motivo de preocupación, y señaló: “si una aplicación se desarrolla rápidamente, es fácil cometer errores con respecto a la privacidad del usuario y la seguridad de la información”. Con información tan sensible en la línea, está claro que no debemos apresurarnos a descargar ninguna aplicación que pueda poner en riesgo nuestros datos confidenciales hasta que se haya examinado adecuadamente.

De hecho, Joshua Berry, consultor principal asociado de seguridad en Synopsys explica las posibles implicaciones de entregar detalles tan íntimos a terceros, incluso bajo el velo del anonimato. «Las aplicaciones de rastreo de contactos utilizan anuncios de Bluetooth Low Energy (BLE) para enviar y recopilar mensajes para identificar los contactos realizados con otros usuarios». De hecho, las aplicaciones de rastreo permiten a los atacantes la posibilidad de leer completamente todas las comunicaciones Bluetooth de los automóviles que conducen hasta la música que escuchan.

Si queremos que los servicios de rastreo de contactos sean ampliamente aceptados, debemos estar seguros de que la PII que entregamos es completamente segura. Esto plantea varias preguntas sobre dónde se almacenarán los datos confidenciales y quién puede tener acceso a ellos. Por ejemplo, la aplicación recopilará información biográfica como edad, sexo y código postal únicamente. Por lo tanto, los usuarios deben estar seguros de quién tendrá acceso a estos datos. ¿Será utilizada por los servicios de salud o esta información se venderá a empresas de análisis de datos, o incluso se utilizará en el Ministerio del Interior para triangular el movimiento de los usuarios a través de apretones de manos por Bluetooth?

De hecho, a medida que más personas cumplen el bloqueo y trabajan desde casa, vemos que los ciberdelincuentes aprovechan el miedo para seducir a los usuarios para que hagan clic en enlaces maliciosos. De hecho, Securonix ha revelado en un Actualización de amenazas cibernéticas COVID-19 que el número de dominios maliciosos que utilizan las palabras “corona” o “covid19” ha aumentado exponencialmente. Teniendo en cuenta la aplicación NHS COVID-19, los usuarios pueden terminar siendo víctimas de más técnicas de ingeniería social con temática pandémica. Esto se basa en la noción de que si espera una actualización de la aplicación NHS, es más probable que abra un correo electrónico o mensaje de texto que contenga las palabras clave: «Coronavirus» o «COVID-19». Esto es preocupante, ya que Securonix demostró que más ciberdelincuentes están utilizando terminología relacionada con los virus para inducir a error a los usuarios a descargar material malicioso. Por lo tanto, es más probable que los usuarios con la aplicación de rastreo móvil sean víctimas de contenido dañino disfrazado médicamente.

De hecho, los expertos en seguridad esperan que la proliferación de esta aplicación traiga un aumento significativo de aplicaciones móviles peligrosamente disfrazadas con nombres similares o con errores tipográficos. Jonathan Martin, socio director de EMEA en Anomali advirtió que “podemos esperar ver aparecer una gran cantidad de aplicaciones falsas, que pretenden ser la aplicación oficial NHS COVID-19 que la gente se verá tentada a descargar. Tan pronto como esa aplicación maliciosa se instale en el teléfono, se verá comprometida, lo que conducirá al posible robo de una amplia gama de información privada y personal, como datos bancarios, etc. ”. A diferencia de la aplicación oficial que promete anonimizar la PII, las aplicaciones ocultas falsas buscarán activamente robar información confidencial.

Si bien es cierto que hay margen de mejora, es de esperar que el debate en torno a esta aplicación lleve a una población más centrada en la seguridad que se muestre escéptica ante cualquier intento de recopilar grandes cantidades de información personal. Una cosa es levantarse en armas contra la aplicación NHS COVID-19, pero tal vez sea optimista al pensar que el gobierno tiene nuestros mejores intereses en el corazón. Deberíamos tomarnos este tiempo no solo para ser cínicos de las intenciones del gobierno con esta cantidad de datos personales, sino también, y quizás más pertinente, cómo otros servicios usan y procesan nuestros datos. Hay que estar de acuerdo con Tom Davison, director técnico de Lookout, quien nos dijo: “es de vital importancia que el público se tome el tiempo para comprender la información personal que compartirán y cómo se utilizará, tanto ahora como en el futuro ”.

Te dejo con esta última pregunta: ¿sabes qué permisos has otorgado a las aplicaciones en tu teléfono? Si no es así, investigue un poco. Después de todo, no tiene sentido lamentar el fin de la libertad individual cuando su aplicación de linterna está rastreando su geolocalización. . .

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Botón volver arriba
Cerrar