El miércoles, la Comisión Europea presentó una aplicación móvil(nueva ventana) diseñada para permitir que las personas demuestren su edad en línea sin compartir sus datos personales con las plataformas. Los funcionarios de la UE afirmaron que la aplicación estaba lista, que cumplía con los estándares de privacidad más altos y señalaron su código de código abierto como prueba de transparencia.
Sin embargo, en cuestión de horas, los investigadores de seguridad comenzaron a analizar el código abierto. Para el jueves, el consultor de seguridad Paul Moore ya había eludido las protecciones de la aplicación en menos de dos minutos(nueva ventana).
Otros confirmaron sus hallazgos. Los controles de limitación de tasa de la aplicación estaban almacenados en un archivo editable, la autenticación biométrica se podía desactivar con un simple cambio de configuración y las credenciales confidenciales eran accesibles sin protección de hardware segura.
La Comisión restó importancia a los hallazgos, calificando el lanzamiento como una versión de demostración. Tanto Moore como el criptógrafo francés Olivier Blazy rechazaron esta afirmación y dijeron a Politico(nueva ventana) que estaban probando la última versión del código cuando encontraron las fallas.
Más tarde, la Comisión afirmó que el problema se había solucionado, pero el incidente sigue mostrando lo vulnerables que son estos sistemas de verificación de edad.
Qué hace la aplicación de verificación de edad de la UE y qué salió mal
La aplicación de verificación de edad de la UE permite que las personas verifiquen su edad mediante un pasaporte, un documento de identidad nacional o un proveedor de confianza, como un banco. Las plataformas pueden solicitar a la aplicación que compruebe si alguien es mayor de cierta edad sin acceder a los datos personales subyacentes, lo que también se conoce como prueba de conocimiento cero.
La implementación socavó ese diseño. La aplicación de verificación de edad de la UE almacenaba un PIN cifrado en un archivo de configuración editable en el dispositivo, separado de la bóveda de identidad que guarda los datos confidenciales. Al eliminar algunos valores y reiniciar la aplicación, un atacante puede establecer un nuevo PIN mientras reutiliza las credenciales de un perfil anterior.
Los controles de limitación de tasa que evitan los intentos repetidos se almacenaron como un simple contador en el mismo archivo, el cual se puede restablecer a cero, eliminando cualquier registro de intentos fallidos. La autenticación biométrica estaba controlada por un único marcador booleano; cambiarlo de verdadero a falso omitía la verificación por completo.
Creada para verificar edades, pero no de forma segura
Después de que los investigadores utilizaran el código para exponer sus fallas, los funcionarios reclasificaron la aplicación como una versión de demostración.
Varios desarrolladores señalaron que los datos confidenciales deberían haberse almacenado en un enclave seguro, una protección a nivel de hardware disponible en los teléfonos inteligentes modernos que hace que estos ataques sean mucho más difíciles.
Pero las vulnerabilidades exponen un problema que va más allá de esta aplicación en particular. La verificación de edad no es segura por diseño, porque requiere vincular una identidad real a una acción en línea. Ese enlace tiene que estar almacenado en algún lugar, aunque sea brevemente, y dondequiera que resida, se convierte en un objetivo para hackers, gobiernos y cualquier persona que obtenga acceso no autorizado a los datos subyacentes. Cuanto más centralizado y reutilizable se vuelve ese enlace, mayor es el objetivo.
La ley de verificación de edad de la UE pretende ser un estándar único que preserve la privacidad y reemplace el mosaico legal que está tomando forma en los Estados miembros, pero la confianza de la Comisión en que la aplicación estaba lista resultó ser prematura. Más de 400 investigadores de privacidad y seguridad escribieron a la Comisión en marzo(nueva ventana) para solicitar una moratoria en su implementación hasta que la ciencia sobre la tecnología de verificación de edad se consolide.
