El procedimiento Video-Ident se utiliza para numerosas áreas en Internet. Se pueden abrir cuentas bancarias y celebrar contratos de esta manera, por ejemplo. Pero ahora se ha descubierto una grave brecha de seguridad en el proceso de identificación por video, que siempre se ha considerado seguro.
Los expertos en seguridad del Chaos Computer Club (CCC) han logrado burlar el proceso de identificación por video y así revelar una brecha de seguridad. En el proceso, los usuarios deben sostener su tarjeta de identificación frente a una cámara desde diferentes ángulos para identificarse. Pero aquí es exactamente donde radica el problema.
CCC descubre una brecha de seguridad en el proceso de identificación por video
El CCC manipuló todo el proceso de identificación del procedimiento Video-Ident y, por lo tanto, encontró la brecha de seguridad. Los expertos crearon un gemelo digital de una tarjeta de identificación y lo reemplazaron con el nombre, la dirección y la foto del pasaporte. Usando un software, fusionaron el original y la copia revisada de la tarjeta de identificación en una copia de video. Ahora comenzaron el proceso de identificación por video, pero en lugar de tener una identificación real, sostuvieron el video con la copia de la identificación para la cámara. Al mismo tiempo, usaron un teléfono inteligente con una cámara deficiente, lo que redujo plausiblemente la calidad de la transmisión de imágenes. La circunstancia fue suficiente para engañar a los empleados del servicio de identificación por video haciéndoles creer que la tarjeta de identificación era real.
Un total de seis proveedores nacionales e internacionales del proceso de identificación por video fueron engañados de esta manera. Particularmente malo: el procedimiento funcionó incluso si se veían errores obvios en la tarjeta de identificación. Por lo tanto, los expertos del CCC asumen que los usuarios comunes también podrían aprovechar la brecha de seguridad en el proceso de identificación de video por sí mismos. Por lo tanto, la conclusión fue inequívoca: los expertos calificaron la seguridad del procedimiento como un «fracaso total».
Lea también: Activa el acceso a la banca en línea desde casa
Registros médicos electrónicos accesibles a través de la vulnerabilidad
Como se mencionó al principio, el procedimiento de identificación de video en Internet es a menudo un requisito previo para la celebración de cuentas o contratos. Sin embargo, también se utiliza en el campo de la medicina, por ejemplo, para acceder a los servicios de ePatient file y ePrescription. Debido a la brecha de seguridad en el proceso de identificación por video, los expertos pudieron acceder a los registros médicos de cada una de las 73 millones de personas con seguro médico obligatorio en Alemania. Y eso incluye la información médica almacenada allí de médicos, hospitales y compañías de seguros. El CCC incluso probó que esto funciona sin problemas y llamó y abrió los archivos de una persona de prueba iniciada. Los expertos en seguridad tuvieron entonces acceso a recetas cumplimentadas, certificados de invalidez, diagnósticos médicos y documentos originales de tratamiento.
Las compañías de seguros de salud tienen que suspender el proceso de videoidentificación por el momento debido a la brecha de seguridad. El paso es inevitable en el contexto de la alta necesidad de protección en la digitalización del sistema de salud, según el proveedor de servicios de digitalización del sistema de salud alemán, Gematik. «Gematik ha declarado que ya no se permite el uso adicional de los procedimientos de identificación por video para la emisión de medios de identificación para su uso en la infraestructura telemática (TI) y el 9 de agosto de 2022 decretó que las compañías de seguros de salud pueden utilizar el procedimiento de identificación por video suspender con efecto inmediato”, se lee en el comunicado oficial. Solo se puede tomar una decisión sobre la nueva aprobación de los procedimientos de identificación por video cuando los proveedores hayan proporcionado evidencia concreta de que sus procedimientos ya no son susceptibles a las debilidades mostradas. El Ministerio Federal de Salud también está detrás de la decisión de detener el procedimiento de identificación por video en el sector médico por el momento.
Lea también: La licencia de conducir digital llega a los celulares, pero aún tiene limitaciones
La reacción de las autoridades
Pero no todo el mundo es tan cauteloso como Gematik. La CCC señala que las autoridades de protección de datos y la Oficina Federal para la Seguridad de la Información (BSI) llevan tiempo advirtiendo sobre brechas de seguridad como las del proceso de identificación por video. Sin embargo, según los expertos, hasta ahora han «caído en oídos sordos» en la Agencia Federal de Redes. La justificación de la autoridad: «El gobierno federal aún no se ha dado cuenta de ningún incidente de seguridad específico». Y, de hecho, la vulnerabilidad que ahora se ha descubierto no era conocida previamente por el BSI. Por lo tanto, la CCC se complace, según su propia declaración, en presentar un incidente de seguridad específico y así poder resaltar la necesidad de acción.
El BSI también enfatizó que la decisión sobre hasta qué punto el proceso de identificación por video puede continuar usándose en otras áreas de aplicación bajo las circunstancias dadas es responsabilidad de las respectivas autoridades de supervisión. El informe de la CCC aparentemente sacudió a muchos de ellos. Por ejemplo, la Autoridad Federal de Supervisión Financiera (Bafin) responsable explicó a pedido de calienteque la información también se toma muy en serio. Sin embargo, la decisión de las compañías de seguros de salud de no utilizar el procedimiento no permite extraer automáticamente conclusiones sobre aplicaciones en otros sectores. Porque las autoridades aún no conocen ningún detalle. «Por lo tanto, aún no es posible una evaluación final de los escenarios de ataque descritos y una decisión sobre las posibles medidas», dijo un portavoz de Bafin.