Un grupo de estafadores no identificados está vendiendo certificados Green Pass (requeridos para viajar o acceder a muchos lugares públicos y eventos en la Unión Europea) en foros de ciberdelincuentes y canales de Telegram. Para demostrar sus capacidades y atraer clientes potenciales, los delincuents crearon un Green Pass emitido a nombre de Adolf Hitler. Pero, lo más perturbador, es que la aplicación de verificación lee este código QR como válido, lo cual plantea varias preguntas que intentaremos responder en esta publicación.
¿Qué es el Green Pass?
Es un certificado que verifica que su propietario ya ha sido vacunado, se ha recuperado recientemente de la COVID-19 o ha recibido un resultado negativo en la prueba en un plazo de no más de 48 horas (para prueba rápida) o 72 horas (para PCR). El certificado incluye un código QR que se puede validar con una aplicación. Se trata de un documento estándar para los países de la Unión Europea y algunos otros (como Israel, donde se desarrolló inicialmente, Turquía, Islandia, Ucrania, Suiza, Noruega y etc.).
Por lo general, las instituciones médicas son las que emiten estos certificados. Dependiendo del país, es posible que se requieran para viajar, visitar bares, restaurantes, museos y eventos públicos, asistir a instituciones educativas o incluso trabajar. El Green Pass también existe en formato físico, pero lo más común es una aplicación que muestra un código QR para comprobar el estado del certificado.
Cómo pueden firmar certificados falsos los atacantes
Algunos comerciantes sospechosos en Internet, y en los canales de Telegram en particular, venden Green Pass falsos que aparentemente han sido emitidos por servicios de salud de Polonia o Francia; ya hay varias teorías que explican cómo ha podido pasar. De acuerdo con una de ellas, de alguna forma, los delincuentes obtuvieron una clave cifrada secreta que les permite emitir estos certificados. Si este es el caso, los Green Pass legítimos probablemente deban reemitirse.
De acuerdo con otra teoría, los vendedores tienen cómplices en los sistemas de salud de Francia y Polonia. En este caso, es poco probable que reemitir la clave cifrada sea de ayuda; es labor de las agencias del orden encontrar a los infiltrados.
Actualización del 2 de noviembre del 2021: De acuerdo con las últimas informaciones de los representantes de la Comisión Europea, este incidente no ha sido causado debido a un problema de cifrado con la generación de los certificados o con el almacenamiento de las claves de firma. Lo más probable es que una serie de “personas con credenciales válidas para acceder a los sistemas informáticos nacionales o alguien que haga mal uso de esas credenciales válidas” haya creado los certificados falsos.
Entonces, ¿está comprometido todo el sistema de Green Pass?
Al menos por ahora, los certificados de la mayoría de los países de la Unión Europea siguen siendo tan legítimos como antes. Solo los certificados emitidos en Polonia y Francia están bajo sospecha.
¿Los Green Pass emitidos en Polonia y Francia volverán a emitirse?
Las autoridades de la Unión Europea lo están investigando y, en el peor de los casos, Polonia y Francia tendrán que reemitir los certificados, pero no necesariamente todos. Si los delincuentes no pueden manipular las fechas de emisión, solo algunos deberán ser reemplazados.
¿Puedes comprar un certificado Green Pass falso?
Bueno, no hay nada que evite que gastes tu dinero. Sin embargo, visitar los países de la Unión Europea con un certificado falso no es buena idea. En primer lugar, se revocarán los certificados falsos y, si bien es probable que solo pierdas algo de dinero, también es posible que los clientes se vean envueltos en la misma red policial que los falsificadores. Con un certificado falso, es muy probable que te ganes una larga conversación con los agentes policiales europeos.
Tenemos motivos para creer que esta no será la última estrategia de fraude asociada al sistema de los certificados Green Pass. Lo más probable es que muy pronto aparezcan varias estafas relacionadas. Sin embargo, este incidente también atraerá más la atención de las agencias policiales. Por este y otros motivos, no recomendamos obtener un certificado de un lugar que no sea una institución médica europea.