Estafadores no identificados venden certificados verdes (certificados requeridos para viaje o acceso a muchos lugares públicos y eventos en la Unión Europea) en foros de cibercriminales y en canales de Telegram. Para demostrar sus capacidades y atraer clientes potenciales, crearon un certificado verde emitido a nombre de Adolf Hitler. Lo que tal vez es lo más perturbador, es que el código QR pasa la verificación de la aplicación como válido. Esto plantea varias preguntas, las cuales intentaremos contestar en esta publicación.
¿Qué es el certificado verde?
Es un certificado que verifica que su propietario ya fue vacunado, se recuperó recientemente de COVID-19, o recibió un resultado de prueba negativo de no más de 48 horas (para prueba rápida) o 72 horas (para PCR). El certificado incluye un código QR que se puede validar con una aplicación. El certificado verde es un documento estándar en los países de la Unión Europea y en algunos otros (como Israel, en donde se desarrolló inicialmente, Turquía, Islandia, Ucrania, Suiza, Noruega y algunos otros.
Por lo general, las instituciones médicas emiten los certificados verdes. Dependiendo del país, es posible que se requiera un certificado verde para viajar; para visitar bares, restaurantes, museos y eventos públicos; en instituciones educativas; e incluso para trabajar. El certificado verde también existe en formato físico, pero lo más común es una aplicación que muestra un código QR para verificar el certificado.
Cómo los atacantes pueden firmar los certificados falsos
Algunos comerciantes sospechosos en el Internet y en los canales de Telegram en particular venden certificados verdes falsificados que aparentemente fueron emitidos por los servicios de salud en Polonia o Francia. Varias teorías explican cómo sucedió. De acuerdo con uno, de alguna manera, los criminales obtuvieron una clave criptográfica secreta que les permite emitir estos certificados. Si este es el caso, los certificados verdes legítimos probablemente deban reemitirse.
De acuerdo con otra teoría, los vendedores tienen cómplices en los sistemas de salud de Francia y Polonia. En este caso, es poco probable que reemitir la clave criptográfica sea de ayuda, las agencias policiales deberán encontrar a los infiltrados.
Actualización al 2 de noviembre de 2021: De acuerdo con la información más reciente de los representantes de la Comisión Europea, el incidente no fue causado por un problema de criptografía con la generación de certificados, o con el almacenamiento de las claves de inicio de sesión. Lo más probable es que los certificados hayan sido creados por “personas con credenciales válidas para acceder a los sistemas informáticos nacionales, o alguna persona que hiciera mal uso de estas credenciales válidas.”
¿Todo el sistema de certificados verdes está comprometido?
Por ahora, al menos, los certificados verdes en la mayoría de los países de la Unión Europea siguen siendo tan legítimos como antes. Solo los certificados emitidos en Polonia y Francia están bajo sospecha.
¿Los certificados verdes emitidos en Polonia y Francia volverán a emitirse?
Las autoridades de la Unión Europea están investigando. En el peor de los casos, Polonia y Francia tendrán que reemitir los certificados, pero no necesariamente todos. Si los malhechores no pueden manipular las fechas de emisión, entonces solo algunos deberán ser reemplazados.
¿Puedes comprar un certificado verde falso?
Pues nada evita que gastes tu dinero. Sin embargo, visitar los países de la Unión Europea con un certificado falso no es buena idea. En primer lugar, se revocarán los certificados falsos, y, si bien, es probable que solo pierdas algo de dinero, también es posible que los clientes se vean envueltos en la misma red policial que los falsificadores. Con un certificado verde falso, es muy probable que te ganes una larga conversación con los agentes policiales europeos.
Tenemos motivos para creer que este no será el último esquema de fraude asociado con el sistema de certificados verdes. Lo más probable es que muy pronto aparezcan varias estafas. Sin embargo, este incidente también atraerá más atención de las agencias policiales. Por este y otros motivos, no recomendamos obtener un certificado verde de un lugar que no sea una institución médica europea.