Qué ha pasado con la vulnerabilidad de Radar COVID y el supuesto acceso de Amazon a los datos de los usuarios

Qué ha pasado con la vulnerabilidad de Radar COVID y el supuesto acceso de Amazon a los datos de los usuarios
1 comentario Facebook Twitter Flipboard E-mail

Durante las últimas horas ha surgido la polémica con Radar COVID, debido a una supuesta brecha de seguridad que permitía el acceso por parte de terceros a los datos de los usuarios. Desde la propia Secretaría de Estado de Digitalización e Inteligencia Artificial afirman haber corregido esta situación, de la cual hay varios puntos que pueden no quedar claros.

Vamos a explicarte qué ha sucedido, cómo se le ha intentado poner arreglo desde la secretaría y cuál es el escenario que se planteaba.

Radar COVID utiliza AWS, pero la compañía asegura que no accede a datos de sus clientes

Radar Covid

Radar COVID utiliza AWS (los servicios en la nube de Amazon) para mandar datos al servidor. Como ya vimos analizando el código de la app, esta tan solo envía datos fuera del teléfono cuando vamos a informar sobre un positivo. Es decir, cuando ya nos han dado el código e informamos sobre nuestro positivo.

Tras conocerse el uso de la herramienta de Amazon, han surgido dudas acerca de si Amazon puede tener acceso a los datos de los usuarios. Para responder a esta pregunta hemos consultado a Linuxct, colaborador habitual en XDA Developers y en Xataka Android.

El experto nos explica que, aún en el hipotético caso de que Amazon accediese a la comunicación de positivos, no podría tener acceso a ningún dato sensible del usuario

Él nos explica que, en caso de que el servidor de Amazon donde se aloja la información que envía Radar COVID estuviese en Europa (Amazon EC2 Frankfurt/París/Milán etc.), técnicamente, sería posible que esta información quedase al alcance Amazon. No obstante, Amazon tan solo podría conocer de dónde a dónde se están enrutando los datos. Es decir, tener constancia de que alguien se está comunicando con el servidor, pero no quién ni de qué manera.

"No es una brecha de seguridad, solo se plantea un escenario hipotético de que algún proveedor con capacidad de intención de acceder a los datos pudiera detectar la comunicación de positivos. En cualquier caso, la última actualización solventaba esa posibilidad introduciendo el envío aleatorio de códigos falsos para "esconder" el tráfico real y eliminar ese escenario hipotético. El código está abierto, así que no se puede ser más transparente". SEDIA

Cualquier información de usuario está sujeta a la GDPR, por lo que Amazon, en el hipotético caso de que tuviese acceso a cualquier tipo de dato del usuario, no podría consultarlo de forma tan sencilla. También hay que tener en cuenta que la app no va ligada a datos personales, sino que envía códigos aleatorios desligados del usuario. Radar COVID, en base a lo visto en su código fuente, cumple los estándares actuales de seguridad, aunque desde SEDIA admiten que se puede llegar a crear este supuesto escenario en el caso de Amazon.

Nube

Del mismo modo, desde AWS nos explican que los datos alojados en la nube de Amazon son propiedad del cliente y que en ningún caso la compañía accede a datos de sus clientes.

"Como en cualquier otro caso, los datos alojados en la nube de AWS son propiedad del cliente y se mantienen bajo su control. AWS no accede a los datos de sus clientes y el caso de Radar COVID no es una excepción". AWS.

La solución al hipotético escenario, según indica SEDIA a Xataka Móvil, ha sido actualizar la app para que introduzca el envío aleatorio de códigos falsos. De esta forma tratan de "esconder" el tráfico real, con el fin de enmascarar los datos que se envían al servidor.

Radar

Según el código de la app, el funcionamiento de la misma hace que los datos sensibles sean, a priori, innaccesibles incluso para dicha compañía, amén de que Amazon afirma que no se tratan los datos de sus clientes. El único momento en el que Radar COVID saca los datos del terminal es al enviar la comunicación del positivo, mediante la generación de claves aleatorias que no van vinculadas al paciente.

Comentarios cerrados
Inicio