Había muchas dudas sobre la app de Europa para verificar la edad en Internet. Acaban de hackearla antes de salir

El camino hacia un sistema seguro para verificar la edad en Internet sigue su curso. Mientras en España seguimos esperando el polémico "pajaporte", la Comisión Europea ha decidido tomar la delantera. Hace dos días, la presidenta Ursula von der Leyen, anunció que su propia aplicación oficial ya estaba lista y lanzó una advertencia a las plataformas: "Ya no hay más excusas". 

Bruselas presentó esta herramienta de código abierto asegurando que contaba con "los estándares de privacidad más altos del mundo" para gestionar datos delicados como el DNI o el pasaporte de los ciudadanos. Sin embargo, apenas 48 horas después del anuncio, un usuario ha conseguido hackear la app en menos de dos minutos: ha destapado fallos de diseño que resultan ciertamente desalentadores.

Un hackeo de manual

El hallazgo es obra de Paul Moore, un investigador de seguridad que ha analizado las tripas de la nueva herramienta de Europa (cuyo código es accesible). A través de su cuenta en X, Moore ha publicado un vídeo y una explicación técnica con cierto detalle de cómo ha logrado vulnerar el sistema de autenticación de la app con una facilidad pasmosa.

El problema radica en cómo la app gestiona el PIN del usuario: según explica el experto, cuando se configura la herramienta por primera vez y crea un código PIN, el sistema lo cifra y lo guarda en un directorio de preferencias compartidas. Aquí aparecen dos fallos de diseño:

• El PIN no debería cifrarse y guardarse de esta manera, según Moore, ya que expone los vectores de inicialización a manipulaciones en local.
• Lo más crítico: ese PIN no está vinculado de forma criptográfica a la bóveda de datos que contiene la información de identidad del usuario.

¿Qué implica esto en la práctica? De acuerdo a la investigación, un atacante con acceso al dispositivo puede simplemente ir a los archivos de configuración de la app, borrar los valores cifrados del PIN antiguo y reiniciar el software. Al hacerlo, el sistema permite configurar un PIN nuevo, dando acceso total a las credenciales de identidad que se hayan configurado previamente.

Por si fuera poco, Moore encontró otras vulnerabilidades en el mismo archivo de configuración. El límite de intentos fallidos para meter el PIN es un simple contador numérico que puede resetearse a cero manualmente para seguir probando combinaciones. Además, la obligación de usar biometría (huella o reconocimiento facial) es una simple variable booleana (verdadero o falso) que puede cambiarse a False editando el archivo y saltando así este paso de seguridad.

La promesa de Bruselas, en entredicho

Ante el revuelo generado por este hackeo, el investigador ha querido ser justo aclarando que la documentación actual de la aplicación no la presenta todavía como una versión final lista para producción. Es una versión preliminar de desarrollo, lo que viene a ser una demo.

El problema de esto y lo que preocupa a la comunidad es la disonancia entre la realidad técnica y el discurso político. Mientras que el código muestra vulnerabilidades, la presidenta de la Comisión Europea vendió el producto hace dos días como una solución ya preparada, gratuita y segura.

Como señala Moore, estos no son simples bugs menores que se parchear rápido, sino fallos en los cimientos de la autenticación que hacen preguntarse cómo han podido llegar a una versión de prueba de una app gubernamental. Este tropiezo no es la única crítica recibida: la comunidad Open Source levantó la mano por su dependencia a los servicios privativos de Google.

Aunque suponemos que estos fallos concretos se solucionarán antes del lanzamiento oficial para el gran público, el incidente ha sembrado una semilla de duda. Bruselas quiere que confiemos nuestros documentos e identidad a su herramienta, pero por ahora ha demostrado no estar preparada para evitar una brecha de datos.

Imagen destacada | PxHere

En Xataka Móvil | Europa regala 40.000 bonos de tren para viajar gratis: estos son los requisitos para solicitarlos