Pasaportes Covid: Real, Real Falso, Falso, Falso Real (Actualizado 01/2022)

Una vez analizado el funcionamiento y el formato del pasaporte covid, mientras vamos tras la pista de los pasaportes falsos hemos podido llegar a varias conclusiones. Y antes de empezar a a explicar van algunas recomendaciones:

• No enseñéis por ahí vuestro QR del pasaporte, en redes sociales y demás
• Aseguraros de cuando entráis en un local realmente os leen el QR y no le hacen una foto
• Aseguraros de cuando entráis en un local realmente leen el QR y no lo escanean para sacar el Bash45

A partir de aquí empecemos, el pasaporte lleva unas medidas de seguridad con el QR que hacen que sea difícil de falsificar con un simple photoshop si realmente se tiene la app en los locales para leer los pasaportes.

El código QR son un conjunto de caracteres codificados en base45. Al decodificarlos, se obtiene un JSON y con una pequeña herramienta se puede obtener todos los datos que hay dentro del QR.

Ejemplo de un QR tenemos el bash (omitiremos algunos datos para que nadie lo descodifique pillines 😜) :

FOXN%TSMAHN-H%WKPL9/BP:BCP6M-AH7S1ROT$SD P3-I1-P4GHKG5FNOY2A:ZH6I1$4JN:IN1MPK9V L9L69UE5-6IO1/Q6C-6$T6946QW6H%6/EL.EW56TM68 A.B932QZJDKK9%OC+G9QJPNF67J6JZ6A$Q 466PP33MSD1.V5AQ9GUAW9$E9KD7$48HW4R84OBAU4729LWP4:/6N9R%EPXCROGO CO9FLXQ6Z6NC8P$WA3AA9EPBDSM+Q8H4O670C57Q4BKLP64-HQ/HQ+DR-DP71AAKPAG0I.CB2M9C.PDPOJI7JSTNB95Z/5A+PNBPINQADS2:ROC41KQ%E53X7+-O+I61A6+Y5HO022Q7S4:ZJ::AFIUM97H98$QP3R8BH 89:8W6TU OQW3V4ANYL/R7Z+B:UTEW13TNIRDTP2SHTYFJOFA8C85UT A6AROBO.76 :5ACRZ:6BTEEQFB9UC14F4CGAWGE

Lo pasamos por la herramienta y lo descodificamos (ocultamos datos del paciente)

Datos como el nombre completo, la fecha de nacimiento, el certificado de identificación, la fecha de vacunación, el emisor del certificado, y algunos datos más que podrían hacernos suponer que se trata de los datos de la vacuna. En un principio todos esos datos están fuera del QR en el famoso papel del pasaporte, pero ¿y si se consigue invertir el procedimiento y crear un QR real? Pero vayamos a ver la seguridad.

Lo que evita la falsificación sencilla es que esa cadena está firmada con una clave privada, aunque parece que ya rula por ahí alguna clave privada.

Hasta ahí todo está genial, pero llega el momento de ir a los locales, muchos locales (en bastantes comunidades) no tienen aplicación ni nada por el estilo para leer ese QR y comprobar la veracidad del mismo junto al DNI. Por lo que lo único que hacen es leer el nombre y apellidos que aparecen en el pasaporte lo comparan con el DNI si es que te lo piden porque en ocasiones ni te lo piden y ya está.

Eso hace que sea muy fácil de falsificar con un simple photoshop. ¿Quien tiene esa app o esa herramienta que lee los QR? Por ahora nadie lo sabe, me han pasado una web al parecer de la Generalitat de Catalunya que he intentado probar pero desde mi móvil y funciona solo a veces https://verificacovid.gencat.cat/ y en ocasiones da error. Exsiten muchas aplicaciones para leer pasaportes covid, tan solo hay que entrar en el los store de tu android o tu iphone las descargas y leen el pasaporte, ahora bien no tengo claro si solo leen o absorven esa información y la guardan ¿que pensáis?

Entonces tenemos pasaportes reales que no se pueden leer o que no quieren perder el tiempo en leer uno por uno con una aplicación, solo te piden mostrar el pasaporte y puedes entrar, en ocasiones quizás te pidan el dni.

Luego tenemos pasaportes con photoshop que nadie puede corroborar si son reales, cogen un pasaporte real, cambian el nombre, la fecha de nacimiento, para que cuadre con el DNI y listo. Ya tienes pasaporte, si además sabes en que locales no leen los pasaportes con ninguna aplicación ya tenemos pasaporte falsificado.

Y por último quedan los que vamos rastreando, pasaportes reales, falsificados que al leer el QR dan resultado real y según informan:

“Parece que alguien filtró la clave privada de un país del este de Europa (Rumanía). Con ella firmas cualquier JSON (y creas el QR) y legitimas un pasaporte COVID, sin necesidad de vacuna asociada.”

Xataka

A parte del filtrado de la clave, existe un mercado de pasaportes covid que no usa el filtrado, es decir que se realizan de forma real como si te hubieras vacunado, pero no podemos asegurar que sucede con las vacunas, se supone que las tiran ya que no cometerán el fallo que cometió el enfermero de Grecia que solo inyectaba suero y lo atraparon al darse cuenta que sobraban vacunas.

Desde Brigada Osint vamos tras la pista de estos pasaportes “reales” como si te hubieras vacunado y no de la clave, ya que los de la clave fueron pillados en Rumanía y se detectaron multitud de pasaportes falsificados, por lo que creo que ha esto ya se la ha puesto solución.

Por ahora es difícil meterse en el círculo y tener contactos directos, ya que no corren por telegram sino de persona en persona, hay que dar con la persona concreta. Si sabemos de algunos países europeos donde esto se mueve y en España ha habido un intento pero han sido pillados rápidamente gracias a unos analistas OSINT, por ahora pero tenemos todos nuestros canales de monitorización en alerta, aunque desde Italia han detenido a los administradores de 35 canales de Telegram que vendían falsos pasaportes covid o también llamados greenpass, por esto en Telegram por ahora las cosas deben estar calmadas pero no podemos bajar la guardia.

Así que recapitulando y por resumir:

• Tenemos que muchos locales no tienen o no quieren usar la herramienta para validar los pasaportes por lo que no pueden comprobar si son reales o no y lo hacen a ojo, miran el nombre miran el dni y adentro
• Tenemos pasaportes reales pero que no se pueden validar
• Tenemos pasaportes reales que validan pero no te piden el DNI
• Tenemos pasaportes con photoshop que no se pueden validar
• Tenemos pasaportes “reales” falsificados con la clave que se filtro
• Tenemos pasaportes reales asignados a una vacuna real que no se ha inyectado y quizás se haya tirado a la basura

Respecto a la Ley de Protección de Datos, como siempre hemos dicho la Agencia de Protección de Datos no vela por la privacidad de los usuarios ni los protege, simplemente es una agencia recaudadora que multa a los que incumplen la ley pero esta hecha para la protección del usuario, pero hemos querido saber que hacer ante la instauración del Pasaporte Covid en la Comunidad Valenciana, nos hemos puesto en contacto con ellos y su respuesta ha sido la siguiente:

En referencia a su consulta debemos informarle que sobre la resolución de 25 de noviembre de 2021, de la Consellera de Sanidad Universal y Salud Pública, por la que se acuerdan medidas en materia de salud pública respecto del acceso a determinados establecimientos en el ámbito de la Comunidad Valenciana, como consecuencia de la situación de crisis sanitaria ocasionada por la Covid-19, se ha dictado Auto por el TRIBUNAL SUPERIOR DE JUSTICIA DE LA COMUNIDAD VALENCIANA

SALA DE LO CONTENCIOSO-ADMINISTRATIVO SECCION CUARTA por el que se acuerda autorizar las medidas adoptadas en dicha resolución.

La referida autorización se efectúa por considerar que concurren los requisitos exigidos:

• Competencia de la Consellera de Sanidad Universal y Salud Pública para la adopción de las medidas sometidas a control judicial.
• La Ley Orgánica 3/1986 (de Medidas Especiales en Materia de Salud Pública), puesta también en relación con la Ley 14/1986 (General de Sanidad), Ley 33/2011 (General de Salud Pública) y -en nuestro específico ámbito autonómico- Ley 10/2014 (de Salud de la Comunitat Valenciana), proporcionan ab initio suficiente cobertura normativa sustantiva para la adopción de medidas sanitarias limitativas -no suspensivas- de libertades y derechos fundamentales.
• Se trata de una medida susceptible de conseguir el objetivo propuesto, con lo que queda cumplimentado el juicio de idoneidad
• Son medidas necesarias en el sentido de no conocerse otras medidas más moderadas para la consecución del propósito con igual eficacia (juicio de necesidad)
• También considera que las medidas son proporcionadas en sentido jurídico estricto, conceptuando estas medidas como equilibradas, por derivarse de ellas más beneficios para el interés general -contención de la pandemia- que perjuicios sobre otros bienes o valores en conflicto (juicio de proporcionalidad)

Finalmente, le informamos de que también se señala en dicho Auto que “La aplicación de la medida a todo el ámbito geográfico de nuestra Comunidad aparece justificada por la Administración. Recordamos aquí -entre otras cosas-: (i) que la situación de empeoramiento y tendencia ascendente se da en todos los departamentos de salud (es decir, es una situación homogénea en todo el territorio de la Comunidad Valenciana), y (ii) la movilidad entre municipios apreciada en anteriores olas entre aquellos que tenían restricciones y los que no”. También se juzga proporcionado el período solicitado de duración de la medida (treinta días naturales).

Básicamente que se lava las manos y que ya podéis denunciar lo que queráis que esas denuncias no iran a ningún sitio, por si alguien estaba pensando en oponerse a mostrar el pasaporte covid, lo de la intimidad, la sanidad y demás no sirve para nada en el caso del Covid, por mucho que abogados de Tik Tok os digan que si la Constitución que si la ley tal y cual, NO, la misma delegación de la Comunidad Valenciana lo deja claro, aunque si quieres dejarte un dinerito en abogados, juzgados, de poco servirá.

Para acabar, el pasaporte covid ¿sirve solo para arrinconar y no dejar entrar a los no vacunados a ciertos espacios o sirve para algo más? porque realmente un vacunado, con pasaporte covid contagia también y se puede contagiar.

Entonces hablemos del QR, teniendo la herramienta necesaria para la lectura de esos pasaportes, implica algo más que pocos se han parado a pensar, cuando leen el QR dejan una señal, un registro en donde has estado y a que hora, a donde vas, de donde vienes, el servidor registra esos movimientos asignados a ese QR, QR que esta asignado a ti y solo a ti, por lo que se consigue tener un seguimiento de todos y cada uno de los pasos realizados de los que tienen pasaporte covid, aunque digan que te digan que no, en el servidor queda registrada una petición de datos que confirma que el QR es verdadero y queda día y hora, y a falta de ver la herramienta (que nadie ha visto) igual deja hasta el lugar en el que has estado. Ya se que no importa la privacidad, que no tienes nada que ocultar, esas frases las conocemos bien y en ocasiones os lo agradecemos 😉 Pero quizás en más de una ocasión no querrás que se sepa que has estado en un sitio (tu sabrás porque) pero cuando lean tu pasaporte covid, habrás dejado rastro, mmmmmm! Pero vamos un poco más allá, solo es para usarlo como pasaporte o en futuro no muy lejano ¿será para algo más?

Pues hemos visto este vídeo, no es que seamos unos antivacunas unos negacionistas ni nada por el estilo, pero siempre hemos abogado por la privacidad y este vídeo nos ha hecho pensar y mucho, algo que llevábamos tiempo pensando, el funcionamiento y el porque de un registro así, si realmente un vacunado y un no vacunado contagian y se contagian (unos más otros menos) entonces detrás del QR podría haber algo más, el vídeo dura 17 minutos pero vale la pena:

Por supuesto y para acabar también pasa con los famosos menus de restaurante que en vez de darte carta porque contamina covid se supone, te obligan a leer un QR desde el móvil ¿pero que datos recoge el server cuando lees esa supuesta carta en QR? pues dia, hora, que móvil, sistema operativo…y a saber cuantas cookies aceptas, cosas que por supuesto la Agencia de Protección de Datos no ha contemplado y al usuario no se la informado al leer la carta del restaurante de que datos se estaban recopilando ni los ha aceptado 😉 AEPD…¿que hacemos con esto?