Desde el robo de datos personales a la ‘sextorsión’: los ciberriesgos que presenta la aplicación Cartera Digital Beta

La nueva aplicación Cartera Digital Beta, que tiene como objetivo evitar que los menores accedan a pornografía ‘online’, también presenta algunos riesgos, ya que utiliza datos personales de los usuarios, motivo por el que la posibilidad de que este servicio registre fallas que deriven en el robo o uso indebido de la información, problemas de ‘sextorsión’ o la venta de datos en el mercado negro. El Gobierno de España anunció a principios de esta semana que pretendía implementar un sistema de verificación de edad para restringir el acceso de niños a páginas web con contenido erótico y no apropiado para su edad, que funcionará a través de una aplicación móvil. Se trata de Cartera Digital Beta, anunciada por el ministro para la Transformación Digital y de la Función Pública de España, José Luis Escrivá, que se prevé que llegue a finales de este verano para ofrecer un sistema “muy cómodo y muy fácil”, que “no va a generar ningún problema”, aunque requerirá “un pequeñín esfuerzo” por parte de los adultos. Con este nuevo servicio, los españoles podrán registrar su edad utilizando un documento oficial, como el DNI electrónico, certificados cualificados o las claves concertadas del sistema Cl@ve (Cl@ve PIN, Cl@ve móvil o Cl@ve permanente). Una vez presentada esta documentación, la aplicación verifica la edad de dicha persona y genera una credencial anónima que permite acceder a sitios web y portales de contenido pornográfico, tal y como se explicó en la presentación de la ‘app’. Cuando la persona en cuestión intente acceder a un sitio de este tipo, se le consultará la edad mediante la lectura de un código QR. Tras ello, Cartera Digital Beta compartirá una credencial de acceso si determina que quien desea consumir el constenido es un adulto, bloqueando a los menores el acceso a la web seleccionada. Según ha explicado la directora general de Gobernanza Pública, Carmen Cabanillas, las credenciales de acceso permiten que sea un sistema “totalmente anónimo”, de modo que se utilizarán para evitar que la navegación sea rastreable a través de los hábitos de consumo. En total se podrá generar hasta 30 credenciales -cada una de ellas se podrá usar hasta 3 veces en un mismo sitio web- cada 30 días, que caducarán pasado este tiempo. EFICIENCIA DE LA APLICACIÓN Esta iniciativa proviene del Reglamento de Servicios Digitales (DSA) de la Unión Europea (UE). Concretamente, de la actualización del Reglamento sobre la identificación electrónica y los servicios de confianza (eIDAS2), que establece que, a partir del año 2027, todas las plataformas de contenidos digitales de la UE deberán verificar la mayoría de edad de sus usuarios. Al respecto, la plataforma española Xnet, enfocada en los derechos digitales de los usuarios, ha opinado acerca de esta aplicación, con los que ha puesto en duda su eficacia. Por ejemplo, ha indicado que sería más conveniente que una persona pudiese demostrar que es mayor de edad sin asociarlo a su fecha de nacimiento o sus datos personales. Por otra parte, Xnet ha recordado que la mayoría de las páginas web porno no se alojan en España, si no que sus servidores están repartidos por todo el mundo, lo que contrasta con el procedimiento de la ‘app’ comentada, que está planteada para bloquear sitios web que operen desde España. Esto hace que para los usuarios sea más sencillo utilizar un sistema de VPN -con el que se puede fijar la ubicación del dispositivo en otro país-, para evadir el sistema de verificación de edad y evitar “hacer este trámite burocrático cada mes para apenas tres visitas”, ha apostillado Xnet. CIBERRIESGOS DE LA CARTERA DIGITAL BETA La aplicación Cartera Digital Beta también presenta otras problemáticas de ciberseguridad debido a que la existencia de una herramienta que permite filtrar quien accede a un contenido u otro requiere disponer de información personal, lo que puede poner en riesgo la privacidad de los ciudadanos. Así lo ha señalado la firma de ciberseguridad Panda, que también ha advertido que la eficiencia de esta aplicación “es bastante dudosa”, coincidiendo con las indicaciones de la plataforma Xnet, formada por activistas que apuestan por una internet libre y una democracia real. Al respecto, la compañía ha matizado que esta aplicación la ha desarrollado un grupo de trabajo interministerial en alrededor de 9 meses; un periodo que “no es un tiempo prudencial para emitir una solución definitiva”, teniendo en cuenta de que se trata de una ‘app’ que “trabaja con los datos de las personas que consumen pornografía en un país”, tal y como ha señalado el Global Consumer Operations Manager de Panda Security, Hervé Lambert. Además de este apunte, Panda ha señalado que es “fundamental” que se garantice que esta información se almacene y procese de manera segura para evitar filtraciones o robo de datos por parte de ciberdelincuentes. Al igual que cualquier otra aplicación, la Cartera Digital Beta puede presentar vulnerabilidades explotables “de mil formas distintas”. Por tanto, ha subrayado que los sistemas deben someterse de forma periódica a pruebas de penetración y a auditorías de seguridad. También se deberán corregir las vulnerabilidades potenciales que, según ha adelantado la compañía “no dejarán de surgir”. No obstante, ha remarcado que el hecho de que personal autorizado pueda manipular estos datos sensibles -en referencia al Gobierno- “ya es un riesgo en sí mismo”. En caso de que se consiga filtrar esta información a causa de un accidente o de un ciberataque, nombres, direcciones o números de documentos de identidad estarán a disposición de personas externas, que podrían usarlos con fines no autorizados. Como ha indicado Panda, estos usos pueden ir desde el marketing digital hasta la venta de datos a terceros, lo que infringe la privacidad de los usuarios y los expone a posibles amenazas. Además, la firma de ciberseguridad ha expuesto que, si un gran número de personas llegase a utilizar esta ‘app’, se puede generar una base de datos centralizada con información sensible que amplificaría las consecuencias ante una posible brecha de seguridad. Por otra parte, la compañía también advertido que, en caso de interceptar la identidad de los usuarios, los ciberdelincuentes podrían utilizar esta información para llevar a cabo ‘sextorsión’ u otros timos basados en el chantaje emocional. En estos casos, exigen dinero a cambio de no revelar información que les pueda comprometer. Siguiendo esta línea, los datos también podrían llegar a la ‘dark web para ponerlos a la venta, de manera que otros ciberdelincuentes adquieran los nombres o los documentos de identidad para llevar a cabo suplantaciones y actividades fraudulentas. Incluso, Panda ha manifestado que se podría crear un mercado negro de certificados, en el que los menores de edad puedan comprar credenciales de acceso y continuar accediendo a contenido pornográfico. Así, podrían robar las credenciales de familiares mayores de edad y luego venderlas a conocidos o a través del mercado negro. Además de todo ello, Panda ha planteado otras cuestiones relacionadas a la privacidad de los usuarios, como el hecho de que controlar la actividad de los usuarios “podría abrir la puerta a clasificaciones de los ciudadanos según su actividad en Internet”. Con todo ello, Lambert ha sentenciado que, aunque es necesario que se tomen medidas de este tipo, “esta ‘app’ no va a erradicar el problema de consumo de pornografía entre los menores” y que, sin embargo, sí plantea problemas de ciberseguridad y privacidad para las personas que la vayan a utilizar. “Si este tipo de acciones no se acompañan de planes de educación a largo plazo, simplemente estaremos poniendo parches en una herida que requiere un análisis y un tratamiento muy profundos”, ha concluido Hervé Lambert.