Plaza Negra al ruso: cómo funciona el mercado de códigos QR falsos y cómo luchar contra su falsificación
08.07.2021
Volver
Desde el 28 de junio, la entrada a los restaurantes y cafeterías de la capital no estaba disponible para aquellos que no tenían un código QR especial. Para obtener este QR uno tiene que ser vacunado, recuperarse de covid en los últimos seis meses o tener reciente prueba negativa de COVID19.
El mismo día, resultó que este código se podía falsificar o intentar comprar por Internet. El presidente ruso, Vladimir Putin, durante la línea directa de junio 30, señaló que ahora también hay muchos ladrones que usan solución salina bajo la apariencia de una vacuna contra el coronavirus. El jefe de estado agregó: a menudo los médicos ayudan a estas personas y les hacen tales inyecciones.
Experto en seguridad de la información SearchInform Alexei Parfentiev: Un estafador puede registrar un dominio cuyo nombre es consonante con el presente (por ejemplo, mos.ru), cargar allí la base de datos con los datos de los compradores en la forma deseada, generar un hipervínculo y convertir la información en un código QR. Se ofrece un "certificado de vacunación" para 10-30 mil rublos rusos ($135-$407), y cualquier "vacunado" puede comprar no un chupete en forma de un código QR falso, sino un identificador verdadero obtenido sobre la base de una entrada en el registro real de los vacunados.
Según los investigadores que verificaron el funcionamiento del esquema, el vendedor transfiere los datos del paciente al proveedor de atención médica, el en su turno emite documentos, ingresa el nombre completo en el registro y el contenido de la ampolla con la vacuna simplemente se vierte. Por desgracia, parece plausible, especialmente porque, según datos oficiales, a mediados de junio, se iniciaron 24 casos penales. En la compra de control, fue atrapado el vendedor, y en otro caso el mensajero.
No quiero plantear preguntas éticas sobre por qué los profesionales de la salud van a la falsificación, es una conversación grande y compleja. Yo, como representante del campo de la seguridad de la información, veo aquí un problema de la infraestructura vulnerable, que está creada por el usuario privilegiado, en este caso el trabajador de la salud.
Desafortunadamente, todavía no hay la solución única que elimine el problema del abuso de acceso de una vez por todas. No existe la solución técnica que pueda reconocer con un 100 por ciento de probabilidad si el empleado realiza cambios legales o no en la base. Siempre es un conjunto de medidas que - a nivel técnico e institucional - reducen drásticamente la probabilidad de abuso.
Todas las soluciones a nivel técnico de protección son conocidas. Estos son herramientas de escaneo completo para detectar el almacenamiento y el acceso inapropiados a los datos (clase de soluciones eDiscovery, DCAP y DAM), un sistema de monitoreo de transmisión de información a través de canales de red y dispositivos de almacenamiento externo (DLP), sistemas de monitoreo de actividad de empleados y herramientas de investigación. Finalmente, todo esto es una adición obligatoria a la distinción estándar de derechos de acceso cuando se trata de riesgos internos. La aplicación de estos medios asegurará que el castigo sea inevitable para el infractor real, porque se registrarán todas sus acciones en el sistema.
Si no hay nada nuevo en este conjunto de software de seguridad, ¿por qué no vemos su uso? La respuesta es ambigua.
Cualquier sistema de TI en el que se procesen los datos personales debe estar protegido de forma segura. Pero hasta ahora, las leyes ven una amenaza mucho más seria en los piratas informáticos en lugar de los insiders. La ley de la protección de datos personales en Rusia solo habla de manera informal y poco específica sobre fugas y fraudes con información por culpa de los propios empleados. Sin mencionar que un número muy pequeño de empresas realmente los cumple.
¿Qué se puede hacer para mejorar la situación?
"En el caso del procesamiento automatizado de datos personales, la organización debe estar obligada a utilizar medios modernos de seguridad.
Este endurecimiento de la ley hará que todos los responsables sepan que la manipulación de la información no pasará desapercibida y que cada episodio de abuso puede ser investigado. A continuación, sólo tiene que aplicar correctamente esta información.
Como especialista en seguridad de la información, aseguro que con la ayuda de DLP siempre se puede desentrañar cualquier crimen, incluido el fraude con la base de datos de los vacunados. Y luego el asunto es el principio: ¿queremos seguir tolerando el tema de la falsificación? En caso afirmativo, los "ejecutantes" de los vendedores y mensajeros seguirán siendo responsables. Y en su lugar aparecerán nuevos aventureros, listos para construir un esquema fraudulento en cualquier lugar donde el Estado permita al menos una laguna mínima”.
Acerca de Alexei Parfentiev: el jefe del Departamento de Análisis de SearchInform, jefe del Comité de Seguridad de la Información (CSI) Russoft.