A mitad de semana, la UE anunciaba que ya tenía lista su herramienta para verificar la edad en internet. Ponía sobre la mesa una solución para acreditar identidad a la hora de acceder a servicios en línea, y unificar por fin un método de control para los menores. En apenas 48h ya hay quien ha hackeado la aplicación, pero tiene truco.

Qué ha pasado. Paul Moore, consultor de ciberseguridad, muestra en X las vulnerabilidades de la app que la Unión Europea prometía tener lista. En concreto, la app nos pide crear un PIN de cuatro a seis dígitos para proteger nuestra identidad.

Un pin en teoría cifrado y guardado en un fichero. Moore ha descubierto que, al menos en la versión de la app que ha podido probar, puede borrarse el PIN de cifrado del fichero y entrar al perfil previamente configurado. En otras palabras, basta con borrar una línea de código para acceder a los datos.

Cuál es el fallo. La app, a pesar de que la UE apunta a que ya estaba lista, actualmente no cifra este PIN. Tampoco se ligan las credenciales a un PIN concreto para que, en caso de que alguien intente cambiarlo o eliminarlo, no se pueda acceder a nuestros datos.

Apunta asimismo a que, al menos ahora mismo, la app confía demasiados datos a un fichero editable. Si un atacante accede al mismo, lo tiene bastante fácil para saltarse las capas de protección de la app y utilizar la identidad de otra persona. Termina mostrando cómo la obligación de usar biometría es un variable booleana (verdadero o falso), modificable cambiando "false" y "true" en el archivo editable.

Por qué hay truco. Del dicho al hecho hay un trecho, y la Unión Europea ha lanzado un triple al asegurar que su app "ya está lista". La versión a la que el consultor ha tenido acceso no es la final, es una versión demo en la que las capas de seguridad aún no han sido añadidas.

Más allá de ser bugs menores, son errores estructurales que ni siquiera deberían estar presentes en una versión inicial. La polémica surge al asegurar Ursula von der Leyen que la app está "técnicamente lista", presentarla en una rueda de prensa, y horas después conocerse que aún está en fase de pruebas. Por qué es importante.

Pese a ser una versión pre-producción, el hackeo nos ayuda a hacernos una idea del funcionamiento e interfaz de la app, así como las posibles limitaciones con las que puede contar a nivel de seguridad. De hecho, no sería la primera vez en la que una app de la UE o la administración española ha tenido graves incidentes de seguridad. El 30 de enero de este mismo año, la Comisión Europea detectó indicios de que su plataforma de gestión de dispositivos móviles (en la que almacenan datos de sus empleados) había sido comprometida, y Radar COVID nació en España sin cumplir el RGPD.

Lo que nos ha chivado. La versión inicial de la app de verificación de edad nos muestra una interfaz sencilla en la que, tras introducir el PIN, tenemos tres métodos de verificación. - Mediante nuestro DNI - Mediante pasaporte - Mediante un código QR La app tiene cuatro apartados: bienvenida, consentimiento, seguridad (PIN) y verificación. Serán los desarrolladores de las apps los responsables de integrar esta solución europea en sus apps y, a pesar del fervor de Von der Leyen, aún no hay fecha para su llegada.