viernes, enero 28, 2022

Cómo la app “SaludAndalucía” generó y subsanó un problema de niveles de seguridad de acceso a datos

Adaptar la usabilidad y la universalidad de las apps que usan la mayoría de los ciudadanos es siempre un reto para la seguridad. Incrementar los mecanismos de seguridad implica aumentar la barrera de entrada y dejar atrás a los menos digitalizados, y al contrario, primar la facilidad de uso y el acceso universal, algunas veces puede llevar a tomar decisiones que, haciendo más fácil su uso y dando más acceso, generan problemas de seguridad.

Figura 1: Cómo la app “SaludAndalucía”  generó y subsanó un problema
de niveles de seguridad de acceso a datos

En este artículo os voy a contar cómo la app de "Salud Andalucía" tenía un problema de privacidad al permitir escalar desde el acceso a los datos de primer nivel a los datos de segundo nivel, y cómo lo han subsanado. 

Figura 2: Acceso a SaludAndalucia

Para poder acceder a la app, después de descargarla y abrirla en nuestro terminal, necesitamos autenticarnos haciendo clic en el botón de ClicSalud+ que está en el medio de la pantalla con forma de engranaje.

Figura 3: Acceso por Datos personales sin tarjeta sanitaria de Analucía

En esta segunda parte es donde viene la "usabilidad" frente a la "seguridad", ya que se ofrecen cuatro niveles de seguridad diferentes, y el último de ellos es simplemente "Datos Personales sin tarjeta de sanitaria de Andalucía", que es el que vamos a elegir para la prueba.

Figura 4: Acceso con Datos Personales

Los datos que se solicitan son DNI y Fecha de Nacimiento, información que por desgracia no es difícil de localizar en la red haciendo un poco de OSINT. Muchos de estos datos se encuentran directamente en el Boletín Oficial de la Junta de Andalucía, y la Fecha de Nacimiento en redes sociales con las felicitaciones de amigos y conocidos, en la propia Wikipedia, etcétera. Vamos, que no parecen datos difíciles de conseguir para muchas personas.

Figura 5: Accediendo con DNI y Fecha de Nacimiento

Para hacer esta prueba he usado datos personales míos, porque no necesitamos usar los de nadie para probar esta primera fase. Lo relevante es que este nivel de seguridad, con los datos que hay en la red, no es ninguna barrera para proteger la información y los datos de las personas, pero lo importante viene ahora, ya que si pulsamos en ClicSalud+ nos salen las opciones de seguridad avanzadas para acceder a datos más sensibles.

Figura 6: Para acceder a las citas nos piden aumentar el nivel de seguridad

Ahora, como vemos en la siguiente pantalla nos piden tres datos, que son el DNI y la Fecha de Nacimiento - que ya nos habían pedido antes - más el Número de la tarjeta sanitaria, que como vamos a ver, la propia app nos lo va a dar.

Figura 7: El único dato extra es el Número de Tarjeta Sanitaria

Como ya hemos entrado en la app, pulsando sobre el icono superior derecho, accedemos desde el mismo nivel en el que estamos a los datos del usuario, y como podemos ver, en ellos está el Número de la Tarjeta Sanitaria, así que resuelto la elevación de seguridad, lo que nos permite, con solo tener el número de DNI y la Fecha de Nacimiento llegar a información sensible.

Figura 8: En la información de usuario está el Nº de la tarjeta Sanitaria

Como el fallo parecía bastante sensible, decidí reportarlo y lo hice vía la Guardia Civil, y ahora la app de SaludAndalucía ha subsanado este fallo de seguridad. ¿Cómo lo ha hecho? Pues muy sencillo. El acceso de menor seguridad es para personas que "de verdad" no tienen tarjeta sanitaria. Así pues, si alguien que tiene tarjeta sanitaria de Andalucía utiliza este acceso con solo DNI y Fecha de Nacimiento recibe el siguiente mensaje.

Figura 9: Se deshabilita el nivel de acceso de
menor seguridad si tienes tarjeta sanitaria

Este es un ejemplo donde querer dar universalidad de acceso rebajando el nivel de requisitos de seguridad, si no se hace correctamente, puede generar un problema de privacidad. Ahora se ha aplicado una corrección que fortifica la seguridad y sigue permitiendo la universalidad de acceso, lo que demuestra que no siempre hay que sacrificar seguridad para conseguir usabilidad o universalidad.

Saludos,

Autor: Vicente de la Varga (Contactar con Vicente de la Varga - Ch3nt3)  

3 comentarios:

  1. Durante muchos años, el acceso a la web para concertar cita previa en Osakidetza solo requería el número de tarjeta sanitaria y la fecha de nacimiento. El número de la tarjeta se daba de forma consecutiva, con lo que podías ir accediendo a la página de todos los usuarios solo con incrementar el número de tu tarjeta y poniendo tu fecha de nacimiento. Cuando dejaban de ser válidos, cambiabas la fecha.
    En la web se exponían datos como nombre y apellidos, centro de salud asignado, y si tenía disponible algunas especialidades como matrona.
    Ahora piden además el primer apellido, lo que hace que ese ataque ya no sea posible.

    ResponderEliminar
  2. Tendría que haber una dirección para reportar esos fallos, todas las organizaciones gubernamentales y empresas grandes deberían de tener un contacto para ello
    ¿Chema por donde les reportaste eso a la GC?

    ResponderEliminar
  3. En el caso del País Vasco tienes https://www.basquecybersecurity.eus/es/ que me imagino que se harían cargo del reporte, de avisar a quien corresponda y de que se tomen las medidas oportunas.

    ResponderEliminar