La aplicación móvil de verificación de edad impulsada por la Comisión Europea presenta vulnerabilidades que permiten alterar su funcionamiento en menos de dos minutos, según ha demostrado el consultor de seguridad Paul Moore. El anuncio llega pocos días después de que Ursula von der Leyen avanzara que esta herramienta está prácticamente lista.
La prueba expone varios fallos en el sistema de protección del acceso. Uno de los puntos más sensibles afecta al PIN que pide la aplicación al usuario. Ese código se cifra y se guarda en el directorio shared_prefs del dispositivo, pero no queda vinculado de forma criptográfica al contenedor donde se almacenan los datos de identidad.
Reinicio del PIN sin perder las credenciales
Esa separación permite que un atacante elimine los valores PinEnc y PinIV del archivo de configuración, reinicie la aplicación y establezca un nuevo PIN sin perder el acceso a las credenciales ya generadas. En la práctica, el sistema puede quedar expuesto a una reasignación del código de acceso sin necesidad de invalidar la identidad previamente almacenada.
Moore también ha comprobado que la limitación de intentos no resulta efectiva. El sistema de control se basa en un contador guardado en ese mismo archivo de configuración y puede reiniciarse manualmente. Eso abre la puerta a realizar intentos ilimitados.
La biometría también puede desactivarse
La autenticación biométrica tampoco queda blindada. El mecanismo puede anularse modificando el valor booleano UseBiometricAuth en el archivo de configuración. Con ese cambio, la aplicación deja de exigir esa capa adicional de verificación.
Más allá de los fallos técnicos, la crítica principal se dirige al propio diseño del sistema. Moore sostiene que el proceso de validación web y la verificación en el dispositivo funcionan de manera separada y sin una comprobación real de quién está usando el terminal en ese momento.
"Incluso si la aplicación funciona exactamente como se diseñó, el sitio web y el proceso de verificación están completamente desacoplados y son anónimos. La arquitectura asume que enviarás la solicitud a tu dispositivo, que contiene tus datos biométricos. Pero puede ir a cualquier dispositivo, en cualquier parte del mundo y como el teléfono no tiene forma de saber quién inició el proceso, el niño aún pasa la verificación de edad" - Paul Moore, consultor de seguridad
La verificación se asocia al dispositivo, no al usuario
El experto resume el problema en un punto de fondo. La aplicación no acreditaría de forma efectiva la edad de la persona que la usa, sino la del propietario del móvil donde están cargadas las credenciales. La validación se asocia al dispositivo Android, no a la identidad real del usuario en cada acceso.
"La afirmación es que el usuario es mayor de 18 años. En realidad, la aplicación responde que el propietario de este dispositivo Android es mayor de 18 años. No sabe quién es el usuario... ¿cómo puede saber su edad? Este es el diseño actual, no un error" - Paul Moore, consultor de seguridad
La demostración reabre el debate sobre la fiabilidad del futuro sistema europeo de verificación de edad justo cuando su despliegue parecía inminente. Las objeciones planteadas afectan tanto a la protección técnica de la aplicación como a la validez del modelo elegido para acreditar la mayoría de edad.