Os desafios do novo RG Digital em Espanha: "O maior risco está no próprio utente"
Miguel López, diretor geral de Barracuda Networks em Espanha, aborda a importância de manter um meio seguro ante este tipo de inovações
A chegada do RG Digital a Espanha, cuja primeira fase já está ativa desde abril, permite aos cidadãos gerar códigos QR, através de um aplicativo móvel, para a identificação presencial telefonema 'MiDNI'.
Não obstante, nesta etapa inicial, é importante assinalar que este documento digital não poderá se utilizar para viagens nem para realizar trâmites administrativos, uma diferença finque com o RG físico. Apesar disso, se prevê que o sistema evolua e amplie suas funcionalidades no futuro.
A voz dos experientes
Miguel López, diretor geral de Barracuda Networks em Espanha, oferece sua perspectiva sobre esta mudança, que não só implica avanços tecnológicos, sina também desafios em termos de ciberseguridad e protecção de dados.
Nesta entrevista, o experiente aprofunda na importância de manter um meio seguro neste tipo de inovações, destacando a necessidade de proteger tanto a informação pessoal como a integridade do próprio sistema de identidade digital.
--P:Desde sua perspectiva, qual é a eslabão mais débil na segurança do novo RG digital? O aplicativo, o dispositivo do utente ou a conexão com o sistema central?
--R: A eslabão mais débil é provavelmente o utente.
--Que tipo de ataques acha que seriam mais efetivos contra o aplicativo do novo RG digital?
--O verdadeiro é que, a priori, tanto o aplicativo como o sistema que se desenvolveu parecem bastante sólidos. O mais provável é que os ataques não se dirijam directamente contra o aplicativo em si, sina que procurem suplantarla. Isto é, o risco mais comum será o aparecimento periódico de aplicativos falsos nos marketplaces, desenhadas para simular ser este aplicativo de entendimento eletrónico.
--Pode explicar os riscos de entrar num aplicativo que simula ser 'MiDNI'?
--Estas versões fraudulentas poderiam ser descarregadas pelos utentes, quem, sem suspeitá-lo, introduziriam nelas informação pessoal e confidencial. Estes dados acabariam em mãos de aplicativos potencialmente ilegais, cujo objectivo seria explodir essa informação; já seja vendendo-a, monetizándola ou utilizando-a em futuros ataques.
--Parece-lhe mais seguro ou mais fácil de vulnerar que o RG físico?
--É um caso diferente. O RG físico, por exemplo, é relativamente fácil de falsificar, já que basta com fazer uma fotocopia em cor, plastificarla e, se mostra-se rapidamente, pode parecer autêntica em muitas situações. Este tipo de falsificação está ao alcance de praticamente qualquer e pode resultar bastante creíble. Em mudança, o RG eletrónico é, em muitos sentidos, mais difícil de suplantar ou falsificar que o físico. No entanto, o problema não arraiga tanto na tecnologia em si, sina no uso que se faz dela. Como comentava ao princípio, a eslabão mais débil costuma ser o utente.
--Por tanto, pode-se dizer que o RG digital é mais seguro?
--Não se trata necessariamente de que o aplicativo ou o sistema sejam seguros ou não, sina de que muitas vezes o RG eletrónico se instala em dispositivos que não estão devidamente protegidos. Por exemplo, dispositivos que carecem de medidas básicas de segurança ou que não estão configurados correctamente. Ademais, em caso de perda do dispositivo, muitos utentes não sabem utilizar funções como o bloqueio ou apagado remoto, que estão disponíveis em praticamente todos os dispositivos modernos. Esta falta de preparação pode alongar o tempo de reacção ante uma perda, a diferença do RG físico, que se pode anular rapidamente com uma denúncia em delegacia.
--Em caso de perda ou roubo do dispositivo, que riscos reais vê em que um RG esteja vinculado ao móvel?
--Se utilizamos este aplicativo num dispositivo correctamente securizado, que conte com as medidas de segurança adequadas como protecção contra malware, sistemas de defesa em frente a roubos e a possibilidade de apagar os dados de forma remota em caso de perda, e ademais o utente sabe como utilizar estas ferramentas, então não considero que exista um problema de segurança relevante. O fundamental é que o utente tenha os conhecimentos básicos necessários para manter seu dispositivo protegido. Sempre que esteja bem assegurado, o nível de risco se mantém baixo.
--No caso que não esteja bem protegido, poder-se-ia suplantar facilmente uma identidade?
--Se roubam-te o RG físico, suplantar tua identidade pode resultar relativamente fácil. Basta apenas que a pessoa que o utilize tenha um verdadeiro parecido contigo na foto. Com isso, pode apresentar numa loja e aceder a serviços usando esse RG roubado. Um palco similar poderia dar com o aplicativo do RG eletrónico, mas só se o dispositivo roubado não está correctamente protegido. Neste caso, contamos com uma capa adicional de segurança. Se perdes teu móvel com o RG eletrónico instalado, para poder utilizá-lo precisa-se primeiro aceder ao conteúdo do dispositivo.
--A maioria das pessoas utilizam um dispositivo seguro para incorporar seu RG digital?
--O problema é que muitas pessoas ainda utilizam métodos de desbloqueio muito débis, como um simples padrão com a forma da Z do Zorro, que ademais deixa marcas visíveis no ecrã. Isto facilita que qualquer pessoa que recolha o dispositivo possa descobrir facilmente o padrão e aceder ao conteúdo. Por tanto, tudo depende, uma vez mais, do nível de protecção que o utente tenha configurado em seu dispositivo e do uso responsável que faça dele.
--Tem visto implementações similares às do RG digital que tenham fracassado por razões de ciberseguridad?
--A evolução deste tipo de sistemas eletrónicos para a identificação de cidadãos não sempre avança ao ritmo necessário, e isso se deve em grande parte a questões de usabilidade mais que de segurança. Isto é, o verdadeiro repto não está tanto em fazer o sistema seguro, sina em conseguir que seja útil, prático e fácil de usar na vida quotidiana.
--Que é o mais importante neste tipo de soluções?
--O mais importante é que estas soluções possam se integrar de forma efetiva com outros aplicativos e serviços, e que permitam aos cidadãos se identificar sem dificuldades tanto ante administrações públicas como ante entidades privadas.
--Como avaliaria se a app respeita a privacidade do utente?
--Fundamentalmente, pela quantidade de informação que proporciona. Nesse sentido, está muito bem desenhada, já que oferece diferentes níveis de acesso à informação segundo o contexto no que se utilize. Não é o mesmo identificar num hotel que realizar um trâmite legal ante uma administração pública, e o aplicativo permite adaptar a informação que se compartilha à cada caso.
--Gradúa a quantidade de dados pessoais, não?
--Sim, é um de seus pontos fortes. Ademais, a forma em que se entrega essa informação está pensada para minimizar os riscos de uso indevido. Por exemplo, quando se mostra um RG físico num estabelecimento, existe a possibilidade de que alguém faça uma fotocopia e, a partir daí, se perca o controle sobre o uso dessa imagem. Em mudança, com este aplicativo, o que se mostra é um código visual que contém a informação necessária e que, ademais, se desactiva automaticamente depois de uns minutos. Isto reduz de forma considerável a possibilidade de que esses dados sejam reutilizados sem consentimento.
--Então, não há motivos para se preocupar pela recopilación a mais dados dos necessários?
--Este aplicativo não está a recopilar dados adicionais. Isto é, só está a utilizar a informação de teu RG, que já está em posse da administração correspondente, ou, neste caso, da polícia, porque já se encontra registada. Nesse sentido, não me preocupa, já que não é um tema relevante. O que realmente me gera preocupação é em que lugares exigir-nos-ão este tipo de informação. Parece-me mais preocupante, por exemplo, que se tenha obrigado aos hotéis a solicitar uma quantidade considerável de dados. Estamos a proporcionar-lhes uma grande quantidade de informação a uma entidade privada sobre a que não temos certeza de seu nível de segurança. No caso do aplicativo 'MiDNI', não estás a proporcionar nenhum dado à polícia que não tenha já.
