La Comisión Europea presentó este miércoles una nueva aplicación diseñada para verificar la edad de los usuarios en redes sociales y garantizar que las plataformas cumplan con los límites de acceso establecidos para menores.
La herramienta forma parte de un programa piloto que se está implementando en países como Francia, Dinamarca, Grecia, Italia, España e Irlanda, mientras se afinan sus detalles antes de un posible despliegue más amplio.
Un consultor de seguridad pone a prueba el sistema
Sin esperar a la publicación de especificaciones técnicas completas, el consultor de seguridad Paul Moore decidió analizar el funcionamiento de la aplicación. Tras sus pruebas, aseguró haber conseguido vulnerarla “en menos de dos minutos”, una afirmación que rápidamente generó debate en torno a la robustez del sistema.
Moore compartió su análisis en la red X, donde además publicó un video explicativo sobre los problemas de privacidad que identificó durante sus pruebas.
Fallos en el diseño del PIN y almacenamiento de datos
Según su evaluación, la aplicación solicita un PIN de entre cuatro y seis dígitos para el acceso inicial, el cual queda encriptado y almacenado en un fichero interno. Sin embargo, Moore cuestionó este enfoque al señalar que el PIN no debería estar cifrado, calificándolo como un “diseño realmente deficiente”.
“Entonces, un atacante puede simplemente eliminar los valores PinEnc/PinIV del archivo shared_prefs y reiniciar la app”, comentó Moore.
Además, indicó que este elemento no estaría vinculado criptográficamente al repositorio que almacena los datos de identidad, lo que abriría posibles brechas de seguridad.
Manipulación del archivo y acceso no autorizado
El consultor explicó que logró modificar el sistema eliminando ciertos valores del archivo interno de la aplicación. “Un atacante puede simplemente eliminar los valores PinEnc/PinIV del archivo shared_prefs y reiniciar la app”, señaló en su análisis.
Tras este proceso, afirmó que fue posible acceder nuevamente al perfil previamente configurado y, al establecer un nuevo PIN, la aplicación habría mostrado credenciales antiguas como si fueran legítimas.
Otros posibles puntos débiles detectados
Más allá del sistema de PIN, Moore también identificó posibles vulnerabilidades en otros parámetros de la aplicación, como el ‘rate limiting’ y la función ‘UseBiometricAuth’, la cual estaría implementada como una variable booleana susceptible de ser omitida.
Advertencia a la Comisión Europea
El consultor envió además un mensaje de advertencia a la presidenta de la Comisión Europea, Ursula von der Leyen, al señalar: “Este producto acabará provocando una gran brecha en algún momento. Es solo cuestión de tiempo”.
Una versión aún en desarrollo
A pesar de las críticas, se recuerda que la aplicación probada no corresponde a la versión final. Según lo indicado por von der Leyen, la herramienta estará lista “muy pronto”, aunque sin un calendario definido. Por ahora, continúa en fase piloto en varios países europeos mientras se evalúan mejoras y ajustes de seguridad.
*Con información de Europa Press.