Carné de vacunación COVID-19: Hemos podido acceder a datos personales de usuarios, y eso nos preocupa

Desde hace unos días, el carné de vacunación es el documento más solicitado para el ingreso a lugares públicos. El gobierno del Perú ha dispuesto la presentación obligatoria del certificado oficial en papel o su versión digital para verificar que el ciudadano cuenta con las dosis completas de vacunas contra la COVID-19. Muchos han optado por imprimir el código QR para colocarlo en llaveros o tarjetas, pero el riesgo aparece cuando lo comparten en redes sociales.

El certificado de vacunación es un documento al que podemos acceder a través de este enlace, y nos permite saber si el sistema contempla las dosis que nos hemos aplicado contra la COVID-19. El problema está en el QR que debemos y no debemos usar de manera pública.

Cómo ingresar a la web del carné de vacunación del MINSA

Para descargarlo, debes ingresar a la web del carné de vacunación que el Ministerio de Salud ha desarrollado para un rápido acceso. En el sistema aparece una planilla simple que debemos llenar con los datos de nuestro documento de identidad. La fecha de emisión del DNI se encuentra bajo la fecha de inscripción, en la esquina superior derecha y sobre la fecha de caducidad.

Al ingresar con nuestros datos, aparecerá un resumen de las dosis y un botón verde que dice “ver código QR”. Al darle clic, aparecerá una gráfica generada con nuestros datos. Ese código puede ser guardado al capturar pantalla y, luego, ser impreso en un papel.

Adicional a ese código, el usuario puede acceder al certificado completo de vacunación, con el rótulo del Ministerio en la parte superior y con la fecha de nacimiento, el número de DNI y datos personales. Este certificado puede ser impreso también para hacer más práctico su traslado.

Cómo se usa el código QR del carné de vacunación

Para validarlo, el usuario debe presentarlo antes de ingresar a un establecimiento en el que lo soliciten. La persona que revisa ese documento debe hacerlo mediante el aplicativo del Ministerio de Salud o desde la versión web móvil que permite el uso de la cámara.

En teoría, el código QR generado por el MINSA debería redirigir al sitio web para su validación. Sin embargo, algunos códigos QR generados no estarían llegando a ese destino, sino que estarían exhibiendo el certificado completo.

¿La diferencia? En la web del MINSA aparece un botón para “validar QR”, el mismo que debe ser usado por la persona que controla el acceso al establecimiento público. El problema viene cuando usamos Google Lens o aplicaciones de terceros para escanear el código QR, pues ahí obtendríamos el acceso al certificado completo y los datos de los usuarios. A diferencia de este modelo, la validación a través del sistema implementado por el MINSA solo muestra algunos números del DNI y si nuestras dosis han sido completadas.

El fin de semana estuve buscando en redes a usuarios que exhibían sus códigos QR en imágenes, y pude acceder a los certificados sin ningún tipo de restricción. En ese documento, que evidentemente no puedo compartir en su integridad, se muestran los datos que mencioné párrafos arriba.

Códigos QR: la respuesta del MINSA

NIUSGEEK se comunicó con la Oficina General de las Tecnologías de la Información del MINSA. Compartimos la respuesta textual:

"En relación a tu consulta, una de las bondades de la aplicación para validación QR es permitir a los establecimientos realizar una verificación rápida mediante la utilización de pistolas o lectoras de código QR ya sea por software o hardware. En esa línea, la OGTI del MINSA como parte del control de calidad, ha realizado una mejora interna sobre la aplicación, por lo que el día de mañana será liberada la nueva versión de la misma. Esta versión permitirá optimizar la función de validación para que desde cualquier dispositivo lector de código QR se muestre únicamente información relevante que, en marco de la LPDP (Ley de Protección de Datos Personales, nota del Editor), sólo mostrará si la persona está vacunada o no. Cabe recalcar, que esta funcionalidad de mostrar sólo información relevante, sí se realiza utilizando el validador oficial del MINSA, por lo que se busca promover el uso del mismo. No obstante, de acuerdo a lo explicado en el párrafo anterior, se optimizará la entrega de información que se realice desde cualquier validador QR, sin desmedro de seguir promoviendo el uso del validador oficial, esto es porque, se busca prevenir a la población de posibles estafas que se podrían llevar a cabo mediante la  generación de códigos QR falsos que direccionen a URLs simulando ser del MINSA, y engañar así a la población con información de falsos vacunados, atentando con la salud pública".

Esto confirma que, efectivamente, había una brecha de seguridad en el formato usado por el Ministerio de Salud hasta esta nota. Mañana, de acuerdo con la entidad, se aplicará una nueva versión que reduzca la información expuesta.

¿Qué debes hacer con tu código QR?

Simplemente no lo exhibas en redes sociales o por aplicaciones de mensajería. Si simplemente te da la gana de compartirlo bajo tu responsabilidad, trata de añadir un emoji o distorsionar la publicación para que nadie pueda acceder a tus datos desde apps de terceros.

Lo ideal, en este caso, sería que el QR redirija hacia la web del carné de vacunación y que sólo ese sistema sea capaz de desencriptarlo, en beneficio de la privacidad de datos de los peruanos.

Si has logrado imprimir una versión, revisa si ese QR te lleva a la web del carné desde apps de terceros como Google Lens o cualquier otra. Si aparece la web del MINSA, no hay problema. Si aparece tu certificado completo, estamos ante un descuido que debe ser reparado, porque solo el titular debería poder acceder a sus datos personales.