El DNI electrónico ha sido vulnerado.
La seguridad del DNI electrónico, el más común en uso ahora mismo, ha sido comprometido, según el Ministerio de Interior de España. Por ello, desde el ministerio han decidido bloquear el uso de certificados electrónicos hasta nuevo aviso, con motivo de garantizar «la máxima seguridad y confidencialidad en la utilización de la autentificación y firma electrónica en España».
La vulnerabilidad ha sido descubierta por una universidad de la República Checa, y el gobierno lo está estudiando, por lo que aún no está confirmado, aunque por precaución han preferido desactivar las funcionalidades de certificado digital.
La misma vulnerabilidad había tenido lugar anteriormente en Estonia y es por ello que se han tomado estas medidas cautelares. En el estudio se detalla que los DNI españoles podrían ser vulnerables a un ataque informático muy organizado, según como ha comunicado un portavoz del Cuerpo Nacional de Policía a El País.
Cómo saber si estamos afectados
Se han desactivado, concretamente, los DNI expedidos a partir de abril de 2015. La entidad que está estudiando el fallo es el Organismo de Certificación español, tal y como ha detallado la Dirección General de la Policía.
Para saber si estamos afectados, tendremos que consultar el número IDESP, también conocido como SPORT o NUM. Si este número es mayor a ‘ASG160.000’, quiere decir que nuestro DNI fue expedido después de abril de 2015, por lo que estamos afectados.
¿Necesito renovar mi DNI?
En principio, al menos por ahora, no será necesario renovar el DNI. Es decir, este sigue siendo válido, aunque no tendrá disponible la función de certificado digital. Para el resto de menesteres, podremos seguir usándolo con normalidad. No obstante, si necesitas el certificado electrónico con urgencia, tendrás que actualizarlo, pues los nuevos no vendrían con este fallo de seguridad.
Está por ver si en un futuro todos los afectados tendrán que renovar su DNI, o si simplemente se realiza una actualización en la institución pertinente. En cualquier caso, se implementará una solución en fechas próximas.
Paralizada la creación de nuevos certificados digitales
Por ahora se ha paralizado la creación y renovación de nuevos certificados digitales. Se puede renovar el DNI sin problemas, pero no nos darán el certificado digital. No hay ningún problema con el documento, la única diferencia es que no tendremos certificado.
Si lo queremos, tendremos que acudir otro día a comisaría y gestionarlo nosotros mismos en las máquinas automáticas. Por el momento no hay día en el que volverán a estar disponibles. Tendremos que esperar.
Las auto-máquinas presentes en las comisarías también permanecen apagadas por el fallo informático. Es decir, además de no poder expedir nuevos certificados, tampoco permiten realizar ninguna otra gestión.
Cómo funciona la vulnerabilidad
Hace 3 semanas, ARS Technica explicó cómo funciona la vulnerabilidad que afectó a millones de ciudadanos de la Estonia, donde se descubrió el fallo. Al parecer, la vulerabilidad se encuentra, concretamente, en una librería que usan este tipo de sistemas de autentificación. A través de la clave pública, sería posible hallar la clave privada.
Esto, propicia que se pueda suplantar la identidad de una persona, con lo que se podrían descifrar datos sensibles de la persona afectada. En el caso de Estonia, la situación era algo más complicada, pues los DNI afectados eran los emitidos a partir de 2014. Y es que en realidad, esta librería fue diseñada en 2012 por una empresa alemana. Es decir, que hay muchos otros sistemas comprometidos.
De momento no se conocen usos de esta vulnerabilidad, ni en la geografía estoniana ni en la española. Además, se advierte, por ejemplo, que usar esta vulnerabilidad en una votación sería inasumible. El propio fabricante de chips ha tratado de relajar la situación.