El DNI electrónico se queda sin firma digital
Un fallo de seguridad afecta a todos los carnets expedidos desde abril del 2015 La vulnerabilidad ha obligado a Estonia a retirar la autorización a 750.000 certificados
L a Policía Nacional ha anunciado que el certificado digital de los DNI electrónicos que fueron expedidos desde abril del 2015 ha dejado de funcionar para realizar trámites y no podrá utilizarse hasta que pueda actualizarse debido a un fallo de seguridad, que fue alertado por investigadores de una universidad checa a principios de noviembre.
Según la policía, el fallo de seguridad está siendo analizado por el Organismo de Certificación, dependiente del Centro Nacional de Inteligencia y Centro Criptológico Nacional, que es quien revisa la seguridad de los dispositivos vinculados a la Administración, como la última versión del DNI electrónico, la 3.0, el pasado febrero.
Los DNI electrónicos que pueden verse afectados son los que tienen el número de soporte posterior al ASG160.000 y fueron expedidos a partir de abril del 2015. Según la Policía, hasta que en «fechas próximas» no se implementen las soluciones técnicas necesarias, se desactivará la funcionalidad de los certificados digitales de parte de los actuales DNIe. Hasta entonces solo se podrá realizar la firma electrónica con otros certificados, como los que emite la Agencia Tributaria, entre otros organismos.
Cuando esté disponible la actualización de seguridad del DNI electrónico, los titulares de los documentos tendrán que ir a actualizarlos a las oficinas de documentación. La Policía afirma que el DNI electrónico sigue siendo válido como documento de identificación y para viajar a los países de la UE.
El fallo de seguridad detectado afecta a la versión de los DNI construidos con un chip de la empresa alemana Infineon Technologies, que fue descubierto a principios de enero. Los descubridores fueron un equipo de informáticos vinculados a la Masaryk University, en Brno (República Checa), que es puntera en investigación criptográfica, que comunicaron a Infineon el fallo el 1 de febrero.
YA SOLUCIONADO Entre febrero y octubre, el fabricante y los investigadores trabajaron en un parche para solucionar el problema. Y el 2 de noviembre expusieron el fallo y su solución en un importante congreso de seguridad, el ACM CCS 2017, que se celebró en Dallas (EEUU).
La vulnerabilidad se conoce como ROCA y permite ataques informáticos utilizando la parte privada de la clave de seguridad, porque hace que el algoritmo que genera el código pierda información durante las transacciones, lo que podría ser aprovechado por un atacante. La mayoría de los grandes fabricantes de ordenadores, como Lenovo, Microsoft o Google, ya han ido publicando una actualización de seguridad para resolver el fallo, que, según sus descubridores, podría comprometer a decenas de millones de máquinas en todo el mundo.
Los chips afectados, por lo visto, son casi todos desde el 2012 pero al DNI español solo le afecta desde el 2015 porque fue cuando Infineon pasó a ser el proveedor oficial de los documentos de identidad. Antes los DNI se fabricaban con otra empresa. Hasta el pasado día 4 no se había reportado ningún ataque informático relacionado con este fallo.
TARDANZA EN AVISAR Algunos consultores de seguridad lamentaron ayer en Twitter la tardanza del Gobierno español en reconocer el agujero de seguridad. El Gobierno de Estonia anunció el pasado día 2 de noviembre que suspendía las transacciones electrónicas de 750.000 identificadores electrónicos por ese mismo fallo de seguridad.
El país báltico, cuyo modelo de eresidencia quiere copiar la Generalitat, solo considera fiables los documentos expedidos a partir de este noviembre y ha dado un plazo hasta marzo del 2018 para que se actualicen los anteriores a través del ordenador del usuario.