Cinco claves para entender por qué el Gobierno ha desactivado tu DNI electrónico

Si usted cuenta con un DNIe (DNI electrónico) expedido a partir de abril del 2015, su documento es vulnerable a los ataques de los piratas en Internet. Además, tampoco podrá hacer ninguna gestión a través de la Red con él, ya que el Gobierno ha desactivado la función del certificado electrónico. Para saber si se encuentra entre los perjudicados o no, basta con mirar el campo IDESP (en los antiguos) o el Número de Soporte en los nuevos. Si ese número es mayor que ASG160.000, el DNIe no es seguro.

La Dirección General de Policía dio el aviso el miércoles basándose en un estudio de dos universidades europeas y un empresa británica. El organismo indica que los españoles cuyos DNIe se hayan visto afectados tendrán que acudir a una comisaría “en el momento en el que sea posible” para aplicar el parche que solucione la vulnerabilidad. Aunque no hablan de tiempos, aseguran que esto se hará en “fechas próximas”.

¿Cómo funciona el DNIe?

Los casi 60 millones de DNIe expedidos en España utilizan un cifrado RSA-2048, un estándar de la industria que podemos encontrar en muchos dispositivos. Desde el protocolo https hasta a la hora de cifrar un correo a través de GPG (una herramienta de cifrado). Funciona con dos llaves, una privada (que solo conoce el usuario) y otra pública conocida por todos.

Para autenticar una comunicación, un mensaje o, en este caso, un certificado electrónico (que contiene la llave pública del DNIe) el primer usuario cifra utilizando la clave pública del segundo, su propia clave privada y después, el otro usuario haciendo uso de su clave privada, descifra el mensaje.

¿Qué ha pasado?

La vulnerabilidad permitía a un pirata adivinar o inferir las llaves privadas de un usuario analizando las llaves públicas, lo que se conoce como ataque ROCA. En caso de que lo hubiera hecho, “efectivamente puede ir a la Agencia Tributaria, presentarse en tu nombre y acceder a todos tus datos fiscales”, explica a eldiario.es Yago Jesús. Él fue uno de los desarrolladores de la PKI (Infraestructura de clave pública) del DNIe, que se expide en España desde el 2006.

El criptógrafo continúa explicando que el atacante “puede ir al portal del DNIe y entrar a todos los servicios que vea, ya sea pedir una beca, consultar datos fiscales o saber si tienes una discapacidad. También puede ir a la web de la Seguridad Social y verificar ciertos datos médicos u obtener tu hoja de vida laboral”. Sin embargo, asegura que el impacto queda mitigado “porque no es frecuente que la gente use el certificado electrónico”.

“Esto ha quedado limitado al tiempo en el cual ha estado esa vulnerabilidad en conocimiento de no sabemos quién. En principio, de un checo, un inglés y un italiano”, continúa Yago Jesús.

Se refiere a los investigadores de la Universidad de Masaryk (República Checa), a los de la Ca'Foscari en Italia y a la empresa británica Enigma Bridge. Las instituciones publicaron hace tres semanas un estudio que ha resultado ser mucho más devastador de lo que parecía.

¿Qué decía el estudio?

El trabajo de los investigadores concluía que una librería de código utilizada por uno de los principales proveedores de chips inteligentes del mercado, Infineon, sufría un grave fallo de seguridad. Esa vulnerabilidad afecta a “cientos de millones de servicios seguros”, que lo eran hasta hace poco.

Hablamos de las tarjetas que los empleados de Microsoft utilizan para acceder a su red segura, de los DNIe de los estonios, de los eslovacos y de todas las empresas que utilicen las tarjetas inteligentes de la firma Gemalto, que instala los chips de Infineon en sus dispositivos.

“Significa que si tienes un documento firmado digitalmente con la clave privada de alguien, no puedes probar que realmente fue él quién lo firmó. O si has enviado datos confidenciales cifrados bajo la clave pública de alguien, no puedes estar seguro de que sólo ese alguien pueda leerlos”, explica a Ars Technica un experto en criptografía.

¿Y qué pasa con mis datos?

Yago Jesús tranquiliza: “Para tener tu clave pública, tú has tenido que entregar tu certificado digital previamente”. El DNIe en España no se utiliza a gran escala como en otros países de la Unión Europea. En Estonia, por ejemplo, el Gobierno ha desactivado más de 760.000 tarjetas de identificación que usan los ciudadanos para pagar multas, comunicarse con la Administración o votar, entre otras cosas.

A diferencia de Estonia o Eslovaquia, España apenas ha fomentado el uso del DNIe más allá de para hacer la declaración de la Renta o pedir cita previa para renovarlo. “Muy pocas empresas y organizaciones han implementado gestiones con él, quitando a algunos bancos que lo tienen de florero, solo para decir que 'te puedes identificar con tu DNIe'”, dice Yago Jesús.

Sin embargo, el desarrollador no resta importancia al asunto y considera que “desde el punto de vista técnico supone un hito, porque tanto el DNIe como el fabricante de la librería han tenido que cumplir unos estándares de seguridad”.

¿Significa esto que alguien se ha saltado los controles?

La falla de seguridad se encontraba presente en los chips de Infineon desde 2012, pero no afecta a los DNIe expedidos desde ese año porque el Gobierno empezó a trabajar con la empresa en 2015.

Yago Jesús no se explica cómo una falla existente desde hace cinco años se descubre ahora. “¿Cómo puede haber una vulnerabilidad en un dispositivo que cuenta con certificaciones sólidas internacionales?”, se pregunta. La librería de Infineon había pasado dos controles de seguridad internacionales: FIPS 140-2 Level 2 y Common Criteria.

Por su parte, el DNIe cuenta con una certificación EAL5+, otro tipo de certificación reconocida internacionalmente desde 1999. Incluye siete niveles, aunque no quiere decir que el último sea más seguro que el primero, sino en qué estado de seguridad se encuentra cada uno. El DNIe está en el grado 5.

Aunque la sangre no haya llegado al río y en España apenas hagamos uso del DNIe, la confianza en los sistemas de certificación ha quedado en entredicho. Porque, como concluye Yago Jesús, “aquí lo gordo es que esos dispositivos superasen esas pruebas”.