Archivado en Opinion, Privacidad, Gobierno y Leyes, Seguridad

DNI 3.0 ¿fiasco 3.0?


El ministro del Interior, Jorge Fernández Díaz, presentó ayer en Lleida el nuevo DNI electrónico 3.0 del que comenzaron a hablarnos allá por 2013-, inaugurando la nueva hornada de tarjetas con el de la nadadora Mireia Belmonte. También se presentó el Pasaporte 3.0, que según los responsables ya se está emitiendo en toda España.




l ministro del Interior, Jorge Fernández Díaz, presentó ayer en Lleida el nuevo DNI electrónico 3.0 ?del que comenzaron a hablarnos allá por 2013-, inaugurando la nueva hornada de tarjetas con el de la nadadora Mireia Belmonte. También se presentó el Pasaporte 3.0, que según los responsables ya se está emitiendo en toda España.

De acuerdo con los datos facilitados ayer, ya existen 43,4 millones de DNI electrónicos expedidos, lo que significa que, según los datos que se manejaban a finales del año pasado, en apenas cuatro meses se ha superado la barrera de los 5 millones de DNI expedidos (buen sprint). La cifra choca, si consideramos que a principios de 2013 se hablaba de más de 32 millones, pero no vamos a desconfiar de los datos oficiales, ¿no?

No es ningún secreto que siempre he sido muy crítico con el modo en que se ha ejecutado el DNI electrónico en España y he sugerido que más de uno se ha enriquecido aprovechándose de él. Así lo expuse en artículos como El fiasco del DNI electrónico o Los sueños húmedos del DNI electrónico. Precisamente en éste último, criticaba que lo importante no es tanto cuántos e-DNI hay expedidos, sino qué uso se está haciendo de ellos y, a día de hoy, es muy pobre.

El Informe eEspaña 2014 de la Fundación Orange ponía de relieve que de los más de 367 millones de trámites electrónicos realizados con la Administración General del Estado (AGE), poco más de 70.000 se realizaron con DNI electrónico (ni siquiera llega al 0,02%). En cuanto a la presentación de la declaración de la renta, la Agencia Tributaria revelaba que ni siquiera llegan al 1% las declaraciones presentadas por esta vía.

Esto podría cambiar con la principal novedad del nuevo e-DNI, que incorpora un chip certificado seguro (de mayor capacidad y velocidad): la inclusión de la tecnología NFC (Near Field Communication) y radiofrecuencia. La utilización del DNI será más sencilla, puesto que para usarlo desde nuestro smartphone o tableta no precisaremos ni de lector de tarjetas inteligentes ni de la instalación de los correspondientes drivers. Eso sí, nuestros terminales habrán de contar con un chip NFC y, aunque está muy extendido, no todos los tienen.

Especialmente llamativo es el caso de los iPhone, que carecen de chip NFC. El último modelo presentado por Apple sí lo incorpora, pero tampoco sirve de nada, porque lo tiene ?capado? para ser usado exclusivamente con su servicio de pago Apple Pay. Esto quiere decir que, según el último estudio de mercado de Kantar, cerca de un 10% de los smartphones de España no podrá beneficiarse de la principal novedad del DNI 3.0.

En el caso de los ordenadores, el DNI 3.0 aporta poco, puesto que los PCs no disponen de chip NFC y, ante la posibilidad de comprar un lector compatible, es más asequible hacerse con un lector de tarjetas inteligentes al uso.

Dudas acerca de la seguridad

El estándar NFC no es nuevo. Fue aprobado como estándar hace 12 años, aunque cuando realmente ha cogido verdadero impulso ha sido a partir de 2008 y algunas consultoras como Juniper prevén que éste sea el año del NFC (junto a la seguridad biométrica) y de hecho, compañías como BBVA ya hacen uso intensiva de ella. Funciona en la banda de los 13.56 MHz y ofrece una transferencia de datos de unos 424 Kbits/s, por lo que no esperemos compartir grandes volúmenes de información. Aunque algunos hablan de un rango máximo de 20 centímetros de proximidad para que el dispositivo detecte la tarjeta, el funcionamiento óptimo está más cercano a los 10 centímetros como máximo. Precisamente en esta necesidad de proximidad para la conexión y en la capacidad para encriptar las comunicaciones, reside la seguridad del sistema.

En esta línea, Fernández Díaz afirmó que esta iniciativa se enmarca en el objetivo que se fijó al iniciar esta legislatura: hacer de España un país más seguro. Lamentablemente, no podemos asegurar que así sea, porque desde el ministerio del Interior no han estado especialmente receptivos a ampliar la información técnica, más allá de la repetitiva e insustancial nota de prensa emitida ayer. Y si uno tiene la ocurrencia de acudir al mal llamado Portal de Transparencia, la única referencia que encontrará al e-DNI es una adjudicación a la compañía LGAI Technological Center (Applus+), por valor de 217.800 euros, para un análisis de vulnerabilidades? y ésta ha rechazado comentar los detalles del contrato, adjudicado por procedimiento negociado sin publicidad y en el que sólo se presentó esta oferta.

Lo chocante es que ya se han comenzado a emitir los DNI 3.0 y estos trabajos de consultoría se prolongan hasta el próximo 30 de septiembre. ¿Se ha puesto en circulación un documento sin haber realizado previamente todas las pruebas de seguridad?

Si bien es cierto que la incorporación de la tecnología NFC simplifica mucho el uso del DNI electrónico ?ya no requiere lector, que no siempre funciona-, la posibilidad de que se permita la lectura sin PIN del certificado de identificación puede plantear algunas cuestiones de seguridad. Y para ello, basta remitirse a un caso real:

Rumanía lleva años utilizando el pasaporte electrónico con tecnología NFC. Como sucede en con el Gobierno español, el rumano nunca publicó una auditoría de seguridad del documento electrónico. Por este motivo, a principios de 2013 una ONG de derechos digitales contrató los servicios de un experto en seguridad para que éste evaluara la seguridad del nuevo pasaporte.


Los resultados no fueron especialmente positivos. Los datos primarios, es decir, tipo de documento y número, nombre y apellidos, fecha de nacimiento, nacionalidad, género, fotografía, país y fecha de expiración eran accesibles a través de dispositivos habituales, de los que cualquiera puede comprar por Internet. Primer fallo de seguridad, puesto que las autoridades rumanas habían asegurado que estos datos únicamente serían accesibles por dispositivos autorizados por el Gobierno. Si un pasajero lleva el pasaporte en la mochila, basta acerca nuestro smartphone a su espalda sin que nos vea y obtendremos toda la información. ¿Sucederá lo mismo con el DNI 

Segundo fallo de seguridad: Las autoridades aseguraban que el chip estaba protegido por un mecanismo BAC (Basic Access Control), de manera que el canal de comunicación entre el chip y el lector estaba protegido mediante la encriptación de los datos. Esto significaba que cualquier intento de lectura por parte de dispositivos no autorizados sería rechazado. No fue así porque la clave de seguridad era básica, basaba en una combinación de la fecha de nacimiento, el número de pasaporte y la fecha de expiración, todos ellos fácilmente accesibles, como hemos visto.

Venta de humo

Entre las novedades que ha anunciado el ministerio también destaca haber dotado a la firma electrónica de la misma validez jurídica que la firma manuscrita. En realidad, esto no es nuevo, pues los documentos firmados telemáticamente con el DNI 2.0 ?o como los expertos en marketing político quieran bautizar al predecesor- ya tenían esa validez. Más nos vale, porque de lo contrario las declaraciones de la renta presentadas por esta vía no serían válidas. Dicho de otro modo, ayer el ministerio vendió humo.

SinDominio Mireia Belmonte DNI 3.0

El grado de propaganda fue tal, que incluso acuñaron el término ?documento de viaje electrónico?. ¿A qué se refiere exactamente? El DNI, incluso el que no era electrónico, ya era válido para viajar por toda la Unión Europea? Del mismo modo, el hecho de que ayer Fernández Díaz dijera que con el nuevo e-DNI se podrán hacer trámites como comprobar si tenemos alguna multa tampoco es nada nuevo. Los trámites ayer referidos como novedad, ya eran viables con el DNI 2.0. Lo paradójico del tema es que tanto humo, para ni siquiera haber actualidad la web oficial del DNI electrónico, en la que a día de hoy no se hace ninguna referencia a este alud de novedades que Fernández Díaz anunció ayer.

Por otro lado, llama la atención que a pesar de que el pasado verano, durante el II Curso Internacional ?Policía 3.0: Seguridad Inteligente?, el director general de la Policía, Ignacio Cosidó, asegurará que el DNI 3.0 también vendría acompañado de almacenamiento en la nube, nada de esto se mencionó en la comparecencia de ayer.

Reproducido de Sin Dominio


pdfprintpmail