Archivado en Noticias, Privacidad, Gobierno y Leyes, Seguridad

La seguridad del DNI electrónico, comprometida: a quién afecta, por qué y cómo solucionarlo


El Ministerio del Interior de España ha informado a través del Cuerpo Nacional de Policía de un grave problema de seguridad en el certificado electrónico del DNI electrónico (DNIe). Eso ha provocado una reacción inmediata: se ha desactivado la funcionalidad de los certificados digitales de parte de los actuales DNIe.




Javier Pastor en Xataka.com.- EL problema se ha detectado tras descubrirse que las mismas vulnerabilidades se habían presentado en Estonia, donde este documento es parte integral de todo el funcionamiento de sus servicios y donde se han desactivado más de de 750.000 certificados digitales para evitar males mayores. A continuación te explicamos si estás afectado, cuál es el origen del problema y qué hacer para solucionarlo lo antes posible.

Cómo saber si tu DNI está afectado por el fallo de seguridad

Como indican los responsables de la Policía Nacional, los documentos nacionales de identidad afectados fueron expedidos a partir de abril de 2015. Para saber si nuestro DNIe está afectado tendremos que prestar atención a uno de los códigos de ese documento.

Dnie 1

En concreto, al número que está bajo el llamado IDEPS o NUM SOPORT (según el tipo de DNI electrónico que tengamos en cada caso). En el comunicado oficial se especifica que "se comunica que los documentos cuyos certificados pudieran resultar afectados, son los que tienen número de soporte posterior al ASG160.000, que fueron expedidos a partir de abril de 2015".

Tu DNI sigue siendo válido como documento de identificación

Es importante destacar que aunque el certificado digital de estos DNIe queda desactivado como medida de seguridad, el DNIe sigue siento perfectamente válido como documento de identificación.

Eso quiere decir que si tenemos que realizar trámites administrativos como mercantiles o privados, el DNIe sigue manteniendo su validez, y lo mismo ocurre por ejemplo si lo utilizamos como documento de viaje cuando nos desplazamos a la práctica totalidad de los países de la Unión Europea.

¿Qué hacer si tu DNIe está entre los afectados?

La desactivación de estas funciones se mantendrán mientras se mejora la seguridad del DNI electrónico, y según la Policía Nacional este proceso "se hará en fechas próximas".

Este organismo indica además que cuando se encuentre disponible la actualización los ciudadanos españoles podrán actualizar los documentos "directamente en las Oficinas de Documentación".

No hay fechas concretas para poder acceder a la actualización, pero en el Cuerpo Nacional de Policía indican que en el momento que eso sea posible "se informará puntualmente". En caso de hacer un uso activo del certificado digital y estar afectado por el problema, lo más adecuado es solicitar la renovación del DNIe, ya que como se especifica entre las novedades de esa renovación:

En caso de sustracción, extravío, deterioro o mal funcionamiento del chip electrónico, deberá renovarlo lo antes posible, y obtendrá un nuevo documento con su validez total cuando queden menos de 90 días para su caducidad. En el caso que superase los 90 días, obtendrá uno nuevo con la validez anterior.

Los responsables de la Policía Nacional indican que para solicitar la cita previa que permite obtener o renovar tanto el DNI como el pasaporte podremos utilizar el sitio web Cita Previa eDNI-Pasaporte, mientras que el número de teléfono oficial para la tramitación de la cita es el 060.

El origen del problema

Como explicábamos hace unos días, la vulnerabilidad se encuentra en una librería ampliamente utilizada en este ámbito. Debido a este problema un atacante podría calcular la porción privada de una clave vulnerable usando tan solo la porción pública.

Eso daría lugar a que un atacante acabara pudiendo suplantar la personalidad de la víctima para descifrar datos sensibles, ocultar software malicioso en software firmado digitalmente o superar la protección basada en estos sistemas. Dicha librería software fue desarrollada por el fabricante alemán de chips Infineon, y según los estudios ha estado generando claves débiles desde al menos 2012.

Ese problema causó que el gobierno de Estonia indicara que más de 750.000 documentos de identidad electrónicos eran vulnerables a este ataque. Eso provocó la desactivación de los certificados digitales para evitar el abuso de esta vulnerabilidad, tal y como explicaba Kaspar Korjus, máximo responsable del departmento estonio de "Residencia electrónica" que gestiona estos documentos.

El primer ministro de Estonia, Jüri Ratas, explicaba cómo el peligro descubierto no se limitaba a los documentos de Estonia, sino que esa vulnerabilidad estaba presente en otros muchos sistemas y documentos en diversos países que usan los chips del mismo fabricante.

Korjus explicaba que no se conocen casos de mal uso de esos documentos o de que se hubiese aprovechado el fallo de seguridad, y en este departamento del gobierno estonio están actualizando la seguridad de sus documentos con un nuevo sistema de cifrado de curva elíptica que "es más seguro y rápido que los certificados SSL que se usaban previamente".

La vulnerabilidad podía ser aprovechada para esa suplantación de identidad de forma realmente sencilla a través del llamado ROCA (Return of the Coppersmith Attack). Los expertos que analizaron el problema estimaron que alquilar un servicio en la nube para romper una clave vulnerable de 1024 bits llevaría 25 minutos y 38 dólares. Romper una clave de 2.048 bits costaría mucho más: 20.000 dólares y nueve días de cálculos en esos servicios.

Algunos investigadores estiman que el coste podría ser muy inferior a través del uso de tarjetas gráficas para realizar esos cálculos. Las claves más comunes son las de 2.048 buts, y romper esas claves con un sistema basado en varias GPUs se podría hacer en apenas unas horas según los expertos, además de reducir el coste de forma notable a apenas algunos cientos de dólares.

Los proveedores de chips inteligentes que utilizaban estos sistemas de seguridad han tratado de rebajar el estado de alarma. Los propios responsables de gobierno estonio indican que aprovechar el ataque sería "complicado y nada barato", y que usarlo por ejemplo para usarlo en fraudes a gran escala en votaciones electrónicas no sería asumible. El fabricante holandés de chips inteligentes Gemalto también ha indicado que solo sus tarjetas IDPrime.NET podrían estar afectadas, pero no ha dado muchos datos sobre cómo solucionarlo.

Los análisis del problema abundan en la comunidad de expertos en seguridad informática. Dan Cvrcek, de la consultora Enigma Bridge, avisaba de los peligros del uso de este tipo de chips, e indicaba que aunque las soluciones de la actualización de su firmware ?como la que proponen el gobierno estonio y nuestro Ministerio del Interior? son válidas, el problema puede persistir.

De hecho, como como nos comentaba Román Ramírez (@patowc), experto en seguridad tecnológica y co-organizador de la conferencia RootedCON, pueden desvelarse otros vectores de ataque en el futuro que sigan poniendo en peligro a estos chips y a los documentos que los utilizan. La solución pasaría por sustituir el hardware de base, pero lógicamente eso es como también indicaba Cvrek mucho más complejo... y muchísimo más caro.

El ejemplo estonio

La situación en Estonia es más preocupante por la dependencia que los ciudadanos de ese país tienen de su documento de identidad electrónico. Como explicaba un ciudadano de ese país en los comentarios de un artículo en Ars Technica, hace apenas un mes que se produjeron allí las elecciones municipales, que podrían haberse visto comprometidas por el uso del voto electrónico, que se uso más que nunca en dicho país.


Hay que tener en cuenta que la población estonia es de 1,3 millones de personas, lo que hace que la desactivación de 750.000 certificados digitales afecte a casi la práctica totalidad de la población adulta. Los peligros existen de forma patente en esa manipulación de los resultados electrorales, ya que según este ciudadano Rusia ya ha demostrado su interés en inlfuir en los resultados en el pasado.

En ese país un gran número de ciudadanos, residentes y e-residentes "han recibido mensajes de error debido al alto volumen de gente actualizando sus certificados al mismo tiempo", lo que ha hecho que el gobierno estonio dé prioridad a aquellos que usan de forma activa sus certificados digitales para "servicios vitales, como los profesionales médicos en Estonia". El proceso de actualización de esos certificados se alargará hasta marzo de 2018 en ese país, pero allí existe además la alternativa de usar el servicio Smart-ID que hace uso del móvil y de la clave PIN asociada a la identidad de los documentos de identidad estonios.

En Xataka | Certificado digital, todo lo que necesitas saber para solicitar e instalarlo en tu navegador


pdfprintpmail