La Policía Nacional ha anunciado la desactivación temporal de la función de certificado digital en todos los DNI electrónicos que hayan sido expedidos desde abril de 2015. La causa se halla en una investigación realizada por una universidad checa que ha advertido sobre la existencia de un fallo de seguridad en el sistema de identificación online. Esta vulnerabilidad podría permitir a ciberdelincuentes suplantar la identidad del usuario y realizar trámites administrativos y operaciones comerciales.
La medida de prevención implica que, aunque el documento conserva toda su validez a efectos de identificación o como documento de viaje, no se podrán realizar trámites en línea con firma digital. De acuerdo con la Dirección General de la Policía ya se están realizando análisis sobre la viabilidad de la amenaza en el Organismo de Certificación. Mientras tanto, las autoridades “han comenzado a modificar sus funcionalidades, garantizando con ello la máxima seguridad y confidencialidad en la utilización de la autenticación y firma electrónica en España”. Una vez se despejen las dudas sobre su seguridad, los documentos podrán ser actualizados directamente por sus titulares en las oficinas de documentación correspondientes.
La policía aclara que la desactivación ha sido adoptada con carácter preventivo y que sólo afecta a los documentos con número de soporte posterior al ASG160.000. Dicha cifra se puede leer debajo de la fecha de nacimiento, bajo las letras ‘IDESP’. Desde el ministerio del Interior aún se muestran cautos respecto a la amenaza, no obstante, ya que no hay ningún caso en el que se haya confirmado la utilización de esta vulnerabilidad en actividades fraudulentas.
Hackeo del código
La vulnerabilidad, conocida como ROCA, fue señalada a principios de año por el equipo del profesor Petr Svenda, que trabaja en el Centro para la Investigación de Criptografía y Seguridad de la Universidad Masaryk. Según explica este experto, los chips presentes en el DNI incluyen dos códigos para realizar la identificación online, uno público y otro privado. Aunque los dos estén conectados, la información del código privado nunca debería ser accesible a terceros.
El problema, señalan los investigadores, es que la parte pública contiene información suficiente para que un pirata pueda descifrar el código privado utilizando un proceso conocido como factorización. Esta técnica consiste en la descomposición de objetos matemáticos en productos o factores a través de los cuales se pueda recomponer el original. Así, un hacker con los medios necesarios podría suplantar la identidad del dueño del chip, según advierten desde el centro checo.
España no es el único país afectado y estados como Estonia o Eslovaquia también se han visto obligados a alertar a sus ciudadanos sobre el posible riesgo derivado del uso de sus documentos de identidad telemáticos.