Noticias

La seguridad del DNI electrónico ha sido comprometida

El Ministerio del Interior de España ha informado a través del Cuerpo Nacional de Policía de un grave problema de seguridad en el certificado electrónico del DNI electrónico (DNIe). Eso ha provocado una reacción inmediata: se ha desactivado la funcionalidad de los certificados digitales de parte de los actuales DNIe.

EL problema se ha detectado tras descubrirse que las mismas vulnerabilidades se habían presentado en Estonia, donde este documento es parte integral de todo el funcionamiento de sus servicios y donde se han desactivado más de de 750.000 certificados digitales para evitar males mayores.

Cómo saber si tu DNI está afectado por el fallo de seguridad

Como indican los responsables de la Policía Nacional, los documentos nacionales de identidad afectados fueron expedidos a partir de abril de 2015. Para saber si nuestro DNIe está afectado tendremos que prestar atención a uno de los códigos de ese documento.

En concreto, al número que está bajo el llamado IDEPS o NUM SOPORT (según el tipo de DNI electrónico que tengamos en cada caso). En el comunicado oficial se especifica que “se comunica que los documentos cuyos certificados pudieran resultar afectados, son los que tienen número de soporte posterior al ASG160.000, que fueron expedidos a partir de abril de 2015”.

Tu DNI sigue siendo válido como documento de identificación

Es importante destacar que aunque el certificado digital de estos DNIe queda desactivado como medida de seguridad, el DNIe sigue siento perfectamente válido como documento de identificación.

Eso quiere decir que si tenemos que realizar trámites administrativos como mercantiles o privados, el DNIe sigue manteniendo su validez, y lo mismo ocurre por ejemplo si lo utilizamos como documento de viaje cuando nos desplazamos a la práctica totalidad de los países de la Unión Europea.

¿Qué hacer si tu DNIe está entre los afectados?

La desactivación de estas funciones se mantendrán mientras se mejora la seguridad del DNI electrónico, y según la Policía Nacional este proceso “se hará en fechas próximas”.

Este organismo indica además que cuando se encuentre disponible la actualización los ciudadanos españoles podrán actualizar los documentos “directamente en las Oficinas de Documentación”.

No hay fechas concretas para poder acceder a la actualización, pero en el Cuerpo Nacional de Policía indican que en el momento que eso sea posible “se informará puntualmente”. En caso de hacer un uso activo del certificado digital y estar afectado por el problema, lo más adecuado es solicitar la renovación del DNIe, ya que como se especifica entre las novedades de esa renovación:

En caso de sustracción, extravío, deterioro o mal funcionamiento del chip electrónico, deberá renovarlo lo antes posible, y obtendrá un nuevo documento con su validez total cuando queden menos de 90 días para su caducidad. En el caso que superase los 90 días, obtendrá uno nuevo con la validez anterior.

Los responsables de la Policía Nacional indican que para solicitar la cita previa que permite obtener o renovar tanto el DNI como el pasaporte podremos utilizar el sitio web Cita Previa eDNI-Pasaporte, mientras que el número de teléfono oficial para la tramitación de la cita es el 060.

El origen del problema

La vulnerabilidad se encuentra en una librería ampliamente utilizada en este ámbito. Debido a este problema un atacante podría calcular la porción privada de una clave vulnerable usando tan solo la porción pública.

Eso daría lugar a que un atacante acabara pudiendo suplantar la personalidad de la víctima para descifrar datos sensibles, ocultar software malicioso en software firmado digitalmente o superar la protección basada en estos sistemas. Dicha librería software fue desarrollada por el fabricante alemán de chips Infineon, y según los estudios ha estado generando claves débiles desde al menos 2012.

Ese problema causó que el gobierno de Estonia indicara que más de 750.000 documentos de identidad electrónicos eran vulnerables a este ataque. Eso provocó la desactivación de los certificados digitales para evitar el abuso de esta vulnerabilidad, tal y como explicaba Kaspar Korjus, máximo responsable del departmento estonio de “Residencia electrónica” que gestiona estos documentos.

El primer ministro de Estonia, Jüri Ratas, explicaba cómo el peligro descubierto no se limitaba a los documentos de Estonia, sino que esa vulnerabilidad estaba presente en otros muchos sistemas y documentos en diversos países que usan los chips del mismo fabricante.

Korjus explicaba que no se conocen casos de mal uso de esos documentos o de que se hubiese aprovechado el fallo de seguridad, y en este departamento del gobierno estonio están actualizando la seguridad de sus documentos con un nuevo sistema de cifrado de curva elíptica que “es más seguro y rápido que los certificados SSL que se usaban previamente”.

La vulnerabilidad podía ser aprovechada para esa suplantación de identidad de forma realmente sencilla a través del llamado ROCA (Return of the Coppersmith Attack). Los expertos que analizaron el problema estimaron que alquilar un servicio en la nube para romper una clave vulnerable de 1024 bits llevaría 25 minutos y 38 dólares. Romper una clave de 2.048 bits costaría mucho más: 20.000 dólares y nueve días de cálculos en esos servicios.

Algunos investigadores estiman que el coste podría ser muy inferior a través del uso de tarjetas gráficas para realizar esos cálculos. Las claves más comunes son las de 2.048 buts, y romper esas claves con un sistema basado en varias GPUs se podría hacer en apenas unas horas según los expertos, además de reducir el coste de forma notable a apenas algunos cientos de dólares.

Los proveedores de chips inteligentes que utilizaban estos sistemas de seguridad han tratado de rebajar el estado de alarma. Los propios responsables de gobierno estonio indican que aprovechar el ataque sería “complicado y nada barato”, y que usarlo por ejemplo para usarlo en fraudes a gran escala en votaciones electrónicas no sería asumible. El fabricante holandés de chips inteligentes Gemalto también ha indicado que solo sus tarjetas IDPrime.NET podrían estar afectadas, pero no ha dado muchos datos sobre cómo solucionarlo.

Los análisis del problema abundan en la comunidad de expertos en seguridad informática. Dan Cvrcek, de la consultora Enigma Bridge, avisaba de los peligros del uso de este tipo de chips, e indicaba que aunque las soluciones de la actualización de su firmware —como la que proponen el gobierno estonio y nuestro Ministerio del Interior— son válidas, el problema puede persistir.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s