Desactivada la firma digital de los DNI electrónicos por un fallo de seguridad

La Policía Nacional ha anunciado que el certificado digital de los DNI electrónicos que fueron expedidos desde abril del 2015 han dejado de funcionar para realizar trámites y no podrá utilizarse hasta que puedan actualizarse debido a un fallo de seguridad, que fue alertado por investigadores de una universidad checa a principios de noviembre.

Según la policía, el fallo de seguridad está siendo analizado por el Organismo de Certificación, dependiente del Centro Nacional de Inteligencia y Centro Criptológico Nacional, que es quien revisa la seguridad de los dispositivos vinculados a la Administración, como la última versión del DNI electrónico, la 3.0, el pasado mes de febrero.   

Los DNI electrónicos que pueden verse afectados son los que tienen el número de soporte posterior al ASG160.000 y fueron expedidos a partir de abril del 2015. Según la Policía, hasta que en "fechas próximas" no se implementen las soluciones técnicas necesarias, se desactivará la funcionalidad de los certificados digitales de parte de los actuales DNIe. Hasta entonces solo se podrá realizar firma electrónica con otros certificados, como los que emite la Agencia Tributaria, entre otros organismos.

Cuando esté disponible la actualización de seguridad del DNI electrónico, los titulares de los documentos tendrán que ir a actualizarlos a las oficinas de documentación. La Policía afirma que el DNI electrónico sigue siendo válido como documento de identificación y para viajar a los países de la UE. 

Fallo ya resuelto

El fallo de seguridad detectado afecta a la versión de los DNI construidos con un chip de la empresa alemana Infineon Technologies, que fue descubierto a principios de enero. Los descubridores fueron un equipo de informáticos vinculados a la Masaryk University, en Brno (República Checa), que es puntera en investigación criptográfica, que comunicaron a Infineon el fallo el 1 de febrero.

Entre febrero y octubre, el fabricante y los investigadores trabajaron en un parche para solucionar el problema. Y el 2 de noviembre expusieron el fallo y su solución en un importante congreso de seguridad, el ACM CCS 2017, que se celebró en Dallas. 

La vulnerabilidad se conoce como ROCA y permite ataques informáticos utilizando la parte privada de la clave de seguridad, porque hace que el algoritmo que genera el código pierda información durante las transacciones, lo que podría ser aprovechado por un atacante. La mayoría de los grandes fabricantes de ordenadores, como Lenovo, Microsoft o Google, ya han ido publicando una actualización de seguridad para resolver el fallo, que, según sus descubridores, podría comprometer a decenas de millones de máquinas en todo el mundo. 

Los chips afectados, por lo visto, son casi todos desde 2012 pero al DNI español solo le afecta desde 2015 porque fue cuando Infineon pasó a ser el proveedor oficial de los documentos de identidad. Antes los DNI se fabricaban con otra empresa. 

Sin ataques conocidos

Hasta el pasado día 4 no se había reportado ningún ataque informático relacionado con este fallo.  

Algunos consultores de seguridad lamentaban este jueves en Twitter la tardanza del Gobierno español en reconocer el agujero de seguridad. El Gobierno de Estonia anunció el pasado día 2 de noviembre que suspendía las transacciones electrónicas de 750.000 identificadores electrónicos por ese mismo fallo. 

El país báltico, cuyo modelo de e-residencia quiere copiar la Generalitat, solo considera fiables los documentos expedidos a partir de este noviembre y ha dado un plazo hasta marzo del 2018 para que se actualicen los anteriores a través del ordenador del usuario.