La Policía desactiva los miles de DNI electrónicos expedidos desde 2015

La Policía desactiva los miles de DNI electrónicos expedidos desde 2015

De modo semejante a cómo ha sucedido en Euskadi con 30.000 tarjetas electrónicas, una amenaza cibernética obliga a inhabilitar el chip de los carnés de identidad

Miguel Pérez
MIGUEL PÉREZ

La Dirección General de Policía se vio obligada ayer a desactivar la función de certificado digital de los DNI electrónicos expedidos desde abril de 2015 por la amenaza del programa ilegal 'Roca', el mismo que llevó el pasado fin de semana a inhabilitar 30.000 tarjetas electrónicas en Euskadi. El riesgo de que pudiera abrirse una grieta de seguridad en la privacidad de los datos de los ciudadanos ha llevado a invalidar el chip electrónico de un número de carnés de identidad que no ha sido revelado, pero que posiblemente tendrá una magnitud muy elevada si se tiene en cuenta que en España se tramitan anualmente seis millones de documentos.

Pese a inutilizarse la digital, el DNI sigue siendo válido para el resto de sus funciones tradicionales de identificación, entre ellas en caso de viajar a los países de la UE o en cualquier tipo de trámite administrativo, mercantil o privado. La Policía señala que «en fechas próximas» podrán ponerse en marcha las soluciones técnicas al problema y posteriormente los afectados deberán acudir a las oficinas de tramitación a actualizar sus carnés.

Los primeros rumores sobre el cataclismo que se cernía alrededor del DNIe -como se denomina técnicamente a este documento- surgieron el lunes, cuando la Administración vasca dio a conocer que 10.000 tarjetas electrónicas de empresas y otras 20.000 de particulares habían sido revocadas debido a su vulnerabilidad a un algortimo creado por unos universitarios de Eslovaquia. Este programa es capaz, en un contexto muy determinado, de obtener la clave secreta personal de los usuarios, de modo que su identidad podría ser suplantada o utilizada para implantar programas malignos.

No obstante, nadie en el mundo ha alertado todavía de un incidente de estas características. ¿La razón? 'Roca' es un asaltante lento y costoso: necesita leer un determinado número de documentos certificados con la misma clave para ir haciéndose con partes de su código hasta completarlo. El proceso requiere días y una tecnología muy costosa.

LA CLAVE

59,4
millones de DNI electrónicos han sido expedidos en España desde su creación en 2006.
6
millones es la media actual de carnés que se tramitan al año, lo cual supone que la desactivación afectaría a un volumen millonario de documentos expedidos desde abril de 2015.
ASG160.000
Los carnés de identidad que presenten una numeración posterior a ASG160.000 en la casilla correspondiente a la función digital estarían afectados. Sus propietarios deberán actualizarlos cuando se resuelva el fallo. La Policía lo comunicará «puntualmente».

Estonia, una semana antes

Los expertos de la sociedad Izanpi, que controla la seguridad de las certificaciones digitales en Euskadi, habían sido alertados de la amenaza por la agencia europea que registra y combate los ciberataques. La Policía Nacional ya emitió en su momento un comunicado anunciando su propósito de reforzar la protección en el caso de los DNIe, pero sin especificar más datos ni que pensara en su desactivación. Este periódico intentó en dos ocasiones inquirir si su decisión tenía relación con el programa 'Roca' y obligaría a inutilizar la función digital de los carnés, sin obtener respuesta. El mismo éxito nulo obtuvo ayer la pregunta de cuántos documentos se ven afectados en todo el país, aunque es fácil calcular que su número es elevado. La ley de Murphy llevó ayer a la Dirección General de Policía a publicar en su portal que España acababa de llegar a 59.446.254 carnés de identidad electrónicos expedidos desde su creación -en 2006- justo encima de la información que alertaba de la desactivación digital en los tramitados en los últimos dos años y medio. Esta medida se produce una semana después de que Estonia anulara sus 750.000 certificados en activo por el mismo riesgo.

La alerta la dieron los investigadores de dos universidades, una checoslovaca y otra italiana, que descubrieron que el algoritmo ilegal podía hipoteticamente abrirse camino en unos determinados chips criptográficos. En el caso vasco, se trataba de 30.000 microcircuitos garantizados que el Gobierno había comprado a uno de los fabricantes autorizados en Alemania y que había superado todos los controles de seguridad internacionales sin que se detectara esa falla. Son los mismos que incorporó el Ejecutivo central desde abril de 2015. Izanpe asegura que a principios de la próxima semana todos los afectados que hayan avisado de la incidencia tendrán restituida su tarjeta.

La Policía Nacional no tiene constancia de que exista ningún riesgo real en la seguridad del certificado digital de los DNIe, pero, al igual que en Euskadi, ha decidido desactivar la opción de firma digital para frustrar cualquier amenaza de modo «preventivo». No se ha detectado «ni un solo DNI con brecha de seguridad», afirman fuentes policiales, que aclaran que los carnés afectados son aquellos posteriores al ASG160.000, el código que puede verse escrito en el propio documento. El Organismo de Certificación ha comenzado a modificar las funcionalidades de esos documentos para garantizar «la máxima seguridad y confidencialidad en la utilización de la autentificación y firma electrónica en España».

Temas

Madrid

Fotos

Vídeos