Un 'hackeo' inhabilita las tarjetas electrónicas de 20.000 ciudadanos y 10.000 empresas vascas

Una persona realiza una gestión electrónica con su tarjeta. /El Correo
Una persona realiza una gestión electrónica con su tarjeta. / El Correo

El Gobierno, que sustituirá todos los documentos en una semana, retira los certificados emitidos con los antiguos para evitar que se extraígan datos privados de los afectados

Miguel Pérez
MIGUEL PÉREZ

Un algoritmo creado por unos universitarios en Eslovaquia ha obligado a inhabilitar las tarjetas electrónicas de 34.081 usuarios en Euskadi. En un hecho absolutamente inédito, el Gobierno vasco ha tenido que revocar casi en cuestión de horas los soportes de 10.000 empresas y algo más de 20.000 ciudadanos particulares, a la vez que retirar miles de certificados digitales, al descubrirse a nivel mundial una «vulnerabilidad» en los chips de determinadas tarjetas que, en el peor de los escenarios, deja la puerta abierta a ataques para «suplantar identidades», introducir programas malignos o «descifrar mensajes». Los afectados recibirán nueva documentación segura en sus domicilios en el máximo de una semana, según el Ejecutivo. Países como Alemania o Austria también padecen ya los efectos del denominado programa 'Roca'. En Estonia, líder mundial en uso del DNI electrónico, 750.000 soportes han sido inutilizados.

'Roca', en realidad, es un ladrón silencioso de datos. Fue diseñado para extraer clandestinamente información de un determinado modelo de chip, distribuido internacionalmente y que se encuentra inserto en el 15% de las tarjetas digitales expedidas en Euskadi (el resto utilizan otro microcircuito diferente). Fabricado en Alemania, el Ejecutivo vasco adquirió el chip después de que fuera certificado como seguro por una empresa autorizada. Algo así como si una granja te vendiera huevos frescos, sin que nadie se percatara de ese poro que puede contaminarlos de salmonela. La agencia de seguridad europea (ENISA) dio la alerta la semana pasada después de que dos universidades de Italia y Checoslovaquia descubrieran la vulnerabilidad del chip.

Las claves

El origen.
Un programa diseñado por estudiantes en Eslovaquia permite obtener datos privados de los usuarios
Cómo funciona.
El fallo de seguridad se produce en un modelo de chip, presente en el 15% de las tarjetas en Euskadi
Sorpresa.
El Izenpe recibió ayer 3.000 solicitudes de nuevos soportes y 4.000 llamadas de afectados

¿De qué manera funciona 'Roca'? En apariencia, de un modo tan líneal como pueda ser robarle los caramelos a un niño. Las tarjetas electrónicas disponen de dos claves: una pública, que el usuario escribe en sus certificados digitales, «viaja con el documento y garantiza su validez», y otra privada, que «está impresa en el chip de la tarjeta y solo conoce el propietario», explica Toni Sáez, responsable del área técnica de Izenpe, la sociedad vasca de certificación digital. El algoritmo, sin embargo, es capaz de averiguar este código secreto a partir del público, lo que haría posible suplantar la identidad del propietario en cualquier trámite electrónico. Únicamente necesita rastrear varios documentos que lleven la misma clave y unos meses de procesamiento.

Precisamente, es este factor, el tiempo, el que ha precipitado la acción del Gobierno vasco. Ante la eventualidad de que 'Roca' despertara, la sociedad Izenpe decidió a mediados de la semana pasada revocar todas las tarjetas que portaban el chip sospechoso, aparte de retirar los certificados expedidos por las mismas: miles de expedientes, facturas o solicitudes fechadas desde febrero de 2016 hasta la actualidad. Al «anularse todos» los documentos donde figuraban las claves públicas de esas 34.081 tarjetas bajo sospecha, «también se han conseguido eliminar todos los riesgos. No hay ningún certificado afectado. Aquellos que siguen vigentes es porque han sido expedidos con el otro modelo de tarjeta y, por tanto, no presentan problemas», aclara Toni Sáez.

Del IVA a la petición de ayudas

El problema, realmente, surgió ayer para miles de usuarios que trataron de trabajar con la administración electrónica y se vieron bloqueados. Entre ellos, profesionales de Justicia -aunque en el caso del Colegio de Abogados de Bizkaia, los afiliados pueden funcionar con su número profesional y la firma electrónica de la propia entidad-, comerciantes -muchos utilizan este sistema para el IVA-, empresarios y particulares, que recurren a la gestión digital en el trato con Hacienda, la tramitación de certificados o la solicitud de ayudas, por citar tres de los usos más demandados.

Renovación

On line.
Los usuarios afectados pueden ponerse en contacto con el Inzepe en un teléfono específico, 900840120, o en la dirección www.rsa@inzepe.eus. La renovación es gratuita.
Riesgo.
Si su tarjeta fue expedida entre febrero de 2016 y el pasado 24 de octubre no la utilice y compruebe si es vulnerable en el servicio de consulta del Izenpe.
En persona.
En cualquiera de los 45 KZgune de Bizkaia, Álava y Gipuzkoa.

La sorpresa, y también el enfado, de los usuarios quedó reflejada en dos cifras: el Izenpe recibió ayer 3.000 solicitudes de alta de tarjetas y 4.000 llamadas. Al organismo le preocupan especialmente las empresas, a las que dará «prioridad» ya que es más amplio el espectro de usos digitales tanto para trámites laborales como compras y menor el número de recursos alternativos: los particulares pueden trabajar con las coordenadas impresas en la parte posterior de los soportes, de modo similar a cómo funciona en las banca electrónica o en Osakidetza.

«Nunca nos habíamos enfrentado a algo así»

«Nunca nos habíamos enfrentado a un problema así. Jamás», asegura Toni Sáez, expectante ante el resultado del proceso abierto para encauzar la crisis originada por el programa Roca en Euskadi, pero satisfecho al mismo tiempo porque se haya cerrado cualquier resquicio a un problema de seguridad. «Somos prestadores de servicio y entendemos que estamos siendo transparentes y que debíamos actuar como lo hemos hecho para proteger al cliente y garantizar que ese servicio es de confianza», señala.

La propagación del algoritmo desarrollado por los estudiantes de Eslovaquia comenzó presumiblemente por Alemania, aunque hoy ya ha sido detectado en varios países. Se da la circunstancia de que la Dirección General de Policía anunció hace días su intención de reforzar la seguridad del DNI electrónico, aunque portavoces del Cuerpo no pudieron indicar ayer a este periódico si este proceso se encuentra vinculado al programa ilegal.

El responsable técnico del Inzepe calcula que cerca de 25.000 personas y empresas podrán hacer los trámites on line para dar de alta una nueva tarjeta. El resto deberá desplazarse a alguna de las 45 oficinas digitales (KZgunes) repartidas por los tres territorios, ya que las delegaciones centrales -una en cada capital- se dedicarán a la labor corporativa «al tratarse de trámites más complicados y lentos». En este colectivo sobresalen esencialmente los usuarios que no habían renovado su tarjeta al menos en los últimos cuatro años, ya que la ley les obliga a presentarse cada lustro en las oficinas de la Administración «para verles la cara y confirmar que existen», dice Sáez. La fábrica que imprime los soportes plásticos trabaja ya a tres turnos «para dar abasto con las peticiones».

Contenido Patrocinado

Fotos

Vídeos