El Ministerio del Interior de España ha informado a través del Cuerpo Nacional de Policía de un grave problema de seguridad en el certificado electrónico del DNI electrónico (DNIe). Eso ha provocado una reacción inmediata: se ha desactivado la funcionalidad de los certificados digitales de parte de los actuales DNIe.
EL problema se ha detectado tras descubrirse que las mismas vulnerabilidades se habían presentado en Estonia, donde este documento es parte integral de todo el funcionamiento de sus servicios y donde se han desactivado más de de 750.000 certificados digitales para evitar males mayores. A continuación te explicamos si estás afectado, cuál es el origen del problema y qué hacer para solucionarlo lo antes posible.
Cómo saber si tu DNI está afectado por el fallo de seguridad
Como indican los responsables de la Policía Nacional, los documentos nacionales de identidad afectados fueron expedidos a partir de abril de 2015. Para saber si nuestro DNIe está afectado tendremos que prestar atención a uno de los códigos de ese documento.
En concreto, al número que está bajo el llamado IDEPS o NUM SOPORT (según el tipo de DNI electrónico que tengamos en cada caso). En el comunicado oficial se especifica que "se comunica que los documentos cuyos certificados pudieran resultar afectados, son los que tienen número de soporte posterior al ASG160.000, que fueron expedidos a partir de abril de 2015".
Tu DNI sigue siendo válido como documento de identificación
Es importante destacar que aunque el certificado digital de estos DNIe queda desactivado como medida de seguridad, el DNIe sigue siento perfectamente válido como documento de identificación.
Eso quiere decir que si tenemos que realizar trámites administrativos como mercantiles o privados, el DNIe sigue manteniendo su validez, y lo mismo ocurre por ejemplo si lo utilizamos como documento de viaje cuando nos desplazamos a la práctica totalidad de los países de la Unión Europea.
¿Qué hacer si tu DNIe está entre los afectados?
La desactivación de estas funciones se mantendrán mientras se mejora la seguridad del DNI electrónico, y según la Policía Nacional este proceso "se hará en fechas próximas".
Este organismo indica además que cuando se encuentre disponible la actualización los ciudadanos españoles podrán actualizar los documentos "directamente en las Oficinas de Documentación".
No hay fechas concretas para poder acceder a la actualización, pero en el Cuerpo Nacional de Policía indican que en el momento que eso sea posible "se informará puntualmente". En caso de hacer un uso activo del certificado digital y estar afectado por el problema, lo más adecuado es solicitar la renovación del DNIe, ya que como se especifica entre las novedades de esa renovación:
En caso de sustracción, extravío, deterioro o mal funcionamiento del chip electrónico, deberá renovarlo lo antes posible, y obtendrá un nuevo documento con su validez total cuando queden menos de 90 días para su caducidad. En el caso que superase los 90 días, obtendrá uno nuevo con la validez anterior.
Los responsables de la Policía Nacional indican que para solicitar la cita previa que permite obtener o renovar tanto el DNI como el pasaporte podremos utilizar el sitio web Cita Previa eDNI-Pasaporte, mientras que el número de teléfono oficial para la tramitación de la cita es el 060.
El origen del problema
Como explicábamos hace unos días, la vulnerabilidad se encuentra en una librería ampliamente utilizada en este ámbito. Debido a este problema un atacante podría calcular la porción privada de una clave vulnerable usando tan solo la porción pública.
Eso daría lugar a que un atacante acabara pudiendo suplantar la personalidad de la víctima para descifrar datos sensibles, ocultar software malicioso en software firmado digitalmente o superar la protección basada en estos sistemas. Dicha librería software fue desarrollada por el fabricante alemán de chips Infineon, y según los estudios ha estado generando claves débiles desde al menos 2012.
Ese problema causó que el gobierno de Estonia indicara que más de 750.000 documentos de identidad electrónicos eran vulnerables a este ataque. Eso provocó la desactivación de los certificados digitales para evitar el abuso de esta vulnerabilidad, tal y como explicaba Kaspar Korjus, máximo responsable del departmento estonio de "Residencia electrónica" que gestiona estos documentos.
El primer ministro de Estonia, Jüri Ratas, explicaba cómo el peligro descubierto no se limitaba a los documentos de Estonia, sino que esa vulnerabilidad estaba presente en otros muchos sistemas y documentos en diversos países que usan los chips del mismo fabricante.
Korjus explicaba que no se conocen casos de mal uso de esos documentos o de que se hubiese aprovechado el fallo de seguridad, y en este departamento del gobierno estonio están actualizando la seguridad de sus documentos con un nuevo sistema de cifrado de curva elíptica que "es más seguro y rápido que los certificados SSL que se usaban previamente".
La vulnerabilidad podía ser aprovechada para esa suplantación de identidad de forma realmente sencilla a través del llamado ROCA (Return of the Coppersmith Attack). Los expertos que analizaron el problema estimaron que alquilar un servicio en la nube para romper una clave vulnerable de 1024 bits llevaría 25 minutos y 38 dólares. Romper una clave de 2.048 bits costaría mucho más: 20.000 dólares y nueve días de cálculos en esos servicios.
Algunos investigadores estiman que el coste podría ser muy inferior a través del uso de tarjetas gráficas para realizar esos cálculos. Las claves más comunes son las de 2.048 buts, y romper esas claves con un sistema basado en varias GPUs se podría hacer en apenas unas horas según los expertos, además de reducir el coste de forma notable a apenas algunos cientos de dólares.
Los proveedores de chips inteligentes que utilizaban estos sistemas de seguridad han tratado de rebajar el estado de alarma. Los propios responsables de gobierno estonio indican que aprovechar el ataque sería "complicado y nada barato", y que usarlo por ejemplo para usarlo en fraudes a gran escala en votaciones electrónicas no sería asumible. El fabricante holandés de chips inteligentes Gemalto también ha indicado que solo sus tarjetas IDPrime.NET podrían estar afectadas, pero no ha dado muchos datos sobre cómo solucionarlo.
Los análisis del problema abundan en la comunidad de expertos en seguridad informática. Dan Cvrcek, de la consultora Enigma Bridge, avisaba de los peligros del uso de este tipo de chips, e indicaba que aunque las soluciones de la actualización de su firmware —como la que proponen el gobierno estonio y nuestro Ministerio del Interior— son válidas, el problema puede persistir.
De hecho, como como nos comentaba Román Ramírez (@patowc), experto en seguridad tecnológica y co-organizador de la conferencia RootedCON, pueden desvelarse otros vectores de ataque en el futuro que sigan poniendo en peligro a estos chips y a los documentos que los utilizan. La solución pasaría por sustituir el hardware de base, pero lógicamente eso es como también indicaba Cvrek mucho más complejo... y muchísimo más caro.
El ejemplo estonio
La situación en Estonia es más preocupante por la dependencia que los ciudadanos de ese país tienen de su documento de identidad electrónico. Como explicaba un ciudadano de ese país en los comentarios de un artículo en Ars Technica, hace apenas un mes que se produjeron allí las elecciones municipales, que podrían haberse visto comprometidas por el uso del voto electrónico, que se uso más que nunca en dicho país.
Hay que tener en cuenta que la población estonia es de 1,3 millones de personas, lo que hace que la desactivación de 750.000 certificados digitales afecte a casi la práctica totalidad de la población adulta. Los peligros existen de forma patente en esa manipulación de los resultados electrorales, ya que según este ciudadano Rusia ya ha demostrado su interés en inlfuir en los resultados en el pasado.
En ese país un gran número de ciudadanos, residentes y e-residentes "han recibido mensajes de error debido al alto volumen de gente actualizando sus certificados al mismo tiempo", lo que ha hecho que el gobierno estonio dé prioridad a aquellos que usan de forma activa sus certificados digitales para "servicios vitales, como los profesionales médicos en Estonia". El proceso de actualización de esos certificados se alargará hasta marzo de 2018 en ese país, pero allí existe además la alternativa de usar el servicio Smart-ID que hace uso del móvil y de la clave PIN asociada a la identidad de los documentos de identidad estonios.
En Xataka | Certificado digital, todo lo que necesitas saber para solicitar e instalarlo en tu navegador
Ver 19 comentarios
19 comentarios
deibi.pro
Pero pagando la renovación? Entiendo que el problema es ajeno a uno mismo, no como el extravío del mismo.
warp68
El DNI electrónico, el mayor fiasco habido en décadas. Perfectamente inútil, siempre da problemas, y encima esto. De todos mis conocidos yo era el único que tenía las claves de acceso. Absolutamente nadie más lo usado nunca.
Usuario desactivado
Imagino que el orden es alfabético, el mio empieza por BAW y por eso he ido a probarlo en la web de la tesorería sacando la vida laboral y sin embrago me ha funcionado para solicitarla pidiéndome la contraseña como siempre.
Que lo dejen más claro, para muchos puede suponer un serio problema. Y la recomendación de renovar tiene un grave problema, es posible que te hagan pagar las tasas.
puesvaaserqueno
El comunicado de la web de la policía es muy escueto y ellos no mencionan que la renovación sea la solución, solo dicen que los afectados tienen que esperar noticias. No me queda claro si los que están generando ahora están o no están afectados. Yo estoy dentro de los 180 días en los cuales te puedes renovar el DNI, pero paso de hacerlo si a los pocos días o semanas tengo que volver para actualizarlo.
Además, lo acabo de comprobar y, a pesar de ser posterior a la fecha y con un IDESP posterior al que indican, mi certificado no está revocado.
No entiendo nada.
whisper5
No está nada claro que (como se indica en el artículo) la criptografía de curva elíptica sea más segura: https://en.wikipedia.org/wiki/Elliptic-curve_cryptography#Backdoors
Me acuerdo de noticias como la de Estonia y esta del DNIe cuando los Gobiernos dicen que quieren controlar el cifrado de las comunicaciones y que ello no supondrá ningún problema para nuestra seguridad y privacidad. Ya, seguro.
juanjofm
Usar software privativo y una clave de 2048 cuando debería haber sido de 4096 o pasarse a curvas elípticas Curve25519 es lo que tiene... no se quien habrá sido el responsable de contratar todo esto y cuanto nos habrá costado, pero como esto es Ejpaña seguro que ni le hechan, ni dimite, sino le ascienden...
Cosmonautas
Al poco de salir Edge, me di de alta con certificado digital y no funcionaba. Me quejé tanto al Estado como a Microsoft. La respuesta fue idéntica. Ambos culpaban a la otra parte argumentando que ellos eran los únicos que lo hacían bien por su celo en garantizar la seguridad de los usuarios. Acabarán por encontrar un ciberperro ruso que se comió los deberes, para tapar los errores propios.
Usuario desactivado
Eso le da igual a los 7 millones de habitantes de cierta república bananera que querían identificarse con la cartilla sanitaria para votar.