Ha pasado una semana desde que el Ministerio del Interior tomara la decisión de desactivar el certificado digital de parte de los actuales DNIe, pero estos días lo único que ha crecido es la incertidumbre y las dudas sobre un problema que podría ser mayor de lo que parecía en primera instancia.
Las informaciones que llegan en los últimos días nos hablan de fallos aún más graves, de una gestión desastrosa de la crisis, de una comunicación muy mejorable y de una falta de transparencia importante. Todo ello se une a una realidad palpable: la de que el DNIe sigue fracasando como medio para autenticarnos y firmar digitalmente documentos electrónicos.
La vulnerabilidad sigue presente
La vulnerabilidad ROCA (CVE-2017-15361) que afecta a los chips inteligentes integrados en el Documento Nacional de Identidad electrónico (DNIe) de España se detectó hace semanas, pero fue una investigación por parte de expertos de la Universidad Masaryk (en Brno, República Checa) la que confirmó la gravedad del problema.
Al conocerse el problema, el gobierno de Estonia desactivó los certificados digitales de más de 750.000 documentos de identidad del país, y pronto se supo que en España el problema era esencialmente el mismo, lo que generó la misma reacción por parte del Ministerio del Interior, que también anunció la desactivación de tal función de los DNIe emitidos a partir de abril de 2015.
Durante la investigación, expertos de la empresa Enigma Bridge que participaron en el descubrimiento de la vulnerabilidad pusieron en marcha un sitio web informativo que además permitía a los afectados comprobar si estaban afectados por el problema. En España precisamente es esa falta de información la que está siendo preocupante.
La información oficial, prácticamente inexistente en España
Estonia es un país en el que el uso de este documento es de hecho crítico para el funcionamiento de muchos de los servicios públicos, algo que también provocó que los responsables de gobierno y de estas gestiones electrónicas hayan puesto en marcha diversas medidas para tratar de minimizar el problema.
Toomas Ilves, ex-presidente de Estonia, comentaba en ITPro las diferencias entre la gestión que se ha hecho en su país y en España. La única diferencia, explicaba, es que Estonia es transparente, mientras que "otros países y organizaciones permanecen en silencio sobre el mismo problema".
Los investigadorez checos que descubrieron el problema informaron a las autoridades de Estonia en agosto, pero según Ilves Infineon, fabricante de los chips, ya sabía que existía un problema desde febrero de 2017, y ni ellos ni Gemalto —fabricante de las tarjetas en las que se integran esos chips— dijeron nada hasta hace poco.
En nuestro país la información no ha pasado de un breve comunicado en el sitio web del DNI electrónico que no se ha actualizado desde que apareciera en la comunicación original del problema. Ni las cuentas en redes sociales de la Policía ni otros órganos públicos han dado más datos sobre el impacto de la vulnerabilidad y cómo actuar en caso de estar afectados.
Hay excepciones, no obstante, y existen empresas que han hecho uso de esta tecnología y están reaccionando de forma mucho más transparente a la hora de gestionar la crisis e informar sobre ella. La empresa vasca Izenpe, proveedora de servicios de certificación ha publicado información detallada sobre el problema, indicando que ha revocado 30.000 certificados. Además permite comprobar si un usuario está afectado a través de su web e indica los pasos para sustituir los certificados afectados.
El impacto a nivel nacional podría ser enorme a juzgar por diversos estudios preliminares. En El Correo de Andalucía por ejemplo hablaban esta semana de cómo "alrededor de 400.000 sevillanos están afectados por el fallo de seguridad detectado en el DNI".
¿Cuál es el alcance a nivel nacional? El anuario estadístico del Ministerio del Interior revela que en 2016 se produjeron 6.009.848 DNI en toda España, y aunque no se tienen datos cerrados de 2017, las previsiones que la Dirección General de la Policía ha facilitado a Comisiones Obreras se estima que se harán unos 7 millones de documentos. Esos datos permiten deducir que la vulnerabilidad "podría afectar a más de 17 millones de DNI a nivel nacional".
Desactivación masiva de los PADs para actualizar el DNIe
Otro de los errores a la hora de gestionar el problema lo ha cometido la Dirección General de la Policía, que como revelan en ElDiario.es apagó todos los Puestos de Actualización del DNI electrónico (PADs) que están presentes en la mayoría de Oficinas de Documentación de España.
Este organismo emitió un comunicado que ordenaba a los empleados de esas oficinas a apagar los PADs a partir de las 8 de la mañana del 6 de noviembre, además de no entregar el "sobre ciego que contiene el número secreto o PIN", y tampoco realizar duplicados de los documentos de ciudadanos que acudan alegando que el chip no funciona o que tiene un error.
El problema es que esa desconexión de los PADs afectaba a todos los ciudadanos, tuviesen o no el problema en sus DNIe. Para corregir el problema, la DGP envió un nuevo comunicado el pasado 10 de noviembre para tratar de solventar el desastre.
En dicho comunicado se explicaba que sí se permitiría cambiar el PIN o clave secreta del DNI y la renovación de sus certificados a aquellos ciudadanos con un DNIe anterior a abril de 2015. Son los funcionarios de estas oficinas los que deben comprobar si dichos DNIs están o no afectados, en función de lo cual podrán usar esos terminales para actualizar esos datos sin problemas.
¿De verdad se han revocado los certificados digitales?
La gestión de esta vulnerabilidad parecía en parte resuelta con la decisión del Ministerio del Interior de deshabilitar la función de certificados digitales de los DNI electrónicos afectados, pero lo cierto es que dicha desactivación no parece haberse realizado de forma completa.
Así lo revelan mensajes en Twitter de ciudadanos que confirman que han podido seguir utilizando su DNIe para firmar documentos digitalmente y seguir realizando gestiones en la administración pública como hasta ahora.
Esos datos se confirmar con investigaciones como la que han realizado en la Universidad de Zaragoza, donde el autor, Juan Arana, explicaba cómo habían comprobado con un DNIe posterior a abril de 2015 que se puede entrar en la Carpeta del Ciudadano a través de Cl@ve y también en la DGT para consultar los puntos con certificado digital.
Esas operaciones son de autenticación y no requieren clave privada, destacaba en su estudio Arana, pero añadía algo más preocupante: la prueba para firmar digitalmente documentos también funcionaba. "Hemos firmado con la aplicación Cliente @Firma del Ministerio de Hacienda y Función Pública (¡vale!, esa aplicación no comprueba si el certificado está revocado) y a continuación hemos comprobado que esa firma es correcta en valide.redsara.es, servicio de MINHAFP que si que comprueba que el certificado no está revocado."
Eso parece revelar que la DGP, como concluía este estudio, no ha revocado los certificados de momento de forma completa, y no hay ninguna comunicación oficial que permita obtener detalles específicos sobre esa revocación (o ausencia de ella) en los canales oficiales.
Se pueden seguir falseando firmas
El problema de hecho se ha agravado con un descubrimiento que va más allá de la vulnerabilidad original. El pasado fin de semana se publicaba en VozPopuli otra información según la cual la brecha de seguridad del DNIe era más amplia de lo que se pensaba.
Un experto en seguridad español llamado Héctor M. ha descubierto que además de la vulnerabilidad ROCA existe otra en la emisión de la firma digital. Según sus investigaciones, explicaba este experto:
Todo contrato que se haya formalizado con esas firmas que se acaban de anular no tiene garantía. No vale solo con anular la firma, porque tal y como está diseñado el DNI 3.0 no se puede saber cuándo han sido firmados esos documentos. Al no haber una fecha de firma en el sistema diseñado por la DGP no se sabe en el momento en el que algo ha sido firmado o no. Para descubrirlo habría que acudir a la tercera parte implicada, el banco con el que se ha utilizado la firma o el organismo público, que tendrán que estudiar cada caso para saber el momento en el que se formalizó el certificado.
Eso significa que como explicaba Héctor M., un ciberdelincuente "podría firmar un contrato haciéndose pasar por otra persona, con una firma falsa y con fecha en el pasado o el futuro, y no habría forma de saber si la firma es falsa o no". De hecho aunque la DGP marque esos certificados como no válidos, no pueden bloquear su uso.
La solución al problema existe —él mismo apuntaba a mecanismos como el llamado 'sellado de tiempo'—, pero esa opción no está integrada en el sistema utilizado en el DNIe 3.0 puesto que "cada prestador de servicios decide tener una tercera parte que certifique la fecha de las firmas, y no todos lo hacen"
Las buenas noticias: casi nadie usa el DNIe porque es una pesadilla
Irónicamente el alcance del problema podría minimizarse gracias a una realidad palpable: la de que el uso práctico del DNI electrónico es muy reducido. En Cinco Días por ejemplo indicaban que según datos de 2014 (los más recientes que existen, aquí la transparencia vuelve a ser un problema) estos documentos solo se habían utilizado para un 0,02% de los trámites públicos.
Ese reducidísimo uso del DNIe con la función con la que nació es como decimos lo único "bueno" de esta crisis: los certificados digitales integrados en los DNIe emitidos a partir de abril de 2015 son vulnerables, pero dado que la inmensa mayoría de la población no los utiliza, el impacto del problema es muy diferente al de Estonia, donde estos documentos son básicos para realizar todo tipo de gestiones públicas.
El fracaso de este sistema de identificación y realización de gestiones digitales era ya patente en 2013, tal y como revelaban en ElDiario.es. Entonces se habían emitido 36 millones de unidades, pero indicaban que tras esos más de siete años y medio de funcionamiento, el certificado digital era "un fracaso generalizado en su falta de adopción".
Eso, argumentaban entonces, llevó a la DGP a crear el DNIe 3.0, un documento que precisamente se presentó en enero de 2015 con novedades como algunos elementos adicionales de seguridad o el soporte de NFC.
Aquella propuesta parece haberse convertido en otra oportunidad perdida, y hay algunos relatos de terror sobre experiencias de uso que parecen la norma. En El Diario de Navarra ya nos hablaban de los numerosos problemas que conllevaba hacer cualquier gestión con un DNI electrónico: desde la propia obtención del certificado digital hasta su uso. Los lectores de DNI, navegadores compatibles y servicios que funcionan hacían el funcionamiento errático en el mejor de los casos.
Esas experiencias no parecen haber cambiado tras la aparición del DNIe 3.0, y en la Asociación de Internautas también hablaban de los numerosos problemas con controladores de dispositivos, las versiones de los navegadores adecuados y sus opciones o la usabilidad de un sistema que no está pensado para el ciudadano de a pie.
Eso es en sí un buen resumen de la realidad del DNIe en España. Infrautilizado y con una gestión y transparencia por parte de los organismos oficiales que no facilitan las cosas. Para muchos la alternativa, obtener un certificado de la Fábrica Nacional de Moneda y Timbre, acaba resultando mucho más fácil y no suele dar ni mucho menos tantos problemas.
En Xataka | El DNI electrónico, uno de los grandes fiascos de los últimos años
Ver todos los comentarios en https://www.xataka.com
VER 52 Comentarios