La desactivación de la firma electrónica afecta a 12 millones de personas

La Policía desactiva las firmas electrónicas expedidas desde abril de 2015 debido a una vulnerabilidad en el sistema de identificación. Sin embargo, el DNI sigue siendo válido como documento de identidad.

Si tiene su DNI a mano, mire debajo de su fecha de nacimiento. Allí encontrará dos epígrafes que pueden responder a dos nombres: bien «num. suport.» («número de soporte»), bien «IDESP» (número de serie del soporte físico de la tarjeta). Bajo ellos aparece una serie de cifras y letras. Si ese código es, alfabéticamente, posterior a la serie ASG160.000, significa que no podrá utilizar la función del DNI electrónico (DNIe). La Dirección General de la Policía Nacional decidió ayer desactivar su funcionalidad.

¿El motivo? El pasado mes de octubre, expertos en seguridad de la Universidad de Masaryk, en la República Checa, detectaron una vulnerabilidad del algoritmo RSA, utilizado por el fabricante alemán de semiconductores Infineon Technologies, y que dota de seguridad a muchos equipos y dispositivos electrónicos. A través de ese fallo, decían los expertos, el «hacker» puede «calcular» una clave de encriptación privada y para ello sólo necesita una clave pública de su objetivo. En resumen: el ciberdelincuente puede hacerse pasar por el propietario de la clave, descifrar los datos confidenciales de su víctima, inyectar un código malicioso en el software de su firma digital, eludir las protecciones que impiden el acceso q su equipo... Ese mismo algoritmo es el que emplean compañías como Microsoft, Google, Lenovo, HP, Fujistsu... y también las administraciones públicas de varios estados. Es el caso de Estonia, de Eslovaquia y de España, países que utilizan el sistema RSA para garantizar la seguridad en el uso del DNIe. y que han visto que esta vulnerabilidad puede suponer una amenaza. Así, los expertos checos estiman que puede haber «billones» de dispositivos en todo el mundo que pueden ver comprometida su seguridad. Ellos consiguieron identificar 760.000 claves vulnerables, pero aseguraban que la cifra se podría multiplicar.

En el caso de nuestro país, el Ministerio del Interior y la Policía Nacional afirmaron ayer que los documentos afectados fueron expedidos a partir de abril de 2015. Teniendo en cuenta que cada año se expiden en torno a seis millones de nuevos documentos de identidad, y que todos cuentan con firma electrónica, podríamos estar hablando de entorno a 12 millones de DNI cuya seguridad electrónica está en cuarentena. ¿Hasta cuándo? Ahora mismo se está realizando un análisis por parte del Organismo de Certificación del Centro Criptológico Nacional (CNN), que realizará modificaciones en el sistema de seguridad para garantizar la confidencialidad de los usuarios. Por ello, sólo se activarán los DNIe cuando se concluyan estas mejoras, lo que se comunicará próximamente.

Como aseguran fuentes policiales a este diario, esta «desactivación» no afecta a la funcionalidad del DNI en su dimensión física: como documento de identificación –para cualquier tipo de trámite administrativo, privado, mercantil...– o como documento de viaje para los países de la UE. Sólo afecta a su función electrónica. Y cuando ésta sea resuelta, el usuario afectado deberá solicitar su reactivación en las oficinas de documentación. En ningún caso requerirá un nuevo DNI.

Ahora bien, ¿son muchos los españoles que utilizan el DNI en su función electrónica? En realidad, muy pocos. Como explica a LA RAZÓN Pablo Burgueño, socio cofundador de NevTrace y del bufete Abanlex, el DNIe «es un certificado de firma electrónica emitido por las autoridades cuando nos expiden el documento nacional de identidad y que certifica que tú eres el único que puede utilizar esa firma». Esta firma no se ve: «Está incrustada en el chip que tenemos en el DNI». Así ocurre desde 2006, año en el que se entregó el primer documento de identidad nacional electrónico.

¿Y cuándo se utiliza? Sobre todo para verificar nuestra identidad en aquellos trámites que atañen a las administraciones públicas. Por ejemplo, una posibilidad a la hora de hacer la declaración de la renta es hacerlo a través de este certificado digital. O para solicitar becas y ayudas del estado. O para registrarnos en unas oposiciones. Del mismo modo, se suele utilizar entre particulares, por ejemplo para emitir una factura, que puede venir firmada con nuestra rúbrica electrónica.

Sin embargo, como explica Burgueño, su poca utilización se debe a lo «engorroso» que resulta a nivel técnico. Utilizar el DNIe no consiste en introducir una clave. El usuario debe adquirir un «lector con contacto», que se puede conectar a través del teclado, por el puerto USB o en el lector de tarjetas de memoria PCMCIA que incorporan los ordenadores portátiles. Así, si alguien, por ejemplo, quiere hacer la declaración de la renta con su DNIe, debe pasar su documento a través del lector para que Hacienda ya nos identifique. Con todo, y según se detalla en la web de la Policía Nacional, el nuevo DNIe 3.0, que se expide desde 2015, permite hacerlo de forma inalámbrica.

Sin embargo, también cuenta con ventajas. Pese a la vulnerabilidad descubierta, «es más seguro: podemos cifrar un documento con nuestro DNIe y enviarlo a otra persona, de forma que si alguien ajeno a nosotros lo modifica, la firma ya no sería válida».