El peligro de perder la identidad

Ayer por la tarde se anunció que la Policía Nacional había desactivado la función de certificado digital de los DNI electrónicos. El problema afecta solo a aquellos documentos que fueron expedidos a partir de abril de 2015 en España. Esto mismo ya ocurrió en Estonia (750.000 afectados) y en Eslovaquia (unos 300.000). La responsable de desarrollar los microchips en estos países (y en otros de la UE) es Infineon, la segunda empresa más importante a nivel europeo.

Lo primero que hay que aclarar es que esto no significa que ya hayan robado nuestro DNI, es cierto que se ha visto afectado el sistema de firma digital, el mismo que permite firmar documentos, enviar certificados y, en síntesis, garantizarle al Estado que somos nosotros y no cualquier otro, quien está llevando a cabo esta gestión. Es una situación grave.

El chip que se encuentra en nuestro DNI lleva una tecnología de seguridad conocida como algoritmo RSA (por los apellidos de sus creadores: Rivest, Shamir y Adleman). Su seguridad se basa en la factorización (la descomposición de números en forma de producto) y radica en el hecho de que cada número entero positivo tiene una única descomposición en números primos: básicamente hay una sola llave (factorización) para cada cerradura (número).

En el caso de la firma electrónica, el sistema RSA se basa en dos claves: la pública y la privada. Cuando queremos enviar nuestra declaración de la renta (perdón, cuando tenemos que enviarla), accedemos a la clave pública del organismo, enviamos los datos y pueden acceder a ellos gracias a la clave privada, que es la de nuestro DNI.

En octubre de este año, un fallo, bautizado como ROCA (siglas de Regreso del Ataque Coppersmith, por Don Coppersmith, quien creó un método que básicamente reduce los algoritmos), permitía deducir las claves privadas a partir de las públicas. El fallo no solo afectó a Estonia y Eslovaquia, también a quienes utilizaban el encriptado de discos BitLocker, de Microsoft, pero el gigante informático lo resolvió en poco tiempo.

¿Cuáles son los peligros de esta brecha en la seguridad? Al acceder a la clave privada, se puede robar la identidad de cualquiera cuyo DNI esté afectado. No es algo sencillo, pero es una amenaza real. Al acceder a la clave privada, se pueden espiar los documentos que hemos firmados, los que tenemos pendientes, nuestras deudas, créditos... Se puede acceder a cualquier información que esté vinculada a una firma digital.

También, al entrar en el espacio público, es posible infectarlo con algún tipo de malware que ahora mismo pase desapercibido pero que se active en unos meses y facilite la obtención de más información y de mayor relevancia.

Teniendo en cuenta que, de acuerdo con la Dirección General de Policía, «el receptor de un mensaje firmado electrónicamente puede verificar la autenticidad de esa firma, pudiendo demostrar la identidad del firmante sin que este pueda repudiarlo» y que tanto las administraciones públicas, como la banca on-line operan con ella, el riesgo es muy alto, no sólo a que nos roben dinero, sino a que accedan a créditos rápidos con nuestro nombre y luego, mediante la banca digital, hagan transferencias a otras entidades.

Si bien el fallo se ha descubierto relativamente pronto y ya se está actuando (el primer y acertado paso fue suspender las firmas digitales), la realidad es que es el primero de muchos que vendrán. Primero porque el algoritmo RSA es cada vez más vulnerable debido a la creciente capacidad de procesamiento de los ordenadores y segundo porque este es el próximo terreno de los ciberterroristas y qué impacto puede resultar mayor que echar por tierra todo el sistema impositivo de un país.