Un fallo de seguridad en millones de DNI obliga a la policía desactivar su firma digital

Publicada en

Un fallo de seguridad en la función de certificado digital de los DNI electrónicos expedidos desde abril de 2015 ha provocado que esta función haya sido desactiva por la Policía en las últimas horas. La vulnerabilidad, descubierta en enero de este año por una universidad checa, afecta directamente al sistema de identificación online, que permite hacer diversos trámites administrativos, mercantiles y privados.

El profesor Petr Svenda, jefe del equipo del Centro para la Investigación de Criptografía y Seguridad vinculado al descubrimiento, ha explicado a EL PAÍS que “En las tarjetas hay un pequeño chip que contiene dos códigos, uno público y otro privado”. Pero que a pesar de estar conectados, “el privado nunca debería salir del chip”, ya que si se conociese, se podría suplantar la identidad de la víctima con facilidad. El profesor Petr Svenda lo explica así: “La parte pública contiene información suficiente para que, mediante un proceso conocido como factorización, se pueda descifrar el código privado”.

Por el momento, fuentes policiales aseguran que se trata de una “vulnerabilidad teórica” y que no se han detectado casos. Además, aclaran que el porcentaje de DNI afectados “es residual” siendo únicamente vulnerables los expedidos después de abril de 2015. De esta forma, la desactivación ha sido adoptada con carácter preventivo “con el objetivo de mejorar su seguridad para evitar cualquier tipo de vulnerabilidad en el futuro” y garantizar la seguridad y confidencialidad de los usuarios.

España no es el único país afectado

Países como Estonia o Eslovaquia también se han visto afectados por la vulnerabilidad y es que la empresa alemana que fabrica los chips fue avisada en febrero por la universidas checa e hizo públicos los resultados del estudio hace una semana. “Se supone que la empresa avisaría a sus clientes” afirma Petr Svenda pero no parece haberlo hecho ya que fuentes policiales señalan que no han recibido ninguna advertencia.

Así mismo, asegura que “Este problema no es nuevo, hace diez años que existía, pero no había sido detectado”. Y apunta a que este tipo de fallos de seguridad podrían identificarse mucho antes y con más facilidad si hubiera más transparencia, “las empresas guardan en secreto los procesos de certificación y de generación de algoritmos” haciendo más difícil la detección de amenazas.

¿Cuál es la solución?

 

Una vez identificada la vulnerabilidad, se plantean dos soluciones: modificar el código o cambiar el algoritmo en el que se basa el proceso de certificación. Sin embargo, el investigador checo cree que la mejor opción sería “fragmentar el código para que una parte estuviera almacenada en otro dispositivo” de manera que para descrifrar ambos códigos se tenga que tener acceso a ambos dispositivos.

La entrada Un fallo de seguridad en millones de DNI obliga a la policía desactivar su firma digital aparece primero en Globb Security.

Source: Noticias Tecnológicas
Un fallo de seguridad en millones de DNI obliga a la policía desactivar su firma digital

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *