Hace unos días se publicó una grave vulnerabilidad en uno de los mecanismos de cifrado que afecta de lleno al DNI-e que ‘utilizamos’ en España. He puesto el ‘utilizamos’ entre comillas porque… ¿cuántos de vosotros lo utilizáis? Pues por eso el ‘utilizamos’. Nunca se ha hecho la suficiente publicidad ni empuje para se utilice el DNI-e y eso que hay muchos sitios que lo soportan, pero si a la falta de publicidad le añadimos la complejidad de instalación y uso y la imposibilidad de utilizarlo desde un tablet o teléfono móvil (cada vez hay menos ordenadores en las casas, pero de eso ya hablaremos en otro momento), pues hace que sólo unas pocas personas lo utilicen y para unos pocos servicios. Con el DNI-e se puede, por ejemplo, acceder a la web de tu banco sin necesidad de introducir nombre de usuario y contraseña, o solicitar un certificado de empadronamiento, o realizar la declaración de la renta (que es lo único para lo que lo he utilizado yo), consultar los puntos de tu carné de conducir e incluso pagar una multa… multitud de trámites con la Administración y todo eso sin moverte de tu ordenador, ¿mola eh? Es más, cuando salió la versión actual, dijeron que la versión del chip que incluía, permitiría en el futuro integrar el carné de conducir y la tarjeta sanitaria dentro del mismo DNI-e… ¡eso sí que me parece un adelanto! actualmente tenemos que llevar las 3 tarjetas siempre encima.
¿En qué consiste la vulnerabilidad?
Ya me he despistado… si es que me liáis. El caso es que hace unos días se publicó una vulnerabilidad llamada ROCA (haz click aquí si quieres saber técnicamente de qué trata esta vulnerabilidad) que afectaba a uno de los mecanismos de cifrado utilizados por el DNI-e, lo cual ha hecho que desde el Gobierno hayan desactivado el DNI-e como medida de prevención para evitarles riesgos a los usuarios. La vulnerabilidad en cuestión, permite recuperar la clave privada (única para cada DNI-e) sabiendo la clave pública, que es común y está disponible al alcance de cualquiera que se la quiera descargar… lo cual parece muy grave, ¿verdad?, y de hecho lo sería sino fuera porque en España no utiliza ni El Tato el DNI-e, por lo que a pesar de que el Gobierno lo haya desactivado no ha habido casi nadie afectado por esta desactivación.
Esta vulnerabilidad no afecta únicamente al DNI-e porque, como ya hemos comentado, viene de uno de los mecanismos de cifrado, así que hay muchos más dispositivos expuestos… por ejemplo, todos aquellos que utilicen un chip TPM para almacenar contraseñas y claves a nivel hardware (servidores, portátiles, cajeros, ECUs en coches…), así que próximamente veremos algún tipo de ataque relacionado con esta vulnerabilidad.
¿Y qué podemos hacer ahora para proteger nuestro DNI-e?
Pues en esta ocasión no hay nada que podamos hacer nosotros como usuarios: no hay nada que instalar ni aplicación que descargar, router que actualizar, o contraseña segura que generar, simplemente tenemos que esperar… por un lado a que se evalúe el impacto real que tiene esta vulnerabilidad para el DNI-e y por otro a que se implemente alguna solución que nos permita seguir utilizando el dispositivo.
Una vez resuelto, seguramente nos toque pasar por alguno de los puntos o comisarias que disponen de las máquinas para la gestión de los certificados en el DNI-e y actualizar los certificados o generar unos nuevos que nos permitan seguir operando con normalidad, ya os avisaré por aquí actualizando la entrada cuando exista una solución.
Actualización a día 04/12/2017: La página web oficial del DNIe ha publicado una actualización de la noticia diciendo que ya se ha solucionado el problema del DNIe… sí, eso es bueno, pero tal y como suponíamos nos toca pasar por el Punto de Actualización más cercano y generar unos nuevos certificados. Yo lo haré en los próximos días, así que si surge alguna novedad os la iré contando 🙂