El Ministerio del Interior de España ha informado a través del Cuerpo Nacional de Policía de un grave problema de seguridad en el certificado electrónico del DNI electrónico (DNIe). Eso ha provocado una reacción inmediata: se ha desactivado la funcionalidad de los certificados digitales de parte de los actuales DNIe.
Cómo saber si tu DNI está afectado por el fallo de seguridad
Los documentos nacionales de identidad afectados fueron expedidos a partir de abril de 2015. Para saber si nuestro DNIe está afectado tendremos que prestar atención al número que está bajo el llamado IDEPS o NUM SOPORT (según el tipo de DNI electrónico que tengamos en cada caso). En el comunicado oficial se especifica que «se comunica que los documentos cuyos certificados pudieran resultar afectados, son los que tienen número de soporte posterior al ASG160.000, que fueron expedidos a partir de abril de 2015».
Tu DNI sigue siendo válido como documento de identificación
Es importante destacar que, aunque el certificado digital de estos DNIe queda desactivado como medida de seguridad, el DNIe sigue siento perfectamente válido como documento de identificación.
¿Qué hacer si tu DNIe está entre los afectados?
Las desactivaciones de estas funciones se mantendrán mientras se mejora la seguridad del DNI electrónico, y según la Policía Nacional este proceso «se hará en fechas próximas». En caso de hacer un uso activo del certificado digital y estar afectado por el problema, lo más adecuado es solicitar la renovación del DNIe
El origen del problema
La vulnerabilidad se encuentra en una librería software ampliamente utilizada en este ámbito. Debido a este problema un atacante podría calcular la porción privada de una clave vulnerable usando tan solo la porción pública.
Eso daría lugar a que un atacante acabara pudiendo suplantar la personalidad de la víctima para descifrar datos sensibles, ocultar software malicioso en software firmado digitalmente o superar la protección basada en estos sistemas. Dicha librería software fue desarrollada por el fabricante alemán de chips Infineon, y según los estudios ha estado generando claves débiles desde al menos 2012.
Este mismo problema causó también que el gobierno de Estonia indicara que más de 750.000 documentos de identidad electrónicos eran vulnerables a este ataque lo que provocó la desactivación de los certificados digitales para evitar el abuso de esta vulnerabilidad.
Los propios responsables de gobierno estonio indican que aprovechar el ataque sería «complicado y nada barato», y que usarlo por ejemplo para usarlo en fraudes a gran escala no sería asumible.
Vía: Xataka
