El DNI español también afectado por un fallo de seguridad

  • Vulnerabilidades

El algoritmo RSA que se encuentra en el chip de una parte de los DNI españoles tiene un fallo de seguridad que permitiría a un ciberdelincuente acceder a cualquier información que esté vinculada a una firma digital.

Si hace unas semanas Estonia anunciaba la retirada de 760.000 tarjetas de identificación porque un fallo permitiría el robo de identidades, hace unos días era el DNI electrónico español el que copaba los titulares.

También puedes leer...

Tratando con el Ransomware

Directrices para el Data Protection Office (DPO)

Cinco pasos para hacer del Data Masking una realidad

Lagunas de conocimiento en Ciberseguridad

Cómo cuantificar el valor de un CASB

La policía Nacional anunciaba que desactivaba la función de certificación digital de los DNI expedidos a partir de 2015 después de que una investigación realizada en una universidad de la república checa diera la voz de alarma.

La policía ya trabaja en el asunto sin que por el momento se tenga constancia de que el fallo se esté explotando.

El problema de seguridad estaría en el propio chip, fabricado por la empresa alemana Infineon, y que se utiliza en administraciones de muchos países del mundo.

Por el momento no parece que la reparación del fallo implique tener que hacer un DNI nuevo, sino una simple actualización en las Oficinas de Documentación.

En Estonia se detectó un fallo de seguridad en el chip que permitiría a los ciberdelincuentes robar la identidad de 760.000 individuos afectados, la mitad de la población. El primer paso del gobierno fue impedir que los residentes afectados pudieran acceder a sus servicios online hasta reparar la vulnerabilidad y a la espera de que los propietarios soliciten certificados actualizados

Según explican en La Razón, el chip que se encuentra en el DN español incorpora una tecnología conocida como algoritmo RSA que en el caso de la firma electrónica se basa en una clave pública y otra privada que permite identificar al usuario en sus gestiones con la administración pública.

Entra ahora en acción un fallo conocido como ROCA que, descubierto el año pasado, permite deducir las calves privadas de las públicas. De forma que cuando se hace uso de la firma electrónica, al acceder a la clave privada se puede robar la identidad de cualquiera cuyo DNI esté afectado; en general se puede acceder a cualquier información que esté vinculada a una firma digital.