2.10.09

L'Estat no atén les seves pròpies recomanacions de seguretat

L'entorn on el ciutadà comú utilitza el DNI electrònic no és segur. A part, les aplicacions del DNI-e tampoc són perfectes, almenys pel que fa a la integritat de les dades de l'usuari. Aquest any el Centre Criptològic Nacional (CCN) ha publicat els requisits tècnics essencials per al desenvolupament segur i ús d'aplicacions del DNI-e. De moment, cap aplicació d'administració electrònica que faci servir el DNI-e ha obtingut una certificació del CCN. L'Estat no atén les seves pròpies recomanacions de seguretat.

És a dir que una empresa anomenada Estat que ens ofereix un producte en règim de monopoli anomenat DNI ens sotmet a unes condicions d'inseguretat per manca de compliment dels estàndards que ella mateixa ha promogut.

Si l'Estat fes una memòria d'RSE hauria de donar compte d'un indicador, segons el model GRI, en l'àrea de privacitat del client, el qual demana el "Nombre total de reclamacions degudament fonamentades en relació amb el respecte a la privacitat i la fuga de dades personals de clients" (Indicador PR8). No estaria malament que les administracions públiques es posessin les piles i complissin amb els propis criteris, requisits, valors públics i marcs regulatoris!

Usar el DNI electrónico en Internet no es seguro

@Eva Martín. - 19/09/2009
El Estado español ha gastado más de 300 millones de euros en un DNI electrónico, que es la envidia de muchos países. Sin embargo, utilizarlo en Internet para hacer operaciones puede costarnos un disgusto. El DNI electrónico es la clave para identificarnos, en el mundo real y en Internet. Además es una herramienta de firma electrónica con la misma validez que si fuéramos en persona a cerrar una operación. Es mucho más que una pieza de plástico; lleva un chip incrustado, donde almacena datos personales y biométricos del titular. También contiene los certificados electrónicos relativos a la identificación –o autenticación, en el argot informático- y a la firma electrónica.

Se han expedido 12 millones de DNI electrónicos, y existen centenares de aplicaciones basadas en él, como las de la administración electrónica. Por ejemplo, se puede presentar la declaración de la renta sin ir a Hacienda, solicitar el historial laboral en el sitio web de la Seguridad Social, e inscribirse en oposiciones. Pero el DNI-e además vale para consultar el saldo en la web del banco. En muchas empresas franquea el acceso a las instalaciones y a la red corporativa. El funcionamiento es sencillo. El usuario necesita un ordenador con un lector de tarjetas inteligentes compatible y una conexión a Internet. Para acceder al servicio de turno, el usuario sólo tiene que meter su DNI-e en el lector, y luego introducir una clave o PIN, que consta de entre 8 y 16 caracteres alfanuméricos.

El problema es que una operación tan simple y cada vez más frecuente, puede resultar arriesgada. Así lo pone de manifiesto un reciente informe de la consultora Pentest, que recoge un secreto a voces que corre entre los expertos en seguridad desde hace años. Usar un instrumento seguro como el DNI-e en un entorno inseguro como Internet deja expuestos nuestros datos. No es sólo una cuestión de falta de privacidad, sino de perjuicios económicos. Estos fallos de seguridad pueden ser aprovechados por delincuentes cibernéticos para robar información sensible y suplantar la identidad del usuario. Y esto puede suceder incluso después de haber retirado el DNI-e del lector de tarjetas.

El ciudadano común no domina la seguridad del ordenador de la biblioteca o del cibercafé. También está fuera de su alcance asegurar el ordenador del trabajo. Ni siquiera controla la seguridad de su propio ordenador portátil. De hecho, la mitad de los ordenadores españoles están infectados por virus, troyanos y otras amenazas latentes, según Panda Security. Además, el 3 por ciento son ordenadores zombies, que envían correo basura sin que el propietario se percate. Otro riesgo que arruina la vida a cualquiera es la suplantación de identidad. Este último año los usuarios afectados por todo tipo de software malicioso encaminado al robo de identidad se han sextuplicado.

El proyecto estrella del Estado

El DNI-e es un proyecto estrella del Estado, en el que intervienen diversos organismos. La Fábrica Nacional de Moneda y Timbre es la encargada de producir los DNI electrónicos en blanco. El Centro Criptológico Nacional, dependiente de Defensa, se ocupa de las certificaciones de seguridad. La Dirección General de la Policía, dependiente de Interior, los expide. Hasta el Ministerio de Industria firma convenios con las comunidades autónomas para la difusión del DNI-e.

La implantación del DNI-e ha costado más de 300 millones de euros. La tasa de expedición de 10 euros (en 2006 era 6,60 euros) cubre en parte los costes de producción. Que todo el mundo utilice el DNI-e en Internet parece ser prioritario. En julio, el Gobierno firmaba un acuerdo con las dos patronales de fabricantes de electrónica de consumo, AETIC y ASIMELEC, para que los nuevos ordenadores que pongan a la venta lleven un lector de DNI-e integrado.

Este verano un responsable de la seguridad del Estado calificaba de "totalmente infundada" la desconfianza de los ciudadanos hacia el DNI electrónico. La Administración está muy interesada en fomentar el uso del DNI-e en Internet. Como muestra, la campaña con el lema "DNI Electrónico, identifícate con él". De momento se están preparando cerca de 4 millones de folletos para repartirlos en las comisarías de policía, una acción promocional que cuesta 116.000 euros.

Ese folleto resalta que el DNI-e "permite operar en Internet y realizar gestiones telemáticas con las máximas garantías de seguridad". Luego viene la letra pequeña. Dentro del apartado de obligaciones y responsabilidades del suscriptor, se explica que "el ciudadano asumirá toda la responsabilidad y riesgos derivados de la fiabilidad y seguridad del puesto de trabajo, equipo informático o medio desde el cual emplee su certificado". A esto se añade el deber de "proteger sus claves privadas [PIN] y custodiar los certificados asociados".

No es seguro

El entorno donde el ciudadano común usa el DNI electrónico no es seguro. Aparte, las aplicaciones del DNI-e tampoco son perfectas, al menos en lo que respecta a la integridad de los datos del usuario. Este año el Centro Criptológico Nacional (CCN) ha publicado los requisitos técnicos esenciales para el desarrollo seguro y uso de aplicaciones del DNI-e. De momento, ninguna aplicación de administración electrónica que emplee el DNI-e ha obtenido una certificación del CCN. El Estado no atiende sus propias recomendaciones de seguridad.

En el laboratorio Epoche & Espri, cuyo trabajo es un medio de prueba de evaluación de seguridad válido para la obtención de los certificados del CCN, tampoco tienen constancia de solicitudes de fabricantes de tecnologías de la información. El dinero quizás sea la barrera. Un fabricante que quiera conseguir una certificación de seguridad para un producto debe desembolsar entre 30.000 y 50.000 euros.

Quizás los ciudadanos pidan más seguridad al DNI-e que al carnet sin chip. Sin embargo, el principio de precaución aconsejaría que la Administración se abstuviera de recomendar alegremente el uso del DNI-e en entornos inseguros como un ordenador doméstico conectado a Internet.

La parte positiva es que el DNI-e casi no se usa en operaciones telemáticas. Según la Fundación COTEC, menos del 10 por ciento de las personas que lo tienen lo han utilizado para cumplimentar formularios en Internet. Sin embargo, esto cambiará. En 2014, todos llevaremos un DNI-e en el bolsillo. Cuando haya suficiente masa crítica, aumentará el interés de los ciberdelincuentes, y los ataques crecerán.
Font