Corre el año 2015 y todavía hay determinados sectores que reaccionan a la tecnología como lo hacíamos en el medievo, con miedo. Y no es, quizá, que falten motivos sino más bien que contribuyen a expandir el peor mal de todos: la ignorancia. Hablamos del nuevo DNI 3.0 estrenado en España.

A raíz de unas declaraciones del Ministro de Interior, Jorge Fernández Díaz, han empezado a correr como la pólvora en diversas publicaciones y en redes sociales "noticias" no contrastadas de que el gobierno podría empezar a localizar e identificar individuos a distancia con el nuevo DNI 3.0. Algo así como policías armados con lectores capaces de identificar a metros de distancia a los ciudadanos. Bien para una película, pero muy lejos de la realidad.

Advertisement

Ante la gravedad de tal posibilidad, hemos hablado con expertos en seguridad, con el Ministerio de Interior y fuentes policiales para esclarecer el tema. Y la respuesta ha sido contundente. En su versión corta: no, nadie te va a poder identificar a distancia con el nuevo DNI 3.0. Versión larga: no, ni siquiera aunque la policía quiera.

Cómo funciona, exactamente, el DNI 3.0

El funcionamiento del DNI 3.0, ya sea por RFID o por NFC es bastante sencillo. Como explica el especialista en seguridad informática Yago Jesús, quien participó en el desarrollo técnico y seguridad de la anterior versión del DNI-e, hay dos códigos impresos tanto en el anverso (CAN) como en el reverso (MRZ) del DNI, a partir de cualquiera de los dos se negocia una sesión cifrada entre lector y DNI para el intercambio de datos.

Advertisement

Esa es, al menos, la teoría. Pero como algunos apuntan, y pese a las posibles implicaciones para la privacidad que podría tener, es relativamente factible que Interior guarde una base de datos donde aparezca la relación del CAN y del MRZ para cada uno de los ciudadanos. ¿El problema? La obtención de esos datos anula la misma intención de utilizarlos para acceder a ese DNI. Dicho de otro modo: si el gobierno conoce el CAN y el MRZ de un individuo en concreto es porque ya sabe su identidad ¿Para qué iba a querer identificarlo a distancia?

Y luego está, por supuesto, que las palabras exactas del ministro ni siquiera confirman una intención o la remota posibilidad de la misma hacerlo. Puedes ver las declaraciones por ti mismo a partir del minuto 19:40 en el vídeo oficial de Los Desayunos de RTVE.

Fuentes del Ministerio de Interior han asegurado a Gizmodo en Español en conversación telefónica que:

En ningún momento la respuesta del ministro, Jorge Fernández Díaz, confirma que se pueda utilizar el DNI 3.0 para identificar a distancia a los ciudadanos. Fue una respuesta general sobre el uso del DNI 3.0 y la mejora del servicio, en ningún momento confirma ese extremo de la identificación a distancia, entre otras cosas porque es imposible.

Viendo la pregunta al ministro de Interior y su respuesta, efectivamente es imposible concluir que "confirma" la posibilidad de utilizar el DNI 3.0 para identificar a distancia a los ciudadanos. Es la típica respuesta general, esa en la que uno pregunta una cosa (el periodista) y otro, el ministro en este caso, responde otra completamente distinta. Así que no: ni el ministro de Interior ha confirmado que se pueda utilizar el DNI 3.0 para identificaciones a distancia ni es posible hacerlo técnicamente. Dale las gracias a Twitter y a informaciones no contrastadas por el lío que se ha creado al respecto.

Por otro lado, fuentes policiales han confirmado también a Gizmodo en Español que "es imposible realizar una identificación a distancia con el nuevo DNI 3.0". Según estas fuentes:

Para poder leer el chip NFC del DNI con un lector electrónico se necesita que haya casi un contacto entre ambos objetos, antena a antena, o a una mínima distancia, de apenas unos centímetros. En cuanto aumenta esa distancia, se pierde la conexión. Nadie va a poder ir por la calle identificando de lejos los DNI de la gente, es absurdo. Un agente de policía, por ejemplo, solo podrá leer ese DNI acercándolo a un lector o a apenas 1-2 centímetros de distancia, o menos.

Y por ir más allá, como apunta Yago Jesús, en realidad da igual lo que haya dicho un (¿mal informado?) ministro de Interior:

Él no es un experto en seguridad, lo que le pasan es un informe de alto perfil con toda la información relativa al proyecto. Además, es imposible acceder a los datos a menos que tengas el DNI delante. Totalmente imposible. Sin importar siquiera los rangos de distancia a los que pueda operar el RFID o el NFC. Esto invalida no sólo la posibilidad de que se utilice, para, digamos, una manifestación sino también en tiendas, centros comerciales... etc.

Descartando la fuerza bruta

Aclarada esa parte, por tanto, nos queda explotar la siguiente posibilidad: la fuerza bruta. Es decir, intentar todas las combinaciones posibles una detrás de otra sobre el DNI del atacante hasta que alguna caiga.

Advertisement

El problema aquí: el ancho de banda y la capacidad de procesamiento del DNI 3.0, que es, obviamente limitada. A este respecto, según confirman tanto Yago Jesús como el experto en seguridad David Barroso, CTO de Eleven Paths, en algunas investigaciones similares que no tendrían por qué aplicarse al 100% a nuestro DNI, un ataque a la fuerza tarda en torno a las 4 horas:

Técnicamente sería posible realizar un ataque por fuerza bruta, como con el modelo actual de Pasaporte, y aunque es complicado afirmarlo sin conocer del todo las especificaciones técnicas del nuevo DNI 3.0, parece que no incluirá un bloqueo tras repetidos intentos de contraseña errónea. Tendría algo de sentido en un avión, por ejemplo, o en un entorno estático, donde al cabo de un tiempo se pudiese acceder a a la información. Es importante notar, sin embargo, que no hay ningún tipo de geolocalización, así que sería relativamente complicado identificar a quien estamos dirigiendo el ataque en un avión con varios DNIs 3.0 a bordo.

¿Qué información contiene el DNI 3.0?

Con todo, la información que almacena el DNI 3.0 no es nada del otro mundo, básicamente son los mismos datos que aparecen impresos además de un par de extras como las fotos, nuestra huella dactilar y nuestra firma. Dejando a un lado la posible identificación, realmente no hay mucho que se pueda hacer con todo ello.

Advertisement

Lo sentimos por los conspiranoicos, pero no: el gobierno nunca podrá identificarte remotamente a distancia con el nuevo DNI 3.0. En el caso de quisiera hacerlo tiene que tener contacto visual directo con cualquiera de los códigos del mismo y además estar a una distancia mínima, casi inexistente. Otra cosa serán los posibles hackeos de seguridad que el chip NFC o el sistema del DNI 3.0 podría sufrir. Hasta que no se publiquen las especificaciones técnicas concretas y se puedan probar físicamente, difícil concluir nada sobre la seguridad en sí de la nueva tarjeta.

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)