Corre el a√Īo 2015 y todav√≠a hay determinados sectores que reaccionan a la tecnolog√≠a como lo hac√≠amos en el medievo, con miedo. Y no es, quiz√°, que falten motivos sino m√°s bien que contribuyen a expandir el peor mal de todos: la ignorancia. Hablamos del nuevo DNI 3.0 estrenado en Espa√Īa.

A raíz de unas declaraciones del Ministro de Interior, Jorge Fernández Díaz, han empezado a correr como la pólvora en diversas publicaciones y en redes sociales "noticias" no contrastadas de que el gobierno podría empezar a localizar e identificar individuos a distancia con el nuevo DNI 3.0. Algo así como policías armados con lectores capaces de identificar a metros de distancia a los ciudadanos. Bien para una película, pero muy lejos de la realidad.

Advertisement

Ante la gravedad de tal posibilidad, hemos hablado con expertos en seguridad, con el Ministerio de Interior y fuentes policiales para esclarecer el tema. Y la respuesta ha sido contundente. En su versión corta: no, nadie te va a poder identificar a distancia con el nuevo DNI 3.0. Versión larga: no, ni siquiera aunque la policía quiera.

Cómo funciona, exactamente, el DNI 3.0

El funcionamiento del DNI 3.0, ya sea por RFID o por NFC es bastante sencillo. Como explica el especialista en seguridad inform√°tica Yago Jes√ļs, quien particip√≥ en el desarrollo t√©cnico y seguridad de la anterior versi√≥n del DNI-e, hay dos c√≥digos impresos tanto en el anverso (CAN) como en el reverso (MRZ) del DNI, a partir de cualquiera de los dos se negocia una sesi√≥n cifrada entre lector y DNI para el intercambio de datos.

Advertisement

Esa es, al menos, la teor√≠a. Pero como algunos apuntan, y pese a las posibles implicaciones para la privacidad que podr√≠a tener, es relativamente factible que Interior guarde una base de datos donde aparezca la relaci√≥n del CAN y del MRZ para cada uno de los ciudadanos. ¬ŅEl problema? La obtenci√≥n de esos datos anula la misma intenci√≥n de utilizarlos para acceder a ese DNI. Dicho de otro modo: si el gobierno conoce el CAN y el MRZ de un individuo en concreto es porque ya sabe su identidad ¬ŅPara qu√© iba a querer identificarlo a distancia?

Y luego está, por supuesto, que las palabras exactas del ministro ni siquiera confirman una intención o la remota posibilidad de la misma hacerlo. Puedes ver las declaraciones por ti mismo a partir del minuto 19:40 en el vídeo oficial de Los Desayunos de RTVE.

Advertisement

Fuentes del Ministerio de Interior han asegurado a Gizmodo en Espa√Īol en conversaci√≥n telef√≥nica que:

En ning√ļn momento la respuesta del ministro, Jorge Fern√°ndez D√≠az, confirma que se pueda utilizar el DNI 3.0 para identificar a distancia a los ciudadanos. Fue una respuesta general sobre el uso del DNI 3.0 y la mejora del servicio, en ning√ļn momento confirma ese extremo de la identificaci√≥n a distancia, entre otras cosas porque es imposible.

Viendo la pregunta al ministro de Interior y su respuesta, efectivamente es imposible concluir que "confirma" la posibilidad de utilizar el DNI 3.0 para identificar a distancia a los ciudadanos. Es la típica respuesta general, esa en la que uno pregunta una cosa (el periodista) y otro, el ministro en este caso, responde otra completamente distinta. Así que no: ni el ministro de Interior ha confirmado que se pueda utilizar el DNI 3.0 para identificaciones a distancia ni es posible hacerlo técnicamente. Dale las gracias a Twitter y a informaciones no contrastadas por el lío que se ha creado al respecto.

Advertisement

Por otro lado, fuentes policiales han confirmado tambi√©n a Gizmodo en Espa√Īol que "es imposible realizar una identificaci√≥n a distancia con el nuevo DNI 3.0". Seg√ļn estas fuentes:

Para poder leer el chip NFC del DNI con un lector electrónico se necesita que haya casi un contacto entre ambos objetos, antena a antena, o a una mínima distancia, de apenas unos centímetros. En cuanto aumenta esa distancia, se pierde la conexión. Nadie va a poder ir por la calle identificando de lejos los DNI de la gente, es absurdo. Un agente de policía, por ejemplo, solo podrá leer ese DNI acercándolo a un lector o a apenas 1-2 centímetros de distancia, o menos.

Advertisement

Y por ir m√°s all√°, como apunta Yago Jes√ļs, en realidad da igual lo que haya dicho un (¬Ņmal informado?) ministro de Interior:

√Čl no es un experto en seguridad, lo que le pasan es un informe de alto perfil con toda la informaci√≥n relativa al proyecto. Adem√°s, es imposible acceder a los datos a menos que tengas el DNI delante. Totalmente imposible. Sin importar siquiera los rangos de distancia a los que pueda operar el RFID o el NFC. Esto invalida no s√≥lo la posibilidad de que se utilice, para, digamos, una manifestaci√≥n sino tambi√©n en tiendas, centros comerciales... etc.

Descartando la fuerza bruta

Aclarada esa parte, por tanto, nos queda explotar la siguiente posibilidad: la fuerza bruta. Es decir, intentar todas las combinaciones posibles una detr√°s de otra sobre el DNI del atacante hasta que alguna caiga.

Advertisement

El problema aqu√≠: el ancho de banda y la capacidad de procesamiento del DNI 3.0, que es, obviamente limitada. A este respecto, seg√ļn confirman tanto Yago Jes√ļs como el experto en seguridad David Barroso, CTO de Eleven Paths, en algunas investigaciones similares que no tendr√≠an por qu√© aplicarse al 100% a nuestro DNI, un ataque a la fuerza tarda en torno a las 4 horas:

T√©cnicamente ser√≠a posible realizar un ataque por fuerza bruta, como con el modelo actual de Pasaporte, y aunque es complicado afirmarlo sin conocer del todo las especificaciones t√©cnicas del nuevo DNI 3.0, parece que no incluir√° un bloqueo tras repetidos intentos de contrase√Īa err√≥nea. Tendr√≠a algo de sentido en un avi√≥n, por ejemplo, o en un entorno est√°tico, donde al cabo de un tiempo se pudiese acceder a a la informaci√≥n. Es importante notar, sin embargo, que no hay ning√ļn tipo de geolocalizaci√≥n, as√≠ que ser√≠a relativamente complicado identificar a quien estamos dirigiendo el ataque en un avi√≥n con varios DNIs 3.0 a bordo.

¬ŅQu√© informaci√≥n contiene el DNI 3.0?

Con todo, la información que almacena el DNI 3.0 no es nada del otro mundo, básicamente son los mismos datos que aparecen impresos además de un par de extras como las fotos, nuestra huella dactilar y nuestra firma. Dejando a un lado la posible identificación, realmente no hay mucho que se pueda hacer con todo ello.

Advertisement

Lo sentimos por los conspiranoicos, pero no: el gobierno nunca podrá identificarte remotamente a distancia con el nuevo DNI 3.0. En el caso de quisiera hacerlo tiene que tener contacto visual directo con cualquiera de los códigos del mismo y además estar a una distancia mínima, casi inexistente. Otra cosa serán los posibles hackeos de seguridad que el chip NFC o el sistema del DNI 3.0 podría sufrir. Hasta que no se publiquen las especificaciones técnicas concretas y se puedan probar físicamente, difícil concluir nada sobre la seguridad en sí de la nueva tarjeta.

***

Psst! también puedes seguirnos en Twitter, Facebook o Google+ :)