Firma electrónica y supuestas vulnerabilidades en el DNI-e

Hoy hemos tenido noticia vía la Asociación de Internautas de que se han detectado vulnerabilidades en las implementaciones del DNI electrónico. Un informe (PDF) de los consultores Pentest asegura que su utilización cotidiana «no permite afirmar que se pueda confiar totalmente en su uso».

Empezaré diciendo que estoy de acuerdo con Pentest en que no se puede confiar totalmente en su uso porque no existe ninguna tecnología en la que se pueda confiar totalmente. No existe el sistema inexpugnable. Gene Spafford, un reputado experto en seguridad informática dijo en una ocasión:

El único sistema totalmente seguro sería uno que estuviese apagado, desconectado de cualquier red, metido dentro de una caja fuerte de titanio, rodeado de gas y vigilado por unos guardias armados insobornables. Aún así yo no apostaría mi vida por él

Partiendo de esta premisa, diré que el DNI-e es un sistema de firma seguro, estándar y muy extendido, con lo que existen multitud de empresas y administraciones con las que relacionarse de este modo. Sus características lo hacen bueno para garantizar la confidencialidad, integridad, autenticidad y el no repudio.

• La confidencialidad se refiere a la capacidad de mantener un documento electrónico inaccesible a todos, excepto a una lista determinada de personas.
• La integridad garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.
• La autenticidad se refiere a la capacidad de determinar si una lista determinada de personas ha establecido su reconocimiento y/o compromiso sobre el contenido del documento electrónico. El problema de la autenticidad en un documento tradicional se soluciona mediante la firma autógrafa. Mediante esta firma, un individuo, o varios, manifiestan su voluntad de reconocer el contenido de un documento, y en su caso, a cumplir con los compromisos que el documento establezca para con el individuo.
• El no repudio garantiza que las partes no puedan negar que la información se intercambió.

El DNI-e utiliza una infraestructura de certificación compuesta de una Autoridad raíz y un conjunto de Autoridades subordinadas. Por describir un ejemplo, el raíz consiste en un certificado autofirmado con SHA1 y SHA256, con claves RSA de 4096 bits

El DNI-e contiene un certificado X509v3, que tiene activo en el Key Usage el bit de ContentCommitment (no repudio) y que está asociado a un par de claves publica y privada, generadas en el interior del chip.

Este certificado expedido como reconocido es el utilizado para la firma de documentos garantizando su integridad y el no repudio de origen, y convierte la firma electrónica avanzada (FEA) en firma electrónica reconocida (FER). Este tipo de firmas se equiparan legalmente a la firma manuscrita, según la Ley 59/2003 y la Directiva europea 1999/93/CE (PDF).

Además de este certificado fundamental, el DNI-e contiene un certificado de componente para establecer un canal cifrado y autenticado entre la tarjeta y los drivers, y un certificado de autenticación para establecer el canal seguro entre el cliente y el servidor.

El Ministerio de Administraciones Públicas (MAP) puso en marcha un proyecto denominado «Plataforma de validación y firma electrónica (@firma)», heredado de la Junta de Andalucía, y que ha permitido poner a disposición de las distintas administraciones una aplicación a través de la red SARA para validar y firmar electrónicamente. Es una solución basada en software libre que las administraciones utilizan para no tener que realizar sus propios desarrollos.

Valgan este conjunto de características técnicas para decir que aunque la tradición y la desconfianza hacia lo desconocido nos siga llevando en muchas ocasiones a utilizar en nuestros trámites una firma manuscrita plasmada en un papel o una pobre contraseña, una firma digital es infinitamente más difícil de falsificar, y esa posible falsificación suele dejar un rastro.

Las características del DNI-e, junto con las medidas de protección implementadas en las administraciones para evitar la suplantación de la identidad en las aplicaciones que desarrollan, así como los sistemas de seguridad de los equipos domésticos (antivirus, firewall, etc.) no constituyen un sistema perfecto, pero aumentan notablemente el nivel de seguridad frente al fraude.

El propio informe al que nos referimos, injustamente exagerado en los medios digitales para buscar en ocasiones el titular impactante, reconoce que «el uso del DNI Electrónico siempre es más seguro que el uso de contraseñas estáticas», que los scripts que explotan las vulnerabilidades no pasarían los filtros de firewall o antivirus, o que no se han podido probar (y menos explotar) algunas vulnerabilidades que se buscaban.

En definitiva, no se han detectado vulnerabilidades importantes en el DNI-e en sí mismo, sino que simplemente se ha dejado indicado algún camino para probar alguna de forma hipotética. La más jugosa en su anális sugiere que con un equipo hardware o software especial que sea capaz de cortar la corriente que llega al DNI-e en un momento exacto, tal vez podría impedirse que el contador de intentos de escritura del PIN correcto no se actualizase y por lo tanto, repitiendo la operación de un modo automático unos cuantos millones de veces, tal vez podría averiguarse un PIN sencillo. Es una hipótesis porque no se ha podido garantizar que ese contador funcione de forma errónea.

Del informe me quedaré con la posibilidad de extraer información privada del certificado (DNI, Fecha de nacimiento) a través de la sesión del navegador, lo que podría explotarse en ordenadores públicos o en los kioskos de las administraciones. Esto debe recordarnos a quienes trabajamos diseñando aplicaciones en la administración que hay que garantizar siempre que la sesión quede cancelada tras el paso de un usuario, y a los propios usuarios, que deben tratar de dejar todo cerrado a su paso: el DNI-e retirado del lector tras la autenticación o la firma, la sesión de la aplicación finalizada, y si es posible, el navegador cerrado.

Donde sí estoy totamente de acuerdo es en que algunas administraciones, instituciones financieras y organismos de cualquier otro tipo que utilizan el DNI-e no están implementando sus aplicaciones de forma correcta, haciendo un poco más débiles sus sistemas.

Creo que es labor de todos contribuir a que esta segura tecnología llegue a serlo todavía más.

Y en ello estamos.

Enviar a menéame Enlazar en Facebook Twittear