DNI 3.0 ¿fiasco 3.0?
De acuerdo con los datos facilitados ayer, ya existen 43,4 millones de DNI electrónicos expedidos, lo que significa que, según los datos que se manejaban a finales del año pasado, en apenas cuatro meses se ha superado la barrera de los 5 millones de DNI expedidos (buen sprint). La cifra choca, si consideramos que a principios de 2013 se hablaba de más de 32 millones, pero no vamos a desconfiar de los datos oficiales, ¿no?
No es ningún secreto que siempre he sido muy crÃtico con el modo en que se ha ejecutado el DNI electrónico en España y he sugerido que más de uno se ha enriquecido aprovechándose de él. Asà lo expuse en artÃculos como El fiasco del DNI electrónico o Los sueños húmedos del DNI electrónico. Precisamente en éste último, criticaba que lo importante no es tanto cuántos e-DNI hay expedidos, sino qué uso se está haciendo de ellos y, a dÃa de hoy, es muy pobre.
El Informe eEspaña 2014 de la Fundación Orange ponÃa de relieve que de los más de 367 millones de trámites electrónicos realizados con la Administración General del Estado (AGE), poco más de 70.000 se realizaron con DNI electrónico (ni siquiera llega al 0,02%). En cuanto a la presentación de la declaración de la renta, la Agencia Tributaria revelaba que ni siquiera llegan al 1% las declaraciones presentadas por esta vÃa.
Esto podrÃa cambiar con la principal novedad del nuevo e-DNI, que incorpora un chip certificado seguro (de mayor capacidad y velocidad): la inclusión de la tecnologÃa NFC (Near Field Communication) y radiofrecuencia. La utilización del DNI será más sencilla, puesto que para usarlo desde nuestro smartphone o tableta no precisaremos ni de lector de tarjetas inteligentes ni de la instalación de los correspondientes drivers. Eso sÃ, nuestros terminales habrán de contar con un chip NFC y, aunque está muy extendido, no todos los tienen.
Especialmente llamativo es el caso de los iPhone, que carecen de chip NFC. El último modelo presentado por Apple sà lo incorpora, pero tampoco sirve de nada, porque lo tiene ?capado? para ser usado exclusivamente con su servicio de pago Apple Pay. Esto quiere decir que, según el último estudio de mercado de Kantar, cerca de un 10% de los smartphones de España no podrá beneficiarse de la principal novedad del DNI 3.0.
En el caso de los ordenadores, el DNI 3.0 aporta poco, puesto que los PCs no disponen de chip NFC y, ante la posibilidad de comprar un lector compatible, es más asequible hacerse con un lector de tarjetas inteligentes al uso.
Dudas acerca de la seguridad
El estándar NFC no es nuevo. Fue aprobado como estándar hace 12 años, aunque cuando realmente ha cogido verdadero impulso ha sido a partir de 2008 y algunas consultoras como Juniper prevén que éste sea el año del NFC (junto a la seguridad biométrica) y de hecho, compañÃas como BBVA ya hacen uso intensiva de ella. Funciona en la banda de los 13.56 MHz y ofrece una transferencia de datos de unos 424 Kbits/s, por lo que no esperemos compartir grandes volúmenes de información. Aunque algunos hablan de un rango máximo de 20 centÃmetros de proximidad para que el dispositivo detecte la tarjeta, el funcionamiento óptimo está más cercano a los 10 centÃmetros como máximo. Precisamente en esta necesidad de proximidad para la conexión y en la capacidad para encriptar las comunicaciones, reside la seguridad del sistema.
En esta lÃnea, Fernández DÃaz afirmó que esta iniciativa se enmarca en el objetivo que se fijó al iniciar esta legislatura: hacer de España un paÃs más seguro. Lamentablemente, no podemos asegurar que asà sea, porque desde el ministerio del Interior no han estado especialmente receptivos a ampliar la información técnica, más allá de la repetitiva e insustancial nota de prensa emitida ayer. Y si uno tiene la ocurrencia de acudir al mal llamado Portal de Transparencia, la única referencia que encontrará al e-DNI es una adjudicación a la compañÃa LGAI Technological Center (Applus+), por valor de 217.800 euros, para un análisis de vulnerabilidades? y ésta ha rechazado comentar los detalles del contrato, adjudicado por procedimiento negociado sin publicidad y en el que sólo se presentó esta oferta.
Lo chocante es que ya se han comenzado a emitir los DNI 3.0 y estos trabajos de consultorÃa se prolongan hasta el próximo 30 de septiembre. ¿Se ha puesto en circulación un documento sin haber realizado previamente todas las pruebas de seguridad?
Si bien es cierto que la incorporación de la tecnologÃa NFC simplifica mucho el uso del DNI electrónico ?ya no requiere lector, que no siempre funciona-, la posibilidad de que se permita la lectura sin PIN del certificado de identificación puede plantear algunas cuestiones de seguridad. Y para ello, basta remitirse a un caso real:
RumanÃa lleva años utilizando el pasaporte electrónico con tecnologÃa NFC. Como sucede en con el Gobierno español, el rumano nunca publicó una auditorÃa de seguridad del documento electrónico. Por este motivo, a principios de 2013 una ONG de derechos digitales contrató los servicios de un experto en seguridad para que éste evaluara la seguridad del nuevo pasaporte.
Segundo fallo de seguridad: Las autoridades aseguraban que el chip estaba protegido por un mecanismo BAC (Basic Access Control), de manera que el canal de comunicación entre el chip y el lector estaba protegido mediante la encriptación de los datos. Esto significaba que cualquier intento de lectura por parte de dispositivos no autorizados serÃa rechazado. No fue asà porque la clave de seguridad era básica, basaba en una combinación de la fecha de nacimiento, el número de pasaporte y la fecha de expiración, todos ellos fácilmente accesibles, como hemos visto.
Venta de humo
Entre las novedades que ha anunciado el ministerio también destaca haber dotado a la firma electrónica de la misma validez jurÃdica que la firma manuscrita. En realidad, esto no es nuevo, pues los documentos firmados telemáticamente con el DNI 2.0 ?o como los expertos en marketing polÃtico quieran bautizar al predecesor- ya tenÃan esa validez. Más nos vale, porque de lo contrario las declaraciones de la renta presentadas por esta vÃa no serÃan válidas. Dicho de otro modo, ayer el ministerio vendió humo.
El grado de propaganda fue tal, que incluso acuñaron el término ?documento de viaje electrónico?. ¿A qué se refiere exactamente? El DNI, incluso el que no era electrónico, ya era válido para viajar por toda la Unión Europea? Del mismo modo, el hecho de que ayer Fernández DÃaz dijera que con el nuevo e-DNI se podrán hacer trámites como comprobar si tenemos alguna multa tampoco es nada nuevo. Los trámites ayer referidos como novedad, ya eran viables con el DNI 2.0. Lo paradójico del tema es que tanto humo, para ni siquiera haber actualidad la web oficial del DNI electrónico, en la que a dÃa de hoy no se hace ninguna referencia a este alud de novedades que Fernández DÃaz anunció ayer.
Por otro lado, llama la atención que a pesar de que el pasado verano, durante el II Curso Internacional ?PolicÃa 3.0: Seguridad Inteligente?, el director general de la PolicÃa, Ignacio Cosidó, asegurará que el DNI 3.0 también vendrÃa acompañado de almacenamiento en la nube, nada de esto se mencionó en la comparecencia de ayer.