- Actualidad
- Opi-Blogs
- Deportes
- Motor
- ACyV-Salud
- Tecnología
- Tendencias
- Cine&TV
- Vídeos
- Fotos
- Comunidad
Facebook | Google | SiliconValleyFacts | Apple | Steve Jobs | Blackberry | iPhone |
ElConfidencial.com > Tecnología
Usar el DNI electrónico en Internet no es seguro
Enviar
Leer más tarde
Comentar
Imprimir
RSS
(4/5 | 40 votos)
|
Compartir
Delicious
Technorati
Menéame
Facebook|
Deja tu comentario|
@Eva Martín 19/09/2009
El Estado español ha gastado más de 300 millones de euros en un DNI electrónico, que es la envidia de muchos países. Sin embargo, utilizarlo en Internet para hacer operaciones puede costarnos un disgusto. El DNI electrónico es la clave para identificarnos, en el mundo real y en Internet. Además es una herramienta de firma electrónica con la misma validez que si fuéramos en persona a cerrar una operación. Es mucho más que una pieza de plástico; lleva un chip incrustado, donde almacena datos personales y biométricos del titular. También contiene los certificados electrónicos relativos a la identificación –o autenticación, en el argot informático- y a la firma electrónica.
Se han expedido 12 millones de DNI electrónicos, y existen centenares de aplicaciones basadas en él, como las de la administración electrónica. Por ejemplo, se puede presentar la declaración de la renta sin ir a Hacienda, solicitar el historial laboral en el sitio web de la Seguridad Social, e inscribirse en oposiciones. Pero el DNI-e además vale para consultar el saldo en la web del banco. En muchas empresas franquea el acceso a las instalaciones y a la red corporativa. El funcionamiento es sencillo. El usuario necesita un ordenador con un lector de tarjetas inteligentes compatible y una conexión a Internet. Para acceder al servicio de turno, el usuario sólo tiene que meter su DNI-e en el lector, y luego introducir una clave o PIN, que consta de entre 8 y 16 caracteres alfanuméricos.
El problema es que una operación tan simple y cada vez más frecuente, puede resultar arriesgada. Así lo pone de manifiesto un reciente informe de la consultora Pentest, que recoge un secreto a voces que corre entre los expertos en seguridad desde hace años. Usar un instrumento seguro como el DNI-e en un entorno inseguro como Internet deja expuestos nuestros datos. No es sólo una cuestión de falta de privacidad, sino de perjuicios económicos. Estos fallos de seguridad pueden ser aprovechados por delincuentes cibernéticos para robar información sensible y suplantar la identidad del usuario. Y esto puede suceder incluso después de haber retirado el DNI-e del lector de tarjetas.
El ciudadano común no domina la seguridad del ordenador de la biblioteca o del cibercafé. También está fuera de su alcance asegurar el ordenador del trabajo. Ni siquiera controla la seguridad de su propio ordenador portátil. De hecho, la mitad de los ordenadores españoles están infectados por virus, troyanos y otras amenazas latentes, según Panda Security. Además, el 3 por ciento son ordenadores zombies, que envían correo basura sin que el propietario se percate. Otro riesgo que arruina la vida a cualquiera es la suplantación de identidad. Este último año los usuarios afectados por todo tipo de software malicioso encaminado al robo de identidad se han sextuplicado.
El proyecto estrella del Estado
El DNI-e es un proyecto estrella del Estado, en el que intervienen diversos organismos. La Fábrica Nacional de Moneda y Timbre es la encargada de producir los DNI electrónicos en blanco. El Centro Criptológico Nacional, dependiente de Defensa, se ocupa de las certificaciones de seguridad. La Dirección General de la Policía, dependiente de Interior, los expide. Hasta el Ministerio de Industria firma convenios con las comunidades autónomas para la difusión del DNI-e.
La implantación del DNI-e ha costado más de 300 millones de euros. La tasa de expedición de 10 euros (en 2006 era 6,60 euros) cubre en parte los costes de producción. Que todo el mundo utilice el DNI-e en Internet parece ser prioritario. En julio, el Gobierno firmaba un acuerdo con las dos patronales de fabricantes de electrónica de consumo, AETIC y ASIMELEC, para que los nuevos ordenadores que pongan a la venta lleven un lector de DNI-e integrado.
Este verano un responsable de la seguridad del Estado calificaba de "totalmente infundada" la desconfianza de los ciudadanos hacia el DNI electrónico. La Administración está muy interesada en fomentar el uso del DNI-e en Internet. Como muestra, la campaña con el lema "DNI Electrónico, identifícate con él". De momento se están preparando cerca de 4 millones de folletos para repartirlos en las comisarías de policía, una acción promocional que cuesta 116.000 euros.
Ese folleto resalta que el DNI-e "permite operar en Internet y realizar gestiones telemáticas con las máximas garantías de seguridad". Luego viene la letra pequeña. Dentro del apartado de obligaciones y responsabilidades del suscriptor, se explica que "el ciudadano asumirá toda la responsabilidad y riesgos derivados de la fiabilidad y seguridad del puesto de trabajo, equipo informático o medio desde el cual emplee su certificado". A esto se añade el deber de "proteger sus claves privadas [PIN] y custodiar los certificados asociados".
El entorno donde el ciudadano común usa el DNI electrónico no es seguro. Aparte, las aplicaciones del DNI-e tampoco son perfectas, al menos en lo que respecta a la integridad de los datos del usuario. Este año el Centro Criptológico Nacional (CCN) ha publicado los requisitos técnicos esenciales para el desarrollo seguro y uso de aplicaciones del DNI-e. De momento, ninguna aplicación de administración electrónica que emplee el DNI-e ha obtenido una certificación del CCN. El Estado no atiende sus propias recomendaciones de seguridad.
En el laboratorio Epoche & Espri, cuyo trabajo es un medio de prueba de evaluación de seguridad válido para la obtención de los certificados del CCN, tampoco tienen constancia de solicitudes de fabricantes de tecnologías de la información. El dinero quizás sea la barrera. Un fabricante que quiera conseguir una certificación de seguridad para un producto debe desembolsar entre 30.000 y 50.000 euros.
Quizás los ciudadanos pidan más seguridad al DNI-e que al carnet sin chip. Sin embargo, el principio de precaución aconsejaría que la Administración se abstuviera de recomendar alegremente el uso del DNI-e en entornos inseguros como un ordenador doméstico conectado a Internet.
La parte positiva es que el DNI-e casi no se usa en operaciones telemáticas. Según la Fundación COTEC, menos del 10 por ciento de las personas que lo tienen lo han utilizado para cumplimentar formularios en Internet. Sin embargo, esto cambiará. En 2014, todos llevaremos un DNI-e en el bolsillo. Cuando haya suficiente masa crítica, aumentará el interés de los ciberdelincuentes, y los ataques crecerán.
(4/5 | 40 votos)
|
Compartir
|
|
OPINIONES DE LOS LECTORES, 
29 COMENTARIOS
29 .- Quien se cree que es libre en este mundo, no te das cuenta que cuando quieren saber algo de ti lo saben, desde que naces ya estas fichado. El gran hermano esta pendiente de ti, si naciste en un país de los llamados civilizados ya no tienes marcha atrás. Desengáñate, los médicos, los registros, las cuentas bancarias, las tarjetas de crédito, etc, hasta el satélite de google, te vigila y cruzando esos datos saben mas de ti que tu mismo.
Responder
Marcar como ofensivo
Me gusta (0)
28 .- Red.es y Tractis han realizado una iniciativa consistente en regalar más de 300.000 lectores de DNIe a los ciudadanos [sólo hay que pagar dos euros por los gastos de envío].
http://manuelpereiragonzalez.blogspot.com/2009/09/se-regalan-lectores-de-dni-electronico.html
27 .- Por otra parte, Iturbe, el número único que tanto te disgusta hace las delicias de las empresas privadas, no sólo de la Administración. No imaginas el montón de dinero que se ahorran en procesos de verificación de identidad de sus clientes. No sé a qué país “serio y respetuoso con la libertad” te refieres; si estás citando a Portugal, te recuerdo que la finalidad del Cartao do Cidadao es “reducir el número de tarjetas de identificación necesarias para que el ciudadano se identifique ante las instituciones estatales”. Si lo analizas la situación es kafquiana: han descubierto que es mejor un único documento con 5 números distintos en el reverso y un campo deor único ¡venga ya! ¡Pero si ya tenían un Bilhete de Identidade con un número único! ¡por cierto gestionado por el Ministerio de Asuntos Exteriores para ciudadanos nacionales! Kafquiano, no se me ocurre otro adjetivo. Supongo que están en el buen camino; al fin y al cabo, los pasaportes tienen un número único obligatoriamente. Eso me recuerda el caso Inglés; allí no quieren ni oir hablar de un DNI pero ponen sus datos a disposición de gobiernos extranjeros dentro del chip del pasaporte, y miles de cámaras en las calles.
26 .- #25 Iturbe, hay muchas razones para que la Policía sea la depositaria de esos datos. Una de ellas, creo que la principal, es que se trata de datos tan sensibles [en eso estamos de acuerdo] que es mejor que estén en sitios seguros y accedidos de forma controlada. Ese esquema se repite en todos los paises de nuestro entorno; ¿acaso consideras estados fascistas a Francia, Bélgica, Alemania o Reino Unido? Todos ellos disponen de esquemas como el Español o están en proceso de implementación. ¿Prefieres que esos datos los gestione la Policía o Hacienda? Elige; los dos organismos necesitan saber dónde vives. Por otra parte, ten en cuenta que la identidad de los ciudadanos es un elemento de seguridad colectiva. Ya no vale que tus amigos y familiares sepan quien eres; yo necesito saber que cuando entras en mi mismo avión hay alguien que ha comprobado que tú eres tú [y que no llevas armas]. No es que no me fíe de tí, es que no me fío de tí :-] Si para eso tienen que tener los maderos tus datos y los míos, pues vale. Por si no has volado mucho últimamente, todos somos presuntos secuestradores hasta que demostramos lo contrario. Es lo que nos ha tocado vivir. Agradéceselo a Bush y Cía :-
25 .- #23 Argumento ad hominem lo que no deja de ser muy feo. Y no te enfades, pero ese argumento es idéntico al que usan las dictaduras para restringir libertades.
Fijate que la cuestión es por qué tengo que estar controlado por alguien si soy libre. Pero eso es derivar.
El planteamiento es sencillo. Si el DNI es un documento que sirve para acreditar la personalidad, es decir, un documento que sirve para evitar el engorroso problema legal de decir que mi nombre y apellido son tales, una manera de evitar trabajo a los notarios entre otras cosas. ¿Entonces que pinta la Policía con una base de datos de los ciudadanos? ¿No será mejor que esos datos esten custodiados por un organismo cuya misión sea proteger esos datos, que no detener delicuentes?
En fin, me disgusta estar supervisado por un policia sin haber cometido una infracción. Eso no es malo ni me hace sospechoso de nada. Es una opinión que podrá gustar o no, pero el que la emite no es reo de nada.
Asi que te emplazo a un debate sobre esto. Y prometo no insinuar que eres un fascista si te portas bien y no insinuas que soy sospechoso de malas acciones.
Ver mas comentarios
Deja tu comentario
Ediciones anteriores
Suscripción al boletín
- El Confidencial:
- En Exclusiva
- Economía
- España
- Andalucía
- Cataluña
- Comunicación
- Mundo
- Sociedad
- Cultura
- Caso Faisán
- Elecciones
- Deportes
- Fórmula 1
- Motor
- Opinión
- Tecnología
- Salud
- Fotos
- Vídeos
- Última Hora
- Archivo
- Buscador
- Hemeroteca
- Lotería de Navidad
- Cotizalia:
- En Exclusiva
- Al Minuto
- Última hora
- Nombramientos
- Temas
- Resultados
- Archivo
- Vivienda
- Inmo50
- Emprendedores
- Fondos de Inversión
- Economía
- Agenda
- Hemeroteca
- Copyright 2010
- Quiénes somos
- Aviso Legal
- Política de Privacidad
- Publicidad
- Contacto
- Favoritos
- Página de Inicio
- Ayuda
- Mapa Web
- Anti Spam
- NETVIBES
- RSS
