Alguien más piensa que el DNI digital puede ser un problema

 

 

Enviado por Fernando Acero el 27 Mayo 2005 - 7:48am

En la edición de Noticias Intercom del miércoles 25 de mayo aparece una noticia titulada "Un experto advierte que existe profundo desconocimiento de los peligros existentes en Internet".

El experto es Carlos Jiménez, asesor del Ministerio de Defensa que ha trabajado para el CNI y la OTAN, y que comenta en referencia al DNI digital lo siguiente:

"Si la tarjeta se inserta en un ordenador intervenido por algún medio, como un virus o un programa troyano, abre la posibilidad de alterar la fiabilidad de su uso o la suplantación de la personalidad del usuario"

Algo que está bien claro después de las últimas declaraciones de Intel sobre la seguridad de los productos de la plataforma "Wintel". Según las últimas estadísticas ¿cuánto spyware/troyanos hay en los ordenadores que usan Windows? ¿Están preparados los usuarios para una responsabilidad tan grande como ésta?...

Yo pienso que además de esta amenaza evidente, hay otras igualmente preocupantes, como la debilidad actual de algunos algoritmos de firma como el SHA-1, o que se intente añadir seguridad al DNI por oscurantismo.

Realmente, no hay que ser asesor de la OTAN o del CNI para darse cuenta de que las ventajas del DNI digital, que reconozco que pueden ser muchas, en ningún caso compensarán los problemas de seguridad que pueden surgir tras su implantación. Es bueno que una persona con un currículum como el de Carlos, diga las cosas tan claritas.

Quiero señalar también lo que nos cuenta Carlos sobre los posibles usos del DNI. No sé si le pasa a todo el mundo, pero yo veo unos evidentes y preocupantes riesgos para la privacidad de las personas.

Ahora bien, yo me pregunto:

  • ¿De qué sirve tener un asesor de alto nivel como Carlos si no se le hace caso?
  • ¿De qué sirve identificar el riesgo o la amenaza de ataque ciberterrorista, si luego no se ponen los medios para evitarlos y además, se aumentan las vulnerabilidades de las infraestructuras críticas?
  • ¿Hay realmente una conciencia de seguridad informática a nivel gubernamental?
  • ¿Se es consciente de los riesgos de algunas plataformas de software/hardware y del problema de seguridad que representa su uso masivo dentro de las infraestructuras críticas?
  • ¿La seguridad informática de infraestructuras críticas es un problema exclusivo de de las empresas que las explotan?
  • ¿Se están tomando las medidas adecuadas para evitar y contrarrestar un ataque ciberterrorista en curso contra esas infraestructuras críticas?. Apagar los ordenadores no es una respuesta correcta... ¿O sí?.
  • ¿Se están poniendo los medios humanos y materiales necesarios y en especial, en el Departamento de Infraestructura y Seguimiento para Situaciones de Crisis del Real Decreto 1689/2004?
  • ¿Dónde acaba el phishing y comienza un ataque a una infraestructura económica de un país?
  • ¿Quién decide que es así y qué medios se tiene para evitarlo o contrarrestarlo?
  • ¿Cómo se piensa lograr esa seguridad en el Ciberespacio?
  • ¿Afectará el logro de la seguridad a la privacidad o a las libertades de los ciudadanos?

Creo que todavía hay muchas preguntas y muy pocas respuestas como para considerar que las infraestructuras críticas son seguras. Sigo pensando lo mismo, no es el momento de aumentar el área de vulnerablidad con algo tan crítico y delicado como un DNI digital, pero para gustos los colores. Ya me gustaría poder renunciar a tener un DNI digital o que me dejasen "activar/desactivar", de forma legal y con registro, algunas de sus funcionalidades o usos.

El Gobierno de los EEUU tiene un interesante documento sobre la seguridad del Ciberespacio, que se puede consultar en la página de la Casa Blanca, y cuya lectura recomiendo. No obstante y como es obvio, esa seguridad del Ciberespacio en los EEUU no se ha quedado en unas bonitas palabras en un papel, ni en una mera identificación de riesgos y amenazas, sin hacer nada al respecto. ¿Necesitaremos un ataque masivo y con resultados catastróficos para comenzar a pensar en ello?

"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
jonsito's picture

Lo peor no es eso....

Enviado por jonsito el 27 Mayo 2005 - 1:16pm.

Lo peor, Fernando es la desidia, el desconocimiento y las ganas de colgarse medallas con el "molaware" que tienen muchos políticos...

En un mail que te mandé hace unos días, te comento los intentos que hay a nivel del mundo OpenSource por hacer lobby en el tema Identificación Electrónica a nivel europeo. ( European e-DNI ). Curiosamente en el consorcio que se está montando entran casi todos ( Belgica, Finlandia, Alemania... incluso italia que no estaba por la labor )

¿Adivina quién falta? Si, justo representantes oficiales de cierto país que está sacando un concurso sobre e-dni desoyendo a su propio banco emisor, y tirándose de cabeza en manos de una empresa que no quiere saber nada de sistemas abiertos y estándares públicos....

Lo malo es que nosotros vivimos en ese país....

Así nos va.

Gegen die Dummheit kämpfen selbst die Götter vergebens - Schiller

israelem's picture

¿Realmente necesario?

Enviado por israelem el 29 Mayo 2005 - 1:48am.

Después de leer el artículo además de lo que ya sabía. ¿Tan necesario es el DNI electrónico para jugar así con la seguridad de dicho DNI? Sinceramente, no lo entiendo, prefiero seguir con mi DNI de "plástico".

Fernando Acero's picture

Sinceramente...

Enviado por Fernando Acero el 30 Mayo 2005 - 7:05pm.

A pesar del "molaware" que vendió la Comisión Soto sobre el e-DNI, la verdad es que maldita falta nos hace.

"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

Fernando Acero's picture

Lo que estamos logrando es fastidiarnos

Enviado por Fernando Acero el 30 Mayo 2005 - 7:03pm.

Jonsy tiene más razón que un santo.

Mientras que los países de nuestro entorno se lanzan al Software Libre y como poco a no fastidiar o facilitar una posible migración, nosotros nos metemos en un pozo sin fondo.

Esta mañana me preguntaban por el coste de unas migraciones... se disparaba el precio ya que la migración implicaba un montón de sistemas que no se han amortizado que que "parecen" diseñados para que no sean compatibles con nada. Lo estamos haciendo "de miedo", nos veremos a la cola de Europa y lo que es peor, nos va a costar una pasta enmedar el error... por las burradas que estamos pagando ahora y por las burradas que habrá que pagar después.

Adoptar tecnologías que pueden llegar a ser un "agujero de seguridad nacional" es un error grave, pero también lo es, "casarse" con tecnologías que van en contra de las directrices estratégicas europeas y que impiden o dificultan:

a) El uso del Software Libre

b) La posterior migración a sistemas libres

Creo que algunos políticos "tecnócratas" de poca monta van a tener que justificar muchas cosas si les salen las cosas tan mal como se teme y están avisando muchos expertos, en vez de "molaware" pueden acabar teniendo "patadaware". Lo malo es que el españolito medio "traga con todo lo que le dicen" y además, en estos temas tecnológicos, además de no comprenderlos, no les motivan en absoluto, creyendo equivocadamente, que no tienen nada que ver con ellos.

Me imagino la cara de los bancos que opten por la "fabulosa y propietaria" tecnología del flamante e-DNI cuando dentro de unos meses o años se vea que:

a) Lo usan dos
b) No activa el comercio electrónico
c) Tiene problemas o "dudas" de seguridad
d) Hay que cambiar la tecnología

"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

"Copyleft Fernando Acero Martí­n. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved. Quotation is allowed."

anónimo's picture

Normativa sobre el DNIe

Enviado por anónimo el 25 Agosto 2008 - 11:22am.

He rastreado parte del archivo informático www.dnielectronico.es/PDFs/politicas_de_certificacion.pdf. Y sí se puede desactivar el DNI electrónico. Pero para ello hay que leer previamente mucho texto, pues en la página ¡40! del citado informe figura que:

4.4.1 Forma en la que se acepta el certificado

Tal y como recoge el Real Decreto 1553/2005 la activación de las funcionalidades electrónicas del DNI tendrá carácter voluntario, por lo que el ciudadano podrá solicitar la revocación de los certificados emitidos como parte del proceso de expedición.

Si el usuario no manifiesta la intención de revocar dichos certificados tras la expedición, se dará por confirmada la aceptación de los mismos, así como de sus condiciones de uso, independientemente que se hayan obtenido tras la primera inscripción, en las renovaciones presenciales o en la expedición de duplicados.

Entre las condiciones que se aceptan si no sabes que te puedes negar a la activación del DNIe, en la página ¡103! de dicho informe se lee que:

9.8.4 Responsabilidades del ciudadano

El ciudadano asumirá toda la responsabilidad y riesgos derivados de la fiabilidad y seguridad del puesto de trabajo, equipo informático o medio desde el cual emplee su certificado.

9.8.5 Delimitación de responsabilidades

Las ACs de DNIe no asumen ninguna responsabilidad en caso de pérdida o perjuicio:

RESP.1 De los servicios que prestan, en caso de guerra, catástrofes naturales o cualquier otro supuesto de caso fortuito o de fuerza mayor: alteraciones de orden público, huelga en los transportes, corte de suministro eléctrico y/o telefónico, virus informáticos, deficiencias en los servicios de telecomunicaciones o el compromiso de las claves asimétricas derivado de un riesgo tecnológico imprevisible.
RESP.2 Ocasionados durante el periodo comprendido entre la solicitud de un certificado y su entrega al usuario
RESP.3 Ocasionados durante el periodo comprendido entre la revocación de un certificado y el momento de publicación de la siguiente CRL
RESP.3 Ocasionados por el uso de certificados que exceda los límites establecidos por los mismos y esta DPC.
RESP.4 Ocasionado por el uso indebido o fraudulento de los certificados o CRLs emitidos por DNIe
RESP.5 Ocasionados por el mal uso de la información contenida en el certificado.
RESP.6 La AC no será responsable del contenido de aquellos documentos firmados electrónicamente ni de cualquier otra información que se autentiquen mediante un certificado emitido por ella.

Respecto al robo de DNIe, lo que garantiza el Gobierno es la desactivación de dicho DNIe en un plazo máximo de 48 horas. Página 48:

4.9.5 Plazo en el que la AC debe resolver la solicitud de revocación

La solicitud de revocación de un certificado de firma reconocida debe ser atendida con la máxima celeridad, sin que en ningún caso su tratamiento pueda ser superior a 24 horas.

Pero en ningún lugar he leído que sucede si, antes de solicitar la revocación de las claves (mientras se está secuestrado, por ejemplo), el ladrón en cuestión te hace "firmar", sin ir más lejos, un préstamo personal...