La utilización de esos digitalizadores de firma data de por lo menos 2004 y los utilizaban ya en Hipercor.

Puestos a analizar vulnerabilidades, más que intrusiones me imagino llevarse el ordenador cual si de un ayuntamiento de la sierra se tratase. Números de tarjeta, fechas de caducidad y encima la firma.... el acabose.

Este es un buen tema de debate y muy actual, puesto que en el nuevo e-dni contiene datos biométricos digitalizados, como se puede ver en la web institucional del e-dni:

El chip electrónico contiene los mismos datos que aparecen impresos en la tarjeta (datos personales, fotografía, firma digitalizada, huella dactilar digitalizada) junto con los certificados de Autenticación y de Firma Electrónica.

Yo siempre he mantenido que de todos los sistemas biométricos, quizás el más seguro sea la firma biométrica avanzada sobre un tocuhpad.

a) En primer lugar la firma como dato biométrico tiene ventajas que la han acompañado desde hace mucho tiempo, el más importante es que aún siendo un dato biométrico, puede ser cambiada por el usuario, en el caso de que la considere insegura, lo que le proporciona una flexibilidad más que interesante.

b) En segundo lugar, un sistema biométrico de comprobación de firma, no se limita a la comparación geométrica escalar de la firma, puede y de hecho comprueba otros parámetros como la velocidad, presión en tramos y secuencia en la ejecución del trazo, que impide que una persona, aún teniendo como modelo una firma válida y haya visto firmar al usuario muchas veces, pueda falsificar la firma con suficiente precisión como para que sea considerada válida. Que nadie piense que simplemente se digitaliza y se compara, o que se digitaliza para imprimirla en el documento de la transacción.

Junto con la firma, viaja su hash y esa información es firmada con su timestamp, por el dispositivo de captura, antes de enviarse al centro de validación. Como es lógico, los sistemas de captura están serializados y cuentan con su firma reconocida, por lo que solamente se pueden usar en el sistema, aquellos que han sido dados de alta y están controlados por el centro de validación.

El hash se compara con otros hash que hay almacenados en el sistema de validación, si hay dos iguales, la firma no es válida, aunque llegase firmada correctamente por el equipo de captura. Por lo tanto, aunque las sucesivas firmas no se almacenan en el sistema, sí se almacenan los hash generados con su correspondiente timestamp.

Es decir, el almacenamiento y/o captura de una firma una vez que ha sido utilizada en el sistema, no tiene ninguna validez en otra ocasión, ello se basa en el hecho irrefutable de nunca firmamos exactamente igual. Una vez que ha pasado el filtro de la igualdad, se pasa al filtro biométrico en el que mediante determinados parámetros matemáticos, se considera con un grado de fiabilidad alto, si la firma ha sido realizada por la persona que dice que és y se da por válida, si es así se guarda el hash con el score de fiabilidad y se autoriza la operación. El score de fiabilidad sirve para que el sistema experto tenga más información estadística sobre la forma en la que firma esa persona en veces sucesivas, es decir, lo que puede variar su firma de una vez a otra.

La idea básica es la que hemos dicho, una firma concreta, hecha en una determinada fecha, para un uso concreto, solamente pueda tener validez una única vez en el sistema de validación, en esa fecha y para ese uso. Esta es a grandes rasgos la idea, aunque hay más procedimientos de seguridad.

El pin, que aunque puede ser cambiado, lo que da flexibilidad al sistema, es muy sencillo de capturar. Como se ha podido comprobar en los recientes fraudes con tarjetas de crédito, una vez conocido puede ser usado una y otra vez, si se logra copiar la banda magnética de la tarjeta. Por ello, gran parte de la seguridad del e-dni se basa en que no se puedan sacar las claves del chip y en que la tarjeta esté siempre en manos del usuario legítimo, en previsión de que alguien pueda en algún momento, conocer el pin.

En el caso de los sistemas basados en huella dactilar o en el iris, falla la posibilidad de poder cambiar o repudiar nuestra huella dactilar o el iris, lo que resta flexibilidad al sistema y en caso de fallo, fallará para siempre y nuestro dedo o nuiestro ojo "no será válido" para autentificarnos ante el sistema. Este es el motivo más importante por el que no me gustan ni creo, en los sistemas biométricos y recomiendo siempre que no se utilicen.

Aunque también es cierto que un escáner de huellas o de iris, al igual que un escáner de fotografías, no es capaz de hacer dos escaneados exactamente iguales. Esto se debe a los pixeles que se encuentran en zona próximas al umbral de disparo y la histéresis que tienen todos los sensores. Sin embargo, las variaciones introducidas por el escaneado en sistemas de huella o de iris, son mucho más pequeñas que en un sistema de firmas bioméricas avanzadas.

Las conclusiones son dos:

a) Habrá menos falsos negativos en los sistemas basados en huella digital.

b) También serán más fácil de engañar, como se ha podido comprobar en un estudio reciente.

Este último hecho es la causa por la que no me gusta que se utilice la huella dactilar para que un usuario pueda cambiar al PIN del e-dni si lo ha olvidado. Aunque pueda parecer remoto, un atacante con acceso al e-dni y a la huella dactilar (puede estar presente en nuestro e-dni en 2 sitios), podría usar una piel falsa de silicona sobre su dedo, para cambiar el pin del e-dni, engañando incluso a los sensores de temperatura y riego sanguíneo de los modernos sistemas. Esto no me lo invento, hay un estudio reciente, que siento no haber podido recuperar, que dice que un elevadísimo porcentaje de los sistemas lectores de huellas digitales se pueden engañar.

Si consideramos seguro usar el pin de 8 caracteres del e-dni, cuando dicho acto se asocia a una firma manuscrita con plena validez jurídica y sin posibilidad de repudio, pero no consideramos seguro firmar en un touchpad de firma biométrica avanzada, es que algo falla en nuestra consideración de lo que es y de lo que no es seguro.

Baste decir que el pin se puede conocer, con relativa facilidad usando una cámara y desde una distancia considerable. Si nos roban el e-dni, dicho pin/e-dni se puede usar cientos de veces sin problemas, hasta que logremos repudiar las claves y denunciar el hecho.

El factor tiempo en sistemas digitales con la omnipresencia de Internet, es más que preocupante, sobre todo, si no somos conscientes del robo, por no haberse realizado por la fuerza. Hablando claro, una vez que hemos sido despojados de nuestro e-dni y ante la posibilidad que el ladrón haya logrado conocer nuestro pin ¿quién tardará menos tiempo en realizar la operación?, El ladrón sacando el dinero de nuestra cuenta, o nosotros denunciando la desaparición, para poder repudiar las claves. Sinceramente creo que el ladrón tiene serias ventajas, si además, ya ha previsto los medios para ello, como un portátil y un acceso a Internet, con tarjeta GSM/GPRS.

Sin embargo, dicho ataque basado en el pin y el robo de la tarjeta. no es posible si en lugar de pin, usamos firma biométrica avanzada, que nos permite añadir a la geometría de la firma, información sobre la velocidad, presión y secuencia del trazo y que son muy complicadas de reproducir por un tercero, aunque disponga de una plantilla y nos haya visto firmar cientos de veces.

Finalmente, está la confianza entre ambas partes. Veamos, nadie tiene pegas a la hora de usar una tarjeta y un pin en un cajero ya que confía en que un empleado desleal del banco no esté almacenando los datos de su tarjeta y su pin, para vaciarle la cuenta. En el caso del e-dni parece que nadie tiene pegas admitir que un simple código de 8-16 caracteres, estando en posesión del e-dni, sea equivalente a una firma manuscrita con plena validez jurídica y sin posibilidad de repudio. Volvemos a lo anterior, aunque existiera ese empleado desleal, usando el sistema de firma biométrica avanzada, no tendría muchas posibilidades de lograrlo, ni siquiera con el e-dni en la mano.

Desde mi punto de vista y en consideración a lo que se ha dicho antes, creo que el sistema de firma biométrica avanzada, si está bien diseñado e implementado, cara al usuario, es mucho más seguro y flexible, que cualquiera de los sistemas de desbloqueo de certificados, que estamos usando en la actualidad (en la mayoría de los casos, un pin), incluso por encima de los basados en huella dactilar o iris.

Repito para que quede claro, en estos sistemas no se pretende imprimir la firma y compararla con la firma digitalizada que obra en un servidor. Tampoco se pretende dar validez legal a un papel con la transacción, mediante la impresión de una firma digitalizada en el momento de la transacción, es mucho más que eso.

Volvamos al e-dni. A la vista de que nuestra firma en el e-dni, es un simple archivo en formato png firmado por la CA y sin información adicional, que permita el uso de la firma biométrica avanzada, la utilidad de esta firma es muy reducida y sus posibles usos, incluso pueden perjudicar al usuario. Pensemos que un banco quiere comprobar a distancia que la firma que obra en un queque o documento es nuestra. Pues se les envia nuestro arvhivo de firma digitalizada, que darán por bueno, por estar firmado por la DGP, pero a la postre, la decisión la tomará el empleado a la vista de la simple comparación de las firmas, algo que como bien sabemos, no es muy seguro ni científico.

Por otra parte, a diferencia de los certificados que hay en el e-dni, que se pueden repudiar con relativa facilidad, si queremos cambiar nuestra firma, habrá que solicitar un nuevo e-dni.

En resumen, nuestra firma digitalizada en el e-dni servirá, para poco más, que para que un operador humano, a la vista de otra firma que no está certificada y presente en un documento, considere a su buen entender, si ambas firmas han sido realizadas por la misma persona. Algo muy primitivo y poco fiable para los tiempos en los que nos encontramos, puesto que la geometría de firma es relativamente fácil de falsificar con un poco de práctica.

"Copyleft 2005 Fernando Acero Martín. Verbatim copying, translation and distribution of this entire article is permitted in any digital medium, provided this notice is preserved".

Antes de firmar en la "tabletita" la tienda podia acceder mediante el papelito que firmabas a tu numero de tarjeta de credito, la fecha de caducidad y el dni (con todos los datos facilitados a la tienda al darte de alta).

El metodo tradicional es muchisimo mas peligroso, ya que ese papelito con tu firma estaba rondando por la tienda (oficina) y era accesible a cualquier empleado, pudiendo hacer uso fraudulento con facilidad. Con este nuevo metodo, al digitalizarse los datos unicamente accede la central de la empresa, usandolo como nosotros mismos le hemos autorizado.