“La vulnerabilidad, conocida como ROCA, consiste en que la parte pública contiene información suficiente para que, mediante un proceso conocido como factorización, se pueda descifrar el código privado”
La Dirección General de Policía ha comunicado que la funcionalidad de los certificados digitales que tienen los nuevos documentos nacionales de identidad (DNI) electrónicos queda desactivada de forma temporal y «preventiva» mientras se trabaja en mejorar su seguridad.
La medida se ha tomado después de que una investigación publicada recientemente por una universidad de la República Checa haya señalado que el chip de los nuevos DNI españoles podría ser «vulnerable» ante un «ataque informático muy organizado».
La función de firma electrónica de los nuevos DNI queda desactivada en todos los documentos nacionales de identidad expedidos a partir de abril de 2015, y que tienen un número de soporte posterior a ASG160.000.
La desactivación de esta funcionalidad se mantendrá mientras se mejora la seguridad del nuevo DNI, que fuentes policiales estiman que no superará un mes, aunque el documento nacional de identidad electrónico sigue siendo válido como documento de identificación para cualquier tipo de trámite administrativo y como documento de viaje para moverse en todo los países de la Unión Europea.
La vulnerabilidad fue descubierta en enero de este año por el equipo del profesor Petr Svenda, del Centro para la Investigación de Criptografía y Seguridad vinculado a la Universidad Masaryk. “En las tarjetas hay un pequeño chip que contiene dos códigos, uno público y otro privado. Ambos están conectados, pero el privado nunca debería salir del chip”, explica Svenda a EL PAÍS. “La vulnerabilidad, conocida como ROCA, consiste en que la parte pública contiene información suficiente para que, mediante un proceso conocido como factorización, se pueda descifrar el código privado”, detalla. Así, un hacker con los medios necesarios podría suplantar al dueño del chip.
Fuentes policiales confirman que ese fallo afecta a los DNI, pero remarcan que se trata de una “supuesta vulnerabilidad teórica” que proviene de un estudio universitario y que “no se ha llegado a explotar en la práctica”.
