10 marzo 2008

¿Es seguro el DNI electrónico?

Hace poco tuve la oportunidad de asistir a una conferencia impartida por el Ministerio de Administraciones Públicas acerca del DNI electrónico y las nuevas oportunidades que brinda. 
 
La verdad es que fue muy interesante y es cierto que el eDNI electrónico puede ser una de las claves para la entrada definitiva de España en la Sociedad de la Información. 
 
El conferenciante nos explicó los esfuerzos que se están realizando a lo largo y ancho de Europa para impulsar medidas semejantes a nuestro eDNI. Mencionó que la gran mayoría de los países ha incluido en la tarjeta dos certificados: uno para firmar y otro para autentificarse, lo cual en términos de seguridad resulta correcto. 
 
El problema vino cuando contó que en España se había optado por un PIN único para el desbloqueo de los certificados, en vez de hacer como en otros países que han preferido usar dos PINs, uno para cada certificado. El dato me cogió por sorpresa, aún no tengo el eDNI y no he podido cacharrear con él, pero el oír que sólo se contaba con un sólo PIN me preocupó bastante... la verdad es que daba por sentado que se usaban dos. 
 
¿Qué importa que el eDNI use un único PIN?, bueno, en mi opinión abre la puerta a ataques combinados de ingeniería social y troyanos. Imaginemos una situación en la que al usuario se le convence de que debe autentificarse ante una página web. El usuario introduce su PIN para desbloquear el uso de sus certificados y elige el de autentificación. Pero ¿qué pasaría si el atacante hubiera instalado un troyano en el PC del usuario que interfiriese en el funcionamiento del software de autentificación e interceptase el PIN introducido para usarlo contra el certificado de firmado?, el resultado sería que el usuario pensaría que se está autentificando pero cuando en realidad está firmando Dios sabe qué en segundo plano (p.ej un contrato de venta de su casa). 
 
Le plantee este riesgo al conferenciante y este me respondió que ese riesgo era demasiado remoto. Ningún riesgo es demasiado remoto cuando hay tanto dinero en juego y así se lo dije, él me respondió que para que eso funcionase se debería contar con el código fuente de los drivers de acceso a la tarjeta y estos son cerrados. La verdad es que no me estaba infundiendo mucha confianza. Le respondí que la seguridad por oscuridad no es seguridad y que antes o después el código fuente del driver saldría a la luz. Para mi sorpresa, admitió que eso quizás ocurriese más pronto que tarde porque ya había gente que pedía acceso a esos drivers para empezar a desarrollar aplicaciones que saquen juego al eDNI. 
 
Al final, reconoció que se trataba de una decisión en la que se había intentado sopesar no sólo la seguridad del producto sino también su usabilidad. Añadió que el eDNI contaba con una larga lista de certificaciones que garantizan la seguridad del sistema. 
 
 No dudo de que la gente del MAP se lo ha pensado mucho a la hora de diseñar el eDNI, pero me da la sensación de que en un momento determinado temieron que la gente no fuese capaz de memorizar dos PINs distintos y que eso conllevase el fracaso de la iniciativa. 
 
En fin, es cierto que la población española no se distingue por su amplia cultura informática, pero la verdad es que no me imagino a mi padre delante del cajero de la comisaría recogiendo sus certificados sino que más bien, los usuarios naturales del eDNI son personas acostumbradas a navegar por Internet y por tanto a manejar contraseñas. 
 
En mi modesta opinión, y vuelvo a reconocer que aún no he puesto mis manos sobre un eDNI, se debería haber optado por usar dos PINs como se ha hecho en otros países. No creo que hubiera supuesto una dificultad adicional a los verdaderos usuarios del eDNI y además habría impedido el ataque antes mencionado ya que cazar el PIN del certificado de autentificación no serviría para desbloquear el de firmado. 
 
Esperemos que esa decisión de diseño no se convierta en un agujero de seguridad que ponga en entredicho el esfuerzo invertido en el DNI Electrónico y las esperanzas puestas en él.