15 jun. 2015

Si, desconfío del DNI 3.0

Hace un tiempo atrás aquí en Argentina el actual Ministro de Interior y Transporte (y candidato a Presidente) Florencio Randazzo había anunciado la implementación en nuestro país del nuevo "Documento Nacional de Identidad (DNI) inteligente, que incorporará un chip con datos personales permitirá interactuar con servicios públicos y privados" según detalló.

En su momento investigué un poco mas de que se trataba el tema y dado que la tecnología que se iba a emplear es la que se utilizó en España (desde allí hizo el anuncio), se asume que el DNI contiene un chip NFC que sería la que almacena los datos y ajuste mas, ajuste menos, es posible accederlo con solo acercarlo a otro dispositivo que utilice la misma tecnología.
Ahora bien, desde ese momento ya me daba mala espina la utilización de dicha tecnología en algo tan crítico como el DNI y demás datos privados. Y dicha preocupación tenía fundamento, veo en el día de hoy que el grupo hacktivista "Anon 9" de España identificó una GRAVE vulnerabilidad en el portal del DNI 3.0 y lograron hacerse de la CLAVE PRIVADAPÚBLICA PGP que se utiliza para comunicaciones seguras (espero que para nada referido al DNI en si) tal como lo muestran en este leak:

Si bien no tiene directamente que ver con la implementación en si del DNI "inteligente", la situación es preocupante, ya que además de que no se dan especificaciones de como va a funcionar esta tecnología, el sitio mismo tiene una vulnerabilidad grave y esta clave PGP se utiliza para la comunicación segura y confiable con los ciudadanos y ya eso genera una gran desconfianza en el ciudadano.

Según explicaron voceros del ministro a Infobae, "el chip estará encriptado en el DNI, lo que lo hará inviolable en caso de robo. Al mismo tiempo, dará la posibilidad de bloquearlo luego de realizar la denuncia, ya sea por hurto o extravío. Una vez que se tramita la renovación, los datos se cargan al nuevo DNI que se genera".

Espero que en Argentina se tome nota de estas cosas y se re-piense bien lo que van a hacer, está en juego la privacidad de millones de personas.

Actualización 17hs: al parecer se trata de la clave pública y no de la privada pero eso no modifica la opinión de que el sistema sea más o menos confiable.
Estamos intentando confirmar la información con la fuente de la fuga.
Más información https://seguridadetica.wordpress.com/2015/06/11/si-desconfio-del-dni-3-0/

Autor: Ramiro Caire
Fuente: Seguridad y Etica

3 comentarios:

  1. Esto....se han hecho con la clave pública, no con la privada

    ResponderEliminar
  2. Privada o Publica en cierto punto da igual ya que el tema que se intenta resaltar es la desconfianza que genera la mas mínima vulnerabilidad que el sistema tenga. Ya el hecho de que no se publique nada al respecto, que tecnología se usa, etc, etc es un punto flaco y que da motivos para desconfiar. La seguridad por ocultacion no es lo mas aconsejable. En fin, solo opiniones...

    ResponderEliminar
  3. Si te roban la clave publica no pasa nada, porque esta puede estar publicada en cualquier repositorio publico de llaves como de hecho se hace habitualmente en este tipo de sistemas.

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!