Seguridad del DNIe

El titular debe acudir a un Punto de Actualización del DNI, ubicado en una Oficina de Expedición.

El DNI 3.0 es un documento de alta seguridad que incorpora mayores y más sofisticadas medidas de seguridad que harán virtualmente imposible su falsificación.

El sistema operativo del chip está diseñado para impedir la lectura de estos datos, si no se ha verificado previamente el PIN de la tarjeta.

Si hemos mantenido el PIN en secreto podemos estar seguros de que nadie podrá realizar ningún mal uso del mismo de forma telemática, por lo que estaríamos ante el mismo caso que si hubiéramos perdido en DNI en su formato tradicional.

No obstante estamos obligados a personarnos en una Oficina de Expedición del DNI para denunciar su pérdida. De esta forma, los certificados electrónicos de su DNI quedan automáticamente anulados, siendo imposible realizar ninguna transacción telemática con ellos.

El sistema operativo del chip está diseñado para que ningún software malicioso pueda extraer información sensible del mismo. Las operaciones más delicadas, como pueden ser la verificación de la huella dactilar, la generación de claves privadas o de firmas electrónicas, se realizan siempre en el interior del chip del DNI, y nunca se descarga esta responsabilidad a aplicaciones informáticas del ordenador.

Por tanto podemos estar seguros de que nadie puede robarnos información del DNI para después realizar usos fraudulentos en cualquier momento.

No obstante, existen dos momentos delicados mientras se usa el DNI en Internet: cuando se introduce el PIN en el ordenador para que "viaje" hasta la tarjeta o cuando se firma un documento electrónico (se envía un resumen de éste a la tarjeta).

En el peor de los casos, podemos imaginar que un software malicioso copiara el PIN en ese momento. Para poder hacer un uso fraudulento necesitarían también robarnos la tarjeta del DNI, pues a diferencia de las tarjetas de crédito, es necesario tener físicamente el DNI y su PIN asociado para hacer un mal uso del mismo.

El otro momento delicado es el de la firma electrónica cuando estamos realizando voluntariamente un gestión a través de Internet. Por ejemplo, imaginemos que nos conectamos al portal web del Ministerio de Educación para rellenar una solicitud de becas. En un momento determinado la aplicación informática nos pedirá que firmemos de forma electrónica dicha solicitud y nos pedirá el PIN del DNI. Un software malicioso podría presentar al chip del DNI otro documento diferente al de la solicitud de beca para, una vez firmado, recogerlo a través del portal al que nos hemos conectado. En este caso, para evitar firmar algo diferente de lo que esperábamos, es necesario asegurarnos de estar conectados al portal del Ministerio de Educación y no a otro. Esto es posible, pues todas las Instituciones que nos soliciten firmar electrónicamente algún documento deben hacerlo a través de una página segura: la dirección será una https (en lugar de una http) y aparece un candado o una llave en nuestro navegador indicándonos que es un lugar seguro.

Por tanto, se deben tomar precauciones cuando nos conectamos a Internet para realizar transacciones, es decir, cumplir con unos mínimos requisitos de seguridad.

En este sentido le sugerimos que revise las recomendaciones de seguridad de la Brigada de Investigación Tecnológica y que consulte frecuentemente las nuevas alertas tecnológicas que publican en su página web.

En estos casos el ciudadano debe proceder a la revocación (anulación) de los certificados electrónicos del DNI. Si procede de esta forma, evita el uso fraudulento del mismo.

Ley 59/2003 de firma electrónica.

Artículo 22. Los prestadores de servicios de certificación (en este caso la DGP) responderán por los daños y perjuicios que causen a cualquier persona en el ejercicio de su actividad cuando incumplan las obligaciones que les impone esta ley.

Artículos 23. El prestador de servicios de certificación no será responsable de los daños y perjuicios ocasionados al firmante o a terceros de buena fe, si el firmante incurre en alguno de los siguientes supuestos:

...

C. Negligencia en la conservación de sus datos de creación de firma, en el aseguramiento de su confidencialidad y en la protección de todo acceso o revelación.

D. No solicitar la revocación del certificado electrónico en caso de duda en cuanto al mantenimiento de la confidencialidad de sus datos de creación de firma.

La revocación de los certificados electrónicos del DNI debe realizarse mediante la personación física del interesado ante cualquier oficina de de expecición del DNI.

La revocación se llevará a cabo de forma inmediata.

  1. NO
  2. ¿Por qué motivo este chip no puede ser copiado?

    El DNI es una tarjeta que dispone de una CPU destinada a realizar en el interior del chip todas las operaciones criptográficas sensibles, como la generación de claves y la realización de firmas electrónicas. Por tanto se utiliza tecnología de última generación, certificada según los estándares más estrictos para este tipo de dispositivos, garantizando así unos niveles de seguridad que impiden su clonación.

La generación de claves se realiza en el interior de la tarjeta, en presencia del titular, y las claves privadas, que son las que se utilizan para generar firmas electrónicas, no se pueden extraer nunca de la tarjeta.

Para poder utilizar el chip del DNI es necesario conocer la clave personal de acceso PIN, que se genera aleatoriamente en el momento de expedición del DNI y se entrega al ciudadano en forma de sobre ciego.

Dicha clave de acceso o PIN es confidencial, personal e intransferible y protege por tanto sus claves privadas. La clave de acceso o PIN podrá ser cambiada por otra de la elección del ciudadano.

La generación de claves se realiza, en la tarjeta y en presencia del titular, tras la habilitación de una clave personal de acceso o PIN aleatorio que se entrega al ciudadano en forma de sobre ciego. Dicho PIN es una clave confidencial, personal e intransferible. Es el parámetro que protege sus claves privadas y permite activarlas en las aplicaciones que generan firma electrónica.

MINISTERIO DEL INTERIOR. Dirección General de la Policía. Cuerpo Nacional de Policía.

v.20221028