Identificación a distancia… DNI 3.0

En época estival, es tiempo de playa, de piscina, de helados, de cervecitas con los amigos en las terrazas de verano, y sobre todo de una buena paella, sea donde sea y a la hora que sea. Y bueno, tras el atracón arrocero llegan las largas y distendidas sobremesas, hablando principalmente de temas totalmente trascendentales, metafísicos y de interés mundial. Qué va, la realidad es que siempre terminamos hablando de fútbol, de política y de cómo arreglar España en tres sencillos pasos… y en la mayoría de los casos lo hacemos como si nos fuera la vida en ello. Y es que cuando dicen que todos nosotros llevamos un entrenador dentro, creo que se equivocan; lo que realmente lleva cada español dentro es una mezcla de entrenador-político-filósofo que siempre sabe de todo y nunca se equivoca.

¿Y esto qué tiene que ver con seguridad? Os estaréis preguntando. Pues que en una de esas sobremesas tan agradables, salió a relucir un tema interesante y del que ha habido mucha polémica: El nuevo DNI 3.0 y la posibilidad de que con él te puedan identificar a distancia.

img1

Esta polémica se desató a raíz de unas declaraciones que realizó el ministro del Interior, Jorge Fernández, en el programa “Los desayunos de TVE”, en las que afirmaba que con el DNI electrónico 3.0 la Policía podría empezar a localizar e identificar individuos a distancia. Esta información empezó a correr rápidamente por las redes sociales creando un revuelo considerable debido principalmente, a las implicaciones en materia de privacidad que esto supondría.

Debemos tener en cuenta que el nuevo DNI 3.0 incorpora el chip RFID (Radio Frequency IDentification) de radiofrecuencia y la tecnología NFC (Near Field Communication) por lo que a priori, podría ser factible que se pudieran identificar personas a distancia; sin embargo, nada más lejos de la realidad. ¿O no?
Y es que la única forma de acceder a los datos del nuevo DNI de forma remota es a través de una clave de acceso que es única para cada DNI. En otras palabras, si no conoces la clave, el DNI no te va a dar la información. A esta clave se la conoce como CAN (Card Access Number).

El Card Access Number es una clave numérica de seis dígitos que permite al lector de DNI 3.0 crear una clave de sesión para llevar a cabo el intercambio de datos de una manera cifrada.
¿Y dónde se encuentra la clave CAN? ¿Nos la dan en un sobre ciego cuando nos renovemos el DNI? Pues no, la clave CAN se encuentra impresa en el propio DNI. Si nos fijamos en la foto de Mireia Belmonte cuando se presentó el DNI 3.0, y ampliamos la imagen, vemos en la parte inferior derecha los 6 dígitos que conforman la clave.

img2

Efectivamente el 276224 es el código necesario para acceder a la información de su DNI, pero bueno, tampoco nos llevemos las manos a la cabeza porque realmente se accedería a la misma información que si tuviéramos el DNI en la mano.

Resumiendo, para poder identificar a alguien remotamente con el nuevo DNI necesitas el CAN que está en el propio plástico. En el caso de que alguien quisiera hacerlo, ha de saber o tener contacto visual directo con el código y además estar a una distancia mínima, casi inexistente. Recordemos que para que la tecnología NFC funcione, el DNI debe estar como máximo a 3 cm del terminal y se ha mantener durante un segundo frente a él.

Sin embargo y sin entrar en mucho detalle, una clave de 6 dígitos no es que sea una clave robusta y por lo que parece el nuevo DNI no se bloquea tras X intentos fallidos de acceso, por lo que con herramientas adecuadas sería fácil averiguar esta clave a través de ataques de este tipo y acceder así a la información.

Sí, ya sé que se necesita estar cerca, pero haciendo uso de distintos dispositivos, la distancia de lectura del NFC se podría ampliar, por lo que en un sitio donde la gente permaneciera sentada durante un largo periodo de tiempo, como en un cine o un avión, SI que sería posible realizar este tipo de ataques.

Fuente de las imágenes: http://www.interior.gob.es/noticias/detalle/-/journal_content/56_INSTANCE_1YSSI3xiWuPH/10180/3140000/

Comments

  1. Hilario, me dejas mucho más tranquilo. Creo que me voy a comprar una cartera forrada de plomo.

  2. Cierto Manolo … allí tienes un nicho de negocio :)

  3. Ahí va una duda poniéndonos en modo paranoico… estas tecnologías suelen llevar un identificador cuando se comunican con otros dispositivos, algo así como la MAC.

    Siendo la policía quien emite los DNI… ¿no les basta con eso para saber quienes somos?

    No es que con una antena vayan a acceder al DNI a sacar la información, es que con saber el número de serie, ellos ya se van a su base de datos y saben la persona quien es.

  4. Adrián, eso ya lo había pensado.

    Simplemente que no quería entrar en modo «nos están observando» ni paranoico.

  5. Es que.. nos están observando. Solo que miran cuando quieren o lo necesitan, aunque escuchar…escuchan siempre.

    Y podríamos ponernos más paranoicos, si hablamos de control de desbloqueo de móviles por huella dactilar…

  6. La huella dactilar es falsificable hace muuuucho tiempo, se usa por que es una contraseña fuerte facil de llevar puesta pero es facilmente copiable.

    La identificacion remota del DNI ha causado muchas inquietudes por la facilidad de identificar indiviuos en eventos digamos «sensibles» que la propia agencia de proteccion de datos tipifica de maxima privacidad y con requisitos de cifrado (ideologia politica, afiliacion sindical, orientacion sexual, salud…) y multazas por incumplimiento de hasta 600.000€.

    A mucho intereses politicos y economicos les encantaría poder cosechar información de la gente, por ejemplo, poner antenas en la entrada de un hospital e identificar a los mas asiduos interesaría a una compañía aseguradora de salud que cada uno haga sus cabalas, si hay interes habra presupuesto, con presupuesto y tiempo aparecerá la tecnología.

    El DNI nuevo tiene un fallo fundamental similar a las wifi, se ha renunciado al control sobre el medio de transmisión y esto permite al dispositivo ser «atacado» por cualquiera, en mi opinión es un error.

    La nueva tendencia de carteras es con bolsitos interiores forrados en aluminio… xD

  7. Es cierto que el CAN puede obtenerse por fuerza bruta en un periodo relativamente corto de tiempo, pero este no bajaría de en torno a 4h en condiciones idóneas (a mayor distancia, por ejemplo, y a pesar de que se usen amplificadores, podría haber interferencias o pérdidas de conectividad que lo ralentizasen todavía más). Por ello y con lo que se conoce actualmente, opino que las identificaciones a distancia mediante el DNI 3.0 no las veremos fuera del laboratorio…