Barrapunto

En España tenemos un caso peculiar, un DNI-E que necesita para funcionar un módulo binario; ya conocido por aquí. Lo que, por ejemplo, lo hace inservible para el software libre.

Como ya he dicho en otro comentario [barrapunto.com], hay varias razones para rechazar dicha forma de funcionar. Es un fiasco binario [barrapunto.com].

Pues eso, que la seguridad no es más que una percepción nuestra, y como tal, es algo relativo. Porque el DNI normal de siempre tampoco es que sea la monda de seguridad, si es como una tarjeta de biblioteca. Al final es más recordatorio del número que otra cosa.

Ni en la noticia original de todo explican mucho tecnicamente de como se ha hecho o cual es la vulnerabilidad[1].

Lo unico en claro es que afecta a las tarjetas de identificacion de extranjeros [2](equivalente al NIE español) y que existe el proyecto del gobierno de su graciosa majestad de usar una tecnologia similar para una especie de DNIe , recordemos que en UK no existe el DNI como tal, en cualquier caso los conservadores ya han avisado de que si ganan las proximas elecciones mandaran el DNI/DNIe a la porra.

Sin saber exactamente ni siquiera cual es la tecnologia de la tarjeta es dificil saber si existe riesgo o no para otros sistemas. Quiza han usado una tarjeta tipo memoria sin autenticacion , seria trivial clonar los datos. ¿ Quien no recuerda los emuladores de tarjetas de las cabinas? Quiza es como el DNIe con su sistema de PKI [3] y sus caracteristicas criptografias y de firma , y la citada EAL 4, que lo hacen practicamente inviolable.

[1] http://www.kable.co.uk/idcards-hack-homeoffice-res ponse-07aug09 [kable.co.uk]
[2] http://www.ukba.homeoffice.gov.uk/managingborders/ idcardsforforeignnationals/ [homeoffice.gov.uk]
[3] http://www.dnielectronico.es/PDFs/politicas_de_cer tificacion.pdf [dnielectronico.es]

Por lo que entiendo leyendo la noticia original en Inglés lo que ha propiciado el fallo de seguridad es que el ID británico viene con RFID. el DNI electrónico español viene con RFID?.

Lo pregunto porqué no le veo la lógica a esta manía de meter RFID en Pasaportes y DNI electrónicos, cualquier persona con 2 dedos de frente debería ser capaz de entender que si llevas una radio en el bolsillo cualquiera con una antena puede intentar acceder a ella.

...el DNI-e es inseguro.

Con el DNI-e se puede hacer que alguien que ya no esté con vida pueda firmar un contrato, sólo hay que tener acceso al soporte físico del DNI-e (el cual debemos de llevar siempre encima, lo cual es la primera falla de seguridad, el soporte físico del DNI-e que se utilice para firmar electrónicamente siempre debe de estar en lugar seguro y la cartera de nadie es un lugar seguro) y saber la contraseña para poder firmar (la cual se puede obtener muy fácilmente por acoso, después de que te hayan arrancado el dedo meñique sin decirte nada y después te dicen que harán lo mismo con el resto la predisposición de uno cambia radicalmente).

Otra punto débil del sistema es que se pueden firmar documentos electrónico con prácticamente cualquier ordenador y lector de tarjetas.

No es lo mismo firmar un documento electrónicamente en el ordenador del ladrón que te ha puesto la navaja en el cuello, que sólo podoer hacer la firma desde los puestos que tú hayas prestablecido, o en una máquina en un centro oficial como es una comisaría o una delegación de hacienda.

Otro caso es que tampoco hay niveles de seguridad, da igual firmar la compra de una bicicleta que de un vehículo de alta gama.

Lo peor de todo es que la mayoría de la gente no sabe que significa el término seguridad y cuando se les dice que el DNI-e es seguro la gente entiende que es infalible, cuando no lo es.

El dni electrónico permite en teoría un elevado numero de fraudes por unidad de tiempo, mientras que el antiguo se podía usar para fraudes elaborados pero no en masa.

Al final los procesos informáticos son cajas negras que permiten un numero de operaciones inmenso e indiscriminado (vease fraude de tarjetas de credito en masa) además de deslocalizado (te pueden timar desde tombuctú).

El dni de toda la vida era MUY facil falsificarlo, pero no tan facil usarlo sin acabar cazado, dado que tienes que presentarte en persona y al final sirve para poco o nada (salvo identificarte en procesos presenciales). Y es muy facilmente 'alegable' su uso fraudulento puesto que basicamente identifica en persona, por lo que un simple testigo de tu presencia en otro lugar elimina tu responsabilidad (casi siempre si no entras en bucles infinitos burocráticos o legales).
Y su uso 'electrónico' (simple nif) es usado como se usa el nombre o la direccion, o sea, como dato chorra. Salvo en identificaciones electrónicas más completas (nif como usuario por ejemplo, pero no como clave)

En fin, que no es lo mismo una mala seguridad que se conoce y se utiliza en su justa medida, que una supuesta seguridad avanzada que no es tal.
No es comparable porque su intencion de usabilidad es totalmente distinta.

Por supuesto que el DNI normal es mas facil de falsificar.

Prescisamente por eso, es menos susceptible de generar errores graves judiciales, ya que se asume esa cierta 'facilidad' de fraude. Al igual que el dinero electronico (las tarjetas de credito), tambien es mas seguro...hasta que es uno mismo el afectado

Lo malo es que diebido a la falsa seguridad que parece quererse transmitir, en caso de fraude con los medios modernos, el ciudadano legal... tiende a tener que demostrar su inocencia. A diferencia de los medios calsicos, donde su falibilidad... liberaban de esa carga con mayor facilidad a la persona.

A alguien le apetece tener que demostrar que uno es uno mismo si hay un DNI supuestamente infalsificable (pero que alguien lo ha hecho) que han usado para algun delito? Y con las tarjetas de credito, lo mismo... cuando uno tiene que dehacer un error, ocurre una inversión de la carga probatoria. El usuario legal tiene que demostrar su inocencia mas a menudo y de forma mas dificil.

Olvidas que también el sistema basado en efectivo está lleno de trampas.

Ejemplos:

• Pagas ocho dobles de cerveza y dos cubatas (28 euros) con un billete de 50 euros y te devuelven un billete falso de 20 euros y dos euros en monedas que dejas en propina. El que te suelta el billete falso es un camarero muy simpático con acento del sur y don de gentes. Tú, con el puntillo sólo aciertas a mirar la cuenta y pensar: "dos y medio... que baratos los dobles de cerveza."
• En una terracita de un paseo marítimo en el norte de españa, el chico que atiende a los clientes te devuelve el cambio de 50 euros que has dado por unas cañas y una ración de bravas... tu miras en el platillo dos billetes de cinco y una moneda de uno y dices "treinta y nueve euros por dos cañas y unas bravas, algo está mal;" entonces le llamas y le dices que le habías dado un billete de 50 y entonces el chaval te mira a la cara y dice "mire, estoy seguro de que Vd. me dió un billete de 20, pero si quiere llamamos a la policía."
• Adelantas como parte de la reserva de un piso 1000 euros en metálico a un promotor inmobiliario. La niña mona que recibe el dinero (una rubia de ojos azules con ese deje característico de Madrid y que parece no haber roto un plato en su vida) en recepción te da un recibo con el membrete de la constructora y un sello. Cuando vuelves la espalda ella se embolsa los diez de cien y a tí te deja con una prueba de entrega que no vale ni el papel en el que está impresa.
• Al ingresar en el banco en efectivo un billete de 50 euros la persona que lo recibe te dice que es falso y que tiene que retirarlo... tú estás seguro que es un billete que te acaban de dar en el cajero dos calles más arriba. El cajero que te lo ha dado ni siquiera tiene acento.