Hace unos días el Cuerpo Nacional de la Policía informaba sobre la desactivación de la firma electrónica de algunos DNIe para evitar la explotación de una vulnerabilidad (CVE-2017-15361) que puede provocar que un atacante descubra la clave privada a partir del análisis de la clave pública; esto puede provocar que un atacante realice actividades en nombre de la persona con el DNIe vulnerable, lo que se conoce como suplantación de identidad en el caso de que éste pueda explotar la vulnerabilidad citada.
¿En qué consiste la vulnerabilidad?
Varios investigadores realizaron un estudio en el que se demostró que una librería utilizada por el fabricante de chips alemán Infineon no generaba de manera adecuada los números aleatorios utilizados para el cifrado RSA-2048 desde al menos el año 2012.
Este estudio provocó, entre otros, la desactivación del DNIe de más de 750.000 ciudadanos estonios como medida preventiva.
¿Es mi DNIe vulnerable?
No todos los DNI son vulnerables, para comprobarlo es necesario revisar si el número de soporte de nuestro documento nacional de identidad es posterior a ASG160.000.
El número de soporte se encuentra bajo el llamado IDEPS o NUM SOPORT (dependiendo del DNI electrónico que tengamos) tal y como se muestra a continuación:
Si nuestro DNi está entre los afectados no podremos realizar trámites telemáticos en los que sea necesario utilizar el certificado digital, sin embargo, éste sigue siendo válido para realizar trámites administrativos así como documento de identificación en el caso de tener que viajar a cualquier país de la Unión Europea.
Actualmente no hay conocimiento público de que dicha vulnerabilidad haya sido explotada con éxito, ni cual será la medida para solucionarla en el caso de los documentos españoles.
Casi a diario surgen nuevas vulnerabilidades que pueden afectar a los dispositivos y programas utilizados en su empresa. Si quieres que tu empresa esté a salvo, contacta con el departamento de Ciberseguridad de Áudea.