No suelo escribir post de actualidad, pues me gusta tomarme un tiempo para documentarme y reflexionar; sin embargo en el caso del DNI electrónico (digo yo que eso de llamarlo DNI 3.0 debería de provocar algún ingreso para servidor de Uds que inventó el concepto Notario 3.0) haré lo mismo que decía Groucho Marx «Nunca olvido una cara….pero en su caso voy a hacer una excepción«.
Resulta que nuestra administración pública se ha inventado el DNI electrónico, sobre el que resulta bastante interesante este artículo, el cual me propongo analizar brevemente en este post.
Sorprende que el primer titular de este DNI es la nadadora y medallista Mireia Belmonte, que como todos sabemos es una especialista en seguridad informática (lo mismo que Terelu Campos es una especialista en la dieta de la alcachofa): dicho de otra manera ¿hablamos de seguridad informática o de publicidad?.
Viendo el video que sale en el enlace, sorprende tanta presencia policial.
Es cierto que la labor de la policía en temas informáticos y en la lucha contra el cibercrimen es excelente; sin embargo en el vídeo sólo salen policías de a pie, y plantea la duda de si ese DNI 3.0 está para facilitar el trabajo diario de la policía (y por favor planteensé que por policía hablo de administración y control del ciudadano), o el trabajo de la policía como garante de la seguridad informática.
Las ventajas del nuevo DNI 3.0 se sintetizan en:
- Permitir que el ciudadano contacte digitalmente con la administración.
- Facilitar la labor de la policía.
- Facilidad de uso de la firma electrónica.
Sin embargo dar tres mensajes es muy fácil, pero dar información es una cosas muy diferente, por lo que me planteo algunas preguntas:
- ¿Quiere el ciudadano contactar con la administración?
- ¿El nuevo DNI facilita la labor de la policía en la lucha contra el crimen o la función fiscalizadora de la administración pública sobre el ciudadano?.
- ¿El uso es seguro?
- Hasta ahora en España la firma es la manifestación formal de un consentimiento libre y voluntario (añado que además debería de ser informado y responsable….cosas de Notario) pero a partir del DNI 3.0 va a ser el consentimiento fruto de un mero acercamiento de un documento (no se sabe ni quien lo hará, ni con que capacidad) a otro dispositivo cuyo titular (no hablemos de responsable) tampoco es conocido.
Sigamos pues la noticia que enlazo, aunque explicando algunas cosas
¿Qué novedades tiene el DNI 3.0?
Si leemos el artículo publicitario informa:
No necesitará ningún accesorio para su utilización. Interior incide en que elimina las barreras de acceso existentes gracias a la incorporación de la tecnología NFC (Near Field Communication), un sistema de intercambio de información que se basa en la proximidad entre dispositivos (no se molesten en picar en el hipervínculo, pues está en ingles, que como todos sabemos es la lengua oficial del estado)
Incorpora un chip más rápido certificado como dispositivo seguro y cuenta con una antena interna de radiofrecuencia que conecta directamente el smartphone o la tablet con el DNI, permitiendo el acceso a sus servicios
El problema no es que no necesite ningún accesorio para su utilización; el problema es que sin clave ni garantía adicional alguna, cualquier smartphone o tablet accede a los datos del DNI 3.0, de modo que este «nuevo invento» va a acabar con una tradición, y es que cuando te roban la cartera, al poco el carterista suele devolverla (obviamente sin dinero) para no molestar al ciudadano en todo el engorroso trámite que tiene la renovación del DNI.
Ahora acercando el DNI 3.0 a una tablet o un smartphone, sin mayores garantías puedes acceder a muy valiosa información del titular de ese DNI, lo cual es indudablemente ventajoso para esa persona, pero también para cualquier desalmado que quiera saber de ella.
No quiero ni pensar que puede suceder cuando entregas una tarjeta de crédito para hacer cualquier pago, y el amable empleado te pide el DNI, pues el volumen de información que pones en manos ajenas es ingente.
Podrán contestar que siempre puede averiguarse que dispositivo ha leído el DNI 3.0 (y es cierto), pero hasta un niño de parvulario sabe lo fácil que es contratar un dispositivo de tarjeta o un simple dispositivo libre ¿Qué soluciones hay a este problema?.
Una duda adicional que me surge es que numerosísimos smartphones y tablets tienen configurados dispositivos de geolocalización y habitualmente solemos tener el móvil cerca de la cartera ¿facilitamos con ello nuestra localización a cualquiera? (no digo ya ni administración).
Resulta que la tecnología NFC no la tienen todos los tablets o smartphones
De hecho es más que conocido que sólo hay un debate superior al que se plantea entre dos personas cuando discuten si hay que poner o no cebolla a la tortilla de patatas, y ese debate es:
¿Galaxy o IPhone?
Lo más divertido del debate, me lo ha facilitado mi amiga y letrado especialista en TIC Doña Susana González Ruisánchez, a la que he pedido ayuda para elaborar este post, y a la que desde estas líneas lanzo un #retoblog, sobre la utilidad del DNI 3.0.
Pues bien resulta que ningún IPhone tiene tecnología NFC (salvo el nuevo IPhone 6 y previo pago adicional), por lo que nuestro queridísimo legislador; amén de una deriva pro-coreana un tanto inexplicable, acaba de dejarnos fuera de juego a los que somos adictos a la tecnología MAC (por otra parte -y valga la cuña publicitaria gratuita- mucho más segura que la de Android).
Dicho de otra forma, yo no podré usar mi DNI 3.0 (salvo que saquen una ley contra IPhone e Ipad -que cualquiera sabe a estas alturas de temporada-) pero cualquiera que tenga un dispositivo con la tecnología NFC (esto es cualquiera que acerque su Samsung a mi cartera) podrá acceder a mis datos.
Dejar apuntado que la libertad de mercado corre peligro con el DNI 3.0, es simplemente eso: un apunte, pues sinceramente lo que me preocupa es el peligro que corre la intimidad del ciudadano.
¿Qué puedo hacer con el DNI 3.0?
Leyendo el artículo publicitario destacan dos cosas
No es necesario desplazarse a la sede de organismos públicos para pedir informaciones
Lo curioso es que tampoco lo es en la actualidad, pues España es uno de los países que cuenta con mayor número de firmas electrónicas (de hecho el actual DNI ya la tiene), la novedad consiste en que la firma electrónica se produce automáticamente por el mero hecho de que alguien acerque el DNI a un dispositivo (sea o no el titular tanto del DNI como del dispositivo en cuestión).
La pregunta es si tampoco la administración tendrá que desplazarse para realizar notificaciones.
Desde estas líneas me comprometo a regalar un lacasito al amable lector que me demuestre que ha recibido una notificación de una administración pública en la que le felicita por su cumpleaños, o simplemente las navidades.
Confieso que no conozco a ningún ciudadano, que recibiendo una notificación por correo certificado con acuse de recibo de una administración pública, no se ponga a temblar (aunque sea la mera notificación de un cambio de titularidad catastral), y no creo equivocarme si en más de la mitad de los casos en los que la administración comunica algo a un ciudadano, la comunicación acaba siendo una multa.
Pues bien, algo me dice que esa esperanza que todos tenemos en que prescriban las multas, tiene los días contados con este nuevo DNI 3.0.
La Policía también saca su beneficio. Cada agente dispondrá de un smartphone o tablet para identificar a los ciudadanos sobre el terreno y consultar de forma inmediata su historial, antecedentes o infracciones.
¿Y no puede hacerlo ya? es tan fácil como teclear en ese dispositivo los 8 números y la letra del DNI que se le exhiba, para que así suceda. Confieso que he visto muchas películas de Stallone y dudo mucho del cociente intelectual de ese señor, pero de ahí a pensar que un policía se parece a ese individuo media un universo.
Obviamente se está manipulando la imagen de un cuerpo prestigioso, y hablamos de una campaña publicitaria, pues en el fondo cualquier funcionario púbico con ese dispositivo podrá leer el DNI electrónico y comprobar las bases de datos de la administración pública.
Yo mismo y como Notario tengo la obligación de escanear los DNI de todos los ciudadanos que quieren firmar un operación en mi despacho, pero no os engañéis, que en esta ocasión los Notarios no somos los malos de la película.
¿Habéis oído hablar de una institución que se llama Ministerio de Economía y Hacienda? ¿Habéis oído hablar de una institución que se llama Guardia Civil de Tráfico? pues ellos son los policías de la economía y de la seguridad vial.
¿Ahora con el DNI 3.0 dota a la firma electrónica de la misma validez jurídica que la firma manuscrita?
Digamos que como Notario, puede decirse que se «una miajita» de eso de la firma, podría hablarles de cómo se puede firmar un documento con el corazón y el alma, pero prefiero hablarles de firma electrónica
No puede ser más tendenciosa la información, pues el valor de la firma electrónica ya está regulado en la ley 59/2003 (diez años ha tardado el legislador en enterarse de sus propias leyes) en las directivas 1999/93 o en el más reciente reglamento (UE) 910/2014.
El nuevo DNI no ofrece absolutamente nada que no exista ya en nuestro ordenamiento jurídico, simplemente aprovecha disposiciones legales, prescindiendo de algo inherente a toda firma, que es la autoría (dado que en el DNI 3.0 no se precisa más acto humano que acercar dos dispositivos para que dicha firma se haya producido -e incluso como hemos visto la mera cercanía física de los dispositivos, independientemente de cualquier acto voluntario-).
Sobre estos temas estoy estudiando seriamente la normativa indicada, y cuando pueda ofrecer algo más serio que la burda publicidad que provoca este post, publicaré los trabajos que tengo en elaboración, y en los que hablaré por ejemplo: del documento electrónico, el documento público electrónico, la diferencia entre la seguridad en la información y la seguridad informática, o el tercero de confianza.
Sea como fuere la firma no es sino la expresión formal del consentimiento, y un consentimiento ha de ser emitido por una persona capaz de obrar, de forma libre, voluntaria, consciente e informada. El nuevo DNI 3.0 supone una peligrosísima deriva en la que la forma prevalece sobre el fondo; pues lo de menos es firmar, dado que lo jurídicamente importante es quién firma, en que condiciones lo hace, y que contenido está firmando (y no veo voces jurídicas muy interesadas en estos temas, pese a que el consentimiento es un elemento esencial de todo negocio jurídico; ni tampoco veo juristas denunciando este derrotero legislativo en el que el poder de la administración, parece imponerse sobre el individuo).
A modo de ejemplo y hablando de las cláusulas suelo, cientos de españoles han firmado hipotecas delante de un Notario que les ha explicado la cláusula suelo, pero resulta que según nuestro TS son ininteligibles ¿Qué pasara si todo ese proceso se hace en un futuro con este tipo de firma electrónica?.
Soy firme defensor de la tecnología, y que esta es un valioso instrumento jurídico, pero no de cualquier forma, ni a cualquier precio, pues en otro caso de estar la tecnología al servicio del ciudadano, será este el que sea esclavo de la tecnología (y el nuevo DNI 3.0 me parece un peligrosísimo avance en el segundo sentido).
Si lo que se pretende es generalizar el uso de la firma electrónica, lo cual apoyo plenamente, no creo que prescindir de la seguridad sea el cauce más adecuado, y la protección de la intimidad debe de ser un principio fundamental, pues todo futuro que quiera buscarse para la tecnología ha de partir de dos principios:
- Seguridad
- Privacidad
Y ninguno de estos dos principios los veo en el nuevo DNI 3.0.
¿Qué aspecto tiene el DNI 3.0?
La pregunta es ¿y qué me importa a mi el aspecto?, lo que me interesa es la normativa que da cobertura legal a dicho dispositivo, y las medidas de seguridad; o dicho de otra manera, no me interesa lo más mínimo que aspecto tiene una pastilla que compre en una farmacia, sino si la pastilla cura o alivia mi enfermedad y si está testada por profesionales de la medicina.
En el DNI 3.0 ya he visto la publicidad, pero ni he visto normativa, ni información sobre seguridad, y sinceramente me preocupa mucho el tema.
¿Cuándo voy a tener un DNI 3.0?
Nuevamente la pregunta es errónea, no me interesa lo más mínimo cuando puedo tenerlo, sino si es voluntario o no.
No quiero que la administración pública pueda acceder con absoluta impunidad a mis datos personales; lo que me preocupa es si el DNI 3.0 es un derecho u opción del ciudadano o una obligación, así como si puedo configurar libremente a que datos se pueden acceder y a que datos no se pueden acceder.
En definitiva, defiendo el DNI como un gran avance en la identificación del ciudadano; sin embargo mucho me temo que esta novedad, es un preocupante paso hacia una especie de «Gran Hermano estatal» en el que la privacidad e intimidad del ciudadano corren serios peligros.
De los diversos post que he leído sobre la materia me ha parecido muy interesante y recomendable el de Don Roberto Luis Ferrer Serrano
Hola,
interesante posición, aunque en algunas cosas tal vez hay un poco de confusión (o eso me parece de la lectura del post). El tema está en que no por usar NFC se produce la firma (o el pasar determinada información excesiva) por el mero hecho de acercar dispositivos. Usar NFC no es lo importante, sino las medidas adicionales que se utilicen una vez decidida la tecnología para la transmisión inalámbrica. En este caso tenemos MRZ y CAN, con lo cual el acceso a la información básica (que no es al certificado utilizado para las firmas) no es directo ni mucho menos.
Es cierto que falta por saber más sobre las especificaciones técnicas en particular, y sobretodo respecto a posibilidad de conocimiento de ataque, que hace ante un gran número de ataques además de rechazar el acceso etc (es lo que tienen los panfletos), pero que no todo es tan sencillo.
Un saludo!
PD: Decir que iOS es más seguro que Android ya no es ni comentable 😉 (al menos en cuanto a potencial, desde luego)
Gracias por tus aportaciones Sergio.
Obviamente lo de la «guerra» iOS Androdid, es un mero guiño (aunque me confieso Macadicto) al hecho sorprendente de que una tecnología ampliamente difundida no puede usarse con el nuevo DNI 3.0 (creo que la ironía es obvia si pongo como punto de partida del debate el que haya que poner o no cebolla en una tortilla de patatas -y también creo que lo has entendido perfectamente-).
He leído lo de MZR Y CAN (te confieso que para mi estos temas son un mundo y te ruego por favor que me facilites toda la información que puedas, de la forma más fácilmente entendible para un neófito), pero me sorprende que una de las cosas que tiene el nuevo DNI es que la clave de acceso está grabada (vamos cómo si te graban el PIN en la tarjeta de crédito), insisto en que es algo que he leído sin mucho contraste, por lo que me he limitado a analizar el post primero que se publicó, pero me gustaría avanzar en el estudio de estos temas, por lo que insisto en rogarte ayuda.
Un saludo
Aún falta mucho por saber como te comentaba, pero el tema está en que estos códigos son más que nada para la negociación de la comunicación cifrada (difícilmente sería aceptable dejar estos códigos para el uso del certificado para firma, no sería nada seguro) con el DNI 3, y el acceso a los datos básicos del mismo (dar más rompería además la base de que el acceso al certificado solo debe ser conocido por el usuario). Tampoco se puede entrar mucho al fondo porque no he encontrado las especificaciones más técnicas al respecto, y por no encontrar no aparece la certificación y auditoría del DNI 3 como dispositivo seguro (mala cosa si se han olvidado), con lo cual habrá que esperar a ver.
Un saludo!
¿No crees que quizá hubiera sido más adecuado dar esa información y testarla con especialistas en seguridad TIC y juristas antes de lanzar la campaña publicitaria?
Muchas gracias por tus aportaciones
Sin ser un experto en la materia, apunto unos pensamientos que me ha sugerido la, por otra parte, interesante lectura.
El DNI 3.0 es una evolución natural. Seguramente usted posea una tarjeta de crédito que utiliza la tecnología «sin contacto» (contactless), y no creo que esto haya supuesto más que una mejora a la hora de evitar tarjetas que no se leen.
La simple existencia de un número que nos identifique (DNI), ya debería ser motivo de debate, tal como lo es en otros países.
Respecto a la supuesta seguridad de los dispositivos de la manzana mordida, le ruego pregunte al Sr. Obama porque no puede tener un iPhone: http://www.sdpnoticias.com/internacional/2013/12/05/obama-no-puede-tener-un-iphone-por-razones-de-seguridad
o las estrellas de Hollywood de las que hemos podido ver más de lo que quisieran:
http://es.gizmodo.com/se-filtran-fotos-de-famosos-desnudos-tras-supuesto-hac-1629198039
y la rapidez de resolución de los amigos de Cupertino:
https://www.wayerless.com/2014/09/apple-conocia-hace-meses-vulnerabilidad-de-icloud-que-pudo-ser-usada-para-filtrar-fotos-de-famosas/
Para finalizar, respecto a si estamos geolocalizados para todo el mundo. Sólo si lo hacemos de forma voluntaria, compartiendo esa información en imágenes y otras publicaciones sociales, sin embargo, los operadores de telefonía móvil, y en su caso, Google, Apple y quien sabe más, saben perfectamente de sus (y mis) hábitos y rutinas, desde que un dispositivo móvil se ha vuelto un accesorio indispensable en nuestras vidas.
Sin ánimo de polemizar 🙂
Muchísmas gracias por tus aportaciones, precisamente eso es lo que trato, no de polemizar, sino de concienciar y de aprender, lo que no podemos es seguir creyendo que todo lo relacionado con la tecnología es una especie de panacea universal, pues como digo en otras partes de este blog (por otra parte la frase no es mía) «Si algo es gratis en Internet es porque el precio eres tu».
Esperemos que este post y otros sirvan para concienciar sobre la privacidad y la seguridad on line, de la que lamentablemente no soy un especialista, aunque si un firme defensor.
Un saludo
Por supuesto que lo creo, otro tema sería si lo han hecho pero no pueden pronunciarse por haber firmado algún tipo de acuerdo (eso espero). También pienso que en estos temas lanzar únicamente una «campaña publicitaria» y no dar acceso inmediato a todas las especificaciones de seguridad (ya solo falta que digan que mantenerlo en secreto le da seguridad) es un error que solo provoca cábalas sobre qué se va a hacer y cómo. No obstante, con todos estos temas ya es lo normal.
Genial artículo, Paco!
El uso de NFC, evidentemente, supondrá una mejora y una mayor comodidad, siempre y cuando se garantice la seguridad de las comunicaciones por ese medio y se tenga en cuenta ante posibles robos, pérdidas y sustracciones.
Voy un paso más allá!! Si tenemos claro que el NFC puede ser una solución por sus garantías de seguridad y comodidad a la hora de identificarnos ante un dispositivo… nos atreveríamos a un implante de un chip NFC como DNI definitivo y absolutamente intransferible?? Yo lo veo…
Respecto a Apple/Android… está todo dicho. El problema es que los «Iphoneros» se creen de verdad que sus dispositvos y sus sistema es más seguro y… pasa lo que pasa!
(En todo caso, los «freaks» como yo usamos Blackberry 10 y vemos esos debates con una sonrisa en la cara…)
Un abrazo y enhorabuena por el post!!
Interesante e inquietante aportación la del chip con tecnología NFC, no creas que no me lo he planteado; e incluso si es cierto que la tecnología es la NFC o en realidad es RFID (pues digan lo que digan la primera es una variante de la segunda, y las distancias en las que funcionan unas y otras no -para los menos iniciados, explico que la tecnología NFC funciona a muy pequeña distancia, pero no es sino una variante de la tecnología RFID que funciona a mayores distancias).
Lo que es de traca es intentar vender como dato de seguridad la necesidad de introducir una clave «CAN» que como medida de seguridad está impresa en el propio DNI (o sea la misma seguridad que si grabas el número secreto de la tarjeta de crédito en la propia tarjeta), evidentemente hablar de la existencia de librerías que facilitan ataques Ddos y cómo hay miles de vídeos en YouTube enseñando a encontrar claves numéricas en menos de cinco minutos parece que suena a ciencia ficción (pero está al orden del día).
Lo de la «guerra» iOS Android, se que es más cuestión de gusto que de seguridad, pero sinceramente no entiendo como usan como novedad una tecnología de la que carecen un porcentaje altísimo de smartphones, y especialmente por que los que somos fans del IPhone vamos a perder el «privilegio» de «disfrutar» de nuestros flamantes DNI.
Un saludo
Tal vez te resultaría de interés la discusión que se tuvo en su momento respecto al tema de «identificación a distancia» en el excelente post de Yago Jesús (que de estos temas controla), y que se toca el tema de las medidas de seguridad y demás (a grosso, que es la discusión que se puede hacer ahora)
http://www.securitybydefault.com/2015/01/no-no-te-van-identificar-remotamente.html
Un saludo
Gracias por tu aportación Sergio.
Había leído el post, aunque sinceramente me causaba más dudas que resolvía problemas; de hecho en la contestación a José Fernández en cierta manera tenía muy presente ese post (deliberadamente el comentario final del mismo poniendo a Alemania como ejemplo, no he querido comentarlo por no herir susceptibilidades).
Un saludo y gracias por contribuir a lo que considero un debate importantísimo, pues a fin de cuentas todos salimos ganando.
Buenas,
Me gustaría puntualizar algún aspecto del funcionamiento del DNIe 3.0.
Para empezar, dicho DNI proporciona varios servicios. Uno de ellos, es el de proporcionar, electrónicamente, datos básicos sobre el portador (número de DNI, nombre, fecha nac., etc). Otro, el de firma electrónica.
El primer servicio ahora se podrá realizar por NFC, pero para que no pueda ir identificándonos nadie por la calle, requerirá el código CAN, que como bien se ha dicho, está impreso en el NDI y puedes ser legible electrónicamente mediante MRZ. Alguien que nos robara el DNI pudiera, por tanto, fácilmente obtener esta información. Ahora bien, esta información es la misma que viene impresa en el DNI (solo que en formato digital)! Por lo que no le sería muy útil.
El segundo servicio, la firma digital, sin embargo, sí requerirá PIN, y además se bloqueará tras 3 intentos fallidos, para así evitar que un simple caco pueda firmar en nuestro nombre.
Con el antiguo DNI electrónico, las dos operaciones se debían realizar mediante lector de tarjetas y a través del PIN. Las diferencias en el actual es que ahora los dos servicios se pueden realizar inalámbricamente, y que el primero de los dos (el más común) ya no necesita PIN.
Espero con ello haber clarificado dudas.
Gracias por tus aportaciones Alfonso.
Un saludo
Me ha parecido una excelente exposición. Dicho lo anterior, nadíe se ha percatado de un problema añadido y de gran calado, este artilugio, viene a aumentar el paro, pues sí el pretexto es facilitar los trámites al ciudadano, lo que no es concluyente, ello lleva aparejado una eliminación de empleados públicos lo que va en detrimento del nivel de vida del conjunto de la ciudanía, pues a más paro mayor cotas de pobreza. No olvidemos, que la empresa privada, hoy por hoy, se muestra incapaz de crear puestos de trabajo estables y con sueldos dignos. Como dice el refrán «las comodidades matan» cada día veo como nos imponen el autoservicio en gasolineras, convertidas en mini mercados, o, contratar servicios vía un 902, o pedir cita previa para una consulta pública aun cuando no seas capaz de maniobrar los artefactos mecánicos o electrónicos que te ponen a disposición (por cierto valen un buen dinero y su mantenimiento también). En referencia a lo que nos acontece en este siglo la culpa, en buena medida, es del propio ciudadano comodón, que de manera ingenua antepone su vagancia ante sus libertades. Libertades, que han costado siglos arrancárselas al poder. Unos, dicen que es cuestión de seguridad, otros de facilitar los trámites; lo cierto es, que cada día se entregan más y más parcelas de la esfera personal, hasta el punto que no quede intimidad individual alguna. ¡El gran hermano (1984) ya está aquí! Y le hemos abierto las puertas de nuestras casas y vidas, gratuitamente, sin pensar en las consecuencias negativas o perniciosas para la raza humana. Al final, en aras de no sé sabe muy bien qué, terminaremos esclavos del tan temido y anunciado «Mundo» dominado por androides y máquinas futuristas.
Hola juan, no coincido mucho con tus comentarios, aunque siendo de contenido más ideológico que técnico o jurídico, no veo adecuado entrar en debate, pues me saldría de los objetivos de este blog.
En todo caso respeto tu opinión y por tanto ahí queda dicha
Un saludo
Existe la opción de rechazarlo?
Basta con buscar el circuito con una luz y con un cutter hacer un corte; supongo que 5 segundos en el microondas también funde el sistema.
Saludos