El pasado día 12 de Enero de 2015 se presentaba en sociedad el nuevo DNI 3.0 y de inmediato, tanto las redes sociales, como los medios de comunicación, se hacían eco del acontecimiento, a través de toda una serie de comentarios, muchos de los cuales calificaban a esta nueva versión como la encarnación del gran hermano de 1984.
¿es posible que nos identifiquen y localicen a distancia?; ¿Qué datos revela el dispositivo a los lectores automáticos? ¿se puede acceder a los datos del DNI sin consentimiento?
En el presente artículo pretendemos arrojar un poco de luz sobre la nueva versión del DNI 3.0, comentando sus principales novedades y principales características técnicas.
Entre las novedades que presenta el DNI 3.0 se encuentra la tecnología NFC (near field communication), o la capacidad de transmitir información inalámbrica. A este respecto, hay que aclarar que las comunicaciones en NFC se realizan en la banda de 13,56 MHz, lo que imposibilita su funcionamiento más allá de los 10 centímetros de distancia con el lector de datos. Por tanto si alguien quiere identificarnos, como por ejemplo una autoridad habilitada para ello, tendría que estar a esta distancia como máximo para poder obtener los datos.
El NFC por otra parte, contiene la misma información que podemos ver impresa en el DNI, esto es: nombre, apellidos, firma y foto. Además para poder acceder a esta información a través del NFC es necesario el uso de un PIN que es el que nos permite el intercambio inalámbrico de datos. Por tanto nuestra información personal se encuentra protegida por este PIN, llamado CAN (Card Access Number) el cual se encuentra impreso en el mismo DNI.
Otra de las novedades tecnológicas importantes es el MRZ (Machine Readable Zone), que es otra manera de establecer conexión entre dos dispositivos, pero esta vez entre el DNI y un lector automático con un OCR o escáner óptico. Según Yago Jesús, uno de los desarrolladores del Proyecto DNI 3.0, experto en seguridad IT y editor de Security by Default, el caso del MRZ es lo mismo que en el Pasaporte. Un código que se ‘lee’ mediante un OCR.
A partir de ese número CAN (o el código MRZ) el lector y el DNI derivan y negocian una clave de sesión para el intercambio cifrado de datos.
Sintetizando, el CAN es el PIN que usaría el ciudadano, que está impreso en el mismo DNI y es el que se escribiría a mano en el dispositivo lector y el otro código (MRZ) es el automático que leería un escáner con OCR para hacer una verificación automatizada (como la que se usa en un control de fronteras).
Por tanto podemos afirmar que el DNI 3.0 es un dispositivo RFID o de identificación remota al que nadie puede acceder si no tiene la posesión física del mismo, y en caso de tenerla los datos que se podrán obtener serán los mismos que los leídos a través del chip electrónico o MRZ. Estas novedades tecnológicas sin duda le atribuirán una mayor usabilidad , venciendo así la principal traba que suponía el chip y la necesidad de tener lector de tarjetas para hacer uso del mismo, ya que la mayor parte de los smartphones llevarán incorporados a futuro un lector RFID que nos permitirá realizar multitud de procesos con el DNI 3.0.
Estas novedades tecnológicas también vienen acompañadas de otras novedades en materia regulatoria no menos importantes.
Efectivamente con la entrada en vigor el próximo 1 de julio de 2016 del nuevo Reglamento Europeo de Identificación Electrónica y Servicios de confianza para las transacciones en el mercado interior (en adelante, el “ReIDAS”), que sustituye a la Directiva europea de firma electrónica de 1999, La Fabrica Nacional de la Moneda y Timbre (FNMT) no podrá cobrar en los procesos de verificación de las firmas realizadas con el DNI electrónico.
El art. 24.4 del ReIDAS establece:
….los prestadores cualificados de servicios de confianza que expidan certificados cualificados proporcionarán a cualquier parte usuaria información sobre el estado de validez o revocación de los certificados cualificados expedidos por ellos. Esta información deberá estar disponible al menos por cada certificado en cualquier momento y con posterioridad al período de validez del certificado en una forma automatizada que sea fiable, gratuita y eficiente.
Como mencionábamos recientemente en nuestro artículo sobre verificación de firma o revocación de certificados, para validar la firma electrónica el destinatario de la misma deberá verificar ésta y por tanto la validez de los certificados emitidos. Es por tanto necesario dentro del proceso de firma electrónica, verificar la firma y acceder al listado de certificados revocados o CRLs de las Entidades de certificación que los emitan, que en el caso de la FNMT requiere de un acuerdo previo y por tanto el pago por el acceso a los mismos (art. 12.13 e las Prácticas de certificación particulares de los certificados de personas físicas).
Parece por tanto vislumbrarse por fin un buen futuro para la aplicación práctica de la firma electrónica a través del DNI 3.0, ya que parece ganar en usabilidad y todo apunta a que en los procesos de verificación existirá un acceso gratuito fiable y eficiente que permita su uso generalizado en el mercado.
Artículo redactado por:
Fernando María Ramos Suárez
Socio director DPO&itlaw
fernandoramos@dpoitlaw.com
Horacio Gómez Rey
Abogado TIC DPO&itlaw
horaciogomez@dpoitlaw.com
Comments are closed.
Twitter