El Cuerpo Nacional de Policía ha bloqueado un servidor de Internet que suplantaba la identidad de la oficina que da citas para la renovación del Documento Nacional de Identidad (DNI). El servidor, clausurado el pasado 30 de junio, pedía a través de correos electrónicos una copia del DNI por renovar, la dirección de correo electrónico y el número de teléfono a las personas que querían renovar su identificación.
#2 Seguramente la respuesta tan pobre que le dieron a este hombre se debía a que ya lo estaban investigando, o que ya estaban advertidos, y entiendo que no se lo comuniquen a un usuario diciendo "Sí, estamos al corriente y en breve tomaremos medidas". Me parece lógico que estas investigaciones se lleven de esta forma, aunque entendí la frustración de este ciudadano en su momento.
Según la página del DNI-e estas son sus medidas de seguridad digitales:
" * Encriptación de los datos del chip
* Acceso a la funcionalidad del DNI electrónico mediante clave personal de acceso (PIN)
* Las claves nunca abandonan el chip
* La Autoridad de Certificación es el la Dirección General de la Policía
"
Y esto es lo que tiene dentro el chip:
"# Chip criptográfico , que contiene la siguiente información en formato digital:
* Un certificado electrónico para autenticar la personalidad del ciudadano
* Un certificado electrónico para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita
* Certificado de la Autoridad de Certificación emisora
* Claves para su utilización
* La plantilla biométrica de la impresión dactilar
* La fotografía digitalizada del ciudadano
* La imagen digitalizada de la firma manuscrita
* Datos de la filiación del ciudadano, correspondientes con el contenido personalizado en la tarjeta.
"
Me parece bastante inseguro el almacenar todos esos datos en algo que la gente puede a perder con facilidad, o que se pueda sustraer y replicar. Respecto a la replicación tengo tadavía dudas de si es un RFID (esos que se usan en las etiquetas de la ropa o en las tarjetas de acceso) que se podría leer a cierta distancia o uno normal, pelín mas seguro. Pero si además la gente es tan pánfila como para caer en phising, haciendo todo lo que puedes hacer con este documento, es que es una bomba de relojería en formato de tarjeta de crédito.
Por otro lado, otra cosa que no veo nada clara, es que las claves son públicas y validadas con los ordenadores de la Policía y ministerios diversos, con lo que todos tus movimientos están reflejados en sus servidores, si bien esto hace que sea un poco seguro dado que puedes rastrear tus movimientos en caso de pérdida o sustraccción, también es menos íntimo, no se, podrían usarlo para otros fines en caso de que hubiera una amenaza terrorista (por poner un ejemplo).
En fin, creo que nos la han vuelto a meter doblada.
Comentarios
Muy relacionada, parece que a pesar de la respuesta que le dieron a este tío sí tomaron medidas al respecto: Intento de phishing con la excusa del DNI electrónico
Intento de phishing con la excusa del DNI electrón...
marketingpositivo.blogspot.com#2 Seguramente la respuesta tan pobre que le dieron a este hombre se debía a que ya lo estaban investigando, o que ya estaban advertidos, y entiendo que no se lo comuniquen a un usuario diciendo "Sí, estamos al corriente y en breve tomaremos medidas". Me parece lógico que estas investigaciones se lleven de esta forma, aunque entendí la frustración de este ciudadano en su momento.
En el país de la picaresca...
Según la página del DNI-e estas son sus medidas de seguridad digitales:
" * Encriptación de los datos del chip
* Acceso a la funcionalidad del DNI electrónico mediante clave personal de acceso (PIN)
* Las claves nunca abandonan el chip
* La Autoridad de Certificación es el la Dirección General de la Policía
"
Y esto es lo que tiene dentro el chip:
"# Chip criptográfico , que contiene la siguiente información en formato digital:
* Un certificado electrónico para autenticar la personalidad del ciudadano
* Un certificado electrónico para firmar electrónicamente, con la misma validez jurídica que la firma manuscrita
* Certificado de la Autoridad de Certificación emisora
* Claves para su utilización
* La plantilla biométrica de la impresión dactilar
* La fotografía digitalizada del ciudadano
* La imagen digitalizada de la firma manuscrita
* Datos de la filiación del ciudadano, correspondientes con el contenido personalizado en la tarjeta.
"
Me parece bastante inseguro el almacenar todos esos datos en algo que la gente puede a perder con facilidad, o que se pueda sustraer y replicar. Respecto a la replicación tengo tadavía dudas de si es un RFID (esos que se usan en las etiquetas de la ropa o en las tarjetas de acceso) que se podría leer a cierta distancia o uno normal, pelín mas seguro. Pero si además la gente es tan pánfila como para caer en phising, haciendo todo lo que puedes hacer con este documento, es que es una bomba de relojería en formato de tarjeta de crédito.
Por otro lado, otra cosa que no veo nada clara, es que las claves son públicas y validadas con los ordenadores de la Policía y ministerios diversos, con lo que todos tus movimientos están reflejados en sus servidores, si bien esto hace que sea un poco seguro dado que puedes rastrear tus movimientos en caso de pérdida o sustraccción, también es menos íntimo, no se, podrían usarlo para otros fines en caso de que hubiera una amenaza terrorista (por poner un ejemplo).
En fin, creo que nos la han vuelto a meter doblada.
#6 Dentro del chip también está el karma de menéame del usuario
Nah, seguro que fue a raíz de la noticia que leyeron aquí en meneame cuando empezaron a movilizarse.
¿Tiene algo que ver el mensaje que sale en firefox, al intentar entrar en https://www.citapreviadnie.es/ ???
Creo que voi a vivir ilegal en esta vida, sin DNI para vivir tranquilo
Normal, estamos en temporada de "pesca"
Todo lo que cae en la red es pescao ...
Que dupliquen nuestro DNI digital es cuestión de tiempo.
Y entonces, nadie estará a salvo.
¿Y si pudieramos elegir no tener un DNI digital?
No he leido por ningún sitio que hayan detenido o vayan a detener
a los autores de la página.
¿O solamente la han bloqueado?
O sea que al final si hicieron algo...
y nadie va a explicar que se supone que hacen con el DNI los estafadores?
ni en la noticia lo pone.
que poco informativa, penoso.