El impacto de una vulnerabilidadcriptográfica recientemente descubierta que involucra tarjetas inteligentes está causando problemas en España similares a los experimentados anteriormente en Estonia.
Las claves RSA producidas por tarjetas inteligentes, tokens de seguridad, portátiles y otros dispositivos que utilizan chips de criptografía fabricados por Infineon Technologies son débiles y crackeables, y por lo tanto deben regenerarse con algoritmos más potentes. La debilidad de seguridad surge de las criptobibliotecas defectuosas incluidas con los TPM de Infineon: los módulos de plataforma de confianza de AKA. A los vendedores se les dio tiempo para abordar el problema antes de que las investigaciones de seguridad se hicieran públicas el mes pasado.
El gobierno estonio suspendió el uso de las tarjetas inteligentes de identidad del país báltico a principios de este mes en respuesta a un fallo recientemente descubierto, según informaron recientemente. Los residentes del país báltico aún podrán usar un teléfono inteligente equivalente a la tecnología para acceder a servicios gubernamentales y banca en línea. El uso de tarjetas eResidents se suspendió hasta que los titulares obtuvieron nuevos certificados.
Algo similar sucedió en el lado opuesto del continente en España, pero a mayor escala y (posiblemente) con menos coordinación, con la identificación electrónica de España, el Documento Nacional de Identidad electrónico (DNIe).
Si bien el gobierno español -mediante el cuerpo de la Policía Nacional del país, que supervisa las tarjetas- afirma haber revocado todos los certificados afectados, algunas personas dicen que todavía pueden firmar documentos con ellos. La Policia Nacional dijo:
“Hasta que se implementen las soluciones técnicas necesarias (lo que se hará en un futuro cercano), la funcionalidad de los certificados digitales será desactivada por el DNI actual. [Cuando las actualizaciones] están disponibles, pueden ser actualizadas directamente por sus titulares … “
Un proveedor vasco de certificación que revocó 30,000 certificados se cita en un artículo del diario español El País.
El experto en antivirus con sede en Bilbao, Luis Corrons, de Panda Security, confirmó que el problema está causando inconvenientes menores en el País Vasco. “Esto afectó a las personas que usan certificados para tratar a través de Internet con las autoridades locales en el País Vasco, ya que la entidad a cargo de eso canceló todas las vulnerables”.
“Esto es causado por lo mismo que afectó a la tarjeta de identificación de Estonia“, agregó.
Dan Cvrcek, jefe ejecutivo de Enigma Bridge y uno del equipo de investigadores que descubrió la llamada vulnerabilidad ROCA, dijo: “Si bien la adopción de firmas digitales no es muy alta (IE9 puede ser uno de los problemas), el número de tarjetas de identificación y certificados afectados podría estar en algún lugar en la región de 5-10 millones “.
Agregó: “El gobierno español parece decir que lo ‘revocarán’ sin una fecha en particular”.
La necesidad de tener un lector específico configurado adecuadamente, combinado con una falta de compatibilidad con el navegador y un soporte móvil deficiente significan que la tecnología de la tarjeta de identificación electrónica no ha alcanzado todo su potencial en España.
Incluso cuando se trata con el gobierno, los españoles solo usan DNIe para reservar citas en lugar de presentar documentos o firmar contratos digitalmente, como informa El País. La adopción de la tecnología en el país está muy por detrás de la de Estonia, por ejemplo.
