Muchos trámites administrativos ya son posibles con el DNI electrónico. Ahora un hacker ha descubierto brechas de seguridad. Las consecuencias para millones de titulares de documentos de identidad son críticas. La Oficina Federal de Seguridad de la Información mantiene la calma.
Un pirata informático ha encontrado un agujero de seguridad en el documento de identidad alemán, informa «Spiegel». Logró utilizar su propia aplicación para espiar los datos de inicio de sesión para la llamada función eID del documento de identidad. Originalmente, se suponía que los usuarios de esta función sólo necesitaban la “aplicación de tarjeta de identificación”.
Las consecuencias son fatales porque el incidente pone de relieve no sólo una simple vulnerabilidad técnica, sino también el riesgo potencial para millones de ciudadanos cuyos datos personales e identidades podrían ser utilizados indebidamente. El hacker pudo abrir una cuenta bancaria directamente con los datos robados.
La identificación electrónica se activa en alrededor de 50 millones de documentos de identidad. Sin embargo, se aplica lo siguiente: La función está activada por defecto desde mediados de julio de 2017, cuando se emite el documento de identidad. Sin embargo, es posible que las autoridades también lo hayan activado en muchos documentos de identidad más jóvenes.
Según E-Government Monitor 2023, una encuesta anual de la iniciativa D21 sobre digitalización, el 30 por ciento de los documentos de identidad en Alemania han configurado un PIN que funcione para su documento de identidad electrónico, pero sólo el 14 por ciento lo ha utilizado realmente para servicios digitales. Esto significa que alrededor de 2,1 millones de personas ya han utilizado la función eID en su documento de identidad.
Si solo tienes un eID activo, no tienes de qué preocuparte. Para poder recurrir a las autoridades, los afectados también necesitan un PIN de seis dígitos que ellos mismos seleccionen. Sin esto no se puede utilizar ningún servicio. Además de la aplicación de identificación, que el hacker ahora pasa por alto, los usuarios también necesitan un teléfono inteligente con NFC o un lector de tarjetas USB.
Básicamente, el riesgo aumenta si accede a Internet a través de una WiFi pública o no tiene ningún programa de seguridad instalado en su computadora portátil o PC. Si has tomado suficientes precauciones de seguridad o sólo has activado el eID, el riesgo de sufrir un ataque de piratas informáticos es menor.
Según los expertos, existe riesgo para los afectados. «En realidad, se trata de un escenario de ataque realista», confirma un portavoz del Chaos Computer Club (CCC). “Se debe evitar que una aplicación de identificación distinta a la aprobada oficialmente pueda registrarse y conectarse al teléfono celular para la autenticación de identificación electrónica”. Entonces las autoridades deberían reaccionar.
La Oficina Federal de Seguridad de la Información mantiene la calma a pesar de la brecha de seguridad. La autoridad no ve el problema en el proceso, sino en los dispositivos de los usuarios. Por lo tanto, no vemos un «cambio en la evaluación de riesgos al utilizar la identificación electrónica». Sin embargo, “explorarán un ajuste”. Según informa el diario “Spiegel”, el hacker ya había informado en diciembre a la Oficina Federal sobre la brecha de seguridad.
Ante la vulnerabilidad descubierta, surge la pregunta de cómo pueden protegerse eficazmente los usuarios del DNI electrónico.
FOCUS online aconseja: Los usuarios ahora deben estar especialmente atentos y prestar atención a las notificaciones y actualizaciones oficiales sobre la seguridad de la aplicación de tarjeta de identificación y la función de identificación electrónica. Además, los usuarios deben comprobar sus dispositivos en busca de malware, virus y troyanos. Los programas antivirus disponibles comercialmente pueden ayudar.
Si de repente llegan a su buzón facturas y recordatorios de tiendas online, bancos o agencias de cobro de deudas, aunque no haya pedido nada ni haya firmado ningún contrato, lo más probable es que se haya convertido en víctima de un estafador online. Entonces se requiere una acción rápida.
En caso de suplantación de identidad, la celebración del contrato deberá impugnarse por escrito y presentarse objeciones mediante recordatorio en un plazo de 14 días.
En total, el gobierno federal enumera actualmente casi 250 solicitudes para la función de identificación en línea: entre ellas se incluyen, por ejemplo, información sobre pensiones, la solicitud de un certificado de buena conducta, la matriculación de vehículos, el portal de impuestos de Elster, puntos de control en Flensburg, apertura de cuentas en bancos o activando tarjetas SIM prepago.
Además, los ciudadanos alemanes también pueden acceder al buzón del gobierno (DNI) con el documento de identidad electrónico. A partir de finales de 2024, la función también será importante para el expediente electrónico obligatorio del paciente.
