Read the rest of the post ' Cómo proteger tu clínica estética con un Seguro RC Profesional '
Vivimos en una época en la que lo digital avanza a velocidad de crucero. Y como era de esperar, el Documento Nacional de Identidad también quiere subirse a bordo. La nueva aplicación miDNI, lanzada oficialmente por el Ministerio del Interior y gestionada por la Policía Nacional, pretende ser un paso adelante hacia la identidad digital en nuestros dispositivos móviles. Pero antes de que corras a dejar el carné físico en casa y a fiarte únicamente del móvil, tal vez convenga detenerse un momento y preguntarse: ¿está todo tan claro como parece?
No es por ser aguafiestas, aunque, como profesionales de la ciberseguridad, a veces nos toca ese papel, pero conviene repasar con cierto escepticismo los detalles de esta nueva herramienta. Porque, como tantas veces en España, hemos ido tan rápido en el lanzamiento que los riesgos ya están apareciendo incluso antes de que la mayoría de la gente se haya enterado de su existencia.
Apps falsas antes que la oficial
Uno de los primeros problemas lo encontramos en algo tan básico como buscar la aplicación. Si a día de hoy escribes “miDNI” o “DNI digital” en Google Play o en la App Store, la aplicación oficial no es el primer resultado. De hecho, ya han aparecido aplicaciones fraudulentas que imitan la apariencia de la oficial. La oficial, al menos a fecha de escribir este artículo, sale en 6º lugar. Esto, en un país donde millones de personas no tienen conocimientos técnicos para diferenciar una app legítima de una falsa, es un problema de seguridad de primer orden.
El mero hecho de que una aplicación gubernamental de tal importancia no esté correctamente posicionada ni claramente identificada en las plataformas de descarga ya es un aviso preocupante. Si queremos confiar en este aplicativo para identificarnos, acreditar nuestra mayoría de edad o firmar documentos electrónicos, ¿no deberíamos empezar por asegurar que los usuarios puedan encontrarla sin caer en trampas?
La letra pequeña de la privacidad
Como imagino que los lectores no son de bucear en las condiciones de privacidad, este escritor se ha tomado esa molestia para evitarles el esfuerzo. En la política de privacidad de la app, publicada en la web del DNI electrónico, me he encontrado con párrafos que invitan, como mínimo, a la reflexión.
Por ejemplo, se menciona que “los datos se obtienen mediante consultas a los servidores de la Dirección General de la Policía, a partir de los datos que el usuario haya aportado en el registro del sistema de la app”. Hasta aquí, podríamos pensar que todo está bien. Sin embargo, la Policía, gracias a ese mapa de consultas que se realizan de nuestra identidad, ¿qué puede llegar a hacer con esos datos? Si pensara mal de nuestro Gobierno, podría llegar a la conclusión de que los pueden utilizar para armar incluso un caso contra nosotros. Supongamos que tienen 2 consultas de un mismo usuario: una de verificación de mayoría de edad para comprar alcohol y otra, horas más tarde, en un control de carreteras para identificar a un conductor. ¿Alguien más piensa que no usarían esos datos para proponer directamente una sanción a esa persona? Pero, incluso si pensamos en términos menos orwellianos, sigue habiendo multitud de actividades que, al menos este escritor, no ve necesidad de que nuestros gobernantes conozcan: los hoteles donde nos identificamos, los préstamos bancarios que estamos pidiendo, las páginas web con verificación de mayoría de edad, etc.
Siguiendo con la mencionada política de privacidad, también expresa que “en el caso de uso de la aplicación como verificador de atributos, ésta será una operación ajena a la DGP, ya que se ha deshabilitado cualquier medio técnico para su seguimiento, control o comunicación de datos a sus servidores”.
Es decir, cuando se use la app para verificar atributos (por ejemplo, demostrar que somos mayores de edad para acceder a ciertos servicios), eso escapa completamente del control y responsabilidad de la Dirección General de la Policía. El uso queda en manos de terceros, y sin trazabilidad. Si estos terceros, como parte de esa operación, consiguen guardarse una copia de nuestra identidad para suplantarnos, la Policía se lava las manos.
Además, aunque la app asegura que las cookies que utiliza son estrictamente necesarias, no se detalla demasiado sobre cómo se gestionan exactamente ni qué información pueden inferir sobre el comportamiento del usuario. En un entorno en el que los datos personales son tan valiosos, cada frase ambigua debería analizarse con lupa.
"Si algo falla, no es culpa mía"
Quizá el aspecto más inquietante se encuentra en las condiciones de uso de la aplicación. Concretamente, en el punto 4, titulado “Exención de responsabilidad”. Un resumen rápido para quien no quiera leerse todo el párrafo legal: si algo va mal con la app miDNI, la Policía no se hace responsable.
La lista de situaciones en las que la Policía Nacional se lava las manos es amplia: si la app tiene fallos técnicos, si hay interrupciones en el servicio, si hay virus en tu dispositivo, si alguien hace un uso fraudulento de la app o si, directamente, la app no funciona como debería… el usuario asume toda la responsabilidad.
Esto genera una contradicción peligrosa. La ley obliga a los ciudadanos a identificarse mediante el DNI cuando así lo requiera una autoridad. Pero si optamos por llevar el miDNI en lugar del físico y la app falla en el momento crítico —por ejemplo, al embarcar en un avión, acceder a una Administración Pública o verificar la identidad en una votación online—, somos nosotros los que pagamos las consecuencias. El proveedor del servicio, en cambio, no se responsabiliza.
¿Vamos hacia una identidad digital sin garantías?
La digitalización de la identidad parece una tendencia inevitable, y sin duda tiene ventajas claras como la comodidad, la integración con otros servicios, la agilidad en trámites y, bien implementada, incluso puede reforzar la seguridad. Pero no puede hacerse deprisa y corriendo. Y, desde luego, no puede hacerse con una herramienta que llega al mercado sin garantizar su fiabilidad, sin tener visibilidad clara para los ciudadanos y sin que su propio proveedor (la Policía Nacional) asuma ninguna responsabilidad ante los fallos.
Un sistema de identidad digital debería ofrecer, al menos, el mismo nivel de seguridad jurídica y técnica que el DNI físico. Y, de momento, miDNI no lo cumple.
Conclusión: prudencia antes de dejar la cartera
No se trata de demonizar la iniciativa. La digitalización del DNI es, en muchos sentidos, un paso lógico hacia el futuro. Pero darlo sin asegurar el terreno puede acabar provocando más problemas que soluciones.
Antes de dejar el documento físico en casa y confiar ciegamente en una aplicación que todavía no ha demostrado su fiabilidad, conviene tener en cuenta los riesgos. Especialmente, si esa misma app no puede garantizar su funcionamiento, no se responsabiliza si algo sale mal y, encima, es más difícil de encontrar que sus imitaciones maliciosas.
Como ciudadanos digitales tenemos todo el derecho a exigir soluciones seguras, fiables y transparentes. Y este escrito, como profesional de la ciberseguridad, no puede dejar de hacer esta advertencia: antes de confiarle tu identidad al móvil, asegúrate de que está a la altura de esa responsabilidad.