Robo de identidad. Caso: DNI-e

DNI electronico + huella dactilar digital = robo de identidad

Pulsa y para navegar por la presentación.

Ricard Coll, Noviembre 2011

cyber.activista@vespre.com

Cómo empieza la história

  • Tras 2 años con el DNI-e sin renobar ¬_¬ voy a comisaria
  • La amable ( . )( . ) funcionaria que me atiende responde a mi interés
    • Toma mis fotos
    • Las 2 huellas dactilares
    • Mi firma manuscrita
  • Y me entrega el DNI nuevo junto con la contraseña

Sobre de seguridad con el password original

Sobre de seguridad con la contraseña del DNI-e juno con panfleto informativo

8 caracteres con mayúsculas, minúsculas, números y símbolos varios (no tengo símbolos mala suerte, me comenta)

Una maravilla vamos

Oh! sorpresa

[...]

[la amable funcionaria]: no hace falta que recuerdes ese complicado password, con tu huella puedes cambiarlo!

[ricard]: ... dónde exactamente ?

[la amable funcionaria]: en las máquinas, tipo cajero automático, que hay en la entrada

[ricard]: muchas gracias!

[...]

La máquina:

¿Pero para que &%~!? sirve el DNI-e?

  • Recurrir multas de tráfico
  • Presentar la declaración de la renta
  • Frimar el paro
  • Pedir certificados
  • Acceder y realizar transacciones económicas con entidades financieras (Bankia, MAPFRE, Caixa Penedés y un largo etcétera)
  • Firmar contratos privados (tractis)
  • ¿Votar? (aún no y es tema para otro debate)
  • ...

Haciendo memória

Yo juraria que los de Mythbusters ya probaron que las huellas dactilares no eran muy seguras: http://youtu.be/MAfAVGES-Yc

Es más, que los lectores biometricos basados en huellas dactilares són y han sido vulneables está bastamente documentado, cómo muestra este video del Chaos Computer Club (2004): http://youtu.be/3M8D4wWYgsc

Soy algo manitas

material usado para realizar las copias (silicona, fimons, cera, plastelina) material usado para realizar los moldes

molde en vinilpilosiloxano molde en vinilpolisiloxano

silicona obtenida de un molde de fimons silicona obtenida de un molde de fimons

Alginato; el material usado por dentistas para moldes positivo en alginato

Pero no los suficiente!

Lamentablemente tras varias visitas a la comisaria, no conseguí "auto-falsificarme" la huella dactilar. Así que aunque continuo completamente convencido que este sistema tiene un fallo de diseño muy importante, tampoco es totalmente trivial.

Este sistema está basado en la seguridad por ocultación es sólo questión de tiempo (del que ahora no dispongo) para demostrar que es vulnerable.

Aún y así debo felicitar a la empresa que diseñó los lectores, son bastante buenos. Como mínimo mejor que el del videoclub de la esquina

Conclusiones

  • El sistema tiene un fallo importante
  • Debe redefinirse el protocolo de cambio de contraseña
  • Todo ciudadano deberia cambiar su contraseña o invalidarse todos los certificados hasta que pasen por comisaria
  • Asegurarse, a partir de ahora, que no se cometan errores de este calibre
  • Recordar: todo sistema de seguridad es tan seguro como su punto más débil

Gracias por su tiempo!

Ricard Coll

 

Gracias a:
Ramón (alginato), Helena (video), Ana (dentista), Marga (video), Ferran (dentista)
por su asesoramiento, tiempo y materiales.