Riesgo de robo de identidad causa que Estonia bloquee certificados de 760,000 documentos de identidad

Captura de pantalla de un video promocional sobre documentos de identidad estonios del sitio web estatal e-Estonia.com.

El 4 de noviembre de 2017, las autoridades estonias inhabilitaron los certificados de más de 760,000 documentos nacionales electrónicos de identidad por una vulnerabilidad de seguridad que comprometió las cédulas emitidas entre el 16 de octubre de 2014 y el 26 de octubre de 2017, y tal vez incluso antes.

Más que la mayoría de países, Estonia depende de la tecnología digital para muchos servicios básicos, como prescripciones médicas, votos, transferencias bancarias y firmas digitales. Es más, el 98 % de los estonios tiene documentos de identidad que pueden usar como identificación válida para viajar dentro de Europa, acceder a seguro de salud y pagar impuestos. Los documentos de identidad digitales aparecieron en 2002 y se han vuelto fundamentales para los servicios electrónicos del país. Estonia tiene uno de los servicios de banda ancha más rápidos del mundo y ha logrado una fuerte alfabetización digital, amplia conectividad a internet y gobierno electrónico.

El software de certificado en los documentos de identidad bloqueados serán reemplazados con uno nuevo y más seguro, en un esfuerzo a nivel nacional-para enfrentar el riesgo de peligro en la privacidad. Estos certificados quedaron desactivados después de que investigadores de la República Checa identificaron un fallo de seguridad en los microchips de las tarjetas de podrían llevar a grandes fallos de datos personales de los ciudadanos. Los investigadores encontraron que los chips instalados en los documentos de identidad emitidos entre el 16 de octubre de 2014 y el 26 de octubre de 2017 (y posiblemente desde 2012) eran vulnerables a infiltración de claves privadas y públicas y a posible roboo de identidad.

Los chips fueron fabricados por Infineon, empresa de microelectrónica con sede en Estados Unidos y Alemania, que brinda servicios que incluyen identificación oficial, seguridad móvil y seguridad integrada y cómputo confiable.

El Gobierno estonio dice que todavía no ha ocurrido ninguna infiltración, y que las autoridades han inhabilitado los documentos de identidad afectados como medida de precaución para garantizar que la información de los ciudadanos no se vea afectada. Para garantizar que el gobierno electrónico siga funcionando, aproximadamente 35,000 personas que usaron sus documentos de identidad para su trabajo, como funcionarios estatales y doctores, fueron actualizados a una versión más segura primero.

El 2 de noviembre de 2017, el primer ministro Jüri Ratas dijo en una declaración:

E-riigi toimimine püsib usaldusel ning riik ei saa lubada Eesti ID-kaardi omaniku identiteedi vargust. Praeguse teadmise järgi ei ole e-identideedi vargust aset leidnud, kuid PPA ja RIA ohuhinnang näitab, et see oht on muutunud reaalseks.

El funcionamiento de un estado electrónico se basa en la confianza, y el Estado no puede permitirse que ocurra robo de identidad al titular de un documento de identidad estonio. Hasta donde sabemos, no ha habido casos de robos de identidad electrónica, pero la evaluación de la amenazas de la Policía y la Junta de Guardia de Frotneras y la Autoridad del Sistema de Información indica que esta amenaza se ha vuelto real.

La amenaza de seguridad revelada por investigadores checos no se limita a documentos de identidad estonios solamente. Se presume que todos los chips producidos por Infineon en ese periodo tienen el mismo defecto. Por lo tanto, los sistemas de cómputo en todo el mundo que usan chips de Infineon también están en riesgo de infiltración. La vulnerabilidad iluminó las graves dificultades de seguridad que pueden venir con las digitización de documentos y sistemas de identidad nacional.

Las discusiones en medios sociales en torno al tema incluyeron un comentario en Twitter de Toomas Hendrik Ilves, expresidente de la República de Estonia (2006-2016), que sugirió que la «verdadera historia» es sobre Gemalto, el fabricante de las tarjetas, que parece haberse enterado de la vulnerabilidad en febrero, pero no difundió la información con sus clientes. Desde 2001, las tarjetas electrónicas de identidad estonias han sido fabricadas por Trub AG y su sucesor Gemalto AG, empresas suizas que usan tecnologías de Infineon.

El expresidente Ilves sostuvo que la empresa holandesa «informó a sus usuarios comerciales, pero no a los clientes del sector público (que pagan)», e instó a los periodistas a ver el asunto más profundamente.

Le dejo eso a los periodistas que hasta ahora se han dedicado a los clientes, no a los que están en falta, como si fuéramos dueños de Pinto, no de Ford.
—————
El documento de identidad estonio no es el único que hace Gemalto. Sin embargo, ningún otro gobierno ha dicho nada. Probablemente porque las tarjetas se emitieron pero nunca se usaron.

La verdadera historia es cómo el fabricante de chips, Gemalto, supo de la vulnerabilidad en febrero pero no notificó a los clientes.
————-
O tal vez la historia es un gobierno que va de la mano con la tecnología que respondió rápido y mesuradamente a la vulnerabilidad de criptoseguridad. ¡Eso es noticia!

La decisión de Estonia de sustituir los certificados de las tarjetas también llamó la atención de los entusiastas de la sociedad de la información en la región de Europa Oriental y Central. En una discusión en Facebook, un serbio experto en tecnologías de la información que vive en Estonia explicó la perspectiva del usuario final a través de comentarios:

Obavestili su nas pre nekoliko meseci (dok je rizik bio samo teoretski), a pre par nedelja su pustili update sertifikata kroz zvaničnu app (ne mora da se menja ID). Trenutno ume da štuca autorizacija, ali imamo i rezervni način autorizovanja (preko mobilne app) tako da nismo blokirani.

Nos notificaron hace varios meses (cuando el riesgo era solamente teórico), y unas semanas después dieron actualizaciones de los certificados a través de una aplicación oficial (para no tener que cambiar el documento de identidad). Al momento del proceso de autorización, a veces hay dificultades, pero hay un método de autorización de respaldo a través de una aplicación de teléfono móvil, así que no estamos totalmente bloqueados.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.