Estonia cancela 760,000 tarjetas electrónicas de identificación debido a fallo de seguridad

Las autoridades de Estonia decidieron bloquear e inhabilitar más de 760.000 tarjetas de identificación electrónicas nacionales debido a una vulnerabilidad criptográfica que podría permitir a los atacantes clonar identificaciones y falsificar identidades.

La vulnerabilidad se conoce como ROCA y salió a la luz el 16 de octubre de 2017. El error de cifrado afecta a los conjuntos de chips TPM fabricados por Infineon. Una vulnerabilidad en el firmware de los conjuntos de chips Infineon TPM resulta en la generación de claves criptográficas RSA débiles que podrían permitir a un atacante determinar la clave RSA privada correspondiente a una clave pública RSA.

Productos tales como computadoras portátiles, enrutadores, dispositivos incrustados e IoT usan conjuntos de chips Infineon, pero también el equipo que se usó para emitir identificaciones nacionales electrónicas de Estonia – ID regulares, pero con un chip electrónico interno que permite a los usuarios firmar criptográficamente varias operaciones.

Autoridades estonias notificadas durante el verano

Cuando los investigadores de la República Checa encontraron la falla, se pusieron en contacto con Infineon y las empresas que utilizaron sus conjuntos de chips para generar y almacenar datos criptográficos.

Tarjeta de identificación electrónica nacional de Estonia Uno de ellos fue Gemalto AG, una compañía suiza que compró Trub AG, la compañía original que proporcionó los sistemas para emitir y administrar el sistema de identificación electrónico nacional de primer nivel de Estonia.

Una nueva investigación reveló que todas las tarjetas de identificación de Estonia emitidas después del 16 de octubre de 2014 y hasta el 26 de octubre de 2017, usaban claves criptográficas débiles para proteger los datos del propietario de la ID.

Desde mediados de septiembre, las autoridades estonias han estado luchando por informar al público sobre el defecto y preparar a algunos propietarios de identificación para el momento en que tendrán que actualizar sus tarjetas de identificación. Ese momento es el lunes.

Anoche, las autoridades de Estonia bloquearon más de 760,000 tarjetas de identificación

El viernes 3 de noviembre a medianoche, la Policía de Estonia ha bloqueado e inhabilitado todas las tarjetas de identificación vulnerables.

Las autoridades eliminaron los certificados de más de 760,000 de su sistema, lo que significa que los usuarios estonios no podrán usar la tarjeta de identificación para declarar impuestos, administrar información médica u otras operaciones que necesiten la clave criptográfica de la tarjeta de identificación para autenticar al usuario.

Los estonios podrán usar la antigua identificación “electrónica” como un documento de identificación clásico para demostrar su identidad.

Las autoridades reemplazan las tarjetas vulnerables (~ 58% de todas las tarjetas)

Desde el lunes hasta las próximas semanas, los estonios deberán visitar las autoridades y reemplazar el certificado criptográfico de su tarjeta por uno nuevo.

Más de 35,000 personas, como médicos, funcionarios del gobierno que trabajan en el campo de la justicia, así como empleados de la oficina del estado civil, tendrán prioridad para actualizar sus tarjetas de identificación, ya que serán necesarias para sus trabajos.

“Hasta donde sabemos, no ha habido casos de robo de identidad electrónica”, dijo el primer ministro de Estonia, Jüri Ratas. “Al bloquear los certificados de las tarjetas de identificación en riesgo, el estado garantiza la seguridad de la tarjeta de identificación”.

Ayer, el portal de tarjetas de identificación del gobierno de Estonia enumeró casi 1,3 millones de tarjetas de identificación electrónicas activas. Se cree que alrededor del 58% de todas las tarjetas son vulnerables.

En España también ha sido afectada: se suspende el certificado digital de los DNI expedidos desde abril de 2015

Desactivada temporalmente la función de certificado digital de los DNI expedidos desde abril de 2015

La Dirección General de Policía ha comunicado que la funcionalidad de los certificados digitales que tienen los nuevos documentos nacionales de identidad (DNI) electrónicos queda desactivada de forma temporal y “preventiva” mientras se trabaja en mejorar su seguridad.

LEER  LibreOffice 3.5.5, más estabilidad

La medida se ha tomado después de que una investigación publicada recientemente por una universidad de la República Checa haya señalado que el ‘chip’ de los nuevos DNI españoles podría ser “vulnerable” ante un “ataque informático muy organizado”, ha señalado un portavoz de la Policía.

Ante esta posibilidad, y a pesar de que no se ha registrado ningún caso de “vulnerabilidad”, la función de firma electrónica de los nuevos DNI queda desactivada en todos los documentos nacionales de identidad expedidos a partir de abril de 2015, y que tienen un número de soporte posterior a ASG160.000.

La desactivación de esta funcionalidad se mantendrá mientras se mejora la seguridad del nuevo DNI, que fuentes policiales estiman que no superará un mes.

El documento nacional de identidad electrónico sigue siendo válido como documento de identificación para cualquier tipo de trámite administrativo y como documento de viaje para moverse en todo los países de la Unión Europea.

Fuentes: https://www.bleepingcomputer.com/ | http://www.eldiario.es/

 

0 comments on “Estonia cancela 760,000 tarjetas electrónicas de identificación debido a fallo de seguridadAdd yours →

Deja un comentario