Un ‘hackeo’ inhabilita las tarjetas electrónicas de 20.000 ciudadanos y 10.000 empresas vascas

Un ‘hackeo’ inhabilita las tarjetas electrónicas de 20.000 ciudadanos y 10.000 empresas vascas

El Gobierno, que sustituirá todos los documentos en una semana, retira los certificados emitidos con los antiguos para evitar que se extraigan datos privados de los afectados

MIGUEL PÉREZ

Un algoritmo creado por unos universitarios en Eslovaquia ha obligado a inhabilitar las tarjetas electrónicas de 34.081 usuarios en Euskadi. En un hecho absolutamente inédito, el Gobierno Vasco ha tenido que revocar casi en cuestión de horas los soportes de 10.000 empresas y algo más de 20.000 ciudadanos particulares, a la vez que retirar miles de certificados digitales, al descubrirse a nivel mundial una «vulnerabilidad» en los chips de determinadas tarjetas que, en el peor de los escenarios, deja la puerta abierta a ataques para «suplantar identidades», introducir programas malignos o «descifrar mensajes». Los afectados recibirán nueva documentación segura en sus domicilios en el plazo máximo de una semana, según el Ejecutivo. Países como Alemania o Austria también padecen ya los efectos del denominado programa ‘Roca’. En Estonia, líder mundial en uso del DNI electrónico, 750.000 soportes han sido inutilizados.

‘Roca’, en realidad, es un ladrón silencioso de datos. Fue diseñado para extraer clandestinamente información de un determinado modelo de chip, distribuido internacionalmente y que se encuentra inserto en el 15% de las tarjetas digitales expedidas en Euskadi (el resto utilizan otro microcircuito diferente sobre el que este malware no tiene efecto alguno). Fabricado en Alemania, el Ejecutivo vasco adquirió el chip después de que fuera certificado como seguro por una empresa autorizada. Algo así como si una granja te vendiera huevos frescos, sin que nadie descubriera ese poro que puede contaminarlos de salmonela.

¿De qué manera funciona ‘Roca’? En apariencia, de un modo tan líneal como pueda ser robarle los caramelos a un niño. Las tarjetas electrónicas disponen de dos claves (PIN): una pública, que el usuario escribe en sus certificados digitales, «viaja con el documento y garantiza su validez», y otra privada, que «está impresa en el chip de la tarjeta y solo conoce el propietario», explica Toni Saez, responsable del área técnica de Izenpe, la sociedad vasca de certificación digital. El algoritmo procedente de Eslovenia, sin embargo, es capaz de averiguar este código secreto a partir de la clave pública, lo que haría posible suplantar la identidad del propietario en cualquier trámite electrónico. Únicamente necesita rastrear varios documentos que lleven la misma clave y unos meses de procesamiento.

Precisamente, es este factor, el tiempo, el que ha precipitado la acción del Gobierno Vasco. Ante la eventualidad de que ‘Roca’ despertara, la sociedad Inzepe decidió a mediados de la semana pasada revocar todas las tarjetas que portaban el chip sospechoso, aparte de retirar los certificados expedidos por las mismas: miles de expedientes, facturas o solicitudes fechadas desde febrero de 2016 hasta la actualidad. Al «anularse todos» los documentos donde figuraban las claves públicas de esas 34.081 tarjetas bajo sospecha, «también se han conseguido eliminar todos los riesgos. Podemos decir que no hay ningún certificado afectado. Aquellos que siguen vigentes a día de hoy es porque han sido expedidos con el otro modelo de tarjeta y, por tanto, no presentan problemas», aclara Toni Saez.

Del IVA a la petición de ayudas

El problema, realmente, surgió ayer para miles de usuarios que trataron de trabajar con la administración electrónica y vieron sus permisos revocados. Entre ellos, profesionales de Justicia, comerciantes -muchos utilizan este sistema para el IVA-, empresarios y particulares, que recurren a la gestión digital en el trato con Hacienda, la tramitación de certificados o la solicitud de ayudas, por citar tres de los usos más demandados.

La magnitud de la sorpresa, y también el enfado, de los usuarios quedó reflejada en dos cifras: el Izenpe recibió durante la jornada 3.000 solicitudes de alta de una nueva tarjeta y 4.000 llamadas particulares.

«Nunca nos habíamos enfrentado a algo así»

«Nunca nos habíamos enfrentado a un problema así. Jamás», asegura Toni Sáez, expectante ante el resultado del proceso abierto para encauzar la crisis originada por el programa ‘Roca’ en Euskadi, pero satisfecho al mismo tiempo porque se haya cerrado cualquier resquicio a un problema de seguridad. «Somos prestadores de servicio y entendemos que estamos siendo transparentes y que debíamos actuar como lo hemos hecho para proteger al cliente y garantizar que ese servicio es de confianza», señala. La propagación del algoritmo comenzó presumiblemente por Alemania, aunque ya ha sido detectado en varios países. Se da la circunstancia de que la Dirección General de Policía anunció hace días su intención de reforzar la seguridad del DNI electrónico, aunque portavoces del Cuerpo no pudieron indicar ayer a este periódico si este proceso se encuentra vinculado al programa ilegal.

Fotos

Vídeos