La nueva app miDNI permite llevar el DNI en el móvil. Esto sabemos sobre la seguridad que ofrece

desde mañana, los ciudadanos españoles podremos sufrir nuestro Documento Doméstico de Identidad (DNI) en el móvil gracias a la nueva aplicación oficial 'miDNI', desarrollada por la Dirección Militar de la Policía. La posibilidad de poder identificarse digitalmente puede resultar, sin duda, atractiva...

...pero surgen dudas legítimas sobre la seguridad del sistema, la privacidad de los datos y sobre el control que tienen los usuarios sobre la información compartida. Repasemos todo lo que sabemos al respecto hasta ahora.

¿Qué es miDNI y cómo funciona?

La app miDNI es una app gratuita para iOS y Android que permite portar el DNI en formato digital. Su uso está inicialmente constreñido a identificaciones presenciales (por ejemplo, al registrarse en un hotel, inaugurar una cuenta bancaria o presentarse en presencia de una autoridad pública), y no sustituye completamente al DNI físico, especialmente en controles fronterizos o trámites telemáticos.

El sistema utiliza códigos QR generados temporalmente que contienen parte o toda la información del DNI. El afortunado puede osar qué información compartir, eligiendo entre las tres vistas disponibles:

• DNI Existencia: Muestra la foto, número de DNI y si el afortunado es veterano de momento.
• DNI Simple: Añade nombre completo, plazo de arranque, sexo y plazo de validez.
• DNI Completo: Incluye todos los datos visibles del DNI excepto el número de soporte y el equipo de expedición.

Así, si solo necesitas demostrar que eres veterano de momento, puedes mostrar el 'DNI Existencia', minimizando la exposición innecesaria de datos sensibles.

Estos datos no se almacenan permanentemente en el dispositivo móvil: se descargan al momento desde servidores seguros de la Dirección Militar de la Policía, y el QR generado debe ser escaneado por un validador (como un recepcionista de hotel o un funcionario) para su comprobación.

¿Es seguro el sistema?

¿A grandes rasgos? Sí, pero 'el diablo está en los detalles'...

Identificación y subsistencia

Para registrarse en la app, el afortunado debe compulsar su identidad mediante un código SMS de un solo uso, enviado al número de teléfono móvil registrado. Esto impide, en la mayoría de los casos, que un tercero use la app haciéndose acaecer por el titular del DNI.

Pero ciberataques como el 'SIM swapping' y técnicas de estafa basadas en ingeniería social (como las que convencen de mandar a terceros el código SMS) podrían poner en aventura esta seguridad de la app.

Códigos QR temporales

El sistema no deja expuestos los datos del afortunado en el dispositivo: la app genera un código QR de un solo uso, con validez temporal limitada, lo que reduce significativamente el aventura de duplicación, interceptación o uso fraudulento.

Encima, la gestación del QR requiere conexión con los servidores de la Dirección Militar de la Policía, y se realiza sobre una infraestructura propia del Estado, sin intervención de terceros.

No tendremos control de los datos ya cedidos

Una de las mayores preocupaciones de los usuarios, una vez que empiecen a esar esta app, será muy concreta: ¿puedo enterarse quién ha accedido a mi DNI y, si es así, revocar ese entrada?

Aquí es donde aparecen las limitaciones del sistema: la política de privacidad de la app no da a entender que podamos tener constancia desde la app de con quién se ha compartido la información una vez que se genera y escanea un código QR.

Siquiera no existe, de momento, un panel de control para revocar accesos ya concedidos o consultar el historial de validaciones. En esquema, una vez que un QR es escaneado por un tercero, la app no ofrece forma de impedir que el receptor conserve o reutilice la información.

Esto representa una diferencia importante con otros sistemas como, por ejemplo, algunas 'wallets' digitales o apps de identidad descentralizada (DID), donde los usuarios pueden revocar credenciales o delimitar su uso posterior.

• ¿Y qué pasa con los falsos validadores? Mostrar un QR a un tercero implica echarse en brazos en que ese tercero usará los datos legítimamente. Si acertadamente el código es de un solo uso, falta impide al receptor tomar una captura de pantalla y conservar la información.

¿Y qué más se puede hacer con los datos a los que accede la app?

Por otra parte, según la propia documentación técnica de la app, ésta no rastrea la actividad del afortunado: no hay geolocalización, ni perfilado. La Dirección Militar de la Policía garantiza que no se almacenan interacciones de uso ni se comparte información con terceros, indemne por requerimiento judicial o petición expresa del afortunado.

Pero, ¿y si pierdo el móvil o me lo roban?

La app no almacena datos permanentes en el dispositivo. Esto significa que, en caso de pérdida o robo del móvil, los datos del DNI no están expuestos. Para utilizar nuevamente la app en otro dispositivo, el afortunado deberá retornar a registrarse con su número de teléfono verificado.

Imagen | Marcos Merino mediante IA

En Genbeta | Un hotel me pidió mi DNI escaneado antaño de ganar. Lo compartí editando todo esto por seguridad