la policia estatal ha anunciado en una publicación en X (Twitter) que se ha implementado una nueva infraestructura de clave pública (PKI) del DNI con nuevos algoritmos de cifrado. Esto cambia el nuevo sistema de un RSA 2048 al llamado sistema Elliptic Curve 384.
Por un lado, el cambio es interesante. El sistema RSA es ya un clásico para el cifrado de datos, pero tiene algunas desventajas: utiliza claves públicas de gran tamaño, las operaciones son más lentas (especialmente a la hora de firmar) y consume más CPU y ancho de banda.
Con curva elíptica de 384 bits (ECCnormalmente P-384) le permite brindar mucha seguridad en claves pequeñas. Las firmas, por ejemplo, son mucho más rápidas, consumen mucha menos CPU y batería y también ofrecen un nivel de seguridad muy alto. Es un sistema con muchas más perspectivas de futuroy parece una alternativa adecuada al “DNI 4.0” del que habla la Policía Nacional.
¿Cómo protege esta criptografía nuestro DNI? Estas claves privadas del chip DNIe nunca salen de él y con ellas se realizan diversos tipos de operaciones:
- Autenticación: Demuestre que es usted y que puede utilizarlo para establecer una conexión con la oficina de impuestos, por ejemplo
- firma electrónica: Cuando presentamos trámites oficiales o contratos electrónicos, el DNI “firma” como si fuera nuestra firma física
- Intercambio de claves: Por ejemplo, refuerza la seguridad TLS de protocolos seguros al navegar cuando necesitamos esa capa extra
Este nuevo sistema criptográfico evita la suplantación de identidad incluso cuando se roban contraseñas en determinados casos (por ejemplo, al intentar utilizarla para trámites oficiales), ya que el atacante necesita no sólo «una foto» del DNI, sino también el DNI físico y el PIN y descifrar el cifrado ECC 384, algo que hoy en día es prácticamente imposible.
Entonces la medida es positiva, pero ese no es el problema.
El problema es cómo se utiliza el DNI en España.
El eslabón más débil
Estas medidas pretenden proteger los datos de nuestro DNI, pero el problema está en el funcionamiento de este documento se ha vuelto naturalmente vulnerable por la forma en que se comporta en el mundo real.
De hecho, el DNI se ha convertido en un documento que podemos transferir con extraordinaria facilidad. Durante años, los hoteles nos han pedido y copiado nuestro documento de identidad al hacer el check-in. No puedes ni debes hacer esto. La AEPD publicó un comunicado en junio de 2025 discutiendo este tema y concluyendo que “no se debe solicitar copia del documento de identificación”.
Este documento también es una regla. ser fotocopiado o escaneado en trámites ante notarioPor ejemplo. En este caso, se suele argumentar que la documentación fiable es necesaria porque el Ley de blanqueo de dinero. En realidad la AEPD aprobado por el Consejo General del Notariado (CGN) para este tipo de solicitudes el pasado verano de 2025.
Sin embargo y como explicado en X Para el experto en ciberseguridad Román Ramírez, la cuestión es otra: «No quieres comprometerte certificando que el documento que presentas es real. Es una especie de ‘lavarse las manos'», explica, porque si pasa algo, tu palabra ya no está contra la de ellos.
De hecho, hemos recomendado durante mucho tiempo que si un proceso en línea requiere que envíe una fotografía de su documento de identidad, le coloque una marca de agua. Herramientas como SafeLayer facilitan esta tarea, pero en algunos casos las empresas o empresas que solicitan este documento rechazan el envío con marca de agua o no lo aceptan en absoluto.
Lo curioso es que la legislación impide teóricamente este tipo de registro masivo de DNI en supuestos como procedimientos administrativos. Él Real Decreto 522/2006, de 28 de abrilelimina la obligación de aportar fotocopias del DNI en los procedimientos administrativos de la Administración General del Estado y sus organismos dependientes.
Esta norma obliga a las administraciones a verificar internamente los datos de identidad y prohíbe la solicitud de copias físicas salvo que el ciudadano o determinada normativa se oponga expresamente. Esta norma no se aplica directamente a los ejemplos de hoteles o notarios, pero la AEPD también lo ha dejado claro allí. La exposición es suficiente. del documento.
No importa lo que te digan, no envíes tu DNI tal cual
Nunca debemos enviar únicamente fotos del documento de identidad. Ni por correo electrónico, ni por WhatsApp, ni mediante formularios dudosos, aunque el mensaje parezca proceder de una empresa real.
Si una empresa te pide el DNI tras una teórica vulneración o robo de datos, lo mejor que podemos hacer es comprobarlo nosotros mismos, consultar su página web o llamar a un número de atención al cliente de confianza para saber qué está pasando realmente y si es necesario este trámite.
El DNI Para los estafadores es “oro”.porque permite:
- Abrir cuentas fraudulentas
- Solicitar préstamos o microcréditos
- Validar identidades en servicios en línea
- Refuerce las estafas con mensajes como «Tenemos su identificación, somos de esta empresa o banco».
De hecho, este documento es un tesoro cuando se le añaden otros datos como el contacto o el número de teléfono, porque gracias a esta información es posible realizar ataques de suplantación de identidad mucho más efectivos que pueden derivar en estafas y estafas realmente peligrosas.
El DNI tiene otro problema particular: se utiliza en España como una especie de “identificador universal”. Si se filtra, alguien lo roba o una foto cae en las manos equivocadas, Ya no puedes cambiarla de la misma manera que alguien cambia una contraseña.. Sólo puedes renovarlo, pero aun así el “antiguo” sigue siendo extremadamente útil para estos ataques de phishing.
Por eso es importante limitar al máximo dónde subimos el DNI, quién lo tiene y en qué formato: nunca debemos subir la foto completa a menos que sea absolutamente necesario.
En | Cómo compartir tu identificación de forma segura en línea para evitar peligros
