desde mañana, los ciudadanos españoles podremos llevar nuestro Documento Nacional de Identidad (DNI) en el móvil gracias a la nueva aplicación oficial 'miDNI', desarrollada por la Dirección General de la Policía. La posibilidad de poder identificarse digitalmente puede resultar, sin duda, atractiva...

...pero surgen dudas legítimas sobre la seguridad del sistema, la privacidad de los datos y sobre el control que tienen los usuarios sobre la información compartida. Repasemos todo lo que sabemos al respecto hasta ahora.

Un vistazo a… Cómo solicitar el CERTIFICADO DIGITAL de PERSONA FÍSICA de la FNMT

¿Qué es miDNI y cómo funciona?

La app miDNI es una app gratuita para iOS y Android que permite portar el DNI en formato digital. Su uso está inicialmente limitado a identificaciones presenciales (por ejemplo, al registrarse en un hotel, abrir una cuenta bancaria o presentarse ante una autoridad pública), y no sustituye completamente al DNI físico, especialmente en controles fronterizos o trámites telemáticos.

El sistema utiliza códigos QR generados temporalmente que contienen parte o toda la información del DNI. El usuario puede decidir qué información compartir, eligiendo entre las tres vistas disponibles:

DNI Edad: Muestra la foto, número de DNI y si el usuario es mayor de edad.

Muestra la foto, número de DNI y si el usuario es mayor de edad. DNI Simple: Añade nombre completo, fecha de nacimiento, sexo y fecha de validez.

Añade nombre completo, fecha de nacimiento, sexo y fecha de validez. DNI Completo: Incluye todos los datos visibles del DNI excepto el número de soporte y el equipo de expedición.

Así, si solo necesitas demostrar que eres mayor de edad, puedes mostrar el 'DNI Edad', minimizando la exposición innecesaria de datos sensibles.

Estos datos no se almacenan permanentemente en el dispositivo móvil: se descargan al momento desde servidores seguros de la Dirección General de la Policía, y el QR generado debe ser escaneado por un validador (como un recepcionista de hotel o un funcionario) para su verificación.

¿Es seguro el sistema?

¿A grandes rasgos? Sí, pero 'el diablo está en los detalles'...

Identificación y validación

Para registrarse en la app, el usuario debe verificar su identidad mediante un código SMS de un solo uso, enviado al número de teléfono móvil registrado. Esto impide, en la mayoría de los casos, que un tercero use la app haciéndose pasar por el titular del DNI.

Pero ciberataques como el 'SIM swapping' y técnicas de estafa basadas en ingeniería social (como las que convencen de enviar a terceros el código SMS) podrían poner en riesgo esta seguridad de la app.

Códigos QR temporales

El sistema no deja expuestos los datos del usuario en el dispositivo: la app genera un código QR de un solo uso, con validez temporal limitada, lo que reduce significativamente el riesgo de duplicación, interceptación o uso fraudulento.

Además, la generación del QR requiere conexión con los servidores de la Dirección General de la Policía, y se realiza sobre una infraestructura propia del Estado, sin intervención de terceros.

No tendremos control de los datos ya cedidos

Una de las mayores preocupaciones de los usuarios, una vez que empiecen a esar esta app, será muy concreta: ¿puedo saber quién ha accedido a mi DNI y, si es así, revocar ese acceso?

Aquí es donde aparecen las limitaciones del sistema: la política de privacidad de la app no da a entender que podamos tener constancia desde la app de con quién se ha compartido la información una vez que se genera y escanea un código QR.

Tampoco no existe, de momento, un panel de control para revocar accesos ya concedidos o consultar el historial de validaciones. En resumen, una vez que un QR es escaneado por un tercero, la app no ofrece forma de impedir que el receptor conserve o reutilice la información.

Esto representa una diferencia importante con otros sistemas como, por ejemplo, algunas 'wallets' digitales o apps de identidad descentralizada (DID), donde los usuarios pueden revocar credenciales o limitar su uso posterior.

¿Y qué pasa con los falsos validadores? Mostrar un QR a un tercero implica confiar en que ese tercero usará los datos legítimamente. Si bien el código es de un solo uso, nada impide al receptor tomar una captura de pantalla y conservar la información.

¿Y qué más se puede hacer con los datos a los que accede la app?

Por otra parte, según la propia documentación técnica de la app, ésta no rastrea la actividad del usuario: no hay geolocalización, ni perfilado. La Dirección General de la Policía garantiza que no se almacenan interacciones de uso ni se comparte información con terceros, salvo por requerimiento legal o petición expresa del usuario.

Pero, ¿y si pierdo el móvil o me lo roban?

La app no almacena datos permanentes en el dispositivo. Esto significa que, en caso de pérdida o robo del móvil, los datos del DNI no están expuestos. Para utilizar nuevamente la app en otro dispositivo, el usuario deberá volver a registrarse con su número de teléfono verificado.

Imagen | Marcos Merino mediante IA

En Genbeta | Un hotel me pidió mi DNI escaneado antes de llegar. Lo compartí editando todo esto por seguridad