Ya se puede descargar la app del DNI digital: limita los datos mostrados al identificarse y no se almacena en el móvil

Llevar la documentación física encima cuando cada vez más personas gestionan todo a través del móvil. Desde hace unos años la app oficial de la DGT ofrecía una solución parcial, al menos para los conductores, al permitirles mostrar su permiso de conducir e identificarse de forma oficial sin necesidad de llevar el carnet. Ahora, el Gobierno ha extendido esta posibilidad para el resto de la ciudadanía con el nuevo DNI digital, aprobado este martes en Consejo de Ministros y que ya se puede usar descargando la app MiDNI desde las tiendas oficiales.

Mostrar el DNI a través de la app permite “acreditar la identidad de manera equivalente al DNI físico”, explica la Policía Nacional. En esta primera fase se podrá utilizar dentro del territorio nacional para mostrarlo en un “control de acceso a cualquier espacio público o privado que así lo requieran”, para abrir cuentas bancarias, registrarse en hoteles, alquilar vehículos, realizar transacciones comerciales presenciales o recoger paquetes.

También para “firmar escrituras ante notario, acreditar la identidad en trámites presenciales ante la Administración y llevar a cabo trámites administrativos presenciales tanto con administraciones públicas como con entidades privadas”, resume la Policía. Aunque la app MiDNI ya es descargable y su identificación tiene la misma validez jurídica que el DNI físico, esta primera etapa de la herramienta tendrá algunos límites. Por ejemplo, no será válida fuera de España ni “como documento de viaje electrónico para paso de fronteras”.

A su vez, durante el primer año de su entrada en vigor las entidades públicas y privadas no estarán obligadas a aceptar su uso, un período de 12 meses que se concede como moratoria para que “adopten las medidas técnicas” para interactuar con la app correctamente. En cualquier caso, el uso de la app es libre y no sustituye al DNI tradicional, confirma el Ministerio del Interior.

Un QR y limitación de los datos mostrados

La app MiDNI no mostrará el documento nacional de identidad para que este pueda ser consultado directamente en la pantalla del móvil de su propietario. Al contrario, está pensado para funcionar a través de un código QR emitido desde la propia base de datos de la Policía, que “puede ser escaneado por cualquier otro dispositivo en el que haya sido instalada la aplicación MiDNI”, siguen fuentes oficiales.

¿Por qué un código QR? Porque es un formato que habilita una de las principales características de la nueva aplicación: permite mostrar una cantidad de información diferente en cada ocasión que sea necesario identificarse. Por ejemplo, si solo es necesario demostrar que es mayor de edad para acceder a un espacio o servicio con restricciones para los menores, podrá seleccionarse la opción de compartir tan solo esta información. De esta forma, el receptor solo podrá ver la foto del DNI y el atributo de mayoría de edad.

En este momento, Interior ha habilitado tres posibilidades distintas para permitir la consulta de datos del DNI a terceros. Además de aquella diseñada para compartir solo la edad, está la denominada “DNI simple”, que incluye la fotografía, el nombre completo, la fecha de nacimiento, el sexo y fecha de caducidad del documento original. Por último, está posibilidad de compartir el DNI completo, que muestra todos los datos presentes en el DNI físico.

Seguridad

El uso del QR también habilita la imposición de un límite de tiempo durante el cual los datos serán visibles, tanto para el propio usuario como para un tercero, en caso de que este haya deseado compartirlos. Esto impide que se almacenen dentro del dispositivo, lo que constituye una medida de seguridad ante un hackeo o vulneración de la seguridad del móvil. “MiDNI no guarda los datos de identidad del ciudadano, sino que a través de ella se consulta en tiempo real a la unidad de gestión del DNI”, explica la Policía.

“En caso de que el documento esté extraviado, perdido o haya sido sustraído, la información no estará disponible”, añade el organismo. Sin embargo, hay otras características del diseño de la app MiDNI que han generado cierta preocupación a los especialistas. Una de ellas es el hecho de que para registrarse es necesario emparejar la app a un número de teléfono: “Únicamente se puede asociar un DNI a un número de teléfono móvil. Tras el registro y descarga de la aplicación será posible virtualizar el DNI”.

La vinculación a un móvil provoca que MiDNI sea potencialmente vulnerable a ataques como la suplantación de la tarjeta SIM (SIM swapping), que persigue a las operadoras de telefonía desde hace años. En esta estafa, los ciberdelincuentes engañan a la compañía para que emita un duplicado de la tarjeta SIM de uno de sus clientes haciéndose pasar por él. Con ese duplicado, pueden tomar el control del teléfono de la víctima hasta que esta se da cuenta de que su tarjeta SIM ya no funciona.

Aunque para crear un nuevo usuario en la app MiDNI también es necesario contar con datos como el número de soporte del DNI físico (solo presente en el propio documento), la vinculación al número de teléfono abre una vía para un posible ataque, como ha destacado Ramón Medrano Llamas, ingeniero de Google experto en herramientas de identificación de usuarios. Medrano también ha señalado que el sistema abre la puerta a una mayor “trazabilidad” de los ciudadanos por parte de la Policía.

“Cada verificación debe producirse contra un servidor. La Policía conoce cuando se utiliza un DNI para cada ciudadano. Además, conoce el número de teléfono, por lo que saber donde se usa es trivial con el acceso a logs de operadoras”, ha avisado en X.

Otro de los problemas que han surgido en estas primeras horas desde el lanzamiento de la app es que ya había otra con un nombre extremadamente similar disponible para su descarga en las tiendas de aplicaciones de Android e iPhone. Esta se llama “mi DNI digital” y no es oficial. La Policía ha avisado de la situación a través de sus redes sociales y la propia app lo aclara en la información de su perfil de Android (“Esta app no tiene afiliación con ninguna entidad gubernamental. Es una versión de ”prueba“ y no tiene validez a efectos legales”), se ha generado un agujero que puede estar llevando a los ciudadanos a compartir sus datos del DNI con una empresa sin relación con el estado.

En las últimas horas ha surgido otra aplicación del mismo estilo en la App Store que, además, intenta cobrar a los ciudadanos por su uso. Estas aplicaciones se muestran por encima de la app oficial cuando los usuarios de iPhone o Android hacen la búsqueda “MiDNI”.

“Esto añade otro vector de entrada para los ataques de suplantación de identidad”, coincide Samuel Parra, abogado especialista en protección de datos y ciberseguridad. El letrado recuerda en conversación con este medio que en los casos graves de suplantación de identidad los ciberdelincuentes ya pueden generar un gran perjuicio a la víctima por problemas penales, multas e impagos. “No sé qué problema pretende resolver este sistema, pero sí me puedo imaginar qué nuevos problemas va a crear”, afirma.

Cómo empezar a utilizar la nueva app MiDNI

Para poder utilizar el DNI digital es necesario completar tres fases: un registro previo que vincula la identidad del ciudadano a un número de teléfono móvil, la descarga de la aplicación MiDNI desde las tiendas de apps oficiales, y finalmente la verificación del DNI.

El registro puede realizarse a través de tres vías diferentes: mediante la web oficial www.midni.gob.es si se cuenta con certificado electrónico; o bien en cualquiera de los Puestos de Actualización de Documentación (PAD) disponibles en comisarías de Policía o ayuntamientos; o directamente en cualquiera de las 290 Unidades de Documentación de la Policía Nacional distribuidas por el territorio.

Para completar el registro es imprescindible que el DNI se encuentre en vigor y que sus certificados electrónicos estén activos, en caso de que se utilice esta vía. Durante el proceso de alta en la aplicación, el sistema verifica que el DNI está correctamente asociado al número de teléfono mediante códigos de un solo uso que el usuario debe introducir para finalizar la vinculación. Una vez completado el registro y descargada la aplicación desde las tiendas oficiales, el usuario podrá proceder a virtualizar su DNI y compartir sus datos mediante los citados códigos QR.

Los terceros interesados en verificar la identidad de un ciudadano a través de esos códigos podrán escanearlos utilizando otro dispositivo móvil en el que también esté instalada la aplicación MiDNI. Además, también se podrán leer con otros dispositivos presentes en establecimientos como webcams, lectores de códigos de barras y escáneres.