IZENPE sustituirá los certificados electrónicos afectados por "ROCA", la amenaza mundial a los chips de algunas tarjetas de identificación

logo_IZENPE.jpg

1 de noviembre de 2017

  • Aunque la sociedad participada de certificación no tiene constancia de afecciones en Euskadi, toma esta decisión preventiva para garantizar la máxima seguridad de las personas usuarias
  • IZENPE se pondrá en contacto con quienes utilizan este modelo concreto de tarjeta y las sustituirá, sin coste alguno, por otros certificados que cuentan con plenas garantías de autenticación
  • La página web pondrá a disposición de las personas usuarias de sus certificados electrónicos toda la información actualizada sobre la amenaza “ROCA”, así como un servicio online para comprobar el estado de las tarjetas de identificación digital

La sociedad participada vasca de certificación digital, IZENPE, ha decidido revocar y reemitir los certificados electrónicos que podrían verse afectados por “ROCA”, la vulnerabilidad recientemente detectada en un modelo concreto de chip criptográfico que usan algunas tarjetas de identificación digital. Esta amenaza afecta a cientos de miles de certificados electrónicos emitidos en todo el mundo de forma que, por ejemplo, un ataque podría suplantar identidades, firmar malware con un certificado malicioso o descifrar mensajes que utilicen claves vulnerables. En Euskadi, IZENPE utilizaba este chip en apenas el 15% de sus soportes, 34.081 en total.

No hay constancia de que ninguno de los certificados emitidos en Euskadi por IZENPE haya sido atacado o se haya visto vulnerado. Sin embargo la sociedad participada de certificación digital ha decidido primar su compromiso de confianza, seguridad e integridad con las personas, instituciones y empresas usuarias, y sustituir los certificados potencialmente vulnerables por otros que cuenten con total garantía.

Todo el material potencialmente vulnerable ha sido retirado, y ya no se emite ningún certificado en tarjetas de estas características. Además, IZENPE avisará a todas las personas que cuentan con uno de los certificados, potencialmente vulnerable, para la mejor forma de reemisión de los mismos. El reemplazo de los certificados se hará sin coste alguno para el usuario.

PLENAS GARANTÍAS

IZENPE informa a las personas usuarias de la plena seguridad de los actuales medios de identificación electrónica B@kQ y Juego de Barcos. Cualquier servicio telemático que tenga habilitada la autenticación y firma con estos dos medios tiene plena garantía, así como los certificados emitidos en software y todos los emitidos con fecha anterior a febrero de 2016.

La página web de IZENPE ha publicado un procedimiento online para comprobar el estado de los certificados, si estos son vulnerables o no, y la forma para su reemisión. Además, consta toda la información actualizada relativa a la incidencia y su gestión.

¿QUÉ ESTÁ OCURRIENDO?

La agencia ENISA (European Union Agency for Network and Information Security), ha alertado de que los controladores de seguridad de la empresa Infineon Technologies están implicados en un incidente de seguridad y que la versión 1.02 de las librerías criptográficas RSA son vulnerables.

Esta amenaza, ya fue anunciado por los investigadores de la Universidad de Masaryk (República Checa), y de la italiana Ca' Foscari, junto a la empresa Enigma Bridge, una investigación que será presentada oficialmente a finales de este mes en la conferencia ACM CCS '17 avanzando la vulnerabilidad. 

Esta tecnología es utilizada en chips de cifrado, en firma de certificados, Smartcards, tarjetas de identificación, dispositivos Tokens, sistemas de cifrado de ficheros, etc. El volumen de dispositivos y productos vulnerables es bastante amplio, viéndose afectados, paralelamente, diversos fabricantes.