El DNI español llega al móvil: innovación y confusión

BarcelonaEl gobierno español ha empezado a desplegar esta semana el nuevo DNI digital, un documento que permitirá a los ciudadanos identificarse de forma fehaciente con el teléfono móvil en numerosas situaciones cotidianas. Se trata de una novedad muy esperada para quienes llevamos la vida en nuestros dispositivos de bolsillo, pero la solución adoptada presenta varios puntos débiles y se enmarca en un ecosistema estatal de identidades digitales todavía muy fragmentado e incoherente.

Cómo funciona el DNI digital

El nuevo DNI digital no sustituye al físico, sino que convivirá ofreciendo a los ciudadanos la posibilidad de acreditar su identidad mediante una aplicación móvil llamada MiDNI. Para obtenerlo es necesario completar tres fases: un registro previo que vincula la identidad del ciudadano al número de teléfono móvil, la descarga de la aplicación y la verificación del proceso.

El registro sólo se puede realizar telemáticamente (en la web www.midni.gob.es) si se tiene activado el certificado digital del DNI físico y se dispone del lector correspondiente. En caso contrario es necesario personarse en los puntos de actualización de documentación (PAD) que hay en comisarías y ayuntamientos. Durante el proceso se vincula el DNI al número de teléfono móvil, mediante código de un solo uso.

Naturalmente, el acceso a MiDNI se puede proteger con la biometría facial o dactilar del teléfono. Un aspecto clave del sistema es que la aplicación no almacena los datos de identidad en su dispositivo. Cuando el ciudadano necesita identificarse, su aplicación móvil consulta en tiempo real su validez en la base de datos de la Policía y genera un código QR temporal que puede ser escaneado por otro dispositivo que tenga instalada la misma aplicación. Este QR sólo es válido durante un breve período, después del cual debe generarse un nuevo código si se quiere volver a acreditar la identidad. También se podrá leer el QR con webcams y escáneres ópticos, como los de los turnos de acceso a recintos o los de la recepción de los hoteles.

Usos y limitaciones

Con el nuevo DNI digital se pueden realizar diversas gestiones cotidianas: identificarse ante agentes o funcionarios, acceder a espacios públicos o privados, ejercer el derecho al voto, registrarse en hoteles, alquilar coches, recoger paquetes, abrir cuentas bancarias y firmar escrituras ante notario. En cambio, en esta primera fase no servirá para realizar trámites telemáticos ni como documento de viaje para atravesar fronteras o acreditar la identidad en el extranjero, pese a que España ha suscrito el reglamento eIDAS de interoperabilidad entre los sistemas de identificación electrónica de los estados miembros de la UE.

El gobierno español ha establecido un plazo de 12 meses para que entidades públicas y privadas se adapten al nuevo sistema. Durante este período no será obligatoria la aceptación del formato digital, pero a partir de abril de 2026 los ciudadanos podrán exigir ser identificados únicamente con el DNI digital y se habilitará también para gestiones telemáticas y operaciones de firma electrónica.

Un paso hacia la identidad autosoberana

Uno de los aspectos positivos del nuevo DNI digital es que habilita la identidad digital autosoberana –un concepto que el exconseller catalán de Políticas Digitales Jordi Puigneró había promovido con entusiasmo–. Este principio permite al ciudadano proporcionar sólo los datos imprescindibles en cada ocasión, evitando así la exposición innecesaria de información delicada como el domicilio o los nombres de los padres cuando sólo es necesario acreditar, por ejemplo, la mayoría de edad.

En el caso del nuevo DNI digital, la aplicación ofrece tres niveles de información. El DNI Edad muestra sólo la fotografía, el nombre y la mayoría de edad; el DNI Simpleañade los apellidos, el sexo y la validez del DNI, y el DNI Complet muestra todos los datos del documento.

Puntos débiles del DNI digital

Pese a estas ventajas, el nuevo DNI digital presenta varios puntos débiles que generan preocupación. En primer lugar, requiere disponer de conexión a internet para su consulta, lo que puede ser un problema en zonas con cobertura limitada. Por otra parte, el código fuente no se ha hecho público y, por tanto, no es auditable de forma independiente.

Un aspecto especialmente controvertido es que cada verificación se produce contra un servidor central. Esto significa que la Policía conoce cuándo se utiliza el DNI de cada ciudadano y, si se combina con el vínculo obligatorio al número de teléfono móvil, abre amplias posibilidades de rastreo. Esta vinculación al número de teléfono también hace que el sistema sea vulnerable a ciberataques como la suplantación (swapping) de la tarjeta SIM, un tipo de estafa que persigue a las operadoras de telefonía desde hace años.

La guinda del pastel es que MiDNI llega a las tiendas de Android e iOS con cierto grado de prepotencia, porque en ambas ya existía una aplicación llamada "mi DNI digital", publicada por International Eidas LLC, que en varios aspectos es mucho más útil –e infinitamente más sencilla de configurar– que el oficial. Esto abre una puerta a la confusión de los ciudadanos que podría haberse evitado previa diplomacia, eligiendo otro nombre o, sencillamente adoptando como oficial la aplicación ya existente.

Un ecosistema de identidad digital fragmentado

La confusión con las aplicaciones refleja un mayor problema: la dificultad de las autoridades españolas para desplegar un sistema coherente de identidad digital. El ecosistema actual es un mosaico de soluciones difíciles de combinar, redundantes o directamente incompatibles.

Sin ir más lejos, el permiso español de conducir se puede virtualizar en el teléfono móvil (con la aplicación oficial MiDGT) con un certificado digital que ya tengamos instalado, pero el nuevo DNI digital no lo permite. De hecho, en el móvil se pueden guardar uno o más certificados digitales con una aplicación de la FNMT, pero ésta no los hace directamente visibles en el llavero del teléfono. Para que puedan verlas otras aplicaciones –desde el CatSalut hasta la mencionada MiDGT– es necesario exportarlos y añadirlos manualmente.

Más allá de los móviles, otro caso paradigmático de desconfianza entre organismos oficiales son los certificados IdCat emitidos por CatCert, la autoridad catalana de certificación: son válidos como credencial digital personal en todo el ámbito estatal, pero no se aceptan para acreditarte como representante de una sociedad. Para este fin sólo se acepta un certificado personal de la FNMT, hasta el punto de que yo he dejado caducar mi IdCat y ahora uso el FNMT en todas partes.

A todo ello hay que añadir la costumbre ancestral de la administración estatal de forzar a los ciudadanos a utilizar un software determinado, que ahora se ha modernizado: si antes muchas webs oficiales sólo funcionaban con el navegador Internet Explorer, ahora el requisito ha pasado a ser Chrome. La práctica aplicación móvil Carpeta Ciudadana, que recoge la mayoría de los datos que el Estado acumula sobre nosotros, sólo te deja activarla con certificado digital si tienes instalado el citado navegador de Google. Como no es mi caso –a pesar de utilizar Brave, que se basa en el mismo código Chromium–, he tenido que hacerlo con el sistema alternativo Cl@ve PIN, que depende del vínculo con un número de móvil donde recibir por SMS un código de un solo uso.

España, en la cola de Europa en identidad digital

Con este panorama, no es de extrañar que los ciudadanos españoles, pese a la alta penetración social de la tecnología digital, estemos a la cola de Europa en el uso de identidades digitales. Se va avanzando, pero a distintas velocidades y con soluciones descoordinadas. Desgraciadamente, España todavía no es Estonia.