Ramón Rico Gómez, Cybersecurity Operations Manager en Logicalis, es una voz experta y realista en el panorama de la ciberseguridad. Con una sólida trayectoria en la protección de sistemas digitales, combina su conocimiento técnico con una clara visión estratégica centrada en el usuario.
En esta entrevista, aborda los desafíos y riesgos asociados al uso de MiDNI, la nueva identidad digital española, destacando tanto las amenazas tecnológicas como las humanas que pueden comprometer la seguridad del sistema. Su enfoque didáctico y práctico convierte conceptos complejos en recomendaciones útiles para ciudadanos, empresas y administraciones públicas, reforzando la idea de que la seguridad digital es, más que nunca, una responsabilidad compartida.
¿Cuáles son los principales riesgos de ciberseguridad asociados al MIDNI?
El riesgo principal no se encuentra tanto en la propia aplicación, sino en el entorno del dispositivo y en el comportamiento del usuario. Entre los aspectos más preocupantes se encuentran la suplantación de identidad a través de aplicaciones falsas disponibles en tiendas oficiales, el uso indebido de códigos QR cuando se escanean fuera de contextos confiables, la pérdida o el robo del dispositivo sin medidas de protección adecuadas, y el desconocimiento sobre el funcionamiento de la app, junto con ciertas prácticas poco seguras como compartir capturas de pantalla o acceder desde dispositivos comprometidos.
Aunque la aplicación incorpora mecanismos de seguridad que considero bastante sólidos, como la firma digital y la validez temporal de los datos, el punto más vulnerable sigue siendo el propio usuario si no está bien informado.
¿Cómo pueden los ciberdelincuentes aprovechar esta nueva tecnología para cometer fraudes o robos de identidad?
Podrían intentarlo desarrollando aplicaciones maliciosas que imitan a MiDNI con el objetivo de robar datos personales o instalar malware. Como se ha visto en estos primeros días, cuando los usuarios acceden a los markets como Google Play o Apple Store y buscan la aplicación, pueden encontrarse con versiones no oficiales que aparecen incluso en primer lugar en los resultados, por lo que es fundamental extremar la precaución.
Otra vía es la ingeniería social, mediante la cual se persuade al usuario para que comparta su código QR o acceda a enlaces fraudulentos. Ya se están llevando a cabo campañas masivas de envío de correos electrónicos, SMS y otros mensajes con el fin de redirigir a los usuarios hacia descargas o páginas web maliciosas. También existen ataques dirigidos específicamente a los dispositivos móviles, a través de malware, troyanos o rootkits, con el objetivo de interceptar comunicaciones o tomar el control de determinadas funciones del sistema.
A pesar de todo ello, es importante señalar que la aplicación no almacena información sensible de forma permanente y que los códigos QR tienen una validez muy limitada, lo que reduce considerablemente su posible reutilización en intentos de ataque.
¿Qué medidas de seguridad deben tomar los usuarios para evitar ser víctimas de estafas relacionadas con el MIDNI?
Entre las medidas más importantes para protegerse, es fundamental descargar la aplicación únicamente desde canales oficiales, como la web midni.gob.es, Google Play o la App Store. También se debe evitar compartir los códigos QR generados, ya sea por WhatsApp, redes sociales o cualquier otro medio no seguro. Es muy recomendable activar sistemas de seguridad como la biometría o un PIN robusto tanto en el dispositivo como en la propia aplicación.
Además, conviene no instalar aplicaciones de procedencia desconocida o sospechosa. Y, en caso de cualquier duda sobre un posible uso indebido, siempre se puede revocar el DNI digital a través de los canales oficiales habilitados para ello.
En caso de robo o pérdida del móvil con datos del MIDNI, ¿cuál sería el protocolo de actuación recomendado?
En caso de pérdida o robo del dispositivo, lo primero que se debe hacer es intentar bloquearlo o borrarlo de forma remota, siempre que cuente con funciones como “Buscar mi dispositivo”.
A continuación, es importante acceder a la web para revocar el DNI digital asociado al terminal y así evitar un posible uso fraudulento. Si existe sospecha de que se ha producido un uso indebido, también conviene presentar una denuncia. Una vez recuperado el control y se disponga de un nuevo dispositivo, será necesario reconfigurar la aplicación MiDNI para poder seguir utilizándola con normalidad.
Es importante tener en cuenta, como ya comentaba en anteriores preguntas, que los datos del DNI no quedan almacenados de forma persistente en el dispositivo, y el acceso a la app está protegido, por lo que el riesgo está bastante contenido.
¿Qué papel juegan la autenticación multifactor y otras medidas en la protección de la identidad digital?
En este caso no existe una autenticación multifactor en el sentido más estricto, pero sí se aplican diversos mecanismos de seguridad que refuerzan la protección del sistema. Entre ellos se encuentra la protección mediante PIN y/o biometría para acceder a la aplicación, la validación por SMS durante el proceso de activación, y el uso de certificados digitales en el backend, que permiten verificar la autenticidad de los datos mediante firmas electrónicas. Todos estos controles contribuyen a garantizar que el acceso y uso del DNI digital se realicen únicamente desde el dispositivo autorizado y en el momento adecuado.
¿Cómo pueden las empresas y administraciones públicas garantizar la seguridad del MIDNI frente a posibles vulnerabilidades?
Para garantizar la seguridad del miDNI frente a posibles vulnerabilidades, las empresas y administraciones públicas deben adoptar una estrategia sólida que combine medidas técnicas con acciones orientadas al usuario.
En primer lugar, es fundamental aplicar revisiones periódicas del código y análisis de vulnerabilidades a través de auditorías especializadas, lo que permite detectar posibles fallos antes de que puedan ser explotados. También es clave mantener una arquitectura cerrada, sin dependencias de terceros no controlados, lo que reduce los riesgos asociados a componentes externos. La publicación de documentación clara sobre el funcionamiento de la herramienta y las prácticas recomendadas contribuye a una mayor transparencia, además de que facilita un uso adecuado por parte de todos los actores implicados.
Además, contar con canales que permitan la divulgación responsable de fallos, como programas de bug bounty, ayuda a mejorar la seguridad de forma colaborativa. Y, por encima de todo, educar al ciudadano para que utilice el miDNI de forma segura es probablemente la medida más importante, ya que el factor humano sigue siendo uno de los eslabones más vulnerables del sistema.
¿Existe algún precedente de implementación similar en otros países y qué lecciones podemos aprender de ellos?
En países de nuestro entorno y a nivel europeo ya existen implementaciones similares que nos ofrecen valiosas lecciones sobre cómo garantizar la seguridad y eficacia del miDNI. Por ejemplo, Alemania ha implementado su eID en móviles compatibles con NFC, Austria y Bélgica cuentan con soluciones de identidad digital integradas en sus servicios públicos, y Finlandia y Noruega han adoptado soluciones mID interoperables en wallets digitales.
Las lecciones clave que podemos aprender de estas experiencias incluyen la importancia de utilizar estándares abiertos e interoperables, como el ISO/IEC 18013-5, lo que garantiza que las soluciones sean compatibles y escalables a nivel internacional.
Además, es fundamental apostar por la usabilidad de las herramientas, asegurándose de que sean accesibles y fáciles de usar sin renunciar a la privacidad de los usuarios. Por último, una de las lecciones más importantes es la necesidad de integrar estas soluciones en ecosistemas amplios y reales de uso, evitando que se queden como aplicaciones aisladas sin un uso generalizado y efectivo.
Conclusión
La conversación con Ramón Rico nos deja una enseñanza clave: la tecnología puede ser segura, pero el eslabón humano sigue siendo el más frágil. Aunque MiDNI incorpora mecanismos sólidos —como la firma digital, la biometría o la caducidad de los códigos QR—, su efectividad depende de algo mucho más difícil de programar: el sentido común del usuario. Descargar la app solo de fuentes oficiales, proteger el dispositivo y no compartir información sensible parecen consejos básicos, pero siguen siendo los más ignorados.
Las empresas y administraciones tienen también su parte: auditar, actualizar y, sobre todo, educar. Porque si el futuro de la identidad digital depende de que no hagamos clic donde no debemos… más vale que nos preparemos bien.
El MiDNI no es solo un avance tecnológico, es un test de madurez digital. Y como todo test importante, conviene estudiar antes de presentarse.
