La Fábrica Nacional de Moneda y Timbre se equivoca

Buenas,

He recibido esta mañana el siguiente correo:

fnmt

Creo que la FNMT comete un error mediante este tipo de mensajes. Entiendo que lo han dirigido a los usuarios con las mejores intenciones, pero en estos tiempos que corren, enviar un enlace donde, tras abrirlo, se me pide el DNI, para mí representa una ruptura total de los esfuerzos de concienciación que llevamos años dirigiendo a los usuarios, con el fin de prevenir y evitar el fraude.

fnmt

Este tipo de mensajes causa una sensación del tipo «es normal que me pidan mis datos por correo«, y eso va en contra de la cultura antifraude que promulgamos los que tenemos en lo alto de la mesa, día tras día, noticias cada vez peores relacionadas con los delitos de fraude y tecnológicos en general. Y siendo retorcidos, este tipo de mensajes da ideas a las personas que se dedican a vivir de lo ajeno, ya que es poner en bandeja de plata un posible ataque de phishing vía correo para sustraer datos a los receptores, donde el emisor legítimo, la FNMT, ha allanado el terreno otorgando credibilidad y confianza a este tipo de comunicaciones.

Creo que la FNMT está haciendo un trabajo ejemplar a la hora de gestionar la seguridad de la critiquísima y crucial infraestructura de certificados digitales. Sirva esta crítica para animarles a seguir haciendo la extraordinaria labor que hacen, y que piensen que hay maneras mejores de enviar encuestas de satisfacción a los usuarios que empleamos estos certificados.

Por cierto, no sería mala idea que en la FNMT se planteen firmar los certificados HTTPS con SHA-2 (emplean PKCS #1 SHA-1 con cifrado RSA). Ya se sabe que SHA-1 está en la cuerda floja :)

Un saludo,

8 comentarios sobre “La Fábrica Nacional de Moneda y Timbre se equivoca

  1. Pues sí que es para quedarse perplejo =:o

    (a) Aunque supongo que es legítimo, no has indicado nada sobre la fiabilidad / procedencia del email en sí.

    (b) Si es legítimo (es decir, proviene realmente de FNMT) está claro que es un error. Todos sabemos que el EMAIL es un medio de comunicación de las fuerzas del mal [impressive, pero es verdad].

    Ahora mismo me río un poco por lo siguiente, jé, jé:

    Todo esto pudiera tener un lado positivo :-) Si la FNMT comparte con INTECO los datos recogidos (emails respondidos), en el próximo informe nos podemos hacer una idea del nivel de conciencia de seguridad sobre phishing que tiene usuarios avanzados de Internet, es decir, aquellos que usan certificados como los de CERES / FNMT. Puede ser un indicador curioso.

    (c) Si no es legítimo, pues chapeau… a los malos

    (d) Ojalá fuera una simple broma.

  2. Bueno, es constumbre de este tipo de organismos pedir el DNI hasta para casi salir del edificio.

    Estos días por aquí piden también el DNI para solicitar una cuenta de correo que da la administración autonómica. Yo lo ví un pelín raro aunque no sé…

    Saludos. :)

  3. jcbarreto,

    Disculpa por el retraso. Sí, es un mensaje legítimo, y el sitio al que apunta también lo es.

    Se trata de criticar que las Administraciones no pueden tirar piedras contra su propio tejado :)

    corsaria,

    Más que raro, improcedente a todas luces. Es un dato que no vas a necesitar para gestionar un correo. Para eso, que no ofrezcan nada.

    Y si quieren salvaguardarse de usos malintencionados, que opten por otros medios, que os hay.

  4. Si mal no recuerdo el DNI no es un dato personal pudiendo tener almacenados DNIs (mientras no se puedan asociar al nombre real, imagen u otro dato personal) sin ningun problema. (Corregidme si me equivoco)

    Así que no veo una vulneración de mis derechos, sin embargo estaría bien que el DNI fuese privado, con mi DNI y google no es dificil obtener el nombre (sobretodo porque el BOE graciosamente publica en internet sin suprimir los datos personales de sus comunicados).

  5. txangel,

    No se trata de denunciar irregularidades, que no las hay. En principio es como si sólo te piden el móvil, o tu fecha de nacimiento para la estadística: el dato en sí no permite tu identificación, aunque habría que ver que pasa con esto https://www.agpd.es/upload/Canal_Documentacion/Informes%20Juridicos/Otras%20cuestiones%20de%20interes/OC%20(2003-0327)%20(Car%E1cter%20de%20dato%20personal%20de%20la%20direcci%F3n%20IP).pdf

    Se trata de romper una sana costumbre que consiste en no pedir la intervención de nadie por email, y menos si se pretende se introduzcan datos personales.

    Un saludo,

  6. A mí me ha llegado una carta con su membrete pero sin firma donde me dan instrucciones para actualizar mi certificado digital, caducado hace años, a través de una web inexistente.

    Raro, raro.

Comentarios cerrados.