La Policia Nacional ha anunciado en una publicación en X (Twitter) que se ha implementado una nueva Infraestructura de Clave Pública (PKI) del DNI con nuevos algoritmos de cifrado. Así, el nuevo sistema pasa de ser un RSA 2048 al llamado sistema de Curva Elíptica 384.
El cambio es interesante por un lado. El sistema RSA es ya un clásico para cifrado de datos, pero tiene algunas desventajas: usa claves públicas grandes, las operaciones son más lentas (sobre todo al firmar) y consumen más CPU y ancho de banda.
Con Curva Elíptica 384 bits (ECCnormalmente P-384) permite aportar muchísima seguridad en claves pequeñas. Las firmas son mucho más rápidas, por ejemplo, y suponen mucho menor consumo de CPU y batería, además de proporcionar un nivel de seguridad muy alto. Es un sistema con mucha más proyección de futuro.y parece una alternativa adecuada para el “DNI 4.0” del que habla Policía Nacional.
¿Qué protege esa criptografía de nuestro DNI? Esas claves privadas dentro del chip del DNIe no salen nunca de él, y con ellas se realizan operaciones de varios tipos:
- autenticación: demuestra que tú eres tú, y que te permite por ejemplo operaciones conectarte a la Agencia Tributaria
- Empresa electrónica: cuando presentamos trámites oficiales o contratos electrónicos, el DNI “firma” como si fuera nuestra firma física
- Intercambio de claves: refuerza por ejemplo la seguridad TLS de los protocolos seguros al navegar si necesitamos esa capa adicional
Este nuevo sistema criptográfico mititga la suplantación incluso si nos roban contraseñas en ciertos escenarios (como intentar usar con trámites oficiales) porque el atacante necesitaría no solo “una foto” del DNI, sino el DNI físico, el PIN, y romper el cifrado ECC 384, lo cual es prácticamente imposible hoy en día.
Así pues, la medida es positiva, pero el problema no es ese.
El problema es cómo se usa el DNI en España.
El eslabón más débil
Estas van dirigidas a proteger los datos de nuestro DNI, pero el problema es cómo este documento medidas se ha convertido de por si en vulnerable por la forma en la que se maneja en el mundo real.
De hecho, el DNI se ha convertido en un documento que cedemos con extraordinaria facilidad. Los hoteles llevan años pidiendo y fotocopiando nuestro DNI al hacer el check-in. No pueden ni deben hacerlo. La AEPD publicó una nota en junio de 2025 en la que hablaba de este tema y concluía que “no se debe solicitar una copia del documento de identidad”.
Ese documento también suele ser fotocopiado o escaneado en trámites ante notariopor ejemplo. Se suelen esgrimir en ese caso los argumentos de que tienen que entregar documentación fehaciente porque les obliga la ley de blanqueo de capitales. La AEPD de hecho sancionó al Consejo General del Notariado (CGN) por este tipo de solicitudes el pasado verano de 2025.
Sin embargo y como explicaba en X el experto en ciberseguridad Román Ramírez, es una cuestión más de “no quieren comprometerse ellos dando fe de que el documento que enseñas es el real. Es una forma de “lavar las manos”, explica, porque si pasa algo ya no es tu palabra contra la suya.
De hecho, hace tiempo que recomendamos que si hay que enviar una foto del DNI para algún trámite online, se haga con marca de agua. Herramientas como SafeLayer facilitan esta tarea pero en algunos casos las entidades o empresas que piden este documento ponen pegas al envío con marca de agua o directamente no lo aceptan.
Lo curioso es que la legislación teóricamente impide ese tipo de registro masivo de DNIs en casos como el de las gestiones administrativas. el Real Decreto 522/2006 de 28 de abrilsuprime la obligación de presentar fotocopias del DNI en los procedimientos administrativos de la Administración General del Estado y sus organismos dependientes.
Esta norma obliga a las administraciones a verificar los datos de identidad internamente, prohibiendo exigir copias físicas salvo oposición expresa del ciudadano o normativa específica. Esta norma no se aplica directamente en los ejemplos expuestos de hoteles o notarios, pero ahí la AEPD también ha dejado claro que basta la exhibición del documento.
Te digan lo que te digan, no envías tu DNI tal cual
Jamás debemos enviar fotos del DNI sin más. Ni por email, ni por WhatsApp, ni a través de formularios dudosos, aunque el mensaje parezca provenir de una empresa real.
De hecho, si una empresa pide el DNI tras una teórica filtración o robo de datos, lo mejor que podemos hacer es verificarlo por nuestra cuenta, informándonos en su web o llamando a un número de atención legítima para saber qué está pasando en realidad y si es necesario ese trámite.
El DNI es “oro” para los esafadoresporque permite:
- Abrir cuentas fraudulentas
- Pedir créditos o micropréstamos
- Validar identidades en servicios online
- Reforzar estafas con mensajes como “tenemos su DNI, somos de esta empresa o banco”.
De hecho este documento es un tesoro si a él se unen otros datos como el contacto o el teléfono, porque gracias a esa información es posible ejecutar ataques de suplantación de identidad mucho más efectivos que pueden dar lugar a estafas y fraudes realmente peligrosos.
El DNI tiene otro problema peculiar: se usa como una especie de “identificador universal” en España. Si se filtra una vez —si alguien nos lo roba o una foto del mismo acaba en malas manos— ya no puedes cambiarlo como quien cambia una contraseña. Solo puedes renovarlo, pero aún así el “antiguo” sigue siendo extremadamente útil para esos ataques de suplantación de identidad.
Por eso es importante limitar al máximo dónde subimos el DNI, quién lo tiene, y en qué formato: nunca debemos pasar la foto completa a no ser que sea absolutamente imprescindible.
En Xataka | Cómo compartir tu DNI por internet de forma segura para evitar peligros
