Expertos HC

Los secretos de la app de la DGT que sustituye al carnet de conducir

¿Qué descubre un hacker cuando analiza la nueva aplicación de la DGT? ¿Cuáles son las funciones que permite y qué tal es su ciberseguridad? Esto es todo lo que Deepak Daswani ha hallado.

app dgt: una mujer consulta su smartphone
Foto: Piqsels.

La sociedad digital en la que vivimos desde hace unos años crece a un ritmo vertiginoso. Gracias a los servicios que los gigantes y proveedores tecnológicos nos brindan a través del universo virtual que conforma el ciberespacio, podemos realizar cada vez más trámites y gestiones que antes requerían presencia física.

De hecho, incluso los que no estaban tan familiarizados o acostumbrados al uso de la tecnología para estas cuestiones, quizá hayan tenido que pasar por el aro durante esta época histórica e inédita que nos ha tocado vivir. Debido al confinamiento como causa de la crisis sanitaria provocada por el dichoso COVID-19, las administraciones públicas, entidades y organizaciones han migrado al teletrabajo y paralizado su actividad presencial, limitando los trámites a las sedes electrónicas. Lo cierto es que, aunque muchos usuarios lo desconozcan, hoy día casi cualquier trámite o gestión administrativa se puede hacer de manera telemática.

Qué ofrece la app de la DGT

En este universo digital, otro paso hacia la digitalización total de nuestros documentos viene dado por la nueva aplicación móvil que ha lanzado recientemente la Dirección General de Tráfico -DGT-. Se trata de una app, disponible tanto para iOS como para Android, que nos permite llevar nuestro permiso de conducción y la documentación de nuestros vehículos en formato digital en nuestro móvil.

Para ello, como es obvio, tendremos que autenticarnos mediante el sistema Cl@ve de identidad electrónica para las administraciones, así como también si disponemos de DNI electrónico o un certificado digital instalado en nuestro dispositivo. A la hora de hacer esta autenticación, la app abre el navegador para acceder a la sede de la DGT y autenticar al usuario mediante uno de los métodos enumerados. Una vez realizada la validación, ya es posible acceder a la información de nuestros documentos desde la aplicación.

Todos los datos y documentos principales que nos pueden solicitar tanto de nosotros como de nuestros vehículos están accesibles desde esta aplicación.

En la pantalla principal, podremos ver en primera instancia nuestra foto del carnet así como el número de puntos vigentes para nuestro permiso de conducir. Asimismo, es posible acceder a ver en detalle nuestro carnet de conducir por ambas caras. Además es posible generar un código QR con los detalles de nuestro carnet para poder utilizarlo en algún lector de cara a comprobar su validez. De hecho, una de las opciones que permite la aplicación relacionada con este aspecto es la de poder utilizarla para verificar los códigos QR de nuestro permiso de conducción o del permiso de circulación de algún vehículo.

Además de la información de nuestro carnet, la aplicación permite el acceso a todos los documentos asociados a los vehículos que tengamos a nuestro nombre. Es posible ver en la pantalla principal la información relativa a la marca, modelo y matrícula de nuestro vehículo. Si entramos en el menú asociado, podremos ver información más detallada además del permiso de circulación y la ficha técnica, para cada uno de nuestros vehículos. De hecho, podremos generar el código QR del permiso de circulación, así como obtener un duplicado en PDF de la ficha técnica.

Respecto a la información mostrada, además de la del titular, podremos ver el número de bastidor, fecha de matriculación, estado de la ITV y fecha de vigencia, así como la información de la entidad aseguradora. En definitiva, todos los datos y documentos principales que nos pueden solicitar tanto de nosotros como de nuestros vehículos están accesibles desde esta aplicación.

De hecho, como especifica la propia DGT en la web de la app, así como en los markets oficiales, la documentación digital que genera ‘miDGT’ es válida para conducir y circular en España, según la regulación aprobada. No obstante, recomiendan que sigamos llevando la documentación física con nosotros para mayor seguridad, hasta que se generalice el sistema o por si hubiera algún problema técnico con nuestro dispositivo.

Llegarán más novedades

Otra funcionalidad, además de la de consultar nuestros propios documentos o verificar el código QR de un carnet de conducir o permiso de circulación, es la de recibir avisos y alertas, ya que la idea es que este apartado sirva de canal de comunicación con el usuario. Por lo pronto, la aplicación nos avisará si nuestro carnet está próximo a caducar o la ITV de alguno de nuestros vehículos. Pero, según se informa desde la DGT, existen más novedades que estarán por llegar.

Los permisos solicitados son correctos, lícitos para el fin que se especifica para cada uno de ellos. No son permisos intrusivos y nos permiten sacar el máximo partido a la aplicación.

De hecho, a la hora de analizar los permisos que solicita la aplicación, se puede encontrar más información acerca de estas próximas novedades. Todas las autorizaciones solicitadas tienen su justificación:

  • El acceso a la cámara para poder leer los códigos de verificación de documentos digitales o físicos y mostrarlos en el dispositivo.
  • El almacenamiento para poder descargar documentos verificados por CSV, informes de vehículo o un justificante de pago de una sanción.
  • Se os solicita la ubicación para encontrar las oficinas más cercanas, pues en el futuro podremos solicitar cita previa o acceder a las incidencias de tráfico más cercanas a nuestra ubicación.

Estas son algunas de las nuevas funcionalidades que estarán disponibles con el paso del tiempo. También se nos requiere el acceso al calendario para poder guardar en él la cita previa que hayamos obtenido a través de la aplicación en el futuro.

Como siempre, como usuarios, tenemos la última palabra para poder conceder o no dichos permisos a la aplicación. Siempre podremos restringir algunos de ellos y usar la app correctamente sin las funcionalidades asociadas a dichos permisos. Pero, en principio, como podemos imaginar, estos permisos solicitados son correctos, lícitos para el fin que se especifica para cada uno de ellos. No son permisos intrusivos y nos permiten sacar el máximo partido a una aplicación oficial de un organismo como la Dirección General de Tráfico.

¿Es segura?

Desde el punto de vista de la seguridad, en principio ofrece todas las garantías y lleva asociado consigo los mecanismos de autenticación habituales para poder realizar trámites con cualquier administración.

He podido comprobar que, en un posible escenario de ataque MITM en el que un atacante pudiera hacer pasar el tráfico por un proxy transparente, la aplicación dejaría de funcionar por realizar la comprobación del certificado. Así que, en ese aspecto también nos brinda un buen nivel de seguridad.

El único aspecto a tener en cuenta es el de que alguien pudiese tener acceso a nuestro dispositivo desbloqueado como algún familiar, hijo o persona que en algún momento pueda interactuar con él, tendría acceso a toda nuestra información relativa al tráfico. Pero eso es obvio y extrapolable a cualquier información que llevemos en nuestro móvil

En definitiva, desde mi punto de vista particular, miDGT es una app muy interesante que nos facilitará la vida. Nos permitirá tener siempre accesible y a mano todos los documentos e información que necesitemos relacionados con tráfico, tanto para nosotros como para nuestros vehículos.

Deepak Daswani
Soy Ingeniero superior en Informática por la ULL, hacker y experto en ciberseguridad. En la actualidad trabajo como profesional independiente, prestando servicios relacionados con la ciberseguridad a empresas y organismos. Compagino esta labor con el rol de Chief Security Ambassador de ElevenPaths, Telefónica. Con anterioridad, ocupé el cargo de Security Evangelist en el Instituto Nacional de Ciberseguridad (INCIBE) y el de Experto en Ciberseguridad para la firma multinacional Deloitte. También he escrito el libro "La Amenaza Hacker" (Deusto, Grupo Planeta). Participo habitualmente como conferenciante y docente en los Congresos de Ciberseguridad más importantes a nivel internacional, en escuelas de negocio, másters universitarios, formaciones y sesiones para empresas, conferencias de hackers o eventos como las charlas TED. Asimismo, trato de divulgar y concienciar en diversos medios de comunicación de prensa, radio y televisión a nivel nacional e internacional.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.