La Policía Nacional ha anunciado el salto de la PKI del DNIe de RSA-2048 a criptografía de curva elíptica de 384 bits (P-384): una actualización seria, de las que mejoran la seguridad “real” y, además, abaratan el coste computacional (firmas más rápidas, menos CPU, menos latencia). No es un detalle friki: es la base criptográfica que hace posible autenticarse y firmar trámites con garantías sin que la clave privada salga del chip.
La paradoja es que, mientras el documento se blinda por dentro, España sigue tratándolo por fuera como si fuese una fotocopia cualquiera. Hemos convertido el DNI en un comodín universal: lo enseñamos, lo escaneamos, lo enviamos por WhatsApp, lo subimos a formularios dudosos… y ese “uso social” es mucho más fácil de explotar que romper P-384. En la práctica, la criptografía te protege de la suplantación cuando se usa el canal correcto (certificados, PIN, chip), pero no te salva si alguien se queda con una imagen completa del documento y la reutiliza como “prueba” en procesos mal diseñados.
Cuando la identidad se gestiona como una imagen
El ejemplo más claro lo dejó por escrito la Agencia Española de Protección de Datos: en junio de 2025 publicó una nota específica para hospedajes recordando que el deber de registrar viajeros no autoriza a pedir ni conservar una copia del DNI o pasaporte. La razón es simple: una copia incorpora más datos de los necesarios (foto, firma, etc.), rompe el principio de minimización y multiplica el riesgo si esa copia se filtra.
El otro frente es el “por si acaso” institucional: notaría, gestoría, trámites presenciales… donde a menudo se escanea el DNI para que conste en el expediente, aunque el ciudadano solo necesitaba exhibirlo. En 2025, la AEPD sancionó al Consejo General del Notariado por el tratamiento de copias del DNI en el acceso al Portal Notarial del Ciudadano, un toque de atención que pone el foco en algo incómodo: muchas organizaciones prefieren acumular copias para cubrirse, aunque eso traslade el riesgo al cliente.
Norma, inercia y el coste de acumular copias
Y, por si faltaba ironía normativa, el Estado lleva dos décadas diciendo “dejen de pedir fotocopias”: el Boletín Oficial del Estado recoge el Real Decreto 522/2006, que suprimió la obligación de aportar fotocopias del DNI en procedimientos de la Administración General del Estado, precisamente para que la identidad se verifique internamente. O sea: el marco legal empuja hacia verificación y consulta, pero en la calle seguimos funcionando por inercia y comodidad.
La forma sensata de “usar bien” un DNI más fuerte es aburrida, pero eficaz: no enviar nunca la foto completa salvo que sea inevitable y por un canal verificado; si hay que mandarla, hacerlo con marca de agua (destinatario, fecha y propósito), tapar datos que no sean imprescindibles y desconfiar de urgencias (“por una incidencia”, “por una verificación”, “por seguridad”) hasta comprobarlo en la web oficial o por teléfono legítimo.
