DNI digital (MiDNI) y elecciones: análisis de seguridad y riesgos electorales

48 horas: eso es lo que se tarda en clonar el DNI digital que España quiere usar para votar

El 13 de marzo de 2026, el periódico El Debate publicó una investigación que debería hacer saltar todas las alarmas. Su periodista Isabel Durán, junto con un equipo técnico, recreó visualmente la interfaz completa de MiDNI en solo 48 horas. Utilizaron inteligencia artificial para generar identidades ficticias —nombres, números de DNI, fotografías, direcciones— y el resultado fue una réplica indistinguible del original para cualquier persona que no disponga de herramientas de verificación técnica. Es decir, indistinguible para un presidente de mesa electoral.

Este ejercicio no es un ataque real ni una invitación a delinquir. Es una demostración periodística de algo que los expertos en ciberseguridad llevan meses advirtiendo: si el sistema de identificación digital no utiliza sus propios mecanismos de verificación, no es un sistema de identificación. Es una imagen en una pantalla.

Y sin embargo, la Junta Electoral Central ha decidido que eso es suficiente para votar.

Qué es MiDNI y cómo debería funcionar

MiDNI es la aplicación oficial del Ministerio del Interior que permite llevar una versión digital del Documento Nacional de Identidad en el teléfono móvil. Fue desarrollada con una arquitectura de seguridad que, sobre el papel, es robusta y bien pensada.

El sistema contempla tres modos de presentación: DNI EDAD (solo confirma la mayoría de edad), DNI SIMPLE (datos básicos) y DNI COMPLETO (información equivalente al documento físico). En todos ellos, el elemento central de seguridad es un código QR efímero que funciona de la siguiente manera:

Se genera en tiempo real, conectándose a los servidores de la Policía Nacional.
Tiene una validez de apenas unos segundos, lo que impide su reutilización.
Permite verificar criptográficamente que el documento existe, que no ha sido revocado y que pertenece al titular que lo presenta.
La aplicación incorpora además protección contra capturas de pantalla, precisamente para dificultar la copia de la interfaz.

Es un diseño inteligente. La identidad digital tiene un problema inherente que la identidad física no tiene: cualquier cosa que aparece en una pantalla puede ser replicada. Los ingenieros que diseñaron MiDNI lo sabían, y por eso crearon el QR efímero con verificación criptográfica. Es la solución correcta al problema correcto.

Cuando un agente de la Policía Nacional te identifica en la calle y le muestras MiDNI, exige escanear ese QR. No acepta simplemente mirar tu pantalla. Y tiene todo el sentido: sin esa verificación, estaría mirando una imagen que cualquiera podría haber fabricado.

Lo que la Junta Electoral Central ha autorizado

En su Acuerdo 80/2026, adoptado en la sesión del 5 de marzo de 2026, la JEC rechazó la petición del Partido Popular de reconsiderar el Acuerdo 56/2025, que permite el uso de MiDNI para identificarse en los colegios electorales sin necesidad de que se escanee el código QR.

En la práctica, esto significa que un votante puede acudir a su colegio electoral, mostrar la pantalla de su teléfono móvil al presidente de la mesa y, si lo que aparece en esa pantalla se parece a un DNI digital, será admitido para votar. El presidente de mesa no tiene ningún dispositivo para verificar la autenticidad de lo que ve. No hay escáner de QR. No hay conexión con los servidores de la Policía Nacional. No hay verificación criptográfica de ningún tipo.

Los argumentos de la JEC para mantener esta decisión fueron cuatro:

Que exigir el QR sería "imponer un requisito más estricto para la versión digital que para el DNI físico".
Que la cobertura de datos móviles no es uniforme en todo el territorio nacional.
Que no existen denuncias previas de suplantación de identidad mediante MiDNI.
Que es coherente con la aceptación previa de MiDGT (el permiso de conducir digital).

Estos argumentos, examinados con rigor técnico, no se sostienen. Y el primero de ellos constituye una falacia que merece un análisis detallado.

La falsa equivalencia: por qué el argumento central de la JEC es una falacia

Este es el punto nuclear de todo el debate, y conviene detenerse en él.

La JEC afirma que exigir el código QR a quien presenta MiDNI sería pedirle más que a quien presenta un DNI físico. Este razonamiento es profundamente erróneo, y lo es por una razón que cualquier persona puede entender.

Cuando un presidente de mesa examina un DNI físico, no está mirando simplemente una tarjeta con una foto y un nombre. Está mirando un documento que incorpora múltiples capas de seguridad integradas en el propio soporte:

Hologramas que cambian de apariencia según el ángulo de visión y que son extremadamente difíciles de reproducir.
Tintas ópticamente variables que modifican su color bajo diferentes condiciones de luz.
Microimpresiones que no son visibles a simple vista pero que sí lo son bajo lupa y que una impresora doméstica no puede replicar.
Un chip NFC con certificados criptográficos.
Papel de seguridad especial con marcas de agua y fibras integradas.
Relieves táctiles, tinta UV y otros elementos que hacen que falsificar un DNI físico requiera equipamiento industrial y conocimientos altamente especializados.

Todas estas medidas están ahí, incorporadas al documento, funcionando de manera pasiva cada vez que alguien lo mira o lo toca. El presidente de mesa no necesita hacer nada especial para beneficiarse de ellas. Simplemente, al coger el documento en sus manos, tiene acceso a un objeto cuya falsificación es extraordinariamente difícil y costosa.

Ahora comparemos con lo que ve ese mismo presidente de mesa cuando alguien le muestra un teléfono móvil con una pantalla que se parece a MiDNI:

No hay hologramas.
No hay tintas especiales.
No hay microimpresiones.
No hay papel de seguridad.
No hay nada táctil que verificar.
Lo que hay es una imagen en una pantalla.

Una pantalla de móvil muestra píxeles. Cualquier pantalla de móvil muestra los mismos píxeles. No hay absolutamente ninguna diferencia física entre una pantalla mostrando la app MiDNI auténtica y una pantalla mostrando una réplica perfecta de esa misma interfaz. Ninguna.

El código QR efímero con verificación criptográfica no es "pedir más" que lo que se pide al DNI físico. Es pedir el mínimo equivalente a las medidas de seguridad que el DNI físico ya tiene incorporadas de serie. Sin el QR, lo que realmente está ocurriendo es que se pide mucho menos al formato digital que al formato físico.

Dicho de otra forma: las medidas de seguridad físicas del DNI —hologramas, tintas, microimpresiones, chip NFC— se manifiestan digitalmente en el QR efímero. Es su traducción al mundo digital. Cuando la JEC prescinde del QR, no está equiparando las exigencias entre el formato físico y el digital. Está eliminando del formato digital todas las medidas de seguridad equivalentes a las que el formato físico incorpora de serie. Es como si dijera que un billete de avión impreso en un folio en blanco debe tener la misma validez que uno con código de barras verificable, porque "pedirle el código de barras sería exigirle más que al billete de papel".

Prescindir del QR no es equiparar las exigencias. Es eliminarlas.

En cuanto al argumento de la cobertura: es legítimo señalar que no todos los colegios electorales tienen buena conexión a internet. Pero la solución a ese problema no es eliminar la verificación, sino implementar alternativas técnicas —que existen y que analizaremos más adelante— o, sencillamente, requerir el DNI físico en aquellos lugares donde la verificación digital no sea posible. Lo que no tiene sentido es decir "como no podemos verificar en todas partes, no verificamos en ninguna".

Y respecto a la ausencia de denuncias previas: tampoco había denuncias de ataques con drones a aeropuertos antes de que se regulara el espacio aéreo para drones. La seguridad electoral no puede gestionarse de forma reactiva. Una vez se ha producido una suplantación de identidad en unas elecciones, el daño a la confianza democrática es irreversible, independientemente de que se detecte a posteriori.

Ya lo han demostrado: 48 horas para fabricar un DNI digital falso

Volvamos a la investigación de El Debate. Lo que Isabel Durán y su equipo demostraron no es una posibilidad teórica. Es un hecho consumado.

En 48 horas, con herramientas accesibles y sin conocimientos excepcionales, recrearon la interfaz visual de MiDNI con identidades completamente ficticias generadas por inteligencia artificial. Las fotografías, los nombres, los números de documento, las direcciones: todo fue generado artificialmente y todo era visualmente indistinguible de un MiDNI auténtico para el ojo humano.

Y esto es clave: cualquier persona con acceso a herramientas de IA generativa actuales —muchas de ellas gratuitas— podría replicar este ejercicio. No hablamos de hackers con conocimientos avanzados. Hablamos de la capacidad de pedir a un modelo de lenguaje que genere una interfaz idéntica a MiDNI, rellenarla con datos reales obtenidos por cualquier vía, y mostrarla en un teléfono. La barrera técnica ha desaparecido. Lo que antes requería conocimientos de desarrollo de apps, hoy se puede hacer con una conversación con una IA.

Hay que detenerse a pensar en lo que esto implica en un contexto electoral:

Los miembros de mesa son ciudadanos elegidos por sorteo, sin formación específica en seguridad documental.
No disponen de ningún dispositivo de verificación electrónica.
No hay verificación en tiempo real en los colegios electorales.
Un atacante que dispusiera de datos del censo electoral —nombre, DNI, colegio asignado— podría presentarse a votar con una identidad falsa mostrada en un teléfono móvil.
La operación no dejaría rastro técnico, ya que no hay interacción con ningún servidor. El teléfono del atacante no se conecta a nada. Es una imagen mostrada en una pantalla.

Naturalmente, un ataque a escala requeriría acceso a datos del censo electoral y una coordinación significativa. No estamos ante un escenario en el que cualquier persona pueda alterar unas elecciones de forma casual. Pero las elecciones se ganan a veces por centenares de votos, y la pregunta relevante no es si un fraude masivo es probable, sino si el sistema lo hace posible. Y la respuesta, después de la demostración de El Debate, es inequívocamente sí.

El ecosistema de apps falsas: un problema que ya existía

La vulnerabilidad no es solo teórica ni se limita al ámbito electoral. Desde antes de que se planteara el uso de MiDNI para votar, el ecosistema de aplicaciones móviles ya mostraba señales alarmantes.

Apenas una semana después del lanzamiento de MiDNI, en abril de 2025, los usuarios que buscaban la aplicación en Google Play se encontraban con que el primer resultado era una app falsa llamada "Mi DNI" —con un espacio—, que imitaba la estética de la aplicación oficial. La Policía Nacional tuvo que emitir advertencias públicas, y la OCU alertó a los consumidores. En la App Store de Apple la situación era similar, con múltiples aplicaciones que generaban confusión.

Estas aplicaciones fraudulentas no solo imitaban la interfaz: recopilaban datos biométricos y personales de los usuarios que, creyendo estar usando la app oficial, proporcionaban información sensible. Es decir, ya existía un precedente claro de que actores malintencionados están dispuestos y son capaces de replicar la apariencia de MiDNI.

Si la suplantación de la app ya era un problema de seguridad ciudadana en contextos cotidianos, ¿qué sentido tiene asumir que no lo será en el contexto más sensible posible, el electoral?

Los vectores de ataque: técnico pero comprensible

Ramón Carlos Rico Gómez, Cybersecurity Operations Manager de Logicalis, ha señalado que "el avance digital requiere educación del usuario, controles de acceso y sistemas de detección de amenazas". Su análisis identifica varios vectores de ataque que van más allá de la simple clonación visual:

Clonación visual de la interfaz

Es el vector más directo y el que El Debate ha demostrado. Consiste en crear una aplicación o página web que reproduzca exactamente la apariencia de MiDNI. Sin verificación de QR, es indetectable por un observador humano.

Phishing dirigido

Campañas de correo electrónico o SMS que imiten comunicaciones oficiales de midni.gob.es, dirigiendo a los usuarios a páginas fraudulentas donde se les soliciten sus credenciales. Una vez obtenidas, el atacante puede generar representaciones visuales del DNI de la víctima.

Aplicaciones maliciosas

Como ya hemos visto con el caso de las apps falsas en Google Play, la distribución de aplicaciones que imitan a MiDNI es un vector activo y demostrado. Estas apps pueden tanto recopilar datos como servir de herramienta para generar identidades falsas.

Dispositivos comprometidos

Un teléfono móvil con malware podría interceptar los datos de MiDNI o permitir la manipulación de lo que se muestra en pantalla. A diferencia de un DNI físico, que es un objeto inerte e inalterable, un teléfono móvil es un dispositivo programable cuyo comportamiento puede ser modificado por software.

Intercepción del QR

Incluso en un escenario donde se exigiera el QR, un atacante sofisticado podría intentar interceptar y retransmitir códigos QR legítimos (ataque de relay). Sin embargo, la naturaleza efímera del QR —validez de segundos— hace este ataque significativamente más difícil que la simple clonación visual, que no requiere ninguna interacción con sistemas reales.

La diferencia clave entre estos vectores es su barrera de entrada. La clonación visual, el único vector que funciona contra el sistema que ha autorizado la JEC, es también el más sencillo de ejecutar: 48 horas y herramientas accesibles, como ha demostrado El Debate.

La contradicción institucional: la Policía sí pide QR, las elecciones no

Hay un hecho que resume toda esta situación mejor que cualquier análisis técnico.

Si un agente de la Policía Nacional te detiene en la calle y le muestras MiDNI en tu teléfono, te va a pedir que generes el QR. Lo va a escanear. Va a verificar criptográficamente que tu identidad es auténtica. No va a aceptar simplemente mirar tu pantalla, porque la Policía Nacional sabe —porque sus propios técnicos diseñaron el sistema— que una pantalla sin verificación no prueba nada.

Sin embargo, si acudes a un colegio electoral para ejercer el derecho fundamental del voto —un acto que configura la representación democrática del país—, basta con mostrar la pantalla.

El Estado exige verificación criptográfica para comprobar tu identidad en una revisión rutinaria en la calle, pero la considera innecesaria para el acto que sostiene la democracia. La identificación en la vía pública tiene más garantías que la identificación para votar.

La contradicción se agrava cuando se examina la secuencia temporal. Según informó El Debate, el Ministro del Interior, Fernando Grande-Marlaska, anunció la posibilidad de votar con MiDNI antes de que la propia JEC validara su uso. Es decir, la decisión política precedió al análisis jurídico y técnico. La JEC se encontró en la posición de tener que validar una decisión ya anunciada públicamente, lo que inevitablemente condiciona su independencia de criterio.

No es difícil ver el patrón: la decisión fue política, y la justificación técnica se construyó después.

Soluciones técnicas viables: la tecnología está lista

Conviene insistir en un punto: el problema no es MiDNI. MiDNI es una aplicación bien diseñada con mecanismos de seguridad robustos. El problema es que se ha decidido no usar esos mecanismos. Las soluciones existen y son implementables:

QR efímero obligatorio

La solución más directa: exigir que todo votante que presente MiDNI genere el código QR y que el presidente de mesa lo escanee con un dispositivo proporcionado por la administración. El coste de un smartphone o tablet básico por mesa electoral es mínimo comparado con el presupuesto total de unas elecciones.

Verificación offline

Para zonas sin cobertura, se pueden desarrollar sistemas de verificación que no requieran conexión en tiempo real. Certificados digitales almacenados localmente en el dispositivo del votante, verificables mediante criptografía asimétrica sin necesidad de contactar con un servidor. La tecnología existe y se usa en otros contextos (billetes de avión, entradas de eventos).

Verificación NFC

Los teléfonos modernos cuentan con NFC. Se podría implementar un sistema donde el dispositivo del votante transmita credenciales verificables por contacto directo con un lector en la mesa, de forma análoga al chip del DNI físico.

Dispositivos de verificación en mesa

La administración electoral podría proporcionar a cada mesa un dispositivo —no necesariamente un smartphone completo, podría ser un lector de QR dedicado— con una base de datos del censo cargada previamente. Esto permitiría verificación sin conexión a internet.

Sistema híbrido

Se podría exigir el QR donde haya cobertura y el DNI físico donde no la haya. Esto respeta el argumento de la cobertura irregular sin sacrificar la seguridad en las zonas donde la verificación sí es posible.

Ninguna de estas soluciones es utópica. Ninguna requiere tecnología que no exista ya. Ninguna impone costes desproporcionados. La barrera no es técnica. Es una decisión.

Lo que está en juego

Es importante calibrar correctamente lo que estamos discutiendo. No estamos afirmando que alguien vaya a cometer fraude electoral masivo con MiDNI. Estamos señalando que el sistema, tal como ha sido autorizado, lo hace técnicamente posible y prácticamente indetectable.

La seguridad electoral no se construye sobre la esperanza de que nadie intente hacer trampas. Se construye sobre la certeza de que, si alguien lo intenta, será detectado. Esa certeza es lo que genera confianza democrática, y la confianza democrática es el cimiento sobre el que se sostiene todo lo demás.

Cuando un sistema electoral tiene vulnerabilidades conocidas, documentadas y demostradas —como las que ha puesto de manifiesto El Debate—, no hace falta que se materialice un fraude para que el daño se produzca. Basta con que la posibilidad exista para que se erosione la confianza. Y una vez erosionada, es extraordinariamente difícil de reconstruir.

No se trata de tecnología contra tradición. Se trata de usar la tecnología bien o mal. MiDNI con QR es usar la tecnología bien. MiDNI sin QR es usar la tecnología de forma irresponsable. Y hacerlo en el contexto del voto es una irresponsabilidad que no podemos permitirnos.

La tecnología para garantizar elecciones seguras con identificación digital existe. Está implementada. Funciona. Sus propios creadores la usan a diario en las identificaciones policiales. La decisión de no exigirla en el contexto electoral no es una limitación técnica: es una elección política. Y como toda elección política, debe ser sometida al escrutinio público y evaluada por sus consecuencias.

Porque si hay algo que una democracia no puede permitirse es que la respuesta a la pregunta "¿quién ha votado aquí?" sea "alguien que mostraba algo que se parecía a un DNI en la pantalla de un móvil".

DNI digital y elecciones: análisis de seguridad de MiDNI y los riesgos para la integridad electoral