MiDNI y el proceso electoral: informe técnico-jurídico sobre identidad digital y seguridad en las urnas

El 26 de marzo de 2026, la Junta Electoral Central adoptó una decisión sin precedentes en la historia democrática reciente de España: suspender el uso de MiDNI y MiDGT como medio de identificación en procesos electorales, revocando su propia doctrina acumulada desde 2023. La resolución, dictada a instancia del Partido Popular, de la Viceconsejería de Presidencia de la Junta de Andalucía y de la propia Dirección General de Política Interior, establece que la suspensión se mantendrá «hasta que se garantice que el control de la verificación de la identidad de los electores por estos sistemas es suficientemente segura». El reconocimiento institucional es inequívoco: las garantías ofrecidas eran insuficientes.

Este documento constituye un informe pericial técnico-jurídico elaborado desde la perspectiva de una consultora especializada en derecho tecnológico, seguridad de la información y cumplimiento normativo. Su objetivo es proporcionar un análisis riguroso, independiente y verificable de las implicaciones técnicas y legales del uso de MiDNI en el contexto electoral, con un grado de profundidad que permita su utilización como referencia por operadores jurídicos, responsables institucionales y ciudadanos informados.

Resumen ejecutivo

MiDNI, la aplicación oficial del Documento Nacional de Identidad digital español, fue autorizada por la Junta Electoral Central para la identificación de electores en procesos electorales mediante el Acuerdo 56/2025 de 18 de septiembre de 2025. Esta autorización se produjo en un contexto en el que la aplicación disponía de un mecanismo de verificación criptográfica mediante código QR dinámico, respaldado por los servidores de la Policía Nacional. Sin embargo, la modalidad efectivamente implementada en la práctica electoral prescindía de esta verificación, limitándose a la inspección visual de la pantalla del dispositivo móvil del elector por parte de los miembros de la mesa electoral.

El 5 de marzo de 2026, la JEC ratificó esta modalidad mediante el Acuerdo 80/2026, avalada por un informe de la directora de la Dirección General de Política Interior, Carmen López García, que sostenía que la visualización en pantalla constituía un control suficiente. Este criterio fue desmentido de manera contundente por expertos de primer nivel internacional en normalización, seguridad digital e identidad electrónica, cuyas valoraciones publicadas entre el 25 y el 26 de marzo de 2026 resultaron determinantes.

El 26 de marzo de 2026, la JEC suspendió sus propios Acuerdos de 16 de febrero de 2023, 18 de septiembre de 2025 y 5 de marzo de 2026, prohibiendo el uso de MiDNI y MiDGT para la identificación electoral «hasta que se garantice que el control de la verificación de la identidad de los electores por estos sistemas es suficientemente segura». La suspensión afecta directamente a las elecciones andaluzas del 17 de mayo de 2026.

Nuestro análisis concluye que la autorización de MiDNI sin verificación criptográfica vulneraba principios fundamentales de seguridad de la información, incumplía los requisitos de los niveles de seguridad establecidos en el Reglamento eIDAS y su normativa de ejecución, y comprometía las garantías constitucionales del derecho de sufragio. La decisión de suspensión es técnicamente correcta y jurídicamente fundamentada, pero no debe interpretarse como un fracaso de la identidad digital, sino como la exigencia de que su implementación se realice con las máximas garantías disponibles.

MiDNI: arquitectura técnica y modelo de seguridad

Para comprender por qué la modalidad autorizada por la JEC era insegura, es necesario analizar primero la arquitectura técnica de MiDNI y su modelo de seguridad tal como fue diseñado originalmente. Solo así es posible identificar con precisión qué eslabón de la cadena de confianza se rompió cuando se prescindió de la verificación por código QR.

Infraestructura y modelo de confianza

MiDNI fue desarrollada por la Dirección General de la Policía Nacional y opera bajo el marco del Real Decreto 255/2025, de 1 de abril (BOE-A-2025-6601), que sustituyó al anterior RD 1553/2005. El artículo 13.5 de este Real Decreto establece que la versión digital del DNI funciona mediante «comunicación segura» con los servidores de la Policía Nacional. El artículo 13.4, por su parte, establece que las versiones física y digital tienen «la misma eficacia jurídica a efectos de identificación».

La activación del DNI digital puede realizarse por dos vías: en línea, a través del portal midni.gob.es, utilizando el certificado electrónico del DNI físico mediante lector NFC; o presencialmente en una comisaría de Policía mediante un Puesto de Actualización de Documentación (PAD). Ambos procedimientos vinculan la identidad del ciudadano a un dispositivo móvil concreto mediante verificación por SMS.

La aplicación ofrece tres niveles progresivos de compartición de datos, denominados DNI Edad (número de DNI, fotografía y confirmación de mayoría de edad), DNI Simple (añade nombre, apellidos, sexo y fecha de validez) y DNI Completo (toda la información personal). Estos niveles se materializan mediante la generación de un código QR dinámico que constituye el núcleo del sistema de verificación.

La cadena de confianza criptográfica

El diseño original de MiDNI establece una cadena de confianza con tres eslabones diferenciados, que en terminología de ingeniería de seguridad se denomina chain of trust:

1. Eslabón ciudadano-dispositivo (autenticación local): El usuario se autentica ante la aplicación mediante contraseña y, opcionalmente, factor biométrico (huella dactilar o reconocimiento facial). Este eslabón garantiza que quien opera la aplicación es el titular registrado del dispositivo.
2. Eslabón dispositivo-servidor (comunicación segura): La aplicación establece una conexión cifrada con los servidores de la Policía Nacional en el Centro de Proceso de Datos (CPD) de El Escorial, Madrid. Esta conexión permite la generación del código QR dinámico, que incorpora un token criptográfico con validez temporal limitada, aproximadamente dos minutos.
3. Eslabón servidor-verificador (validación criptográfica): El tercero que necesita verificar la identidad escanea el código QR con su propio dispositivo, que se conecta a los servidores de la Policía para validar criptográficamente la autenticidad y vigencia del token. Esta operación confirma que los datos mostrados corresponden efectivamente a un DNI válido emitido por la Policía Nacional.

Es fundamental comprender que cada eslabón depende del anterior, y que la eliminación de cualquiera de ellos rompe toda la cadena. Un código QR que no se escanea es, desde el punto de vista criptográfico, exactamente equivalente a no haberlo generado: los datos que muestra la pantalla quedan desvinculados de la autoridad emisora.

Lo que se rompe cuando se elimina el QR

Cuando la JEC autorizó el uso de MiDNI mediante mera visualización en pantalla, se eliminó el tercer eslabón de la cadena: la validación criptográfica por parte del verificador. La consecuencia técnica de esta eliminación es profunda y merece una explicación detallada.

En un sistema de identidad digital, la verificación criptográfica cumple una función análoga a la que cumplen los elementos de seguridad físicos en un documento impreso (hologramas, tintas UV, microimpresiones, fibras de seguridad). Pero con una diferencia fundamental: mientras que los elementos de seguridad físicos pueden ser inspeccionados visualmente (con mayor o menor pericia), un token criptográfico no puede ser verificado por el ojo humano. La verificación requiere necesariamente un proceso computacional que compare el token presentado contra los registros de la autoridad emisora.

Al prescindir del escaneo del QR, el sistema MiDNI queda reducido a un visualizador de datos en pantalla. El miembro de la mesa electoral que observa esos datos no tiene ningún medio de confirmar que:

• Los datos provienen efectivamente de los servidores de la Policía Nacional y no de una aplicación fraudulenta.
• La fotografía mostrada corresponde a una persona real registrada en el sistema.
• Los datos no han sido manipulados en el dispositivo.
• La aplicación que muestra los datos es la versión oficial y no una réplica.
• El dispositivo no ha sido comprometido (rooted o jailbroken) para permitir la inyección de datos falsos.

En términos de ingeniería de seguridad, la visualización sin verificación degrada el nivel de confianza del sistema desde un esquema de autenticación fuerte (basado en algo que el usuario tiene, algo que sabe y algo que es, respaldado por una autoridad de confianza) a un esquema de autenticación nula (basado exclusivamente en la buena fe del presentador). Como expresó el catedrático Raúl Sánchez-Reillo:

«La mesa no valida nada. Ve una pantalla donde dice cosas, pero esas cosas pueden estar generadas artificialmente.»

Raúl Sánchez-Reillo, Catedrático del Departamento de Tecnología Electrónica, Universidad Carlos III de Madrid

Cronología documentada

La secuencia de acontecimientos que condujo a la suspensión revela un patrón institucional preocupante: cada escalón de autorización se apoyó en una evaluación técnica insuficiente, y las advertencias fueron desatendidas hasta que la presión de la comunidad experta internacional resultó imposible de ignorar.

Fecha	Acontecimiento	Significación
01/04/2025	Publicación del Real Decreto 255/2025 (BOE-A-2025-6601), que establece el marco regulatorio de MiDNI sustituyendo al RD 1553/2005	Se reconoce la coexistencia de formatos físico y digital del DNI con idéntica eficacia jurídica (art. 13.4)
02/04/2025	Lanzamiento oficial de la aplicación MiDNI	Inicio de la disponibilidad pública de la aplicación
18/09/2025	La JEC aprueba el Acuerdo 56/2025 autorizando MiDNI para identificación electoral conforme al art. 85.1 LOREG	Primera autorización formal para uso electoral
27/02/2026	Carmen López García, directora de la DGPI, remite informe a la JEC sosteniendo que la visualización en pantalla es suficiente	Informe técnico que avala la modalidad sin verificación QR
05/03/2026	La JEC dicta el Acuerdo 80/2026, ratificando el uso sin QR y rechazando el recurso de reconsideración del PP (expediente 330/333)	Consolidación de la doctrina permisiva
15/03/2026	Primer uso significativo de MiDNI en las elecciones de Castilla y León	Primera prueba real en un proceso electoral
25-26/03/2026	Expertos internacionales en normalización y seguridad digital publican análisis críticos	Punto de inflexión: la comunidad experta desmonta públicamente las garantías alegadas
26/03/2026	La JEC suspende sus Acuerdos de 16/02/2023, 18/09/2025 y 05/03/2026, prohibiendo MiDNI y MiDGT para votación	Suspensión sin precedentes hasta que se garantice seguridad suficiente

Análisis técnico pericial: la verificación visual como control de seguridad

Esta sección constituye el núcleo técnico de nuestro informe pericial. En ella analizamos, con el rigor que correspondería a un dictamen pericial ante un tribunal, por qué la inspección visual de una pantalla de dispositivo móvil es objetivamente inadecuada como mecanismo de verificación de identidad en un proceso electoral.

Identificación, autenticación y autorización: una distinción fundamental

En ingeniería de seguridad, los conceptos de identificación, autenticación y autorización son tres procesos distintos que se ejecutan secuencialmente y que nunca deben confundirse:

• Identificación (identification): el sujeto declara quién es. Es una afirmación unilateral sin valor probatorio. Equivale a decir «soy Juan García Pérez».
• Autenticación (authentication): el sistema verifica que la declaración de identidad es verdadera mediante uno o varios factores de confianza. Equivale a demostrar que efectivamente se es Juan García Pérez mediante algo que solo él tiene (token), sabe (contraseña) o es (biometría).
• Autorización (authorization): una vez autenticada la identidad, el sistema determina qué acciones puede realizar el sujeto. En el contexto electoral, esto equivale a confirmar que Juan García Pérez está inscrito en el censo de esa mesa y no ha ejercido ya su voto.

La modalidad autorizada por la JEC colapsaba estos tres procesos en uno solo: la inspección visual de la pantalla. El miembro de la mesa debía simultáneamente identificar al elector (leer sus datos), autenticarlo (confiar en que esos datos eran legítimos) y autorizarlo (cotejar con el censo), todo ello mediante la observación de una pantalla que no incorporaba ningún mecanismo de autenticación verificable. En la práctica, la autenticación quedaba eliminada del proceso, reduciéndose a una mera identificación (declaración unilateral) seguida directamente de la autorización (cotejo censal).

Superficie de ataque: vectores de suplantación

Para que un juez o un operador jurídico comprenda la dimensión del riesgo, es necesario describir con precisión técnica los vectores de ataque que la modalidad autorizada dejaba abiertos. No se trata de escenarios teóricos de laboratorio, sino de técnicas accesibles con herramientas disponibles públicamente.

Vector 1: Clonación de la interfaz de la aplicación. La interfaz de usuario de MiDNI es una pantalla que muestra datos (nombre, fotografía, número de DNI) con un diseño gráfico determinado. Replicar visualmente esta interfaz requiere conocimientos básicos de desarrollo móvil o, más sencillamente, de diseño web. Una aplicación fraudulenta que reproduzca la interfaz de MiDNI con datos falsos es indistinguible a simple vista de la aplicación original. No existe ningún elemento visual que un observador humano pueda utilizar para diferenciar una pantalla auténtica de una réplica, del mismo modo que no se puede distinguir una fotografía de un cuadro de una fotografía de una fotocopia del mismo cuadro. Como señaló Miguel Bañón Puente, Convenor del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 3:

«Presentarte con una identidad falsa ante la mesa electoral es más fácil que copiar en un examen. Hoy a un experto en tecnología le cuesta minutos replicar esos aspectos y presentar su foto con los datos de su cuñado.»

Miguel Bañón Puente, Convenor ISO/IEC JTC 1 / SC 27 / WG 3

Vector 2: Manipulación de capturas de pantalla o grabaciones de pantalla. Un atacante podría capturar la pantalla de un MiDNI legítimo y modificar los datos mostrados (nombre, fotografía, número de DNI) utilizando herramientas de edición gráfica convencionales. La imagen resultante, mostrada a pantalla completa en el dispositivo, sería visualmente idéntica a la aplicación en funcionamiento. La resolución de las pantallas actuales de los dispositivos móviles (típicamente superior a 400 píxeles por pulgada) supera ampliamente la capacidad de resolución del ojo humano a la distancia de inspección (unos 30-50 centímetros), lo que hace imposible detectar artefactos de edición.

Vector 3: Dispositivos comprometidos. Un dispositivo móvil con privilegios de root (Android) o jailbreak (iOS) permite la ejecución de código con acceso completo al sistema operativo. En un dispositivo comprometido, es posible interceptar y modificar los datos que la aplicación MiDNI muestra en pantalla antes de que lleguen al renderizado gráfico, sin alterar la aplicación misma. Esta técnica, conocida como hooking de funciones, es utilizada rutinariamente en pruebas de seguridad y está disponible en herramientas de código abierto como Frida o Xposed Framework.

Vector 4: Generación de identidades sintéticas mediante inteligencia artificial. Las técnicas actuales de generación de imágenes faciales mediante redes generativas adversariales (GAN) y modelos de difusión permiten crear fotografías de personas inexistentes con un grado de realismo que supera consistentemente la capacidad de detección del ojo humano no asistido. Un atacante podría generar una fotografía facial sintética y asociarla a datos de identidad reales o inventados en una aplicación clonada, sin que el miembro de la mesa tuviera ninguna posibilidad razonable de detectar la falsificación.

Por qué la inspección visual viola los principios fundamentales de seguridad

La decisión de confiar la verificación de identidad electoral a la inspección visual de una pantalla contradice varios principios fundamentales de la ingeniería de seguridad de la información, ampliamente reconocidos en la normativa técnica internacional (serie ISO/IEC 27000) y en el Esquema Nacional de Seguridad (RD 311/2022):

Principio de defensa en profundidad (defense in depth): un sistema seguro debe incorporar múltiples capas de protección independientes, de modo que el fallo de una capa no comprometa el sistema completo. La modalidad autorizada eliminaba la única capa de verificación criptográfica disponible, dejando como único control la percepción visual humana, que es un control inherentemente débil, subjetivo y no auditable.

Principio de no repudio (non-repudiation): en un sistema de identificación, debe ser posible demostrar a posteriori que una identidad fue verificada correctamente. La inspección visual no genera ningún registro, ninguna traza criptográfica ni ninguna evidencia que permita confirmar o desmentir que la verificación se realizó correctamente. Como expresó Julián Inza:

«Un miembro de la mesa que "mire" el móvil del votante no valida nada.»

Julián Inza, Presidente EAD Trust (prestador cualificado eIDAS); director del Laboratorio de Identidad Digital Garrigues-ICADE; miembro del grupo de trabajo ENISA sobre Carteras de Identidad Digital

Principio de verificación independiente: la verificación de una credencial debe realizarse de forma independiente al presentador de la misma. El verificador debe tener acceso a una fuente de confianza (en este caso, los servidores de la Policía Nacional) para contrastar la información. Sin el escaneo del QR, el verificador depende exclusivamente de lo que el presentador le muestra, sin ningún canal independiente de confirmación.

Principio de adecuación del control al riesgo: la intensidad de un control de seguridad debe ser proporcional al valor del activo protegido y a la severidad de las consecuencias de su compromiso. El derecho de sufragio es un derecho fundamental (art. 23 CE) cuya vulneración afecta a la legitimidad del sistema democrático. Un control basado en la inspección visual de una pantalla es objetivamente inadecuado para proteger un activo de esta trascendencia.

La asimetría con el documento físico

Es frecuente que en este debate se argumente que «el DNI físico también puede falsificarse». Esta afirmación, siendo técnicamente correcta, oculta una asimetría fundamental que es necesario exponer.

El DNI físico incorpora una acumulación de elementos de seguridad físicos diseñados para ser verificables mediante inspección sensorial directa: hologramas con efectos ópticos variables, tintas con respuesta ultravioleta, microimpresiones legibles solo con lupa, relieve al tacto (letras en Braille e impresión intaglio), fibras de seguridad visibles e invisibles, numeración mediante perforación láser, y policarbonato laminado que impide la delaminación sin destrucción visible. Estos elementos operan en el plano físico: son tridimensionales, dependen de propiedades ópticas y táctiles de materiales específicos, y su falsificación requiere acceso a maquinaria industrial especializada.

Una pantalla de dispositivo móvil opera en un plano radicalmente distinto: emite luz en dos dimensiones, con una resolución y una gama cromática homogéneas. No existe ninguna propiedad física de una pantalla que un observador pueda utilizar para distinguir una imagen auténtica de una imagen manipulada. La diferencia entre falsificar un DNI físico (que requiere replicar propiedades materiales) y falsificar una pantalla de MiDNI (que requiere replicar una disposición de píxeles) es la diferencia entre fabricar un billete de 50 euros y fotocopiarlo en color. Como afirmó el propio Bañón Puente, se estaba aceptando algo «más fácil de falsificar que una fotocopia del DNI físico».

El contraargumento del censo: análisis técnico

Se ha planteado que el sistema censal proporciona una capa de protección adicional que limita el alcance de una posible suplantación. El argumento sostiene que un atacante necesitaría conocer la mesa electoral exacta asignada a la víctima, acudir antes que ella y asumir el riesgo de que la víctima vote después, revelando el fraude.

Este contraargumento tiene un mérito legítimo que conviene reconocer: efectivamente, el sistema censal introduce una restricción práctica que reduce el vector de ataque masivo. Sin embargo, desde la perspectiva de un análisis pericial, presenta debilidades significativas:

• El dato de asignación censal no es secreto. Los censos electorales son consultables públicamente durante los periodos de exposición. Un atacante con acceso a esta información puede conocer la mesa asignada a cualquier elector.
• El argumento confunde impacto con probabilidad. Que un ataque individual tenga consecuencias limitadas no significa que el control sea adecuado. En procesos electorales con resultados ajustados, incluso una suplantación individual puede ser jurídicamente relevante.
• El argumento normaliza una vulnerabilidad en lugar de corregirla. Desde el punto de vista de la ingeniería de seguridad, la existencia de controles compensatorios no justifica la eliminación deliberada de un control primario, especialmente cuando ese control (la verificación QR) está disponible y no implica coste adicional.
• El riesgo no es solo la suplantación consumada, sino la pérdida de confianza. La mera posibilidad demostrable de suplantación erosiona la confianza ciudadana en el proceso electoral, con independencia de que se materialice o no. El valor protegido no es solo la integridad del recuento, sino la legitimidad percibida del sistema democrático.

Análisis jurídico: normativa aplicable y potenciales vulneraciones

El uso electoral de MiDNI sin verificación criptográfica se sitúa en la intersección de múltiples marcos normativos, tanto nacionales como europeos. A continuación analizamos cada uno de ellos con la estructura y el rigor propios de un dictamen jurídico.

Constitución Española: artículo 23 y el derecho de sufragio

El artículo 23.1 de la Constitución Española reconoce el derecho de los ciudadanos a «participar en los asuntos públicos, directamente o por medio de representantes, libremente elegidos en elecciones periódicas por sufragio universal». Este derecho fundamental tiene una doble dimensión: activa (el derecho a votar) y pasiva (el derecho a ser elegido), y su ejercicio efectivo presupone la existencia de un sistema de identificación electoral que garantice simultáneamente dos objetivos potencialmente en tensión: que todo ciudadano con derecho a voto pueda ejercerlo (inclusividad) y que ningún ciudadano sin derecho a voto pueda hacerlo, ni que ningún ciudadano pueda votar más de una vez (integridad).

Un sistema de identificación electoral que no pueda garantizar la autenticidad de la identidad presentada compromete la dimensión de integridad del derecho de sufragio. Cuando la suplantación es técnicamente trivial, como hemos demostrado en el apartado anterior, la mera autorización de ese sistema introduce un riesgo estructural que afecta al fundamento constitucional del proceso electoral. No es necesario que se materialice un fraude concreto: la vulnerabilidad sistémica, por sí sola, compromete la garantía institucional del derecho.

LOREG: artículos 85.1 y 86 de la LO 5/1985

El artículo 85.1 de la Ley Orgánica del Régimen Electoral General establece los medios de identificación del elector ante la mesa electoral, requiriendo la presentación de su Documento Nacional de Identidad, pasaporte o permiso de conducir «en que aparezca la fotografía del titular». La literalidad de este precepto revela su origen temporal (1985) y su presupuesto implícito: el legislador contemplaba documentos físicos con elementos de seguridad inherentes al soporte material.

La extensión interpretativa realizada por la JEC para incluir la versión digital del DNI no es en sí misma irrazonable, especialmente a la luz del artículo 13.4 del RD 255/2025, que equipara la eficacia jurídica de ambas versiones. Sin embargo, esta equiparación presupone que la versión digital se utiliza con todas sus capacidades de verificación, no con una versión degradada que prescinde de sus mecanismos de seguridad.

El artículo 86 de la LOREG, por su parte, regula las incidencias en la identificación del elector, incluyendo la obligación de la mesa de rechazar el voto cuando la identidad del elector no pueda ser suficientemente acreditada. Este precepto plantea una cuestión relevante: si la mesa electoral no dispone de medios técnicos para verificar la autenticidad de un MiDNI presentado sin QR, ¿debería rechazar sistemáticamente este medio de identificación? Una lectura garantista del artículo 86 así lo sugeriría, lo que en la práctica habría vaciado de contenido la autorización de la JEC.

Reglamento eIDAS: artículos 7 y 8 del Reglamento (UE) 910/2014

El Reglamento (UE) 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS) establece en su artículo 8 tres niveles de seguridad para los medios de identificación electrónica: bajo, sustancial y alto. Estos niveles se desarrollan en el Reglamento de Ejecución (UE) 2015/1502, cuyo Anexo, sección 2.3, define los requisitos técnicos específicos de cada nivel.

El nivel bajo requiere, como mínimo, que el medio de identificación ofrezca un grado limitado de confianza en la identidad declarada, reduciendo el riesgo de uso indebido o alteración de la identidad. El nivel sustancial exige un grado sustancial de confianza, reduciendo sustancialmente el riesgo. El nivel alto requiere un grado mayor de confianza, impidiendo el uso indebido o la alteración de la identidad.

Un sistema que permite la verificación exclusivamente visual de una pantalla de dispositivo móvil, sin verificación criptográfica contra una fuente de confianza, no alcanza siquiera el nivel bajo de seguridad definido en eIDAS. Este nivel bajo ya requiere que el medio de identificación proporcione algún grado de protección contra la falsificación y la alteración. La visualización de una pantalla no ofrece protección alguna contra ninguno de estos riesgos, como hemos demostrado en el análisis técnico precedente.

El artículo 7 de eIDAS establece las condiciones para el reconocimiento mutuo de medios de identificación electrónica entre Estados miembros. Para que un medio de identificación sea notificado bajo eIDAS, debe haber sido sometido a una evaluación de conformidad que confirme su adecuación al nivel de seguridad declarado. MiDNI no ha sido notificado bajo eIDAS, lo que significa que no ha superado ninguna evaluación de conformidad europea. Este dato, por sí solo, debería haber sido suficiente para cuestionar su uso en un contexto tan sensible como el electoral.

eIDAS 2.0: Reglamento (UE) 2024/1183 y la cartera EUDI

El Reglamento (UE) 2024/1183, que modifica el eIDAS original, establece el marco para las carteras europeas de identidad digital (EUDI Wallet). Esta normativa, de obligado cumplimiento para todos los Estados miembros, define requisitos técnicos y de seguridad significativamente más exigentes que los actuales, incluyendo certificación de seguridad, interoperabilidad obligatoria, protección de datos por diseño y verificación criptográfica obligatoria.

La autorización de MiDNI sin verificación QR se movía en dirección diametralmente opuesta a la que establece eIDAS 2.0. Mientras la normativa europea avanza hacia carteras de identidad digital con seguridad certificada y verificación criptográfica obligatoria, la decisión de la JEC avalaba un sistema que prescindía de la verificación criptográfica ya disponible. Como expresó Ignacio Alamillo, fundador del ETSI TC ESI y miembro de los comités CEN TC 224 y CEN-CLC/JTC 19:

«Si no hay QR, no se ha expedido la versión digital del DNI y, por tanto, nada hay que presentar al tercero frente al que debemos probar nuestra identidad, desapareciendo toda garantía.»

Ignacio Alamillo, Doctor en Derecho (Universidad de Murcia); fundador del ETSI TC ESI; miembro de CEN TC 224, CEN-CLC/JTC 19 e ISO TC 307

Y añadía:

«Resulta impensable degradar las garantías que actualmente ofrecen los documentos oficiales de identidad.»

Ignacio Alamillo

RGPD: artículo 9 del Reglamento (UE) 2016/679

El artículo 9 del Reglamento General de Protección de Datos establece la prohibición general de tratamiento de categorías especiales de datos personales, entre las que se incluyen los datos biométricos dirigidos a identificar de manera unívoca a una persona física. La fotografía del DNI, cuando se utiliza con fines de identificación biométrica (comparación facial entre la fotografía del documento y la persona física presente), constituye un dato biométrico en el sentido del artículo 9.

El tratamiento de estos datos solo es lícito al amparo de alguna de las excepciones del artículo 9.2. En el contexto electoral, la base jurídica más directa sería el artículo 9.2.g) (interés público esencial). Sin embargo, esta excepción exige que el tratamiento sea proporcional al objetivo perseguido y que se establezcan medidas adecuadas y específicas para proteger los intereses del titular.

Un sistema que expone datos biométricos (fotografía facial) en la pantalla de un dispositivo móvil sin verificación criptográfica plantea cuestiones de proporcionalidad. El elector muestra su fotografía facial a un tercero (miembro de la mesa) en un dispositivo sobre el que este tercero no ejerce ningún control, en un entorno (colegio electoral) donde otros ciudadanos pueden observar la pantalla, sin que exista ningún mecanismo técnico que garantice que el dato no es capturado (mediante fotografía de la pantalla, por ejemplo) ni que limite la exposición al tiempo estrictamente necesario. La guía de la AEPD sobre tratamientos de control de presencia mediante sistemas biométricos establece criterios de proporcionalidad y minimización que difícilmente se cumplían en este escenario.

Esquema Nacional de Seguridad: RD 311/2022

El Real Decreto 311/2022 por el que se regula el Esquema Nacional de Seguridad establece los principios básicos y requisitos mínimos que deben cumplir los sistemas de información del sector público español. Si bien el ENS se aplica primariamente a los sistemas de las administraciones públicas, su marco de referencia es directamente relevante para evaluar la adecuación de MiDNI como sistema utilizado en un procedimiento público de la máxima trascendencia.

El ENS exige, entre otros requisitos, la implementación de controles de autenticación proporcionales al nivel de seguridad del sistema, la generación de registros de auditoría que permitan la trazabilidad de las operaciones, y la realización de análisis de riesgos que fundamenten las decisiones de seguridad. La autorización de MiDNI sin verificación criptográfica incumplía los tres requisitos: eliminaba el control de autenticación criptográfica, no generaba ningún registro de auditoría en la verificación, y no consta que se realizara un análisis de riesgos que fundamentara la decisión de prescindir del QR.

La LOPDGDD: LO 3/2018

La Ley Orgánica 3/2018 de Protección de Datos Personales y garantía de los derechos digitales, como norma de transposición y complemento del RGPD en el ordenamiento español, refuerza las garantías del Reglamento europeo y establece obligaciones adicionales para los tratamientos realizados por las administraciones públicas. En particular, su régimen sancionador y las competencias de supervisión de la AEPD resultan aplicables a los tratamientos de datos personales que se realizan en el proceso de identificación electoral, incluyendo la exposición visual de datos personales y biométricos en la pantalla del dispositivo del elector.

Pronunciamientos de expertos en normalización y certificación

La suspensión de la JEC no se produjo en un vacío técnico. Fue precedida por los pronunciamientos públicos de expertos de primer nivel internacional en normalización, seguridad digital e identidad electrónica, cuyas credenciales institucionales otorgan a sus valoraciones un peso cualificado que trasciende la opinión individual.

Miguel Bañón Puente

Bañón Puente es Convenor (coordinador) del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 3, el organismo internacional responsable de la normalización en materia de evaluación de seguridad de tecnologías de la información. Su posición institucional implica que coordina directamente los trabajos de los que emanan los estándares internacionales de seguridad aplicables a sistemas como MiDNI.

«Presentarte con una identidad falsa ante la mesa electoral es más fácil que copiar en un examen. Hoy a un experto en tecnología le cuesta minutos replicar esos aspectos y presentar su foto con los datos de su cuñado.»

Miguel Bañón Puente

Y de forma aún más directa:

«Están aceptando algo que es más fácil de falsificar que una fotocopia del DNI físico.»

Miguel Bañón Puente

La aportación de Bañón Puente es especialmente relevante porque sitúa el problema en términos comparativos comprensibles: no se trata de un riesgo teórico, sino de una facilidad de falsificación que supera la del medio menos seguro concebible (una fotocopia).

Ignacio Alamillo

Doctor en Derecho por la Universidad de Murcia, fundador del ETSI TC ESI (comité técnico europeo de firmas electrónicas e infraestructuras), miembro de los comités CEN TC 224 (identificación personal y servicios asociados), CEN-CLC/JTC 19 (blockchain e identidad digital) e ISO TC 307 (tecnologías blockchain y de registro distribuido). Su perfil combina la perspectiva jurídica con el conocimiento técnico normativo, lo que le confiere una autoridad singular en la intersección de ambos campos.

Las declaraciones de Alamillo son particularmente significativas porque identifican un problema jurídico-técnico de primer orden: sin la verificación QR, lo que se presenta al verificador no es, en rigor, el DNI digital. Es simplemente una pantalla con datos que podría mostrar cualquier aplicación. La versión digital del DNI se constituye como tal precisamente por su vinculación criptográfica con la autoridad emisora, y esa vinculación solo se materializa a través del mecanismo de verificación. Suprimida la verificación, desaparece la naturaleza jurídica del documento.

Julián Inza

Presidente de EAD Trust, prestador cualificado de servicios de confianza bajo el Reglamento eIDAS; director del Laboratorio de Identidad Digital Garrigues-ICADE; miembro del grupo de trabajo de ENISA (Agencia de la Unión Europea para la Ciberseguridad) sobre Carteras de Identidad Digital. Su implicación directa en el diseño del futuro marco EUDI europeo otorga a su perspectiva un valor prospectivo fundamental.

Su afirmación, aparentemente simple, encierra una verdad técnica profunda: «mirar» no es «validar». En ingeniería de seguridad, la validación es un proceso formal que produce un resultado binario (válido/no válido) basado en criterios objetivos y verificables. La observación visual es un proceso informal, subjetivo, no reproducible y no auditable. Confundir ambos procesos es un error conceptual que compromete la integridad del sistema.

Raúl Sánchez-Reillo

Catedrático del Departamento de Tecnología Electrónica de la Universidad Carlos III de Madrid, su aportación refuerza la perspectiva académica sobre la facilidad de generación artificial de contenido visual, un aspecto especialmente relevante en el contexto actual de avance de las tecnologías de inteligencia artificial generativa.

Alonso Hurtado Bueno

Socio de IT & Compliance en ECIJA, su observación apunta a una dimensión adicional del problema: la inversión del discurso institucional. La posición oficial presentaba la verificación QR como un «exceso» de seguridad prescindible, cuando en realidad constituía la garantía mínima necesaria para que el sistema funcionara conforme a su diseño.

«Interior presenta como un "exceso" lo que en realidad es una garantía.»

Alonso Hurtado Bueno, Socio de IT & Compliance, ECIJA

España en el contexto europeo: la cartera EUDI y el retraso regulatorio

El caso MiDNI no puede analizarse de forma aislada. Se inscribe en un contexto europeo de transición hacia las carteras de identidad digital (EUDI Wallet) que el Reglamento (UE) 2024/1183 (eIDAS 2.0) hace obligatorio para todos los Estados miembros. La posición de España en este proceso resulta preocupante cuando se compara con la de otros Estados de la Unión.

País	Solución de identidad digital	Estado de desarrollo	Sandbox público	Notificación eIDAS
Francia	France Identité	En progreso hacia EUDI	Sí	En curso
Alemania	Múltiples proveedores	eID existente, migración EUDI	Sí	Sí (eID existente)
Austria	ID Austria	Operativa, upgrade EUDI confirmado	Sí	Sí
Bélgica	itsme	Operativa, alta adopción	Sí	Sí
Italia	IO App / SPID	Infraestructura madura, migración EUDI anunciada	Sí	Sí (SPID)
Portugal	Chave Móvel Digital	Operativa, upgrade EUDI confirmado	Sí	Sí
España	MiDNI	Versión inicial, sin hoja de ruta EUDI publicada	No	No

Fuente: elaboración propia a partir del informe de eID Easy (febrero de 2026).

La tabla revela una situación anómala: España es el único país de los comparados que combina la ausencia de sandbox público (entorno de pruebas abierto para desarrolladores), la ausencia de notificación bajo eIDAS y la ausencia de hoja de ruta pública hacia la cartera EUDI. Esta triple ausencia sitúa a España en una posición de retraso regulatorio significativo respecto a sus socios europeos.

El contraste es especialmente llamativo con países como Austria, Bélgica e Italia, que ya tienen soluciones de identidad digital plenamente operativas, notificadas bajo eIDAS y con planes de migración a EUDI confirmados. Estos países han optado por un enfoque incremental: desarrollar primero una solución sólida, someterla a evaluación de conformidad, notificarla a la Comisión Europea y después integrarla en procesos sensibles. España, por el contrario, ha autorizado el uso electoral de MiDNI antes de completar ninguno de estos pasos.

Las implicaciones prácticas son significativas. Sin notificación eIDAS, MiDNI no es reconocible como medio de identificación electrónica por ningún otro Estado miembro. Sin sandbox público, los desarrolladores y auditores independientes no pueden evaluar la seguridad del sistema. Y sin hoja de ruta EUDI, no existe certeza sobre cómo y cuándo España cumplirá las obligaciones derivadas de eIDAS 2.0.

Soluciones técnicas viables

La suspensión de MiDNI para uso electoral no implica que la identificación digital sea inviable en procesos electorales. Al contrario, existen múltiples soluciones técnicas que permitirían utilizar la identidad digital con garantías suficientes. A continuación describimos cuatro opciones, ordenadas de menor a mayor complejidad de implementación.

1. Activación obligatoria de la verificación QR en mesas electorales

La solución más inmediata y menos costosa consiste en utilizar MiDNI tal como fue diseñado: con verificación mediante código QR. Esto requeriría dotar a cada mesa electoral de un dispositivo con conexión a internet (un smartphone o tablet) capaz de escanear el QR y confirmar su validez contra los servidores de la Policía Nacional. El coste marginal de esta medida es bajo (los dispositivos son económicos y la infraestructura de servidores ya existe), y el incremento de seguridad es sustancial: se restablece la cadena de confianza criptográfica completa.

Las limitaciones de esta solución son la dependencia de la conectividad a internet en el colegio electoral y la ventana temporal limitada del QR (aproximadamente dos minutos), que podría generar incidencias en situaciones de alta afluencia.

2. Verificación offline mediante certificados X.509 o tokens JWT

Una solución más robusta, que elimina la dependencia de la conectividad, consistiría en implementar un mecanismo de verificación offline basado en criptografía de clave pública. La aplicación MiDNI generaría un token firmado digitalmente (por ejemplo, un JSON Web Token o un certificado X.509 de corta duración) que contendría los datos de identidad del elector y una firma digital verificable contra la clave pública de la Policía Nacional. El dispositivo de la mesa electoral podría verificar esta firma sin conexión a internet, ya que solo necesitaría tener precargada la clave pública de la autoridad emisora.

Esta solución ofrece las garantías criptográficas del QR online sin sus limitaciones de conectividad, y es técnicamente viable con tecnología estándar ampliamente desplegada.

3. Verificación mediante NFC

Otra alternativa consiste en utilizar la comunicación de campo cercano (NFC) entre el dispositivo del elector y el dispositivo de la mesa. La aplicación MiDNI transmitiría por NFC un paquete de datos firmado criptográficamente que el dispositivo receptor verificaría localmente. Esta solución combina la seguridad criptográfica con la proximidad física (NFC opera a distancias inferiores a 10 centímetros), añadiendo una capa adicional de protección contra ataques remotos.

4. Integración con la cartera EUDI

La solución más adecuada a medio plazo es la evolución de MiDNI hacia una cartera EUDI certificada conforme a eIDAS 2.0. Esta opción garantizaría niveles de seguridad auditados por organismos independientes, interoperabilidad europea, firma electrónica cualificada, protección de datos por diseño y cumplimiento normativo pleno. El calendario de implementación de eIDAS 2.0, que impone obligaciones a los Estados miembros desde 2026, convierte esta opción no solo en deseable sino en obligatoria.

Propuesta de reforma legislativa

Este episodio ha puesto de manifiesto un vacío normativo que requiere intervención legislativa. La LOREG fue redactada en 1985 y sus disposiciones sobre identificación del elector presuponen un contexto tecnológico radicalmente distinto al actual. Es necesaria una reforma que aborde específicamente las condiciones de uso de la identidad digital en procesos electorales.

Proponemos las siguientes modificaciones:

1. Modificación del artículo 85.1 de la LOREG para incluir una referencia explícita a los medios de identificación digital, estableciendo como requisito imprescindible que cualquier medio digital de identificación electoral incorpore verificación criptográfica en tiempo real o diferido contra la autoridad emisora del documento. La mera visualización de datos en pantalla debería quedar expresamente excluida como medio de identificación suficiente.
2. Incorporación de un nivel mínimo de seguridad eIDAS: la norma debería exigir que cualquier medio de identificación digital utilizado en procesos electorales cumpla, como mínimo, el nivel de seguridad sustancial del Reglamento (UE) 910/2014, habida cuenta de la trascendencia constitucional del derecho protegido.
3. Obligación de trazabilidad y auditoría: el sistema de identificación digital electoral debería generar registros de auditoría que permitan verificar a posteriori que cada identificación fue correctamente autenticada, sin comprometer el secreto del voto. Estos registros serían esenciales para el control jurisdiccional del proceso electoral previsto en la LOREG.
4. Certificación previa obligatoria: cualquier sistema de identificación digital utilizado en el ámbito electoral debería superar una certificación de seguridad conforme al Esquema Nacional de Seguridad (RD 311/2022) antes de su autorización por la JEC. Esta certificación debería ser realizada por un organismo independiente y sus resultados, públicos.
5. Informe preceptivo de la AEPD: dado que la identificación electoral implica tratamiento de datos biométricos (fotografía facial), la autorización de cualquier medio digital de identificación debería ir precedida de un informe preceptivo de la Agencia Española de Protección de Datos que evalúe la proporcionalidad del tratamiento y la adecuación de las medidas de protección.

Reflexión final

Reducir las garantías de seguridad en el ámbito electoral es un riesgo inasumible. El derecho de sufragio es la piedra angular del sistema democrático, y los mecanismos que lo protegen no pueden ser degradados por conveniencia operativa ni por una interpretación laxa de lo que constituye una verificación de identidad.

MiDNI incorpora un sistema de verificación criptográfica que funciona. Se decidió no utilizarlo. Esa decisión —no la tecnología— es lo que la JEC ha corregido. La verificación QR ya existía, estaba disponible y no requería desarrollo adicional. Lo que faltó fue la voluntad de exigirla en el único contexto donde resulta verdaderamente imprescindible.

Que las personas que diseñan y auditan los estándares internacionales de seguridad digital —ISO, ETSI, CEN, ENISA— hayan tenido que intervenir públicamente para señalar lo que debería haber sido evidente desde el primer momento dice mucho sobre la calidad del asesoramiento técnico que recibió la JEC. Presentar la verificación criptográfica como un «exceso» cuando es la garantía mínima de funcionamiento del sistema no es una simplificación: es una inversión del sentido común técnico.

La identidad digital llegará a las urnas. Es inevitable y deseable. Pero cuando llegue, deberá hacerlo con todas sus capacidades de verificación activas, certificada conforme a los estándares europeos y respaldada por un marco legislativo que hoy no existe. Mientras tanto, la suspensión de la JEC es la decisión correcta.

---

Fuentes y referencias normativas

• Real Decreto 255/2025, de 1 de abril, por el que se regulan las condiciones de expedición del DNI y sus certificados electrónicos (BOE-A-2025-6601)
• Junta Electoral Central: Acuerdo 80/2026, sesión de 5 de marzo de 2026 (Expediente 330/333)
• El Debate: expertos internacionales en seguridad digital aseguran que MiDNI y MiDGT no cumplen la normativa europea (25/03/2026)
• El Debate: tres expertos más afirman que el Gobierno no informó correctamente a la JEC (26/03/2026)
• Infobae: la JEC prohíbe el uso del DNI digital para votar (26/03/2026)
• Voz Pópuli: la JEC impide el uso del DNI digital para votar en Andalucía (26/03/2026)
• AEPD: Guía sobre tratamientos de control de presencia mediante sistemas biométricos (2023)
• Reglamento (UE) 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), arts. 7 y 8
• Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo (eIDAS 2.0)
• Reglamento de Ejecución (UE) 2015/1502 de la Comisión, de 8 de septiembre de 2015, Anexo, sección 2.3 (niveles de seguridad)
• Ley Orgánica 5/1985, de 19 de junio, del Régimen Electoral General (LOREG), arts. 85 y 86
• Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo (Reglamento General de Protección de Datos), art. 9
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD)
• Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS)
• Constitución Española de 1978, art. 23 (derecho de participación política)