Archivo por meses: noviembre 2006

Las PKI y los certificados digitales. Visión del 2002

Deja un comentario

A veces es interesante recuperar artículos como el que voy a mencionar, porque permiten valorar mejor el trecho recorrido.

Se publicó en Comunicaciones World del Gupo IDG en el año 2002, y sus autores son Eva Martín y Francisco Marcelo.

Esta es la «versión para imprimir» del artículo «PKI y certificados digitales: Un mercado en alza«.

(Aunque había reproducido el artículo, después me he dado cuenta de que IDG prohibe esta forma de reproducción, por lo que lo he eliminado. Podeis recurrir al enlace indicado).

Certificados reconocidos o cualificados

Deja un comentario

Este es un comentario que puse en Foros Internet el 21 de marzo de 2004, cuando acababa de entrar en vigor la Ley 59/2003 de Firma Electrónica, y en el que proponía un acuerdo sobre los OID en los certificados. Poco se ha avanzado en este tiempo.

El despliegue de sistemas de certificación diseñados para dar soporte a certificados reconocidos («qualified certificates» según la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica) introduce algunos retos tales como el consenso sobre los formatos que deben de cumplir los certificados reconocidos.

En un primer nivel, deben seguirse las normas siguientes:

– ETSI TS 101 862 (Qualified certificate profile)
http://www.ietf.org/rfc/rfc2459.txt (Internet X.509 Public Key Infrastructure. Certificate and CRL Profile)
http://www.ietf.org/rfc/rfc3739.txt (Internet X.509 Public Key Infrastructure. Qualified Certificates Profile)
http://www.ietf.org/rfc/rfc3280.txt (Internet X.509 Public Key Infrastructure. Certificate and Certificate Revocation List (CRL) Profile)

En este sentido aparece una cierta homogeinización sobre la forma de gestionar los certificados, más allá de lo que define el estándar X.509V3.

Sin embargo también es necesario consensuar la forma de referirse a determinados atributos de las personas a las que se emiten los certificados «cualificados», de forma que no se haga en exceso compleja la tarea de los terceros que confían en los certificados.

Entre los atributos que hay que homogeneizar cabe relacionar (sin caracter de exhaustividad) los siguientes:

  • DNI
  •  NIF
  •  Número de tarjeta de residente
  •  Número de licencia de conducir
  •  Número de IVA según la VI Directiva (del IVA)
  •  Número de la Seguridad Social para empresas
  •  Número de la Seguridad Social para personas
  •  Número de empleado
  •  Referencia de Inscripción de un poder en el Registro Mercantil
  •  Número de Colegiado
  •  Número de Póliza de Seguro

A esta lista habrá que añadir todavía una larga serie de datos de interés en los procesos de identificación en los que se emplean certificados.

La forma de homogeneizar el tratamiento de esta información entre los diferentes Prestadores de Servicios de Certificación puede tener dos lineas de acción:

  • Recopilar de cada organismo encargado de gestionar el dato en el mundo real, el OID correspondiente para el mundo real (por ejemplo, la Agencia Estatatal de Administración Tributaria ha definido el NIF de la persona que custodia un certificado de Persona Jurídica: 1.3.6.1.4.1.18838.1.1)
  • Coordinar en un único organismo la atribución de significado a los diferentes OIDs requeridos para ser usados por todos los PSC (este es uno de los roles que podría asumir AECODI, cuyo identificativo como oficina de asignación de OID es 1.3.6.1.4.1.19126)

En todo caso, la entrada en vigor de la ley 59/2003 es una excelente oportunidad para que los Prestadores de Servicios de Certificación se coordinen.

Noticias del SIMO 2006

1 respuesta

Ayer estuve en el SIMO y pude ver poco movimiento en la calle central. Yo ni entré en los pabellones porque iba a un par de temas profesionales. Un evento de networking con empresas latinoamericanas por la mañana y por la tarde una ponencia sobre Digitalización Certificada en las jornadas de AEDOC Digital. Me hubiera gustado ver la zona del Plan Avanza, porque me han comentado que está muy bien.

La sensación de pocos visitantes me hizo pensar que en la era de Internet, las ferias tienen que replantearse, porque ya no responden a las mismas necesidades que justificaron su existencia el siglo pasado.

Lo cierto es que con webs como el Blog del  NoticiasDot de  Ángel Cortés  sobre SIMO, tienes seguramente referenciado lo más interesante que aparece por allí.

OID para uso en certificados electrónicos y otros contextos

4 respuestas

La Agencia Europea de Confianza Digital (AECODI) dispone de un OID para identificar diferentes informaciones que se incluyen en los certificados y que puede ser utilizado por cualquier Prestador de Servicios de Certificación que lo solicite.

El OID base de AECODI es 19126

Además puede ser interesante conocer otras OID:

ACE-Agencia de Certificacion Electronica: 5481
AEAT: 18838
Agència Catalana de Certificaciò: 15096
Ajuntament de Palma: 19267
Alcatel Sistemas de Informacion: 3593
Allianz Cia. de Seguros y Reaseguros SA: 21643
ANCERT: 18920
ANF: 18332, 18333
Angel Iglesias, S.A.: 13815
Amena Retevisión Móvil, S.A.: 10352
AUNA OPERADORES DE TELECOMUNICACIONES, S.A: 21452
Banco de España: 19484´
Banco Herrero: 14794
Banco Popular: 20296
Banco Santander Central Hispano: 6714
Banco Zaragozano: 13754 y 5370
Banesto S.A.: 11076
Boletin Oficial del Estado: 9435
Caixa Bank S. A.: 16351
Caixa d’Estalvis i Pensions de Barcelona: 11240
Caja de Ahorros El Monte: 22048
Caja de Ahorros de Castilla- La Mancha: 20465
Caja Madrid: 13716
Caja de Ahorros del Mediterraneo: 3190
Camerfirma: 17326
Centre de Telecomunicacions i TI de la Generalitat de Catalunya: 17000
Centre de Telecomunicacions i Tecnologies de la Informacio: 9791
CTTC – Centre Tecnològic de Telecomunicacions de Catalunya: 13909
Colegio Ingenieros Caminos Canales Puertos: 20446
Colegio de Registradores de la Propiedad y Mercantiles de España: 17276
Registradores de la Propiedad y Mercantil de España: 13257
Consejo General de la Abogacia Española : 16533
Consejo General del Notariado: 13011
Consejo General del Poder Judicial: 20494
Consejo Superior de Cámaras: 4308
CIDE Consorcio para la Interoperabilidad de Documentos Electrónicos: 22085
CIFE – Consorcio de Intermediación de Facturas Electrónicas: 22063
Criptolab: 3627
CSIC/RedIRIS: 7547
Dinsa Soluciones: 18818
Dirección General de la Policía: 11537
EADTRUST – Programa SPRITEL:501
eEpoch: 19999
Euskaltel S.A.: 6288
Escola Universitaria Politècnica de Manresa: 12249
Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda: 5734
FESTE: 5239
Fujitu ICL Espana S.A.: 3474
Fundación Inasmet: 15343
Generalitat Valenciana: 8149
GMV S.A.: 16718
Govern de les Illes Balears: 22896
Grupo Eurociber S.A.: 8973
Hospital La Fe (Valencia): 14175
INDRA Sistemas: 8173
Infocaja, S.L.: 19477
Informática El Corte Inglés, S.A: 22203
Instituto Tecnológico y de Energías Renovables, S.A: 16958
Izenpe: 13177
Ministerio de Administraciones Públicas: 14862
Ministerio de Economia y Hacienda: 19410
Ministerio del Interior – España: 17413
Morgan Stanley S.V.S.A: 12627
Parc Cientific de Barcelona: 20787
Parlamento de Andalucia: 20473
DISSC – Presidencia del Gobierno: 11267
Administracion del Principado de Asturias: 15857
RETEMSA. Redes de Telefonía Móvil, S.A.: 20154
Robotiker: 584
Safelayer: 4710
SERMEPA: 6944
Servicios Avanzados para las Instituciones S.L.: 27261
SESCAM – Servicio de Salud de Castilla la Mancha: 21835
Sistemas Tecnicos de Loterias: 4917
Sociedad Andaluza para el Desarrollo de la Sociedad de laInformacion, S.A.U.: 14043
SGI Soluciones Globales Internet: 4638
Telefónica de España: 7973
Teléfonica I+D: 5467 y 5189
Telefonica Publicidad e Informacion S.A.: 16522
Telefónica Sistemas: 1289
Universidad de Cantabria: 5225
Universidad de Navarra: 7114
Universidad Autónoma de Madrid: 5778
Universidad de La Coruña: 5657
Universidad del País Vasco: 9161
Universitat de Barcelona: 1745
Universitat de Girona: 7615
Universitat Rovira i Virgili: 11188
UPC- Dep. of Signal Theory and Communications: 2714
UPM – Technical University of Madrid: 2781
Winterthur Ibérica, AIE Seguridad Informática: 20155


Creo que esta lista es la más completa que se ha recopilado, pero podéis enviarme propuestas si pensáis que falta alguna entidad.

Publicidad engañosa

17 respuestas

Por Deambulando he conocido una curiosa anécdota sobre la forma de exigir nuestros derechos en caso de publicidad engañosa, práctica, por lo que se ve, bastante más frecuente de lo que yo suponía.

Se trata de las ofertas increibles de coches, electrodomésticos, equipos multimedia que se adjuntan a los periódicos dominicales, por ejemplo.

La anécdota se refiere a un eslogan que una empresa de Gran Consumo utiliza de forma abusiva:  «Yo no soy tonto«.

En Deambulando, se menciona correctamente la Ley 34/1988, de 11 de noviembre, General de Publicidad, como la ley a tener en cuenta, pero no es la única. De hecho, las  cláusulas en letra pequeña del tipo ”hasta fin de existencias” tampoco se ajustan a derecho.
Veámoslo:

1. La Ley 26/1984, de 19 de julio, General para la Defensa de los Consumidores y Usuarios dice en su artículo 8.1: «el contenido de la oferta, promoción y publicidad de los productos, actividades o servicios, las prestaciones propias de cada producto o servicio, y las condiciones y garantías ofrecidas, serán exigibles por los consumidores o usuarios, aun cuando no figuren expresamente en el contrato celebrado o en el documento o comprobante recibido.» Por tanto, las condiciones establecidas por el anunciante en su oferta publicitaria tienen carácter contractual, siendo exigibles por los consumidores.

2. La misma Ley 26/1984, dice en su artículo 10.1 a): que «las cláusulas, condiciones o estipulaciones que, con carácter general, se apliquen a la promoción o venta de los productos o servicios…deberán cumplir los siguientes requisitos:

a) concreción, claridad y sencillez en la redacción, con posibilidad de compresión directa, sin reenvíos a textos o documentos que no se faciliten previa o simultáneamente a la conclusión del contrato, y a los que, en todo caso, deberán hacerse referencia expresa en el documento contractual.

c) buena fe y justo equilibrio entre los derechos y obligaciones de las partes, lo que en todo caso excluye la utilización de cláusulas abusivas.» Señalándose en el artículo 10 bis que “serán nulas de pleno derecho y se tendrán por no puestas las cláusulas, condiciones y estipulaciones en las que se aprecie el carácter abusivo”

3. La nueva Disposición adicional primera de la ya citada ley 26/1984 considera cláusulas abusivas aquellas que vinculen el contrato a la voluntad del profesional y, específicamente la reserva a favor del profesional de facultades de interpretación o modificación unilateral del contrato sin motivos válidos especificados en el mismo. Igualmente, son cláusulas abusivas:

  • La supeditación a una condición cuya realización dependa únicamente de la voluntad del profesional para el cumplimiento de las prestaciones, cuando al consumidor se le haya  exigido un compromiso firme
  • La concesión al profesional del derecho a determinar si el bien o servicio se ajusta a lo estipulado en el contrato.

4. Asimismo, el  Código Civil establece que » la validez y el cumplimiento de los contratos no pueden dejarse al arbitrio de los contratantes» y que «los contratos se perfeccionan por el mero consentimiento y desde entonces obligan no sólo al cumplimiento de lo pactado, sino también a las consecuencias que según su naturaleza sean conformes a la buena fe, al uso y a la Ley.»

5. Por otra parte, la Ley 34/1988, de 11 de noviembre, General de Publicidad, dice que es ilícita la publicidad engañosa, siendo, considerada ésta la que «de cualquier manera, incluida su presentación, induce o puede inducir a error a sus destinatarios, pudiendo afectar a su comportamiento económico…Es asimismo engañosa, la publicidad que silencie datos fundamentales de los bienes, actividades o servicios cuando dicha omisión induzca a error a los consumidores.»

Por tanto, cabe, en función de la Ley 26/1984 exigir el cumplimiento de lo anunciado, y en función de la Ley 34/1988 exigir la cesación de la conducta engañosa.

Extorsión y Chantaje con amenazas basadas en la LOPD

4 respuestas

Este sujeto utiliza una técnica que ya está en conocimiento de la APD, Agencia de Protección de Datos. Amenaza con denunciar a la APD por reflejo de datos personales sin consentimiento, con multas potenciales de hasta 600.000 euros. Y si ve que quitas las referencias (por cortesía) piensa que eres vulnerable y pasa a la siguiente fase, amenazádote con una denuncia por daños y perjuicios como si tu web fuera la causa de sus males, cuando es a la inversa, los damnificados han usado los foros disponibles para prevenir a incautos.

Tranquilos. Lo que hay que hacer es guardar los burofax, los emails, las cartas que os envíe y los URLS en los que aparezca este hombre (inclusive los cachés de google), ir a un notario y hacer acta de presencia y manifestaciones, protocolizando todas las webs en los que haya mensajes sobre el, buenos y malos. Si teneis noticias de prensa en papel de cuando promocionaba Albanova, llevadlo también.

A continuación id a una comisaría de policía y haced la denuncia, por amenazas e intento de chantaje, aportando en número de protocolo del notario.

Y a esperar. Si tiene arrestos de seguir con la denuncia, será tipificada por el juez como denuncia falsa con el agravante de amenazas, por lo que lo tiene muy complicado por vía penal . Ya sabeis aquello de pleitos tengas y los ganes. De momento vosotros lleváis ventaja con la denuncia ante la policía.

Y con la información protocolizada podréis demostrar que son datos procedentes de fuentes públicas, por lo que no aplica la necesidad de consentimiento.

Fraudes y chantajes con amenazas de denuncia a la APD por supuesta infracción de la LOPD

3 respuestas

Se está produciendo un tipo de ataque por e-mail, con amenazas de denuncia por supuestas infracciones a la Ley Orgánica de Protección de Datos Personales, LOPD.

En particular, se ha identificado a cierto indeseable que aprovecha la ignorancia de muchos empresarios a los que amenaza con denunciar ante la Agencia de Protección de Datos (APD) y citando la LOPD, menciona posibles sanciones de hasta 600.000 euros.

En primer lugar, hay que advertir que los datos procedentes de fuentes públicas tienen una cobertura especial por la LOPD, y en segundo lugar, que el tratamiento periodístico de datos personales de personajes con elevada notoriedad está sometido a otra normativa en relación con los medios de comunicación.

La APD ya está informada sobre este tipo de amenazas que utilizan la LOPD como arma en un verdadero Fraude de Ley.
Cierto personaje que se ha hecho tristemente famoso por otros fraudes a sus franquiciados, y es una lacra para el prestigio de los profesionales que se dedican a la seguridad de la información es uno de los que ha iniciado estas prácticas.

Si algun lector de este artículo recibe cartas o mensajes de correo amenazadores, en relación con la LOPD enlos cuales se propone negociar un pago para evitar la denuncia, por favor que se ponga en contacto conmigo, para que le de unas recomendaciones encaminadas a formar prueba y a prepararuna denuncia por vía penal para acabar con las actividades de este sujeto.