Archivo por años: 2009

DSS + XAdES-XL + z/OS + Websphere

12 respuestas

Hasta hace poco tiempo esta ecuación daba como resultado «0«. Ahora gracias a la colaboración entre IBM y Albalia, el resultado es zBackTrust.

Una de las mejores soluciones de firma electrónica corporativa como recurso de arquitectura en entornos de zSeries, como z9 y z10, con soporte nativo del hardware criptográfico IBM 4764. Una solución que facilita el cumplimiento de normas como la LAECSP (Ley 11/2007) en el sector público o la LMISI (Ley 56/2007) en el sector privado. Respectivamente la sede electrónica y los medios de interlocución telemática.

Tanto a través de la API (SDK) como de los servicios DSS es posible realizar firmas completas XAdES-XL en el marco de la norma TS 101 903.

La solución está también disponible en zLinux para zSeries, tanto en SuSE (Novell) como Red Hat.

Trust-service Status List (TSL) TS 102 231

8 respuestas

The purpose of a Trust-service Status List (TSL)  is to provide a harmonized way in which schemes having an oversight role with regards to trust services and their providers (trust service providers – TSPs) can publish information about the services and TSPs which they currently oversee, or indeed (through the provision of historical information) have overseen.

The confidence of parties relying on certificates or other services related to electronic signatures is improved if they have access to information that will allow them to know whether a given TSP  is operating under the approval of any recognized at the time of providing their services and of any dependent transaction that took place.

The information should be available for a wide range of services and schemes, including the use of Qualified Certificates. The importance of this information is especially significant for cross-domain and international transactions. This information should preferably be accessible using an on-line protocol, although accessibility both off-line and on-line should be possible.

Entities having such an oversight role could be supervisory systems or voluntary approval schemes as defined in  article 11 of Directive 1999/93/EC (see bibliography), similar schemes established by other sovereign states or economies (e.g. certain government e-authentication frameworks), and those established by specific industry sectors or for international promotion of trust services.

This objectives are achieved trhough adoption of standard ETSI TS 102 231

Una TSL, o lista de servicios de confianza, es una lista definida en las especificaciones técnicas ETSI TS 102 231, Provision of harmonized Trust Service Provider status information, que identifica prestadores de certificación de confianza y permite la definición de esquemas constituidos por diversos TSPs (Trust Service Providers) así como los servicios que ofrecen, permitiendo la inclusión de información histórica con el fin de poder determinar vínculos de confianza en el transcurso del tiempo.

La inclusión en una lista de servicios de confianza significa la admisión del certificado del prestador dentro del ámbito de uso de la lista en cuestión.

La existencia de este modelo de gestión de la confianza simplifica la gestión de las políticas de firma electrónica de las diferentes aplicaciones, en particular en el sentido de que no precisan gestionar las entidades de certificación que, en general, se consideran aceptables para determinados usos, sino centrarse sólo en requisitos particulares, referidos a la firma.

Computacional Finance

Deja un comentario

Al acceder hoy a Financial Tech Magazine he podido ver, gracias al banner de esta sección, que el 22 de septiembre hay un evento en Madrid de computational finance, toda un área de especialistas del mundo de la banca, en el que los matemáticos tienen un papel destacado.

El evento se enmarca en un recorrido por varios paises de MatLab a lo largo de septiembre y promete ser muy interesante, especialmente para:

  • Market, credit, operational, regulatory and liquidity risk
  • Trading and portfolio management
  • Quantitative analysis
  • Credit evaluation
  • Econometrics
  • Actuarial modelling
  • Computational finance software development
  • Financial regulation and policy derivation

Primeros programas de «Tiempo de Emprendedores»

1 respuesta

Ya se han difundido los primeros programas de «Tiempo de Emprendedores», de Radio Lider en los que colabora Albalia Interactiva, junto con Caixa Galicia y la Cámara de Comercio de A Coruña.

Formación sobre eAdministración en Huesca

1 respuesta

Hay que reconocer que en Huesca se están tomando en serio los retos de la Administración Electrónica. Tras la reciente referencia al evento de junio de 2009, ahora se inicia una nueva ola formativa para los ayuntamientos de la provincia de Huesca, con especial incidencia en los vecinos que residen en ellos.

La Diputación de Huesca ofrece hasta mediados de octubre un programa gratuito de cursos prácticos y charlas informativas en los telecentros centrado en los servicios que facilita la administración electrónica en las localidades de la provincia.

Trece municipios comenzarán estos días la formación, pero se prevé que hasta que finalice el calendario de cursos, el próximo 16 de octubre, otros tantos pueblos se sumen a la iniciativa y también impartan los cursos sobre Administración Electrónica.

Hasta la fecha, las localidades que han confirmado su participación son Osso de Cinca, Belver de Cinca y Torrente de Cinca, de la comarca del Bajo Cinca; Alerre y Loporzano de la Hoya de Huesca; Fonz y Alcolea de Cinca del Cinca Medio; y Boltaña y Tierrantona en el Sobrarbe.

También impartirán clases los telecentros de Castejón del Puente en la comarca del Somontano, Sariñena en la de Monegros, La Puebla de Roda en la Ribagorza y Senegüé, en la comarca del Alto Gállego. Los interesados en asistir a estos cursos pueden dirigirse al telecentro o ayuntamiento de su localidad.

El objetivo de esta iniciativa es informar y formar a los vecinos de estas localidades en el uso de los servicios telemáticos que actualmente pueden realizar desde los más de doscientos telecentros de la provincia.

De este modo, aprenderán a realizar trámites con la Diputación de Huesca y otras administraciones públicas a través de Internet, como por ejemplo presentar y consultar la declaración de impuestos o la situación del carné por puntos, sacar cita previa para la renovación del DNI, participar en la formación para el empleo que propone el INAEM o solicitar vacaciones para mayores.

El programa formativo, que se desarrollará a través de la Red de Telecentros, será impartido por los diez integrantes del Taller de Empleo de Nuevas Tecnologías de la Diputación que está cofinanciado por el INAEM a través del Fondo Social Europeo.

Los horarios y las fechas de los cursos son flexibles y se adaptarán al ritmo de los alumnos, lo que significa que el tiempo de duración del curso dependerá de la aptitud del grupo y se prolongará tanto tiempo como el alumno necesite.

Firma electrónica en el SAT de México

1 respuesta

logo-SATEstos días hemos estado desarrollando en Albalia una herramienta de gestión de firmas electrónicas adecuada al sistema de factura electrónica (comprobantes fiscales digitales) propuesto por el SAT, Servicio de Administración Tributaria de México.

En particular, el producto de Albalia para la verificación de facturas digitales del SAT se basa en dos procesos, uno de verificación de firma, y otro segundo de validación de certificados.

El primero, se encarga de comprobar que la firma que viene en el documento SAT está firmado por el certificado que le acompaña en dicho documento.

Para ello se han de recuperar los datos que se firmaron y que se encuentran en el propio documento y ponerlo en el formato el cual se firmó. Una vez se tiene el documento que se firmó se recupera la clave pública del certificado y se valida con el algoritmo “SHA1withRSA”. La función reportará un error siempre que los datos introducidos no sean los mismos que se firmaron, o si los datos fueron firmados por otra clave privada asociada a otro certificado distinto al que acompaña a la factura.

Una vez se ha verificado la firma, se procede a la validación del certificado, para ello se validan tres cosas:

  • Que el certificado no esté caducado
  • Que el certificado pertenezca a una de las CAs de confianza, para ello se valida que el issuer del certificado se encuentre entre las CAs en las que confiamos, y además que el certificado esté firmado por la CA con dicho issuer. Se valida también que toda la cadena de confianza se encuentre dentro de nuestros certificados de confianza.
  • Por último se valida que el certificado no esté revocado, para ello se valida el certificado contra este OCSP:        http://www.sat.gob.mx/ocsp

Banco_De_Mexico-logoEs curioso que uno de los temas que nos ha llevado cierto tiempo es identificar los certificados raiz de confianza (la Root CA) del servicio del SAT, ya que es una información que no aparece fácilmente buscando en Google, ni informan sobre ello en las abundantes páginas informativas del SAT.

Al final, tras deducir que el emisor de certificado root es Banxico, Banco de México, banco central del Estado Mexicano, pudimos identificar la información de los certificados, que se decarga como un fichero ZIP, y no como fichero CRT.

Este es el enlace por si hay más especialistas que se encuentren ante el mismo problema: http://www.banxico.org.mx/sistemafinanciero/servicios/MAE/Instcert.zip

Aunque debe reconocerse que el esfuerzo de generación de especificaciones por los especialistas del SAT ha sido muy importante, es una lástima que no hayan seguido más de cerca los estándares, especialmente los más actuales.

Se puede decir en relación con los formatos de factura electrónica y también en relación con los de firma electrónica. Respecto a esta última, su implementación requiere desarrollar software ad-hoc para generar y validar firmas electrónicas, ya que se aparta de los estándares.

Por otro lado el tipo de firma generado es lo que en el marco de los estándares TS 101 733 y TS 101 903 llamaríamos «firma simple» lo que nos lleva a pensar que esas firmas pueden tener problemas en el futuro al no contar con un TimeStamp.

Por ejemplo, si se realizara la firma con un certificado que caducara al día siguiente, la validación realizada con posterioridad reportaría un error en la verificación, lo que implicaría desechar la factura. En general,  en cuanto un certificado se revoque, cualquier validación de las firmas hechas por ese certificado una vez revocado va a reportar un error, independientemente de cuando se realizó la firma.

Nosotros seguimos recomendando las firmas XAdES-XL que permiten la libre elección de prestador de servicios de certificación sin penalizar la capacidad de validación del receptor, al incluir en la propia firma tanto las evidencias del momento de la firma como de la vigencia del certificado utilizado.

Aun así, cabe reconocer el esfuerzo de las empresas proveedoras de servicios de factura electrónica en México.

La Administración, disponible a un clic

Deja un comentario

Artículo de PC Actual (02-08-2009)

La Administración del futuro ya está aquí. Ya se han expedido casi 10 millones de DNI con chip integrado y hay más de un millar de servicios telemáticos disponibles en las páginas web de los poderes públicos

El último DNI sin circuito integrado, el del papel plastificado de siempre, se expidió en España en la comisaría de la Policía Nacional de Collado Villalba, en la sierra madrileña, el pasado 28 de noviembre y su destinatario era un joven de 20 años llamado Valentín Domínguez.

Las autoridades se afanaron ese día en convocar a la prensa porque la noticia suponía otro paso adelante en la popularización del DNI electrónico (o DNIe para abreviar) en este país, un proyecto en el que el Estado se ha gastado casi 130 millones de euros. A fecha de hoy, y según fuentes de la propia Policía Nacional, unos 10 millones de españoles cuentan con el documento digital en el bolsillo y a finales de año serán 12 millones.

Este rápido avance (el DNI electrónico se empezó a poner en circulación en Burgos en 2006 en un proyecto piloto y se calcula que ahora se entregan unos 25.000 al día) se debe a que en estos momentos hay más de 300 puntos de expedición, entre comisarías y equipos móviles rurales de la Policía.

Además, si antes los funcionarios tardaban 20 minutos en expedir el carné, ahora tardan la mitad por término medio. La tecnología de grabación es mejor y los funcionarios han adquirido más destreza, explican desde la Policía. Si los cálculos no fallan, la implantación será total en 2020, aunque hay que tener en cuenta que siempre puede haber alguna persona con el carné de siempre porque a los mayores de 70 años nadie les exige renovar a partir de esa edad su documento.

Pese a las cifras, en una reciente comparecencia pública, Antonio Rodríguez, comisario jefe de la Unidad de Documentación de Españoles y Archivos de la Policía Nacional, se quejaba de que el DNI con circuito integrado «se utiliza muy poco».

Según datos aportados por esta unidad, desde su arranque en 2006, el documento solo se ha empleado en dos millones y medio de operaciones telemáticas. «Hay que potenciarlo y acostumbrar a los ciudadanos a que hagan operaciones mercantiles con el certificado de firma electrónica que contiene», señalaba Rodríguez.

Para promover precisamente su uso, el Consejo de Ministros aprobó recientemente una partida de 14 millones de euros. Entre las medidas que contempla esta campaña de sensibilización está la de incentivar a los fabricantes de PC a incorporar lectores de DNI en sus máquinas.

Sus funciones principales

La página web oficial www.dnielectronico.es, un sitio de obligada visita para aquellos que quieran conocer los detalles de esta tecnología y sus posibles aplicaciones, deja claro que el nuevo documento sirve básicamente para dos cosas: acreditar la identidad de las personas que acceden a servicios telemáticos y firmar digitalmente documentos electrónicos, otorgándoles una validez jurídica equivalente a la que le proporciona la firma manuscrita.

Hay que dejar claro que la del DNI electrónico no es la única firma digital con validez, aunque sí será la más extendida y la más cómoda de usar porque, por la importancia del documento que la contiene, viaja siempre con su titular.

El DNI llega, pues, para agilizar los servicios y los negocios a través de Internet y disipar los miedos de aquellos que hasta ahora han sido renuentes a hacer trámites on-line, incluida la compra de artículos. Sin embargo, lo que previsiblemente más estimule el nuevo DNI será la administración electrónica.

Y es que su poseedor podrá realizar, en unos cuantos clics, gestiones que, en caso de personarse físicamente en la oficina de turno, le pueden llevar una mañana e interminables colas. Se calcula que hay disponibles hasta un millar de gestiones por vía telemática en páginas de ministerios, comunidades autónomas y ayuntamientos.

Así, el DNIe permite solicitar desde casa un historial laboral en la página de la Seguridad Social, reclamar la prestación por desempleo en el site del INEM o cumplimentar la Declaración de la Renta. También hace más fácil la consulta de los puntos del carné de conducir entrando en el portal de la DGT o incluso comprar letras del Tesoro.

Sin embargo, como dicen desde SCM, un fabricante alemán de lectores, todavía se pueden hacer pocas cosas con el DNI electrónico. A esta objeción habría que añadir otra. Y es que los servicios están todavía muy dispersos (repartidos por cientos de páginas) y todavía son muchos los organismos que están adaptando su «oficina virtual» al certificado y la firma electrónica que contiene el documento.

No es problema, por el contrario, la seguridad, pues, como aseguran desde SCM y desde la propia Policía Nacional, el nuevo documento supera con creces las garantías de sistemas anteriores. «La seguridad plena y absoluta no existe, pero el usuario no tiene por qué preocuparse», reiteran fuentes de la institución. El comisario jefe Antonio Rodríguez también lo tiene claro: «La desconfianza de los ciudadanos es totalmente infundada».

Servicios cercanos

Los organismos que más han trabajado en los últimos tiempos para llevar sus trámites a Internet son la Seguridad Social, Hacienda y el INEM. Es, sin duda, una noticia feliz en un momento en que las cifras de parados y, por lo tanto, el trabajo en estas administraciones se multiplican.

Pero para ser eficaz y para que el ciudadano perciba el DNI electrónico como algo útil, el documento debe permitir realizar los trámites más cercanos, los vinculados precisamente a los servicios que proporciona el ayuntamiento o los organismos dependientes de la Comunidad Autónoma.

En los ayuntamientos grandes, como los de Madrid o Barcelona, el ciudadano dispone hoy de herramientas para sacar adelante multitud de gestiones en la Web, aunque predominan las relacionadas con el pago o liquidación de impuestos, multas o tasas (hay que aclarar que el de Madrid todavía está trabajando para adaptar sus servicios, que son operativos con otros certificados, al nuevo DNI). También está a tiro de clic hacer cualquier cambio en el padrón municipal. Sin embargo, todavía quedan muchos servicios y gestiones por llevar a Internet.

Además, si uno se va al site de un consistorio más pequeño se encontrará con que no hay rastros de administración electrónica. Un botón de muestra: un ayuntamiento como el de La Orotava, en Tenerife, con 40.000 habitantes empadronados, no ofrece ningún servicio on-linea su parroquia. En definitiva, queda mucho camino por recorrer a la administración municipal.

Pero el DNI no solo permite sacarle partido a la incipiente administración electrónica española, también hay entidades financieras que ya cuentan con la opción de utilizar el documento, como sustitutivo de la tarjeta de crédito o débito, a la hora de hacer consultas u otras operaciones. Muchas cajas de ahorros, algunos bancos, como Inversis, Barclays o Bankinter, y empresas como Mapfre ya están dando esta posibilidad.

Además, muchos consideran que es cuestión de tiempo que las compras por Internet, donde hasta ahora el usuario no necesita acreditar que es quién dice ser, vayan respaldadas con el documento electrónico. Pero no queda ahí la cosa, el DNI digital permite incluso identificarnos para entrar en la red local de nuestra empresa.

Equipamiento mínimo

¿Qué hay que tener en casa para empezar a hacer gestiones con el DNI electrónico? Pues bien poco. En primer lugar, hay que hacerse con el documento, que es expedido por prácticamente todas las comisarías del país y tiene un coste de 10 euros.

Además, hay que tener un ordenador, una conexión a Internet y un lector de tarjetas (es fundamental que cumpla con el estándar ISO-7816) que bien puede venir incorporado en el teclado o bien se puede instalar de forma independiente a través de un puerto USB libre o conectándose a través de la tarjeta PCMCIA.

Este tipo de aparatos, que suelen entenderse con cualquier versión a partir de Windows 98, tienen unos precios que van de los 20 a los 30 euros y suele incluir los drivers y aplicaciones necesarias para empezar a operar. También hay lectores para bahías de 3,5 pulgadas integrables en la torre del ordenador.

Adicionalmente, para poder interaccionar con cualquier tarjeta cifrada, el equipo debe llevar instalado unas piezas de software denominadas módulos criptográficos. Si el sistema operativo es Windows, el PC debe cargar un servicio que se denomina Cryptographic Service Provider (CSP); mientras que si trabaja en un entorno Unix, Linux o Mac podemos utilizar el DNI electrónico a través de un módulo criptográfico denominado PKCS#11.

Todos estos componentes se pueden descargar desde www.dnielectronico.es/descargas, aunque también suelen venir en el CD de instalación de lector. De cualquier manera, lo más recomendable para poner a punto la instalación es seguir las recomendaciones que hace el fabricante.

Aunque todo parece sencillo y la página de la Policía Nacional que aporta toda la información referente al DNI electrónico es un prodigio de síntesis, fuentes cercanas a la propia Policía reconocen que la firma electrónica es asunto algo complejo para el ciudadano común, que por lo general está pez a la hora de instalar o sincronizar dispositivos.

No obstante, esas mismas fuentes aseguran que no debería suponer ningún problema para un usuario medio de informática. «La firma electrónica es algo complicado, pero también lo es configurar un router WiFi y hoy hay millones de hogares que lo tienen».

Por otra parte, es probable que en el futuro, en cuanto la demanda se imponga, se haga habitual el acceso desde lugares públicos a los servicios para los que está pensado el nuevo documento. Por el momento, son los más jóvenes los que más prueban.

Radiografía del DNIe

Adiós al plástico. El nuevo DNI electrónico, del tamaño habitual de las tarjetas de crédito, es un trozo de policarbonato, un material muy resistente que permite grabar datos que luego son muy difícilmente falsificables. El chip electrónico que incorpora almacena datos de filiación del titular, las imágenes digitalizadas de la fotografía y de la firma manuscrita, impresión dactilar (recogida por un escáner y no a través de una mancha de tinta), certificado de autenticación y de firma, certificado electrónico de la entidad emisora y un par de claves para cada certificado electrónico.

Los certificados electrónicos son el conjunto de datos incluidos en el chip que permiten la identificación de su titular (certificado de autenticación) y la firma electrónica de documentos (certificado de firma). Una de las claves es pública (es la única que «viaja» en las transacciones telemáticas) y otra es privada, pues nunca sale de la tarjeta en la que se encuentra. La primera permite autentificar la identidad de un ciudadano, mientras que la segunda se utiliza para ejecutar el procedimiento de la firma electrónica.

Además, el poseedor del DNI electrónico recibe una clave de acceso privada, como si de una tarjeta de crédito se tratase, con el fin de garantizar aún más la seguridad. Este PIN, una clave alfanumérica que tendrá como mínimo ocho caracteres y sin significado claro, que se recomienda memorizar y en ningún caso llevar anotado junto al documento, puede ser cambiado acudiendo a la oficina de expedición o mediante una operación en Internet. De la misma forma, se puede desbloquear en caso de marcarlo erróneamente varias veces.

La ley favorece e impulsa su uso

El DNI electrónico ha sido, junto a la factura electrónica, uno de los puntos estrella del Plan Avanza, una de grandes apuestas del Gobierno en materia de desarrollo de la Sociedad de la Información y que contempla una inversión anual de unos 1.500 millones de euros hasta 2010.

La ley que respalda la implantación de esta tecnología es la 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, que garantiza que todos los servicios de las distintas administraciones (central, autonómica y local) estén disponibles por vía telemática el1 de enero del próximo año.

Este texto no solo reconoce el derecho de los usuarios, sino que también establece la obligación de los poderes públicos de llevar todas sus gestiones a Internet. Este texto también dictamina que las páginas de la Administración cumplan con los estándares más exigentes en materia de accesibilidad y usabilidad. Antes, en 2003, la LSSI (Ley de Servicios de la Socidad de la Información) también supuso un avance importante al equiparar la firma electrónica a la escrita.

Lectores para el nuevo DNI

  • Smart DNIe. El lector USB de Zaapa de cuidado diseño y muy reducidas dimensiones se conecta a cualquier puerto USB libre del portátil o el sobremesa. Su precio: 19,95 euros.
  • Chipdrive My eDNI. SCM ha vendido más de 15 millones de lectores de tarjetas inteligentes. Su Chipdrive My eDNI está adaptado a las necesidades específicas de la administración española y tiene un coste que ronda los 20 euros.
  • Teclado, PCMCIA y para torre de C3PO. La lectura del DNI electrónico también se puede hacer desde una unidad situada en el teclado. Es el caso de este dispositivo que C3PO comercializa por 29 euros. Las ranuras PCMCIA también pueden hacer de interfaz para un lector de tarjetas inteligentes. Para aprovechar estas entradas C3PO propone el modelo 4040, que tiene un coste de 48 euros. Por último, también dispone de un lector para el PC de sobremesa que se puede encajar en la bahía para la disquetera de 3,5 pulgadas. Su precio es de 42 euros.
  • ChipNet. La firma CySD cuenta tres lectores, ChipNet COMBI (29e), EzMini (26e) y iMicro (39e), para realizar gestiones virtuales mediante el uso de DNIe o de otros certificados (CERES-FNMT, Camerfirma…). De rápida instalación, cumplen con el estándar CCID y algunos permiten, además, gestionar tarjetas de memoria tradicionales.

eAdministración en Huesca

1 respuesta

logo_huesca_2No me enteré de este evento de Huesca, pero hubiera ido encantado. Mi mujer es de Huesca y tenemos amigos y familia allí, así que vamos siempre que podemos.

Además se trataba de reflexionar sobre la Administración Electrónica, uno de mis temas favoritos.

Al final me he enterado (tarde, lo reconozco) a través del Blog de bayaceto Pepe Roldán, de Montilla (Córdoba), La enfermedad de TAG o la parálisis institucional

El lo resume en 3 capítulos:

  1. Curso e-admin en Huesca
  2. Curso e-admin en Huesca (II)
  3. Curso e-admin en Huesca (y III)

Los  días 17, 18 y 19 de Junio se  celebró en Huesca, en el Salón de Actos de la Diputación Provincial, el curso “Administración electrónica en los Gobiernos y Administraciones locales”.

Organizado por la Fundación Democracia y Gobierno Local y la Diputación Provincial de Huesca y con la colaboración del Instituto Nacional de Administración Pública (INAP), la Agencia Española de Protección de Datos y la Fundación Telefónica, durante estos tres días, se dieron cita en Huesca ponentes de reconocido prestigio en temas relacionados con la Administración Electrónica.

Se trataron temas como la legislación que sustenta la Administración Electrónica, aspectos de gestión de la misma, y todo lo relacionado con la protección de datos, firma, notificación y registro electrónico, otros aspectos tratados serán los referentes al gobierno electrónico.

La organización de este curso demuestra la importancia que tiene la aplicación de la Ley 11/2007 de Acceso electrónico de los ciudadanos a los Servicios Públicos.

Nueva oleada de phishing

1 respuesta

phishing-AEATAprovechando el retorno vacacional que hace que estemos un poco despistados, los delincuentes «pescadores» (de «phishing», juego de palabras con «password fishing» en inglés) han intensificado sus campañas al inicio de septiembre.

El ‘phishing’ es una estafa que consiste en en el envío de correos electrónicos que simulan provenir de organismos, empresas privadas o entidades financieras (entidades públicas o privadas que pudieran tener algún acceso a datos financieros) y proponen que se acceda a páginas web falsas que simulan ser del organismo suplantado, y en las que se propone la actualización de datos o el acceso al servicio.

Al acceder a tales páginas los incautos ceden sus datos financieros, tales como identificador (usuario) y password, número de cuenta bancaria o de tarjeta de crédito.

Uno de los aspectos que hace que los incautos sigan «picando» es que los mensajes de atención que se dan desde entidades financieras y organismos afectados son confusos. En efecto, es frecuente leer la frase «la entidad XXX no le pedirá sus datos financieros o información confidencial por internet». Y la confusión creada es que los mensajes de los criminales no «piden» información: la «ofrecen». Por ejemplo diciendo: «acceda a su cuenta a través de este enlace y compruebe la información del sistema». Es decir, no hay conciencia de estar cediendo datos confidenciales cuando uno accede a una página web y teclea su password (clave) porque es lo que hace cuando accede de forma correcta a su entidad financiera.

En la última campaña se están utilizando remitentes como PayPal o la Agencia Tributaria, que efectivamente pueden tener información financiera del usuario. En estos contextos se baja la guardia porque los usuarios están aprendiendo a deconfiar cuando el mensaje aparenta ser de una entidad financiera.

Los mensajes falsos que aparentemente proceden de la Agencia Tributaria (AEAT) se identifican con el remitente impuestos@aeat.es

La propia AEAT advierte en una nota sobre estos ataques de phishing y explica que esos mensajes hacen referencia a un reembolso de impuestos  inexistente. Supuestamente, para poder disponer del dinero hay que acceder a una dirección web en la que se deben aportar datos de cuentas bancarias. Dicha web es falsa, y su finalidad es proporcionar a los intrusos la información que allí introduzcan las víctimas del fraude, con la que accederían a las cuentas bancarias reveladas.

Lo cierto es que va llegando la hora de que las entidades financieras eliminen los sistemas de usuario/password que hacen sus servicios tan vulnerables y exponen a sus clientes a estos riesgos. Una buena oportunidad para que el Banco de España ejerza su función supervisora, exigiendo la adopción de las mejores prácticas, o simplemente el cumplimiento del artículo 2 de la Ley 56/2007.