Archivo del Autor: inza

Avatar de Desconocido

Acerca de inza

Presidente de EAD TRUST, Prestador Cualificado de Servicios Electrónicos de Confianza EIDAS del Grupo Garrigues. Director del Laboratorio de Identidad Digital del Observatorio Legaltech y Newlaw Garrigues - ICADE. Miembro del Grupo de Expertos ENISA Ad Hoc Working Group on EU Digital Identity Wallets Cybersecurity Certification, Presidente de la Comisión Blockchain de AMETIC. Colaboró con la DGTDAJ y el CTEAJE (Justicia) a través de Procesia. Fue Auditor Jefe en TCAB, organismo de Evaluación de Conformidad EIDAS. Pionero de la certificación digital y de la banca electrónica. Fue Vicepresidente de Mobipay (entidad de pagos móviles de BBVA), Director General de Camerfirma y de FESTE (CA de los Notarios) y Director de Redes Distribuidas en Banesto EFT y en Banesto. Fue el primer presidente de AECODI, Asociación del Sector de los Servicios de Confianza Digital.

Aprendiendo computación cuántica y criptoagilidad

3 respuestas

Los días 12 y 13 de noviembre de 2025, EADTrust organizó un evento formativo para que los alumnos puedan entender la forma en que el desarrollo de la física cuántica nos ha permitido llegar a programar ordenadores cuánticos que, entre otras muchas aplicaciones, permiten obtener las claves privadas a partir de las públicas en los sistemas de criptografía de clave pública más utilizados (con el afamado algoritmo de Shor). Hice un recordatorio hace unos días.

Todavía falta algún tiempo para el criptocalipsis pero es muy recomendable iniciar la transición a la criptografía postcuántica lo antes posible, especialmente a la vista de la amenaza «Harvest now, decrypt later».

Y de eso iba la segunda parte del evento: identificar las directivas y reglamentos europeos que establecen obligaciones en la mejora de la seguridad de las organizaciones, interpretando como cumplirlas, entre otras acciones llevando a cabo la adopción de la criptografía postcuántica, siguiendo las recomendaciones de diferentes organizaciones, incluyendo el Centro Criptológico Nacional.

Los alumnos procedían de diferentes sectores: despachos de abogados , organismos de la administración pública, empresa consultoras especializadas en ámbitos legales, prestadores de servicios de confianza,…

Y tuvieron ese efecto «Wow» que he ido anunciando a todos los que les comenté sobre la organización de este evento en las semanas previas a su realización.

Porque sin conocimientos previos de física se llegan a entender conceptos como la «superposición» y «entrelazamiento» de los qubits y como se utiliza la notación de Dirac al definir algoritmos cuánticos utilizando puertas simbólicas como la de Hadamard en el Quantum Composer de IBM.

La clave de este aprendizaje es la metodología ENSAR (Experience Name, Speak, Apply and Repeat) de Jorge Christen y las actividades de construcción de modelos representativos de conceptos cuánticos, como la esfera de Bloch, haciendo uso del IQC Kit de Jorge.

Ya estamos preparando la siguiente edición de este evento formativo, que tendrá lugar la última semana de febrero de 2026.

Actualización urgente para las administraciones públicas en relación con las firmas electrónicas

Deja un comentario

Cambios de algoritmos criptográficos y tamaños de clave exigidos por el Organismo Supervisor de los Prestadores Cualificados de Servicios de Confianza requerirán la adaptación de las administraciones públicas en un plazo muy corto para admitir los nuevos certificados en sus sedes electrónicas, lo que hace recomendable considerar la inversión requerida en los presupuestos de las entidades y organismos para el próximo año.

Recientemente el Organismo Supervisor de los Prestadores de Servicios de Certificación en España ha difundido una circular destinada a estas entidades, disponible en la sección de Notas informativas relativas a los Servicios electrónicos de confianza de su web.

En la nota lacónicamente titulada Nota Migración RSA se establece lo siguiente:

Este órgano de supervisión establece que los prestadores de servicios de confianza, cualificados y no cualificados, que emplean algoritmos RSA para la prestación de servicios de confianza, deben cumplir con lo establecido por el Centro Criptológico Nacional, en el Anexo 1- Prestadores de Servicios de Confianza que acompaña a la Guía de Seguridad de las TIC CCN STIC 807 Criptología de Empleo en el Esquema Nacional de Seguridad.

(…) este órgano supervisor determina que el impacto en la migración del algoritmo
RSA con longitud de claves inferiores a 3000 bits es significativo, requiriéndose por tanto que (…)

los prestadores de servicios de confianza cualificados que hayan desplegado jerarquías de certificación con claves RSA con longitud de claves inferiores a 3000 bits, generen nuevas jerarquías de certificación con tamaños de clave mayor. Y deberán

(…) aportar como mínimo la evidencia del hito de celebración de la ceremonia de generación de claves criptográficas.

Hay ciertas referencias a plazos en relación con los Informes de Evaluación de Conformidad, de los prestadores que realicen estos cambios de tamaño de claves RSA en su infraestructura, pero son plazos muy cortos. Por otro lado, el citado Anexo 1 del CCN también detalla plazos en los que deberán dejar de usarse claves RSA con longitud de claves inferiores a 3000 bits y establece que

(…) A partir del 1 de enero de 2027, si aún se emiten certificados basados en RSA, se deberán emitir con módulos de al menos 3000 bits.

El documento del CCN a su vez hace referencia al documento de ENISA: ECCG Agreed Cryptographic Mechanisms – version 2 que también recomienda dejar de usar claves RSA de tamaños menores a 3000 bits. Concluye el CCN con esta recomendación:

No obstante, en virtud del principio de mejora continua de la ciberseguridad y de las recomendaciones técnicas emitidas por organismos internacionales y del propio Centro Criptológico Nacional, se insta a los organismos responsables a proceder a la implementación de mecanismos más robustos para mecanismos de clave asimétrica (RSA de mayor longitud y algoritmos postcuánticos) a la mayor brevedad posible.

Entre las entidades afectadas está la FNMT que ya ha generado una nueva jerarquía de certificación con tamaños RSA mayores de 3000 bits (lo que se ha actualizado en la TSL) y está avisando a las todos los organismos públicos de los cambios que se avecinan. Los certificados que ha estado emitiendo hasta ahora eran de 2048 bits.

A EADTrust no le ha afectado esta circular del Organismo Supervisor porque desde el primer momento ha estado gestionando PKIs de diferentes algoritmos y tamaños de clave: RSA 4096, RSA 8192, ECC 256 y ECC 384 (con la posibilidad de emitir certificados RSA 2048 por compatibilidad en proyectos críticos).

Sin embargo, el reto que tienen por delante las administraciones públicas, es el de adaptar sus portales, sus sedes electrónicas y sus sistemas de firma electrónica para que admitan los nuevos certificados, con diferentes algoritmos y tamaños de clave. Y capaces de validar la TSL europea. Y ya casi no queda tiempo. Conviene que reserven una partida para ello en los presupuestos de 2026.

Para que puedan valorar el reto, EADTrust ofrece sin coste a las entidades públicas juegos de certificados de prueba de todo tipo de perfiles y con los algoritmos y tamaños de clave siguientes: RSA 4096, RSA 8192, ECC 256 y ECC 384.

Por ejemplo, estos son los perfiles:

  • Servicio de expedición de certificados electrónicos cualificados de firma electrónica
    Expedición de Certificado de Persona física
  • Servicio de expedición de certificados electrónicos cualificados de firma electrónica
    — Certificados electrónicos cualificados de Empleado Público
    Expedición de Certificado de Persona física para AAPP
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico
    — Expedición de certificado de persona jurídica
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico
    — Certificados cualificados de sello electrónico PSD2
    Expedición de certificado de persona jurídica PSD2
  • Servicio de expedición de certificados electrónicos cualificados de sello electrónico
    — Certificados cualificados de Sello electrónico de la Administración Pública
    Expedición de certificado de persona jurídica para AAPP
  • Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
    Expedición de certificados electrónicos cualificados de autenticación de sitios web
    Expedición de certificados electrónicos cualificados de autenticación de sitios web PSD2
  • Servicio de expedición de certificados electrónicos cualificados de autenticación de sitios web
    — Certificados cualificados de Sede electrónica de la Administración Pública
    Certificado cualificado de sitio web para sede electrónica

Se pueden comprobar los perfiles de certificados de los diferentes prestadores en esta página web: Prestadores de Servicios de Confianza Cualificados

Los certificados de EADTrust son «oficiales»: se han testado en la plataforma de @firma aFirma_Anexo_PSC y en Valide, lo que los hace idóneos para las pruebas.

También ponemos a disposición de las administraciones públicas de forma gratuita la plataforma de comprobación de firmas electrónicas y certificados DSS de EADTrust que da una gran información técnica y permite elegir informes simplificados o completos de las firmas y certificados que se quieren comprobar.

Para solicitar el «paquete» de certificados de prueba, pueden contactar coninfo (at) eadtrust.eu o llamar al teléfono 917160555 (añadiendo el prefijo 34 si llaman desde fuera de España)

La semana que viene: Formación sobre Computación Cuántica y Criptografía Postcuántica

2 respuestas

Los días 12 y 13 de noviembre de 2025, de 10 a 17 horas. tendrá lugar la Formación sobre Computación Cuántica y Criptografía Postcuántica que ye he anunciado con anterioridad y que se impartirá en el Hotel Zenith Conde Orgaz de Madrid de forma presencial.

Este curso, impartido por Jorge Christen (experto en metodologías formativas como ENSAR que ha colaborado en iniciativas de Qureka) y Julián Inza (Presidente de EADTrust, con amplia experiencia en servicios de confianza digital, ciberseguridad y adopción de estándares criptográficos), se enmarca en los servicios de preparación de infraestructuras digitales de EADTrust.

Está diseñado para abordar los desafíos emergentes de la computación cuántica en el ámbito de la criptografía, promoviendo la transición hacia soluciones seguras y resistentes. Se trata de una formación presencial que se anuncia como un evento clave para 2025, con énfasis en la actualización práctica ante el «criptocalipsis» (el riesgo de quiebra de algoritmos clásicos como RSA y ECC).

Detalles:

  • Duración: 2 días (formato intensivo presencial).
  • Público Objetivo: Profesionales de ciberseguridad, TI, legaltech y compliance en empresas u organizaciones que manejan datos sensibles. Ideal para responsables de infraestructuras digitales, auditores y decisores que necesitan anticiparse a regulaciones como EIDAS 2.0 y estándares NIST.
  • Modalidad: Presencial, con enfoque práctico y metodologías interactivas (incluyendo ENSAR: Experience, Name, Speak, Apply and Repeat, y con un kit de componentes que ayudan a visualizar conceptos como la superposición y el entrelazamiento).
  • Inscripción: A través de este formulario de EADTrust
  • Contactar a info@eadtrust.eu para ampliar información.

Objetivos Principales:

  • Comprender los fundamentos de la computación cuántica y su impacto en la seguridad digital actual.
  • Identificar vulnerabilidades en criptosistemas clásicos y promover la criptoagilidad (capacidad de actualizar algoritmos de forma eficiente).
  • Analizar y aplicar soluciones de criptografía postcuántica (PQC) para mitigar amenazas cuánticas, como algoritmos basados en lattices (Kyber/ML-KEM, Dilithium/ML-DSA) y firmas digitales resistentes (Falcon/FN-DSA, HQC).
  • Preparar infraestructuras para estándares emergentes (FIPS 203, 204, 205, 206) y protocolos como TLS 1.3, ACME y mecanismos híbridos.
  • Fomentar la preservación de documentos y evidencias electrónicas en entornos cuántico-resistentes, alineado con normativas europeas (EIDAS 2.0, ETSI TR 103 619).

El programa combina teoría, casos prácticos y demostraciones, cubriendo:

  1. Introducción a la Computación Cuántica: Conceptos básicos (qubits, superposición, entrelazamiento), avances recientes (ej. chip Majorana 1 de Microsoft, febrero 2025) y el «criptocalipsis» inminente.
  2. Amenazas a la Criptografía Clásica: Análisis de algoritmos vulnerables (RSA, ECC) y el algoritmo de Shor como catalizador de riesgos.
  3. Criptografía Postcuántica:
    • Estándares NIST: ML-KEM (encapsulación de claves), ML-DSA (firmas digitales), SLH-DSA y FN-DSA (Falcon).
    • Estrategias de migración: Híbridos (clásico + postcuántico), criptoagilidad y pruebas de interoperabilidad.
  4. Aplicaciones Prácticas: Adaptación de servidores web (TLS 1.3), PKI resistente, preservación de firmas electrónicas y análisis de riesgos GRC (Governance, Risk, Compliance).
  5. Marco Regulatorio: Impacto de EIDAS 2.0, borradores de actos de ejecución y recomendaciones ETSI para esquemas «Quantum-Safe».
  6. Sesiones Interactivas: Talle rcon acceso a la herramienta de programación Qiskit iónde IBM
  7. Ideas para evaluar impactos en legaltech, banca y administración pública.

Contexto

Este curso surge de la colaboración entre EADTrust y Jorge Christen, respondiendo a la urgencia de adopción PQC ante avances como los de NIST (agosto 2024) y ENISA.

Servicio de adecuación a NIS2 y Dora

Deja un comentario

La Directiva NIS2 (Directiva de Seguridad de las Redes y de la Información 2, Directiva (UE) 2022/2555) y el Reglamento DORA (Reglamento de Resiliencia Operativa Digital, Reglamento (UE) 2022/2554) son dos marcos regulatorios clave de la Unión Europea diseñados para fortalecer la ciberseguridad y la resiliencia digital en sectores críticos.

Aunque difieren en alcance (NIS2 es general para infraestructuras esenciales, y DORA es específico para el sector financiero), comparten varios elementos fundamentales derivados de la estrategia de ciberresiliencia de la UE.

A continuación, se detallan sus principales similitudes

CONCEPTOSimilitud en NIS2 y DORA
Objetivo principalAmbas buscan mejorar la resiliencia digital y la ciberseguridad para proteger la economía y la sociedad contra amenazas cibernéticas, como ciberataques y disrupciones.
Gestión de riesgosRequieren evaluaciones regulares de riesgos, incluyendo la identificación, mitigación y monitoreo continuo de amenazas TIC (Tecnologías de la Información y Comunicación).
Responsabilidad de la direcciónLa alta dirección es directamente responsable de la implementación, supervisión y cumplimiento, fomentando una cultura de accountability. Sanciones previstas para la dirección
Pruebas y ejerciciosAmbas exigen pruebas periódicas de sistemas (ej. simulacros de incidentes) para verificar la resiliencia operativa y la capacidad de recuperación.
Notificación de incidentesObligan a reportar incidentes significativos a las autoridades competentes en plazos estrictos (generalmente 24-72 horas), para una respuesta coordinada.
Gestión de tercerosEnfatizan la seguridad en la cadena de suministro y el riesgo de proveedores externos (terceros críticos), con requisitos de auditorías y contratos seguros.
Supervisión regulatoriaEstablecen mecanismos de oversight por autoridades nacionales, con inspecciones y enforcement para garantizar el cumplimiento uniforme en la UE.
SancionesAmbas imponen multas disuasorias basadas en el volumen de negocio global (hasta 2% del facturación anual mundial), similares al RGPD.
Armonización en la UEPromueven prácticas estandarizadas de ciberseguridad a nivel europeo, facilitando el reconocimiento mutuo y la interoperabilidad entre sectores.

Estas similitudes permiten tratar ambos marcos regulatorios de forma armonizada en las entidades con el objetivo de elevar el nivel de protección cibernética, donde el cumplimiento de una puede facilitar el de la otra en casos de solapamiento (aunque DORA prevalece en el sector financiero, imponiendo criterios de ciberresiliencia a sus proveedores).

Si tuna organización opera en sectores mixtos, tiene sentidos considerar una adecuación y una auditoría integradas.

Anteproyecto de Ley

En España, el anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad (aprobado por el Consejo de Ministros el 14 de enero de 2025, en tramitación urgente) transpondrá la directiva NIS2 cuando se apruebe, incorporando elementos nacionales como el Esquema Nacional de Seguridad (ENS) y una nueva estructura institucional.

Aunque el anteproyecto es fiel a la NIS2 en sus principios, introduce adaptaciones para integrarse con el marco español existente (como el Real Decreto-ley 12/2018 de NIS1 y el ENS).Las diferencias radican principalmente en la especificidad nacional, instituciones y medios de cumplimiento, ya que la NIS2 deja flexibilidad a los Estados miembros para la implementación. A continuación, se resumen las principales diferencias a partir del texto de la directiva y el del anteproyecto

CONCEPTONIS2 (Directiva Europea)Anteproyecto Español (Ley de Coordinación y Gobernanza de la Ciberseguridad)
Estructura InstitucionalEstablece autoridades competentes nacionales genéricas (CSIRT y reguladores sectoriales), sin crear órganos específicos. Enfatiza cooperación UE (ej. red EU-CyCLONe).Crea el Centro Nacional de Ciberseguridad (CNCS) como órgano único de coordinación, adscrito al Ministerio del Interior, que actúa como punto de contacto UE, gestiona crisis y supervisa el registro de entidades. Integra INCIBE y CCN-CERT, pero centraliza en CNCS (no existía en NIS2).
Medios de Cumplimiento y CertificaciónRequiere medidas de gestión de riesgos (art. 21), con certificación obligatoria para entidades esenciales (basada en estándares UE como EN-ISO/IEC 27001). Deja a los Estados definir equivalentes.Integra el Esquema Nacional de Seguridad (ENS) como equivalente nacional para demostrar cumplimiento (CCN-STIC 892), permitiendo certificación voluntaria del «Perfil de Cumplimiento Específico del ENS» para entidades esenciales. Añade flexibilidad con normas internacionales, pero prioriza el ENS para alinear con el marco español preexistente.
Alcance y Categorización de EntidadesClasifica en «esenciales» e «importantes» (Anexos I y II), con obligaciones escaladas por tamaño (>50 empleados o >10M€ facturación). Incluye sectores como energía, salud, digital y manufactura.Mantiene la clasificación, pero amplía explícitamente al sector público español (ej. administraciones locales y autonómicas no cubiertas en NIS1), estimando >12.000 entidades afectadas (vs. ~400 en NIS1). Introduce registro obligatorio en CNCS con plazos de 3 meses para notificación de datos técnicos (IPs, contactos). Exime microempresas con «cláusula de salvaguarda» si demuestran bajo impacto.
Gobernanza y Estrategia NacionalPromueve estrategias nacionales de ciberseguridad y planes de crisis, pero sin detalles operativos.Establece la Estrategia Nacional de Ciberseguridad como marco vinculante, con énfasis en cooperación transfronteriza y equipos de respuesta (monitoreo de amenazas, alertas tempranas). Crea una «Plataforma Nacional de Notificación de Incidentes» basada en LUCIA (herramienta existente), más integrada que en NIS2.
Responsabilidades de la DirecciónResponsabilidad personal de la gerencia por cumplimiento, con sanciones por negligencia.Refuerza con la figura obligatoria del Responsable de Seguridad de la Información (RSI) como contacto directo con autoridades, permitiendo externalización pero manteniendo accountability. Mayor énfasis en auditorías y pruebas periódicas alineadas con ENS.
Notificación de Incidentes y SancionesPlazos uniformes: 24h inicial, 72h detallada, 1 mes final. Multas hasta 10M€ o 2% facturación global.Adopta plazos idénticos, pero prioriza notificación a CNCS e INCIBE-CCN-CERT vía plataforma nacional. Mantiene sanciones, pero aumenta poderes de inspección de autoridades (ej. CNCS con acceso a datos en tiempo real), con régimen más estricto para entidades públicas.
Integración con Otras NormasModifica eIDAS y Código Europeo de Comunicaciones, pero es autónoma.Integra NIS2 con ENS y normativa nacional (ej. Ley Orgánica de Protección de Datos), y transpone simultáneamente la Directiva CER (Resiliencia de Entidades Críticas). Añade foco en sector salud y manufactura con requisitos específicos.

Conviene que las entidades inicien las valoraciones de su grado de adecuación lo antes posible para estimar el impacto de esta adecuación y considerarlo ya en los Presupuestos del año próximo.

EADTrust aporta el profundo conocimiento de su división EAD Servicios Profesionales respecto a NIS2, DORA y otras regulaciones para ayudar a las empresas a preparase. Y aporta un sistema de gestión de evidencias digitales de los procesos internos que permiten demostrar la «debida diligencia» de la entidad en la gestión de los retos de ciberseguridad.

Llame al 91 7160555 para más información

Versión 2.6 del documento ARF de la Cartera IDUE en español

1 respuesta

Se incluye al final del artículo la traducción al español del documento Arquitectura y Marco de Referencia (ARF) V2.6 de la Cartera de Identidad Digital Europea.

La última versión del documento Arquitectura y Marco de Referencia (ARF) para la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE, o EUDI Wallet en inglés) es la 2.6 , publicada el 13 de octubre de 2026.

Este documento se actualiza regularmente en el repositorio de GitHub de la Comisión Europea y se alinea con el Reglamento eIDAS 2.0 (Reglamento (UE) 2024/1183). Desde la versión 1.10 incorpora retroalimentación de los 4 pilotos a gran escala y ajustes para interoperabilidad.

El objetivo principal del ARF es proporcionar un conjunto de especificaciones técnicas, estándares comunes y mejores prácticas para desarrollar una solución interoperable, segura y basada en normas para la Cartera IDUE.

Esto incluye definiciones de arquitectura del ecosistema (emisoras, carteras, proveedores de servicios), protocolos de intercambio de información, requisitos de seguridad y privacidad (como divulgación selectiva de datos y políticas de control de atributos), y guías para la implementación en Estados miembros.

Facilita la integración con el Reglamento eIDAS 2, asegurando que las carteras funcionen de manera transfronteriza sin comprometer la soberanía de datos del usuario.

La Cartera Digital (EUDI Wallet) representa un avance clave en la identidad digital europea, permitiendo a los ciudadanos y residentes de la UE controlar de forma segura y autónoma su identidad digital, almacenando y compartiendo credenciales (declaraciones de atributos) selectivamente sin revelar datos innecesarios. Entre sus beneficios principales:

  • Acceso simplificado a servicios: Identificación con un solo clic para trámites públicos (impuestos, sanidad) y privados (bancos, educación, viajes), eliminando la necesidad de múltiples contraseñas y documentos físicos.
  • Privacidad y control: Los usuarios deciden qué atributos compartir (ej. edad sin nombre completo), con registro de transacciones para rastreo y cumplimiento del RGPD. Incluso se podrá retirar el consentimiento de cesión de datos personales con posterioridad de forma muy sencilla.
  • Interoperabilidad transfronteriza: Válida en toda la UE, facilita movilidad laboral, educativa, turística y de negocios.
  • Seguridad reforzada: Usa cifrado avanzado, biometría y firmas electrónicas cualificadas, y se espera que reduzca fraudes y costes administrativos.

En resumen, transforma la interacción digital en algo más eficiente, sencillo y centrado en el usuario, con expectativas de adopción del 80% de la población para 2030.

Obligatoriedad de adopción de protocolos técnicos para aceptar la interacción con las carteras de identidad para ciertas empresas y sectores

La aceptación de la Cartera IDUE por ciertas empresas será obligatoria a partir de las navidades de 2027, coincidiendo con la disponibilidad plena de las carteras en todos los Estados miembros (cada país debe ofrecer al menos una versión gratuita) que deberán ofrecerla en las navidades de 2026.

Sin embargo, el uso por ciudadanos es voluntario.

Las empresas obligadas no pueden rechazarla como medio de identificación electrónica si el servicio lo requiere, ya que implicaría el incumplimiento del Reglamento eIDAS y lo que llevaría aparejada la aplicación de sanciones.

Los sectores obligados incluyen tanto el sector público (todas las administraciones) como el privado en áreas esenciales donde la verificación de identidad es clave. A continuación, una tabla con los principales:

SectorEjemplos de aplicación obligatoriaRazón de obligatoriedad
TransportePermisos de conducir móviles, billetes de tren/aviónVerificación de identidad para movilidad segura.
EnergíaContratos de suministro, medidores inteligentesAcceso a servicios básicos con control de datos.
Banca y finanzasApertura de cuentas, transacciones PSD2/3Cumplimiento AML y seguridad financiera.
Seguridad socialPensiones, subsidiosAcceso a prestaciones públicas.
SaludRecetas electrónicas, historiales médicosIntercambio seguro de datos sensibles (RGPD).
Agua y suministrosContratos de abastecimientoServicios esenciales de infraestructura.
Servicios postalesEnvíos certificados, notificacionesVerificación para entregas seguras.
EducaciónInscripciones, diplomas digitalesReconocimiento transfronterizo de credenciales.
TelecomunicacionesActivación de SIM, contratos de telefoníaRegistro de usuarios y prevención de fraudes.
Plataformas digitales grandesRedes sociales (ej. Facebook, Instagram)Autenticación para servicios de alto impacto.

Estos sectores deben integrar interfaces compatibles con el ARF para aceptar credenciales de la cartera. Otros sectores privados pueden adoptarla voluntariamente para mayor eficiencia.

Todavía no se ha detallado el régimen sancionador específico para España salvo los marcos generales de la Unión Europea, como el del Reglamento (UE) 2022/2065 del Parlamento Europeo y del Consejo de 19 de octubre de 2022 relativo a un mercado único de servicios digitales y por el que se modifica la Directiva 2000/31/CE (Reglamento de Servicios Digitales).

Aquí os ofrezco el documento ARF de la Cartera IDUE en su Versión 2.6 traducida al español por mi (Julián Inza):

ARF-architecture-and-reference-framework-V-2-6-0 españolDescarga

He procurado usar ciertos términos en español de forma consistente, evitando, por ejemplo utilizar las palabras «monedero» o billetera» ya que la palabra «cartera» se adapta mejor a la idea de recoger en ella documentos y declaraciones de atributos y tenerlos disponibles según los necesite su usuario, para presentarlos a las partes interesadas (partes informadas).

Y a continuación incluyo la versión 2.6 del ARF en inglés:

ARF-architecture-and-reference-framework-main-V-2-6-0 and-annexesDescarga

Como resumen gráfico de la Cartera IDEU (EUDI Wallet) y de su ecosistema se incluye este diagrama:

Ante las dudas que pueden surgir a las entidades obligadas, ofrecemos en EADTrust un servicio de resolución de dudas sobre eIDAS 2 y Cartera IDUE y otro de implementación de interfaces de «Fuentes Auténticas» y «Partes Interesadas».

Podéis llamar al (+34) 917160555.

Lista completa de Actos de Ejecución asociados al Reglamento 1183/2014 (EIDAS2)

Deja un comentario

Ayer comenté la publicación de 3 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) y ahora recojo la lista completa con 25 actos de ejecución publicados en desarrollo del Reglamento eIDAS2.

El 3 de octubre de 2025 publiqué la anterior Lista de actos de ejecución de desarrollo del Reglamento EIDAS2.

En inglés:

  • CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
  • CIR 2024/2979 Integrity and core functionalities,
  • CIR 2024/2980 Ecosystem notifications,
  • CIR 2024/2981 Certification of Wallet Solutions,
  • CIR 2024/2982 Protocols and interfaces,
  • CIR 2025/846 Cross border identity matching,
  • CIR 2025/847 Security breaches of European Digital Identity Wallets,
  • CIR 2025/848 Registration of Wallet Relying Parties,
  • CIR 2025/849 List of certified European Digital Identity Wallets.
  • CIR 2025/1566 Reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 Management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 Procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 Qualified electronic attestations of attributes
  • CIR 2025/1570 Notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 Formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 Initiation of qualified trust services
  • CIR 2025/1929 Qualified electronic time stamps
  • CIR 2025/1942 Qualified validation services for qualified electronic signatures and seals
  • CIR 2025/1943 Qualified certificates
  • CIR 2025/1944 Qualified electronic registered delivery services
  • CIR 2025/1945 Validation of qualified electronic signatures and seals
  • CIR 2025/1946 Preservation of qualified electronic signatures and seals
  • CIR 2025/2160 Non-qualified trust services
  • CIR 2025/2162 Accreditation of Conformity Assessment Bodies
  • CIR 2025/2164 Common template for the trusted lists

En español:

  • CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
  • CIR 2024/2979 Integridad y funcionalidades básicas,
  • CIR 2024/2980 Notificaciones del ecosistema,
  • CIR 2024/2981 Certificación de soluciones de cartera,
  • CIR 2024/2982 Protocolos e interfaces,
  • CIR 2025/846 Correspondencia transfronteriza de identidades,
  • CIR 2025/847 Violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 Registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 Lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 Normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 Gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 Revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 Declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 Notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 Formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 Inicio de servicios de confianza cualificados
  • CIR 2025/1929 Sellos cualificados de tiempo electrónicos
  • CIR 2025/1942 Validación de firmas y sellos electrónicos cualificados
  • CIR 2025/1943 Certificados cualificados
  • CIR 2025/1944 Entrega electrónica certificada
  • CIR 2025/1945 Validación de firmas y sellos
  • CIR 2025/1946 Preservación de documentos con firmas o sellos
  • CIR 2025/2160 Servicios de confianza no cualificados
  • CIR 2025/2162 Acreditación de los organismos de evaluación de la conformidad
  • CIR 2025/2164 Plantilla común para las listas de confianza.

Añado la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Hoy se han publicado 3 nuevos Actos de Ejecución en desarrollo del Reglamento EIDAS y EIDAS2

Deja un comentario

Hoy se han publicado 3 nuevos Actos de Ejecución en el Diario Oficial de de la Unión Europea de 28 de octubre (Journal of the European Union) en desarrollo del Reglamento EIDAS y EIDAS2.

  • Decisión de Ejecución (UE) 2025/2164 de la Comisión de 27 de octubre de 2025 por la que se modifica la Decisión de Ejecución (UE) 2015/1505 en lo que respecta a la versión de la norma en la que se basa la plantilla común para las listas de confianza.
  • Reglamento de Ejecución (UE) 2025/2162 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la acreditación de los organismos de evaluación de la conformidad que realizan la evaluación de los prestadores cualificados de servicios de confianza y de los servicios de confianza cualificados que prestan, el informe de evaluación de la conformidad y el sistema de evaluación de la conformidad
  • Reglamento de Ejecución (UE) 2025/2160 de la Comisión de 27 de octubre de 2025 por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia, las especificaciones y los procedimientos para la gestión de riesgos para la prestación de servicios de confianza no cualificados

Aquí está la lista de todos los actos de ejecución publicados anteriormente. Y este cuadro lo ha preparado Joerg Lenz que sigue muy de cerca todos los desarrollos normativos:

Participación de Garrigues (g-digital) y EADTrust en el GLTH Day

Deja un comentario

El GLTH Day (o GLTHDAY) es un evento anual organizado por el Global LegalTech Hub (GLTH), que este año está siendo del 22 al 24 de octubre.

Global LegalTech Hub es una asociación sin ánimo de lucro que conecta a profesionales del sector jurídico, innovadores tecnológicos, startups y expertos en legaltech a nivel mundial. Su objetivo principal es promover la innovación en el ámbito legal mediante la transformación digital, el intercambio de conocimiento y el análisis de tendencias globales en tecnología aplicada al derecho.

En la jornada del 23 de octubre de 2025 pudimos escuchar a nuestra compañera Belén Aguayo explicando la conexión entre Garrigues (g-digital) y EADtrust y casos prácticos en los que ya se usan servicios de confianza cualificados, que dejan evidencias digitales de procesos operativos.

Participo en el Foro de Ciberseguridad «Estrategias corporativas frente a las amenazas digitales» 

Deja un comentario

La Cátedra de Ciberseguridad en el ámbito Social, Empresarial y de Defensa de la Universidad San Pablo CEU organiza el 28 de octubre el Foro de Ciberseguridad: “Estrategias corporativas frente a las amenazas digitales”, un encuentro exclusivo que contará con la participación de directivos de compañías del IBEX 35.

En esta jornada se abordarán tres objetivos principales:

  • Compartir entre un grupo selecto de CIOs/CISOs de cinco compañías del IBEX 35, lecciones aprendidas en la gestión de riesgos cibernéticos y en la consolidación del concepto de ciber resiliencia de las organizaciones.
  • Informar sobre el estado actual de la normativa NIS-2 y los retos que plantea.
  • Actualizar la información sobre las soluciones y servicios ofrecidos por el ecosistema Ciber, fabricantes e integradores.

DETALLES DEL EVENTO:

📆 FECHA:  28 de octubre

🕛 HORA: 10:00h

🌐 LUGAR: Aula Magna de la Universidad San Pablo CEU. C/ Julián Romea, 23. 28003 Madrid.  Ver en Google Maps

La inscripción es gratuita

AGENDA:

09:30 Registro y café de bienvenida

10:00 Bienvenida. Dª Anna Sroka, Directora Cátedra CEU de Ciberseguridad

10:05 Intervención. D. Alfonso Martínez-Echevarría y García de Dueñas, Decano de la Facultad de Derecho

10:10 Apertura del evento. Excma. Sra. Dª Rosa Visiedo Claverol, Rectora de la Universidad CEU San Pablo

10:20 Desafíos normativos europeos. NIS2 y DORA. Ponente: D. Julián Inza, Presidente de EADTrust

11:00 Mesa redonda: “Lecciones corporativas aprendidas sobre ciberresiliencia”. Modera: Dª Anna Sroka, Directora Cátedra CEU de Ciberseguridad. Participan:

  • Susana de Pablo, Directora General de Ingeniería, Tecnología y Digitalización de Enagás
  • Antonio Crespo, CIO de Asociación Española Contra el Cáncer (AECC)
  • Enrique Martín, CISO de AXA Partners
  • Ignacio García Egea, CISO de Gigas

12:00  Coffee Break

12:30 Enfoques sobre ciber resiliencia.

Modera: Francisco Torres Brizuela, Director de Desarrollo de Negocio, Ciberevolution. Con representantes de Claroty, Cohesity, Ednon, NetApp y Veeam. 

13:45 Clausura

Únase a nosotros en el Foro de Ciberseguridad «Estrategias corporativas frente a las amenazas digitales» un encuentro de referencia que reunirá a CIOs y CISOs de compañías del IBEX 35, expertos académicos de la Universidad CEU San Pablo y responsables de fabricantes tecnológicos líderes como Cohesity, NetApp, Okta y Veeam.

Durante la jornada se compartirán las lecciones aprendidas en la gestión de riesgos cibernéticos y en la consolidación del concepto de ciber resiliencia, se informará sobre el estado actual de la normativa NIS-2, y se actualizará acerca de las soluciones y servicios del ecosistema Ciber.

EA4GPT: Cuando la inteligencia artificial se pasa a las ondas

Deja un comentario

Una historia de soldadores, Morse y humor en tiempos de algoritmos.

Todo empezó con una coincidencia cósmica digna de una apertura en 10 metros: mi indicativo de radioaficionado es EA4GPT.
Y sí, cada vez que alguien lo escucha, sonríe y pregunta:

“¿GPT? ¿Como ChatGPT, el de Internet?”

A estas alturas ya no lo corrijo. Simplemente asiento, sonrío y contesto:

“Sí, pero yo funciono con 12 voltios… y café.”

Antes del indicativo, el soldador

Mi historia con la radioafición empezó mucho antes de tener licencia. En aquella época —cuando las válvulas todavía no eran vintage— me picó la curiosidad por el código Morse y por los cacharros con más cables que sentido.

Recuerdo perfectamente uno de mis primeros proyectos: un Accu Keyer, un keyer electrónico que monté siguiendo un artículo publicado en una revista de radioaficionados. Años después descubrí que aquel diseño se había ganado su hueco en el mismísimo Radio Amateur’s Handbook.

Era una época gloriosa: sin impresoras 3D, sin IA, sin tutoriales en YouTube… solo un soldador, un esquema en papel y la esperanza de no freír el transistor equivocado.
Aquella cajita metálica, con su clave electrónica, fue mi primer “asistente inteligente”. Solo que, a diferencia de ChatGPT, este olía a estaño caliente y no daba sugerencias de mejora en tiempo real.

Conversaciones de ciencia (y ficción)

Ahora, cuando me presento por radio y digo “EA4GPT”, más de uno me suelta:

“¿Y tú eres la versión en HF o en VHF del modelo?”

Y yo, para seguir el juego:

“La versión analógica con modulación emocional variable. No tengo WiFi, pero hago QSO hasta con tormenta solar.”

La verdad es que si ChatGPT se pasara a las ondas, lo tendría complicado. Le hablarías en fonía y te contestaría:

“Lo siento, no tengo suficiente contexto para tu pregunta. ¿Podrías reformular en CW, por favor?”

Cuando la propagación falla… y el humor no

Una cosa tenemos en común: tanto la IA como los radioaficionados dependemos del entorno.
A ChatGPT se le cae el servidor; a nosotros, la propagación.

Pero al menos, cuando la banda se muere, yo puedo aprovechar para ajustar la antena, calibrar el SWR o tomarme un café.
ChatGPT, en cambio, solo puede hacer reconnecting… please wait.

Y hablando de antenas: si la IA supiera lo que cuesta lograr un buen DX con ruido de fondo S7 y QSB impredecible, entendería de verdad lo que es la inteligencia adaptativa.

Ruido, QRM y humanidad

En un mundo lleno de algoritmos y respuestas instantáneas, me gusta pensar que la radioafición conserva algo esencialmente humano: la paciencia, la curiosidad y el placer de construir, experimentar y equivocarse.

Ni el mejor modelo de lenguaje puede replicar la emoción de escuchar tu propio indicativo rebotando desde el otro lado del planeta, o de montar un equipo casero que funcione a la primera (o a la décima, que también cuenta).

Así que si alguna vez me oyes por ahí, recuerda:
EA4GPT no está en la nube —está en el aire.
Y mis respuestas, aunque no sean automáticas, llevan siempre modulación humana y un toque de humor de 59+.

“CQ CQ CQ… aquí EA4GPT, transmitiendo desde el shack,
con la IA apagada y el corazón encendido.”

73 de EA4GPT