Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
Archivo de la categoría: Autoridad de Certificación
La criptoagilidad (o agilidad criptográfica) es la capacidad de un sistema, software o infraestructura tecnológica para adaptarse rápidamente a nuevos algoritmos criptográficos o cambiar los existentes sin requerir modificaciones significativas en su arquitectura. Esto implica poder actualizar, reemplazar o ajustar los métodos de cifrado, firmas digitales o protocolos de seguridad de manera eficiente para responder a amenazas emergentes, como el avance en la computación cuántica, vulnerabilidades descubiertas o cambios en estándares regulatorios.
EADTrust es el Prestador de Servicios de Confianza Cualificados más activo de España en lo relativo a la adecuación frente a los retos de la computación cuántica analizando y adoptando las soluciones emergentes de la criptogrfía postcuántica. A nivel europeo, también Digicert, Entrust y Sectigo han mostrado actividad en estos aspectos
La criptoagilidad y la disponibilidad de infraestructuras con diferentes algoritmos permiten anticiparse al criptocalipsis. El criptocalipsis (o apocalipsis criptográfico) es un término que describe un escenario hipotético en el que los algoritmos criptográficos actuales, como RSA, ECC (curvas elípticas) o AES, se vuelven obsoletos o vulnerables debido a avances tecnológicos, particularmente la llegada de la computación cuántica
EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación de tamaños de clave mejores que RSA de 2048 bits, y en la actualidad es la única con jerarquías de PKI para certificados cualificados de tamaños de clave RSA de 8196 bits, especialmente orientada a proyectos de alta seguridad, con resistencia a la computación cuántica.
También EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación basadas en criptografía no-RSA. Cuenta con dos jerarquías de certificación basada en Criptografía de Curvas elípticas, ECC-255 y ECC-384.
La disponibilidad de jerarquías ECC por parte de EADTRUST fue esencial para que España pudiera desplegar los pasaportes COVID ágilmente, ya que EADTrust fue el Prestador que pudo emitir en tiempo récord los certificados adecuados basados en ECC-255 para todos los organismos sanitarios españoles con las especificaciones de la OMS y de la Unión Europea.
En estos momentos hemos anunciado un importante curso presencial de 2 dias: Formación sobre Computación Cuántica y Criptografía Postcuántica. Se enmarca entre los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos.
Además estamos haciendo seguimiento de los nuevos estándares de criptografía postcuántica como el FIPS-206 Falcon al que nos hemos referido recientemente en este blog y el prometedor HQC (Hamming Quasi-Cyclic).
El NIST seleccionó HQC (procedente de la ronda 4) como algoritmo adicional para estandarizar como KEM de respaldo a ML-KEM. El NIST anunció que creará un borrador (IPD) para HQC y lo publicará para comentarios — el cronograma indicado apunta a publicar el borrador aproximadamente en 1 año desde su anuncio y una versión final alrededor de 2027.
Ya tenemos servicios disponible para clientes que se desean valorar el impacto de su preparación (criptoagilidad) para los grandes cambios que se avecinan:
Adaptación de servidores web (en la conexión segura «https://») para incluir TLS1.3 (RFC 8446) y la configuración necesaria para que la gestión de claves del cifrado de las comunicaciones se realice con el algoritmo ML-KEM/Kyber que ya soportan servidores y navegadores web como primera aproximación de mecanismos híbridos. Ver IETF draft-ietf-tls-kem-tls-13
Adaptación de servidores web para soportar el protocolo ACME (Automatic Certificate Management Environment) basado en el RFC 8555, como paso hacia una infraestructura automatizada, segura y criptoágil. Además de poder configurar a EADTrust como Autoridad de Certificación generadora de certificados para TSL con ACME, en el Certbot se pueden configurar otras CAs. Aunque contamos con varios mecanismos de verificación de dominio damos preferencia a las variantes con información actualizada en el DNS. La duración máxima de los certificados TLS públicos se reducirá progresivamente a 47 días, según lo aprobado por el CA/Browser Forum en abril de 2025 mediante el Ballot SC-081v3, propuesto por Apple y respaldado por los principales navegadores (Apple, Google, Mozilla y Microsoft). Esta es otra buena razón para incorporar a automatización a la renovación de certificados de servidor web
Si tu empresa fabrica o importa productos que consumen energía en la UE, es probable que hayas oído hablar de EPREL y los certificados QSealC. Pero, ¿sabes realmente qué tipo de certificado necesitas y cómo obtenerlo? En este artículo, te explicamos todo lo que debes saber sobre los certificados QSeal para cumplir con los requisitos de la base de datos EPREL de manera sencilla y efectiva.
Un certificado QSealC es como un pasaporte digital para tu empresa. Sirve para demostrar que es quien dice ser cuando registras productos en EPREL, asegurando que los datos se han verificado y cumplen con las normativas de la UE.
Para registrar productos en la base de datos EPREL (European Product Database for Energy Labelling), necesitas un Certificado Cualificado de Sello Electrónico (QSealC) (es decir, de Persona Jurídica) emitido por un Prestador Cualificado de Servicios de Confianza (PCSC), conforme al Reglamento eIDAS (UE 910/2014).
Requisitos clave del certificado QSealC para EPREL:
Debe ser un certificado cualificado: Debe cumplir con los estándares del reglamento eIDAS y la norma ETSI EN 319 412, con identificación NTR (EUID). Se puede consultar en el portal europeo «European e-Justice Portal – Business registers»
Emitido a nombre de la persona jurídica: El certificado debe identificar a la empresa, no a una persona física. Hay casuística especial para Autónomos.
Emitido en un dispositivo cualificado (QSCD): Suele ser un token físico o una tarjeta chip.
Debe permitir sellar electrónicamente documentos PDF: Como la declaración de proveedor exigida por EPREL. Por ejemplo con Adobe Reader.
El certificado de persona jurídica de entidades españolas para EPREL de EADTrust por un año tiene un coste de 350 euros.
El certificado QSEAL para EPREL de EADTrust por un año para entidades de fuera de España tiene un coste de 700 euros. No se aplica IVA a las empresas con identificación VIES.
El Token SafeNet eToken 5110 CC (QSCD, Dispositivo Cualificado de Creación de Firma) tiene un coste de 110 euros.
Estos precios son los más competitivos en España y fuera de España
Ayer comenté la publicación de 6 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) —anteriormente Diario Oficial de las Comunidades Europeas (DOCE)—
Con lo que la lista completa queda con 22 actos de ejecución publicados:
En inglés:
CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
Recordemos que quedan borradores de actos de ejecución cuyos plazos para enviar comentarios acabaron el 2 de octubre, salvo el de archivo con orden cronológico que acaba el 3 de octubre.
En el DOCE del 30 de septiembre se han publicado 6 reglamentos de ejecución que conocíamos en estado de borrador. Son los siguientes:
Español
CIR-2025-1929-ES Reglamento de Ejecución (UE) 2025/1929 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la vinculación de la fecha y la hora con los datos y al establecimiento de la exactitud de las fuentes de información temporal para el suministro de sellos cualificados de tiempo electrónicos
CIR-2025-1942-ES Reglamento de Ejecución (UE) 2025/1942 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de validación de firmas electrónicas cualificadas y los servicios cualificados de validación de sellos electrónicos cualificados
CIR-2025-1943-ES Reglamento de Ejecución (UE) 2025/1943 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia para los certificados cualificados de firma electrónica y los certificados cualificados de sello electrónico
CIR-2025-1944-ES Reglamento de Ejecución (UE) 2025/1944 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia de los procesos de envío y recepción de datos en los servicios cualificados de entrega electrónica certificada y en lo que respecta a la interoperabilidad de tales servicios
CIR-2025-1945-ES Reglamento de Ejecución (UE) 2025/1945 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la validación de las firmas electrónicas cualificadas y de los sellos electrónicos cualificados y a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados y de los sellos electrónicos avanzados basados en certificados cualificados
CIR-2025-1946-ES Reglamento de Ejecución (UE) 2025/1946 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de conservación de firmas electrónicas cualificadas y de sellos electrónicos cualificados
English
CIR-2025-1929-EN Commission Implementing Regulation (EU) 2025/1929 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the binding of date and time to data and establishing the accuracy of the time sources for the provision of qualified electronic time stamps
CIR-2025-1942-EN Commission Implementing Regulation (EU) 2025/1942 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified validation services for qualified electronic signatures and qualified validation services for qualified electronic seals
CIR-2025-1943-EN Commission Implementing Regulation (EU) 2025/1943 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for qualified certificates for electronic signatures and qualified certificates for electronic seals
CIR-2025-1944-EN Commission Implementing Regulation (EU) 2025/1944 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for processes for sending and receiving data in qualified electronic registered delivery services and as regards interoperability of those services
CIR-2025-1945-EN Commission Implementing Regulation (EU) 2025/1945 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the validation of qualified electronic signatures and of qualified electronic seals and the validation of advanced electronic signatures based on qualified certificates and of advanced electronic seals based on qualified certificates
CIR-2025-1946-EN Commission Implementing Regulation (EU) 2025/1946 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified preservation services for qualified electronic signatures and for qualified electronic seals
Recientemente, el Organismo Supervisor de Prestadores Cualificados de Confianza eIDAS en España ha comunicado a los prestadores de servicios de confianza la recomendación de abandonar el uso de claves RSA de hasta 2048 bits, indicando que la fuente de la recomendación es el CCN (Centro Criptógico Nacional) a través del documento CCN-STIC 221 – Guía de Mecanismos Criptográficos autorizados por el CCN.
Sin embargo, ese documento no entra en detalles de tamaños de clave recomendados aunque indica en su página 104
Los resultados del ataque ROCA obligó a varios gobiernos europeos a revocar todos los certificados digitales de millones de tarjetas de identificación de sus ciudadanos, ya que tenían claves de 1024 bits y se podía suplantar la identidad de sus ciudadanos. En España se optó por la misma medida de prevención, aunque los DNIe españoles no corrían el mismo peligro que los documentos de identidad utilizados en otros países, ya que el DNIe español utiliza claves de 2048 bits.
dando a entender que un tamaño de 2048 bits en RSA es apropiado.
En realidad, las claves de los dispositivos cualificados de casi todos los países (no solo España) eran en aquel momento de 2048 bits, pero la vulnerabilidad ROCA afectaba al algoritmo de generación de claves adoptado por Infineon (que lo limitó al uso de la variante «Fast Prime») con lo que hubiera sido sencillo sustituir las claves generadas por aquellos chips con generadores externos al propio chip.
En muchos lugares (incluida España) se optó por generar claves RSA de 1952-bits en el propio chip. A tal efecto se modificó el software de los «cajeros automáticos del DNI» para actualizar los certificados (y su clave privada asociada) cuando acudieran los ciudadanos a la renovación de certificados. Para siguientes emisiones de DNIe se usaron dispositivos diferentes.
Los mecanismos criptográficos autorizados indicados en los siguientes apartados se han clasificado en dos (2) categorías (CAT) de acuerdo con su fortaleza estimada a corto y largo plazo:
a) Recomendados (R): mecanismos que ofrecen un nivel adecuado de seguridad a largo plazo. Se considera que representan el estado del arte actual en seguridad criptográfica y que, a día de hoy, no presentan ningún riesgo de seguridad significativo. Se pueden utilizar de forma segura a largo plazo, incluso teniendo en cuenta el aumento en potencia de computación esperado en un futuro próximo. Cualquier riesgo residual, solo podrá proceder del desarrollo de ataques muy innovadores.
b) Heredado o Legacy (L): mecanismos con una implementación muy extendida a día de hoy, pero que ofrecen un nivel de seguridad aceptable solo a corto plazo. Únicamente deben utilizarse en escenarios en los que la amenaza sea baja/media y el nivel de seguridad requerido por el sistema bajo/medio (como veremos en el apartado 5) y deben ser reemplazados tan pronto como sea posible, ya que se consideran obsoletos respecto al estado del arte actual en seguridad criptográfica, y su garantía de seguridad es limitada respecto a la que ofrecen los mecanismos recomendados. Como consecuencia de ello, para estos mecanismos se define el periodo de validez hasta 2025 (31 de diciembre), salvo indicación expresa de otro periodo.
En la Tabla 3-2. Tamaño de las primitivas RSA acordadas se considera (L)egacy la criptografía RSA de hasta 2048 bits.
En la Tabla 3-4. Curvas elípticas acordadas se consideran (R)ecomendada la criptografía ECC de todos los tamaños habituales entre los que se encuentran NIST P-256 o secp256r11 y NIST P-384 o secp384r1
En la Tabla 3-8. Esquemas de Firma electrónica autorizados se consideran L los tamaños de clave RSA hasta 2024 y R los tamaños de clave RSA de más de 3072 bits. Y en las variantes ECC las de tamaños a partir de 256 bits.
En la página 50 se entra en detalle sobre la firma electrónica [MP.INFO.3] tal como se encuentra definida en el Reglamento eIDAS y según la forma en la que se debe aplicar en las Administraciones Públicas en el contexto del Esquema Nacional de Seguridad.
Para los niveles bajo y medio del ENS se admiten claves RSA (del firmante) de, al menos, 2048 bits, claves de 224-255 bits si se emplean curvas elípticas y Funciones hash SHA-256 o superior.
Sin embargo, tal como se ha visto esa posibilidad entra en la consideración de «Legacy» y se tiene que dejar de usar desde el 1 de enero de 2026.
Para el nivel alto del ENS se requiere una fortaleza mínima de 128 bits, «los mecanismos utilizados deberán ser recomendados«, que, según se ve en las tablas indicadas anteriormente, debe ser en RSA de al menos, 3072 bits, y de más de 256 bits si se emplean curvas elípticas . Se entra en detalle en la Tabla 3-8 (página 16).
En cuanto a los Sellos de Tiempo [MP.INFO.4] se consideran los requisitos para el ENS alto:
Se utilizarán productos certificados conforme a lo establecido en el ENS ([op.pl.5] Componentes Certificados).
Se emplearán «sellos cualificados de tiempo electrónicos» atendiendo a lo establecido en el Reglamento eIDAS.
Se utilizarán mecanismos de firma electrónica recomendados y fortaleza mínima 128 bits, es decir: # RSA de, al menos, 3072 bits (aunque se recomienda el uso de 4096 bits). # Curvas elípticas con claves de, al menos, 256 bits. # Funciones resumen de las incluidas en la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256. – Para los esquemas enlazados, la seguridad recae en la función resumen empleada, por tanto, se empleará cualquiera de las funciones de la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256.
Todos estos requisitos son muy difíciles de afrontar si se empiezan a considerar en el año 2025, pero EADTrust ya los tuvo en cuenta en la definición de sus jerarquías de certificación desde su creación.
Jerarquias de certificación de EADTrust.
Las jerarquías de certificación de EADTrust ya cumplen los requisitos establecidos por el CCN desde que se diseñaron y se llevó a cabo la ceremonia de generación de claves de CA en 2019, sin esperar a la fecha límite de diciembre de 2025. Se estructuran en tres niveles (Root CA, Sub-CA e Issuing CA) y combinan tecnologías RSA y ECC, posicionando a EADTrust como pionera en Europa por su uso dual. Esta estructura soporta la emisión de certificados cualificados para firma electrónica, sellos electrónicos y autenticación de sitios web, cumpliendo con los estándares de ETSI y CEN para eIDAS y garantizando alta seguridad y confianza en transacciones electrónicas. La adopción de ECC refuerza su preparación para desafíos criptográficos futuros y ha sido clave para su designación como la entidad emisora de los certificados utilizados por los organismos sanitarios españoles para emitir el pasaporte COVID-19 durante la pandemia.
Las variantes de certificados ofrecidos por EADTrust son las siguientes:
Autenticación y firma electrónica de personas físicas,
Autenticación y firma electrónica de personas físicas, con indicación de entidad en la que trabajan,
Autenticación y firma electrónica de representantes legales de personas jurídicas,
Autenticación y firma electrónica de empleados públicos,
Autenticación y firma electrónica de empleados públicos, en el contexto de la Administración de Justicia
Autenticación y sello electrónico de personas jurídicas,
Autenticación y sello electrónico de órganos de la administración pública,
Autenticación y sello electrónico de personas jurídicas sujetas a la normativa PSD2,
La creación de sellos de tiempo electrónicos cualificados,
La comprobación y validación de firmas electrónicas, sellos electrónicos, y de sellos de tiempo electrónicos,
La conservación de firmas electrónicas, sellos o certificados para estos servicios
Se contemplan algoritmos criptográficos de tipo RSA con tamaños de clave de 2048 bits, 4196 bits y 8192 bits y algoritmos criptográficos de tipo ECC (Criptografía de Curva Elíptica) con tamaños de clave de 256 bits y 384 bits.
Los diferentes niveles de robustez de criptografía permiten el cumplimiento de los niveles medios y altos del ENS (Esquema Nacional de Seguridad) de España, tal como se describen en el documento “Guía de Seguridad de las TIC – CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad” citado, según las necesidades de las Administraciones Públicas.
Los tamaños de clave para los certificados cualificados (a partir de los certificados de Autoridad de Certificación raíz) son:
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 4096-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 8192-bit key size with SHA512 digest algorithm para certificados cualificados.
ECC Root CA P-256 with SHA256 digest algorithm para certificados cualificados.
ECC Root CA P-384 with SHA384 digest algorithm para certificados cualificados. Para certificados no cualificados
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados no cualificados.
En la siguiente figura se muestra la jerarquía RSA de 4096 bits que es similar a la de 8192 bits.
En la siguiente figura se muestra la jerarquía ECC de 384 bits que es similar a la de 256bits.
Desde principios de 2023 EADTrust ha difundido además los nuevos certificados para la provisión de servicios de sello de tiempo cualificado diferenciados por usar diferentes algoritmos criptográficos, tamaño de clave y uso o no de Dispositivo Cualificado de Creación de Sello o de Firma (DCCF, DCCS o QSCD).
Algunos están especialmente diseñados para cumplir requisitos establecidos en el Esquema nacional de Seguridad (ENS) para el Nivel de Seguridad Alto.
Los campos “CommonName” de los nuevos certificados son:
Certificado
Criptografía
Tamaño Clave
QCSD
ENS
EADT QTSU 2023 RSA 2048
RSA
2048
NO
NO
EADT QTSU 2023 ENS alto RSA 3072
RSA
3072
NO
SI
EADT QTSU QSCD 2023 ENS alto RSA 4096
RSA
4096
SI
SI
EADT QTSU 2023 ENS alto ECC 256
ECC
256
NO
SI
EADT QTSU QSCD 2023 ENS alto ECC 384
ECC
384
SI
SI
Por compatibilidad se mantienen los sellos de tiempo basados en criptografía RSA de 2048 bits, destinados a entidades no sujetas al cumplimiento de la normativa ENS del Esquema nacional de Seguridad.
El reto de las entidades del sector público
Los cambios en la criptografía de los certificados y de los sellos de tiempo no solo afectan a los Prestadores de Servicios de Confianza, también afectan a las entidades públicas que deben aceptar los nuevos certificados.
Por eso, en EADTrust hemos creado un servicio de apoyo sin coste para entidades públicas que orienta sobre los puntos de la infraestructura que deberían revisar para facilitar la transición a la criptografía más robusta (sobre todo su página web de servicios al ciudadano). Además, aportamos un juego completo de certificados de prueba vigentes y revocados para que puedan comprobar los diferentes casos de uso. Pueden llamar al 91 7160555.
El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).
¿A quién va dirigido?
El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.
Contenido
Entre los temas que se debatirán este año, abordaremos los siguientes
Normalización y certificación de la Cartera de Identidad Digital Europea
Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
Estrategias para promover el mercado de la identidad digital
Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.
Agenda en inglés
El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo
Inscripción
Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.
La Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga y el grupo de investigación NICS Lab han organizado un curso de verano en ciberseguridad, CYBER BOOTCAMP Málaga, dentro del Programa «Seminarios de Ciberseguridad» financiado por Google.org.
El objetivo del programa es entrenar a estudiantes de Universidades Públicas Españolas en aspectos relacionados con la ciberseguridad.
El curso de Verano tiene dos itinerarios, cada uno con 50 estudiantes, y está dirigido a Estudiantes Universitarios de cualquier Universidad Española.
Uno de los itinerarios está orientado a estudiantes de titulaciones técnicas con sólidos conocimientos informáticos y fundamentos de ciberseguridad (modalidad avanzada), y otro orientado a estudiantes de otras titulaciones sin ese nivel de conocimientos (modalidad básica).
Las clases tienen lugar desde el 1 al 11 de julio de 2025 en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga.
Yo imparto la sesión de mañana del primer día (martes, 1 de julio) del Módulo Avanzado y trataré sobre Identidad Digital enfatizando los últimos avances del Reglamento EIDAS2 y la Cartera de Identidad Europea.
Este es el temario del Módulo Avanzado:
DÍAS
MAÑANA 9:00 – 13:30
TARDE 15:00 – 18:15
MARTES 1
Identidad Digital Julián Inza EAD Trust, European Agency of Digital Trust
Privacidad Jordi Forné Universidad Politécnica de Cataluña
MIÉRCOLES 2
Seguridad de Redes y Sistemas Pedro García Universidad de Granada
En la Arquitectura y Marco de Referencia de la Cartera de Identidad Digital Europea se recoge la opción de que las entidades de las Administraciones Públicas puedan generar Declaraciones de Atributos de forma similar a los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA).
En el modelo de confianza, tanto los Prestadores Cualificados de Declaraciones Electrónicas Cualificadas de Atributos (DECA) como las entidades públicas emisoras de Declaraciones Electrónicas de Atributos (DEA) deben contar con un certificado electrónico con el que se firman las declaraciones electrónicas de atributos.
EADTrust está generando ya certificados de prueba alineados con el modelo de confianza y puede prestar, si se requiere, tanto los servicios DECA (asociados a fuentes auténticas) como declaraciones DEA-AAPP (en inglés Pub-EAA).
Hay que tener en cuenta que la norma ETSI TS 119 412-5 se va a modificar para incorporar un nuevo OID esi4-qcStatement-10 solo para Organismos del Sector Público – OSP (en inglés PSB – Public Sector Bodies), que incluirá esta información:
countryOfLegislation deberá contener el código de país alfa-2 del marco legislativo del organismo del sector público, considerando que se utilizará «EU» para la legislación de la UE.
authSourceIdentification deberá contener una identificación única de la fuente auténtica para la que el OSP emite declaraciones de atributos.
nameOfLegislation deberá contener el nombre de la legislación que define al OSP como responsable de la fuente auténtica. Esta entrada deberá contener al menos la traducción al inglés del nombre de la legislación, pero también puede contener traducciones a otros idiomas.
La sintaxis queda así:
esi4-qcStatement-10 QC-STATEMENT ::= { SYNTAX QcPSB IDENTIFIED BY id-etsi-qcs-QcPSB }
QcPSB ::= SEQUENCE { countryOfLegislation PrintableString (SIZE (2)) (CONSTRAINED BY { — ISO 3166 alpha-2 codes only — }), — this field shall contain the alpha-2 country code of the legislation — framework of public sector body in the case of EU legislation use — the «EU» country-code.
authSourceIdentification UTF8String, — this field is for the unique identification of authentic source
nameOfLegislation LegalDescriptions }
LegalDescriptions ::= SEQUENCE SIZE (1..MAX) OF LegalDescription
LegalDescription ::= SEQUENCE { language PrintableString (SIZE(2)), –ISO 639-1 language code — the language (code) of the legislation — description
legislation UTF8String — the legislation name in the language set, at minimum the english — (en) translation of the legistlation’s name shall be included }
Contacte con EADTrust para adaptar su entidad u organismo a los retos del despliegue de la Cartera de Identidad Digital Europea.
g-digital, es la división de negocios digitales de Garrigues (la mayor Firma de abogados de la Unión Europea) dedicada a fomentar la innovación y el desarrollo tecnológicos para ayudar a los clientes de la Firma en su transformación digital. Asume la misión de desarrollar soluciones tecnológicas que integren el conocimiento del derecho de los negocios del despacho legal en los procesos de sus clientes, no solo mejorando la eficiencia y la seguridad jurídica, sino también habilitando nuevas oportunidades de negocio en un entorno cada vez más digital.
Los profesionales de Garrigues Digital, que son los expertos del despacho en TechLaw y economía digital, trabajan estrechamente con los tecnólogos de g-digital en el diseño de sus soluciones, asegurando que tecnología y legalidad se integran en cada propuesta e identificando las necesidades y oportunidades del mercado. Esta colaboración es el factor clave y distintivo que asegura que sus productos y servicio sean innovadores y de confianza.
Las soluciones de g-digital están concebidas como herramientas esenciales para garantizar la seguridad jurídica, la eficiencia y el cumplimiento normativo en los procesos desplegados por o clientes del a Firma.
g-digital, trabaja en estrecha colaboración con EADTrust, prestador cualificado de servicios de confianza digital, participado por Garrigues.
Esta colaboración representa una alianza estratégica que redefine la forma en que las empresas gestionan sus transacciones digitales. Esta sinergia combina el liderazgo legal de Garrigues con la experiencia técnica de EADTrust para ofrecer soluciones integrales que garantizan seguridad, eficiencia y cumplimiento normativo.
¿Qué ofrecen juntos g-digital y EADTrust?
La propuesta comercial conjunta se basa en tres pilares fundamentales:
Servicios de confianza digital regulados
EADTrust aporta su experiencia en servicios cualificados, como la expedición de certificados cualificados de personas físicas para la realización de firmas electrónicas cualificadas, la expedición de certificados cualificados de personas jurídicas para la realización de sellos electrónicos cualificados, la emisión de sellos de tiempo cualificados, la provisión de servicios de custodia digital y notificaciones certificadas, esenciales para garantizar la autenticidad y seguridad de las transacciones digitales.
g-digital integra estos servicios en procesos legales, optimizando la gestión de contratos y asegurando que las empresas cumplan con normativas como eIDAS2.
Innovación tecnológica aplicada al ámbito legal
Ambas entidades han desarrollado soluciones como GoCertius, que permite certificar fotografías y videos captados con el móvil asociándolos al momento en que se tomaron, y que se ha ampliado para dejar constancia de lo tratado en chats «securizados» en plataformas como Telegram con alta eficacia probatoria, y que permitiría un sistema de contratación con muy baja fricción en la experiencia de usuario.
g-digitaltrabaja en proyectos basados en blockchain, como plataformas de activos financieros tokenizados bajo el régimen piloto de la UE (Reglamento UE 2022/858) y la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión y su constitución como ERIR (Entidad Responsable de la Inscripción y del Registro. También impulsa soluciones de «EAD Enterprise Suite» como «eArchiving» y «Signature Manager» una herramienta colaborativa que permite la firma electrónica de varios intervinientes en un acuerdo e incluso invitar asesores legales al proceso de firma.
Cumplimiento normativo y adaptación al mercado europeo
La colaboración está alineada con regulaciones clave como eIDAS2, NIS2, DORA y MiCA, asegurando que las empresas puedan operar dentro del marco legal europeo mientras aprovechan herramientas avanzadas para la gestión digital.
Beneficios para las empresas
La alianza entre g-digital y EADTrust ofrece ventajas tangibles para empresas de todos los sectores:
Seguridad jurídica: Las soluciones conjuntas garantizan que las transacciones digitales cumplan con los estándares legales más exigentes, reduciendo riesgos regulatorios.
Eficiencia operativa: La integración de servicios digitales permite automatizar procesos clave, como la firma electrónica o la custodia documental, optimizando tiempos y costes. El uso de sello de tiempo cualificado en pasos clave de procesos de negocio digitalizados los transforma en pruebas con presunción «Iuris Tantum»
Innovación adaptada: Con herramientas como blockchain y carteras digitales europeas (EUDI Wallets), las empresas pueden liderar la transformación digital sin comprometer la seguridad ni el cumplimiento normativo.
Casos destacados
Entre los proyectos desarrollados conjuntamente se encuentran:
GoCertius: Una solución innovadora para certificar fotos, videos y documentos captados por la cámara controlada por la App y comunicaciones digitales por Telegram , ideal para sectores donde la evidencia legal es crítica.
EAD Factory: Servicios diseñados para transformar procesos empresariales tradicionales en entornos completamente digitales por diseño, beneficiando especialmente a industrias como banca y seguros. Puede implantarse en sus propios CPDs o en plataformas en la nube TIC
EAD Enterprise Suite: eArchiving: Solución de custodia digital de archivos, equivalente en cierto sentido al depósito notarial, con funcionalidades de escrow.
EAD Enterprise Suite: Signature Manager: Solución de firma electrónica de uso muy sencillo que reduce la fricción para los firmantes y sus asesores, y que resuelve los retos de la firma en contextos multinacionales donde aplican diferentes leyes y jurisdicciones.
Conclusión
La colaboración entre g-digital y EADTrust no solo fortalece la confianza digital en Europa, sino que también posiciona a ambas entidades como líderes en un mercado donde la seguridad jurídica y tecnológica son esenciales. Su propuesta conjunta es una invitación a las empresas a abrazar el futuro digital con herramientas que garantizan autenticidad, integridad y cumplimiento normativo. En un entorno donde la innovación es clave, esta alianza representa el puente perfecto entre tecnología avanzada y seguridad legal.
GoCertius es la base conceptual (con su forma particular de certificar evidencias digitales) sobre la que EADTrust y Garrigues (a través de su división g-digital) han construido los servicios de EAD Trust Factory. Una panoplia de servicios que pasan a formar parte de la infraestructura de nuestros clientes, como si ellos mismos fueran Prestadores Cualificados de Servicios de Confianza Digital.
Son clientes de diferentes tamaños y sectores que así pueden desarrollar entornos de gestión de evidencias electrónicas sacando ventaja de los servicios regulados, tales como los que se describen en el Reglamento europeo eIDAS y su ampliación eiDAS2.
Las soluciones de EAD Trust Factory, al integrar servicios de confianza digital y optimizar procesos legales, pueden beneficiar a diversas industrias que requieren gestión segura y eficiente de documentos y transacciones digitales. De esta forma se pueden optimizar los procesos empresariales de gestión rediseñándolos para que sean completamente digitales y confiables por diseño, sabiendo que se podrá contar con evidencias digitales prescindiendo del papel. Y que estas evidencias podrán acreditar los servicios prestados y su seguridad, con certeza del momento en que se prestaron en cualquier contexto de resolución de controversias.
A continuación, se presentan algunos de los sectores que se benefician de estas soluciones:
Sector Financiero y Seguros:
Beneficios: La gestión segura de documentos financieros y la autenticidad de las transacciones son cruciales en este sector. EAD Trust Factory añade servicios cualificados a la infraestructura de cada entidad para ayudar a cumplir con las regulaciones financieras y de protección de datos, como el Reglamento General de Protección de Datos (GDPR), Digital Operational Resilience Act (DORA), Directiva 2022/2555 (NIS2) y el Reglamento 910/2014 eIDAS con los cambios introducidos por el Reglamento 1183/2024.
Industria Legal y Jurídica:
Beneficios: La generación de evidencias digitales y la gestión de contratos electrónicos son fundamentales para este sector. EAD Trust Factory facilita la creación de documentos legales electrónicos seguros y auténticos, mejorando la eficiencia en los procesos legales. Por su influencia en otras actividades el punto de vista legal es crucial para entender el ·»Compliance» la presunción Iuris Tantum de los servicios cualificados de confianza
Sector de la Salud:
Beneficios: La gestión de registros médicos electrónicos o los Consentimientos Informados requiere altos niveles de seguridad y confianza. EAD Trust Factory puede ayudar a proteger la privacidad de los pacientes y asegurar la integridad de los datos médicos. También ayuda digitalizar historias clínicas, respetando la normativa definida para ellos,
Industria de la Energía y Recursos Naturales:
Beneficios: La optimización de procesos y la gestión eficiente de documentos son clave en este sector, donde la seguridad y el cumplimiento normativo son fundamentales. EAD Trust Factory puede ayudar a mejorar la eficiencia operativa y reducir costes. También la contratación se beneficia de un marco regulatorio más garantista.
Sector de Transporte y Logística:
Beneficios: La gestión de documentos de transporte y la trazabilidad de mercancías requieren sistemas confiables. EAD Trust Factory proporciona soluciones para asegurar la autenticidad y seguridad en la gestión de documentos relacionados con el transporte y la logística. En particular, albaranes gestionados de forma digital que puedan surtir efecto también como documentos híbridos con versión en papel de ser necesaria.
En resumen, cualquier industria que requiera gestión segura de documentos y transacciones digitales puede beneficiarse de las soluciones de EAD Truat Factory. La plataforma es especialmente útil para sectores con altos requisitos de seguridad y cumplimiento normativo.
EAD Trust Factory está formado por diferentes servicios cualificados de confianza, entre los que destacan los sellos de tiempo`, las notificaciones fehacientes y las comprobaciones de validez de firmas y certificados electrónicos. También el Onboarding digital, incluyendo servicios de Videoidentificación.
Los servicios orquestados por EAD Trust Factory incluyen servicios cualificados de confianza definidos por el reglamento #eIDAS y desarrollos auxiliares que permiten dotar a cualquier proceso que incluya gestión digital de un respaldo regulatorio en forma de evidencias digitales con valor «Iuris Tantum» que aportar tanto en entornos MASC (Medios adecuados de solución de controversias) como contextos de litigación.
Llame al (+34) 917160555 o envíe un email a info(at)eadtrust.eu para pedir información y compruebe que adoptar recursos técnicos de PSC en su propia infraestructura es más sencillo y económico de lo que parece
Todo es electrónico 