Archivo de la categoría: Herramientas

Websphere Datapower, appliance SOA para acelerar y securizar transacciones XML

1 respuesta

Albalia Interactiva está impulsando  una nueva arquitectura  para empresas y para organismos públicos que permita gestionar documentos electrónicos de forma nativa, con total integración con los procesos transaccionales de la entidad.

Esto es muy oportuno en un contexto de «compliance» que en España implica el uso de firmas electrónicas, en particular las del DNI electrónico, y en el que las evidencias electrónicas generadas en la gestión documental electrónica sustituirán paulatinamente a las procedentes de la gestión documental en papel.

En este contexto, nos hemos fijado en un producto de IBM especialmente diseñado para ello, que gestiona de forma nativa los documentos electrónicos basados en XML y que se presenta en tres versiones:

Estamos colaborando con IBM para definir el uso de estos equipos en grandes proyectos de factura electrónica y firma electrónica, junto con otros interesantes productos sobre los que me extenderé en otro momento.

En general, son productos destinados a desplegar  una arquitectura SOA, con valor probatorio, con medidas de seguridad XML y con integración sobre sistemas que manejan múltiples formatos que finalmente confluyen en uno o más flujos SOAP / XML.

Nuevo software y servicios SOA

IBM ha integrado totalmente las tecnologías de DataPower (dispositivos SOA) y FileNet (software de gestión de contenidos y de gestión de procesos de negocio o BPM) en su oferta de soluciones SOA. Las nuevas herramientas anunciadas son las siguientes:

  • Nuevos productos para gestión de procesos de negocio (BPM).Soluciones como Expanded Business Activity Monitoring incluyen plantillas específicas para cada sector económico con metodologías clave y cuadros de mandos configurables que permiten supervisar las actividades del negocio y ajustarlas, según sea necesario. Además, ya están disponibles nuevos cuadros de mandos de BPM para hacer seguimiento y monitorizar los roles de las personas asociadas a una determinada actividad.
  • IBM WebSphere Registry and Repository (WSRR), un software que ayuda a los clientes a gestionar servicios web y procesos de negocio compartidos. Entre las nuevas funcionalidades de WSRR se encuentra la integración con el software Tivoli Composite Application Manager (ITCAM).
  • WebSphere DataPower Xi50 Integration Appliance. Solución compatible con DB2 versión 9 que se integra con IBM WebSphere Services Registry and Repository (WSRR) para ofrecer funcionalidades que mejoren la interoperabilidad y conectividad de los servicios.
  • Integración de WebSphere con FileNet P8 Business Process Manager.
  • Nueva versión de IBM Dynamic Warehouse que integra las estrategias de gestión de la información y SOA de IBM.
  • IBM Rational Asset Manager.Este nuevo software de gestión de activos en colaboración permite identificar, gestionar y controlar el diseño, desarrollo y consumo de servicios.
  • WebSphere Application Server, incluye asistentes para ayudar a los usuarios a construir y reutilizar más fácilmente los servicios web.
  • Nueva versión de WebSphere Process Server para System z.Este nuevo software automatiza los procesos de negocio y consolida los elementos de misión crítica de una empresa en un único sistema.
  • Cinco nuevos servicios profesionales SOA centrados en el diagnóstico, la gestión de procesos de negocio, la planificación y los servicios de modelado, montaje, puesta en marcha y gestión del modelo SOA.

Los servicios profesionales de Albalia Interactiva ayudan a adoptar de forma correcta estas tecnologías de IBM en proyectos centrados en la firma electrónica en los que también tienen cabida los productos Backtrust desarrollados para extender las funcionalidades de firma electrónica sobre variantes de la norma TS 101 903.

Voy a comprar un nuevo ordenador. ¿Qué prestaciones debo exigir?

8 respuestas

Cada año mejora la tecnología de los microprocesadores, aumentando su potencia y disminuyendo su consumo. Mejora su velocidad, la cantidad de memoria caché, la inclusión de varios núcleos procesadores en un único encapsulado, y la comunicación con los dispositivos periféricos.

La memoria se abarata, los discos aumentan su capacidad con costes menores por unidad de almacenamiento y las tarjetas gráficas prometen alto rendimiento en juegos en equipos de sobremesa y portátiles accesibles a un gran número de personas que integran su nuevo ordenador en su contexto de ocio y entretenimiento, aunque lo usan también con aplicaciones como MS Office o StarOffice.

El ADSL es tan imprescindible (o más) que el teléfono y Google deviene en el Oráculo.  

Nuestro vecino nos explica que un portátil con 3 Gb de RAM es «lo normal» y que el disco mínimo «son» 250 Gb. Que Wi-Fi, Bluetooth, ethernet a 1.000 Mbps vienen «de serie» y que la pantalla con resoluciones superiores a 1024 o sonido envolvente constituyen el equipamiento «básico». Varios puertos USB 2.0, Firewire, SPDIF, conector SVGA y HDMI, pantalla táctil, lector de huella dactilar, modem HSDPA, adaptador de tarjetas de memoria…

Sin embargo, todavía son minoría los equipos que se venden con lector de tarjeta chip integrada (o al menos incluida en la configuración aunque sea externa).

No lo entiendo. En España existen casi 4 millones de DNIs electrónicos (y 25.000 unidades adicionales cada dia laboral), cientos de trámites disponibles en todas las administraciones públicas, montones de oportunidades en el comercio electrónico y sin embargo, menos del 0,01% de los equipos que se venden incluyen lector de tarjeta chip.

¿Y los usuarios? ¿Cómo es que exigen que el equipo tenga una conexión «firewire» (que nadie utiliza) y no son capaces de exigir que el equipo tenga integrado el lector de tarjeta chip?

En mi opinión, comprar en España un ordenador sin lector de tarjeta chip es como comprar un ordenador sin «eñe».

Así que, a ver si alguien más se anima, y entre todos hacemos una campaña «Queremos ordenadores con lector de tarjeta chip«. O más coloquial «Queremos ordenadores con chipetera«. Que se enteren bien los fabricantes e importadores. Corre la voz.

facturae se podrá abrir con programas basados en OOXML

3 respuestas

Ayer fue un día intenso.

A las 10:30  estuve en la Rueda de Prensa convocada por Microsoft para comunicar varios anuncios simultáneos. El evento, introducido por Héctor Sánchez Montenegro, Director de Tecnología de Microsoft Ibérica, contó con la presencia de Stephen McGibbon, Regional Technology Officer de Microsoft. Las novedades anunciadas son:

  1. La certificación de la herramienta OOXML SDK en el marco de Common Criteria, especificación sobre la que España es uno de los pocos países del mundo con capacidad de expedir  certificaciones. En el proceso colabora la empresa Epoche & Espri, de mi amigo Miguel Bañón.
  2. La disponibilidad para OOXML de una extensión que permite leer ficheros XML facturae, que son los que cumplen con el formato obligatorio para las entidades que facturan al sector público en España. Este trabajo lo realizamos en Albalia Interactiva.
  3. La disponibilidad dentro de Codeplex del código fuente de un conjunto de funciones que permiten trabajar desde entornos .NET con el DNI electrónico.  La entidad colaboradora ha sido Plain Concepts y su representante Unai Zorrilla.

Albalia Interactiva participa con Microsoft en el despliegue de soluciones de factura electrónica al desarrollar la conversión de facturae a OOXML.

facturae es el formato XML definido en la Orden PRE/2971/2007, de 5 de octubre, sobre la expedición de facturas por medios electrónicos cuando el destinatario de las mismas sea la Administración General del Estado u organismos públicos vinculados o dependientes de aquélla y sobre la presentación ante la Administración General del Estado o sus organismos públicos vinculados o dependientes de facturas expedidas entre particulare.

Existe un portal propio para facturae.

Office Open XML (también llamado OOXML u Open XML) es un formato de documento electrónico creado y desarrollado por Microsoft y cedido a organismos de estandarización como ECMA e ISO. La organización ECMA lo publicó como estándar Ecma 376 en diciembre de 2006.

Es posible obtener la presentación de Albalia de la Rueda de Prensa celebrada el 7 de marzo de 2008 convocada por Microsoft.

Cómo saber si un billete es falso

6 respuestas

Aunque las medidas de seguridad que adoptan los bancos emisores hacen cada vez más difícil la vida a los falsificadores de billetes, sigue siendo conveniente tener cierta idea de como comprobar que los billetes son auténticos.

Y puesto que se han dado casos de que el billete falso se lo han colado a una persona en una entidad bancaria, conviene hacer la comprobación mientras estamos ante la caja.

Los casos conocidos de billetes falsos entregados por la entidad bancaria son de fuera de España y parece poco probable que pueda suceder en nuestro país, donde hay gran rigor en la comprobación de los billetes al recibirlos, y bastantes medidas automatizadas, pero mejor no arriesgarse.

Las recomendaciones que siguen se han obtenido de AccuBanker.

El  flagelo de la falsificación de billetes es tan viejo como nuestra civilización. Hay pruebas que ya, desde los tiempos anteriores a  Cristo en la Grecia dominada por los romanos, se fabricaban monedas falsas. Esta afirmación no es una parábola ni un mito, es una realidad, y para probarlo, allá en el Museo Smithsonian de Washington, DC, están los troqueles helénicos en exhibición.

Aunque fueron las monedas las primeras en ser falsificadas, y aún lo siguen siendo en gran cantidad, son los billetes los más falsificados.

Primero es necesario comprender que la falsificación no es un arte uniforme. Hay tantas calidades de falsificaciones como falsificadores, y sus recursos varían enormemente. Desde el joven aficionado que falsifica en la privacidad de su habitación usando su ordenador, escaner e impresora de alta resolución, hasta un gobierno de un país enemigo de otro que use todos sus grandes recursos, como equipos industriales y expertos en artes gráficas para boicotear la economía del país a quien se agrede. Muchas veces es una agresión en el campo económico como hizo Hitler contra la Libra Esterlina durante la Segunda Guerra Mundial. Bombardeaba a Londres, día y noche, y le imprimía con gran calidad su divisa monetaria.

El Departamento del Tesoro de los EE.UU., lal igual que la mayoría de los Bancos Centrales emisores del mundo, están protegiendo los billetes con múltiples medidas de seguridad. El conocer estas medidas, facilita la labor de determinar si el billete que le están dando, es verdadero o falso.

Características de seguridad más comunes en los billetes modernos:

El papel moneda es normalmente hecho con 75% de algodón y 25% lino. Su textura y color es muy diferente al papel regular, que está hecho mayormente de pulpa de madera con un contenido alto de almidón. Al analizarlo, tóquelo, sienta la textura y estrújelo. El papel regular se rompe fácilmente y el papel moneda, no. Al estirar el billete con impulsos secos produce un sonido especial, agudo y metálico, propio del papel moneda. Verifique si tiene las fibrillas de colores y están esparcidas e incrustadas en el billete o solamente impresas.

Calidad de la Impresión

Los procesos de impresión de los billetes son altamente sofisticados. La impresión es siempre clara, con líneas bien definidas y detalles finos de impresión impecable. La cara y los ojos de los retratos son de gran definición. Es importante analizar visualmente la integridad del billete y la calidad de la impresión. Usando una lupa de un aumento mayor a 5x, cerciórese que las líneas que forman los decorados del billete sean continuas y los detalles claros. Los billetes verdaderos no deben tener errores de impresión; los falsos casi siempre los tienen.

En el caso de los dólares americanos y en casi todos los billetes del mundo, se usan áreas impresas con el sistema de alto relieve “Intaglio,” lo que produce unas texturas de relieve en la tinta, y es fácilmente detectada con sólo tocar la superficie frontal de los billetes. Notará la tinta gruesa y a relieve. Generalmente los falsificadores no poseen esta costosísima tecnología de impresión.

Microimpresión

A causa de su pequeñez los textos impresos a escala micrométrica son difíciles de reproducir. Esta técnica es usada ampliamente como medida de protección de los billetes evitando que sean reproducidos por máquinas fotocopiadoras. Las letras son demasiado pequeñas, y al igual que las líneas finas, son difíciles de reproducir. Es importante usar un lente de aumento, y verificar que todas las microimpresiones y líneas finas paralelas o en redes que contenga el billete analizado, sean sólidas y no interrumpidas.

Hilo de seguridad

Asegúrese que la cinta de poliéster incrustada en el billete corra en sentido vertical y en ella aparezcan los textos pertinentes, como en el caso de los dólares americanos de $50 en que se lee “USA 50.” El hilo emite un fulgor fluorescente bajo luz ultravioleta en el caso de los billetes de EE.UU. Los colores del hilo de seguridad de los dólares de EE.UU. son: $5 en azul, $10 en naranja, $20 en verde, $50 en amarillo, y $100 en rojo.

Retrato

Como imagen de gran calidad se distingue y es bien definida. Por ejemplo, en los dólares de EE.UU. del 1996 en adelante, tienen un retrato más grande con más detalles, facilitando su reconocimiento y dificultando su falsificación. Esta es una manera sencilla para que el público distinga el nuevo diseño del viejo. El retrato se ha movido del centro para dejar más espacio para las marcas de agua y los hilos de seguridad en cada denominación.

Ayuda visual

Los grandes caracteres que se imprimen en los billletes modernos tanto al frente como en el reverso facilitan su lectura a las personas con impedimentos visuales.

Marca de Agua

La marca de agua es parte integral del papel en sí, y normalmente es idéntica al retrato o motivo principal del billete. Sostenga el billete a contraluz, busque y examine la calidad de la marca de agua. Ella puede verse en ambos lados del billete.

Es importante notar que la marca de agua no se debe distinguir si el billete no está a contraluz.

Tinta que cambia de color “OVI”

Observe el número impreso en “OVI.” Cuando se inclina el billete hacia arriba o hacia abajo, la tinta cambia de color. Este tipo de tinta, ópticamente variable, es cada día más usada en la fabricación de billetes.

Tintas magnéticas

Son muchos los países que usan cargas magnéticas en áreas específicas de los billetes para su mayor protección: EE.UU., Europa, Gran Bretaña, Brasil, Rusia y muchos otros países. Frotar esas áreas cargadas con un detector con cabezal magnético y una alarma sónica o lumínica, le indicará la presencia o no del magnetismo.

Marcas Fluorescentes

Colocando los billets bajo una luz ultravioleta se podrá ver el fulgor del hilo de seguridad, fibrillas de colores, escudos de armas, denominaciones númericas y otras marcas. Este es uno de los sistemas más usados en el mundo para proteger al usuario contra falsificaciones.

Marcas reactivas a la luz infraroja

Esta es una de las medidas más seguras y más difíciles de imitar. Al exponer el billete a la cámara con iluminación infraroja, en la pantalla del monitor aparecerán marcas secretas como código de barras, como es el caso del dorso de los dólares con denominaciones de $5, $10, y $20 del 1996 en adelante y los de $50 y $100 impresos a partir del 1999. En los Euros se desaparece la mitad de la figura lateral al frente del billete y sólo aparece la denominación númerica en la esquina derecha del dorso del billete. Cada país usa distintas marcaciones secretas. Solamente compare la figura en la pantalla del billete sospechoso con uno que sepa es bueno. Esta prueba es rápida (toma menos de un segundo) y altamente segura.

Motivos de Coincidencia

En muchos billetes, por ejemplo, los Euros y Pesos Mexicanos, se usa una figura al frente y otra al dorso. Cuando el billete se observa a trasluz se verá claramente el valor del billete coincidiendo con los valores impresos en otras esquinas del billete.

La perfección en la posición de estas marcas en los billetes requiere técnicas sofisticadas que dificultan el trabajo a los falsificadores.

Marcas y Cintas Iridiscentes

Al mover el billete en diferentes ángulos estas marcas reflejarán los distintos tonos y colores que se han impreso con dicho propósito, dificultando de esta manera la falsificación y ayudando al portador en la verificación del billete.

Marcas Tangibles

Estas marcas que se usan como ayuda a los invidentes son una medida de seguridad, pues con sólo palpar las áreas con estos puntos a relieve, podemos saber en su ausencia si el billete es sospechoso de ser falso. Los dólares canadienses y otras divisas usan esta técnica.

Plumón detector químico

Este plumón utiliza una substancia reactiva al almidón que contiene el papel regular. Si la marca se obscurece el billete es falso. Si la marca se mantiene incolora o de un tono amarillo es que el papel puede ser legítimo.

Hay que ser cuidadoso y usar el plumón químico en conjunto con otras medidas de seguridad, pues existe la técnica de los falsificadores de lavar los billetes y reimprimirlos con mayor valor, en cuyo caso pasaría “la falsificación” la prueba química del plumón.

Holograma

La técnica de holografía láser es de uso relativamente nueva y de gran ayuda para la población, pues al incluir cintas o estampas holográficas en el anverso del billete, se les hace más difícil la falsificación a los delincuentes y más fácil la verificación visual a la población. Con sólo mirar el holograma e inclinar el billete podremos comprobar si es verdadero o falso. Los Euros tienen esta técnica en todas las denominaciones en el papel moneda.

Aunque existen un sin fin de medidas de seguridad hemos cubierto las características y medidas más usadas por lo bancos emisores de monedas y billetes del mundo. Es importante conocer las características de los billetes que uno recibe para poder verificar que son de curso legal y no billetes falsos.

El uso de equipos e instrumentos, como lupas de alto poder de ampliación, como cuenta hilos, detectores de carga magnéticas, plumón químico, visores luminosos para ver marcas de agua, luz ultravioleta y detectores infrarojos, son altamente recomendados. Pues solamente con estos instrumentos podemos saber si el billete examinado contiene los elementos de seguridad que los protegen y cerciorarnos que es verdadero. ¡Protéjase, que no le den “gato por liebre!”

En el web del Banco de España puede ver más información sobre la seguridad de los billetes europeos.

facturae y XAdES-XL (TS 101 903 ES-X-L)

2 respuestas

Ya está disponible la nueva versión 2.0 de Faccil.

Un esfuerzo de programación que combina técnicas de Ruby on Rails y Java y que supone la primera implementación conjunta de los estándares facturae y XAdES-XL .

De momento nos encontramos con que ninguna otra aplicación es capaz de entender la firma XAdES-XL basada en el estándar TS 101 903 (es nuestra ventaja, pero no deja de ser un problema). Habrá que esperar a que CENATIC en colaboración con el Ministerio de Industria Turismo y Comercio promueva vesiones «Open Software» de un visor de factura electrónica generalizado. Quizá lo veamos como «plug-in» de Mozilla para Firefox.

Esta herramienta, Faccil,  es gratuita para los participantes en el proyecto ePYMES de Albalia Interactiva (aun quedan plazas libres). Además el proyecto se complementa con formación on-line sobre Firma electrónica y Factura electrónica, y sobre negocios electrónicos, y con el uso de la herramienta CatSEO que comentaré los próximos dias. Se identifica con el código PAV-080200-2007-24.

Aunque ya tenemos pensadas algunas ampliaciones para Faccil (especialmente para facilitar la facturación hacia el sector público, que empieza a ser obligatoria a partir de marzo de 2008, y para dar la opción de darse de alta y autenticarse con el DNI electrónico) estamos abiertos a sugerencias y próximamente abriremos un foro para ello.

Por cierto, estamos pensando en algunas futuras características de la plataforma que confiamos en que contribuyan a reducir la morosidad, y a faciltar el acceso a los servicios de factoring de varias instituciones financieras, con las que ya estamos hablando.

Como evitar ser víctima de un fraude

4 respuestas

Ayer comentaba el nombramiento de un amigo en SEPFRA.

Hoy voy a hacer un extracto de algunas recomendaciones de SEPFRA para protegerse, detectar y reaccionar contra el fraude on-line y «off-line».

Este es el enlace para acceder a todas las recomendaciones. VISA también tiene recomendaciones.

Las destinadas a internautas:

  • Sospeche cuando reciba e-mails de remitentes desconocidos. Ante la duda, bórrelos. No abra ningún enlace o documento adjunto, ya que puede ser la puerta de entrada de un programa maligno, como espías y caballos de Troya.
  • No responda nunca a e-mails relativos a supuestos premios ganados en la lotería, ofertas de trabajo sospechosas, propuestas de realización de transferencias bancarias desde otros países a su cuenta, peticiones de auxilio de personas que no pueden disponer de su dinero ?. Son todos ellos trucos para acceder a sus datos personales o estafarle.
  • No participe en «cadenas» (e-mails con noticias curiosas o advertencias, como virus inexistentes, que se le solicita que reenvíe a sus amigos o conocidos), el objetivo de muchas de ellas es recopilar direcciones de e-mail para su posterior utilización en campañas de spam (correo basura masivo) o phishing.
  • Mantenga actualizados los sistemas de seguridad de su equipo (antivirus, firewall y antispyware) así como la última versión del navegador.
  • No proporcione nunca datos o claves bancarias en páginas web a las que se acceda pinchando enlaces desde mensajes de correo electrónico. Incluso aunque no parezcan peticiones de datos. Incluso cuando no sean páginas de entidades financieras sino de servicios que pueda tener lógica que tengan sus datos bancarios como la AEAT y otros organismos públicos. Acceda a su entidad bancaria y a los servicios seguros tecleando usted mismo la dirección web en la linea de direcciones URL del navegador y comprobando el certificado electrónico SSL.
  • Evite acceder a servicios de banca electrónica desde ordenadores públicos (universidad, cibercafés, CDTs, ferias, ayuntamientos, …) ya pueden no cumplir los requisitos mínimos de seguridad. Existe además el riesgo añadido de que alguien pueda verle introducir sus claves (y copiarlas o memorizarlas). Y casi siempre tienen troyanos que roban claves.
  • Cuando se conecte a servicios de banca electrónica, fíjese en la pantalla de su ordenador: la dirección debe comenzar por https:// y en la parte inferior deberá aparecer el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno seguro. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, cancele la conexión y no introduzca sus claves: probablemente esté en un site fraudulento.

Las generales (todos podemos ser víctimas de suplantaciones):

Nuestros datos personales (número de DNI, de NIE o de Pasaporte, número de la Seguridad Social, número de cuenta bancaria, claves de acceso, datos identificativos como teléfonos, fechas de nacimiento,…) son muy golosos para los delincuentes y debemos asumir nuestra responsabilidad de protegerlos de accesos indiscriminados.

Nuestros datos podrían ser robados de muchas formas

  • A través del robo de documentación:
    • Denuncie cualquier robo o pérdida de documentación a la mayor brevedad posible.
  • Mediante el robo de correo postal:
    • Asegúrese que su buzón está siempre correctamente cerrado con llave.
    • Recoja el correo habitualmente. Si va a estar fuera durante unos días, asegúrese que alguien de confianza se ocupe de ello.
    • Ponga especial cuidado cuando cambie de domicilio, asegurándose que el correo llega a su nueva dirección y no a la anterior:
    • Comunique cambios de domicilio a entidades bancarias, organismos públicos, proveedores de servicios y el resto de compañías con las que tenga relación.
    • Contrate durante un tiempo el servicio de reenvío de correos. Es muy económico y merece la pena.
  • Recuperando los datos de la basuraa la que en muchas ocasiones tiramos datos muy valiosos: extractos bancarios, tarjetas caducadas, copias de certificados que ya no necesitamos. La basura no es un lugar seguro para sus datos:
    • Destruya cualquier documentación que contenga datos personales antes de tirarla. Rómpala en trocitos lo suficientemente pequeños como para que no pueda reconstruirse.
  • Escuchando sus conversaciones:
    • Asegúrese de no revelar información personal en lugares públicos o donde otras personas puedan escucharle.
  • Mediante estafas telefónicas:
    • No dé nunca sus datos personales por teléfono, a menos que haya comenzado usted la comunicación y esté seguro de la identidad de su interlocutor.
    • Su banco nunca le llamaría por teléfono para solicitarle su número de cuenta o sus claves de acceso. Si recibe una llamada en este sentido, solicite el teléfono indicando que llama usted (como prueba), cuelgue y llame a su banco mediante el teléfono y persona de contacto que utiliza habitualmente (aporte el número que ha conseguido). De esta forma no sólo se protege usted, además pone en alerta a su entidad financiera.

Otras medidas preventivas

  • Controle sus operaciones bancarias:Realice frecuentemente una comprobación entre su extracto bancario y los recibos de compras, para poder detectar con rapidez cualquier posible irregularidad: Si hay algún cargo que no reconozca, póngase en contacto con la tienda/proveedor que lo haya realizado así como con su entidad bancaria a la mayor brevedad.
  • Si cambia de banco, cierre la cuenta que ya no utilizará, no la deje «dormida» con un saldo mínimo. Un tercero puede reactivarla para uso delictivo e implicarle a usted.
  • Tenga en un lugar seguro y único y fácil de recordar para usted los datos de sus cuentas y tarjetas bancarias, junto con los números de teléfono de las entidades o emisores, de forma que pueda bloquearlas todas con rapidez en caso de robo o sospecha de fraude. Hay servicios como CCP para facilitar el bloqueo simultáneo de sus tarjetas.
  • Si una entidad financiera le deniega un crédito por una deuda que desconoce, contacte con las entidades que gestionan ficheros de insolvencia, como ASNEF o el Banco de España (CIRBE)  y solicite la información que pudieran tener sobre usted para confirmar que no se trate de una deuda que otro haya contraído una persona que le suplante y que haya puesto a su nombre. Si es así, contacte inmediatamente con la entidad acreedora (con la que aparentemente tiene la deuda) y con su banco habitual y denúncielo a las autoridades, policía y guardia civil.
  • Si teme que sus datos hayan podido ser robados, o simplemente si desea tener un mayor nivel de seguridad, valore la posibilidad de adherirse al fichero DER para poner su identidad en vigilancia durante el tiempo que usted mismo determine.

Cómo protegerse de fraude a través del teléfono

  • No proporcione nunca datos personales o bancarios por teléfono a menos que haya comenzado usted la llamada, o tenga plena seguridad de la identidad de su interlocutor.
  • Si recibe por e-mail comunicaciones de su entidad financiera, solicitándole que se ponga en contacto con ellos en un determinado teléfono, no lo haga, puede que sea falso. Utilice el número de teléfono y el contacto habitual que tenga en la entidad y pregunte si son ellos los que han enviado el e-mail.
  • Si recibe llamadas relativas a ofertas de productos o servicios que ?debe adquirir/contratar ya, porque se termina la oferta?, desconfíe y no se deje presionar. Una compañía seria entenderá que quiera decidir con calma la compra o contratación.
  • Resulta más sencillo descartar un e-mail que decir NO a una persona por teléfono. Sin embargo, si las ofertas o promociones le parecen sospechosas, no se sienta coartado, rechácelas educadamente y termine la comunicación. 

Cómo operar correctamente con tarjetas

  • Para evitar el «skimming», cuando realice compras con tarjeta, no la pierda de vista, esté pendiente mientras el empleado del establecimiento la pasa por el TPV (Terminal Punto de Venta). Existen pequeños dispositivos capaces de grabar los datos contenidos en la banda magnética con solo pasarla por ellos.
  • Guarde los extractos de sus operaciones con tarjeta y copias impresas de sus pagos online y compruébelas con frecuencia conciliando con sus movimientos de cuenta y los extractos de la tarjeta para detectar lo antes posible cualquier cargo que no reconozca.
  • Si dispone de varias tarjetas, no las lleve todas consigo. En caso de robo, el daño será menor.
  • En caso de pérdida o sustracción de tarjetas, notifíquelo a su entidad financiera o emisora inmediatamente para que sea anulada. A 4b ( 913.626.200 y 902.114.400  ) SERMEPA (902.192.100) Euro 6000 (902.206.000) Extranjeros en España VISA (900.971.231) Visa Europa :900.991.124 En USA:  (800) 847-2911 Llamando a USA desde el extranjero: 1-800-VISA-911 (llamda a USA a cobreo revertido: 1-636-722-7111) Otros Paises: VISA
  • Memorice las contraseñas, no las lleve apuntadas ni en la propia tarjeta, ni en ninguna agenda, cartera o similar que lleve habitualmente junto con ella.
  • Tenga siempre su tarjeta y los recibos de sus operaciones bien guardados, no los deje a la vista de cualquiera, copiar los datos no le llevaría ni un minuto.
  • Cuando opere en Cajeros Automáticos:
    • Si observa algo extraño o distinto de lo habitual (por ejemplo, en la ranura para la introducción de la tarjeta, o el teclado), no realice ninguna operación en el porque pueden estar captando sus datos.
    • Si la tarjeta se queda retenida, llame inmediatamente a su entidad, si es posible antes de alejarse del cajero, desde el móvil o desde el teléfono o interfono del que disponen algunos cajeros. Si alguien se acerca a ayudarle o le sugiere trucos para recuperarla, desconfíe, ya que son técnicas para sonsacarle su clave. No se aleje del cajero mientras no recupere la tarjeta, ya que los delincuentes esperan ese momento para captarla ellos.
    • Al introducir su contraseña, tape el teclado con la mano o con algún objeto, para que nadie pueda verle y para impedir que cámaras disimuladas puedan grabarle mientras lo hace.
  • Cuando realice compras o pagos por Internet:
    • Hágalo en sitios y tiendas-online de confianza (que ya conozca o de las que tenga referencias).
    • Llegado el momento de introducir los datos de pago, compruebe la dirección URL comienza por https:// y que en la parte inferior aparece el símbolo de un candado cerrado, ambos indicativos de que ha entrado en un entorno cifrado. El símbolo del candado le permite acceder al certificado de seguridad de la página, que deberá estar emitido a nombre de la entidad con la que está conectado. Si estas señales no aparecen, o el certificado no es válido, no realice la compra.
    • Tenga cuidado con sitios web de recargas telefónicas a muy bajo precio, ya que muchos de ellos tienen como único fin conseguir datos de tarjeta.
    • No envíe nunca los datos de sus tarjetas por e-mail, ni siquiera a personas de confianza, ya que el correo electrónico también se puede interceptar.
    • Imprima y guarde una copia del justificante de pago que aparecerá una vez finalizada la transacción, para poder realizar la comprobación frente a su extracto bancario.
  • Cuando realice compras por teléfono:
    • Asegúrese que se trata de una compañía de confianza.
    • Solicite el nombre y apellidos de la persona que le está atendiendo, y cualquier otro dato identificativo, como su número de empleado, si lo tiene. Esto hará más sencilla una posible reclamación.
    • Para realizar una compra telefónica no es necesario dar el número secreto de su tarjeta. Si se lo solicitan, valore seriamente no continuar el proceso de compra.

Si ha sido víctima de un fraude de suplantación de personalidad («impersonación» o simulación de identidad )

Estos son los primeros pasos que debería dar si descubre que ha sido víctima de un fraude de identidad.

  • Denúncielo a la policía: Si tiene alguna documentación relativa al posible fraude, deberá aportarla. De no se así, bastará con su declaración.
  • Comuníquelo a su entidad o entidades financieras, aportando su DNI y el documento de denuncia a la Policía.
  • En caso de que hubiera alguna otra entidad implicada (una entidad con la que usted no tenga relación, pero que le reclame una deuda, un comercio donde supuestamente haya realizado alguna compra) póngase en contacto con ellos para informarles de la situación. Aporte una copia de su denuncia a la Policía.
  • Si desea saber si puede haber otras deudas asociadas a su nombre, contacte con los principales ficheros de solvencia y solicite la información disponible sobre usted, si existen otras deudas ya vencidas y reclamadas, aparecerán en sus registros. Estos ficheros deben notificarle por escrito la inclusión de sus datos, sin embargo, si dentro del esquema de fraude del que ha sido víctima se ha falsificado su dirección de contacto (práctica muy habitual, precisamente para evitar que la víctima se dé cuenta de la utilización de su identidad), la notificación habrá llegado a esta dirección falsa y no a usted. Según la normativa vigente, los derechos de acceso y cancelación de la información contenida en estos ficheros sólo podrán ser ejercidos por el afectado frente al responsable del fichero, para lo que es necesario que acredite su identidad frente a éste. Podrá, no obstante, actuar el representante legal del afectado cuando éste se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de los mismos, en cuyo caso será necesario que el representante legal acredite tal condición.
  • Puede dirigirse también a la Central De Riesgos de Banco de España (CIRBE), a la que las entidades han de declarar mensualmente la totalidad (con algunas excepciones) de los riesgos que tienen asumidos y los titulares a quienes corresponden. La CIRBE podrá informarle sobre posibles créditos aún no reclamados, asociados a su nombre.
  • Valore así mismo la posibilidad de incluir sus datos en el fichero DER

 

Seguridad jurídica en el envío de SMS

6 respuestas

Lleida.netLLeidaNet es la primera operadora de telecomunicaciones especializada en el envío de SMS y la que más servicios ha creado en torno a este interesante fenómeno comunicacional.

Recientemente ha anunciado su desembarco en Argentina y la firma de acuerdos con las principales operadoras de este país. Una de sus especialidades es el desarrollo de soluciones para el envío bidireccional de mensajes de texto, desde ordenadores personales a teléfonos móviles y viceversa, para lo que pone a disposición de los usuarios el software Móvil SMS Virtual (creado por Lleida.net, y de descarga gratuita) para poder enviar y recibir mensajes entre computadoras y celulares. El sistema permite gestionar y enviar hasta 6.500 SMS por minuto, a un costo que en rondará los 0,08 pesos argentinos  (0,025 dólares), y los 0,12 euros españoles.

Movil SMS virtual de Lleida Net

Y gracias a la interconexión con los operadores españoles, por el coste de un SMS desde cualquier móvil se pueden enviar mensajes a un gran número de paises desde España. En Latinoamérica  a Argentina, Bolivia, Brasil, Colombia, Cuba, Chile, Ecuador, El Salvador, Guatemala, Honduras, México, Nicaragua, Panamá, Paraguay, Perú, Uruguay y Venezuela. En el Norte de Africa a Marruecos, Argelia y Túnez. En Europa del Este a Bulgaria, Eslovaquia, Hungría, Moldavia, Polonia, República Checa, Rumania, Rusia, y Ucrania. La lista completa es de 187 paises. 

Aunque este servicio denominado  «A tu país como en casa» está destinado pricipalmente a inmigrantes, puede ser de interés para cualquier persona. Para utilizar este servicio basta con enviar un mensaje al número 91 106 5555 (que aunque parezca un número de red fija es un móvil virtual) incluyendo en el texto: el número de destino con el prefijo internacional seguido de un espacio y el texto que se desea enviar.

Su más reciente innovación, que se publica en primicia en este blog, ya que se anunciará la próxima semana en Municipalia (feria que se desarrollará en Lérida del 23 al 26 de octubre de 2007) y en CTIA Wireless I.T. & Entertainment 2007 (feria especializada en el mundo inalámbrico que se desarrollará en el Moscone Center South Hall, en San Francisco, California, Estados Unidos del 23 al 25 de octubre de 2007)  es el sistema de acuses de recibo de SMS con valor probatorio (evidencias electrónicas).

Con este sistema, las entidades que procedan a realizar notificaciones telemáticas por SMS recibirán, si así lo tienen contratado, un correo electrónico por cada SMS del que requieran el acuse de recibo. El correo electrónico incorpora un adjunto consistente en un certificado en PDF firmado electrónicamente con indicación del teléfono móvil de destino, el contenido del mensaje SMS y la hora y minuto precisos en los que fue entregado el mensaje al teléfono móvil de destino.

Una gran noticia para las administraciones públicas que ya no solo ofrecerán servicios de notificación por SMS como cortesía, sino que podrán contar con su capacidad probatoria en los casos en los que sea preciso.

Tecnología de Albalia Interactiva

1 respuesta

Conforme desarrollamos proyectos nuevos en nuestros clientes, vamos ampliando la panoplia de soluciones que podemos aportar.

Aunque Albalia Interactiva es básicamente una empresa de consultoría y asesoramiento legal, que no duda en recomendar herramientas de terceros y de software libre, también vamos desarrollando algunas piezas que pueden ser importantes para completar proyectos de firma electrónica, banca electrónica, factura electrónica o gestión documental.

Uno de los resultado es nuestro SDK de firma electrónica.

También son importantes algunos productos que distribuimos como los complementos Grabba para PDAs y Smartphones, o las soluciones de certificación y validación de Ascertia.

Entre las plataformas que hemos desarrollado, se encuentra Faccil, entorno «llave en mano» para colectivos y organizaciones que desean desplegar soluciones comunes de facturación electrónica.

Y todo ello integrándose en una arquitectura de entornos de firma y gestión documental que hemos diseñado para dar cobertura a la gestión de todo tipo de documentos electrónicos en la empresa privada y en la administración pública.

 Tecnologia Albalia

Los módulos de Albalia complementan las infraestructuras disponibles en las organizaciones (a menudo de proveedores diferentes) resolviendo todas las necesidades de gestión de los procesos de negocio, combinando gestión transaccional y gestión documental.

Gracias al concepto modular, es posible adoptar una arquitectura integral, conceptualmente completa, aunque se utilicen herramientas de diferentes proveedores.

Como conectar un servidor de forma segura a Internet

7 respuestas

Con frecuencia acceden a este blog buscando términos como «Concepto de Autoridad» .

La definición a la que me suelo referir en ese artículo está vinculada a la temática general de este blog y por eso insiste en la visión desde el ámbito de la Firma Electrónica (en el que se suele usar el término «Autoridad de Certificación«) y más ampliamente al significado jurídico. Aquí merece la pena echarle un vistazo a la palabra «Potestad»

Sin embargo, el término, procedente del latín Auctoritas, tiene más acepciones, según consultamos el diccionario de la RAE:

  1. Poder que gobierna o ejerce el mando, de hecho o de derecho.
  2. Potestad, facultad, legitimidad.
  3. Prestigio y crédito que se reconoce a una persona o institución por su legitimidad o por su calidad y competencia en alguna materia.
  4. Persona que ejerce o posee cualquier clase de autoridad.
  5.  Solemnidad, aparato.
  6. Texto, expresión o conjunto de expresiones de un libro o escrito, que se citan o alegan en apoyo de lo que se dice.

Al revisar el post mencionado, me he dado cuenta de que un enlace que apuntaba a un artículo mío (un tanto anticuado ya) en el web de AUI ha dejado de funcionar tras el diseño del portal de la Asociación de Usuarios de Internet.

He cambiado el enlace para apuntar a un versión del artículo en la Máquina de Tiempo (Wayback Machine) pero el tema de los acentos lo hace un poco difícil de leer.

Así que he decidido transcribir el artículo aun sabiendo que está desactualizado (de hecho ya ni siquiera funciona el enlace a FESTE).

Estas cosas se escribían en 1999.

Como conectar un servidor de forma segura a Internet


Julián Inza.
Director-Gerente de la Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE)
jinza@feste.org
http://www.feste.org

Introducción

La Seguridad preocupa a las entidades que se conectan a Internet, probablemente más que a las que se conectan a cualquier otra red.

Es una paradoja que la red que más información proporciona sobre seguridad sea la que más recelos despierta entre los usuarios. A ello ha contribuido, sin duda, la espectacularidad de los titulares en los medios de comunicación que amplifican cualquier noticia que tenga que ver con la red de redes.

Verdaderamente, la Seguridad (denominación que se refiere a una disciplina amplísima que abarca los sistemas de protección física, la prevención de accidentes, o la prevención de actividades desleales por parte de los empleados), no es una función nueva de la empresa, ni una necesidad sobrevenida por el uso de Redes Telemáticas, pero sí es cierto que recientemente merece mayor atención por parte de los administradores.

Desde un punto de vista metodológico, conviene analizar la Seguridad en la Empresa, comenzando por la Valoración de Activos a proteger, y continuando con un inventario de los riesgos existentes y una valoración de la probabilidad o la frecuencia de que se produzcan las situaciones de riesgo. Por ultimo es necesario cuantificar el coste de que se produzca la situación de riesgo, el coste de corregir sus efectos, y el de prevenirla. El conjunto de medidas propuestas, uno de los resultados de ese esfuerzo de análisis, no debe tener un coste superior a la restitución de lo que se quiere proteger.

Aunque, ciertamente, en ocasiones la propia valoración es uno de las actividades más difíciles: ¿cómo valora una entidad financiera el hecho de que un hacker manipule el contenido de su servidor web, incluso aunque no haya tenido acceso a ninguna información sensible de la entidad?

Por todo lo dicho, cabe ya pensar que la conexión segura de un servidor a Internet no debería ser analizada de forma independiente de otras necesidades de Seguridad de la empresa. No obstante, sí que es cierto que en ese caso, el trabajo nos lo facilita la propia red, ya que es fácil de encontrar un inventario de los riesgos existentes, y de las medidas a implantar para minimizar sus efectos.

Desde el punto de vista de las Redes de Comunicaciones, se puede plantear la protección de la empresa cuidando el propio trófico de comunicaciones (con el uso de protocolos y algoritmos criptográficos) o impidiendo que un usuario externo no autorizado tenga acceso a los recursos informáticos de la entidad. En este ultimo caso, las instalaciones pueden protegerse activando una a una todas las características de seguridad de los equipos que están en ellas.

Este planteamiento, denominado de «defensa en profundidad» exige un control riguroso de todos los equipos y tiene el riesgo de que se produzcan olvidos o descuidos. Por ese motivo, normalmente se opta por la «defensa perimetral», en la que se exige que exista una sola vía de interconexión entre la red interna y la Internet, sobre la cual se despliegan todos los controles posibles. Sobre ese punto de tránsito obligado se instala el «Firewall» («Muro Cortafuegos»), que es un equipo con características combinadas de enrutador, pasarela de protocolos, control de virus, y verificador de riesgos en las comunicaciones.

Cuando existen criterios rigurosos sobre la Seguridad de los Sistemas de Información en la empresa y se deben combinar con las exigencias de disponer para los procesos de negocio de la funcionalidad de Internet, es preciso combinar una correcta Política de Seguridad, con una no menos correcta implantación del Cortafuegos.

Además, si existen servidores que ofrecen servicios hacia el exterior (web, correo electrónico,…) es preciso verificar que el software utilizado (software de servidor, parches de seguridad, scripts, programas complementario) es seguro y se comporta de una forma estable. Y esta verificación debe realizarse con cierta periodicidad.

Tras la entrada en producción de un sistema informático conectado a Internet, es conveniente realizar una verificación de que cumple todos los parámetros de seguridad exigibles, para lo que puede utilizarse una herramienta de chequeo de seguridad tal como Internet Scanner SAFEsuite.

Cuando, además, se desea proporcionar características de seguridad a las transacciones (páginas Web, correo electrónico,…), es preciso activar las características de cifrado el software involucrado, lo que requiere recurrir a una Entidad de Certificación.

Entidad de Certificación

Los sistemas seguros de correo electrónico y servidores web emplean protocolos especiales que hacen uso de algoritmos de cifrado de clave pública, lo que da lugar a la firma electrónica y a que se satisfagan las funciones de seguridad de Confidencialidad, Integridad, Autenticación de Origen, Irrefutabilidad de Origen, Autenticación de Destino, Irrefutabilidad de Recepción, Temporalidad, Acreditación y otras.

De forma sencilla, la Entidad de Certificación es un servidor de credenciales, que garantiza que cada usuario es quien dice ser, y que pueden utilizarse sin restricciones elementos criptográficos que garantizan la confidencialidad.

Algunos de los protocolos utilizados son SSL (Secure Sockets Layer), PEM (Private Enhanced Mail) y S/MIME (Secure/Multipurpose Internet Mail Extension), ya soportados por un buen número de programas visualizadores y de programas de correo. Para el buen funcionamiento de estos sistemas, es necesario contar con un procedimiento que permita verificar fehacientemente la identidad de los usuarios y de otorgar un certificado electrónico que vincula los datos de los usuarios con su clave pública.

En el caso de FESTE, son los Corredores de Comercio y los Notarios los encargados de verificar la identidad de las Entidades en las que se instalan los equipos (en el caso de los servidores), o de las personas que intercambian correo seguro (en el caso de browsers, o programas de correo)

Cuando un participante comunica a otro su certificado, indica la Entidad de Certificación utilizada. La llave pública de la Entidad de Certificación debe ser conocida por todos y es la única que necesita ser conocida previamente. Habitualmente está incorporada al software de realización y verificación de firmas electrónicas, o es posible obtenerla a partir de sistemas de difusión públicos, tales como servidores Web. En el caso de FESTE, la clave pública de la Entidad de Certificación para certificados «Nivel 2» de «Entidades Cualificadas» se puede obtener en la dirección http://www.FESTE.com/cacert/certwebcualif.nivel2/FESTE-qicl2.der.cacert

La Entidad de Certificación debe ser una Entidad de Confianza (Trusted Third Party), Conocida ampliamente, cuya Política de Certificación incluya cláusulas aceptables por los diferentes interlocutores, que permita, entre otras cosas, la Verificación de identidad, que da información sobre Uso y validez de los certificados y que realice Gestión de certificados revocados (para impedir que claves privadas expuestas puedan tener vigencia) y ofrezca la Lista de certificados expedidos

Dado que en una red existe más de una Entidad de Certificación, la selección de las autoridades de certificación adecuadas para cada uso vendrá dada por las características de su Política de Certificación, o por la el reconocimiento de alguna de ellas por parte de entidades que aceptan sus certificados. Se están desarrollando sistemas jerárquicos en los cuales todas las autoridades de certificación que pertenezcan a una jerarquía dada puedan realizar certificaciones mutuas.

Los parámetros que definen a una Entidad de Certificación son su dirección de red (nombre distinguido, por ejemplo http://www.FESTE.com) y su clave pública. Además es necesario especificar en su identificación: Entidad Emisora del Certificado, Departamento u Organización responsable de la custodia de la clave privada y Ubicación (Ciudad, País).

Entidad de Registro

Puesto que al realizar la comprobación de la identidad del usuario en la primera certificación es necesario realizar unas actividades especiales, la Entidad de Certificación lleva asociada una Entidad de Registro.

Esta Entidad de Registro mantiene información sobre los aspectos relevantes del registro y sobre los procedimientos de identificación utilizados, asó como la vinculación del registro con la identidad que garantiza la Entidad de Certificación.

Además de este tipo de Entidades de Registro, existen otras, que demuestran la realización en el tiempo de determinados Actos Electrónicos: Certificaciones en presencia de un fedatario (como en el caso de contratos firmados ante notario), Certificaciones de Acreditación respecto a la capacidad suficiente para obrar o para representar a terceros, Registro de contratos o transmisiones patrimoniales.

Algunas de estas entidades tienen actividades independientes y adicionales a las de las autoridades de certificación, que se centran en la Autenticación de los Intervinientes y las funciones derivadas.

FESTE distingue dos tipos de Entidades de Registro: Entidades con capacidad contrastada de verificación de identidad de sus propios clientes o empleados (entidades financieras, proveedores de Internet, …), con capacidad de activar la emisión de certificados de Nivel 1 (Certificados Registrados), o Fedatarios, con la misión de verificar de forma incuestionable la identidad y capacidad de actuar de cualquier solicitante, y con capacidad de activar la emisión de certificados de Nivel 2 (Certificados Autenticados). Existen también los certificados de Nivel 0, destinados a pruebas.

Instalación de los Certificados

Una vez que se ha decidido activar el modo seguro de los servidores web, es preciso generar la pareja de claves que constituye el componente criptográfico básico del protocolo SSL, basado en criptografía de clave pública.

El procedimiento consiste básicamente en tres pasos:

  • Generación de la solicitud,
  • Acreditación ante la Entidad de Registro
  • Obtención del Certificado e instalación

Para generar la solicitud, debe ejecutarse la opción correspondiente del software servidor (algunos de los que disponen modo seguro son FasTrack de Netscape, Internet Information Server de Microsoft, Secure Server de Oracle, o el popular Apache el más instalado sobre plataformas Linux), el cual influirá en los pasos concretos a seguir.

Estos pasos deben permitir generar las claves criptográficas, rellenar un formulario con los datos que formarán parte del certificado, obtener la solicitud en un formato compatible (DER o PEM) y enviarlo por correo electrónico a la Entidad de Certificación.

En algunos casos, como por ejemplo, con Microsoft Internet Information Server, es preciso obtener previamente el certificado de la Entidad de Certificación (en formato DER), lo que debe llevarse a cabo mediante Microsoft Internet Explorer, puesto que comparten la estructura de datos de almacenamiento de certificados. Existe una pequeña diferencia en caso de utilizar IIS 4.0, ya que para activar los Certificados del Explorer en el Server, existe una utilidad denominada IISCA en el directorio win\System32\InetSrv.

Tras enviar la solicitud de certificado a la Entidad de Certificación, debe procederse al registro. El Registro consiste en verificar la identidad del solicitante, comprobando la adecuada cumplimentación de los datos del formulario. En el caso de FESTE, la Entidad de Registro puede ser cualquiera de los Notarios o Corredores de Comercio españoles, lo que proporciona un elevado nivel de reconocimiento.

Cuando la Entidad de Registro comprueba los datos, permite que la Entidad de Certificación genere el certificado y lo envíe por correo electrónico. En ocasiones, la Entidad de Certificación proporciona un enlace al URL en el que se ha depositado, permitiendo la comunicación de información complementaria. Una vez en posesión del certificado, puede instalarse en el servidor, con lo queda listo para establecer comunicaciones seguras.

Certificados de Cliente

Si los requerimientos de seguridad exigen la autenticación del usuario (a través del Explorer o el Navigator), es preciso instalar certificados personales para cada uno de los usuarios que sea preciso autenticar.

Los pasos a seguir son, en esencia, los mismos que en el caso de servidores, aunque se activan de forma un poco diferente a la de aquellos. Habitualmente los servidores web de la Entidad de Certificación describen el proceso e incluyen las explicaciones y el software necesario para activar la generación de claves en el browser. En el caso de Explorer, se encargan de cargar las DLL correspondientes (CERTENR3.DLL en la versión 3.0 de MSIE y XENROLL.DLL en el IE 4.0) que hacen un poco más complicado el proceso de solicitud de certificado.

Una vez generada, sobre el web, la solicitud de certificado, hay que acudir a la Entidad de Registro (Corredor de Comercio o Notario) para que compruebe la veracidad de los datos y autorice la generación de certificado.

La Entidad de Certificación enviará un correo electrónico indicando la disponibilidad del certificado que podrá obtenerse a través del propio servidor web.

La ventaja de los certificados de cliente es que pueden ser utilizados tanto para autenticación de usuarios, cuando están accediendo a un servidor web, como para cifrar y firmar correo electrónico, apoyados en la codificación S/MIME (extensiones de seguridad de Correo Electrónico).

Conclusiones

La seguridad debe contemplarse desde una óptica global, aunque lo que pueda parecer más preocupante sea el riesgo derivado de la conexión a Internet.

Para cubrir este tipo de riesgo, es necesaria una adecuada protección perimetral, y una adecuada configuración de los equipos servidores.

Por ultimo, para que las comunicaciones viajen protegidas por algoritmos criptográficos, es preciso instalar software servidor equipado con SSL, y preparar los Certificados que lo habilitan con una Entidad de Certificación adecuada.

TrueCrypt, seguro, rápido y de fuente libre

6 respuestas

A través de aramsmith.com he encontrado esta interesante información sobre TrueCrypt.

Una ingeniosa herramienta rápida y segura que permite crear un disco virtual cifrado en cualquier dispositivo de almacenamiento, tal como una memoria USB sin miedo a perder datos y que estos queden al alcance de quien la encuentre.

TrueCrypt permite:

  • Definir un fichero como disco virtual cifrado que, una vez «montado» en el sistema queda accesible como cualquier otro.

  • Cifrar toda una partición del disco o todo un dispositivo, como por ejemplo una memoria Flash USB.

  • Copiar ficheros a o desde la zona cifrada, de forma que el cifrado y descifrado es automático, en tiempo real (al vuelo) y transparente.

  • Definir dos niveles de inaccesibilidad plausible (plausible deniability) para el caso de que nos veamos forzados a revelar la password.

  • Seleccionar los algoritmos de cifrado entre AES-256, Blowfish (clave de 448-bits), CAST5, Serpent, Triple DES, y Twofish. Modo de operatcon: LRW (se soporta CBC por compatibilidad).

Para usarlo, hay que instalar el programa TrueCrypt o ejecutarlo (por ejemplo si llevamos los ficheros .exe y .sys en el propio lápiz USB o disco, se ejecuta desde allí).

Al ejecutarlo se crea un volumen cifrado seleccionando el algoritmo de cifrado o una combinación de ellos. Se proteje el volumen con una password. La password puede ser además de una palabra clave, una imagen, un archivo MP3 u otro documento o una combinación de ambas. A continuación se «monta» el volumen que se comportará como cualquier disco local. La robustez del algoritmo afecta a la velocidad de cifrado y descifrado.

Una vez montado el disco virtal cifrado se puede formatear y poner otros ficheros en él. Dado que el disco virtual se basa en un fichero, ese fichero se puede copiar a cualquier dispositivo, por lo que al hacerlo se incluyen los archivos que están en el disco virtual.

Esta herramienta, disponible en código fuente se puede obtener en su propio sitio web TrueCrypt