Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
A los largo del último año se han producido algunos cambios en la normativa EPREL y en su implementación y ahora es obligatorio que en los certificados de persona jurídica conste el identificador EUID de personas jurídicas que se codifica como tipo de dato NTR.
Este ha sido uno de los retos gestionados por EADTrust, que hemos ido explicando a nuestros clientes los cambios y la forma de conectarse al registro, gestionar la identidad digital ECAS, y dar de alta a la entidad en el registro de aparatos eléctricos en el que se gestionan las etiquetas de eficiencia energética.
La última versión del manual (disponible en el sitio web de EPREL) es del 15 de julio de 2025: European Product Registry for Energy Labelling (EPREL) – USER MANUAL FOR SUPPLIERS y recoge todas las novedades con mucho detalle. Se nota que en el Organismo han ido detectando los problemas que encuentran las entidades que desean registrar sus productos eléctricos y abundan las explicaciones y las guías para resolver la mayor parte de incidencias que puedan surgir.
He traducido a fecha de 6 de agosto de 2025 el manual (versión 1.46) al español, de modo que esta traducción se suma a otras que hice con anterioridad. Registro Europeo de Productos para el Etiquetado Energético (EPREL) – MANUAL DE USO PARA PROVEEDORES
Las empresas pueden obtener su EUID a través del buscador europeo Business Registers (del European e-Justice Portal) o el Buscador de Sociedades de los Registradores (resolviendo el acertijo de girar una imagen hasta que quede representada de un modo lógico).
Por ejemplo, en el caso de EADTrust el EUID es ES28065.080862918
Contacte con EADTrust para obtener los certificados cualificados necesarios para acceder a EPREL y registrar los productos de su empresa para la etiqueta energética. Llame al +34 91 7160555
El 24 de septiembre de 2025, ENISA organiza el 11º Foro sobre Servicios de Confianza y Identificación Electrónica (11th Trust Services and eID Forum). El 25 de septiembre de 2025, D-TRUST, en colaboración con TÜV Nord Cert, celebrará la 17ª Jornada de CAs (17th CA-Day).
¿A quién va dirigido?
El foro, organizado en colaboración con la Comisión Europea desde 2015, se ha convertido en «la cita ineludible» para las partes interesadas del amplio ámbito del Reglamento eIDAS. Reúne a responsables políticos, prestadores de servicios de confianza, organismos de evaluación de la conformidad, supervisores, instituciones europeas y de los Estados miembros y usuarios finales interesados, ofreciendo un lugar único para los debates relacionados con las identidades digitales en Europa. Este año, el evento se traslada a Split, Croacia, y se garantiza también la retransmisión en línea para la participación virtual.
Contenido
Entre los temas que se debatirán este año, abordaremos los siguientes
Normalización y certificación de la Cartera de Identidad Digital Europea
Interacción de eIDASv2 con otra legislación (CRA, Ley de Chips de la UE, NISD2), incluidos los aspectos relacionados con la privacidad
Aplicación de los servicios de confianza nuevos y previamente definidos, desde el punto de vista técnico y organizativo
Nuevas necesidades de colaboración entre todos los servicios de confianza y las partes interesadas en la identificación electrónica
Estrategias para promover el mercado de la identidad digital
Como en años anteriores (desde 2018), el Trust Services and eID Forum irá seguido del CA-Day, organizado por D-Trust y TÜV Nord Cert, que tendrá lugar el 25 de septiembre en el mismo lugar.
Agenda en inglés
El borrador del programa ya está disponible. Contiene interesantes presentaciones y cautivadores debates entre expertos reconocidos en la materia. Tenga en cuenta que se seguirá actualizando en las próximas semanas. Ver la traducción más abajo
Inscripción
Ya puede reservar su plaza inscribiéndose aquí. Reserve su plaza presencial solo si está seguro de que podrá asistir al evento en persona. Tenga en cuenta que no es posible acoger presencialmente a más de 2-3 participantes de la misma organización.
El Cuaderno Digital de Explotación Agrícola (CUE) es una herramienta digital diseñada para registrar y gestionar electrónicamente los datos detallados de las actividades realizadas en una explotación agraria en España. Su propósito es recopilar información sobre prácticas agrícolas, como aplicaciones fitosanitarias, fertilización, riego, ecorregímenes y otras actividades relacionadas con la gestión de la explotación, de manera integrada con el Registro Autonómico de Explotaciones Agrícolas (REA) y el Sistema de Información de Explotaciones Agrícolas y Ganaderas (SIEX).
El CUE sustituye al tradicional cuaderno de explotación en papel, digitalizando el proceso para cumplir con las normativas de la Política Agrícola Común (PAC) 2023-2027 y otras regulaciones, como el Real Decreto 1054/2022 y la Orden APA/204/2023. El Real Decreto 34/2025. actualiza y aclara algunos aspectos de la normativa existente, retrasando la obligatoriedad de ciertos registros digitales.
El sistema permite a los titulares de explotaciones, entidades colaboradoras o personas habilitadas registrar datos de forma electrónica, garantizando la trazabilidad y el cumplimiento de requisitos técnicos.
Las características principales del CUE son:
Integración con el REA: El CUE se conecta con el REA, que contiene la información general de las explotaciones (superficies, cultivos, etc.), para cargar datos automáticamente y facilitar su gestión.
Obligatoriedad progresiva: Aunque su uso es voluntario hasta el 31 de diciembre de 2025 para ciertos registros (como los fitosanitarios), a partir del 1 de enero de 2026 será obligatorio en muchos casos, según el Real Decreto 34/2025.
Opciones de uso: Los titulares pueden usar el CUE proporcionado gratuitamente por la administración autonómica (como el SGA_CEX en Castilla-La Mancha o Cuecyl en Castilla y León) o un CUE comercial autorizado, siempre que cumpla con los requisitos técnicos y esté registrado.
Acceso y autorización: Los titulares, entidades colaboradoras o personas habilitadas pueden acceder al CUE mediante identificación electrónica (como certificado digital). Los titulares pueden autorizar a terceros para gestionar su CUE.
Contenido: Incluye información sobre tratamientos fitosanitarios, fertilización, riego, manejo sostenible de insumos y datos relacionados con ecorregímenes o ayudas de la PAC.
El Registro Autonómico de Explotaciones Agrícolas (REA) es una base de datos que recopila información general de las explotaciones agrarias, como superficies, cultivos y referencias SIGPAC (Sistema de Información Geográfica de Parcelas Agrícolas). Es obligatorio estar inscrito en el REA para poder cumplimentar el CUE, ya que este último toma datos directamente del registro para su funcionamiento. El REA, a su vez, se integra con el SIEX a nivel nacional para centralizar la información y facilitar la gestión de la PAC.
Con el CUE se simplifica la gestión administrativa y el cumplimiento normativo, se facilita el seguimiento de prácticas agrícolas para fines estadísticos y de control y se mejora la interoperabilidad entre administraciones autonómicas y nacionales a través del SIEX. El CUE es una herramienta clave para la digitalización del sector agrario, integrada con el REA para garantizar una gestión eficiente y transparente de las explotaciones agrícolas, en línea con las exigencias de la PAC y la normativa europea
En diciembre de 2024 se publicó la Versión: 3.3.0 del documento Anexo VI Diseño del Sistema de Importación y Exportación REA-CUE que describe los distintos métodos implementados en el servicio web de REA y CUE para poder facilitar información del registro de explotaciones a los CUE comerciales.
En el Apartado 4.3 se recomienda el uso de certificados de Persona Jurídica (con el que se realizan sellos electrónicos):
Sello de entidad: este certificado debería contener, al menos, lo siguientes campos del Subject para poder realizar la comunicación con el SW:
CN: para indicar el nombre del dominio: empresa.local.es (máximo 64 caracteres) Este campo es de contenido libre, por lo que se puede utilizar para almacenar el dominio, aunque con la limitación de 64 caracteres.
serialNumber: Para indicar el NIF (AXXXXXXXXX) de la empresa propietaria del dominio. Este campo es el serial number (SN) del Subject del certificado. No confundir con el Serial number identificador principal del certificado, el cual no es personalizable.
Recordemos que, las normas técnicas aplicables a estos tipos de certificados son la ETSI TS 119 412-1, la ETSI TS 119 412-2 y la ETSI TS 119 412-3 que determinan el uso del atributo organizationIdentifier en el campo subject con esta estructura de datos y en este orden:
3 character legal person identity type reference;
2 character ISO 3166 [2] country code;
hyphen-minus «-» (0x2D (ASCII), U+002D (UTF-8)); and
identifier (according to country and identity type reference).
The three initial characters shall have one of the following defined values:
«VAT» for identification based on a national value added tax identification number.
«NTR» for identification based on an identifier from a national trade register.
«PSD» for identification based on national authorization number of a payment service provider under Payments Services Directive (EU) 2015/2366 [i.13]. This shall use the extended structure as defined in ETSI TS 119 495 [3], clause 5.2.1.
«LEI» for a global Legal Entity Identifier as specified in ISO 17442 [4]. The 2 character ISO 3166 [2] country code shall be set to ‘XG’.
Two characters according to local definition within the specified country and name registration authority, identifying a national scheme that is considered appropriate for national and European level, followed by the character «:» (colon).
Por ejemplo, para España VATES-B85626240
De modo que el CIF debería obtenerse preferentemente del campo organizationIdentifier del Certificado.
Para más información contacte con EADTrust llamando al 917160555.
He escrito otros artículos sobre el Cuaderno Digital de Explotación Agrícola (CUE):
La Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga y el grupo de investigación NICS Lab han organizado un curso de verano en ciberseguridad, CYBER BOOTCAMP Málaga, dentro del Programa «Seminarios de Ciberseguridad» financiado por Google.org.
El objetivo del programa es entrenar a estudiantes de Universidades Públicas Españolas en aspectos relacionados con la ciberseguridad.
El curso de Verano tiene dos itinerarios, cada uno con 50 estudiantes, y está dirigido a Estudiantes Universitarios de cualquier Universidad Española.
Uno de los itinerarios está orientado a estudiantes de titulaciones técnicas con sólidos conocimientos informáticos y fundamentos de ciberseguridad (modalidad avanzada), y otro orientado a estudiantes de otras titulaciones sin ese nivel de conocimientos (modalidad básica).
Las clases tienen lugar desde el 1 al 11 de julio de 2025 en la Escuela Técnica Superior de Ingeniería Informática de la Universidad de Málaga.
Yo imparto la sesión de mañana del primer día (martes, 1 de julio) del Módulo Avanzado y trataré sobre Identidad Digital enfatizando los últimos avances del Reglamento EIDAS2 y la Cartera de Identidad Europea.
Este es el temario del Módulo Avanzado:
DÍAS
MAÑANA 9:00 – 13:30
TARDE 15:00 – 18:15
MARTES 1
Identidad Digital Julián Inza EAD Trust, European Agency of Digital Trust
Privacidad Jordi Forné Universidad Politécnica de Cataluña
MIÉRCOLES 2
Seguridad de Redes y Sistemas Pedro García Universidad de Granada
La Unión Europea publicó el 15 de abril de 2025 los borradores de doce nuevos actos de ejecución centrados en los servicios electrónicos de confianza y la cartera de identidad digital europea, en lo que será el tercer bloque de actos de ejecución tras los dos anteriores, cumpliendo lo previsto en el Reglamento (UE) 1183/2024.
La publicación de estos borradores abre también la posibilidad de enviar comentarios hasta el 13 de mayo de 2025 a través de la plataforma «Have your say» .
El conjunto de actos de ejecución configura el Marco Europeo de Identidad Digital y forma parte del juego de requisitos y especificaciones que determinan la evolución del documento de ARF («Architecture and Reference Framework», Arquitectura y Marco de Referencia) de la Cartera de Identidad DIgital. Recientemente publiqué la traducción al español del documento ARF versión 1.8.
Inicio de los servicios de confianza cualificados Establece los formatos y procedimientos para notificar a los Organismos de Supervisión la intención de los prestadores de servicios de confianza de ofrecer servicios de confianza cualificados.
Sellos de tiempo cualificados Establece normas de referencia y, cuando es necesario, establece especificaciones y procedimientos para vincular la fecha y la hora a los datos y para establecer la precisión de las fuentes de tiempo con respecto a los sellos de tiempo electrónicos cualificados.
Servicios cualificados de entrega electrónica certificada Establece una lista de normas de referencia y las especificaciones y procedimientos para los procesos de envío y recepción de datos en el contexto de los servicios cualificados de entrega electrónica certificada.
Informes anuales de los organismos de supervisión Establece los formatos y procedimientos para los informes anuales de los organismos de supervisión designados responsables de la supervisión de las Carteras de Identidad Digital Europea y de los organismos de supervisión designados responsables de la supervisión de los servicios de confianza.
El lote anterior se publicó el viernes 29 de noviembre de 2024 con posibilidad de enviar comentarios en el portal ‘Have your say’ (Díganos lo que piensa), hasta el 27 de diciembre.
Los actos de ejecución se adoptaron el 9 de abril de 2025, per todavía no están publicados en el Diario Oficial.
El primer lote de 5 actos de ejecución se publicó el 4 de diciembre de 2024, en el Diario Oficial de la Unión Europea, entrando en vigor a los 20 días, el 24 de diciembre. Desde esa fecha se calculan los 2 años para que los estados pongan a disposición de los ciudadanos la Cartera de Identidad Digital correspondiente a cada estado y el plazo de 3 años para que las entidades privadas obligadas a la aceptación de la identidad basada en una Cartera Digital deban empezar a hacerlo.
EADTrust offers several services related to the issuance of PSD2 qualified certificates, including the issuance of test certificates.
But, what Are PSD2 Certificates?
PSD2 certificates are specialized digital certificates mandated under the European Union’s Revised Payment Services Directive (PSD2, EU Directive 2015/2366), designed to enhance the security, transparency, and interoperability of electronic payment systems across the EU. Introduced to foster open banking, PSD2 requires financial institutions, such as banks, and third-party providers (TPPs) to allow secure access to customer account data and payment services, provided customer consent is given. To facilitate this securely, PSD2 mandates the use of qualified electronic certificates compliant with the eIDAS Regulation (EU No 910/2014), which ensures trust and authenticity in electronic transactions.
These certificates serve as a digital “company ID” for payment service providers (PSPs), identifying them and their roles within the payment ecosystem while securing communications between parties, such as banks (Account Servicing Payment Service Providers, or ASPSPs) and TPPs. The certificates are critical for meeting the Regulatory Technical Standards (RTS) outlined in EU 2018/389, particularly Article 34, which specifies requirements for strong customer authentication (SCA) and secure communication channels. Issued by Qualified Trust Service Providers (QTSPs) listed in the EU Trusted List, PSD2 certificates ensure that only authorized entities can access sensitive financial data or initiate payments, thereby reducing fraud and enhancing consumer protection.
Types of PSD2 Certificates
There are two primary types of PSD2 certificates, each serving distinct purposes within the PSD2 framework:
Purpose: QWACs are used to establish a secure, encrypted Transport Layer Security (TLS) connection between parties, such as a TPP and a bank’s API. They authenticate the identity of the PSP or TPP and secure the communication channel, ensuring data confidentiality and integrity during transmission.
Use Case: QWACs are mandatory for identifying PSPs when they access a bank’s dedicated interface (API) or fallback mechanism (emergency interface). They are akin to Extended Validation (EV) TLS/SSL certificates but include additional PSD2-specific fields.
Technical Details: QWACs rely on a minimum key length of 2048 bits and are generated using a Certificate Signing Request (CSR) that includes the public key and specific attributes (e.g., Organization, Country).
Qualified Certificate for Electronic Seal (QSealC or QSEAL):
Purpose: QSealCs provide a digital signature or “seal” on data or messages exchanged between parties, ensuring the data’s origin and integrity. They prevent tampering and offer non-repudiation, meaning the sender cannot deny having sent the message.
Use Case: QSealCs are used to sign requests or transactions (e.g., payment initiation or account information retrieval), providing evidence of the request’s authenticity. While not always mandatory, some banks or standards (e.g., Berlin Group’s NextGenPSD2) may require their use alongside QWACs.
Technical Details: QSealCs require a minimum key length of 3072 bits for higher security. They can be implemented as “soft seals” (stored digitally without hardware) or with hardware security modules (HSMs) or smart cards, depending on the provider.
Both certificate types are defined under the ETSI TS 119 495 standard, which outlines their technical specifications and ensures interoperability across the EU.
Information Contained in PSD2 Certificates
PSD2 certificates include standard fields found in digital certificates, as well as additional PSD2-specific information to meet regulatory requirements. The key details are:
Standard Certificate Fields:
Organization (O): The legal name of the PSP or entity.
Organizational Unit (OU): Optional, specifying a department or division (if applicable).
Common Name (CN): Typically the domain or identifier of the entity.
Country Code (C): The two-letter code of the entity’s home country (e.g., “DE” for Germany).
State or Province (S): The entity’s state or region (optional).
City (L): The entity’s city of operation.
PSD2-Specific Fields (in the Qualified Certificate Statement, QC Statement):
Authorization Number: A unique identifier issued by the National Competent Authority (NCA) upon registration or licensing of the PSP. This links the certificate to the official public register.
PSD2 Roles: The specific roles or entitlements of the PSP, indicating the services they are authorized to provide (detailed below).
Name of the National Competent Authority (NCA): The regulatory body overseeing the PSP (e.g., BaFin in Germany, Bank of Spain in Spain).
These fields ensure that the certificate unambiguously identifies the PSP, its authorized activities, and the supervising authority, enabling banks and other parties to verify legitimacy during transactions.
Requirements for Issuance of PSD2 Certificates
The issuance of PSD2 certificates involves strict requirements to ensure security and compliance with EU regulations. These include:
Authorization by a National Competent Authority (NCA):
Before applying for a certificate, a PSP must obtain a license or registration from its NCA (e.g., the Financial Conduct Authority in the UK, KNF in Poland). This process confirms the entity’s eligibility to operate as a PSP under PSD2.
CRR credit institutions (banks with a full banking license) do not require additional authorization and can directly apply for certificates covering all roles.
Application to a Qualified Trust Service Provider (QTSP):
Certificates must be issued by a QTSP accredited under eIDAS and listed in the EU Trusted List. Examples include DigiCert, GlobalSign, and Buypass.
The PSP submits a Certificate Signing Request (CSR) containing the public key and required attributes, generated with specified key lengths (2048 bits for QWACs, 3072 bits for QSealCs).
Identity Verification:
A natural person (e.g., an authorized signatory) must be identified to represent the PSP. This can be:
The signatory themselves for a Qualified Seal Card PSD2.
A delegated representative (subscriber’s representative) for QWACs or QSealCs, authorized via a signed request form.
Identification methods vary by country:
In Germany, PostIdent is standard.
Elsewhere, it may involve embassies, consulates, or notaries listed in the European Directory of Notaries.
Validation Against Public Registers:
The QTSP verifies the PSP’s authorization number and roles against the NCA’s public register or the European Banking Authority (EBA) register to ensure accuracy and legitimacy.
Technical Requirements:
The PSP generates and manages its own private keys, ensuring they remain secure (e.g., using an HSM for QSealCs).
Test certificates, which do not require an NCA license, are available for pre-authorization testing but follow the same technical standards.
Certificate Validity and Renewal:
QWACs are typically valid for one year, while QSealCs may vary depending on the QTSP. Changes (e.g., PSP name or roles) require revocation of the old certificate and issuance of a new one, as fields cannot be edited.
Roles Encoded in PSD2 Certificates
PSD2 recognizes four distinct roles for PSPs, which define their authorized activities within the payment ecosystem. These roles are encoded in the certificates and align with the ETSI TS 119 495 standard abbreviations:
Account Information Service Provider (AISP, PSP_AI):
Description: AISPs aggregate and provide consolidated views of a customer’s payment accounts (e.g., from multiple banks). They help with budgeting, expense tracking, and financial planning.
Function: Read-only access to account data, with customer consent.
Payment Initiation Service Provider (PISP, PSP_PI):
Description: PISPs initiate payments on behalf of customers directly from their bank accounts, acting as intermediaries between merchants and banks.
Function: Facilitates online credit transfers or direct debits, bypassing traditional card payments.
Account Servicing Payment Service Provider (ASPSP, PSP_AS):
Description: Typically traditional banks or institutions that maintain payment accounts for customers.
Function: Provides account management services and must open APIs for TPPs to access customer data or initiate payments.
Payment Service Provider Issuing Card-Based Payment Instruments (PSP_IC):
Description: Entities authorized to issue card-based payment instruments (e.g., debit or credit cards).
Function: Enables card payments as part of the payment ecosystem.
A single PSP can hold multiple roles (e.g., both AISP and PISP), and these are all encoded in the certificate’s QC Statement. Banks with a full CRR license can apply for all roles without additional authorization, while TPPs must specify their roles during NCA registration.
Conclusion
PSD2 certificates (QWACs and QSealCs) are vital tools for ensuring secure, authenticated, and interoperable electronic payments under the PSD2 framework. They identify PSPs, secure communications, and protect data integrity, relying on strict issuance processes overseen by QTSPs and NCAs. Containing detailed organizational and regulatory information, they encode one or more of the four PSP roles (AISP, PISP, ASPSP, PSP_IC), reflecting the diverse functions within the open banking landscape. This robust system supports PSD2’s goals of enhancing security, promoting competition, and protecting consumers across the EU.
EADTrust expide Certificados Cualificados PSD2 para entidades financieras y otros roles definidos en la Directiva PSD2: TPP, AISP, PISP, ASPSP. CISP
Los certificados PSD2 son certificados digitales cualificados diseñados para cumplir con la Directiva de Servicios de Pago (PSD2) de la Unión Europea. Estos certificados aseguran las transacciones financieras y la comunicación entre los proveedores de servicios de pago y las instituciones financieras.
Tipos de certificados PSD2
Existen dos tipos principales de certificados PSD2:
Autentifica el sitio web del proveedor de servicios de pago.
Cifra las comunicaciones entre el banco y el proveedor mediante conexión TLS.
Garantiza la comunicación segura en la transmisión de datos.
QSealC (Qualified eSeal Certificate):
Securiza los datos a nivel de aplicación.
Identifica de forma unívoca quién ha accedido a la API.
Protege los datos firmados contra modificaciones, asegurando su integridad.
Información contenida
Los certificados PSD2 incluyen:
Identidad del proveedor de servicios de pago.
Roles del proveedor (pueden ser uno o varios: AISP, PISP,…).
Número de autorización asignado por la Autoridad Nacional Competente.
Nombre del dominio/dominios autenticados
Requisitos para su expedición
Para obtener un certificado PSD2, se requiere:
Ser un proveedor de servicios de pago autorizado con un número de autorización asignado por la Autoridad Nacional Competente (en España, el Banco de España).
Presentar documentación:
Documento de identificación (DNI, NIE) del representante legal.
Poder que acredite la representación vigente.
Identificación de la categoría de la entidad (organización privada, entidad gubernamental, comercial o no comercial)
Pasar por un proceso de validación, similar al requerido para TLS de validación extendida (EV), que puede incluir:
Verificación cara a cara de los documentos oficiales del titular del certificado.
Confirmación de la licencia y roles del proveedor de servicios de pago por parte de la autoridad certificadora
En algunos casos, se puede requerir la intervención de un notario público para facilitar el proceso de validación
Los certificados PSD2 son cruciales para garantizar la seguridad y la confianza en las transacciones financieras digitales en el marco de la normativa europea, proporcionando autenticación, integridad y confidencialidad en las comunicaciones entre proveedores de servicios de pago, bancos y clientes.
Puede contactar con EADTrust llamando al 91 7160555 o 902 365 612.
Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.
El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.
Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.
Majorana 1 y el Algoritmo de Shor
El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.
Certificados Post-Cuánticos
La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:
CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.
La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.
Archivado Digital: Garantizar la Preservación
El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:
Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).
Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.
Recomendaciones para Prestadores de Servicios de Confianza DIgital
A modo de resumen
Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.
El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.
Madrid acogerá el próximo 27 de febrero de 2025, la undécima edición del Congreso Internacional de Derecho Digital de ENATIC, en la que me han invitado a participar.
El congreso se celebrará en la sede del Consejo General de la Abogacía Española en Paseo de Recoletos 13 – 28004 Madrid y ya es posible inscribirse.
La cita reunirá a expertos de referencia y líderes en sus áreas de actividad en el ámbito del Derecho Digital, como inteligencia artificial, Blockchain, servicios y mercados digitales, ciberseguridad o privacidad.
Estructura de la jornada
9:00 Inaugración. Belén Arribas (Abogada y Presidenta de ENATIC). Participan Miguel Hermosa (Consejero adjunto a Presidencia CGAE), SEDIA, Red.es y ENATIC
9:30 Mesa redonda: Los Derechos Digitales para la nueva era. Modera: Rodolfo Tesone (Presidente emérito ENATIC)
Borja Adsuara
Ofelia Tejerina
Ramsés Gallego
10:15 Mesa redonda: Los Derechos Digitales y la IA. Modera: José Manuel Muñoz
Carmen Muñoz
Antonio Serrano
Belén Arribas
11:00 Pausa – Café
11:30 Mesa redonda: Protección de Datos. Modera: Esther García
Francisco Pérez
Joana Marí
Marcos Mª Judel
12:15 Mesa redonda: Ciberseguridad. Modera: Carlos Saiz
🚨 Last chance to be first to receive the report! 🚨 Be among the first to receive exclusive insights into the European and Global Remote Signature Market—but time is running out! Before February 14th
💡 Share your perspective now in our 👉 survey: 📊 «Present and Future of the European and Global Remote Signature Market»
We’re uncovering key trends, challenges, and opportunities, with a focus on: ✅ Legal frameworks (eIDAS 2.0) ✅ Availability, integration, and adoption of remote signatures ✅ Market dynamics & customer expectations This survey is conducted by Obserwatorium.biz and Nimbus Technologieberatung GmbH for the Cloud Signature Consortium. The results will be featured in an upcoming CSC publication. ⏳ Don’t miss your chance—take the survey today!
Se está desarrollando un estudio sobre «Presente y futuro del mercado europeo y mundial de la firma remota» y los que participen en la encuestan recibirán el informe sin coste, tan pronto como se complete. Y quedan pocos días para responder a la encuesta. ¡El plazo acaba el 14 de febrero!
🚨 ¡Última oportunidad para ser de los primeros en recibir el informe! 🚨 Sea de los primeros en recibir información exclusiva sobre el mercado europeo y mundial de la firma a distancia, ¡pero se acaba el tiempo!
💡 Comparte tu perspectiva ahora en esta👉 encuesta:: 📊 «Presente y futuro del mercado europeo y mundial de la firma remota»
El estudio está descubriendo tendencias, retos y oportunidades clave, con especial atención a: ✅ Marcos jurídicos (eIDAS 2.0) ✅ Disponibilidad, integración y adopción de firmas remotas ✅ Dinámica del mercado y expectativas de los clientes
Los resultados aparecerán en una próxima publicación del Cloud Signature Consortium.
⏳ No pierda su oportunidad: ¡responda a la encuesta hoy mismo!
Todo es electrónico 