Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
La criptoagilidad (o agilidad criptográfica) es la capacidad de un sistema, software o infraestructura tecnológica para adaptarse rápidamente a nuevos algoritmos criptográficos o cambiar los existentes sin requerir modificaciones significativas en su arquitectura. Esto implica poder actualizar, reemplazar o ajustar los métodos de cifrado, firmas digitales o protocolos de seguridad de manera eficiente para responder a amenazas emergentes, como el avance en la computación cuántica, vulnerabilidades descubiertas o cambios en estándares regulatorios.
EADTrust es el Prestador de Servicios de Confianza Cualificados más activo de España en lo relativo a la adecuación frente a los retos de la computación cuántica analizando y adoptando las soluciones emergentes de la criptogrfía postcuántica. A nivel europeo, también Digicert, Entrust y Sectigo han mostrado actividad en estos aspectos
La criptoagilidad y la disponibilidad de infraestructuras con diferentes algoritmos permiten anticiparse al criptocalipsis. El criptocalipsis (o apocalipsis criptográfico) es un término que describe un escenario hipotético en el que los algoritmos criptográficos actuales, como RSA, ECC (curvas elípticas) o AES, se vuelven obsoletos o vulnerables debido a avances tecnológicos, particularmente la llegada de la computación cuántica
EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación de tamaños de clave mejores que RSA de 2048 bits, y en la actualidad es la única con jerarquías de PKI para certificados cualificados de tamaños de clave RSA de 8196 bits, especialmente orientada a proyectos de alta seguridad, con resistencia a la computación cuántica.
También EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación basadas en criptografía no-RSA. Cuenta con dos jerarquías de certificación basada en Criptografía de Curvas elípticas, ECC-255 y ECC-384.
La disponibilidad de jerarquías ECC por parte de EADTRUST fue esencial para que España pudiera desplegar los pasaportes COVID ágilmente, ya que EADTrust fue el Prestador que pudo emitir en tiempo récord los certificados adecuados basados en ECC-255 para todos los organismos sanitarios españoles con las especificaciones de la OMS y de la Unión Europea.
En estos momentos hemos anunciado un importante curso presencial de 2 dias: Formación sobre Computación Cuántica y Criptografía Postcuántica. Se enmarca entre los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos.
Además estamos haciendo seguimiento de los nuevos estándares de criptografía postcuántica como el FIPS-206 Falcon al que nos hemos referido recientemente en este blog y el prometedor HQC (Hamming Quasi-Cyclic).
El NIST seleccionó HQC (procedente de la ronda 4) como algoritmo adicional para estandarizar como KEM de respaldo a ML-KEM. El NIST anunció que creará un borrador (IPD) para HQC y lo publicará para comentarios — el cronograma indicado apunta a publicar el borrador aproximadamente en 1 año desde su anuncio y una versión final alrededor de 2027.
Ya tenemos servicios disponible para clientes que se desean valorar el impacto de su preparación (criptoagilidad) para los grandes cambios que se avecinan:
Adaptación de servidores web (en la conexión segura «https://») para incluir TLS1.3 (RFC 8446) y la configuración necesaria para que la gestión de claves del cifrado de las comunicaciones se realice con el algoritmo ML-KEM/Kyber que ya soportan servidores y navegadores web como primera aproximación de mecanismos híbridos. Ver IETF draft-ietf-tls-kem-tls-13
Adaptación de servidores web para soportar el protocolo ACME (Automatic Certificate Management Environment) basado en el RFC 8555, como paso hacia una infraestructura automatizada, segura y criptoágil. Además de poder configurar a EADTrust como Autoridad de Certificación generadora de certificados para TSL con ACME, en el Certbot se pueden configurar otras CAs. Aunque contamos con varios mecanismos de verificación de dominio damos preferencia a las variantes con información actualizada en el DNS. La duración máxima de los certificados TLS públicos se reducirá progresivamente a 47 días, según lo aprobado por el CA/Browser Forum en abril de 2025 mediante el Ballot SC-081v3, propuesto por Apple y respaldado por los principales navegadores (Apple, Google, Mozilla y Microsoft). Esta es otra buena razón para incorporar a automatización a la renovación de certificados de servidor web
Continúa la publicación de estándares de ETSI para apoyar el desarrollo de EIDAS y EIDAS2. Algunos de ellos forman parte de los actos de ejecución de EIDAS2.
Uno de los aspectos desarrollados es el que tiene que ver con los certificados cualificados de autenticación de sitios web (en inglés QWAC Qualified Website Authentication Certificates), con dos enfoque técnicos diferentes (1-QWAC y 2-QWAC).
Con la publicación del Reglamento 2024/1183 la redacción de los artículos 45 y 45 bis quedó así:
Artículo 45 – Requisitos aplicables a los certificados cualificados de autenticación de sitios web
Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.
1 bis. Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.
1 ter. Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.
A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».
Artículo 45 bis – Medidas cautelares en materia de ciberseguridad
Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.
No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.
Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.
El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».
Para aterrizar este articulado, se ha publicado recientemente la norma técnica de ETSI ETSI TS 119 411-5 V2.1.1 que orienta a los navegadores en la implementación de los certificados QWAC.
Y hace pocos días el acto de ejecución correspondiente, que todavía está en forma de borrador con plazo de comentarios hasta el 2 de octubre de 2025.
En resumen, existen dos opciones para la integración de certificados web cualificados en los servidores, denominadas «one quack and two quacks» (haciendo broma con la onomatopeya de un graznido y dos graznidos).
Corresponden a las etiquetas 1-QWAC y 2-QWAC.
1-QWAC consiste en añadir información a los certificados TLS existentes. Con este enfoque, los QWAC son certificados TLS (Publicly Trusted Certificates) que cumplen las normas actuales, como los Requisitos básicos (Baseline Requirements) de CA/Browser Forum. También tendrían que cumplir cualquier requisito adicional impuesto por los programas de aceptación de certificados raíz de los navegadores web.
2-QWAC es una solución más alambicada. Equivale a mantener separados los ecosistemas TLS de CABForum y los QWAC del Reglamento EIDAS. Para ello se expiden dos certificados simultáneamente: uno TLS (PTC) estándar (que puede ser emitido por una CA diferente, incluida en los programas de Root-CA de los navegadores) y otro QWAC (derivado de la norma TS 119 411-2) con un enlace para conectarlos protegido criptográficamente. La información sobre el enlace debe enviarse a través de una cabecera HTTP Link, pero el enlace en sí es un archivo JSON firmado con la clave privada para la que se emite el certificado QWAC. Un enlace puede respaldar varios certificados TLS, lo que es una ventaja para quienes deseen admitir varios certificados al mismo tiempo.
El enfoque 2-QWAC supone poner deberes a los navegadores, ya que tienen que gestionar una nueva cabecera HTTP, añadir código para obtener el enlace e implementar una nueva firma (utilizando JSON Advanced Electronic Signatures – JAdES) y verificación del enlace. Y supondría también más trabajo para los administradores de sitios Web, si no fuera porque ya va a ser imprescindible adoptar herramientas de automatización como «ACME». ACME (Automated Certificate Management Environment) es un protocolo estandarizado que permite la automatización de la emisión, renovación y revocación de certificados TLS/SSL.
El enfoque 2-QWAC es el que se adoptaría por los Prestadores Cualificados de Servicios de Confianza europeos que no quisieran pasar por el procedimiento de aprobación de Bugzilla, CCADB, Baseline Requirements y Extended Validation Guidelines.
De esta manera, no se cambian los procedimientos de CAB Forum y de los programas de CA-Raíz convencionales de los navegadores, pero se establece un marco técnico para que se puedan aceptar certificados cualificados de web «puros» en la Unión Europea (apoyados, no obstante, en certificados emitidos por jerarquías PKI incluidas en dichos programas de Root-CA de los navegadores).
El acto de ejecución mencionado (en estado «borrador» incorpora el siguiente anexo:
En el marco de los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos, uno de los primeros pasos es ayudar a entender bien como la física cuántica nos lleva a la Computación Cuántica, como podemos hacer algunos programas simples con qubits y, tras entenderlos, como la superposición y el entrelazamiento cuánticos dan lugar al algoritmo de Shor que permitirá descifrar claves privadas de algoritmos como RSA y ECC.
Después ayudaremos a nuestros clientes a diagnosticar sus infraestructuras identificando en qué puntos se usa cifrado y otras técnicas criptográficas y explicando qué alternativas van apareciendo entre los algoritmos postcuánticos para reforzar los puntos débiles.
Y cuando estén listos les proporcionaremos los servicios criptográficos actualizados con los últimos algoritmos resistentes a la computación cuántica estandarizados como FIPS-203, FIPS-204, FIPS-205 y FIPS-206.
En esta fase presentamos el curso “Introducción a la Computación Cuántica y a la Criptografía Postcuántica» en Madrid, dirigido a entidades que emplean cifrado y técnicas criptográficas, con ponentes expertos y temario adaptado a la emergencia de la computación cuántica y sus riesgos para la seguridad digital.
Objetivo y Público
El curso está orientado a empleados y directivos de entidades financieras, bancarias, aseguradoras, administraciones públicas, organismos de defensa y seguridad, empresas tecnológicas, telecomunicaciones y proveedores considerados infraestructuras críticas, así como a responsables de innovación, ciberseguridad y estrategia tecnológica.
Fechas, Lugar y Participación
Fechas: 12 y 13 de noviembre de 2025, de 10 a 17 horas.
Lugar: Hotel Zenith Conde Orgaz, Madrid (presencial).
Participación: Incluye material didáctico, ejercicios prácticos con el IQC Kit, comidas y café.
Realización y Ponentes
Jorge Christen, experto en computación cuántica y profesor universitario.
Julián Inza, especialista en criptografía y consultor en ciberseguridad encargado de iniciativas internacionales de estandarización post-cuántica.
Temario
Día 1: Nivel introductorio
Historia de la física cuántica.
Conceptos básicos (qubits, superposición, esferas de Bloch, puertas cuánticas).
Impacto de la computación cuántica en criptografía.
Revisión de algoritmos post-cuánticos y roadmap NIST, ETSI, UE, ENISA y CCN.
Contexto y Relevancia
2025 es el Año Internacional de la Ciencia y la Tecnología Cuánticas, con importantes avances como la primera computadora cuántica comercial de Microsoft (24 cúbits lógicos), incremento de inversión tecnológica global y esfuerzos coordinados por la UE, NIST y otros organismos para la adopción de criptografía post-cuántica ante el riesgo del “criptocalipsis”.
Roadmap Europeo
La hoja de ruta comunitaria prevé:
Concienciación y evaluación de riesgos (2023-2024).
Desarrollo de capacidades y planificación (2024-2025).
Implementación y pruebas (2025-2027).
Adopción completa y monitoreo (desde 2027). Prioriza sectores críticos, seguridad de la cadena de suministro, cumplimiento normativo, interoperabilidad, capacitación y campañas de sensibilización.
Precios y Descuentos
Precio general: 900 € + IVA.
Descuento del 25% (675 €) para clientes de EADTrust o referenciados. Fecha límite para descuento: 1 de noviembre de 2025.
Certificado e Inscripción
Se entrega certificado acreditativo de la formación.
Inscripción mediante formulario en la web o por correo electrónico, con protección de datos conforme a RGPD y LOPDGDD.
Requisitos y Contacto
No se requieren conocimientos previos de física, computación cuántica ni criptografía.
Información y consultas en info@eadtrust.eu o teléfono 917160555
Recientemente, el Organismo Supervisor de Prestadores Cualificados de Confianza eIDAS en España ha comunicado a los prestadores de servicios de confianza la recomendación de abandonar el uso de claves RSA de hasta 2048 bits, indicando que la fuente de la recomendación es el CCN (Centro Criptógico Nacional) a través del documento CCN-STIC 221 – Guía de Mecanismos Criptográficos autorizados por el CCN.
Sin embargo, ese documento no entra en detalles de tamaños de clave recomendados aunque indica en su página 104
Los resultados del ataque ROCA obligó a varios gobiernos europeos a revocar todos los certificados digitales de millones de tarjetas de identificación de sus ciudadanos, ya que tenían claves de 1024 bits y se podía suplantar la identidad de sus ciudadanos. En España se optó por la misma medida de prevención, aunque los DNIe españoles no corrían el mismo peligro que los documentos de identidad utilizados en otros países, ya que el DNIe español utiliza claves de 2048 bits.
dando a entender que un tamaño de 2048 bits en RSA es apropiado.
En realidad, las claves de los dispositivos cualificados de casi todos los países (no solo España) eran en aquel momento de 2048 bits, pero la vulnerabilidad ROCA afectaba al algoritmo de generación de claves adoptado por Infineon (que lo limitó al uso de la variante «Fast Prime») con lo que hubiera sido sencillo sustituir las claves generadas por aquellos chips con generadores externos al propio chip.
En muchos lugares (incluida España) se optó por generar claves RSA de 1952-bits en el propio chip. A tal efecto se modificó el software de los «cajeros automáticos del DNI» para actualizar los certificados (y su clave privada asociada) cuando acudieran los ciudadanos a la renovación de certificados. Para siguientes emisiones de DNIe se usaron dispositivos diferentes.
Los mecanismos criptográficos autorizados indicados en los siguientes apartados se han clasificado en dos (2) categorías (CAT) de acuerdo con su fortaleza estimada a corto y largo plazo:
a) Recomendados (R): mecanismos que ofrecen un nivel adecuado de seguridad a largo plazo. Se considera que representan el estado del arte actual en seguridad criptográfica y que, a día de hoy, no presentan ningún riesgo de seguridad significativo. Se pueden utilizar de forma segura a largo plazo, incluso teniendo en cuenta el aumento en potencia de computación esperado en un futuro próximo. Cualquier riesgo residual, solo podrá proceder del desarrollo de ataques muy innovadores.
b) Heredado o Legacy (L): mecanismos con una implementación muy extendida a día de hoy, pero que ofrecen un nivel de seguridad aceptable solo a corto plazo. Únicamente deben utilizarse en escenarios en los que la amenaza sea baja/media y el nivel de seguridad requerido por el sistema bajo/medio (como veremos en el apartado 5) y deben ser reemplazados tan pronto como sea posible, ya que se consideran obsoletos respecto al estado del arte actual en seguridad criptográfica, y su garantía de seguridad es limitada respecto a la que ofrecen los mecanismos recomendados. Como consecuencia de ello, para estos mecanismos se define el periodo de validez hasta 2025 (31 de diciembre), salvo indicación expresa de otro periodo.
En la Tabla 3-2. Tamaño de las primitivas RSA acordadas se considera (L)egacy la criptografía RSA de hasta 2024 bits.
En la Tabla 3-4. Curvas elípticas acordadas se consideran (R)ecomendada la criptografía ECC de todos los tamaños habituales entre los que se encuentran NIST P-256 o secp256r11 y NIST P-384 o secp384r1
En la Tabla 3-8. Esquemas de Firma electrónica autorizados se consideran L los tamaños de clave RSA hasta 2024 y R los tamaños de clave RSA de más de 3072 bits. Y en las variantes ECC las de tamaños a partir de 256 bits.
En la página 50 se entra en detalle sobre la firma electrónica [MP.INFO.3] tal como se encuentra definida en el Reglamento eIDAS y según la forma en la que se debe aplicar en las Administraciones Públicas en el contexto del Esquema Nacional de Seguridad.
Para los niveles bajo y medio del ENS se admiten claves RSA (del firmante) de, al menos, 2048 bits, claves de 224-255 bits si se emplean curvas elípticas y Funciones hash SHA-256 o superior.
Sin embargo, tal como se ha visto esa posibilidad entra en la consideración de «Legacy» y se tiene que dejar de usar desde el 1 de enero de 2026.
Para el nivel alto del ENS se requiere una fortaleza mínima de 128 bits, que, según se ve en las tablas indicadas anteriormente debe ser en RSA de al menos, 3072 bits, y de más de 256 bits si se emplean curvas elípticas . Se entra en detalle en la Tabla 3-8.
En cuanto a los Sellos de Tiempo [MP.INFO.4] se consideran los requisitos para el ENS alto:
Se utilizarán productos certificados conforme a lo establecido en el ENS ([op.pl.5] Componentes Certificados).
Se emplearán «sellos cualificados de tiempo electrónicos» atendiendo a lo establecido en el Reglamento eIDAS.
Se utilizarán mecanismos de firma electrónica recomendados y fortaleza mínima 128 bits, es decir: # RSA de, al menos, 3072 bits (aunque se recomienda el uso de 4096 bits). # Curvas elípticas con claves de, al menos, 256 bits. # Funciones resumen de las incluidas en la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256. – Para los esquemas enlazados, la seguridad recae en la función resumen empleada, por tanto, se empleará cualquiera de las funciones de la serie SHA-2 o SHA-3 con una seguridad mayor o igual que SHA-256.
Todos estos requisitos son muy difíciles de afrontar si se empiezan a considerar en el año 2025, pero EADTrust ya los tuvo en cuenta en la definición de sus jerarquías de certificación desde su creación.
Jerarquias de certificación de EADTrust.
Las jerarquías de certificación de EADTrust ya cumplen los requisitos establecidos por el CCN desde que se diseñaron y se llevó a cabo la ceremonia de generación de claves de CA en 2019, sin esperar a la fecha límite de diciembre de 2025. Se estructuran en tres niveles (Root CA, Sub-CA e Issuing CA) y combinan tecnologías RSA y ECC, posicionando a EADTrust como pionera en Europa por su uso dual. Esta estructura soporta la emisión de certificados cualificados para firma electrónica, sellos electrónicos y autenticación de sitios web, cumpliendo con los estándares de ETSI y CEN para eIDAS y garantizando alta seguridad y confianza en transacciones electrónicas. La adopción de ECC refuerza su preparación para desafíos criptográficos futuros y ha sido clave para su designación como la entidad emisora de los certificados utilizados por los organismos sanitarios españoles para emitir el pasaporte COVID-19 durante la pandemia.
Las variantes de certificados ofrecidos por EADTrust son las siguientes:
Autenticación y firma electrónica de personas físicas,
Autenticación y firma electrónica de personas físicas, con indicación de entidad en la que trabajan,
Autenticación y firma electrónica de representantes legales de personas jurídicas,
Autenticación y firma electrónica de empleados públicos,
Autenticación y firma electrónica de empleados públicos, en el contexto de la Administración de Justicia
Autenticación y sello electrónico de personas jurídicas,
Autenticación y sello electrónico de órganos de la administración pública,
Autenticación y sello electrónico de personas jurídicas sujetas a la normativa PSD2,
La creación de sellos de tiempo electrónicos cualificados,
La comprobación y validación de firmas electrónicas, sellos electrónicos, y de sellos de tiempo electrónicos,
La conservación de firmas electrónicas, sellos o certificados para estos servicios
Se contemplan algoritmos criptográficos de tipo RSA con tamaños de clave de 2048 bits, 4196 bits y 8192 bits y algoritmos criptográficos de tipo ECC (Criptografía de Curva Elíptica) con tamaños de clave de 256 bits y 384 bits.
Los diferentes niveles de robustez de criptografía permiten el cumplimiento de los niveles medios y altos del ENS (Esquema Nacional de Seguridad) de España, tal como se describen en el documento “Guía de Seguridad de las TIC – CCN-STIC 807 – Criptología de empleo en el Esquema Nacional de Seguridad” citado, según las necesidades de las Administraciones Públicas.
Los tamaños de clave para los certificados cualificados (a partir de los certificados de Autoridad de Certificación raíz) son:
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 4096-bit key size with SHA256 digest algorithm para certificados cualificados.
RSA Root CA 8192-bit key size with SHA512 digest algorithm para certificados cualificados.
ECC Root CA P-256 with SHA256 digest algorithm para certificados cualificados.
ECC Root CA P-384 with SHA384 digest algorithm para certificados cualificados. Para certificados no cualificados
RSA Root CA 2048-bit key size with SHA256 digest algorithm para certificados no cualificados.
En la siguiente figura se muestra la jerarquía RSA de 4096 bits que es similar a la de 8192 bits.
En la siguiente figura se muestra la jerarquía ECC de 384 bits que es similar a la de 256 bits.
Desde principios de 2023 EADTrust ha difundido además los nuevos certificados para la provisión de servicios de sello de tiempo cualificado diferenciados por usar diferentes algoritmos criptográficos, tamaño de clave y uso o no de Dispositivo Cualificado de Creación de Sello o de Firma (DCCF, DCCS o QSCD) Algunos están especialmente diseñados para cumplir requisitos establecidos en el Esquema nacional de Seguridad (ENS) para el Nivel de Seguridad Alto.
Los campos “CommonName” de los nuevos certificados son:
Certificado
Criptografía
Tamaño Clave
QCSD
ENS
EADT QTSU 2023 RSA 2048
RSA
2048
NO
NO
EADT QTSU 2023 ENS alto RSA 3072
RSA
3072
NO
SI
EADT QTSU QSCD 2023 ENS alto RSA 4096
RSA
4096
SI
SI
EADT QTSU 2023 ENS alto ECC 256
ECC
256
NO
SI
EADT QTSU QSCD 2023 ENS alto ECC 384
ECC
384
SI
SI
Por compatibilidad se mantienen los sellos de tiempo basados en criptografía RSA de 2048 bits, destinados a entidades no sujetas al cumplimiento del la normativa ENS del Esquema nacional de Seguridad.
En vez de ir a los Sanfermines (tengo que hacer esta mención, siendo, como soy, de Pamplona) el 7 de julio viajaré a Lima (Perú) para participar en el IV Seminario Internacional RENIEC 2025, coincidiendo con la celebración del trigésimo aniversario de la fundación de RENIEC.
El Registro Nacional de Identificación y Estado Civil (RENIEC) se fundó el 12 de julio de 1995. Su creación se formalizó mediante la Ley N.º 26497, en cumplimiento de lo dispuesto por la Constitución Política del Perú de 1993, que estableció la necesidad de un organismo autónomo encargado de la identificación de las personas y la administración de los registros civiles en el país.
En mi reflexión sobre la Identidad Digital intentaré extrapolar la experiencia de la Unión Europea tras la publicación del Reglamento (UE) 2024/1183 del Parlamento Europeo y del Consejo, de 11 de abril de 2024, como base para adoptar enfoques parecidos en otros países, siempre respetando su modelo de soberanía, de forma que la gestión futura de la identidad digital pueda llegar a ser interoperable en la provisión de servicios digitales con un enfoque transfronterizo. Y explicaré qué nuevos servicios se pueden ofrecer con Carteras Digitales como la «EUDI Wallet» o «Cartera IDUE».
El Seminario Internacional RENIEC es un evento organizado por el Registro Nacional de Identificación y Estado Civil (RENIEC) de Perú, enfocado en la identidad digital y la transformación digital de los servicios de identificación ciudadana. Su objetivo principal es promover el uso de la identidad digital como mecanismo legal, seguro y confiable para acceder a servicios electrónicos tanto del gobierno como del sector privado.
Durante el seminario se abordan temas como:
Importancia del derecho a la identidad y su ejercicio en entornos digitales.
Procesos de identificación y autenticación para servicios de gobierno y comercio electrónico.
Evolución de la identidad digital y su impacto en la seguridad jurídica y competitividad del país.
Experiencias nacionales e internacionales en gestión de identidad digital.
Rol del DNI electrónico (DNIe) y los certificados digitales en la provisión de servicios virtuales.
El evento está dirigido a funcionarios públicos, directivos de empresas privadas, especialistas técnicos y legales, así como a todos los interesados en la implementación de servicios electrónicos seguros y proyectos de gobierno digital. Además, el seminario sirve como un espacio de intercambio y aprendizaje con expertos internacionales, fortaleciendo conocimientos y compartiendo buenas prácticas sobre transformación digital e innovación en identificación ciudadana.
Esta será mi tercera participación después de la del 2022 y de la del 2024. Aquí están los videos de las intervenciones anteriores:
Intervención de Julián Inza en el Seminario Internacional RENIEC (Identificación para un Perú Digital) de 13 julio 2022 con la ponencia «Tecnologías de Identificación emergentes» enfatizando la idea de que la Identidad es uno de los derechos humanos y como se prevé que será la EUDI Wallet (EIDAS 2)
Intervención de Julián Inza en el Seminario Internacional RENIEC (Oportunidades de la identificación digital: impacto del DNIe para más y mejores servicios) de 16 de julio de 2024 con la ponencia «Identidad digital basada en Blockchain y su evolución hacia la Cartera de Identidad Digital Europea» enfatizando la vigencia de las 7 leyes de la identidad de Kim Cameron.
El ETSI (European Telecommunications Standards Institute) y el CEN (European Committee for Standardization) desempeñan un papel crucial en el desarrollo de normas técnicas para facilitar la implementación de la Cartera de Identidad Digital Europea (Cartera IDUE o EUDI Wallet) establecida por el Reglamento (UE) 2024/1183 (eIDAS2).
Entre otros aspectos se busca garantizar la interoperabilidad y la seguridad de la Cartera IDUE (EUDI Wallet) en toda Europa. ETSI y CEN están trabajando en la actualización y adaptación de normas preexistentes para alinearlas con los requisitos de eIDAS2 o creando nuevas normas si es necesario.
Por estas fechas se han publicado las versiones en estado borrador de las siguientes normas de ETSI:
Nuevo OID a incluir en los certificados cualificados con los que los organismos públicos firmen Testimonio o Declataciones de Atributos. 0.4.0.1862.1.10
Implementación de Certificados Cualificados de Sitio WEB a la luz del Reglamento UE 2014/1183. Ampliación de la normativa de servicios de emisión de certificados EN 319 411. Norma de Evaluación (Requerimientos de Política y Seguridad) TS 119 411-5
Norma para evaluar a los Prestadores de Servicios de Expedición de Testimonios/Credenciales de Atributos. Requerimientos de Política y Seguridad TS 119 471
Caracterización de «Partes Usuarias» o «Partes Informadas» para que puedan realizar consultas a las Carteras IDUE. Incluye OIDs específicos . Atributos en los certificados de Partes informadas TS 119 475.
El viernes 29 de noviembre de 2024 la Comisión Europea publicó nuevos borradores de Actos de Ejecución necesarios para el desarrollo de la Cartera IDUE (Identidad Digital de la Unión Europea) en el portal ‘Have your say’ (Díganos lo que piensa), solicitando comentarios de los expertos y partes interesadas hasta el 27 de diciembre.
Este segundo lote podría publicarse, tras las modificaciones propuestas que se hayan aceptado, en marzo de 2025 en el Diario Oficial.
Wallet lists This implementing act sets out rules for the submission to the Commission of information on certified wallet solutions and their associated electronic identification schemes by EU countries. It also sets out the requirements for the secure electronic system to be set up by the Commission for receiving the submissions.
Este acto de ejecución establece normas para la notificación a la Comisión por los países de la UE de la información sobre sus soluciones certificadas de cartera y los esquemas de identificación electrónica asociados. También establece los requisitos para el sistema electrónico seguro que debe desplegar la Comisión para recibir las notificaciones.
This implementing act sets out the provisions on unequivocal identity matching when using electronic identification means or European Digital Identity Wallets. It sets out what EU countries must do to ensure unequivocal identity matching when users want to access online cross-border public services when using electronic identification means or European digital identity wallets.
Este acto de ejecución establece las disposiciones sobre la correspondencia inequívoca de identidades cuando se utilizan medios de identificación electrónica o carteras europeas de identidad digital. Establece lo que deben hacer los países de la UE para garantizar la concordancia inequívoca de la identidad cuando los usuarios deseen acceder a servicios públicos transfronterizos en línea utilizando medios de identificación electrónica o carteras digitales de identidad europea.
This act sets out the provisions on the process for registering relying parties in EU countries. The provisions relate to information necessary for authentication to access European Digital Identity Wallets, and to relying parties’ contact details and their intended use of wallets, including what data relying parties may ask users for. The provisions include specifications and requirements for relying party access certificates issued after the registration of a wallet relying party.
Este acto establece las disposiciones sobre el proceso de registro de las partes usuarias (partes informadas) en los países de la UE. Las disposiciones se refieren a la información necesaria para la autenticación con el fin de acceder a las carteras de identidad digital europea, así como a los datos de contacto de las partes usuarias y el uso previsto de las carteras, incluidos los datos que las partes usuarias pueden solicitar a los usuarios. Las disposiciones incluyen especificaciones y requisitos para los certificados que habilitan el acceso de las partes usuarias a las que se expide tras su registro como parte usuaria (parte informada) de cartera.
This implementing act sets out rules for EU countries to have mechanisms in place to ensure the suspension and, where applicable, withdrawal of European Digital Identity Wallets if there is a security breach or partial compromise affecting a wallet’s reliability.
Este acto de ejecución establece normas para que los países de la UE dispongan de mecanismos que garanticen la suspensión y, en su caso, la retirada de las carteras de identidad digital europea si se produce una violación de la seguridad o un incidente de seguridad parcial que afecte a la fiabilidad de la cartera.
For the successful implementation of European Digital Identity Wallets, this implementing act sets out requirements for issuing and validating electronic attestations of attributes.
It also establishes a catalogue of attributes that must be verifiable against authentic sources, and sets out rules on notifying and publishing information on public sector bodies that issue attestations of attributes and are responsible for managing the authentic sources these attestations come from.
Para implantar con éxito las Carteras de Identidad Digital Europea, este acto de ejecución establece requisitos para la emisión y validación de declaraciones electrónicas o testimonios electrónicos de atributos.
También establece un catálogo de atributos que deben poder verificarse a partir de fuentes auténticas, así como normas sobre notificación y publicación de información sobre los organismos del sector público que expiden declaraciones o testimonios de atributos y son responsables de la gestión de las fuentes auténticas de las que proceden dichos certificados.
El próximo 28-de mayo de 2024 a las 17:00 tendrá lugar en el Comillas Conecta Lab sito en la Calle Galileo, 7, Madrid el evento «El futuro de la identidad digital europea: expectativas vs realidad» organizado por el Laboratorio de Confianza Digital que forma parte del Observatorio Legaltech Garrigues-ICADE y que tengo el privilegio de dirigir
La inscripción gratuita para participar de forma presencial o a distancia se confirma en este enlace.
El Laboratorio de Confianza Digital que forma parte del Observatorio Legaltech Garrigues-ICADE organiza esta interesante jornada, en el contexto del nuevo Reglamento (UE) 2024/1183 (eIDAS2), que ha entrado en vigor el 20 de mayo de 2024.
En el evento abordaremos los retos que se presentan para hacer realidad la Cartera de Identidad Digital de la Unión Europea (Cartera IDUE), y la nueva convocatoria de la «European Health and Digital Executive Agency» (HaDEA) denominada European Digital Identity and Trust Ecosystem (Standards and Sample Implementation).
La sesión se iniciará con una exposición de Julián Inza, sobre el proceso legislativo de eIDAS2, que ha concluido con la publicación del Reglamento (UE) 2024/1183 el pasado 30 de abril, y los desarrollos regulatorios y técnicos pendientes hasta la disponibilidad de las Carteras IDUE (EUDI Wallets) ofrecidas por los estados miembros, que se esperan para 2026 o 2027.
Se introducirán algunos de los retos pendientes de resolver, lo que dará pie al debate de la mesa redonda en la que participarán destacados expertos en servicios electrónicos de confianza.
Entre los temas a debatir se incluye la posibilidad de que la Cartera ofrezca acceso a testimonios y credenciales de las Administraciones Públicas como si de una «Carpeta Ciudadana 2.0» se tratara. También sobre la forma en la que los ciudadanos podrán gestionar sus datos personales permitiendo cancelar datos cedidos con anterioridad. Se plantearán casos de uso transfronterizos con mención a los impulsados por los diferentes consorcios europeos participantes en los «Grandes Proyectos Piloto«.
Programa
17:00 h – Bienvenida.
Moisés Menéndez, Codirector del Observatorio Legaltech Garrigues-ICADE.
17:05 h – Presentación: el camino marcado por eIDAS2.
Julián Inza, Presidente de EADTrust, y director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
17:20 h – Mesa redonda: Retos y oportunidades en el proceso de creación de la Identidad Digital de la Unión Europea, y los servicios disponibles a través de la Cartera IDUE.
Angel Puebla Martinez, Presidente del Comité Técnico de Normalización (UNE) SC17-SC37 de Identificación Digital.
Julián Inza, Presidente de EADTrust, y director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Lucas Carmona, Director Identidad Digital Descentralizada de Teknei.
Tomás García-Merás, «Client Account Leadership Manager» de Accenture.
Modera Albi Rodríguez Jaramillo, colaborador del Observatorio Legaltech Garrigues-ICADE.
Un acuerdo logrado entre las 2 y las 3 de la madrugada para consensuar los aspectos más espinosos del futuro Reglamento. La noticia (publicada en la web de la unión europea alrededor de las 3 y media de la madrugada) matizaba «los representantes de la Presidencia del Consejo y del Parlamento Europeo han alcanzado un acuerdo político provisional sobre los elementos principales de un nuevo marco para una identidad digital europea«.
“Con la aprobación del Reglamento de Identidad Digital Europea damos un paso fundamental para que los ciudadanos puedan disponer de una identidad digital europea única y segura. Se trata de un avance clave para que la Unión Europea sea un referente en el ámbito digital protegiendo nuestros derechos y valores democráticos”, ha afirmado la vicepresidenta Nadia Calviño.
Al trílogo han asistido también el comisario europeo de Mercado Interior, Thierry Breton, y los colegisladores de este reglamento, los eurodiputados Cristian-Silviu Buşoi y Romana Jerković.
Durante estos dos años, se ha venido trabajando en el Parlamento Europeo, en el Consejo de la UE y en la Comisión Europea para alcanzar, tras 19 reuniones técnicas bajo la Presidencia española del Consejo de la UE, un acuerdo de texto final que será de obligado cumplimiento en todos los Estados miembros de la Unión Europea. celebración en relación con el proceso de aprobación del Reglamento EIDAS2.
El texto fue aprobado por la Comisión de Industria, Investigación y Energía del Parlamento Europeo (ITRE) el 7 de diciembre de 2023 y por el Comité de Representantes Permanentes de los Estados miembros de la UE (COREPER) el 6 de diciembre de 2023.
El Pleno de Parlamento Europeo lo aprobó el 29 de febrero de 2024 (335 votos a favor, 190 votos en contra y 31 abstenciones).
¡Con esta votación histórica se da otro paso en el desarrollo de una identidad digital europea para todos los ciudadanos europeos, válida y reconocida en toda Europa!
Con las nuevas normas, se establece un nuevo estándar mundial sobre cómo será en el futuro una identidad digital fiable, segura y fácil de usar.
El 26.03.2024, en el penúltimo paso para la publicación del EIDAS2 en el Diario Oficial, el Consejo de la Unión Europea adoptó el texto que modifica el Reglamento eIDAS.
El Reglamento revisado constituye un claro cambio de paradigma para la identidad digital en Europa. Su objetivo es garantizar que las personas y las empresas de toda Europa tengan acceso universal a una identificación y autenticación electrónicas seguras y fiables.
Principales elementos del Reglamento revisado:
🔹 El lanzamiento del monedero europeo de identidad digital.
🔹 Los testimonios electrónicos cualificados de atributos (TECA)
🔹 Cualquier persona puede utilizar una firma electrónica cualificada gratuita en la Cartera IDUE para uso no profesional.
El 11.04.024 se firma por los Presidentes del Parlamento Europeo y del Consejo Europeo el texto final del Reglamento EIDAS 2 que se publicará en el Diario Oficial de la Unión Europea.
En el siguiente diagrama se describen los hitos ya logrados y se detallan los procesos en curso
Durante la tramitación del Reglamento eIDAS2, la Agencia Ejecutiva Europea en los ámbitos de la Salud y Digital (HaDEA) licitó el desarrollo de «Grandes Proyectos Piloto» que dio lugar a la aparición de cuatro grandes consorcios con participación Publico / Privada que han ido desarrollando sus proyectos desde mayo de 2023. Contemplan 11 casos de uso: diplomas universitarios, carné de conducir, identificaciones nacionales, apertura de cuentas bancarias…
Estos consorcios son Potential, Nobid, EWC o DC4EU, con presencia española en los dos últimos.
Los cuatro proyectos piloto a gran escala son:
El Consorcio de Carteras de Identidad Digital de la UE (EWC)se centra en definir credenciales de viaje digitales en todos los Estados miembros. El EWC tiene la intención de basarse en la aplicación de Carterade referencia para permitir los usos relacionados con las credenciales de viaje digitales.
El Consorcio Potential tiene como objetivo fomentar la innovación, la colaboración y el crecimiento en seis sectores que hacen uso de la identidad digital: administración pública, banca, telecomunicaciones, licencias de conducción móvil, firmas electrónicas y salud.
EL Consorcio NOBID se impulsa desde algunos países nórdicos y bálticos que, junto con Italia y Alemania, pondrán a prueba el uso de la cartera de identidad digital de la UE para gestión de pagos en un contexto de uso bancario.
En el Consorcio DC4EU (Digital Credentials for Europe) colaboran el sector público y el sector privado incluyendo el ámbito educativo y la seguridad social mediante el despliegue y el acceso a infraestructuras de servicios digitales interoperables en un marco de confianza transfronterizo.
Entre unos y otros, los pilotos están explorando el uso de la cartera digital en estas 11 áreas:
Acceso a los servicios públicos: Acceso seguro a servicios públicos digitales, como solicitar un pasaporte o licencia de conducir, presentar impuestos o acceder a la información de seguridad social.
Apertura de una cuenta bancaria: Verificación de la identidad de un usuario al abrir una cuenta bancaria en línea, eliminando la necesidad de que el usuario proporcione repetidamente su información personal
Registro de tarjeta SIM: Prueba de identidad a efectos de contratos de tarjeta SIM pre y postpago (registro y activación), reduciendo el fraude y los costes para los operadores de redes móviles de telecomunicaciones.
Licencia de conducción móvil: El almacenamiento y la presentación del carnet de conducir móvil en interacciones tanto en línea como presenciales (fuera de línea), por ejemplo mostrando a un agente el carnet de conducir.
Firma de contratos: Crear firmas digitales seguras para firmar contratos en línea, eliminando la necesidad de documentos en papel y firmas manuscritas.
Presentación de recetas: Proporcionar detalles de prescripción médica de medicamentos a las farmacias para que estas puedan dispensarlas.
Documentación de viaje: Para presentar información de documentos de viaje (por ejemplo, pasaporte, visado), lo que permite un acceso rápido y fácil cuando se pasa por los controles de seguridad de aeropuertos y aduanas.
Identidades digitales organizativas: Para demostrar el otorgamiento de poderes a los representantes de las empresas.
Pagos: Verificación de la identidad de un usuario al iniciar un pago en línea.
Certificación de educación: Prueba de posesión de títulos y diplomas educativos, para acreditarlos en la solicitud de empleo o al inscribirse en un nuevo proceso formativo.
Seguridad Social: La cartera de identidad digital de la UE permite acreditar la cobertura de un seguro para acceder a las prestaciones de seguridad social de un usuario (por ejemplo, pensiones o prestaciones por discapacidad) en su país o en otro, por ejemplo . acogiendo la tarjeta sanitaria europea.
Además, la la Agencia Ejecutiva Europea en los ámbitos de la Salud y Digital (HaDEA) licitó el desarrollo del código fuente de referencia de la Cartera IDUE que fue adjudicado a la empresa sueca Scytale AB y que esta ha liberado como primera versión en el portal GitHub: EUDI Wallet Reference Implementation
Si tu empresa utiliza sistemas de identificación digital y queréis ver como podéis prepararos para ser parte del nuevo ecosistema que se ha de crear en torno a la Cartera IDUE contacta con EADTrust en el +34 917160555 (o por email: infor (sin r) at eadtrust punto eu) y explora los servicios que podemos ofreceros.
Ya somos Prestador Cualificado de Servicios de Confianza y algunos de nuestros servicios cualificados pueden resolver ya retos que os estéis planteando.
ISACA Madrid Chapter tiene el placer de presentar su VII Congreso de Auditoría & GRC, en 2024 versará sobre «Digital Trust con los Riesgos Emergentes». Es una oportunidad única de conectar con profesionales de los ámbitos de la Auditoría, Gobierno, Gestión de Riesgos y Cumplimento.
Fecha: 18 de Abril 2024
Horario: 9:30h /18:30h
Lugar: Meeting Place
Dirección: Paseo de la Castellana 81, 28046 Madrid
El evento se celebrará en modalidad presencial y también, se emitirá por streaming.
La confianza debe extenderse más allá de la confianza en la tecnología para incluir la confianza en las personas, los procesos y la organización. Veremos cómo la seguridad, la privacidad, el riesgo, la calidad y la gobernanza contribuyen y pueden mantener la confianza digital.
En el contexto tecnológico actual donde impera el uso de las tecnologías emergentes, trataremos además de otros aspectos que cobran especial relevancia como son la ética, la transparencia y la rendición de cuentas.
De esto y mucho más trata el Congreso de Auditoría y GRC 2024 organizado por Isaca Madrid,
¿Te lo vas a perder? No lo dudes, resérvate el día…
Programa
9:30
Bienvenida
Vanesa Gil Laredo. Presidenta ISACA Madrid.
9:45
Charla Institucional: «El Digital Trust Ecosystem Framework de ISACA: Alzándose sobre hombros de gigantes»
Ramsés Gallego. Ambassador for ISACA.
10:45
Mesa Redonda: “Modelos de gobierno de la seguridad de la información. Claves para el éxito”
Alejandro Delgado. Director of Sales and Business Development IBERIA. GlobalSuite Solutions. Santiago Valero. Global IT Security Director – Global CISO. Aleph Group, Inc. Lucero Ramos. CISO Idealista. Laura Betanzos Herrera. Directora Business Security Solutions. PwC. Modera: Vanesa Gil Laredo. Presidenta ISACA Madrid.
11:45
Café
12:15
Ponencia: “Claves para el Gobierno de la IA”
Joaquín Castillón Colomina. Partner de Risk Consulting. E&Y.
12:45
Mesa Redonda: “Riesgos emergentes asociados al uso de las nuevas tecnologías”
Julian Inza. Presidente de EAD Trust. Jesús Blanco Serrano. CISO y gerente de sistemas de AEDAS Homes. Victor Villagrá.Director Máster Ciberseguridad UPM. Eduardo Solís. Director de Consultoría y Riesgos Tecnológicos. Innotec Security. Modera: Juan José Nombela. Junta Directiva ISACA Madrid.
13:45
Ponencia: “Regulación de la IA y ciberseguridad”
Vicente Moret. Of Counsel Deloitte Legal.
14:15
Cocktail
15:45
Mesa Redonda: “El papel de la regulación en la gestión del riesgo empresarial”
Oscar López. DPO & Information Security Officer. DKV. Pablo Rodríguez. Global Head of Cybersecurity Governance. NATURGY. Manuel J. Ordóñez Ruiz. Director de Auditoría de Seguridad. Unicaja Banco. Modera: José Manuel Barrios. Director División Seguridad de la Información y Ciberseguridad. Auren.
16:45
Mesa Redonda: “Auditoría de TI. Los grandes retos de ahora y de siempre”
Juan Santonja Lillo. Director Auditoría Ciberseguridad. Banco Sabadell. José Antonio Martínez Palomo. Director Auditoría TI. El Corte Inglés. Alfonso Olmedilla. Consultor Senior GRC. Áudea Seguridad de la Información. Andrés González. Offensive Security Manager.Zerolynx. Modera: Miriam Feito. Junta Directiva ISACA Madrid.
Todo es electrónico 