Archivo de la categoría: Valor probatorio

Productos y servicios basados en DSS

7 respuestas

En el artículo «Firma electrónica con OASIS DSS» ya di algunas indicaciones de la importancia de este protocolo para desplegar servicios de firma electrónica en las grandes organizaciones. Recientemente se ha anunciado que está previsto incluir esta funcionalidad en futuras versiones de @firma, la herramienta más utilizada en las administraciones públicas para gestionar firmas electrónicas.

En el momento actual, solo dos productos dan soporte a este protocolo:

Sin embargo, sí que está disponible como servicio (en lo que en Albalia llamamos Trustworthiness of services in the cloud) a través de algunos prestadores de servicios de certificación:

En cuanto a entidades, Caixa Galicia lo ha implantado en su arquitectura sobre zSeries (Mainframe IBM), gracias a zBackTrust, la variante de BackTrust orientada a zLinux y z/OS, con Websphere.

COM(2007) 267 – Hacia una política general de lucha contra la ciberdelincuencia

2 respuestas

Los sistemas informáticos cobran cada vez mayor importancia en nuestras sociedades, y su seguridad abarca numerosos aspectos, entre los cuales la lucha contra la ciberdelincuencia constituye un elemento básico. A falta de una definición comúnmente aceptada de ciberdelincuencia,  los  términos    «ciberdelincuencia»,  «delincuencia    informática», «delincuencia relacionada con los ordenadores» o «delincuencia de alta tecnología» se utilizan a menudo indistintamente.

Para establecer una referencia, definamos «ciberdelincuencia» como las «actividades delictivas realizadas con ayuda de redes de comunicaciones y sistemas de información electrónicos o contra tales redes y sistemas». En la práctica, el término ciberdelincuencia engloba tres tipos de actividades delictivas.

  • El primero comprende formas tradicionales de delincuencia, como el fraude o la falsificación, aunque en el contexto cibernético se refiere específicamente a los delitos cometidos mediante las redes de comunicaciones y los sistemas de información electrónicos (en lo sucesivo, redes electrónicas).
  • El segundo se refiere a la publicación de contenidos ilegales a través de medios de comunicación electrónicos (por ejemplo, imágenes de abuso sexual a menores o incitaciones al odio racial).
  • El tercero incluye delitos específicos de las redes electrónicas, por ejemplo los ataques contra los sistemas informáticos, la denegación de servicio y la piratería. Estos ataques también se pueden dirigir contra infraestructuras críticas fundamentales en Europa y afectar a sistemas de alerta rápida existentes en numerosos ámbitos, con consecuencias potencialmente desastrosas para el conjunto de la sociedad.

La característica común de los tres tipos de delitos es que pueden ser cometidos a gran escala y que puede mediar una enorme distancia geográfica entre el acto delictivo y sus efectos. Por lo tanto, los aspectos técnicos de los métodos de investigación aplicados son a menudo similares.

Todos estos aspectos los desarrolla la  COMUNICACIÓN DE LA COMISIÓN AL PARLAMENTO EUROPEO, AL CONSEJO Y AL COMITÉ DE LAS REGIONES: Hacia una política general de lucha contra la ciberdelincuencia, con referencia COM(2007) 267 y fecha de publicación 22.5.2007

Documentos electrónicos en papel y viceversa

11 respuestas

Una forma de securizar documentos digitales es a través de la firma digital. Gracias a ella podemos estar seguros de que un documento se vincula a su firmante y de que su contenido es inalterable.

Es, desde luego, una de las claves de la  e-administración.

Sin embargo, cuando tenemos que imprimir los documentos firmados electrónicamente, necesitamos  proteger los documentos impresos permitiendo validar tanto su autenticidad como su contenido. Esta necesidad no se resuelve fácilmente. Además, cualquier sistema que se diseñe para ello debe garantizar no solo que los documentos impresos sean igual de seguros que sus versiones electrónicas, sino que la comprobación de dicha seguridad debe ser tan sencilla y automática que con la que proporciona la firma electrónica.

La nueva necesidad se intenta cubrir actualmente con varios mecanismos, siendo los principales el watermarking y los códigos de verificación seguros (típricos de las copias constatables), sin lugar a dudas los más utilizados.

Su funcionamiento no es extraño para nadie a día de hoy, y ,simplificando, consiste en la inserción sobre el documento de un código que introducido en una aplicación web nos permite acceder al documento original, y así comprobar si el documento en papel y el original poseen el mismo contenido.

La primera conclusión es obvia: cotejo visual. Y su derivada: pérdida de tiempo y alta probabilidad de pasar por alto pequeñas alteraciones del contenido (no hablemos de personas que por su trabajo necesiten estar continuamente validando documentos).

Algunos dirán: ¡fácil solución!, imprimo el documento digital y tiro la copia impresa que he recibido. Pero desde luego, no va en la linea de eliminar el uso del papel, y no parece que esté alineado con los objetivos de la e-Administración.

¿Y cuál es la solución?, ¿no será posible emplear la firma digital en el papel?. Esto mismo han pensado los promotores de Bit Oceans, que tras varios de años de investigaciones han desarrollado la tecnología FiViDoCFirmado Visible de Documentos”, que empleando la misma estructura de la firma digital aporta al mundo del papel un nivel de fiabilidad cercano a los estándares de certificación.

Fividoc, completa mediante nuevos algoritmos de hasing basados en técnicas avanzadas de procesado de señal el circulo de la seguridad documental.

Además frente al cotejo, que requiere el acceso al documento electrónico, puede establecerse la autenticidad de un documento preservando la confidencialidad de los datos, ya que no es necesario mostrarlos .  FIVIDOC es así una exelente solución cuando puedan estar en juego datos personales y se planteen dudas de correcta implementación de la LOPD. El sistema FIVIDOC  no muestra el documento ni el contenido del mismo: simplemente verifica que no se ha alterado y, en caso de detectar alteraciones, las muestra.

Está tecnología con solicitud de patente PCT ha sido reconocida con el premio a la aplicación TIC del año 2008 por el Ilustre Colegio de Ingenieros de Telecomunicaciones de Galicia.

Puesto que el sistema utiliza los principios de la firma electrónica, ¿existe un rol equivalente al de las Entidades de Certificación? La respuesta es que sí, y en esta línea desde EADtrust se han iniciado las negociaciones con BitOceans research para la puesta en marcha del servicio.

Popularizando el término «Copia Constatable»

2 respuestas

Quienes siguen este blog conocen una de mis debilidades. La de acuñar términos nuevos e intentar su popularización. Eso ha sucedido con «palabros» como «chipetera» o conceptos como «Novación electrónica«.

Ahora lo intento con «Copia Constatable»

Para medir la popularización del término voy a usar Google. Esta es la imagen de la búsqueda en Google de «Copia Constatable» a dia de hoy:

copia-constatable

Veremos en qué acaba esto…

Mesa redonda el 26 de noviembre de 2009

Deja un comentario

El 26 de noviembre de 2009, ASIMELEC organiza el III Congreso de Identidad Digital y DNI electrónico.

Un aspecto especial de este Congreso es la posibilidad de debatir en el marco de la comida sobre diferentes temas, de forma que los coordinadores de las diferentes mesas presentamos las conclusiones en la sesión de tarde.

El tema de la mesa que yo coordino es «La firma electrónica en el marco de las Leyes 11/2007, 30/2007 y 56/2007» . Os invito a incorporaros a esta mesa a aquellos a quienes interese el tema.  No sé ahora mismo el número previsto de contertulios para cada mesa, así que quienes estéis interesados, no lo dejéis para el último día, porque es posible que tenga que dejar a alguien fuera si hubiera muchas peticiones.

Actualización: Ya se ha apuntado el número suficiente de participantes. Gracias a todos, y perdonad los que no habéis llegado a tiempo.

Fundación Business Mundi

2 respuestas

Logitopo_bmundi_orgDesde hace bastante tiempo tengo pendiente de escribir este post.

Gonzalo Alegría es el emprendedor detrás de Bmundi, B2Bmundi, y la Fundación Business Mundi que confió en Albalia para definir la forma de utilizar la firma electrónica en un contexto internacional, como requiere su plataforma. Un profesional del mundo de la Importación y Exportación, con una visión sobre como las nuevas tecnologías pueden eliminar las barreras que impiden que empresas de cualquier dimensión puedan adquirir o vender productos en un contexto internacional.

Fundación Business Mundi (también denominada abreviadamente «bMundi») es una fundación internacional, independiente y sin fines de lucro que fue oficialmente creada el 15 de enero de 2008 bajo los auspicios del Ministerio de Industria, Turismo y Comercio (MITYC) del Gobierno de España. La Fundación bMundi se dedica a la investigación y al desarrollo de la Nueva Economía.

La Fundación bMundi se ha propuesto como tarea primordial a facilitar la implementación de un modelo económico más eficiente ante la posibilidad de la creación de un mercado más equitativo mediante el uso de las últimas herramientas tecnológicas que brindan la informática y la computación.

La Fundación bMundi ha desarrollando y está evaluando e implementado «Programas de Tecnologías de Información y Comunicación para el Desarrollo» (TICpD), con la meta y la prioridad específica de reducir la pobreza a nivel global. Las Naciones Unidas, justamente con la mismas finalidades que tiene la Federación bMundi, ha incluido este tipo de programs dentro de su agenda para facilitar el desarrollo económico y social entre las naciones del mundo.

La plataforma resuelve de forma automática las traducciones más frecuentes como sistema de negociación multi-idioma, multicultural. Gestiona los Incoterms, unifica los conceptos de definición de productos, extendiendo las taxonomías de Naciones Unidas. Orienta sobre las formas de pago,  y ratifica las transacciones con firma electrónica para servir de prueba electrónica a las partes, ofreciendo además un sistema de resolución de discrepancias.

Define un porceso  de gestión de negocios, que la plataforma tutela con su sistema experto, y está disponible sin coste para las empresas de ámbitos geográficos en los que participan las instituciones oficiales de impulso a las actividades de importación y exportación.

zBackTrust, firma electrónica para System Z

10 respuestas

Acaba de incluirse en la oferta de INSA la solución desarrollada por Albalia Interactiva zBackTrust, que permite desarrollar el soporte a la firma electrónica desde las plataformas corporativas más avanzadas basadas en equipos System z de IBM.

En su continuo empuje por los sistemas Mainframe, IBM tiene planeado el lanzamiento de unas 30 mejoras de software para la plataforma System z, las cuales se irán introduciendo a lo largo del 2009.

12 de ellas ya se han puesto en el mercado y están relacionadas con las herramientas de desarrollo Rational Software, la administración de los datos de InfoSphere y Cognos, las ofertas de gestión de transacciones de WebSphere y los servicios TI de Tivoli.

El Gigante Azul ha hablado durante años del resurgimiento de los sistemas Mainframe para dar respuesta a las nuevas cargas de trabajo. El aumento de los MIPS (Millones de Instrucciones por Segundo) y el creciente interés de los ISV (Vendedores de Software Independientes) por estos sistemas así lo confirma.

No en vano y según la compañía, durante el año pasado más de 150 ISVs se han pasado a la plataforma System z y se han añadido más de 1.000 aplicaciones que pueden ser ejecutadas en los mainframes.

Los analistas indican que buena parte de este resurgir de la plataforma se puede atribuir a los nuevos motores de procesado que IBM ha construido para hacer más fácil la ejecución de tareas Linux y Java en los System z.

Otros vendedores también están ayudando a este crecimiento. Es el caso de los desarrolladores de software CA o BMC Software, que siguen mejorando sus soluciones para la gestión de los mainframes. Por su parte Unisys lanzó a finales de mayo nuevos equipos basados en la plataforma de IBM.

Los sistemas z son excelentes entornos de ejecución Java, tanto operando sobre sistema operativo z/OS como zLinux, por lo que permiten la adopción de las tecnologías más avanzadas en un marco de ejecución de alto rendimiento corporativo.

Referencias:

Interoperabilidad de los Prestadores de Servicios de Certificación

8 respuestas

En pasados artículos he hecho referencia a que un cumplimiento diligente de la Directiva 199/93/CE de firma electrónica implicaba la aceptación de los certificados reconocidos (o cualificados) de todos los prestadores de servicios de certificación europeos.

Este punto de vista ha quedado recogido, por ejemplo en la Orden EHA/962/2007, pero hay quien piensa que la Ley 11/2007 y el Esquema Nacional de Interoperabilidad dejan margen para que un organismo concreto pueda establecer criterios propios de aceptación.

Debe aclararse que «los criterios propios» de aceptación solo son de aplicación a las firmas avanzadas, y que el criterio general es que las firmas avanzadas basadas en un certificado reconocido (es decir, cualificado), o en un certificado en cuya política se han utilizado mecanismos de verificación de identidad del firmante presenciales o equivalentes a presenciales, tienen un nivel de aceptación próximo al de las firmas reconocidas o cualificadas.

Sin embargo para facilitar la interoperabilidad de las firmas electrónicas en el marco europeo, hay algunos detalles que conviene tener en cuenta:

  1. Las URL de la CRL y del OCSP del prestador deben estar correctamente codificados en todos sus certificados (extensión AIA).
  2. El servicio OCSP, o, al menos el de CRL, de los prestadores válidos (los que figuran en la TSL) han de estar accesibles sin coste
  3. La información de URL de la Root, de la CPS, de los servicios OCSP y CRL de cada prestador de servicios de certificación deben estar codificados en las TSL de cada estado (que en España corresponde al MITyC, no al MAP) y en la TSL armonizada.
  4. Siempre que el destinatario de una firma sea una entidad privada, la firma electrónica debería construirse con arreglo a las especificaciones XAdES-XL o CAdES-XL (respectivamente descritas en las normas TS 101 903 y TS 101 733). En general, este tipo de firma debería ser de elección en todos los casos. Las administraciones públicas que generen firmas siempre deberían hacerlo con estos formatos (ya que eliminan la carga de la verificación de validez del certificado al receptor)

Es necesario contar con una lista actualizada de prestadores europeos, que debería ser posible obtener a partir del sistema de notificación del artículo 11 de la directiva 1999/93/CE. La información de cada prestador debería contener, además de la URL de la home page, su dirección, email y teléfono (lo que más o menos ya se recoge hoy en día) junto con las URL de la Root, de la CPS, de los servicios OCSP y de la CRL de sus CAs (lo que es esencial para la interoperabilidad, pero resulta difícil de encontrar en la página web del prestador en el sistema actual) .

Es necesario que los sistemas nacionales de supervisión que notifican el estado de gestión de los sistemas de certificación de su pais a la Comisión Europea recojan los datos mencionados en sus repositorios. En España, esta responsabilidad corresponde al MITyC, según se establece en la Ley 59/2003.

Conviene poner en valor los Sistemas Voluntarios de Acreditación, como el de ASIMELEC.

Y es conveniente ir eliminando mecanismos alternativos de verificación de validez de certificados como los definidos en la orden EHA/1181/2003 que tuvieron su razón de ser antes de la publicación de la Ley 59/2003, pero no tienen sentido en el actual marco legislativo. El repositorio de la AEAT ya solo tendría sentido en el marco de la normativa de factura electrónica. En su momento supuso un gran empuje a los prestadores de servicios de certificación españoles, pero en la actualidad supone  un ejemplo mal copiado por muchos organismos públicos que crean sus propias listas de prestadores de servicios de certificación sin ser conscientes con que basta con remitirse a la lista del MITyC.

El problema de censar a los prestadores de servicios de certificación, que NUNCA debería ser un problema del tercero que confía, se está convirtiendo en uno de los frenos al desarrollo de la firma electrónica. Y hubiera sido algo muy sencillo de desarrollar si se hubiera aplicado correctamente el artículo 11 de la directiva 1999/93/CE. Es decir, si los datos antes indicados (URL de la Root, de la CPS, de los servicios OCSP y de la CRL de las CAs de cada pais) se hubieran recogido correctamente desde el principio, y el comité del artículo 9 hubiera sido más proactivo.

Por esta ineficiencia de la Comisión ha sido necesario gastar cientos de miles de euros en proyectos de interoperabilidad cuyos resultados están por ver, y se han creado malas costumbres que se tardará años en erradicar.

Otros artículos relacionados:

Seminario eAdministración en Sevilla

1 respuesta

El próximo 20 de octubre de 2009 tendrá lugar en Sevilla el Seminario «eAdministración –
Adaptación a la Ley 11/2007 y a la Ley 30/2007» que impartiremos, mano a mano, Bartolomé Borrego, Vocal Responsable de la División de Nuevas Tecnologías en la Delegación Especial de la AEAT en Andalucía y yo.

Lo organiza Atenea Interactiva y cuesta 300 euros + IVA.

Creo que puede ser de interés para organismos públicos o de participación pública que se enfrentan al reto de aplicar la Ley 11/2007 y a la Ley 30/2007, en lo relativo a la Administración Electrónica y a la Contratación Pública Electrónica.

Incluyo a continuación el programa previsto.

9:00-9:30    Recepción de los asistentes y entrega de la documentación

9:30-10:15 Obligaciones para las administraciones públicas derivadas del nuevo marco normativo de e-administración y  contratación pública.

D. Julián Inza

10:15 -10:45 Identidad Digital y DNIe.

  • La identidad digital en Internet.
  • Los sistemas de federación de identidades
  • Los sistemas “fuertes” de autenticación
  • Los certificados digitales y el DNIe
  • La gestión de las capacidades y la representación.
  • Aceptación de Certificados de otros países.

D. Julián Inza

10:45-11:15 Coffee-Break

11:15-11:45 Firma Electrónica

  • Certificados Reconocidos
  • Dispositivos seguros de creación de firma. 
  • La firma electrónica reconocida
  • Servicios de validación de certificados.
  • La certificación de tiempo. El TimeStamping
  • La firma electrónica de larga duración (CAdES/XAdES)
  • Los servicios de firma electrónica (OASIS DSS)

D. Julián Inza

11:45-12:15 Implementación del Perfil del Contratante

  • Requisitos a cumplir. Artículo 42 de la Ley de 30/2007.
  • La Plataforma de Contratación del Estado
  • La prueba del momento: Time Stamping. 
  • El testigo electrónico.

D. Julián Inza

12:15-13:15 Facturación electrónica en el sector público

  • Formatos y Firmas. 
  • Plataformas.
  • Gestión integrada de recepción de facturas (papel y electrónicas)

D. Julián Inza

13:15-13:45 Claves de la reforma de la Ley 11/2007 de acceso de los ciudadanos a los servicios electrónicos

  • Ámbito.
  • Principios.
  • Derechos de los ciudadanos.

D. Bartolomé Borrego Zabala

13:45-14:15  Registros Electrónicos o telemáticos

  • Antecedentes. Requisitos.
  • Justificaciones de presentaciones telemáticas.
  • Regulación de los plazos

D. Bartolomé Borrego Zabala

14:15-15:30  Comida: Cocktail Buffet

15:30-16:15 Notificaciones fehacientes por medios electrónicos

  • Notificaciones telemáticas seguras.
  • Consulta de notificaciones.
  • Notificación por comparecencia.
  • Publicación electrónica del tablón de anuncios o edictos.
  • SMS y Correo electrónico certificados.

D. Bartolomé Borrego Zabala

16:15-16:45  Uso de la firma electrónica en la Administración Pública

  • Sistemas de firma electrónica para la actuación administrativa automatizada.
  • Firma electrónica del personal al servicio de las Administraciones Públicas.
  • Identificación y autenticación de los ciudadanos por funcionarios públicos.

D. Bartolomé Borrego Zabala

16:45-17:15  Plataformas de Pagos

  • Justificante electrónico del pago. Medios de pago.
  • Pasarela de pago de la AEAT. Otras pasarelas de pago.
  • Centralización de servicios de pagos electrónicos.
  • Plataforma de Servicio de Pago Telemático (Red.es)

D. Bartolomé Borrego Zabala

17:15-17:45  Copias electrónicas, Compulsa electrónica y Digitalización Certificada.

  • Documento electrónico
  • La compulsa electrónica por las Administraciones Públicas.
  • Copia de documentos electrónicos. Digitalización Certificada.

D. Bartolomé Borrego Zabala

17:45-18:30  Representación en los procedimientos electrónicos.

  • La representación y la Colaboración Social.
  • Apoderamiento para la realización de trámites electrónicos

D. Bartolomé Borrego Zabala
 
18:30-19:00  Coloquio y conclusiones

Peculiaridades de las Evidencias electrónicas

1 respuesta

En la revista  IURIS. Nº 88, de noviembre de 2004 se publicó el artículo con este título que preparamos Carmen Pendón Prieto y yo, identificando los aspectos más relevantes de la gestión pericial de la prueba electrónica.

Ya entonces una de las areas de especialidad de Albalia Interactiva era la Gestión de las Evidencias Electrónicas, que ha ido adquiriendo más importancia con el transcurso del tiempo. De hecho, hemos impartido varios seminarios sobre el tema, dos de ellos en la ESCA y otros con Atenea Interactiva.

Nuestra actividad como peritos judiciales en aspectos de tecnologías de la información ha sido constante estos años, si bien los temas en los que somos requeridos con mayor frecuencia son los relativos a la firma electrónica. Particularmente, hemos desarrollado un «expertise» muy reconocido en lo relativo a los informes periciales de uso de dispositivo seguro de creación de firma en entornos automatizados de firma electrónica, para la expedición de certificados especiales que indican el uso de DSCF en el propio certificado.

El avance de las nuevas tecnologías impone un acompasado desarrollo del Derecho. Dos casos de actualidad ejemplifican esta necesidad: desde el punto de vista laboral, el Auto de la Audiencia Provincial de Madrid en el Caso COAPI, de 23 de enero de 2004, estima un recurso de apelación que dejaba claro que espiar el correo electrónico de un trabajador puede ser constitutivo de delito. En el ámbito penal, el Juzgado de lo penal n.º 7 de Valencia condenaba el pasado 15 de julio a un hacker por la comisión de un delito de daños y de descubrimiento y revelación de secretos.

Acceder al artículo completo en PDF.