Peritajes electrónicos (Computer Forensics)

5 respuestas

Aunque el proceso que describe el periodista no es ortogonal y está muy simplificado, es una primera aproximación para no expertos.
Se describe en http://www.elpais.es/articulo.html?d_date=&xref=20060119elpcibpor_4&type=Tes&anchor=elpcibpor

Estos son los pasos que se indican

  1. Toma de contacto. Conversación con los relacionados en el caso, con el objetivo de tener una idea clara de lo que ha ocurrido y planear la investigación. En este caso se sospechaba de un empleado que había accedido a una máquina de otro empleado para sustraer un documento.
  2. Copia del disco duro. Acompañado del representante de los trabajadores y de los directores, se requisa el ordenador del sospechoso para, delante de todos, realizar una copia íntegra, bit a bit, del disco duro. Esta copia servirá para la investigación, y el ordenador requisado será guardado para su custodia en la caja fuerte de la empresa. Si se dispone de otros medios de almacenamiento externo, como CD o discos USB, se requisan también para su posterior análisis.
  3. Análisis del disco duro. Se buscan indicios de virus, troyanos o gusanos, así como herramientas de ataque, con la idea de realizar una foto del ordenador y saber para qué se usa realmente, así como el nivel del usuario. A continuación se localiza y analiza la información que ha sido borrada. Seguidamente, se realiza una escala temporal lo más exacta y detallada posible. Es decir, conociendo aproximadamente la fecha del suceso, se reconstruye el escenario segundo a segundo: acceso a ficheros, creación o borrado de ficheros, ejecución de comandos, accesos a páginas de Internet, etcétera. Como se trata de un robo de información confidencial, se busca en todo el disco, tanto en archivos existentes, como en archivos borrados y espacio no utilizado.
  4. Análisis de logs. Revisión y análisis de todos los logs o huellas de actividad, de la máquina y de todos los elementos relacionados, tales como cortafuegos, IDS, impresoras y servidores.
  5. Cadena de custodia. Una vez que hemos obtenido las pruebas, es fundamental documentarlas y mantener lo que se denomina cadena de custodia, que garantiza el origen de las pruebas, imprescindible si hay juicio.
  6. Presentación de resultados.
  7. Acciones legales si fuera necesario.

En mi opinión, hay 2 grandes pasos:

  1. Incautación Confiable de la Prueba y Preservación de la Cadena de Custodia.
  2. Análisis de la información disponible con arreglo al incidente investigado y Redacción del informe pericial

Con la información disponible se puede valorar la conveniencia o no de pleitear o de negociar.

Supuesto que se decide pleitear, el perito de parte colabora con la parte y su abogado informando sobre la especialidad tecnológica y los problemas probatorios.

El rol de perito de la demanda es el más deseable, ya que se dispone de tiempo suficiente para preparar el análisis. Sin embargo, el perito de la contestación, normalmente tiene la restricción de los plazos procesales, a la que se añade el tiempo de respuesta de la parte demandada y de su abogado en concluir que necesitan un perito.

Fraudes en premios de lotería


Un porcentaje alto del spam que recibimos corresponde a falsos anuncios de premios de lotería.

Yo pensaba que eran mensajes tan obviamente falsos que nadie caería en la trampa, pero no es así.

Hasta en la página web de Loterías y Apuestas del Estado han tenido que avisar sobre el asunto.

Transcribo el aviso:

Loterías y Apuestas del Estado (LAE) pone en conocimiento del público en general que unas bandas de delincuentes, de nacionalidades diversas, están utilizando fraudulentamente el prestigio y los nombres comerciales de la Lotería española en varios países, especialmente en los de la zona del sudeste de Asia y el Pacífico y los del continente americano. Se mueven con facilidad por toda la geografía mundial y emplean teléfonos móviles, apartados de correos, direcciones provisionales o falsas (con inclusión de las direcciones reales de Organismos oficiales españoles), así como nombres que evocan instituciones prestigiosas («el Gordo», «la Primitiva», «European Lottery Commission», etc.). También falsifican los papeles impresos y las firmas de diversas entidades bancarias.

Para cometer la estafa, el procedimiento generalmente seguido consiste en anunciar a la víctima potencial que ha sido agraciada con un premio cuantioso (aunque no haya participado en sorteo alguno), si bien no podrá cobrar dicho premio hasta que haya pagado por anticipado una suma destinada a los impuestos, gastos bancarios, gastos de envío o tramitación de seguro, etc. Habitualmente, el estafador advierte a su víctima potencial que el plazo para abonar esas cargas es muy breve y que está a punto de caducar su derecho al cobro del premio.

Los premios de la Lotería española siempre están libres de impuestos y gravámenes, y la Policía española ya ha detenido y puesto a disposición judicial a algunos miembros de bandas que actuaban desde el territorio nacional.

Por consiguiente, cuando le ofrezcan «premios» que guarden relación aparente con la Lotería española, NO PAGUE cantidad alguna. Asimismo, agradeceríamos que estos hechos delictivos se pongan en conocimiento de las autoridades locales.

Adecuación a los requisitos que impone la LOPD

8 respuestas

La Ley Orgánica de Protección de Datos de Carácter Personal está «comenzando» a ser tenida en cuenta.

No quiero decir que todos estos años se haya ignorado. Lo cierto es que algunas de las actuaciones de la Agencia Estatal de Protección de Datos y la magnitud de las sanciones que ha impuesto, han significado importantes titulares y algo de alarma social.

También el extremado rigor que se aprecia en los sucesivos borradores del futuro Reglamento de Protección de Datos, que tiene que sustituir al actualmente vigente, referenciado en el Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, ha hecho saltar algunas alarmas.

Si ya era complicado cumplir las exigencias del actual Reglamento (creado para resolver las dudas planteadas por la derogada LORTAD – LEY ORGANICA 5/1992, de 29 de octubre, de regulación del tratamiento automatizado de los datos de carácter personal), el próximo hará todo más difícil y ampliará las posibilidades que ya tiene la LOPD para ser utilizada como «arma arrojadiza» y fuente de amenazas y coacciones.

Además, en el año 2007 se acaba el plazo de adaptación de los sistemas de gestión en papel de datos personales, algo de lo que mucha gente no es consciente.

Pero a lo que iba, la percepción de que algo está cambiando en la concienciación de las PYMES. Cada vez es mayor el número de PYMES que nos consulta sobre la forma menos dolorosa de Cumplir la LOPD. Hasta hace poco casi todos nuestros clientes de consultoría y auditoría de LOPD eran grandes empresas. En la actualidad el porcentaje de PYMES supera al de grandes empresas.

Para facilitar a las PYMES un resumen básico sobre las implicaciones de la LOPD hemos preparado en Albalia Interactiva un «mini site» que se titula precisamente así: «Cumplir la LOPD» (aviso: contiene información publicitaria de Albalia Interactiva en relación con estos temas)

Seminario sobre Documento Electrónico y Factura Electrónica en Toledo

1 respuesta

Los pasados 18 y 19 de mayo de 2006 participé, junto con Fernando Pino en un evento organizado por Maat en la Caja Rural de Toledo, del que transcribo el resumen.

DÍA 18 DE MAYO
La primera jornada del seminario Documento Electrónico y Factura Electrónica se centró en el Documento Electrónico. Julián Inza, experto en certificación digital, Presidente de Albalia Interactiva y exdirector General de Camerfirma y colaborador habitual de maat Gknowledge, y Fernando Pino, experto en Legislación sobre certificación digital, durante el Seminario expusieron los puntos básicos de los documentos electrónicos y su equiparación con los de papel, haciendo especial hincapié en el DNI electrónico.

Julián Inza, experto en certificación digital, fue el encargado de inaugurar la primera sesión del Seminario, explicando la importancia que supone modificar los soportes ante el ritmo imparable de las nuevas tecnologías. A continuación, Fernando Pino expuso los aspectos prácticos de la Firma Electrónica. En este sentido, incidió en los diferentes tipos de firmas existentes, haciendo un análisis de la criptografía asimétrica, técnica en la que esté basada la Firma Electrónica.

DSC_0005Durante su alocución, Fernando Pino también se refirió a la función que cumplen las Entidades de Certificación y a otras funciones asociadas que también les son asignadas, como reglamento, gestión de certificados revocados, lista de certificados expedidos…

Asimismo, detalló cuáles son las partes que componen un certificado digital. Éste tendría que estar formado por el nombre, una clave pública que viene determinada por la Entidad de Certificación, un periodo de validez del certificado, su número de serie, otros atributos de interés y el nombre de la entidad de certificación y su firma. Fernando Pino resaltó que este sistema está fundamentado en una base matemática, igual que la criptografía que se basa en una serie de operaciones que hace que determinadas claves tengan unas características diferentes de otras.

El experto de Firma Electrónica también hizo hincapié en las funciones de seguridad que desempeña la utilización de la firma electrónica, obtenida mediante algoritmos de HASH. Para concluir, Fernando Pino, tras la explicación conceptual, argumentó con ejemplos concretos la aplicación práctica de los mismos e hizo mención a la normativa vigente relativa a los certificados digitales y a los correspondientes prestadores españoles.

Por su parte, Julián Inza se refirió a la realidad que ya supone el DNI electrónico y la necesidad que conlleva su utilización por los ciudadanos como representación de su personalidad jurídica. Tras hacer un breve repaso a la historia del DNI electrónico, señaló que no se trata de un problema de productividad de este documento, sino de cambiar la infraestructura y la educación en España.

DSC_0009El chip que se incorporará en el DNI electrónico contendrá la siguiente información: datos de filiación del titular, imagen digitalizada de la fotografía, imagen digitalizada de la firma manuscrita, plantilla de la impresión digital del dedo índice de la mano derecha, o en su caso, del que corresponda según lo indicado en el artículo 5.3 del Real Decreto 1553/2005, certificados reconocidos de autentificación y firma, y certificado electrónico de la autoridad emisora, que contendrán sus respectivos periodos de validez y las claves privadas pertinentes. En este mismo Real Decreto se alude a la protección de los datos del titular del documento.

Para este experto, uno de los mayores handicaps es que los ciudadanos no van a saber cuáles son las verdaderas utilidades del DNI electrónico, ya que su acceso a la información de este documento es más sencilla. En este sentido, señaló que está previsto que todos los españoles dispongan del DNI electrónico en 2018, debido al proceso espiral que está siguiendo la Administración Pública a la hora de implantarlo. La primera ciudad en disfrutar de él ha sido Burgos, donde las expediciones de DNI se han duplicado, y el proceso finalizará en Madrid y Barcelona, debido a su complejidad burocrática y logística.

Por otro lado, según Julián Inza, es necesario trasladar algunos aspectos del documento papel al electrónico, de manera que queden garantizados ciertos puntos, como la titularidad, la autenticidad, el conocimiento por parte de los interesados, las atribuciones de quien lo expide, los efectos que produce y un marco temporal que estipule tanto la expedición como la validez. Todo ello es posible gracias a las especiales características de los documentos electrónicos (referencias de URL, criptografía, anotaciones en registro de anotaciones)

El paso del soporte papel a electrónico se realiza como compulsa electrónica, en la que el documento electrónico es una copia auténtica, o como replicación electrónico o digitalización certificada, donde partiendo del documento en papel se trata de hacer uno electrónico que permita eliminar el primero. De esta última forma se podrían eliminar toneladas de papeles y facturas.

DÍA 19 DE MAYO
Esta segunda jornada del Seminario versó sobre la regulación normativa de la facturación electrónica en España y en las oportunidades de esta nueva herramienta para todas las empresas.

La segunda jornada del Seminario Documento Electrónico y Factura Electrónica se inició con una explicación, realizada por Julián Inza, sobre la Facturación, como justificante de las operaciones que se realizan. Durante su exposición, el experto en certificación digital, indicó que aunque su formato habitual es el de papel, cada vez más se está utilizando el formato electrónico. Sin embargo, su aceptación total vendrá determinada por el receptor de la misma.

Julián Inza realizó un breve repaso de la normativa sobre facturación destacando la Directiva 115/2001, por la que a partir del 1 de enero de 2004 todas las facturas electrónicas emitidas debían estar armonizadas con el resto de Europa. Esta Directiva establece unos requisitos mínimos que los países no pueden exceder. En esta misma Directiva, se señala, según expuso Julián Inza, que las facturas electrónicas irán con una firma electrónica avanzada, pudiendo ser exigible la cualificada. Por ello, es aconsejable que se incluya directamente la cualificada, como se exige en España, para evitar posibles devoluciones.

En el ámbito empresarial, todos los empresarios y profesionales están obligados a expedir facturas electrónicas, cuando el destinatario sea otro que así lo solicite y cuando el importe sea superior a 3.000 euros. Sin embargo, están exentas de expedición de factura electrónica las operaciones autorizadas por el Departamento de Gestión AEAT, cuando el destinatario sea un particular o en regímenes especiales.

En el caso de delegación a la hora de expedir una factura electrónica, ésta se realiza de igual manera que una factura en papel. Sin embargo, una que de las condiciones que existen es que haya un acuerdo firmado entre la parte que emite y la que recibe la factura para que esto se realice así.

A lo largo del seminario, se hizo un repaso a todos los requisitos que tiene que cumplir una factura, tanto electrónica como papel. En esencia, se trata de que lleven el número y la serie, -pudiendo darse la situación de que haya series separadas (operaciones de diferente naturaleza)-, fecha de expedición, la denominación social completa aunque algunas aplicaciones informáticas no permiten demasiados caracteres-, el NIF, el domicilio societario -no el del centro de trabajo-, la descripción de las operaciones, el tipo o tipos impositivos aplicables, la cuota tributaria y los pagos anticipados, si los hubiera. Además de todos estos datos, también se hará constar si se trata de una copia, de operaciones triangulares

Durante su alocución, Julián Inza también explicó la existencia de documentos sustitutivos, válidos para operaciones inferiores a 3.000 euros. Estos documentos, al no incluir todos los requisitos de las facturas, no tienen derecho a deducción. En este caso, el emisor sólo podía emitir una factura electrónica, si así lo aceptaba el receptor. Sin embargo, ahora bastará con que el emisor diga que si no está de acuerdo con la recepción de facturas electrónicas, lo diga.

En su intervención, Julián Inza hizo referencia a las facturas recapitulativas y rectificativas. Respecto a las primeras, son aquellas que se expiden a final de mes dando fe de las emitidas electrónicamente. En cuanto a las segundas, es preciso señalar cuál es la rectificación, aunque también puede realizarse en la siguiente factura que se emita. Este tipo de facturas han venido a sustituir a las antiguas notas de abono.

Además señaló cuáles son los requisitos que acreditan la autenticidad e integridad de una factura electrónica: la existencia de una firma electrónica avanzada, el intercambio electrónico de datos (EDI) o cualquiera de los elementos propuestos por interesados y autorizados por la AEAT.

Tras la explicación conceptual de la factura electrónica, Julián Inza mostró un ejemplo práctico de la misma. Posteriormente incidió en las ventajas que supone el empleo de este proyecto para las empresas del municipio. En este sentido señaló: los menores costes derivados del ahorro de papel, gastos de envío y gastos de almacenamiento, la agilidad en la tramitación, el ahorro en espacio, un procedimiento más seguro, el ahorro en la recepción de facturas, y la mejora en el control de los procedimientos de las facturas.

Para evidenciar estas ventajas, Julián Inza, presentó un cálculo orientativo de costes del proyecto de lo que supone el envío por correo ordinario frente al empleo de la factura electrónica. En su opinión, es fundamental analizar todos los pasos que influyen en el proceso para poder extraer una conclusión. Un análisis pormenorizado de distintos conceptos para poder establecer un coste total.

Una vez explicadas estas consideraciones, Julián Inza destacó los objetivos del proyecto de facturación, basados en la búsqueda de reducción de costes directos a través de la eliminación de impresión, gestión manual de la factura y correos, y las fases que lo integran. A continuación expuso los distintos formatos que pueden emplearse: tanto los recomendados como los existentes, así como las ventajas que aportan cada uno de ellos.

La fase final del Seminario se dedicó a la exposición de las obligaciones del Emisor, al proceso de Remisión, a las obligaciones del Receptor, como parte determinante del proceso, y a los pasos a seguir en la Recepción.

El Emisor tiene la responsabilidad de conservar los datos de la factura, la responsabilidad de asegurar la legibilidad en formato original, la garantía de acceso a las facturas y, en caso de la factura electrónica, la firma o la delegación en un tercero de esta acción o en el Receptor. Por su parte, al Receptor le corresponde conservar las facturas recibidas en su formato original, opcionalmente puede conservar la factura impresa con marcas gráficas PDF-417, asegurar la legibilidad en formato original, garantizar el acceso completo a las facturas y la disposición del software, que permita verificar la firma y la identidad el Emisor así como la vigencia del certificado.

Julián Inza concluyó el Seminario con un breve resumen de los conceptos tratados durante esta segunda Jornada del que pueden extraerse las siguientes conclusiones:

  • La normativa de factura electrónica tiene alcance europeo.
  • Cualquier formato de factura es válido, aunque cada uno implica su propio formato de firma.
  • Formatos recomendados: PDF (tagged form), XML (UBL 2.0), EDIFACT, UNeDocs.
  • Otros formatos posibles: PKCS#7 y firma de mensajes de Correo (S/MIME).
  • La firma de Ficheros PDF es fácil de entender y permite conversión a XML.
  • La firma de Ficheros EDIFACT y XML es más adecuada para sistemas automatizados.

    Links de interés:
    www.albalia.com

    • La percepción de seguridad

    2 respuestas

    En el fondo es un problema de confianza, no de seguridad.

    El hecho de que los phishers puedan hacerse su propio certificado de servidor web y simular un entono seguro con SSL ya empieza a preocupar a los usuarios y a desmitificar la supuesta seguridad de este protocolo.

    Entendedme, no estoy en contra del SSL: garantiza el cifrado de las comunicaciones entre el servidor y el navegador, pero poco más.

    No garantiza que la URL a la que accedemos sea la del servidor. De hecho, hay bancos que usan el certificado de seguro.banco.com en http://www.banco.com o viceversa, y el usuario está acostumbrado a decir OK al aviso de alarma del navegador. 

    No garantiza que el certificado que aparece emitido por una autoridad de certificación, esté de verdad emitido por ella. De hecho al certificado autofirmado que nos hacemos cuando creamos la root puede contener los datos que la inspiración nos haya dictado en ese momento, como Verisign, FNMT o Moncloa

    Muchos PSC (Prestadores de Servicios de Certificación) de plena confianza no está incluidos en el repositorio de confianza del navegador, por lo que nos crean malos hábitos como el de dar por buena cualquier instalación de root en nuestro sistema que nos sale al paso.  

    En definitiva: tenemos que hacer algo más para lograr la confianza que la ¿falsa? sensación de seguridad que da el candadito que señala el funcionamiento del SSL. 

    Tecnimap 2006

    1 respuesta

    Desde el 30 de mayo al 2 de junio de 2006 tiene lugar Tecnimap. En cuanto acabe el III Foro de las Evidencias Electrónicas, nos iremos para Sevilla.

    Allí, en el Palacio de Congresos, se delebra Tecnimap, el encuentro de las Administraciones españolas para compartir ideas y experiencias sobre modernización y aplicación de las tecnologías de la información en la función pública. Es un acontecimiento que se celebra cada 2 años desde 1989. 

    En esta nueva edición, que será la novena, se espera que acudan a Sevilla en torno a 10.000 congresistas y que 200 empresas expongan sus productos y soluciones para la Administración pública.

    Sin duda, la Administración Electrónica o eGovernment es es una de las locomotoras de la modernización e innovación en los servicios públicos y base de la nueva relación de los ciudadanos y empresas con las Administraciones.

    Empleados públicos profesionales o usuarios de las TIC y directivos de todas  las Administraciones (General del Estado, Autonómicas y Local) compartirán presentaciones junto a académicos, expertos en Administración pública y empresas del sector de la tecnología para reflexionar conjuntamente sobre los retos y las oportunidades que afloran en la Era del Conocimiento.

    Y definir la hoja de ruta hacia la simplificación e integración de los procesos que facilite la vida a los ciudadanos optimice los servicios públicos.

    IDABC

    Deja un comentario

    IDABC  significa Interoperable Delivery of European eGovernment Services to public Administrations, Businesses and Citizens.

    Todavía es una iniciativa que no ha tenido excesiva difusión, más allá de las referencias al uso de software libre, pero en la que también está participando (aunque sea poco) la Administración Española a través del MAP

    TS 101 903 XAdES

    5 respuestas

    El estándar TS 101 903 de codificación de firmas electrónicas cualificadas en XML (XAdES) va por su versión 1.3.2 y está referenciado en el ETSI. Existe, incluso, un informe en relación con los esfuerzos de interoperabilidad que han llevado a cabo los desarrolladores de soluciones de firma electrónica (ya ha habido tests de interoperabilidad en ETSI en el 2003 y en el 2004).

    Actualización (abril 2009) Albalia ha participado en los test de interoperabilidad de 2008 (2 de XAdES ) y de 2009  (1 de CAdES -TS 101 733- y XAdES)

    Poco a poco se va extendiendo, aunque de forma más lenta de lo esperado. Yo, particularmente, me siento un poco apóstol de su adopción ya que procuro mencionarlo en todas mis conferencias relacionadas con la Firma Electrónica y la Factura Electrónica.

    De hecho, creo que la actual mención del formato recomendado de la firma electrónica en la propuesta de formato de factura electrónica desarrollada por el Comité de Cooperación Interbancaria (CCI) puede tener algo que ver con unas recomendaciones mías en el proceso de comentarios abierto por la Agencia Tributaria.

    Por cierto, se ha creado un grupo de discusión sobre este formato en Yahoo Groups: Discusión-eFactura-AEAT-CCI.

    Estos días estoy viendo con satisfacción que el formato se va adoptando oficialmente en las administraciones públicas españolas. He hecho un pequeño estudio de la normativa española que menciona este estándar, que me gustaría completar con las aportaciones de quienes leen esta bitácora.

    Por el momento, las normas que mencionan la norma TS 101 903 son las siguientes:

    • REAL DECRETO 686/2005, de 10 de junio, por el que se modifica el Real Decreto 2188/1995, de 28 de diciembre, por el que se desarrolla el régimen de control interno ejercido por la Intervención General de la Administración del Estado. (BOE 25.06.2005)
    • Resolución de 28 de noviembre de 2005, de la Intervención General de la Administración del Estado, por la que se regulan los procedimientos para la tramitación de los documentos contables en soporte fichero. (BOE 14.12.2005)
    • Licitación de «BASE – Gestió Integral de Multes» publicado en el BUTLLETÍ OFICIAL DE LA PROVÍNCIA DE TARRAGONA Núm. 158 Divendres, 9 de juliol de 2004

    Es una interesante iniciativa de la Secretaría de Estado de Hacienda y Presupuestos, dependiente del Ministerio de Economía y Hacienda la difusión de una herramienta para facilitar la generación de firmas electrónicas cualificadas en base a este estándar TS 101 903. La herramienta se denomina DOCEL.

    Por último, adjunto el enlace a una página web bastante completa sobre Seguridad XML, lo que incluye firmas electrónicas

    UBL y UN/CEFACT (con UNeDOCS)

    3 respuestas

    Como podía preverse (yo lo vengo anunciando en mis cursos y seminarios sobre eFactura), UBL y UNeDOCS convergerán próximamente.

    Incluyo a continuación una reciente transparencia de Jon Bosak de la presentación que hizo en Vancouver (canadá) el 20 de marzo de 2006, reflejando la situación de UBL como iniciativa ecuménica de todas las variantes de estandarización de la eFactura (y el resto de los mensajes que es necesario normalizar en el mundo de los negocios) y su traducción:

    • UN/CEFACT is the United Nations Centre for Trade Facilitation and Electronic Business
    • UBL has worked closely with UN/CEFACT and is the first standard to use the UN/CEFACT Core Components Technical Specification(international semantic harmonization)
    • The UN/CEFACT Forum Management Group has invited UBL to join UN/CEFACT, and teams have been appointed to negotiate thetransfer of UBL to the UN after the release of UBL 2.0
    • This would put UBL into the UN body responsible for the development of electronic data interchange standards such as UN/EDIFACT, UNeDocs, and the UN Layout Key

    La traducción:

    • UN/CEFACT el Centro de las Naciones Unidas para la Facilitación del Comercio y del Negocio Electrónico.
    • UBL ha trabajado moy próximo al UN/CEFACT y es el primer estándar que utiliza su CCTS (Core Components Technical Specification), Especificación Técnica de Componentes Medulares (necesario desde el punto de vista de la armonización semántica internacional).
    • El Grupo de Gestión del Foro de UN/CEFACT ha invitado a UBL a unirse a UN/CEFACT y se han concertado reuniones de los distintos equipos para negociar la transferencia de la futura evolución de UBL a las Naciones Unidas (desde OASIS, N.del T.) tras la publicación de la segunda versión de UBL.
    • De esta forma, UBL seguirá bajo el auspicio del organismo de las Naciones Unidas responsable del desarrollo de las Normas de Intercambio Electrónico de Datos tales como han sido UN/EDIFACT, UNeDocs y la Plantilla Maestra de las Naciones Unidas (UN Layout Key).

    Según mi interpretación, la dirección de la evolución de UBL se llevará en las Naciones Unidas, aunque creo que se mantendrá la infraestructura de apoyo de OASIS que permite la coordinanción de tantos esfuerzos.

    PerSus (Fichero de DNI perdidos – sustraidos)

    38 respuestas

    El Robo de Identidad es un problema que está afectando a los ciudadanos internautas a través de ciertos métodos (como el phishing), pero que también afecta a ciudadanos de a pie, sin conexión con Internet (a al menos no en lo relativo al hecho del propio robo de identidad).

    Un caso de robo de identidad se recoge en el foro de Firma Electrónica y Certificación dentro de Foros Internet (forosinternet.net) y otro en el foro de Fraude en Internet y medios de pago, en el mismo portal.

    Ambos casos reflejan actos en los que los delincuentes, a partir de un DNI robado o perdido, abren cuentas bancarias y compran coches y otros bienes a crédito, de forma que al producirse el impago, el titular al que se clasifica como moroso es al que tuvo la mala suerte de perder el DNI o que se lo sustrajeran.

    La Asociación Nacional de Establecimientos Financieros de Crédito (Asnef) y Equifax han creado una plataforma tecnológica denominada  ‘Veraz-SPF’, para ayudar a luchar contra este tipo de delitos.

    La plataforma, compuesta por 3 ficheros trata con diferentes tipos de incidencias:

    • El fichero de operaciones formalizadas con documentación incongruente (Fodi), ofrece datos que se repiten en las estafas, -como números de teléfono, códigos postales, o direcciones, entre otros-, que permiten detectar otros fraudes. La entidad indica que este listado «está sometido a un riguroso régimen de protección de datos», y que hace falta el consentimiento del comprador para que se crucen sus datos con el sistema. «Lo habitual es que el ciudadano que no tiene nada que esconder no se oponga a que se haga el cruce, pero quien esté intentando cometer un fraude se marchará del establecimiento».
    • Los ciudadanos que pierden su documentación o sufren un robo pueden dar de alta sus datos de forma voluntaria en el fichero de perdidos-sustraídos (Persus), por un tiempo de 3 meses, 6 meses o un año. El inconveniente de incluir los datos en este formulario es que si se desea solicitar un crédito al consumo, «el establecimiento sacará la operación de los cauces ordinarios y comprobará si el solicitante es realmente esa persona», lo que ralentiza el proceso, según la entidad. La ventaja es que se logra evitar cualquier intento de fraude.
      Si conoces a alguien que ha perdido o al que le han robado el DNI, recomiéndales que, además de denunciarlo inmediatemante en comisaría (esto siempre en primer lugar y urgentemente) rellene este formulario y lo remita a Asnef-Equifax. Este servicio es gratuito.
    • Un tercer fichero es el de sociedades, que se alimenta del Registro Mercantil y permite detectar si una empresa no existe, si está en quiebra, no presenta cuentas, o si se dedica a una actividad totalmente distinta a la que parece en un primer momento.

    Hay más información sobre estos servicios en www.verazspf.es .

    Para las entidades financieras, y las financiadoras de automóviles o electrodomésticos, es importante la consulta del  fichero VERAZ PERSUS ya que contiene datos facilitados por el interesado o su tutor legal, con su previo consentimiento, con la finalidad de proteger de la identidad de las personas incluidas en el fichero para la prevención de actuaciones fraudulentas con sus datos personales, en detrimento de su solvencia y patrimonio económico.

    Es de esperar que las entidades de financiación adopten la costumbre de consultar estos ficheros ya que la suplantación de identidad costó al sector de crédito al consumo 260 millones de euros en 2005.