Participación de Garrigues (g-digital) y EADTrust en el GLTH Day

Deja un comentario

El GLTH Day (o GLTHDAY) es un evento anual organizado por el Global LegalTech Hub (GLTH), que este año está siendo del 22 al 24 de octubre.

Global LegalTech Hub es una asociación sin ánimo de lucro que conecta a profesionales del sector jurídico, innovadores tecnológicos, startups y expertos en legaltech a nivel mundial. Su objetivo principal es promover la innovación en el ámbito legal mediante la transformación digital, el intercambio de conocimiento y el análisis de tendencias globales en tecnología aplicada al derecho.

En la jornada del 23 de octubre de 2025 pudimos escuchar a nuestra compañera Belén Aguayo explicando la conexión entre Garrigues (g-digital) y EADtrust y casos prácticos en los que ya se usan servicios de confianza cualificados, que dejan evidencias digitales de procesos operativos.

Participo en el Foro de Ciberseguridad «Estrategias corporativas frente a las amenazas digitales» 

Deja un comentario

La Cátedra de Ciberseguridad en el ámbito Social, Empresarial y de Defensa de la Universidad San Pablo CEU organiza el 28 de octubre el Foro de Ciberseguridad: “Estrategias corporativas frente a las amenazas digitales”, un encuentro exclusivo que contará con la participación de directivos de compañías del IBEX 35.

En esta jornada se abordarán tres objetivos principales:

  • Compartir entre un grupo selecto de CIOs/CISOs de cinco compañías del IBEX 35, lecciones aprendidas en la gestión de riesgos cibernéticos y en la consolidación del concepto de ciber resiliencia de las organizaciones.
  • Informar sobre el estado actual de la normativa NIS-2 y los retos que plantea.
  • Actualizar la información sobre las soluciones y servicios ofrecidos por el ecosistema Ciber, fabricantes e integradores.

DETALLES DEL EVENTO:

📆 FECHA:  28 de octubre

🕛 HORA: 10:00h

🌐 LUGAR: Aula Magna de la Universidad San Pablo CEU. C/ Julián Romea, 23. 28003 Madrid.  Ver en Google Maps

La inscripción es gratuita

AGENDA:

09:30 Registro y café de bienvenida

10:00 Bienvenida. Dª Anna Sroka, Directora Cátedra CEU de Ciberseguridad

10:05 Intervención. D. Alfonso Martínez-Echevarría y García de Dueñas, Decano de la Facultad de Derecho

10:10 Apertura del evento. Excma. Sra. Dª Rosa Visiedo Claverol, Rectora de la Universidad CEU San Pablo

10:20 Desafíos normativos europeos. NIS2 y DORA. Ponente: D. Julián Inza, Presidente de EADTrust

11:00 Mesa redonda: “Lecciones corporativas aprendidas sobre ciberresiliencia”. Modera: Dª Anna Sroka, Directora Cátedra CEU de Ciberseguridad. Participan:

  • Susana de Pablo, Directora General de Ingeniería, Tecnología y Digitalización de Enagás
  • Antonio Crespo, CIO de Asociación Española Contra el Cáncer (AECC)
  • Enrique Martín, CISO de AXA Partners
  • Ignacio García Egea, CISO de Gigas

12:00  Coffee Break

12:30 Enfoques sobre ciber resiliencia.

Modera: Francisco Torres Brizuela, Director de Desarrollo de Negocio, Ciberevolution. Con representantes de Claroty, Cohesity, Ednon, NetApp y Veeam. 

13:45 Clausura

Únase a nosotros en el Foro de Ciberseguridad «Estrategias corporativas frente a las amenazas digitales» un encuentro de referencia que reunirá a CIOs y CISOs de compañías del IBEX 35, expertos académicos de la Universidad CEU San Pablo y responsables de fabricantes tecnológicos líderes como Cohesity, NetApp, Okta y Veeam.

Durante la jornada se compartirán las lecciones aprendidas en la gestión de riesgos cibernéticos y en la consolidación del concepto de ciber resiliencia, se informará sobre el estado actual de la normativa NIS-2, y se actualizará acerca de las soluciones y servicios del ecosistema Ciber.

EA4GPT: Cuando la inteligencia artificial se pasa a las ondas

Deja un comentario

Una historia de soldadores, Morse y humor en tiempos de algoritmos.

Todo empezó con una coincidencia cósmica digna de una apertura en 10 metros: mi indicativo de radioaficionado es EA4GPT.
Y sí, cada vez que alguien lo escucha, sonríe y pregunta:

“¿GPT? ¿Como ChatGPT, el de Internet?”

A estas alturas ya no lo corrijo. Simplemente asiento, sonrío y contesto:

“Sí, pero yo funciono con 12 voltios… y café.”

Antes del indicativo, el soldador

Mi historia con la radioafición empezó mucho antes de tener licencia. En aquella época —cuando las válvulas todavía no eran vintage— me picó la curiosidad por el código Morse y por los cacharros con más cables que sentido.

Recuerdo perfectamente uno de mis primeros proyectos: un Accu Keyer, un keyer electrónico que monté siguiendo un artículo publicado en una revista de radioaficionados. Años después descubrí que aquel diseño se había ganado su hueco en el mismísimo Radio Amateur’s Handbook.

Era una época gloriosa: sin impresoras 3D, sin IA, sin tutoriales en YouTube… solo un soldador, un esquema en papel y la esperanza de no freír el transistor equivocado.
Aquella cajita metálica, con su clave electrónica, fue mi primer “asistente inteligente”. Solo que, a diferencia de ChatGPT, este olía a estaño caliente y no daba sugerencias de mejora en tiempo real.

Conversaciones de ciencia (y ficción)

Ahora, cuando me presento por radio y digo “EA4GPT”, más de uno me suelta:

“¿Y tú eres la versión en HF o en VHF del modelo?”

Y yo, para seguir el juego:

“La versión analógica con modulación emocional variable. No tengo WiFi, pero hago QSO hasta con tormenta solar.”

La verdad es que si ChatGPT se pasara a las ondas, lo tendría complicado. Le hablarías en fonía y te contestaría:

“Lo siento, no tengo suficiente contexto para tu pregunta. ¿Podrías reformular en CW, por favor?”

Cuando la propagación falla… y el humor no

Una cosa tenemos en común: tanto la IA como los radioaficionados dependemos del entorno.
A ChatGPT se le cae el servidor; a nosotros, la propagación.

Pero al menos, cuando la banda se muere, yo puedo aprovechar para ajustar la antena, calibrar el SWR o tomarme un café.
ChatGPT, en cambio, solo puede hacer reconnecting… please wait.

Y hablando de antenas: si la IA supiera lo que cuesta lograr un buen DX con ruido de fondo S7 y QSB impredecible, entendería de verdad lo que es la inteligencia adaptativa.

Ruido, QRM y humanidad

En un mundo lleno de algoritmos y respuestas instantáneas, me gusta pensar que la radioafición conserva algo esencialmente humano: la paciencia, la curiosidad y el placer de construir, experimentar y equivocarse.

Ni el mejor modelo de lenguaje puede replicar la emoción de escuchar tu propio indicativo rebotando desde el otro lado del planeta, o de montar un equipo casero que funcione a la primera (o a la décima, que también cuenta).

Así que si alguna vez me oyes por ahí, recuerda:
EA4GPT no está en la nube —está en el aire.
Y mis respuestas, aunque no sean automáticas, llevan siempre modulación humana y un toque de humor de 59+.

“CQ CQ CQ… aquí EA4GPT, transmitiendo desde el shack,
con la IA apagada y el corazón encendido.”

73 de EA4GPT

Nausika. Tecnología para el Bien Común

Deja un comentario

El pasado 17 de octubre de 2025 se presentó en Deusto Business School Campus Arrupe (en C/ Mateo Inurria, 39 – 28036 Madrid) la plataforma cívica Nausika.

Es una plataforma (Think Tank) que nace de la sociedad civil, y donde las personas que se incorporan lo hacen libremente, a título personal, y de forma desinteresada. Es independiente, porque se trata de una plataforma cívico-social, que no depende ni ideológicamente, ni económicamente, de ningún partido, institución, empresa, o asociación.

Su objetivo es impulsar la tecnología, la innovación y la industria como elementos esenciales de la prosperidad del conjunto de la sociedad española y europea y, en particular:

  • Impulsar la centralidad y el protagonismo de la inversión en innovación y la industria en el discurso social y en medios de comunicación
  • Defender en las instituciones europeas la necesidad de apostar por la innovación y la industria
  • Impulsar una visión de la importancia de orientar el desarrollo tecnológico y la innovación en las empresas a la creación de valor de forma sostenible en todos los grupos de interés (accionistas, empleados, clientes, proveedores…), y en el conjunto de la sociedad (“Tech for Good”)
  • Promover la colaboración entre las instituciones de la Sociedad Civil y las Administraciones Públicas en este ámbito.

Y ya han publicado varios artículos sobre ello.

En el evento del 17 de octubre, en el que también participaron otros invitados además de los miembros de Nausika, se presentaron algunas ideas claves del Think Tank:

09:00. Recepción y registro. 
09:30. Introducción y saludo. Pedro Mier (Presidente).
           Presentación del ‘Manifiesto por la Tecnología para el Bien Común’. Pedro Mier y Felipe Romera.
10:00. Conversación sobre Tecnología y Buenos Empleos. Antón Costas, María Helena Antolin y Unai Sordo.
10:30. Presentación del «Observatorio de la Tecnología y los Buenos Empleos. Sara de la Rica y Guillermo Dorronsoro.
11:00. Descanso.
11:30. Diálogos sobre Tecnología y Bien Común.

  • Seguridad. Jose María Lassalle y Emma Fernández.
    • Salud. Francisco Marín y Raquel Yotti.
    • Soberanía Estratégica. Xavier Castillo y Jordi García Brustenga.

13:00. Cierre y cóctel.

¿Qué QTSP es más activo en Criptoagilidad preparando el Criptocalipsis?

2 respuestas

La criptoagilidad (o agilidad criptográfica) es la capacidad de un sistema, software o infraestructura tecnológica para adaptarse rápidamente a nuevos algoritmos criptográficos o cambiar los existentes sin requerir modificaciones significativas en su arquitectura. Esto implica poder actualizar, reemplazar o ajustar los métodos de cifrado, firmas digitales o protocolos de seguridad de manera eficiente para responder a amenazas emergentes, como el avance en la computación cuántica, vulnerabilidades descubiertas o cambios en estándares regulatorios.

EADTrust es el Prestador de Servicios de Confianza Cualificados más activo de España en lo relativo a la adecuación frente a los retos de la computación cuántica analizando y adoptando las soluciones emergentes de la criptogrfía postcuántica. A nivel europeo, también Digicert, Entrust y Sectigo han mostrado actividad en estos aspectos

Yo mismo he ido impartiendo conferencias a lo largo de los años sobre la necesaria preparación frente a a computación cuántica y algunas están disponibles en Youtube. Y publiqué un artículo en este blog en 2018: La urgente adopción de la criptografía postcuántica. También otro sobre recientes avances como el chip Majorana.

La criptoagilidad y la disponibilidad de infraestructuras con diferentes algoritmos permiten anticiparse al criptocalipsis. El criptocalipsis (o apocalipsis criptográfico) es un término que describe un escenario hipotético en el que los algoritmos criptográficos actuales, como RSA, ECC (curvas elípticas) o AES, se vuelven obsoletos o vulnerables debido a avances tecnológicos, particularmente la llegada de la computación cuántica

EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación de tamaños de clave mejores que RSA de 2048 bits, y en la actualidad es la única con jerarquías de PKI para certificados cualificados de tamaños de clave RSA de 8196 bits, especialmente orientada a proyectos de alta seguridad, con resistencia a la computación cuántica.

También EADTrust fue la primera entidad de certificación que preparó jerarquías de certificación basadas en criptografía no-RSA. Cuenta con dos jerarquías de certificación basada en Criptografía de Curvas elípticas, ECC-255 y ECC-384.

La disponibilidad de jerarquías ECC por parte de EADTRUST fue esencial para que España pudiera desplegar los pasaportes COVID ágilmente, ya que EADTrust fue el Prestador que pudo emitir en tiempo récord los certificados adecuados basados en ECC-255 para todos los organismos sanitarios españoles con las especificaciones de la OMS y de la Unión Europea.

En estos momentos hemos anunciado un importante curso presencial de 2 dias: Formación sobre Computación Cuántica y Criptografía Postcuántica. Se enmarca entre los Servicios de EADTrust de preparación de infraestructuras para afrontar los retos de la Computación Cuántica en relación con la Criptografía y la Preservación de documentos.

Además estamos haciendo seguimiento de los nuevos estándares de criptografía postcuántica como el FIPS-206 Falcon al que nos hemos referido recientemente en este blog y el prometedor HQC (Hamming Quasi-Cyclic).

El NIST seleccionó HQC (procedente de la ronda 4) como algoritmo adicional para estandarizar como KEM de respaldo a ML-KEM. El NIST anunció que creará un borrador (IPD) para HQC y lo publicará para comentarios — el cronograma indicado apunta a publicar el borrador aproximadamente en 1 año desde su anuncio y una versión final alrededor de 2027.

Ya tenemos servicios disponible para clientes que se desean valorar el impacto de su preparación (criptoagilidad) para los grandes cambios que se avecinan:

  • Adaptación de servidores web (en la conexión segura «https://») para incluir TLS1.3 (RFC 8446) y la configuración necesaria para que la gestión de claves del cifrado de las comunicaciones se realice con el algoritmo ML-KEM/Kyber que ya soportan servidores y navegadores web como primera aproximación de mecanismos híbridos. Ver IETF draft-ietf-tls-kem-tls-13
  • Adaptación de servidores web para soportar el protocolo ACME (Automatic Certificate Management Environment) basado en el RFC 8555, como paso hacia una infraestructura automatizada, segura y criptoágil. Además de poder configurar a EADTrust como Autoridad de Certificación generadora de certificados para TSL con ACME, en el Certbot se pueden configurar otras CAs. Aunque contamos con varios mecanismos de verificación de dominio damos preferencia a las variantes con información actualizada en el DNS. La duración máxima de los certificados TLS públicos se reducirá progresivamente a 47 días, según lo aprobado por el CA/Browser Forum en abril de 2025 mediante el Ballot SC-081v3, propuesto por Apple y respaldado por los principales navegadores (Apple, Google, Mozilla y Microsoft). Esta es otra buena razón para incorporar a automatización a la renovación de certificados de servidor web

¿Qué certificado QSEALC necesito para EPREL?

Deja un comentario

Si tu empresa fabrica o importa productos que consumen energía en la UE, es probable que hayas oído hablar de EPREL y los certificados QSealC. Pero, ¿sabes realmente qué tipo de certificado necesitas y cómo obtenerlo? En este artículo, te explicamos todo lo que debes saber sobre los certificados QSeal para cumplir con los requisitos de la base de datos EPREL de manera sencilla y efectiva.

Un certificado QSealC es como un pasaporte digital para tu empresa. Sirve para demostrar que es quien dice ser cuando registras productos en EPREL, asegurando que los datos se han verificado y cumplen con las normativas de la UE.

Para registrar productos en la base de datos EPREL (European Product Database for Energy Labelling), necesitas un Certificado Cualificado de Sello Electrónico (QSealC) (es decir, de Persona Jurídica) emitido por un Prestador Cualificado de Servicios de Confianza (PCSC), conforme al Reglamento eIDAS (UE 910/2014).

Requisitos clave del certificado QSealC para EPREL:

  1. Debe ser un certificado cualificado: Debe cumplir con los estándares del reglamento eIDAS y la norma ETSI EN 319 412, con identificación NTR (EUID). Se puede consultar en el portal europeo «European e-Justice Portal – Business registers» 
  2. Emitido a nombre de la persona jurídica: El certificado debe identificar a la empresa, no a una persona física. Hay casuística especial para Autónomos.
  3. Emitido en un dispositivo cualificado (QSCD): Suele ser un token físico o una tarjeta chip.
  4. Debe permitir sellar electrónicamente documentos PDF: Como la declaración de proveedor exigida por EPREL. Por ejemplo con Adobe Reader.

¿Dónde obtenerlo?

El Organismo ha publicado una lista de Prestadores de Servicios de Confianza.

De entre ellas destaca EADTrust.

¿Qué precio tiene?

El certificado de persona jurídica de entidades españolas para EPREL de EADTrust por un año tiene un coste de 350 euros.

El certificado QSEAL para EPREL de EADTrust por un año para entidades de fuera de España tiene un coste de 700 euros. No se aplica IVA a las empresas con identificación VIES.

El Token SafeNet eToken 5110 CC (QSCD, Dispositivo Cualificado de Creación de Firma) tiene un coste de 110 euros.

Estos precios son los más competitivos en España y fuera de España

Además los clientes de EADTrust han dejado muy buenas reseñas en Maps

Jornada “Facturación, información tributaria y morosidad: Transformación digital del tejido empresarial“ organizada por AMETIC

Deja un comentario

AMETIC ha organizado hoy la Jornada sobre Facturación electrónica, información tributaria (reporte fiscal) y morosidad.

Teniendo en cuenta tres perspectivas: Administración, proveedores tecnológicos y usuarios profesionales, así como los ajustes identificados en estos primeros meses de aplicación.

EL evento se ha estructurado así:

9:30      Bienvenida y apertura de la Jornada

  • Francisco Hortigüela | Presidente. AMETIC
  • Iker Beraza | Vocal asesor. Dirección General de Política Económica. Ministerio de Economía, Comercio y Empresa

10:00    Panel 1. Verifactu en la práctica: diálogo entre Administración, tecnología y empresa

  • José Miguel Godino | Jefe de Sistemas de Declaraciones Informativas, Facturación y Servicios de Presentación | AEAT
  • Miguel Ángel Calle | Vocal Consejo Directivo. Registro de Economistas Asesores Fiscales (REAF) del Consejo de Economistas
  • Francisco Núñez | Product Manager at a3ERP. WOLTERS KLUWER 
  • Moderador:  César Maurín | Director Departamento Digitalización, Innovación, Comercio e Infraestructuras. CEOE

10:30    Panel 2. Factura electrónica: situación actual y próximos pasos

  • Mercedes Jordán | Subdirección Gral. Técnica Tributaria. Dpto de Gestión Tributaria. AEAT
  • Alberto Redondo | Marketing & Mass Market. Director Iberia & Latam. SERES

 11:00 Panel 3. Gestión financiera y control de la morosidad en la pyme.

  • Daniel Berrio | Business Development Representative. SAGE
  • Francisco Vidal |Director de Economía y Políticas Sectoriales. CEPYME
  • Yolanda Alcalá García | Subdirectora General de Emprendimiento y Pyme. Dirección General de Estrategia Industrial y de la Pequeña y Mediana Empresa. 
  • Moderadora: María Damas | Coordinadora GT PYME. AMETIC

11:30  Clausura de la Jornada

  • Nuria  Aymerich | Comisionada Especial para la Competitividad y la PYME.  Ministerio de Industria y Turismo

Información actualizada sobre elementos de interés para empresas de todos los tamaños.

Lista de actos de ejecución de desarrollo del Reglamento EIDAS2

3 respuestas

Ayer comenté la publicación de 6 nuevos actos de ejecución en el Diario Oficial de la Unión Europea (DOUE) —anteriormente Diario Oficial de las Comunidades Europeas (DOCE)—

Con lo que la lista completa queda con 22 actos de ejecución publicados:

En inglés:

  • CIR 2024/2977 PID (Personal Identification Data) and EAA (Electronic Attestations of Attributes)
  • CIR 2024/2979 Integrity and core functionalities,
  • CIR 2024/2980 Ecosystem notifications,
  • CIR 2024/2981 Certification of Wallet Solutions,
  • CIR 2024/2982 Protocols and interfaces,
  • CIR 2025/846 Cross border identity matching,
  • CIR 2025/847 Security breaches of European Digital Identity Wallets,
  • CIR 2025/848 Registration of Wallet Relying Parties,
  • CIR 2025/849 List of certified European Digital Identity Wallets.
  • CIR 2025/1566 Reference standards for the verification of the identity and attributes of the person
  • CIR 2025/1567 Management of remote qualified electronic signature/seal creation devices
  • CIR 2025/1568 Procedural arrangements for peer reviews of electronic identification schemes
  • CIR 2025/1569 Qualified electronic attestations of attributes
  • CIR 2025/1570 Notification of information on certified qualified electronic signature/seal creation devices
  • CIR 2025/1571 Formats and procedures for annual reports by supervisory bodies
  • CIR 2025/1572 Initiation of qualified trust services
  • CIR 2025/1929 Qualified electronic time stamps
  • CIR 2025/1942 Qualified validation services for qualified electronic signatures and seals
  • CIR 2025/1943 Qualified certificates
  • CIR 2025/1944 Qualified electronic registered delivery services
  • CIR 2025/1945 Validation of qualified electronic signatures and seals
  • CIR 2025/1946 Preservation of qualified electronic signatures and seals

En español:

  • CIR 2024/2977 sobre DIP, datos de identificación de la persona y DEA, declaraciones electrónicas de atributos
  • CIR 2024/2979 Integridad y funcionalidades básicas,
  • CIR 2024/2980 Notificaciones del ecosistema,
  • CIR 2024/2981 Certificación de soluciones de cartera,
  • CIR 2024/2982 Protocolos e interfaces,
  • CIR 2025/846 Correspondencia transfronteriza de identidades,
  • CIR 2025/847 Violaciones de la seguridad de las Carteras de Identidad Digital Europeas,
  • CIR 2025/848 Registro de las Partes usuarias (informadas) de Carteras,
  • CIR 2025/849 Lista de Carteras de Identidad Digital Europeas certificadas.
  • CIR 2025/1566 Normas de referencia para la verificación de la identidad y el cotejo de los atributos
  • CIR 2025/1567 Gestión de dispositivos cualificados de creación de firma electrónica/sello electrónico a distancia
  • CIR 2025/1568 Revisiones inter pares de los sistemas de identificación electrónica
  • CIR 2025/1569 Declaraciones electrónicas cualificadas de atributos
  • CIR 2025/1570 Notificación de información sobre dispositivos cualificados de creación de firma electrónica/sello electrónico certificados
  • CIR 2025/1571 Formatos y procedimientos de los informes anuales de los organismos de supervisión
  • CIR 2025/1572 Inicio de servicios de confianza cualificados
  • CIR 2025/1929 Sellos cualificados de tiempo electrónicos
  • CIR 2025/1942 Validación de firmas y sellos electrónicos cualificados
  • CIR 2025/1943 Certificados cualificados
  • CIR 2025/1944 Entrega electrónica certificada
  • CIR 2025/1945 Validación de firmas y sellos
  • CIR 2025/1946 Preservación de documentos con firmas o sellos

Añado la URL del texto consolidado del Reglamento EIDAS con los cambios introducidos por el Reglamento EIDAS2.

Recordemos que quedan borradores de actos de ejecución cuyos plazos para enviar comentarios acabaron el 2 de octubre, salvo el de archivo con orden cronológico que acaba el 3 de octubre.

Se acaban de publicar varios reglamentos de ejecución adicionales de #EIDAS2

1 respuesta

En el DOCE del 30 de septiembre se han publicado 6 reglamentos de ejecución que conocíamos en estado de borrador. Son los siguientes:

Español

CIR-2025-1929-ES Reglamento de Ejecución (UE) 2025/1929 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la vinculación de la fecha y la hora con los datos y al establecimiento de la exactitud de las fuentes de información temporal para el suministro de sellos cualificados de tiempo electrónicos

CIR-2025-1942-ES Reglamento de Ejecución (UE) 2025/1942 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de validación de firmas electrónicas cualificadas y los servicios cualificados de validación de sellos electrónicos cualificados

CIR-2025-1943-ES Reglamento de Ejecución (UE) 2025/1943 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia para los certificados cualificados de firma electrónica y los certificados cualificados de sello electrónico

CIR-2025-1944-ES Reglamento de Ejecución (UE) 2025/1944 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a las normas de referencia de los procesos de envío y recepción de datos en los servicios cualificados de entrega electrónica certificada y en lo que respecta a la interoperabilidad de tales servicios

CIR-2025-1945-ES Reglamento de Ejecución (UE) 2025/1945 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a la validación de las firmas electrónicas cualificadas y de los sellos electrónicos cualificados y a la validación de las firmas electrónicas avanzadas basadas en certificados cualificados y de los sellos electrónicos avanzados basados en certificados cualificados

CIR-2025-1946-ES Reglamento de Ejecución (UE) 2025/1946 de la Comisión, de 29 de septiembre de 2025, por el que se establecen disposiciones de aplicación del Reglamento (UE) n.o 910/2014 del Parlamento Europeo y del Consejo en lo que respecta a los servicios cualificados de conservación de firmas electrónicas cualificadas y de sellos electrónicos cualificados

English

CIR-2025-1929-EN Commission Implementing Regulation (EU) 2025/1929 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the binding of date and time to data and establishing the accuracy of the time sources for the provision of qualified electronic time stamps

CIR-2025-1942-EN Commission Implementing Regulation (EU) 2025/1942 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified validation services for qualified electronic signatures and qualified validation services for qualified electronic seals

CIR-2025-1943-EN Commission Implementing Regulation (EU) 2025/1943 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for qualified certificates for electronic signatures and qualified certificates for electronic seals

CIR-2025-1944-EN Commission Implementing Regulation (EU) 2025/1944 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards reference standards for processes for sending and receiving data in qualified electronic registered delivery services and as regards interoperability of those services

CIR-2025-1945-EN Commission Implementing Regulation (EU) 2025/1945 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards the validation of qualified electronic signatures and of qualified electronic seals and the validation of advanced electronic signatures based on qualified certificates and of advanced electronic seals based on qualified certificates

CIR-2025-1946-EN Commission Implementing Regulation (EU) 2025/1946 of 29 September 2025 laying down rules for the application of Regulation (EU) No 910/2014 of the European Parliament and of the Council as regards qualified preservation services for qualified electronic signatures and for qualified electronic seals

Los nuevos certificados cualificados de sitio web 1-QWAC y 2-QWAC

1 respuesta

Continúa la publicación de estándares de ETSI para apoyar el desarrollo de EIDAS y EIDAS2. Algunos de ellos forman parte de los actos de ejecución de EIDAS2.

Uno de los aspectos desarrollados es el que tiene que ver con los certificados cualificados de autenticación de sitios web (en inglés QWAC Qualified Website Authentication Certificates), con dos enfoque técnicos diferentes (1-QWAC y 2-QWAC).

Con la publicación del Reglamento 2024/1183 la redacción de los artículos 45 y 45 bis quedó así:

Artículo 45 – Requisitos aplicables a los certificados cualificados de autenticación de sitios web

  1. Los certificados cualificados de autenticación de sitios web cumplirán los requisitos establecidos en el anexo IV. La evaluación del cumplimiento de dichos requisitos se llevará a cabo de conformidad con las normas, especificaciones y procedimientos a que se refiere el apartado 2 del presente artículo.

1 bis. Los proveedores de navegadores web reconocerán los certificados cualificados de autenticación de sitios web expedidos de conformidad con el apartado 1 del presente artículo. Los proveedores de navegadores web garantizarán que los datos de identificación de la persona declarados en el certificado y los atributos declarados adicionales se muestren al usuario de un modo fácil de consultar. Los proveedores de navegadores web garantizarán la compatibilidad e interoperabilidad con los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo, con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE durante sus primeros cinco años de actividad como prestadores de servicios de navegación web.

1 ter. Los certificados cualificados de autenticación de sitios web no estarán sometidos a ningún requisito obligatorio que no sean los requisitos establecidos en el apartado 1.

  1. A más tardar el 21 de mayo de 2025, la Comisión establecerá, mediante actos de ejecución, una lista de normas de referencia y, en su caso, las especificaciones y los procedimientos aplicables a los certificados cualificados de autenticación de sitios web a que se refiere el apartado 1 del presente artículo. Dichos actos de ejecución se adoptarán con arreglo al procedimiento de examen contemplado en el artículo 48, apartado 2.».

Artículo 45 bis – Medidas cautelares en materia de ciberseguridad

  1. Los proveedores de navegadores web no adoptarán ninguna medida contraria a sus obligaciones establecidas en el artículo 45, en particular los requisitos de reconocer los certificados cualificados de autenticación de sitios web y de mostrar los datos de identificación de la persona proporcionados de un modo que sea fácil de consultar.
  2. No obstante lo dispuesto en el apartado 1 y solo en caso de preocupaciones justificadas relacionadas con violaciones de la seguridad o la pérdida de integridad de un certificado o conjunto de certificados identificados, los proveedores de navegadores web podrán adoptar medidas cautelares en relación con dicho certificado o conjunto de certificados.
  3. Cuando se adopten medidas, los proveedores de navegadores web notificarán, en virtud del apartado 2, sus preocupaciones por escrito, sin demora indebida, junto con una descripción de las medidas adoptadas para mitigarlas, a la Comisión, al organismo de supervisión competente, a la entidad a la que se haya expedido el certificado y al prestador cualificado de servicios de confianza que haya expedido dicho certificado o conjunto de certificados. Tras la recepción de dicha notificación, el organismo de supervisión competente expedirá un acuse de recibo al proveedor del navegador web en cuestión.
  4. El organismo de supervisión competente investigará las cuestiones planteadas en la notificación, de conformidad con el artículo 46 ter, apartado 4, letra k). Cuando el resultado de la investigación no implique la retirada de la cualificación del certificado, el organismo de supervisión informará de ello al proveedor del navegador web y solicitará que ese proveedor ponga fin a las medidas cautelares a que se refiere el apartado 2 del presente artículo.».

Para aterrizar este articulado, se ha publicado recientemente la norma técnica de ETSI ETSI TS 119 411-5 V2.1.1 que orienta a los navegadores en la implementación de los certificados QWAC.

Y hace pocos días el acto de ejecución correspondiente, que todavía está en forma de borrador con plazo de comentarios hasta el 2 de octubre de 2025.

En resumen, existen dos opciones para la integración de certificados web cualificados en los servidores, denominadas «one quack and two quacks» (haciendo broma con la onomatopeya de un graznido y dos graznidos).

Corresponden a las etiquetas 1-QWAC y 2-QWAC.

1-QWAC consiste en añadir información a los certificados TLS existentes. Con este enfoque, los QWAC son certificados TLS (Publicly Trusted Certificates) que cumplen las normas actuales, como los Requisitos básicos  (Baseline Requirements) de CA/Browser Forum. También tendrían que cumplir cualquier requisito adicional impuesto por los programas de aceptación de certificados raíz de los navegadores web.

2-QWAC es una solución más alambicada. Equivale a mantener separados los ecosistemas TLS de CABForum y los QWAC del Reglamento EIDAS. Para ello se expiden dos certificados simultáneamente: uno TLS (PTC) estándar (que puede ser emitido por una CA diferente, incluida en los programas de Root-CA de los navegadores) y otro QWAC (derivado de la norma TS 119 411-2) con un enlace para conectarlos protegido criptográficamente. La información sobre el enlace debe enviarse a través de una cabecera HTTP Link, pero el enlace en sí es un archivo JSON firmado con la clave privada para la que se emite el certificado QWAC. Un enlace puede respaldar varios certificados TLS, lo que es una ventaja para quienes deseen admitir varios certificados al mismo tiempo.

El enfoque 2-QWAC supone poner deberes a los navegadores, ya que tienen que gestionar una nueva cabecera HTTP, añadir código para obtener el enlace e implementar una nueva firma (utilizando JSON Advanced Electronic Signatures – JAdES) y verificación del enlace. Y supondría también más trabajo para los administradores de sitios Web, si no fuera porque ya va a ser imprescindible adoptar herramientas de automatización como «ACME». ACME (Automated Certificate Management Environment) es un protocolo estandarizado que permite la automatización de la emisión, renovación y revocación de certificados TLS/SSL.

El enfoque 2-QWAC es el que se adoptaría por los Prestadores Cualificados de Servicios de Confianza europeos que no quisieran pasar por el procedimiento de aprobación de Bugzilla, CCADB, Baseline Requirements y Extended Validation Guidelines.

De esta manera, no se cambian los procedimientos de CAB Forum y de los programas de CA-Raíz convencionales de los navegadores, pero se establece un marco técnico para que se puedan aceptar certificados cualificados de web «puros» en la Unión Europea (apoyados, no obstante, en certificados emitidos por jerarquías PKI incluidas en dichos programas de Root-CA de los navegadores).

El acto de ejecución mencionado (en estado «borrador» incorpora el siguiente anexo:

Draft-Imp-Act-Annex-QWACDescarga

Llama a EADTrust al 902 365 612 o al +34917160555 para saber más.