Artículos de Julián Inza

Del 7 al 10 de septiembre de 2010, tendrá lugar en el Palacio Firal y de Congresos de Tarragona, la XI Reunión Española sobre Criptología y Seguridad de la Información organizada en esta ocasión por la Universitat Rovira i Virgili.

Este encuentro es el congreso científico español de referencia en el ámbito de la Criptografía y la Seguridad en las Tecnologías de la Información.

El Congreso se centrará en los siguientes aspectos:

• Criptología y criptoanálisis
• Autenticación y firma digital
• Seguridad en redes y sistemas
• Aplicaciones de la criptografía
• Privacidad y anonimato
• Control de acceso y detección de intrusos
• Marcas de agua y esteganografía
• Informática forense

Filed under: Criptografía, Eventos

Aunque muchos usuarios de firma electrónica ya saben que la solicitud y obtención de certificados de CERES es algo más sencilla con el navegador Mozilla Firefox que con Internet Explorer 8 (especialmente en sistemas operativos Windows Vista y Windows 7),  teniendo en cuenta unas sencillas indicaciones (que el propio servicio CERES de la FNMT remite a los usuarios que experimentan algún problema y solicitan ayuda a través de los números 902181696 / 913463892 / 917040191) es posible gestionarlos adecuadamente en estos entornos.

Las indicaciones se recogen seguidamente y hay que seguirlas antes de solicitar el certificado.

El problema, que no es específico de la FNMT, sino que afecta a todos los PSC que incluyan un mecanismo parecido de “enrollment”,  aparece como consecuencia de que el  control de solicitud de certificados (CertEnroll) no funciona con Internet Explorer 8 en equipos que ejecutan Windows 7 cuando se incluye en un elemento FRAME o IFRAME en la página web, que es el caso de la página de la FNMT. Se explica en el blog de desarrolladores MSDN de Microsoft:  CertEnroll control won’t work when hosted inside a frame/iframe in IE8

La forma de resolverlo para los usuarios es descargar e instalar el hotfix 322891 relacionado con el artículo KB 2078942 de la Microsoft Knowledge Base o que la entidad de certificación prepare las páginas teniendo en cuenta ciertas recomendaciones (como se indica en el citado blog).

Al descargarse el parche, es preciso elegir el paquete adecuado para instalar. Las opciones son:

• Windows 7/WindowsServer 2008 R2 (x86) – Para Windows 7 de 32 bits
• Windows 7/WindowsServer 2008 R2 (x64) – Para Windows 7 de 64 bits
• Windows 7/WindowsServer 2008 R2 (ia64) – Para Arquitectura Intel (Intel Itanium) de 64 bits

En el proceso hay que introducir una dirección de correo electrónico a la que se enviará un email con el enlace para descargar el paquete. En dicho correo también se le enviará la contraseña para poder instalar el paquete.

Después de instalar el hotfix hay que configurar el navegador (Internet Explorer) accediendo a la sección de opciones de menú siguientes: Herramientas/Opciones de Internet/Seguridad.

• Pulsar en “Sitios de Confianza”.
• En el control de nivel de la izquierda, desplazar hacia abajo hasta seleccionar nivel “bajo”. Si no aparece control de nivel hay que pulsar el botón “nivel predeterminado“
• Pulsar en el botón “Sitios“.
• Abajo, desmarcar la opción de “Requerir comprobación del servidor (https://) para todos los sitios de la zona”
• En el cuadro de texto “Agregar este sitio Web a la zona”: hay que agregar las siguientes URLs http://*.fnmt.es y https://*.fnmt.es
• Cerrar la ventana.
• En el icono “Sitios de Confianza” pulsar botón Nivel personalizado y reducir los niveles de seguridad habilitando las siguientes opciones de configuración:

1. Comportamiento de binarios y scripts
2. Descargar los controles ActiveX firmados.
3. Descargar los controles ActiveX sin firmar.
4. Ejecutar controles y complementos de ActiveX.
5. Generar scripts de los controles ActiveX marcados como seguros para scripting.
6. Inicializar y generar scripts de los controles ActiveX no marcados como seguros para scripts.
7. Permitir que todos los controles activeX no usados anteriormente se ejecuten sin preguntar.
8. Permitir scriptlets.
9. Preguntar automáticamente si se debe usar un control activeX

• Pulsar en Aceptar, tras el que aparecerá un mensaje para confirmar que se deberá aceptar.
• Aplicar y aceptar la última ventana.
• Cerrar el navegador para que se apliquen los cambios.

Una vez instalado el parche y ajustados los parámetros es posible solicitar el certificado. Después de realizar la solicitud (y la instalación del certificado tras acudir a una de las entidades de registro), se puede volver a reestablecer las opciones de seguridad a un nivel más alto.

Hay más información en el sitio web de Microsoft.

Una alternativa para no usar la extensión de “Certificate enrollment” que suele ser fuente de problemas desde hace muchos años, en Albalia recomendamos a los PSC que generen directamente el fichero PKCS#12 con las claves y los certificados, de modo que el propio fichero ya es un respaldo (backup) para que los usuarios lo puedan guardar en un lugar seguro y además para que lo puedan importar con facilidad en diferentes navegadores.

Un ejemplo es la propia CA de pruebas que Albalia ha desarrollado y a la que ya he hecho mención en alguna ocasión. Los certificados de prueba generados por esta CA no tienen valor legal pero son muy útiles para experimentar.

Filed under: Firma digital, Firma Electrónica, Prestadores de Servicios de Certificación, Windows

Como ya he mencionado en otros artículos una de las empresas en las que colaboro es EADTrust, European Agency of Digital Trust, un Prestador de Servicios de Certificación que presta servicios relacionados con la firma electrónica en el marco de la Ly 59/2003 con una filosofía que intentamos que sea novedosa:

• No está prevista la emisión de certificados individuales a personas físicas (podría considerarse la emisión de certificados a personas vinculadas a colectivos, en el marco de un proyecto).
• Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
• Proporciona servicios avanzados, algunos especialmente diseñados para administraciones públicas en el marco de la Ley 11/2007: publicación fehaciente en el perfil del contratante, notificación fehaciente, facturación electrónica o generación y verificación de firmas electrónicas mediante protocolo DSS de OASIS (el Ministerio de Presidenca ha anunciado que la evolución de la plataforma @firma se orientará a la implementación de este protocolo).
• Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, la primera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

Los certitifcados raiz de la jerarquía dual son estos:

• RSA (sha1RSA). Tamaño clave RSA 2048 bits
• ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

Ambas root se generaron en presencia notarial, siguiendo un procedimiento que hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en otros prestadores con los que hemos colaborado: FESTE, Camerfirma, Banesto y ANCERT.

La autoridad de certificación basada en algoritmo de Curva Elíptica utiliza, en particular,  ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para uso del Gobierno Federal (Estados Unidos).

Filed under: Criptografía, Firma digital, Firma Electrónica, Prestadores de Servicios de Certificación

Florian Zumbiehl reporta un problema en las firmas PDF que permitiría forzar colisiones de funciones resumen (hash) de documentos de forma que la firma electrónica de uno de ellos podria ser utilizada para aparentar que el firmado es el otro.

Según su descripción es una vulnerabilidad que radica en la propia especificación del formato PDF por lo que no depende de la implementación, y por tanto no cabe atribuirlo a un producto en particular.

En mi opinión, el tipo de ataque documentado no supone un problema real para los documentos PDF ya firmados, más allá de los aspectos probabilísticos  de las colisiones, consustanciales a las funciones resumen.

Es decir, siempre que obtengamos colisiones de documentos “a priori” estas colisiones podrán ser utilizadas para “suplantar” los documentos que colisionan, utilizando la firma de uno para dar la apariencia de firma al otro.

En este caso particular la concatenación de documentos, siendo uno de ellos firmado, podría dar lugar a que se considerara válida una firma sin serlo, ya que solo aplicaría a uno de los documentos y no al otro.

La solución general es utilizar funciones resumen diferentes en sistemas de firma dual o múltiple, tal y como hacemos en el proyecto Binum, que ya mencioné en este blog o tal como es posible llevar a cabo con certificados emitidos en la jerarquía de certificación dual de EADTrust.

Y, por supuesto, también merece la pena adoptar la solución propuesta por Florian, que consiste en afinar un poco más la especificación de la firma en PDF para que se reforzaran los controles que identifican lo que va firmado dentro del PDF.

Filed under: Firma digital, Firma Electrónica, Formato PDF, TS 102 778

Oekom, una de las empresas de análisis de rating sostenible más reputadas del mundo, otorga a la CAN (Caja de Ahorros de Navarra) la calificación de ‘prime’  como entidad recomendada para inversiones socialmente responsables

Visto en Diario de Navarra

Caja Navarra ha sido considerada ‘prime’ por la agencia de rating Oekom, una distinción que coloca a esta entidad como objeto de inversión socialmente responsable.

El pasado 18 de agosto de 2010 se publicaba la noticia del reconocimiento de la CAN en el ámbito de las inversiones socialmente responsables.

Oekom es una de las empresas de análisis de rating sostenible “más reputadas del mundo”, y ha otorgado a Caja Navarra la máxima consideración tras someterla a un análisis “muy exigente” de su conducta social, ambiental y económica.

Con esta calificación, Oekom ha situado a la CAN “del lado de las compañías y productos de inversión sostenible”, de modo que las emisiones de Caja Navarra van a ser consideradas a partir de ahora “por los bancos, gestores e inversores más comprometidos, con criterios de rentabilidad y sostenibilidad”.

Para otorgar a la CAN la calificación de ‘prime’, Oekom analizó aspectos como las políticas de participación y gestión de la comunidad, la transparencia, las políticas ambientales y sociales, tanto hacia su plantilla como hacia la sociedad en general.

Por ejemplo,  Oekom tuvo en cuenta “la igualdad de oportunidades, formación de los empleados y la seguridad y estabilidad de sus puestos de trabajo” para que la CAN lograr la calificación de ‘prime’.

Oekom también estudió el comportamiento de Caja Navarra con los clientes con problemas para devolver sus deudas o quienes viven situaciones de exclusión y dificultad de acceso a servicios financieros, entre otros muchos aspectos. Oekom evaluó a la CAN el pasado mes de junio junto a otras 28 entidades financieras europeas.

Más información en CAN.

Filed under: Banca, Responsabilidad Social

Ya se conoce la agenda programada para la II Jornada de Cátedras Telefónica que tendrá lugar el próximo 3 de noviembre de 2010 en el Salón de Actos del Edificio López Araujo de la Escuela Técnica Superior de Ingenieros de Telecomunicaciones de la Universidad Politécnica de Madrid (ETSIT-UPM).

La Jornada girará en torno a la seguridad en el acceso a la nube desde tecnología móvil y abrirá un foro de discusión entre el ámbito universitario y el empresarial en el que participarán ponentes de la ETSIT-UPM.

El horario previsto para la II Jornada de Cátedras Telefónica es el siguiente:

10 h. Inauguración de las Jornadas:

Rector Magfco. Sr. D. Javier Uceda. Rector de la UPM.

Sr. D. Guillermo Cisneros. Director de la ETSIT-UPM

Sr. D. Alberto Andreu, Director Reputación Corporativa, Identidad y Medio Ambiente.Telefónica

Sr. D. Juan Quemada, Director de la Cátedra Telefónica “Internet de Nueva Generación”

Ronda teleconferencia con la Red de Cátedras de Telefónica.

10:20 Ronda de Bienvenida Red de Cátedras Telefónica

Sr. D. Fabián García Pastor. Gerente de Reputación Corporativa, Identidad y Medio Ambiente. Telefónica

Ronda de bienvenida desde las Sedes Remotas

10:30h. Conferencia “Hacía el nuevo ecosistema digital”

Sr. D. Julio Linares, Consejero Delegado de Telefónica

11:15 Café

11:45h. Conferencia “La gestión de los recursos radio en las nuevas comunicaciones móviles.”

Sr. D. Ramón Agusti. Catedrático ETSIT. Universidad Politécnica de Cataluña.

12:30. 1ª Sesión: Mesa Redonda “Acceso móvil en banda ancha a la nube.”

Moderador:

Sr. D. Jorge Pérez Martínez, Catedrático ETSIT-UPM.

Ponentes:

Sr. D. Luis Ezcurra, director de Terminales y Multimedia, Telefónica

Sr. D. Cayetano Carbajo, Director Planificación y Tecnología, Telefónica.

Sr. Manuel Lorenzo, Head of Technology&Innovation at Ericsson Spain

Sr. D. Jesús Rivero, Fundador y Presidente Ejecutivo de DINTEL .

Sr. D. Julio Navío, Director de Tecnología Nokia Siemens

Sr. D. Eloy Fustero, Director de Desarrollo de Negocio de QUALCOMM

13:30. Comida

15:30. 2ª Sesión. Mesa Redonda: “Seguridad en la nube.” (Security in the cloud)

Moderador:

Sr. D. José A. Mañas, Catedrático ETSIT-UPM

Ponentes:

Sr. D. Luís Buezo. Cloud Computer Alliance.

Sr. D. Luis Fernando Alvarez-Gascon. Director General de SGI. Grupo GMV.

Sr. D. Juan Miguel Velasco. Associated Director Security Services and Solutions at Telefónica Soluciones.

Sr. D. Jorge Dávila. Prof. Titular Facultad de Informática. UPM.

Sr. D. Javier Candau. Jefe del Área de Políticas y Servicios del Centro Criptológico Nacional.

Sr. D. Victor Izquierdo. Director General de INTECO.

16h 45

Descanso

17h. 3ª Sesión. Mesa Redonda: “e-trust: confianza en la red”

Moderadores:

Sr. D. Luis Fernández. Sr. D. José de la Peña. SIC, Seguridad en Información y Comunicaciones.

Sr. D. José A. Mañas, Catedrático ETSIT-UPM.

Ponentes:

Sr. D. Manuel Carpio, Dtor. Seguridad de la Información y Prevención del Fraude de Telefónica

Sr. D.Julian Inza, President at EAD TRUST European Agency of Digital Trust.

Sr. D. Ignacio Alamillo, General Manager at Astrea La Infopista Jurídica SL Innovation Manager at Logalty.

Sr. D. Javier Rodrígez Zapatero, Director Google España. (sin confirmar)

Sr. D. Héctor Sánchez, National Technology Officer at Microsoft Spain Information Technology and Services.

Sr. D. Miguel Álvarez Rodríguez, Ministerio de la Presidencia. STORK

18:30h Clausura

Sr. D. Gonzalo León, Vicerrector de la UPM.

Sr. D. Javier Portillo, Adjunto al Director ETSIT para Investigación y relación con Empresas.

Sr. D. José Mª Hernando Rábanos, Director Cátedra Telefónica “Sostenibilidad en Comunicaciones Móviles“.

19h Copa de vino español

Visto en “Internet de nueva generación”

Filed under: Eventos, Seguridad

La Documentoscopia es un área de conocimiento de la Criminalística que tiene por objeto la investigación tendente a la determinación de la autenticidad o falsedad de un “documento” o de su contenido, ya sea  impreso o manuscrito, de los medios utilizados para la falsificación, en su caso, y a la identificación, cuando sea posible, de su autor.  

Documento, desde este punto de vista es “todo soporte capaz de albergar un contenido gráfico, sea impreso o manuscrito”. Con este punto de vista en ocasiones se trata utiliza el término “documentología” como sinónimo de “documentoscopia”, si bien en sentido estricto el primero engloba al segundo (por sus indicaciones etimológicas del griego skopein = observar, examinar y logos = ciencia, tratado).

De todo estudio, con su demostración técnica y conclusiones se elabora el correspondiente INFORME PERICIAL por peritos independientes, o pertenecientes a la Policía Científica.

Los tipos delictivos correspoden a la “falsedad documental”. Cuando los documentos se basan en papel, se trabaja especialmente sobre los siguientes tipos de documentos:

• Documentos acreditativos de identidad. 
• Pasaportes y títulos de viaje.
• Tarjetas de crédito, o de fidelización.
• Billetes de banco y cheques de viaje.
• Billetes de lotería y juegos de azar.
• Documentos oficiales.
• Sellos (húmedos, en seco, etc.).
• Cheques y talones de entidades financieras. 
• Escritos mecanográficos.
• Escritos de impresora.
• Fotocopias.
• Falsificaciones de marcas registradas (signos distintivos) y etiquetados.
• Documentos relativos a vehículos y transporte.
• Material de impresión
• Soportes no convencionales (tatuajes, marcajes de ganado, graffittis)

Existen especialidades como la grafoscopia (pericial caligráfica) que permite detrminar si el autor de un documento manuscrito o de una firma es o no una determinada persona.

Otra especialidad, relativa a las obras de arte, se centra en la datación, y caracterización de obras de arte para determinar su autenticidad. En este sentido se trabaja también sobre las firmas de obras de arte para determinar si se trata de falsificaciones.

Cuando los documentos son electrónicos, la disciplina se emparenta con la informática forense, en la que cabe distinguir el diferente tratamiento que merecen los documentos estructurados y los no estructurados.

Cuando la información obtenida se extrae de los vestigios remanentes en los sistemas de almacenamiento, es esencial un conocimiento profundo de los sistemas operativos, de las aplicaciones y de los formatos de los ficheros. De esta forma es posible acceder, por ejemplo, a documentos borrados, a rastros grabados en logs a información de metadatos de documentos, a diferentes versiones de documentos, a información de sistema y a históricos de comandos. Con la información obtenida es posible recomponer el relato fáctico y asociarlo a otras fuentes de investigación, como los seguimientos, los interrogatorios, los registros o las confidencias. Este contexto da lugar a la prueba pericial informática. 

Por el lado de los documentos estructurados, es preciso profundizar en las peculiaridades del entorno de uso (frecuentemente administraciones públicas), en los formatos normalizados y en los formatos de las firma electrónicas. Este contexto da lugar a la prueba pericial documentoscópica digital.

Filed under: Administración Electrónica, Criminalística, Derecho Nuevas tecnologías, Documentos electrónicos, Documentoscopia digital, Evidencias electrónicas, Informática Forense, Valor probatorio

Hace unos días, Alfonso Arbaiza. Director General de Fundetec escribió un artículo en Cinco Días que merece la pena reproducir: Llamamiento al legislador

En un momento como el actual, en el que el Gobierno trata de alejarse del déficit con medidas para reducir el gasto e incrementar los ingresos del Estado, toda aportación en este sentido resulta positiva y merece la pena ser tenida en cuenta.

Desde Fundetec (Fundación para el Desarrollo Infotecnológico de Empresas y Sociedad), queremos llamar la atención del legislador sobre la iniciativa Hogar Conectado a Internet (HCI), regulada por la disposición adicional vigésima quinta de la Ley 35/2006 del IRPF, que considera gastos de formación profesional, y no renta en especie para el empleado a efectos de IRPF, las cantidades destinadas por su empresa a facilitarle la conexión a internet y adquisición de equipos informáticos para uso desde el hogar, al tiempo que la empresa obtiene una deducción en el Impuesto sobre Sociedades.

Los programas HCI son una herramienta eficaz para contribuir a la reducción de la brecha digital en España: 332.000 familias españolas se conectaron a internet entre 2006 y 2008 gracias a esta iniciativa.

Pero además de esta aportación al avance de la Sociedad de la Información, HCI dinamiza el comercio, repercute en las ventas del sector tecnológico y se traduce, por tanto, en más ingresos para el Estado en concepto de IVA. Un dato: durante 2009, los fabricantes de ordenadores vendieron en España 5,28 millones de equipos, según Gartner. El 4,4% de ellos se comercializaron a través de programas HCI.

Y ahora, una estimación a futuro: el Estado español obtendría unos ingresos de 38,3 millones de euros en cuatro años si se decide ampliar la vigencia de la citada disposición que regula esta iniciativa, cuyo plazo expira el 31 de diciembre de 2010.

Esta proyección ha sido calculada a partir del coste medio de un ordenador y de una línea ADSL, el número de equipos vendidos y un IRPF medio del 18% aplicado en España durante el año 2009, calculando después la diferencia entre la desgravación por IRPF que dejaría de ingresar el Estado a través de los programas HCI y los ingresos por IVA, resultantes de la venta de equipos y conexiones a internet.

Si bien es cierto que durante el primer año el Estado obtendría un saldo negativo de casi 8,9 millones de euros (motivado por las desgravaciones en el IRPF), durante los tres años posteriores los ingresos serían de 15,7 millones de euros anuales, lo que arroja un saldo positivo al finalizar el cuarto año de 38,3 millones de euros. A ello habría que añadir el incremento de la productividad laboral y de la capacitación tecnológica de todos los miembros de la unidad familiar española.

Fundetec, asesorada por el despacho de Garrigues, ha presentado una enmienda ante diputados populares y socialistas de la Comisión de Industria, Turismo y Comercio del Congreso, que plantea la ampliación de la vigencia de la disposición adicional vigésima quinta de la Ley 35/2006 a través de su incorporación al Proyecto de Ley de Economía Sostenible.

Evidentemente, 38 millones de euros no es mucho al lado de las estadísticas que maneja el decretazo. Pero todo suma y no debería pasarse por alto una disposición que beneficia a la sociedad española en su conjunto y que, al mismo tiempo, genera ingresos tan necesarios en la actual coyuntura económica.

Filed under: Buenas Prácticas, Comercio electrónico, Consumidores, Contenidos digitales, Fundetec, Redes Sociales, Salir de la crisis, Sociedad de la Información

We at Albalia are working in electronic signature environments since the creation of the company. Most of our staff has been working for several Certification Authorities since 1995 (and in the subjet of public key cryptography sinde 1992).

Now we are better known by our BackTrust electronic signature suite of solutions, (specially zBackTrust, the only IBM certified solution for electronic signature under OASIS DSS and ETSI XAdES/PAdES standards in  zSeries Mainframe computers, and featured in the recent announcement of IBM zEnterprise System).

This has led us to be also well known in electronic invoice markets and in eGovernment environments.

Since 2005 we offered a free electronic certificate service (that was even linked from spanish version of Wikipedia for “Autoridad de Certificación”) but the information was only in spanish.

Now we have published our english version that is available at:

http://ca.albalia.com:8080/democa/start.html

These free electronic certificates  are useful for testing purposes, both for windows and java environments. If you are going to use them in a windows workstation, check the box “include root”. To be used in a Java environment leave the box blank.

Also download the root certificate in the following screen to install it and grant your trust to the Certification Authority hierarchy, and this way to allow certificates issued by that CA to be trusted in your system.

Filed under: Electronic Signature, English

La diplomática, como ciencia que estudia las formas documentales, su autenticidad y su valor probatorio, establece una serie de términos sobre los elementos internos de la forma de los documentos. Para cada documento distingue las siguientes partes: protocolo, texto y escatocolo.

En este último, enumera diferentes elementos estructurales que pueden estar presentes en los dcumentos: corroboración, fecha, apreciación, salutación, claúsulas complementarias, atestación, certificación de firmas, notas de secretaría, etc.

La diplomática contemporánea establece el estudio de los documentos oficiales, especialmente en el ámbito notarial y administrativo.

La diplomática digital se centra en los documentos electrónicos y en su transcripción al papel para ser utilizados en contextos de prueba diferentes, que pueden llegar al ámbito jurisdiccional.

La transcripción al papel de un documento electrónico se denomina Albalá (o copia constatable)  y en él se incluye un elemento nuevo, denominado metacolo, que es una extensión del protocolo, y que puede ir a continuación del escatocolo.

El metacolo recoge elementos complementarios del documento electrónico que se extiende en sus metadatos. Entre los datos que se incluyen en el metacolo están la referencia al expediente del que forma parte, las anotaciones posteriores al documento, su vigencia o derogación y las referencias a documentos posteriores que afectan a sus efectos jurídicos.

En el escatócolo se indican, entre otros detalles, la información técnica relativa a las firmas electrónicas que acompañan al documetos: datos del certificado, datos del timestamping, datos de la comprobación de la vigencia del certificado (OCSP).

Filed under: Administración Electrónica, Diplomática digital, Documentos electrónicos, Firma digital, Firma Electrónica, Sociedad de la Información, Valor probatorio

Acabamos de publicar el número cero de la Gaceta Interactiva “eConfianza“.

“eConfianza” es una iniciativa de las empresas que forman el Grupo Interactiva, Albalia Interactiva, Atenea Interactiva y EADTrust (European Agency of Digital Trust) .

Nace con el objetivo de difundir las novedades que afectan al grupo y a sus socios, y con el de hacerse eco de algunas de las noticias que se producen en el sector de la seguridad de la información y que hacen referencia al cumplimiento legal.

“eConfianza“ pretende  ser una publicación mensual gratuita, y estará disponible para descarga en formato PDF y para su lectura online en la página web: http://www.econfianza.es/

Agradeceremos a los lectores de este blog cualquier colaboración y las ideas que quieran compartir con nosotros para mejorar tanto el contenido como el aspecto de la publicación, y la propia web que contiene la revista.  Les agradeceremos cualquier ayuda que nos puedan prestar en su difusón.

Filed under: Contenidos digitales, Medios

En Albalia estamos buscando programadores que quieran vivir un interesante reto en torno a sistemas de criptografía y firma electrónica.

Lo vemos como una experiencia de verano (retribuida), pero que puede tener continuidad si los participantes piensan que este tipo de proyectos destinados a “despapelizar” la sociedad manteniendo el valor probatorio de las alternativas digitales, les enganchan.

Puede ser una interesante oportunidad profesional que continuará tras el verano en torno a un nuevo “paradigma” de gestión electrónica que producirá ahorros millonarios a las empresas y administraciones que adopten estas tecnologías.

Filed under: Criptografía, Documentos electrónicos, eInvoicing, Electronic Signature, Evidencias electrónicas, Firma digital, Firma Electrónica, I+D+i, Identidad Digital, Informática Forense, Innovación, Interoperabilidad, Nube TIC, Programación, Records Management, Smart Cards, Sociedad de la Información, Software, Tarjetas Chip, Valor probatorio, Voto electrónico

Ayer se publicó en el Diario Oficial de la Unión Europea la Directiva 2010/45/UE del Consejo de 13 de julio de 2010 por la que se modifica la Directiva 2006/112/CE relativa al sistema común del impuesto sobre el valor añadido, en lo que respecta a las normas de facturación.

En España el cambio tendrá poco efecto en el plano tecnológico, ya que el desarrollo normativo español es uno de los más avanzados de la unión europea en lo que se refiere a la factura electrónica, y en el que existen más herramientas comerciales y libres.

Sí que afectará a los aspectos menos tecnológicos ya que se simplifican algunos aspectos generales de la facturación, especialmente en el ámbito transfronterizo.

Filed under: Factura digital, Factura Electrónica, Factura Telemática

Albalá Carta o cédula real, en letra cortesana, similar a la carta misiva, en papel y validada con la firma real. Puede ser de merced o de provisión. Lo destacable es que es un documento muy corto que prescinde de todas las cláusulas no necesarias.
Hace referencia así mismo a un documento público o privado en el que se hacía constar alguna cosa.

Esta es la definición (hay más) de un tipo de documento utilizado históricamente y que pretendo reactivar para su uso en la administración electrónica, con el mismo sentido que el de copia constatable.

Es decir, la transcripción a papel de un documento electrónico cuya autenticidad se puede comprobar accediendo a la sede electrónica del organismo que lo expidió, y en ella al documento electrónico, identificado con su código seguro de verificación.

Definiciones:

• Albalá en Diploma (Wikipedia)
• Albalá en el Archivo Histórico Diocesano de Vitoria

Filed under: Administración Electrónica, Diplomática digital, Documentos electrónicos

El Cluster Vasco de Electrónica, Informática y Telecomunicaciones, GAIA-Cluster TEIC, ha lanzado una nueva publicación que recopila la oferta de software español en modalidad SaaS (Software como Servicio) de 38 compañías del sector, entre las que se incluye EADTrust.

El Software como Servicio es un modelo de distribución de software en el que la compañía de tecnologías de información y comunicación permite a la empresa cliente la utilización del software desarrollado, sin necesidad que dicho software esté implantado en la empresa, y pudiendo ser consultado desde cualquier ordenador (generalmente a través de Internet). Así mismo, en este pago por uso se incluye también el servicio de mantenimiento y soporte.

En el catálogo han participado empresas con desarrollos multisector, o bien con soluciones dirigidas a sectores clientes concretos: Transporte/Logística; Despachos Profesionales; Administraciones Públicas; empresas de Medio Ambiente/Residuos; Turismo y Restauración; Organizadores de eventos; Agroalimentación; Educación; Informática; etc.

La publicación, de carácter gratuito y cuya edición ha contado con el apoyo del Instituto Español de Comercio Exterior (ICEX), ha sido editada en español e inglés. Su distribución se realizará tanto en España como a nivel internacional. Las empresas o profesionales interesados en obtener un ejemplar pueden contactar con GAIA en el teléfono 902 54 03 21.

El nuevo catálogo de Soluciones SaaS se suma a las guías previamente editadas por GAIA-Cluster TEIC sobre soluciones TIC para los sectores de Energía, Construcción, Turismo-Ocio, y Transporte y Logística.

Noticia en Gaia

Filed under: Catálogo, Cloud Computing

El próximo 21 de septiembre de 2010 Atenea Interactiva organiza un nuevo seminario de eAdministración en el que compartiremos cartel Santi Casas, Fernando Pino y yo mismo. El evento, tendrá lugar en el Hotel Nuevo Madrid, y tiene un coste de 350 € (+IVA).

Este es el progrma previsto:

1.     Introducción. Iniciativas de Impulso de la Administración electrónica

2.     Nuevo Marco Legal de  eAdministración y Contratación Pública Electrónica

3.     Identidad Digital y DNIe.

• La identidad digital en Internet
• Los sistemas de federación de identidades
• Los sistemas “fuertes” de autenticación
• Los certificados digitales y el DNIe
• La gestión de las capacidades y la representación
• Aceptación de Certificados de otros países

4.     Documento Electrónico

• Modelo General del documento electrónico de carácter probatorio
• Firma Electrónica, Custodia Digital, Sede Electrónica y Metadatos
• Convivencia de los documentos electrónicos y de los documentos en papel: Compulsa, digitalización certificada y copia constatable

5.     Sede Electrónica

• La Sede Electrónica en la Ley 11/2007 y en el RD 1671/2009
• Autenticidad. Certificados

6.     Registro Telemático

• Flujo de documentos. Conservación y registro de entradas
• Distribución de copias electrónicas a los distintos usuarios
• Visor de Documentos, firmas electrónicas, validaciones y sellados de tiempo
• Orden  PRE/3523/2009  Registro Electrónico Común

7.     Notificación fehaciente por vía telemática

• SMS y correo electrónico certificado

8.     Expediente Electrónico

• Compulsa electrónica de documentos. Digitalización de Documentos
• Identificación de los empleados públicos en los trámites telemáticos

9.     Esquemas  Nacionales de Interoperabilidad y de Seguridad

• Interoperabilidad organizativa, semántica y técnica
• Principios del Esquema Nacional de Seguridad
• Requisitos mínimos de Seguridad
• Auditoria bienal de la Seguridad

10.   Licitación Electrónica

• Perfil del Contratante
• Publicación Fehaciente
• Factura Electrónica
• Tipos Contractuales
• Expediente de Contratación. Fases de la Contratación Pública
• Tipos de Procedimientos
• Usos de medios electrónicos, informáticos y telemáticos en los procedimientos. Contratación Pública

Está disponible el folleto en PDF

Filed under: Administración Electrónica, Administración pública, Contratación Pública, Cursos y Seminarios, DNI electrónico, Electronic Signature, Esquema Nacional de Interoperabilidad - ENI, Esquema Nacional de Seguridad - ENS, Firma digital, Firma Electrónica, Formación, Identidad Digital, Interoperabilidad, Notificación fehaciente, Notificaciones telemáticas, Registro telemático, Sociedad de la Información

Con la reciente publicación, el pasado 13 de julio de 2010, de la LORCA (Ley de Órganos Rectores de Cajas de Ahorro, o, más precisamente, Real Decreto-ley 11/2010, de 9 de julio, de órganos de gobierno y otros aspectos del régimen jurídico de las Cajas de Ahorros) avanza la configuración del mercado financiero español.

Una configuración en la que destacan los procesos de integración de las cajas españolas para definir el nuevo mapa financiero nacional, en base a procesos de fusión o a sistemas institucionales de protección (SIP).

Hasta la fecha ha habido siete uniones que cuentan con el visto bueno del Banco de España con las ayudas del FROB aprobadas. Estas son: Caixa Catalunya, Caixa Tarragona y Caixa Manresa, que supone el 6,1% de los activos del sector; Caixa Sabadell, Caixa Terrasa y Caixa Manlleu, con el 2,2%; Caja España y Caja Duero, con el 3,7%; CAM, Cajastur, Caja Extremadura y Caja Cantabria, con el 9,9%; Caixa Nova y Caixa Galicia, con el 6%; Caja Madrid, Bancaja, Caja Insular de Ahorros de Canarias, Caixa Laietana, Caja Avila, Caja Segovia y Caja Rioja, con el 26,3%; y Caja Granada, Caja Murcia, Caixa Penedès y Sa Nostra, con el 5,6%.

Luego hay dos uniones aprobadas por el Banco de España que no percibirán ayudas. La primera es la formada por Caja Navarra, Caja Canarias y Caja Burgos, que aglutina el 3,6% de los activos del sector; la segunda la componen Unicaja y Caja Jaén, con el 2,8%. A este listado de uniones se sumó ayer la adjudicación de Cajasur a la BBK que pedirá dinero al FROB.

En fase de autorización se encuentran la unión entre La Caixa y Caixa Girona, que acaparan el 20,3%; Cajasol con Caja Guadalajara, con unos activos del 2,4% del sector, y la operación en la que se encuentra Caja Badajoz con sus socios: Caja de Ahorros de la Inmaculada de Aragón (CAI) y Caja Burgos. Las tres entidades suman un volumen total de activos de 20.807 millones de euros, lo que significa el 1,6% del sector.

El SIP se basa en acuerdos contractuales entre las entidades participantes, formándose una entidad de crédito con estatuto de banco que lleva la gestión.

Todavía quedan varias cajas de ahorros que no se han fusionado, como son Caixa Ontinyent, Caixa Pollença, Ibercaja, Caja Vital y la vasca Kutxa.

Recordemos que el FROB no es una ayuda a fondo perdido, sino un crédito que debe devolverse a unos tipos de interés relativamente altos (entre el 7% y el 8%), por lo que estas ayudas no representan un coste para los ciudadanos. No obstante con la dificultad de acceso al crédito de los últimos tiempos, la clave del FROB es precisamente la disponibilidad de liquidez para las acciones que deben desarrollar las entidades.

Recientemente el propio bono español a diez años registraba un rendimiento del 4,618%, mientras el bono alemán se cotizaba con una rentabilidad del 2,641%, lo que representa la prima de riesgo que los mercados internacionales adjudican a España.

Referencia: El Periódico

Filed under: Banca

Es frecuente que la misión del documento como soporte de información implique que no requiera de más valor probatorio que el que se presuma o se alegue en las menciones del documento. Por ejemplo, la fecha de publicación o el nombre del autor suelen figurar en los documentos y se suelen dar por válidos salvo prueba en contra.

Sin embargo, en ocasiones, es preciso demostrar la autenticidad del documento electrónico o bien, algunas propiedades conexas, como la fecha de creación o publicación, el autor, el expedidor, o el titular del documento (a los efectos de atribuirle un derecho), o bien otra información registrada en sus metadatos.

Con ese objeto, la autenticidad de los documentos electrónicos se refuerza en base a dos mecanismos complementarios:

• La Firma electrónica
• La referencia a una base de datos documental securizada que se atribuye como de referencia para un documento dado. En la moderna normativa de administración electrónica la sede electrónica permite gestionar la referencia, y el código seguro de verificación la individualización del documento en la sede electrónica.

Filed under: Documentos electrónicos, Valor probatorio

Llevo mucho años impulsando el software libre. En 1999 era una verdadera novedad que el software libre se usara en banca, y más aún que una entidad financiera (en este caso Banesto) explicara el significado de las siglas GPL impulsando un proyecto como el de Cibertienda. Aun quedan vestigios en la red de aquella iniciativa, como esta entrevista de El Mundo.

En aquel proyecto fue esencial la colaboración de Onírica, la empresa formada por los creadores de la distribución de Linux en español Eurielec, nombre del club de la Escuela de Teleco de Madrid del que yo había formado parte unos años antes. Fernando Herrera, Guillermo Pérez, Alfonso Sánchez-Macián y Alejandro Martínez aportaron su experiencia en el mundo del software libre y junto con Lourdes Herrero, Pedro Cobo y Fernando Puig formaron el equipo de desarrollo de Cibertienda GNU, para preparar un entorno de tienda virtual que había sido comprado por Banesto a Teknoland y que dependía de la base de datos Informix y del servidor web de Netscape. En el porting, destinado a eliminar dependencias de software no-libre,  el servidor elegido fue Apache, y la base de datos Postgres.

También logré que Banesto patrocinara la primera Expo sobre Linux en España, Expo-Linux 2000, y colaboré con Juantomás García (a la sazón presidente de Hispalinux) para que el evento fuera un éxito. También queda algún vestigio de aquello, esta vez en iWorld.

Llevo instalando versiones de Linux en mis ordenadores desde 1994 (aun recuerdo las dificultades que suponía instalar el soporte de X-window en la distribución Slackware, una de las primeras), y uso Minix incluso desde antes (aun conservo mi diskette de 5 pulgadas y cuarto y el Libro de Andrew Tanembaum, que utilicé en 1987-88). Llegué a usar e instalar Coherent, un clon de Unix, francamente bueno, y en ocasiones consulto su excelente documentación en papel.

Posteriormente, he utilizado software libre y promovido su uso en las empresas en las que trabajaba en diferentes momentos de mi actividad profesional. Por ejemplo, en Mobipay, donde fui CTO y colaboré con un excelente profesional, Luis Colorado, que fue fundador y primer presidente de Hispalinux. También lo usamos en Camerfirma en la época en la que yo era Director General.

En la época en la que invertí en una empresa de venta de libros por  internet (Book on Hand) colaboré con otras impulsoras de la innovación y creamos la Asociación Impulsa Internet. Entre las empresas con las que colaboramos se creo el embrión de ASOLIF (Asociaciones de Software Libre Federadas) presidida por Daniel Amendáriz, Presidente a su vez de ESLE, Asociación de Empresas de Software Libre de Euskadi, y de Solimadrid, con Arena Futura de Paco Sadurní, o Airostel Consulting, de José María Pérez Soria.

En los años 2007 y 2008, junto con IFO, DyR y Gepelia creamos la primera solución empresarial de factura electrónica basada en software libre (en este caso OpenBravo), que generaba facturas en formato facturae (publicado en octubre de 2007 en la Orede PRE/2971/2007) y firmas electrónicas en formato XAdES-XL.

En la actualidad usamos software libre en mis empresas (Albalia, Atenea y EADTrust) para algunos servicios, y también en ciertos entornos de programación. Nuestros programadores programan en java y en C# y nuestras aplicaciones se ejecutan sin problemas en entornos .net, y también en entornos Linux, como Suse (de Novell) y Red Hat. Uno de los entornos en los que somos especialistas es el de Linux for zSeries (además de z/OS para zSeries, que es el S.O. corporativo por excelencia).

Dos de los desarrollos más importantes que hemos llevado a cabo recientemente, con el apoyo de Microsoft son libres, con licencia MSPL: FactOffice y Offinvoice (esta última con licencia dual, añadiendo como opción la EUPL).

Nuestras primeras versiones de Faccil (un portal de facturación electrónica en la nube) las desarrollamos en Ruby. Al rehacer todo el portal en Java, hemos  liberado el código fuente en Ruby  para que puedan crearse otros portales de factura electrónica o de ERP en modo ASP o SaaS.

En entornos zLinux y zOS somos partners de IBM y en la actualidad estamos en el proceso de convertirnos en partners de RedHat.

Nuestro producto, la suite BackTrust (y especialmente la versión para Mainframes zBackTrust) se entregan con código fuente (pagando un suplemento).

En mi casa, mis hijos usan Mac, con su Mac OS X – Snow Leopard  y yo lo he intentado. Finalmente, aprovecho la posibilidad de Bootcamp de Apple para utilizar en mi Macbook un entorno Windows 7  que me gusta más.

Esta larga explicación se resume en una conclusión: apoyo el software libre sin prejuicios ni dogmas y lo  uso o lo desarrollo en cada caso de la forma que considero mejor para mi empresa y para mis clientes. En unas  ocasiones el Software Libre es mejor y en otras no, o no está disponible.

Por eso me sorprende la radicalidad de algunos defensores del software libre que se consideran depositarios únicos de la verdad, y critican cualquier posición que no coincida milimétricamente con la suya. Afortunadamente, en el mundo de la informática y en la sociedad, las opiniones son diversas y los talibanes que han convertido su visión del software libre en una religión son una minoría (aunque hay que reconocer que generan mucho ruido). Mi mejor recomendación es que debe preservarse la libertad, para que los criterios profesionales de quienes tienen que tomar decisiones tecnológicas primen sobre las consignas.

Quienes quieren imponer el software libre por decreto, no confían en que se imponga por mérito. Y si el mérito está del lado del software no-libre, entonces habrá que reconocerlo cuando así sea.

Y desde el punto de vista de la industria, está claro que el software libre ha dado lugar a estrategias lucrativas. Pero cualquier otra estrategia que pase por cobrar licencias o por no suministrar el código fuente, es absolutamente respetable si supera las reglas y exigencias del mercado y de la competencia.

No creo que tener estas ideas sea ir contra el software libre.

(Sé que es otra guerra, pero tengo una opinión parececida sobre la competencia de las mujeres: quienes imponen las cuotas de mujeres en puestos de responsabilidad crean la duda respecto a si las mujeres que alcanzan esos puestos lo logran por sus méritos. Mientras no existía el concepto de las cuotas, siendo real la discriminación de la mujer, las que alcanzaban altos puestos demostraban que lo lograban por méritos sobresalientes, y contribuian a la erradicación paulatina de esa discriminación)

Filed under: Responsabilidad Social, Sociedad Civil, Sociedad de la Información, Software, Software Libre

El pasado 7 de julio de 2010 tuvo lugar en la sede de la CEOE , en Diego de León, 50 – 28006 Madrid, la reunión del Grupo de Trabajo de Factura Electrónica.

En la reunión se trató sobre la Cumbre sobre Facturación Electrónica en Europa, celebrada en Madrid los días 27 y 28 de abril y el Congreso de Factura Electrónica y Digitalización Certificada de ASIMELEC celebrado en la misma sede del MITyC el 29 de abril de 2010. 

A la satisfacción de que la cumbre se celebrara en España se añadió la decepción respecto a la escasa representación española entre los casos de éxito presentados y la excesiva focalización hacia las conclusiones del Grupo de Expertos de la UE, dejando fuera otras posiciones. El evento de ASIMELEC fue más abierto y permitió reflejar más posturas entre las adoptadas por las entidades más activas de Europa en la adopción de la factura electrónica.

La reflexión sobre la futura Directiva Europea de Factura Electrónica incluyó la satisfacción sobre el consenso alcanzado en el artículo 233 (el más polémico), con una redacción que consolida las inversiones realizadas por las entidades más avanzadas, y preserva la seguridad jurídica de las legislaciones de los paises con normas más completas, como es el caso español. Al mismo tiempo da cobertura a los paises con normativas más ambiguas, facilitando la aceptación de las facturas de esos paises en el resto.

Una valoración importante es que el cambio legal europeo que debe ser traspuesto a las legislaciones nacionales en 2013 afectará poco a la normativa española que ya es una de las más completas de Europa, lo que elimina incertidumbres para todas las empresas que están planeando incorporar la factura electrónica a sus sistemas.

En la reunión Carlos González presentó su empresa Doc on Time y el nuevo enfoque que le están dando a las relaciones personales y empresariales en torno a la factura electrónica.

En la reunión se decidió enprender diversas actividades en el marco del grupo de trabajo:

• Línea de Acción de Impulso de la Factura Electrónica, que acometerá la elaboración de un Decálogo sobre recomendaciones o directrices para el impulso de la Factura Electrónica.
• Línea de acción sobre Métricas y valoración de la adopción de la factura electrónica en España (en los diferentes ámbitos B2B, B2C Y B2G) que definirá la metodología y realizará la medición de los parámetros relevantes.
• Linea de Acción de Divulgación que impulsará un Plan orientado a la  mejora del conocimiento sobre la factura electrónica en las empresas a distintos niveles territoriales.

Filed under: Asociaciones, Empresas, Factura digital, Factura Electrónica