Tags: certificados digitales

Firma Electrónica en LATAM. Segunda Parte

21 Oct 2015

Electronic Signature in Latam

Como ya os adelantábamos la semana pasada, debido al cambio en la normativa relativa a la firma electrónica que se va a producir en toda la EU en 2016, hemos querido echar un vistazo al estado de la firma electrónica en LATAM. La semana pasada os traíamos la primera parte de este artículo y ahora vamos con la segunda. 
[…]

Conceptos básico sobre la firma electrónica en España

30 Ene 2013

firma electrónica, firma digital...

Después de un tiempo de reflexión (no muy dilatado en el tiempo, lo reconozco) he llegado a la conclusión de que aún no tenemos ningún post que recopile los conceptos más básicos sobre qué entendemos en España por firma electrónica, firma digital o firma digitalizada, que es un certificado digital, cómo lo obtenemos y dónde o qué es eso de la factura electrónica, por poner algunos ejemplos. Y algunos pensarán, ¿por qué ahora? pues porque aún hay mucha gente que nunca ha escuchado nada sobre esto y si lo ha hecho, quizás se encuentre más confundido que el que no tiene ni idea, porque puede servir de referencia futura y porque, la verdad, tampoco cuesta tanto escribirlo ;). Por supuesto intentaré explicarlo todo en “cristiano” para que me entienda todo el mundo. Pues bien, empezamos:

  • Firma electrónica: ¿Qué es? Según la legislación española, no es más que el conjunto de datos electrónicos, consignados junto a otros o asociados con ellos que pueden ser utilizados como medio de identificación del firmante. En resumen, es lo equivalente a la firma manuscrita, aunque legalmente no sea siempre así, ya que existen distintos tipos de firma, según su nivel de seguridad y sólo la firma electrónica reconocida lo es.
  • Firma digital: En España, viene a significar más o menos lo mismo. Por su puesto son diferentes técnicamente (digamos que la firma digital es un tipo de firma electrónica) pero funcionalmente ambas palabras suelen emplearse como sinónimos. En LATAM por ejemplo, estos conceptos varían según el país.
  • Firma digitalizada: Es quizás la más sencilla de comprender para el usuario final, ya que se trata de la propia firma manuscrita escaneada para luego poder ser insertada en un documento. Por supuesto, existen firmas digitalizadas y firmas digitalizadas, es decir, no es lo mismo (legalmente) imitar tu escanear tu firma manuscrita y recortarla y pegarla con photoshop que aquella que recoge información biométrica gracias a dispositivos externos cómo tablets o pantallas capacitivas.
  • Certificado digital: Para firmar electrónicamente, antes, necesitamos autenticarnos como la persona que decimos ser y para eso necesitamos un método de identidad electrónico que sea fiable. Pues bien, el certificado digital es básicamente eso, nuestra identidad electrónica. A modo de analogía, sería el “bolígrafo” con el que firmamos. ¿Donde obtenerlo? Pues existen diferentes formas, en esta infografía las recogemos de manera resumida.
  • Autoridad de Certificación (CAs): Se trata de los organismos encargados de otorgar un certificado digital. Digamos que tienen “potestad” para emitir certificados digitales que deben tener una serie de características. Pueden ser de tipo público (cómo la Fábrica Nacional de Moneda y Timbre) o privado (firmaprofesional, camerfirma, ACCV, etc.).
  • Portafirmas: La verdad es que es un concepto exclusivamente español, aunque luego se haya exportado a otros países. De manera simple, sería una agenda de firmas, cómo un cliente de correo electrónico, sólo que en lugar de emails, aquí se gestionan firmas electrónicas. En viafirma, por cierto, estamos orgullosos de contar con uno de los mejores del mercado.
  • Factura electrónica: Igual que la factura tradicional pero todo gestionado (y firmado) electrónicamente. Tiene que cumplir una serie de requisitos mínimos (en los que no voy a entrar) para ser considerada e-factura, cómo por ejemplo, que esté firmada digitalmente.
  • Firma electrónica móvil: Se trata de una firma electrónica realizada con un dispositivo móvil (smartphone, tablet, etc). Según los requisitos de seguridad que cumpla la firma puede ser considerada “simple”, avanzada o reconocida, con sus consecuentes mejoras en cuanto a legalidad, siendo esta última la única reconocida (nunca mejor dicho) por la legislación española con igual legalidad que la manuscrita. Para ampliar información, en esta infografía tenéis los distintos niveles de firma móvil.

Pues bien, como punto de partida para aquellos que no sabían nada sobre este sector creo que es suficiente. Por supuesto, sentiros libres de preguntar aquel concepto que no aparezca en la lista y que os gustaría conocer. Además, también contamos con una FAQ en nuestro portal de desarrolladores que podéis consultar. Espero haber sido de ayuda.

Types of digital certificates for enterprises (Spanish version)

02 Oct 2012

Existen multitud de tipos de certificados digitales que varían dependiendo del lugar geográfico donde nos encontremos y del uso que se pretenda hacer de él. Además cada propia CA (autoridad de certificación) tiene sus propias políticas de certificación y su propia “autonomía” para poder decidir los tipos de certificados que desea expedir. En este caso, voy a hacer un resumen sobre los tipos de certificados de dos de las CAs más usadas en España; la Fábrica Nacional de Moneda y Timbre o FNMT y Firmaprofesional. Nos centraremos principalmente en aquellos certificados que más pueden interesar a aquellas pequeñas y medianas empresas que desean reducir sus costes a través de los certificados digitales y la firma electrónica. Espero que esta información os sea de utilidad.

Firmaprofesional

Algunos de los certificados que emiten son certificados reconocidos para firma electrónica y otros no reconocidos, destinados a usos distintos a la firma electrónica reconocida. Además, estos pueden ser de carácter empresarial o personal. Echemos un vistazo a los de tipo empresarial que permiten la firma electrónica:

 

  • Certificados de colegiado

Los Certificados Corporativos de Colegiado son certificados reconocidos de persona física según la Ley 59/2003 de Firma Electrónica que identifican al suscriptor como Colegio Profesional y al firmante como profesional colegiado por dicho Colegio.

Los Certificados Corporativos de Colegiado solo pueden ser utilizados por el propio firmante, actuando como profesional colegiado.

Pueden solicitar la emisión de un certificado corporativo de colegiado cualquier profesional colegiado en un colegio profesional o el propio Colegio Profesional, en nombre del colegiado.

  • Certificado Corporativo de Representante Legal

Son certificados de persona física que permiten identificar telemáticamente al suscriptor como un corporación (empresas, organizaciones, …) y al firmante como Representante Legal de una compañía.

  • Certificado Corporativo de Persona Física

Son certificados reconocidos de persona física que identifican al suscriptor como vinculado a una determinada organización, ya sea como empleado, asociado, colaborador, cliente o proveedor.

  • Certificado Corporativo de Persona Jurídica

Los Certificados Corporativos de Persona Jurídica permiten también facturación electrónica. Podrán solicitar certificados corporativos de personas jurídicas sus administradores, representantes legales y voluntarios con poder bastante a estos efectos.

  • Certificado Corporativo de Firma Móvil

Son certificados reconocidos de persona física destinados a servicios de firma móvil que cumplan con los estándares ETSI M – COMM MS (Mobile CommerceMobile Signature Service), utilizando la tarjeta SIM del teléfono móvil como DSCF (Dispositivo Seguro de Creación de Firma) o nuestro lector de tarjetas inteligentes para dispositivos móviles iOS.

  • Certificado Corporativo de Sello Empresarial

Son certificados expedidos a organizaciones, cuya finalidad es firmar en nombre de la empresa documentos electrónicos de manera automática, sin hacer referencia a ninguna persona física concreta. Estos certificados tienen como objetivo cumplir las mismas funciones que realizan los “Sellos de Empresa” en los documentos en papel.

  • Certificado Corporativo de Factura Electrónica

Son certificados reconocidos de persona física con poderes de representación de una organización únicamente para firmar Facturas Electrónicas. Son básicamente idénticos a los Certificados Corporativos de Persona Física, salvo por el hecho de que el firmante del certificado está explícitamente autorizado para firmar facturas en nombre de la entidad.

Certificado electrónico

FNMT

La FNMT-RCM emite diferentes tipos de certificados electrónicos, que en función de los destinatarios de los mismos, pueden ser:

  • de persona física
  • de persona jurídica
  • de entidad sin personalidad jurídica

En este caso, a una empresa le interesaría el de persona jurídica. Actualmente, la FNMT-RCM expide certificados electrónicos de persona jurídica reconocidos en el ámbito tributario. Por tanto, la operación de registro para este tipo de certificados tan solo se puede realizar en las oficinas de la Agencia Estatal de Administración Tributaria o de la Comunidad Foral de Navarra con la que ésta tenga suscrito un acuerdo para la emisión de estos certificados (cómo obtenerlo).

Este certificado vincula a su suscriptor (sujeto pasivo tributario), unos datos de verificación de firma y confirma su identidad. El suscriptor del mismo será una persona jurídica, entendiendo por tal el conjunto de personas agrupadas que constituye una unidad con finalidad propia, la cual, adquiere, como entidad, capacidad jurídica y de obrar distinta de la de los miembros que la componen.

 

¿Porqué no se ha masificado la firma electrónica?

11 Sep 2012

Es por todos sabido que la firma electrónica no ha tenido la repercusión, al menos en España, que el gobierno pensaba que podría tener en un principio. No dejo de ver noticias provenientes de latinoamérica, de países que están apunto de implementar y regular la firma electrónica, de cómo ensalzan las virtudes y bondades de la e-firma (ahorro de costes, de tiempo, interoperabilidad, mayor seguridad, paperless…). Sin duda ninguno de los que esté leyendo este post puede poner en entredicho los beneficios de la firma electrónica, pero hay una realidad abrumadora; la firma electrónica no se ha masificado en nuestro país, pero claro, para masificar la firma, la Administración electrónica tendría que estar completamente aceptada en la sociedad y la realidad es que esto está también muy lejos de conseguirse.

Datos como que España es el país europeo con mayor penetración de certificados digitales o que hay más de 28 millones de usuarios de DNIe dejan de cobrar relevancia al saber que la inmensa mayoría de esos 28 millones no conocen el PIN de su DNI electrónico o, lo que es peor, ni siquiera ha oído hablar de él. No es de extrañar por tanto, que el uso cotidiano de la firma electrónica y los certificados digitales sean solo cosas de algunos “heavy users” o de aquellos que no tienen otro remedio al estar obligados a usarlos por la empresa o institución a la que pertenecen.

¿Pero, por qué pasa esto? ¿A qué es debido? Desde luego habría muchos enfoques por donde poder dar respuesta a estas preguntas (falta de usabilidad, poca publicidad, falta de formación de los funcionarios, etc.) pero yo voy a dar el mio propio, que no es más que ponerse en la piel de dos usuarios al azar que se han decidido a realizar sus gestiones de manera telemática, siguiéndolos por su particular embudo hacia la consecución de su objetivo:

Escenario 1

Usuario: Mujer de mediana edad, ama de casa en una gran urbe.

Objetivo: Conseguir su certificado de matrimonio telemáticamente.

Situación: María, de 45 años, necesita su certificado de matrimonio como parte de la documentación para la concesión de una ayuda económica cuyo plazo está a punto de finalizar. Si bien en un primer momento pensaba tramitarlo presencialmente, la urgencia del documento le hace recordar algo que la semana pasada le dijo una funcionaria al renovar el DNIe; “Con el nuevo DNI, podrá realizar los trámites con las Administraciones Públicas desde casa y al momento”. Tras escuchar esto, la mujer decide intentarlo. Tiene un PC convencional de sobremesa, con Windows XP e Internet Explorer 7, nada del otro mundo. Una búsqueda rápida en google le lleva a la sede electrónica del Ministerio de Justicia. Las palabras “al momento” llaman su atención. Todo listo, clic en el botón y…error!!

– “No puede acceder a esta página, compruebe que dispone de no se que de un certificado digital o DNIe.

– “¡Sí que lo tengo, está aquí, en mi mano!”

Busca en el PC alguna ranura que sea del tamaño de su nuevo DNI. Nada, ninguna parece encajar…

-“¡Maldita página!”

Al final, su paciencia se agota y decide perder la mañana siguiente solicitándolo presencialmente. Poco después se enterará de que para usar su DNIe necesita… ¡un lector de DNIe!

Resultado: Mala primera experiencia. Frustración y rechazo fuerte inicial al DNIe. Si le cuesta usar el DNIe, lo de la firma electrónica va a ser un mundo.

Causa: Falta de información por parte de la funcionaria y/o de los folletos informativos al adquirir el DNIe. Nadie le explicó lo que era un lector de DNIe.

Escenario 2

Usuario: Estudiante de empresariales de 21 años.

Objetivo: Solicitar una beca por internet.

Situación: Se trata de un usuario joven, acostumbrado a usar el ordenador y el smartphone, con conocimientos digamos “medios” de informática. Al intentar solicitar una beca para otra comunidad distinta a la suya descubre de que, con algo llamado “certificado digital” puede solicitarla a través de internet sin necesidad de desplazarse presencialmente a dicha comunidad. Después de leer sobre el tema, llega a la página de la FNMT (Fábrica Nacional de Moneda y Timbre), donde está detallado el proceso para conseguir un certificado digital con esta entidad. Al parecer debe:

  • Solicitar un código por internet
  • Presentarse en una oficina de registro
  • Descargar el certificado.

No parece mu complicado, pero al intentar realizar el primer paso la página parece no responder, aunque finalmente, carga el HTML básico mostrando el siguiente mensaje:

Error en el navegador

Resulta que, o utilizas Explorer o Firefox o ya te vas olvidando de conseguir tu certificado digital. Este iluso estudiante no sabía que su MAC y Chrome no son compatibles con la eAdministración. Pero resulta que su otra opción (Safari), tampoco parece “digno” para solicitar un certificado.

Resultado: Al final, el coste de desplazarse a otra comunidad para realizar un trámite gana a su deseo de “mandar a paseo” los certificados digitales y acaba pidiéndole el PC a un amigo. Ahora sí, con Explorer todo parece ir mejor y este estudiante conseguirá solicitar la beca telemáticamente, aunque, ¿a qué precio? ¿cual ha sido la experiencia de este usuario? ¿recomendaría este usuario los certificados digitales? ¿cómo puede permitirse un organismo de la talla de la FNMT anunciar que simplemente que el resto de navegadores no están soportados?

Causa: Falta de interés en algún punto de la cadena. Parece no importar el feedback de los usuarios finales.

Estos son solo dos casos al azar de los cientos que pueden darse en el día a día de la gente de a pie. Sin duda, la falta de interés, los problemas técnicos, la poca usabilidad o la inexistencia de un régimen sancionador que obligue a mejorar todo esto parecen ser motivos más que suficientes para condenar a los usuarios finales al papel.

A pesar de todo esto, aún existen motivos para la esperanza. Y es que si el cambio no viene desde el sector público, puede que la clave esté en el privado. Desde viafirma nos esforzamos en intentar cambiar un poco este panorama, soportando los navegadores y sistemas operativos más extendidos, intentando que firmar electrónicamente sea tan fácil como el “plug & play” y sin olvidarnos de la cada vez más importante rama de movilidad.

Pues bien, yo ya he dado mi punto de vista, ahora me gustaría escuchar el vuestro 😉

Certificado software vs DNI electrónico

09 Jul 2012

Certificado software vs DNIe

El objetivo de este post es dar una versión general de las diferencias entre los certificados digitales en formato software y los que vienen por defecto en el DNIe, de hecho, mucha gente no sabe que el DNI electrónico contiene dos certificados digitales, uno para la autenticación y otro para la firma electrónica.

En un post anterior explicábamos de manera gráfica el concepto de certificado digital, su uso práctico y la manera de obtenerlo.

Algunos ejemplos de uso son: la Oficina Virtual de la Agencia Tributaria, la Oficina Virtual de la Seguridad Social, la Oficina Virtual del Catastro, etc…

Ambos permiten firmar y cifrar de forma segura cualquier tipo de documento electrónico incluidos los mensajes de correo electrónico así como la identificación de usuarios ante servicios telemáticos de la Administración Pública y las entidades privadas, aunque existen algunas diferencias entre ellos, veámoslas:

Certificado Software:

  • Se proporcionan en el navegador web y en soporte fichero (extensión .p12 o .pfx)
  • Procesos de solicitud específicos de cada CA.
  • Ley de firma electrónica: Como hemos comentado en diversos posts, según la ley de firma electrónica, para que la firma electrónica se considere una firma reconocida equiparable legalmente a la manuscrita, la firma tiene que haber sido creada en un dispositivo seguro de creación de firmas, con lo cual, la firma electrónica con certificado en formato software como mucho llegará a ser firma electrónica avanzada.
  • Estos certificados normalmente están definidos por el estándar PKCS#12
  • Dificultad en el proceso de obtención.
  • La caducidad del certificado va a depender de la CA, rondando una media de 2 a 3 años.
  • Agilidad en el uso diario.
  • Posibilidad de exportarlo y tenerlo en varios equipos.

DNI electrónico:

  • Caducidad: Los certificados electrónicos reconocidos incorporados al DNIe tienen un período de vigencia de 30 meses. A la extinción de la vigencia del certificado electrónico, se puede solicitar la expedición de nuevos certificados reconocidos, manteniendo la misma tarjeta del Documento Nacional de Identidad mientras dicho documento continúe vigente. Para la solicitud de un nuevo certificado se debe mediar la presencia física del titular.
  • La pérdida de validez del Documento Nacional de Identidad llevará aparejada la pérdida de validez de los certificados reconocidos incorporados al mismo. La renovación del Documento Nacional de Identidad o la expedición de duplicados del mismo implica, a su vez, la expedición de certificados electrónicos.
  • Ley de firma electrónica: La firma electrónica con DNIe, sí sera considerada como firma electrónica reconocida, al ser este un dispositivo seguro de creación de firmas.
  • La Dirección General de la Policía es la responsable de la expedición del DNI electrónico.
  • Necesitas un lector DNIe para poder operar con él, además de poseer físicamente tanto el lector como el DNIe para poder operar.
  • La obtención del certificado es gratuita, pero si esta viene por renovación o por pérdida del DNIe, tendrás que pagar un coste mínimo.
  • Al contrario que los de formato software, el proceso de obtención es bastante sencillo, ya que basta con renovar tu DNIe o personarse físicamente en la Dirección General de la Policía, en caso de necesitar solo la renovación del certificado.

Hasta aquí dan mis neuronas, seguramente se me escapan muchas más pero eso es un trabajo que os voy a dejar a vosotros. ¿Con qué os quedáis? ¿Software o DNIe?

Infografía: Los certificados digitales en España

03 Jul 2012

Un certificado digital (también conocido como certificado de clave pública o certificado de identidad) es un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos de identificación) y una clave pública.

Es muy importante estar realmente seguros de que la clave pública que manejamos para verificar una firma o cifrar un texto, pertenece realmente a quien creemos que pertenece.

Por tanto un certificado es un documento emitido y firmado por una Autoridad de Certificación (CA) que identifíca una clave pública con su propietario.

Como ya hicimos con la firma electrónica, hemos creado una infografía para resumir el uso de los certificados digitales en España:

The e-Government: Innovation in Public Administration (Spanish version)

22 May 2012

Hace unos días Xavier Marcet publicaba en su blog un post sobre las barreras de la administración pública a la innovación. Xavier, además de licenciado en Historia, diplomado en Gestión Pública (ESADE) y profesor en varias universidades es un conocido asesor en la dirección de empresas e instituciones, especialmente en el campo de la comunicación corporativa y de la gestión estratégica.

Pero estás barreras no salieron de la idea solitaria y subjetiva de una sola persona, sino de una actividad propuesta a sus alumnos del curso de Gestión de la Innovación en las TIC, con lo que se puede decir que, en cierta medida, fue un grupo de gente con conocimientos avanzados sobre la administración pública los que definieron dichas barreras.

Se hace interesante pues, analizar las posibles causas de tanta reticencia por innovar por parte de la Administración Pública.

Las barreras son las siguientes:

  • Rigidez estructuras
  • Falta de recursos
  • Falta de estrategia
  • Poca orientación a ciudadano/usuario
  • Falta de Liderazgo
  • Falta de Motivación
  • Resistencia corporativista
  • Políticos sin orientación a la innovación
  • Intolerancia política y mediática al error
  • Falta de incentivos
  • Miedo
  • Procedimientos muy inerciales
  • Mala gestión de talento. Poca meritocracia.
  • Cultural inercial y burocrática

Según apunta Marcet, el miedo es el principal impedimento a la hora de innovar en las Administraciones, pero ¿miedo a que?, ¿miedo al error? ¿miedo a desafiar la estructura y espesez de la Administración? ¿miedo a ser tildado de “hereje” por tus compañeros? Seguramente un poco de todo.

Cristina Garmendia, antigua Ministra de Ciencia e Innovación de España, apuntaba hace unos días en el Encuentro Directivo del Instituto de Estudios Cajasol celebrado en Sevilla la importancia de la innovación y el emprendizaje para salir de la situación actual de recesión en la que se encuentra nuestro país. Cristina sugería que el cambio en la actitud hacia la innovación debe de venir impulsado precisamente desde la Administración Pública, premiando e incentivando al “intraemprendedor” y sus ideas y sobre todo, cambiando una cultura y estructura actual, donde la innovación depende de la buena voluntad de aquellos valientes que se atreven a desafiar este sistema.

Todo esto me lleva a la siguiente reflexión: ¿Qué mejor manera hay de innovar en este sector que a través de las nuevas tecnologías?

Administración electrónica

Es entonces cuando se nos tiene que venir a la mente la e-Administración y sus ventajas. Y es que se hace patente la necesidad de convertir la oficina tradicional en una oficina sin papeles, ahorrando así en tiempo y costes y sobre todo habilitar la vía electrónica para la realización de tramites entre la Administración y el ciudadano.
Sin duda, un gran ahorro para, sobre todo, pequeñas y medianas empresas, las cuales se verían beneficiadas claramente gracias a, por ejemplo, los certificados digitales, el DNIe o la firma electrónica.
Dado que las pymes componen alrededor del 70% del tejido empresarial español, la Administración electrónica es, sin duda, un buen comienzo por donde empezar a innovar.