Todo es electrónico

He leido el artículo de Enrique Dans sobre las nuevas herramientas forenses de Microsoft, y en esta ocasión no puedo estar de acuerdo con él.

En todos los sistemas operativos se dejan rastros de actividad, en particular logs de diferentes tipos, y existen diferentes herramientas, en Windows, en Mac y en Linux para recuperar esa información que ayuda en la investigación de delitos (y, a veces en la recuperación de datos por el dueño legítimo de la máquina tras borrados accidentales).

El que haya una herramienta más no puede parecer mal a nadie. Y desde luego, no se trata de una puerta trasera.

El lunes pasado Cinco Dias publicó un interesante artículo sobre los nuevos servicios de Telefónica.

Telefónica lanza una ofensiva para liderar el comercio electrónico de las empresas

El comercio electrónico es todavía limitado en España, pero el Gobierno ha resuelto impulsarlo con varias disposiciones normativas y Telefónica está decidida a liderar todos los procesos que afecten a grandes empresas y Administraciones públicas. La operadora ha invertido 400 millones en diseñar el primer sistema integral que permitirá validar y certificar los procesos y transacciones electrónicas.

I. Abril / MADRID (05-05-2008 )

Ha sido un año de trabajo en el equipo de servicios de seguridad para grandes clientes de Telefónica dedicado a crear un producto capaz de romper las barreras legales y de seguridad que lastran el comercio electrónico. De paso, también pretende ayudar a sus potenciales usuarios a cumplir con la legislación. Y es que el Gobierno ha impulsado varias normativas que fuerzan a las empresas de cierto tamaño y a las administraciones a poner a disposición de los clientes nuevos elementos como la factura electrónica, la contratación vía web o la creación de entornos de comercio online.

Para que eso sea posible, se necesita un desarrollo tecnológico, que en ocasiones queda lejos de las posibilidades de las afectadas. Telefónica ha detectado este nuevo nicho de mercado y acaba de finalizar una plataforma única y global que responde a las necesidades de todas las fases del proceso y que sirve para cualquier compañía o institución pública, al margen del tamaño, según aseguran fuentes de la compañía.

La inversión necesaria para llegar a este punto ha sido de 400 millones de euros y permitirá a Telefónica hacerse con un 25% del mercado en 2011, según las previsiones de la operadora.

Hay varias normativas que están intentando alentar desde el Gobierno una mayor interacción electrónica entre empresas y usuarios, pero es la Ley de Medidas de Impulso de la Sociedad de la Información, conocida como LISI, la que pone a las empresas contra las cuerdas.

Todas aquellas que tengan más de 100 trabajadores, un volumen de operaciones superior a los seis millones de euros y pertenezcan a sectores estratégicos -finanzas, agua, gas, electricidad, telecomunicaciones, grandes superficies, transportes…- están obligadas a permitir la contratación online de sus servicios o productos, a permitir la consulta de datos y a usar la factura electrónica en los contactos con el sector público, entre otros.

Lo que ha hecho Telefónica es adelantarse a sus competidores y lanzar el primer producto integral, accesible desde todo tipo de dispositivos, que permite a las empresas y administraciones adaptarse a la ley. Se trata de una plataforma que las compañías pueden incluso instalar por sí mismas en su sistema informático. Telefónica cobra una cuota por el alta, pero su verdadera fuente de ingresos será por uso, ya que facturará por cada transacción electrónica.

El sistema, denominado mediador de confianza, se ha desarrollado en colaboración con el despacho Écija Abogados, que ha actuado como socio jurídico de Telefónica para garantizar los aspectos legales que el proceso conlleva. En primer lugar, la plataforma permite identificar a los usuarios a través de cualquier certificación electrónica. El DNI electrónico es la principal, con 3,8 millones en la calle y la previsión de que se duplique el año que viene, pero hay otras. Además de identificar, el sistema da garantías de seguridad, ya que está en contacto con las distintas bases de datos, de forma que la empresa que contrata el producto puede saber si el usuario está introduciendo un número o una clave de un DNI robado, por ejemplo. Incluso puede hacer sus propias listas negras con los clientes de los que quiere estar prevenida.

En un segundo paso, la plataforma permite la firma electrónica de contratos o la contratación de productos y servicios online, de forma que bancos y aseguradoras, por ejemplo, ya no tendría que enviar al domicilio del cliente la documentación de la hipoteca, la apertura de una cuenta bancaria o el seguro para obtener su rúbrica en papel. La seguridad jurídica de la plataforma permite que, en este paso, se pida el concurso del tercero de confianza, una figura independiente que da fe del contrato y lo almacena en terreno neutral durante el plazo exigido, cinco años.

Por último, el sistema proporciona también el llamado sellado de tiempo, que garantiza tanto el momento en que se firmaron los documentos como su inalterabilidad.

España, pionera

España es uno de los países más avanzados de su entorno en identificación electrónica y en apoyo a través de leyes al comercio online. Por eso se prevé que sean varias las compañías tecnológicas y legales que sigan la estela de Telefónica con soluciones similares.

De la gran corporación a la máquina de tabaco

La plataforma que acaba de lanzar Telefónica está destinada a grandes empresas y administraciones públicas, pero nada impide su adaptación a otros campos de la vida. Eso sí, con algunos retoques.

Una de las opciones más evidentes es trasladar el sistema de identificación a las máquinas expendedoras de tabaco, por ejemplo. Telefónica todavía no tiene el producto, pero no descarta que exista en breve, ya que permitiría garantizar uno de los requisitos legales que envuelven la venta de cigarrillos.

Los dueños de los locales donde están estas máquinas están obligado a controlar la edad de los demandantes de tabaco, para evitar caiga en manos de menores. Pero esta labor es bastante complicada y podría evitarse si la máquina llevara incorporado un sistema para introducir el número de DNI electrónico y la clave. Una adaptación del sistema de Telefónica permitiría identificar al comprador y sabría inmediatamente su edad, de forma que cancelaría la venta de tabaco siempre que tuviera menos de 18 años.

Hace un par de años SOCINFO preparó un seminario sobre DNI electrónico.

El año pasado, ASIMELEC organizó un Congreso sobre DNI electrónico e Identidad Digital

Hace unos dias se desarrollaron unas charlas informativas sobre el DNI electrónico en Almendralejo, el 28 de febrero, el 12 de marzo y el  26 de marzo. 

ASIMELEC colabora en un evento  sobre DNI electrónico en La Rioja el 13 de mayo de 2008.

Ya se empieza a difundir el Congreso de Identidad Digital de ASIMELEC, que tendrá lugar el 20 de mayo de 2008.

El 4 de junio del 2008 intervengo en Valencia en el evento Gestión de Documentos Electrónicos en las Administraciones Públicas y Grandes Organizaciones que tratará también del DNI electrónico.

El pasado 22 de abril de 2008, el PCI SSC (Payment Card Industry Security Standards Council) ha hecho pública una nota aclaratoria sobre el cumplimiento de algunos aspectos de la norma PCI DSS (Data Security Standard).

Según la nota, se publican dos suplementos informativos que aclaran la aplicación de los requerimientos 11.3 relativo a las comprobaciones de penetración (hacking ético) y 6.6 relativo a la revisión del código o su alternativa, el uso de firewalls de nivel de aplicación.

En relación con el requerimiento 11.3, se aclara quien puede llevar a cabo este tipo de análisis de penetración, su alcance y frecuencia, su metodología y los componentes de las técnicas de comprobación.

En relación con el requerimiento 6.6 (el famoso requerimiento que entraba en vigor a finales de junio de 2008 ) se dan varias opciones a las alternativas de revisión de código y de uso de cortafuegos de nivel de aplicación.

Para la revisión de código se admite:

• Revisión manual del código fuente
• Uso adecuado de herramientas automáticas de revisión de código fuente (Analizadores)
• Asesoría sobre adaptación manual de sistemas frente a vulnerabilidades de seguridad de aplicaciones web
• Uso adecuado de herramientas automáticas de revisión de vulnerabilidades de seguridad de aplicaciones web (Analizadores)

En relación con la alternativa de uso de un cortafuegos de nivel de aplicación (WAF: Web Application Firewall), se indican las funcionalidades recomendadas de ese tipo de soluciones, las funcionalidades que dependen del entono de uso, consideraciones para las organizaciones que los implementan y fuentes de información complementarias sobre seguridad de aplicaciones web.

En el número 63 de abril de 2008 de la revista “Ideas & Negocios” se habla en la página 84 (Sección Telecos) sobre “La nueva factura electrónica“.

Entre las soluciones mencionadas, está el programa Profirma desarrollado por Albalia Interactiva y distribuido gratuitamente con el libro “La Factura Electrónica“, editado por ASIMELEC y Red.es.

El programa Profirma es una solución sencilla para firmar documentos electrónicos,  basada en la Cripto API de Microsoft (CAPICOM 2.0) y que genera ficheros PKCS#7 (CMS) con la extensión .fir (la misma que han adoptado para este tipo de ficheros AC Camerfirma o CatCert, la Agencia Catalana de Certificación). El fichero resultante contiene en su interior el documento electrónico, las firmas que se añaden (pueden ser más de una) y los certificados asociados a los firmantes.

Esta versión gratuita no incluye timestamping ni validación, por lo que las firmas generadas son firmas “básicas” y no las “firmas completas” que propugnamos, promoviendo el estándard TS 101 733 en la modalidad CAdES ES-X-L. La versión incluída en BackTrust sí incluye este tipo de firmas.

Dado que este software lo utilizamos en nuestros cursos de firma electrónica como ejemplo, para llevarlo a cabo “al completo” hemos creado una página web que permite obtener “Certificados de Prueba” (esta página web abre un frame en el subdominio CA -de “Certification Authority”- del web de Albalia).

Este servicio genera ficheros PKCS#12, semejantes a los de los backups de certificados. Se cifran con el PIN que se indica en el formulario y que se tiene que recordar al instalarlos en el ordenador. El fichero resultante incluye una clave privada y el certificado, y, opcionalmente, la cadena de certificación hasta la “root“. Al usarlo, conviene recordar que es preciso marcar la casilla de “incluir root” si es un certificado para ser usado  con una aplicación de usuario (ya que de esta manera se instala la cadena de confianza de la CA emisora en el ordenador). Si se va a usar en una aplicación java es mejor no marcar la citada casilla y obtener el certificado de la CA “root” en la siguiente panatalla, tras hacer click en “crear certificado”.

Ahora que la codificación en XML está avanzando tanto (también en las firmas electrónicas), hay menos referencias a las formas de codificación basadas en ASN.1.

Los estándares producidos por el antiguo Comité Consultivo Internacional de Telégrafía y Telefonía (CCITT), que ahora se denomina Unión Internacional de Telecomunicaciones (ITU) basan sus especificaciones en ASN.1 . Cada vez más, las normas del Grupo de trabajo de ingeniería de Internet (IETF) se basan también ASN.1  para establecer sus recomendaciones de forma precisa.

Puede decirse que ASN.1 refleja en una página lo que de otra forma necesitaría cinco o seis páginas para describir lo mismo en otro formato.

Abstract Syntax Notation One ( ASN.1) es un lenguaje basado en la notación Backus-Naur form (BNF) para definir especificaciones de formatos independientemente de la implementación. Es el lenguaje que emplean los autores de los estándares.  ASN.1 facilita la comunicación entre los profesionales y los miembros de los comités de normalización al ofrecer un lenguaje común para describir un estándar. ASN.1 se define en las recomendaciones X.209 y X.690 de ITU-T.

ASN.1 define:

• Qué es un “tipo”.
• Qué es un “módulo” y qué apariencia debe tener.
• Qué es un ENTERO.
• Qué es un valor BOOLEANO.
• Qué es un “tipo estructurado”.
• Qué significan ciertas palabras clave (por ejemplo, BEGIN, END, IMPORT, EXPORT, EXTERNAL, etc.).
• Cómo “etiquetar” un tipo para que se pueda codificar correctamente.

BER es el acrónimo de Basic Encoding Rules (Reglas básicas de codificación) de ASN.1. BER se define en las recomendaciones X.209 y X.690 de ITU-T. Es un conjunto de reglas para codificar datos ASN.1 en una secuencia de octetos que se pueden transmitir a través de un vínculo de comunicaciones. Hay otros métodos de codificación de datos ASN.1, entre los que se incluyen Distinguished Encoding Rules (DER, Reglas de codificación distinguible), Canonical Encoding Rules (CER, Reglas de codificación canónica), Packing Encoding Rules (PER, Reglas de codificación de compactas) y XML Encoding Rules (XER, Reglas de codificación XML).

Cada método de codificación tiene su aplicación, pero BER y DER son los métodos más utilizados. En particular DER cuando se habla de firma electrónica y certificación.

El estándar ha evolucionado desde la versión de 1998 a la de 2002, básicamente en cuanto a la referencia normativa (CCITT/ITU)  y las diferencias pueden verse aquí.

En general, no existen cambios en lo que se refiere a los bits de una secuencia (”bits on the wire”) cuando se cambia de ASN.1:1988 según se define en la Rec. X.208 de CCITT  y BER:1988 según se define en la Rec. X.209 de CCITT a ASN.1:2002 según se define en las Rec. X.680-X.683 de ITU-T (que coinciden con ISO/IEC 8824-1,2,3,4) y BER:2002 según se define en la Rec. X.690  de ITU-T (que coincide con ISO/IEC8825-1). De hecho no hay posibilidad de que una parte de la comunicación distinga si la otra está usando  ASN.1:1988 o ASN.1:2002.

No se si desde este humilde blog podré hacer algo por impulsar Mobipay. Sé que tiene sus defensores y detractores y que lo que yo diga estará sometido a la sospecha de posibles intereses personales. Al fin y al cabo yo era en Director Técnico de Mobipay International en el momento de su lanzamiento, entre 2001 y 2003.

Sin embargo, ya no tengo vinculación personal con el proyecto y sí una sensación de frustración por lo que en mi opinión es una molesta carencia de fe de los inversores en el proyecto, que se ha traducido en un perfil comercial bajo promocionando Mobipay, en lo que atañe a las propias entidades financieras y a las operadoras participantes.

No sé cuanto combustible queda en el motor de Mobipay y si los socios financieros (sobre todo Telefónica y BBVA) aspiran a difundir el modelo como estándar mundial, pero de lo que no tengo duda es de que dentro de unos años pagaremos con el teléfono móvil (celular) en todo tipo de situaciones. Que el sistema sea Mobipay u otro modelo reinventado fuera de España dependerá de perspicacia y de la perseverancia de los altos directivos de entidades como las mencionadas o Grupo Santander, también con influencia global.

Lo que hoy traigo aquí es una lista de libros internacionales en los que se menciona la iniciativa Mobipay como una de las más prometedoras en el mundo del m-commerce.

• GPRS Demystified (Demystified) by John Hoffman (Paperback - Sep 4, 2002)
• M Commerce: Technologies, Services, and Business Models by Norman Sadeh (Paperback - April 19, 2002)
• Mobile Government: An Emerging Direction in E-government by Ibrahim Kushchu (Hardcover - April 30, 2007)
• Implementing Value-Added Telecom Services by Johan Zuidweg (Hardcover - Nov 30, 2006)
• Plunkett’s Telecommunications Industry Almanac 2007: Telecommunications Industry Market Research, Statistics, Trends & Leading Companies by Jack W. Plunkett (Paperback - Aug 30, 2006)
• Computer Aided Systems Theory - EUROCAST 2003: 9th International Workshop on Computer Aided Systems Theory, Las Palmas de Gran Canaria, Spain, February … Papers (Lecture Notes in Computer Science) by Robeto Moreno Diaz and Franz Pichler (Paperback - Dec 5, 2003)
• Plunkett’s Telecommunications Industry Almanac 2006 (Plunkett’s Telecommunications Industry Almanac) by Jack W. Plunkett (Paperback - Aug 30, 2005)
• Distributed Computing and Internet Technology: First International Conference, ICDCIT 2004, Bhubaneswar, India, December 22-24, 2004, Proceedings (Lecture Notes in Computer Science) by R.K. Ghosh and Hrushikesha Mohanty (Paperback - Mar 14, 2005)
• Opengardens: The Innovator’s Guide To The Mobile Data Industry by Ajit V. Jaokar and Tony Fish (Paperback - Nov 30, 2004)
• Security for Mobility (Telecommunications) by Chris J. Mitchell (Hardcover - Dec 2003)
• Plunkett’s Wireless, Wi-Fi, RFID & Cellular Industry Almanac 2007: Wireless, Wi-Fi, RFID & Cellular Industry Market Research, Statistics, Trends & Leading Companies by Jack W. Plunkett (Paperback - Jul 28, 2006)
• Brand’s New Toy by Christopher Quente (Hardcover - Sep 30, 2006)
• Global Mobile Commerce: Strategies, Implementation and Case Studies (Premier Reference Source) by Wayne W. Huang, Yingluo Wang, and John Day (Hardcover - Sep 14, 2007)
• Plunkett’s E-Commerce & Internet Business Almanac 2008:E-Commerce & Internet Business Industry Market Research, Statistics, Trends & Leading Companies … E-Commerce and Internet Business Almanac) by Jack W. Plunkett (Paperback - Mar 1, 200
• Advances in the Economics of Information Systems by Kerem Tomak (Hardcover - Dec 1, 2004)
• Managing Business In A Multi-channel World: Success Factors For E-business by Timo Saarinen, Markku Tinnila, and Anne Tseng (Hardcover - Jul 22, 2005)

No negaré que el tema del voto electrónico está sujeto a cierta controversia.

Yo creo que pueden desplegarse estupendas soluciones que combinen aspectos presenciales y a distancia que sean cómodas, fáciles de usar y seguras.

Y que impidan cualquier manipulación.

Otra cosa es que este tipo de soluciones sean las que prefieran adquirir los mandatarios que convocan cualquier acto electoral sobre cuyo resultado tienen intereses propios.

Desde hace varios años, en Albalia Interactiva hemos trabajado en la organización de voto societario a distancia y presencial (juntas de accionistas, consejos de administración, asambleas de cajas de ahorros) y muchos de nuestros conceptos han sido adoptados incluso por sociedades que finalmente no nos han contratado (este es uno de los grandes dilemas de los consultores: qué es lo que cuentas en la preventa, de forma que convenzas al cliente de que eres el aliado perfecto para resolver su problema, pero no tanto como para que piense que con lo que le has contado y un poco más se las puede apañar solo o con su proveedor de toda la vida).

(paréntesis: supongo que alguno de esos no clientes que han usado nuestro sistema y metodología sin pagar algún día leerán este post y se percatarán de que nos hemos dado cuenta, y les entrará un poco de verguenza por un comportamiento tan poco ético).

Acabo de descubrir el interesante blog Nethodical especializado en usabilidad que precisamente analiza el voto electrónico. Este es el articulo . Aunque el artículo ya lleva un tiempo escrito el blog es muy prometedor y les animo a continuar en su linea.

Y es que yo pienso que la seguridad se ha de analizar de forma global (holísticamente, que dicen ahora). Y en ese análisis pesan mucho las acciones de los usuarios, por lo que es más seguro un sistema con reglas claras por las que el usuario pueda detectar si le intentan engañar que otro técnicamente más robusto pero que facilite el engaño al usuario.

Sabeis que llevo algún tiempo promocionando la adopción del formato de firma ES-XL descrito en los estándares TS 101 733 y TS 101 903, porque si esta variante de firma se emplea desde el lado del firmante, se libera al receptor que confía en la firma, del problema de la validación (lo que es un verdadero reto en un contexto europeo de más de 100 prestadores de servicios de certificación).

Estos desarrollos normativos de ETSI se han visto reflejados en la norma del epígrafe RFC3126 “Electronic Signature Formats for long term electronic signatures” en el cuerpo de normas de IETF.

El formato se considera una extensión de las normas RFC 2630 y RFC 2634 sobre las que se han definido nuevos campos de atributos de la firma firmados y no firmados.

An Electronic Signature (ES) , with the additional validation data forming the ES-X long:

Esta norma, de recomendada lectura ayuda a aclarar conceptos en relación con las firmas electrónicas.

José Antonio Gelado preparó hace algún tiempo un artículo sobre “Gestion de empresa con software libre” muy interesante y que recorre prácticamente toda la oferta de software empresarial en entornos libres.

Posteriormente ha ampliado el estudio para la revista Consumer en “Programas de gestión para autónomos y pymes” también referenciado en su blog Informediario.

Yo añadiría nuestra aportación desde Albalia Interactiva. Aunque Faccil no es software libre (aún, quizá lo sea más adelante), es gratuito durante 2008, y pretendemos que lo siga siendo en el futuro para quienes tienen que emitir muy pocas facturas.  Faccil es una herramienta de facturación electrónica bajo un modelo ASP que cumple los últimos requisitos legales para ello. Y en particular, es una de las pocas soluciones que incorpora el formato facturae y la firma electrónica XML en modalidad XAdES ES-X-L. 

Me consta que CENATIC, la Fundación de Software Libre (Centro Nacional de Referencia de Aplicación de las Tecnologías de la Información y la Comunicación es su denominación exacta) apoya la adopción práctica de soluciones de fuentes abiertas (como se puede ver en la sección de su web Conseguir software libre) y posiblemente pronto incluya una selección del software empresarial más potente.