Blog Day 2010

El 31 de agosto es el Blog Day.

Estas son las reglas:

Instrucciones del BlogDay:

1. Encontrar 5 nuevos blogs que consideras interesantes.
2. Informar o advertir a los autores seleccionados tu recomendación para el BlogDay.
3. Escribir una descripción corta de cada blog y enlazarlos.
4. Publicar una entrada el 31 de agosto, el BlogDay, mencionando los 5 blogs que recomiendas
5. Agregar el tag BlogDay de Technorati:
   http://technorati.com/tag/blogday2010 y un enlace al sitio BlogDay: http://www.blogday.org

Para mi selección de hoy me he decantado por el mundo del márketing:

• http://marketingpositivo.blogspot.com Blog sobre márketing y muchos otros temas, como LOPD  escrito por Jesús Pérez Serna
• http://marketingyconsumo.com/ Blog escrito por profesionales dedicados al Marketing e Investigacion de Mercados, dirigido a personas interesadas en temas relacionados con la actualidad del marketing, la comunicacion y el consumo.
• http://marketisimo.com/Blog sobre márketing de César Pérez Carballada, con artículos tienen en cuenta otros medios además de los on-line, y con un enfoque bastante académico.
• http://www.elblogdelmarketing.com/ Pedro tiene un blog sobre márketing lleno de videos, y atento a lo que se mueve en e mundo on-line.
• http://popmk.com/Algunos consideran pop marketing el primer blog que habló de marketing en español. Marketing para pymes y posicionamiento en buscadores. “Todo es marketing”

Otros Blog Day en este blog:

• Blog Day 2006
• Blog Day 2007
• Blog Day 2008
• Blog Day 2009

EADTrust – European Agency of Digital Trust

Como ya he mencionado en otros artículos, una de las empresas en las que colaboro es EADTrust, European Agency of Digital Trust, un Prestador de Servicios de Certificación que presta servicios relacionados con la firma electrónica en el marco de la Ley 59/2003 con una filosofía que intentamos que sea novedosa:

• No está prevista la emisión de certificados individuales a personas físicas (podría considerarse la emisión de certificados a personas vinculadas a colectivos, en el marco de un proyecto).
• Se prevé que gestione servicios de confianza de la Sociedad de la Información, especialmente favoreciendo la creación de firmas electrónicas de alta calidad con servicios de timestamping, validación de certificados y custodia digital de documentos electrónicos
• Proporciona servicios avanzados, algunos especialmente diseñados para administraciones públicas en el marco de la Ley 11/2007: publicación fehaciente en el perfil del contratante, notificación fehaciente, facturación electrónica o generación y verificación de firmas electrónicas mediante protocolo DSS de OASIS (el Ministerio de Presidenca ha anunciado que la evolución de la plataforma @firma se orientará a la implementación de este protocolo).
• Dispone de CAs root vinculadas que combinan criptografía RSA y criptografía ECC (Elliptic curve cryptography)

Este último es un hito significativo, al ser la primera autoridad de certificación del mundo con tecnología dual, y, posiblemente, la primera autoridad de certificación europea que cuenta con una jerarquía PKI basada en curvas elípticas.

Los certitificados raiz de la jerarquía dual son estos:

• RSA (sha1RSA). Tamaño clave RSA 2048 bits
• ECC (sha1ECDSA). Tamaño clave ECC: 256 bits (equivalente a 3020 bits en RSA)

Ambas root se generaron en presencia notarial, siguiendo un procedimiento que hemos ido perfeccionando en sucesivas ceremonias de  generación de claves de CA (Certification Authority) en otros prestadores con los que hemos colaborado: FESTE, Camerfirma, Banesto y ANCERT.

La autoridad de certificación basada en algoritmo de Curva Elíptica utiliza, en particular,  ECDSAFp de 256 BITS aleatorios (secp256r1), según se indica en los documentos generados por el NIST (National Institute of Standards and Technology) FIPS (Federal Information Processing Standards) 186-2 y FIPS 186-3 en sus apéndices 6 y D respectivamente en sus secciones referentes a las Curvas Elípticas Recomendadas para uso del Gobierno Federal (Estados Unidos).

Colisiones en las firmas en PDF

Florian Zumbiehl reporta un problema en las firmas PDF que permitiría forzar colisiones de funciones resumen (hash) de documentos de forma que la firma electrónica de uno de ellos podria ser utilizada para aparentar que el firmado es el otro.

Según su descripción es una vulnerabilidad que radica en la propia especificación del formato PDF por lo que no depende de la implementación, y por tanto no cabe atribuirlo a un producto en particular.

En mi opinión, el tipo de ataque documentado no supone un problema real para los documentos PDF ya firmados, más allá de los aspectos probabilísticos  de las colisiones, consustanciales a las funciones resumen.

Es decir, siempre que obtengamos colisiones de documentos “a priori” estas colisiones podrán ser utilizadas para “suplantar” los documentos que colisionan, utilizando la firma de uno para dar la apariencia de firma al otro.

En este caso particular la concatenación de documentos, siendo uno de ellos firmado, podría dar lugar a que se considerara válida una firma sin serlo, ya que solo aplicaría a uno de los documentos y no al otro.

La solución general es utilizar funciones resumen diferentes en sistemas de firma dual o múltiple, tal y como hacemos en el proyecto Binum, que ya mencioné en este blog o tal como es posible llevar a cabo con certificados emitidos en la jerarquía de certificación dual de EADTrust.

Y, por supuesto, también merece la pena adoptar la solución propuesta por Florian, que consiste en afinar un poco más la especificación de la firma en PDF para que se reforzaran los controles que identifican lo que va firmado dentro del PDF.

El uso del DNIe en Caixa Galicia se incrementa un 400 por ciento

En el pasado mes de mayo, el Ministerio de Industria, Turismo y Comercio a través de la Entidad pública empresarial Red.es seleccionaba a Caixa Galicia y Banesto como las dos entidades financieras en mejor disposición para abordar el proyecto ‘Fomento de uso del DNI electrónico entre los ciudadanos’. En el mismo proceso, Albalia quedó seleccionada como una de las cuatro empresas desarrolladoras de software que impulsa también el DNIe.

Esta colaboración incluye el compromiso de las entidades seleccionadas de establecer cauces informativos acerca del DNIe y promocionar su uso entre los ciudadanos mediante dos líneas de actuación: la difusión de las ventajas que este medio de identificación y firma y la eliminación de barreras tecnológicas asociadas a su utilización.

Transcurridos dos meses desde el inicio del proyecto, Caixa Galicia realiza con Red.es el primer balance de acciones correspondiente a los meses junio y julio. Entre estas acciones, la caja gallega ha destacado esta mañana las siguientes: 

• Despliegue interno de 5.000 ordenadores habilitados para utilizar el DNIe como elemento identificador.
• Reparto de 5.500 lectores de DNI-e entre la plantilla de empleados de la Caja, Obra Social y Fundación.
• Reparto de 1.500 lectores y folletos informativos entre clientes y preparación de otras 12.000 unidades para ampliar la difusión de lectores a partir de la segunda quincena de agosto.
• Cursos de formación entre los asistentes a los Centros Ciberalia  y planificación de los nuevos seminarios en  Centros de Mayores, Edificios de Fundación y Centros On.
• Difusión a través de la web y distintas redes sociales como facebook, twitter, youtube, etc. sobre cómo obtener el DNI-e, forma de uso, gestiones que se pueden realizar con diversos organismos públicos y servicios a los que se puede acceder.

Caixa Galicia está potenciando la utilización del DNI-e en las operaciones con sus clientes. Así, dentro de su banca electrónica para particulares ‘Caixa Activa’, los accesos mediante DNI-e se han incrementado un 400% desde septiembre del pasado año, y en el mes de junio 1.181 usuarios lo utilizaron como método para entrar en su banca electrónica. El total de accesos con este método en el mes fue de 5.270. Otras opciones disponibles con DNI-e son la contratación de On productos dentro de la Oficina Virtual On CaixaGalicia o las consultas desde algunos cajeros automáticos preparados para este uso. 

La difusión de las ventajas de identificación y firma a través del DNI-e, así como la eliminación de barreras tecnológicas asociadas a su utilización, son actuaciones importantes que se enmarcan dentro del plan Avanza2, cuyo principal objetivo es contribuir a la recuperación económica de España gracias al uso intensivo y generalizado de las Tecnologías de la Información y la Comunicación (TIC), prestando una especial atención a los proyectos que compaginen, además, la sostenibilidad y el ahorro energético.

Visto en Caixa Galicia

Oekom otorga a la CAN la calificación de ‘prime’

Oekom, una de las empresas de análisis de rating sostenible más reputadas del mundo, otorga a la CAN (Caja de Ahorros de Navarra) la calificación de ‘prime’  como entidad recomendada para inversiones socialmente responsables

Visto en Diario de Navarra

Caja Navarra ha sido considerada ‘prime’ por la agencia de rating Oekom, una distinción que coloca a esta entidad como objeto de inversión socialmente responsable.

El pasado 18 de agosto de 2010 se publicaba la noticia del reconocimiento de la CAN en el ámbito de las inversiones socialmente responsables.

Oekom es una de las empresas de análisis de rating sostenible “más reputadas del mundo”, y ha otorgado a Caja Navarra la máxima consideración tras someterla a un análisis “muy exigente” de su conducta social, ambiental y económica.

Con esta calificación, Oekom ha situado a la CAN “del lado de las compañías y productos de inversión sostenible”, de modo que las emisiones de Caja Navarra van a ser consideradas a partir de ahora “por los bancos, gestores e inversores más comprometidos, con criterios de rentabilidad y sostenibilidad”.

Para otorgar a la CAN la calificación de ‘prime’, Oekom analizó aspectos como las políticas de participación y gestión de la comunidad, la transparencia, las políticas ambientales y sociales, tanto hacia su plantilla como hacia la sociedad en general.

Por ejemplo,  Oekom tuvo en cuenta “la igualdad de oportunidades, formación de los empleados y la seguridad y estabilidad de sus puestos de trabajo” para que la CAN lograr la calificación de ‘prime’.

Oekom también estudió el comportamiento de Caja Navarra con los clientes con problemas para devolver sus deudas o quienes viven situaciones de exclusión y dificultad de acceso a servicios financieros, entre otros muchos aspectos. Oekom evaluó a la CAN el pasado mes de junio junto a otras 28 entidades financieras europeas.

Más información en CAN.

II Jornada de Cátedras Telefónica

Ya se conoce la agenda programada para la II Jornada de Cátedras Telefónica que tendrá lugar el próximo 3 de noviembre de 2010 en el Salón de Actos del Edificio López Araujo de la Escuela Técnica Superior de Ingenieros de Telecomunicaciones de la Universidad Politécnica de Madrid (ETSIT-UPM).

La Jornada girará en torno a la seguridad en el acceso a la nube desde tecnología móvil y abrirá un foro de discusión entre el ámbito universitario y el empresarial en el que participarán ponentes de la ETSIT-UPM.

El horario previsto para la II Jornada de Cátedras Telefónica es el siguiente:

10 h. Inauguración de las Jornadas:

Rector Magfco. Sr. D. Javier Uceda. Rector de la UPM.

Sr. D. Guillermo Cisneros. Director de la ETSIT-UPM

Sr. D. Alberto Andreu, Director Reputación Corporativa, Identidad y Medio Ambiente.Telefónica

Sr. D. Juan Quemada, Director de la Cátedra Telefónica “Internet de Nueva Generación”

Ronda teleconferencia con la Red de Cátedras de Telefónica.

10:20 Ronda de Bienvenida Red de Cátedras Telefónica

Sr. D. Fabián García Pastor. Gerente de Reputación Corporativa, Identidad y Medio Ambiente. Telefónica

Ronda de bienvenida desde las Sedes Remotas

10:30h. Conferencia “Hacía el nuevo ecosistema digital”

Sr. D. Julio Linares, Consejero Delegado de Telefónica

11:15 Café

11:45h. Conferencia “La gestión de los recursos radio en las nuevas comunicaciones móviles.”

Sr. D. Ramón Agusti. Catedrático ETSIT. Universidad Politécnica de Cataluña.

12:30. 1ª Sesión: Mesa Redonda “Acceso móvil en banda ancha a la nube.”

Moderador:

Sr. D. Jorge Pérez Martínez, Catedrático ETSIT-UPM.

Ponentes:

Sr. D. Luis Ezcurra, director de Terminales y Multimedia, Telefónica

Sr. D. Cayetano Carbajo, Director Planificación y Tecnología, Telefónica.

Sr. Manuel Lorenzo, Head of Technology&Innovation at Ericsson Spain

Sr. D. Jesús Rivero, Fundador y Presidente Ejecutivo de DINTEL .

Sr. D. Julio Navío, Director de Tecnología Nokia Siemens

Sr. D. Eloy Fustero, Director de Desarrollo de Negocio de QUALCOMM

13:30. Comida

15:30. 2ª Sesión. Mesa Redonda: “Seguridad en la nube.” (Security in the cloud)

Moderador:

Sr. D. José A. Mañas, Catedrático ETSIT-UPM

Ponentes:

Sr. D. Luís Buezo. Cloud Computer Alliance.

Sr. D. Luis Fernando Alvarez-Gascon. Director General de SGI. Grupo GMV.

Sr. D. Juan Miguel Velasco. Associated Director Security Services and Solutions at Telefónica Soluciones.

Sr. D. Jorge Dávila. Prof. Titular Facultad de Informática. UPM.

Sr. D. Javier Candau. Jefe del Área de Políticas y Servicios del Centro Criptológico Nacional.

Sr. D. Victor Izquierdo. Director General de INTECO.

16h 45

Descanso

17h. 3ª Sesión. Mesa Redonda: “e-trust: confianza en la red”

Moderadores:

Sr. D. Luis Fernández. Sr. D. José de la Peña. SIC, Seguridad en Información y Comunicaciones.

Sr. D. José A. Mañas, Catedrático ETSIT-UPM.

Ponentes:

Sr. D. Manuel Carpio, Dtor. Seguridad de la Información y Prevención del Fraude de Telefónica

Sr. D.Julian Inza, President at EAD TRUST European Agency of Digital Trust.

Sr. D. Ignacio Alamillo, General Manager at Astrea La Infopista Jurídica SL Innovation Manager at Logalty.

Sr. D. Javier Rodrígez Zapatero, Director Google España. (sin confirmar)

Sr. D. Héctor Sánchez, National Technology Officer at Microsoft Spain Information Technology and Services.

Sr. D. Miguel Álvarez Rodríguez, Ministerio de la Presidencia. STORK

18:30h Clausura

Sr. D. Gonzalo León, Vicerrector de la UPM.

Sr. D. Javier Portillo, Adjunto al Director ETSIT para Investigación y relación con Empresas.

Sr. D. José Mª Hernando Rábanos, Director Cátedra Telefónica “Sostenibilidad en Comunicaciones Móviles“.

19h Copa de vino español

Visto en “Internet de nueva generación”

Documentoscopia digital

La Documentoscopia es un área de conocimiento de la Criminalística que tiene por objeto la investigación tendente a la determinación de la autenticidad o falsedad de un “documento” o de su contenido, ya sea  impreso o manuscrito, de los medios utilizados para la falsificación, en su caso, y a la identificación, cuando sea posible, de su autor.  

Documento, desde este punto de vista es “todo soporte capaz de albergar un contenido gráfico, sea impreso o manuscrito”. Con este punto de vista en ocasiones se trata utiliza el término “documentología” como sinónimo de “documentoscopia”, si bien en sentido estricto el primero engloba al segundo (por sus indicaciones etimológicas del griego skopein = observar, examinar y logos = ciencia, tratado).

De todo estudio, con su demostración técnica y conclusiones se elabora el correspondiente INFORME PERICIAL por peritos independientes, o pertenecientes a la Policía Científica.

Los tipos delictivos correspoden a la “falsedad documental”. Cuando los documentos se basan en papel, se trabaja especialmente sobre los siguientes tipos de documentos:

• Documentos acreditativos de identidad. 
• Pasaportes y títulos de viaje.
• Tarjetas de crédito, o de fidelización.
• Billetes de banco y cheques de viaje.
• Billetes de lotería y juegos de azar.
• Documentos oficiales.
• Sellos (húmedos, en seco, etc.).
• Cheques y talones de entidades financieras. 
• Escritos mecanográficos.
• Escritos de impresora.
• Fotocopias.
• Falsificaciones de marcas registradas (signos distintivos) y etiquetados.
• Documentos relativos a vehículos y transporte.
• Material de impresión
• Soportes no convencionales (tatuajes, marcajes de ganado, graffittis)

Existen especialidades como la grafoscopia (pericial caligráfica) que permite detrminar si el autor de un documento manuscrito o de una firma es o no una determinada persona.

Otra especialidad, relativa a las obras de arte, se centra en la datación, y caracterización de obras de arte para determinar su autenticidad. En este sentido se trabaja también sobre las firmas de obras de arte para determinar si se trata de falsificaciones.

Cuando los documentos son electrónicos, la disciplina se emparenta con la informática forense, en la que cabe distinguir el diferente tratamiento que merecen los documentos estructurados y los no estructurados.

Cuando la información obtenida se extrae de los vestigios remanentes en los sistemas de almacenamiento, es esencial un conocimiento profundo de los sistemas operativos, de las aplicaciones y de los formatos de los ficheros. De esta forma es posible acceder, por ejemplo, a documentos borrados, a rastros grabados en logs a información de metadatos de documentos, a diferentes versiones de documentos, a información de sistema y a históricos de comandos. Con la información obtenida es posible recomponer el relato fáctico y asociarlo a otras fuentes de investigación, como los seguimientos, los interrogatorios, los registros o las confidencias. Este contexto da lugar a la prueba pericial informática. 

Por el lado de los documentos estructurados, es preciso profundizar en las peculiaridades del entorno de uso (frecuentemente administraciones públicas), en los formatos normalizados y en los formatos de las firma electrónicas. Este contexto da lugar a la prueba pericial documentoscópica digital.

Hogar Conectado a Internet (HCI)

Hace unos días, Alfonso Arbaiza. Director General de Fundetec escribió un artículo en Cinco Días que merece la pena reproducir: Llamamiento al legislador

En un momento como el actual, en el que el Gobierno trata de alejarse del déficit con medidas para reducir el gasto e incrementar los ingresos del Estado, toda aportación en este sentido resulta positiva y merece la pena ser tenida en cuenta.

Desde Fundetec (Fundación para el Desarrollo Infotecnológico de Empresas y Sociedad), queremos llamar la atención del legislador sobre la iniciativa Hogar Conectado a Internet (HCI), regulada por la disposición adicional vigésima quinta de la Ley 35/2006 del IRPF, que considera gastos de formación profesional, y no renta en especie para el empleado a efectos de IRPF, las cantidades destinadas por su empresa a facilitarle la conexión a internet y adquisición de equipos informáticos para uso desde el hogar, al tiempo que la empresa obtiene una deducción en el Impuesto sobre Sociedades.

Los programas HCI son una herramienta eficaz para contribuir a la reducción de la brecha digital en España: 332.000 familias españolas se conectaron a internet entre 2006 y 2008 gracias a esta iniciativa.

Pero además de esta aportación al avance de la Sociedad de la Información, HCI dinamiza el comercio, repercute en las ventas del sector tecnológico y se traduce, por tanto, en más ingresos para el Estado en concepto de IVA. Un dato: durante 2009, los fabricantes de ordenadores vendieron en España 5,28 millones de equipos, según Gartner. El 4,4% de ellos se comercializaron a través de programas HCI.

Y ahora, una estimación a futuro: el Estado español obtendría unos ingresos de 38,3 millones de euros en cuatro años si se decide ampliar la vigencia de la citada disposición que regula esta iniciativa, cuyo plazo expira el 31 de diciembre de 2010.

Esta proyección ha sido calculada a partir del coste medio de un ordenador y de una línea ADSL, el número de equipos vendidos y un IRPF medio del 18% aplicado en España durante el año 2009, calculando después la diferencia entre la desgravación por IRPF que dejaría de ingresar el Estado a través de los programas HCI y los ingresos por IVA, resultantes de la venta de equipos y conexiones a internet.

Si bien es cierto que durante el primer año el Estado obtendría un saldo negativo de casi 8,9 millones de euros (motivado por las desgravaciones en el IRPF), durante los tres años posteriores los ingresos serían de 15,7 millones de euros anuales, lo que arroja un saldo positivo al finalizar el cuarto año de 38,3 millones de euros. A ello habría que añadir el incremento de la productividad laboral y de la capacitación tecnológica de todos los miembros de la unidad familiar española.

Fundetec, asesorada por el despacho de Garrigues, ha presentado una enmienda ante diputados populares y socialistas de la Comisión de Industria, Turismo y Comercio del Congreso, que plantea la ampliación de la vigencia de la disposición adicional vigésima quinta de la Ley 35/2006 a través de su incorporación al Proyecto de Ley de Economía Sostenible.

Evidentemente, 38 millones de euros no es mucho al lado de las estadísticas que maneja el decretazo. Pero todo suma y no debería pasarse por alto una disposición que beneficia a la sociedad española en su conjunto y que, al mismo tiempo, genera ingresos tan necesarios en la actual coyuntura económica.

Free personal digital certificates

We at Albalia are working in electronic signature environments since the creation of the company. Most of our staff has been working for several Certification Authorities since 1995 (and in the subjet of public key cryptography sinde 1992).

Now we are better known by our BackTrust electronic signature suite of solutions, (specially zBackTrust, the only IBM certified solution for electronic signature under OASIS DSS and ETSI XAdES/PAdES standards in  zSeries Mainframe computers, and featured in the recent announcement of IBM zEnterprise System).

This has led us to be also well known in electronic invoice markets and in eGovernment environments.

Since 2005 we offered a free electronic certificate service (that was even linked from spanish version of Wikipedia for “Autoridad de Certificación”) but the information was only in spanish.

Now we have published our english version that is available at:

http://ca.albalia.com:8080/democa/start.html

These free electronic certificates  are useful for testing purposes, both for windows and java environments. If you are going to use them in a windows workstation, check the box “include root”. To be used in a Java environment leave the box blank.

Also download the root certificate in the following screen to install it and grant your trust to the Certification Authority hierarchy, and this way to allow certificates issued by that CA to be trusted in your system.

Diplomática Digital

La diplomática, como ciencia que estudia las formas documentales, su autenticidad y su valor probatorio, establece una serie de términos sobre los elementos internos de la forma de los documentos. Para cada documento distingue las siguientes partes: protocolo, texto y escatocolo.

En este último, enumera diferentes elementos estructurales que pueden estar presentes en los dcumentos: corroboración, fecha, apreciación, salutación, claúsulas complementarias, atestación, certificación de firmas, notas de secretaría, etc.

La diplomática contemporánea establece el estudio de los documentos oficiales, especialmente en el ámbito notarial y administrativo.

La diplomática digital se centra en los documentos electrónicos y en su transcripción al papel para ser utilizados en contextos de prueba diferentes, que pueden llegar al ámbito jurisdiccional.

La transcripción al papel de un documento electrónico se denomina Albalá (o copia constatable)  y en él se incluye un elemento nuevo, denominado metacolo, que es una extensión del protocolo, y que puede ir a continuación del escatocolo.

El metacolo recoge elementos complementarios del documento electrónico que se extiende en sus metadatos. Entre los datos que se incluyen en el metacolo están la referencia al expediente del que forma parte, las anotaciones posteriores al documento, su vigencia o derogación y las referencias a documentos posteriores que afectan a sus efectos jurídicos.

En el escatócolo se indican, entre otros detalles, la información técnica relativa a las firmas electrónicas que acompañan al documetos: datos del certificado, datos del timestamping, datos de la comprobación de la vigencia del certificado (OCSP).