Plataformas de efactura


A lo largo del tiempo he tenido ocasión de colaborar con diferentes entidades especializadas en el ámbito de la factura electrónica y con el desarrollo del formato XML facturae.

Hasta que ha sido obligatorio (y factible) facturar electrónicamente al sector público han pasado mucho años de esfuerzo de muchas entidades, incluido el MINHAP, con un recuerdo de especial reconocimiento por Fernando de Pablo.

En la actualidad FACe se ha consolidado como uno de los principales Puntos de entrada de Factura electronica. A través de FACe las empresas presentan sus facturas electrónicas a la Administración General del Estado, lo que es obligatorio desde el 15 de Enero de 2015.

Ahora el entorno de la eFactura está más estabilizado, pero los retos técnicos y jurídicos siguen siendo importantes, especialmente con el objetivo de converger con los desarrollos legislativos comunitarios y la adopción de la norma EN 16931.

Por eso he pensado que este breve artículo puede ayudar a identificar algunas plataformas excelentes que prestan servicios de factura electrónica y que he tenido ocasión de comprobar de primera mano.

 

 

Plataformas certificadas de firma digitalizada


A lo largo de los últimos años, EADTrust ha evaluado diversas plataformas para la gestión de firmas manuscritas digitalizadas con tecnologías que permiten que se las encuadre entre las firmas electrónicas avanzadas que define el reglamento europeo UE 910/2014 (EIDAS).

Estas firmas, por la forma en que conservan la información biométrica de las firmas manuscritas permiten su cotejo por los peritos calígrafos en caso de que su autenticidad se haya de dilucidar en juicio o en otro contexto de resolución de controversias. Admiten, por tanto, un modelo que permite definir las firmas indubitadas y las controvertidas para su análisis y comparación.

Se benefician por tanto de una cualidad que el Reglamento EIDAS atribuye a las firmas electrónicas cualificadas: su equivalencia con las firmas manuscritas.

Las firmas que denominamos FMDA no son firmas cualificadas, porque no se basan en el uso de certificados cualificados. Sin embargo, no necesitan que una norma establezca la equivalencia funcional con las firmas manuscritas, porque son firmas manuscritas.

Además, como la mayor parte de las firmas manuscritas, tienen la propiedad de la inmediación (están hechas por la mano del firmante sin que intermedie un dispositivo técnico o mecánico) de la que carecen las firmas electrónicas realizadas con certificados digitales, inclusive las firmas electrónicas cualificadas.

logo-sello_fmda-platform_peqEADTrust ha definido un distintivo específico para identificar a las soluciones auditadas con características de plataforma, y que se diferencia del distintivo otorgado a las entidades que adoptan la tecnología y la integran con sus sistemas para recoger firmas que forman parte de sus flujos de negocio (este tipo de entidades se denominan “promotoras” en el contexto de los sistemas de FMDA impulsados por EADTrust)  .

Las plataformas deben permitir cumplir los 10 principios generales definidos por EADTrust, pero algunos de tales principios suponen retos de cumplimiento especialmente orientados hacia las entidades promotoras, que adoptan las plataformas para captar las firmas de sus clientes o potenciales clientes.

  1. Captura de elementos biométricos dinámicos de la firma asociados a sus datos de producción
  2. Vinculación biunívoca de los elementos biométricos con el documento firmado
  3. Imposibilidad de incrustar la firma en otros documentos
  4. Autenticidad del documento y vinculación con el firmante
  5. Confidencialidad de los datos biométricos y Protección de la información conforme a la LOPD y al RGPD
  6. Posibilidad de comprobar la firma por el titular
  7. Posibilidad de demostrar la validez de la firma en un proceso litigioso
  8. Simetría probatoria
  9. Soporte duradero
  10. Existencia de un procedimiento de detección y notificación a la autoridad de protección de datos de incidentes de seguridad que afecten a datos de carácter personal.

La urgente adopción de la criptografía postcuántica


Criostato de 50 Qubits presentado por IBM en noviembre de 2017

Está generalmente admitido que  los algoritmos criptográficos tienen una vida útil finita, en la que su validez está limitada por los avances en las técnicas de criptoanálisis, por los avances en la informática y por los avances en el conocimiento matemático subyacente que apuntala la criptología.

En el dominio de la computación cuántica se ha producido  un cambio radical en la forma en que se producirán los ataques informáticos a los algoritmos criptográficos.

En particular, con el hallazgo del algoritmo de Shor, que hará más rápido encontrar la clave privada a partir de la pública que se utiliza en los algoritmos de clave asimétrica como RSA y ECC, y del Algoritmo de Grover, para simplificar un poco el reto de encontrar la clave secreta en algoritmos de clave simétrica, es preciso replantear la forma en la que se gestiona el cifrado en los contextos en los que es necesario,.

Tal como cabe prever por lo que se conoce de la computación cuántica y partiendo de que la existencia de recursos informáticos cuánticos viables se usará contra las implementaciones de algoritmos criptográficos, se puede asumir que:

  • La robustez de la  criptografía simétrica se reducirá a la mitad. Por ejemplo el algoritmo AES de 128 bits tendrá una robustez equivalente a la que hoy en día tiene una implementación de 64 bits.
  • La criptografía de clave pública basada en matemáticas de curva elíptica no ofrecerá seguridad.
  • La criptografía de clave pública basada en el algoritmo RSA no ofrecerá seguridad.
  • El protocolo Diffie-Helman-Merkle  de negociación de claves no ofrecerá seguridad,

Con la llegada de Ordenadores Cuánticos viables, todo lo que se haya  protegido por alguno de los algoritmos que ya se sabe que son vulnerables, estará potencialmente desprotegido.

Existe cierta especulación relativa al momento en el que la computación cuántica será viable y si bien no hay consistencia en las predicciones, es razonable suponer que los Ordenadores Cuánticos serán viables dentro de la vida útil pronosticada a las claves y los algoritmos utilizados por la criptografía actual.

Algunas reflexiones de especialistas nos ponen en guardia respecto a los retos que se deben afrontar.

Los profesores Johannes Buchmann de la Technische Universität Darmstadt y Jintai Ding de la University of Cincinnati, en su publicación de 2008 “Post-Quantum Cryptography”,  señalan “Algunos físicos predijeron que dentro de los próximos 10 a 20 años las computadoras cuánticas serán lo suficientemente potentes como para implementar las ideas de Shor y exponer todos los esquemas de clave públicas existentes. Por lo tanto, necesitamos mirar hacia adelante en un futuro de computadoras cuánticas, y debemos preparar el mundo criptográfico para ese futuro”.

El mismo año 2008, el profesor Seth Lloyd del Massachusetts Institute of Technology advirtió “Mis colegas en el MIT y yo hemos estado construyendo Ordenadores Cuánticos sencillos y ejecutando algoritmos cuánticos desde 1996, al igual que otros científicos de todo el mundo. Los  Ordenadores Cuánticos funcionan tal como se esperaba. Si se pueden escalar, a miles o decenas de miles de qubits desde su actual tamaño de en torno a una docena de qubits, ¡cuidado! ”

Ya el año 2004 el profesor  Johannes Buchmann, y otros colegas, en la publicación “Post-Quantum Signatures”, señaló “Hay altas probabilidades   de que se puedan construir grandes Ordenadores Cuánticos dentro de los próximos 20 años. Esto podría convertirse en una pesadilla para la seguridad de Tecnologías de la Información si en ese tiempo no se desarrollan, implementan y normalizan  esquemas de firma post-cuántica.

No cabe duda de que la computación cuántica viable se agregará al arsenal de herramientas de los criptoanalistas  en torno al año 2030, o, probablemente antes, por el ritmo con el que se acelera la investigación en la computación cuántica, que están convirtiendo los nuevos retos más en problemas de ingeniería que de ciencia.

La cantidad de qubits necesarios para realizar un ataque práctico a los criptosistemas sigue siendo significativa. La mayoría de los expertos sugieren que dada una longitud de  clave L, serán necesarios equipos cuántcos con un número de qubits de entre L y L al cuadrado.

En la actualidad ya existen equipos en los laboratorios con 50 qubits.

Un Libro Blanco del ETSI (Quantum Safe Cryptography and Security;
An introduction, benefits, enablers and challenges )
 sugiere que las técnicas de comunicación segura cuántica no son compatibles con las técnicas en uso generalizado en la actualidad en productos potencialmente vulnerables a los ataques cuánticos. En una transición tecnológica razonable, existe un período de tiempo en el que los nuevos productos se adoptan gradualmente y los productos preexistentes se van dejando de utilizar. En la actualidad pueden coexistir productos seguros en términos de criptografía cuántica  y productos vulnerables, mientras se prepara la transición.

Sin embargo, cada vez hay menos tiempo para gestionar adecuadamente una transición ordenada por lo que debe ser urgente diseñar y adoptar productos, servicios y algoritmos de seguridad preparados para un contexto en el que las herramientas cuánticas estarán disponibles. Y en ese contexto, retomarán un nuevo protagonismo los sistemas de cifrado simétrico, junto con los nuevos Multivariate public key cryptosystems (MPKC).

Qué significa “fiat”, “ask”, “bid”, “offer”, y “buy” en contextos de negociación con bitcoin y otras cibermonedas.


Los contextos de compra y venta de criptomedas se han desarrollado primeramente en inglés, adoptando términos de “trading” procedentes de la tradición de negociación de activos y materias primas convencionales, y, en particular, de los mercados Forex, de compra y venta de divisas.

Para quienes comienzan a jugar con (y a invertir en) criptodivisas, algunos términos pueden resultar confusos.

Por ello, este artículo pretende aclarar algunos de estos conceptos.

  • FIAT. En los contextos de ciberdivias, se denomina dinero tipo “FIAT” (del latín ‘hágase’) a las monedas de curso legal. A este tipo de manedas se les denomina también “dinero fiduciario”. Aunque las monedas de curso legal estaban en su momento respaldadas por metales nobles, o fabricadas con ese tipo de metales, esto cambió. La referencia de los billetes a su valor en oro dió lugar a la denominación “patrón oro”, que desde los Acuerdos de Bretton Woods, se refirió al dólar estadounidense adoptado como divisa internacional, bajo la condición de que la Reserva Federal (el banco central de Estados Unidos) sostuviera el citado patrón oro. Pero a partir de 1971 (con el  “Nixon Shock“), quiebra el modelo, por lo que el valor del dólar pasa a sostenerse exclusivamente en la confianza que le dan sus poseedores.
  • ASK. Oferta. Venta. El precio que pide el vendedor en moneda FIAT (por ejemplo dólares) por una unidad de criptodivisa (por ejemplo bitcoins). En los exchanges, y sitios de compra de ciberdivisa, es el precio de venta de la moneda digital cuando la adquiere un usuario. Depende del volumen de venta gestionado y de la disponibilidad de la moneda. A mayor demanda, más alto el precio. Cuando se muestran varios precios, el mayor de ellos suele ser el de venta. Para el cálculo se tiene en cuenta el cruce de operaciones (de quienes compran y quienes venden), y se utiliza el último valor de una transacción confirmada. En el cruce de operaciones, el valor de la transacción puede ser mayor que el precio ASK si el comprador ofrecía una mejor valoración para el vendedor. Si un precio ASK es excesivamente alto, no se cerrarán transacciones ya que los compradores ofertarán por debajo de ese precio.
  • BID. Demanda. Compra. El precio que un comprador está dispuesto a pagar en moneda FIAT (por ejemplo euros) por una unidad de criptodivisa (por ejemplo ethers), En el caso de los Exchanges, el valor en dinero de curso legal, que se obtiene al cambiar cibermonedas. Cuando se muestran varios precios, el menor de ellos suele ser el de compra. Cuando la demanda aumenta, generalmente el BID también aumenta, lo que significa que el BID también está vinculado al volumen diario de negociación. Bitcoin puede comprarse, y generalmente se compra, por debajo del BID, pero nunca por encima. La diferencia entre el precio ASK y el precio BID se denomina Spread y es la ganancia que obtiene el broker por cada transacción (al margen de comisiones).
  • OFFER. El mayor de los precios de BID en un exchange. La latencia exitente en la confirmación de transacciones, propia de la lentitud con la que operan las operacione con bitcoin suele ser a causa entre los valores de OFFER y BID. Al precio OFFER hay que añadirle el coste de comisiones del exchange y las propias de la criptomoneda.
  • BUY. El precio al que finalmente se ha realizado la operación. Es un precio BID que coincide con la OFERTA OFFER

Veámoslo con un ejemplo.

Dos personas van a negociar la compra de un chupachups.

El precio por el cual el vendedor está dispuesto a vender el chupachups es el precio ASK. El precio por el cual el comprador está dispuesto a comprar el chupachups es el precio BID. Como no hay movimiento en el precio del chupachups, el precio OFFER y el precio ASK es el mismo. Si el comprador y el vendedor acuerdan el precio de OFFER, el comprador compra el chupachups con ese precio, el precio BUY. Si no se cierra el trato, el vendedor y el comprador negociarán un nuevo precio de OFFER.

La diferencia entre precio de venta y precio de compra en las criptomonedas

El factor determinante de las diferencias que aplican los exchanges entre precio de compra y precio de venta es la volatilidad: el valor de un bitcoin puede variar a lo largo del tiempo de forma enorme e imprevisible. Cualquiera que acepte Bitcoin a cambio de bienes o servicios debe considerar si convertirán los bitcoins que reciben en algo de valor tangible.

La necesidad de tener cobertura por la posibilidad de una caída en el precio cuando el comprador necesite vender forma parte de la estrategia de fijación de precios para un proveedor que acepte bitcoins.

Existen servicios de intercambio (los exchanges) que asumen esta carga. Con una cuenta, las bitcoins enviadas a un vendedor de bienes o servicios se transfieren inmediatamente al exchangey se convierten en efectivo como moneda fiduciaria en la cuenta del vendedor. En este caso, el servicio de intercambio asume el riesgo. Para esto, suelen reservarse un porcentaje para compensar su exposición financiera. Determinar cuánto cobrar y cómo cubrir su propio riesgo es probablemente un desafío matemático de primera magnitud para el servicio de intercambio. El vendedor de los bienes o servicios pasa por el riesgo de variación del precio de bitcoin DESPUÉS de su venta. ¿Qué hay de los momentos nteriores? Establecer el precio publicitado de un bien o servicio en bitcoin crea el riesgo de que cuando se produce la transacción real, la tasa de cambio para bitcoin sea bastante diferente de cuando se eligió el precio.

 

MNDTIA – Máster en Derecho y Negocio de las Telecomunicaciones, Internet y Audiovisual.


Llevo más de 10 años colaborando como profesor en el Máster en Derecho y Negocio de las Telecomunicaciones, Internet y Audiovisual que impulsa el despacho de abogados Cremades Calvo Sotelo que este curso 2017-2018 dará lugar a la XXI Promoción.

Este programa Master nació en 1.996, y fue pionero de esta especialidad, como Master en Derecho de las Telecomunicaciones. Desde entonces ya se han formado más de 350 titulados de diversas nacionalidades (España, Alemania, Italia, Austria, Brasil, Venezuela, México, Argentina, Chile, Perú, Panamá, El Salvador, Colombia, Guatemala, Uruguay y Estados Unidos) que han ido ocupando puestos relevantes en empresas del sector y en la Administración.

Es una satisfacción comprobar que las nuevas generaciones de abogados relacionan lo aprendido en la carrera con los nuevos retos que genera la digitalización de la sociedad, y que sus inquietudes traspasan fronteras.

En clase se detecta una alta integración de los alumnos de diferentes procedencias, y la importancia del derecho de base romana y germánica como marco aglutinador de los nuevos conceptos tecnológicos con los que también tiene que tratar el derecho.

En este curso se ha producido una importante novedad, al pasar a formar parte de la oferta de postgrado de la Universidad Europea de Madrid, en la Escuela de Abogados.

El período lectivo se inició el 13 de noviembre de 2017 y tiene prevista su finalización:el 29 de junio de 2018. Mis clases tendrán lugar en marzo de 2018 y se centrarán en diferentes aspectos de la firma electrónica. Y con permiso de mis alumnos, dedicaré unos minutos a ver qué relación tiene la firma electrónica con las cadenas de bloques (blockchain) y los criptoactivos.

 

Conformity Assessment Bodies


Accreditation is the last level of public control in the European conformity assessment system.
It is designed to ensure that conformity assessment bodies (e.g. laboratories, inspection or certification bodies) have the technical capacity to perform their duties.
Used in regulated sectors and voluntary areas, accreditation increases trust in conformity assessment. It reinforces the mutual recognition of products, services, systems, and bodies across the EU.

How does accreditation work?

Accreditation of conformity assessment bodies is based on harmonised standards defining competence criteria for:

  • the national accreditation body and each category of conformity assessment body (such as laboratories or certification bodies)
  • sector-specific requirements
  • guidance drawn up by regional and international organisations of accreditation bodies

Organisation of accreditation in the EU

Requirements for accreditation are set in Regulation 765/2008. The Regulation promotes a uniformly rigorous approach to accreditation across EU countries. This consensus is normally reflected in a CERTIF document on a specific topic. As a result, an accreditation certificate is enough to demonstrate the technical capacity of a conformity assessment body.

The main principles of accreditation are:

  • 1 accreditation body per EU country (it is possible however to use another country’s national accreditation body). In Spain this accreditation body is ENAC.
  • accreditation is a public sector activity and a not-for-profit activity
  • there is no competition between national accreditation bodies
  • stakeholders are represented
  • accreditation is the preferred means of demonstrating technical capacity of notified bodies in the regulated area

The European accreditation infrastructure

National accreditation bodies are members of the European co-operation for accreditation (EA) that cooperates with the Commission. EA’s tasks include:

  • setting up and managing a peer evaluation system of national accreditation bodies
  • providing technical assistance to the Commission in accreditation

To provide a framework for cooperation:

  • in 2009, the Commission, the European Free Trade Association (EFTA), EU countries and EA signed general cooperation guidelines to mark their political commitment to working together
  • in 2014, the Commission and EA signed a framework partnership agreement (3 MB) for the period 2014-2017. This framework partnership agreement allows financial support for EA in fulfilling its tasks under the Regulation and meeting the objectives set out in the guidelines

Report on the implementation of the Regulation for accreditation and market surveillance

The report gives an overview of how the accreditation provisions of Regulation (EC) No 765/2008 and CE marking were implemented between 2013 and 2017. It confirms that the accreditation infrastructure created by the Regulation has provided added value, not only for the Single Market but also for international trade. The Regulation has established a trustworthy and stable accreditation system that has wide support from industry and the conformity assessment community. It ensures that products meet the applicable requirements, removes barriers for conformity assessment bodies and helps entrepreneurial activities to flourish in Europe.

Curso Experto Legal en Blockchain, Smart Contracts, ICOs y DAOs


Agradezco a Blockchain España su invitación para participar en los cursos de Experto Legal en Blockchain, Smart Contracts, ICOs y DAOs que se han celebrado hasta la fecha.

Es un lujo compartir estrado con los ponentes participantes y un placer el intercambio de pareceres con los alumnos, que demuestran un nivel de preparación muy alto.

Hasta la fecha he participado en 3 ediciones:

Posiblemente se anuncien nuevas ediciones. Estad atentos.