Archivo de la categoría: Blockchain

Digital por diseño


Va llegando el momento de abandonar el término “transformación digital” que transmite la idea de que hay que cambiar los procesos de las organizaciones, conforme avanza la digitalización de la sociedad y la adopción masiva de las tecnologías de la información.

Con el estado actual de la tecnología y de la legislación, no tiene sentido diseñar procesos de información, contratación o mero trámite que no estén diseñados desde el principio pensando en el valor probatorio de los registros digitales administrados con ayuda de la criptografía.

En todo caso, cualquier concesión a procedimientos o actuaciones arcaicos debe ser en atención a la experiencia de usuario.

Uno de los aspectos claves del nuevo paradigma es la gestión de la identidad digital de las personas con las que se relacionan las entidades que debería tener en cuenta la posibilidad de acceso de personas de diversa procedencia y medios de identificación.

Las “piezas de lego” que facilitan la gestión digital por diseño de los procedimientos preservando la seguridad jurídica son componentes como las firmas electrónicas de persona, los sellos electrónicos de empresa, los sistemas de conservación digital de documentos electrónicos (incluso con códigos seguros de verificación) y evidencias electrónicas, los sellos de tiempo electrónicos, los sistemas de gestión de información de representación (de otras personas o de empresas) los sistemas que permiten comprobar la validez de las firmas y de los sellos, los que permiten gestionar mecanismos de identificación y de firmas y sellos “en la nube”, los que permiten realizar la digitalización certificada de documentos, los que permiten la identificación remota co y los que permiten acreditar las notificaciones electrónicas.

En la actualidad. el Reglamento (UE) Nº 910/2014, de 23 de julio, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior (eIDAS), ofrece una buena base para construir sistemas digitales con valor legal admisibles en todos los países miembros, sea cual sea el país de origen, de entre los europeos.

Un aspecto clave en la digitalización por diseño es que la experiencia de usuario debe ser una de las principales prioridades en el diseño de los procesos, para evitar repetir errores de usabilidad  que en el pasado no contribuyeron a poner en valor tecnologías como el DNI electrónico, que se expide desde 2006.

El despliegue de sistemas digitales de gestión debería preservar principios esenciales como el “soporte duradero” o la “simetría probatoria” (igualdad de armas) para que los usuarios de las plataformas cuenten con la misma posición respecto a la prueba digital que los promotores de las plataformas.

El conocimiento técnico y legal de estos principios de despliegue digital ayudará a las entidades a diseñar sistemas digitales eficientes, sencillos y con valor probatorio por lo que es útil contar con especialistas a los que consultar.

Los sistemas de gestión de identidad disponibles ya contemplan la interoperabilidad entre países con “nodos eIDAS” como el español que se instancia a través del sistema “Cl@ve“.

 

Smart Degrees y los eTítulos


SmartDegrees es una plataforma española que facilita la gestión digital de títulos y certificados académicos, y que utiliza como mecanismo de gestión de evidencias electrónicas el registro en blockchain.

Entre otros aspectos, cuenta con Apps para móvil (Android e iOS) y se integra fácilmente con LinkedIn y en otras plataformas de búsqueda de empleo.

De momento, la Universidad Carlos III ya ofrece conexión con SmartDegrees y otras universidades se irán añadiendo en el futuro.

SmartDegrees utiliza la blockchain Quorum, para la anotación de evidencias electrónicas relacionadas con la expedición de títulos.

Quorum™ es una implementación de código abierto de la Blockchain de Ethereum, desarrollada por JP Morgan Chase que mejora aspectos como la velocidad en la gestión de transacciones. La red Ethereum se caracteriza por dar soporte a SmartContracts (contratos inteligentes) más sofisticados que los disponibles en la red Bitcoin, para los que se utiliza el lenguaje Solidity, similar al JavaScript.

Esta iniciativa se suma a la desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona y que mencioné en el artículo sobre Gestión de eTítulos universitarios mediante Blockchain

La normativa más importante sobre los requisitos de expedición de títulos universitarios oficiales es el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales.

Su artículo 16 trata sobre el Soporte documental o físico y requisitos y dice lo siguiente:

  1. La cartulina soporte de los títulos, de idéntico tamaño para todos ellos, será de material especial con determinadas claves de autenticidad, normalizado en formato UNE A-3, de acuerdo con las prescripciones técnicas y de seguridad determinadas en el Anexo XI. Por Resolución del Director General de Política Universitaria se determinarán las condiciones de suministro de dichas cartulinas a las universidades.
  2. Las cartulinas llevarán incorporado el Escudo Nacional en el ángulo superior izquierdo. Estarán numeradas mediante serie alfanumérica, cuyo control corresponderá a las unidades responsables del proceso de expedición de los títulos.
  3. Las universidades adoptarán, para los títulos que expidan, los atributos, colores, orlas y demás grafismos que estimen convenientes, sin más limitaciones que las establecidas en este real decreto. Asimismo, podrán incorporar a los títulos que expidan su propio escudo u otros, nunca en mayor tamaño que el Escudo Nacional.
  4. Los títulos llevarán impreso todo su texto, así como la firma del rector o rectores de las universidades correspondientes. No se permitirá la incorporación de inscripción alguna no impresa, salvo la firma del interesado y la del responsable de la unidad de títulos oficiales de la universidad.
  5. Cada universidad, previamente a su entrega al interesado, efectuará en el título una estampación en seco de su sello oficial, igual para todos los títulos que expida. Remitirá muestra de dicho motivo a la Subdirección General de Títulos y Reconocimiento de Cualificaciones de este Departamento, a efectos de conocimiento y control de autenticidad.

Es interesante que aunque este artículo parece dar a entender que los título se tienen que expedir en soporte papel, en realidad no es así, ya que la normativa administrativa (Ley 39/2015) permite realizar copias auténticas en soporte papel.

La primera copia auténtica en papel sería la que requeriría dar cumplimiento a los indicados requisitos, mientras que el documento original expedido por la universidad sería el electrónico, y sería posible crear copias auténticas en papel adicionales a la primera, que sería la única dotada de solemnidades especiales.

En concreto, el artículo 27 indica

(…)

2. Tendrán la consideración de copia auténtica de un documento público administrativo o privado las realizadas, cualquiera que sea su soporte, por los órganos competentes de las Administraciones Públicas en las que quede garantizada la identidad del órgano que ha realizado la copia y su contenido.

Las copias auténticas tendrán la misma validez y eficacia que los documentos originales.

(…)

c) Las copias en soporte papel de documentos electrónicos requerirán que en las mismas figure la condición de copia y contendrán un código generado electrónicamente u otro sistema de verificación, que permitirá contrastar la autenticidad de la copia mediante el acceso a los archivos electrónicos del órgano u Organismo público emisor.

En el caso de las universidades privadas, su procedimiento es similar, pero basado en el Reglamento europeo UE 910/2014 (EIDAS) que en su artículo 46 indica:

No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a un documento electrónico por el mero hecho de estar en formato electrónico.

 

 

Gestión de eTítulos universitarios mediante Blockchain


Se ha llevado a cabo en España un uso pionero de blockchain para la gestión inter-universitaria de títulos, desarrollada por Ibermática y las tres universidades de CEU en Madrid, Valencia y Barcelona, asociadas a @Alastria Blockchain Ecosystem. Surge de un planteamiento de transformación digital desde el laboratorio universitario Blockchain & DLT Lab CEU.

Aunque la acreditación curricular de las titulaciones oficiales se basa en la posesión física de un documento en soporte cartáceo al que se le deben incorporar medidas de seguridad para evitar la falsificación, debido a los requisitos formales definidos en el Real Decreto 1002/2010, de 5 de agosto, sobre expedición de títulos universitarios oficiales, el desarrollo de la normativa orientada a la digitalización de las administraciones públicas abre otras opciones a la gestión de su autenticidad.

Los sistemas probatorios digitales como la firma electrónica o los códigos seguros de verificación facilitan la creación de documentos electrónicos con consideración de original, aunque se facilite su transcripción a documentos en soporte papel como medio de presentación en contextos desconectados.

En los sistemas de tipo blockchain se combinan habitualmente técnicas de firma electrónica junto con otras de preservación digital, lo que permite usarlos en contextos diferentes a la gestión de ciberdivisas.

Las entidades citadas han puesto en funcionamiento el primer sistema interuniversitario de gestión, acreditación y reconocimiento de titulaciones universitarias mediante la tecnología Blockchain, destinado a dar soporte a la autenticidad de los títulos por vía electrónica.

La posibilidad de falsificar títulos, los complejos procedimientos probatorios para demostrar la formación recibida en el acceso a Másteres oficiales y a Doctorado (tanto para los grados oficiales como para cualquier otra formación complementaria), los potenciales casos de fraude, y el creciente interés por los denominados Grados Abiertos, plantean retos para cuya resolución pueden utilizarse mecanismos digitales.

Entre ellos, cabe destacar las potenciales ventajas de las tecnologías DLT (Distributed Ledger Technologies) o RJT (Replicated Journal Technologies) entre las que se encuentra la conocida como blockchain.

Tras analizar los retos y las posibles soluciones, Ibermática y el Grupo de Universidades CEU, ambos miembros de ALASTRIA -la red nacional de Blockchain-, han trabajado en el desarrollo de un sistema sobre la plataforma chainTalent junto con el Blockchain & DLT Lab de la Universidad CEU San Pablo, dirigido por José Luis Roig y Ricardo Palomo.

Este innovador sistema de gestión de titulaciones permitirá que los estudiantes añadan, de forma complementaria a su acreditación formativa convencional, un registro distribuido que aporta verificabilidad inmediata y que se integra en su identidad digital, salvaguardando los requerimientos de la normativa de protección de datos.

La aplicación de este sistema de gestión universitaria es ampliable a muchos procesos administrativos de su entorno. Es destacable su potencial en el contexto del Espacio Europeo de Educación Superior y de la movilidad internacional de los estudiantes, por lo que esta primera aplicación supone un paso decisivo en el establecimiento de los criterios estandarizados para el intercambio de datos académicos, no sólo entre universidades, sino también con empresas e instituciones. El sistema, bajo el estándar openbadges, permite incluir también la acreditación de competencias y habilidades formativas, así como formación extracurricular o prácticas.

UNIA-eTitulo-BlockchainEn este sentido, tanto ALASTRIA como la Conferencia de Rectores Universitarios de España CRUE (igualmente miembro de ALASTRIA) han organizado en los meses anteriores diversos encuentros universitarios para avanzar en este campo.

Pablo Carretero, director de Estrategia Blockchain de Ibermática, considera que “el gran reto de chainTalent es convertirse en una plataforma para el tratamiento y gestión del talento de las personas, poner en valor la información curricular como un activo de gran importancia en el presente y futuro de las personas”. “En este camino por recorrer, es primordial para Ibermática la creación de un ecosistema, no sólo de instituciones académicas, sino también de cualquier compañía pública y privada que sume en la identidad de un individuo”, explica.

Ricardo Palomo es Catedrático de la Universidad CEU San Pablo, vicepresidente de la Fundación para la Innovación Financiera y la Economía Digital (FIFED) y miembro de la Comisión de Investigación y Transformación Tecnológica (ITT) de Alastria. A su juicio, “la certificación mediante blockchain supone la irrupción de una verdadera transformación digital del S. XXI en la gestión universitaria, que va más allá de su vertiente administrativa, pues aporta a los estudiantes la inmediatez y garantía de veracidad que demandan las empresas; y permite incluir no sólo calificaciones y títulos, sino también las competencias y capacidades que adquieren en su proceso de formación universitaria y postuniversitaria. Por otra parte, el paso de los estudiantes por la universidad es un buen momento para arrancar con el uso de su primera identidad digital sobre la que blockchain añadirá capas de valor y de utilidad”.

Con el nacimiento de chainTalent, los alumnos de CEU y de todas aquellas universidades que se unan a este ecosistema podrán participar en los procesos de selección de profesionales con la garantía de estar compartiendo su información curricular en un entorno fiable y transparente. Los usuarios de chainTalent podrán compartir sus titulaciones en otras redes sociales del ámbito profesional referenciando el link que la aplicación les proporciona para su validación. En este sentido, desde Ibermática y el CEU ya trabajan conjuntamente para conseguir la regulación y legitimidad de los títulos, tanto públicos como privados, en plataforma blockchain.

VI Curso experto legal en blockchain, smart contracts e ICOS


Los próximos días 28, 29 y 30 de noviembre de 2018 el Instituto Jurídico de Blockchain organiza un curso de ‘Experto legal en Blockchain, Smart Contracts e ICOS, que se celebrará en la sede del Consejo General de la Abogacía (Paseo de Recoletos, 13. Madrid). 

El curso está dirigido a abogados y profesionales del Derecho, miembros de la Administración Pública, académicos y docentes y empresas que estén valorando el lanzamiento de un proyecto de blockchain y se divide en cinco módulos.

  • ‘Tecnología blockchain, bitcoin, ethereum y principales retos jurídicos’,
  • ‘Identidad digital’,
  • Smart Contracts’,
  • ‘ICOS’ y
  • ‘Tokenización de activos. Aspectos jurídicos’.

La formación teórica se completará con distintas actividades prácticas, como la exploración de transacciones en una blockchain o la programación de un Smart Contract en Solidity.

Yo impartiré el módulo de Identidad Digital.

He mencionado en otras ocasiones alguna de las ediciones anteriores.

Vulnerabilidades de entornos Blockchain


Aunque los entornos Blockchain gozan de mecanismos  de “seguridad por diseño” para algunas funcionalidades, son un queso de gruyere para otras, especialmente cuando los usuarios no conocen bien cuales son sus responsabilidades en el mantenimiento de prácticas de uso seguras.

Uno de los aspectos críticos es la protección de la clave privada de la “cartera” o del mecanismos para solicitar transacciones al sistema, que se basa en criptografía de clave pública, pero con mecanismos mucho más primitivos que los que se usan en los contextos de “firma electrónica cualificada”.

Eso sin contar con que en muchos proyectos se introducen vulnerabilidades por defectos en la implementación.

Bitcoin y Ethereum, por ejemplo, han experimentado importantes episodios de explotación de vulnerabilidades que han tenido cierto eco y que han revelado debilidades inherentes de seguridad de blockchain que deben ser entendidas.

Los mecanismos de incorporación de código fuente a Github crean un vector de ataque que se puede abrir intencionadamente o por descuido cuando se hace necesario añadir una funcionalidad o corregir un error. Aunque hay muchos ojos comprobando que el software “está limpio”, también hay otros que identifican vulnerabilidades y no las comunican a la comunidad pensando en explotarlas más adelante.

Cada nuevo proyecto puede reaprovechar trabajos ya realizados y añadir nuevas funcionalidades pero la complejidad crece tan deprisa que es muy difícil cubrir todos los flancos, y, a veces se producen errores de regresión porque vuelven a aparecer vulnerabilidades identificada que ya se parchearon en ocasiones anteriores. No puede darse por sentado que las funcionales del punto de partida ya eran seguras en todos sus aspectos.

Aspectos de implementación como carteras autónomas (con copia propia de la cadena de bloques y protección de claves privadas) o servicios de cartera en web (delegando a un servidor remoto el almacenamiento de la copia propia de la cadena de bloques o de la clave privada) presentan retos diferentes sobre la forma de gestionar la seguridad y su implementación y administración deberían ser revisadas.

Estos son solo algunos de los problemas que una empresa debe considerar para garantizar la seguridad de blockchain. Existen grandes diferencias de funcionamiento entre las implementaciones, no solo en los detalles de la tecnología, sino también en el entorno de seguridad general de la empresa de la organización. Estas preocupaciones deben ser consideradas cuidadosamente.

 

Auditoría de Smart Contracts y Oráculos


Los contratos inteligentes (Smart Contracts) pueden integrarse en un proyecto con blockchain y tecnologías conexas para automatizar  procesos de negocios.

Smart-contracts.gif

Las partes contratantes que prevén el uso de un smart contract pueden contratar a un auditor especializado que se cerciore de que los contratos inteligentes se implementan con la lógica comercial correcta.

Además, el auditor puede cerciorarse de que la interfaz entre los contratos inteligentes y las fuentes de datos externas que desencadenan eventos comerciales (los oráculos) están apropiadamente diseñadas e implementadas.

Sin una evaluación independiente, los usuarios de tecnologías blockchain y conexas (carteras, sistemas de firma electrónica, …)  se arriesgan a que diferentes tipos de errores o vulnerabilidades se pasen por alto.

Soluciones tradicionales como mecanismos de pruebas previas de integración, pases a producción controlados y check lists exhaustivos (listas de comprobación tan completas como puedan desarrollarse para cada proyecto) minimizan los fallos que pueden llegar a arruinar importantes proyectos empresariales.

Un auditor de blockchain y tecnologías conexas requiere habilidades específicas entre las que se incluye el conocimiento de la criptografía y de las técnicas de firma electrónica, cierta competencia relativa a lenguajes de programación (especialmente los utilizados en los smartcontracts), conocimientos sobre el código fuente  de las funciones de la tecnología blockchain adoptada, incluyendo el manejo de repositorios de Github y una adecuada recopilación de incidentes de seguridad ya identificados junto con sus causas y mecanismos de resolución.

Aunque una auditoría de proyectos blockchain no garantiza que no pueda aparecer algún problema nuevo, al menos es una forma de minimizar el riesgo de repetir problemas ya conocidos.

Por otro lado, los smart contracts a veces se reutilizan por entidades diferentes a las que los desarrollaron inicialmente. Incluso es posible que la implementación inicial del smart contract esté auditada. Así y todo, para reutilizar un smart contract hay asegurarse de que se entiende bien y que se programa adecuadamente la parte de personalización, ya que no es posible (en general) exigir ninguna responsabilidad a quien ofreció la muestra de referencia de smart contract.

En todo caso, los proyectos serios de Blockchain deberían considerar la realización de auditorías por equipos de auditores que no hayan participado en el proyecto, para evitar sesgos derivados de la involucración de los desarrolladores o de su  esquema mental de presunciones , para no dar por sobreentendido ningún riesgo ni la gestión de su tratamiento.

 

Monedas virtuales – Directrices para un enfoque basado en riesgo (documento del GAFI de 2015)


El Grupo de Acción Financiera Internacional (GAFI) emitió el informe Virtual Currencies Key
Definitions and Potential AML/CFT Risks, (Monedas Virtuales – Definiciones Clave y Riesgos Potenciales de Blanqueo de capitales y financiación del terrorismo), en junio de 2014 (Informe de junio de 2014 de Monedas Virtuales).

En los últimos años, las monedas virtuales (MV) han surgido y atraído inversión en infraestructura de pagos basado en los protocolos de software. Estos mecanismos de pagos intentan proporcionar un nuevo método para la transmisión de valor a través del internet.

El GAFI reconoce la innovación financiera que estas iniciativas pueden suponer. Al mismo tiempo, los productos de pago y servicios de MV (VCPPS por sus siglas en inglés) presentan riesgos de lavado de activos y financiación del terrorismo (LA/FT) y otros riesgos de delitos que deben ser identificados y mitigados.

Consecuentemente, el Grupo de Acción Financiera Internacional (GAFI) ha emitido en 2015 un nuevo informe “Guidance for a guidance for a risk-based approach to virtual currencies” (en español “Directrices para un enfoque basado en riesgo para monedas virtuales

Estas Directrices se centran en la aplicación de un enfoque basado en riesgo a los riesgos de LA/FT asociados con VCPPS y no en otros tipos de productos financieros de MV, tales como productos de valores de MV o de futuros. En consecuencia, las Directrices han adoptado el término productos de pagos y servicios de MV (VCPPS), en vez de productos y servicios de MV (VCPS), donde la discusión se limita a esquemas de pagos de MV.

El desarrollo de VCPPS y las interacciones de los VCPPS con otros Nuevos de Productos y
Servicios de Pago (NPPS por sus siglas en inglés) e incluso con servicios de banca tradicional, dan lugar a la necesidad de estas Directrices para proteger la integridad del sistema financiero global.

Estas Directrices independientes se basan en el citado informe de junio de 2014 de MV y en la
matriz de riesgo y las mejores prácticas del informe de Guidance for a Risk-Based Approach to Prepaid Cards, Mobile Payments and Internet Based Payment Services (Directrices para un Enfoque basado en Riesgo a las Tarjetas de Prepago, Pagos Móviles y Servicios de Pago en Internet) (Informe de NPPS de junio de 2013).

Estas Directrices forman parte de un enfoque gradual adoptado por el GAFI. El foco de estas
Directrices es sobre los puntos de intersección que proporcionan fuentes al sistema financiero
regulado, especialmente casas de cambio de moneda virtual convertible. El GAFI continuará
monitoreando los acontecimientos en los VCPPS y los emergentes riesgos y factores atenuantes.

Conforme avance el conocimiento de la tecnología y el uso de VCPPS, las Directrices se actualizarán para incluir, en su caso, mejores prácticas que emergen para abordar las cuestiones reglamentarias que surjan en relación con los riesgos de LA/FT asociadas a VCPPS. Cuestiones relacionadas con por ejemplo las transferencias dentro de las redes descentralizadas de MV convertibles que no implican actividades de intercambio, tales como transferencias de persona a persona involucrando “wallet providers” (servidores de proveedores de carteras) y pagos de gran valor de MV, que no están abordados por estas Directrices pueden ser considerados a largo plazo.