Archivo de la categoría: Firma Electrónica

El MINETAD envía emails requiriendo el cumplimiento de la LSSICE


Después de una inspección genérica de páginas web identificadas con un nombre de dominio “.es”, el Ministerio de Industria, Energía y Agenda Digital  ha procedido a enviar correos electrónicos a múltiples destinatarios desde una dirección “no-reply” del ministerio para que las personas responsables de esas páginas web las revisen y adecúen la información identificativa del prestador, sobre los precios que muestren y, en su caso, sobre el proceso de compra “on-line” a la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico.

Al mensaje de correo electrónico, se adjunta un fichero explicativo de la información que debe figurar en la página web.

Con ello, los titulares de páginas web contribuirán a conseguir un Internet más seguro en el que los ciudadanos puedan relacionarse con ellos ante cualquier incidencia y realizar compras con más confianza.

No se ha fijado un plazo perentorio para adecuar las páginas web, pero el ministerio podrá supervisar su cumplimiento pasado un tiempo razonable

EL MINETAD ha preparado una página para ampliar información en www.lssi.es

Las criptoinversiones se las llevan las ballenas


“¡Pero qué velocidad! ¿Esto qué es?” es lo que decimos todos los que estamos haciendo nuestros pinitos como inversores en criptodivisas y estamos pendientes de las ICO “Initial Coin Offering”.

En un breve lapso de tiempo bitcoin pasó de $ 2200. a $ 1700, y el éther pasó de $ 203 a $ 150. Después, el éther pasó de $ 150 a $ 220, y el bitcoin subió $ 2400. Y ahora está a 6666 euros. Todo muy rápido.

No hace mucho, cuando salió al mercado el Token de atención básica (BAT) del nuevo navegador Brave, un error en la programación del contrato inteligente de la ICO la lió con el tope de admisión de compras de la ICO. Como consecuencia, en lugar de recaudar $ 25 millones terminaron recaudando $ 35 millones. En 30 segundos. Eso sí que fue rápido.

¿Que esta pasando?

Pues que está floreciendo un mercado de iniciativas de creación de empresas y proyectos de gente con talento que enriquece el ecosistema creado alrededor de las criptodivisas. Y, por cierto, también un mercado de fraude disfrazado de ICO que solo quiere llevarse nuestro dinero.

Hace menos de un año  el éther era aproximadamente el 5 por ciento del mercado y todas las otras altcoins tenían otro 5 por ciento, en un contexto dominado por bitcoin. Ahora hemos llegado a que  bitcoin supone el 50% de la actividad en torno a criptomonedas (incluyendo las ICO) y el otro 50 por ciento es ya un mercado de altcoins y tokens de ICOS. El valor total de todas las monedas y tokens se ha cuadruplicado. Todo muy rápido.

Las ballenas de Bitcoin se alimentan de tokens

Cualquier minero o inversor tempranero que apostó al principio por Bitcoin tiene ahora miles de bitcoins. Los llamamos ballenas y la mayoría son chinas.  Estas “ballenas de bitcoin” son ahora muy ricas. Quieren reducir su exposición al bitcoin, pero no quieren convertirlos en moneda de curso legal porque perderían rentabilidad y tendrían que pagar impuestos.  De hecho, lo que les gustaría hacer es sacar su dinero de China sin que el gobierno lo sepa. Así que están buscando altcoins, especialmente tokens representativos de valor.

¿Por qué? Porque si sale un token que probablemente suba en valor, será más seguro que tener toda su “patrimonio” en bitcoins. Los chinos están comprando cualquier token de salidas de empresas que tenga buena pinta y pueda incrementar valor.

Esperan de 3 a 9 meses con la expectativa de duplicar el valor de su inversión y pasar al siguiente token. Esto diversifica su cartera al tiempo que mantiene sus obligaciones tributarias y de notificación a las autoridades tributarias en el mínimo.

Por lo tanto, las ballenas están efectivamente absorbiendo  tokens como si fuera plancton e impidiendo que los compradores naturales (los que apoyan el proyecto) compren tokens en la oferta inicial. Efectivamente tienen una pistola gigante cargada de efectivo. No hace mucho, una ballena pagó alrededor de $ 2,000 solo en comisiones de éther para confirmar su operación de  7 millones de dólares por cerciorarse de confirmar su operación con preferencia a las demás. Probablemente 1,000 veces más de lo que normalmente se paga en comisiones, para tener la certeza de ser de los primeros.

Si una ballena cierra la compra de tokens en un salida y fuerza la emisión de nuevos tokens, lo hace solo para tener cerrado el precio de bitcoin durante varios meses. A la ballena no le importa de qué va el proyecto, siempre que no tenga aspecto de fraude.

¿Hasta qué punto es malo? De momento, se puede decir que estos inversores no tienen ningún interés real en el proyecto.  No hacen muchos deberes para valorarlo. Buscan comentarios y opiniones en redes sociales de inversores  y aprietan el gatillo.

Pero se puede considerar que son entidades que respaldan la emisión, como los bancos de inversión en las salidas a bolsa, que se comprometen a adquirir lo que no haya absorbido el mercado. En cierta forma se convierten , a su vez en entidades colocadoras que redistribuyen los token (pensemos en ellos como si fueran acciones) a oros comparadores. Y la entidad que hizo la ICO consigue su objetivo de financiación.

La estrategia de estos inversores no contempla vender con pérdidas, por lo que durante el siguiente año o más ven como evoluciona el valor de sus tokens y los venden cuando han aumentado su valor.

En cierto modo, la excepción ha sido el caso de la ICO del navegador Brave, cuyos tokens ya estaban cambiando de manos a 4 veces su precio inicial pocas horas después del cierre de la ICO. Pero siempre es una apuesta en favor del crecimiento del valor.

En esa estrategia a largo plazo, tras unos meses, cuando el proyecto alcanza ciertos hitos descritos en su plan, el precio del token aumenta, y los compradores naturales de esa entidad acuden para respaldar el precio, y hacerse con unos token que todavía pueden subir más, con lo que se consolidan las ganancias para todos. Los primeros compradores asumen la mayor parte del riesgo, y los segundos compradores consolidan el valor del token al cabo del tiempo.

Pero como en todos los aspectos de la vida, hay especuladores que pueden intentar manipular el valor del token con diferentes intereses.

Y un mismo inversor puede especular al alza o a la baja. Al comprar todos los tokens el precio subirá. Y tras especular al alza comprando grande volúmenes el inversor empieza a vender, también con grandes volúmenes lo que crea presión a la baja que puede llevar a otros inversores a vender, y causando al final un colapso de valor del token. Sin que haya realmente un motivo para ello en el proyecto.

Afortunadamente, este enfoque es minoritario, contando con que a los inversores no les gusta perder dinero, de modo que solo si tienen problemas de liquidez en su cartera, venderán con pérdidas.

Por otro lado muchas ICO  no alcanzan el límite previsto por sus promotores. De 158 ICO reconocidas, 118  no han completado la financiación. Más de la mitad no alcanza su máximo al cierre. Con lo que se puede concluir que los inversores están siendo selectivos. Claro que son noticias más significativas las relativas a las ventas rápidas.

En el contexto de la sostenibilidad de la valoración de los tokens a largo plazo, sin despreciar el efecto de los grandes compradores, tienen un papel definitivo los compradores naturales que van entrando y tomando posiciones conforme los primeros inversores  van recogiendo beneficios.

Ya que las Criptoinversiones se están haciendo populares en los medios de comunicación, se empiezan a publicar las gráficas de evolución de los valores de las DAO y sus ICO, con enormes subidas y muchos inversores convencionales se plantean sumarse a esta fiebre del oro. De modo que fluyen inversores de diversas procedencias a este nuevo “eldorado” de la criptoeconomía  a alimentar el frenesí comprador.

Hasta qué punto este afluencia crea un riesgo de burbuja no está del todo claro, ya que entre todos los inversores están los que aspiran a consolidar valores y permanecen estables con sus inversiones.

Los nuevos inversores tienen que lidiar con la fricción de aprender primero sobre criptodivisas como Bitcoin y Ether, hacerse con sus wallets correspondientes, encontrar los Exchanges mejores y mas baratos para convertir el dinero de curso legal en cibermonedas y después encontrar las plataformas de inversión y los pools de inversores (a veces hay que agruparse para competir con las ballenas).

La mayoría de las burbujas aparentes no son burbujas en este contexto. Cuando explotan, dejan víctimas en el proceso, pero luego los precios vuelven a subir y los que no se han puesto nerviosos recuperan el valor.

En este entorno de criptoeconomía tantos los especuladores como los inversores, una vez logran beneficios no suelen retornar a las monedas de curso legal

En todo caso la criptoeconomía está en sus inicios y hay mucho dinero convencional que observa atentamente lo que sucede, y que probablemente experimentará con el nuevo entorno, dando lugar a crecimientos llamativos por la mera demanda.
Hay incertidumbre con las noticias negativas que se publican en relación con los reguladores de diferentes países, pero con altibajos en las valoraciones, las tendencia subyacente es de crecimiento en Bitcoin, BitcoinCash, Ether, los tokens (de las ICO) y las altcoins (el resto de ciberdivisas). Seguiremos viendo crecimientos y correcciones.

El consejo general es no invertir en lo que no se entiende. Ni siquiera está claro como se debe producir la tributación. ¿Cual es la inversión, la ciberdivisa o el token? Hasta la fecha, las ganancias (o pérdidas) se producen al convertir dinero convencional en criptodivisas y al volver de las criptodivisas (y lo demás que se pueda hacer con ellas) al dinero convencional. ¿Y si solo convierto a dinero una pequeña parte y el resto sigue generando beneficios? (no me atrevo a llamarlo dividendos).

Para quienes quieran experimentar, la recomendación es que no inviertan en la criptoeconomía dinero que necesiten. Solo el que estén dispuestos a perder. Con suerte, y análisis pueden llegar a ganar bastante dinero a medio plazo.

GUIdumpASN para visualizar certificados


La aplicación GUIdumpASN de Gemini Security Solutions permite ver e imprimir una versión legible por humanos de un archivo de notación de sintaxis abstracta uno (Abstract Syntax Notation 1 – ASN.1). ASN.1 es una notación estándar y flexible que describe estructuras de datos para representar, codificar, transmitir y decodificar datos.

La salida de la aplicación se puede guardar como un archivo de texto, y las opciones se pueden configurar para ajustar la salida. La aplicación admite arrastrar y soltar, por lo que puede ejecutar la aplicación y soltar un archivo para mostrar ASN.1. También puede asociar extensiones de archivo con la aplicación para permitir el inicio inmediato cuando se hace doble clic en un determinado tipo de archivo.

Este tipo de programas se denominan “parsers” ya que analizan y presentan la estructura de la información codificada. Son de utilidad, por ejemplo, para ver el contenido de los certificados electrónicos.

En 2012 la aplicación evolucionó (ahora es GUIdumpASN-ng) añadiendo el requisito de preinstalación de Microsoft .NET framework, versión 3.5. Incluye soporte nativo de impresión de la aplicación.

El instalador instala un acceso directo a la aplicación en su menú contextual SendTo de forma predeterminada, para simplificar la decodificación de cualquier archivo que encuentre. Además de los archivos binarios DER codificados, la aplicación también admite archivos codificados en base 64 de estilo PEM (con las etiquetas de estilo –BEGIN CERTIFICATE–).

Instrucciones de descarga

Descargar GDA-ng-setup.exe (408KB). Para evitar confusiones, es preciso desinstalar todas las versiones anteriores a la 2.0 antes de instalar esta.

El software subyacente (dumpasn1.c) fue escrito por Peter Gutmann y se puede encontrar en el sitio web de Peter Gutmann.

Gemini Security Solutions simplemente ha desarrollado el visor como aplicación gráfica de Windows, aprovechando el código fuente citado.

Políticas marco de firma electrónica


El 2 de diciembre de 2015, el Comité Técnico Estatal de la Administración Judicial Electrónica (CTEAJE) aprobó la Guía de Interoperabilidad y Seguridad (GIS) de Autenticación, Certificados y Firma Electrónica en la Administración de Justicia en España, que constituye de facto la “Política Marco de Firma Electrónica para la Administración de Justicia”.

El objeto de esta norma es servir como guía en lo relativo a la gestión de firmas electrónicas en el ámbito de la justicia, así como tomar en consideración los conceptos conexos de autenticidad de documentos electrónicos y uso de certificados en el marco de la identificación y autenticación de intervinientes cuando no se precise el uso de firma electrónica.

Es de aplicación a la Administración de Justicia, a los ciudadanos en sus relaciones con ella y a los profesionales que actúen en su ámbito, así como a las relaciones entre aquélla y el resto de Administraciones y organismos públicos.

La administración de Justicia es la estructura de la administración específica para el Poder Judicial, que es un poder diferente al Ejecutivo y lo es también la infraestructura administrativa que le da soporte.

En el ámbito de la Administración Pública, la Administración General del Estado ha desarrollado diversa normativa destinada  favorecer la digitalización de su funcionamiento. En su momento, uno de los hitos principales de ese proceso de digitalización lo constituyó la publicación de la Ley 11/2007 que suplementaba lo dispuesto en la Ley 30/1992. En el año 2015 se publicaron las leyes siamesas Ley 39/2015 y Ley 40/2015 (subsumiendo las dos leyes citadas), un año después de la publicación del Reglamento europeo UE 910/2014 (EIDAS) y teniendo ya en cuenta bastantes de los aspectos de la norma europea.

Por su lado, en la Administración de Justicia se ha desarrollado la Ley 18/2011 a semejanza de la Ley 11/2007 y se han modificado las leyes procesales, con cambios significativos en 2015.

AGE-AJU

En el ámbito de la AGE, dentro del Esquema nacional de Interoperabilidad  se ha desarrollado una política marco de firma electrónica que ha consolidado la experiencia de  las versiones 1.8 y 1.9. La actual, Política 2.0 se publicó en el BOE de 2 de noviembre de 2016.

En su contexto es muy importante una norma complementaria que ayuda a uniformizar la interoperabilidad de los certificados en España.

En el ámbito de la AJU, dentro de las Bases del Esquema Judicial de Interoperabilidad y Seguridad  se ha desarrollado la política marco de firma electrónica del CTEAJE citada al inicio:

Con sus similitudes y sus diferencias, ambas Políticas son referentes de sus respectivas administraciones.

Listas de confianza TSL


Ya he tratado el tema de las listas de confianza TSL en otras ocasiones en este blog.

Hoy voy a incluir la información actualizada a las listas nacionales XML país por país.

Lista de listas europea

AT

BE

BG

CY

CZ

DE

DK

EE

GR

ES

FI

FR

HR

HU

IE

IS

IT

IL

LT

LU

LV

MT

NL

NO

PL

PT

RO

SE

SI

SK

UK

 

 

 

 

 

 

 

 

¿Cuanto puede valer un Prestador de Servicios Electrónicos de confianza?


Me refiero a su valor como empresa.

Seguro que su valor tiene que ver con sus ventas, pero también con la complejidad del conocimiento necesario para su gestión. Y ahora que los criptosistemas descentralizados de cadenas de bloques se han hecho populares, es más fácil entender la importancia del conocimiento.

La cifra publicada hace unos días nos orienta que su valor puede estar en torno a los 950 millones de dólares, por el monto de la valoración de la adquisición de Symantec por Digicert.   En diciembre de 1999, VeriSign compró Thawte, por 575 millones de dólares.

Por cierto, me gusta mencionar esta operación de Thawte porque tras ella su promotor
Mark Shuttleworth, más famoso en la actualidad por su actividad en Canonical y el sistema operativo Ubuntu se convirtió en el segundo turista espacial de la historia y el primer africano en el espacio.

En efecto, el 25 de abril de 2002, la nave Soyuz TM-34 despegó del cosmódromo de Baikonur hacia la Estación Espacial Internacional con una tripulación formada por tres personas: el piloto-cosmonauta ruso Yuri Gidzenko como comandante de la misión, el cosmonauta-investigador italiano Roberto Vittori y el cosmonauta-ingeniero sudafricano Mark Shuttleworth.

El segundo cosmonauta “turista” en la historia, después del vuelo del millonario estadounidense Dennis Tito en la Soyuz TM-32, prefiere no ser considerado un simple turista, y por ello puso gran énfasis en los aspectos educativos y científicos de su misión. Llevó a cabo experimentos científicos en las áreas de fisiología y de fenómenos de cristalización, así como otros relativos a la investigación de las células madre.

Después de 8 días a bordo de la Estación Espacial Internacional (y 10 días de estancia en el espacio), la tripulación conformada por Gidzenko, Vittori y Shuttleworth regresó a la Tierra a bordo de la Soyuz TM-33, a la sazón acoplada a la Estación. La misión de la Soyuz TM-34 fue la cuarta que viajaba a la Estación Espacial Internacional y la última de dicha variante TM de la venerable nave, siendo sustituida luego por la Soyuz TMA.

Verisign se creó en 1995 a partir de la escisión de los servicios de certificación de la empresa RSA Security. La nueva compañía recibió licencias para adaptar patentes de criptografía de RSA y un acuerdo de no competencia por un tiempo limitado.

Antes de vender los negocios de certificación a Symantec en 2010 por un valor aproximado de 1.280 millones de dólares (incluyendo Thawte), Verisign contaba con más de 3.000.000 de certificados electrónicos.

En la actualidad Verisign conserva la actividad de mayorista de gestión de dominios que adquirió a Network Solutions en el año 2000.

Una explicación de la pérdida de valor del negocio adquirido por Digicert puede ser debido a que el 24 de marzo de 2017, Google declaró que había perdido la confianza en Symantec, tras un incidente de emisión indebida de certificados. Según Google los certificados de Symantec perderían el estatus de confiables en Google Chrome en los siguientes 12 meses.  Google justifica este cambio acusando a a Symantec (o más bien a socios colaboradores CrossCert -Korea Electronic Certificate Authority-, Certisign Certificadora Digital, Certsuperior S. de R. L. de C.V., and Certisur S.A. ) de haber emitido al menos 30,000 certificados de dudosa validez durante varios años, lo que Symantec rechaza señalando un impacto menor.  Google opina que Symantec no cumple con los estándares de la industria y en particular, que no ha sido capaz de proporcionar auditorías que muestren la documentación necesaria.

DigiCert adquiere a Symantec su negocio de seguridad de sitios web y PKI


La operación está valorada en 950 millones de dólares y supone además la toma de una participación de Symantec en Digicert que poseerá el 30% de esta última .

La linea de negocio Website Security de Symantec ha pasado a manos de DigiCert junto soluciones PKI relacionadas.

El CEO de Symantec, Greg Clark y el de DigiCert, John Merrill, manifestaron las ventajas y oportunidades que supone la operación para las empresas en sí y para sus clientes.

Digicert se convierte con esta operación en el principal proveedor mundial de certificados SSL para sitios web y uno de los mayores especialista en gestión de identidad y servicios electrónicos de confianza.