jueves, 29 de noviembre de 2012

Por qué es seguro el Home Banking

Los que acostumbramos a usar el home banking para todo tipo de operaciones, lo hacemos con total confianza. Hay razones para estar tranquilos y quiero explicarlas de la forma más sencilla y menos técnica posible.

Las transacciones que se realizan a través del sitio web de un banco, no se ejecutan como normalmente lo hacemos cuando entramos a una página cualquiera de internet. Por la sensibilidad que implican los datos intercambiados, estas operaciones se hacen por un canal seguro. Es decir, todo el intercambio está encriptado, haciendo imposible que esa información llegue a ninguna otra parte.

La tecnología que nos permite estar tranquilos mientras operamos, es la certificación digital. Esto es lo que hace que, si todo está bien, la barra de direcciones de nuestro navegador luzca con un tono verde, con la sigla HTTPS y acompañada de un candado. Todo ésto nos confirma que estamos en presencia de un canal seguro.

En este caso particular la tecnología adopta un nombre propio y se denomina Certificado SSL. SSL son las siglas de Secure Sockets Layer, en castellano Canal Seguro de Comunicación, que es un estándar de seguridad a nivel mundial desarrollada por Netscape en 1994 y que trabaja con la encripción de datos. Crea un canal encriptado entre un servidor web y un browser asegurando que todos los datos que se crucen entre ambos se mantengan íntegros y confidenciales.

Como trabaja un certificado SSL

Cuando un browser se conecta a un sitio seguro recupera el Certificado SSL y chequea que no esté vencido, si fue emitido por una Autoridad Certificante confiable y que esté siendo utilizado por el sitio para el que fue emitido. Si alguna de estas verificaciones falla, el browser muestra un aviso de advertencia al usuario final. Sólo los certificados emitidos por Autoridades Certificantes de Alta Seguridad como por ejemplo VeriSign o Thawte, realmente muestran los detalles del mismo y sería fundamental que nosotros como clientes aprendamos a controlar.

Finalmente, la tecnología nos da las herramientas para sentirnos seguros a la hora de operar en un Home Banking, pero es nuestra responsabilidad respetar todas las recomendaciones que los expertos en seguridad nos dan a menudo. Entre las más importantes, mantener las contraseñas protegidas, en lo posible evitar operar desde un cyber y jamás entrar al Home Banking desde un link extraño o que venga inserto en un Email.

martes, 27 de noviembre de 2012

El certificado digital

La sanción de la Ley 25.506 de Firma Digital en la República Argentina, que representa un avance significativo para la inserción de nuestro país en la sociedad de la información y en la economía digital, se basa en un componente tecnológico que se ha creado para tal efecto: el certificado digital.

Podemos definir formalmente al certificado como un documento digital mediante el cual un tercero confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos de identificación) y una clave pública.

El certificado es la herramienta fundamental, a partir de la cual pivotea toda la estructura de la Firma Digital y que se denomina PKI, Public Key Infrastructure, es decir Infraestructura de Clave Pública.

Dentro de esta infraestructura, donde la responsabilidad de los usuarios juega un rol fundamental, el certificado y su aplicación natural en los documentos, la firma digital, bridan las siguientes características al sistema:
  1. Autenticidad. Permite determinar fehacientemente al emisor del documento o mensaje (certificado digital). Una consecuencia es el No Repudio por el cual el emisor no puede negar haber enviado el documento o mensaje (clave privada).
  2. Integridad. Permite determinar que el documento o mensaje no ha sido alterado durante su transmisión (comprobación de la firma).
Para redondear el concepto, digamos que el certificado digital es un documento de carácter público. Vincula la clave pública con los datos de identificación de su titular como nombre, apellido, CUIL, e-mail, etc y se relaciona matemática y unívocamente con una clave privada, propiedad y responsabilidad exclusiva de su titular.

En el próximo post, vamos a analizar un caso práctico y sencillo para que cualquier lector pueda visualizar la aplicación de la firma en un ámbito muy familiar para todos: el correo electrónico.

miércoles, 21 de noviembre de 2012

La Justicia de Santa Fe encabeza el uso de la firma digital

El 43% de los certificados de firma digital emitidos por esta oficina en el marco del Convenio de Comunicación Electrónica Interjurisdiccional (CCEI) corresponden al Poder Judicial de la Provincia de Santa Fe. El párrafo, extraído de un reciente informe de la Oficina Nacional de Tecnologías Informáticas (ONTI), es revelador en cuanto al desarrollo alcanzado por la Justicia santafesina en materia de comunicación informática.

Otro 43 por ciento de los certificados pertenecen a todos los demás poderes judiciales de la Argentina (sin Santa Fe), mientras que el restante 14% fueron tramitados por diferentes organismos nacionales.

El porcentaje de las firmas digitales de Santa Fe está integrado por 768 cuentas de correo electrónico con firma digital asignadas a los magistrados y funcionarios a cargo de los juzgados y demás dependencias judiciales, distribuidos en 35 ciudades de la provincia que se corresponden con los circuitos judiciales.

Junto a su liderazgo nacional, otro dato que caracteriza el proceso de desarrollo en materia de comunicación electrónica de la Justicia de Santa Fe es su descentralización.

El proceso de modernización tecnológica encarado por la Corte Suprema de Santa Fe (del cual la firma digital forma un importante eslabón) es consecuencia de la decisión de lograr una mayor eficiencia en la administración y organización judicial, buscando despapelizar los juzgados para llegar en el futuro al llamado expediente digital, el cual significaría un importante ahorro de tiempo en trámites que hoy se efectivizan por correos tradicionales.

Para llegar al actual desarrollo digital destacado por la ONTI, la Corte santafesina dispuso en su momento que se realizaran todas las tareas necesarias para poner a punto la infraestructura (ampliación del ancho de banda, extensión de la red de datos del Poder Judicial, incorporación de computadoras, reemplazo de servidores por otros más potentes, capacitación del personal, etc).

Fuente: http://www.justiciasantafe.gov.ar

sábado, 17 de noviembre de 2012

Qué es la firma digital

Mucho se habla o se escucha de este tema, la ley 25.506, para qué sirve, en qué se puede usar, pero qué es realmente la firma digital ? Mi intención es darles una definición lo más sucinta y comprensible posible, así que podríamos decir que es una herramienta de tecnología que permite garantizar la autoría e integridad de los documentos digitales, dándoles la misma característica que la firma ológrafa (de puño y letra) exclusiva de los documentos en papel.

Ahora bien, si quiero firmar mis documentos, qué tengo que hacer para lograrlo ?. En primer término vamos a explicar cómo se genera la firma digital. Nuevamente, quiero ser lo técnicamente imprescindible (no más) para mostrar el proceso y que se comprenda con facilidad.

El primer paso para poder firmar documentos, es tramitar y conseguir un certificado digital. Por ejemplo en el sitio web de la Secretaría de la Gestión Pública (http://www.mejordemocracia.gov.ar/paginas.dhtml?pagina=304), se puede adquirir un certificado digital, sin costo y que sirve perfectamente para usar con el correo electrónico.

Una vez obtenido e instalado correctamente en la PC, cada titular de un certificado posee un par de claves asociadas, una privada y otra pública, generadas mediante un proceso matemático que las relaciona unívocamente. Sin entrar en detalles accesorios vamos a ver cómo se genera una firma.

Para los documentos electrónicos, la firma digital es el resultado de aplicar dos funciones matemáticas al contenido de un documento. Una denominada función hash (picadillo), obteniéndose un digesto (resumen). Seguidamente se aplica al digesto otra función llamada firma usando la clave privada del certificado digital del firmante.

El último párrafo describe brevemente la técnica y de paso aclaro, que ese digesto es necesario porque la mecánica de la firma involucra procesos de encriptación de textos, por lo tanto es necesario trabajar con una parte de los documentos para que los tiempos de ejecución sean razonables.

En próximos artículos estaré explicando los propósitos de un certificado digital, cómo se almacena en la PC y cómo podemos emplearlos en forma fácil y práctica en nuestra vida cotidiana.

jueves, 8 de noviembre de 2012

AFIP implementó un sistema de autorizaciones para la firma digital de documentación

Siguiendo con el tema, éste es un extracto tomado del sitio http://jorgevega.com.ar

La herramienta informática, denominada Gestión de Autorizaciones Electrónicas para Firma Digital, le permitirá al contribuyente designar a una tercera persona para que firme digitalmente en los sistemas de la AFIP. A su vez, la persona autorizada deberá tener un "Certificado Digital" debidamente aprobado por dicho órgano fiscal.

La medida se dio a conocer en el Boletín Oficial mediante la publicación de la Resolución 3380 de la AFIP y entrará en vigencia a partir del día de hoy.

El sistema permitirá formalizar electrónicamente los actos de otorgamiento, aceptación y revocación de autorizaciones, generales o especiales, ante la AFIP, a fin de identificar a las personas físicas habilitadas para firmar digitalmente determinada documentación.

Como se menciona en la norma, la utilización de la mencionada herramienta será obligatoria aun cuando la representación invocada conste en un instrumento formal suscripto por el sujeto autorizante.

A su vez, será condición necesaria y excluyente que los sujetos autorizantes y a autorizar hayan cumplido —en forma previa— con el requisito de registro digital de la foto, firma y huella dactilar, así como de escaneo del documento que acredite su identidad (RG 2811).

Para poder operar y firmar digitalmente, la persona autorizada deberá aceptar la autorización otorgada mediante el servicio informático Aceptación de Autorizaciones Electrónicas para Firma Digital.

Próximamente, la AFIP publicará en su sitio web la lista con los servicios que podrán habilitarse para la utilización del nuevo sistema de autorización de firma digital.

Normativa relacionada:

Ley 25.506: Firma Digital. Resolución 2651/2009 de la AFIP: procedimiento para solicitar el Certificado Digital. Resolución 2811/2010: Registro Tributario. Registro de datos biométricos.

miércoles, 7 de noviembre de 2012

RG 3380 - AFIP. Gestión de Autorizaciones Electrónicas para Firma Digital.

Resolución General 3380 Procedimiento. Gestión de Autorizaciones Electrónicas para Firma Digital. Su implementación. Bs. As., 6/9/2012

Artículo 1° — Establécese la herramienta informática denominada “Gestión de Autorizaciones Electrónicas para Firma Digital”, como instrumento suficiente para formalizar electrónicamente los actos de otorgamiento, aceptación y revocación de autorizaciones, generales o especiales, ante esta Administración Federal, a fin de identificar a las personas físicas habilitadas para firmar digitalmente determinada documentación. La utilización de la mencionada herramienta será obligatoria aun cuando la representación invocada conste en un instrumento formal suscripto por el sujeto autorizante.

Art. 2° — A los fines indicados en el artículo precedente, los usuarios alcanzados deberán observar el procedimiento consignado en el Anexo de esta resolución general. Será condición necesaria y excluyente que los sujetos autorizantes y a autorizar hayan cumplido —en forma previa— con el requisito de registro digital de la foto, firma y huella dactilar, así como de escaneo del documento que acredite su identidad, de acuerdo con el procedimiento establecido en la Resolución General Nº 2.811 y su complementaria.

Art. 3° — Las personas físicas a quienes se les otorguen autorizaciones en los términos de la presente, deberán contar con el “Certificado Digital” emitido por la Autoridad Certificante de la Administración Federal de Ingresos Públicos, aprobado y aceptado conforme a lo previsto por la Resolución General Nº 2.651.

Art. 4° — Las autorizaciones y aceptaciones registradas y el estado de las mismas, podrán consultarse en el sitio “web” de este Organismo (http://www.afip.gob.ar), ingresando con “Clave Fiscal” al servicio “Gestión de Autorizaciones Electrónicas para Firma Digital”, opción “Consultar Mis Autorizaciones”.

Art. 5° — Las autorizaciones otorgadas y las aceptaciones efectuadas según lo previsto en esta resolución general, caducarán por causa de muerte o por revocación expresa del autorizante o del autorizado.

Art. 6° — La nómina de los servicios respecto de los cuales se habilita la utilización de la herramienta informática “Gestión de Autorizaciones para Firma Digital”, así como su fecha de implementación y las sucesivas incorporaciones, serán publicadas a través del sitio “web” institucional.

Art. 7° — Apruébanse el Anexo y el Formulario Nº 3283/D que forman parte de la presente.

Art. 8° — Las disposiciones que se establecen en esta resolución general entrarán en vigencia a partir del día de su publicación en el Boletín Oficial, inclusive.

Art. 9° — Regístrese, publíquese, dése a la Dirección Nacional del Registro Oficial y archívese. — Ricardo Echegaray.

ANEXO (Artículo 2°) PROCEDIMIENTO PARA EL USO DE LA HERRAMIENTA INFORMATICA “GESTION DE AUTORIZACIONES ELECTRONICAS PARA FIRMA DIGITAL”

Para utilizar la herramienta informática denominada “Gestión de Autorizaciones Electrónicas para Firma Digital”, disponible en el sitio “web” de este Organismo (http://www.afip.gob.ar), el sujeto autorizante deberá acceder al citado servicio informático, establecer el alcance de la autorización a otorgar e identificar al usuario al cual se autoriza. Como constancia de la autorización realizada, el sistema emitirá el Formulario Nº 3283/D, con los rubros 1, 2 y 3.

La persona autorizada deberá aceptar la autorización otorgada mediante el servicio informático “Aceptación de Autorizaciones Electrónicas para Firma Digital”, en cuyo caso el sistema emitirá el Formulario Nº 3283/D, con los rubros 1, 2 y 4. Hasta tanto no se concrete dicha aceptación, aquélla no podrá actuar como tal respecto de los actos que le fueran encomendados.

Las autorizaciones otorgadas y las aceptaciones efectuadas podrán revocarse a través del servicio informático “Gestión de Autorizaciones Electrónicas para Firma Digital”, mediante la emisión del formulario Nº 3283/D con los rubros 1, 2 y 5, y producirán efectos ante este Organismo desde el momento de su registro en el sitio “web” institucional.

Los usuarios deberán contar con “Clave Fiscal” con Nivel de Seguridad 3 como mínimo, obtenida conforme a lo dispuesto por la Resolución General Nº 2.239, su modificatoria y sus complementarias.

martes, 6 de noviembre de 2012

Infraestructura de Clave Pública (PKI). Segunda Parte

Esta clase de Infraestructura es también conocida como de clave pública o por su equivalente en inglés Public Key Infrastructure . La normativa crea el marco regulatorio para el empleo de la Firma Digital (Ley 25.506) en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.

La disposición establece la configuración de la siguiente estructura:
1. Organismo Licenciante [OL]
Es la Autoridad Certificante Raíz que emite certificados de clave pública a favor de aquellos organismos o dependencias del Sector Público Nacional que deseen actuar como Autoridades Certificantes Licenciadas.
2. Organismo Auditante [OA]
Es el órgano de control, tanto para el Organismo Licenciante como para las Autoridades Certificantes Licenciadas.
3. Autoridad Certificada Licenciada [ACL]
Son aquellos organismos o dependencias del Sector Público Nacional que soliciten y obtengan la autorización, por parte del Organismo Licenciante, para actuar como Autoridades Certificantes de sus propios agentes.
4. Suscriptores
Personas que tramitan y obtienen un certificado digital.

La firma digital es el instrumento que permitirá, entre otras cosas, determinar de forma fiable si las partes que intervienen en una transacción son realmente las que dicen ser, y si el contenido del contrato ha sido alterado o no posteriormente.

También es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que éste no pueda ser leído por otras personas; al igual que cuando se firma un documento holográficamente éste puede ser visto por otras personas.

Una de las características sobresalientes y que constituye el pilar de la firma digital, es la condición de No Repudio. El No Repudio ofrece seguridad inquebrantable de que el autor del documento, en el futuro no puede retractarse de haberlo enviado, ni tampoco de las opiniones o acciones consignadas en él. La lista que se detalla a continuación es parte de la información que describe al certificado, es pública y puede ser verificada por cualquiera en cualquier momento.

Versión
Numero de Serie
Algoritmo de Firma
Emisor
Válido Desde
Válido Hasta
Asunto
Clave
Restricciones Básicas
Restricción de longitud de ruta
Algoritmo de identificación
Huella digital

La responsabilidad de los usuarios. Todo propietario de un certificado digital debe velar por la integridad del sistema de clave pública, por este motivo a continuación se detallan algunos de los cuidados que deberán observar para mantener la confiabilidad del sistema.

Control exclusivo de sus datos. Resguardo total e inviolable de su clave privada. Debe contar con un dispositivo de creación de firma confiable. Solicitar revocación inmediata, en caso de estar comprometida la privacidad del certificado. Informar al ente certificante cualquier cambio en los datos del certificado objeto de una verificación.

Infraestructura de Clave Pública (PKI). Primera Parte

En un primer intento de lograr la seguridad en las transmisiones de datos, se pensó en un esquema de criptografía por clave secreta simétrica. Si bien aseguraba la identidad e integridad, la cantidad de claves para un grupo de usuarios considerable, la vuelvía operacionalmente inadecuada. Si la cantidad de claves se calcula como n*(n-1) / 2 siendo n la cantidad de usuarios, para mil usuarios el resultado sería 499500 claves.

Se piensa entonces en un nuevo modelo, Clave Pública (Asimétrica). En este esquema se expide un certificado para el usuario, en el que se obtiene una clave privada y una pública. De esta forma, cada propietario maneja dos claves solamente en forma independiente de la cantidad de usuarios. Las claves están relacionadas por un algoritmo matemático que impide su violación por medios computacionales en tiempos razonables.

En la práctica, un usuario A que quiera encriptar un mensaje para un usuario B y asegurarse que solo lo pueda leer el usuario B, lo único que tendrá que tener es la clave pública de dicho usuario, puesto que será el único poseedor de la clave privada con la que podrá desencriptar el mensaje.

La Infraestructura de Clave Pública es también conocida por su equivalente en inglés Public Key Infrastructure. La normativa crea el marco regulatorio para el empleo de la Firma Digital en la instrumentación de los actos internos del Sector Público Nacional que no produzcan efectos jurídicos individuales en forma directa, otorgándole a esta nueva tecnología similares efectos que a la firma ológrafa.

El uso de la firma no se limita exclusivamente a verificar con el algoritmo de verificación, que la firma digital se corresponde con el mensaje que se quería firmar. Además hay que evaluar distintos factores que dan la validez real de la firma, como fecha de vigencia del certificado, la exclusión de listas de revocación, timestamping o sello de tiempo, que establece periodos de tiempo, fuera de los cuales la firma carece de validez.

En el próximo artículo analizaremos los componentes de la PKI, detallando uno por uno y viendo la importancia de observar los derechos y obligaciones de los usuarios para mantener la confiabilidad de la infraestructura.

Buscar este blog