Asumida en toda la sociedad la importancia de la información, concentrada en vídeos, grabaciones de sonido, ficheros, docs escaneados, fotografías, planos, código fuente etc etc todos necesitamos poder guardar cierta información en formato electrónico de modo completamente seguro, a salvo de desastres.

Seguro desde la perspectiva física (infraestructuras sincronizadas y con redundancia, así como control de incendios) y también desde la perspectiva de acceso y obtención o manipulación. En este sentido aparece la importancia de la firma electrónica, de los certificados y de las capacidades de cifrado que cada usuario necesita disponer.

El servicio eBOX CITI que este innovador Colegio de Ingenieros está en proceso de lanzamiento, aporta todos los elementos necesarios para formalizar un contrato con usted: caja web segura accesible desde cualquier dispositivo o sistema operativo, certificados electrónicos, herramientas auxiliares de firma y cifrado y también la formación para autoprotección y buenas pácticas. Ello facilita que un cliente cifre un informe crítico de su empresa (o familia) y lo salve en la caja fuerte documental segura, a salvo incluso del personal de la propia infraestructura. Sólo él y aquellos a los que habilite podrán descifrar esa información fundamental.
Concepto.-

En la sociedad actual, completamente inmersa ya en Internet, han ido creciendo los sistemas “en la nube” como una especialización que permite a clientes de cualquier tamaño confiar en una potente infraestructura. Situada “en Internet”, dispone de todos los elementos de seguridad, ancho de banda, velocidad, personal técnico, máquinas, backups y una actitud de mejora constante, que permite al cliente ocuparse de lo fundamental de su negocio sin arriesgar en inversiones tecnológicas que quedan en el campo de quienes apuestan por infraestructura.

Estas instalaciones ofrecen todo tipo de servicios, habitualmente páginas web, correo, hosting desde hace muchos años. En el momento actual, tanto la crisis como el avance del “cloud computing” han hecho que se ofrezcan en modo “pago por uso” muchos tipos de software, típicamente sistemas de gestión como ERP, pero quiero mostrar cómo en el Colegio de Ingenieros Técnicos Industriales de Navarra se abre camino un proyecto espectacular, para profesionales,  empresas y asociaciones empresariales, en la línea del título del artículo: La Caja Fuerte  Documental Segura que ellos han bautizado como eBOX CITI.

La Caja Fuerte Documental Segura eBOX, Personal o Corporativa, responde a esa idea ya comentada de que cada persona, cada profesional, cada empresa, necesita una zona segura donde tener siempre los documentos que NO PUEDEN PERDERSE, al igual que los bancos ofrecen sus cajas de seguridad donde se guardan documentos físicos, joyas o cualquier elemento de gran valor para su propietario.

En la Caja Fuerte Documental, custodiada por la potente infraestructura de CITI Navarra, guardarán cualquier fichero, independientemente de su formato y su tamaño, y llevará nuestra propia seguridad (firma y/o cifrado del propio cliente) por lo que está protegido incluso de los propios técnicos de la infraestructura, de mantenimiento o de soporte.

Siempre accesible.-

Usted podrá conectarse a su Caja Fuerte Documental desde cualquier lugar del mundo, desde cualquier PC o dispositivo, desde cualquier sistema operativo, identificándose de un modo fuerte con sus certificados digitales, tanto de software como en dispositivo criptográfico (por ejemplo DNIe), y tiene la seguridad de que nunca perderá su información.

Podrá compaginar información sin cifrar, por no ser sensible, información firmada para prevenir cambios e información cifrada para que nadie salvo usted pueda verla o usarla.

Custodiado y protegido.-

La custodia electrónica se caracteriza porque la infraestructura CITI Navarra mantiene salvada la información, de modo que ni incendios, ni terremotos ni accidentes industriales, logren que su información resulte dañada, permaneciendo a salvo en cualquier circunstancia.

El sistema le permite guardar para su custodia información que usted puede previamente firmar electrónicamente y/o  cifrarla, para una mayor seguridad de que nadie podrá acceder, ver o manipular sus datos sensibles.

Tratar la información antes de darla a custodia.-

Usted podrá firmar y/o cifrar la información, independientemente del formato y su tamaño, mediante las herramientas auxiliares de que dispone como cliente de eBOX CITI. Con ello incorpora una “capa adicional” de seguridad y control, pudiendo descargar esa información y descifrarla en sus sistemas incluso sin disponer de conectividad a internet o al sistema central de custodia.

Su información vital (planos, inventos, títulos, patentes, imágenes, vídeos, grabaciones de sonido, fotografías, código fuente, historiales médicos, planes de futuro, pruebas de sucesos, declaraciones e incluso copias de seguridad de que disponga) nunca será accesible por personas que no sean usted o por aquellos que usted determine, por estar cifrada.

Sólo usted y esas personas de confianza (caso de que existan) podrán descifrarla.

Por otra parte existe un control de trazabilidad y elementos de seguridad física en las instalaciones que alojan las Cajas Fuertes Documentales.

Formación y buenas prácticas.-

Cualquier sistema de seguridad requiere una mínima formación para un correcto uso. Usted podrá recibir formación adecuada si lo desea para estar siempre en mejores condiciones de proteger su información, entregarla a custodia desde cualquier lugar, acceder a ella desde cualquier dispositivo o sistema y obtener copia de la misma.

Recibe por tanto una formación y una serie de herramientas que usa como cliente de eBOX y le permitirán: firmar electrónicamente cualquier fichero, cifrar y descifrar cualquier documento, incluso aunque no vaya a darlo en custodia sino guardarlo en sus propios sistemas.

Información sensible e información importante.-

Probablemente cualquier documento sensible (crítico) usted lo va a cifrar para que sólo las personas que usted valide puedan acceder y ver esa información.

La información importante, pero no tan sensible, la tendrá salvada, sin riesgo de pérdida, pero probablemente sólo firmada electrónicamente, asegurándose así de que nadie podrá manipularla inadvertidamente.

Pero si mi información ocupa muchísimo.-

No hay límite para el espacio de su Caja Fuerte Documental, aunque lógicamente tiene un coste mayor asegurar 1 millón de ficheros que solamente mil.

Una persona, un profesional, puede disponer del servicio de Caja Fuerte Documental por tan sólo 6 euros al mes, pero una empresa, necesitada de mas espacio, probablemente pagará 20 ó 30 euros mensuales, al necesitar mayor volumen seguro.

Pero si mi empresa necesita que cientos de usuarios accedan a partes de la información ?.-

Usted necesita una Caja Fuerte Documental Segura eBOX Corporativa. En ella tendrá información sensible cifrada, información importante firmada y miles de ficheros de clientes , a cada uno de los cuales dará acceso a su propia zona de cliente, donde además usted salva su información por ellos, por ejemplo si desea utilizar esta plataforma como medio de distribución de facturas electrónicas a clientes, u otro tipo de información sensible.

En estos casos puede disponer de una zona para que todos sus clientes (sin límite en el número de usuarios) accedan a sus zonas de factura electrónica, a las zonas de información que usted ha generado para ellos, evitando correo postal, aportando universalidad, mejorando la seguridad, facilitándoles usted la custodia, además de aportarles mecanismos sin coste de firma y cifrado.

Su Caja Fuerte Documental Segura Corporativa actúa como un conjunto ilimitado de cajas fuertes personales , una por cliente, por lo que usted se ha convertido en el banco documental de sus clientes y le ofrece valiosos servicios de custodia y seguridad documental.

Es la Caja Fuerte Documental Personal un sistema de Backup ?.-

No exactamente. Usted no puede perder los ficheros de su Caja Fuerte Documental Segura Personal, y en ese sentido es salvada de modo especial. Pero en ella se mantiene su documentación, y puede tener tanto documentos históricos vitales como documentos vivos que usa frecuentemente.

No debemos pensar en la Caja Fuerte Documental Segura como un mero sistema de backup, ya que es un sistema moderno que ofrece fuerte autenticación, firma electrónica, cifrado, acceso seguro, trazabilidad y salvado de su información a prueba de cataclismos.

Un backup normal no le evita que usted haya perdido un fichero que “tenia hace tres años”. Un sistema de custodia le permite rebuscar entre los ficheros que usted tenía hace cinco años, y permanecen en el sistema de custodia como una sucesión de backups independientes.

Puedo crear un sistema de Caja Fuerte Documental Segura para nuestro Colegio o Asociación empresarial ?.-

Por supuesto. Tendrán su propio subdominio en la infraestructura de CITI Navarra y sus propios clientes, como por ejemplo asesoria.documentacionelectronica.com

CITI Navarra diseñará el sistema con sus necesidades y tutelará su implantación. Entonces comenzará la formación de sus responsables y administradores para que sea independiente respecto de sus clientes y usuarios.

La confianza de CITI Navarra.-

El servicio Caja Fuerte Documental Personal y Corporativa es un proyecto innovador del Colegio de Ingenieros Técnicos Industriales, surgido en el marco de su apertura a todos los ingenieros de habla hispana vía Internet, pero tambien a otros profesionales no relacionados con la ingeniería que requieran estos servicios. 

CITI Navarra aspira a ser un de los pocos centros clave para la ingeniería, ofreciendo cada vez más servicios de valor en nuevas tecnologías, y en aquellos aspectos donde las empresas y los profesoanles requieren de apoyos valiosos y creativos para su día a día.

CITI Navarra innova no sólo en cuanto a los proyectos que ofrece, como este de la Caja Fuerte Documental, sino en cuanto al modelo de trabajo, al ser uno de los primeros colegios profesionales que sale al mundo con servicios, productos y formación, y renunciando al viejo modelo de colegio profesional clásico.

Conclusiones finales:

La Caja Fuerte Documental Segura eBOX CITI es un servicio ofrecido al mundo por el Colegio de Ingenieros Técnicos Industriales de Navarra, diseñado con analiTICs21 y la participación de un buen número de empresas tecnológicas españolas con gran nivel de solvencia y coordinadas desde CITI Navarra.  Se orienta en una doble dirección: por una parte para los colegiados (ingenieros, abogados, graduados sociales, médicos, notarios y en definitiva profesionales de cualquier disciplina ) y por otra para pymes, asociaciones empresariales y otros colegios profesionales que deseen tener su propio proyecto eBOX.

En este momento, algo alocado en cuanto a opciones que se ofrecen en Internet por doquier, se hace necesario contar con un interlocutor de confianza, que resuelva de modo transparente la problemática técnica, que facilite con sus socios tecnológicos las necesidades de calidad, seguridad, eficacia y se comprometa con nosotros completamente.

A lo largo del artículo he ido mostrando uno de los servicios novísimos de CITI Navarra dentro del proyecto CITIC´s.

CITI Navarra es una organización pionera que abre su campo de acción a Internet. Ya no se orienta sólamente a Navarra sino a todas las organizaciones colegiales, empresariales y profesionales de España que usan Internet de modo creciente, aplicando nuevos métodos, nuevas vías a su quehacer empresarial, mejorando sus cotas de calidad y a la vez reduciendo gastos.

eBOX compite con soltura con cualquier sistema actual de los existentes, incluyendo aquellos que yo uso desde hace tiempo como Dropbox, SpiderOAK o Wuala, pero adelantándose a todos ellos de un modo espectacular sobre todo en elementos de seguridad, en capacidades para el usuario, en atención directa en tu idioma, en aplicaciones auxiliares adicionales que amplian el sistema eBOX y dotan de más garantías al usuario, ya que le permiten DE VERDAD cifrar de modo seguro y privado la información que desean proteger, tanto en la plataforma como en sus propios sistemas merced a las herramientas auxiliares de eBox.

Algunas de las soluciones que han ido apareciendo adolecen de todas las opciones de autenticación con certificados, no aportan capacidades de firma, no ofrecen opciones de cifrado real al usuario y se limitan a decir (a veces falsamente como denunciaba la prestigiosa empresa hispasec hace pocos días respecto de DropBox, o en su propio blog de DropBox cuando mostraron al mundo que durante 4 horas podía accederse a los sistemas con cualquier contraseña) que “ellos” cifran los datos en el servidor, y en la mayoría de las ocasiones son un simple salvado en servidor de ficheros para sincronizar ordenadores dispersos.

Crecerán servicios de custodia y salvado

Todas estas soluciones, que insisto, yo utilizo también en mi día a día, tienen algun atractivo para el usuario, pero pueden coexistir perfectamente con eBOX CITI como servicio formal. En un mundo donde miles de usuarios profesionales y pymes deseen garantizarse esta acción de salvado de documentación, es más sencillo confiar en una organización real y tangible como CITI Navarra, contactando en cualquier momento por teléfono, email, video conferencia o presencialmente en sus locales, y disponiendo de todas las capacidades que la inmensa mayoria de las otras opciones no tienen (login con certificados o tarjetas criptograficas-incluido DNIe- vía Tractis, firma electrónica en plataforma o e su PC, cifrado y descifrado tanto en plataforma como en su PC, firma de ficheros desde cualquier dispositivo movil, custodia documental blindada).

En el momento de escribir este artículo, responsables de CITI Navarra  perfilan las distintas visitas que se realizarán en los próximos 3 meses para activar sistemas eBOX para cualquier organización empresarial o colegial en España, aportando además un modelo de negocio muy claro a estas organizaciones.

Si tiene interés estarán encantados de visitarle o hacer una video conferencia sin compromiso. Si 20 céntimos de Euro por día no es una locura para usted, entonces eBOX es su solución profesional. Y si lo que desea es disponer de ilimitados usuarios en su eBOX Corporativo, tanto para trabajadores, proveedores o clientes, entonces 1 Euro al día sigue siendo un coste excepcional por todas las capacidades citadas y la salvaguarda de información.

Una eBOX Corporativa para datos de laboratorio

Cualquier fichero puede ser firmado o cifrado antes de subirlo a custodia al eBOX

Data Centers asociados para alojar las eBOX personales y corporativas

En su eBOX web puede hacerlo todo aun sin herramientas auxiliares desde su IPad

Estoy convencido de la bondad del proyecto que lanza el Colegio de Ingenieros Técnicos Industriales de Navarra, ya que no sólo ahonda en esa necesidad que yo percibo por parte de cualquier persona de disponer de una zona web de seguridad superior, fácilmente accesible, sino que lo expande a organizaciones empresariales aportando un modelo de negocio a éstas.

Soluciones como DropBox, SpiderOAK, Metaposta, Wuala y muchos otros que nacerán, van en la línea de aprovechar  la nube de servicios en Internet y son buenas experiencias de las que aprender.

eBOX CITI es símplemente un producto/servicio superior a todos ellos.

Como ya he comentado yo utilizo diariamente DropBox, TrueCrypt y Metaposta aunque “los mejoro” con herramientas como el Explorador ESecure de KSI, algo sin lo que ya no podría funcionar en mi día a día.

Desarrolladores, diseñadores, empresas con potente infraestructura en Internet, analistas y empresas de seguridad, hemos formado Kuestion.es, plataforma abierta, multiidioma y gratuita, que se ofrece de modo abierto.

Nada de lo realizado hubiera sido posible sin contar con la infraestrutura de Tractis, verdadero núcleo sobre el que orbita la plataforma de voto electrónico siguiendo las políticas de validación aquí expuestas.

Como queda claramente reflejado en uno de mis artículos, en cuanto a sistemas web con autenticación con certificados, Tractis fue un descubrimiento casual extraordinario, y según he ido avanzando en el análisis de sus servicios ha ido quedando demostrada su idoneidad, la calidad y las enormes oportunidades que dan para construir con ellos.

Comencé como prueba de concepto integrando en mi blog su plugin para autenticación con certificados y tras un estudio de sus servicios no sólo utilizamos sus sellos de tiempo y contratos online, sino que hemos dado el paso de crear un servicio de voto electrónico universal basándonos en sus sistemas, que ponen a disposición de la plataforma y tus iniciativas.

Creo que tanto el objeto del proyecto mostrado en aquí, como el expresado en la propia web de la plataforma de voto electrónico, dejan claro que este es un camino que busca potenciar el uso de los certificados electrónicos por toda la sociedad, en todo el mundo. Ese es nuestro beneficio, ya que tanto Tractis, como los integrantes de Kuestion.es, podremos idear servicios y productos futuros que tengan en cuenta ese uso cotidiano de ciudadanos y empresas respecto de los certificados electrónicos, donde incluimos el DNI electrónico como uno de los más especiales, por su calidad, fortaleza, seriedad y por el hecho de que los sistemas no requieren que los ciudadanos deban instalar los drivers del DNIe (ni en España ni en Austria), facilitando enormemente el uso sencillo.

En estos momentos son muchos los certificados de todo el mundo los que pueden utilizarse para votar. Por citar algunos de nuestro país: Certificados de Izenpe, Camerfirma, Firma Profesional, DNI electrónico, Colegio de Abogados y un largo etcetera. Por qué no se incluyen certificados gratuitos como el de la Fábrica Nacional de Moneda y Timbre ? La razón es sencilla: cuando alguien va a votar, el sistema necesita verificar que el certificado no ha sido anulado, revocado o robado, y que sigue en poder de su dueño. La FNMT no da ese servicio luego sus certificados son inseguros para una práctica formal de voto electrónico con garantías.

Cómo puede un blogger o cualquier persona o institución que tenga una web, utilizar la plataforma? Lo primero sería crear una cuenta gratuita y a partir de ese momento podría “activar” preguntas que serán lanzadas al mundo desde la plataforma o desde la propia web o su blog personal.

Veamos una prueba real operativa, y así hacemos bueno lo de utilizar la jornada de reflexión de hoy, sábado 21 de Mayo de 2011, de las elecciones municipales y autonómicas:

Existen cientos de preguntas que en el dia a dia un ciudadano cualquiera desearía responder, sabiendo que su voto (su opinión en definitiva) va a ser tenido en cuenta.

La votación lanzada podría ser cerrada para un grupo de personas, definido previamente por quien activa la pregunta, o disponer de características como “ser mayor de edad”, “ser abogado”, ”ser Austriaco” o “ser mujer”.

Una plataforma como la iniciada por Kuestion.es podría ser plenamente utilizada por cualquier partido político, sindicato, asociación empresarial o social, o el propietario de un Blog como el mio, para exponer preguntas, sabiendo que nadie vota 50 veces y que se cumplen todas las garantías. Cada uno sabrá qué hacer con el resultado de la votación, sea esta una sola pregunta o todo un Kuestionario (la K es de Kuestion.es).

La última pregunta tiene que ver con una que ha surgido estos días por la plataforma “DEMOCRACIA REAL YA” y que ha evolucionado desde la Puerta del Sol en Madrid a muchas ciudades del mundo, aquí va:

No será la última vez que hablemos de la plataforma en este blog. Me gustaría desde aquí hacer un llamamiento a quienes tienen un espíritu joven y deseen participar en este proyecto, sabiendo que no hay más que ganar que la satisfacción de empujar un movimiento que beneficie a los ciudadanos anónimos de todo el mundo, además de aprender en el camino.

Sin que sea nada extraordinario, es un servicio a tener en cuenta, aunque existen alternativas profesionales de empresas como Microsoft, Adobe, Huddle, Skype, e incluso en el mundo de software libre como Dim Dim. Para profundizar sobre esto aquí un artículo interesante.

Si me he decidido a romper mi larga temporada alejado del blog, e incluso posponer el articulo casi acabado orientado al nuevo y esperanzador servicio CAJA FUERTE DOCUMENTAL PERSONAL del Colegio de Ingenieros Técnicos Industriales de Navarra, es por un hecho curioso que me ha sucedido con WEBEX Servicios al Cliente Spain.

Tras una serie de cruces de mensajes acerca de cómo hacer el pedido, ha sido la prepotencia y falta de flexibilidad de esta empresa la que me ha decidido a plantearles que se multipliquen por cero, pero que no contarán conmigo como cliente mientras no modernicen sus modos de hacer, eliminen la prepotencia en su trato y acepten la Ley de Firma Electrónica ya que tratan con clientes en España.

Un día como hoy, contacto con los servicios de webex y tras una serie de llamadas y correos me activan el servicio. Me sorprende cuando, disponiendo de más de 12 idiomas, no lo han personalizado a español, a pesar de que disponen de él (pero en la lista no está entre los elegibles..).

Paralelamente a este proceso, que hasta hoy no han personalizado aunque dicen “que estan en ello”, y a pesar de que ya había pagado la primera mensualidad, me insisten en que para personalizar a mi idioma, debo rellenar un documento de Word. Comienza la juerga.

Una vez realizado el doc lo envío y me comunican a los dias..que he olvidado firmarlo, por lo que siendo un documento de Word, y aunque Microsoft no dispone de capacidades de firma electrónica validada y sellada, firmo electrónicamente con mi certificado de Firma Profesional y listo.

Nuevo mensaje de Webex Servicios a cliente Spain, donde me dicen que “oh, olvidó firmar en la celda signature..”

Echo unas risas porque veo a esta gente bien atrasada en estos temas y contesto que mi firma electrónica es legal en España, que entiendo que quizás no lo han visto bien en Microsoft Word..

Nueva contestación tras uno o dos dias, pidiéndome la firma manuscrita escaneada en la celda signature. Comienzo a cabrearme, porque la estupidez me puede normalmente y la burocracia de la peor ralea suele ser síntoma de imbecilidad . En mi contestación, les dejo claro que entiendo que disponen de un experto calígrafo para analizar mi firma, pero que no obstante, les envío amablemente, y sin que me lo hayan pedido, mi DNIe escaneado, donde aparece flamante mi firma manuscrita, la misma que a mis hijas de pequeñas les daba verguenza cuando firmaba las notas ;D

Nuevo mensaje a los dos días (a todo esto el sitio sin personalizar en español, por lo que no lo uso) donde me dicen que debo escanear mi firma. Qué? Esto ya es el cachondeo! Seguro que hay alguna cámara grabándome por ahí puesta por mis amigos para echar unas risas a mi costa.. Pueso no. Van en serio.

Y si les firmo con la firma manuscrita de algún famoso? Y si pongo un garabato sin más, a ver si traga su experto calígrafo y echamos una risas todos ?

Al final se impone mi modo razonable y pego en la celda signature mi firma escaneada. Han conseguido doblegarme ;-) !!

Tras el envío y otros dos dias, me dicen que sea tan gentil de imprimir el documento, firmarlo y escanearlo..

!!! Toma ya!!

Han cogido en CISCO Webex lo mas tonto del mundo mundial?? Son los responsables de la amable señorita que me atiende imbéciles ?? Ostras!! Dios !! Me estan espiando por alguna cámara y riéndose a carcajada limpia !!

A ver, repasemos: les he enviado 5 documentos distintos, mi DNIe escaneado, todos los datos, mi firma escaneada..

Ahora me piden que imprima el documento, que lo firme, que escanee el documento y se lo envíe.. (se me guiña un ojo repetidamente como a Martes y Trece..). No puede ser. Estos son CISCO Webex !! Ofrecen video conferencia y VOIP.. No importa! Son incompetentes y no merecen clientes actuando así!!.

En otras circunstacias les habría dicho que por favor usen el servicio avanzado Tractis Contracts de una empresa española, de verdad avanzada, que yo pago el euro que cuesta ese servicio… Pero no !! Que se multipliquen por cero!

Que les vayan dando y aprendan un poco de cómo se debe tratar a un cliente. En España existe una Ley de Firma Electrónica. Existen avanzados servicios de Terceros de Confianza. Disponemos de certificados y software de firma..

No les vale? No aceptan las leyes de nuestro pais? Pasan de sistemas flexibles como Tractis Contracts ? Pues a que les vayan dando!! Hay demasiados servicios de valor en sistemas de VOIP en el mundo como para andar con gente tan poco solvente.

Mi última acción, además de llorar  por mi perra suerte encontrando burócratas como estos de webex, es enviar un mensaje para que webex venda sus servicios allí donde puedan, que al menos en mi caso prefiero buscar nuevos horizontes donde el talento no escasee.

He agradecido a la señorita que me ha atendido su trato, pero es Webex lo que me echa para atrás, su intransigencia, su no aceptación de otros modos de hacer, su imposición de un método caduco de hacer el pedido y su prepotencia en el trato a un cliente.

Que no acepten la Ley de Firma Electrónica ni tampoco el escaneado de mi DNIe (donde aparecia mi firma) es simplemente la demostración de que sus responsables han perdido el norte en el trato a clientes y al menos aquí no están a la altura.

La Firma electrónica en todo caso ya es un derecho en España y la propia Administración abre servicios avanzados y se obliga a si misma a activarlos como muestra la Ley 11/2007, dando a los ciudadanos nuevo modos de relacionarse, más seguros, más rápidos, más eficaces.

Ha llegado el momento de que lo exijamos desde nuestra posición de ciudadanos y empresas, además del que nos aporta ser clientes, por lo que harán bien las empresas, incluso extrajeras, en asumirla si quieren clientes españoles.

Esa es al menos mi posición y la mantendré. Aunque les parezca un tema menor, es mi decisión de utilizar la firma electrónica y la existencia de legislación en mi país la que me lleva a adoptar una posición de fuerza, hasta el punto de desistir de utilizar sus servicios.

Han reducido de un modo brutal envíos inseguros o inadecuados de correo electrónico y mejorado en gran medida el modo de trabajo de sus clientes, que ven cómo pueden acceder siempre a la sede de su proveedor a encontrar, descargar o incluso subir cualquier información que desean.

Que han perdido un fichero que recibieron por correo ?  se conectan a la sede electrónica de su proveedor y ahí está, firmado, seguro, salvado, siempre a su disposición.

Recientemente se suscitaron una serie de comentarios en un cliente de una sede digital web, ya que necesitaba acceder a un documento antiguo que él sabía que había estado en la sede digital del proveedor pero no lo encontraba. Comenzó la fiesta y las interpretaciones.

“Pero yo pensaba que todos los documentos de la sede se salvaban para siempre, o al menos eso creía !! ”

Realmente ese problema que pudo haberse dado (la infraestructura que soportaba las sedes digitales era Masbytes y tenía salvada TODA la información) se debe a que existe una grave ambigüedad en los servicios que se ofrecen en internet, máxime con el crecimiento del modelo SaaS y activación de muchos servicios “en la nube”.

Realmente todos los que dicen que salvan tus datos los salvan PARA SIEMPRE?

Aqui existen todo tipo de estrategias, pero lo primero es mirar muy bien el contrato de servicio que firmamos con el proveedor, ya que en muchas ocasiones no se especifican más que “se realiza un backup diario”, pero que no clarifica (sin mala intención normalmente) cual es el alcance de ese backup, cual es el período de retención de los documentos de ese backup, durante cuánto tiempo será factible recuperar algo de ese backup, cuándo ese backup “habrá desaparecido” porque otro “mas reciente” ocupó su lugar (aunque podrían no existir en él todos los documentos del primero..).

Cuando formalizamos un acuerdo con una infraestructura que va a lanzar Sedes Electrónicas Web para el mundo de la pyme, hacemos hincapié en la importancia del “tipo de backup” que va a conectarse al servicio de sede digital, e insistimos en que se clarifique el verdadero alcance de ese backup.

Muchos clientes no saben que una buena parte de su “información viva” reside en los backups una semana como mucho, y el siguiente backup que se realiza “sustituye” o “machaca” el anterior. Este servicio es perfectamente válido para la inmensa mayoría de los clientes de una sede digital, pero completamete insuficiente cuando te comprometes como organización a custodiar durante x años TODOS los documentos generados para tus clientes , además de aquellos que el propio cliente haya “subido” a la sede digital con la confianza de que tus backups los salvarán y “siempre estarán ahí”.

Nadie está libre de riesgo

No hay peor estrategia que la ambigüedad en estas cuestiones, ya que puedes perder limpiamente un cliente (y no vamos a entrar en denuncias legales) si “el creyó”, tras la lectura del contrato ambiguo, que el backup que se realizaba salvaba para siempre la información, o al menos para los 5 años que muchas administraciones exigen en ciertos documentos.

Las Sedes Electrónicas Web en el mundo Pyme estan avanzando a pasos agigantados, como puede demostrar Masbytes en su día a día, pero ha sido en fechas muy recientes cuando se ha “CONECTADO” al sistema de sedes electrónicas web el servicio de CUSTODIA DOCUMENTAL, lo que permitirá definir con mucha mayor claridad los períodos de retención mínimo de la documentación y que ni los propietarios de las sedes, ni los clientes de estas, se llamen a engaño, sabiendo que su información va a estar todo el período fijado y asegurado en 2 DataCenters distantes y sincronizados.

Este cambio fundamental en las Sedes Electrónicas Pyme, que desde analiTICs21 promovemos en infraestructuras excelentes (Masbytes, Nlink, CITINavarra), llega casi a la vez que la incorporación de TRACTIS como elemento fundamental en la autenticación con certificados de muchos paises del mundo, facilitando el acceso con DNI electrónico para clientes sin que éstos hayan tenido que instalar los drivers del DNIe, elemento este que definía un caso de uso muy negativo.

Muy al contrario, mediante la autenticación con certificados vía TRACTIS, que utilizan los comandos APDU del DNIe, la experiencia es tan abrumadoramente distinta, que es lo que nos lleva a proponer el mundo:

!! No instaleis los drivers del DNIe por favor, porque vuestra experiencia de uso con nosotros será extraordinaria” !!

Pero volvamos al elemento central del artículo, la conexión de las Seled Digitales Web ecoPFN a servicios especiales de backup longevo.

Los clientes de una Sede Digital deben disponer de capacidades especiales

Quienes se planteen disponer de un servicio de Sede Digital, deben tener en cuenta que existen unos pocos servicios críticos, sin los cuales no estaremos hablando realmente de una Sede Electrónica sino de un espacio de intercambio (Dropbox, google doc ejem) o un simple espacio FTP. Concretamente debería poder:

Subir y descargar en cualquier momento:  desde cualquier lugar, mediante acceso seguro y autenticación fuerte, que incluya certificados digitales sólidos, incluyendo DNIe.

Firmar electrónicamente cualquier fichero: Los usuarios de una Sede Digital tendrán la posibilidad de firmar cualquier documento en el instante que decidan, desde cualquier lugar.

Cifrar y descifrar ficheros: Por mucha que sea la confianza que depositemos en la infraestructura que mantiene los sistemas, es vital que dispongamos de posibilidad de cifrar/descifrar la información que va a ser alojada, de modo que ni siquiera un técnico indeseable esté en condiciones de ver sus datos.

Realizar Backups automatizados:  Su infraestructura debe salvar los datos de modo automatizado, bien sea un backup “normal” o mediante un servicio de custodia documental que mantenga toda su información un período definido de años.

Crear ilimitadas cuentas sin coste adicional: Dispone de cientos de clientes y empleados? entonces deberá poder crear automáticamente cuentas para que se conecten y descarguen información sencillamente, e incluso firmen documentos o contratos eficazmente, mediante  usuario/contraseña  y/o  certificado electrónico.

Subir cientos o miles de archivos automáticamente:  Y que sean firmados o cifrados (o ambos), notificando automáticamente a sus clientes.

Autenticación con certificados: Cualquier certificado electrónico, incluyendo el DNIe (siempre que la entidad emisora incluya servicios de validación de sus certificados en tiempo real -a diferencia de la FNMT-) deberá servirnos para identificarnos en la Sede Digital, como uno de los elementos clave que nos recuerdan a la evolución de los cajeros automáticos.

Controlar qué ocurre en la Sede:  Tener completo control de qué sucede, quién accede, qué se ha descargado tal usuario, qué ha subido este cliente.., y en definitiva diponer de una buena trazabilidad ligada a la información y los usuarios es muy importante.

Calidad de servicio

 Cuando nos planteamos como organización dar el paso de tener nuestra Sede Digital Web (Sede Electrónica Web), es fundamental conocer elementos básicos como ancho de banda garantizado,velocidad de descarga y calidad de servicio, ya que hay quien instala esta funcionalidad en su propia empresa y observa desesperado que la calidad del servicio y velocidad es de una calidad horrible, además de que ocasiona un cuello de botella en su ADSL y pierde prestigio entre sus clientes.

Las imágenes que vemos en este artículo corresponden a una de las infraestructuras más sólidas que ofrecen actualmente el servicio a las pymes de Sede Digital Web ecoPFN (Masbytes) en España, al ser un ISP experimentado.

Líneas redundantes y servicio no sólo de Backup sino de Custodia son su mayor diferenciador, lo que evita pérdidas de documentos al mantenerlos todos, aunque sean borrados de la Sede por un usuario.

Comunicaciones excelentes

 En esta imagen podemos apreciar datos del 2010 en Masbytes, de una de sus líneas, que muestra datos entrantes y salientes. Los clientes disponen de 2Mb garantizados, aunque pueden contratar mucho más para su Sede Digital si así lo desean.

  Idéntica información de otra de las líneas, que aportan seguridad adicional.

Una línea de servicios de futuro

Aún no ha llegado a la PYME de modo nítido la necesidad de disponer de su Sede Electrónica, pero eso está ocurriendo en estos momentos, al menos en España, donde la confluencia de medidas, legislación, iniciativas del Gobierno y Ley 11/2007 están creando un contexto muy rico. Si a esto unimos la profunda crisis (económico/política/institucional) e incremento de servicios en Internet, la Sede Digital Web va a ser una realidad para miles de ellas.

Quiere eso decir que las empresas no usarán las Sedes Electrónicas de la Administracion pública?  De ningún modo !

Estos nuevos servicios poco a poco van siendo activados y caminan en la misma dirección, aportando mismas experiencias de uso, pero no entran en la utilización tan versátil que la Pyme requiere en cuanto a su información y la de sus clientes.

Las Sedes Digitales Web como la que vemos en este artículo, que Masbytes ofrece  a las pymes de todo el mundo (en diferentes idiomas), disponen ya de varias herramientas y API´s que posibilitan que una empresa suba de modo automatizado cientos o miles de documentos a su Sede Electrónica, incluso desde su ERP, siendo firmados y alojados en cada una de las zonas de sus clientes, que serán avisados automáticamente de ese suceso y sabrán que tanto facturas como otros ficheros están ya en la plataforma de custodia online a su disposición.

Son muchas las Asesorías (laborales, fiscales, etc) que están activando en primera instancia sus Sedes Digitales Web, ya que normalmente son un tipo de empresa avanzada, eficaz, celosa del rendimiento y reducción de costes, que está sensibilizada por la seguridad y el cumplimiento legal !

Pero son simplemente la avanzadilla ! A ellas se van a sumar miles de empresas que por muy pocos euros al mes dispondrán de este nuevo servicio, este nuevo paradigma de la empresa del futuro que tendrá una ubicación física pero tambien una Oficina Electrónica moderna.

Por último, es importante que extrememos el cuidado y seamos concientes de si disponemos de un backup o de un servicio de Custodia Documental “conectado a” su Sede Digital, ya que un simple backup nunca salvará toda la información sino que se limitará a tener los datos de la última semana o último mes. Esto significa que si hoy comprobamos que hace diez meses se borró un fichero inadvertidamente, ya no estará recuperable, ya que el backup normalmente tendrá la información de unas pocas semanas atrás.

El servicio de Custodia Documental, como el que Masbytes ofrece conectado a las Sedes Electrónicas Web ecoPFN para pymes, nos permitirán aumentar el período de retención de los ficheros, sea uno o cinco años.

No te quedes atrás en el proceso de disponer de tu propia Sede Electrónica Web, como servicio avanzado que ofrecerás a tus clientes y para tu propia organización. Diferenciarnos constantemente de nuestra competecia y aportar nuevos valores a nuestros clientes son medidas clave en la situación actual!

Está naciendo un nuevo modo de hacer, una nueva forma de relacionarnos con nuestros clientes, aportando capacidades de firma y cifrado, ahorrando papel de modo extraordinario y mejorando la seguridad, como una de las síntesis de tanto cambio tecnológico y crisis.

 Asistimos a este despegue y es mejor que seamos conscientes de ello.

El mercado y la nueva situación van a hacerlos desaparecer limpiamente.

 A lo largo de estos últimos años los responsables de CITI Navarra han comprendido, adelantándose varios años a muchas organizaciones, que el camino era incrementar la calidad, mejorar la seguridad, invertir en futuro, extenderse en Internet ofreciendo servicios a todos los Ingenieros Técnicos Industriales, y tambien a empresas de todo tipo, estén donde estén fisicamente.

El resultado de su apuesta lo dirá el futuro imediato, pero hagamos balance de su trabajo hasta la fecha:

• Todos los ingenieros presentan los proyectos electrónicamente, con firma digital
• El Colegio Visa los proyectos y los firma electrónicamente, entregándolos al Gobierno de Navarra
• Las facturas que emiten (unas 3000 al mes) las firman electrónicamente y cuelgan de su gestor documental web para hacerlas accesibles a cada cliente
• Las nóminas las firma electrónicamente tanto el Colegio como los empleados al recibirlas
• Se han dotado de un DataCenter de última generación virtualizando servidores y activando servicios innovadores vía Internet
• Han certificado la organización en la ISO 27001 a fin de mostrar al mundo la seguridad de sus sistemas y la gestión profesional y controlada de los mismos
• Ofrecen un ERP de gran calidad en modalidad SaaS soportado por su renovado DataCenter
• Han creado con ANALITICS21 el proyecto Sedes Electrónicas Web para la PYME, de modo que cada empresa tenga la suya en el DataCenter CITI Navarra, también en modalidad de pago por uso
• Han activado el proyecto Backup Online por el que cualquier empresa puede salvar su información en su DataCenter de modo seguro, sencillo y económico, evitando desastres de pérdidas críticas
• Acaban de firmar un convenio con la Autoridad de certificación Firma Profesional con el fin de ofrecer los mejores certificados electrónicos tanto a ingenieros como a empresas de toda la comunidad
• Se han dotado de unas nuevas instalaciones que posibilitarán la ambiciosa etapa que se abre
• Disponen de un moderno sistema de vídeo conferencia poteciado por servidores streaming para que los usuarios puedan ver y oir los eventos incluso cuando hayan ocurrido ya, merced al servicio de grabación

Este despliege que ha constado varios años construir no se hace al azar. Quienes dirigen esta organización hacen gala de una visión y de un valor que se echan de menos incluso en el mundo de la empresa, y se encuentran en disposicion de expandir sus servicios por toda España.

Hace muy pocos días se desarrolló en las nuevas instalaciones del Colegio una jornada promovida por BIMADIT SEGURIDAD, empresa responsable de todo el armazón tecnológico del DataCenter y que ha contado con todo el apoyo de Microsoft y su Hyper V. 

Responsables tanto del Colegio como de ANALITICS21 hemos apoyado la sesión para mostrar todos los servicios que esa infraestructura está haciendo posible.  Es importante tener claro que sin una infraestructura crítica bien montada, redundante, segura, mantenida y certificada con ISO 27001,  es muy difícil activar servicios valiosos para la empresa.

Ahora todos los servicios innovadores que están articulándose, incluso facilitando la unión de varios colegios de ingenieros alrededor de CITI Navarra, van a demostrar lo que tantas veces digo en mis artículos: Mientras hay quien se cobija hasta que escampe, otros profundizan en medidas anticíclicas para el futuro, arriesgan e invierten con visión.

Sólo me queda decir que es una suerte para ANALITICS21 poder participar en este despliegue y esperar que otras muchas organizaciones materialicen sus proyectos con la misma visión innovadora que en CITI Navarra.

Cada vez que he iniciado un nuevo proyecto (como el actual analiTICs21) he tratado de analizar “postmortem” las vías que se han ido cerrando y sus porqués, los errores cometidos y su sentido, las nuevas líneas que todos ellos posibilitan siempre, la combinación de coraje, amor al riesgo, renacimiento de ideas e ilusiones y por supuesto la ponderación de los elementos que van a permitirme zambullirme con decisión en el nuevo camino.

Produce verdadera satisfacción comprobar que iniciar un camino nuevo no supone una renuncia a muchas cosas hechas en el pasado, sino en todo caso una integración de algunas de ellas y la constatación de aciertos y errores a evitar.

Este articulo quiere ser un gracias a aquellos compañeros y colaboradores que llegan también a estas fiestas con nubarrones sobre su futuro, pero todos ellos muestran clara su decisión de seguir luchando y colaborando.

Para mi, para analiTICs21, haber podido crear con cada uno de ellos un proyecto que va a ir abriéndose a lo largo de 2011 constituye una ilusión enorme, y me hacen ratificarme en mi camino de continuar incorporando aquello en lo que creo y que en anteriores proyectos empresariales no me ha sido posible hacer por diversos factores.

Centrado en la familia de normas ISO 27000, a lo largo de estos meses he ido cerrando acuerdos con empresas especiales con las que hemos ido perfilando nuevos modos de desarrollar productos y servicios para la empresa, siempre desde la perspectiva de Sistemas de Gestión para la Seguridad de la Información.

Es momento tambien para agradecimientos a todos ellos y para mostrar con claridad que el camino ya iniciado es espectacular, ilusionante y producirá muchos éxitos.  Al final las empresas son las personas que las conducen y cuando estableces con ellas un vínculo mental, sabes que los planes diseñados conjuntamente van a abordarse con trabajo y honestidad.

Me ilusiona el camino iniciado con Alberto Picón, con cuyo bufete haremos llegar a cientos de empresas de todo el país un nuevo modo de integrar legalidad, eficiencia, seguridad,  formación y tecnológía.

Me motiva el proyecto abierto con Antonio Rodríguez, del Colegio de Ingenieros Técnicos Industriales de Navarra, orientado a ofrecer desde la nube servicios excepcionales a ingenieros y empresas en toda España, como muestra la activación de la plataforma de firma electrónica y custodia documental, o el acuerdo establecido con la Autoridad de Certificación Firma Profesional.

Me encanta ver el profundo avance producido con Mikel Martínez, lider de NLINK y con quien analiTICs21 está creando nuevas líneas de futuro colaborativo que llegarán a muchas empresas excelentes.

Me siento muy unido a socios de camino como Julio García y Alvaro Alonso, de MASBYTES, quienes extienden sus servicios en Internet sin olvidar la humanidad en sus relaciones, talento activo e innovación cada día.

Es sorprendente cómo se ha ido agrandando mi relación con Jose Ramón Mina, de BIMADIT, según hemos ido colaborando en implantaciones de seguridad y colaborado mano a mano en el ámbito del Colegio de Ingenieros.

Es clave el impulso que  MEDIAGEST y analiTICs21 vamos a dar al mundo de la LOPD y la seguridad documental, aprovechando la gran sintonía y la coincidencia en la visión de lo que vendrá en los próximos años a la pyme.

Me produce una gran sensación de acierto haber profundizado en la relación con Tristan Ramaget, líder de ADHOC-SECURITY y experto en ISO 27000, por cuanto constituye una luz en el horizonte que me guía en la dirección adecuada, tanto en la oferta conjunta de servicios de auditoría e implantación de SGSI como en la utilización de sistemas expertos en detección de vulnerabilidades.

Me llena de alegría la creciente relación con David Marzo y LITO, magníficos desarrolladores y empresarios del Internet del siglo XXI.

Cuando la colaboración profesional da paso a la amistad, como con  Pablo Pérez Trullós (XION) y Martín J. Sánchez todo adquiere una perspectiva nueva, y de un modo natural esperas que el futuro nos será más propicio que hasta el momento.

Me tranquiliza comprobar que el otro proyecto empresarial en el que aún participo como socio, KSI, es conducido acertadamente por Pedro Latasa y Santiago Castaño, paso a paso, hacia la generalización de la firma electrónica en todo el mundo, como acredita el reciente viaje a Colombia a la sede de nuestros socios de GSE Colombia.

En la figura siguiente (arbol, flecha, símbolo de avance, cohete..), con cualquiera de las interpretaciones que deseemos coger, o con todas ellas a la vez, he tratado de no olvidar a ninguna de las organizaciones con quienes construyo mi futuro inmediato, y con las que quiero seguir profundizando y creando ilusiones y proyectos.

Mi familia, base de todo, no podría estar en otro lugar que en el comienzo, en la base, en la raiz de ese árbol de navidad, o en la zona desde donde se impulsan de verdad todas las cosas.

Un nuevo ciclo comienza, como puede apreciarse en la confluencia de tantas crisis simultáneas (financiera, política, valores, modelos, trabajo ) y en la necesidad de su resolución y búsqueda de caminos, y si le echamos valor podremos aprovechar muchas de las ventajas que aparecen en momentos de tormenta, cuando muchos se limitan a cobijarse y dormitar.

Les deseo de corazón a todos ellos (y a tí que me lees) una feliz navidad, un futuro esperanzador para el año que entra y un deseo sincero de que encuentren pronto, como yo he hecho ya, lo verdaderamente importante para seguir adelante con profesionalidad, con ilusión, pero con ambición y una buena dosis de amor al riesgo.

Feliz Navidad

Me ha faltado tiempo para mostrar noticias muy relevantes de los nuevos desarrollos producidos ya por Santiago Castaño, líder de desarrollo en KSI, en la unión de la firma electrónica y el mundo MAC, pero en breve irán esa y otras noticias tecnológicas interesantes.

Otra revolucion que llega. Leer casi como en papel

Con algunos años de retraso, el Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha tenido a bien añadir el Explorador ESecure a la lista de aplicaciones avanzadas que aportan valor a empresas y ciudadanos.

Cuando creamos ESecure, antes incluso del nacimiento de KSI (empresa de la que sigo siendo socio y que compagino con mi nuevo proyecto empresarial analiTICs21 ), mucho antes del nacimiento del DNIe en España, antes de la normativa sobre Factura electrónica, mucho antes del nacimiento de la excepcional Ley 11/2007 de Administración electrónica, no existía ninguna herramienta de firma y cifrado en España del calibre de ESecure.

Cualquier profesional de las TIC (Tecnologías de la Información y Comunicación) conoce la trayectoria de INTECO en nuestro país y las innumerables tareas de reordenación del sector, racionalización de recursos, activación de ayudas y estudio de líneas de acción que mejoran la seguridad en Internet, tanto con el centro de alerta temprana como con su labor de difusión creciente. El retraso en publicarla lo hemos aprovechado realmente para madurar ESecure de un modo extraordinario.

Imagen de la web de INTECO donde se referencia el Explorador ESecure

Cuando contactamos con INTECO para ofrecer nuestra versión gratuita de ciudadanos del Explorador ESecure que habíamos construido en KSI (y que tras varios años ha crecido y madurado enormemente), no existía en Alerta Antivirus ni siquiera una categoría de herramientas donde situarla.

ESecure, que había surgido como una alternativa a nuestro querido PGP (Pretty Good Privacy), integrándolo en las PKI modernas, ya tenía todas las capacidades de firma electrónica y cifrado que muestra hoy día, aunque en aquel momento aún no se había desatado el impulso a nivel europeo y español de la firma electrónica y resto de normativas que orbitan sobre ella.

Sin embargo ha sido en los últimos 4 años cuando ESecure se ha abierto a todos los estándares de firma (CAdES, PAdES, XAdES) pudiendo firmar CUALQUIER fichero, de cualquier tamaño, con cualquier certificado (incluido el DNIe) y ha cambiado nuestra aspiración de llevarlo a todo tipo de personas y empresas, haciéndolo más amigable, abierto y robusto, de la mano del magnífico trabajo de Santiago Castaño, responsable de desarrollo de KSI.

Para aquellos que no están en este mundillo de seguridad documental, utilizar cualquier solución de firma presenta el problema fundamental de la necesidad de una cierta formación, así como del requisito obligado de disponer de un certificado electrónico para poder firmar.

Imagen de las avanzadas capacidades de ESecure con ficheros PDF

Es inevitable que estos elementos vayan llegando a toda la población, en gran medida por el formidable impulso que desde la Administración europea y española se está realizando en la extensión de los certificados (donde el DNIe es uno más) y mediante la activación de normativas ambiciosas (Ley de Firma electrónica, DNI electrónico, Ley 11/2007 de Administración electrónica) que movilizan a ciudadanos y empresas (Normativa de Factura electrónica).

Poco a poco toda la sociedad va a ir integrándose en estas nuevas vías, y es cuestión de tiempo que en la empresa privada se expandan y consoliden definitivamente estas nuevas tecnologías y nuevos modos de relacionarse e intercambiarse información.

El Explorador ESecure es ya una herramienta más en esa lista de INTECO, pero debemos leer entre líneas: Firma cualquier tipo de fichero mediante el estándar CAdES, incluyendo validación de certificados y sellos de tiempo.

Firma también PDF inyectando en su interior la firma y evidencias para longevidad, e igualmente puede inyectar la firma en Office y Open Office, y tambien trabaja limpiamente con ficheros XML, por supuesto con validación de certificados (si la entidad emisora trabaja correctamente y ofrece el servicio de modo abierto y sin coste) y sellos de tiempo.

ESecure no se limita sólo a la firma de cualquier fichero, sino que ofrece dos vías para el cifrado, bien usando certificados (cifrado asimtétrico) o sólo contraseñas (cifrado simétrico).

La utilización plena de ESecure permite de un modo efectivo que cualquier individuo o empresa sea capaz de llevar en su día a día estas sencillas funciones que mejorarán su seguridad, reducirán costes y evitarán la destrucción de millones de árboles al ahorrar papel.

Ahorro que en esta línea se producirá de un modo formidable cuando esos miles de millones de PDF firmados (formato universal y estándar ISO) puedan ser leidos en los magníficos eBook y revolucionen no sólo el mundo educativo sino el laboral, universitario, y empresarial.

Si la Agencia Tributaria en España ha cuantificado el ahorro EN UN AÑO de 15.000 millones de euros y sólo con Facturas electrónicas, puede intuirse el ahorro monumental que se producirá cuando empresas y ciudadanos eviten la impresión de miles de millones de documentos (firma electrónica) y los puedan leer en dispositivos como los mencionados eBook, máxime con la bajada de precios que va a producirse tras la llegada de dispositivos como el IPad y competidores, que aunque espectaculares no son realmente dispositivos para lectura por el daño ocular que producen si los comparamos con los estupendos eBook

La imagen de un niño leyendo de un eBook es una ventana que muestra el futuro que viene a toda velocidad

La versión gratuita del Explorador ESecure que puede verse en la referencia de INTECO, no tiene todas las capacidades de las versiones profesionales, pero facilita ya la firma en todos los formatos estándares, cifrado y descifrado.

Cualquier ciudadano puede obtener además una licencia sin coste, que amplía las capacidades de la versión gratuita llamada USER, sólo a condición de realizar un curso online gratuito, desarrollado en centros homologados (como el Servicio Navarro de Empleo en Navarra) y que le aporta un conjunto de buenas prácticas para su uso pleno y seguro.

Otras versiones profesionales de ESecure (PRO y PYME) orientadas a su comercialización en el mundo de la empresa, se extienden ya en España e Hispanoamérica a buen ritmo, pero la versión USER gratuita está pensada para cualquier ciudadano.

Ha sido publicar INTECO la herramienta ESecure en su sección de herramientas avanzadas y ya hay muchas descargas y solicitudes del curso online que les permita promocionar esa versión gratuita (USER) a la EDU, eliminando las barreras de tamaño de fichero tratado. No obstante la version gratuita ESecure USER colmará la inmensa mayoría de las necesidades que un ciudadano puede tener en materia de firma electrónica, cifrado y borrado seguro.

Estas reflexiones me acompañan desde hace muchos años, y fue una de las razones por las que creamos  el Explorador ESecure, que dió paso a la creación de KSI, donde se mejoró enormemente a lo largo de los años y materializamos una versión gratuita para ciudadanos a la par que las versiones comerciales para el mundo empresarial.

Esta versión cumple ya seis años, pero ha sido en fechas recientes cuando se ha dotado a la aplicación de TODAS las capacidades de sus hermanas (las versiones orientadas al mundo profesional -PRO y PYME-) que en el mes de Diciembre 2010 estará descargable desde la web de KSI.

Firmar cualquier fichero, utilizar cualquier estándar, firmar INCLUSO FACTURAS, cifrar y descifrar cualquier documento o borrar con seguridad, son funciones de la nueva version gratuita de ESecure que surge en estos días (estamos en la última fase de pruebas y verificaciones) y con la que esperamos ayudar en esa idea fundamental de generalizar la firma en todos los ámbitos, incluyendo el privado o doméstico.

Imagen de ESecure firmando un documento de Office

Agradecer las informaciones sobre errores y sugerencias en ESecure

La versión gratuita del Explorador ESecure la entendemos como una aportación a todos los ciudadanos para que dispongan de herramientas especiales para mejorar su seguridad documental, evitando que tengan que comprar o mal usar otro tipo de soluciones.

Las decisiones que durante estos años hemos tenido que tomar, para ir aumentando las funcionalidades en la versión gratuita, han costado tiempo y discusiones, pero el resultado es espectacular y tenemos la esperanza de que muchas personas mejorarán en la seguridad de su día a día y la disfrutarán.

Como cualquier software, siempre será mejorable, y nadie está libre de errores. En todo caso aseguro que cualquier sugerencia será bienvenida, como los avisos que podais enviarnos ante el descubrimiento de cualquier error que se pueda reproducir.

Animo en el uso de ESecure y no dejes de conseguir un eBook para leer los documentos PDF que firmes, y los libros en formato electrónico que crecen  de modo esperanzador, aunque algunos nunca podremos dejar de leer también en papel.

Comprueba mi tarjeta please !!

Acaba el mes de Octubre, duro de trabajo pero prometedor, y me ha resultado imposible publicar el artículo que sobre INTECO y ESecure tengo preparado, documentado y ultimado al 99%.

Ha sido en la fase final de pruebas de la nueva versión del Explorador seguro ESecure, cuya nueva versión gratuita no dejará a nadie indiferente, cuando recibí la llamada de uno de los clientes que en los últimos meses ha completado el ciclo de implantación plena de certificados en la organización, resolviendo en ella  tanto temas de seguridad derivados de su próxima auditoría de renovación de la ISO 27001, como necesidades de gestión documental y factura electrónica.

Según uno de los responsables tenían algun problema con su certificado, ya que si bien todos los procesos automatizados se hacían correctamente, en el momento en que se respondía al PIN en el contexto de firma por el responsable del proceso, en ese instante en que la aplicación trataba de conectar con Camerfirma para validar el estado del certificado, se daba “algún error”..

Explicaba con buen criterio que podían eliminar del proceso la validación del certificado, aunque entonces el nivel de calidad bajaría mucho.

Para explicar su argumentación pensemos en una persona que va a un cajero automático con su tarjeta. Si cuando va a hacer una operación cualquiera (sacar dinero, transferencias, pagos..etc) el cajero no conectase con la central para comprobar el estado de la tarjeta (además de otras comprobaciones), podría darse el caso de que fuese el ladrón de nuestra tarjeta el que estuviese sacando el dinero sin ningún impedimento.

No podríamos aceptar un banco cuyos sistemas de cajeros no conectasen en tiempo real para validar la tarjeta del usuario que esté en ese momento actuando en el cajero!!

Volviendo a mi cliente. Como buen conocedor ya de los recovecos de la legislación sobre firma y eFactura, me planteaba que siendo un lote de facturas lo que iba a firmar, necesitaba “inyectar” en los ficheros firmados el estado del certificado, obtenido de la propia Autoridad Emisora en ese mismo instante. Y no sólo por una cuestión de prestigio o calidad, sino porque la normativa actual exige al receptor que verifique el estado del certificado de las facturas electrónicas, a menos que el firmante ya haya hecho la validación.

Es precisamente el deseo de salvar a sus clientes del “marrón” de tener que verificar su certificado,  lo que hacía que tratase por todos los medios de contar con la validación online OCSP del certificado, en este caso de Camerfirma.

Error en la devolucion de la comprobacion de Camerfirma

Podría firmar con otro certificado, pero en este caso sólo disponía de uno de la FNMT, y como sabéis muy bien si habeis ojeado alguno de mis artículos, la Fábrica Nacional de Moneda y Timbre es una organización profundamente equivocada y atrasada en este tema, pretendiendo cobrar a cada ciudadano o empresa por validar su certificado.

En el mundo de Alicia en el país de las maravillas, parece que los responsables de estas cuestiones en la FNMT se ven cobrando ingentes cantidades de millones de euros a los ciudadanos españoles si quieren validar sus certificados, en lugar de facilitar como hacen otras CA (incluso privadas) el estado del certificado en tiempo real, como algo consustancial con un servicio de calidad (ay del banco que no validase las tarjetas en tiempo real… pero ese es el mundo real de la empresa privada y viva ).

Volviendo de esa digresión mental, le reconocí al cliente que efectivamente no, FNMT no era la solución, como se vió en profundidad en tiempo de consultoría e implantación, por lo que le dí la seguridad de que me ponía en marcha a investigar para conocer en detalle dónde estaba el problema, si en el cliente, en nuestro software, en su red, internet, algun servidor de Camerfirma eventualmente caido (nos pasa a todos alguna vez) o se trataba de alguna tontería en la configuración.

Me encontraba en ese momento en la fase final de las pruebas de la nueva versión gratuita de ESecure que Santiago Castaño, Director Técnico de KSI, me había enviado con el fin de colgarlo en la web para descarga gratuita tras la batería de pruebas que 5 personas estábamos realizando, una vez que, como explicaré pormenorizadamente en el próximo artículo, INTECO ha añadido a ESecure como una herramienta avanzada en su  web, aunque haya sido con varios años de retraso.

Desde mediados de Noviembre podréis descargar la nueva aquí, desde la web de KSI y firmar en cualquier formato (CAdES,PAdES,XAdES, y también Office y Open Office).

ESecure en Herramientas avanzadas de INTECO

Tras verificar que con TODAS nuestras herramientas el error persistía, y el asunto comenzaba a ser sospechoso (no era posible que Camerfirma estuviera haciendo mal la validación de sus certificados !!), comencé una batería de pruebas con certificados de GSE Colombia, una Autoridad de Certificación con la que colaboramos estrechamente y cuya infraestructura “está dentro de” Camerfirma.

Fallo. También daba error y además el mismo. Firma inválida. Al parecer Camerfirma estaba devolviendo mal firmadas las solicitudes de validación. Imposible!, o era un error nuestro o lo estábamos mirando mal..

En los siguientes días no sólo comenté el asunto con compañeros sino que me puse en contacto con el Director Técnico de GSE Colombia, Anthony Molina, quien corroboró los problemas que también estaba teniendo en la validación de los certificados emitidos por GSE, ya que el sistema de validación OCSP está integrado con el de Camerfirma.

Comenzamos a tener evidencias de que utilizando distintas tecnologías, distintas librerías y diferentes herramientas, obteníamos la desconcentante demostración de que Camerfirma estaba operando mal y devolviendo a los clientes que comprobaban su servicio OCSP Responder, respuestas mal formadas o erróneas.

En este punto de la investigación te das cuenta hasta qué punto un error de este calibre podría estar afectando a usuarios y empresas. Recordé el mundo bancario y sus errores y responsabilidades, y me detuve a pensar en sistemas de control de errores, sistemas de verificación y calidad..

Todos cometemos errores por supuesto, pero tras 10 días parecía tiempo suficiente como para que los servicios internos de Camerfirma hubieran detectado el error. En un contexto de voto electrónico, vendría a suponer que no se verificarían bien los usuarios votantes, lo que podría originar graves perjuicios..

Dada la gravedad del problema, decidí consultar con los amigos de TRACTIS, por su acreditado nivel técnico y porque en alguna ocasión nos hemos apoyado en análisis de problemas.

Bingo ! Pocas horas mas tarde pude comprobar las interesantes investigaciones de David García, Director Técnico de TRACTIS, yque venían a confirmar mis temores.

Dado el contundente nivel de análisis de Tractis, mis evidencias mediante OpenSSL, las pruebas desde Colombia y el fulminante chequeo del Director Técnico de KSI diciendo “nuestras librerías apuntan a que Camerfirma está firmando mal las solicititudes OCSP”, todo estaba finalmente claro. 

Felicitaciones desde aquí a David García (Tractis) por la ayuda técnica prestada para corroborar nuestras afirmaciones, profundizando hasta el punto de precisar que al parecer utilizan la clave privada correspondiente al certificado antiguo..

Tras 12 días con el problema en la mesa no habíamos informado a nadie, pero me sorprendió que en ningun estamento o web apareciese el problema  !! Es que nadie hace firma completa en este pais con Camerfirma ;-D  ?  !!!

Como no parece existir un medio conocido para informar a Camerfirma de estos casos, desde analiTICs21 solicitamos a Tractis que, aprovechando sus contactos con Camerfirma, les informasen del fallo, cosa que desde Tractis nos han confirmado que ya han hecho.

Tres días más tarde el problema sigue ahí (ya hace 15 días de la detección y la solución es relativamente simple) por lo que finalmente me decidí a retrasar mi artículo de este mes e informar del proceso vivido, ya que ha habido tiempo suficiente para que se corrija el error, equiparable al que un banco cometería si hiciese mal la comprobación de si mi tarjeta ha sido anulada o robada.

En mi próximo artículo, ya casi hecho al 100% sobre ESecure e INTECO, aprovecharé para aclarar cómo acabó esta historia, con la seguridad de que los chicos de Camerfirma habrán hecho su tarea y con la esperanza de que todos los Prestadores de Servicios de Certificación vayan paso a paso por el camino de la calidad, la transparencia y nos den información precisa de sus aciertos y errores, que como humanos todos cometemos.

Ante esta situación, una vez detectado por un cliente avispado y verificado por mí, hemos de reconocer que había dos opciones:

•   No es un problema mío sino de Camerfirma, así que he salvado mi papeleta ante el cliente..
•   Continuar investigando con apoyos especiales hasta tener datos concluyentes dada la gravedad

Está claro que elegí la segunda opción, no sin avisar a mi cliente de cual era el problema.  El proceso de búsqueda ha finalizado tras los estupendos apoyos de tres colegas de gran calibre y la conclusión es clara. Creo que a los clientes de los servicios de certificación se les debe una explicación razonable, pero sobre todo la seguridad de que se mejorarán los elementos internos de revisión para evitar que estas situaciones se produzcan y sean los propios clientes los que alerten del problema.

Seguridad en acceso - Ahorro e innovación- La Administración moderna

Continuando con el análisis práctico de  la confluencia de tecnologías y normativas europeas en la actualidad, y a modo de profundización de mi análisis reciente sobre sistemas de autenticación web basados en PKI, he analizado el fuerte movimiento que se está produciendo en muchas administraciones públicas españolas en la creación de Sedes electrónicas.

Volvemos a ver sorprendentemente cómo el mundo de la empresa privada permanece inerte ante esa acertada orientación de organismos públicos que consiste en avanzar hacia una verdadera administración electrónica.

Este camino facilitará a empresas, profesionales, proveedores, clientes, trabajadores, ciudadanos.. aprovecharse de las ventajas indudables de la aplicación de la tecnología que sustenta los certificados electrónicos y potenciará la mejora de la seguridad que proporciona tanto en la autenticación fuerte como en mecanismos de firma electrónica de documentos, expedientes, formularios, peticiones o consultas en el día a día.

Una sede electrónica u oficina vitual viene a ser sencillamente un sitio web al que podemos conectarnos mediante un certificado digital (aunque aquí hay disparidad según qué administración) y en él, una vez identificados ambos extremos (usuario y servicio), podemos hacer solicitudes, peticiones, entregas o descargas de información.

El concepto de Sede electrónica en la empresa debe ser por definición algo más eficiente, sencillo y funcional. No necesita revestirse del formalismo de las administraciones públicas y debe aportar a clientes, empleados y proveedores de todos los elementos necesarios para aprovechar la tecnología para reducir costes, mejorar en seguridad, reducir el consumo de papel, acceso a repositorios documentales firmados, potenciar el intercambio seguro de documentos e incluso má adelante posibilitar servicios de ventanilla única también en la pyme.

Podemos definir también el concepto de sede digital o electrónica, oficina virtual o electrónica, en el ámbito de la empresa privada, como un sistema web evolucionado que ha integrado limpiamemte el mundo de los certificados electrónicos y ofrece a sus usuarios mecanismos sencillos y económicos para relacionarse con grandes incrementos de seguridad, innovación y buenas prácticas.

Oficina electrónica moderna

Asumir gastos para enviar documentación a nuestros clientes de modo inseguro? Para qué?

Démosles acceso a su zona privada, segura, donde está la información que hemos preparado para ellos, permaneciendo firmada e incluso cifrada, de modo que puedan descargársela en cualquier momento (nóminas, irpf, facturas, expedientes, informes, prospecciones, guías..) para resolver sus necesidades.

Aportémosles la seguridad de que la información siempre estará ahí, realizando por ellos backups de su documentación y ayudándoles a cumplir las necesidades que la legislación les impone en cuanto a períodos de almacenamiento o custodia.

Que nuestra competencia no lo hace? Estupendo!! Entonces es una razón más para diferenciarnos aportando un valor indiscutible a nuestros clientes, colaboradores y asociados (y evitando “vueltas atrás” desastrosas, como los casos de clientes que abandonan la factura electrónica y exigen la vuelta a la factura en papel, debido a un incorrecto modelo donde el emisor de la factura sólo trata de ahorrarse el correo postal y no ha pensado en los receptores).

En el mundo de la empresa y en el ámbito de la factura electrónica, algunas entidades (muy pocas) se están acercando a este concepto de oficina electrónica. En realidad no sólo tratan de que sus clientes puedan acceder siempre a sus facturas, sino resolver los problemas que la legislacion tributaria plantea sobre ellas a sus clientes, de identificación del firmante de la misma (algo que pocas entidades emisoras de factura electrónica hacen, endosando sin saberlo a sus clientes la obligación de determinar ellos si el certificado usado era válido) y de almacenamiento riguroso de las facturas el período legal.

Las empresas  que han dado el paso de poner en permanente disposición las facturas que envían a sus clientes (acceso, descarga, verificación) se acercan mucho al concepto que pretendo clarificar de sede electrónica de ámbito privado u oficina electrónica avanzada, y sin embargo el mundo de la banca va paso a paso en esa dirección (permitiendo el acceso a sus clientes a documentos y transaciones de los ultimos 5 años).

En realidad lo normal es que se aporte a cada cliente un usuario/contraseña y puedan conectarse y descargar los ficheros, sencillamente.

Sin embargo una verdadera SEDE DIGITAL debe comenzar identificando con seguridad a la persona que se conecta (mediante un certificado electrónico). Una sede electrónica permitirá que el cliente acceda a todo tipo de documentos (todos ellos firmados digitalmente) y a realizar descarga en cualquier momento.

Con buen criterio, las organizaciones que se lancen por esta vía (aunque sólo sea por el prestigio y el ahorro que conllevan) permitirán que los clientes entreguen información, facilitándoles de modo gratuito capacidades de firma electrónica asociada a su plataforma o sede digital.

Igual que en el pasado hubo muchas dudas entre las empresas que atrasaban el disponer de su web en internet, va a escalonarse muchísimo la llegada de empresas al concepto de sede electrónica u oficina virtual electrónica, porque se dan circunstancias similares (desconocimiento, informaciones interesadas deformadas, percepción errónea de que el cambio será caro, fallo en la interpretación del “momento” tecnológico en el ámbito de los certificados digitales..).

Es costoso “dotar” a nuestra actual web de autenticación con certificados electrónicos ? (la respuesta es NO. Puede tener coste cero).

Es costoso dotar a los clientes de capacidades de firma una vez conectados a nuestra oficina electrónica ? (la respuesta es NO. Aquí la organización asumirá un coste, bajo, pero que será muy inferior al ahorro de costes que obtendrá por el hecho de eliminar papel y costes de correo postal.)

Debemos optar por avanzar en ese camino ? INDUDABLEMENTE !!  Como en tantos temas relacionados con el entorno de los certificados digitales, es curioso cómo el mundo de la empresa privada, normalmente muchísimo más avanzado que la administración pública, está completamente desfasado, atrasado en estas cuestiones. La sorpresa es mayor cuando se observa que no se trata sólo de medidas “cosméticas” más o menos avanzadas o de imagen, sino que realmente la inversión se amortiza a una velocidad enorme y se obtienen importantes beneficios por la nueva línea adoptada.

Siendo eso así, sólo la crisis económica, la desorientación con tanta confluencia tecnológica o el abandono por las capas directivas de estas cuestiones “técnicas” (que creen mas relacionadas con la informática) parecen aportar explicación al hecho de que la empresa privada esté congelada mientras organizaciones públicas acogen con interés creciente (a veces manchado de interés político cegato) el avance de la administración electrónica.

Habrá quien piense que las Administraciones actúan obligadas por la legislación, ya que el surgimiento de las sedes electrónicas obedece efectivamente al cumplimiento de la Ley 11/2007 en España. Lo que viene para el futuro desde mi punto de vista es una generalización de esas medidas tanto en el ámbito público como privado, y serán las empresas que no implementen estos avances las que pagarán su inmovilismo.

Es momento de ponerse en marcha en la dirección que marcan las administraciones públicas.

Nadie nos obliga en la empresa privada a orientarnos hacia una oficina electrónica, por supuesto, pero la tendencia es inapelable y es mejor mostrar a nuestros clientes que tambien innovamos, pensamos cada vez más en su comodidad y seguridad y estamos dispuestos a seguir esforzándonos por tener su confianza.

Con el fin de eliminar costes a las empresas que van a meterse en este camino, estan surgiendo con fuerza organizaciones que ofrecen su infraestructura tecnológica “en la nube” permitiendo obtener a un coste muy bajo mensual la sede electrónica que se busca. Necesariamente son entidades que cumplen la ISO 20000 y/o la ISO 27001 y que en modalidad de pago por uso hacen sencillo lo que a veces cuesta mas a las empresas: activar un sistema complejo. 

Infraestruturas TIC especializadas

No se trata por tanto de que cada empresa tenga que asumir los enormes costes de propiedad de servidores, personal formado, sistemas operativos y software, licencias, mantenimiento y backup, sino de orientarse a entidades especiales que ponen su infraestructura tecnológica certificada para que nos centremos cada uno en lo sustantivo de nuestro negocio, pudiendo comprobar sencillamente el ahorro que se produce de modo inmediato tras activar nuestra sede digital y su conocimiento por parte de nuestros clientes.

Apenas hay empresas que nos permitan identificarnos con certificados electrónicos. CORREOS y cada vez mas instituciones muestran el camino

Por supuesto a nivel de la Administración eso va incrementándose de un modo esperanzador (en España), tanto a nivel autonómico como estatal. Pero en el mundo de la empresa sólo entidades muy especiales están cogiendo el tren de la autenticación con certificados. Digo certificados y no sólamente DNIe porque hay quien piensa que sólo hay que promocionar el DNIe (error gravísimo), cuando en el ámbito profesional es al contrario: el DNIe apenas se usa (ni usará), tendiendo al cero absoluto en beneficio de otros dispositivos seguros de firma. Tiempo al tiempo.

A poco que despegue una mayor cultura sobre firma digital, basada en certificados reconocidos de otras Autoridades de Certificación con orientación al mundo de la empresa, el DNIe quedará en lo que siempre ha sido. En el ámbito más personal del ciudadano, su uso en Internet debería crecer muchísimo y todos acabarán viendo sus ventajas, pero en el contexto de un certificado más que usar. El DNIe no es la panacea que eliminará el resto de certificados existentes, ni  lo pretende la Administración aunque sólo se esfuerce en el uso del DNIe.

En este sentido el enorme impulso de la Administración por el uso “solo del DNIe” puede ser tan inútil como baldío. A la postre una pérdida de recursos que podría aprovecharse mejor si al ciudadano se le propone el uso de los certificados digitales, incluyendo el  DNIe, ya que esencialmente hablamos de lo mismo y se requiere un aprendizaje similar. El uso de cualquier certificado reconocido apoya y empuja el uso de otros, con lo que enseguida el ciudadano verá que, al igual que en el mundo de la banca puedes tener varias tarjetas sin ningun problema ni complejidad especial, puede tener y gestionar limpiamente varios certificados electrónicos.

Cualquier web de empresa, sea cual sea el servicio que ofrezca, dá opciones a los usuarios o potenciales clientes a utilizar una cuenta de acceso (usuario y contraseña) e incluso a rellenar formularios de modo “anónimo”. Entran aquí partidos políticos, ayuntamientos, asesorías, asociaciones de empresas y cualquier tipo de entidad en realidad. De momento sólo la Administración pública parece estar asumiendo el reto de permitir a los ciudadanos y empresas la identificación con certificados electrónicos.

La seguridad Social mostrando y otras Administraciones públicas mostrando el camino correcto de ofrecer servicios con certificados electrónicos. De aquí al voto electrónico un paso.

Los servicios online basados en la identificación segura de un ciudadano mediante un certificado electrónico potencian enormemente su uso, dan muestra al ciudadano de las enormes facilidades que aporta emplearlos y lo meten inmediatamente en las ventajas del día a día en Internet (banca electrónica, solicitud de trámites, presentación de solicitudes, analizar cómo va su solicitud..). Este es el elemento clave que falta en la actualidad y debe generalizarse, sin caer en el error de que sea “solo con el DNIe” sino con cualquier certificado reconocido.

Certificado digital de servidor

Comenzando por el principio, y siendo más básico y grave, muchas webs de empresas que dan cuentas de acceso a usuarios para proveerles servicios o introducir información, ni siquiera establecen una sesión segura entre el navegador del usuario y el servidor web, lo que hace que tanto el usuario, la contraseña y los datos que se envían al servidor viajen en claro y sin ningun tipo de seguridad (sin cifrado). No es difícil ver entidades, incluso importantes, que en el colmo del ridículo usan un certificado digital de servidor inválido, sin calidad  e incluso caducado, lo que no da ninguna seguridad al usuario de que realmente nos estamos conectando al servidor con el que queremos trabajar.

Es como si quisieramos conectar con el servidor miayuntamiento.navarra.es y el certificado que aparece en el servidor (que debe aclarar que nos estamos conectando al sitio real que hemos elegido) fuera inválido o referenciase una casa de citas..

El certificado de servidor debe ser utilizado para que antes de que el usuario envíe ningún dato al servidor (por ejemplo en banca electrónica) se negocien de modo seguro entre el navegador y el servidor claves de cifrado que hagan que la transmisión sea segura. Si ni siquiera sabemos si estamos conectados al banco porque el certificado está mal, ha caducado o no es de una autoridad confiable.. apaga y vámonos.

El certificado que identifica al servidor (o al dominio Bancosantander.es) y que posibilita la sesion segura con el cliente

Sigamos adelante. Si ha quedado clara esta parte, podemos entender que el certificado electrónico del servidor nos permite saber a qué servidor nos estamos conectando, además de hacer que el tráfico entre nuestro navegador y el servidor sea seguro (indispensable siempre que vayamos a introducir datos sensibles, o estemos comprando en Internet o haciendo gestiones con la Seguridad Social, el Banco o nuestra Asesoría..)

Certificado digital del usuario que se conecta

Cuando nos conectamos a un servidor seguro (hoy día no muy frecuente porque sólo entidades muy avanzadas dan este servicio) que nos permite identificarnos con un certificado electrónico reconocido (ojo! insisto en certificado electrónico reconocido, tanto si es en modalidad software como en tarjeta: DNIe, FNMT, CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO ABOGADOS, NOTARIOS etc etc) entonces son los dos extremos de la comunicación los que se están identificando con seguridad. Aquí en un extremo el servidor del banco, aquí en el otro la persona X..

Este contexto de mayor seguridad nos permite ofrecer servicios por internet con un gran incremento de seguridad, infinitamente mayor que en el caso de usuario/contraseña.

Una Asesoría moderna facilitando el acceso con certificados, además de firma de ficheros

Existen incluso (esto ya es el colmo de la excelencia) muy poquitas entidades que no sólo te permiten conectarte con tu certificado digital, sino que por tenerlo te ofrecen la posibilidad de que puedas firmar formularios, ficheros de cualquier tipo, solicitudes, peticiones, de modo que evitas el desplazamiento físico y además es absolutamente legal. Ya digo que si es dificilísimo encontrar entidades que te permitan por la web autenticarte con tu certificado digital, los que además ofrecen capacidades de firma electrónica por la web son extraterrestres (pero existen).

Que estamos en un momento de inflexión, quizas retardado por la profundidad de las crisis económica y política actuales, parece claro. Pero sin embargo falta motivación, alicientes, ayudas,  empuje y cultura de Internet para dotarnos casi en cualquier web de la capacidad de autenticación con certificados electrónicos. 

No hace tantos años donde muchos “expertos de empresa” ante el ofrecimiento de una web para su organización o asociación decían: ” bah, van a ser cuatro gatos los que tengan página web ! deben pasar muchos años para que se extienda.. ”

Muy pocos años despues de aquellas afirmaciones, que he vivido en pymes y asociaciones de empresas, no se entendía que una empresa no se lanzase a Internet (web, correo, servicios, intranets..) y se generalizaba su uso. Ya vemos que incluso gente muy solvente se equivoca cuando se trata de entrever por dónde van a ir las cosas. 

Retomando esta idea, aún hay quien dice : no te preocupes por la firma electrónica, tú envíame a mi el fichero que yo te lo firmo en tu nombre, “no te enredes en cosas tan difíciles” !!  

Este tipo de afirmaciones tienen el mismo valor que si le dijésemos a alguien que se conecte a nuestro servidor web, que en ese contexto su raton le va a funcionar bien !! Y es que hay tal desconocimiento en este tipo de cuestiones que a pesar de que hablamos de cosas muy sencillas (la explosión de las tarjetas bancarias a toda la población fue más complicado y hoy día cualquier persona de edad y condición social tiene al menos una) se vende mal y surgen servicios “contra natura” como el de “olvídate que yo firmo por tí”.

Utilidades del certificado electrónico para el ciudadano

Una persona normal, no experta en tecnología precisamente, puede hacer perfecto uso de uno o varios certificados electrónicos sin que el paternalista (o buitre) de turno le diga “no te metas en complicaciones”. La analogía de las tarjetas bancarias es suficientemente parecida y demostrativa de la capacidad real de cualquier persona para esto y muchisimo más (en ocasiones son algunos funcionarios, informáticos o políticos los que más dudan de la capacidad de sus ciudadanos). Por supuesto hemos de ayudar, extender una cultura, ofrecer motivaciones y hacer aflorar las ventajas de la utilización, lo que ayudará a demostrar que cualquier persona puede hacer buen uso de sus certificados.

No quiero ser exhaustivo en este apartado, porque hay muchísimas webs estupendas donde se explica, pero un usuario va a obtener con su certificado:

  – Posibilidad de conectarse con mayor seguridad a servicios del Estado (ejem Seguridad Social), de su comunidad autónoma, Ayuntamiento, Banco, Asesoría..con mucha mayor seguridad que con usuario/clave.

  – Posibilidad de firmar electrónicamente cualquier petición, consulta, contrato, de forma 100% legal y ahorrándonos impresiones, colas, desplazamientos físicos (a veces complicados por enfermedades o situaciones vitales duras).

  – Posibilidad de firmar su propia documentación y asegurarla en sus propios equipos, incluso cuando se comunica por email (firmado y/o cifrado segun su importancia) en su círculo personal, familiar o profesional.

  – Evitar tener que memorizar muchas cuentas en servidores, al poder acceder a todos ellos con su certificado.

Por qué no despegan servicios donde sea posible autenticarse con certificado digital ?

Si las ventajas para el usuario son tan claras y rotundas, parece claro que o falta motivación de las empresas e instituciones,  o tenemos un escasa cultura en tecnología, o consideramos (equivocadamente) que implantar la autenticación con certificados  es muy caro.. o no se está impulsando lo que de verdad mueve la sociedad..

La Ley 11/2007 (y a pesar de la crisis) está siendo “seguramente” un revulsivo de gran importancia en el ámbito de las Administraciones públicas. El proyecto paneuropeo IDABC planteó una serie de directivas que por ejemplo en España han dado paso al Esquema Nacional de Interoperabilidad.

Esquema Nacional de Seguridad y la Ley 11/2007

Se trata de que las acciones que tomen las distintas administraciones puedan realmente interoperar, y no suframos un reyno de taifas monumental (como ocurre probsblemente en Educación o en la Sanidad) haciendo inviable que la información de los ciudadanos esté accesible por cualquier Administración, conformando servicios de ventanilla única a donde podemos dirigirnos, incluyendo por supuesto la “ventanilla electrónica” o como están llamándose “Oficinas Virtuales” o “Sedes electrónicas”.

 Dicho esto, urge que las organizaciones en el ámbito empresarial sigan la estela de la Administración en España (increíble pero cierto) y den el salto a la administración electrónica con igual fuerza y calidad.

La infraestructura está lista

Dejando claro nuevamente que me refiero en todo momento a todos los certificados RECONOCIDOS existentes en España (tanto en modalidad software como encapsulado en un dispositivo criptográfico), las infraestructuras más críticas están listas para que todo el sistema ruede, aunque la gente que desconfía de la capacidad del ciudadano no lo crea así. Aprendamos de la experiencia creada a partir de la exigencia de la Agencia Tributaria sobre factura electrónica para empresas que facturan a la administración (que obliga a la firma electrónica de facturas XML en formato Facturae).

Segun datos de la misma AEAT, sólo la eFactura en españa (sin contar con que las empresas privadas van a generar ya que apenas ha iniciado su camino de cambiar la factura papel a factura electrónica) ha producido un ahorro de 15.000 millones de euros anual.

Es necesario ver que aunque alguien lo vea como imposición, ha sido una decisión política inteligente la que ha obligado este movimiento, despertando en el mundo empresarial distintas oleadas tendentes a cumplir normativas, a ahorrar y mejorar la eficacia, reducir papel y pensar en el impacto medioambiental. Algo que si aplicamos a todos los documentos que no son facturas se puede multiplicar por miles (las facturas no son los documentos más numerosos).

Un día de estos la Justicia española nos dará un susto y dejarán las maquinas de escribir

Siendo esto así, qué pasará cuando en España la Administración de Justicia (que tenemos aún en el siglo 19 en cuanto a eficacia informática y de seguridad) se incorpore ”en serio” al mundo de los certificados digitales y la documentación electrónica?  Que haga los cálculos quien pueda, pero seguro que hablaremos de docenas de miles de millones de euros CADA AÑO.. sin pensar en el incremento vital de eficacia en la gestión, reducción de tiempos de proceso, mayor transparencia, mejora del rendimiento, control de robos de pruebas, desaparición de libros y documentos en sedes judiciales o su deterioro por estar amontonados en estantes etc

Las normativas legales están listas(como ya he dicho otras veces en España estamos muy por delante de paises más avanzados, luego se ha trabajado bien). La tecnología existe. Las Autoridades de Certificación en España funcionan muy bien. Entonces necesitamos voluntad y decisión política para impulsar como hizo la Agencia Tributaria un movimiento de avance.

Ejemplo: Todas las peticiones de subvencion, ayudas, desempleo, becas,  etc podrían hacerse con un certificado digital reconocido.

Una sola medida de este tipo, que parece que dificulta al ciudadano la obtención de ayudas, supone en cambio un “engrase social” fundamental, que moviliza, forma y hace avanzar en varias líneas.

 Atención aquí, porque la imposición del DNIe como si fuese la panacea o el único certificado válido será un gran error, que dificultará  -o impedirá-  el desarrollo natural del uso del certificado digital por el ciudadano.

Si cualquier tramite inicial  jurídico o las relaciones de los partidos políticos con sus afiliados y con la Administración, se hiciesen con certificado electrónico, el movimiento que se generaría sería clave y vendría en beneficio de todos.

Excepción a la regla

Que las infraestructuras están listas como planteo es verdad. Pero sin embargo eso no es así en absoluto cuando hablamos de permitir a los ciudadanos o empresas autenticarse en las páginas web de empresas, instituciones, asociaciones, partidos politicos.. con sus certificados electrónicos, y es lo que motiva este artículo. Esta es la excepción a la regla de las estupendas infraestructuras en España, ya que requiere que se involucren las empresas. (Habría que incentivar esas vías promocionando a las empresas que sigan el camino ! )

Y el acceso con certificados para cuando ?

Existen millones de personas en España con varios certificados electrónicos validos (FNMT, CAMERFIRMA, DNIe..) y sin embargo pocas son las empresas que han incorporado a sus webs la tecnología que permita a cualquier empresario, ciudadano o profesional utilizarlos en lugar del usuario/contraseña, que ni da seguridad, ni aporta más que la dificultad de tener docenas de cuentas para acceder a docenas de sitios, con olvidos, quejas, robos y demás inseguridades (como tenerlas anotadas en papel).

Es difícil para una empresa dotarse de capacidades de login con certificados ? !NO! . Existen muchas soluciones, parciales (ejemplo solo autenticación) y totales (autenticación, firma, cifrado). Existe software libre y software propietario y hablamos de pocos días de implantación.

Tendencia a futuro

Esto va a cambiar porque estos servicios dan prestigio, denotan innovación y buenas prácticas en seguridad, y las empresas más sensibilizadas en calidad, seguridad y marketing van a ir con paso firme incorporando este elemento de la infraestrutura que sin duda falta en España (curiosamente es en la Administración donde más se está avanzando ;-) ). Cuando el ciudadano vaya paso a paso entrando en tantos sitios como la Administración en España está habilitando para login con certificado, aquellas entidades privadas que no lo posibiliten simplemente darán una impresión penosa. Estoy convencido de que esto va a cambiar  y pronto vamos a ver miles de empresas integrando en sus webs, intranets, extranets, acceso a clientes.. la autenticación con certificados electrónicos.

Plataformas avanzadas de documentación firmada digitalmente

Como muestra de lo que pocas empresas en España están haciendo como avanzadilla de calidad, un buen número de  Asesorías están activando sus particulares “sedes electrónicas” o “repositorios electrónicos”. Así como la Banca electrónica más moderna te permite acceder a cualquier documento tuyo (normalmente PDF) de los últimos cinco años (con lo que no lo necesitas tener en papel ya que “te lo guardan ellos”), las Asesorías están llevando millones de documentos electrónicos a esas plataformas web u oficinas electrónicas para sus clientes, evitando tanto correo inútil e inseguro y acogiéndose a normas avanzadas como la de Factura electrónica.

Esos ficheros están firmados electrónicamente, por supuesto, y los clientes siempre tendrán acceso a ellos, a su descarga, a su comprobación.  Y no sólo eso. Los clientes de estas Asesorias pueden “subir” sus propios ficheros a sus zonas privadas, lugar donde podrán firmarlos, cifrarlos, descifrarlos sin que hayan tenido que adquirir ninguna solución.

Naturalmente, los clientes de estas asesorías se autentican con sus certificados electrónicos, además de con usuario/contraseña para aquellos que aún no disponen de certificado. Son servicios de valor que aportan estas Asesorias a sus clientes y que les muestran las ventajas de seguir usando sus servicios frente a sus competidores.

Otras soluciones para autenticación con certificados (que otros lo comprueben)

Existen empresas que  se  ofrecen como “pasarela de autenticación“. Me explico: en lugar de incluir en mi web la tecnología para autenticar el certificado de mi cliente, lo que me ofrecen es que “derive” la autenticación a su web, de modo que una vez que hacen “ellos” la comprobación del certificado, devuelven a mi web el control.. Francamente, si esa “pasarela” es una Administración o un Banco, de acuerdo. Si es una entidad privada “normal”, mejor probamos otras vías que nos aporten más seguridad. Siendo una buena idea, sin embargo hemos de confiar en alguien externo que nos dice si el usuario es o no es, lo que añade un eslabón más de confianza cuando lo sencillo es que nuestro sitio web pregunte a la entidad emisora del certificado directamente.

Incluir capacidades de firma y autenticación en tu web es algo que poco a poco todos van a hacer, como se está incluyendo tecnología flash, sonido, vídeo o sesiones seguras. Además hablamos de un coste bajo (puede ser cero) y grandes mejoras en seguridad, en imagen y servicio a nuestros clientes.

Autenticación y fima con el certificado que el usuario tiene en su poder

Sirva como aclaración que hay empresas que ofrecen servicios de firma digital en su web, pero siempre que tengas un certificado software que hayas subido a la plataforma, para que “la plataforma firme con tu certificado”.  Aunque es válido normalmente, el camino de futuro es posibilitar que el usuario firme con el certificado que tiene instalado en su PC, PDA o tiene en su token USB o tarjeta criptográfica, para lo cual existen soluciones avanzadas basadas en ActiveX de Microsoft  y/o Applets de Java.

No sólo con el DNIe

No me cansaré de repetir que aunque pueda entenderse el esfuerzo de la Administración y el Gobierno de promover fortísimamente el despegue del DNIe es un error tratarlo de modo distinto a otros certificados digitales que llevan en el ámbito empresarial y de la Administración muchos años. Pretender que el ciudadano abandone la idea de obtener otros certificados digitales (FNMT, CAMERFIRMA etc) como algunos funcionarios pretenden (de modo inocente  y pretendiendo ayudar a simplificar al ciudadano) cuando atienden a personas en las oficinas del DNIe o por teléfono, es significativo del desconcierto que en los propios funcionarios existe.

Si el esfuerzo publicitario y de gestión, enorme, que está suponiendo el DNIe, se desaprovecha, será la utilización de los certificados electrónicos quien pagará el error de no haber tenido mayor amplitud de miras en la extensión de una cultura de acceso y firma electrónica. Cuando desde Europa se trata de que los distintos paises miembros sigan esa senda, no están pensando en los diferentes DNIe de cada país, sino en los diferentes certificados digitales ya existentes en innumerables Autoridades de Certificación.

Veamos un ejemplo de lo que digo. En la imagen siguiente puede apreciarse un incorrecto servicio de identificación de clientes de uno de los bancos más avanzados en firma electrónica: Santander. Se ve claramente cómo el cliente puede utilizar un servicio de calidad para identificarse en la web SOLO CON DNIe, lo que reduce de un modo increible la buena medida implantada por la entidad. Qué pasa con los certificados RECONOCIDOS tanto en software como en tarjeta de otras Autoridades de Certificación?  Ya estaban aquí con sus magníficos servicios antes de que la Dirección General de la Policía fuese una CA con certificados !

Buena intención pero mala elección.. Solo el DNIe no !!

Los certificados electrónicos RECONOCIDOS emitidos por cualquier Autoridad de Certificación en España (tanto en software como en tarjeta) harían enormemente más fácil al ciudadano el adentrase en este mundo, propiciando al final un mayor uso del DNIe que tanto preocupa a algunos. Un usuario que use certificados de FNMT,  CAMERFIRMA, FIRMA PROFESIONAL, COLEGIO DE ABOGADOS, COLEGIO DE NOTARIOS, o varios de ellos, verá cómo, de verdad, todo le resulta más sencillo y acabará usando el DNIe de un modo natural, que es lo que pretendemos para los servicios del futuro.