Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

miércoles, 25 de septiembre de 2013

3 modelos de firma electrónica en el móvil que funcionarán (o no)

El mundo es móvil. Y no sólo por sus movimientos de rotación y traslación que, al fin y al cabo, dependen de la referencia que uno tome, sino en un un sentido figurado.

NFC, biometría digital, todo tipo de sensores (acelerómetro, giroscopio, etc ...), gps, cámaras delante, detrás, megapíxeles crecientes y pantallas más crecientes todavía. Todo orientado a que no despeguemos los ojos de nuestro móvil.

La firma electrónica no iba a ser menos y lleva tiempo queriéndose hacer un sitio en el móvil. Pero no vale implantarla de cualquier manera. Si queremos tener éxito tendríamos que fijarnos en la evolución de estos tres modelos:

  • Firma con claves en el propio SO del móvil.
  • Firma con claves en la nube.
  • Firma con captura de dinámica de firma manuscrita.

viernes, 2 de agosto de 2013

3 modelos de firma electrónica en móvil que fracasarán

La experiencia es un grado, y como llevo más de 10 años viendo y oyendo sobre modelos de implantación de la firma electrónica en el móvil, algo de perspectiva tengo.

Se lleva invertido mucho tiempo y dinero en modelos de implantación de la firma electrónica y digital en dispositivos móviles ignorando cuestiones de bulto, como los intereses de las partes o a quién van dirigidas estas soluciones.

Los modelos condenados al fracaso son:
  • Claves criptográficas en el SIM.
  • Claves criptográficas en microSD.
  • Protocolos definidos ad hoc y soluciones universales.
En futuras entradas exploraremos modelos que sí pueden tener éxito.

martes, 23 de julio de 2013

ISACA, Barcelona, la firma electrónica y una guía de auditoría, parte 2.

Como ya comenté hace una semana y pico, el pasado 4 de junio, el capítulo de  Barcelona de ISACA, realizó la sesión "La Signatura Electrònica" en la que tuve la suerte de participar como ponente.

En esta entrada continúo comentando las tendencias de mercado allí expuestas.

Éste se mueve entre dos extremos en el modelo de implantación:
  1. El clásico, basado en certificados en tarjeta criptográfica+lector de tarjeta o en token criptográfico.
  2. El modelo servicio en cloud con las claves vaya usted a saber dónde, eventualmente en un módulo hardware seguridad (HSM por sus siglas en inglés)

miércoles, 10 de julio de 2013

ISACA, Barcelona, la firma electrónica y una guía de auditoría, parte 1.

El pasado 4 de junio (ayer por la tarde, vamos) el capítulo de  Barcelona de ISACA, en su línea de organizar jornadas de formación continuada, realizó la sesión "La Signatura Electrònica" en las instalaciones del centro Caixa Fòrum.

La jornada fue de lo más interesante, con cuatro presentaciones y un debate posterior muy rico. Las presentaciones podrían. Las presentaciones: una píldora de CoBIT5, la firma electrónica desde el punto de un PSC público, la firma electrónica desde el punto de un PSC privado, presentación de la "Guía para la Auditoría de Sistemas que hayan implantado y usen la firma electrónica".

jueves, 27 de junio de 2013

Un puente de firma electrónica entre continentes

Si uno se basa en las noticias que le llegan  por Google Alerts sobre "electronic signature" o "digital signature" puede llegar a pensar que en Estados Unidos sólo se firma sobre tableta (captura de firma manuscrita) y en el negocio inmobiliario.

Si esto fuera así, ¿qué futuro tiene toda la inversión que hace Europa en promover (no explícitamente, claro, aquí las leyes las hacemos "neutrales tecnológicamente") los sistemas de firma basados en certificados electrónicos y PKIs (Public Key Infrastructure) y, en segunda instancia, en tarjetas criptográficas (donde las empresas europeas como Giesecke & Devrient o Gemalto son los principales players a nivel mundial)? Desde luego no estaríamos yendo hacia soluciones adoptadas ampliamente ...

miércoles, 12 de junio de 2013

Dirige o sucumbe: Plan director de firma electrónica

"Me encanta que los planes salgan bien",
Hannibal Smith.

Tras explorar las ventajas para los países que tiene el hecho de legislar el uso de la firma electrónica y los pasos a seguir y tratar el siguiente eslabón de la cadena, los Prestadores de Servicios de Certificación, ahora toca hablar de los que realmente generan dinero y empleo, las empresas.

jueves, 30 de mayo de 2013

Y después de legislar, ¿qué, eh?



En la entrada anterior comentaba que la firma electrónica puede ser una fuente de eficiencia para los países, pero que para ello hay que legislar correctamente, pero  no acaba aquí la cosa.

Una vez el marco legal y normativo está definido, es hora de dejar de lado a los gobiernos y centrarse en las organizaciones, tanto en los nuevos prestadores o proveedores de servicios de certificación, como en las empresas que desean hacer uso de la firma electrónica como ventaja competitiva.

jueves, 16 de mayo de 2013

Legislador: legisla con amor (y sentido común)


La firma electrónica o digital no sólo es una fuente de eficiencia para las empresas o administraciones públicas, sino también para los países. No en vano, su desarrollo es una de las prioridades de la Comisión Europea y de muchos países alrededor del mundo.



Pero para poder utilizar la firma electrónica con garantías legales, para que pueda sustituir a la firma manuscrita o a otros mecanismos de autenticación de la identidad de las partes, expresión de voluntad o integridad de la información intercambiada, es necesario legislar.

viernes, 26 de abril de 2013

Firmo (manualmente), luego autentico (o no)

¿Qué es autenticación?


La autenticación es un procedimiento. Es un procedimiento que permite que el destinatario sepa quién emite un documento y que los datos facilitados son razonablemente fiables. En un sentido amplio incluye también la "integridad", es decir, que no se han producido cambios en los datos desde su origen. Aunque, técnicamente hablando, autenticación e integridad son conceptos separados.

miércoles, 20 de marzo de 2013

I'm siiiiiiiigning in the cloud ...

(música de cantando bajo la lluvia de fondo)

La semana pasado tuvo lugar en Barcelona el ETSI ESI Workshop sobre firma en la nube, al que tuve la oportunidad de asistir (bueno, a la sesión abierta, claro.)

Se concentraba allí la flor y nata de la firma electrónica a nivel europeo para discutir sobre lo que el mercado lleva demandando años y al que sólo algunos países han escuchado: firma electrónica reconocida en la nube, es decir, que las claves de firma no las lleve el firmante encima, en su tarjeta criptográfica, USB criptográfico, DNIe u otro dispositivo, sino que estén en un servidor y que se pueda acceder a ellas de forma sencilla, con tecnologías que el ciudadano de a pie más o menos domine.