Recientemente, el Centro de Seguridad TIC de la Comunidad Valenciana (CSIRT-cv), ha publicado una “Guía de uso seguro de Certificados Digitales”, esta guía vino precedida por una campaña de concienciación emitida en redes sociales. Formada por una serie de consejos de seguridad diarios, relacionados con el uso de certificados digitales. A este respecto, y dado que esta serie de entradas en Security Art Work dedicada a Fundamentos de Certificados Digitales está perfectamente alineada con los temas tratados en la guía, he considerado introducir la guía dentro de la misma serie.
Es importante destacar que, quizás un poco como contrapunto a los temas tratados en cada una de las entradas precedentes de la serie, la guía tiene una audiencia con menos orientación técnica que la que abarcan el resto de entradas, más cargadas de contenido técnico más enfocado a profesionales de TI y entendidos en la materia. Sin embargo, esto no debe desmotivar a este colectivo más avanzado, ya que posiblemente se tengan ciertos conocimientos sobre el uso de certificados digitales, aunque posiblemente no en todos los ámbitos tratados en la guía. Dicho lo propio, pasamos a la presentación de la misma.
El objetivo principal de la guía es informar y concienciar respecto del uso seguro de certificados digitales en la vida cotidiana, y su audiencia objetivo son el conjunto de los ciudadanos y empleados públicos. Dentro de ella, se facilitan conocimientos básicos de uso de certificados en las principales aplicaciones de uso habitual que tengan requerimientos específicos respecto a privacidad de la información, así como que requieran asegurar la autenticidad del remitente o tercero con el que contactamos. Todo ello tratando de ser lo más sencillo posible en las explicaciones, orientadas a su público objetivo. Destacar además que está estructurada como una guía de referencia, facilitando el acceso a los contenidos que se requieran en cada situación de forma sencilla y clara.
A modo de resumen de contenido, la guía da soluciones y recomendaciones específicas respecto a los siguientes puntos principales:
- El DNI Electrónico: Hace unos años se produjo una modernización profunda del Documento Nacional de Identidad Español, desde entonces se ha convertido en el certificado digital obligatorio del que disponemos todos los Españoles, y que la gran mayoría desconoce.
- Certificados de Persona Física o Empleado Público: Se trata de certificados digitales identificativos de propósito general y son emitidos por Autoridades de Certificación de confianza. Permiten identificar a su propietario telemáticamente, así como cifrar comunicaciones digitales.
- Uso de Certificados Digitales en correo electrónico: Se incluye un dedicado al correo electrónico, el medio de comunicación de uso más difundido en Internet. Del mismo modo que cualquier medio de comunicación digital que transmite datos por redes públicas requiere que se tengan en cuenta los requisitos de seguridad pertinentes; y como suele ser habitual, centrados en la confidencialidad de la información compartida, así como la autenticidad de la misma.
- Navegación Segura: Del mismo modo que se puede emitir un certificado digital para una persona se puede emitir un certificado para un sitio web. En este caso, el certificado garantiza identificar inequívocamente al sitio web al que nos conectamos y a su vez implementa cifrado en todas las comunicaciones entre cliente y servidor. Por tanto, se debe verificar sin lugar a la calidad y fiabilidad del certificado cuando conectamos a un sitio web que por ejemplo, maneje información sensible.
- Firma de código: Esta capacidad permite firmar código fuente de las aplicaciones que vamos a instalar en nuestros equipos. Cuando un código no está firmado o no está firmado por una entidad de confianza corremos el riesgo de que se haya modificado fraudulentamente, y muy posiblemente pueda ejecutar acciones maliciosas en nuestros ordenadores. Cada vez que instalemos un programa deberíamos asegurar su origen, integridad y su legitimidad.
- Firma de documentos digitales: Cuando se firma un documento digital, dicha firma tiene la misma validez que una firma manuscrita; además asegura que el documento firmado no ha sido alterado o modificado. Del mismo modo, es fundamental poder identificar la legitimidad de la firma implementada en cualquier documento.
Por último, se incluye información adicional sobre la solicitud y gestión de certificados con la Agencia de Tecnología y Certificación Electrónica de la Comunidad Valenciana (ACCV), que es una Autoridad de Certificación de reconocida confianza y opera dentro de la Comunidad Valenciana, facilitando certificados digitales reconocidos gratuitos para los ciudadanos.
Como conclusión y en mi humilde opinión, me gustaría hacer un pequeño análisis de la situación actual respecto al uso de esta tecnología. En muchas ocasiones me gusta emplear la frase “Los certificados digitales, esos grandes desconocidos…”, y esa es por desgracia la realidad, y es que la mayoría de los usuarios de medios tecnológicos e internet los usan en su vida diaria, aunque no sean conscientes. Los certificados digitales están cada día más extendidos en los servicios TI; empleándose comúnmente para asegurar la confidencialidad, autenticidad y trazabilidad de la información en la red.
Los certificados son un mecanismo muy potente y muy seguro; pero como suele pasar en la gran mayoría de los casos, por seguro que sea, si se hace un uso negligente de los mismos pueden conllevar muchos más riesgos que beneficios. No seamos alarmistas, el objetivo de la guía no es ni mucho menos asustar a la audiencia, sino ayudar a poder emplear estos mecanismos de forma segura y para ello la mejor base es conocer los riesgos a los que nos enfrentamos, pero siempre desde una óptica de confianza. De ese modo los certificados nos podrán ayudar a aprovechar todas las ventajas y servicios que nos ofrece la sociedad de la información en la actualidad con total seguridad.
La “Guía de uso seguro de Certificados Digitales” se encuentra disponible en este enlace, dentro del portal Web de CSIRT-cv, y también desde la sección de descargas de dicho portal.
Personalmente, como siempre agradecido por vuestra atención y recordaros que estamos a vuestra disposición desde Security Art Work.
Un saludo a todos. Os deseo un feliz y seguro verano.
Descargando…he seguido todas las publicaciones relacionadas con la materia y son realmente útiles. Gracias y felices vacaciones!
Alejandro.