Explicación Detallada de Los Conceptos de Certificado y Firma Digital
Explicación Detallada de Los Conceptos de Certificado y Firma Digital
Explicación Detallada de Los Conceptos de Certificado y Firma Digital
los principales medios de protección que se pueden utilizar para minimizar los
ataques.
“Una declaración electrónica que vincula los datos de validación de una firma con una
persona física y confirma, al menos, el nombre o el seudónimo de esa persona”
Aunque los esfuerzos son grandes, lo cierto es que el sector privado, más ágil
adaptándose a las tendencias del mercado, ha adaptado con mucha más rapidez sus
contenidos y servicios web a los dispositivos móviles que las administraciones públicas.
La utilización del certificado digital ha supuesto un ahorro de costes muy importante para
la Administración. El informe “Eficiencia y Ahorro con la Aplicación de Tecnologías
Accesibles en las Administraciones Públicas” estima que se han ahorrado un total de
134.358 millones de euros desde el año 2011 hasta el 2020.
1
Qué es la firma digital
Una vez establecido qué es el certificado digital y cuáles son algunas de sus ventajas, es
el turno de establecer qué es la firma digital y en qué se diferencian.
Hace unos años, la Unión Europea legisló para definir qué son las firmas electrónicas y
qué características deben tener para ser legalmente válidas.
Firma electrónica simple: Son los datos electrónicos anexos a otros datos
electrónicos, o asociados de manera lógica con ellos, que utiliza el usuario para
firmar. Es un elemento de prueba admisible ante un tribunal, aunque es posible
que tenga que complementarse con otros elementos
Firma Electrónica Avanzada: Para que una firma pueda ser considerada firma
electrónica avanzada, tiene que haberse creado por medios que el firmante posee
en exclusividad, identificarlo, detectar cambios posteriores que se hicieran en la
firma y estar vinculado con la persona que firma de manera exclusiva.
2
Con otras palabras:
Existen otras técnicas de firma digital que, siempre que cumplan los requisitos
establecidos, se pueden considerar como firmas electrónicas avanzadas,
perfectamente seguras y reconocidas por la legislación europea.
3
certificación. Ejemplos de este tipo de certificado son el DNI electrónico, el Certificado
electrónico cualificado de persona física o el Certificado cualificado de Representante.
En la siguiente clasificación se muestran los diferentes tipos de Certificados
Electrónicos y Certificados Electrónicos Cualificados según el listado de prestadores
nacionales de servicios electrónicos de confianza del Ministerio de Industria, Comercio
y Turismo.
Según el SOPORTE
Los certificados según el soporte los podemos clasificar en:
Certificado software: se trata de un fichero software sin más soporte físico que el
servidor o dispositivo en el que se instala.
Certificado en dispositivo físico: las claves se generan y almacenan en un dispositivo
tipo «tarjeta criptográfica». Para su uso es necesario estar en posesión de este
dispositivo y su lector correspondiente como, por ejemplo, una smart card reader.
4
certificados de representante de personas jurídicas o entidades sin personalidad
jurídica.
La FNMT emite tres tipos de certificados de representación conforme a la normativa
europea:
Certificado de Representante para Administrador Único o Solidario: con este tipo de
certificado las Personas Jurídicas, a través de sus Representantes legales, realizan
gestiones en las Administraciones Públicas y contratan bienes o servicios propios o
referentes a su negocio habitual. Pueden obtenerlo sociedades anónimas o sociedades
limitadas en caso de que el representante de la sociedad sea el administrador único o
solidario inscrito correctamente en el Registro Mercantil.
5
Ayuntamientos o Diputaciones.
Sociedades agrarias en transformación, agrupaciones de interés económico, etc.
Certificado de entidad sin personalidad jurídica: se trata de entidades carentes de
personalidad jurídica y que constituyen una unidad económica. Por lo tanto, este
certificado puede estar solicitado, entre otros, por:
Comunidades de bienes, herencias yacentes.
Comunidades de propietarios.
Corporaciones independientes sin personalidad jurídica ubicadas en España.
Juntas vecinales.
Unión temporal de empresas.
Órganos de la Administración Central y Autonómica (salvo Gobiernos de CC.AA.).
Entidades no residentes con establecimiento en España de forma permanente.
Certificados de Administración Pública: certificados emitidos para la correcta
identificación de las Administraciones Públicas, firma electrónica de su personal y sello
electrónico para la actuación administrativa. Esta regulación se recoge en la Ley 40/2015
de Régimen Jurídico del Sector Público.
Desde la FNMT se expiden tres tipos de certificados de Administración Pública:
1. Certificado de firma electrónica del personal al servicio de la Administración Pública
(Certificado de empleado público).
2. Certificado de Sede electrónica en el ámbito de la Administración.
3. Certificado de Sello electrónico en el ámbito de la Administración.
Certificados de Componente: se trata de certificados que autentican la identidad de un
servidor y la firma de un código. Desde la FNMT se emiten:
Certificados de servidor SSL/TLS, wildcard y SAN multidominio.
Certificado de sello de entidad.
Certificados de sede y sello para la Administración Pública.
Desde Redtrust es posible gestionar cualquier tipo de certificado sin excluir por su
titularidad o normativa ni la CA en la que haya sido expedido. A través de su
plataforma, Redtrust centraliza todos los certificados en un repositorio
seguro y establece una serie de controles para su correcta gestión.
Centralización de Certificados Digitales
Los certificados digitales se han convertido en elementos esenciales para todo tipo de
empresas, tanto de la Administración Pública como del ámbito privado y se
6
utilizan diariamente en departamentos como Finanzas o Recursos Humanos. Poder
trabajar con cualquier tipo de certificado de forma centralizada y segura es posible gracias
a Redtrust. Esta centralización puede realizarse en formato virtual, en
el cloud de Redtrust o en un appliance físico con la seguridad adicional de la custodia
de los certificados mediante un HSM (Hardware Security Module). En cualquiera
de estas modalidades los certificados quedan custodiados en todo momento, impidiendo
que salgan del ámbito de la organización o lleguen a copiarse.
Redtrust se caracteriza por la usabilidad y facilidad de gestión de todo tipo de
certificados digitales. Además, ofrece otros beneficios como la creación de alertas de
caducidad, políticas de acceso y auditoría que hace posible una total trazabilidad de su
uso, garantizando el total control y seguridad del ciclo de vida de los certificados digitales
de la empresa.
¿Cómo se obtienen los Certificados Digitales?
Los certificados digitales son expedidos a través de las Autoridades de
Certificación o CA (Certification Authority) que son las entidades de confianza
encargadas de comprobar los requisitos necesarios para tramitarlos, emitirlos, revocarlos
y vincularlos a sus claves. Jurídicamente, se habla de ellas como Prestadores de
Servicios de Certificación.
Las CAs pueden ser públicas o privadas y cada una de ellas posee una política de
certificación distinta, por lo que expiden diferentes certificados. La más importante en
España es la FNMT (Fábrica Nacional de Moneda y Timbre), que a través de sus
aplicaciones de certificación y autenticación digital ofrece a la Administración Pública, a
empresas y a ciudadanos la posibilidad de realizar trámites digitales sin poner en riesgo
su seguridad.
Obtener un certificado de Persona Física, de Empleado Público o de
Representante en la FNMT puede realizarse de dos formas.
A través de la web de la FNMT:
1. Solicitud del certificado a través de la web de la FNMT. En ese momento se generan
en el equipo del solicitante el par de claves (pública-privada) que servirán para verificar su
identidad. El solicitante recibe un e-mail con un Código de Solicitud que debe presentar
en una Oficina de Registro.
2. Personación en la Oficina de Registro para acreditar su identidad. En caso de ser un
Certificado de Empleado Público, deberá ser una oficina habilitada para el registro de
certificados de Administración Pública.
7
3. Vinculación de las claves con la identidad. Una vez acreditada la identidad, el
solicitante solo puede descargar el certificado en el mismo equipo en el que realizó la
solicitud utilizando de nuevo el Código. A partir de este momento, las claves generadas en
el primer paso quedan vinculadas a su identidad.
A la hora de solicitar un certificado de Persona Física, si el solicitante dispone de un DNI
electrónico puede adquirir este certificado sin necesidad de acudir a una Oficina de
Registro. Del mismo modo, al solicitar un certificado de Representante de
Administrador Único o Solidario, en caso de contar con un certificado de Persona
Física o un DNI electrónico, también se puede obtener sin personarse en la Oficina de
Registro y de forma telemática, ya que previamente se hizo una personación cuando se
obtuvo el DNI electrónico.
Si se trata de un Certificado de Empleado Público con Seudónimo el código que se
recibe tras la solicitud y que se presenta en la Oficina de Registro también se le pedirá en
caso de revocación telefónica.
A través de Redtrust:
1. Se realiza la solicitud a través de la consola de Redtrust. Puede hacerse desde
cualquier dispositivo sin la obligación de gestionar los trámites en ese mismo equipo. En
este caso, el par de claves se generan dentro del servidor de Redtrust, donde quedan
debidamente custodiadas desde el primer momento. Al igual que si se solicitase a través
de la web de la FNMT, una vez solicitado se recibirá el Código de Solicitud por correo
electrónico.
2. Cuando ya disponga del Código, el solicitante debe ir a la Oficina de Registro donde
acreditará su identidad y mostrará el código junto con el DNI.
3. Una vez acreditado, el certificado se generará dentro del servidor de Redtrust usando el
código. Únicamente en este paso, la herramienta dará la opción de generar una copia
de seguridad opcional fuera del servidor. Desde Redtrust se aconseja la máxima
prudencia en la custodia de esta clave, ya que, como es obvio, no podría ser controlada
por Redtrust. A partir de este momento el uso del certificado
podrá gestionarse perfectamente y las claves no tendrán ningún modo
de exportarse, registrando todo uso que se haga de ellas.
8
3. Describir 3 tipos de ataques a estas herramientas criptográficas y la
descripción de los principales medios de protección que se pueden
utilizar para minimizar los ataques.
● Integridad: Solo los usuarios autorizados deben ser capaces de modificar los datos
cuando sea requerido.
● Disponibilidad: Los datos deben estar disponibles para los usuarios cuando sea
necesario.
● Seguridad de hardware
● Seguridad de software
● Seguridad de red
Seguridad de hardware
9
equipos desde su fabricación, hasta los dispositivos de entrada y salida que están
conectados.
Los ejemplos más típicos son los cortafuegos o servidores intermedios (proxy). Los
menos comunes son los módulos de seguridad de hardware (HSM) que suministran
claves criptográficas para el cifrado, el descifrado y la autenticación.
Seguridad software
Seguridad en la red
10
● Ataques de día cero, también llamados ataques de hora cero
● Ataques de hackers
● Robo de identidad
1.Ransomware
Son muchas las formas en las que se pueden colar en los equipos, generalmente usan
técnicas de ingeniería social o a través de las vulnerabilidades que existen en el software
con las que logran instalarse en la máquina del usuario.
Tipos de ransomware
● Malware criptográfico, es el más habitual, cifra los archivos por lo que no puedes
abrirlos.
11
● Bloqueador, inhabilita el acceso a tu equipo y cifra la tabla maestra de los archivos del
disco duro.
● Doxware, este tipo de ransomware descarga una copia de los archivos confidenciales
de los usuarios y amenaza con publicarlos en la red.
● Configurar para que se muestren las extensiones ocultas de los archivos; algunas veces
las formas en las que se presenta es en un archivo con extensión “. PDF.EXE” y será más
fácil detectar los archivos sospechosos.
● Filtrar los archivos .EXE del correo electrónico y no permitir los correos que tengan
archivos “.EXE” o con doble extensión.
● Deshabilitar los archivos que se ejecutan desde las carpetas AppData y LocalAppData.
12
● Desconectar inmediatamente el equipo de la red de internet, ya sea del Wi-Fi o cable de
red. Si se actúa muy rápido se puede mitigar el daño. Lleva cierto tiempo cifrar los
archivos por lo que se puede detener el ataque.
2. Phishing
El phishing continúa siendo uno de los ciberataques más exitosos por las siguientes
razones:
● Identificar los correos sospechosos, este tipo de correos suelen utilizar nombres e
imagen de empresas reales, incluyen webs muy parecidas a las originales, utilizan regalos
o promociones como ganchos, incluso la pérdida de la cuenta o información.
13
● Verificar la fuente de tus correos entrantes, tu banco no te pedirá tus datos personales y
claves de acceso por correo.
● No entrar a links incluidos en correos electrónicos, ya que te redireccionan a una web
fraudulenta para obtener tu información. Teclea directamente la página web a la que
deseas acceder.
● Revisar tus cuentas bancarias periódicamente para estar pendiente ante cualquier
irregularidad.
● Cuidado con las plataformas populares porque pueden utilizar esos canales para robo
de información, por ejemplo, Facebook, Paypal, eBay.
● Los ataques pueden llegar en cualquier idioma, generalmente tienen mala redacción o
traducción lo que puede servir como un indicador para tener cuidado.
● Rechazar cualquier correo electrónico que requiera tu información, que sea una fuente
sospechosa y ofrezca algún gancho.
3. Adware
Los adwares, como el spyware, generalmente vienen con algún software gratuito, pero
también se pueden instalar en navegadores o sistemas operativos a través de alguna
vulnerabilidad del sistema.
1. Descarga las aplicaciones desde los sitios web oficiales de los desarrolladores
14
2. Atención a las ventanas de instalación y revisa que las selecciones sean las que
correspondan.
3. Haz clic en el botón “Instalación Avanzada” u “Opciones de Instalación” para
deshabilitar la instalación add-on.
4. Antes de eliminar el adware realiza una copia de seguridad. Después usa un
antivirus de eliminación de adware para buscar y eliminar los que se encuentren
en tu equipo.
4. Spyware
Tipos de spyware
● Ladrones de contraseñas: Diseñado para obtener las contraseñas de los equipos que
incluye credenciales almacenadas en navegadores, de inicio de sesión y diversas
contraseñas personales
● Los infestarles: Capaces de buscar todo tipo de datos como nombres de usuarios,
contraseñas, direcciones de correo, historiales, archivos del sistema y más.
● Los keyloggers: Registran las pulsaciones de las teclas para capturar la actividad del
ordenador, las visitas a sitios, historial de búsquedas, conversaciones por correo
electrónico.
15
● No abrir correos electrónicos de desconocidos.
● Instalar un buen programa de seguridad informática resulta esencial para hacer frente a
las nuevas formas de spyware avanzado.
5. Troyanos
Los virus troyanos son programas maliciosos; este tipo de ataques ejecutan acciones no
autorizadas como eliminar datos, bloqueos, modificaciones, toman el control del equipo,
etc.
Tipos de troyanos
● Puertas traseras, generan un acceso remoto al sistema, permite que un hacker tenga
acceso a tu equipo y lo controle, robe los datos e incluso descargue más malware.
● Troyanos zombis, tienen el control del equipo para convertirlo en esclavo en una red
bajo el control del atacante. Posteriormente, se utiliza para realizar un ataque de
denegación de servicio distribuido (DDoS).
16
● Cuidar la descarga de archivos usando programas para compartir. Se recomienda
primero realizar un análisis con antivirus antes de abrirlo y bajarlo.
Estas son algunas recomendaciones que debe incluir una buena estrategia de seguridad
informática:
Gestión de activos
● Gestionar los soportes, con esto se evita que se revele, modifique o elimine de forma
no autorizada la información almacenada.
● Diseñar y mantener una base de datos de gestión de configuración que contenga los
elementos para proporcionar un servicio y la relación entre ellos.
17
Todas las actividades encaminadas a asegurar el correcto funcionamiento de los equipos
donde se procesa la información, deben considerar lo siguiente:
● Garantizar la instalación de los sistemas y aplicaciones que se realizan conforme a los
requisitos de seguridad de la organización.
● Administrar los accesos lógicos, gestionar credenciales, permisos, atributos y medidas
de autenticación.
18
● Aplicación segura de las contraseñas.
Bibliografía
• https://latam.kaspersky.com/resource-center/threats/ransomware
• https://blog.avast.com/es/guia-basica-sobre-el-ransomware-y-como-protegerse
• https://www.pandasecurity.com/spain/mediacenter/consejos/10-consejos-para-
evitar-ataques-de-phishing/
• https://www.redeszone.net/tutoriales/seguridad/mensajes-phishing-como-
protegernos/
19
• https://www.welivesecurity.com/la-es/2017/12/06/convenio-budapest-
beneficios-implicaciones-seguridad-informatica/
• https://www.derechosdigitales.org/12364/el-convenio-de-budapest-desde-una-
perspectiva-de-derechos-humanos/
• https://blog.smartekh.com/-pasos-para-una-estrategia-de-ciberseguridad
• https://www.pandasecurity.com/spain/mediacenter/consejos
• https://www.derechosdigitales.org/12329/una-breve-historia-de-la-
ciberseguridad-importada/
• https://www.sofistic.com/blog-ciberseguridad/la-breve-historia-de-la-
ciberseguridad/
• https://www.sofistic.com/blog-ciberseguridad/la-breve-historia-de-la-
ciberseguridad/
20