Hoy reproducimos un  artículo que apareció publicado originalmente el 13.08.2009 en “Una al día“, boletín dedicado al mundo de la seguridad informática y publicado, desde hace más de 10 años, por Hispasec Sistemas. Todo un clásico del sector.

Kudos a Bernardo Quintero, miembro de Hispasec y autor del artículo, y a José Luis Gordo Romero, por reenviarlo al resto de Negonators.

A medio camino entre la realidad actual y lo que nos puede deparar el futuro, una excelente lectura para un fin de semana de verano.

Que lo disfruten.

“Su concepto de refugio de datos es bueno pero tiene limitaciones importantes. ¿Qué pasaría si el gobierno de Filipinas corta su cable?  ¿O si el buen sultán cambia de opinión, decide nacionalizar todos sus ordenadores y leer todos los discos? Lo que se precisa no es UN refugio de datos sino una RED de refugios de datos; es más robusto, de la misma forma que Internet es más robusta que una única máquina.

Firmado El Almirante Isoroku Yamamoto”

Supongo que algunos habéis reconocido ese mensaje dirigido a randy@tombstone.epiphyte.com, uno de los personajes de Criptonomicón (1999), la célebre novela de Neal Stephenson. Otros lo habréis recordado ahora, no es que tengáis mala memoria, es que la obra es tan extensa como buena. Para los que os siga sin sonar la obra, apuntadla como pendiente si no os asusta la lectura densa, a cambio tendréis buenas dosis de humor e ironía inteligente.

Una de las tramas de Criptonomicón gira alrededor del objetivo de la empresa de Randy de montar un paraíso electrónico, similar a un servicio en Internet, donde se asegurará la privacidad y el anonimato de los datos fuera del alcance de gobiernos y terceros: la Cripta. Por descontado no aparece en la obra ninguna referencia al esnobismo de actualidad, pero es una de las muchas cosas que se me vienen a la cabeza cuando se habla de seguridad en la nube o cloud computing.

Por ejemplo, el tema que preocupaba al almirante Isokuro Yamamoto está vigente cuando se tratan aspectos del cloud computing relativos al hospedaje de los datos, su regulación y legislación aplicada dependiendo de la localización geográfica de los servidores que sustentan el servicio, así como aspectos relacionados con la integridad, disponibilidad, o recuperación en caso de desastre.

Otros de los puntos del cloud computing que suele ser motivo de discusión está relacionado con la privacidad y el anonimato, asunto que forma parte del eje central de Criptonomicón con múltiples referencias a la criptografía y que en la novela llevan a niveles de mucha mayor exigencia que en las soluciones actuales en la nube, que básicamente se preocupan en proporcionar seguridad web estándar extremo a extremo. En la Cripta tus datos viajan y se almacenan de forma cifrada, de forma que ni el proveedor del servicio puede tener acceso a ellos, e incluso se abordan temas como el anonimato en las transacciones.

Hay otro aspecto fundamental de la seguridad que no suele ser objeto de las discusiones bizantinas sobre la nueva generación de servicios en la nube: la autenticación. Es un tema muy trillado en seguridad, y que de momento se suele salvar en los servicios generales basados en cloud computing con el mecanismo más básico: usuario y contraseña de toda la vida.

El acudir a este sistema tan simple de autenticación tiene cierto sentido si tenemos en cuenta que una de las ventajas del concepto de los servicios para masas basados en la nube es la posibilidad de acceder a tus datos y aplicaciones en cualquier momento, desde cualquier lugar, desde cualquier dispositivo. Tu correo, tus documentos, tu agenda, tus bases de datos… desde el puesto de trabajo, el ordenador de casa, desde el móvil en la playa, desde cualquier cosa que tenga navegador y conexión a Internet. Ello implica que el sistema de autenticación debe ser global y estándar, aplicable por cualquiera en cualquier dispositivo. No, de momento no puedes meter tu eDNI en el iPhone, y en todo caso sería sólo aplicable por los españoles que dispongan de él, no es una solución global.

En Criptonomicón, durante una demo a posibles inversores de Epiphyte Corp, la solución era:

“Yo puedo escribir el mejor software criptográfico del mundo, pero sería inútil a menos que haya un buen sistema para verificar la identidad del usuario. ¿Cómo sabe el ordenador que tú eres tú? Las claves son muy fáciles de averiguar, robar u olvidar. El ordenador debe saber algo sobre ti que sea tan único como las huellas digitales. Básicamente debe mirar alguna parte de tu cuerpo, como por ejemplo la disposición de vasos sanguíneos en la retina o el sonido distintivo de tu voz, y compararlo con los valores almacenados en su memoria. Ese tipo de tecnología se llama biométrica. Epiphyte Corp. dispone de uno de los más importantes expertos en biométrica del mundo: el doctor Eberhard Föhr, que escribió el que se considera el mejor programa de reconocimiento de escritura manual del mundo. Ahora mismo tenemos reconocimiento de voz, pero el código es totalmente modular, así que lo podríamos cambiar por otro sistema, como un lector de la geometría de la mano. El cliente puede elegir.”

Tal vez en el futuro veamos un despliegue masivo de soluciones biométricas como factor de autenticación complementario al usuario y contraseña, ya es usual ver lectores de huellas en algunos ordenadores portátiles, y también se están produciendo movimientos más que interesantes en la telefonía móvil: reconocimiento de caras (vFace), del iris (OKI Iris Recognition Technology for Mobile Terminals), terminales con pantalla táctil que pueden leer las huellas (Asus M53), y diversas tecnologías de reconocimiento de voz.

Mientras tanto parece que no nos quedará más remedio que seguir con los usuarios y contraseñas en los servicios web para masas desplegados en la nube, más expuestos a sufrir ataques que en cualquier otro servicio que utilice este mecanismo de autenticación. Si alguien quiere forzar el usuario y contraseña de inicio de tu ordenador, o el pin de tu móvil, requiere acceso físico (los potenciales atacantes se reducen a las pocas personas que te rodean), si bien cualquiera puede probar a adivinar tu contraseña de correo web (el usuario es público, está en tu dirección de correo, y el servicio espera que te puedas conectar desde cualquier lugar del mundo). Eso sin hablar de la cantidad de malware especializado en robar credenciales de autenticación web.

Así que la próxima vez que accedas a tu cuenta en Gmail pregúntate quién más está viendo tu correspondencia, tal vez entonces te animes a cambiar la contraseña regularmente.  Hasta el más pintado se puede llevar un disgusto, que se lo digan a Dan Kaminsky.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3946/comentar

Bernardo Quintero

Un espectro está surgiendo en el mundo moderno, el espectro de la cripto anarquía. La informática está al borde de proporcionar la capacidad a individuos y grupos de comunicarse e interactuar entre ellos de forma totalmente anónima. Dos personas pueden intercambiar mensajes, hacer negocios y negociar contratos electrónicos, sin saber nunca el Nombre Auténtico, o la identidad legal, de la otra. Las interacciones sobre las redes serán intrazables, gracias al uso extendido de re-enrutado de paquetes encriptados en máquinas a prueba de manipulación que implementen protocolos criptográficos con garantías casi perfectas contra cualquier intento de alteración. Las reputaciones tendrán una importancia crucial, mucho más importante en los tratos que las calificaciones crediticias de hoy en día. Estos progresos alterarán completamente la naturaleza de la regulación del gobierno, la capacidad de gravar y de controlar las interacciones económicas, la capacidad de mantener la información secreta, e incluso alterarán la naturaleza de la confianza y de la reputación.

La tecnología para esta revolución (y seguramente será una revolución social y económica) ha existido en teoría durante la última década. Los métodos están basados en el cifrado de clave pública, sistemas interactivos de prueba de cero-conocimiento, y varios protocolos de software para la interacción, autenticación y verificación.  El foco hasta ahora ha estado en conferencias académicas en Europa y EE.UU., conferencias monitorizadas de cerca por la Agencia de Seguridad Nacional. Pero solo recientemente las redes de computadores y ordenadores personales han alcanzado la velocidad suficiente para hacer las ideas realizables en la práctica.  Y los próximos 10 años traerán suficiente velocidad adicional para hacer estas ideas factibles económicamente y, en esencia, imparables. Redes de alta velocidad, ISDN, tarjetas inteligentes, satélites, transmisores Ku-Band, ordenadores personales multi-MIPS, y chips de cifrado ahora en desarrollo serán algunas de las tecnologías habilitadoras.

El Estado intentará, por supuesto, retardar o detener la diseminación de esta tecnología, citando preocupaciones de seguridad nacional, el uso de esta tecnología por traficantes de drogas y evasores de impuestos y miedos de desintegración social. Cualquiera de estas preocupaciones serán válidas; la criptoanarquía permitirá la comercialización libre de secretos nacionales y la comercialización de materiales ilícitos y robados. Un mercado computerizado anónimo permitirá incluso el establecimiento de horribles mercados de asesinatos y extorsiones. Varios elementos criminales y extranjeros serán usuarios activos de la CryptoNet. Pero esto no detendrá la extensión de la cripto anarquía. La cripto anarquía, combinada con los mercados de información emergentes, creará un mercado líquido para cualquier material que pueda ponerse en palabras e imágenes. Y de la misma manera que una invención aparentemente menor como el alambre de púas hizo posible el cercado de grandes ranchos y granjas, alterando así para siempre los conceptos de tierra y los derechos de propiedad en las fronteras del Oeste, así también el descubrimiento aparentemente menor de una rama arcana de las matemáticas se convertirá en el alicate que desmantele el alambre de púas alrededor de la propiedad intelectual.

¡Álzate, no tienes nada que perder excepto tus vallas de alambres de púas!

- “The Crypto Anarchist Manifesto” (1992) de Timothy C. May.

Tenemos múltiples arquitecturas de certificación en el espacio real. La licencia de conducir es un ejemplo sencillo. Cuando la policía te para y te pide tu licencia, te están pidiendo una certificación específica de que tienes licencia para conducir. Esa certificación incluye tu nombre, tu sexo, tu edad, dónde vives. Debe incluir todos estos datos porque no hay una manera sencilla de enlazar la licencia a la persona. Debes enseñar todos estos datos sobre tu persona para certificar que, de hecho, eres el legítimo titular de la licencia.

Pero la certificación en el ciberespacio podría diseñarse de una forma mucho más restrictiva. Si un sitio requiere que solo los adultos pueden entrar, podrías, utilizando tecnologías de certificación, certificar que eres un adulto, sin revelar también quién eres o dónde estás o de dónde vienes. La tecnología podría hacer posible certificar selectivamente datos sobre tí, al mismo tiempo que retiene otros datos sobre tí. La tecnología podría operar bajo un test de “medios-menos-reveladores-posibles” en el ciberespacio, incluso aunque esto no sea posible en el espacio real.

Podría, en función de como fuese diseñada. Pero no hay necesidad de que sea desarrollada así. Existen otras arquitecturas en desarrollo – podríamos llamarlas “una-tarjeta-lo-muestra-todo“. En estas arquitecturas, no existe una forma sencilla de limitar lo que es revelado por un certificado. Si un certificado contiene tu nombre, dirección, edad, ciudadanía y que eres un abogado, y necesitas certificar que eres un abogado, entonces esta arquitectura no sólo certificaría que eres un abogado, sino también todos los otros datos acerca de tí que están contenidos en el certificado. Bajo esta arquitectura, más es mejor. Nada permite a la persona lograr menos.

La diferencia entre estos diseños es que uno permite la privacidad de una forma que el otro no. Uno codifica la privacidad en una arquitectura de identificación al dar al usuario la posibilidad de elegir de forma sencilla cuánto es revelado; el otro olvida ese valor.

- “Code is Law. On Liberty on Cyberspace” de Lawrence Lessig.

En el momento de escribir este post, la página web oficial del DNIe anuncia  9 millones. Sin embargo, lo cierto es que suelen actualizar este dato cada 1-3 meses y muchas veces aparece una cifra menor a la real.

15 millones en 2009, 20 millones en 2010 y todo el mundo en 2012

Hace algún tiempo, Mauricio Pastor, Comisario Principal/Jefe de Gestión Técnica de la Dirección General de la Policía y de la Guardia Civil, nos comentaba que, como mínimo, cada año se renuevan 6 millones de DNI (toca renovar, pérdidas, deterioro, etc). Esto sin contar a aquellas personas que se acercan a renovar su DNI antiguo antes de tiempo para poder utilizar el DNI electrónico. Nuestras estimaciones es que, a finales de 2009 se habrá alcanzado la cifra de 15 millones de DNIe emitidos.

Salvador Soriano, subdirector general de Servicios de la Sociedad de la Información Setsi, comentaba recientemente el inminente plan de difusión del DNIe que está preparando el Gobierno y añadía: “Esperamos llegar al 2010 con 20 millones y tener una cobertura casi total en 2012“.

Crece el interés

A medida que aumenta el número de DNI electrónicos emitidos, crece el interés por entender su funcionamiento y posibilidades. En Tractis lo notamos en el crecimiento progresivo de usuarios registrados, firmas realizadas, consultas recibidas, etc… pero también hay señales en otras partes de la web.

Hace poco, Red.es publicó un video donde explicaba el nuevo DNIe y como renovarlo:

Ayer, Javier Penalba de Xataka escribió un post sobre “Cómo usar el DNI electrónico” que ha recibido bastantes votos en Meneame y lo acompañó de un videoanálisis/tutorial explicando muy bien los primeros pasos a usuarios nóveles (cómo conseguir un lector, instalar los drivers, etc):

Hoy José M. Cestero de Tecnología Pyme publica un excelente artículo introductorio a Tractis.

Hasta en Twitter, poco a poco, se empieza a hablar del DNIe.

¿Serán estas las primeras señales de que la cosa se anima o aún falta mucho para el despegue del DNIe?.

Un tour de la nueva Ayuda

Visualmente, hemos hecho algunos cambios para que sea más fácil encontrar la Ayuda cuando la necesitas. Aparte del habitual enlace a pie de página, encontrarás otro en el menú principal. Además hemos aplicado a la sección de Ayuda una combinación de colores azules que la distinguen claramente del resto de la aplicación.

Externamente, la nueva sección de Ayuda sustituye a la antigua página-listado y supera muchas de sus limitaciones:

• Una pregunta. Un enlace: Muchos nos habeis comentado que, para contratar online, primero hay que vencer el desconocimiento y las reticencias iniciales de la otra parte. En concreto queríais que fuese posible enviar a la otra parte enlaces con la información concreta que le preocupa (p.ej: qué es la firma electrónica, qué validez legal tiene, qué  certificados electrónicos aceptamos, etc) y no toda la página-listado donde la otra parte se iba a marear con información sin saber muy bien que leer y que no. Pues bien, ahora ya es posible. Cada pregunta ya tiene su propia página y dirección web.
• Categorías y subcategorías: Además las preguntas están agrupadas por categorías y subcategorías, con lo que puedes hacer referencia a bloques de información más o menos extensos. Por ejemplo, desde la categoría “Información general sobre Tractis“, pasando por la subcategoría “Seguridad tecnológica en Tractis“, hasta llegar a algo tan concreto como “Seguridad en la preservación de contratos“.
• Ayuda para principiantes: Si eres nuevo en Tractis, puedes pulsar el botón “Primeros Pasos” (claramente visible en la portada de la Ayuda) y accederas a un listado de artículos sencillos dirigidos especialmente a principiantes: ¿Qué es Tractis?, ¿Cuanto cuesta?, ¿Cómo puedo publicar una plantilla en la librería pública?, etc.
• Solución de problemas: Si ya eres usuario de Tractis y surgen problemas, te atascas en algún momento del proceso de contratación o tienes problemas para firmar, puedes pulsar el botón “Solucionador de problemas” (también claramente visible en la portada de la Ayuda de Tractis) y accederás a un lista de preguntas con soluciones a los problemas más comunes.
• Navegacion y búsqueda: Si te pierdes consultando la Ayuda, podrás averiguar rápidamente donde te encuentras, mirando el “breadcrumb” (“rastro de migas”) que hay al inicio de cada página. Así podrás volver al inicio o a una categoría/subcategoría intermedia. De la misma forma, puedes utilizar la caja de búsqueda para encontrar todas las preguntas relacionadas con un tema.

Internamente, la nueva sección de Ayuda utiliza, al igual que este blog, un WordPress personalizado con varios plugins. WordPress nos proporciona múltiples funcionalidades y opciones para documentar Tractis: ordenación de categorías, traducción de la Ayuda a distintos idiomas, control de cambios, etc.

Tenemos grandes planes para mejorar el soporte en Tractis

Este lanzamiento marca punto de inflexión. Por un lado, es el fin de un ciclo de desarrollo en el que nos hemos dedicado a solucionar las 3 peticiones más demandadas por nuestros usuarios: Mejoras en la configuración de permisos, Mejoras en el editor de contratos y Mejoras en la ayuda. Por otro lado, es el comienzo de una nueva etapa en la que vamos a dedicar la mayor parte de nuestros esfuerzos a ayudar a utilizar Tractis.

Aunque por el momento veais que la nueva Ayuda tiene poco contenido, este irá aumentando rápidamente durante los próximos semanas, con incorporaciones prácticamente diarias. Ahora mismo, hay un poco de todo, preguntas breves y otras bastante largas. Estamos migrando todas las preguntas de la antigua página-listado así como otras páginas separadas (certificados aceptados, Tractis Score, legislación internacional, documentación de la API…). El objetivo es que TODA la información esté accesible desde un ÚNICO sitio.

El siguiente paso será incorporar contenido y herramientas nuevas: muchas más preguntas y secciones, videotutoriales, ayuda contextual dentro de la aplicación, foros donde los usuarios puedan solucionar dudas o sugerir mejoras, casos de uso de Tractis, ejemplos de implementación, código y librerías gratuítas, apertura de la API, etc.

Tu feedback siempre es bienvenido pero ahora, en esta nueva etapa, es un momento especialmente bueno para darlo. Solo tienes que pulsar el botón de “Feedback” en la portada de la Ayuda y decirnos qué información echas a faltar y cómo podemos ponertelo fácil para que puedas utilizar Tractis con tus clientes, proveedores, empleados y partners.

WYSIWYG vs WYSIWYM

Tractis permite editar contratos online, directamente en el navegador web y de forma colaborativa con el resto de participantes.  La edición de texto online es clave para alcanzar la read/write web que imaginó Tim Berners-Lee. Durante los últimos años se ha avanzado bastante pero sigue sin ser un tema resuelto en internet. La edición de contratos es una de las áreas, junto con la configuración de permisos y la Ayuda -seguimos en ello-, donde más emails y peticiones nos habeis envíado.

Un comentario recurrente suele ser “El editor de Tractis no permite cambiar el estilo del texto (tipo de fuente, tamaño, etc)” y “¿Por qué no utilizais TinyMCE Editor o el ‘editor X’?“. Nuestra respuesta es que ese tipo de funcionalidades y editores corresponden a un enfoque de edición de texto WYSIWYG o “What You See Is What You Get” (lo que ves es lo que consigues) mientras que en Tractis apostamos por un enfoque de edición de texto WYSIWYM o “What You See Is What You Mean” (lo que ves es lo que quieres decir).

Microsoft Word nos ha (mal)acostumbrado a los editores WYSIWYG, es decir, a que el aspecto del documento en pantalla tenga que ser prácticamente igual al del documento una vez impreso. El problema de este enfoque es que la mayoría empleamos más tiempo jugueteando con el tipo de letra o el indentado de un párrafo que en producir contenido de calidad. El resultado es una productividad nefasta y gente que sigue pensando en términos de “papel” en vez de en “web”. Por el contrario, un editor WYSIWYM se olvida de la apariencia y obliga al usuario a concentrarse en el contenido y su estructura (p.ej: “Esto es un título 1“, “Esto es un título 2“, “Esto es un párrafo“, etc).

No nos malinterpreteis: WYSIWYM no está reñido en absoluto con la creación de preciosos documentos donde se cuida hasta el último detalle visual. La apariencia de tus contratos es muy importante y proyecta una imagen positiva o negativa de tí a la otra parte. Solo decimos que la creación y negociación de un contrato no es el momento apropiado de preocuparse por el estilo.

Las principales ventajas de este enfoque WYSYWYM en Tractis son:

1. Al evitar distracciones de estilos durante el proceso de creación de texto, logramos una forma más productiva y eficiente de crear y negociar contratos.
2. En el futuro, la separación absoluta de presentación y contenido nos permitirá ofrecer numerosas plantillas de estilos de diseño profesional que podrás aplicar a tus contratos. Podrás reutilizar plantillas de estilos de terceros en la librería pública de Tractis, probar distintos estilos en tus contratos con un solo clic o actualizar tu documentación corporativa en segundos (piensa en como CSS Zen Garden aplica distintos estilos CSS al mismo contenido).

Nuestra apuesta actual: editor semántico y código abierto

Existen mutitud de editores y opciones a considerar, ¿WYSIWYG o WYSIWYM?, ¿gratuíto o de pago?, ¿desarrollo propio o de terceros?, ¿de código abierto o propietario?, ¿javascript o flash?… Desde el principio decidimos no utilizar editores de pago ni lenguajes de programación cerrados (flash). Un breve repaso a la historia de Tractis muestra que hemos probado casi todas las combinaciones restantes y experimentado las ventajas y desventajas de cada una. Esta es la cronología:

1. 2006: WYSIWYG + desarrollo propio + código propietario: Durante gran parte de la Beta de Tractis, utilizamos un editor WYSWYG desarrollado íntegramente por nosotros. Tuvimos multitud de problemas de compatibilidad entre navegadores y el editor se volvía lento e inestable con documentos grandes. Nunca liberamos el código.
2. Sept 2006: WYSIWYG + desarrollo de terceros + código abierto: Cambiamos a Dojo Editor, un editor compatible con la mayoría de navegadores cuyo desarrollo estaba liderado por el equipo de Jotspot, entre otros. Dojo es un gran editor pero, en Julio 2007, decidimos apostar por un enfoque WYSIWYM.
3. Julio 2007: WYSIWYM + desarrollo propio + código abierto: Desarrollamos internamente “Protomean”, un editor WYSIWYM sencillo y mantenible, basado en Prototype y que reaprovechaba las mejores ideas de varios editores. El desarrollo corrió a cargo de Choan Gálvez, colaborador de Negonation. Tras su puesta en producción, liberamos el código. Protomean ha resultado ser un gran editor (Choan recibió un Premio Glider por él) pero, concentrados como estamos con Tractis, nunca lo promocionamos debidamente y el mantenimiento del código, corrección de bugs y compatibilidad con Safari probó ser una tarea demasiado ardua para un proyecto de una sola empresa.
4. Agosto 2008: WYSIWYM + desarrollo de terceros + código abierto: Hoy anunciamos la migración a WymEditor como motor de edición de contratos en Tractis. A pesar de su corta edad, WymEditor es el primer editor web WYSIWYM y un paso en la dirección adecuada. WymEditor está realmente bien estructurado y es altamente parametrizable. Hemos podido añadir todas las modificaciones que necesitabamos sin tener que cambiar ni una sola linea del codigo del editor. Además, incluye un parser de xhtml que se encarga de sanitizar el código mientras escribes. Todo esto se traduce en un editor más sólido (sobre todo en el manejo de las listas) y en compatibilidad con mayor número de navegadores (¡ya es posible editar contratos en Safari!).

Si el pasado sirve para predecir el futuro, todo apunta que este no es el final del camino, solo una iteración más. Quedan algunos bugs menores por pulir y tenemos planeadas muchas mejoras más (más botones en la barra de edición para eliminar scrolls innecesarios, “Guardar” con ajax y sin recarga de página, Autosaving, permalinks a nivel de párrafos, etc).

Para terminar, queremos aprovechar para agradeceros todo el feedback que nos estais envíando para mejorar Tractis. Que no decaiga.

1. Tarjetas inteligentes emitidas por gobiernos para identificar a sus ciudadanos (”Electronic IDentification Cards” o “e-IDs”).
2. Tarjetas inteligentes emitidas por bancos para sustituir a las tarjetas de banda magnética (”EMVs”).

Este tercer post se centra en describir el segundo caso. Hemos analizado la situación en 31 países europeos (EU-27 más Liechtenstein, Islandia, Noruega y Suiza). Esto es lo que hemos encontrado:

En 2010, todas las tarjetas bancarias europeas , unos 590 millones, serán tarjetas bancarias en tarjeta inteligente (EMV) con capacidad de autenticación fuerte y firma electrónica reconocida.

Si no nos crees, sigue leyendo:

Bancos europeos que planean lanzar Tarjetas inteligentes EMV

Respuesta corta: Todos.

En el año 2000 la Comisión Europea decidió que, para fomentar la innovación (Agenda de Lisboa), el mercado único debía hacer más fácil mover dinero en la UE . En concreto decidió que los pagos trans-fronterizos no deberían costar más que los pagos domésticos. En otras palabras, que puedas utilizar tu tarjeta del banco en otro país de la Unión Europea y que no te cobren más comisiones por sacar dinero que las que te cobran en tu país. A esta iniciativa se le llamó “Zona Única de Pagos en Euros” o “Single Euro Payments Area” o, para abreviar, “SEPA“. La zona “SEPA” afecta a 31 países europeos (EU-27 más Liechtenstein, Islandia, Noruega y Suiza).

Para lograr hacer realidad la “SEPA” era necesario que todos los bancos de la UE acordasen e implementasen un mismo estándar y procedimientos para asegurar la interoperabilidad en el punto de aceptación de tarjetas. O, lo que es lo mismo, que un cajero en Austria fuese capaz de aceptar y entender una tarjeta emitida por un banco italiano. Dicho y hecho: el estándar fué desarrollado por Europay, Mastercard y Visa y lo llamaron “EMV” (las iniciales de las tres compañías). EMV hará posible que no existan diferencias entre pagos nacionales y transfonterizos en Europa. EMV hará realidad la SEPA, pagos más baratos y rápidos al transferir dinero de un país de la eurozona a otro.

Ahora bien, el estándar EMV está basado en “tarjetas inteligentes con chip microprocesador” (sí, esas que dan título a esta serie de posts) y ese chip microprocesador es capaz de almacenar, no solo aplicaciones financieras (EMV), sino también otro tipo de aplicaciones como autenticación fuerte y firma electrónica. Como ves, las tarjetas inteligentes EMV son (o podrían llegar a ser) similares en funcionalidad a las tarjetas inteligentes eID. La única diferencia es que son emitidas por un banco en lugar de un gobierno.

Fases del despliegue EMV en Europa

Los bancos de estos 31 países están obligados por la SEPA a migrar todo su parque de tarjetas bancarias de banda magnética a tarjetas inteligentes EMV. Tienen de plazo desde Enero de 2008 hasta 31 de Diciembre de 2010. El plazo ya ha empezado.

Los expertos consideran que la mayoría de estos países ya habrán completado la migración a EMV en 2009, un año antes del a fecha límite:

• 2006: Reino Unido ya ha completado el 90-100%. Francia el 50-90%. Resto el 10-50%.
• 2007: Reino Unido y Francia habrán completado el 90-100%. Resto el 50% al 90%.
• 2008: Todos habrán completado el 90-100%, excepto Alemania que estará en 50-90%.
• 2009: Todos habrán completado el 90-100% de la migración a EMV.

Conclusiones

Si vives en Europa, pronto tendrás una tarjeta inteligente EMV en el bolsillo.

Europa ha sido el líder indiscutido a nivel mundial en despliegue de EMV (ya desde 2002, ver diapositivas 3 y 5). Europa concentra más del 50% del total de tarjetas inteligentes del mundo (de los 590 millones de tarjetas inteligentes a nivel mundial, 300 millones están en Europa). Europa tiene más tarjetas inteligentes que tarjetas con banda magnética (de los 587 millones de tarjetas bancarias que hay en Europa, 300 millones son tarjetas inteligentes). La obligación impuesta por la SEPA a los bancos asegura que Europa acentuará aún más ese liderazgo.

No estamos diciendo que todas las tarjetas EMV serán capaces de realizar “firma electrónica reconocida” (como la mayoría de las eID). Solo decimos que, (1) si los bancos quieren, la tecnología está ahí lista y preparada y (2) que muchos planean hacerlo. En nuestras conversaciones con los principales emisores de tarjetas en España, la mayoría tiene planes para incorporar certificados de firma en los chips. El objetivo es que el cliente se identifique y firme online con una tarjeta con el look&feel del banco. Una vez comiencen los anuncios, es difícil imaginar que el resto de los bancos se queden sin ofrecer la misma funcionalidad.

EMV en el mundo

Europa no está sola: Los bancos de varios países están migrando sus tarjetas de banda magnética a tarjetas inteligentes EMV (Turquía, Brasil, Taiwan, Japón, Malasia, etc).

A finales de 2006, había un parque mundial de 3 billones de tarjetas de pago bancarias en circulación. De estas, entre 515 (Fuente: GIA Cartes Bancaires) y 590 millones (Fuente: Deutsche Bank) son tarjetas inteligentes microprocesador:

• Europa: 300 millones de tarjetas inteligentes.
• Asia/Pacífico: 150 millones de tarjetas inteligentes.
• Surámerica: 140 millones de tarjetas inteligentes.
• EE.UU: No tiene tarjetas EMV y, al igual que con e-ID, son reticentes a su implantación.

Dados los beneficios de las tarjetas inteligentes, se espera que los bancos a nivel mundial se actualicen desde banda magnética a tarjetas inteligentes. El potencial de crecimiento en este sector reside en las perspectivas de migración de 2,5 billones de tarjetas aún con banda magnética. Deutsche Bank estima un crecimiento de 18% CAGR de tarjetas inteligentes en el sector de pagos de 2006 a 2010. En 2006 se vendieron 430 millones de tarjetas inteligentes, una penetración del 12%, con Francia y Alemania a la cabeza. En 2007, se esperaban 544 millones en (34% de las cuales atribuíbles solo a migración a EMV). En 2010 se esperan unas ventas de 600 millones de tarjetas inteligentes por año y un 26% de penetración.

En 2010, Europa, Asia y Latinoamérica tendrán 830 millones de tarjetas inteligentes EMV

¿Algo está cambiando, no?.

Próximo post (y último de la serie): “Tarjetas inteligentes en Europa: Conclusiones”.

1. Tarjetas inteligentes emitidas por gobiernos para identificar a sus ciudadanos (“Electronic IDentification Cards” o “e-IDs”).
2. Tarjetas inteligentes emitidas por bancos para sustituir a las tarjetas de banda magnética (“EMVs”).

Este post se centra en describir el primer caso. Hemos analizado la situación de e-ID en 32 países europeos que representan 565 millones de personas (Fuente: Eurostat). Esto es lo que hemos encontrado:

En 2010, 437 millones de personas, el 82% de la población europea, vivirá en una país con documento de identificación en tarjeta inteligente (e-ID) con capacidad de autenticación fuerte y firma electrónica reconocida.

Si no nos crees, sigue leyendo:

Paises en Europa que ya disponen de e-ID

Son 10 países que representan 153 millones de habitantes (27% de la población europea):

1. España (44.474.600): España inició el despliegue del “DNI electrónico” (DNIe) en Marzo de 2006. Hoy, en Marzo de 2008, ya hay más 3.000.000 de DNIe emitidos y se emite en todas las comisarías de España. Las estimaciones oficiales son 6,5 millones en Diciembre 2008 (aunque probablemente se alcancen los 9 millones) y 18 millones en Diciembre 2009. Además del DNIe, en España hay 14 Autoridades de Certificación comerciales (abogados, notarios, registradores, comunidades autónomas, bancos, etc.).
2. Italia (58.751.711): Tras completar dos fases experimentales en 2003 y 2004, Italia está desplegando la “Carta d’identitá elettronica” (CIE). En Octubre de 2005 había 2 millones de CIEs emitidas. El objetivo es sustituir 40 millones de documentos ID para 2011 a un ritmo de 8 millones de e-ID por año. Además de la CIE, Italia dispone de 19 Autoridades de Certificación comerciales.
3. Portugal (10.569.600): Tras un despliegue inicial en Febrero de 2007, Portugal se prepara para el roll-out en 2008 y estima 2 millones de “Cartão de Cidadão” por año. En Julio de 2008 ya debería emitirse en todo el país. Además, Portugal dispone de una Autoridad de Certificación comercial.
4. Bélgica (10.511.400): Bélgica comenzó el despliegue de su “eID” en Septiembre de 2004. Actualmente han emitido 6.500.000 eIDs y planean llegar a 8.000.000 en Diciembre de 2009. Además, Bélgica dispone de dos Autoridades de Certificación comerciales. El gobierno belga emite también eIDs a menores y extranjeros.
5. Suecia (9.047.800): Suecia inició el despliegue de “nationellt identitetskort” en Octubre de 2005. En la actualidad hay unos 3.000.000 de eIDs (casi todos en formato software). El caso de Suecia es especial en que las eIDs no son emitidas por el gobierno sino por empresas autorizadas (bancos, integradoras, etc.).
6. Austria (8.265.900): El roll-out comenzó en el 2000 y ya ha terminado. Actualmente hay 8.000.000 de “Bürgerkarte” (tarjeta del ciudadano). La originalidad en este caso reside que en Austria no hay un único tipo de eID, sino que el eID se puede almacenar en tarjetas del gobierno, de bancos o tarjetas SIM.
7. Finlandia (5.255.580): Al igual que en Austria, la eID finlandesa o “FINEID” se puede almacenar en tarjetas inteligentes, tarjetas de banco o tarjetas SIM. Se lanzó en 1.999 pero solo a partir de 2004 incluye firma electrónica. El gobierno esperaba haber emitido unas 135.000 FINEIDs a finales de 2007. Los ciudadanos que así lo deseen pueden incluir la información de su seguro sanitario en su FINEID.
8. Estonia (1.344.700): Probablemente se trata del país europeo más avanzado en el uso de firma electrónica entre la población. El despliegue de la “ID-Card” comenzó en Enero de 2002 y hoy más de 1.000.000 de ciudadanos (casi el 90% de la población) la tienen y utilizan. El gobierno estonio está trabajando en la creación de Mobile-ID para incluir el certificado también en dispositivos móviles.
9. Noruega (4.770.000): Las principales Autoridades de Certificación comerciales en Noruega son “Telenor” y los bancos. Los noruegos pueden conseguir su eID en las oficinas de lotería, seguridad social y los bancos. Las CA encargadas de emitir los certificados son ZebSign y BankID.
10. Islandia (307.700): El gobierno de Islandia ha llegado a un acuerdo con los bancos para que sus eIDs estén incluídas en todas las tarjetas de débito a finales de 2007.

Países en Europa que planean lanzar e-ID en 2008

Son 8 países que representan 184 millones de habitantes (32% de la población europea):

1. Alemania (82.438.000): Alemania ha declarado en varias ocasiones que desplegará su “Digital IDCard” en 2008, el cual incluirá la posibilidad de utilizar pseudónimos online. Además Alemania dispone de 8 Autoridades de Certificación comerciales.
2. Francia (62.518.600): Tras varios retrasos con el fin de incorporar el feedback de la ciudadanía, Francia ha declarado su intención de poner su “Identité Nationale Electronique Sécurisée” (INES) en circulación en 2008. El plan es incluir firma electrónica aunque puede que la primera generación de tarjetas no la incluya. Además Francia tiene 11 Autoridades de Certificación comerciales.
3. Holanda (16.357.992): El servicio “DigiD” holandés incluye varios niveles de seguridad: bajo (usuario & contraseña), medio (autenticación-sms), alto (PKI en tarjeta). Por ahora, 6 millones de ciudadanos utilizan “DigiID bajo” para autenticación y 2 millones utilizan “DigiID medio”. El “DigiID alto” se denomina “eNIK” y puede ser introducido en 2008. Además Holanda dispone de 4 Autoridades de Certificación comerciales.
4. Hungría (10.076.600): Requerimientos y especificaciones para el desarrollo de la eID húngara (HUNEID) y su implementación prototipo fueron publicados a finales de 2004. Se espera su introducción en Enero de 2008.
5. Bulgaria (7.679.200): Tras el optimista anuncio por parte del gobierno de que la emisión de eIDs comenzaría en 2007, se espera que finalmente se inicie en 2008. El gobierno búlgaro además es propietario de 1 Autoridad de Certificación comercial que puede emitir certificados electrónicos a los ciudadanos.
6. Latvia (2.291.000): Tras la regulación de eIDs de ciudadanos por parte del Consejo de Ministros, se espera su introducción en 2008. Latvia dispone además de 1 Autoridad de Certificación comercial.
7. Eslovenia (2.003.400): El proyecto esloveno de eID se lanzó oficialmente en Febrero de 2003 pero luego fué suspendido. Sin embargo, se espera el nuevo despliegue en 2007-2008. Eslovenia tiene 4 Autoridades de Certificación comerciales.
8. Malta (404.346): Malta está desplegando identidad electrónica siguiendo un enfoque en 4 fases. En 2007 inició la tercera fase y solo falta la cuarta que incluye la emisión de eIDs. Todo apunta a que podría ser en 2008).

Países que planean lanzar e-ID después de 2008

Son 7 países que representan 134 millones de habitantes (23% de la población europea):

1. Reino Unido (60.393.100): El Programa de Identidad Nacional está actualmente en desarrollo por el Identity and Passport Service (IPS) agency. Su objetivo principal es la introducción de eID en UK. Ya ha iniciado la compra de tarjetas eID y habrá seleccionado a los adjudicatarios en Mayo 2008. Se espera la emisión de las primeras eIDs a ciudadanos británicos en 2009 o 2010. Además, el Reino Unido cuenta con 4 Autoridades de Certificación comerciales.
2. Irlanda (4.209.000): En Junio de 2004 el gobierno irlandés estableció el marco para las “Public Service Cards” (PSC) que serán utilizadas para autenticación e identificación electrónica. Siguiendo el ejemplo de Portugal, las PSC incluirán varias funciones (servicios sociales, tarjeta médica, etc.).
3. Polonia (38.518.241): Polonia está estudiando la posibilidad de una tarjeta eID denomindada “Multifunctional Personal Document” (MPD) que sustituya varios documentos de identificación. Polonia es consciente de la necesidad de una eID y duda entre establecer una nueva CA gubernamental que emita los MPD o delegar está función en CAs comerciales. Aún se requieren cambios legislativos e integrar distintos registros. Se prevee la “pl.ID” en 2008-2013. Polonia tiene 4 Autoridades de Certificación comerciales.
4. Rumanía (21.610.200): Rumanía ha empezado a trabajar en eIDs y pasaportes biométricos y ya ha lanzado una subasta internacional para la adjudicación de estos proyectos. Rumanía tiene 5 Autoridades de Certificación comerciales.
5. Eslovaquia (5.389.100): El gobierno tiene planes de introducir un eID (llamado “BIFO”) y pasaportes. Eslovaquia tiene 9 Autoridades de Certificación comerciales y, desde Marzo 2007, los ciudadanos eslovacos con certificado disponen de 1.000 “Contact Points” desde donde firmar electrónicamente.
6. Lituania (3.403.300): Aún no se han emitido eIDs pero el gobierno lo considera una prioridad. Las eID serán multifuncionales (gobierno, sanidad, programas de fidelización, tickets, etc) y se estima que podrían aparecer en 2009-2010. Lituania solo dispone de 1 Autoridad de Certificación comercial. Con objeto de difundir la firma electrónica, el gobierno entregará 300.000 certificados a ciudadanos de forma totalmente gratuíta y antes de 2009.
7. Chipre (766.414): El gobierno de Chipre ha manifestado su intención de emitir eIDs pero no ha suministrado mucha más información al respecto.

Paises que no tienen planes de e-ID pero que diponen de Autoridades de Certificación comerciales

Son 3 países que representan 83 millones de habitantes (14% de la población europea):

1. Turquía (72.500.000): Turquía tiene 3 Autoridades de Certificación comerciales.
2. República Checa (10.251.790): La República Checa tiene 3 Autoridades de Certificación comerciales.
3. Luxemburgo (480.222): Luxemburgo tiene 1 Autoridades de Certificación comercial.

Países que no tienen planes de e-ID ni Autoridades de Certificación comerciales

Son 4 países que representan 21 millones de habitantes (4% de la población europea):

1. Grecia (11.125.200): El gobierno griego tiene planes de crear 5 Autoridades de Certificación gubernamentales.
2. Dinamarca (5.427.400).
3. Croacia (4.442.803).
4. Liechtenstein (34.905).

Conclusiones

En Europa, en términos de población:

• 27% ya vive en un país con e-ID (despliegue en distintas fases de avance).
• 32% vive en un país que planea lanzar e-ID en 2008.
• 23% vive en un país que planea lanzar e-ID tras 2008.
• 14% vive en un país que no tiene planes de e-ID pero si dispone de Autoridades de Certificación comerciales.
• 4% vive en un país que no tiene planes de e-ID ni CAs comerciales.

eID en el mundo

Europa no está sola: Varios países están emitiendo e-ID nacionales en forma de tarjetas inteligentes (China, Qatar, Marruecos, Tailandia, Hong-Kong, Oman, etc), planean hacerlo en breve (Argentina, Perú, Brasil, México, etc) o están valorando la posibilidad (EE.UU., Rusia, etc). Aunque “eID” es un segmento pequeño, todos los expertos coinciden en que tiene las perspectivas de crecimientos más fuertes (21% CAGR) y que su crecimiento será dramático en los próximos años. Este mercado es el más grande de todas las nuevas aplicaciones emergentes de tarjetas inteligentes porque el número de tarjetas ID (1 de cada 2 personas en el mundo tiene ID, es decir, 3 billones de ID en circulación) está muy por encima del número de pasaportes (1 de cada 10 personas), transporte (1 de cada 3) y licencias de conducir. Según el “Deutsche Bank Smart Cards report 2007″, las tarjetas inteligente en la categoría “Otros: Gobierno ID, Pasaporte, Sanidad, Transporte” tuvieron un 7% de penetración en en 2006 a nivel mundial, se espera una media de 400 millones de estas tarjetas por año y un 17% de penetración en 2010. Si se cumplen estas previsiones:

En 2015, el 84% de las personas con ID tendrá un e-ID.

¿Algo está cambiando, no?.

Próximo post: “Tarjetas inteligentes en Europa: Avalancha de EMV”.

Hoy iniciamos una serie de posts titulada “Tarjetas inteligentes en Europa”.

Nuestra intención es describir la avalancha de tarjetas que se avecina en Europa en los próximos 5 años, alertar de la magnitud de un fenómeno que promete/amenaza con transformar literalmente la forma en que hacemos comercio electrónico y proponer una estrategia realista para evitar que este cambio corrompa el internet que todos amamos.

¿Qué es una tarjeta inteligente?

Una “tarjeta inteligente” (en inglés, “SmartCard”) es una tarjeta, similar a una tarjeta de crédito, que incluye un chip/miniordenador capaz de ejecutar distintos tipos de aplicaciones, entre ellas “autenticación” y “firma electrónica”.

Esta es una tarjeta inteligente emitida por el gobierno portugués:

Esta es una tarjeta inteligente emitida por un banco belga:

Esta es una tarjeta inteligente emitida por una telco alemana:

La idea principal: Un montón de organismos distintos en un montón de países están emitiendo un montón de tarjetas inteligentes.

Hay 2 tipos de tarjetas inteligentes, dependiendo del tipo de chip:

• Tarjeta inteligente con chip de memoria: Más baratas. Contienen solo memoria no volátil, realizan una sola función y no procesan datos. No son capaces de realizar firma electrónica. Su uso predomina en tarjetas de Transporte, PayTV, Seguridad corporativa, Prepago teléfono, Fidelización, etc. Las tarjetas memoria se están haciendo obsoletas. Representa el 4% del valor del mercado y su demanda sigue creciendo pero solo a un dígito.
• Tarjeta inteligente con chip microprocesador: Más caras. Son una especie de mini-ordenador que incluye procesador, memoria y sistema operativo dentro del chip. Pueden ser uni-aplicación o multi-aplicación, en cuyo caso, el microprocesador es capaz de ejecutar distintas aplicaciones, incluída la autenticación y la firma electrónica. Su uso predomina en tarjetas del gobierno (“e-IDs”), banca (“EMV”), telco (“SIM”), sanidad, etc. Las tarjetas microprocesador representan el futuro de las tarjetas inteligentes. Son aplicables a un amplio conjunto de sectores, la mayor parte de los cuales están en las primeras fases de desarrollo. Representan 96% del valor de mercado y su demanda sigue aumentando.

¿Por qué debería importarme?

Porque una tarjeta inteligente con chip microprocesador puede permitir autenticación fuerte (verificación de identidad) y firma electrónica. Ambas (autenticación y firma) son herramientas extremadamente poderosas y pronto serán ubícuas. El despliegue masivo de tarjetas inteligentes con autenticación y firma electrónica tienen el potencial para cambiar la forma en que interactuamos en internet, hacemos comercio electrónico o nos enfrentamos al anonimato y la privacidad online.

Aún hay más. Europa, tanto por tecnología como por legislación, es el epicentro del tsunami:

1. Tecnología: Europa es el lugar que concentra y concentrará el mayor número de “tarjetas inteligentes capaces de firma electrónica” del mundo. No es que Europa ya posea más del 50% de tarjetas inteligentes del mundo (300 millones, según el “Deutsche Bank Smart Cards report 2007″) sino que, además, como demostraremos en esta serie de posts, está a punto de recibir 1.000 millones de tarjetas inteligentes con chip microprocesador provenientes de gobiernos y bancos.
2. Legislación: La Directiva europea 1999/93/CE de firma electrónica denomina “firma electrónica cualificada” a la firma electrónica más avanzada posible y le atribuye la misma eficacia que la firma manuscrita. Para que una firma electrónica tenga el status de “cualificada” debe ser generada por un “Dispositivo Seguro de Creación de Firma” como por ejemplo (sí, lo has adivinado) el chip de una tarjeta inteligente. Y sí, has oído bien: “misma eficacia que la firma manuscrita“. Así las cosas, las discusiones sobre si la tecnología utilizada es segura son irrelevantes. La ley, por defecto, presume que lo es. Si una de las partes denuncia la firma, le corresponde a esa parte la carga de la prueba, es decir, demostrar que la tecnología y procesos utilizados en esa firma electrónica cualificada en concreto no fueron seguros. (pssst, dejadme que os ahorre el suspense: nadie lo va a hacer). Una tecnología bendecida por la ley. Jaque mate. Fin de la discusión. Hemos estudiado 30 países (EU-27 más Croacia, Turquía y Liechtenstein) y todos han implantado la Directiva. En resumen, Europa disfruta de una legislación uniforme de “firma electrónica cualificada” que equipara firma electrónica a firma manuscrita.

El despliegue masivo de tarjetas inteligentes con firma electrónica respaldada por ley promete grandes beneficios (relaciones más ágiles con la administración, comercio electrónico seguro, menores comisiones bancarias…) pero también serias implicaciones en tus derechos y libertades como ciudadano y consumidor. Sorprendentemente, ya sea por desconocimiento, incredulidad o ceguera voluntaria, este tema no está recibiendo la atención que merece por parte de la comunidad internet.

Todos sabemos lo que pasa cuando te niegas tomar una decisión; la realidad decide por tí.

¿Por qué nadie habla de esto?

Hay tres razones:

1. Nos guste o no, la “conciencia” de internet, los A-list bloggers, los principales pensadores y analistas de la red están en EE.UU. Nos guste o no, los europeos solemos hacernos eco de los movimientos, iniciativas y debates que se generan en EE.UU y allí no conocen, no entienden o no les interesa lo que pasa en Europa.
2. La mayoría de europeos piensa que esto no es nada nuevo. Las tarjetas inteligentes llevan dando vueltas muchos años y no ha pasado nada. No se dan cuenta de que se refieren a tarjetas “con chip de memoria”, no a tarjetas “con chip microprocesador”. Por fuera parecen lo mismo, por dentro no lo son.
3. Mucha gente duda que la “firma electrónica” vaya a ser un éxito de adopción. La firma electrónica y las infraestructuras de clave pública (PKI) llevan dando vueltas muchos años y no ha pasado nada. No se dan cuenta de que, si no ha triunfado antes, no ha sido por un problema de tecnología, sino de negocio. Antes no había “business case“: ningún empresa estaba dispuesta a asumir el coste de emitir tarjetas con firma a sus empleados, proveedores y clientes. Ahora que los costes han caído en picado, los gobiernos europeos han decidido asumirlos y obligar a los bancos a hacer lo mismo.

Esta vez va en serio. La pelota está en nuestro tejado.

Próximo post: “Tarjetas inteligentes en Europa: Avalancha de e-ID“.

Para que la Web sea un medio realmente útil en las relaciones sociales, los usuarios deben poder confiar en terceros que hayan ganado su confianza. Mientras la tecnología no pueda garantizar la confianza, debería al menos permitir relaciones seguras con terceras partes en las que se confíe, ya sean personas, organizaciones o servicios. Uno de los objetivos a largo plazo del W3C es promover tecnologías que hagan posible un entorno más colaborativo, una Web donde la responsabilidad, la seguridad, la confianza, y la confidencialidad sean posibles, y en la que las personas participen de acuerdo con sus requisitos y preferencias de privacidad.

Ian Jacobs, Director de Comunicaciones del W3C, en “Objetivos del W3C“.