Hoy reproducimos un  artículo que apareció publicado originalmente el 13.08.2009 en “Una al día“, boletín dedicado al mundo de la seguridad informática y publicado, desde hace más de 10 años, por Hispasec Sistemas. Todo un clásico del sector.

Kudos a Bernardo Quintero, miembro de Hispasec y autor del artículo, y a José Luis Gordo Romero, por reenviarlo al resto de Negonators.

A medio camino entre la realidad actual y lo que nos puede deparar el futuro, una excelente lectura para un fin de semana de verano.

Que lo disfruten.

“Su concepto de refugio de datos es bueno pero tiene limitaciones importantes. ¿Qué pasaría si el gobierno de Filipinas corta su cable?  ¿O si el buen sultán cambia de opinión, decide nacionalizar todos sus ordenadores y leer todos los discos? Lo que se precisa no es UN refugio de datos sino una RED de refugios de datos; es más robusto, de la misma forma que Internet es más robusta que una única máquina.

Firmado El Almirante Isoroku Yamamoto”

Supongo que algunos habéis reconocido ese mensaje dirigido a randy@tombstone.epiphyte.com, uno de los personajes de Criptonomicón (1999), la célebre novela de Neal Stephenson. Otros lo habréis recordado ahora, no es que tengáis mala memoria, es que la obra es tan extensa como buena. Para los que os siga sin sonar la obra, apuntadla como pendiente si no os asusta la lectura densa, a cambio tendréis buenas dosis de humor e ironía inteligente.

Una de las tramas de Criptonomicón gira alrededor del objetivo de la empresa de Randy de montar un paraíso electrónico, similar a un servicio en Internet, donde se asegurará la privacidad y el anonimato de los datos fuera del alcance de gobiernos y terceros: la Cripta. Por descontado no aparece en la obra ninguna referencia al esnobismo de actualidad, pero es una de las muchas cosas que se me vienen a la cabeza cuando se habla de seguridad en la nube o cloud computing.

Por ejemplo, el tema que preocupaba al almirante Isokuro Yamamoto está vigente cuando se tratan aspectos del cloud computing relativos al hospedaje de los datos, su regulación y legislación aplicada dependiendo de la localización geográfica de los servidores que sustentan el servicio, así como aspectos relacionados con la integridad, disponibilidad, o recuperación en caso de desastre.

Otros de los puntos del cloud computing que suele ser motivo de discusión está relacionado con la privacidad y el anonimato, asunto que forma parte del eje central de Criptonomicón con múltiples referencias a la criptografía y que en la novela llevan a niveles de mucha mayor exigencia que en las soluciones actuales en la nube, que básicamente se preocupan en proporcionar seguridad web estándar extremo a extremo. En la Cripta tus datos viajan y se almacenan de forma cifrada, de forma que ni el proveedor del servicio puede tener acceso a ellos, e incluso se abordan temas como el anonimato en las transacciones.

Hay otro aspecto fundamental de la seguridad que no suele ser objeto de las discusiones bizantinas sobre la nueva generación de servicios en la nube: la autenticación. Es un tema muy trillado en seguridad, y que de momento se suele salvar en los servicios generales basados en cloud computing con el mecanismo más básico: usuario y contraseña de toda la vida.

El acudir a este sistema tan simple de autenticación tiene cierto sentido si tenemos en cuenta que una de las ventajas del concepto de los servicios para masas basados en la nube es la posibilidad de acceder a tus datos y aplicaciones en cualquier momento, desde cualquier lugar, desde cualquier dispositivo. Tu correo, tus documentos, tu agenda, tus bases de datos… desde el puesto de trabajo, el ordenador de casa, desde el móvil en la playa, desde cualquier cosa que tenga navegador y conexión a Internet. Ello implica que el sistema de autenticación debe ser global y estándar, aplicable por cualquiera en cualquier dispositivo. No, de momento no puedes meter tu eDNI en el iPhone, y en todo caso sería sólo aplicable por los españoles que dispongan de él, no es una solución global.

En Criptonomicón, durante una demo a posibles inversores de Epiphyte Corp, la solución era:

“Yo puedo escribir el mejor software criptográfico del mundo, pero sería inútil a menos que haya un buen sistema para verificar la identidad del usuario. ¿Cómo sabe el ordenador que tú eres tú? Las claves son muy fáciles de averiguar, robar u olvidar. El ordenador debe saber algo sobre ti que sea tan único como las huellas digitales. Básicamente debe mirar alguna parte de tu cuerpo, como por ejemplo la disposición de vasos sanguíneos en la retina o el sonido distintivo de tu voz, y compararlo con los valores almacenados en su memoria. Ese tipo de tecnología se llama biométrica. Epiphyte Corp. dispone de uno de los más importantes expertos en biométrica del mundo: el doctor Eberhard Föhr, que escribió el que se considera el mejor programa de reconocimiento de escritura manual del mundo. Ahora mismo tenemos reconocimiento de voz, pero el código es totalmente modular, así que lo podríamos cambiar por otro sistema, como un lector de la geometría de la mano. El cliente puede elegir.”

Tal vez en el futuro veamos un despliegue masivo de soluciones biométricas como factor de autenticación complementario al usuario y contraseña, ya es usual ver lectores de huellas en algunos ordenadores portátiles, y también se están produciendo movimientos más que interesantes en la telefonía móvil: reconocimiento de caras (vFace), del iris (OKI Iris Recognition Technology for Mobile Terminals), terminales con pantalla táctil que pueden leer las huellas (Asus M53), y diversas tecnologías de reconocimiento de voz.

Mientras tanto parece que no nos quedará más remedio que seguir con los usuarios y contraseñas en los servicios web para masas desplegados en la nube, más expuestos a sufrir ataques que en cualquier otro servicio que utilice este mecanismo de autenticación. Si alguien quiere forzar el usuario y contraseña de inicio de tu ordenador, o el pin de tu móvil, requiere acceso físico (los potenciales atacantes se reducen a las pocas personas que te rodean), si bien cualquiera puede probar a adivinar tu contraseña de correo web (el usuario es público, está en tu dirección de correo, y el servicio espera que te puedas conectar desde cualquier lugar del mundo). Eso sin hablar de la cantidad de malware especializado en robar credenciales de autenticación web.

Así que la próxima vez que accedas a tu cuenta en Gmail pregúntate quién más está viendo tu correspondencia, tal vez entonces te animes a cambiar la contraseña regularmente.  Hasta el más pintado se puede llevar un disgusto, que se lo digan a Dan Kaminsky.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3946/comentar

Bernardo Quintero

Los sitios de anuncios y la importancia de verificar la identidad real

Existen innumerables sitios de anuncios clasificados en el mundo. Uno a veces no se da cuenta y considera que solo hay 2 o 3. En efecto, sitios de anuncios de mucho peso, podemos contarlos con los dedos de las manos. Pero, si dejas aparte a los gigantes conocidos por todos, la realidad es que hay cientos de sitios de anuncios clasificados a lo largo y ancho de toda la red.

A diferencia de los foros o las tiendas online, los sitios de anuncios tienen dos grandes vigas que soportan todo el asunto: los anuncios y las personas.  Cuantos más anuncios tiene un sitio, más personas atrae y cuantas más personas visitan un sitio, más anuncios se publican. La demanda llama a la oferta y viceversa. Y digo “a diferencia de los foros o las tiendas online” porque, en el caso de los foros, por ejemplo, la identidad real de las personas que participan puede ser irrelevante. En el caso de las tiendas online, existen muchos compradores y un solo vendedor. Los que compran se identifican en gran medida con sus datos de facturación, de envío, etc. El que vende normalmente es solo una persona o empresa cuya identidad es posible verificar gracias a la pasarela de pago bancaria que utiliza, con lo que el problema de verificación de identidad en tiendas online se minimiza. Por el contrario, en los sitios de anuncios clasificados (como en cualquier marketplace online), existen múltiples compradores y múltiples vendedores, todos desconocidos entre sí. Aquí, la importancia de verificar la identidad real de la otra parte adquiere una nueva dimensión. Si no existe seguridad,  ya sea real o percibida, los compradores comprarán menos, los vendedores venderán menos, habrá menos incentivos a poner anuncios y a visitarlos.

Hasta ahora, “lo máximo en seguridad” son sitios de anuncios que tienen perfiles con estrellitas que te dicen que el sitio ha realizado distintas verificaciones y que puedes confiar en un vendedor. Sin embargo, este tipo de confianza también es limitada. Toda la información solicitada por el sitio web al vendedor se puede falsear o comprar (en eBay ocurre eso) y el sistema se quiebra a la mínima. Algunos piden el número del DNI en el registro, o fotocopias (sic) de DNI o pasaportes para realmente garantizar de una forma bastante cómica y fantasiosa que un anunciante es quien dice ser. Es imposible saber si esa persona es realmente Pepito González y vende relojes Rolex auténticos. Por si esto fuera poco, tener que gestionar la supuesta identidad de los usuarios con fotocopias de DNI y faxes es una pesadilla para la empresa y una molestia para el usuario tener que enviarlas. Y todo este esfuerzo de registro titánico para, al final, seguir con un sistema inseguro que no garantiza nada.

Como existen estas debilidades en el sistema, Mercadelia decidió no tener registro de usuarios ni sistemas de reputación imaginarios. Mucha gente se registra con un email (identidad), crea una reputación, defrauda, cierre la cuenta, vuelve a registrarse con otro email y el ciclo comienza de nuevo. Estos sistemas no sirven para nada, solo estorban y crean una falsa sensación de seguridad. Es por ello, que ofrecer sistemas de seguridad reales, fáciles de implementar y de gestionar como los que proporciona Tractis Identity conviene más que cualquier otra solución anticuada y espartana.

La implementación de Tractis Identity en Mercadelia

OK, asumamos que deseas implementar Tractis Identity para verificar la identidad real de tus usuarios en tu sitio de anuncios. ¿Cómo garantizar  que la implementación sea un éxito? En otras palabras, ¿cómo asegurar que la nueva funcionalidad sea valorada y utilizada por tus usuarios?. No basta con conocimientos de servidores y programación (la implementación técnica de Tractis Identity es muy fácil, podéis leer la documentación disponible en nuestra sección de ayuda), sino que hay que tomar una serie de decisiones en las áreas de diseño y usabilidad de la solución final.  Aquí , el tema es más complicado, ya que no existen fórmulas mágicas que puedan detallarse y sirvan para todos los casos. Cada sitio es un mundo y se pueden producir implementaciones de lo más variadas. Lo complicado no es implementar la tecnología sino pensar la mejor forma de que tus usuarios puedan aprovechar esta funcionalidad bien. De hecho, es el único desafío auténtico a superar.

Dado que en Mercadelia no se requiere registro, no podemos aplicar verificaciones de identidad a nivel de perfil, ya que no se guardan datos de usuarios como en eBay o Tractis, por ejemplo, por lo que lo de tener perfiles verificados fue desechado como idea. Entonces realizamos las verificaciones de identidad del anunciante a nivel de anuncio, y esto, más que nada, porque los anunciantes son más temporales de lo que os imagináis. El sistema de verificación de identidad opcional viene de perlas para verificar la identidad del que publica, siempre y cuando él/ella quiera.

Todo empieza cuando el usuario termina el proceso de publicación. Aquí podrá enterarse de las ventajas de verificar su identidad y comenzar el proceso:

Se pueden diseñar distintos incentivos para premiar a los anunciantes que verifiquen su identidad y así aumenten el nivel de seguridad de la plataforma. Mercadelia decidió destacar en sus listados los anuncios verificados con el color verde junto con el icono de Tractis.

Una vez dentro del anuncio, puede verse un distintivo que informa que el anunciante ha verificado su identidad para dar más confianza al potencial comprador.

Una vez vayan apareciendo anunciantes dispuestos a verificar su identidad, Mercadelia planea ir ofreciendo un mayor nivel de integración y más ventajas:

1. Posibilidad de filtrar en búsquedas por anuncios verificados.
2. Proceso de publicación automática de anuncios, sin necesidad de confirmaciones previas por email por parte del anunciante.

Otras posibles implementaciones

Existen más tipos de implementaciones que encajan mejor con sitios de anuncios que requieran registro o que ofrecen perfiles de usuarios. Por ejemplo:

1. Ofrecer login seguro a tu cuenta (mediante el uso de DNIe o cualquier certificado válido).
2. Ofrecer registros rápidos (sin comprobaciones previas).
3. Proceso de publicación de anuncios lineal y directo (sin moderación previa).
4. Perfiles con reputación inmodificable (para que una persona no pueda falsear su reputación creando varias identidades distintas).
5. Filtros de confianza (búsqueda solo de anuncios verificados).
6. Prioridad en resultados de búsqueda (los anuncios verificados aparecen al principio de la lista de resultados).
7. Mayor relevancia en listados (los anuncios verificados aparecen claramente destacados con recuadros, colores de fondo, tipos de letra, etc).

Estoy seguro que se me quedarán más ideas de implementación en la galera, pero ya saldrán a la luz y seguiremos ampliando el servicio para que los sitios de anuncios online, compraventa,  intercambio o actividad económica entre usuarios generen más responsabilidad de los anunciantes por lo publicado,  más seguridad jurídica en caso de que surjan disputas, mayor nivel de confianza en la plataforma y, por tanto, mayor número de compradores, vendedores y transacciones.

VASCO es una compañía líder a nivel mundial en la provisión de soluciones de autenticación. Digipass es su producto estrella. Se trata de una familia de dispositivos de pequeño tamaño que permiten autenticarse con seguridad en aplicaciones y sitios web.

La “magia” de los dispositivos Digipass reside en que son capaces de generar “contraseñas de un solo uso” (“One Time Passwords” o “OTP”). Es decir, el usuario, en vez de utilizar siempre la misma contraseña, utiliza el dispositivo OTP para que genere una contraseña distinta cada vez que quiere iniciar sesión.

Dado que las contraseñas cambian contínuamente, el riesgo de acceso no autorizado por robo de contraseña disminuye notablemente. Hemos asignado a este método de autenticación un nivel de garantía o “Tractis Score” de 2 (en comparación con el simple usuario y contraseña que tiene un Tractis Score de 1). Sin embargo, el nivel de garantía real dependerá de las medidas de seguridad adoptadas durante la identificación de la persona a la que se entrega el token y el método de entrega del dispositivo (en persona, por correo, etc).

VASCO tiene alrededor de 8.000 clientes en más de 100 países. De estos, 1.200 son instituciones financieras. Quizás te suene la Paypal Security Key, el Blizzard Authenticator para World of Warcraft o el BBVA Token Plus. En realidad, todos ellos son dispositivos VASCO Digipass.

Configuración de VASCO Digipass en Tractis

Antes de habilitar la autenticación con VASCO Digipass en Tractis, necesitas ponerte en contacto con VASCO para desplegar Digipass en tu empresa y entregar los dispositivos OTPs a tus empleados o clientes.

Una vez tengas Digipass, el administrador de tu cuenta Business en Tractis debe realizar una sencilla configuración:

1. Accede a las Preferencias de tu cuenta Business. En la sección de “Métodos de Autenticación” marca la casilla para permitir el uso de VASCO Digipass y pulsa el enlace “Subir DPX” para subir a Tractis el archivo DPX que contiene la información de los token VASCO Digipass de tu empresa.

2. Accede a la lista de Usuarios de tu cuenta Business. Al lado de cada usuario, verás que ha aparecido un enlace que dice “Asociar token de Vasco“. Púlsalo para asociar a cada usuario el token VASCO Digipass que le corresponda.

Iniciar sesión con VASCO Digipass en Tractis

Una vez el administrador haya realizado la configuración anterior, los usuarios de la cuenta Business podreis iniciar sesión en Tractis de forma fácil y segura con vuestros tokens Digipass. En la pasarela de autenticación de Tractis, selecciona la pestaña de “Digipass” e introduce tu email. Verás la siguiente pantalla:

Tractis te permite utilizar VASCO Digipass tanto en modo “solo respuesta” como en modo “reto-respuesta”. Elige el que prefieras:

• Modo “Solo respuesta” (RO): Introduce en Tractis la contraseña que genere tu dispositivo OTP.
• Modo “Reto-Respuesta” (CR): Introduce en tu dispositivo OTP el número que te indique Tractis. A partir de ese número (o “Reto”), tu dispositivo OTP generará una contraseña que deberás introducir en Tractis. Ten en cuenta que no todos los Digipass soportan este modo de funcionamiento.

Palabras finales

Tras la “Autenticación con Tractis ID” (TS1) y la “Autenticación con certificado electrónico” (TS4), la “Autenticación con VASCO Digipass” (TS2) se convierte en el tercer método de autenticación disponible en Tractis y el primero en utilizar tecnología OTP. Nuestra intención es continuar añadiendo métodos de autenticación adicionales y que cada individuo o empresa elija el método que mejor se adapte a sus necesidades.

Queremos agradecer a todo el equipo de VASCO, en especial a Eddy Cormon, Miguel Bueno y Miguel Castro, su soporte durante la integración de la tecnología VASCO Digipass y VACMAN Controller en Tractis.

Cada vez que firmas un contrato estás asumiendo un riesgo: “el riesgo de no ejecución del contrato”. En otras palabras, que la otra parte se niegue a cumplir aquello a lo que se comprometió y tú no puedas obligarla a hacer honor a su palabra.

En Internet es difícil identificar a las partes y su voluntad y, por tanto, el riesgo de no ejecución de un contrato es aún mayor que en el mundo físico. Si surge una disputa y la otra parte no quiere cumplir el contrato, basta con que alegue que ella nunca lo firmó y dejarte con la pesada carga de demostrar ante el juez que el contrato electrónico realmente existió.

Por tanto:

Si quieres hacer negocios online y no morir en el intento, es tu responsabilidad asegurarte de que utilizas un método de firma que garantice el cumplimiento posterior del contrato

Ahora bien, ¿qué método es ese?. Hay multitud de métodos de firma o, si lo prefieres, muchas formas de manifestar tu voluntad de obligarte en un contrato electrónico: firma con certificado electrónico, con SMS, con huellas dactilares, con botón de “Aceptar”, con aceptación verbal por teléfono, con aceptación escrita por email, con tarjetas multiclave, con generadores de claves … la lista de métodos de firma y sus posibles variantes es interminable. ¿Cual elegir?.

¿Qué método de firma debo utilizar en mi negocio?

La respuesta es: “Depende”.

Depende de tu negocio y de tus procesos de contratación. Si firmas solo 2-3 contratos al año y cada uno por muchísimo dinero, deberías utilizar la forma más segura disponible ya que el riesgo de no-ejecución de un solo contrato es enorme para tí. Por el contrario, si firmas miles de contratos al año, cada uno por poco dinero, quizás deberías elegir una forma no tan segura pero más conveniente para tus clientes. Sí, quizás algunos no cumplan el contrato o no realicen el pago pero, no nos engañemos, por cantidades tan pequeñas probablemente no te vas a preocupar de perseguirles. El riesgo de no-ejecución no es tan importante en este caso.

Como ves, necesitas averiguar si el nivel de garantías que requieres en tus contratos se corresponde con el nivel de garantías que ofrece el método de firma que utilizas. Y en esta última parte radica el problema.

No todos los métodos de firma ofrecen las mismas garantías…

Conocer el auténtico nivel de garantías de un método de firma concreto no es fácil. No basta con fijarse en el tipo de “dispositivo” o proceso utilizado (¿usuario y contraseña?, ¿PIN?, ¿móvil¿, ¿generador de claves?, ¿tarjeta multiclave?, ¿tarjeta bancaria?, ¿tarjeta eID?…) sino, que hay que prestar atención a multitud de factores. A modo de ejemplo: la forma en que se verifica la identidad del poseedor antes de entregarle ese dispositivo (¿en persona?, ¿por correo?, ¿por email?, ¿por la web?), el medio por el que se entrega el dispositivo (¿en persona?, ¿por correo?, ¿por email?, ¿por la web?), la forma en que funciona (¿es una contraseña de 4 letras escrita en un papel que cualquiera puede leer o una clave criptográfica almacenada en un microchip que no permite la exportación de la clave?), e incluso la legislación que regula la firma electrónica en ese país (¿reconoce validez a la firma electrónica?, ¿distingue entre distintos tipos de firma?). Todos estos son algunos de los factores que harán más o menos difícil/probable que la otra parte se atreva a alegar que nunca firmó el contrato.

Mientras tanto, en medio de toda esta complejidad, todos (gobiernos, fabricantes de tecnologías de seguridad, proveedores de servicios) gritan a los cuatro vientos que su método de firma es el mejor. Una auténtica cacofonía de voces que confunde al usuario y le lleva a tomar decisiones erróneas.

El problema es que la gente conoce el nivel de garantía que quiere para sus contratos pero no conoce el nivel de garantía real que ofrece cada método de firma

…pero el comprador no sabe distinguir

En 1970, el economista George Akerlof se refirió a este problema en”El Mercado de los límones“, un ensayo donde establecía la teoría de la información asimétrica por la que ganó el premio Nobel. En resumen: El vendedor tiene más información que el comprador. El comprador no puede elegir en función de la calidad así que acaba eligiendo en función del precio. Los productos malos triunfan y los buenos desaparecen.

Hace poco, Bruce Schneier, uno de los mayores expertos en seguridad a nivel mundial, reflexionaba sobre el problema de “El mercado de los límones” aplicado al sector de seguridad:

En un mercado donde el vendedor tiene más información sobre el producto que el comprador, los malos productos pueden sacar a los buenos del mercado.
(…)
Esto significa que el producto menos-seguro será más barato, más rápido en llegar al mercado y tendrá más funcionalidades. En este mercado, el (producto) más-seguro va a perder.
(…)
¿Cómo resolver esto?. Necesitas lo que los economistas denominan una “señal”, una manera de que los compradores puedan ver la diferencia.
(…)
Si existe un abogado del consumidor que tiene la experiencia para evaluar distintos productos, entonces los limones pueden ser expuestos.

Tractis Score: La señal en la oscuridad

Hoy anunciamos el lanzamiento de “Tractis Score”, una escala que indica el nivel de garantías que necesita tu negocio y el nivel de garantías que ofrece un determinado método de firma (desde “1 – Nivel de garantía mínimo” a “4 – Nivel de garantía alto“).

Dicho de otra forma, Tractis Score te indicará, de forma rápida y sencilla, la probabilidad de hacer cumplir un contrato electrónico en el mundo offline en caso de que surjan disputas sobre su validez.

Tractis Score es:

• Fácil de usar: El nivel de garantía se representa con una escala que va del 1 a 4. No hace falta ser un experto en firma electrónica para utilizarla.
• Abierto: No escondemos nada. Puedes consultar, contribuir y discutir los requerimientos utilizados para determinar cada Tractis Score (Tractis Score Policy) o la lista completa de métodos de firma existentes clasificados por Tractis Score (Tractis Score Mapping).
• Independiente: Tractis no “vende” métodos de firma propios sino que utiliza los de terceros. Aspiramos a clasificar e incorporar todos los métodos de firma disponibles en el mercado. Por lo tanto, no tenemos ningún interés en que triunfe uno u otro. Los usuarios decidirán.
• Con vocación de estándar: El problema de decidir qué nivel de garantías corresponde a cada método no es nuevo (los expertos lo llaman “eID interoperability” o “Multilevel authentication policy”). No hemos reinventado la rueda. El diseño de Tractis Score está fuertemente influenciado (enfoque, niveles, requisitos, terminología) por la Guía de autenticación electrónica del NIST (agencia de estándares del gobierno estadounidense) y la Propuesta de la Unión Europea para un mecanismo de autenticación multinivel (que acabará convirtiéndose en el estándar de facto en Europa). Aunque nos reservamos la posibilidad de hacer cambios, nuestra intención es mantener Tractis Score en línea con la propuesta europea.

Por supuesto, Tractis Score estará perfectamente integrado dentro de Tractis.

Muy pronto Tractis incorporará múltiples métodos de firma y te permitirá fijar fácilmente el Tractis Score (nivel de garantía) mínimo que requieres en tus contratos.

1. Creación de cuentas: Ya no hace falta usuario y contraseña

Ya puedes crear una cuenta en Tractis utilizando solamente tu certificado electrónico. Ya no tendrás que recordar otro usuario y contraseña (no se requiere tener un Tractis ID), solo tener tu certificado a mano y teclear tu PIN.

2. Inicio de sesión: Múltiples maneras para entrar en Tractis

A partir de ahora, para iniciar sesión, serás redirigido a la nueva pasarela de autenticación de Tractis. Como verás en la imagen siguiente puedes continuar iniciando sesión con tu Tractis ID (email & contraseña) y, ahora, además, si deseas mayor seguridad, puedes utilizar certificados electrónicos.

Muchas entidades financieras españolas están incorporando la autenticación con certificado electrónico en sus portales y recibiendo críticas de los usuarios por permitir el acceso solo con un sistema operativo (Windows) y un solo navegador (Internet Explorer). En Tractis el inicio de sesión con certificado electrónico funciona para todos: todos los sistemas operativos (Windows, Linux/Unix y Mac) y todos los navegadores (Internet Explorer, Firefox y Safari).

3. Re-inicio de sesión: Mismo nivel de seguridad

Si pierdes tu sesión mientras estás trabajando en un documento, Tractis te permite reiniciar sesión al momento, sin que pierdas ningún cambio. Ahora, además, Tractis recordará el método de autenticación concreto que utilizaste para iniciar sesión y te ofrecerá el mismo método para reiniciar sesión, manteniendo así el mismo nivel de seguridad que habías elegido al entrar en Tractis.

4. Gestión de métodos de autenticación en cuentas Business

Si eres Administrador de una cuenta “Tractis Business“, con múltiples usuarios, puedes decidir qué métodos de autenticación permites a tus usuarios para acceder a la cuenta y cuales no. Por ejemplo, puede que solo quieras que inicien sesión con certificado electrónico, solo con Tractis ID o permitir ambos.

Para configurar los métodos de autenticación permitidos, el Administrador solo tiene que iniciar sesión y…:

1. Pinchar en el “Nombre de la empresa”
2. Pinchar en “Preferencias”.
3. Configurar los métodos de autenticación permitidos.

Por su parte, los usuarios de esa cuenta Business pueden configurar, entre los métodos permitidos por el Administrador, cuales asocian a su cuenta. Por ejemplo, si tu administrador permite tanto Tractis ID como certificados electrónicos, tú puedes decidir asociar solo certificados electrónicos, haciendo imposible entrar en tu cuenta con Tractis ID. Eso sí, si el Administrador prohíbe “certificados electrónicos” como método de autenticación, tú no podrás asociarlos a tu cuenta.

Para configurar los métodos de autenticación asociados, el Usuario solo tiene que iniciar sesión y…:

1. Pinchar en el “Nombre de usuario”.
2. Pinchar en “Preferencias”.
3. Configurar los métodos de autenticación asociados.

5. Gestión de métodos de autenticación para usuarios avanzados

Las cuentas en Tractis solo pueden tener un “Tractis ID” por cuenta. No obstante, permiten asociar tantos certificados por cuenta como desees. Es decir, puedes utilizar distintos certificados para entrar en la misma cuenta.

También puedes asociar el mismo certificado a distintas cuentas. De esta forma, solo manejarás un certificado para acceder a todas tus cuentas en Tractis (personal, trabajo, etc.). En este caso, tras iniciar sesión, Tractis te preguntará a cual de todas las cuentas quieres acceder.

Conclusión y próximos pasos

La autenticación con certificados electrónicos marca un hito en Tractis por varias razones. Por un lado, cumple los requerimientos de las empresas más exigentes ya que supone incorporar el nivel de seguridad máximo disponible hoy en día y ofrece gran flexibilidad en la gestión de métodos, tanto a nivel de empresa como de usuario. Por otro lado, es un componente clave y perfectamente escalable para algunos planes futuros que aún no podemos desvelar y otros que sí:

• Más métodos de autenticación: IDs de terceros (Open ID, Google ID, Windows Live ID, etc.), Tarjetas de claves, Biometría, etc.
• Más certificados: Actualmente solo soportamos el DNI electrónico español pero iremos incorporando el resto de certificados paulatinamente.
• Más atributos: Podrás utilizar Tractis no solo para validar o certificar tu nombre o Número ID sino también otros atributos que estén presentes en el certificado (edad, nacionalidad, sexo, profesión, poderes, etc).
• Más difusión: Los Administradores de cuentas Business podreis incorporar la pasarela de autenticación de Tractis a vuestros propios sitios web. En otras palabras, si, por la operativa de tu negocio, necesitas validar cualquier aspecto de la identidad de tus usuarios o clientes y estos te dan su consentimiento, ahora podrás hacerlo. De forma totalmente personalizada (con tu logo, colores e imagen corporativa) y gratuíta.

El comercio electrónico seguro está un pasito más cerca.

Seguridad física

Disponemos de un cluster de servidores redundante alojado por Acens en su datacenter de Barcelona (España). Acens es uno de los proveedores españoles líderes en housing y nos proporciona una infraestructura con los máximos niveles de disponibilidad y seguridad, así como acceso a una red troncal propia, multioperador y con presencia en los puntos de acceso neutro (NAP) de Espanix y Catnix.

Las medidas de seguridad y control de acceso físico incluyen detectores de presencia, proximidad y circuito cerrado de televisión. Los medios físicos de seguridad incluyen sistemas tele-gestionados de protección contra incendios, detección de fugas de agua y combustible.

Gracias a que el servicio corre en nuestros servidores, tenemos control total sobre el código que se ejecuta en la solución final.

Seguridad de infraestructuras

Nuestras máquinas esta conectadas entre sí mediante una red privada de alta velocidad administrada únicamente por personal de Tractis y aislada de forma física, no solo del exterior, sino del resto de sistemas del datacenter.

La conexión desde exterior para la provisión de servicio se realiza a través de sistemas de firewall a nivel de red. Además, cada nodo front-end dispone de firewall lógico corriendo dentro del sistema operativo.

Seguridad en la administración

El acceso a nuestros sistema con propósito de administración se realiza mediante comunicaciones seguras basadas en SSH sobre TLS. Para ello nuestros administradores disponen de tokens de autenticación basados en certificados X509 protegidos a su vez por contraseña. Las ventajas de este sistema de acceso son:

1. Acceso mucho mas seguro que la autenticación basada en usuario y contraseña.
2. Acceso que permite la distinción y vinculación de los individuos y sus actividades en el sistema.

Seguridad de datos

Los sistemas de Tractis estan organizados mediante jerarquías donde los sistemas de proceso de transacciones forman clusters separados de los sistemas encargados de la gestión de nuestras bases de datos.

La comunicación entre las máquinas que sirven contenidos y estos sistemas de gestión de datos se realiza en un entorno seguro donde el canal se asegura mediante el uso de una red privada a nivel físico y encriptación de los canales de comunicación y autenticación de servidores mediante SSL/TLS .

Nuestras bases de datos corren sobre sistemas replicados y cada uno de ellos dispone de raids de discos , ofreciendo así mayor capacidad de servicio y mayor robustez en el manejo de datos ante posibles desastres físicos o lógicos.

Para garantizar la recuperación frente a desastres hacemos back-up de los datos cada noche y mantenemos copias encriptadas de estos back-up en distintas máquinas.

Seguridad de la Autoridad de Sello de Tiempo (TSA)

Tractis requiere aplicar “sellos de tiempo” en una variedad de situaciones (p.ej: en el instante de validación de la firma de un contrato con el fin de establecer una cota superior del instante de creación de la firma) y para ello dispone de su propia “Autoridad de Sellado de Tiempo” (“Time Stamping Authority” o “TSA”). Para la provisión segura y a prueba de fallos de dicho servicio, Tractis dispone de:

1. Hardware Security Modules: Tractis utiliza dispositivos HSM (o “Hardware Security Module“) con un doble fin, tanto como dispositivos de firma segura como con fines de aceleración criptográfica en la generación de firmas electrónicas. En concreto utilizamos Luna SA de Safenet que cumplen EAL 4 + CWA 14169 y que por tanto ofrecen las máximas garantías en la generación de sellos de tiempo:
   • Para la administración de estos dispositivos HSM requerimos autenticación de doble factor (token + pin code) y, por tanto, presencia física en el datacenter.
   • Aún contando con presencia física es imposible extraer la clave con la que realizamos la firma dado que se encuentra almacenada en la memoria interna “tamper proof” del propio dispositivo. En otras palabras, la clave no puede ser exportada para su uso fraudulento en otros sistemas.
   • Finalmente, para poder controlar el acceso al HSM empleamos el concepto “trusted path“, con lo que sólo las máquinas que han sido dadas de alta mediante procesos de administración presenciales pueden hacer uso del dispositivo.
2. Fuente segura de tiempo: Para la obtención del tiempo utilizado en la confección de los sellos de tiempo empleamos fuentes fiables de tiempo. Tractis dispone de un servidor de tiempo NTP (o Network Time Protocol) de primer nivel (o stratum 1) que obtiene su referencia a partir de un receptor GPS (o Global Positioning System). El sistema utiliza un reloj hardware que permite conocer el tiempo UTC (o Coordinated Universal Time) con una precisión dentro del microsegundo. Este reloj se mantiene sincronizado cada segundo con las señales de referencia procedentes de varios satélites de la constelación Navstar, que constituye el alma del sistema GPS, y que son visibles desde la ubicación geográfica del servidor.

Con esto termina la serie de dos posts dedicada a la “Seguridad en Tractis”. Esperamos que esta información haya resuelto muchas dudas. Si nos hemos dejado algo en el tintero o hay algún tema que te interesa pero no hemos tocado, no dudes en dejarnos un comentario o enviarnos un email.

Hoy comenzamos una serie de dos posts dedicada a explicar, con total transparencia, las medidas de seguridad que empleamos actualmente en Tractis.

Nuestros clientes utilizan Tractis para implementar procesos de contratación extremadamente sensibles que suponen el manejo de información confidencial como la identidad de las partes, el contenido de lo acordado y la firma del contrato. En Tractis somos conscientes de semejante responsabilidad y aspiramos continuamente a ofrecer la máxima seguridad posible, tanto en las transacciones llevadas a cabo como en los sistemas sobre los que se corren dichas transacciones.

Este primer post de la serie se centra en la “Seguridad en Procesos”, mientras que el próximo (y último) post de la serie, se centra en la “Seguridad en Sistemas”.

Los procesos de contratación permiten que las partes lleguen a un acuerdo, materializado en el contenido de un contrato y formalizado con la firma del mismo.

Para llevar a cabo estos procesos de contratación ofrecemos un sistema transaccional al que los clientes pueden conectarse mediante su navegador y que les brinda las funcionalidades de creación, negociación y firma de contratos. Los peligros y amenazas sobre dichos procesos son de naturaleza diversa, al igual que las medidas de seguridad utilizadas para contrarrestarlos.

Seguridad en la creación de contratos

Los contratos confeccionados entre las partes deben reflejar los acuerdos a las que éstas llegan de una manera exacta y fidedigna. Sin embargo, en los documentos digitales es relativamente fácil aplicar transformaciones sobre el contenido que hagan que ciertos datos no sean visibles al firmante. Por poner un ejemplo, podrían añadirse transformaciones que hicieran que ciertas cláusulas de un contrato no fuesen mostradas cuando se leyera pero que si estuvieran presentes dentro del contenido para el que se solicita la firma.

Tractis trabaja con XHTML y utiliza un editor de contratos especialmente diseñado para evitar el peligro arriba mencionado. Todos los textos cortados y pegados en nuestro editor así como las importaciones de documentos (desde Word, OpenOffice, etc.) son sometidos a un proceso de “sanitización” previo al guardado de cada versión del contrato. Este sanitizado elimina todos los elementos susceptibles (estilos, fuentes, etc) que puedan afectar a la representación visual del contrato.

Seguridad en las transacciones

Tractis ofrece medidas de seguridad en las transacciones que hacen uso de algoritmos criptográficos que hacen que sea imposible, sin antes romper dichos algoritmos, que terceros maliciosos puedan usurpar la identidad de las partes o interceptar los datos que estas intercambian:

1. Todas las transacciones (no solo el proceso de inicio de sesión sino todas las transacciones) realizadas en Tractis emplean el protocolo HTTPS sobre un canal seguro. De esta forma, los datos intercambiados entre el navegador del cliente no pueden ser interceptadas por terceras partes mediante técnicas de “snifado” de red.
2. Tractis permite diferentes métodos de autenticación. Los usuarios pueden autenticarse mediante el uso del tradicional usuario y contraseña o, en caso requerir un nivel de seguridad mayor, mediante mecanismos mas robustos como autenticación de doble factor con certificados electrónicos almacenados en tarjetas inteligentes (p.ej: DNIe). El administrador de cada cuenta business puede decidir que mecanismos de autenticación están disponibles para los usuarios de su cuenta y cuales no.

Seguridad en la firma de contratos

Firmas en cliente

Todas las firmas generadas en Tractis y basadas en dispositivos de creación de firma segura, se realizan en el cliente. Es decir, la aplicación Java de firma debe de interactuar con la tarjeta del cliente y por lo tanto con sus claves. Como esta tarjeta se trata de un dispositivo de creación seguro de firma las claves nunca salen de la misma y no viajan al servidor con lo cual la aplicación de firma es ejecutada siempre en el sistema del cliente.

Con objeto de garantizar que el componente de firma es íntegro y no ha sido alterado por terceros, se realiza la firma del código de dicho componente. De esta forma, el navegador del cliente, antes de emplear el componente de firma, comprueba que este no ha sido alterado. Para ello verifica que el componente está firmado y que la firma es válida. Esta medida garantiza que el código que corre en el cliente es íntegro y confiable y evita alteraciones que pudieran realizar accesos maliciosos a las claves tales como la realización automatizada firmas fuera del control del usuario.

Firmas electrónicas cualificadas

En Europa, la Directiva 1999/93/CE del Parlamento europeo y del Consejo, de 13 de Diciembre de 1999, establece el marco comunitario para firmas electrónicas. La Directiva define firma electrónica como datos en forma electrónica a los cuales se adjunta o se asocia de forma lógica otros datos electrónicos que pueden ser utilizados para identificar al firmante. La directiva distingue entre dos tipos de firmas:

• Firma electrónica avanzada: aquella que (a) está enlazada de forma única al firmante, (b) es capaz de identificar al firmante, (c) es creada utilizando medios que el firmante puede mantener bajo su control, y (d) está enlazada a los datos de tal forma que cualquier cambio subsiguiente a los datos es detectable.
• Firma electrónica cualificada: aquella “firma electrónica avanzada” que está basada en un certificado cualificado que ha sido creado por un dispositivo-seguro-de-creación-de-firma tal como define la directiva.

Todas las firmas utilizadas en Tractis para la firma de contratos con “Tractis Score 5″ (el nivel de firma más alto que reconocemos) tienen la consideración de firma electrónica cualificadas (o “Reconocidas”) y, por tanto, son equivalentes a firma manuscrita.

Validación de firmas (SVA)

Tractis valida las firmas una vez entran en el sistema y sólo las acepta si éstas son consideradas válidas, tanto por la ley (validez jurídica) como por el cliente (validez semántica). De esta tarea se encarga la “Autoridad de Validación Semántica” (“Semantic Validation Authority” o “SVA”) de Tractis. Este componente garantiza que si el certificado, las claves o la firma generada no son válidas no serán añadidas al contrato. Para ello el sistema valida las firmas teniendo en cuenta los criterios y algoritmos definidos en normativas internacionales al respecto de firmas avanzadas y certificados. En concreto, Tractis realiza todas las comprobaciones detalladas en los procesos de validación de firma descritos en DSS, XMLDSig, XAdES y se adhiere a todos los criterios definidos en los RFCs de Certificate Path Building y Certificate Path Validation, para validación del certificado con el que se realiza la firma.

Con carácter previo a cualquier nueva subida de código al entorno de producción, Tractis realiza baterías de tests para asegurar que cubre la multitud de situaciones descritas y casos particulares que se pueden producir en la validación de certificados. Una de estas baterías, la que la mayoría de los expertos consideran “la batería de tests definitiva en validación de certificados” por su excelente calidad, es la llamada PKITS que pone a disposición pública el NIST. El NIST o “National Institute of Standards and Technology” es la agencia del gobierno estadounidense dedicada a garantizar el cumplimiento de estándares y favorecer la interoperabilidad entre distintos fabricantes. Las pruebas PKITS diseñadas por la “ NIST – Computer Security Division ” y la NSA (Agencia de Seguridad Nacional) son utilizadas por las distintas administraciones del gobierno federal estadounidense como un método fiable para medir la calidad de los distintos despliegues PKI del gobierno. Dentro del PKITS, el caso que nos compete es la parte referente a “Path Validation Testing Program” diseñada para garantizar un cumplimiento exquisito de las especificaciones X.509 y RFC3280. Tractis supera satisfactoriamente el 100% de tests que “PKITS – Path Validation Testing Programs” establece.

Para una explicación en profundidad del proceso de validación de firmas en Tractis, de la conveniencia de validar certificados en el momento de la firma aún cuando la ley no lo exige y de las capacidades de validación semántica de nuestra SVA, recomendamos la lectura de los siguientes posts:

1. Validación de firmas en Tractis (1): Validación de certificados.
2. Validación de firmas en Tractis (2): Validación de firmas.
3. Validación de firams en Tractis (3): Validación a prueba de fallos.

Gestión de evidencias generadas por la validación de firmas

Todo el proceso de validación de firmas descrito en el punto anterior genera una serie de evidencias derivadas de los elementos empleados a la hora de aceptar o no una firma como válida (por ejemplo, certificados o información de revocación -CRL u OCSP-). Dichas evidencias son almacenadas y preservadas en el “Gestor de Evidencias” de Tractis. Este sistema garantiza el almacenamiento y preservación de la integridad en el tiempo de las evidencias generadas, de forma que puedan ser recuperables mediante procesos fuera de línea para su uso en caso de que surjan procesos periciales o disputas.

Seguridad en la preservación de contratos (LTA)

Una vez finalizado el proceso de contratación, Tractis se encarga de conservar los datos críticos generados en la plataforma (contratos, firmas, evidencias) y garantizar su integridad a través del tiempo mediante nuestro “Archivo de Larga Duración” (“Long Term Archive” o “LTA”).

Este sistema de almacenamiento de contenidos se diferencia de otros sistemas de almacenamiento disponibles en varios aspectos. El principal aspecto diferencial es que en un “Archivo de Larga Duración” la integridad de los datos no depende de auditorias que demuestren la imposibilidad de alterar el sistema sino que cada elemento almacenado en el sistema es capaz de demostrar su integridad de manera independiente. Cada uno de los registros del Archivo de Larga Duración se halla protegido mediante una cadena de sellos de tiempo que garantiza que dicho elemento no ha sido alterado desde su introducción en el Archivo.

–

Próximo (y último) post de la serie: Seguridad en Tractis (2): Seguridad en Sistemas