Un mes más, volvemos con un nuevo boletín en el que hablaremos de los certificados digitales y otros mecanismos de identificación personal digital y cómo mantenerlos seguros.
En plena era de digitalización, uno de los elementos clave son los certificados digitales que permiten a las personas identificarse para poder realizar trámites en línea. Estos mecanismos cada vez se hacen más necesarios, llegando al punto de ser necesarios para realizar ciertas tareas como consultar datos médicos en línea, presentar la declaración de la renta telemáticamente, solicitar suscripción al paro o la firma de documentos, entre otros.
Desde infoautónomos, describen en su artículo sobre “La importancia de disponer del certificado digital” dos de las características más importantes y valiosas que ofrecen estos certificados:
- Rapidez y ahorro de tiempo: Estas soluciones permiten a los usuarios realizar tareas más ágilmente evitando desplazamientos a entidades para realizar trámites, ahorro de esfuerzos en impresión y escaneo de documentación para poder firmarla, etc.
- Transparencia: las gestiones quedan registradas en el día y hora específicos en las que se realizaron. Esto permite disponer de pruebas documentales en el caso de que necesites recurrir cualquier posible fallo de tipo administrativo.
En este boletín se describen los distintos métodos de identificación electrónica, cómo obtenerlos, riesgos derivados de su uso y consejos para proteger la identidad digital.
Actualmente, las cuatro soluciones disponibles para identificarse digitalmente se dividen de la siguiente manera:
- Cl@ve: Este mecanismo puede usarse en dos formatos, clave permanente y clave PIN. Según describe Xataka en su noticia sobre estos métodos, la clave permanente se basa en el DNI del usuario y una contraseña que debe establecer el usuario en el primer momento que lo obtiene, lo que facilita su uso cotidiano. Por otro lado, la clave PIN se asocia al DNI del usuario y, en cada uso, genera un código alfanumérico temporal que permite el acceso. El hecho de que el código generado caduque aumenta la seguridad de su uso, aunque puede ser tedioso su uso en el día a día.
Este certificado puede obtenerse desde la página oficial de la Agencia Tributaria, facilitado en este enlace. La Agencia Tributaria facilita diversos métodos para obtenerlos, aunque el más ágil y rápido es a través de un certificado o DNI-e. - Certificado FNMT: Este certificado es el más común para la identificación digital y está expedido por la Fábrica Nacional de Moneda y Timbre. A diferencia de los otros certificados, este certificado se instala en el navegador web y no requiere uso de contraseñas tras su instalación, lo que facilita su uso y mantenimiento.
El certificado de la FNMT puede obtenerse desde su página web oficial, accesible con este enlace. Existen diversas maneras de obtenerlo, aunque la más rápida y la única que permite evitar desplazamientos es la que permite obtenerlo con el DNI-e. - Certificado ACCV: Expedido por la Agencia de Tecnología y Certificación Electrónica, este certificado, al igual que el certificado de la FNMT, permite a las personas acreditar su identidad digitalmente y consta de una validez de tres años. Este certificado puede obtenerse tanto digitalmente, a través de video identificación, lo cuál tiene un coste adicional o bien a través de un software que requiere la identificación acudiendo a un punto de Registro (PRU) de manera gratuita. A través de la página oficial de la ACCV, accesible en este enlace, se puede conocer en mayor detalle las posibilidades que se ofrecen para obtenerlo, así como encontrar los puntos PRU más cercanos según ubicación.
- DNI electrónico (DNI-e): El certificado de DNI-e es el expedido por la Policía Nacional en el momento en el que se obtiene el DNI con un chip electrónico. En el momento de la obtención, se entrega un papel con la clave del certificado. Para su uso, tan solo es necesario un lector de DNI electrónico.
Este certificado no es necesario solicitarlo, dado que todos los usuarios con DNI-e cuentan con él.
- Cl@ve: Este mecanismo puede usarse en dos formatos, clave permanente y clave PIN. Según describe Xataka en su noticia sobre estos métodos, la clave permanente se basa en el DNI del usuario y una contraseña que debe establecer el usuario en el primer momento que lo obtiene, lo que facilita su uso cotidiano. Por otro lado, la clave PIN se asocia al DNI del usuario y, en cada uso, genera un código alfanumérico temporal que permite el acceso. El hecho de que el código generado caduque aumenta la seguridad de su uso, aunque puede ser tedioso su uso en el día a día.
Actualmente, existe una gran cantidad de guías que describen el procedimiento para conseguirlos, entre ellos se encuentra este artículo de Xataka, una guía completa y detallada sobre la obtención e instalación de estos.
Como todos los elementos tecnológicos, el uso de certificados digitales también implica una serie de riesgos. El principal riesgo al que se expone un usuario es a la suplantación de identidad, ya que, como se ha comentado, estos certificados permiten acreditar la identidad de una persona. Los ciberdelincuentes aprovechan los certificados para acceder a sitios web con la identidad del usuario, firmar documentación o obtener acceso a otros recursos.
Enfocada esta problemática en un entorno empresarial, “un ataque dirigido a ellos desemboca directamente en la interrupción en la continuidad del negocio”, según informan desde redtrust. Además, añaden que “El impedimento en el uso de los certificados digitales de Persona Física, de Representante, de firma de código, de servidor o cualquiera dentro de su amplia tipología, pone en un grave compromiso a las empresas”.
Con el fin de mantener los certificados seguros, desde Camerfirma destacan las siguientes recomendaciones:
- Obtén el certificado desde prestadores de servicio de confianza
- Si se cede el certificado a un tercero, se pueden minimizar los riesgos con la firma de un contrato de prestación de servicios detallando el uso que se puede hacer de la firma
- Guardar el certificado en un lugar seguro, idealmente en un gestor de centralizado de certificados o, en su defecto, en un ordenador con acceso limitado.