Un mes més, tornem amb un nou butlletí en el qual parlarem dels certificats digitals i altres mecanismes d’identificació personal digital i com mantindre’ls segurs.
En l’era de la digitalització, un dels elements clau són els certificats digitals, que permeten a les persones identificar-se per a poder fer tràmits en línia. Són uns mecanismes que cada vegada es fan més necessaris, i arriben al punt de ser necessaris per a fer certes tasques com ara consultar dades mèdiques en línia, presentar la declaració de la renda telemàticament, sol·licitar subscripció a l’atur o firmar documents, entre altres.
Des d’Infoautónomos, descriuen en un article sobre la importància de tindre el certificat digital dos de les característiques més importants i valuoses que ofereixen els certificats:
- Rapidesa i estalvi de temps: permeten als usuaris fer tasques més àgilment i eviten desplaçaments a entitats per a fer tràmits, estalvien esforços en impressió i escaneig de documentació per a poder firmar-la, etc.
- Transparència: les gestions queden registrades en el dia i l’hora específics en què es fan; això permet disposar de proves documentals en el cas que calga recórrer contra qualsevol possible decisió de tipus administratiu.
En el butlletí es descriuen els diferents mètodes d’identificació electrònica, com obtindre’n, riscos derivats de l’ús i consells per a protegir la identitat digital.
Actualment, las quatre solucions disponibles per a identificar-se digitalment es divideixen de la manera següent:
- Cl@ve: mecanisme que es pot usar en dos formats, clau permanent i clau PIN. Segons descriu Xataka en una notícia sobre els dos mètodes, la clau permanent es basa en el DNI de l’usuari i una contrasenya que ha d’establir l’usuari en el primer moment que l’obté, la qual cosa en facilita l’ús quotidià. D’altra banda, la clau PIN s’associa al DNI de l’usuari i, en cada ús, genera un codi alfanumèric temporal que permet accedir-hi. El fet que el codi generat caduque n’augmenta la seguretat d’ús, encara que pot ser tediós l’ús en el dia a dia.
Es pot obtindre des de la pàgina oficial de l’Agència Tributària, que es troba ací en l’enllaç. L’Agència Tributària facilita diversos mètodes per a obtindre’n, encara que el més àgil i ràpid és a través d’un certificat o DNI-e. - Certificat FNMT: és el certificat més comú per a la identificació digital i l’expedeix la Fàbrica Nacional de Moneda i Timbre. A diferència dels altres certificats, s’instal·la en el navegador web i no requereix ús de contrasenyes després d’instal·lar-lo, la qual cosa en facilita l’ús i el manteniment.
El certificat de la FNMT es pot obtindre des de la seua pàgina web oficial. Hi ha diverses maneres d’obtindre’l, encara que la més ràpida i l’única que permet evitar desplaçaments és la que permet obtindre’n un amb el DNI-e. - Certificat ACCV: l’expedeix l’Agència de Tecnologia i Certificació Electrònica, i permet a les persones, igual que el certificat de la FNMT, acreditar la seua identitat digitalment; té una validesa de tres anys. Es pot obtindre tant digitalment, a través de vídeo d’identificació, la qual cosa té un cost addicional, o bé a través d’un programari que requereix la identificació acudint a un punt de registre (PRU) de manera gratuïta. A través de la pàgina oficial de l’ACCV, es poden conéixer més detalladament les possibilitats que hi ha per a obtindre’n un, de certificat, així com de trobar els punts PRU més pròxims segons ubicació.
- DNI electrònic (DNI-e): El certificat de DNI-e és el que expedeix la Policia Nacional en el moment en què s’obté el DNI amb un xip electrònic. En el moment d’obtindre’l, s’entrega un paper amb la clau del certificat. Per a usar-lo, tan sols és necessari un lector de DNI electrònic. No s’ha de sol·licitar, ja que tots els usuaris amb DNI-e en tenen un.
- Cl@ve: mecanisme que es pot usar en dos formats, clau permanent i clau PIN. Segons descriu Xataka en una notícia sobre els dos mètodes, la clau permanent es basa en el DNI de l’usuari i una contrasenya que ha d’establir l’usuari en el primer moment que l’obté, la qual cosa en facilita l’ús quotidià. D’altra banda, la clau PIN s’associa al DNI de l’usuari i, en cada ús, genera un codi alfanumèric temporal que permet accedir-hi. El fet que el codi generat caduque n’augmenta la seguretat d’ús, encara que pot ser tediós l’ús en el dia a dia.
Actualment, hi ha una gran quantitat de guies que descriuen com aconseguir-los, entre les quals hi ha un article de Xataka, que és una guia completa i detallada de com obtindre’n i instal·lar-ne.
Com tots els elements tecnològics, l’ús de certificats digitals també implica una sèrie de riscos. El risc principal al qual s’exposa un usuari és la suplantació d’identitat, ja que, com s’ha comentat, els certificats permeten acreditar la identitat d’una persona. Els ciberdelinqüents aprofiten els certificats per a accedir a llocs web amb la identitat de l’usuari, firmar documentació o obtindre accés a altres recursos.
Enfocada la qüestió en un entorn empresarial, «un atac dirigit a ells desemboca directament en la interrupció en la continuïtat del negoci», segons informen des de Redtrust. A més, afigen que «L’impediment en l’ús dels certificats digitals de persona física, de representant, de firma de codi, de servidor o qualsevol dins de la seua àmplia tipologia, posa les empreses en un compromís greu».
Amb la finalitat de mantindre els certificats segurs, des de Camerfirma destaquen les recomanacions següents:
- Obteniu el certificat des de prestadors de servei de confiança.
- Si se cedeix el certificat a un tercer, es poden minimitzar els riscos amb la firma d’un contracte de prestació de serveis detallant l’ús que es pot fer de la firma.
- Guardar el certificat en un lloc segur, idealment en un gestor de centralització de certificats o, si no pot ser, en un ordinador amb accés limitat.