Tips de seguridad
martes 13 mayo 2014

Certificados en la Red

La campaña de concienciación respecto al uso de Certificados Digitales, denominada “Certificados en la Red”, está formada, como siempre, por un conjunto de consejos diarios que han sido publicados en los perfiles de CSIRT-CV en las redes sociales durante las últimas semanas. El objetivo de la presente campaña es informar y concienciar respecto del uso de certificados digitales en la vida cotidiana. Dejamos a continuación un breve resumen, así como os facilitamos al final de este texto un enlace al dossier completo con todos los consejos de la campaña con sus correspondientes enlaces de apoyo.

  • El primer gran punto abordado en la campaña está relacionado en el DNI electrónico. Básicamente, este certificado permite la autenticación y firma y por tanto, pone al alcance de los ciudadanos servicios prestados por la Administración Pública desde sus sedes electrónicas. También se dan consejos relacionados con la funcionalidad que nos da el dispositivo y el método de uso del DNI electrónico, y el certificado digital que contiene; también se facilitan medios para identificar todos los servicios en los que se puede emplear.

 

  • Otro punto fundamental dentro de la campaña de Certificados en la Red, hace referencia a certificados digitales de persona física independientes al DNI. Este tipo de certificados dan funcionalidades adicionales, como por ejemplo la posibilidad de emplearse para el cifrado de información. Es fundamental que éste y cualquier otro certificado esté emitido por cualquiera de las Autoridades de Certificación de Confianza dentro del estado Español. A este respecto, se facilita información sobre cómo identificar una Autoridad de Certificación de Confianza, cuáles son las acciones a llevar a cabo cuando se tiene la sospecha de que nuestro certificado digital ha sido robado o empleado fraudulentamente por un tercero, los tipos de soporte en los que habitualmente se entregan estos certificados y algunas consideraciones fundamentales de los mismos.

 

  • El siguiente gran bloque dentro de la campaña de concienciación se centra en los usos que se pueden dar a los certificados digitales emitidos por una Autoridad de Certificación, bien sean de persona física o SSL (asociados a páginas web); muestra lo extendido que está el uso de certificados digitales en la red, la dependencia que hay de ellos para mantener la privacidad, y sobre todo, buenas prácticas en el uso de los mismos. Se abordan temáticas para el uso de certificados digitales en el correo electrónico, su instalación y uso para asegurar la integridad, confidencialidad y procedencia de un mensaje; bien sea empleando certificados emitidos por una CA, como empleando herramientas para crear y gestionar los nuestros propios.

 

Los certificados digitales también se emplean para identificar sitios web del mismo modo que a las personas; para ello emplean el protocolo HTTPS. Este hecho es especialmente crítico para sitios web con los que se intercambia información sensible o confidencial, así como para los que nos permitan realizar operaciones financieras o de pago. Por ello, nunca hay que olvidar comprobar que se ha establecido una conexión segura antes de introducir cualquier información personal o de acceso, así como que el certificado HTTPS es válido, vigente y que haya sido emitido por una entidad de confianza, de este modo aseguramos la confidencialidad de la información intercambiada y que el destino de la misma es legítimo.

En la campaña también se tienen en cuenta consideraciones de seguridad relacionadas con otros servicios que pueden emplear cifrado HTTPS o no; y que aunque no gestionan información financiera o personal necesariamente, que destacan por la cantidad de información del usuario que pueden llegar a gestionar. Ejemplos de estos servicios son los buscadores de internet, los servicios de almacenamiento en la nube, redes sociales, mensajería instantánea, etc.

Es fundamental también conocer las particularidades y uso de los certificados digitales para la firma, como por ejemplo en el caso de la firma de documentos digitales. En la campaña se trata la firma digital de forma equivalente a la manuscrita, así como se facilitan consejos para aprender a firmar documentos, y para verificar la legitimidad de la firma de un documento ajeno.

Por último, y dado que el final de la campaña se publicó al comienzo de la campaña de la renta de 2014, se incluyen consejos concretos para asegurar el contacto con la Agencia Tributaria, así como se exponen mecanismos facilitados para la realización de trámites seguros en la sede digital de la Agencia Tributaria.

En breve publicaremos la guía de la campaña, que quedará referenciada en el presente resumen. Recordaros adicionalmente que si queréis estar al día de temas relevantes y consejos sobre seguridad de la información, podéis seguirnos en nuestra página de Facebook (https://www.facebook.com/Csirtcv) y/o Twitter (https://twitter.com/csirtcv).

Como siempre, desde CSIRT-CV agradecer vuestra atención y recordaros que estamos abiertos a atender cualquier sugerencia, comentario o duda que os pueda surgir.