Autorayconfianza DNIe,Firmaelectrnicaycertificacinelectrnica Phishing

RalJimnezOrtegawww.rauljimenez.info

Reconocimiento - NoComercial - CompartirIgual (by-nc-sa): No se permite un uso comercial de la obra original ni de las posibles obras derivadas, la distribucin de las cuales se debe hacer con una licencia igual a la que regula la obra original.

ndice de contenido
Autorayconfianza................................................................................................................3 ElDNIelectrnico..................................................................................................................4 QuesyparaqusirveelDNIelectrnico?...................................................................4 Qucontieneelchip?......................................................................................................4 CertificadodelaAutoridaddeCertificacinexpedidora...............................................4 Certificadodecomponente...........................................................................................4 Certificadodeautenticacin..........................................................................................5 Certificadodefirmaelectrnicareconocida..................................................................5 Quventajasofrece?.......................................................................................................5 Lafirmaelectrnica................................................................................................................6 Queslafirmaelectrnica?............................................................................................6 Cmofuncionalafirmadigital?......................................................................................7 Cifrado...........................................................................................................................7 Comprobacindeunafirmadigital................................................................................8 Certificadodigital...................................................................................................................8 Quesuncertificadodigital?..........................................................................................8 Qucontieneuncertificadodigital?................................................................................8 Cuantostiposdecertificadosexisten?............................................................................9 Cuntoscertificadospuedoposeer?.............................................................................10 Elphishing............................................................................................................................10 Fuentes:................................................................................................................................11

Caperucitarojayelloboferoz
Laniaseacercalacamayvioquesuabuelaestaba muycambiada. Abuelita,abuelita,quojosmsgrandestienes! Sonparavertemejordijoellobotratandodeimitarla vozdelaabuela. Abuelita,abuelita,quorejasmsgrandestienes! Sonparaortemejorsiguidiciendoellobo. Abuelita,abuelita,qudientesmsgrandestienes! Sonpara...comertemejoooor!ydiciendoesto,ellobo malvadoseabalanzsobrelaniitayladevor,lomismoquehabahechoconlaabuelita.
Imagenytextoextradode:www.concienciaanimal.cl

Estefamosocuentodehadaspopularhasidoutilizadoduranteconelobjetivode ensearlealosniosadesconfiardelosextraos,yqueenelmundodelas comunicacionestelemticassepodratraducirpor:hayquetenerlosojosbienabiertos cuandonavegamosporlared.Nopodemossertaninocentesdecreernostodoloque vemosytenemosquemantenersiemprelosojosbienabiertos,cuestionndonossiquien secomunicaconnosotrosesquiendiceser,ysiloquediceesverdad.

Autorayconfianza
Internetapasadoaformarpartedenuestrasvidasenuncortoplazodetiempo,apareci delanadaysindarnoscuentasehaestablecidocomounodelosmedioslderesenlas comunicaciones,ocioynegocios. Esporelloquetodoocasitodoloquehacemosenelmundofsicotambinsepuede hacerenInternet;hablar,escribir,intercambiarinformacin,cotillear,comprar,vender, jugar,viajar,perotambinsehaabiertounapuertaalosdelincuentes,conocidos comociberdelincuentespara:robar,engaar,atacar,suplantar,falsificar,etc.debidoa queenlasrelacionesporInternetlaspersonasnoseencuentranfsicamenteenelmismo sitio,sehapropiciadoqueaumentenestetipodeactosdolosos1. Perosindudaalguna,Internettambinhaaportadocosasbuenas,ahechoaicoslas fronterasquenosimpedancompartirpblicamenteconocimientos,sentimientos,ideas,
1 Doloimplicalavoluntadmaliciosadeengaaraalguienodeincumplirunaobligacincontrada

etc.loquehapermitidoeldesarrollodeunaformaderelacionarseyalaformadehacer negocios,etc.Endefinitivaundesarrolloglobalhastaentoncesinimaginable. Portanto,yparaevitarqueestaherramientaquehasidopuestaenmanosdemillonesde personaspierdasueficaciadebidoalmiedoyalafaltadeconfianza,losgobiernos, empresaseinstitucionesestntomandomedidasquenospermitansaber,contotal garanta,quhacemosencadamomentoyconquienlohacemos.

ElDNIelectrnico
QuesyparaqusirveelDNIelectrnico? ConcretamenteenEspaadesde2006secomienzaaexpedirelDocumentoNacionalde Identidadelectrnico(DNIe)paraaumentarlaconfianzadelosciudadanosenlas comunicacionestelemticas. ElDNIepermiteotorgaridentidadpersonalalosciudadanosparasuusoenlanueva SociedaddelaInformacin,siendolaadaptacindeltradicionalDNIalanuevarealidad deunasociedadinterconectadaporredesdecomputadores. Demodoquenospermiteacreditarnuestraidentidad,ademsdeasegurarlaprocedencia ylaintegridaddelosmensajesintercambiadosenlascomunicacioneselectrnicas. Qucontieneelchip? DentrodelchipdelDNIeseencuentran4certificadosquesonelprincipalobjetivode nuestroestudio;ademscontieneotrosdatoscomo:apellidos,nombre,sexo, nacionalidad,fechadenacimiento,fechadevalidez,NIF,etc. ElDNIelectrniconocontieneinformacinrelativaadatospersonalesdistintosalosque aparecenimpresosenlasuperficiedelatarjeta. CertificadodelaAutoridaddeCertificacinexpedidora EncasodelDNIelectrnicoencontraremoselcertificadoconlaclavepblicadela DireccinGeneraldelaPolica.Seencuentraenlazonapblicadechipqueser accesiblesinrestricciones. Certificadodecomponente CertificadoX.509quepermitelaautenticacin(ContentCommitmentoclaveRSApblica yprivadadenorepudio)delatarjetadeDNIelectrnico.Loquepermiteel

establecimientodeuncanaldecomunicacinseguro(cifradoyautenticado)entrela tarjetadelDNIeyelordenador.Tambinseencuentraenlazonapblicadechip Certificadodeautenticacin ElcertificadoX.509deciudadanodeautenticacinoDigitalSignature,permitealtitular acreditarsuidentidadfrenteacualquiera,demostrandolaposesinyelaccesoalaclave privadaasociadaadichocertificadoyqueacreditasuidentidad. TantolasclavesRSAprivadacomopblicadeautenticacinenencuentrandentrodel certificado. Suusoprincipalserparagenerarmensajesdeautenticacin(confirmacindela identidad)ydeaccesoseguroasistemasinformticos. Estecertificadonoesthabilitadoenoperacionesquerequierannorepudiode origen(paraelloserequiereelcertificadodefirmaelectrnicareconocida)yportantolos prestadoresdeserviciosnotendrngarantadelcompromisodeltitulardelDNIconel contenidofirmado. Estecertificadoseencuentraenlazonaprivadayesaccesibleenlecturaporel ciudadano,mediantelautilizacindelaclavepersonaldeaccesooPIN. Certificadodefirmaelectrnicareconocida Estecertificadotambinseencuentraenlazonaprivadaygarantizalaintegridaddel documentofirmadoyelnorepudiodeorigen. Igualqueenelcasoanterior,estecertificadotambincontienelasclavesRSAprivaday pblicadelmismo.

Quventajasofrece? Enlasrelacionesentreciudadanos: Garantizarlaidentidaddelapersonaquerealizaunagestin,ascomola integridaddelcontenido. ProporcionaelmximogradodeconfidencialidadyseguridadenInternet. Identificaunvocamentealaspartesqueseconectantelemticamente.

EnlasrelacionesconlasAdministracionespblicas Posibilidadderealizartrmitestelemticamenteyqueantesrequeran presenciafsicaconlaAdministracinPblica.

Enlasrelacionesconlasempresas Realizartrmitesalmximoniveldeseguridad.

Lafirmaelectrnica
Queslafirmaelectrnica? Lafirmaelectrnicaesuntrminodenaturalezafundamentalmentelegalqueatravsde lafirmadigital(seriedemtodoscriptogrficos)permiteestablecerunmecanismodeno repudioparadocumentoselectrnicos,aunquetambinpodremosusarlaparafirmarun documentoelectrnicousandolaclavepblicadeotrousuarioparacifrareldocumento garantizandoquetansolostepuedaleerlo.

Deestemodolafirmaelectrnicanoesmsqueunconjuntodedatosenforma electrnicaquepermitenidentificaralfirmante,teniendoelmismovalorquelafirma manuscrita.Queunemisoryunreceptorsecomuniquenpuedanidentificarse mutuamenteconlacertezadequesonelloslosqueestninteractuando.Estoevitaque terceraspersonasalterenloscontenidosdurantelacomunicacin. Existentrestiposdefirmas2: Firmaelectrnica(simple):Datosquepuedanserusadosparaidentificaral firmante(autenticidad).Puedeserdesdeunafirmagrficadigitalizada(escaneada) hastaelPINdelastarjetasdecrdito.Notieneporqugarantizarlaautenticidad delfirmantenilaintegridaddelcontenido. Firmaelectrnicaavanzada:permiteidentificaralfirmanteydetectarcualquier cambioulteriordelosdatosfirmados.Debecumplirqueseacreadapormediosque elfirmantepuedemantenerbajosuexclusivocontrolyaquesdondeseutilizala criptografadeclavepblicaconelrespaldodeuncertificadoelectrnico Firmaelectrnicareconocida(ocualificada3):esunafirmaelectrnicaavanzada peroadiferenciadelaanterior,enestecasolafirmaserealizarusandoun certificadoreconocido(certificadoqueseotorgatraslaverificacinpresenciadela entidaddelfirmante)ygeneradamedianteundispositivosegurodecreacinde
2 SololosdosltimostiposdefirmassonreconocidasporlaLey59/2003,de19dediciembre. 3 PortraduccindeltrminoinglsqualifiedqueapareceenlaDirectivaEuropeadeFirmaelectrnica.

firma.Portantocualquierdocumentoelectrnicoconunafirmaelectrnica reconocidatendrmismovalorqueundocumentoenpapelconunafirma manuscrita.

Cmofuncionalafirmadigital? Cifrado Usaremoselcertificadodefirmareconocidapararealizarlafirmadigitalquenospermite garantizarqueeldocumentonohasidomanipuladodurantelacomunicacin. Cadapartetieneunpardeclaves,unase usaparacifrar(a)ylaotraparadescifrar. Elemisorobtieneunresumendelmensaje (b)afirmaraplicandounafuncinllamada hash4(c)sobrelosdatosiniciales.El resumenesotroconjuntodedatosde tamaofijo,independientementedel tamaooriginaldelosdatosaresumir,y quetienelapropiedaddeestarasociado unvocamentealosdatosiniciales,esdecir, esimposibleencontrardosmensajes distintosquegenerenelmismoresultadoal aplicarlafuncinhash. Elemisorcifra(d)elresumendelmensaje conlaclaveprivada(a)quepermitir garantizarelorigenyelnorepudiodel mensajeoriginal. Elsiguientepasoenlacomunicacinesadjuntarjuntoconlosdatosinicialeslafirma digital.Paraenviarelmensajecifradosepuedeutilizarlaclavepblicadelcertificadodel emisor,garantizandoquesoloasestepodrdescifrarlousandosuclaveprivada.

4 SHAyMD5sonlosdosejemplosmsusadoparaaplicargeneraresteresumen.

Comprobacindeunafirmadigital Suponemosquehemosrecibidolosdatosfirmados (firmadigital+datosiniciales)sinelcertificado electrnicoyqueestnsincifrar. Elsiguientepasoquetendrquerealizarelreceptor, delmensaje,esgenerarunnuevoresumenmediante lafuncinhash.Acontinuacindescifralafirma recibidautilizandolaclavepblicadelemisor obteniendoelresumenqueelemisorcalcul.Si amboscoincidenlafirmaesvlidaporloquecumple loscriteriosyavistosdeautenticidadeintegridad ademsdeldenorepudioyaqueelemisornopuede negarhaberenviadoelmensajequellevasufirma.

Certificadodigital
Quesuncertificadodigital? Uncertificadoelectrnicoodigitalesundocumentogeneradoyfirmadoelectrnicamente porunatercerapartedeconfianza5otambinllamadoPrestadordeServiciosde Certificacin(PSC)6quegarantizanlavinculacinentrelaidentidaddeunapersonao entidadysuclavepblica7,dndoleaconocercomofirmanteenelmbitotelemtico. LosPSCsonlasresponsablesdeemitiryrevocarloscertificadoselectrnicosutilizados pararealizarlafirmaelectrnica.Estadenominacinseoriginaporlaspropiasfunciones querealizan,yqueestdirigidaaquelosusuariosdeestainfraestructuratenganla seguridaddequeelsujetoconelquesecontactaesquindicesersinposibilidadde error. Qucontieneuncertificadodigital? Uncertificadodigitalcontieneusualmente: elnombredelapersonaoentidadcertificada

5 AutoridadesdeCertificacin:https://www11.mityc.es/prestadores/busquedaPrestadores.jsp 6 Personafsicaojurdicaqueexpidecertificadoselectrnicosoprestaotrosserviciosenrelacinconla firmaelectrnica. 7 Mtododecifradoquegarantizalaconfidencialidaddelenvodelmensaje

unnmerodeserie fechadeespiracin unacopiadelaclavepblicadeltitulardelcertificado(utilizadaparala verificacindesufirmadigital)

firmadigitaldelaautoridademisoradelcertificadodeformaqueelreceptorpueda verificarqueestaltimahaestablecidorealmentelaasociacin.

Cuantostiposdecertificadosexisten? Existendiferentestiposdecertificados,quesegnellaentidadaportanunvaloraadido diferentesaloscertificadosquelosdiferenciadelosdems.

Podemosencontrardiferentesclasificacionessegnlacomprobacindedatosque realizanoalusoalquesedestinaelcertificado.Porejemplo,segnelusosepueden clasificarcomo:Certificadospersonales,CertificadosdeServidorparaSSL, CertificadosdeInfraestructura,CertificadosdedispositivoyCertificadosparaServicios deSelladoDigitaldeTiempos. Algunoscertificadosdeejemploson: Loscertificadosdepersonafsica(ociudadano)emitidosporlaFbricaNacional deMonedaytimbresongratuitosyvanenfocadosprincipalmenteasuutilizacin antelasdistintasAdministracionesPblicas,aunquetambinsepuedeutilizarcon otrotipodeentidades8permitenrealizartodotipodetrmitesdeformaquequeda garantizadalaautoraytambinrealizarfirmaselectrnicasreconocidas.. ElcertificadoincluidoenelDNIelectrnico,gratuitotambin,permitetrabajarcon todaslasAdministracionesPblicasdelEstado,tantolasdembitoestatales, comoanivelAutonmicoyLocal. OtroscomoloexpedidosporCamerfirma,puedenutilizarseconlasCmarasde Comerciopararealizartrmitescomo,porejemplo,lagestindecertificadosde origenparalasexportaciones,etc. Cuntoscertificadospuedoposeer? Cualquierpersonapuedeobtenerdiferentescertificadoselectrnicossiemprequeestos seandeentidadesdecertificacindiferentes.Adems,unapersonafsicapuededisponer devarioscertificadoscorrespondientesaunmismoPrestadordeServiciosde Certificacinsiemprequestossean:unodeellosdepersonafsica,yotrodepersona jurdica,enelcualfigurecomorepresentantelegalovoluntariodedichaentidad.

Elphishing
Elphishingesundelitodeestafacometidoatravsdeunatransferencianoconsentida porelperjudicadomediantemanipulacininformtica
SentenciadelaSala2de12deJuniode2007

Aprincipiosdelao2000variosservidoresISPdeIrlandafueronatacadosporunjoven alicantinomenordeedadutilizandopharming,consiguiendoredirigiralosusuariosque
8 Serviciosalosquesepuedeaccederconelcertificadodeusuario: http://www.cert.fnmt.es/index.php?o=cert

visitabanunosdominiosaotrasmquinasquesehacanpasarporlaoriginalespero dondeelatacantecapturabainformacinprivadadelosusuariossinsuconsentimientoya queestabansiendoengaados. Elphishingsebasaprincipalmenteenentenderlainteligenciahumanayusarlaingeniera socialparaadquiririnformacinconfidencialdeformafraudulenta.Sonconocidoscientos decasosdondelosciberdelincuentestratandeaprovecharsedelainexperienciadelos usuariosnormalmentesuplantandolaidentidaddeunapersonaoentidadconlaquela vctimatienealgntipodeacuerdo.Algunosdelosejemplosdelasentidadesporlasque sehacenpasarson:compaatelefnicas,bancos,servidoresdecorreo,servidoresde mensajerainstantnea,etc. IntentandoevitarestetipodedelitossecreSSL(SecureSocketsLayer),unprotocolode comunicacinqueproporcionaautenticacinyprivacidadenlascomunicaciones telemticasentredospersonasoentidades. Adadehoylohabitualesquesoloelservidorseaquiengaranticesuidentidadyaquela autenticacinmutuarequierequeelservidorconozcalaclavepblicadelcliente,yesto supondraunabarrerayaquenoesfrecuentequeunusuariomediosepausarsu certificadodigital. Conestemtodoseevitanlasescuchas,lasuplantacindelremitenteysemantienela integridaddelosmensajes, Demodoquellegadoaunpuntodelprocesodecomunicacin,tantoelclientecomoel servidorintercambianlasclavespblicasparapodercomunicarse.Deestemodoel clientepuedecomprobarqueelservidoresquiendiceser. Paraaumentarlaseguridadenlaredtambinhansurgidootrosmecanimosparacifrar todaslascomunicacionesdedatosentredosentidades,porejemploelProtocoloSeguro deTransferenciadeHipertexto(HTTPS),

Fuentes :
DepartamentodeCertificacinEspaoladelaFNMT:http://www.ceres.fnmt.es PortalOficialsobreelDNIelectrnico:http://www.dnielectronico.es Wikipedia:http://es.wikipedia.org ProcedimientosTelemticosyElectrnicos:http://www.bartolomeborrego.com TransmisindeDatosyRedesdeComputadores:PearsonPrenticeHall