¿Cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?

Certificados digitales

Desde hace algún tiempo se habla mucho de los certificados digitales. Se trata de un medio que garantiza la identidad de una persona, empresa o entidad en Internet. Permite realizar trámites con la Administración y otros portales, de forma más segura, rápida y cómoda. Para los autónomos y sociedades es fundamental contar con un certificado digital, ya que la Agencia Tributaria obliga a presentar una serie de documentos de forma telemática. Pero… ¿cómo gestiona vuestra empresa o despacho profesional los certificados digitales de terceros?

El problema de los certificados digitales llega cuando es un gestor o un despacho profesional o una empresa que se ocupa de todos los trámites de sus clientes. Y….

¿qué pasa entonces? Lo que suele ocurrir es que solicitan una copia y la contraseña del certificado digital a sus clientes.

¿Y qué ocurre? Que ese certificado y su contraseña va de mano en mano cada vez que alguien de la oficina debe hacer un trámite. Porque normalmente el que se ocupa de la Seguridad Social es uno y el que hace la declaración de la renta es otro. Y así sucesivamente, porque son muchas las gestiones con la Administración: realizar consultas y/o peticiones, enviar documentación o firmar documentos para la Agencia Tributaria, la Dirección General de Tráfico y muchas otras. Así lo explican en la web de Holded, un útil programa de gestión para empresas, y que nosotros usamos en nuestro día a día.

¿Y si el trabajador de la empresa teletrabaja? Pues se lleva el certificado y la contraseña a su ordenador personal
si no tiene de empresa para realizar los trámites desde su domicilio.

¿Dónde guarda la empresa este certificado? Normalmente en una carpeta que forma parte de un árbol de clientes donde se acumulan los certificados de todos ellos.

Pero eso, ¿cumple la ley de Protección de Datos? Evidentemente, no.

¿Y a efectos de ciberseguridad, qué nivel de seguridad es ese? Está claro, ¿no? ¡Ninguno!

● ¿Qué ocurre si es despacho profesional, gestoría o empresa desea certificarse con la ISO 27001, otra normativa, o pasar una auditoría externa? Pues que no va a poder ser. Uno de los primeros ítems que se precisa es tener muy bien preservado los datos sensibles como es un certificado digital.

¿Qué es exactamente un certificado digital?

Un certificado digital no es más que un fichero informático firmado electrónicamente por un prestador de servicios de certificación, como podéis leer en la Wikipedia. Normalmente existen dos claves, una privada y otra pública y trabajan de forma complementaria.
Tenéis información al respecto en el portal de la administración electrónica del Gobierno AQUÍ.

Estos certificados digitales se pueden obtener en diferentes lugares, pero el más usado y típico es obtenerlo a través de la Fabrica Nacional de Moneda y Timbre, siguiendo las instrucciones que encontraréis en su web. El trámite es relativamente sencillo, aunque a veces parece que cuesta sacarlo. Por supuesto hay que pagarlo, entre 14 y 29,04 euros, para las personas jurídicas.
Otra cosa importante es que hay que estar atento a su caducidad, que suele estar en torno a los dos años. Puede renovarse hasta dos meses antes de la fecha final.

¿Cómo gestionar estos certificados?

Se suelen guardar como copia, en una carpeta, casi siempre sin contraseña, tanto en el repositorio, como en el mismo certificado. El certificado se instala localmente en cada máquina de cada usuario, lo que implica que las gestiones se deben hacer con el mismo navegador con el que se ha obtenido o importado. Con él se se suelen realizar una o varias peticiones, al año, trimestre o mes, según las necesidades de cada cual. Pero ¡cuidado!, porque normalmente la trazabilidad, gestión, y control, es ínfimo.

Hay que saber que el mercado ofrece varias opciones para gestionar los certificados digitales, tanto propios como de terceros, tanto integrados en programas de gestión, como en webs, aplicativos o a través de servidores on-premise, o en cloud. No os asustéis por estos términos. Un software on-premise no significa otra cosa que se instala en los servidores y dispositivos locales de las empresas, a diferencia del cloud, en cuyo caso los servidores están en la nube.

Nosotros, ya que era una necesidad constatada de nuestros clientes, hemos empezado a trabajar con uno de los mejores softwares, Redtrust, que es de una empresa española, adquirida el año pasado por la empresa de Estados Unidos, Keyfactor.
Redtrust es una solución que permite el uso seguro, controlado y centralizado de los certificados digitales de vuestra empresa y vuestros clientes, sin que estos lleguen a estar almacenados en las estaciones de trabajo de los usuarios.

¿Cómo gestiona vuestra empresa o despacho profesional los certificados digitales? Redtrust es una magnífica herramienta de gestión de certificados digitales.

Su software permite hacer todo lo que necesita una empresa con muchos certificados, TANTO SUYOS COMO DE TERCEROS, ya sea a través de una solución en servidor propio, dentro de la empresa, o en una máquina virtual o cloud. El listado de acciones es enorme, pero aparte de subirlos a un repositorio seguro, etiquetarlos, asignarles usuarios o grupos, se puede dar permisos de uso, de firma, a usuarios, a URLs concretas o acciones.

Si el usuario que tiene que hacer alguna gestión tiene muchos certificados asignados, puede, antes de realizar dicha gestión, buscar en el agente que se instala, los certificados a usar, para que no tenga que mirar el listado interminable en la ventana emergente que sale en este tipo de acciones.

Finalmente tenemos avisos por uso debido o indebido, o un registro con todas las acciones, para auditar todas las acciones y ver si concuerdan. Esto nos evitará, duplicidades (o muchas más) instalaciones de certificado, que cualquiera pueda consultar datos, o lo que es peor, realizar acciones no demandas, y sobre todo tener un control exhaustivo de nuestros certificados, y de su caducidad, para adelantarnos, y evitarnos las engorrosas gestiones de una vez caducados.

¿Es vuestro caso?
¿Gestionáis multitud de certificados digitales y no sabéis cómo controlarlo?
Pensad que sois responsables de esos certificados y de las acciones que se realicen.
Así que si necesitáis ayuda con este tema no lo dudéis y poneros en contacto con nosotros.
TECNOideas puede daros este servicio, de forma aislada si lo deseáis. Es decir que no es necesario que nos ocupemos de vuestras redes para daros este servicio,
aunque sí es recomendable, claro.

Imagen principal: Gert Altmann en Pixabay.

Leer más
No Comments

Nueva versión GuardedBox, y es ya la 2.0

logoGuardedBox v2

Uno de los mayores riesgos en el que ponemos a nuestros sistemas tiene lugar con el envío de información sensible a través de email o mensajería instantánea, pensando que eso es seguro. Craso error. Eso es un peligro público. Por suerte hay softwares que os permiten hacerlo con total seguridad y uno de los mejores, que además es “made in Spain” y gratuito, es GuardedBox. Ahora acaban de presentar la nueva versión GuardedBox, la 2.0.

Pues como nosotros, GuardedBox llega a la versión 2.0, un software para compartir datos sensibles entre usuarios o entre diversas personas de un mismo grupo. Léase también de la misma empresa.
También acarrea nuevo logo, porque ya se sabe, versión nueva, logotipo nuevo. Aquí os lo presentamos.

GuardedBox versión 2.0

Para los que no conozcáis todavía GuardedBox, deciros que es un software online, que sirve para almacenar datos y contraseñas, de forma segura y para compartirla entre una persona o un grupo. Nació en abril de este año y un poco después ya os hablamos de él en este mismo blog.

Probamos el sistema y realmente es de uso sencillo y seguro, por lo que nos atrevimos a recomendarlo vivamente. Desde su salida al mercado los responsables de GuardedBox ya empezaron a trabajar en mejorar sus prestaciones. A través de su Twitter llevaban tiempo adelantado las nuevas funcionalidades de esta versión, pero al comprobar el changelog uno se asusta al ver todo lo que han sido capaces de mejorar:

  • Cambio de contraseña
  • Secretos de grupo editables
  • Dispositivos de confianza con 2FC
  • Secretos offline
  • Protección contra Rainbow Tables
  • Cuenta atrás o temporizador de fin de sesión
  • Y varios más…

Describirlos todos costaría un par de post, pero si queréis saber más, podéis consultar su changelog.
Antes os decíamos que GuardedBox era un software creado en España. La empresa que lo creó y que está detrás de la nueva versión GuardedBox es DinoSec. Se trata de una compañía independiente de seguridad fundada en España en el año 2008. Y sus responsables son Mónica Salas y Raúl Siles, analistas de seguridad y fundadores de DinoSec. La tercera pata de la empresa es Juan José Torres, el creador original de GuardedBox.
Para conocerlos mejor y saber más del producto, TECNOideas los entrevistó. Podéis leer la entrevista AQUÍ.

Si sois de los que trabaja en equipo y pensáis, como nosotros, que enviar contraseñas por WhatsApp, Telegram o email, es caduco y poco seguro, tenéis que usar este software, que además, de momento, es gratuito.

TECNOideas 2.0 ciberseguridad tiene entre sus servicios la consultoría de ciberseguridad, por si su empresa no cuenta con un CISO, o necesita una versión externa. Nosotros usamos varias soluciones en nuestro día a día, y como no las recomendamos, cada una de ellas.

Leer más
1 Comment

Servicio Firefox Monitor

firefox monitor logo bueno
Firefox Monitor

El artículo de hoy va de autodefensa, de como usar un servicio para monitorizar nuestras cuentas de correo, y ver si están en alguna lista de filtraciones de datos y contraseñas.

Se llama como indica el título Firefox Monitor, y has de tener una cuenta de Firefox (de su servicio Sync por ejemplo), para que dentro de la cuenta se guarden los datos.

¿Y que datos son? Pues las cuentas de correo que tengamos su uso o propiedad (se verifican con un correo y link personalizado), y vayamos añadiendo con el tiempo.

Este servicio coteja las bases de datos de los sitios que van saliendo a la luz, con tus cuentas registradas, y te envía avisos en caso de que se haya vulnerado la seguridad de los sitios y sus datos.

Si hay un aviso de cualquier problema recibiremos un email con los datos filtrados, donde se encontró la filtración, y los pasos para minimizar esta situación.

Leer más
No Comments

Navegación anónima y navegación privada.

navegacion anonima o privadaAnónimo y privado pueden parecer lo mismo, fuera y dentro de la tecnología, pero al menos en este último, no lo son. La navegación anónima es de la que tanto se habla últimamente, con las fugas de privacidad de sitios, robos de identidades, etc… pero no va por ahí.

Cuando navegamos queda un rastro sobre nosotros (ip, equipo, sistema operativo, nuestras cookies…) por allí por donde pasamos, y que suelen aprovechar para vendernos cosas o publicitarnos otras. Pero también pueden servir si hacemos algo "malo", y que un juez dictamina que es delito, rastrear y que sirvan como prueba.

La navegación privada que dan como opción algunos navegadores, es simplemente que en esa sesión de bucear por la red no se almacenen datos en la caché ni en el historial del mismo, para que nadie se entere si lo compartimos.

No entraremos más profundamente si la primera opción es básica para cualquier ciudadano (y que no suele servir si queremos entrar en determinados sitios que acepten cookies) o si la segunda vale para algo más para esconder que hacemos al jefe (habiendo firewalls y servicios dns externos que ya hacen de chivato) o a la pareja (XXX), sólo queremos aclarar dudas que salen con este enrevesado lenguaje.

Leer más
No Comments