Archivos de la etiqueta: Encriptación

17Feb/18

Resolución nº 65 de 5 de junio de 2003, del Ministerio de la Informática y las Comunicaciones

POR CUANTO: El Decreto Ley nº 204 de fecha 11 de enero del 2000 cambió
la denominación actual del Ministerio de Comunicaciones por el de Ministerio
de la Informática y las Comunicaciones, que desarrollará las tareas y funciones que hasta el presente realizaba el Ministerio de Comunicaciones, así como las de Informática y la Electrónica que ejecutaba el Ministerio de la Industria Sidero-Mecánica y la Electrónica.

POR CUANTO: El Consejo de Estado de la República de Cuba, mediante
Acuerdo de fecha 12 de enero del 2000, designó al que resuelve Ministro de la Informática y las Comunicaciones.

POR CUANTO: El Acuerdo 3736, de fecha 18 de julio del 2000, adoptado por
el Comité Ejecutivo del Consejo de Ministros, establece que el Ministerio de la
Informática y las Comunicaciones es el organismo encargado de establecer,
regular y controlar las normas técnicas y operacionales de todas las redes
informáticas y sistemas de comunicaciones en general, nacionales e
internacionales, que funcionan en el país.

POR CUANTO: El Decreto 190 de fecha 17 de agosto de 1994 adoptado por
el Comité Ejecutivo del Consejo de Ministros (CECM), otorgó a la Empresa de
Telecomunicaciones de Cuba S.A, (ETECSA), un período de exclusividad
para prestar los servicios públicos de transmisión de datos y conducción de
señales, nacional e internacional, entre otros.

POR CUANTO: Por la Resolución Ministerial nº 23 de fecha 9 de febrero del
2000, se reguló, entre otras cuestiones, la inscripción de las Redes Privadas
de Datos.

POR CUANTO: Resulta necesario adecuar lo establecido en la referida
Resolución nº 23/2000 para ajustarla a la situación actual y al desarrollo
alcanzado por las Tecnologías de la Información.

 

POR TANTO: En el ejercicio de las facultades que me están conferidas,

 

RESUELVO:

 

PRIMERO: Toda Red Privada de Datos establecida en el territorio nacional
deberá ser inscrita en el registro existente a esos efectos en la Agencia de
Control y Supervisión del Ministerio de la Informática y las Comunicaciones, en lo adelante la Agencia.

 

SEGUNDO: La solicitud de inscripción se realizará por medio de documento
con información declarada acerca de aspectos técnicos y de tipo general de la Red, de acuerdo al formulario y al procedimiento que a esos efectos
establecerá la Agencia en un plazo de 15 días hábiles posteriores a la emisión de la presente. Los datos declarados pueden ser objeto de comprobación por los Inspectores Estatales de la Agencia.

 

TERCERO: La inscripción antes mencionada implica la autorización o licencia
para operar la Red Privada de Datos por un período de dos a cinco años,
siempre y cuando no se modifiquen de manera sustancial los parámetros que
existían al momento de la inscripción. Es facultad de la Agencia determinar, en base a los datos aportados en las solicitudes y otros de carácter técnico, el
término de duración de las licencias que se otorguen.

 

CUARTO: La entidad solicitante debe acreditar, mediante documento firmado
por el dirigente máximo de la misma, a la persona que autoriza para tramitar
con la Agencia todo lo referente a lo que en esta Resolución se establece.

 

QUINTO: El documento de autorización que se otorgue por la Agencia a una
Red Privada de Datos, contendrá los siguientes datos:
1. El número de la autorización.
2. Datos generales de la entidad o persona jurídica solicitante.
3. Período de vigencia.
4. Restricciones que explícitamente se aplican.
5. Otros aspectos que se consideren.

 

SEXTO: Vencido el plazo de vigencia la autorización de la Red podrá ser
renovada, mediante la presentación de documento de solicitud, donde se hará constar el número de la autorización anterior y los nuevos datos en caso de existir modificaciones de algún tipo desde que fue otorgada la misma. Si antes de vencerse el plazo de vigencia se introdujesen en la estructura de la Red modificaciones sustanciales en cuanto a volúmenes de equipamiento, alcance de la Red, cambio de suministrador de la conectividad u otros, deberá presentarse una solicitud de actualización a los datos anteriores mediante similar procedimiento, en virtud de lo cual se emitirá una autorización de renovación.

 

SÉPTIMO: Para la utilización de cualquier tipo de enlace inalámbrico como
parte de una Red Privada de Datos se requiere, adicionalmente a lo
establecido en la presente Resolución, cumplimentar las disposiciones vigentes que regulan el empleo de este tipo de tecnología.

 

OCTAVO: Para la utilización de cualquier tipo de aplicación que implique el
encriptamiento de la información a trasmitir, será requisito tramitar la
aprobación del Ministerio del Interior, de conformidad con lo dispuesto en el
Decreto Ley nº 199, Sobre la Seguridad y Protección de la Información Oficial, de fecha 25 de noviembre de 1999 y en su Reglamento, la Resolución nº 2/2002 del Ministro del Interior.

 

NOVENO: Las entidades autorizadas como Proveedores de Servicios de
Telecomunicaciones de Valor Agregado de Trasmisión de Datos (ISPs) están
en la obligación de exigir a todo solicitante de conexión de Redes Privadas de
Datos, el documento que acredita la inscripción de dicha Red en el registro de
la Agencia, requisito sin el cual no pueden proceder a suministrar la
conectividad solicitada.

 

DÉCIMO: Los titulares de las Redes Privadas de Datos están en la obligación
de brindar las informaciones periódicas establecidas u otras que se les
demanden, sobre aspectos estructurales, técnicos u organizativos de las
mismas, entre otras.

 

DÉCIMO PRIMERO: Las redes especiales de los órganos de la Defensa
Nacional quedan exceptuadas del cumplimiento de lo establecido en la
presente Resolución.

 

DÉCIMO SEGUNDO: En los casos de violaciones en que incurran los titulares de Redes Privadas de Datos en perjuicio del funcionamiento de las
comunicaciones o por incumplimiento de las regulaciones establecidas con
relación a las mismas en la presente Resolución o en otras disposiciones
legales vigentes, se podrán aplicar como sanciones, la anulación temporal o
definitiva de la autorización, disponer la obligación de desconectar total o
parcialmente la Red u otras que la legislación establezca al efecto, con
independencia de las medidas administrativas o penales que puedan
corresponder de acuerdo a la violación cometida.

 

DÉCIMO TERCERO: Encargar a la Agencia de Control y Supervisión del
Ministerio de la Informática y las Comunicaciones de la recepción, análisis y
dictamen de las solicitudes de inscripción, modificación o reinscripción de las
Redes Privadas de Datos, así como de la supervisión y control de lo dispuesto en la presente Resolución.

 

DÉCIMO CUARTO: Por los derechos de inscripción, modificación o
reinscripción de las Redes Privadas de Datos se abonará la cantidad de $25.00 pesos, en Moneda Nacional o en Moneda Libremente Convertible, según corresponda.

 

DÉCIMO QUINTO: Las autorizaciones a las Redes Privadas de Datos emitidas por la Agencia con anterioridad a la publicación de la presente, no requerirán ser actualizadas mientras no se venza su plazo de vigencia o se introduzcan a las mismas, modificaciones importantes, tal como se establece en el Apartado Sexto.

 

DÉCIMO SEXTO: Derogar expresamente la Resolución Ministerial nº 23 de
fecha 9 de febrero del 2000.

 

COMUNIQUESE a los Viceministros, a la Dirección de Regulaciones y Normas, a la Agencia de Control y Supervisión y a cuantas más personas naturales o jurídicas deban conocerla.

 

ARCHÍVESE el original en la Dirección Jurídica del Ministerio de la Informática y las Comunicaciones.

 

PUBLÍQUESE en la Gaceta Oficial de la República de Cuba

 

Dada en Ciudad de La Habana, a los 5 días del mes de junio del 2003,

 

GLOSARIO DE TÉRMINOS Y DEFINICIONES

Red Privada de Datos es aquella red situada en una misma o en distintas
localidades geográficas e interconectadas entre sí por enlaces de
telecomunicaciones, establecida y operada por una persona jurídica para
satisfacer sus necesidades propias de transmisión de datos, no pudiendo
prestar estos servicios a terceros, aunque podrá solicitar interconexión con la
Red Pública de Transmisión de Datos.

Proveedores de Servicios de Valor Agregado de Trasmisión de Datos
(ISPs): Son las personas jurídicas autorizadas por el Ministerio de la
Informática y las Comunicaciones a brindar los servicios públicos de valor
agregado o añadido de trasmisión de datos.

19Jun/03

III Jornadas Nacionales de Seguridad Informática

El 19 y 20 de junio del 2003 se realizarán en Bogotá – Colombia, Las JORNADAS NACIONALES DE SEGURIDAD INFORMÁTICA, al mismo que se invita a todos aquellos interesados en presentar trabajos de investigación realizados o casos de la industria sobre el tema, con el fin de compartir la experiencia, implementación y hallazgos en temas como:

  • Modelos de Seguridad Informática
  • Seguridad en dispositivos móviles e inalámbricos
  • Mecanismos de Autenticación y control
  • Políticas y estándares de seguridad
  • Mejores prácticas de seguridad informática
  • Algoritmos de Encriptación, VPN, PKI,
  • Contingencia y recuperación de desastres
  • Técnicas de Hacking y análisis de vulnerabilidades
  • Seguridad en el perímetro
  • Seguridad en Bases de Datos
  • Seguridad en Sistemas Operacionales y redes
  • Computación forense y atención de incidentes
  • Evidencia Digital y procedimientos asociados.
  • Análisis de riesgos de seguridad informática
  • Consideraciones éticas y legales de la seguridad informática

CORPECE ha sido invitado a participar en este importante evento, al que se han invitado profesionales internacionales de países como España, México, Alemania, entre otros.

Si desea más información de este evento o como participar contactenos o visite el sitio.

 

09Jun/03

La firma electrónica: mayor seguridad en la red

La firma electrónica: mayor seguridad en la red

Se proponen cambios en la regulación de la firma electrónica, para impulsar el comercio electrónico. La confianza y la seguridad de los usuarios es clave para conseguirlo. Pero, ¿sabe usted qué es exactamente y cómo funciona?

¿Qué es la firma electrónica?

La firma electrónica o digital es un conjunto de datos electrónicos que identifican a una persona en concreto. Suelen unirse al documento que se envía por medio telemático, como si de la firma tradicional y manuscrita se tratara, de esta forma el receptor del mensaje está seguro de quién ha sido el emisor, así como que el mensaje no ha sido alterado o modificado.

La firma electrónica puede utilizarse en el sector privado, para contratación privada por vía electrónica, entre empresa y consumidor (por ejemplo, la compra de un libro o un compacto por Internet) y entre empresas (por ejemplo, realizar un pedido a un distribuidor) o incluso entre los mismos consumidores finales (por ejemplo, venta de una raqueta de 2° mano, una colección de monedas etc).
También nos sirve para realizar actuaciones con y entre la Administración, es decir, sirve tanto para las relaciones entre los propios entes públicos que la forman como para las relaciones del ciudadano con la Administración (por ejemplo, algo tan simple como la renovación del D.N.I, la solicitud de prestaciones a la Seguridad Social o incluso la presentación de la declaración de la renta por Internet con el conocido programa “Padre”).

¿Cómo funciona la firma electrónica?

La firma electrónica funciona mediante la encriptación o cifrado de los datos que la componen, de forma que si no se tiene la clave, el documento se convierte en ilegible.
Para ello es necesario contar con un par de claves :clave privada y clave pública que se corresponden de forma matemática. Pongamos un ejemplo, escribimos un documento y lo firmamos con nuestra clave privada y lo enviamos a nuestro receptor al cual previamente le habremos otorgado nuestra clave pública, esta clave pública es la que permite verificar la procedencia del mensaje y que verdaderamente ha sido firmado por nosotros, que somos los únicos poseedores de la clave privada)

Con esta encriptación se consigue que :

  • La información enviada bajo la firma electrónica sólo pueda leerse por la persona autorizada que posea la clave.
  • Acreditar la identidad de quien firma el documento electrónicamente.

¿Cuántos tipos de firma electrónica existen?

En nuestra actual normativa existen dos tipos: la básica y la avanzada.

La firma electrónica básica contiene un conjunto de datos recogidos de forma electrónica que formalmente identifican al autor y se incorporan al propio documento, pero este sistema tiene algunos problemas. ¿cómo sabemos que los datos enviados hayan sido creados por la persona que lo firma o que verdaderamente lo ha firmado él y no una tercera persona haciéndose pasar por él?.

Para resolver este problema se crea la firma electrónica avanzada , a la que nuestro ordenamiento atribuye plena eficacia jurídica y valor probatorio en juicio. Permite la identificación del emisor del mensaje ya que está vinculada de manera única al que firma el documento y a los datos que incorpora, debido a que es el signatario quien únicamente posee el control exclusivo de estas claves, además de que permite saber si estos datos han sido modificados posteriormente o en su transcurso.

Sin duda son figuras todavía desconocidas y complicadas para el uso y entendimiento de la población , no sólo porque son tratadas desde un punto de vista excesivamente técnico, sino por la propia ambigüedad que produce la lectura de las definiciones que ofrece la regulación actual.

¿Quién autentifica las firmas electrónicas?

Las autoridades de certificación, que son personas o entidades que cumplen una serie de requisitos legales y que deben ser autorizados por el Ministerio de Justicia para otorgar certificados que acrediten que la persona o entidad que usa dicha firma es ciertamente quien dice ser.

Las principales autoridades de certificación que operan en España y que por consiguiente se hayan debidamente acreditadas son:

  1. Agencia de Certificación Electrónica (ACE), está homologada por Visa y Mastercard y ofrece certificados para Entidades y Corporaciones dentro de Comercio electrónico y de comunicaciones a través de Internet. (www.ace.es)
  2. Fundación para el Estudio de la Seguridad de las Telecomunicaciones (FESTE), se trata de entidad formada por registradores, notarios, abogados, la Universidad de Zaragoza e Intercomputer S.A y su principal actuación se dirige a la contratación privada. (www.feste.es)
  3. Certificación Española (CERES), es una entidad de certificación pública que lleva a cabo la Fábrica Nacional de Moneda y Timbre. Su campo de actuación es la garantía de seguridad, validez y eficacia de comunicaciones entre los órganos de la Administración Pública y entre las personas físicas y jurídicas que se relacionen con ella, sin olvidar servicios de Comunidades autónomas, Entidades Locales y de derecho público siendo necesario únicamente un convenio previo.(www.fnmt.es/faq.htm).

En España la prestación de estos servicios es libre, si bien existe un procedimiento voluntario, que es la acreditación, mediante la cual la Administración, realizando las evaluaciones técnicas de rigor , emite una resolución o documento oficial donde certifica que ese Prestador cumple con las normas de calidad y seguridad establecidas en cuanto a sus procedimientos y a los productos y tecnología que utiliza.

¿Qué necesitamos para emitir un documento con firma digital avanzada?

Primeramente necesitaremos una serie de requisitos técnicos en nuestro ordenador, como es un navegador del tipo Nestcape o Microsoft Internet Explorer 4.0 o superior, en segundo lugar contactar con una Autoridad de certificación de firmas, como por ejemplo la Agencia de Certificación Electrónica, Verisign, IPS, etc, estas entidades comprobarán su identidad y le facilitarán un juego de claves (pública o privada) además de que le expedirán un certificado.

Actual Regulación: R.D.Ley 14/1999, de 17 de Septiembre sobre firma electrónica.

España es un país pionero en lo que respecta a la regulación de la firma electrónica, de hecho el Real Decreto fue publicado antes que la Directiva europea de 13 de Diciembre de 1999 de armonización de la firma electrónica.

Se critica de este Real Decreto Ley , precisamente que sea un Decreto la norma que regule la firma electrónica y que fuera aprobado con carácter de urgencia, y no una ley aprobada de forma consensuada y debatida en el Parlamento.

Su contenido es demasiado técnico y de difícil comprensión por personas no especializadas en la materia, incluidos jueces y abogados cuando realizan una interpretación de los mismos, asimismo se centra demasiado en aspectos administrativos, dejando un vacío respecto al verdadero y cotidiano uso de la firma por particulares.

Además observamos una falta de concreción con respecto a los requisitos necesarios para la prestación de servicios de certificación y a la posición de preeminencia que se otorga a las Administraciones Públicas pareciendo impedir en muchos casos el acceso al mercado de operadores privados dejando en muchos casos en entre dicho la libertad de competencia. También sería deseable que hubiera una autoridad claramente definida con una competencias marcadas en la tramitación de los “servicios de la sociedad de la información”, como en el caso que nos ocupa la firma electrónica, ya que da la sensación de no saber dónde acudir.

Anteproyecto de Ley de firma electrónica

Se pretende dotar a la firma electrónica de una regulación legal, respecto a su forma y limar algunos de sus contenidos, algo que la propia evolución social y tecnológica clamaba desde hace tiempo.

La validez jurídica de la firma electrónica sigue teniendo la plena eficacia jurídica y probatoria.

Sin embargo podemos observar dos novedades importantes en este anteproyecto:

1º/ Creación del DNI electrónico, de este modo todos los ciudadanos podrán emitir firmas electrónicas certificadas por la Administración del Estado. Será muy útil en trámites administrativos, transacciones electrónicas y banca online.

2º/ Regulación de los certificados de personas jurídicas.
Las solicitarán los administradores, representantes legales y apoderados de la persona jurídica, es decir se requiere que haya una persona física con vinculación a la persona jurídica.

Será un gran paso para la seguridad jurídica entre empresas y como impulso del comercio electrónico.

Se pretende que cada vez más se extienda a la población en general y deje de ser un servicio prácticamente exclusivo de empresas y Administraciones Públicas.

Es deseable una distinción clara entre firma básica o simple y firma avanzada, en qué consisten , cuales son sus efectos y qué utilidades ofrecen para el usuario en función del destino que le vaya a dar.

Respecto a las entidades de certificación , es criticable la falta de transparencia hacia los ciudadanos de cual es su procedimiento.

Primeramente ante el desconocimiento de quién puede realizar estos servicios, qué requisitos deben cumplir, si están o no acreditados, en qué medida la acreditación influye en la prestación del servicio y las responsabilidades que conlleva etc, y en segundo lugar, la falta de información que existe sobre los servicios que se ofertan , los precios de los mismos, su utilidad real, y el procedimiento para llevarlos a cabo.
En la práctica nos encontramos con servicios dirigidos a un público demasiado especializado, que producen impotencia en el usuario ante la amalgama de términos empleados, también son frecuentes los enlaces a otras paginas, llevando al usuario a un desconcierto y la confusión.