Número 1

La firma electrónica en dispositivos móviles

2

Prólogo 3

Prólogo 3

Nuestros inicios 4

Marco Legal 6

Conceptos básicos sobre Viafirma Mobile 8

¿La firma electrónica se realiza realmente en el dispositivo móvil, o en un servidor? 9

¿Dónde residen los certificados digitales que se utilizan para realizar la firma en movilidad? 10

¿Cómo se instalan los certificados en el dispositivo móvil? 11

¿Qué nivel de firma electrónica se puede alcanzar desde un dispositivo móvil? 13

¿En qué tipo de aplicaciones puedo introducir firma móvil? 14

Quiero tener servicios de firma móvil en mi organización 14

¿En qué tipo de aplicaciones puedo introducir firma móvil? 14

Ya tengo una plataforma de firma. Para tener firma móvil, ¿debo sustituirla? 15

Introducción firma digitalizada 16

Escenarios de uso de la firma móvil 17

eGovernment 17

¿Por qué m-government? 17

La firma electrónica, piedra angular de la Administración electrónica 18

La firma electrónica móvil, un reto tecnológico 18

Viafirma como solución de firma electrónica móvil 19

Banca electrónica móvil 20

eSalud - Consentimiento informado 21

3

Lafirmaelectrónicaendispositivosmóviles

Parece que fue ayer cuando comenzamos con la primera versión Alfa de nuestra plataforma de autenticación y firma digital liberada como software libre. En aquel entonces, no podríamos adivinar que el proyecto de fin de carrera de uno de los integrantes de la empresa acabaría convirtiéndose en lo que es hoy, una plataforma que alcanza la mayor matriz de compatibilidad del mercado en cuanto a firma electrónica se refiere y con la que se puede firmar en dispositivos que por aquel entonces ni existían (el concepto de tablet probablemente ni habría rondado la mente del gran Steve Jobs).

Mucho ha llovido desde entonces, y la realidad actual nos indica que como todo lo móvil, la firma electrónica en este tipo de dispositivos está a la vanguardia de la tecnología, por tanto, la necesidad de profundizar con más detalle en este concepto es lo que nos ha llevado a publicar este ebook donde intentaremos explicar nuestros inicios y los principales conceptos de esta peculiar modalidad de firma.

A modo de introducción, podemos decir que las principales plataformas de firma electrónica del mercado, entre las que se encuentra Viafirma Platform, permiten dotar de funcionalidades de autenticación y firma electrónica a las aplicaciones web y de escritorio que se integran con estas plataformas. En este escenario tradicional, los usuarios acceden desde su ordenador con navegadores web (o aplicaciones de escritorio) a las aplicaciones dotadas de firma digital.

Sin embargo, con el paso del tiempo cada vez son más los usuarios que interactúan con los sistemas de información a través de dispositivos móviles: teléfonos inteligentes (smartphones), tabletas táctiles... por lo que aparece la necesidad de la firma electrónica en estos dispositivos.

Si estamos un poco al tanto de la legislación actual de firma electrónica en España al contratar servicios de “firma móvil”, tal y como hemos bautizado a estas operaciones, debemos preguntarnos si de verdad las firmas realizadas desde este tipo de dispositivos cumplen con la legalidad actual y que seguridad aportan de cara al usuario.

Prólogo

4

Nuestrosinicios

Exactamente el 29 de Julio de 2010, publicabamos en nuestro blog xnoccio.com nuestro primer titular relacionado con dipositivos móviles: “Viafirma ya disponible en el Apple Store y Android Market”. Le contábamos al mundo que el componente de Viafirma para Android/iPhone/iPad ya estaba disponible tanto en la App Store como en Android Market de forma totalmente gratuíta. De esta forma Viafirma se convertía en la primera plataforma en soportar la autenticación y firma digital en estos dispositivos.

Una vez más, ampliabamos nuestra Matriz de Compatibilidad, garantizando el principio de Neutralidad Tecnológica citada en la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Además, ya entonces, ofrecíamos soporte para los principales formatos de firmas y módulos para la integración de nuestra plataforma con terceros en los lenguajes de programación más comunes.

Larga y diversa era la lista de autoridades de certificación que soportaba ya nuestra plataforma:

• Firmaprofesional.• Camerfirma (Cámara de Comercio).• Ancert (Agencia Notarial de Certificación).• Izenpe (Gobierno Vasco).

• ACA (Autoridad de Certificación de la Abogacía).• ANF AC (Asociación Nacional de Fabricantes).• Avansi (primera CA autorizada en la República

Dominicana).• Cámara de Comercio y Producción de Santo Domingo

(República Dominicana).• Firma Digital (Sistema Nacional de Certificación Digital de

Costa Rica).• SINPE (Sistema Interbancario de Negociación y Pago

Electrónico) – Costa Rica.• DNIe.• FNMT (Fábrica Nacional de Moneda y Timbre) * requiere

convenio con la FNMT.

Articulos relacionados:

http://www.xnoccio.com/1247-firma-digital-movil-en-ipad_iphone_firma_electronica/http://www.xnoccio.com/1201-android-y-mi-certificado-digital/

En agosto del mismo año registramos descargas para los clientes de Viafirma de 544 instalaciones desde Google Market y 173 desde Apple Store.

Nuestros iniciosPrimera imagen promocional de nuestros productos

5

Android 2.3.3 +

Android 2.1

Android 2.2

Android 4.0.3 - 4.0.4

Android 1.5

Android 3.2

Android 1.6

Android 3.1

Android 1.1

Otras

Lafirmaelectrónicaendispositivosmóviles

En octubre incluimos un nuevo cliente para Blackberry.http://www.xnoccio.com/es/1545-viafirma-firma-electronica-blackberry/

En Febrero de 2012, Windows Phone.http://www.xnoccio.com/es/2459-firma-electronica-windows-phone-viafirma/

En la actualidad, contamos con más de 5.100 instalaciones desde el renombrado Google Play. Aquella primera aproximación a la firma en movilidad ha sufrido grandes cambios y mejoras que iremos describiendo en este ebook.

2008 - 2010 2011 - Actualidad

Nosólolascaracterísticastécnicasdeviafirmahancambiado,suimagencorporativatambiénhaidoevolucionandoparaadaptarsealosnuevostiempos.

6

MarcoLegal

Para la correcta comprensión de todos los conceptos que iremos explicando, necesitamos situarnos en el contexto legal en el que nos hemos basado para desarrollar nuestra actividad. Sin ánimo de extendernos en esto, he aquí un resumen de los apartados más relevantes de la ley de firma electrónica vigente en España desde 2003:

LEY 59/2003 de 19 de diciembre, de firma electrónica.

Los sujetos que hacen posible el empleo de la firma electrónica son los denominados prestadores de servicios de certificación. Para ello expiden certificados electrónicos, que son documentos electrónicos que relacionan las herramientas de firma electrónica en poder de cada usuario con su identidad personal, dándole así a conocer en el ámbito telemático como firmante.

Resumen del Artículo 3.

Firma electrónica, y documentos firmados electrónicamente: Se considera documento electrónico el redactado en soporte electrónico que incorpore datos que estén firmados electrónicamente. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante, detectarcualquier cambio ulterior de los datos firmados vinculados al firmante de manera única y creada por medios que el firmante puede mantener bajo su exclusivo control. El soporte en que

se hallen los datos firmados electrónicamente será admisible como prueba documental en juicio.

Asimismo, debe destacarse que la ley define una clase particular de certificados electrónicos denominados certificados reconocidos, que son los certificados electrónicos que se han expedido cumpliendo requisitos cualificados en lo que se refiere a su contenido, a los procedimientos de comprobación de la identidad del firmante y a la fiabilidad y garantías de la actividad de certificación electrónica.

Los certificados reconocidos constituyen una pieza fundamental de la llamada firma electrónica reconocida, que se define como la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

La ley contiene las garantías que deben ser cumplidas por los dispositivos de creación de firma para que puedan ser considerados como dispositivos seguros y conformar así una firma electrónica reconocida. La certificación técnica de los dispositivos seguros de creación de firma electrónica se basa en el marco establecido por la Ley 21/1992. A la firma electrónica reconocida le otorga la ley la equivalencia funcional con la firma manuscrita respecto de los datos consignados en forma electrónica.

Marco Legal

7

Lafirmaelectrónicaendispositivosmóviles

En cuanto al DNIe, la ley se limita a fijar el marco normativo básico poniendo de manifiesto sus

dos notas más características —acredita la identidad de su titular en cualquier procedimiento

administrativo y permite la firma electrónica de documentos— remitiéndose a la normativa

específica en cuanto a las particularidades de su régimen jurídico.

8

ConceptosbásicossobreViafirmaMobile

Lafirmaelectrónicamóvilpermiteincorporarfirmaelectrónicaconcertificadossobre documentos electrónicos desde una tablet (iPad, tablets Android comoSamsungGalaxyTaboGalaxyNoteoBlackBerryPlayBook)osmartphone(iPhone,Android,WindowsPhone,BlackBerry)conplenavalidez legalycumpliendo losrequisitosdelaLeydeFirmaelectrónica.

Conceptos básicos sobre Viafirma Mobile

9

Lafirmaelectrónicaendispositivosmóviles

En criptografía, PKCS (Public-Key Cryptography Standards) se refiere a un grupo de estándares de criptografía de clave pública concebidos y publicados por los laboratorios de RSA en California.

Mensajeen claro

Mensajecifrado

Mensajeen claro

En concreto el PKCS#12 define un formato de fichero usado comúnmente para almacenar claves privadas con su certificado de clave pública protegido mediante clave simétrica.

PKCS#12

¿La firma electrónica se realiza realmente en el dispositivo móvil, o en un servidor?Para hacer firma electrónica en navegadores web tradicionales, se desarrollan applets Java (programas que puede incrustarse en una página Web), ya que es la única forma viable de realizar las operaciones de firma electrónica localmente, es decir, en el ordenador de cada uno, interactuando con el almacén de certificados local del ordenador.

Ello es debido a que para alcanzar un nivel mínimo de firma electrónica avanzada, el certificado debe estar bajo el control exclusivo del usuario. Si en aplicaciones web tradicionales se utilizan estos applets en lugar de invocaciones a firma en servidor, es comprensible concluir que debería ocurrir lo mismo en el mundo de la firma electrónica móvil. PREGUNTA: La firma electrónica en movilidad de Viafirma, ¿es avanzada o reconocida, ejecutándose dentro del dispositivo móvil, o por el contrario se basa en llamadas a firmas en un servidor central?

RESPUESTA: La firma electrónica se realiza íntegramente dentro del dispositivo móvil, alcanzando el nivel mínimo de firma electrónica avanzada cuando se realiza con certificados software en formato PKCS#12, o incluso firma electrónica reconocida cuando se utiliza nuestro lector de smartcards

(válido para DNIe y otro tipo de tarjetas criptográficas) para iPhone e iPad.

Para poder realizar la firma electrónica localmente en el dispositivo, la única forma técnicamente viable es construir y publicar aplicaciones nativas para cada sistema operativo móvil (se considera aplicación nativa, a quella aplicación que se instala en el propio dispositivo y se desarrolla utilizando un lenguaje de programación compatible con el sistema operativo del dispositivo, mientras que una aplicación web móvil necesita de un navegador web).

Por ello, se puede descargar gratuitamente nuestro cliente de firma electrónica móvil Viafirma en los distintos mercados de aplicaciones de Apple iOS (para iPhone, iPad, etc.), Android, BlackBerry y Windows Phone.

Cualquier solución que afirme tener firma electrónica móvil, pero no disponga de aplicaciones nativas que realicen las operaciones criptográficas localmente, estará realmente ejecutando una firma en un servidor, algo que, bajo nuestro punto de vista, no puede considerarse firma electrónica avanzada al obligar a un usuario a entregar su certificado a un tercero, perdiendo así el control exclusivo del mismo.

10

ConceptosbásicossobreViafirmaMobile

Una tarjeta inteligente (smart card), o tarjeta con circuito integrado (TCI), es cualquier tarjeta del tamaño de un bolsillo con circuitos integrados que permiten la ejecución de cierta lógica programada.

Protocolo de encriptación de la información a través de Internet.

Smart Card

SSL

¿Dónde residen los certificados digitales que se utilizan para realizar la firma en movilidad?Hemos hablado anteriormente sobre que la firma electrónica se ejecuta de forma local en el dispositivo móvil, alcanzando por ello un nivel de firma electrónica avanzada o incluso reconocida (mediante el uso de “smartcards” o “tarjetas inteligentes” como el DNI electrónico). Por ello, se dispone de guías de instalación de certificados para cada uno de los sistemas operativos móviles soportados que explicaremos en apartados siguientes.

En todo caso, explicaremos brevemente dónde reside el certificado digital en cada caso:

El certificado digital reside sobre el keystore (almacén de claves) local de la aplicación móvil Viafirma. Si bien es cierto que los dispositivos iOS dis-ponen de un almacén de certificados central (profiles), éste no es accesible desde las aplicaciones móviles.

Por ello, aunque dispongamos de un certificado instalado sobre un profile en nuestro iPhone o iPad, y podamos autenticarnos en algunos portales web que tengan el acceso restringi-do a autenticación de cliente SSL con certificado, Viafirma Mobile no puede utilizar ese certificado para firmar. Por ello, debe instalarse el certificado so-bre la aplicación, tal y como recomien-da Apple en su web de desarrolladores. Por otro lado, cuando se utilice una smartcard (como el DNIe o DNI electró-nico) con nuestro lector móvil, obvia-mente el certificado reside “dentro” de la tarjeta criptográfica.

El certificado digital reside en este caso sobre la tarjeta SD del dispositivo (en versiones anteriores a la 4). A partir de la versión 4.0, Android implementa Keychain (almacén de certificados cen-tral).

El certificado digital reside en el alma-cén de certificados central del disposi-tivo, que sí es accesible desde aplica-ciones nativas como Viafirma.

Este sistema operativo no dispone de almacén central, con lo que el certifi-cado reside como recurso de la aplica-ción.

11

Lafirmaelectrónicaendispositivosmóviles

¿Cómo se instalan los certificados en el dispositivo móvil?

Una vez que tengo instalado en mi dispositivo el cliente de firma electrónica Viafirma, ¿cómo importo los certificados a utilizar? En este apartado explicaremos cómo instalar un Certificado Digital en formato software (PKCS#12, exportado con clave privada y disponiendo de un PIN que lo protege) sobre nuestro dispositivo móvil o teléfono celular. De esta forma conseguiremos autenticarnos o firmar electrónicamente en sistemas donde ya se está usando Viafirma Platform. Toda esta información está disponible en nuestro portal para desarrolladores.

Obviamente, cuando se utiliza el lector de smartcards para iPhone / iPad con una smartcard como el DNI electrónico, no hace falta importar el certificado (de hecho, en este caso es imposible), de ahí la gran importancia de este avance tecnológico.

Android

Para poder usar tu Certificado Digital desde Android, únicamente tendrás que conectar tu dispositivo al PC, portátil, etc. donde tengas tu certificado en formato .p12 o .pfx, copiarlo en el raiz del sistema de ficheros de tu Android (da igual que esté en la tarjeta de memoria externa que en la memoria interna) y listo.

Windows Phone Una vez descarguemos el cliente móvil de Viafirma Platform a través del Marketplace de Windows Phone, en el apartado de Información encontraremos la opción “Instalar certificados”.

La primera vez que accedamos a la aplicación, nos indica que no tenemos instalado ningún certificado y nos explica como llevar a cabo la instalación de los mismos. Para ello necesitaremos usar nuestra cuenta de SkyDrive que nos permitirá administrar y compartir nuestros archivos con el dispositivo.

Una vez identificados en nuestra cuenta, y subidos nuestros certificados a nuestro espacio, sólo tendremos que esperar a que se sincronicen con el dispositivo. En cuanto los detecte nos parecerá una pantalla emergente para proceder a su instalación.

Tras seguir estos pasos nos aparecerá una lista con nuestros certificados instalados en el dispositivo y si accedemos a la demo incluida en la propia aplicación podemos probar su funcionamiento.

12

ConceptosbásicossobreViafirmaMobile

BlackBerry v.6.0 y superiores

Instrucciones para instalar el certificado:

1. Para proceder a la instalación es necesario tener BlackBerry Desktop Software y microSD en el móvil.

2. Al conectarlo, se creará una nueva unidad de disco.3. Copiamos el certificado en BlackBerry/Documents.4. Una vez seguido los pasos anteriores ya desde nuestro

dispositivo nos situamos en Todo -> Aplicaciones -> Archivos. Buscam os el certificado y hacemos clic sobre él. El dispositivo detectará que es un certificado.

5. Pulsamos sobre él, y señalamos la opción “Importar certificado”.

6. Nos solicitará pass de almacén de claves (si no existe ya) -> Aceptamos

Instalación de los certificados directamente a través del dispositivo sin conexión al ordenador.

Para ello una vez dispongamos del certificado con clave privada (extensión .pfx o .p12) en el dispositivo, (por ejemplo descargandolo desde un correo electrónico o enviándolo a la carpeta de archivos de sincronización con el pc), al hacer doble clic sobre el mismo solo hay que seguir los pasos para la importación del certificado e introducir la clave privada cuando se solicite.

Una vez terminado el proceso podrá encontrar el mismo en instalado en su dispositivo.

Configuración:

Para no tener problemas de configuración debemos asegurarnos de definir correctamente las opciones avanzadas de la siguiente forma:

1. Opciones -> Dispositivo -> Configuración de sistema avanzada -> TCP IP -> Configuración de APN activada, marcar.

2. Gestionar conexiones -> Red móvil -> activado.3. Opciones de red móvil -> Servicios de datos -> activado.

NOTA: La instalación de certificados la hemos llevado a cabo en una BlackBerry Bold 9700 (no tactil), S.O. 6.0, si tienes algún problema al instalar los certificados con cualquier otro modelo tienes disponible un apartado en nuestro foro donde intentaremos ayudarte.

iPhone /iPad / iPod Touch

Para estos tres dispositivos de Apple nos ayudaremos de la transferencia de ficheros asociados a Aplicaciones disponibles en iTunes. Como se muestra en la siguiente imagen, sólo tenemos que arrastrar nuestro Certificado Digital (en formato .p12 o .pfx) a nuestra Aplicación Viafirma.

BlackBerry v.5.0

A través de BlackBerry® Desktop Manager

Para la instalación de certificados en dispositivos BlackBerry el certificado debe estar instalado en el ordenador.

Una vez tengamos instalado el certificado, usaremos BlackBerry Desktop Manager para sincronizar con el dispositivo, y seguiremos los siguientes pasos:

1. Abra BlackBerry® Desktop Manager.2. Haga clic en Sincronizar certificados.3. Active la casilla de verificación situada junto a uno o varios

certificados.4. Haga clic en Sincronizar.

Configuración

Para no tener problemas de Configuración debemos asegurarnos de configurar correctamente las opciones avanzadas de la siguiente forma:

1. Opciones -> Opciones avanzadas -> TCP/IP -> “Configuración de APN activada” marcado.

2. Opciones -> Opciones avanzadas -> Red -> Servicios de datos “Activado” (En modo de red debería aparecer por ejemplo “3G y 2G” pero eso depende del operador, lo importante es que el servicio de datos debe estar activado).

Si tras seleccionar el certificado y volver, la plataforma devuelve el siguiente error: “Existen problemas de comunicación con el servidor de firmas digitales”, revise los parámetros de configuración mencionados anteriormente.Para el caso de Blackberry la descarga del cliente móvil se realiza directamente desde el servidor de Viafirma (modelo push) en cuanto detecta el acceso desde este tipo de dispositivos.

13

Lafirmaelectrónicaendispositivosmóviles

¿Qué nivel de firma electrónica se puede alcanzar desde un dispositivo móvil?

¿Se trata de firma electrónica simple, avanzada o reconocida? La firma electrónica en movilidad de Viafirma alcanza un nivel mínimo de firma electrónica avanzada, pudiendo llegar a firma electrónica reconocida cuando se utiliza nuestro lector de smartcards (válido para DNIe y otro tipo de tarjetas criptográficas) para iPhone y iPad.

Recordemos tal y como hemos nombrado en el punto anterior que la normativa vigente (en España, siendo similar en otros países), en concreto, la Ley 59/2003 de 19 de diciembre de firma electrónica, regula la validez de la firma electrónica en España y su equiparación a la firma manuscrita tradicional.

Destacamos los siguientes contenidos de la misma, comentando su cumplimiento en la propia solución:

Artículo 3,2. “La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”.

Como se ha descrito en otro apartado, la firma electrónica móvil realizada con Viafirma Mobile se ejecuta localmente, con certificados residentes en el dispositivo móvil, bajo el control exclusivo del usuario. NO se trata de invocaciones a firmas electrónicas realizadas en un servidor, por lo que se alcanza el nivel de firma electrónica avanzada en los clientes Viafirma Mobile para Apple iOS, Android, BlackBerry y Windows Phone 7.5.

Artículo 3,3. “Se considera firma electrónica reconocida la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma”.Cuando se utiliza nuestro lector de smartcards (válido para

DNIe y otro tipo de tarjetas criptográficas) para iPhone y iPad, se alcanza el nivel de firma electrónica reconocida, al utilizar un dispositivo seguro de creación de firma como el DNI electrónico, y cumplirse los requisitos de firma electrónica avanzada. En este caso, la clave privada del certificado de firma se ha generado directamente sobre el chip de la smartcard, y resulta imposible su exportación o utilización sin conocer el PIN que lo protege; así mismo, las operaciones de encriptación se realizan sobre el propio chip, con el que interactúa nuestra solución Viafirma Mobile a través del lector. Si se utilizasen otro tipo de smartcards, se debería en todo caso analizar el tipo de generación de certificado que se ha utilizado para asegurar un nivel de firma electrónica reconocida.

En un lenguaje más coloquial, la incorporación de nuestro lector para tarjetas inteligentes como el DNI electrónico supone ese salto de seguridad necesario para que la firma electrónica en los dispositivos móviles (solo los de Apple, por ahora) sea legalmente equiparable a la firma manuscrita.

En ningún caso la solución de Viafirma Mobile se basa en firmas centralizadas en HSM o similar, ya que, si bien un HSM sí es un dispositivo seguro de creación de firma, bajo nuestro punto de vista resulta casi imposible poder demostrar que un certificado almacenado en un HSM está bajo el control exclusivo del firmante, algo imprescindible para ser firma electrónica avanzada (y una firma reconocida, primero debe cumplir los requisitos de avanzada). Además, este escenario sería imposible de llevar a la ciudadanía, que se vería “obligado” a entregar su certificado al middleware de una institución.

Por ello, hemos apostado por la firma electrónica móvil ejecutada localmente en el dispositivo, y para ello hemos desarrollado los distintos clientes de firma nativos publicados gratuitamente en los distintos mercados de aplicaciones. Es imposible realizar una firma electrónica local sin disponer de este tipo de aplicaciones nativas, que realizan las funciones que tradicionalmente ha hecho un applet Java.

Son las siglas de “Hardware Security Module” (Módulo de Seguridad Hardware). Un HSM es un dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas y suele aportar aceleración hardware para operaciones criptográficas. Estos dispositivos pueden tener conectividad SCSI / IP u otras y aportar funcionalidad criptográfica de clave pública (PKI) de alto rendimiento que se efectúa dentro del propio hardware.

HSM

14

ConceptosbásicossobreViafirmaMobile

¿En qué tipo de aplicaciones puedo introducir firma móvil?

Quiero tener servicios de firma móvil en mi organización

¿Aplicaciones web? ¿Nativas? Tal y como se explicó en el apartado introductorio que recoge el funcionamiento de Viafirma Mobile, se puede introducir firma electrónica móvil tanto en aplicaciones web como aplicaciones nativas.

En el caso de aplicaciones web, se puede integrar firma móvil tanto si dicha aplicación dispone ya de firma electrónica como si no tiene nada. Normalmente las tareas de adaptación consisten en el desarrollo de una plantilla que permita a la aplicación web su visualización adaptada al tamaño de pantalla del dispositivo de usuario (tarea no imprescindible, pero sí recomendable) y la integración con las API’s de Viafirma Platform.

En el caso de que la aplicación web ya disponga de una integración con una plataforma de firma distinta (como @firma, TrustedX, ASF, etc.), se puede incluir una detección previa para dirigir al usuario a la zona web applet Java ya existente, para los usuarios con ordenadores de escritorio, o a la zona web que lanza las aplicaciones móviles Viafirma en el caso de dispositivos móviles.

En el caso de aplicaciones nativas, basta con realizar una sencilla integración con nuestros SDK’s (kit de desarrollo de software) móviles, que se encargan de controlar la interacción con el usuario y devolver a la app nativa los datos de autenticación, firma, etc.

¿Qué debo hacer? Disponer de aplicaciones con firma móvil en tu organización es sencillo y económico.

Si tu organización no tiene actualmente ningún tipo de plataforma de firma electrónica, puedes adquirir Viafirma Platform en licencia in-house (desplegada en los servidores de la institución) o incluso consumirlo vía cloud y pagar por el consumo que generes (una opción que puede ser muy económica si tu empresa es pequeña y no realizas muchas firmas a lo largo del mes). Cualquier aplicación web o móvil nativa integrada con nuestros API’s, soporta firma electrónica móvil sin necesidad de más cambios. Si necesitáis además de una aplicación visual que gestione flujos de firma de documentos, y permita a los firmantes utilizar sus dispositivos móviles para realizar la firma electrónica, probablemente Viafirma Inbox es la solución más idónea.

Si tu organización ya dispone de aplicaciones con firma electrónica, y deseas movilizar estas aplicaciones, ponte en contacto con nosotros y te indicaremos la mejor vía para realizar este proceso.

¿En qué tipo de aplicaciones puedo introducir firma móvil?

He instalado Viafirma Mobile en mi dispositivo móvil y no consigo firmar en la Agencia Tributaria, Seguridad Social... Los clientes nativos móviles de firma electrónica de Viafirma están preparados para interactuar con las API’s de nuestra plataforma de firma electrónica Viafirma Platform, y para ser invocados por aplicaciones web o nativas que estén integradas con esta plataforma. Por ello, a priori no podrás utilizar los clientes móviles en portales web que no estén integrados con Viafirma.

Es técnicamente posible (y de hecho, bastante sencillo) realizar adaptaciones sobre portales / aplicaciones web integrados con otras plataformas como @Firma, ASF, TrustedX, etc., de forma que permitan utilizar nuestros clientes de firma electrónica en movilidad, manteniendo el uso de estas plataformas para la operativa tradicional de autenticación y firma en ordenadores de escritorio. Sin embargo, ello requiere un pequeño desarrollo sobre estas aplicaciones.

Aplication Programming Interface. Son una serie de servicios o funciones que, en este caso Viafirma Platform, ofrece al programador, es decir, una interfaz que permite la comunicación entre distintos componentes software.

API

15

Lafirmaelectrónicaendispositivosmóviles

Ya tengo una plataforma de firma. Para tener firma móvil, ¿debo sustituirla?

Mi organización ya tiene aplicaciones web integradas con una plataforma de firma electrónica distinta de Viafirma Platform (por ejemplo, @Firma, ASF, Safelayer TrustedX, etc.). Estoy interesado en movilizar estas aplicaciones. ¿Debo sustituir mi plataforma actual? No es necesario. A pesar de que el applet Java de Viafirma Platform tiene la mejor matriz de compatibilidad del mercado (con soporte para cualquier versión de Windows, Linux, y Mac OS X 10.5 y posteriores), es comprensible que las organizaciones que ya han hecho una inversión y un esfuerzo en integrar sus aplicaciones con otra plataforma, no deseen tener que sustituirla para poder integrar la firma electrónica en movilidad de Viafirma.

Existen dos aproximaciones técnicas igualmente válidas para introducir firma electrónica móvil en soluciones web ya integradas con otra plataforma. La elección de una u otra dependerá de los intereses de la organización:

Aproximación intrusiva: Integrar la aplicación web con las API’s de Viafirma Platform, y poner Viafirma Platform como cliente de la plataforma de firma electrónica, para que la responsabilidad de la validación de certificados y verificación de firmas resida en la actual plataforma. En este caso, tanto la firma en escritorio como en movilidad es la de Viafirma Platform. Puede ser interesante para instituciones que tengan problemas de compatibilidad con el applet de firma actual, y deseen aprovechar la integración para solucionar en paralelo sus problemas de firma en escritorio a la vez que movilizan su aplicación web.

Aproximación no intrusiva (sólo para movilidad): Introducir en la aplicación web una lógica de detección del tipo de dispositivo; para usuarios utilizando ordenadores de escritorio, se mantiene la operativa actual. Cuando se detecten dispositivos móviles, se redirige a una nueva zona web integrada con las API’s de Viafirma Platform (por ejemplo, poniendo un botón de firma que lleve a la lógica de firma móvil), y se mantiene la lógica estándar. La aplicación móvil de firma devuelve a la aplicación web el resultado de la firma (en crudo, CAdES, XAdES, PAdES, etc.) o autenticación, y ésta continúa con la lógica estándar. Este tipo de integración es la realizada, por ejemplo, para la movilización del portafirmas del Gobierno de Canarias, basado en Viafirma Mobile.

16

Introducciónfirmadigitalizada

Nos referimos a firma digitalizada como captura biométrica (se almacenan los diferentes tipos de presión y a diferente velocidad) de la firma manuscrita del usuario que es insertada en el documento en formato electrónico.

Un ejemplo de uso de este tipo de firma sería el proceso de firma de una operación con tarjeta en compras de grandes establecimientos, la firma de la recepción de envíos ante el mensajero, el consentimiento informado, firma de contratos in-situ (contratos de alquileres, fianzas, laborales,..), etc...

donde no puede suponerse que el usuario final disponga de certificado digital o conozca su uso.

La no existencia de legislación específica sobre firma digitalizada implica la necesidad de recuperar el mayor número de evidencias jurídicas que sea posible, de cara a garantizar el no repudio de la operación. Para ello, el módulo de firma digitalizada de Viafirma Platform gestiona un importante número de evidencias:

Enapartadosanterioreshemoshabladosobrelacoberturalegaldelafirmaelectrónicaconcertificadosdigitales,quedeberíaserlaopciónadesarrollarentodoprocesodeeliminacióndepapel,salvoencasosenqueexistaunainviabilidadenelproceso,dondedebeutilizarselafirmadigitalizada.

Introducción firma digitalizada

Se capturan datos biométricos de la operación de firma digitalizada en tabletas, tales como la presión o la velocidad del trazo, almacenados sobre un fichero encriptado.

Se garantiza la integridad de los datos firmados.

Se asegura la confidencialidad de los datos biométricos.

Se vinculan los datos del documento a firmar en el fichero encriptado, de forma que no se puede utilizar la información de la firma para firmar otro documento distinto al que ha firmado el usuario.

Se garantiza el tiempo exacto de generación de la firma digitalizada.

Se dispone de un procedimiento de validación de firmas y demostración de la validez de la firma en un litigio.

17

Lafirmaelectrónicaendispositivosmóviles

¿Qué es el m-government?Comenzaremos explicando que la m- viene de “mobile”, por lo que la mayoría de los lectores entenderán perfectamente el concepto. No es más (ni menos) que la evolución de los servicios de Administración Electrónica (e-government) de cara a posibilitar su acceso integral desde dispositivos móviles.

¿Por qué m-government?El comportamiento del usuario medio ha cambiado de una forma radical, ya que se ha acostumbrado a utilizar su teléfono iPhone, Android, BlackBerry, Windows Phone, Symbian… para más usos que hablar por teléfono o intercambiar SMS.

Los usuarios habituales de estos dispositivos suelen mandar correos, y manejar cualquier tipo de servicio disponible vía web, compra online, interacciones con el banco, lectura de noticias, intercambio de mensajes con Whatsapp, llamadas sobre VoIP con Skype o Viber, videollamadas con Tango, utilización de las redes sociales más tradicionales (Twitter, Facebook, Linkedin…) o incluso utilizan sistemas de geolocalización como Foursquare y 11870… sistemas basados en GPS como Google Maps, navegadores de carretera o a pie, audio de podcasts…

A la mayoría de servicios online e instituciones lo queda más que adaptarse a estos cambios vertiginosos. Bancos, medios de comunicación, nuevas compañías, compañías tradicionales… todo el mundo quiere tener servicios en la Apple Store y Android Market, y las estadísticas de acceso a los sitios web cada vez recogen más visitantes de dispositivos móviles. En poco tiempo las conexiones a internet desde dispositivos móviles superarán (si no lo han hecho ya, como ha ocurrido en varios países) a las conexiones fijas tipo ADSL.

Entonces, ¿por qué renunciar a interactuar con las instituciones públicas con nuestros teléfonos cada vez más inteligentes? ¿Por qué renunciar al m-government? Sobre todo cuando países como España se auto-imponen este avance. Por ejemplo, la Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) recoge en su artículo 8.1 que “las Administraciones Públicas deberán habilitar diferentes canales o medios para la prestación de los servicios electrónicos, garantizando en todo caso el acceso a los mismos a todos los ciudadanos, con independencia de

Elpúblicojovensobretodoutilizaestatecnología con total familiaridad, yen poco tiempo, tal y como ocurrióconinternet,oconelusodelteléfonomóvil, los que no se suban a estastecnologíassequedaránanticuados.

Escenarios de uso de la firma móvil

sus circunstancias personales, medios o conocimientos, en la forma que estimen adecuada”. Y entendiendo en esa misma normativa como canales las “estructuras o medios de difusión de los contenidos y servicios; incluyendo el canal presencial, el telefónico y el electrónico, así como otros que existan en la actualidad o puedan existir en el futuro (dispositivos móviles, TDT, etc)”.

18

Escenariosdeusodelafirmamóvil

La firma electrónica, piedra angular de la Administración electrónicaLa piedra filosofal del Gobierno Electrónico es la firma electrónica (o firma digital). Gracias a las plataformas de firma digital podemos realizar trámites por internet con la misma validez que en papel, donde la firma digital con un certificado digital emitido por una Autoridad de Certificación reconocida tiene la misma validez legal que la firma manuscrita, siendo además obviamente más segura y menos falsificable. Esta validez legal queda recogida en las distintas normativas (leyes de Firma Electrónica) de cada país.

En el caso español, en los últimos años ha sido evidente el esfuerzo de las distintas Administraciones Públicas del país para incorporar soluciones de Administración Electrónica dotada de firma electrónica, con mayor o menor éxito; desde los Ayuntamientos hasta la Administración Central, pasando por las Diputaciones, Consorcios, Mancomunidades, gobiernos autonómicos… y de hecho la misma Ley 11/2007 obliga a estas Administraciones a disponer de su propia Sede Electrónica.

La firma electrónica móvil, un reto tecnológicoSin embargo, por experiencia propia os podemos confirmar que tecnológicamente conseguir soluciones universales para dispositivos móviles es realmente complejo. De momento, si por “universal” entendemos que con un desarrollo cubrimos todas las plataformas, esto es imposible, al menos hacerlo con un alto nivel de calidad. En entorno web “tradicional” se puede desarrollar un applet Java (como el que contiene la plataforma Viafirma) que pueda funcionar en distintos sistemas operativos (Windows, Linux, Mac OS X…) y navegadores (Internet Explorer, Firefox, Chrome, Safari, Opera…).

Sin embargo, esto no es viable para dispositivos móviles; muchos de ellos (por ejemplo, iPhone) ni siquiera disponen de una JVM. Por ello, la solución pasa por desarrollar clientes de firma específicos para cada plataforma del mercado (Apple iOS para iPhone, iPad, iPod Touch…), Android, BlackBerry, Windows Phone 7 (y antes Windows Mobile)… e ir garantizando el funcionamiento en la mayoría del hardware existente, y con las distintas actualizaciones de los diversos sistemas operativos. Y cada uno de estos desarrollos, en una arquitectura tecnológica particular y su propio lenguaje de desarrollo: Objetive C, C++, Java… Un verdadero follón, reto técnico muy difícil de superar, pero como hemos demostrado, no utópico.

Sin duda, esta tremenda complejidad técnica y la falta de estándares comunes en los dispositivos móviles supone un freno para poder introducir la firma electrónica en los teléfonos móviles. Se han visto ciertos “atajos”, como utilizar los dispositivos móviles para lanzar una firma que realmente se ejecuta en un servidor central y no en el dispositivo móvil del usuario.

Esto puede servir (aunque podría ser discutible) en entornos de intranet, etc., pero evidentemente no es válido en una solución de Administración Electrónica móvil (o e-government) donde la institución que da el servicio no conoce a priori a sus usuarios, con lo que no puede disponer de sus certificados instalados en un servidor central, HSM, etc.

Por otro lado, con mucho esfuerzo se puede conseguir la firma electrónica DENTRO de los dispositivos móviles, pero con certificados software; es por ello que el recién creado Viafirma Smartcard Reader para dispositivos iOS cobra una mayor relevancia, ya que permite que la firma se realice en un dispositivo seguro de creación de firmas, permitiendo así llegar alcanzar el nivel de firma electrónica reconocida.

19

Lafirmaelectrónicaendispositivosmóviles

Viafirma como solución de firma electrónica móvilDurante los últimos años hemos estado constantemente trabajando sobre clientes de firma electrónica en dispositivos móviles, con todas las dificultades técnicas que hemos explicado anteriormente y ya hace tiempo que publicamos de forma totalmente gratuita los clientes de Viafirma en la Apple Store y Android Market, además de guías de instalación de los certificados software en estos sistemas. También desarrollamos un cliente de firma electrónica para BlackBerry, si bien éste lo empotramos (modelo push) desde el servidor Viafirma al móvil BlackBerry, algo que no nos permiten el resto de sistemas operativos móviles con un modelo algo más “cerrado”.

Podríamos destacar brevemente algunos aspectos de este ecosistema de firma electrónica en dispositivos móviles que bautizamos en su momento como Viafirma Mobile.

En todos los casos, la firma electrónica se realiza dentro del móvil del usuario, no siendo esta una invocación a una firma en servidor.

Todos los sistemas web que utilicen Viafirma 3.0 o superiores como plataforma de firma digital, ya disponen de soporte de firma electrónica móvil; no se requieren desarrollos específicos (aunque en algunos casos pueda ser aconsejable adaptar hojas de estilo CSS específicas -sobre esto hay controversia y mucho que discutir-, pero en todo caso esto no tiene nada que ver con la firma electrónica).

Estos clientes sólo saben interactuar con Viafirma, no con otras plataformas; de vez en cuando nos llegan mensajes de usuarios indignados por no poder entrar con Viafirma en sitios web como la Agencia Tributaria… ahí poco podemos hacer.

Se soporta multiformato (distintos formatos de firmas): CMS, XAdES (incluyendo hasta firma longeva: XAdES-X-L y XAdES-A), firma PDF… multifirma, firma en lotes, etc.

Estos sistemas de Viafirma Mobile utilizan firma con certificados software.

Punto clave: aquellas instituciones que optan por Viafirma como plataforma de firmaelectrónica consiguen que todas sus aplicaciones dispongan de la opción de firma coniPhone, iPad, iPodTouch,móviles conAndroid,BlackBerry,WindowsPhone…con loqueconunbuenmaquetadorCSSpuedenconseguirsolucionesintegralesdem-governmentenpocas jornadas. Yahayalgunos ejemplos: la SedeElectrónicade laDiputacióndeCádizya es plenamente utilizable (incluyendo autenticación y firma digital con certificados)desde dispositivos móviles; distintas aplicaciones (incluyendo las Bonificaciones) de laFundaciónTripartitaparalaFormaciónenelEmpleo,lossistemaswebquevaapublicarelAyuntamientodePozuelodeAlarcón,yunimportantenúmerodesolucionesqueenlaactualidadhanoptadoporViafirmayquepublicaránamedioplazosussoluciones(comoporejemplo,AEMET).

Ydichoesto,elúltimoquesecompreelsmartphone,queapaguelaADSL.

Cascading Style Sheets o Hojas de estilo en cascada es un lenguaje usado para definir la presentación de un documento estructurado escrito en HTML o XML. La idea que se encuentra detrás del desarrollo de CSS es separar la estructura de un documento de su presentación.

CSS

20

Escenariosdeusodelafirmamóvil

Banca electrónica móvilEn la actualidad es fácil encontrar aplicaciones de las entidades financieras de las que eres cliente para usar desde tu smartphone. Estas aplicaciones disponen de servicios como localizadores de oficinas, consulta de movimientos, transferencias y otras operaciones habituales. Pero acceder a este tipo de aplicaciones y realizar trámites desde estos dispositivos ¿es seguro?.

Tanto si accedemos mediante estos dispositivos como si lo hacemos a través de la web debemos exigir confidencialidad, garantías en la autenticación, integridad de la información, e imposibilidad de repudio; el contenido de las transacciones y operaciones bancarias realizadas en un entorno electrónico y la identidad de las partes deben mantenerse, en todo momento, inaccesibles a terceros. Actualmente esto supone un gran problema para los bancos.

Para identificar al cliente a la hora de utilizar sus servicios de banca electrónica y ofrecer seguridad al acceso tradicional por usuario/contraseña, se añaden controles aditivos (teclado virtual, autenticación dos factores, autenticación SMS, sistemas de autenticación OTP). Además, cada vez es más frecuente la opción de acceder a Banca electrónica mediante DNI electrónico, pero no basta con el acceso, sino que debería ser solicitada una firma electrónica con cada operación.

Desde luego es inadmisible que los bancos estén tardando tanto en realizar la implantación de certificados digitales como solución para la identificación bilateral de las partes implicadas en las transacciones a través de Internet, ya sea desde móvil, tablet o pc.

21

Lafirmaelectrónicaendispositivosmóviles

eSalud - Consentimiento informadoEl concepto de eSalud alude a la práctica de cuidados sanitarios apoyada en tecnologías de la información y las comunicaciones (TIC).

El consentimiento informado o consentimiento libre esclarecido, es el procedimiento médico formal cuyo objetivo es aplicar el principio de autonomía del paciente, es decir la obligación de respetar a los pacientes como individuos y hacer honor a sus preferencias en cuidados médicos.

En algunos casos, tales como el examen físico de un médico, el consentimiento es tácito y sobreentendido. Para procedimientos más invasivos o aquellos asociados a riesgos significativos o que tienen implicados alternativas, el consentimiento informado debe ser presentado por escrito y firmado por el paciente. Es un derecho del paciente y una obligación para los servicios sanitarios.

El consentimiento informado está regulado en España por la Ley 41/2002 y Ley 14/2007, de Investigación biomédica. Hay muchos tipos de consentimientos, que afectan a muchas áreas y procesos de un centro hospitalario (por ejemplo, Anestesia). Estos documentos suelen tener varias páginas, y, debido al importantísimo número de consentimientos que se generan a diario, son un punto clave para comenzar la eliminación de papel.

Los consentimientos informados suelen requerir al menos dos firmas: la del propio paciente, que procede a firmar el documento libremente una vez informado convenientemente, y la del personal sanitario (médico, anestesista…) del centro hospitalario.

Si bien la firma del personal sanitario podría ser ejecutada de forma sencilla con firma electrónica con certificados digitales, esto es más complicado en el caso del paciente, ya que no puede suponerse que el mismo disponga de un certificado digital o conozca su uso.

Ello lleva a la utilización de la firma digitalizada, la cual realiza una captura biométrica de la firma manuscrita del usuario que es insertada en el documento en formato electrónico, almacenando una serie de evidencias jurídicas de cara a salvaguardar la cobertura legal del documento firmado tal y como adelantamos anteriormente en el apartado sobre inicialización a la firma digitalizada.

La firma digitalizada, puede llevarse a cabo con dispositivos de captura de firma como Topaz (integrables con ordenadores de escritorio o Tablet PC’s), o con tabletas iPad, que garantizan la capacidad de resolución de captura suficiente para almacenar una nube de puntos precisa asociada a la firma.