Tips de seguretat

Certificats en la Xarxa

La campanya de conscienciació respecte a l’ús de Certificats Digitals, denominada “Certificats en la Xarxa, està formada, com sempre, per un conjunt de consells diaris que han sigut publicats en els perfils de CSIRT-CV en les xarxes socials durant les últimes setmanes. L’objectiu d’esta campanya és informar i conscienciar respecte de l’ús de certificats digitals en la vida quotidiana. Deixem a continuació un breu resum, així com vos facilitem al final d’este text un enllaç al dossier complet amb tots els consells de la campanya amb els corresponents enllaços de suport.

  • El primer gran punt abordat en la campanya està relacionat amb el DNI electrònic. Bàsicament, este certificat permet l’autenticació i la firma i, per tant, posa a l’abast dels ciutadans servicis prestats per l’Administració Pública des de les seues seus electròniques. També es donen consells relacionats amb la funcionalitat que ens dóna el dispositiu i el mètode d’ús del DNI electrònic, i el certificat digital que conté; també es faciliten mitjans per a identificar tots els servicis en què es pot emprar.

 

  • Un altre punt fonamental dins de la campanya de Certificats en la Xarxa, fa referència a certificats digitals de persona física independents al DNI. Este tipus de certificats donen funcionalitats addicionals, com per exemple la possibilitat d’emprar-se per al xifrat d’informació. És fonamental que este i qualsevol altre certificat estiga emés per qualsevol de les Autoritats de Certificació de Confiança dins de l’Estat espanyol. Respecte d’això, es facilita informació com per exemple com identificar una Autoritat de Certificació de Confiança, quines són les accions a dur a terme quan es té la sospita que el nostre certificat digital ha sigut robat o empleat fraudulentament per un tercer, els tipus de suport en què habitualment s’entreguen estos certificats i algunes consideracions fonamentals d’estos.

 

  • El següent gran bloc dins de la campanya de conscienciació se centra en els usos que es poden donar als certificats digitals emesos per una Autoritat de Certificació, bé siguen de persona física o SSL (associats a pàgines web); mostra com està d’estés l’ús de certificats digitals en la xarxa, la dependència que hi ha d’estos per a mantindre la privacitat i, sobretot, bones pràctiques en el seu ús. S’aborden temàtiques per a l’ús de certificats digitals en el correu electrònic, la seua instal·lació i ús per a assegurar la integritat, la confidencialitat i la procedència d’un missatge, bé siga mitjançant certificats emesos per una CA, com amb la utilització de ferramentes per a crear i gestionar els nostres propis.

 

Els certificats digitals també s’empren per a identificar llocs web de la mateixa manera que les persones; per a això empren el protocol HTTPS. Este fet és especialment crític per a llocs web amb què s’intercanvia informació sensible o confidencial, així com per als que ens permeten realitzar operacions financeres o de pagament. Per això, mai cal oblidar comprovar que s’ha establit una connexió segura abans d’introduir qualsevol informació personal o d’accés, així com que el certificat HTTPS és vàlid, està vigent i que haja sigut emés per una entitat de confiança; d’esta manera assegurem la confidencialitat de la informació intercanviada i que la destinació d’esta és legítima.

En la campanya també es tenen en compte consideracions de seguretat relacionades amb altres servicis que poden emprar un xifrat HTTPS o no; i que, encara que no gestionen informació financera o personal necessàriament, que destaquen per la quantitat d’informació de l’usuari que poden arribar a gestionar. Exemples d’estos servicis són els buscadors d’internet, els servicis d’emmagatzematge en el núvol, xarxes socials, missatgeria instantània, etc.

És fonamental també conéixer les particularitats i l’ús dels certificats digitals per a la firma, com per exemple en el cas de la firma de documents digitals. En la campanya es tracta la firma digital de forma equivalent a la manuscrita, així com es faciliten consells per a aprendre a firmar documents, i per a verificar la legitimitat de la firma d’un document alié.

Finalment, i atés que el final de la campanya es va publicar al començament de la campanya de la renda de 2014, s’inclouen consells concrets per a assegurar el contacte amb l’Agència Tributària, i també s’exposen mecanismes facilitats per a la realització de tràmits segurs en la seu digital de l’Agència Tributària.

En breu publicarem la guia de la campanya, que quedarà referenciada en este resum. Recordar-vos addicionalment que, si voleu estar al dia de temes rellevants i consells sobre seguretat de la informació, podeu seguir-nos en la nostra pàgina de Facebook (https://www.facebook.com/Csirtcv) y/o Twitter (https://twitter.com/csirtcv).

Com sempre, des de CSIRT-CV volem agrair la vostra atenció i recordar-vos que estem oberts a atendre qualsevol suggeriment, comentari o dubte que vos puga sorgir.