Es incuestionable la comodidad y funcionalidad para tramitar cosas desde cualquier parte y en remoto que proporciona la opción de la firma electrónica. De hecho, este mecanismo de firma digital permite operar en Internet de una manera más segura e incluso evitar un mayor número de ciberataques. Sin embargo, esto no significa que estemos exentos de sufrir algún riesgo.
Las empresas suelen utilizar este sistema para realizar muchas operaciones estándar, tanto en la oficina como en casa. Este tipo de herramienta garantiza la autenticidad del documento que se puede intercambiar entre diferentes personas o identidades. “Lo interesante es que es un sistema que se basa en la autenticación de usuarios, y es escalable para poder verificar que realmente la persona firmante es quien dice ser. Es como una cebolla, tiene cantidad de capas de seguridad”, apostilla Hervé Lambert Global Consumer Operations Manager de Panda Security.
Aunque las contraseñas siguen siendo la forma más común de verificar las identidades de los usuarios, está demostrado que este sistema es insuficiente para la mayoría de los procesos de seguridad. Entre otras cosas, por el mal uso que suelen dar los usuarios a sus contraseñas. Las firmas digitales mejoran aún más la seguridad al ofrecer controles de autenticación más estrictos que las firmas electrónicas estándar.
En España, hay once millones y medio de personas que disponen de algún certificado de firma electrónica (DNI u otro), según datos del INE. Los últimos datos sobre el porcentaje de empresas que utilizó firma digital en alguna comunicación enviada desde su empresa en España superaron el 77,1%.
¿Cuál es la diferencia entre la firma digital y la firma electrónica?
Es muy común encontrarnos artículos que se refiere indistintamente a un término u otro, pero lo cierto es que no se trata de lo mismo. Todas las firmas digitales son electrónicas, pero no todas las firmas electrónicas son digitales.
En España, hay once millones y medio de personas que disponen de algún certificado de firma electrónica (DNI u otro), según datos del INE. Los últimos datos sobre el porcentaje de empresas que utilizó firma digital en alguna comunicación enviada desde su empresa en España superaron el 77,1%
El mecanismo de la firma digital está basado en criptografía; mientras que la electrónica tiene una naturaleza legal. Su principal función es dar fe de la voluntad del usuario firmante y, por tanto, de su autenticidad. Recoge un conjunto de datos electrónicos que certifiquen un registro de hora y fecha de cuando se realizó una determinada acción en formato electrónico. Está última está regulada por el Reglamento eIDAS, inscrito en el marco legal europeo.
Las firmas digitales van un paso más allá y crean un hash, algoritmo matemático utilizado en la criptografía, que sólo puede ser descifrado por una clave pública o privada en manos de la parte receptora.
Tipos de ataques
La mayoría de estrategias empleadas por los ciberdelincuentes consisten en robar claves privadas de confianza para firmar documentos falsos y hacerlos parecer fiables. Los métodos van desde un simple robo a través de la infiltración en la red hasta extensos ataques de investigación (rellenando diferentes combinaciones de claves para adivinar la correcta).
“No existe ninguna tecnología 100% segura. Por eso, todos debemos ser muy conscientes de que, por muchas medidas de seguridad que pongamos en nuestros dispositivos o en la forma en la que interactuamos en Internet, lo más importante es el sentido común” – Hervé Lambert
- En los últimos años se han producido varios ataques a organismos y autoridades de certificación. El proceso consistía en la introducción de un malware al servidor a través de una certificación digital falsa. Los ciberdelincuentes usan certificados digitales robados, al suplantar la identidad digital conseguían eludir la seguridad de la empresa y realizar un secuestro de información confidencial o cifrado de datos. ¿Poner ejemplos?
- Ataques de phishing a partir de apps especializadas en firma electrónica (DocuSign). En este caso los hackers articulan su estafa a través de la app enviado a usuarios algún archivo o documento cuya procedencia supuestamente proviene de DocuSign. La víctima al confiar en la app, si descarga el archivo será contagiado con un malware.
“El phishing es una de las fórmulas favoritas de los hackers y su tendencia seguirá al alza en el futuro. A medida que las empresas avanzan en el entorno digital y del teletrabajo, los ciberdelincuentes perfeccionan sus técnicas para conocer y explotar las vulnerabilidades de sus sistemas de información”, comenta Hervé Lambert.
- 3. Otro de los mecanismos preferidos de los cibercriminales es el despliegue de lo que se conoce como Shadow attack, “ataques en la sombra”. Esta técnica se basa en crear una capa externa en el documento PDF con aparente información legítima para conseguir la firma del usuario. Una vez el documento está firmado, el hacker lo modifica con la información que le interesa. De tal manera que se mostrarán en el documento las nuevas actualizaciones del contenido, mientras que los procesos de verificación de la firma seguirán sin saber que se han realizado modificaciones o actualizaciones en el documento PDF.
- Un método menos frecuente consiste en aprovechar las vulnerabilidades que se producen durante su ejecución del certificado digital. En esta parte del proceso, los algoritmos parecen pasar por alto el tamaño de almacenamiento del encabezado. Esto deja un espacio extra para que los desarrolladores de software puedan añadir enlaces a actualizaciones y nuevos contenidos sin tener que volver a firmarlos. Sin embargo, este espacio de almacenamiento (de aproximadamente 8 bits) puede ser aprovechado por los hackers para añadir datos fraudulentos sin cambiar el resultado de la propia firma.
- En último lugar, podría darse un ataque Man-in-the-Middle (MITM). Tiene lugar cuando una comunicación entre dos sistemas es interceptada por una entidad externa. Puede darse en cualquier forma de comunicación online, como el correo electrónico, las redes sociales, la navegación web, etc. No sólo intentan espiar tus conversaciones privadas, sino que también pueden apuntar a toda la información dentro de tus dispositivos. Este tipo de amenazas puede llevarse a cabo de diversas formas:
- Secuestro de sesión de cualquiera de nuestras cuentas bancarias, mail o redes sociales.
- Suplantación de IP
- Eliminación de SSL
- Espionaje Wi-Fi
“No existe ninguna tecnología 100% segura. Por eso, todos debemos ser muy conscientes de que, por muchas medidas de seguridad que pongamos en nuestros dispositivos o en la forma en la que interactuamos en Internet, lo más importante es el sentido común. Ante cualquier duda, ante cualquier sospecha, lo primero que debemos hacer es desconfiar. Más vale llegar 5 minutos tarde a presentar una documentación oficial, que caer en un engaño y dar acceso a un ciberdelincuente a una información tan sensible como la de un DNI electrónico” apostilla Hervé Lambert.