Hoy que estamos aquí en la tienda leyendo las noticias sobre el ataque de rasomware a grandes empresas españolas, recuerdo una nota que tenía pendiente para escribirla en el blog. Se trata de la política de Hacienda con los certificados digitales; parece que alguien de ese Ministerio tenga acciones de las empresas que comercializan rasomware y virus varios.
El último ataque de rasomware que está teniendo mucha cobertura de los medios de comunicación por la relevancia y el número de afectados, nace de la explotación de una vulnerabilidad de Windows parcheada hace unas semanas por Microsoft. Independientemente de otras valoraciones que podemos hacer parece claro que si tenemos el sistema actualizado es más complicado que nos puedan atacar.
La premisa de tener los equipos informáticos actualizados es el primer consejo que les damos a nuestros clientes cuando nos preguntan por medidas de seguridad. Con esto en mente hace unos días no salía de mi asombro cuando recibimos una llamada de un cliente que solicitaba nuestra ayuda para desactivar las actualizaciones automáticas en dos PCs de su empresa. Como eran empresas que gestiona normalmente mi socio cuando volvió a la tienda y le pase el reporte para ir, le pregunté el motivo de evitar las actualizaciones. Y su respuesta me dejó perplejo: “Nos pasa con este cliente y con un par más. Son todos Aserias y despachos de economistas y de abogados. Resulta que necesitan pedir muchas certificados digitales oficiales sobre todo de Hacienda para sus clientes. Y cuando piden un certificado no lo obtienen en el acto. Pueden tardar varios días. Si desde el momento en que piden el certificado hasta que Hacienda se lo confirma entra una actualización de Windows en el PC… pues no sirve y deben empezar de cero. Así que tienen un PC o dos que dedican a estas tareas y mientras haya certificados pendientes de recibir no los actualizan”.
Y la verdad es que no sabe uno que más decir. Si ya de por si somos vagos para actualizar ya solo faltaba que la burocracia nos impida hacerlo.
Anterior y Posterior
10 Comentarios
Comentarios Cerrados
Así es. Pero ni el navegador se te ocurra actualizar…
Creo que no es Hacienda … sino la Fábrica nacional de moneda y timbre ( FNMT )
Puede ser pero peor me lo pones… porque se supone que ellos deberían ser expertos en el tema y parece que no es así
Yo he ayudado en varios despachos y asesorías para obtener los certificados y el problema no es ni de la web de la FNMT ni de la AEAT, es de los propios clientes. Tú le solicitas el certificado y esa persona tiene que ir a identificarse a una oficina habilitada para ello, cosa que suelen dejar para varios días después de la solicitud y previa llamada del despacho preguntando si ya habían ido a identificarse. A veces incluso se ha perdido la “ventana” para la identificación.
Y, además, dudo que con las actualizaciones de seguridad haya algún problema para la solicitud de certificados. Otra cosa es que les haya venido la “Creators Update” o similar entre solicitud e identificación, que ya es otra cosa.
Ese paso ya lo tenemos en cuenta, si que hay retrasos luego. Y no es una actualización gorda, sino las normales de mantenimiento.
Raro que sea por una actualización de sistema de las “normales”. Nunca hago la petición del certificado desde Internet Explorer y tal vez ése sea el motivo por el que no me han afectado las actualizaciones de Windows para ese trámite. Incluso se han llegado a solicitar desde un Windows 10 “insidier” y sabes que esos reciben actualizaciones constantemente.
De todas formas la comprobación de que el equipo esté exactamente igual que cuando se hizo la solicitud es imprescindible para evitar un ataque tipo “man in the middle” durante el proceso de obtención del certificado. No es un capricho de la FNMT, es por seguridad.
La solución pasaría por agilizar la tramitación entonces. Pero en nuestro caso actualizaciones simples tumbaban el sistema y daba igual el navegador.
¿Agilizar la tramitación?
Solicitas el certificado a las 9 de la mañana, el interesado se identifica a las 9:30 y a las 10:00/11:00 a más tardar tienes en el email el enlace para descargar el certificado. ¿Cómo se puede hacer más “ágil”? Cosas que retrasan la obtención del certificado:
– Que el interesado no pueda identificarse pronto presencialmente.
– Que la propia gestoría no descargue dicho certificado en el momento que recibe el email para ello, que si lo dejo para esta tarde, para mañana, etc.
El nivel de seguridad que se exige para ese trámite no permite agilizar las cosas.
Un excelente aporte por tu parte, una información curiosa e interesante donde podemos ver la cruda realidad, gracias por el aporte, saludos.
PD: (Viene bien saber cosas sobre estas siempre)
Me parece una buena información recibida sobre el tema, gracias un saludo.