Como comentamos en la entrada anterior, el HSM Cloud nos permite dar seguridad, trazabilidad y protección contra los hackeos. Nadie está exento a ser blanco de los ciberdelincuentes, siempre habrá alguien más hábil buscando la manera de encontrar la vulnerabilidad por lo cual es imperativo proteger nuestra infraestructura e información contra cualquier posible violación, para que, en caso de un ataque, no puedan llevarse nuestras firmas como tal. Los accesos se pueden cambiar o bloquear, pero lo importante es que no logren llevarse a esa parte privada manteniendo de esa forma la seguridad e integridad de esa llave criptográfica.

En la actualidad, el HSM en la nube es una gran opción para proteger nuestras transacciones.

El HSM Cloud es de las mejores opciones para proteger nuestros aplicativos. Es probable que no cuentes con uno en tu infraestructura, pero puedes conectarte a uno para este tipo de protección en procesos automatizados. Por ejemplo, la empresa X SA de CV requiere estar generando constantemente firmas electrónicas de uso interno, por lo cuál no necesita tener una Autoridad Certificadora Acreditada. X SA de CV puede poner su Autoridad Certificadora virtual con un HSM en la nube y en el momento que sus empleados van generando distintas transacciones, se irán generando las firmas. Por eso es considerada una solución bastante innovadora, eliminando hasta cierto punto la necesidad de tener firmas digitales básicas y brinda ese dinamismo a tu empresa de estar generando las Firmas Electrónicas en el momento que se van requiriendo, con las mismas características de seguridad y definitivamente a un precio mucho más asequible.

Sabemos que la principal barrera de entrada para utilizar un HSM físico es el precio. Son módulos muy seguros y por lo mismo tienen su apreciación en el mercado, lo que convierte el costo del HSM Cloud en una de sus más grandes ventajas ya que la inversión inicial es mucho menor y te da ese dinamismo de ir prácticamente pagando por transacción.

Otra ventaja del HSM Cloud es que, no porque sea el HSM de Google o el de Azure van a estar casados con algún tipo de tecnología o lenguaje, sino prácticamente hay HSM en la Nube compatibles con cualquier lenguaje de programación. Te puedes conectar a las interfaces que hoy en día se han vuelto elementos de plug and play, donde lo único que necesitas es querer integrarte a un HSM.

Otro ejemplo lo tuvimos en semanas atrás mientras ayudábamos a un cliente a evaluar en dónde poner el HSM para proteger este proceso. Este cliente estaba en la firma de un documento oficial y ese documento oficial que iba a distribuirse a sus respectivos clientes, tenía que ser firmado por tres personas dentro de la empresa y debería de tener una validez legal externa. Por lo tanto, ellos requerían firmar con su Firma Electrónica Avanzada. Y de ahí surgió la pregunta de ¿Cómo vamos a proteger estas tres Firmas Electrónicas que son de personas importantes de la empresa sin que puedan ser utilizadas para alguna otra transacción? Estuvimos analizando el proceso de flujo de su operación y llegamos a la conclusión de que tienen sus autorizaciones, cada quien da su visto bueno, hasta que llega un momento donde se disparan todas las firmas y todas estas firmas estaban almacenadas en un servidor, el cual tiene sus propias maneras de proteger llaves, pero si alguien llegara a clonar este servidor, podría llevarse esas llaves, lo que consideramos de las más grandes amenazas que se pudiera tener en un proceso involucrado en Firma Electrónica Avanzada. Lo que decidimos hacer fue redireccionar el repositorio de ese servidor hacia el HSM. De esta manera el aplicativo realmente no cambia, simplemente se va al servidor y se le requiere el certificado con su llave para seguir el proceso. Y el servidor todavía tiene el certificado público, al ser público puede estar en cualquier parte, pero la vinculación que hacemos detrás de todo para ese repositorio, es conectarlo con el HSM para que la parte privada se mantengan en dispositivo y siempre tengamos la trazabilidad de cualquier tipo; ya no sólo es su operación o su proceso sino que podemos ir al Hardware Security Module y mostrar que fue firmado por persona “X” y persona “Y” y se firmó “A”, “B” y “C”. Con esto ya tenemos una doble trazabilidad, ya que vino desde un HSM y siempre estuvo protegida la Firma Electrónica.

Aquí tocamos un punto importante que es cómo se realiza el proceso de Firma a nivel aplicativo. Las buenas prácticas dicen que, en un proceso de firma de un documento en cualquier plataforma, se debe ingresar la llave pública, privada y contraseña y la validación se debería hacer del lado del cliente. Es decir, las llaves no deberían viajar. ¿Qué es lo que sucede en la mayoría de las soluciones que se encuentran hoy en día en el mercado? Nueve de cada diez mandan la validación de los certificados con contraseña, llave privada y llave pública al servidor, lo que significa una pésima práctica de seguridad. Y la solución que sí lo hace en el lado del cliente, por las características de cómo se realiza la validación, es susceptible a que también se le pueda generar algún tipo de ataque. Entonces, en ninguno de los dos casos tienes un proceso seguro de firma. Ahí es donde hace más sentido llevar el proceso de firma al HSM. Es la única manera en la que vas a resguardar y poder garantizar que la parte privada de quienes firman, no se vea vulnerada.

La mayoría de las plataformas tienen malas prácticas e incluso las que lo hacen bien no están exentas del riesgo de ser interceptado, modificado e incluso obtenidas las llaves. Hasta por las propias características de salubridad en las que vivimos actualmente a nivel mundial, estamos empujando a la transición de los aspectos jurídicos a medios digitales; en temas de procesos de sistematización hace años que las empresas van avanzando, pero uno de los puntos donde estamos más atrasados es en los aspectos jurídicos y la pandemia vino a empujarlos, no al nivel y al ritmo que quisiéramos porque también es una realidad que el volumen de firmas que se ha dado en los últimos dos años tampoco es como para dar de saltos, pero sí se ha ido avanzando y, en ese avanzar, lo recomendable sería aprovechar elementos como los HSM para terminar de blindar las operaciones, porque puedes tener una firma electrónica, un sello de tiempo, una constancia de conservación e inscribirlo en blockchain, pero si las llaves son vulnerables, tumbaste del ecosistema de seguridad que construiste ya que, al final del día, el principal elemento para darle viabilidad y seguridad a un proceso de firma, son las llaves y el mecanismo más seguro para resguardarlas son los Hardware Security Modules.

Otro caso que por experiencia podemos comentar, es que para implementar operaciones automatizadas no es recomendable utilizar las firmas personales, es más factible que generemos una de uso específico ya que, al final del día, se pueden utilizar para operaciones internas. Tuvimos otro caso donde la llave del cliente estaba resguardada en el servidor, se implementaron medidas al servidor para que no tenga conexiones externas de red, tenía solo una interfaz, pero al final del día no dejaba de ser vulnerable, ya que alguien con mucha habilidad podría desde la red pública llegar a ese servidor aparentemente desconectado y empezar a generar firmas. La manera en la que podemos limitar un daño que pudiera resultar de una vulneración a esas llaves, es con el uso específico del certificado; el ponerle su extensión y especificar que ese certificado solamente es para la firma de la nómina o un memorándum, limita la vulnerabilidad, ya que cualquier acción que se realice fuera de ese alcance específico ya no tiene validez.

Una de las principales extensiones de los certificados, es que cuentan con la característica de no repudio, puede ser utilizada para firma electrónica, para cifrar y descifrar datos. Son 8 funcionalidades principales, pero al hablar de Firma Electrónica, el espectro es muy amplio ya que prácticamente la puedes utilizar para firmar electrónicamente cualquier cosa. Si le anexamos un segundo nivel de especificidad donde declaramos que ésta tendrá un propósito concreto que va a ser, por ejemplo, la firma de nómina, puedes controlar y hacer una mitigación de riesgos, porque al firmar un contrato con este certificado, el contrato no tendría validez, ya que su uso específico era para la firma de nómina.

Esta ventaja que ofrecen los certificados debería estar en el radar de todas las empresas que utilizan Firma Electrónica, pues ya no se trata de generar firmas genéricas. Si no está en tus posibilidades adquirir un HSM ya sea físico o en la nube, a través de las propias características de los certificados podrían reducirse los riesgos de lo que se puede generar con este tipo de firmas. De esta manera es posible mitigar la inseguridad en procesos automatizados.

Pero… ¿Cómo se obtienen estos certificados de uso específico? ¿Dónde se pueden conseguir?

Simplemente tienes que solicitarlo a un Prestador de Servicios de Certificación (PSC) de la Secretaría de Economía. No todos lo ofrecen, sin embargo, existe una lista de PSC donde pudieras solicitarlos.

Como conclusión, nuestra recomendación es perderle el miedo a la Firma Electrónica. Al final de cuentas podemos observar que en la práctica y en el día a día nos encontramos con mucha resistencia de los departamentos jurídicos en cuanto a esta clase de implementaciones pues no se sienten con la confianza de aceptar este tipo de medios debido a que su función principal es resguardar el aspecto jurídico y la certeza de las operaciones de su empresa, sin embargo la legislación los permite e incluso hay criterios judiciales que avalan el uso de medios electrónicos para muchas actuaciones, por lo que nuestro exhorto es a abrirle la puerta al uso de la Firma Electrónica, siempre de la mano del departamento de áreas técnicas, con el fin de estar orientados sobre las mejores prácticas en materia de seguridad y así tener las implementaciones correctas para proteger los contratos y firmas. La mejor manera es hacerlo a través de un HSM o un HSM Cloud. A corto plazo puede resultar una inversión costosa, pero el beneficio a mediano y largo plazo no existe mejor implementación que el uso de los Hardware Security Modules.

Si tienes alguna duda sobre los Casos de uso de la Firma Electrónica - Parte 2 no dudes en contactarnos

Asunto:

Para poder continuar es necesario que aceptes el Aviso de Privacidad

Suscríbete a nuestro boletín 

Suscríbete a nuestro boletín 

Recibe en tu correo novedades y artículos sobre ciberseguridad y HSM

You have Successfully Subscribed!