Generales

¿Qué es un certificado electrónico?

Un certificado electrónico es un documento electrónico firmado que garantiza a las terceras personas que lo reciban o utilicen una serie de manifestaciones en él contenidas.

Estas manifestaciones pueden referirse a la identidad de una persona, a la titularidad o posesión de una clave pública –y la correspondiente clave privada-, a sus autorizaciones (en forma de roles o permisos), a su capacidad de representar a otra persona física o jurídica, a su capacidad de pago, etc.

 

¿Cómo funciona la certificación digital? El proceso de firma.

La certificación digital funciona con la criptografía asimétrica. La criptografía asimétrica consiste básicamente en dos claves, una privada i una pública. Lo que está codificado con una clave privada necesita su correspondiente clave pública para ser descodificado, y al revés.

• La clave privada es secreta y sólo la posee el usuario. Con ella puede firmar documentos electrónicos. 
• La clave pública está a disposición de cualquier usuario. Permite validar una firma digital que haya estado generada con la clave privada complementaria.

Si el emisor desea enviar un mensaje en formato electrónico y que el receptor del mismo esté seguro que ha sido él quien lo ha enviado, puede firmarlo digitalmente, usando la tecnología de certificación digital.

Éste es el proceso que se lleva a cabo para enviar información a través de Internet mediante firma electrónica, tanto desde el punto de vista del emisor como del receptor de esta información.

¿Cómo procede el emisor?

Tal y como puede verse en la fig. 1, se aplica al mensaje o documento original una función de resumen (hash), que es una operación que tiene como resultado un conjunto fijo de datos, una especie de resumen del mensaje original. Este resumen, está unívocamente relacionado con el mensaje original, y por tanto, cualquier pequeño cambio en el mensaje original daría como resultado un resumen diferente. El tamaño del resumen normalmente es de 160 bits, aunque existen más largos o más cortos. Cuanto más largo menos riesgo de colisión, pero más consumo de memoria y tiempo de cálculo.

Una vez obtenemos este resumen, lo ciframos con la clave privada del emisor y da como resultado la firma digital del documento o mensaje. De esta manera, el emisor envía el mensaje vinculado a una firma digital.

Fig. 1

 

¿Cómo procede el receptor?

Cuando el receptor del mensaje lo reciba, podrá comprobar la autoría del mensaje y estar seguro que quien lo envía es quien dice ser, realizando el siguiente proceso, que pueden visualizar en la Fig. 2.

Primero, se ha de extraer la firma electrónica del documento original, separando entonces, documentación y firma electrónica. Posteriormente, por un lado, se debe descifrar la firma electrónica (resumen del mensaje que tiene que estar cifrado por el emisor con su clave privada), con la clave pública del emisor, obteniendo el resumen original.

Por otro lado, se debe aplicar la función resumen (hash) al documento o mensaje recibido, obteniendo un nuevo resumen. Si el resumen enviado por el emisor (una vez descifrado) coincide con el resumen obtenido del documento, la firma digital es válida y por lo tanto, el mensaje no ha estado modificado, es el original y pertenece al emisor.

Si los dos resúmenes no coinciden significa que es posible que el contenido del mensaje o documento haya estado modificado, o bien, que el emisor no sea quien dice ser, entonces su clave privada no es complementaria de la clave pública que disponemos.

Actualmente los propios sistemas informáticos gestionan las claves públicas de una manera transparente al usuario.

Todo este procedimiento es el que se realiza automáticamente por parte de las aplicaciones que utilizan firma electrónica (portales, aplicaciones, gestores de correo-e, programas informáticos, etc.) i es transparente al usuario. De esta manera, no es necesario realizar los pasos de generación del resumen, comparar-lo, etc. Sólo firmando un correo-e o recibiéndolo firmado, las aplicaciones realizan todo el procedimiento y nos devuelven la respuesta si la firma es válida o no.

Fig. 2

 

¿Cómo se cifra un documento?

El cifrado es el proceso que se aplica a unos datos con la finalidad de hacerlos incomprensibles.

De esta manera nos aseguramos la confidencialidad de estos datos. Para poder cifrar un documento es necesario que tanto el emisor como el destinatario dispongan de un certificado digital (clave pública i privada).

A continuación, sólo hemos de cifrar el documento haciendo servir la clave pública de la persona que deseemos que pueda leerlo. Este documento solamente podrá ser descifrado por la persona que posee la clave privada complementaria.

De esta manera, el cifrado de la información, propiamente dicha, implica que paralelamente a la obtención de la firma electrónica mostrada en la fig.3, cifremos el documento original con la clave pública de nuestro receptor, enviando de esta manera el documento cifrado y firmado, garantizando que sólo él podrá leerlo.

Cuando el receptor reciba el documento, previamente a hacer la comparación de los dos resúmenes, tendrá que descifrar el documento recibido con su clave privada y obtener así el documento original. Una vez obtenido el documento original y extraída la firma, podremos proceder a la verificación de la firma digital que se explica en la fig. 4.

Podemos ver detalladamente el proceso de cifrado y descifrado en las fig. 3 y 4 respectivamente. Como podemos observar, la única diferencia entre el proceso de firma y el proceso de firma y cifrado es que no se adjunta directamente la firma al documento, sino que éste se cifra previamente con la clave pública del receptor. De esta manera, enviamos un documento cifrado con la firma adjunta.

De la misma manera, en el proceso de verificación, la única diferencia es que en lugar de recibir un documento firmado (documento + firma) recibimos un documento cifrado y firmado (documento cifrado + firma). Para verificar la firma, tenemos que separar el documento de la firma y en lugar de obtener el resumen directamente, previamente hemos de descifrar el documento con la clave privada del receptor, obteniendo el documento original. El resto del proceso es el mismo.

Fig. 3

Fig. 4

 

¿Qué ventajas tiene la certificación digital ante otros identificadores digitales como el código de usuario y la palabra de paso?

Las identidades digitales son mecanismos técnicos que nos permiten identificarnos ante los sistemas informáticos. Hay diferentes tipologías de herramientas de seguridad que pueden ofrecernos algunas de las garantías que ofrecen los certificados digitales, pero no todas.

De entre todas las entidades las dos formas más extendidas son el usuario y la palabra de paso y el certificado digital, pero las diferencias entre ellos son notables, vamos a analizarlas:

• Usuario/Contraseña:
  • Es posiblemente el más conocido, pero su uso no está amparado por ninguna ley.
  • Identifica una persona en Internet, pero no permite ningún tipo de firma de los documentos electrónicos enviados.
  • Es necesario un nombre de usuario y contraseña específica para cada portal o plataforma.
  • Es generado unilateralmente por cada portal o plataforma, no para una tercera parte de confianza.
  • No incorpora ningún dato anexo que identifique al usuario.
  • En caso de pérdida no hay mecanismos de anulación de las mismas.
  • Normalmente no incorpora un sistema de caducidad.
• Certificado digital:
  • Garantiza la identidad de una persona en un sistema informático (portal, aplicación, etc.)
  • Permite realizar trámites telemáticos con plenas garantías técnicas y jurídicas en diferentes portales o plataformas.
  • Permite firmar documentos electrónicos con validez legal. Los compromisos adquiridos por vía electrónica se equiparan a los adquiridos presencialmente.
  • Permite firmar correos electrónicos.
  • Permite utilizar un mismo certificado digital para autenticarse en diferentes plataformas y portales.
  • Identifica los datos del usuario que lo utiliza: nombre y DNI.
  • Es generado por un prestador de servicios de certificación reconocido y de confianza.
  • En caso de pérdida o robo, se puede suspender llamando a un teléfono durante las 24 horas del día.
  • Permite cifrar las comunicaciones en Internet, protegiendo la integridad de la información transmitida.
  • Está amparado por la Ley 59/2003 de Firma Electrónica.
  • Un certificado digital de ciudadano, por ejemplo, el idCAT que emite la "Agència Catalana de Certificació" se puede conseguir en un sólo día.

 

¿Qué garantías de seguridad tiene un certificado digital?

El uso de los certificados digitales garantiza la seguridad de los trámites telemáticos realizados con ellos, ya que nos ofrecen las siguientes garantías:

• Identidad: nos ofrecen la seguridad de que se está realizando la transacción por la entidad o la persona que dice ser.
• Integridad: nos garantiza que los documentos motivo de la transacción no han estado alterados durante la transmisión.
• Autenticidad: garantiza que los documentos que ha recibido el receptor son los originales y pertenecen indiscutiblemente al emisor. De esta manera, nos permite garantizar que el emisor es responsable del compromiso adquirido por la vía telemática (imputación del acto), teniendo evidencias, por ejemplo, de la formalización de un contrato.
• Confidencialidad: nos permite tener la seguridad de que sólo el emisor y el receptor del mensaje o documento pueden acceder a la información.
• Legitimación: conocer si el interlocutor está capacitado profesionalmente o legalmente para hacer la gestión que se está realizando.
• Accesibilidad: nos permite acceder a la información electrónica en cualquier momento y nos garantiza la perdurabilidad en el tiempo.

 

¿Qué validez legal tiene un certificado digital?

Según el art. 3 de la Ley 59/2003, de 19 de desembre, de Firma Electrónica, "la firma electrónica reconocida tendrá respecto a los datos consignados en forma electrónica el mismo valor que la firma manuscrita en relación con los consignados en papel".

Además, la validez y el reconocimiento de un certificado dependerán en gran medida de la credibilidad de la entidad emisora. La "Agència Catalana de Certificació", prestadora de servicios de certificación a las administraciones catalanes, garantiza la validez de sus certificados.

 

¿Puedo dejar mi certificado digital para que lo haga servir otra persona?

El certificado digital es personal e intransferible, por lo tanto, sólo lo podrá hacer servir la persona titular. La responsabilidad del mal uso de un certificado recae sobre la misma.

 

¿Puedo solicitar o renovar mi certificado digital por Internet y descargármelo directamente?

No, los certificados no pueden descargarse directamente de Internet sino que se ha de seguir un proceso determinado para solicitarlos:
Puede consultar el proceso de solicitud de los certificados de CATCert para las administraciones públicas catalanas en la FAQ: ¿Qué he de hacer para solicitar por primera vez un certificado?
Por otro lado, puede consultar como obtener los certificados que la "Agència Catalana de Certificació" emite para los ciudadanos (idCAT) a través de la FAQ: ¿Qué he de hacer para obtener un certificado digital de ciudadano (idCAT)?
Los últimos (certificados idCAT), sin embargo, sí que se pueden renovar a través de la página web www.idcat.cat si se emitieron en software. Si, por el contrario, el certificado se emitió en soporte Clauer, en este proceso de renovación, se genera una solicitud de renovación que debería validar en una de las Entidades de Registro idCAT aportando el Clauer original donde se alojó el certificado.

 

¿Cuántos certificados digitales puede tener un único usuario?

Un usuario no puede disponer de más de un certificado digital del mismo tipo emitido con los mismos datos. Sólo se podría dar este supuesto en el caso de la renovación de un certificado durante los dos meses anteriores a su caducidad (si el segundo se emite antes de la caducidad del primero, dentro de este periodo).
Por otra parte, en el caso de los certificados digitales para los trabajadores de las administraciones públicas catalanas, un usuario puede disponer de más de un certificado a su nombre y del mismo tipo, si éstos, han estado emitidos a nombre de diferentes organizaciones.

 

¿Qué diferencia hay entre exportar un certificado con clave privada o sin ésta?

Cuando exporta un certificado digital con su clave privada, está creando una copia del certificado y podría realizar firmas electrónicas con éste (este tipo de exportación no es posible en caso que el certificado haya sido emitido en tarjeta con chip criptográfico).
En el caso que sólo exporte la clave pública del certificado, está generando un fichero que contiene los datos del certificado pero no se podrá hacer servir éste para suplantar su identidad. De esta manera, puede facilitar la clave pública de su certificado digital a otras personas para que se puedan comunicar con usted de manera segura.

 

¿Cuál es la jerarquía de los certificados de CATCert?

La "Agència Catalana de Certificació" - CATCert, para dar un servicio de acuerdo con las especificidades de las diferentes administraciones catalanas, creó, el 8 de enero de 2003, una jerarquía de entidad de certificación, la raíz de la cual es la propia Agència, estructurada de acuerdo con el diagrama siguiente:

La confianza de esta jerarquía tiene como raíz la "Agència Catalana de Certificació". De ella cuelgan las entidades de certificación colaboradoras en diferentes niveles, de acuerdo con las necesidades de las diferentes administraciones.

La creación de esta infraestructura, si bien es necesaria, no es suficiente, y es necesario que los diferentes usuarios confíen explícitamente.

 

¿Cómo puedo saber si los certificados de CATCert son válidos para un trámite o uso concreto?

Accedan a la página de usos de los certificados digitales y consulten el trámite o uso en el documento, en formato excel, de usos de los certificados de CATCert (idCAT o para otras EC's de CATCert según convenga).

 

¿Qué es el código PIN o la contraseña de un certificado digital?

El PIN o contraseña (en el caso del Clauer idCAT para ciudadanos) es un código con el que es protege la clave privada del certificado digital.
En caso que su certificado digital esté alojado en una tarjeta con chip criptográfico debería recibir, en un envío diferente, una carta con los códigos PIN y PUK de ésta, que puede modificar a través de la Utilidad de Gestión del Token: Ver "¿Cómo puedo modificar el código PIN y/o código PUK de mi tarjeta?"
En el caso de los certificados digitales que CATCert emite para los ciudadanos (idCAT), si éste ha estado emitido en un Clauer idCAT deberían hacer servir una contraseña para acceder a la parte criptográfica del Clauer donde está alojado el certificado. Encontrará la contraseña inicial de su Clauer en el documento de comparecencia que le han facilitado en la Entidad de Registro idCAT donde han emitido su certificado digital. Pueden modificar la contraseña del Clauer a través del Gestor del Clauer idCAT. Ver: ¿Cómo instalar mi certificado idCAT en Clauer?

 

¿Qué es el número de serie del certificado? ¿Dónde lo puedo encontrar?

El número de serie del certificado digital es un código alfanumérico identificativo que es diferente en cada certificado. Este número de serie lo puede utilizar para identificar su certificado ante la Entidad Certificadora o Entidad de Registro en caso de solicitar una determinada gestión relacionada con éste. Ej.: Revocación.
Puede encontrar el número de serie de su certificado visualizando éste a través de su navegador o de la utilidad de gestor del token (el segundo, en caso que el certificado sea en soporte tarjeta). Haciendo doble clic sobre el certificado se puede acceder a la pestaña "Detalles" donde aparecen los campos que contiene el certificado digital, y entre ellos, el número de serie.

 

¿Cómo podemos saber si un certificado ha sido revocado?

Para comprobar la vigencia de un certificado y/o la validez de una firma, pueden realizar el test de validación a través de la Plataforma de Servicios de Identificación y Firma de CATCert, o bien, acceder a las listas de certificados revocados para comprobar que el certificado, en cuestión, no se encuentre en éstas.

 

¿Qué he de hacer en caso de pérdida o robo de un certificado digital?

Es recomendable suspender un certificado en caso de sospecha de pérdida o robo del mismo. La suspensión consiste en dejar un certificado sin validez temporalmente, durante un periodo máximo de 120 días, dentro del cual se puede volver a solicitar su habilitación en caso de recuperación del mismo. Si pasados los 120 días no lo habilitan, se revocará de manera irreversible, por lo que se deberá volver a solicitar uno nuevo, en caso necesario. Destacar, en este punto, que no es posible la emisión de un nuevo certificado si éste está suspendido i no se ha revocado, así pues, en caso que se quiera solicitar la emisión antes de los 120 días desde la suspensión, se deberá solicitar también la revocación del certificado expresamente.

Para consultar el procedimiento para suspender un certificado consulten el siguiente apartado: ¿Cómo suspender un certificado digital?

 

¿Cómo suspender un certificado digital?

Para solicitar la suspensión de un certificado digital de CATCert, llamen al teléfono de nuestro Centro de Atención al Usuario: 902901080.

En el caso que tengan que suspender un certificado que pertenezca a una administración pública deberán facilitar en éste teléfono el código de suspensión indicado en la hoja de entrega del mismo.

Si el certificado que quieren suspender es un idCAT (certificado para la ciudadanía) deberán dar, en este teléfono, la respuesta a la pregunta secreta que indicaron en el momento de la emisión del certificado.

 

¿Cuál es el precio de una llamada al Centro de Atención al Usuario de CATCert?

El teléfono del Centro de Atención al Usuario (CAU) de CATCert es el 902 901 080. Este número es un servicio de tarifación especial en el que el precio de la llamada lo asume íntegramente la persona que llama.

El precio de la llamada depende del operador desde el que se llama y de si la red desde la que se llama es fija o móvil.

El código 902, a diferencia de los 803, 806, 807, 905 y 907 no tiene la consideración del servicio de tarifación adicional, por lo que no es obligatorio informar al abonado que llama del precio que ha de pagar el abonado por la prestación del servicio.

Le recomendamos que si quiere conocer el precio de las llamadas al CAU de CATCert, consulte a su operador de telefonía tanto fija como móvil, pues este precio depende de las tarifas que regentan su contracto.

Puede consultar la normativa aplicable:

• Ley 32/2003, de 3 de noviembre, general de telecomunicaciones.
• Real decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones por la prestación del servicio de comunicaciones electrónicas, el servicio universal y la protección de los usuarios.
• Real decreto 2296/2004, de 10 de diciembre, por el cual se aprueba el Reglamento sobre mercados de comunicaciones electrónicas, acceso a las redes y numeración.

 

¿Cómo puedo saber qué información tienen a mi nombre?

Puede solicitar esta información por escrito (se dispone de modelos de solicitud con este efecto en el apartado "Datos personales" de la web CATCert) y, en el plazo de un mes, le haremos llegar a la dirección que nos comunique.

¿Me pueden dar la información que tienen de mí por teléfono?

La Ley orgánica de protección de datos, además del artículo 23 RLOPD establece que el derecho de acceso a la información es un derecho personalísimo, y sólo puede ser ejercido por el titular de estos datos o su representante legal.

Por teléfono no se puede comprobar que la persona que está hablando y solicitando la información es el titular de estos datos. Por este motivo, y por su propia seguridad e intimidad, no podemos proporcionarle la información por este medio.

 

¿Cómo puedo cancelar/rectificar/oponerme al tratamiento de mis datos?

Puede solicitarlo por escrito o por correo electrónico firmado a lopd@aoc.cat, utilizando a los modelos de solicitud que encontraréis en el apartado "Datos personales" de la web CATCert.

Si es procedente la petición, en el plazo de 10 días la llevaremos a cabo. Si, por lo contrario, de acuerdo con la legislación vigente, la petición no fuera procedente se lo comunicaríamos por escrito en el mismo plazo.

 

¿Cuánto de tiempo tardarán a contestarme una solicitud de acceso a la información de datos personales que disponen de mí?

La Ley señala que hay un plazo de un mes para permitir el acceso de los titulares a sus datos personales (artículo 29 RLOPD).

 

¿Por qué no puedo cancelar/rectificar/oponerme al tratamiento de mis datos por teléfono?

Igual que ocurre con el acceso a la información, se trata de derechos muy personales, que sólo pueden ser ejercidos por el titular de los datos o su representante legal.

Telefónicamente no se puede comprobar la identidad de la persona que está hablando en este momento. Es por este motivo que necesitamos que nos lo solicite por escrito con fotocopia del DNI o documento de identificación.