Genbeta Dev somos un blog de desarrollo pero también nos gusta estar al tanto de lo que se cuece en otros ámbitos como puede ser la seguridad informática. Hace un tiempo os comentamos la noticia de que la empresa española Tractis sacaba Tractis Webservices, un conjunto de servicios de certificación en la nube. Esta semana, por su parte, hemos conocido que otra empresa española y poderosa como Tuenti ha empezado a usar estos Tractis Webservices para verificación de identidad en su plataforma.
En concreto, el servicio que ha utilizado Tuenti ha sido el de Atributte Authority y lo ha utilizado para el sistema de activación de tarjetas prepago de su operadora de telefonía virtual Tu. Queda por ver si se trata de algo puntual o Tuenti lo empieza a utilizar en otros ámbitos (ej: verificar que la edad del usuario es de 14 años o superior). También estará interesante comprobar si otras empresas importantes de la dospuntocero española se suman al carro de Tuenti (la web con más tráfico de España), ya que hasta ahora los Tractis Webservices no habían conseguido ningún usuario de tamaña importancia. Puede ser un buen espaldarazo, desde luego.
Más info | Blog de Tuenti, Negonation Blog
En Genbeta | Tuenti integra el DNI electrónico en su plataforma
Comentarios
Yo siempre lo he dicho, la única forma real que hay de saber la edad de una persona es con el DNI electrónico o algun tipo de certificado, me parece una buena forma.
Me parece irrelevante que Tuenti integre esta característica. Y no solo eso, me parece contraproducente (aunque sensata). Los usuarios de Tuenti están en declive casi desde sus inicios. Y el grueso de estos son adolescentes. A ver cuando cierran definitivamente que lo único que hacen es perder dinero. Dinero que todos sabemos de dónde sale.
Por cierto, ¿he entrado en Tuenti y no he necesitado DNie? Y si me lo hubieran pedido no habría podido usarlo por lo que me habrían perdido. Esto mismo pasaría con la mayor parte de la gente.
Todo apunta a una maniobra "inteligente" de Cesar Alierta. Todo un "intelectual" y "visionario". Lo que no veo es lo interesante de la maniobra.
Poner nuestro DNI en redes sociales estilo Facebook o Tuenti... Por si les faltaban datos.. Ya lo que faltaba. ¿Estamos locos o qué?
interesante
El DNIe conceptualmente está muy bien, sin embargo, cuando renové el DNI, escribí en la tarjeta que debes firmar (como que has recibido el DNI) algo como "solicito que mis certificados electrónicos estén totalmente inoperativos". El funcionario que me hizo el DNI, desactivó los certificados; algo que pude comprobar en una de las máquinas que había allí mismo para consultar tu DNI.
¿Porqué lo hice si es tan útil? (y lo es, realmente)
Porque aunque el DNIe en sí mismo fuera seguro (diversos estudios afirman que han roto varias versiones de DNIe), no lo son las plataformas sobre las que se usan.
Por poner un ejemplo, ¿son seguras las API del SO que permiten a las aplicaciones acceder a la operativa del DNIe? ¡NO!. Creo que ya no existe, pero había un análisis muy interesante en el blog "4bits" (creo recordar), en el que mostraban como puentear (creo que usando el esquema de depuración de un proceso) las API del IE, pudiendo obtener toda la información del certificado (sí, también la firma privada).
Es decir, la seguridad de tu DNIe es tanta como el elemento menos seguro con el que interactúe.
Bueno, diréis, con ese riesgo vivimos todos los días, sino, no encenderíamos el ordenador.
Cierto, pero debes saber (si es que no lo sabes ya), que aunque tengas las protecciones recomendadas de seguridad (o deberías tener), la protección real que tenemos los indivíduos es el anonimato, la gran masa, ser un grano de arena en una playa, etc...
Tu router, tu ordenador, tu disco duro, no son seguros (tampoco el mío y sí, uso Linux, está actualizado, como demonio ntop, encripto mis datos más preciados, etc...).
Pero es que además, en el caso del DNIe, me tengo que fiar de otras personas.
¿Y porqué usas Internet pero no quieres el DNIe?
Que alguien disponga de tu DNIe, supone que puede realizar en tu nombre CUALQUIER tramitación legal (ej. firmar una hipoteca, ceder tus bienes, etc...), tiene la misma validez que una firma en mano (yo diría que más, cuando tengas que convencer al juez...). Es decir, para mí, no me compensa el riesgo respecto de los beneficios que me aporta. Quizás a tí sí, bien, cualquiera de las dos posturas es respetable.
Cierto, la probabilidad de que me toque a mí es muy pequeña (que precisamente me quieran crackear a mi), pero es que el coste de que lo consigan también es muy alto.
De todos modos, por ignorancia, imprudencia o porque no queda otro remedio, cada día cedemos más y más información. Información que nos va sacando del anonimato (del montón de arena) para pasar a ser una ficha con nombre y apellidos. Y ya no seremos nosotros quienes vayamos a buscar lo que nos interesa (productos, servicios, ...), serán las grandes corporaciones las que nos vendrán a buscar (cuando no obligar).
Llamarme paranoico, pero prefiero (mientras pueda) seguir en el anonimato.
-- editado por última vez a las 17:39
¿De verdad que a tuenti le hacia falta el DNIe? Creo que no deberían perder el tiempo en estas chorradas, lo que les hace falta es una API para que los desarrolladores podamos integrar comentarios, logins y demás en nuestras webs.
Lo que deberían hacer no es tanto el integrar este tipo de cosas, estén bien o mal según cada uno, lo que deberían de hacer de una vez por todas es mejorar la seguridad de su web al menos al httpS, que como decía Chema Alonso (en un post de estas páginas está el video) con la cookie de una "víctima" te sobra para tener acceso a su tuenti sin más dificultades.
Y de esas cookies, en wifis abiertas o cibercafés administrados de aquella manera, hay a montones.
¿eh?
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect