FALLO GRAVE DE SEGURIDAD EN LA AEAT
A pesar de mis reticencias con la firma electrónica reconocida de la C.A. (autoridad de certificación) de Firma Profesional, que es quien certifica a ACA (la firma de los colegios de abogados); fundamentalmente por su inobservancia manifiesta del principio de neutralidad tecnológica, y por ser del tipo PKi-7, esta mañana, ante la acumulación puntual de trabajo, me he decidido por utilizar el sistema de la AEAT para presentar un Recurso de Reposición «on line» firmado con mi «flamante» firma electrónica reconocida.
Tras múltiples fallos del website de la Agencia, y un complicado procedimiento de «subida de ficheros» he conseguido, finalmente, rellenar el cuestionario, adjuntar el escrito y firmar digitalmente (el sistema ha reconocido mi certificado).
Los problemas han empezado – rectifico, han continuado – al aceptar por segunda vez y llegar a la temida pantalla de error 403 .
Como soy un convencido de las Nuevas Tecnologías lejos de desistir en el intento he llamado al servicio de atención al público/consumidor/contribuyente donde una amable señorita me ha explicado que el problema estaba en mi disquetera; a lo que, con la misma amabilidad – y haciendo acopio de paciencia – le he respondido que mi portatil no tiene disquetera. se ha producido un silencio, seguido de un ah, lo tiene vd. en su disco duro? .
Evidentemente no lo tengo en mi disco duro. Mi tarjeta criptográfica se inserta en un periférico (token) para que mi clave privada no pueda ser conocida por terceros; y en eso consiste la seguridad de la firma electrónica reconocida basada en un dispositivo seguro de creación de firma ; de lo que he informado (en términos más asequibles) a la experta en seguridad de la AEAT.
Al comprobar que mi certificado no había sido emitido por la AEAT la experta en seguridad ha concluído que el problema se debía a que yo NO había exportado mi clave privada (¿?)
Les ahorraré el » diálogo para besugos» que ha seguido a su empeño en que le exportara mi clave privada.
Como ya habrán supuesto me he negado a hacerle llegar mi clave privada, con la consecuencia de tener que presentar el recurso al «estilo tradicional» . Y éste no es el problema (por fortuna no me toca lidiar a menudo en esa plaza). El problema tampoco pasa por que los certificados de Firma Profesional (que certifica a ACA) no sean operativos ante la AEAT (bonito gol a nuestros representantes); ni porque la administración incumpla sistematicamente la obligación de reconocimiento de certificados emitidos por C.A.´s inscritas en el Ministerio de Industria….que también (especialmente sangrante es el caso del sistema RED).
El problema, amable lector, es que AEAT, no veo otra explicación, retiene la clave privada de los certificados que emite. Y eso es muy grave, porque quiebra todo el sistema de seguridad que se pretende con la firma electrónica.
la amable señorita se ha negado a pedirme la clave privada por correo electrónico (o por fax) como le he rogado; así que todo queda en una conversación telefónica que AEAT negará siempre; en consecuencia ruego inserten los términos «presuntamente, quizás, posible, aventuro a» donde proceda a lo largo de este texto.
Estimado Sr. Canut:
Lamento la desafortunada atención que le han dispensado en un servicio de atención telefónica de la Agencia Tributaria al atenderle en su intento de presentar un Recurso de Reposición con un certificado de Firma Profesional.
Permitame precisarle que la AEAT no emite certificados, únicamente hace de autoridad de registro para los certificados que emite la Fábrica Nacional de Moneda y Timbre. Cada Autoridad de Certificación custodia la clave pública de sus certificados, ya que la clave privada nunca sale de la tarjeta criptográfica o del ordenador del usuario. Por ello la AEAT no retiene clave privada alguna de ningún certificado, sólo se limita a comprobar la validez de cada certificado y que no esté revocado.
Si quiere contactar nuevamente con el soporte a usuario, le ruego lo haga a través de soporte@aeat.es, y si nos quiere hacer llegar una sugerencia, le ruego que lo haga a través de la dirección http://www.aeat.es/agencia/direc/sugerencias.htm, donde siempre son bien recibidas las sugerencias para mejorar el servicio.
Un abrazo,
Claudio Pérez-Olea
Responsable soporte
Estimado Sr. Pérez Olea:
vaya por delante mi – agradable – sorpresa a su respuesta en esta bitácora.
Me tranquiliza que AEAT se comporte como mero gestor de FNMT (convendrá conmigo que las «autoridades de registro» no están previstas en nuestra legislación vigente), y me tranquiliza mucho más conocer por su comentario que la petición de la clave privada por parte de los funcionarios de la AEAT no es práctica habitual, dado que ello – bien le consta – corrompería todo el sistema de seguridad que se pretende con la firma electrónica.
a sus matizaciones:
«ya que la clave privada nunca sale de la tarjeta criptográfica o del ordenador del usuario»
eso es lo que yo trataba de explicar – sin conseguirlo – a la funcionaria de AEAT que me atendió, que insistía una y otra vez en que exportara mi clave privada.
«Por ello la AEAT no retiene clave privada alguna de ningún certificado, sólo se limita a comprobar la validez de cada certificado y que no esté revocado»
y para ello el propio sistema comprueba la revocación del certificado cuando un usuario de firma electrónica accede al sistema.
No me quejo del sistema (he de reconocerles que la firma emitida por FNMT es compatible con varios navegadores – cosa que de momento no ocurre con la emitida por Firma Profesional – lo cual es de agradecer), me quejo de la poca preparación de las personas que la AEAT pone a disposición del contribuyente y los profesionales para resolver los fallos del sistema informático.
Si de verdad queremos acabar definitivamente con la brecha digital hay que trabajar en la formación de nuestros funcionarios.
ejem. » exportar clave privada» y «exportar certificado» no es lo mismo. seguramente te solicitaran el certificado. si quieres te explico para que lo quieren, pero es para «…sólo se limita a comprobar la validez de cada certificado y que no esté revocado”. es solo por aclarar un poco el embrollo. de nada.
«Si de verdad queremos acabar definitivamente con la brecha digital hay que trabajar en la formación de nuestros funcionarios.»
Por si no lo sabes, la mayoría de la gente de soporte que responde el teléfono NO son funcionarios, son gente subcontratada cuya formación y conocimientos se limita a un minicursillo. La dirección que te han pasado de soporte SÍ que es probable que sea gestionada por funcionarios.
Exactamente, como bien dice elmelenitas el servicio de helpdesk lo tendran subcontratado a la subcontrata de la subcontrata y la gente entendera lo que le diga el ordenador o le suene.
Al fin y al cabo esa es la idea de un primer nivel de un helpdesk, gente no especializada que basicamente tiene que saber atender llamadas y buscar en el ordenador y a la que por supuesto pagas 4 duros y sustituyes cuando te da la gana.
a Verdoux, gracias por la aclaración – para mis lectores – pero lo que me pidieron fue la clave privada (de haberme pedido el certificado – que por otra parte ya había comprobado y aceptado el sistema – no habría puesto ningún reparo; es más me habría parecido lógico).
a elmelenitas, lo imaginaba – nunca me había preocupado en comprobarlo – y me confirma lo poco que la admon está haciendo por superar la brecha (digital, se entiende); por contra tenemos campañas auspiciadas por el ministerio de cultura que…(en fin, eso no es, rigurosamente, de esta guerra)
Es increible que, por otro lado, la posibilidad de utilizar firma electrónica ante la AEAT sea el orgullo de la Administración Electrónica en España y se mencione en toda presentación. Y con todo, antes me quedo con el certificado de la FNMT (o el de Camerfirma) que con el de ACA.
Por cierto, ayer descubrí que Firmaprofesional comparte servidor con un acceso online del Colegio Oficial de Médicos de Barcelona. No parece una práctica muy segura por parte de un prestador de servicios de certificación.
Yo tengo que llevaros la contraria y comentaros que el soporte help desk de la AEAT es ,sin duda,el mejor de la Aministración.Soy asesora fiscal y me he puesto varias veces en contacto con ellos por problemas diferentes y siempre me han atendido con amabilidad y eficacia.La verdad que no se si son funcionarios o no ,pero mientras me ayuden,lo demás me da igual.
Está claro que la señorita no era nada ducha en esto de la informática. En todo caso, hay varios puntos preocupantes, de los cuales el segundo me preocupa más:
1.- La impericia y falta de formación del personal que trabaja en atención al público de la AEAT. (He de decir sin embargo que el único contacto que tuve una vez con el departamento de informática de la AEAT fue muy satisfactorio, porque sí se enteraron de mi problema; creo que ésa es la cuestión, que atención al cliente posee unn nivel muy bajo y que si quieres algo, más vale irte a la cabeza).
2.- Que lo certificados de ACA no sean reconocidos directamente por la Agencia. Esto sí es verdaderamente lamentable, y representa un error monumental en la elaboración de todo el plan de firma por parte de nuestros representantes.
3.- En relación con lo manifestado por nuestro compañero Javier, eso es muy pero que muy preocupante. Son demasiadas circunstancias extrañas las que rodean la firma de ACA como para añadir una más. Pero eso deberá ser comentado en otra ocasión.
[…] que no gustan a la administración española. Y, a fecha de hoy, Google ha hecho desaparecer este otro post que cuestionaba a la AEAT El post salía en primera […]
No sé si en cuanto a resolver consultas informáticas son o no eficaces, pero respecto a ayuda fiscal a través del 902 33 55 33, disiento totalmente de Coromoto. Hace tiempo recurrí a ellos para resolver unas dudas sobre la declaración de renta y pude comprobarlo: llamé TRES VECES distintas preguntando exactamente lo mismo y las tres respuestas fueron diferentes, aunque es cierto que dos de ellas iban más o menos en la misma línea, pero con diferencias. Mi conclusión es que como no sea para consultar cosas más bien elementales y de respuesta concreta y directa, mejor no utilizarlo.
En cuanto a amabilidad, las dos últimas veces que hice uso de este servicio me respondieron bastante secamente y con prisas. Pero lo peor es que llames y llames tres, cuatro, cinco veces, durante una misma mañana y siempre comuniquen, como me ha pasado ya en dos ocasiones.
Sobre los certificados digitales y la posibilidad de presentar declaraciones via internet, me interesé por ello, pero como ví que el procedimiento a seguir para obtener la dichosa firma digital constaba de varios pasos y requería su tiempo lo dejé correr. Además no me convence respecto a fiabilidad y seguridad. Y después de leer estos post, aún menos.
Hoy por hoy, donde esté el método tradicional y el sello del funcionario de turno que atestigua la presentación en lugar y fecha determinados, que se quiten procedimientos telemáticos y demás inventos. Opinión personal, desde luego. Pero creo que es la única forma segura de no tener complicaciones.
Sólo aclarar alguna duda más que he visto qeuda pendiente:
El prestador de servicios de certificación es Firmaprofesional, y no Firma Profesional
Compartía, por las fechas del blog, servidor WEB con el colegio de médicos. Los servidores que contienen las claves de la Autoridad de Certificación y que firman los certificados están (y estaban) en un bunker seguro, con incluso apantllamiento electro magnético (vamos., que dentro del bunker hay 0% cobertura de un móvil)
Es un prestador de servicios de certificación rpivado ¿a qué «principio de neutralidad tecnológica» está obligado? Desde luego sus certificados funcionan cpn internet Explorer y con Mozilla Firefox.
El «Tipo PKi 7» no existe. Hay un formato de firma que es el PKCS#7. Quizá venga por aquí, pero el formato de las firmas lo define la aplicación de firma y no el certificado. Es decir, los certificados de Firmaprofesional, como los de Camerfirma o los de la FNMT puede hacer firmas PKCS#7, CMS o XML DSig y sus extensiones CAdES y XAdES
Los certificados de Firmaprofesional y los de ACA (entonces y ahora) están reconocidos por la AEAT hace años.
Artículo 13.5 de la ley 59/2007 de firma electrónica: «Los prestadores de servicios de certificación podrán realizar las actuaciones de comprobación previstas en este artículo por sí o por medio de otras personas físicas o jurídicas, públicas o privadas, siendo responsable, en todo caso, el prestador de servicios de certificación». Aquí es donde se da cabia a las Autoridades de Registro, como persona jurídica distinta de la del prestador se servicios de certificación.
Espero haber aclarado algunos términos.
Saludos a todos.
Creo que sería de lo más interesante que todos nos preocupáramos de leer el contrato o acuerdo de infomación de privacidad que establece cualquier licencia de windows vista.
Se sorprenderan gratamente al observar que el fabricante del sistema operativo se reserva el derecho a acceder a los datos del disco duro que funcione con vista en un ammmmmplísimo elenco de supuestos. Eso si sin informar al usuario ni molestarlo…
Destaco que de dicho acuerdo se desprende incuso la captura de datos que estén en memoria… De lo cual debo suponer que ello implica que pueden capturar en cualquier momento la información de cualquier ordenador…
En atención a lo anterior, si te fias del fabricante de un sistema operativo… deberías de fiarte de los funcionarios que desarrollan correctamente su trabajo… ¿NO?..
Saludos a todos,
Buen Blog…
Sr Canut
Usted no sabe ni se entera de como funciona el tema de la firma digital. Sus críticas no tienen ningún fundamento y se lo puedo demostrar cuando quiera, además las personas que le atienden al teléfono no suelen ser funcionarios.
No quiera hacer una de esas gracias que se esparcen por la web sobre atención al usuario, porque, en este caso no es así.
Además si escuchara las llamadas que se reciben se daría cuenta de que la desinformación, la prepotencia, el nerviosismo, el no reconocer los propios errores y la incompetencia informática son habituales características de las personas que llaman.
Dice:
“ya que la clave privada nunca sale de la tarjeta criptográfica o del ordenador del usuario”
«eso es lo que yo trataba de explicar – sin conseguirlo – a la funcionaria de AEAT que me atendió, que insistía una y otra vez en que exportara mi clave privada».
Le dijeron eso porque la exportación del certificado se puede hacer con o sin clave privada, y es imprescindible que sea con clave. No tergiverse las cosas, por favor.