INTRODUCCION

El nacimiento del certificado digital fue a raíz de resolver el problema de administrar las claves públicas y que la identidad del dueño no pueda ser falsificada. La idea es que una tercera entidad intervenga en la administración de las claves públicas y asegure que las claves públicas tengan asociado un usuario claramente identificado

Un certificado digital es un par de números extremadamente largos que van íntimamente relacionados entre si, es decir, como un identificador único dentro de la red que permite a su poseedor ser identificado como tal dentro de la misma, con el fin de realizar un conjunto de acciones determinadas (firmar un documento, entrar en lugares restringidos, identificarse ante una administración, etc.).

Estos números extremadamente largos están representados por dos archivos para efectos prácticos, uno de ellos es mejor conocido como Llave Pública y el otro como Llave Privada. Por lo tanto, un certificado digital consta de dos Llaves, la Pública y la Privada.

La Llave Pública, como su nombre lo indica, es un archivo que cualquiera lo puede tener, consultar, descargar de internet, se puede enviar a los clientes (algunas dependencias y empresas muy grandes los solicitan a sus proveedores), en fin, es “público”. Este archivo regularmente tiene la extensión “.cer”. De forma que es común ver archivos como: “00001000000103713791.cer”.

La Llave Privada, como su nombre lo indica, es un archivo que debe quedar en resguardo de su propietario y no debería ser distribuido de ninguna forma, ya que el archivo “.cer” por si mismo no sirve para nada; sin embargo, en conjunto con el archivo “.key” puede usarse literalmente para cualquier cosa como trámites en el SAT.

¿Qué es una autoridad certificadora?

En criptografía una autoridad de certificación, certificadora o certificante (AC o CA por sus siglas en inglés Certification Authority) es una entidad de confianza, responsable de emitir y revocar los certificados digitales o certificados, utilizados en la firma electrónica, para lo cual se emplea la criptografía de clave pública. Jurídicamente es un caso particular de Prestador de Servicios de Certificación.

De acuerdo al Art. 2 de la Ley de Firma Electrónica Avanzada se entiende como las dependencias y entidades de la Administración Pública Federal y los prestadores de servicios de certificación que conforme a las disposiciones jurídicas, tengan reconocida esta calidad y cuenten con la infraestructura tecnológica para la emisión, administración y registro de certificados digitales, así como para proporcionar servicios relacionados con los mismos, de esta manera verifican la identidad del solicitante de un certificado antes de su expedición o, en caso de certificados expedidos con la condición de revocados, elimina la revocación de los certificados al comprobar dicha identidad. 

Es así como la Autoridad de Certificación es un tipo particular de Prestador de Servicios de Certificación que legitima ante los terceros que confían en sus certificados la relación entre la identidad de un usuario y su clave pública.

¿Cómo se obtienen los certificados?

Los Certificados Digitales son comercializados por empresas particulares, por lo cual los contribuyentes interesados en adquirir un Certificado Digital deben hacerlo directamente en las entidades certificadoras. 

El mecanismo habitual de solicitud de un certificado de servidor web a una CA consiste en que la entidad solicitante, utilizando ciertas funciones del software de servidor web, completa ciertos datos identificativos (entre los que se incluye el localizador URL del servidor) y genera una pareja de claves pública/privada. Con esa información el software de servidor compone un fichero que contiene una petición CSR (Certificate Signing Request) en formato PKCS#10 que contiene la clave pública y que se hace llegar a la CA elegida. Esta, tras verificar por sí o mediante los servicios de una RA (Registration Authority, Autoridad de Registro) la información de identificación aportada y la realización del pago, envía el certificado firmado al solicitante, que lo instala en el servidor web con la misma herramienta con la que generó la petición CSR. En este contexto, PKCS corresponde a un conjunto de especificaciones que son estándares de facto denominadas Public-Key-Cryptography-Standards.

Los Certificados Digitales no los genera directamente el SAT, en realidad los genera el Banco de México, por tanto el SAT no los registra de inmediato, sino que el BM los tiene que enviar al SAT para que éste los registre y puedan ser utilizados. El tiempo que tarda el SAT en registrar los CSD es de 24 a 48 horas. Por tanto no sólo hay que esperar a que el Certificado entre en vigencia 6 horas, sino que adicionalmente hay que esperar de 24 a 48 horas para que éste quede registrado en el SAT.

¿Cómo se generan los certificados?

Para poder generar el certificado digital del Banco de México se deberá de: Consultar Certificado Digital

Esta opción le permite consultar en qué estado se encuentra su certificado digital, es decir, si esta activo (vigente) o revocado.

Descargar Certificado digitalPara poder descargar su certificado digital, deberá tener 3 procesoscompletados:

1) Haber requisitado la Solicitud de Certificado2) Haberse acreditado con PSC Advantage ( Presentado su documentación

correspondiente para la acreditación (original y copia) Identificación Oficial (IFE, Pasaporte, Cédula Profesional) Oficio de Firmas sellado de Recibido por la Subsecretaría de Egresos Nombramiento Presentar el formato en donde aparece el usuario del GRP

3) Haber recibido por parte de Advantage Security con su PIN, para poderlodescargar.

Instalar Certificado DigitalDe esta manera, aparecerá el asistente de instalación del certificado, al cual deberá indicar “next” en todas las pantallas para que se instale de manera correcta.

¿Cómo se validan los certificados?

Para realizar los procesos de autenticación y verificación de los certificados, se solicitara información de la organización que compruebe que esta legalmente constituida, que cuenta con registro ante la Secretaria de Hacienda y Crédito Publico; que tiene Registro Federal de Contribuyente (RFC); y que posee referencias bancarias actuales.

Certificados digitales y comprobación de una firma digital de un mensaje de correo electrónico de la Secretaria de Economía:

a) Se recibe el mensaje.b) Se recupera del mensaje la firma digital que contiene el valor de hash cifrado.c) Se recupera el mensaje.d) Se calcula el valor de hash del mensaje.e) Se recupera la clave pública del remitente del certificado digital del remitente.f) Se descifra con la clave pública del remitente el valor de hash cifrado.g) Se compara el valor de hash descifrado con el valor de hash obtenido en la

recepción.h) Si los valores coinciden, el mensaje es válido.

Para la validación de Certificados Digitales, Firmas Electrónicas y Sellos Digitales, se deberá de accesar al portal del SAT y en la sección de “Validación de Certificados” se podrá ver si es falso o verdadero un certificado.

Ley federal de protección de datos personales en posesión de los particulares

Artículo 3.- Para los efectos de esta Ley, se entenderá por:

Aviso de Privacidad: Documento físico, electrónico o en cualquier otro formato generado por el responsable que es puesto a disposición del titular, previo al tratamiento de sus datos personales, de conformidad con el artículo 15 de la presente Ley.

Bases de datos: El conjunto ordenado de datos personales referentes a una persona identificada o identificable.

Consentimiento: Manifestación de la voluntad del titular de los datos mediante la cual se efectúa el tratamiento de los mismos.

Datos personales: Cualquier información concerniente a una persona física identificada o identificable.

Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

Disociación: El procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.

Aviso de privacidadEn términos de los artículos 15 de la Ley y 23 de su Reglamento, el principio de información consiste en la obligación del responsable de informar a los titulares sobre la existencia y características principales del tratamiento al que serán sometidos sus datos personales, con objeto de que pueda ejercer sus derechos a la autodeterminación informativa, privacidad y protección de datos personales.

A través del aviso de privacidad el responsable tendrá la obligación de informar a los titulares de los datos, la información que se recaba de ellos y con qué fines.

INFORMACION QUE DEBERÁ CONTENER EL AVISO DE

I. La identidad y domicilio del responsable que los recaba;II. Las finalidades del tratamiento de datos; III. Las opciones y medios que el responsable ofrezca a los titulares para limitar el

uso o divulgación de los datos; IV. Los medios para ejercer los derechos de acceso, rectificación, cancelación u

oposición, de conformidad con lo dispuesto en esta Ley;V. En su caso, las transferencias de datos que se efectúen, y VI. El procedimiento y medio por el cual el responsable comunicará a los titulares de

cambios al aviso de privacidad, de conformidad con lo previsto en esta Ley.

MOMENTOS Y FORMAS DE DAR A CONOCER EL AVISO DE PRIVACIDAD

Cuando los datos hayan sido obtenidos directamente del

Cuando los datos no hayan sido obtenidos directamente del

El aviso de privacidad debe ponerse a disposición de los titulares a través de

formatos impresos, digitales, visuales, sonoros o cualquier otra tecnología

El responsable deberá darle a conocer el cambio en el aviso de privacidad.

CONCLUSIONESLos certificados digitales nos funcionan como puentes para realizar los trámites y transacciones a través de internet, de esta manera la persona que quiera realizar algún movimiento de las administraciones publicas y empresas privadas tendrá una mayor seguridad de que sus datos no serán manipulados, de que la información que se envié sea y este segura, facilitara su comercio exterior e impedirá amenazas en línea.

Además con la ayuda de los avisos de privacidad el titular podrá tomar decisiones informadas con relación a sus datos personales y podrá controlar el uso de su información personal.

GLOSARIOAutenticación: Procedimiento informático que permite asegurar que un usuario de un sitio web u otro servicio similar es auténtico o quien dice ser.

Criptografía: Arte y técnica de escribir con procedimientos o claves secretas o de un modo enigmático, de tal forma que lo escrito solamente sea inteligible para quien sepa descifrarlo.

Legitima: adj. Conforme a las leyes y a la justicia. Justo, lícito, conforme a la moral. Genuino, verdadero

Requisitado: Término que se utiliza para indicar que un formulario debe ser llenado o completado cumpliendo los requisitos que en el mismo se indican.

Verificación: Comprobación o ratificación de la autenticidad o verdad de una cosa.

BIBLIOGRAFÍA www. sat .gob.mx/ www.banxico.org.mx/ www. economia .gob.mx/ http://pixelsi.com.mx/index_htm_files/QUE%20SON%20LOS%20CERTIFICADOS

%20DIGITALES.pdf http://dof.gob.mx/nota_detalle.php?codigo=5228864&fecha=11/01/2012 LEY DE FIRMA ELECTRÓNICA AVANZADA http://www.certificadodigital.com.ar/download/GUsuario.pdf LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE

LOS PARTICULARES http://www.dof.gob.mx/nota_detalle.php?codigo=5284966&fecha=17/01/2013