Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

01 abril 2014

eGarante, testigo online









Comenté en un post anterior que os hablaría de eGarante. Es un servicio que me ha llamado la atención desde el principio. Pero, lo que me impulsó a querer investigarla a fondo fue un tuit en el que decían: "Hemos usado una captura web, obtenida gracias a eGarante, válida como prueba en juicio". Quien así se expresa es un socio del bufete Abanlex, firma especializada en tecnología, que recomienda eGarante "por su calidad en el trabajo y excepcional trato al cliente". Así que me dije: vamos a probarlo (tengo que reconocer que han respondido amablemente a todas las preguntas que les he hecho).

¿Para qué puede servirnos eGarante?

1) Para certificar el envío de un correo electrónico, de una manera cómoda y gratuita. Basta con poner en copia a mailsigned@egarante.com y nos llegará una raw copy (copia en bruto) en formato pdf, con toda la información detallada de las características del email (contenido, destinatarios, etc.), firmada digitalmente con un certificado electrónico emitido por Firmaprofesional que incluye un sello de tiempo que permite saber si el documento ha sido o no modificado posteriormente. Este documento también se envía al destinatario de correo, para que le quede constancia. Validar la firma es muy fácil y lo explican aquí.

2) Para negociar contratos: basta con que el receptor de correo de a "responder a todos", enviando así copia de su respuesta a eGarante, que actuaría como tercero independiente de las negociaciones.

3) Para certificar la emisión de documentos: como facturas, etc. Solo hay que enviar el documento generado a su destinatario, con copia a docsigned@egarante.com y ambos (emisor y receptor) recibirán una copia sellada del mismo.

Todo esto lo permite la versión gratuita, cuyo uso es exclusivo de cuentas de correo no profesionales (gmail, yahoo, etc.). Si quisiéramos que nos certificaran el acuse de recibo, necesitaríamos contratar la versión Pro: en ese caso, eGarante hace una captura del log del servidor SMTP remoto para verificar que el correo se ha recibido (no que se ha leído).

La versión Pro permite, además, el uso profesional de eGarante con cuentas de correo de dominio propio y la integración con Evernote

4) Para obtener evidencias web. Por ejemplo: ¿os ha pasado alguna vez que veis el precio de un artículo en la web de una tienda y cuando os desplazáis allí, resulta que es más caro? A mí sí. Por fortuna, pude enseñarles la página en mi teléfono y reconocieron su error. Pero ¿os imagináis que lo hubieran cambiado? Bueno, no es que vayamos a ir copiando todo lo que vemos en la web por si luego lo cambian. Pero, en algunos casos, sí que puede resultar interesante. Especialmente, en el mencionado al inicio de este artículo: si hay alguien que nos injuria en las redes sociales, está bien hacerse con una copia, por si luego quiere deshacerse de las pruebas.

egweb

En el caso de la tienda, mandaríamos un correo a websigned@egarante.com copiando en el asunto la url de la web. Eso dispara un proceso automático en el servidor de eGarante que accede a la misma web y nos manda una copia sellada de lo que él (el servidor) está "viendo". Ya sabéis que lo que se ve depende un poco de cosas como el navegador, etc.; pero deberá ser casi idéntico (si no totalmente) y la información esencial no variará.

El servicio eWeb de eGarante accede al mismo sitio al que accedemos nosotros. Por supuesto, es un proceso automático, no un señor al que han cogido del paro para que vaya entrado en todas las webs ;).  Lo que quiere decir que es algo totalmente privado y anónimo. Pero claro está que esto plantea el problema de acceder a sitios para los que previamente hayamos tenido que registrarnos. La solución: registrarse en la intranet y contratar el uso de tantas certificaciones pubsign como queramos. Su uso es el siguiente:

Nos descargamos un plugin (de momento, solo para Firefox). Si Firefox no te lo instala automáticamente, vete a Complementos (Ctrl.+ Mayús. + A) Plugins y, arriba a la derecha, tendrás una flechita que despliega un menú; dale a "Instalar complemento desde archivo" y busca el plugin que te acabas de descargar en la carpeta de descargas por defecto.

En la configuración del plugin tendremos que introducir la clave API que nos dieron al registrarnos en la intranet y la dirección de correo a la que queremos que nos envíen la evidencia, que será alguna de las que tengamos dadas de alta en la intranet.
ever3

A partir de ahí, cada vez que queramos capturar una evidencia en una página que requiera autenticación, solo tendremos que hacer click en el plugin y luego en "Sellar página" y al momento recibiremos un pdf sellado, con una copia de la pantalla que estábamos viendo.

Es importante señalar que, para que la evidencia pueda tener validez legal, la captura ha de realizarla un tercero. La captura no la hace el plugin. Éste solo envía la url y las cookies asociadas a esa sesión autenticada, para que el proceso del servidor (que es donde se hace la captura) pueda acceder a la misma sesión a la que accedemos nosotros.

Otros usos de eGarante:

Han ido apareciendo en los medios. Podéis consultar algunos en los siguientes enlaces:


¿Se os ocurre alguno más?

Qué no es eGarante:  

No es un servicio de burofax, ni lo sustituye en los supuestos legales que expresamente exijan el envío de uno.

No es un notario. Lo que no quiere decir que no pueda tener validez legal en los casos en los que no se requiera la presencia del mismo. Hay otros supuestos y figuras legales además de la del notario: la firma ante testigos, los terceros de confianza, etc.

No es un tercero de confianza definido por la LSSI. Para serlo, tendría que guardar copia de las evidencias (el pdf firmado) con acuerdo previo de ambas partes; lo que no hace por cuestión de privacidad. El único que tiene copia es el cliente (o, en su caso, el destinatario del email). La confianza y validez de la evidencia se basa en el hecho de que un tercero independiente certifique electrónicamente un documento, con una garantía de sello de tiempo que alertaría sobre su modificación posterior.

No es un "cazador" de XSS o SQLi para pentesters. Sí, yo también pienso que sería útil poder usar el eWeb para certificar un agujero de ese tipo. Pero si escribes cualquier cosa rara en la url que envíes, recibirás un mensaje como el siguiente: "Your URL contains illegal characters, please avoid to use characters like ' or words like "script"". Esto es porque estaríamos obligando a eGarante a repetir el ataque y quien tiene autorización para hacer el pentest eres tú, no ellos.

Entonces, ¿qué es eGarante?

Pues, ellos mismos se definen como un testigo online independiente "que crea una evidencia electrónica que tiene capacidad probatoria en un proceso". Dicha evidencia "equivale al documento privado regulado en el artículo 326 de la Ley de Enjuiciamiento Civil", que remite, a su vez, al artículo 3 de la Ley de Firma Electrónica.

eGarante no es el único servicio de este estilo que existe, ni tampoco estoy diciendo que sea el mejor. La verdad es que no he tenido ocasión de compararlo con otros. Ni se me ha dado la circunstancia de tener que usarlo para defenderme legalmente. Pero es tan cómodo y fácil de usar que ya casi se ha convertido en un reflejo el ponerles en copia en varios asuntos. Y siempre lo tengo a mano cuando me muevo por las redes sociales, por si acaso.

Por otro lado, sé que hay mucha gente que lo usa. Si os animáis a usarlo vosotros también, tal vez podáis compartir la experiencia con la comunidad. Por mi parte, he decidido dejar en este post los resultados del tiempo invertido en investigarlo, por si le viene bien a alguien (ya sabéis que siempre comparto todo lo que puedo con vosotros).

Si queréis saber más, además de a su web, podéis acudir a algo de lo que se ha publicado al respecto. Y , si tenéis alguna pregunta, no dudéis en escribirles; doy fe de que son muy amables.

Update: me han contactado de eGarante y me comentan lo siguiente:

"María, queremos agradecerte el tiempo dedicado a analizar nuestra herramienta y como muestra del mismo hemos pensado que lo mejor es hacer algo que de valor a tus lectores. Por ello, te facilitamos el siguiente cupón de descuento que hasta el 31 de abril de 2014 ofrece un 15% de descuento en los producto eGarante pro y eGarante pubsign 100.

Cupón: Penny414

Muchas gracias"

2 comentarios:

  1. Gracias por una explicación tan en profundidad del servicio y de sus posibles usos.

    ResponderEliminar
  2. De nada. Gracias a vosotros por atender mis preguntas.

    ResponderEliminar

A penny for your thoughts