lunes, 25 de marzo de 2024

Una lección a aprender


La noticia bomba del fin de semana ha sido la prohibición de Telegram en España debido a las denuncias de varias cadenas de televisión acusando a la plataforma de mensajería de facilitar la realización de delitos contra la propiedad intelectual. 

La Audiencia Nacional ordenó a los principales operadores de acceso a Internet que bloquearan el acceso a Telegram dado que la empresa, que tiene su sede en Dubai (aunque su cerebro es un empresario ruso, para más inri), no respondía a la solicitud de explicaciones pedidas por el magistrado asignado al caso, Santiago Pedraz. 

Por si no lo sabes, Telegram es una aplicación de mensajería instantánea similar a WhatsApp. Para muchos, entre los que estoy, no es la principal aplicación de comunicación, pero es un plan B si un día WhatsApp falla. 

La noticia salta también coincidiendo en el tiempo con noticias sobre la regulación en Europa de la Inteligencia Artificial y con un amplio debate sobre la normativa sobre privacidad que las compañías (sobre todo pensando en los grandes actores como Google, Meta, WhatsApp...) deben cumplir. 

En ese sentido, Telegram ha ignorado los requerimientos de la Justicia y seguramente se ha querido hacer una llamada de atención. "Si quieres operar en Europa, debes cumplir las normas europeas", parece ser el mensaje. Porque también hay grupos que proporcionan acceso a contenidos ilegales mediante Whatsapp y la prohibición no ha caído sobre la filial de Meta (probablemente porque ya están colaborando con la Justicia cuando hay una petición formal de proporcionar información o bloquear servicios que bordean o, directamente, se saltan las leyes). 

"Si quieres operar en Europa, debes cumplir las normas europeas", parece ser el mensaje.

Sin ser jurista, desde mi punto de vista, la decisión de prohibir Telegram es totalmente desproporcionada por varias razones: la primera, que hay unos derechos, denominados fundamentales, que están por encima de otros. En España se consideran derechos fundamentales, por ejemplo, la comunicación libre, la libertad de expresión y o el derecho a la información. 

Prohibir una herramienta como Telegram por peticiones de empresas privadas que se sienten (seguramente con razón) perjudicadas por ciertos comportamientos de algunos individuos es matar moscas a cañonazos. Se perjudica así a los millones de usuarios de Telegram y se les coartan sus derechos por el delito de unos pocos. 

En mi época de estudiante, si nos dejaban solos en clase y alguien armaba barullo, venía el profesor de turno y si no quería complicarse la vida, ale, toda la clase castigada. Pues aquí el juez parece haber optado por aplicar la misma táctica: qué en Telegram alguien piratea, pues bloqueamos Telegram. Aunque puede seguir aplicando la norma: que por el móvil se hacen estafas (y muchas) pues bloqueamos la telefonía móvil; que hay web fraudulentas, con contenidos pedófilos, racistas, face news... pues prohibimos los navegadores web y el acceso a toda la web. 

En mi época de estudiante, si nos dejaban solos en clase y alguien armaba barullo, venía el profesor de turno y si no quería complicarse la vida, ale, toda la clase castigada.

Además hay que tener en cuenta que muchas empresas desarrollan actividades totalmente legítimas a través de Telegram: cursos, grupos de debate, foros educativos, atención al cliente, conversaciones dentro de empresas. A todas estas actividades se les crea un perjuicio por el que luego podrían pedir ser compensadas.

Afortunadamente, según las últimas informaciones parece que alguien ha aconsejado al juez que se replantee sus medidas, porque una medida así, además de polémica, crea graves perjuicios y seguro que quien quiera, va a seguir encontrando otras formas de realizar sus actividades al margen de la legalidad. 

Pero volviendo al título de este artículo, ¿cuál es la lección que podemos aprender de todo esto? Que debemos analizar la dependencia que tenemos de soluciones tecnológicas de terceros. Muchas empresas se apoyan en herramientas como WhatsApp y Telegram para comunicación con clientes y con los propios empleados. Frente a esto, hay soluciones mucho más profesionales, que además se pueden integrar con el software de gestión, con el CRM, con la web... y que no dependen de terceros para operar. 

Debemos analizar la dependencia que tenemos de soluciones tecnológicas de terceros.

Estas soluciones tienen un coste, normalmente asequible, pero también nos ofrecen seguridad y continuidad. El día que se cae WhatsApp (que también se cae cada cierto tiempo) muchas empresas ven alterada su actividad: no pueden pasar avisos a sus operarios (porque al no haber WhatsApp, también las redes móviles comienzan a saturarse con millones de llamadas por encima del uso habitual), no pueden atender a clientes, no pueden gestionar pedidos... 

Disponer de una herramienta profesional y dedicada a estas funciones, además de proporcionar un imagen de empresa más profesional, puede ser una diferencia con nuestra competencia. No hace falta esperar a que surjan problemas para valorar si disponer de una herramienta propia puede ser interesante. Que cada cual valore qué es más importante.

lunes, 4 de marzo de 2024

¿Sirve para algo firmar electrónicamente las facturas?



En los últimos tiempos se han dado bastantes casos de una estafa denominada Man in the Middle, que consiste en que alguien intercepta la comunicación entre emisor y receptor para alterarla y lograr su propio beneficio.

Esto, que suena muy teórico, se plasma en la vida real en estafas que muchas empresas han sufrido y de la que tú o tu empresa podéis ser víctimas en cualquier momento.

Pero, ¿en qué consiste esta estafa?

En unos años -menos de los que esperas, que el tiempo vuela- todo intercambio de facturas será realizado de forma electrónica y automática entre emisor y receptor, informando a Hacienda en tiempo real y teniendo que acreditar la identidad de todos los actores que intervengan en el proceso.

Pero hoy en día, la mayoría de empresas envían sus facturas o piden a sus clientes que las descarguen mediante un fichero PDF, que muestra una apariencia similar a la factura en papel de toda la vida.

Y en este proceso es donde se produce la estafa.

El estafador logra interceptar un correo electrónico en el que tu empresa envía una factura a un cliente, edita el PDF, para poner por ejemplo sus propios datos bancarios en los datos de pago, y lo envía al cliente haciéndose pasar por tu empresa.

Tu cliente recibe un correo exactamente igual a tu correo original, con tu firma, tu logotipo, tus datos, tus comentarios... e incluso viene de tu dirección de correo electrónico habitual. Es decir, no tiene ningún motivo para pensar que ha ocurrido algo extraño y que alguien ha intervenido modificando algún dato.

Así que, llegado el momento del pago, tu cliente realiza el pago al número de cuenta indicado en la factura, que ya no es tu cuenta sino la del estafador.

Cuando pasa el tiempo y no recibes el pago de tu cliente, comienzas a tirar del hilo, hablas con tu cliente, quien te asegura que ha pagado y al revisar la factura que recibió se comprueba que el número de cuenta que aparece no es el tuyo.

Para recibir el pago, los estafadores normalmente habrán abierto una cuenta con documentación falsa o a nombre de personas en situación social marginal, que aportan su documentación auténtica, y en cuanto reciben un pago, lo transfieren múltiples veces para que sea imposible seguirlo.

Se han dado muchos casos de esta estafa tanto en empresas como en entidades públicas. Basta con que busques "Estafa man in the middle facturas" en Google y encontrarás más de 43.000 resultados, muchos de ellos de estafas reales cometidas en España.

Pero, ¿cómo garantizar al cliente que la factura es legítima?

Hoy no puedes estar seguro de que un e-mail viene de quien dice venir o que quien te llama es quien aparece en la pantalla del móvil. Incluso es posible que alguna vez recibas un e-mail que parece enviado desde tu propia dirección electrónica. Incluso se están dando casos de spoofing telefónico, que consiste en que recibes una llamada de teléfono, por ejemplo, desde el número de tu banco, pero es alguien que se hace pasar por ellos, aunque en la pantalla aparece el número legítimo de la entidad.

Todos estos casos de suplantación de identidad se basan en agujeros de seguridad que tienen tanto los servidores de correo como las centrales telefónicas. Pero estos sistemas no están a tu alcance para mejorar su seguridad sino que se trata de los equipos que usan los proveedores de Internet o de telefonía. Hay que suponer que las empresas proveedoras de estos servicios han tomado las medidas oportunas para evitar que esto pase, pero no siempre es así y a veces no reaccionan con la suficiente rapidez cuando se detecta un agujero de seguridad. O puede que pase tiempo desde que los hackers encuentran la forma de aprovechar estas puertas traseras y alguien se da cuenta de que esto está ocurriendo.

La forma más efectiva de garantizar que un PDF no ha sido alterado es firmarlo electrónicamente con un certificado digital. Esta operación, que se puede hacer en segundos, garantiza que el documento que recibe tu cliente no ha sido alterado. Basta con indicar al cliente que compruebe la situación de la firma electrónica en el PDF.

Un PDF legítimo que no ha sido alterado mostrará al abrirlo un mensaje indicando que la firma es válida, como éste:


Y si pedimos más información, nos dará detalles de la firma y, sobre todo, nos dice que el documento no ha sido alterado desde que se firmó:

Incluso si pulsamos sobre el botón "Propiedades de la firma... " nos indicará más datos como la fecha y hora de la firma o el emisor del certificado con el que se ha firmado.

Sin embargo, si el PDF ha sido alterado desde que lo firmamos, al abrirlo recibiremos un aviso como éste:

Lo que indica que el documento ha sido alterado después de haberlo firmado digitalmente.

No es necesario contratar ningún servicio de pago para firmar documentos. Hay herramientas gratuitas como el Adobe Acrobat Reader que nos permiten firmar un documento con el certificado digital emitido por la FNMT o por otra entidad de confianza.

También hay herramientas que permiten firmar en lote múltiples documentos como Xolido Sign. Y si lo que buscas es automatizar la firma de muchos documentos la solución es una herramienta de firma como VIDsigner, que es de pago, pero con un coste muy, muy inferior, tanto económico como de reputación, a las perdidas que puedes sufrir en caso de ser víctima de la estafa de Man in the Middle.

Para cualquier cosa, a tu disposición:

fernando@artaiz-asesoria.es

645 541 842