Llegamos a ustedes gracias a:



Conversando con...

Luis Enrique Torres, Microsoft Perú

La firma digital se incorpora a Office

Luis Enrique Torres, director de Estrategia y Tecnología de Microsoft Perú.

[23/09/2014] Hace unos días se anunció que Office 365 se convirtió en la primera plataforma de colaboración en ser acreditada por Indecopi para su uso en la generación de firmas digitales. Dado el alcance que va a tener esta nueva forma de firmar documentos, nos reunimos con Luis Enrique Torres, director de Estrategia y Tecnología de Microsoft Perú, quien nos explicó cómo funciona esta nueva opción.

También nos reveló detalles no conocidos del proceso por el que se pasó para lograr la acreditación del Indecopi. ¿Sabía que se tuvo que pasar por una actualización global de Office para obtener la acreditación?

¿Las firmas digitales solo van a estar disponibles con Office 365?

Las firmas digitales pueden encontrarse en muchas tecnologías, siempre y cuando se encuentren acreditadas por Indecopi. En el caso de Microsoft lo primero que hemos hecho es acreditar Office 365, que es la plataforma de colaboración en la nube para efectos de firmas digitales y eso incluye la versión de Office que se baja a la PC desde la nube.

Sin embargo, un cliente que tenga la versión comprada normalmente sin nube de Office 2013 también va a poder hacer esto porque la acreditación lo cubre.

¿Desde cuándo se puede tener este servicio?

El servicio es el de Office 365, y tecnológicamente ha funcionado desde que se lanzó el producto hace cuatro años, no es una novedad en términos tecnológicos. Lo novedoso es que al contar con una acreditación del Indecopi, ahora las entidades del Estado pueden utilizarlo con la seguridad de que cuando se produzca un documento firmado a través de nuestra tecnología, ese documento va a tener valor legal y no va a poder ser cuestionado en términos de validación digital por otras entidades del Estado. Más que una adición tecnológica es la validación del Estado peruano de que puede ser utilizado por las entidades que quieran implementar la firma digital.

¿Cuál es el proceso que debe seguir un usuario final?

Office desde hace muchos años ha tenido un botón para generar firmas digitales, el proceso es tan sencillo como apretar un botón que permite añadir una línea de firma; cuando uno hace doble clic a esta línea de firma aparece una ventana que pide un certificado digital a utilizar, uno lo selecciona, luego el programa pregunta al usuario si tiene una firma escaneada y tras todo eso Word se encarga de producir el documento.

¿Tiene un estimado de cuantas instituciones tienen Office 365 en el país?

Hoy en el Perú tenemos más de 1.100 empresas que corren Office 365; eso ha representado un crecimiento de más de 100% con respecto al año anterior y todas ellas pueden aprovechar los beneficios de la firma digital; probablemente las más interesadas sean las firmas del Estado, porque ellas son las que requieren la acreditación.

¿Y el Estado ya está utilizando Office 365?

Al igual que otros segmentos privados y públicos de la economía nacional. A propósito, estamos haciendo el anuncio en estos días y hemos tenido mucho interés del Estado peruano de cómo aprovechar esto; por ello quería comentar que este martes 30 de setiembre estamos realizando un evento técnico, un seminario de entrenamiento de cómo implementar firmas digitales en el Estado peruano. Es de ingreso libre para especialistas del sector público que quieran entender cómo aprovechar estas tecnologías.

¿Cuál ha sido el proceso de certificación?

Este proyecto ha comenzado hace más de un año y medio en Microsoft Perú. El proceso de acreditación ante el Indecopi nos ha tomado un poco más de ocho meses, dado que hay que validar una serie de tecnologías como las librerías de cifrado, el comportamiento de los archivos digitales, el comportamiento de los servicios de correo electrónico, de flujo colaborativo y validar que están a nivel de las especificaciones de Indecopi.

Un detalle interesante del proceso es que durante él salieron diversos temas como el hacer que el proceso fuera más seguro en Office. Por ello, como parte del compromiso que teníamos, lo que hicimos fue conversar con la corporación y logramos liberar una actualización y una mejora a Office 2013 y Office 365 para implementar un nivel más estricto de validación de firmas y certificados digitales.

Esta actualización se liberó por Internet, se instaló en los servicios de la nube de Office 365 y se distribuyó a todas las PC del mundo, y en este momento -gracias a la acreditación en el Perú- se actualizó Office y Office 365 para hacerlos más acordes con las certificaciones del Indecopi.

¿Cuáles son los niveles de seguridad y los posibles riesgos que podría enfrentar?

La tecnología de firmas digitales se basa en un estándar que no es de Microsoft sino de la industria que tiene muchos años, y que hasta ahora ha mostrado un nivel de estabilidad bastante fuerte. Entonces, más que preocuparnos por el nivel de la seguridad de la tecnología de firmas digitales en sí, quisiera poner sobre la mesa otro tema de seguridad que es también importante: la seguridad de la propia firma.

La firma puede ser válida pero los usuarios podrían temer a lo que ocurriría si se hackea la computadora donde se encuentra su firma digital. Alguien podría simular ser ese usuario y firmar por él; entonces, no es que la firma sea inválida sino que el hackeo de la computadora puede hacer que otra persona tenga la firma.

Por ello, como parte de este proyecto nos ocupamos de este tema. En paralelo estamos lanzando una serie de servicios de consultoría, tanto el equipo de Microsoft Consultoría como nuestros socios de negocios, con el objetivo de implementar seguridad punto a punto en la infraestructura de servidores y de PC y de tabletas Windows sobre la que la entidad pondría la firma digital, para que una vez que la entidad ponga la firma digital, el usuario sienta la tranquilidad de que se ha hecho todo lo posible para evitar hackeos.

¿Generalmente donde se coloca la firma digital, en el dispositivo?

Hay muchos mecanismos. Se puede poner en una smartcard, se puede poner en una llave o en otros lugares, pero el escenario más común en el caso de la plataforma Microsoft es almacenarlo en un espacio especial de la PC con Windows, un espacio cifrado. Así, aún si alguien se lleva la computadora el certificado está protegido.