Este artículo es continuación del artículo de “Terceros de Confianza digitales: Introducción (I)”
¿Cómo funciona un tercero de confianza a nivel técnico en la certificación de páginas web? ¿Se pueden fabricar pruebas falsas con un tercero de confianza?
He realizado varios trabajos con la herramienta de Safestamper, siempre enfocados al la certificación de capturas de páginas web, su funcionamiento es el siguiente:
Para certificar una página web, este tipo de herramientas solicitan la url de la página que queremos certificar. Una vez indicada la URL por el cliente, la web es cargada en el servidor de el tercero de confianza, donde crea una captura de pantalla de la página y obtiene , según el servicio y las opciones un resumen de los link que contiene la página. Con toda esa información (capturas de pantalla y datos) genera un PDF que es firmado mediante la firma digital de la empresa. Esto es un proceso automatizado que contiene su código.
Ejemplo del certificado.
En otras palabras, el cliente le indica la página web que quiere certificar. El ordenador del tercero de confianza en un proceso automatizado, carga la página web solicitada, genera una serie de archivos que une en un pdf y lo firma. La solicitud es realizada por el cliente, pero la prueba y el documento es generada por la empresa “tercero de confianza” y la firma creando un sellado de tiempo.
Para esta opción es necesario que el “Tercero de confianza” tenga acceso a la web que se quiere certificar, en otras palabras, que sea una web que está abierta en internet. No se puede certificar mediante este método una intranet, o páginas en las que se necesita una autenticación (usuario y contraseña) para acceder.
¿Qué pasa con las páginas web cerradas o que necesitan usuario y contraseña? ¿Cómo se certifican?
Para su certificación el tercero de confianza necesita tener acceso a ellas. En otras palabras poder cargarlas en su navegador para realizar las capturas de pantalla y generar el pdf de la prueba. Necesitará por tanto el usuario o contraseña y autenticarse para poder realizar la certificación.
Para este procedimiento, crea una máquina virtual y la muestra al cliente en la interfaz del programa web de la empresa que da el tercero de confianza, donde este puede navegar a la página. Autenticarse, (Por ejemplo, su perfil de Facebook, su correo electrónico) y proceder a realizar la certificación de las evidencias digitales.
Un ejemplo de una certificación de este tipo es la siguiente, la página
Terceros de Confianza digitales: Creando una prueba falsa
Tomando la página anterior, he modificado el código HTML. Cambiando el título y añadiéndome como coautor. Obviamente la captura a continuación es falsa y no corresponde a la información publicada.
El procedimiento para manipularlo es modificar el código html del navegador en la máquina virtual. El PDF ha sido creado por Safestamper y firmado. En otras palabras, no se ha modificado el PDF resultante.
En el PDF está marcada la Instantánea de la captura de pantalla. La URL, el origen de la captura. Pero dicho origen no corresponde a la captura realizada por un fallo de seguridad en la programación de la herramienta.
Resultado
Hemos generado una prueba falsa de una supuesta publicación, donde el “tercero de confianza” indica el origen, la fecha y la hora. “Cuya garantía es máxima y resulta legal y técnicamente incuestionable”.
Es cierto que el documento resultante está garantizado y que no se ha manipulado desde que se obtuvo. Pero por un fallo de la herramienta la información original no se ha garantizado, y el mismo PDF creado por este proveedor indica un origen (la url) que no es cierto. Quizás “las garantías máximas legal y técnicamente incuestionable” no sean máximas ni incuestionables…
El ejemplo que se ha utilizado no tiene importancia, pero imaginen la posibilidad de crear una prueba de este tipo certificando un tweet de un mensaje político o un caso de acoso, enfocado a crear una prueba para una denuncia.
Los comentarios están cerrados.
[…] Terceros de Confianza digitales: Verificando de pruebas pruebas (II) […]