Dificultades para e-facturar

Estos días estamos empezando a orientar a nuestros clientes en el proceso de facturación a las administraciones públicas por medio de la nueva e-factura. 

Figura 1: problema con las nuevas e-facturas

Ante la inminente necesidad de empezar a trabajar con ella, asistí a un curso en el que nos dieron unas nociones básicas. Las 4 ideas fundamentales son:

• Si eres una sociedad (limitada, anónima, unipersonal, ...), el importe de la factura es superior a 5000€ y el receptor de los servicios o materiales suministrados es una administración pública, hay que emitir una e-factura
• La fecha en la que empieza a ser obligatorio es el 15 de enero de 2015
• Si tu programa de gestión habitual no está preparado, puede acceder a http://www.facturae.gob.es/formato/Paginas/descarga-aplicacion-escritorio.aspx y descargar la aplicación gratuita
• En un futuro próximo, todas las facturas serán electrónicas, si bien los plazos se irán fijando y notificando con antelación
• Como algunos gobiernos autonómicos no están preparados todavía, existe la plataforma estatal que engloba a todas las autonomías

Vale, correcto, manos a la obra, vamos a e-facturar.

Descargamos la aplicación, la instalamos, ... Vemos que en los requisitos mínimos permite la instalación sobre abandonware como Windows XP sin avisar de los problemas de seguridad que puede conllevar:

Y ahora dentro del programa introducimos los datos de nuestra factura. En la ficha de la administración, nos pide 3 datos extra que no nos hacía falta para nuestra factura en papel:

• el código de oficina contable
• el órgano gestor
• la unidad tramitadora

Como desde los dos ayuntamientos que nos han solicitado que trabajemos ya con e-factura no nos los han facilitado, lo llamamos para que nos los den, pero han de consultarlo por que no lo saben. Al día siguiente nos dan un solo código que por lo visto hemos de introducirlo en los 3 campos anteriores. El mismo para los 3. Una vez terminada, el programa nos da la opción de firmar la factura (hemos de tener un certificado digital emitido por la FNMT para poder hacerlo), y de enviarla por correo electrónico automáticamente. Nuestro cliente tenía una cuenta GMAIL y otra HOTMAIL. Con ninguna de las dos conseguimos configurarlo para poder mandarla.

Bueno, como tenemos el fichero .xsig generado y firmado lo mandamos con un correo electrónico normal y corriente como fichero adjunto.

En las administraciones de destino nos dijeron que no podían abrirlo, que al darle doble click para ver la factura salían simbolitos raros. Yo pensaba que al ser ellos los que nos obligaban a hacer todo esto, tendrían alguna aplicación de recepción de e-facturas que lo haría automáticamente, pero no es así.

Llegados a este punto, ponemos en marcha el plan C. Entramos en el portal estatal https://face.gob.es/es/ y  aquí ya me empezaron a saltar las alarmas de mi sentido arácnido (y las de Chrome):

Figura 2: aviso de Chome de que nos estamos conectando a una http no segura

Que si la conexión está cifrada con criptografía obsoleta, que si se usa TLS 1.0, ... Huy, peligro, pensé que podría ser cosa de Chrome, así que probé con Internet Explorer y desde otro PC con otro Windows distinto: 

Figura 3: aviso de IE que no transmite nada de tranquilidad

Lo comenté con el cliente y como tenía necesidad de dejarlo esto terminado hoy, procedemos a seguir. Adjuntamos el fichero, introducimos un e-mail nuestro y rellenamos la captcha. Validamos y enviamos. Ahora la página quiere lanzar un applet de java para firmar con nuestro certificado, pero nuevamente un mensaje apocalíptico se cierne sobre nuestras pantallas:

Figura 4: aviso de que java puede ser malicioso y puede poner en peligro la
computadora ¿alguien la llama así? y nuestros datos personales

Este es el mensaje estándar a la hora de ejecutar java, pero entiendo que un usuario normal tenga dudas y preocupaciones si tiene que leer estos avisos y jugar a la ruleta rusa cada vez que ha de mandar una declaración, una e-factura, o cualquier otro tipo de documentación en páginas oficiales.

Al final, factura enviada, con nuestro justificante y número de entrega impreso por duplicado y a esperar el próximo e-factura-reto que nos propongan.

Saludos!

Voto telemático

A dos meses escasos de las elecciones, he estado pensando en la implantación de sistemas de voto telemático que acabará por implantarse, ya que poco a poco los procesos digitales se imponen a los físicos en una evolución que no tiene marcha atrás. Pero, si nuestro ordenador está expuesto a las continuas amenazas del malware, las webs de entidades son hackeadas a diario, las manos de terceros pueden estar toqueteando la base de datos donde se almacena nuestro voto, ... ¿que puede llegar a pasar?. Ya de por si la seguridad al 100% no existe, ni en la red ni en el sistema tradicional de voto con papeletas.

Figura 1: ejemplo de voto telemático mediante urna digital

Para poder establecer este sistema, habría 3 episodios:

1. periodo de compaginar voto telemático y voto tradicional
2. sustitución de las urnas clasicas por hardware de votación
3. reemplazo total del sistema del voto a un entorno total de red telemática, posibilitando la votación tanto por urnas electrónicas como por urnas en internet (voto por internet)

En Europa, solo Noruega y Estonia disponen de voto por internet. Los sistemas de seguridad establecidos en Estonia son mediante una tarjeta personal de auntenticación que se expide para tal fin. En Noruega se puede autenticar el votante mediante métodos habituales como dni-e o certificados digitales. Existe un mundo a parte en el que poder estudiar las coacciones al voto, los robos de identidad, la compra de votos, ...

El almacenaje de los votos también sería algo que habría que supervisar, custodiar y defender, pues la urna electrónica es donde se almacenarían todos los votos digitales, pero si el voto es secreto, ¿podría estar vinculado el voto al votante?

La verdad es que se abarataría mucho la jornada electoral y el tiempo para conocer los resultados disminuiría. Las votaciones podrían ser mas complejas y completas, como por ejemplo si te dan dos opciones para votar, A o B, si otas por A, luego la votación estaría disponible para continuar por: si has elegido A, te damos varias opciones después, A1, A2, A3, ... tipo de votaciones que serían imposibles (o muy complejas) de llevar a cabo por una mesa electoral y en los recuentos finales.

• ¿Y si los malos hackear el lugar dónde se almacenan los datos? 
• Pues como si en una votación con papeletas introducen ellos sus propias papeletas o quitan las legítimas que los votantes han introducido.
• ¿Y si los malos votan con robo de identidad o introducen en los resultados votos irreales?
• Pues como si en una votación con papeletas ellos coaccionan a otra persona para cambiar su idea de voto.
• ¿Y si los malos votan por mi?
• Pues como si en una votación con papeletas se hace un pucherazo de los de toda la vida pero ahora se llama pucherazo digital

Las amenazas son las mismas pero llevadas a la zona de los ceros y unos.

En esta charla se explican muy bien todas las dudas planteadas anteriormente, las medidas de seguridad y los procesos a seguir:

Vídeo 1: Ciclo UPM TASSI 2014. Conferencia 2: Posibilidades del voto telemático en la democracia digital

Y aquí un vídeo Chema que puede explicarnos como de seguro puede ser una comunicación o envío de datos entre dos servicios como puede ser en correo electrónico. Realmente el correo electrónico ya es automatizado y pudiera ser una forma de entender el proceso de voto telemático o voto por internet: un usuario se valida y se comprueba que realmente es él, se prepara un paquete con información, se envía de una forma segura hasta el receptor, el receptor como su nombre indica lo recibe y el paquete es entendido, validado y genera un dato. Si puede manipularse un mail, ¿que no se podrá hacer con un voto? 

Trabajo para los administradores de seguridad informática !!!

Vídeo 2: Inseguridad de las vías telemáticas por Chema Alonso

Saludos!