Recientemente el Ministerio de Defensa, ha creado un canal interno de denuncias e información. De tal manera que los denunciantes, especialmente si están en la organización, no vean comprometida su seguridad y sufran posibles represalias o acoso.
Cuando leí tal noticia, la verdad que me mostré escéptico cuando dijeron que sería una canal seguro, y la verdad que lo que han hecho (aún siendo mejorable), es bastante mejor que lo que me esperaba.
El sistema en cuestión provee de dos canales, uno postal y otro telemático:
- Canal postal: Posiblemente muchos de vosotros, yo tenía esa idea errónea, que mandar una carta, necesitaba de remitente. Nada más lejos de la realidad. Se puede mandar perfectamente una carta sin remitente, y entregarla tanto en la oficina como dejarla en algún buzón callejero o en el de la propia oficina. Algunos pensarán en la seguridad de tal forma, pero recordemos que las cartas se escanean, tanto en Correos como (en teoría) al llegar en organismos públicos. Pero aún así hay fallas, se me viene a la memoria el famoso caso de las balas en sobres.
- Canal telemático. Quizás el que más nos afecta a los que dedicamos a la seguridad CIS. Pues bien, en este caso, Defensa aconseja el uso de red Tor para realizar el trámite, recordemos que el navegador Tor por defecto realiza 3 saltos de nodo, y en su FAQ también no recomienda cambiar el número ya que si hay pocos usuarios con un número raro de saltos sería más fácil de identificar. Luego pone la dirección en el formato de la red Tor para su conexión.
Pues bien, como comenté, en canal telemático se sugiere el uso de la Red Tor, no lo obliga. Además esta opción está un tanto escondida de la primera vista, y no lo destaca. Lo cual me parece un error. Entonces ¿cuál es la vía telemática por defecto? Pues un formulario, el cual abre otra página con su correspondiente SSH/TLS. Y a pesar de tener certificado confiable instalado, y que pone las regulaciones bajo las que está como la Directiva Europea 2019/1937, la norma ISO 37002 y el Reglamento General de Protección de Datos 2016/679, tiene ciertas cuestiones a revisar.
Ya que, mirando un poco más a fondo podemos ver unos detalles, que aún siendo seguros, llaman la atención.
El certificado en cuestión está emitido por Geant OV, que es una organización de gestión de certificados, en este caso se usa uno de clave pública RSA2048 y una huella digital SHA256, con validez de 1 año. A su vez, Geant está certificado con el archiconocida entidad de Sectigo y UserTrust.
Esto me llama la atención y me pregunto ¿Por que no hemos usado nuestras propias entidades certificadoras? Como la FNMT, que también ofrece este tipo de servicios.
No es que me haga desconfiar, pero es cuanto menos curioso.
Creo que hacen falta más iniciativas así en todos los estamentos de las AAPP, y que sus funcionarios o trabajadores se sientan seguros si tienen que denunciar algo. Pero ciertamente este proceso ha de ser más transparente y hacerlo más confiable.
Spanish 
English