lunes, 29 de octubre de 2007 0 comentarios

"Inocentes, pero menos" de Perez Reverte

Perez Reverte hace unas interesantes reflexiones en su página del XL Semanal sobre la ingenuidad y prepotencia del ser humano cuando quiere medir fuerzas contra la naturaleza. Lo que más me ha gustado del artículo es su titular, "Inocentes, pero menos".

Todo el contenido es además extrapolable a la situación en que se encuentran los "sistemas de información" y sigue el hilo argumental de mis últimos post en relación al estado de situación de la seguridad en España y al relacionado con los "errores informáticos" que nunca tienen dueño.

El contenido de la sección está accesible en XLSemanal, Patente de Corso, por Arturo Pérez Reverte: "Inocentes, pero menos".

Lo más significativo del artículo se resumen en este trozo:

"Antes, al menos, había excusa. O justificación. No siempre éramos culpables de los efectos letales de nuestra ignorancia, porque la sabiduría no estaba al alcance de todos. Estudiar era difícil, y los cuatro canallas con corona o sotana que manejaban el cotarro eran incultos o procuraban, en bien de su negocio, que la chusma lo fuera. El hombre ignoraba que el mundo es un lugar peligroso y hostil donde al menor descuido te saltas el semáforo; o lo sabía, pero no contaba con medios para evitar el daño. Sin embargo, hace tiempo que esa excusa no vale, al menos en lo que llamamos Occidente. De Pompeya a las playas asiáticas, de Troya a las Torres Gemelas, el imbécil occidental –ustedes y yo– dispone de treinta siglos de memoria escrita que se pasa por el forro de los huevos. Tenemos colegio obligatorio, televisión e Internet, y nunca hubo tanta información circulando. Quien no sabe es porque no quiere saber. Ahora somos deliberadamente ignorantes porque resulta más cómodo y barato mirar hacia otro lado y creer que nunca va a tocarnos a nosotros. Hasta que toca, claro."

Arturo Pérez Reverte da de lleno en la diana, como casi siempre. Y por complementar un poco más este post y añadiendo la traducción de Chema Alonso, pongo también la tira cómica de Dilbert del 26 de Octubre de 2007 que viene como anillo al dedo para ilustrar esta coyuntura.
Dilbert:"¿Por qué parece como si la mayoría de las decisiones en mi lugar de trabajo fueran hechas por Lemurs Borrachos?"
Basurero: "Las decisitones son hechas por gente que tiene tiempo, no por gente que tiene talento"
Dilbert: "¿Por qué la gente con talento está tan ocupada?"
Basurero: "Ellos están arreglando los problemas generados por la gente que tiene tiempo"
jueves, 25 de octubre de 2007 2 comentarios

Consejos para el uso de Truecrypt.

Ya comenté en su día lo interesante que es la herramienta de cifrado freeware Truecrypt. Desde que la conozco, ya no utilizo otra cosa para proteger la información sensible por varios motivos.
  • Usa cifrado simétrico, por lo que mi única preocupación es conocer la clave.
  • Transportar archivos cifrados es tan sencillo como copiar el archivo truecrypt
  • En caso de problemas con la instalación, reinstalas el producto y de nuevo puedes usar el archivo truecrypt.
  • Lo uso sobre discos usb y aunque la unidad esté montada, y extraiga el disco, hasta la fecha no he tenido problemas con el archivo cifrado.

Por todas estas ventajas, es el software que uso para garantizar la confidencialidad de mis ficheros. Lo que hoy vengo a comentar son dos opciones sencillas de uso, para hacer más transparente la utilización del programa.
Truecrypt permite hacer lo que llama "Disco de viaje" o "Instalación movil" sobre dispositivos externos, para instalar la aplicación en el disco portatil y poder utilizarla sin tener que depender de si está o no instalado el truecrypt en el PC donde pinches el disco. Para esta primera opción, es muy cómodo configurar el fichero autorun del disco, de manera que al pincharlo en el PC directamente nos pida la contraseña para montar la unidad cifrada.Yo normalmente formateo el disco y hago una instalación movil.El resto del contenido del disco lo ocupo con un fichero Truecrypt de manera que tengo sin serlo, un disco cifrado. Para este caso, el contenido del archivo autorun.ini debe ser:

    [autorun]
    action=Mount TrueCrypt Volume
    icon=Truecrypt\TrueCrypt.exe
    open=TrueCrypt\TrueCrypt.exe /q /a /e /m rm /v "[ARCHIVO_TRUECRYPT]"
    label=UFD Image 1
    includeRuntimeComponents=True

Donde [ARCHIVO_TRUECRYPT]= Ruta y nombre del fichero truecrypt a usar.

Otra opción, es querer tener carpetas cifradas dentro del disco duro. En este segundo caso, lo más comodo es disponer en el escritorio de un acceso directo que al pulsar, nos pida la contraseña para montar el volumen cifrado sobre la letra de la unidad que quedamos. Para este segundo caso, debéis crear un acceso directo donde la ruta del archivo sea:

    "C:\Archivos de programa\TrueCrypt\TrueCrypt.exe" /q /background /e /m /rm /l [UNIDAD_A_USAR] /m /v "[ARCHIVO_TRUECRYPT]"

Donde [UNIDAD_A_USAR]=Letra de la unidad que tendrá el contenido del archivo truecrypt y [ARCHIVO_TRUECRYPT]= Ruta y nombre del fichero truecrypt a usar.

Con estos dos sencillos consejos, se puede usar truecrypt de manera que o bien al pulsar sobre el icono, o bien al conectar el dispositivo USB directamente se ejecute y nos pida la contraseña para montar el volumen cifrado. Más facil imposible y todo software freeware con lo que pocas excusas quedan para proteger la información.
martes, 23 de octubre de 2007 1 comentarios

Fallos informáticos, esos animalillos (gremlins) sin padre

Se me vienen juntando noticias de la semana pasada y de esta entorno a una problemática que ya traté hace poco y que hoy quiero afrontar desde otra perspectiva.

Si recordáis el post "Los errores son también amenazas", un estudio de Gartner valoraba el alto impacto que tienen los errores en el manejo de información en hojas de cálculo. Hoy quiero hablar de esos curiosos "bichos" llamados "fallos informático" que ahora sirven para justificar todo comportamiento anómalo, siendo utilizado como un argumento que exime de responsabilidad. Es curioso incluso cómo se redactan las noticias para representar al "fallo informático" como un ente, externo y ajeno a los humanos, que altera y modifica el comportamiento deseado provocando efectos "colaterales" extraños. Quizás podríamos bautizarlos como "gremlins" dado que su significado se ajusta más que el término "fallo" que indica o apunta al factor humano como origen.


La primera noticia de la semana pasada a valorar es la publicada por el diario El Mundo cuyo titular corresponde a "Protección de Datos impone una sanción grave al Ayuntamiento". Entrando al detalle, la sanción viene por manejar un dato incorrecto cuando el afectado ya había comunicado y solicitado la corrección del error. En el razonamiento alegatorio del citado Organismo, aparece “Fuentes de la Consejería de Hacienda consideran la sanción, que no es pecuniaria, exagerada. Subrayan que el fallo informático "no causó ningún perjuicio monetario al afectado" ni hubo una mala utilización de los datos, por lo que han anunciado que recurrirán ante el juzgado de lo contencioso-administrativo.”

La primera cuestión es si tiene que existir un daño para que un dato incorrecto lo sea, que creo que la Ley de Protección de Datos no lo establece así claramente. Lo otro que como informático también me cabrea es la aparición siempre de la coletilla “por un error informático” que se indica textualmente.

Claro que el avance de las tecnologías es mayor y la gravedad de estos “errores informáticos” cada vez tiene una mayor repercusión. Esto es lo que hasta la semana pasada había escrito en relación a este tema. Para hacer reflexionar, había puesto un ejemplo drástico que hiciera significativo lo relevante de los hechos.

Imaginar este mismo error en cuanto a calidad de los datos, pero vinculado a la historia clínica de un paciente que es consultada justo antes de una operación.
- ¿Quién debe asumir las responsabilidades si por un error informático en la historia no figuraba cierta alergia o incluso el parte de operación fue modificado? ¿El médico que produce el daño? ¿El informático que administra el sistema? ¿El usuario que introdujo mal la información? ¿El técnico que accidentalmente al reparar borra los datos?

Claro que la realidad a veces es más dura y esta semana nos encontramos con estos otros titulares:
- En prensa extranjera, Did software kill soldiers?
- En prensa española El cañón robotizado asesino.

¿Es correcto usar el término fallo o error informático? ¿Quién es su causante?

La máquina no toma decisiones. Obedece siempre y rigurosamente a las acciones del usuario, su administrador o en último término, el programador que establece las órdenes del software que se debe ejecutar.

Esta es sólo una excusa para ocultar una negligencia humana que casio seguro podría ser objeto de investigación y permitiría identificar al causante. Por otro lado, si realmente es que los hechos no pueden investigarse, ¿qué clase de sistemas tenemos que no sabemos qué hacen o quién los utiliza?

¿Qué confianza podemos tener en la sociedad de la información si son actividades ni regladas ni profesionalmente atribuidas? ¿Cómo se depurarán las responsabilidades en caso de conflicto?

Ante estas circunstancias, vuelve a surgir el debate respecto a las responsabilidades profesionales. Aunque yo no tengo muy claro como posicionarme, lo que si tengo claro es que la no definición o ambigüedad al asignar responsabilidades no es ni la solución ni la situación deseable, porque la impunidad y la no responsabilidad nunca es positiva. Es un hecho de la psicología humana. En una situación de peligro donde alguien pide auxilio, nuestro comportamiento será diferente según el contexto:
- Si estamos solos, seguro que acudimos al auxilio.
- Si hay mas gente con nosotros, seguro que pensamos que no somos los más adecuados y tranquilizamos nuestra conciencia pensando que otro auxiliará.

En esta guerra si me uno a la iniciativa Ingenieros de primera. Aunque no tengo claro un técnico hasta donde es responsable, debido principalmente a la complejidad de un sistema y la interacción entre las partes, también tengo claro que si sobre un elemento aislado hay errores, detrás debe haber un responsable porque sino, ¿qué motivación hay para hacer las cosas bien si al hacerlas mas tienes menos coste y además no pasa nada?
lunes, 22 de octubre de 2007 0 comentarios

Los datos revelan lo preocupante de la situación en materia de seguridad en España

Entre las más interesantes iniciativas del recien creado INTECO, se encuentra el Observatorio de la Seguridad de la Información que nos está proporcionando algunos datos estadísticos e indicadores de como está el panorama en la materia en España.

Los indicadores que se están recogiendo son:
  • Indicador INT1: Porcentaje de medidas de seguridad pasivas o automatizables, instaladas en los hogares españoles.

  • Indicador INT2: Porcentaje de medidas de seguridad activas o no automatizables, instaladas en los hogares españoles.

  • Indicador INT3: Porcentaje de equipos afectados por código malicioso (malware)

  • Indicador INT4: Distribución porcentual de los usuarios según hábitos de uso

  • Indicador INT5: Distribución porcentual de la presencia de malware por categorías

  • Indicador INT6: Motivos alegados para no utilizar las distintas medidas de seguridad

  • Indicador INT7: Indicadores de Seguridad


Con toda esta información que se está recogiendo, el INTECO hace una valoración objetiva de los datos publicados que aparece explicada en cada una de las páginas que corresponden a cada indicador.

Yo sin embargo, no puedo reprimir el opinar sobre los datos que han sido publicados, sobre todo, entorno a los indicadores 6 y 7.

Respecto al indicador 6, tenemos la siguiente situación:

  • Fuente:Indicador INT6: Motivos alegados para no utilizar las distintas medidas de seguridad



  • Como las cifras cantan, podéis ver que en general, la columna de "no es necesario" es la que mayor porcentaje de valor acumula en cada uno de los aspectos de seguridad a considerar. También sorprende el grado de desconocimiento de las diferentes tecnologías de seguridad.

    En todas las medidas, el porcentaje sumado correspondiente a "No se lo que es" y "No es necesario" supera el 50% excepto en el caso de los antivirus que es algo que todos los usuarios perciben como algo imprescindible, en base imagino a la propia experiencia.

    Uno se quedaría tranquilo si al menos supiera que estas conclusiones son fruto de un correcto "análisis y gestión de riesgo" de un usuario formado y con conocimientos técnicos que ha derivado en unos criterios de aceptación del riesgo que justifican esa "no necesidad". Por otro lado, cuando ves que cosas tan de sentido común como las copias de seguridad, son consideradas por un 67'5% de la gente como inecesarias, los datos chirrían mucho más. ¿Qué está pasando?¿Cómo se sobrevive entonces ante un incidente gordo si no tenemos medidas ni preventivas ni curativas?

    Ante las sospechas generadas por el indicador 6, uno trata de saciar esas preguntas utilizando los datos del indicador 7, que según interpreto yo por lo descrito, "sintetiza los aspectos más importantes a la hora de evaluar la seguridad".

    Aquí es cuando tras ver los resultados, he tenido que poner las manos sobre la cabeza para pensar "no puede ser, no puede ser".

  • Fuente:Indicador INT7: Indicadores de Seguridad



  • Como se observa claramente, es la valoración personal del profesional la que decide qué es o no es necesario.


En el primer indicador vemos que hay un porcentaje alto de desconocimiento de las medidas y por tanto, de los riesgos que estas mitigan. Por tanto, ¿es real esa "percepción" del riesgo que está sirviendo para tomar decisiones tan importantes?
¿No pasa nada porque realmente no ocurre o porque ni nos enteramos?¿O si que pasa pero tratamos de taparlo para que no se vean las deficiencias internas porque la maquinaria no puede parar, cueste lo que cueste?

Imaginemos que en otras disciplinas se utilizaran los mismos mecanismos para regular el funcionamiento.
  • En la construcción, el arquitecto pudiera decidir cómo construir el edificio en base a su conocimiento sobre el tipo de terreno, la situación geográfica, la frecuencia de catástrofes naturales.
    ¿Estarían todas las construcciones igual de preparadas para terremotos? ¿Gozarían de unas mínimas medidas de seguridad en cuanto a prevención de incendios?

  • En la gestión del tráfico, que no existirían normas básicas a cumplir porque cada conductor, decide, según su sano juício, qué cosas debe hacer en cada situación para no sufrir un accidente.


Como se puede ver, estos hechos son o no para preocuparse un poco. La percepción del riesgo es algo muy subjetivo que no puede basarse solamente en la intuición. Y menos, si además se confiesa un alto grado de desconocimiento de las medidas de seguridad porque seguro que se están infravalorando los riesgos.

Pues esto es lo que parece que está pasando en la seguridad de la información en las organizaciones españolas. Se está sacando el dedo para definir cómo deben ser los cimientros de la infraestructura que da soporte a los procesos de negocio.
Así de crudo y así de duro según la interpretación que deduzco de los datos observados aunque puede que mi percepción no sea real (o que la "sensación de seguridad" de la situación actual oculte la verdadera realidad).


Claro que digno de ver también tiene que ser la cara del Director de una Organización, cuando tras sufrir un desastre grave, comprueba que el mayor de los males había sido no el incidente en sí, sino el no haber probado el plan de recuperación frente al mismo como denuncia Symantec en "Symantec alerta sobre los planes de recuperación de desastres 'falsos'" y en "Planes de recuperación de desastres, una asignatura pendiente".

Ya sabemos cual es la contestación de los diferentes responsables ante esta problemática. Es sencillo, "NO SON NECESARIOS, NUNCA PASA NADA".
viernes, 12 de octubre de 2007 7 comentarios

Quinto aniversario del blog

Casi sin darme cuenta, hoy veo que ya hace cinco años que inicié esta aventura de publicar con cierta periodicidad aquellas cosas de interés dentro del mundillo de la seguridad de la información.

Aquel primer post era solo una declaración de intenciones, que durante el tiempo se ha ido definiendo y madurando, perfilando la temática ya centrada del blog. En aquel momento, lo que creía interesante era hacer público aquellas aplicaciones y trucos que me solventaban los problemas de seguridad con los que me iba enfrentando o que servían para evitar las amenazas que se iban conociendo, tal como resume ese primer post:

"Este es mi primer post de una serie de pequeños trucos y recetas, para hacer que usuarios inocentes o confiados no sufran el abuso de todos esos que navegan por la red con fines oscuros o ilícitos.
Espero que los pequeños consejos que vaya dejando o las recomendaciones de software sean de ayuda para todos vosotros."


Aunque nació con ese humilde propósito, la verdad es que éste área de conocimiento ha adquirido una importancia cada vez mayor y se ha hecho de un hueco entre las disciplinas relacionadas con la informática, permitiendome como profesional haberme podido especializar en la materia.

Aunque uno al terminar la carrera no tiene muy claro a qué en concreto dedicarse, el destino te abre oportunidades que no sabes a dónde te van a llevar. Este fue mi caso, que tras finalizar el proyecto me ofrecieron la posibilidad de probar MAGERIT 1.0 ya hace 8 años.
Recuerdo en mis primeras incursiones dentro del área de la seguridad que buscaba por Internet bibliografía y manuales con teoría sobre la dirección y gestión de la seguridad de la información. En aquella época, las guías NIST eran la documentación de referencia. Como no, también me topé con la versión inglesa de la norma ISO 17799 (en aquella época BS 7799, 1 y 2) y los "Common criteria" que todavía no eran la ISO 15408.

Me tocó defender durante algunos años que esto de la "gestión de la seguridad de la información" alcanzaría un nivel de madurez importante, y frente a la visión de mis compañeros de trabajo más centrados en la seguridad informática y en adquirir conocimientos en las tecnologías de protección, mi intuición me decía que al final el puesto de Responsable de Seguridad tendría su sillón dentro de la Dirección de toda organización.

Durante estos años, quizás los dos hitos que han marcado un antes y un después han sido el paso de la BS 7799-1 a ISO 17799:2000 y el paso de la BS 7799-2 a ISO 27001:2005.

Tal como se preveía, el hecho de que una organización pueda certificar la gestión de la seguridad es una referencia en cuanto al grado de fiabilidad y confianza que esa organización puede realmente garantizar. Y aunque en el mercado español todavía vamos con retraso, este movimiento es ya imparable y la certificación ISO 27001 lleva un camino paralelo a lo que supuso la certificación ISO 9001 en materia de gestión de la calidad del producto.



En el siglo XXI, como publica Antonio Valle en su excelente blog Gobierno TIC , vamos a empezar a hablar del BISM o Business Information Services Management.

Como dice Antonio cuya opinión comparto plenamente "La idea es que el concepto de IT Services se va quedando lentamente obsoleto y comienza a aparecer el concepto de Business Information Services, lo que me parece de lo más correcto si pensamos en que lo que realmente consume el negocio de las TIC es la información y, además, esto alinea con el concepto de "Requerimientos de la Información" que ya planteaba COBIT desde los inicios."

Y para un área como el BISM que gestiona la información de la empresa, la seguridad es uno de los grandes pilares en donde se debe apoyar la infraestructura y procesos de gestión de la información. Los otros pilares tendrán que ver con la eficacia y rentabilidad de los procesos, pero eso siempre que la seguridad sea un requisito ya garantizado.
jueves, 11 de octubre de 2007 0 comentarios

Curso de seguridad de la información para usuarios de banca electrónica

Hoy al entrar en la Web de Openbank me he encontrado un banner con el anuncio de un curso online gratuito de seguridad de la información.

Llamado por la curiosidad me he adentrado en su contenido y la sorpresa ha sido muy grata. De manera sencilla y con un lenguaje muy visual, transmiten al usuario final las recomendaciones básicas para no ser víctima del fraude en Internet. Este último mes he estado impartiendo formación a usuarios finales y tras contar las diferentes técnicas de malware, a la gente se le queda muy mal cuerpo y normalmente la primera pregunta suele ser: ¿Es segura la banca por Internet?.

Coincide también que ayer en Telecinco, salía un cliente de una entidad financiera al que le han desaparecido 12.000 € de su cuenta tras ser víctima del phishing. A estas alturas la gente debería estar ya concienciada respecto a este tema, pero como bien argumentaba el cliente, cuando el contrató el servicio no recibió ningun tipo de información sobre los riesgos que suponen este tipo de servicios de banca electrónica.
Imagino que un poco llevados por la obligación de formar a los clientes y por otro, para generar confianza en el uso de este tipo de servicio bancario, quiero hoy destacar la iniciativa de Openbank y su excelente curso online.

Para los que quieran seguirlo, son solo 10 minutos. El contenido está accesible en Curso básico de seguridad de la información para usuarios de banca
miércoles, 10 de octubre de 2007 0 comentarios

Actualización de aplicaciones mediante UpdateStar

La actualización de aplicaciones para usuario final en Windows a día de hoy sigue siendo un auténtico latazo, aunque la actualización es necesaria dado que normalmente una nueva versión o aporta funcionalidad o corrige errores. Hoy vía Genbeta, he encontrado un programa gratuito similar al que ya recomendé.

La aplicación se llama UpdateStar y permite estar informado sobre nuevas versiones y programar las actualizaciones. Es freeware, como todo lo que suelo recomendar.Podéis descargarla en Updatestar download.
jueves, 4 de octubre de 2007 0 comentarios

Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.

Leo vía Sociedad de la Información la publicación en el BOE de la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información.
Algunos os preguntaréis, ¿dónde encaja esto? o ¿qué parte de la confianza en las tecnologías construye?. En este post, voy a tratar de explicar qué sentido tiene este reglamento y en qué estándares se basa.
Por hacer algo de historia, en mis comienzos en esto de la seguridad cuando trabajaba en Madrid tuve oportunidad de publicar en el número 46 de septiembre del 2001 de la Revista SIC un extenso artículo al respecto de los conocidos como "Common Criteria" o ISO 15408. En este artículo se detalla la estructura de la norma y qué tipo de certificación se obtiene al aplicarla sobre un producto o sistema TI.

Para garantizar la seguridad de la información es necesario poder garantizar también la seguridad de los productos TI que forman parte de un sistema. Pongo un ejemplo que se entenderá fácil. En la problemática de la firma electrónica, es necesario demostrar que los dispositivos utilizados durante el proceso de firma no son vulnerables y garantizan la fiabilidad de las operaciones de firma al utilizar el lector de tarjeta electrónica, la propia tarjeta inteligente o criptográfica, el sistema operativo que realiza las operaciones, etc. Por tanto, vemos que la confianza del proceso de firma, se basa en parte en la suma de la confianza que nos proporcionan cada una de las piezas tecnológicas que participan de ese proceso. De hecho, en la Ley 59/2003 de firma electrónica, se establece como definición de firma electrónica reconocida a aquella firma electrónica avanzada almacenada sobre un dispositivo seguro.
Para esta finalidad de certificar productos TI se utiliza por tanto la norma ISO 15408 conocida como "Common Criteria" que permite en un laboratorio verificar los requisitos de seguridad que un dispositivo presenta. Estos requisitos a su vez pueden ser de dos clases:
- Requisitos funcionales: lo que el aparato hace o garantiza.
- Requisitos de garantías: lo que el aparato bajo ningún concepto realizará.
Toda esta documentación sobre qué requisitos tiene un equipo y cómo se configura para obtener la certificación es pública y se encuentra en la página de Common Criteria. Podéis ver la cantidad de dispositivos certificados que existen actualmente y la documentación respecto al proceso de certificación en la dirección Lista de productos certificados.

Como ejemplo familiar podéis ver el resultado de la evaluación de nuestro DNI-Electrónico.
Los productos certificados suelen tener dos documentos: el Security Target que es lo que se va a tratar de evaluar en el producto que en el caso del DNI-e puede leerse en ST-DNI-e y el resultado de la certificación que se puede leer en este
enlace.

Todas estas regulaciones aparecen en la Web del Consejo Superior de Informática, dependiente del Ministerio de Administraciones Públicas. Para quien quiera ubicarse ante tanta normativa, puede consultar la siguiente dirección.

Por tanto, ha sido necesario establecer dentro del marco jurídico español un esquema de certificación y su correspondiente rglamento para poder definir qué requisitos tienen que cumplir los organismos certificadores españoles de productos TI y que normas y metodologías deben usar, ya sean públicos o privados. Precísamente este es el objeto del decreto publicado donde se define el "Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información". España tiene firmado un acuerdo con otros países para reconocer los certificados expedidos por laboratorios extranjeros, dado que hasta hace poco no contabamos con un organismo de certificación propio. Ahora ya tenemos en España nuestro Centro Criptológico Nacional como el Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI), según lo dispuesto respectivamente en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional que ha sido el organismo que ha certificado el DNI electrónico.
 
;