Microlopez - Cositas varias en torno a las TIC, la Administración Pública y el marco legal de la Adm

Time 2020-11-21 12:04:59

Web Name: Microlopez - Cositas varias en torno a las TIC, la Administración Pública y el marco legal de la Adm

WebSite: http://www.microlopez.org

ID:122796

Keywords:

las,torno,la,

Description:

Si eres el propietario de una web, ya sea un blog o una web comercial, tu principal objetivo seguramente sea que tus contenidos lleguen al mayor número posible de personas.Obviamente, una de las vías más para importantes para conseguirlo es que la gente te encuentre en Google.Pero, ¿cómo hacer que tus contenidos aparezcan en Google? Y, además, ¿cómo conseguir que salgas lo más arriba posible?La respuesta es sencilla: tu contenidos deben estar optimizados para los motores de búsqueda.La disciplina que se dedica a esto se conoce como SEO (Search Engine Optimization) y su objetivo es lograr el mejor posicionamiento web posible para tus contenidos.En este post hablaré de los principios básicos de cómo funciona esto del «SEO» para que logres sacarle el mejor partido posible a tus contenidos en Google y los demás buscadores, ya sean de un blog personal, un sitio con fines comerciales, una web institucional o lo que sea.Contenidos, búsquedas y palabras claveEl SEO básico de para optimizar un contenido para buscadores es simplemente un ejercicio de adaptar una oferta a la demanda, en el fondo, exactamente igual que ocurre en el mundo offline tradicional.Eso quiere decir que el primer paso es saber si tu oferta (tu contenido) tiene realmente demanda (la gente realiza búsquedas relacionadas con ese contenido). Y concretamente lo que te interesa es saber cuáles son las palabras y frases exactas con las que la gente busca en Google y los demás buscadores o lo que es lo mismo cuáles son las palabras clave más interesantes relacionadas con tu contenido.Para hacerte una idea en general de qué tipo de cosas busca la gente, puedes usar Google Trends y para tener información más concreta sobre cuántas búsquedas se hacen al mes de ciertas palabras o frases clave, te recomiendo usar el Planificador de palabras clave de AdWords.Gracias a YouTube dispones de un montón de tutoriales para aprender a utilizar, el siguiente, por ejemplo, está bastante bien:Una vez hayas explorado las diversas palabras clave, lo siguiegnte sería hacer una pequeña lista de ellas para decidir en cuál(es) quieres poner el foco en tu labor de posicionamiento web y optimizarlo según las pautas que se explican más abajo.Por ejemplo, si te gusta el mundo del motor y tienes un blog sobre ello, verás que unos de los temas que más interés suscita es el tema de los seguros baratos.Como puedes ver en la imagen, la frase clave «seguros baratos coche» se realiza unas 880 veces al mes y en el caso de quedar tu post como el primer resultado, ya solamente para esta búsqueda concreta podrías contar seguramente con entre 300-500 visitas mensuales sólo para ese post.El Planificador de palabras clave permite investigar el volumen de búsquedas en Google para cualquier palabra clave o combinación de palabras clave (frase clave).A eso hay que sumar muchas otras combinaciones muy similares como «seguros coche baratos» que usan las mismas palabras y para las cuales el mismo trabajo de SEO también sería eficaz.Generalmente, lo suyo es centrarse en una sola frase clave, pero puedes optimizar también para varias aunque así la optimización pierde algo de fuerza con respecto a cada una.Por ejemplo: este mismo post apunta a dos búsquedas diferentes: «seo basico» y «posicionamiento web» (la última es prácticamente imposible, pero la idea es apuntar a la «larga cola», búsquedas más largas que usan las palabras «posicionamiento» y «web»).Un truco: no uses acentos con el plantificador. La gente busca «seo basico», no «seo básico». Aunque para el algoritmo de posicionamiento web de Google es indistinto usar o no el acento. Las cifras del planificador son diferentes y usar los acentos te pueden distorsionar la realidad.Por ejemplo, «cómo crear un blog» cuenta también con cerca de 1000 búsquedas el mes, pero si pruebas con «como crear un blog» cuenta con más de 60.000 (!). Sin embargo, en tu post lo deberás usar la ortografía bien: «Cómo crear un blog Guía para novatos».La competencia en el posicionamiento webYa sabes cómo localizar búsquedas buenas (con mucho tráfico) para optimizar nuestro contenido para ellas. Ahora bien, si crees que con eso ya estás listo para conquistar el Nº1 en los resultados de Google, siento decepcionarte sad El problema es que no estás solo, cuánto más «suculenta» sea una búsqueda más webs habrá intentando posicionarse para esa búsqueda en los resultados de Google.Eso quiere decir que en la selección de las palabras clave tienes que tener en cuenta la dificultad para «rankear» tu contenido en función de la fortaleza de la competencia. Recibirás muchas más visitas siendo el nº1 o el nº 2 para búsqueda que se realiza 100 veces al mes que estando en la posición 50 en otra que se realice 10.000 veces al mes.Normalmente, cuanto más específica la búsqueda más baja el volumen de búsqueda, pero también más fácil resulta posicionarse bien. De todos modos, en este caso se trata de una diferencia de volumen atípica (muy grande).Por otra parte, en líneas generales, cuanto más concreta la busqueda, menos volumen tendrá.Por ejemplo:«seguros coche» tiene 22.200 búsquedas al mes, pero la competencia es muy fuerte. Salvo que tengas ya una web muy consolidada, con mucha autoridad en ese nicho, te será imposible aparecer en la primera página de Google. Probablemente ni te acerques a las primeras 3 o 4 páginas de resultados.«seguros coche clasico» tiene solo 90 búsquedas al mes, pero es mucho más asequible porque hay pocos resultados optimizados para esta búsqueda y los que hay no tienen una fuerza excesiva. Si te lo trabajas bien, incluso con una web jovén y de poca autoridad podrías «colarte» seguramente entre los primeros 5 puestos de la primera página de resultados.La pregunta que te estarás haciendo ahora es:«¿Y cómo demonios sé yo si una web competidora es fuerte o no, y cómo de fuerte soy yo?»La métrica clásica ha sido el PageRank de la página, un valor de 0-10 que indica la autoridad que Google le reconoce a esta página, cuanto mayor el PageRank, mayor autoridad y mayor fuerza tiene la página de cara a su posicionamiento web. El PageRank de una página viene determinado básicamente por la cantidad y calidad de los enlaces que recibe.No obstante, en la optimización SEO apenas se usa porque es una métrica bastante pobre, con una escala muy gruesa y Google la actualiza (puertas afuera) cuando le viene en gana.Lo que se suele usar son las métrica de autoridad de página (PA) y autoridad de domino (DA) de Moz, una empresa especializada en SEO y la más importante del mundo en este sector.Lo bueno de todo esto es que Moz ha creado la Mozbar, una extensión tremendamente práctica para FireFox y Chrome que permite visualizar los valores PA y DA directamente junto a los resultados de búsqueda de modo que puede ver inmediatamente en cada búsqueda cuál es el nivel de competencia de esa búsqueda. Una pequeña maravilla con la que es muy fácil hacer un SEO básico, incluso no tan básico.Una vez instalada la Mozbar en el navegador, junto con los resultados de Google, aparecen los valores PA y DA.Puedes valorar la fuerza de tu página frente a los competidores comparando, por una parte, el valor DA de la tuya con los de la competencia y, en segundo lugar, los valores de PA. En principio, lo tendrás muy difícil para superar competidores con un DA que supere en más de 5-10 al tuyo. No obstante, valores PA muy bajos ( 15) serán asequibles incluso si el valor DA es bastante más alto que el tuyo.Por otra parte, has de valorar la exactitud de la búsqueda. Es decir, si los valores PA y DA de tu competencia son altos, pero la búsqueda no encaja bien, es decir no está bien optimizada, (no aparecen todas las palabras clave en los títulos, url y descripción de los resultados de tu competencia), entonces su fuerza es mucho menor frente a una página que sí esté bien optimizada para esa búsqueda.Como ves, valorar tu fuerza para competir en una búsqueda concreta tiene su miga y merece un post como este entero. Yo sólo he querido dar unas primeras pinceladas para que veas la filosofía de cómo funciona el posicionamiento web y cuales son los principales objetivos del SEO básico que tienes que realizar para cualquier página, pero creo que con esto y un poco de práctica ya deberías intuir bastante bien cómo funciona.SEO Básico On PageUna vez que has decidido para qué palabras clave concretas optimizar una página web, empieza el trabajo en la propia página, lo que se conoce como «SEO On Page». El SEO on page lo que pretende básicamente es que Google entienda lo mejor posible «de qué va» tu contenido para poder determinar lo mejor posible lo relevante que es ese contenido con respecto a una determinada búsqueda.Esquema de los sitios clave en un contenido dónde han de aparecer las palabras clave. Es bueno que aparezcan variaciones singular/plurar o sinónimos para que todo sea más natural. De lo contrario Google puede considerar que se está sobre-optimizando y penalizar el posicionamiento del contenido por ello.Así que de lo que se trata es de usar las palabras clave de la mejor manera posible en el contenido para que Google lo considera lo más relevante posible para una búsqueda con esas palabras clave.Volvamos al ejemplo anterior de «seguros coche clasico». Si vas a escribir un post sobre seguros para coches clásicos procura que esta frase clave se encuentre de la manera más fiel posible en los siguientes elementos (para más claridad, las palabras clave están subrayadas):Dominio del sitio: Esto es lo más difícil de encajar, normalmente sólo es posible en sitios de nicho con contenido muy especializado. En este caso encajaría si tuvieras, por ejemplo, un sitio como seguroscoche.com que habla exclusivamente de este tema.En la URL del post: Esto ya es mucho más fácil. Lo ideal es que tu URL sea [tudominio]/palabra1-palabra2-etc. Por ejemplo: cochesrapidos.com/seguros coche clasicoEn el título ( h1 ): Todas las palabras deberían aparecer en el título, cuanto más corto sea el título mejor (menos se «diluyen»). No pasa nada por usar indistintamente singular o plural en las palabras, aunque es mejor una coincidencia exacta. Por ejemplo: «Cómo contratar un buen seguro de coche clásico»Al menos, en un subtítulo ( h2 , h3 , ): Dentro del post anterior podría haber un subtítulo como «Qué seguros de coche clásico deberías evitar».En la meta descripción: Es la descripción que sale en los resultado de búsqueda en cada resultado. WordPress, por ejemplo, la toma por defecto de los primeros párrafos. Pero con algunos plugins como, por ejemplo, WordPress SEO, la puedes determinar tú expresamente. Aquí deberían aparecer de nuevo las palabras clave: «En el post de hoy te hablaré sobre seguros de coche clásico, cómo encontrar los buenos y cómo evitar los malos».Varias veces a lo largo del contenido: Esto es obvio y la pauta a seguir sería que procurases que la frase apareciese en torno a 0,5 1 vez por cada 100 palabras. Procura usar también sinónimos y que la redacción siempre sea natural. Nunca fuerces la máquina con frase «raras» que queden artificiales.Y cómo último, un truco: si quieres mejorar la fuerza de un contenido concreto hazlo realmente largo, para ocasiones especiales te recomiendo posts de más de 2.000 palabras y ganará bastante fuerza.Este mismo post, por ejemplo, está en ese rango y, a pesar de que este dominio ha perdido bastante autoridad por el largo periodo de inactividad cuento con que a medio plazo consiga estar en la primera página de resultados para las dos búsquedas para las que está optimizado.SEO Básico Off PageSi el SEO On Page es el «Yin», el El SEO Off Page es el «Yang«. Es la parte del trabajo SEO que se realiza para factores externos a la página web en la que trabajamos y en eso lo más importante son los enlaces. Google dará más autoridad a una página y a un dominio conforme más enlaces reciba teniendo en cuenta mucho la calidad de esos enlaces y la similitud temática de los sitios.Es decir, en el caso de este blog, por ejemplo, un enlace de un sitio con autoridad que hable de tecnología relacionada con la web será de mucho valor, pero un enlace de un sitio que hable de punto de cruz, por muy prestigioso que sea el sitio, no valdrá casi nada, al igual que un enlace de un sitio con baja autoridad.La tarea rama dentro del SEO que busca conseguir esos enlaces se conoce como «Linkbuilding» y usa diversas técnicas para acelerar la consecución de enlaces para la página que quieras posicionar.También son relevantes señales como la popularidad del contenido en redes sociales (contadores sociales), aunque Google mantiene muy en secreto los detalles de su algoritmo y no se sabe muy bien qué peso tiene cada una de las redes sociales.ConclusionesA pesar de ser el SEO es un campo grande con expertas y empresas 100% especializadas en esta disciplina se cumple, de alguna manera, el Principio de Pareto: las medidas realmente importantes son relativamente pocas y tienen mucho impacto. Con un SEO básico bien hecho tienes hecha la parte del león para lograr un buen posicionamiento web de tus contenidos. Y las medidas a tomar son las que te he contado aquí.Si quieres profundizar un poco más en ellas, te recomiendo también muy encarecidamente la lectura de la guía oficial de Google sobre esto, la Guía de introducción a la optimización para motores de búsqueda de Google.Además, tienes una recopilación de las mejores herramientas para SEO en mi página de las mejores herramientas y recursos de la web.También te recomiendo esta entrevista sobre el SEO del 2015 del gran Dean Romero y como punto de diversión en temas de SEO, el blog de Chuiso un blog relativamente reciente que ha impactado como una bomba en el mundillo del SEO.Recuerda que la enorme mayoría de los contenidos dejan mucho que desear en cuanto a su SEO y esa es una gran oportunidad que puedes aprovechar para adelantarlos en Google si te lo trabajas un poco, incluso siendo webs mucho más relevantes y con mucho más tráfico que la tuya.Por otra parte, tampoco de obsesiones con esto, recuerda que escribes para personas y no para Google. No sirve de nada ser el primero si luego el lector que entre en tu página siente una sensación de rechazo por un texto que resulta artificial y poco agradable de leer.Y ya por último, si le coges el gustillo a esto del SEO, una advertencia: mucho cuidado con los «trucos» SEO que intentan engañar a Google, conocidos como «Blackhat SEO». Google está muy encima de ellos en sus actualizaciones de su algoritmo de búsqueda y si te pilla puede enviar tu web a las catacumbas por mucho tiempo Después de un tiempo menos activo por varios motivos personales que tienen que ver sobre todo con la amplicación nuestra familia, ha llegado el momento para retomar la actividad del blog smile Eso sí, con calma, porque como sabrás con dos niños muy pequeños el tiempo libre no es que de mucho de sí que digamos Reorientación temáticaPero también quería aprovechar para comentar un giro en la línea de contenidos de este blog.Hasta ahora el blog, dentro de la temática general de la Administración Electrónica, se ha centrado casi al 100% en los temas relacionados con  el uso de certificados, el DNI electrónico y la firma electrónica.Pues bien, en esta nueva etapa estos contenidos tendrán menos peso (prácticamente dejaré de tocarlos salvo en alguna ocasión puntual) por la sencilla razón de que no veo que haya habido avances sustanciales en este terreno a lo largo de los últimos años, salvo excepciones como el sistema Pin 24h de la Agencia Tributaria, por ejemplo.En cierto modo se puede decir que me he cansado de hablar estos temas porque, a pesar de que los problemas y soluciones en el uso de los certificados, la firma electrónica y, en particular, en aplicaciones web y con el DNI electrónico, han sido sobramente discutidos, diagnosticados e identificados en la blogosfera pública, incluido este blog, la situación de los certificados electrónicos y sigue básicamente igual.Es decir, los problemas son perfectamente conocidos, y también lo son las soluciones, pero parece que, a pesar de ello, los actores implicados (fabricantes del sector privado, Gobiernos y organizaciones de normalización) no han sido capaces de coordinarse en este tema o simplemente no les ha importado lo suficiente (lo desconozco, la verdad) para tomar las medidas de fondo necesarias para solucionarlo esto de una vez por todas.Ciertamente salen muchas noticias con ésta o aquella novedad (nuevos trámites, nuevas herramientas, etc.), pero la realidad es que el gran lastre que sufre la Administración Electrónica y que son las dificultades para usar dos de sus herramientas más básicas, el DNIe electrónico y la firma electrónica en web, sigue básicamente igual porque los causas de los problemas siguen ahí (falta de soporte nativo de firma en navegadores que obliga a usar Applets para firmar, ausencia de drivers nativos en SSOO para el DNIe, equipos sin lectores, etc.) y hacen que usar estos medios siga siendo una experiencia que dista mucho de ser gratificante para la mayoría de los usuarios.Bajón de actividad en la blogosfera públicaPor tanto, simplemente ya no le veo la gracia a darle más vueltas a un tema que, a mi modo de ver, ya está muy agotado a estas alturas y en el cual uno tiene la sensación de estar hablándole a una pared.Tengo también la sensación de que a los compañeros blogueros de la blogosfera pública, que hace 2-3 años aún era un hervidero, les debe haber pasado algo similar porque el bajón de la actividad de blogs de la blogosfera pública con temáticas afines ha sido también muy notable.Nuevos temasPor suerte, las facetas de la Administración Electrónica no se agotan en el uso de certificados y firma electrónica. Así que la Administración Electrónica seguirá presente en este blog, pero con un foco más abierto entendiendo el término Administración Electrónica en un sentido más amplio y menos ceñido a la parte relacionada con los certificados electrónicos.En particular tocaré también temas relacionados con el mundo 2.0 y blogging, y su orientación a lo público puesto que veo que es una campo aún muy poco explotado por el sector público y que ofrece muchas posibilidades de comunicación directa con el ciudadano que, en mi opinión, hacen mucha falta.Además, por suerte, es un tema en el que las instituciones de la Administración Pública no dependen tanto de las actuaciones de terceros como es el caso con el tema certificados y firma, son ellas mismas las que pueden poner en marcha las iniciativas, sin lastres.En ese sentido es una temática que me parece no solamente útil y relevante, sino también mucho más gratificante y de la cual estrenaré dentro de unos días un primer post sobre optimización de contenidos para motores de búsqueda (SEO).¡Nos vemos pronto! Espero smile Hoy continuamos con el segundo post de un autor invitado muy especial como lo es Tomás García-Meras Capote.Si te has perdido la primera parte de este post, simplemente aclararte que Tomás ha liderado el equipo de desarrollo de @firma durante estos últimos años y nos va a exponer las dificultades que genera la conciliación del principio de neutralidad tecnológica de la Ley 11/2007 con la realidad del entorno tecnológico en el que deben funcionar las aplicaciones de Administración Electrónica.Aparte de ser un ejemplo ilustrativo de los problemas inherentes a este principio legal, Tomás nos ofrecerá también una visión de la situación actual del cliente de firma electrónica @firma, perspectivas  y propuestas para su futura evolución:Propuesta de iniciativas en el desarrollo futuro de @firmaUna vez diagnosticados los problemas que vimos en el post anterior, hay muchas formas de afrontarlos… ¿Cómo lo veo yo desde dentro del proyecto?Yo marcaría dos grandes líneas de trabajo en este sentido:1. Simplificación del código a mantener y probar1.1. Eliminación del número de aplicaciones a mantenerActualmente el proyecto Cliente @firma tiene distintas aplicaciones pensadas para distintas necesidades:Applet Cliente @firma: la aplicación más conocidaCon 6 variantes:LITE Java 5, LITE Java 6, MEDIA Java 5, MEDIA Java 6, COMPLETA Java 5 y COMPLETA Java 6.MiniApplet Cliente @firma: una remodelación desde cero del Applet, compacta y rápida.Con dos variantes:Despliegue clásico y despliegue modular.Aplicación de escritorio “StandAlone”: todas las funcionalidades accesibles desde un interfaz gráfico accesible como aplicación Java independiente.Aplicación de escritorio “Firma Fácil”: las funcionalidades de firmas más comunes desde un simple y fácil de usar interfaz gráfico como aplicación Java independiente.¿Qué sobra en todo esto?En mi opinión, el Applet Cliente @firma, la versión clásica, es prescindible.Como suele pasar típicamente en los proyectos de desarrollo de software, con el paso de los años se ha convertido en una aplicación grande, difícil de integrar e incómoda de usar. A la vez la remodelación de esta apliación, el MiniApplet Cliente @firma, ha madurado lo suficiente para que  puede ser un sustituto perfecto en los casos en los que solo se requiera realizar firmas electrónicas AdES.No obstante, hay un problema: Desgraciadamente, dado el número de implantaciones de esta aplicación, dejar de probarlas y evolucionarla de golpe originaría muchos problemas a los integradores, que en época de crisis pueden no tener los recursos necesarios para una migración al MiniApplet. Una situación con la cual hemos de ser respetuosos al máximo.Con este escenario, una nueva versión previa a su completa desaparición podría ser una buena solución. En esta versión podrían eliminarse ciertas funcionalidades marginales o indeseables y limitar la distribución a una única versión, que equivaldría a la “COMPLETA Java 6” (con lo que dejaría de soportarse Java 5 por completo).Respecto al MiniApplet, esta aplicación es compacta y está bien diseñada, pero el hecho de disponer de dos versiones (según tipos de despliegue) no aporta mucho, ni a integradores ni a usuarios, por lo que descartar el despliegue modular y mantener únicamente el clásico parece un buen movimiento (el despliegue clásico se comporta mejor en entornos con HTTPS y autenticación con certificado cliente).¿Y las dos aplicaciones de escritorio?El dejarlas tal y como están tiene mucho sentido, ya que los esfuerzos de mejora y evolución se podrían centrar en “Firma Fácil”, y “Cliente @firma Standalone” se convertiría en una especie de aplicaciones “legacy”, donde se mantendría operativa cualquier operación retirada de otras aplicaciones, dejando siempre una opción para aquellos que no puedan prescindir de ellas.1.2. Simplificación de las funcionalidades de las aplicaciones actualesEl Cliente @firma realiza muchas operaciones criptográficas distintas, pero… ¿Cuáles son realmente las usadas por más del 90% de sus integradores?Evidentemente, la firma electrónica en un formato AdES. Con esta premisa siempre presente, eliminemos funcionalidades de las aplicaciones (aunque manteniéndolas en “Ciente @firma Standalone” como refugio):Eliminación de firmas no AdES: CMS, XMLDSig, OOXML, ODF, XML explícitas, etc.Eliminación de cifrados asimétricos.Eliminación de sobres digitales.Eliminación de funcionalidades auxiliares depreciadas:Firma Web.Filtros de certificados mediante expresiones regulares “clásicas”.1.3. Reducción de los entornos operativos soportados.En una época de crisis, el optimizar la distribución de los recursos es crítico, y un buen punto de partida para la distribución de esfuerzo entre los entornos operativos es conocer las preferencias de los ciudadanos, ¿no?Echemos un ojo a las estadísticas de acceso a la página Web de la AEAT durante junio de 2012:Con las cifras en la mano, se ve claro que los usuarios de Linux no son muy dados a entrar en la página de la AEAT, o visto de otra manera, la AEAT no tiene muchos usuarios en Linux (y lo mismo podemos decir de Mac OS X).Sin embargo, son estos dos sistemas operativos los que más esfuerzo de mantenimiento requieren… ¿Tiene esto sentido?Aunque desde un punto de vista de apoyo al software libre (Linux) o el evitar la concentración del mercado, sí, desde un punto de vista de buscar la satisfacción del mayor número de usuarios, no.Hay que hacer sin duda una reflexión profunda de hasta que punto se puede, por ejemplo, mantener un sistema operativo como Linux, con decenas de distribuciones y variantes y un grado de heterogeneidad enorme, o también Mac OS X, un sistema operativo tan cerrado que provoca continuos problemas de compatibilidad.Pretender ofrecer compatibilidad con estos sistemas es un principio muy loable y lógico, pero creo que también hay que saber rectificar a tiempo cuando la realidad te confronta con los problemas que esto supone y que a la luz de lo comentado parece claro que derivan en un esfuerzo excesivo y, en ciertos aspectos, incluso imposible de llevar a cabo en la práctica.Desde el punto de vista de Java (JRE), la decisión es más cómoda, la supresión del soporte a Java 5 (ya muy obsoleto) y el apoyo a Java 7 u 8 en detrimento de Java 6, aunque sin abandonar por completo este último.2. Automatizar por completo el entorno de construcción, pruebas y publicación de las aplicaciones.Bien, se supone que en este punto ya tenemos un Cliente @firma más pequeño y fácil de probar y una reducción de los entornos operativos a probar… ¿Siguiente paso?Automatización por completo (dentro de la medida de lo posible) de las pruebas de los productos y su publicación final.La entrada de la UJI (Universidad Jaume I de Castellón) en el proyecto ya un año fue una brisa de aire fresco, que introdujo un servidor de integración continua que automatizaba la ejecución de las pruebas unitarias, el control de calidad y la construcción de los “artefactos”, pero aún quedan tareas por ejecutar:Las pruebas unitarias deben replantearse para garantizar por completo la funcionalidad interna de cada componente, y la cobertura de estas no debe ser la única (ni la más importante) métrica a tener en cuenta.La construcción automatizada (Apache Maven) debe generar exactamente los mismos entregables que actualmente se publican en el CTT (Centro de Transferencia Tecnológica).Deben integrase (vía Hudson/Jenkins) todas las herramientas con las que cuenta el proyecto para probar (como Test@Firma), y el código fuente de estas a su vez estar abierto e integrado en el sistema continuo.Deben integrarse las herramientas de apertura de tickets de soporte con la integración continua, para la generación automática de incidencias.Hay que plantear un ambicioso proyecto de pruebas finales basado en macros de actividad de usuario en navegador Web sobre múltiples (tantas como entornos operativos soportados)  máquinas virtuales, con servidores que recojan los resultados de las pruebas y compongan informes finales.Hay que implantar mecanismo de análisis remoto de registros (la Java Logging API lo soporta perfectamente) e incluso de gestión remota del software (JMX).Si consiguiésemos levantar un entorno de este estilo, podríamos obtener un software de más calidad, en menos tiempo, y con un coste significativamente menor, ya que la inversión se amortizaría en muy poco tiempo (es importante considerar el Cliente @firma como un proyecto de larga duración).ConclusionesComo resumen, propongo un futuro cercano del proyecto Cliente @firma centrado en la simplificación y en el incremento de la calidad reduciendo costes, en base a una pequeña revolución en la forma de hacer las cosas en el proyecto.Esta simplificación debe facilitar además que nuevos colaboradores se sumen al proyecto (recuerdo que el Cliente @firma es 100% software libre), aspecto vital para cualquier proyecto abierto que ya durante 2012 se ha trabajado con buenos resultados.Así que creo sinceramente que a pesar de las dificultades inherentes a la actual situación económica y las correspondientes restricciones, con la estrategia adecuada, es perfectamente posible que este proyecto continúe siendo un proyecto ilusionante y que aporte aún más valor a los numerosos proyectos que ya lo han integrado y aquellos que lo integrarán por primera vez.No obstante, hay un efecto lateral que no vamos a analizar hoy, y es que el ahorro de costes en tareas como las pruebas y la publicación puede repercutir en poder destinar más esfuerzos a investigación en firma electrónica, en nuevos canales de comunicación con el ciudadano… O simplemente en ahorrar, que buena falta nos hace. Hoy tengo el placer de contar con un autor invitado muy especial que es Tomás García-Meras Capote.Tomás ha liderado el equipo técnico de desarrollo de @firma durante estos últimos años y nos va a hablar de un tema que, sin duda es de los más interesantes que existen dentro del ámbito de la Administración Electrónica: el cliente de firma electrónica @firma, su situación actual, perspectivas  y propuestas para su futura evolución.En el post de hoy se centrará en lo que personalmente considero uno de los mayores problemas que plantea la Ley 11/2007 de cara a una implantación ágil y eficiente de sus proyectos: el principio de neutralidad tecnológica. Un problema que he podido vivir en primera persona desde dentro en la implantación de sistemas que usan firma electrónica.En un siguiente post Tomás nos expresará su opinión, desde dentro y desde una perspectiva práctica y pragmática de cómo cree que deben ser los principios que rijan la evolución de este proyecto, una visión que se puede extrapolar perfectamente a otros proyectos y en qué medida se plantean un conflicto con el principio de neutralidad tecnológica.Este problema no es ni mucho menos una circunstancia específica de @firma, sino que @firma es simplemente un ejemplo muy claro de la problemática que se puede producir en la implementación de un principio legal (y ético) muy acertado, pero que presenta serios problemas cuando se lleva al plano práctico y choca con una situación real que no es óptima (gran diversidad / dispersión de las tecnologías actuales).Si bien el principio es muy coherente con la manera de la que la Administración por su propia naturaleza debe entender el uso de la tecnología, es decir, orientándose por estándares abiertos y respetando al máximo la libertad de elección del usuario, desafortunadamente en el plano real nos encontramos con una realidad que hace que este planteamiento se convierte en un auténtico problemón en términos de dificultad de desarrollo, costes, plazos y estabilidad de los productos y servicios desarrollados.La razón fundamental de esto, en mi opinión, es que la enorme combinatoria de tecnologías, componentes y versiones de los productos del entorno tecnológico (SSOO, navegadores, etc.) hoy por hoy dificulta mucho, diría que hace casi inviable un respeto de este principio en la medida que realmente se merece si no es pagando por ello un sobrecoste que quizás no sea realmente razonable, ni posible asumir en relación a los beneficios obtenidos.Pero para entender esto bien, nada mejor que explicarlo más a fondo con un ejemplo real que es el propio caso de @firma y que nos contará Tomás en el resto post con sus propias palabras:El conflicto entre @firma y el principio de neutralidad tecnológicaEl Cliente @firma, que es el componente de software más usado por las Administraciones Públicas para ofrecer servicios a los ciudadanos basados en el uso de la firma electrónica, es un caso curioso desde el punto de vista de la construcción del software.Por una parte, este componente ha ido creciendo en funcionalidad de una forma espectacular en los últimos años, soportando prácticamente cualquier formato de firma electrónica, además de cifrados simétricos y sobres digitales, siendo en la actualidad capaz de realizar más de 50 operaciones criptográficas distintas. Se trata, sin duda, de uno de los paquetes software más importantes y más útiles que se usan actualmente en las aplicaciones de Administración Electrónica.Por otra parte, se ha hecho también un gran esfuerzo en dar cabida a la heterogeneidad de entornos operativos que se podía dar entre los ciudadanos: distintos sistemas operativos, con sus variantes en versiones y arquitecturas, distintos entornos de ejecución de Java y distintos navegadores Web.Si bien el crecimiento en estas dos líneas del producto no son esfuerzos inútiles, se estaba produciendo una situación curiosa, y es que cada año se reducía el esfuerzo aportado para el desarrollo y mantenimiento del software y se aumentaba el destinado a las pruebas, hasta el punto de ser este último más del doble del primero.No obstante, este desequilibrio no era ni mucho menos el mayor de los problemas del proyecto, sino que podemos afirmar sin demasiados problemas que lo eran las propias pruebas, tanto en su concepto como en su modo de ejecución. Este problema se ha puesto de manifiesto en cada una de las versiones publicadas del Cliente @firma, donde encontramos un patrón repetitivo:Una nuevas versión de un entorno operativo (JRE, navegador Web, etc.) introduce un error de compatibilidad en el Cliente @firma.En unas semanas se desarrolla y aplica un parche que corrige el error.Se dedican varios meses a las pruebas y la propia publicación de la nueva versión del Cliente @firma que introduce la corrección.Una vez publicado la nueva versión del Cliente @firma, ha pasado tanto tiempo que el componente del entorno operativo que introdujo el error ya no es relevante, porque hay nuevas versiones que introducen nuevos problemas.Esta situación deriva en que la percepción general de los usuarios e integradores sobre el Cliente @firma no sea todo lo positiva que nos gustaría. Evidentemente, este problema se agrava si los integradores añaden aun más semanas de retraso en la actualización de sus servicios.Pero… ¿Es necesario realmente dedicar tanto tiempo a las pruebas del producto?Por una parte, si realizamos una matriz de compatibilidad con los distintos entornos operativos a probar podemos observar que las combinaciones son decenas de miles.Pongamos un ejemplo muy simplificado:Sistemas operativosMicrosoft WindowsXP, Vista, 7, 8Bien, ahora imaginemos todas las combinaciones posibles de estos componentes del entorno operativo y probemos las más de 50 operaciones del Cliente @firma… ¿Salen entonces las cuentas de varias semanas probando?Evidentemente sí, pero a la vez evidencia que tenemos un problema muy serio en el reparto de esfuerzos en el proyecto.ConclusiónEl principio de neutralidad tecnológica es correcto en sus fundamentos y muy deseable en la práctica, pero choca frontalmente con la realidad del entorno tecnológico de las aplicaciones de Administración Electrónica.Una vez reconocido el problema, hay muchas formas de afrontarlo… ¿Cómo lo veo yo desde dentro del proyecto?Eso lo veremos en la segunda parte de este post… Hace casi un año que me hice eco en este blog de la iniciativa de Tractis Webservices ya que me pareció que era un concepto de servicios realmente innovador y con mucho valor añadido.Simplemente recordar que Tractis Webservices supone una combinación de un conjunto servicios de certificación electrónica y archivo electrónico más la exposición vía APIs de servicios Web de las primitivas de seguridad de certificación electrónica de la infraestructura de clave pública (PKI) de Tractis siguiendo en la parte económica un modelo de pago por operación.Lista de servicios que se ofrecen gratis a startups e iniciativas políticas (hacer clic para agrandarlo)Ahora, Tractis vuelve a la carga con el lanzamiento de «Tractis ProBono para startups e iniciativas políticas» y me quiero hacer eco también de esta noticia porque creo que es de interés general y porque es de las poquísimas noticias relevantes y positivas de la industria del sector con las que contamos últimamente, una industria la cual obviamente se encuentra muy afectada por el nefasto entorno económico del momento actual.Se trata de una iniciativa para facilitar el emprendimiento que permite a startups disfrutar gratis de todos los servicios de Tractis y conseguir lectores a precio de coste o, próximamente, completamente gratis.Según las últimas cifras oficiales que he podido localizar, en septiembre del año pasado ya había más de 25 millones de DNIes electrónicos emitidos, lo que hace pensar que en este momento la cifra seguramente ronde los 30 millones. Ya comienzan a aparecer servicios en el sector privado como pueden ser precisamente este año con Tuenti y con Equifax.La definición de “startup” que maneja Tractis es de una empresa con menos de 10 personas y de 100.000€ de facturación, sin importar la fecha de constitución.La verdad es que me parece un paso adelante tan realista como inteligente en su planteamiento puesto teniendo en cuenta que, como decíamos, el horno no está para bollos y puede ser una manera muy acertada de darles a los potenciales clientes de estos servicios un balón de oxígeno ante la asfixia de la económica actual.Por otra parte, me gustaría resaltar la faceta de facilidad a la innovación de esta iniciativa. Como es sabido, detrás de cada crisis también se suelen esconder también oportunidades para buscar el cambio y la innovación.Éste me parece un buen ejemplo ya que se trata, por un lado de una oportunidad para este tipo de empresas que les permita diferenciarse de los demás y, por otro lado, visto desde una perspectiva económica más amplia, de una oportunidad de impulsar la creación de una infraestructura de servicios basados en certificados electrónicos y firma electrónica y con ello la innovación en múltiples sectores en los que estos servicios pueda ser de aplicación.La disponibilidad gratuita de los servicios base necesarios para ello puede ser el acicate para que esto ocurra. Obviamente el potencial de esto, por ahora, se mueve solamente a pequeña escala, pero el hecho de que empiecen a existir y funcionar este tipo de servicios es lo relevante, ya que una vez puestos en marcha y demostrado un valor añadido real el tirón del resto del sector vendrá solo.En definitiva, creo que desde luego quien con estas condiciones no trate de innovar y plantarle precisamente cara a la crisis innovando es realmente porque no quiere hacerlo. Hace unos pocos días que Manuel Arenilla Sáez ha sido nombrado el nuevo Director del INAP.Manuel Arenilla es Doctor en Ciencias Políticas y de la Administración por la Universidad Complutense de Madrid (1987). Catedrático de Ciencia Política y de la Administración en la Universidad Rey Juan Carlos, Madrid (2005) y pertenece al Cuerpo de Administradores Civiles del Estado y además es blogger smile Al conocer la noticia y querer conocerle un poco mejor, me he topado con este magnífico vídeo, una entrevista de la Escuela de Administración Pública de Castilla y León en la cual Manuel Arenilla hace un análisis de la situación actual de las Administraciones Públicas como pocos que he visto. En 15 minutos disecciona los problemas de las AAPP con una visión y una claridad que me parecen extraordinarias.Además, y eso es lo que más me ha gustado, habla sin pelos en la lengua, algo que no es fácil de encontrar porque con frecuencia cuando se tratan los temas delicados en eventos o publicaciones, algunos de ellos se han tocado en este blog, sobran paños calientes y falta hablar con claridad y llamar las cosas por su nombre.No es el caso de esta entrevista, aquí los puntos delicados se abordan de manera rotunda y sin algodones, con muy buen criterio y demás con una sencillez que hace esta entrevista sea muy asequible y fácil de entender, incluso para una persona de la calle sin conocimiento alguno de la problemática específica de las AAPP.En ese sentido me gustó también mucho la manera de la que recuerda, explica y defiende el sentido y la importancia de la Función Pública y del Estado para sociedad , cosa que parece que tanto se olvida últimamente.Por todo esto me pareció un vídeo absolutamente imprescindible para cualquier trabajador público y, en general, cualquier persona que se interese por lo público, un estupendo «off-topic» para el blog en el cual normalmente sólo trato temas relacionados con las TIC.Los puntos concretos que aborda el vídeo son los siguientes: ¿Lograrán las AAPP quitarse el descrédito sufrido por la crisis?¿Cuales serían las principales quejas de los ciudadanos con respecto a las AAPP?Tras las crisis ¿Las AAPP verán mermadas sus atribuciones o saldrán reforzadas?¿Qué cree que puede aprender la Administración Pública del movimiento 15-M?¿Cree que hay una excesiva unión entre el poder político y las AAPP?¿Cómo era la tradición administrativa española?¿Cómo es la relación de los ciudadanos de otros países con sus Administraciones?¿Habría algún país de nuestro entorno con un modelo de Administración imitable?En fin, lo dicho: me ha encantado. Enhorabuena al entrevistado y a los entrevistadores.Aquí va el vídeo: Hace unos días ha habido una muy buena noticia sobre el DNI electrónico, y por tanto también para la Administración electrónica, que es nada menos que Tuenti haya decidido implantarlo como una de sus opciones de autenticación.Hay que recordar que Tuenti (según sus propios datos) es la segunda red social más importante de España en número de usuarios con nada menos que más de 12 millones de usuarios, muy concentradas en las edades jóvenes.Este primer proyecto, que integra la tecnología desarrollada por la plataforma Tractis, sobre la cual ya publiqué en su momento un artículo en este mismo blog, el uso del DNIe se limita, de momento, al proceso de verificación de identidad de los clientes de prepago en sus servicios de operadora móvil virtual. Sin embargo, el propio anuncio de Tuenti da a entender bastante claramente que el soporte del DNI electrónico será extendido también a su red social.Tractis ofrece a los usuarios sin lector además a la posibilidad de adquirirlo desde Tractis en 24 horas a un precio muy reducido.Sin pretender un análisis profundo de las consecuencias de esta estupenda decisión por parte de Tuenti, a bote pronto, veo cuatro consecuencias importantísimas y extremadamente positivas:El Applet de Tractis soluciona en gran medida los principales barreras de acceso al DNIe : Esto es así porque este Applet que Tractis usa para la verificación de la identidad del usuario con su DNIe no necesita la instalación de drivers y mejora sensiblemente los tiempos de respuesta ya que soporta la integración de los comandos ADPU, en mi opinión, un tema crítico para hacer el DNIe viable a una escala razonablemente grande, del cual también hablamos en su momento. Espero que veamos también pronto algo similar en el cliente de @firma. Se está en ello, así que esperemos también buenas noticias en este frente dentro de no mucho tiempo.La integración de los comandos APDU marca una pauta a seguir: Puesto que la diferencia entre las soluciones como el Applet de Tractis que aprovechan esta solución técnica y las que no es más que evidente, se marca un patrón a seguir, cosa que a pesar de la publicación de los comandos APDU hace ya casi un año y medio no ha ocurrido hasta ahora, una pena con lo importante que es para que el DNI sea usable y no se siga usando tanto el certificado de la FNMT en su lugar. Una alternativa muy razonable (que puede generar un impulso importante a la utilización del DNIe) también lo es la ya anunciada integración de los drivers en los sistemas operativos, pero la vía de los comandos APDU sigue siendo aún así una solución técnica superior y resulta menos complicada de cara a funcionar en múltiples plataformas.El potencial tractor para el resto del sector privado es muy grande: El éxito del DNIe pasa por convertirse en un estándar para el sector privado. El sector público por sí solo, por tamaño, frecuencia de uso y cultura de los usuarios, etc. parece evidente que no tiene la fuerza necesaria para convertirlo en un medio de uso habitual. Tuenti me parece en ese sentido absolutamente ideal por su enorme número de usuarios que crea masa crítica para impulsar de verdad el uso del DNIe y su perfil de personas jóvenes, concentradas en edades entre 15-25 años, nativos digitales que se manejan con soltura en las nuevas tecnologías y posiblemente con una mayor disposición a utilizarlo que la media de usuarios.Impulso al círculo virtuoso creado por el uso de un producto: Esto es sencillamente consecuencia de lo anterior. Como se puede ver en los anteriores enlaces, hay mucho detalle que depurar en el “producto DNI electrónico”, no hay nada mejor que el producto se use para que haya un impulso político y presupuestario que esté a la altura de las circunstancias.Con más de 25 millones de DNIe emitidos en todo el país, España es el país del mundo con la mayor implantación de documento de identidad electrónico, un dato que a los responsables políticos les gusta sacar a relucir en sus notas de prensa, pero omitiendo el pequeño detalle de que aún casi nadie lo usa, como también comentamos en su momento.¿Puede ser esta noticia un punto de inflexión? ¿Tú cómo lo ves?Si te animas, coméntame lo que opinas en la sección de comentarios.No te pierdas tampoco este hilo de discusión del grupo DNIe de LinkedIn que @santicasas ha iniciado sobre el tema (grupo privado, requiere solicitar el alta)Actualización (21/01/2012):El artículo ha llegado a Menéame, adjunto el enlace porque se ha creado un debate muy interesante que permite, como de costumbre en la Web 2.0, tomarle el pulso «a la calle». Recomiendo su lectura encarecidamente a todos los que trabajamos de una u otra manera en temas relacionados con el DNI electrónico, es un estupendo baño de realidad con muchas opiniones de las cuales se puede extraer más de un reflexión interesante. En el artículo de hoy de esta pequeña mini-serie sobre herramientas gratuitas para la firma electrónica basada en certificado de documentos PDF (y también otros formatos) presentaremos las herramientas ESecure de KSI y XolidoSign de Xolido.Al igual que en el artículo anterior, quiero insistir en que no se trata de una comparativa (no se han hecho pruebas exhaustivas con cada una), sino de un vistazo un poco más a fondo a cada herramienta para obtener unas primeras impresiones de lo que ofrecen al usuario.Animo desde aquí a los fabricantes y/o usuarios que lean el artículo a que añadan en los comentarios las observaciones que consideran oportunas para completar o, en su caso, corregir aspectos comentados en el artículo.Bueno, pues vamos allá con la primera herramienta.ESecureEn el caso de ESecure, la versión probada ha sido ESecure 1.8.51.39, esta versión soporta tanto firma electrónica como el cifrado con contraseña o certificado para cualquier formato de fichero y decenas de algoritmos que van desde las opciones muy básicas como RC2 hasta opciones muy avanzadas como AES256.Estándares soportados, versiones y principales funcionalidadesESecure dispone de varios modelos de licenciamiento: una versión gratuita para ciudadanos (licencia USER), una licencia EDU condicionada a la realización de un curso online gratuito y las versiones de pago PRO y PYME que se salen del alcance de esta serie por este motivo.La versión USER soporta los formatos de firma PKCS#7/CMS/CAdES (X-L), la versión EDU soporta además PDF/PAdES (basic y enhanced) y las versiones de pago permiten firmar en formato XMLDsig/XAdES (X-L) junto con funcionalidades adicionales como una funcionalidad de portafirmas electrónico o correo electrónico seguro S/MIME.Limitaciones de las versionesLas versiones gratuitas USER y EDU cuentan con limitaciones, algunas importantes. En el caso de la licencia USER:Soporta la firma de PDF sólo para tamaños 1Mbyte, aunque permite emplear el formato PAdES.No soporta el trabajo con servidores  OCSP para la consulta del estado revocación de los certificados, ni con servidores TSP para el sellado de tiempo.No soporta el trabajo con múltiples documentos (portafirmas)En el caso de la licencia EDU elimina las limitaciones de los ficheros PDF, pero mantiene las demás limitaciones.La interfaz de usuario de ESecure se ha inspirado en el explorador de ficheros de WindowsEl conjunto completo de funcionalidades sólo está disponible en las versiones de pago.PlataformasESecure es compatible solamente con plataformas Windows. El manual menciona que la versión USER puede utilizarse en Linux con WINE, aunque esto supone limitaciones importantes como poder trabajar solamente con ficheros PKCS#12 y las propias de la versión USER.Posibilidades de ConfiguraciónLa aplicación se integra con el almacén de certificados de Windows y permite además importar certificados, soporta tanto ficheros PKCS#12, como librerías PKCS#11 para el uso de tarjetas criptográficas como el DNIe, soporta  y dispone de una larga serie de posibilidades de configuración (con los límites según la licencia en cuestión) que permiten una configuración muy detallada de las funcionalidades antes comentadas y que son tantas que sobrepasan por completo el alcance de este artículo, remito al lector interesado al extenso manual que proporciona KSI para ESecure ( 300 páginas) para más detalles.Interfaz, Usabilidad y DocumentaciónLa interfaz se asemeja al explorador de ficheros Windows de XP (mantiene esta apariencia también en Windows 7). Me gusta la idea por la familiaridad que le supone al usuario, aunque no se trata de una integración dentro del auténtico explorador, quizás algo a tener en cuenta para el futuro. De todas formas, favorece que, de alguna manera, la lógica de las operaciones de firma y cifrado se perciba de forma más natural y práctica en el trabajo con el ordenador.Fortalezas y DebilidadesEntre las principales fortalezas de ESecure se pueden destacar la gran riqueza de su funcionalidad y número de estándares de firma y cifrado soportados que cubre incluso formatos aún no ampliamente soportados como lo es PAdES, una filosofía de interfaz de usuario que le resultará intuitiva a muchos usuarios, aunque necesite quizás una pequeña puesta al día (para asemejarse más a Windows 7) y una enorme capacidad de configuración.Incluso en funcionalidades como la firma visible (un gráfico que se imprime en el documento como indicativo de que contiene una firma digital) de los documentos PDF  permite una configuración muy detallada que en este caso incluye, por ejemplo, un diseñador de los widgets empleados para la firma.La únicas debilidades claras que he podido encontrar es una política comercial bastante restrictiva que llega a limitar a las versiones de pago incluso en cosas básicas como la validación de los certificados vía OCSP y que la falta de soporte a las plataformas Mac OS y Linux.XolidoSignXolidoSign es una herramienta completamente gratuita, sin limitaciones en su funcionalidadcolectivos, ni colectivos de usuarios. Es decir, es 100% legal utilizarla tanto en el sector público como privado. El modelo de negocio de Xolido parece apostar en ese sentido por generar sus ingresos mediante su cartera de servicios en la nube y sus servicios de consultoría y auditoría.Estándares soportadosLa versión probada ha sido la versión 2.1.0.2 que soporta la realización de firmas electrónicas basadas en certificado en los formatos PKCS#7/CMS, CAdES-C y CAdES-XL, PDF signature/PAdES y el sellado de tiempo. En el lado de la validación soporta los siguientes formatos: PKCS#7/CMS, CAdES, XMLDsig, XAdES, PDF signature/PAdES, sellos de tiempo RFC3161 y OASIS XML TST.En cuanto a los certificados que se pueden utilizar se reconocen tanto certificados en formato PKCS#12 como dispositivos PKCS#11.PlataformasXolidoSign soporta solamente la familia Windows, incluyendo las plataformas de 64bits.Funcionalidades y Posibilidades de ConfiguraciónDentro de las funcionalidades soportadas habría que destacar que soporta funcionalidades de portafirmas electrónico al poder firmar lotes de documentos a la vez, elegir entre firmas PDF incrustadas o externas, permite la inclusión de una firma visible bastante configurable, y la inclusión de un registro de firmas (como fichero CSV).La interfaz de usuario de XolidoSign es muy claro y fácil de utilizarAdemás se pueden configurar una larga serie de parámetros relacionados con las carpetas de entrada y salida de los documentos, preselección de certificados, parámetros de uso de los certificados y firma (por ejemplo: aceptar o no el uso de certificados caducados para firmas), etc.Interfaz, Usabilidad y DocumentaciónEl interfaz de usuario de esta herramienta también me ha gustado, es muy diferente a ESecure, pero resulta un planteamiento alternativo muy limpio y sencillo de utilizar.Hay que destacar además que la Web de XolidoSign me ha resultado extraordinariamente clara, bien organizada y con información muy completa. Permite conocer el producto bastante bien en poco tiempo, sin apenas esfuerzo, hay muchos empresas (y Administraciones) que podrían tomar nota.A la aplicación la acompaña un manual de usuario de unas 53 páginas que me ha parecido bien redactado y completo. La diferencia en páginas con ESecure refleja en parte que se trata de una herramienta algo más sencilla, aunque lo que hace, lo hace muy bien.Xolido complementa además este manual con los servicios online como su canal Youtube en el cual se pueden encontrar demos del uso de la herramienta. Otra buena práctica de la que muchas empresas (y Administraciones) deberían tomar nota.Fortalezas y DebilidadesAl igual que en el caso de ESecure, se trata de una magnífica herramienta y más aún si se tiene en cuenta que es completamente gratuita. Quizás su único “punto débil” sea que, en comparación con ESecure, tiene una funcionalidad algo más limitada (por ejemplo, no firma en XAdES ni tiene funcionalidades de cifrado). Sin embargo, la funcionalidad debería ser suficientemente completa para la enorme mayoría de usuarios y a cambio no sufre las limitaciones en puntos básicos que adolecen las versiones gratuitas de ESecure.Por lo demás comparte con ESecure la misma carencia, incluso un poco más acusada, en cuanto a falta de soporte de Mac OS y Linux.Por si fuera poco que una herramienta tan completa sea completamente gratis, en la versión probada (publicada hace apenas unas semanas) incluye como novedad un servicio gratuito de sellado de tiempo basado entidades reconocidas. He podido comprobar que ya vienen preconfiguradas concretamente las autoridades ACCV e IZENPE.Se trata sin duda de una prestación con un gran valor añadido que hace la herramienta, si cabe, aún más completa.Por otra parte, me parece muy positivo que Xolido haya cuidado tanto su excelente Web como su presencia en las redes sociales Facebook y Twitter y disponga de un canal Youtube con vídeos de presentaciones y demos del producto. Creo que en esta parte está muy por delante de su competencia.Aquí dejo un vídeo de demo:ConclusionesAmbas herramientas me parecen buenos productos, aunque con filosofías bastante diferentes, suficientemente completos y potentes para cubrir en la práctica las necesidades de usuario en el trabajo ad hoc en la firma electrónica basada en certificado de documentos PDF y otros formatos. La decisión de elegir una u otra será más cuestión de los requerimientos concretos del cliente que de la superioridad de una frente a otra. En cualquier caso, ambas son muy superiores a las vistas en el primer artículo de esta serie.Me ha llamado la atención la política comercial que KSI sigue con ESecure: habiendo herramientas completamente gratuitas del calibre de XolidoSign, introducir de restricciones tan importantes como limitar el protocolo OCSP a las versiones comerciales me parece una política arriesgada, ya que es muy fácil que un potencial cliente, especialmente si no es muy experto en la materia, se incline ante los primeros inconvenientes directamente por una alternativa como XolidoSign sin llegar a probar ni siquiera Esecure.Tampoco ayuda que los diferentes niveles de limitaciones que tiene cada una de las versiones de ESecure dificultan entender bien las posibilidades del producto. De hecho, ha sido un factor importante que me ha dificultado y retrasado este artículo que, a priori, era bastante sencillo de hacer.Me parece una pena que KSI corra ese riesgo comercial cuando ofrecen un buen producto que cuenta frente a sus alternativas con factores diferenciales como reunir en una sola herramienta todos los formatos de firma importantes, incluyendo XAdES y PAdES.Siendo XolidoSign un producto más limitado funcionalmente, creo que han tenido un gran acierto en ofrecer un producto gratuito que satisface muy bien lo que a día de hoy un usuario puede necesitar hacer con documentos PDF. Xolido acompaña a su producto además de una Web atractiva y fácil de entender y aprovecha también los nuevos canales como las redes sociales y Youtube. Xolido ofrece todo lo importante y ha sabido añadir un envoltorio atractivo, lo cual puede ser una clave importante para que triunfe en la Administración y sector privado.Finalmente, dada la creciente importancia de sistemas operativos que no sean Windows, como los propios de Apple y las variantes de Linux (incluyo Android en el saco) creo que ambos fabricantes deberían atacar este objetivo a corto/medio plazo para que sus productos queden realmente «redondos». Si hay un formato de documento electrónico que se ha consolidado como la opción interoperable y profesional por excelencia para el intercambio de estos documentos, tanto en el sector público como en el privado, lo es sin duda el formato PDF. No importa que un usuario utilice la plataforma Windows, Mac OS o incluso Linux o cualquiera de las plataformas móviles, está perfectamente soportado en prácticamente todas.Inventado por la empresa Adobe, su gran interoperabilidad, su carácter de estándar abierto, su calidad y la disponibilidad de lectores gratuitos en las diversas plataformas, han hecho que Internet haya actuado como un catalizador para su éxito que lo convirtió en un estándar de facto que ha acabado evolucionando hacia un estándar de iure cuya versión más actual es la norma ISO 32000-1:2008.Para la Administración ha resultado ser un formato de documento electrónico particularmente adecuado por su soporte nativo para firmas electrónicas basadas en certificado electrónico, incrustadas dentro del propio documento.La simplicidad de que la firma pueda estar embebida dentro del propio fichero PDF y de nuevo, el hecho de que Adobe proporcione también un lector gratuito, Adobe Reader, que sea capaz de detectarlas y validarlas ha sido un hecho muy favorable a la extensión del uso de documentos PDF firmados electrónicamente. Así cualquier usuario puede descargarse, por ejemplo, los boletines del BOE en formato PDF y validar su firma electrónica (sello electrónico en este caso).Las Licencias de Pago como una Barrera más al uso de la Firma electrónica de Documentos PDFNo obstante, este bonito cuadro siempre ha visto afeado por una gran mancha: Adobe Reader no permite realizar firmas electrónicas (salvo en formularios PDF preparados para ello), sólo permite validarlas. La opción de la casa, la familia Acrobat, es de pago, lo cual, aunque su licencia no es muy cara, en la práctica ha supuesto una barrera de entrada más y por tanto un freno más a la utilización masiva de la firma electrónica en el intercambio de documentos en la Administración y entre Administración y ciudadanos.Cuando aparecen licencias software también se dificulta considerablemente la iniciativa desde las bases, la iniciativa de los propios usuarios. Esto es importante porque en la práctica los (pocos) usuarios/funcionarios con conocimiento, inquietudes e interés en innovar y probar nuevas herramientas son una fuente de innovación e impulso muy valiosa en cualquier organización, ya sea pública o privada.El popular generador de PDFs PDFCreator también incluye funcionalidades de firma electrónicaHace años que existen alternativas como, por ejemplo, PDFCreator, que son gratuitas o “casi” gratuitas. Pero hasta hace poco la oferta era muy pobre: productos poco usables, disponibles solamente en el idioma inglés, etc.Por suerte, la situación ha cambiado y mucho en los últimos tiempos. Ha habido bastante movimiento en cuanto a nuevos y atractivos productos, disponibles en castellano y además gratis. En este artículo voy a hacer una pequeña presentación de algunas de las opciones más interesantes, no pretende ser una comparativa en profundidad, simplemente un artículo práctico y muy sintetizado para dar un pequeño repaso orientativo a la oferta actual de este tipo de herramientas con un pequeño cuadro resumen de sus principales características que se incluirá en la segunda parte del artículo.Si alguien echa en falta alguna herramienta en este listado, le animo a que haga un comentario proponiendo la inclusión de dicha herramienta. Eso sí, la condición es que exista, al menos, una versión gratuita, aunque sea limitada, de la herramienta.Alternativas gratuitas actualesPDFCreatorLa herramienta PDFCreator es todo un “clásico”, una herramienta que se distribuye bajo licencia GNU GPL de software libre ha sido (y sigue siendo) una de las alternativas más populares a Adobe Acrobat para crear documentos PDF. Se instala como driver de impresora de modo que “engaña” al ordenador cuando se imprime a través de esta impresora, por ejemplo, desde Word, Excel o un navegador: el driver en vez de imprimir, canalizará el proceso de impresión para crear el documento PDF.Aunque en la actualidad en MS Office (a partir de la versión 2007) y en OpenOffice/LibreOffice se pueden guardar los documentos directamente en formato PDF, PDFCreator sigue siendo una herramienta de creación de documentos PDF interesante gracias a su madurez y posibilidades de ajustes de los documentos generados.Sin embargo, el soporte a la firma basada en certificado es muy básico, no se pueden validar los documentos firmados, no se integra con el almacén de certificados del sistema operativo, no soporta tarjetas criptográficas como el DNIe y utiliza malas prácticas como leer los certificados del usuario directamente de ficheros de intercambio de información personal  PKCS#12 (extensiones .pfx/.p12) en vez del almacén de certificados.Por todas estas razones se puede decir que no es una opción muy adecuada para la firma electrónica basada en certificado electrónico y como veremos actualmente existe hay una buena oferta de alternativas mucho mejores. Su inclusión en este artículo obedece en realidad a su gran difusión y en resaltar precisamente que para la creación de las firmas se deberían utilizar las alternativas que iremos viendo.ClickSignUno de los puntos fuertes de ClickSign es su integración en el explorador de ficheros del sistema operativoClickSign es una herramienta de la empresa Isigma. Se trata de una herramienta que ya resulta bastante completa y que no adolece ninguno de los puntos criticados anteriormente en PDFCreator.La herramienta cuenta con posibilidades de configuración avanzadas que permiten ajustar cosas como los modo attached/detached de la firma, la inclusión de una firma visible (un gráfico con información de la firma, visible en el documento), integración de diferentes dispositivos PKCS#11 y el CryptoAPI de Windows, sello de tiempo, Multifirma, etc.En cuanto al uso de la misma se ha seguido además una filosofía de usabilidad que me gusta particularmente: para firmar un documento no hace falta arrancar la aplicación, sino que se integra en el explorador de Windows como un menú más (véase la captura).Sin embargo, la herramienta tiene también una gran pega: la versión gratuita se encuentra muy limitada y añade además una marca de agua comercial a los documentos firmados lo cual, en la práctica, la hace inservible para su utilización en el sector público y también en el privado, salvo que se adquiera la licencia de pago.Más en la segunda ParteEsto es todo por hoy, en la segunda parte hablaremos de las herramientas ESecure, XolidoSign, el cliente Standalone de @firma y la herramienta eCoFirma del Ministerio de Industria, Turismo y Comercio. Es obvio que la nube es uno de los temas estrella del momento en las TIC, y con mucho potencial aún por explotar. Un signo de lo viva que está la nube es que no dejan de salir servicios y aplicaciones que aportan cosas que no son simplemente mejoras de lo existente, sino cosas realmente nuevas, con un valor añadido claro.En ocasiones las aportaciones son disruptivas, permiten hacer cosas que antes no se podían hacer o cambian radicalmente la manera de hacerlas, algo que en ocasiones llega a dar lugar a un cambio de paradigma en toda regla.Servicios disruptivos en la NubeEn mi caso, por ejemplo, han sido muy “disruptivas” las aplicaciones basadas en la sincronización de datos, aplicaciones como DropBox y SugarSync, listas de TODOs en la nube o aplicaciones aparentemente triviales como Xmarks para la sincronización de bookmarks las cuales han dado lugar a un cambio radical en mi organización personal y rendimiento que saco a las TIC.Por fin he conseguido una estructura única de la información que así puede ir evolucionando de manera organizada y coherente y por fin ya da igual el ordenador que quiera utilizar en cada momento, lo que me la libertad de hacer de todo esté donde esté. Incluso disponer de la información en la nube ya me ha sacado alguna vez de un apuro.Certificación electrónica al alcance de todo el mundoPues bien, cuando hace unos días he leído este post de David Blanco presentando Tractis Webservices me ha dado la sensación de que éste puede ser otro caso de un nuevo servicio e idea que no mejora simplemente lo existente, sino que inventa de verdad algo nuevo y supone un cambio disruptivo haciendo posibles cosas que hasta la fecha sencillamente no lo eran y que aportan un gran valor a los interesados.Tractis Webservices supone una combinación de un elenco de servicios de certificación electrónica y archivado electrónico, junto con la exposición vía APIs de servicios Web de las primitivas de seguridad de certificación electrónica de la infraestructura de clave pública (PKI) de Tractis. Todo ello basado en un modelo de pago por operación.Estos servicios son cuatro:Tractis Attribute Authority (Tractis AA): Permite extraer los atributos identitarios más importantes sobre la identidad de tus clientes (nombre, sexo, edad, cargo, empresa, etc). Atributos certificados, no alegados.Tractis Semantic Validation Authority (Tractis SVA): Permite comprobar la validez de las firmas electrónicas y sellos de tiempo generados por certificados electrónicos.Tractis Time Stamping Authority (Tractis TSA): Permite generar sellos de tiempo y demostrar, con las máximas garantías, que un contenido existe desde un instante temporal determinado.Tractis Long Term Archive (Tractis LTA): Permite preservar evidencias electrónicas indefinidamente y demostrar matemáticamente la autenticidad e integridad de cualquier tipo de contenido preservado.A primera vista puede parecer que son los servicios típicos de una CA, pero el valor diferencial está en que varios puntos:No actúa simplemente como CA, sino como autoridad de validación (según Tractis la mayor del mundo con más de 71 perfiles de 30 CAs en 13 países). O sea, dicho de un modo simplista, se trata de una especie de servicio de @firma en el sector privado más algunos servicios que @firma hoy por hoy no ofrece.La plataforma permite el acceder directamente vía servicios Web a las primitivas que hacen posibles estos servicios lo que a sus usuarios les permite la construcción de nuevos servicios personalizados para sus clientes.Tiene precios suficientemente asequibles (por ejemplo: un sellado de tiempo = 0,03€) bajo un esquema de pago por uso que los hacen viables incluso para empresas relativamente pequeñas generando con ello un potencial de clientes y aplicaciones muy grande.Los servicios se pueden contratar en modalidad “self-service”, eliminando así las fases previas en la contratación tradicional de este tipo de servicios (solicitud información, reuniones, negociación precios, condiciones de pago, revisión y firma contratos, …) eliminando el gran coste en tiempo y esfuerzo que esto supone a tanto al cliente como al proveedor.Ofrece servicios que van más allá de una CA o VA como lo son los servicios de archivado y preservación de evidencias electrónicas.Por poner un ejemplo concreto: en la validación de los certificados se puede personalizar qué atributos a extraer del certificado según perfiles de certificados, incluso se pueden cambiar estos perfiles sobre la marcha mediante lo que Tractis llama Hot swapping, sin tener que parar o reiniciar sistema. Es decir, el cliente, vía el API de servicios Web de Tractis, puede tener control a bajo nivel de cómo quiere utilizar exactamente la PKI.La diferencia queda quizás también más clara comparándolo con otro servicio de Tractis que es Tractis Identity. Pues bien Tractis Identity sería el equivalente a los servicios habituales de verificación de identidad de una CA y resulta que Tractis Identity “por dentro” está construido sobre las primitivas de verificación de identidad de Tractis Webservices.Esto permite a un cliente de Tractis diseñar sus propios servicios a medida de sus necesidades específicas o diseñar nuevos servicios para ofrecérselos a terceros.Posibles aplicacionesUn ejemplo simplón podría ser la vinculación de una identidad digital verificada en servicios como OpenId o servicios más específicos como la comprobación (mediante atributos del certificado) de la profesión de un sujeto y su pertenencia a una empresa a efectos de la autenticación de los miembros de una red social profesional. También se puede pensar en un uso más generalista como la certificación de un perfil en redes sociales como Twitter o en la blogosfera, o bien aplicaciones como la incorporación de un filtro de edad para restringir el acceso a una aplicación o servicio en la Web a personas mayores de edad.Como ejemplo de nuevos servicios ofrecidos por las empresas se puede pensar, por ejemplo, en servicios al estilo de TwinDocs o Metaposta que podrían sacar mucho partido al servicio de preservación de evidencias de la plataforma a su vez que podría proveer servicios de certificación electrónica de esa información a efectos de su presentación ante terceros (en su caso, incluso de manera automatizada), por ejemplo, para la concesión de un crédito o de un seguro.Y por último, como tema de actualidad, podemos pensar en las múltiples posibilidades aplicaciones para la mejora de nuestro sistema democrático y participación ciudadana en el mismo. Como ejemplo del calado que estas tecnologías pueden tener a estos efectos recomiendo esta lectura.Un concepto muy interesanteEn definitiva, y dejando de lado alguna licencia del marketing, me parece que David no va del todo desencaminado cuando dice que con esta idea “cualquier gran empresa, pyme o desarrollador freelance, dispone de la infraestructura necesaria para crear sus propios servicios de envío y almacenamiento de facturas, voto electrónico, correos electrónicos certificados, notificaciones telemáticas con acuse de recibo, contratación de portabilidades con DNIe, pagos electrónicos, centros de asistencia sanitaria online, plataformas de gestión de derechos de autor, Iniciativas Legislativas Populares, o cualquier otra idea loca e innovadora que se os ocurra.”Para tener la foto completa también hay que tener en cuenta lo que David nos contaba a través de este blog hace ya unos cuantos meses sobre las enormes posibilidades de mejora e impulso que supone el soporte al uso de los comandos APDU del DNIe en los medios de firma electrónica como debería ser el caso en un futuro del Applet de firma electrónica de @firma.Bueno, pues resulta que el Applet de firma que Tractis ya ha integrado estos comandos hace unos cuantos meses, con buenos resultados. Este “detalle” me parece vital porque si además de ofrecer una plataforma con el potencial descrito se dispone de una solución de autenticación y firma electrónica en Web que garantice una buena experiencia de usuario es posible remover las barreras que impiden que el DNIe no haya generado mucho interés hasta al momento en el sector privado y de paso al sector público podría tomar nota de estas iniciativas para impulsar el uso DNIe en la Administración electrónica.Pero por desgracia también hay que poner los pies en la tierra: este tipo de negocio innovador se enfrenta al problema del huevo y la gallina en cuanto a usuarios de certificados electrónicos adecuados frente a la de creación de los nuevos servicios que usen estas posibilidades y el clima económico actual tampoco acompaña para que a corto plazo se produzca un impulso notable de servicios basados en esta tecnología.Sin embargo, eso no quita que esta idea señala en la dirección correcta y que se trata de un concepto con muchas posibilidades muy interesantes y en una amplitud grande de sectores. Me parece en ese sentido que en Tractis han sabido proyectar por dónde tienen que ir los servicios electrónicos en el futuro y que han hecho una gran apuesta con su posicionamiento.

TAGS:las torno la 

<<< Thank you for your visit >>>

Cositas varias en torno a las TIC, la Administración Pública y el marco legal de la Administración Electrónica

Hot Websites