Comentaba hace unos días que conseguí instalar el certificado software de la FNMT (Fábrica Nacional de Moneda y Timbre) pero no pude firmar correos electrónicos con Outlook porque el certificado que me dieron NO tiene mi correo electrónico como parte de los datos incorporados (lee esa entrada porque esta es la continuación).
Antes de darme otro paseo al Ayuntamiento, intento resolver el problema en la página Web de la FNMT, en la opción obtenga su certificado digital. Y entonces se abre una puerta a la esperanza: ¡Hay un botón que pone «Modificar datos»! Allí, a mi alcance, sin moverme de la silla.
Y, efectivamente, aparecen los datos incluidos en mi certificado, y un campo para el correo electrónico en blanco. ¡Pues lo relleno y listo!
No, no es tan fácil. Nunca te fies de la página de la FNMT (me dice mi «experto» y yo lo voy corroborando). Me pide que «firme» el envío de la información. Lo hago y me pide la clave del certificado digital (lo que a veces se llama el PIN). Lo hago. Otra vez. Una tercera. ¡Nada! No pasa nada. Un tanto frustrado y antes de molestar a mi experto particular, me paso a Firefox (estaba en Internet Explorer que, recordemos, tenía instalado mi certificado «sin problemas» aparentemente).
Con Firefox la experiencia es similar, solo que ahora me piede una «contraseña maestra» (o algo así, hablo de memoria) que no tengo ni idea de qué es. Esta vez sí, después de meter 20 contraseñas distintas, llamo a mi experto y me dice dos cosas:
1.- Que esta pantalla no sirve para cambiar los datos que contiene mi certificado digital. ¡No podía ser tan fácil!
2.- Que con Windows Vista y 7 pasan «estas cosas». Que si me voy a un ordenador con XP igual puedo cambiar los datos porque el nivel de seguridad es menor.
Como no va a servir para nada, me ahorro ir a otro ordenador, exportar e importar el certificado y perder el tiempo, y decido pedir otro certificado y volver al Ayuntamiento y decirles, muy claro, que pongan mi dirección de correo electrónico al darlo de alta (o lo que hagan allí).
Así que, ¿cómo íbamos?:
Administración electrónica: Cero
Burocracia de toda la vida: Cuatro
Empiezo de cero: solicitud del certificado en la Web de la FNMT, anoto el número que me da, voy al Ayuntamiento en persona.
A las 9:00 estoy sentado con la misma funcionaria que me «registró» hace unos días. Le cuento mi problema y… no tiene ni idea de lo que le estoy diciendo. ¿El correo electrónico? Ella se limita a identificarme en persona con el DNI y dar por buena mi petición en el ordenador, pero no tiene la posibilidad de introducir datos adicionales. ¡Desastre total!
Ante mi insistencia, la verdad es que estuvo muy colaboradora, llama por teléfono al «experto» en certificados del Ayuntamiento, mientras yo llamo por teléfono a mi «experto particular». Aquí la situación se puso un tanto tensa.
- Opinión de mi «asesor», de una empresa privada especializada en seguridad y firma digital y que lleva años trabajando con certificados: hace unos años, solía ocurrir ésto pero los funcionarios han «aprendido» a introducir estos datos adicionales en el momento de la acreditación física. Me sugiere que me vaya a una Administración de Hacienda donde tendrán un acceso a la FNMT con más opciones y sepan manejarlo mejor.
- Opinión del «super-experto» del Ayuntamiento: introducir la dirección de correo electrónico en el certificado sirve únicamente para que la FNMT te comunique por ese medio que te va a caducar el certificado 2 meses antes de que ocurra. Para nada más.
En este momento la situación estaba un poco tensa porque discutir con funcionarios cabezones y mal informados no es algo que se me da muy bien, pero pasó algo sorprendente. La funcionaria me pasó el teléfono, le expliqué al «super-experto» mi odisea, mi blog, la opinión de mi «asesor», y ocurrió algo inesperado. Me dijo: «Pásese por aquí y lo probamos en persona para intentar resolver el problema. Si falla algo, podré comentárselo a los técnicos». Cualquier día, en tal despacho, estoy hasta las 2. Creo que estarás de acuerdo conmigo que marcaron un tanto. Así que:
Administración electrónica: Cero
Burocracia de toda la vida: Cinco
El problema es que su despacho está en otro edificio que, este sí, queda bastante lejos y no estoy para perder mucho tiempo. Así que decidí aplazar la solución.
Pero, ya que estaba allí y había pedido otro certificado, y como quería ver con mis propios ojos el proceso, le digo a Carmen (a estas alturas ya nos tuteábamos) que me «registre» con el código del nuevo certificado. Se resiste un poco, pero le da al botón y aparece una pantalla con los «campos» vacíos de mi certificado digital.
¿No habíamos quedado en que ella se limitaba a «registrar», a acreditar mi presencia «física»? No, no es así. Rellena los datos allí mismo, en directo. La primera vez lo hizo con la pantalla girada hacia ella, pero a estas alturas compartíamos la pantalla entre los dos y podía ver el proceso. ¡Lástima que entre los datos a introducir no estaba el correo electrónico!
Pero, ¡hay una barra de desplazamiento vertical! La mueve con el ratón y aparecen nuevos campos. Y sí, sí. Allí estaba el correo electrónico.
No sé cuanto tiempo lleva Carmen haciendo ésto. No tengo ni idea de cuantos certificados ha «registrado» hasta ahora. Pero lo que sí sé es que NUNCA había desplazado esa barra hacia abajo e introducido un e-mail.
¿Tiene sentido que yo, que estoy empezando en ésto (aunque tengo ayuda) le enseñe a los funcionarios del Ayuntamiento a hacer su trabajo?
¿Tiene sentido que se expidan cada día certificados incompletos porque los datos ocupan más de una pantalla?
Ahora sí que le he ganado por goleada a la «Burocracia de toda la vida». Anulo el partido y me declaro vencedor (yo, no la Administración electrónica). Y no he ganado por experto, no por mis conocimientos, sino por mi insistencia.
Así que me volví a la oficina, descargué el certificado en Firefox, lo exporté, lo importé desde Internet Explorer, lo configuré en el Outlook y ¡POR FIN! envié 3 ó 4 correos electrónicos firmados sin ningún contratiempo más.
¡Y llamé por teléfono a Carmen para que le dijera a su «experto» que sí que sirve para algo meter ese correo electrónico!
(NOTA: este último proceso lo comentaré con detalle más adelante con una guía porque creo que es una información que merece la pena tener muy clara)
Gestión Documental Para Gente (Casi) Normal 
Ya estoy aquí otra vez para comentarte un par de cosas. Respecto a enviar un correo firmado con un correo diferente al que figura en el certificado digital yo lo puedo hacer sin problemas desde Thunderbird, desconozco por que Outlook no te deja hacerlo pero puede que sea algo de la configuración del propio gestor de correo no del certificado. Otra cosa: lo que no he conseguido hacer es enviar un correo firmado usando Thunderbird con una cuenta de correo que tengo en un dominio propio, siempre me da error y no se que es lo que pasa
Saludos 😉
Hola de nuevo.
Al igual que en la vez anterior, me declaro ignorante en el uso de Thunderbird. Aunque alterno Internet Explorer y Firefox, solo uso Outlook, para no volverme loco, ya que lo uso como mero usuario.
Si no tienes inconveniente, reenviaré tu comentario a mi «experto» particular por si él conoce mejor Thunderbird.
Volviendo sobre el envío de e-mails, creo que comenté que se pueden enviar con un certirficado «incompleto», pero es mucho más complicado y el resultado no es muy bueno (sale una pantalla en negro, un aviso…).
En lo que estarás de acuerdo conmigo es que es lamentable que los funcionarios que expiden los certificados no sepan que hay un campo para el correo electrónico (hasta que yo insistí) y que compliquen la vida a los usuarios sin necesidad.
Gracias por tus comentarios, aunque ten en cuenta que me dirijo a «gente (casi) normal», no ha expertos 🙂
Si, ya recuerdo que la otra vez me dijiste que no usabas el Thunderbird ( aunque yo te lo recomiendo ) solo lo comentaba por que a mi me ha pasado eso.
Sobre que se lo vas a comentar a tu ¨experto¨ no puedo mas que agradecerte que te molestes sobre este tema, gracias de verdad 😉 La verdad es que no entiendo por que con un dominio propio tengo tantos problemas 😦
Lo de la administración en este país …. bueno ….. mejor me callo que la podemos liar bien gorda.
Te comento la respuesta de mi «experto», que por cierto tiene un blog sobre seguridad muy interesante.
Me dice que «es factible forzar a un cliente de correo para que firme correos con un certificado
en cuyo interior figura otra direccion de correo, pero NO ES CORRECTO. El efecto es indeseable ya que aporta muchas inseguridades al que lo recibe.»
Ya me había comentado que al abrir esos correos la información que muestra al destinatario le puede confundir, cuando lo que buscamos al firmar es todo lo contrario.
De todas formas, con buen criterio me comenta que sería mejor acudir a un foro de Thunderbird porque ni él ni yo podemos hablar con seguridad de un software que no es nuestro y no conocemos en profundidad.
Su último consejo: «Lo mejor: !!que firme un documento y lo adjunte a su correo !! ;-D»
Obviamente firmar un correo con un certificado que contiene un correo que no se corresponde al original, el que uno ha usado para el envío, puede acarrear mucha confusión y por ello yo no lo suelo hacer, pero como ya te he comentado si que es técnicamente posible enviar un correo con un correo que no se corresponde al del envío usando Thunderbird. Por otra parte yo lo que hago es usar la opción que tu mismo comentas: enviar un archivo adjunto firmado digitalmente.
Una cosa mas, sin ánimo de abusar de tu amabilidad, ¿ me puedas pasar la dirección del blog de tu amigo ? Si trata sobre seguridad seguro que es muy interesante 😉
Saludos.
Hola de nuevo Hispania:
El blog de mi «asesor personal» es http://www.analitics21.com
Lo he añadido a la página principal, en la lista de blogs recomendados.
Un saludo.
Pues está muy interesante el blog, lo añado a mis feeds para no perderme ni uno solo de los posts.
Gracias por todo, dejo de darte la brasa 😉
Un problema adicional que te puedes encontrar cuando envías correos firmados es que si participas en una lista de distribución, los destinatarios pueden ser informados de que el mensaje no es legítimo.
¿Por qué?
Tú envías el correo a la lista y la lista lo reenvía desde la dirección genérica de la lista a todos los suscriptores. Cuando el programa de correo recibe el mensaje comprueba que la dirección desde la que llega el mensaje (la de la lista) no coincide con la dirección del certificado con el que se firmó el mensaje (la tuya).
Perdona, Fernando, pero en el primer post sobre este tema decías lo siguiente:
«Así que, primera lección: para firmar digitalmente un documento lo primero es tener un certificado digital. Un certificado es un documento electrónico, un fichero a fin de cuentas, que puedes tener grabado en tu ordenador (certificado en software), en una tarjeta (como el DNI electrónico) o un dispositivo similar a un pen-drive (que se suele llamar “token”).»
Hasta el momento has obtenido las primeras 2 modalidades de firma. ¿Has continuado con el tercer sistema? A priori me parece el más útil, porque no dependes de un ordenador concreto, ni de disponer de un hardware ‘poco común’ como los lectores de DNIe. El token parece el más universal. Me gustaría saber cómo se puede conseguir.
Además, además de firmar los documentos, hablabas de encriptarlos… ¿cómo se hace eso?
Gracias.
Hola Xabier:
El 27 de febrero conseguí mi tercer certificado digital y, en este caso y como estaba previsto, en formato «token». Puedes leer los detalles en el post «Firma digital (7): Camerfirma».
Efectivamente es un formato muy cómodo, solo hay que pincharlo en un conector USB. La pega es que cuesta bastante más, 35€. Poco dinero si lo vas a usar con frecuencia, pero más que la versión gratuita, sin duda.
En el post puedes leer los detalles. Utilicé los servicios de Camerfirma, que funciona bastante bien.
En cuanto a la encriptación, es una opción que puedes elegir en el momento de la firma. Los detalles dependen del programa que utilices para firmar, de si estás firmando un correo electrónico, un documento con una aplicación de terceros…
Probablemente algunas, las más sencillas, no lo permitan pero creo que la mayoría lo hacen y es tan sencillo como elegir el icono o la opción adecuada.
Hola Xabier:
Sin ser técnico, creo que cualquier llave USB te puede servir para llevar el certificado. Eso si, tiene que estar con el nivel de seguridad adecuado para que te pida una contraseña al intentar usarlo.
Luego hay dispositivos específicos que incorporan sistemas de seguridad adicionales, como contraseñas biométricas (huella digital) o claves de más seguridad.
Para encriptar, en Thunderbird, que es lo que yo uso, puedes seleccionar que encripte por defecto, pero no es muy recomendable porque sólo podrá encriptar los mensajes a destinatarios de quienes hayas recolectado su clave pública. La otra opción es, estando en el mensaje que quieres encriptar, pulsas Opciones / Cifrar este mensaje. En la parte inferior derecha de la ventana en la que estás escribiendo el mensaje te saldrá un candadito al lado del sobre que indica que el mensaje va firmado. Es decir, irá firmado y cifrado.
Fernando,
Gracias por tu respuesta… perdona mi ignorancia, pero creía que se lo había preguntado a Fernando Moreno-Torres…
Muchas gracias de todas maneras.
Hola Fernando:
Te has adelantado 🙂 a mi respuesta a Xabier. Por mi parte, me parece estupendo que haya comentarios cruzados, aunque si siguen así habrá que pensar en un foro.
En realidad creo que no llevas razón. El «token» es simplemente un dispositivo que te permite «pinchar» en un puerto USB el microchip de la tarjeta. Es decir, es un procesador, tan potente como el del DNIe, que equivale a un Intel 486. Puedes ver una foto en mi entrada del 27 de febrero.
Las «llaves» USB son «tontas». Son solo un dispositivo de almacenamiento. No tienen capacidad de procesamiento.
En una «llave» o memoria USB puedes descargarte una copia del certificado para instalarlo en otro ordenador, pero no es comparable con la potencia de un DNIe o similar, sea en formato «tarjeta» o en formato «token».
En la parte de encriptado coincido contigo en que es muy sencillo, dentro del proceso general de firma.
Gracias por tu comentario y por ser más ágil que yo en responder.
Un saludo.
Hola tocayo:
Tienes razón, me he hecho un lío entre llevar el certificado y utilizarlo conectando directamente el dispositivo USB al ordenador.
Hola, buenos días.
Retomo el hilo de esta entrada porque me he encontrado en el mismo caso que tú. Queriendo firmar electrónicamente un email.
¿Sabes si hay alguna manera de averiguar si tu certificado de la FNMT tiene el mail reconocido o no, sin tener que solicitar uno nuevo?
He encontrado un link de la Universidad de la Coruña donde te explica cómo firmar un email sin que el gestor de correo te solicite un certificado con una dirección de correo asociada. Así puedes hacerlo con el dnie o con un FNMT «a prueba de funcionarios».
Aquí os dejo el enlace:
(http://www.udc.es/aspau/sinaturaelectronica/sinaturaecifradodeemail/sinaturaelectronicaoutlook.html)
Gracias por la información del blog. Es realmente bastante útil.
Sandra
Puedes ver si tu certificado tiene asociado una dirección de correo en el navegador.
En Internet Explorer, en «Opciones de Internet», pestaña «Contenido», botón «Certificados» y botón «Ver». Revisando los detalles del certificado hay una linea en la que aparece la dirección de correo, si está asociada.
Ya lo mirado, gracias.
En la pestaña «General» dentro del certificado viene la información de que es válido para proteger correos electrónicos, pero no me viene ninguna línea mencionando alguna dirección de correo asociada.
Por lo que deduzco, me tienen que asociar el correo desde una oficina pùblica. Pueden hacerlo con un certificado ya expedido, o tengo que solicitar uno nuevo a la FNMT para asociarle un e-mail?
Gracias
Yo tuve que pedir uno nuevo. No sé si es imprescindible o la funcionaria no sabía cambiarlo, aunque creo que hay que pedirlo nuevo.
Preguntaré a los de CERES. Gracias
Por cierto, el enlace que colgué de la Universidad de Coruña, la solución que dan a mi no me ha funcionado.
No sé si habeis llegado a probarla