• 911277300

    Ciberseguridad.com Expertos en Prevención de Riesgos y Seguridad Informática

  • Auditoria de digitalización certificada AEAT y Man in the Middle

  • En este post queremos comentar algunas de las cuestiones que nos hemos encontrado en recientes Auditoria de digitalización certificada AEAT que estamos llevando a cabo. En concreto nos centraremos en la importancia de auditar adecuadamente la “cadena de custodia” de la imagen digitalizada y metadatos en los diferentes procesos que el software pendiente de homologar y que auditamos contiene.

    Auditoria de digitalización certificada AEAT

    En primer lugar explicaremos que la auditoria de digitalización certificada es de obligado cumplimiento para aquellas empresas que desarrollan un software que escanea, digitaliza y asigna metadatos a documentos como facturas, tiquetes, etc. si quieren están homologadas por la AEAT y estar en la lista que les certifica.

    Las ventajas de estar certificados para la empresa que desarrolla la app, web, etc. son evidentemente comerciales, en el sentido de poder ofrecer su software con una característica formal que le permite al cliente eliminar el papel, frente a otros que no están homologados.

    Nuestra auditoria y la problemática de Man in the Middle

    Desde www.ciberseguridad.com trabajamos de la siguiente forma para certificar el software de nuestros clientes:

    1. Si el software esta ya desarrollado:
      1. Analizar y comprender todos los procesos y características técnicas del software que estamos auditando que implican captura, procesado, transmisión o almacenamiento de imágenes.
      2. Evaluación y detección de vulnerabilidades.
      3. Test de intrusión y hacking ético.
      4. Revisión de los 114 puntos de control de la ISO27001 respecto de seguridad informática.
      5. Inventario de NO CONFORMIDADES y comunicación al cliente para su subsanación.
      6. Repetición de la auditoria hasta que el software está libre de NO CONFORMIDADES.
      7. Desarrollo de documento de auditoria y firma por perito informático colaborador con la justicia.
    2. Si el software no está desarrollado nos involucramos, si el cliente así lo desea, desde el principio, asesorando en cómo construir el software y sus procesos de forma segura y profesional, que garantice la cadena de custodia y la trazabilidad de acciones. De esta manera la auditoria final será positiva con mayor probabilidad.

    man-in-the-middle

    Explicado la problemática entendamos que siempre nos encontramos con software de digitalización, desarrollado (o no), que debe asegurar la cadena de custodia. En este sentido la problemática de man-in-the-middle (MITM) es fundamental.

    MITM es un tipo de ataque informático donde un sistema se interpone entre dos sistemas, haciendo creer a ambos que se comunican directamente entre sí a través de una conexión privada, cuando en realidad toda la conversación es controlada por el atacante (el sistema que se ha interpuesto entre ambos). El atacante debe ser capaz de interceptar todos los mensajes que van entre las dos víctimas e inyectar nuevos, lo cual es sencillo en muchas circunstancias.  Este tipo de ataque tiene éxito solo cuando el sistema intermedio puede hacerse pasar por cada punto final a satisfacción de la otra.

    Como hemos comentado anteriormente, en nuestras auditorias de digitalización certificada uno de los puntos clave es asegurar la no alterabilidad de la imagen y metadatos. Para ello la transmisión entre sistemas debe estar protegida ante MITM. Para ello existen diferentes buenas prácticas de las cuales, por ser la más estándar, recomendamos el uso de certificados SSL de nivel alto que utilizan sistemas de cifrado de clave pública y privada, aumentando el nivel de protección en las comunicaciones de los sistemas que forman el software de digitalización.

    Luis Vilanova Blanco. CEO en www.ciberseguridad.com

    Luis.vilanova@ciberseguridad.com

    911277300