La Fábrica Nacional de Moneda y Timbre vuelve a emitir su encuesta

Hola,

El año pasado, concretamente el 2 de diciembre de 2007, escribí sobre una decisión de la Fábrica Nacional de Moneda y Timbre que no me gustó.

Este año la FNMT vuelve a emitir su encuesta, y vuelve a emplear el correo como vía de comunicación con el usuario. Este es el mensaje que recibí el año pasado:

fnmt

No me he molestado en generar una captura del correo de este año, porque básicamente es el mismo, pero en este caso el ID de la encuesta es 6, y no 5 como el año pasado. Como resulta fácil imaginar, cambiando el parámetro obtenemos distintas encuestas, las cuales siguen estando vivas:

  • https://apus.cert.fnmt.es/EncuestasCalidadUsuarios/mostrarEncuesta.do?ID_ENCUESTA=3 (2005)
  • https://apus.cert.fnmt.es/EncuestasCalidadUsuarios/mostrarEncuesta.do?ID_ENCUESTA=4 (2006)
  • https://apus.cert.fnmt.es/EncuestasCalidadUsuarios/mostrarEncuesta.do?ID_ENCUESTA=5 (2007)
  • https://apus.cert.fnmt.es/EncuestasCalidadUsuarios/mostrarEncuesta.do?ID_ENCUESTA=6 (2008)

En los ID anteriores tenemos otras encuestas vivas:

  • https://apus.cert.fnmt.es/EncuestasCalidadUsuarios/mostrarEncuesta.do?ID_ENCUESTA=1 (Evaluación del servicio de atención a usuarios)
  • https://apus.cert.fnmt.es/EncuestasCalidadUsuarios/mostrarEncuesta.do?ID_ENCUESTA=2 (Expo-Tecno 2005)

Los ID inexistentes arrojan un error 500 que proporciona información de la infraestructura técnica del servicio (plantilla que debería ser personalizada para evitar ese comportamiento)

El año pasado comenté que no me parece adecuado que un organismo oficial, sea cual sea, requiera vía correo electrónico que un usuario ejecute una acción determinada. Ni siquiera si es opcional, como es el caso. Y especialmente si se solicitan datos personales como el NIF.

Ha costado muchos años, mucho tiempo y mucho dinero explicar y concienciar a los usuarios que hagan caso omiso de las comunicaciones por correo que puedan resultar sospechosas y que inviten a ejecutar acciones visitando enlaces. Y un correo de la Fábrica Nacional de Moneda y Timbre no es que sea algo sospechoso, pero es inusual y por tanto, poco familiar para la amplia mayoría de los ciudadanos. ¿Por qué seguir insistiendo entonces en mandar la encuesta por correo? ¿No hay canales mejores para recabar la opinión de los usuarios?

Eso por no entrar en las preguntas en sí, aptas en su mayoría para personas con cierto expertise en la materia. Preguntas como ¿Dispone usted de una tarjeta inteligente (criptográfica) como soporte seguro para el almacenamiento de sus certificados? o Puesto que un certificado sirve principalmente para realizar tres operaciones (cifrados de datos, autenticación y firma electrónica), ¿qué opción considera la más adecuada para sus necesidades? están orientadas a personas que comprendan bien qué es un certificado digital, y para qué sirve, y seamos francos: un enorme número de usuarios que tiene un certificado lo tiene para presentar la Renta , para ver su saldo de puntos del carné de conducir o para pedir su vida laboral a la Tesorería. Estoy bastante convencido de que no abundan los usuarios de certificados digitales que saben qué es una tarjeta criptográfica, o qué diferencia hay entre cifrado, autenticación y firma electrónica.

Al igual que hice el año pasado, una de cal y una de arena para la FNMT. Excelente labor la que realizan en todos los campos de actividad, y especialmente como autoridad de certificación, pero mejorable en estos aspectos que hemos comentado.

Por cierto, los resultados de la encuesta del año anterior están publicados y se pueden consultar. Como resultaba obvio, el 90% de los ciudadanos encuestados que respondieron no tiene una tarjeta criptográfica para guardar el certificado. No somos tan modernos.

Un saludo,

2 comentarios sobre “La Fábrica Nacional de Moneda y Timbre vuelve a emitir su encuesta

  1. Bueno, la política de la FNMT respecto a su PKI parece tener más que ver con la pasta que con la seguridad. ¿Sabías que el acceso vía OCSP para poder consultar el estado de revocación de un certificado es de pago? ¿Te imaginas lo que eso supone si este certificado acaba siendo por las empresas para la famosa Factura-e?
    Te manda tu proveedor una factura en este nuevo formato y si quieres ver si es correcta te toca pagar. ¿Pero qué motos venden entonces con la e-factura?
    Más info en los comentarios de http://inza.wordpress.com/2008/11/04/auditoria-de-digitalizacion-certificada-2/

  2. Pues siguen con lo mismo, casi 2 años despues … acabo de recibir eso correo, y buscando por internet, encontre tu blog … gracias por la explicación, considero, al igual que tu, que flaco favor a la divulgación de la seguridad informática hacen estos señores, los cuales deberían de ser los abanderados en estos menesteres … sin comentarios !

Comentarios cerrados.