¿Para qué necesita el BOE un código de verificación electrónica?
No veáis en esta pregunta ninguna crítica. Simplemente, lo pregunto porque no lo sé y me encantaría saberlo.
Me explico. Los documentos originales electrónicos cuando se imprimen necesitan alguna «marca» que permita la verificación de su autenticidad.
Así lo prevé la Ley 11/2007, en su artículo 30.5:
«Las copias realizadas en soporte papel de documentos públicos administrativos emitidos por medios electrónicos y firmados electrónicamente tendrán la consideración de copias auténticas siempre que incluyan la impresión de un código generado electrónicamente u otros sistemas de verificación que permitan contrastar su autenticidad mediante el acceso a los archivos electrónicos de la Administración Pública, órgano o entidad emisora».
Por ejemplo, la Agencia Tributaria, referente en Administración electrónica, ha incluido un código seguro de verificación en algunos de sus documentos. Este código permite acceder al documento electrónico original en la web de la Agencia para poder comprobar la autenticidad de la copia en papel.
Sin embargo, en el caso del BOE, siempre podremos comprobar la autenticidad de cualquier disposición publicada en el Boletín por el mero acto de acceder a su versión electrónica, sin necesitar ningún código para ello.
Por eso pregunto: ¿Para qué necesita el BOE un código de verificación electrónica? Si alguien lo sabe, le agradecería que nos lo explicara.
Deja una respuesta
Licencia abierta
Administraciones en red by @alorza & @balapiaka is licensed under a Creative Commons Reconocimiento-CompartirIgual 3.0 Unported License
Últimos comentarios
Alorza.net Work in Progress, S.L.
Administraciones en red 
No sé si se han cerrado los comentarios. Quisiera aportar mi granito de arena:
El Código de Verificación Segura en el BOE no sirve para nada en una copia de papel impresa, que por otro lado sería fácilmente falsificable, pues para contrastar con el original bastaría saber la fecha y número de resolución.
Su verdadera función está en el formato electrónico. Si con un programa de edición de archivos pdf modificas aunque sea una sola letra, ese Código simplemente se esfuma, desaparece. Es como una firma digital: garantiza su integridad y también su identidad.
Cuánta neurona pensando….
Es curioso que cuando el BOE era en papel nadie se planteaba la veracidad del mismo, con lo facilísimo que es falsificar ese papel, porque anda que no era malo.
Y ahora que es un fichero firmado electrónicamente, todo el mundo se raja las vestiduras buscándole fisuras a un sistema que es mucho más seguro.
A mi corto entender, el CSV por sí solo no identifica ni garantiza nada. Lo único que te facilita es un método para acceder al documento original con el que cotejar la veracidad del que tienes en tus manos. Si el documento es privado (pongamos un certificado de empadronamiento) el CSV ha de ser suficientemente «aleatorio» para que no se puedan consultar documentos de ese tipo simplemente probando. Si el documento es público, como es el caso del BOE, lo único que da ese CSV -CVE le llaman aquí- es un método más directo de encontrar el original que el buscar por fecha, pero, insisto, no da garantía de nada por sí mismo. Es más, en el caso de documentos públicos como éste el CVE está de más. Es simplemente un «para que parezca»…
Un debate muy interesante pero veo que hace tiempo no hay entradas.
Con respecto a los CSV, mi duda, o temor, es si esos codigos seguros de verificación son facilmente adivinables, me explico:
Si yo conozco un CSV (longitud, si hay nºs y letras, etc) de un documento electrónico, quizas puede ocurrir que variando simplemente un número o una letra, pueda acceder a otro documento electrónico que yo no deberia poder ver porque contiene datos personales de otra persona.
Pueden ser unas páginas del BOE una serie documental?
Entre todos estamos aclarando unas cuantas cosas. Es verdad, como dice Adolfo, que el debate generado está siendo interesante.
El viernes me explicaron cómo ha resuelto el Boletín Oficial del País Vasco (BOPV) este tema del código de verificación. Lo explicaré próximamente en un post. Creo que ayudará a completar un poco más la comprensión de este curioso asunto de la autenticidad de los boletines oficiales.
Espero seguir planteando temas relacionados con la seguridad de los documentos electrónicos. Creo que es una de las cuestiones importantes a garantizar para el desarrollo de una Administración electrónica de confianza. Y creo que todavía tenemos muchas dudas sobre estas cuestiones. Por lo menos yo ;-).
Veo que el tema del cve del BOE está generando un interesante debate.
En primer lugar habría que centrar el ámbito del debate: el cve SOLO tiene aplicación al ámbito de las COPIAS en papel de documentos electrónicos con firma electrónica.
Y creo que deberíamos hacer algunas reflexiones sobre este código impreso al que, en general, en las intervenciones anteriores se le otorgan unas funciones (autenticidad) que nunca podrá cumplir en un papel.
En primer lugar una copia impresa en papel, ya tenga cve, o cualquier otro código impreso siempre podrá ser FALSA.
La única forma de asegurar la autenticidad de una copia de un documento es la firma electrónica. Salvo que consiguiéramos «imprimir y validar de alguna forma una firma electrónica impresa» y que se pudiera verificar en el propio papel sin un ordenador,nunca se puede afirmar que un documento impreso es auténtico.
Si reflexionamos en detalle en estos aspectos veremos el acierto del legislador cuando redactó el articulo 30.5 de la ley 11/2007.
El legislador da a una «copia en papel» la consideración de auténtica únicamente cuando es «fácil» acceder al documento original, en su sede oficial, y debidamente firmada electrónicamente.
Es decir se reconoce implícitamente que el papel siempre puede ser falso y que lo único que le da validez es el acceso al original firmado electrónicamente.
(en la practica es como decir: si alguien te presenta una copia en papel con su cve, lo que hay que hacer es ir a la sede oficial, con el cve acceder al documento original, verificar su firma, imprimirlo, y «tirar a la basura el documento en papel que te han presentado porque podría ser falso», o cotejarlo en detalle con el que te han presentado)
De esta forma el código de verificación no tiene ninguna función de asegurar el contenido, sino sólo como medio de acceder inequívocamente al documento original en su sede oficial.
(Si alguien sabe de alguna forma no rocambolesca de asegurar que una copia impresa es auténtica, sin consultar ninguna otra fuente, agradecería que explicara como se hace)
Existe una gran confusión en este aspecto, pues si bien en algunos casos en el uso de este cve se usan funciones hash, u otras que en principio dependen del contenido del documento, raramente son utilizables en una verificación por el usuario final, que tiene el documento en papel. Este tipo de códigos pueden dar soporte a verificaciones mas o menos complejas, pero siempre mediante y para aplicaciones informáticas.
En el caso del BOE si se observa el cve, se ve que es un código claramente previsible, es decir, su serie, el año y el marginal de la disposición. No aporta ninguna seguridad, no depende para nada del contenido del documento. Pero es lo más adecuado para cumplir la función que requiere el articulo 30.5, identifica de forma clara simple e inequivoca el documento, no la pagina, dado que la unidad de informacion incluye todas las paginas de la disposicion y es lo que está firmado. Y en la sede electronica existe un punto especifico donde mediante ese codigo se accede a la disposicion firmada.
En otras ocasiones, los códigos de verificación no son tan predecibles, (siendo esto necesario cuando no se trata de documentos que no tienen el carácter de acceso publico que pueden tener los boletines oficiales, y se permite el acceso en una pagina web no restringida). En estos casos el código es suficientemente complejo e impredecible como para que sea difícil de acceder a un documento si no se dispone del papel en el que se encuentra escrito ese código.
Y en algún caso se puede basar en el contenido del propio documento, pero eso seria redundante con la función de la firma electrónica, y a la postre para verificarlo habría que disponer de aplicaciones especificas… (es lo que se hace con la firma electrónica)
En resumen creo que erróneamente se le quieren asignar a estos códigos impresos en el papel funciones que solo puede garantizar la firma electrónica.
Por otra parte en el tema que comenta Marco, acerca de que el pdf es «editable» la cuestión es:
¿Alguien se fía de que no se pueden romper los sistemas con que adobe protege los documentos pdf?
¿Alguien cree que no es un juego de niños hacer un documento cualquiera que parezca que es un documento del BOE?
Si hubiera alguien que quisiera hacer un fraude con una hoja de BOE en papel falsificada seria fácil incluso si los documentos tuvieran las protecciones de adobe, salvo si se verificara en la sede oficial.
En realidad el proteger contra modificaciones los PDFs sencillamente daría la errónea sensación de que un pdf protegido es algo robusto.
Es mejor educar en la certeza de que lo único que certifica un documento es la firma electrónica.
Lo que si es cierto es que probablemente hasta que ha aparecido un BOE firmado nadie se habia planteado lo facil que es hacer un papel que «parezca» un BOE, pero eso pasa con cualquier publicación.
Hola a todos, a ver voy a dar mis puntos de vista al respecto criterios.
Las leyes se generan para cumplir algunos puntos en los cuales ahí estoy de acuerdo con Adolfo, otra cosa hay veces que solo visualizamos las herramientas a vista de usuario y recordemos que estos documentos también se desarrollan para interactuar con otras maquinas, recordándoles que el CVE es un simple hash, siendo muy útil para algunas aplicaciones para las verificación y autenticación del documento que reciben o que se generan.
Por consiguiente cabe recordar que este tipo de sistemas no llega hasta el momento a todos los entes del gobierno (Ayuntamientos Pequeños) por lo cual siempre sale algún sinvergüenza por ahí que puede hacer acciones fraudulentas modificando el documento para sus propios intereses, aquí es donde entra CVE como validador del documento, por el cual me llega a la conclusión que es una medida de seguridad poco útil pero necesario en algunos casos puntuales.
Me he tomado la delicadeza de abrir el PDF del BOE de hoy y con un programa de diseño de PDF y se abre como un arcoíris al completo, y aquí si veo yo un gran error de seguridad porque tiene permisos de edición en sus propiedades del documento, claramente puedo poner pepito en vez del título del BOE, o cambiar fechas o cifras de que se encuentren dentro del texto.
También veo muy poco común que alguien quiera modificar el BOE para hacer alguna patraña, pero si visualizo los problemas que tendrán esos pequeñas entidades locales que durante aproximadamente 1 año seguirán recibiendo el BOE por papel impreso a través de alguna diputación o de algún individuo del gobierno ya que carecen de los medios adecuados para visualizarlo vía on-line, para mi ahí es donde está el Meollo del problema.
En fin, no miro el CVE como un gran activo de seguridad pero si me encontré con el fatal error de que el BOE en si es editable.
Es mi opinión
Saludes
La publicación del BOE no es competencia del gobierno sino de los funcionarios encargados de ello. No veo como el gobierno puede obligar a esos funcionarios a hacer algo que es claramente ilegal.
Me imagino que se han tomado las medidas de seguridad convenientes para evitar las manipulaciones de este tipo, que por otro lado serían muy fáciles de detectar.
La respuesta a la pregunta es: ¿Y si alguien (y con alguien quiero decir el gobierno) cambia el BOE en Internet?
Veo que las sabias explicaciones de Julián Inza nos han dejado a todos callados ;-).
A lo mejor soy el más torpe a ambas orillas del Ebro, pero me siguen quedando dudas.
La primera es que no creo que el BOE necesite ningún código para indicar su sede electrónica, ni tampoco creo que ninguna disposición publicada en el BOE necesite un localizador. Encontrar el BOE en Internet y cualquier disposición en el BOE se viene haciendo sin ningún problema desde hace unos cuantos años. Y no creo que nadie haya dudado de la autenticidad, ni del sitio web, ni del contenido de la disposición.
Otra cuestión es la de la «completitud documental», concepto que reconozco desconocía. Me parece un «servicio» estupendo. La duda que me surge es si el BOE lo está ofreciendo ya mediante el código de verificación electrónica.
Me temo que este «servicio» supone un plus con respecto a la mera verificación del código, porque implica una labor de relacionar cada norma con todas las posteriores que la modifiquen en alguna de sus partes. Por cierto, esto es algo que ya hacen algunos, como Aranzadi (cobrando) o Noticias Jurídicas (gratis). Y sin necesidad del código de verificación (que yo sepa).
Te agradezco las explicaciones, Julián, y quedo a la expectativa de que nos expliques lo de la transmisibilidad y lo de la fungibilidad de documentos.
El código de verificación debe incluirse en todo documento electrónico que pueda manejarse en papel. Es de hecho el «localizador» del documento, de forma similar al «localizador» de un viaje.
Por si solo hace referencia al documento y permite que cuando se maneja el documento en papel cualquiera pueda verificar su autenticidad sin más que consultarlo en su referencial de autenticidad.
El referencial de autenticidad es la «sede electrónica», en este caso del BOE.
En esencia, todo organismo que expida documentos electrónicos, independientemente de que estén firmados o no debería indicar en el documento la sede referencial (sede electrónica o URL en la que se puede comprobar su autenticidad) y el localizador (código generado electrónicamente).
Pensad, además, que el concepto de «completitud documental» exige el control de referencias cruzadas en metadatos. Esto es algio que se puede hacer en los documentos electrónicos y no es tan sencillo en los de papel.
Os pongo un ejemplo. Pongamos que se publica una orden ministerial en el BOE y que se identifica con su localizador. Quien ostente el papel puede gozar de la presunción de autenticidad de tal copia. Sin embargo, si tras detectar errores se publica una subsanación en un BOE posterior, quien busque el documento original por su localizador en el repositorio electrónico accederá al tenor literal del documento cuya copia se ha indicado y además recibirá un aviso de que el texto de determinadas secciones ha cambiado por la publicación de la normativa que ha corregido los errores.
El primer documento es auténtico (como su copia) pero no es completo (a no ser que se conozca la referencia posterior).
No sé si es mucho rollo, pero es un elemento esencial de la autenticidad de los documentos electrónica, que resuelve el problema de la «completitud», el de la transmisibilidad, y el de la fungibilidad de documentos. Esto lo explico otro dia.
Supongo que la explicación de Adolfo puede ser realmente la que haya motivado que el BOE lleve ese código de verificación. A mí, al menos, me da la impresión de que lo dice con conocimiento de causa. Y agradezco la explicación.
No quisiera pecar de «pesado», pero no entiendo que haga falta compulsar una copia del BOE. Siempre podremos comprobar el original en la sede electrónica del BOE. Y para ello es suficiente con el número de boletín y el número de página, sin necesidad de más códigos.
Y, claro, Fernando, tampoco entiendo el argumento de dar ejemplo. Porque el ejemplo habrá que darlo utilizando los elementos de seguridad cuando hacen falta, pero utilizar algo cuando no es necesario no me parece un buen ejemplo.
Con ello no quiero decir que no sea necesario este código de verificación en el BOE, sino simplemente que aun no he entendido su utilidad. Pero se agradecen las explicaciones.
Yo pienso que si la norma dice que todos debemos, por ejemplo, llevar nuestro DNI para identificarnos, debe ser igual para todos, sin excepción. Aunque haya personas relevantes: el presidente del gobierno,… que todos conozcamos, deben cumplir con la ley. Además, resulta sano que, precisamente ellos, prediquen con el ejemplo.
En el caso del BOE, estoy de acuerdo contigo Iñaki, no sería necesario ese código ya que es fácil llegar al original debido a que cada disposición está bien indizada mediante sus datos identificativos, pero se lo manda la ley y es sano el BOE predique con el ejemplo.
Creo que la solución a todas estas preguntas es muy sencilla, y está perfectamente planteada en la cuestion inicial.
El codigo de verificacion electrónica está ahi, sencillamente para cumplir con el artículo 30.5 de la ley 11/2007.
Así, por el mero hecho de aparecer ese códido en todas las páginas del BOE, cuaquier impresión del BOE tiene consideración de copia auténtica.
Es decir, olvidarse de compulsas etc…
Cualquiera puede presentar una copia del BOE para cualquier trámite sin necesitar complusarlo.
(el organismo que lo reciba podrá verificar en la sede electrónica correspondiente el original firmado electrónicamente, que es el que realmente tiene valor.
Todos sabemos que un papel siempre puede ser falsificado)
Cuesta muy poco poner este código y le da este sencillo valor añadido a cualquier pagina del BOE.
No hay que buscarle tres pies al gato…, no aporta seguridad, no permite acceder a algo que no este disponible.
(en otras ocasiones este código se presenta con cierto grado de ofuscación, para que sólo el que lo conce pueda acceder al documento, pero en el BOE al ser una fuente de acceso público el cve es totalmente predecible)
Sencillamente le da este valor añadido por cumplir un articulo de una ley. Se acabaron las compulsas.
Tengo las mismas dudas que al principio.
Veamos, cuando alguien esgrime frente a un tercero un «papel» emitido por la Administración necesita demostrar que es auténtico. Si ese papel es la copia de un documento original electrónico firmado también de forma electrónica, la única forma que tiene de demostrar su autenticidad es mediante un código de verificación que permita acceder a la dirección electrónica de la Administración en la que se encuentra el documento original y verificar allí que la copia en papel coincide con el original electrónico en poder de la Administración. Ese código nos está permitiendo acceder al documento, que no tendría por qué estar accesible de forma pública para cualquiera, sino que ese código sería la forma de acceso para quienes tienen la copia en papel y desean comprobarla.
Sin embargo, en el caso del BOE, siempre será público y estará disponible para cualquiera que desee consultarlo, con lo cual no hay ningún problema para verificar que una copia impresa del BOE no ha sido manipulada. Salvo en el caso que comenta Félix de que la propia página web del BOE hubiera sido hackeada, pero eso ya me parece otro tema. La página del BOE tiene consideración de sede electrónica y eso implica unas responsabilidades y unos requisitos de seguridad, que, desde mi punto de vista, nada tienen que ver con ese código de verificación.
Así que, amigos, por mi parte la pregunta sigue abierta.
Coste, tener tiene. Aportar, no aporta. ¿Es más fácil falsificar el BOE por el hecho de tener un formato digital?¿Qué código de verificación llevaba el papel que lo hacía inviolable?
Desde mi punto de vista es el típico caso de paja mental que se realiza cuando se transpone el mundo físico a Internet sin comprender que la cuestión no es aplicar tecnología para hacer lo que ya hacemos sino reinventar lo que hacemos con ayuda de la tecnología.
Me imagino que al tratarse de documentos PDF que se pueden descargar, el código permite su verificación de forma intrínseca, es decir, por si mismos, aunque la descarga venga de otro sitio o aunque se trate de un fichero almacenado en el ordenador.
También podría proteger frente a ataques de suplantación, por ejemplo en el caso de que la web del BOE sea hackeada.
Yo la verdad es que creo que la firma o identificación de cualquier documento público por medios adicionales a la simple publicación Web es una sana costumbre que no tiene mucho coste y permite autenticar mucho mejor su contenido. Lógicamente los medios de verificación se usarán sólo en caso de duda sobre la autenticidad.
Y ya de paso esta sana costumbre debería aplicarse también a otros contextos privados como por ejemplo en la banca electrónica o en las transacciones comerciales, eBay, etc. Ya sabemos que recientemente se ha demostrado que es posible falsificar los certificados SSL que identifican al servidor en una transacción segura, así que cualquier medio adicional de identificación es siempre bienvenido.
Desde el máximo respeto y total ignorancia, pero sin entrar en razones tecnológicas.Quizás sea un intento, como dice @Alorza de aplicar mediante «cinturón & tirantes» , una especie de «Argumentum ad Populum»«…. La gente quiere seguridad, confianza….pero, ¿ cuando la gente quiere qué es lo que realmente quiere?
Quizás la verificación del código es batante más ágil y menos costosa que la verificación de toda la norma, que puede ser larga y farragosa. Se que no es la solución pero es un punto e vista
Parece un caso de «cinturón y tirantes» 😉