Universidad Nacional Mayor de San Marcos Universidad del Perú. Decana de América Facultad de Ingeniería de Sistemas e Informática Escuela Profesional de Ingeniería de Sistemas Propuesta de sistema de gestión documental de historiales médicos con aplicación de la firma digital. Caso: Hospital Daniel Alcides Carrión TESIS Para optar el Título Profesional de Ingeniero de Sistemas AUTOR Jose Francisco CORDOVA RAMIREZ ASESOR Dr. Hugo Froilán VEGA HUERTA Lima, Perú 2021 Reconocimiento - No Comercial - Compartir Igual - Sin restricciones adicionales https://creativecommons.org/licenses/by-nc-sa/4.0/ Usted puede distribuir, remezclar, retocar, y crear a partir del documento original de modo no comercial, siempre y cuando se dé crédito al autor del documento y se licencien las nuevas creaciones bajo las mismas condiciones. No se permite aplicar términos legales o medidas tecnológicas que restrinjan legalmente a otros a hacer cualquier cosa que permita esta licencia. Referencia bibliográfica Cordova, J. (2021). Propuesta de sistema de gestión documental de historiales médicos con aplicación de la firma digital. Caso: Hospital Daniel Alcides Carrión. [Tesis de pregrado, Universidad Nacional Mayor de San Marcos, Facultad de Ingeniería de Sistemas e Informática, Escuela Profesional de Ingeniería de Sistemas]. Repositorio institucional Cybertesis UNMSM. Metadatos complementarios Datos de autor Nombres y apellidos DNI URL de ORCID Jose Francisco Cordova Ramirez 71528816 https://orcid.org/0000-0002-0850-7266 Datos de asesor Nombres y apellidos DNI URL de ORCID Hugo Froilán Vega Huerta 06147737 https://orcid.org/0000-0002-4268-5808 Datos de investigación Línea de investigación No Grupo de investigación No Agencia de financiamiento No Perú, Lima, Lima, San Juan de Miraflores Ubicación geográfica de la investigación Año o rango de años en que se realizó la investigación URL de disciplinas OCDE Coordenadas geográficas Latitud: -12.151817325030066 Longitud: -76.98331742476194 2019 - 2021 Ciencias de la computación https://purl.org/pe-repo/ocde/ford#1.02.01 UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS FACULTAD DE INGENIERIA DE SISTEMAS E INFORMATICA Escuela Profesional de Ingeniería de Sistemas Acta Virtual de Sustentación de Tesis Siendo las 16:10 horas del día 14 de mayo del año 2021, se reunieron virtualmente los docentes designados como miembros de Jurado de Tesis, presidido por el Mg. Marcos Sotelo Bedon Lic. Jorge Pantoja Collantes (Miembro) y el Dr. Hugo F. Vega Huerta (Miembro Asesor), usando la plataforma Meet (meet.google.com/yrd-acgj-wvq), para la sustentación Virtual de la tesis Intitulada: “Propuesta de sistema de gestión documental de historiales médicos con aplicación de la firma digital. Caso: Hospital Daniel Alcides Carrión”, del Bachiller: Jose Francisco Cordova Ramirez; para obtener el Título Profesional de Ingeniero de Sistemas. Acto seguido de la exposición de la Tesis, el presidente invitó al Bachiller a responder las preguntas formuladas por los Miembros del Jurado. El Bachiller, en el curso de sus intervenciones demostró pleno dominio del tema, al responder con acierto y fluidez a las preguntas formuladas por los señores miembros del Jurado. Finalmente habiéndose efectuado la calificación correspondiente por los miembros del Jurado, el bachiller obtuvo la nota de 18 (Dieciocho) A continuación, el presidente del Jurado, Mg. Marcos Sotelo Bachiller Ingeniero de Sistemas. Bedon, Siendo las 17:20 horas, se levantó la sesión. Firmado digitalmente por SOTELO BEDON Adolfo Marcos FAU 20148092282 soft Motivo: Soy el autor del documento Fecha: 14.05.2021 18:36:15 -05:00 Mg. Adolfo Marcos Sotelo Bedón Presidente Firmado digitalmente por PANTOJA COLLANTES Jorge FAU 20148092282 soft Motivo: Soy el autor del documento Fecha: 14.05.2021 18:36:15 -05:00 Lic. Jorge Pantoja Collantes Miembro Dr. Hugo F. Vega Huerta Miembro Asesor declara al Dedicatoria Dedico esta tesis a mis padres y a mi hermano, quienes son las personas que incondicionalmente me persuadieron para seguir adelante y nunca rendirme en mis metas en la vida. ii Agradecimientos Un agradecimiento especial a mis padres por su apoyo para mis estudios. A los profesores de la facultad que con mucho esfuerzo me brindaron una educación superior de calidad para poder desenvolverme satisfactoriamente en el ámbito profesional. iii RESUMEN Título : Propuesta de sistema de gestión documental de historiales médicos con aplicación de la firma digital. Caso: Hospital Daniel Alcides Carrión Autor : Jose Francisco Cordova Ramírez Asesor de Tesis: Dr. Hugo Vega Huerta El presente trabajo tiene como objetivo brindar una propuesta para el desarrollo de un sistema de en la cual se propone sistematizar el proceso de la redacción y generación de historiales médicos con las finalidades tales como la reducción del tiempo de la generación de historiales y la reducción de recursos físicos, especialmente en lo que respecta al uso del papel, la cual los especialistas de la salud redactan en el transcurso de una consulta médica, esto además implicaría en la optimización en la gestión de los historiales médicos. El sistema planteado a desarrollar consiste en la aplicación del mecanismo de la firma digital en base al método de la criptografía asimétrica o también llamada criptografía de clave pública. Esta tecnología se aplicará principalmente mediante la aplicación de dos herramientas contempladas para el uso de la firma digital: el sistema RSA (Rivest, Shamir y Adleman) y la función hash SHA-256. La aplicación de la firma digital a los historiales médicos se mostrará implementada a través del manejo de interfaces gráficas que está planteada para que el especialista pueda redactar y manejar los historiales a su conveniencia, El sistema abordará el uso del lenguaje de programación Python y el conjunto de herramientas OpenSSL para las funciones criptográficas y PyQt5 para el desarrollo a nivel interfaces gráficas. Se propone esta solución debido a, si bien la tecnología de firma digital se ha planeado y posteriormente estado desarrollando desde la década de 1980, son en estos últimos años que esta tecnología ha sido tomada más en cuenta para el manejo de documentos, y como este caso, de los historiales médicos PALABRAS CLAVES: Firma digital, historial médico, criptografía asimétrica, RSA, PyQt5 iv ÍNDICE DEDICATORIA .............................................................................................................. ii AGRADECIMIENTO ..................................................................................................... iii RESUMEN.................................................................................................................... iv INDICE .......................................................................................................................... v INTRODUCCIÓN ........................................................................................................... 1 CAPÍTULO I: VISIÓNDEL PROYECTO......................................................................... 2 1.1 Planteamientodelproblema................................................................................. 2 1.1.1 Elnegocio .................................................................................................. 2 1.2 Definicióndelproblema ........................................................................................ 3 1.3 Objetivosdelproyecto .......................................................................................... 4 1.3.1 Marcológico............................................................................................... 4 1.3.1.1 Árboldeproblemas ......................................................................... 4 1.3.1.2 Árboldeobjetivos ............................................................................ 5 1.3.2 Objetivogeneral ......................................................................................... 6 1.3.3 Objetivosespecíficos ................................................................................. 6 1.4 Importanciadelproyecto ...................................................................................... 6 1.4.1 Justificación .............................................................................................. 6 1.5 Alcance .............................................................................................................. 7 CAPÍTULO II:MARCOTEÓRICO ................................................................................... 8 2.1 Criptografía asimétrica ....................................................................................... 8 2.1.1 Según Sean-Philip Oriyano [ISBN978-0-07-179426-8] ............................. 8 2.1.2 Según Arthur Conklin, Gregory White, Dwayne Williams, Roger Davis y Chuck Cothren [ISBN 978-0-07-183597-8]...................................................... 9 2.1.2.1 Definición....................................................................................... 9 2.1.3 Según Juan Francisco Rodríguez Ayuso [ISBN: 9788494952920] ......... 11 2.2 Firmadigital ........................................................................................................ 12 2.2.1 Según Jonathan Kantz [ISBN 978-0-38-727712-7] ................................. 12 2.2.1.1 Definición..................................................................................... 12 2.2.1.2 Definiendo el esquema de la firma .............................................. 14 v 2.2.1.2.1 Definiciones ..................................................................14 2.2.2 Según Hernán Torres Álvarez [ISBN 9972426777] ................................. 15 2.2.3 Según Mayank Bhusan, Rajkumar Singh Rathore y Aatif Jamshed [ISBN 9789387284807] .................................................................................... 18 2.2.3.1 Método para la generación de la firma digital ............................. 19 2.3 Aspectos Legales ............................................................................................. 20 2.3.1 Ley N° 27269. Ley de Firmas y Certificados Digitales ............................ 20 2.3.2 Ley N° 30024. Ley que crea el Registro Nacional de Historias Clínicas Electrónicas ............................................................................. 21 CAPÍTULO III: ESTADODEL ARTE ............................................................................ 22 3.1 Artículos ........................................................................................................... 22 3.1.1 Invocación por protocolo como plataforma de servicios de firma digital (Mauricio Decima, Gastón Terdoslavich, 2017) ........................ ...22 3.1.2 Desarrollo de un sistema para la firma digital deregistrosmédicos (Adrián Gómez, Marcela Martínez, Damian Borbolla, Daniel Luna, Enrique R. Soriano. 2014)....................................................................... 26 3.1.3 RSA cryptosystem: an analysis and python simulator (Cescily Nicole Metzgar. 2017) ............................................................................. 28 3.1.4 Digitally Signed and Permission Restricted PDF Files: A Case Study on Digital Forensics (Patricio Domingues, Miguel Frade. 2018) .............30 3.1.5 Implementation of a digital signature in a 32 bits embedded system (Juan Camilo Ramírez González, Edwar Jacinto Gómez. 2019) ............ 31 3.1.6 Correo electrónico local con implementación de métodos de seguridad criptográfica (Ignacio Javier Hernández Gómez. 2019) ......... 32 3.1.7 Comparative Study of Different Cryptographic Algorithms (Ankita Verma, Paramita Guha, Sunita Mishra. 2016) ........................................ 34 3.1.8 El Sistema De Gestión Documental Quipux Y El Manejo De La Documentación Digital En Las Empresas Públicas(Gissella Andreina Intriago Rezabala, Jenny Gisella Villavicencio. 2019) ............. 37 3.1.9 Proyecto De Factibilidad Para La Implementación De Sistemas De vi Gestión Documental En Las Instituciones De Educación Superior (Jorge Luis Haro Avalos, Roberto Carlos Villacrés Arias - 2018) ............ 38 3.1.10 Modelo de gestión documental electrónica de archivos basado en metodología BPM para el mejoramiento de los procesos administrativos (Yamile Hidalgo Urrea, Wcdaly CortésAlgeciras.2020)…………………39 3.2 Tesis................................................................................................................. 40 3.2.1 Diseño e Implementación de un esquema de encriptación y firmas basado en identidad para dispositivos bug (María Moreno Vilicich. 2015) ....................................................................................................... 40 3.2.1.1 Implementación de la solución ................................................... 41 3.2.1.1.1 Implementación de los componentes ...........................41 3.2.1.1.2 Integración de los componentes ..................................41 3.2.1.2 Arquitectura Desarrollada ......................................................... 42 3.2.1.3 Proceso de la ejecución del sistema .......................................... 43 3.2.2 Esquema criptográfico para gestionar de forma segura historiales médicos a través de una red de comunicaciones (José Manuel Vásquez Araujo. 2015) ............................................................................ 44 3.2.3 Expediente con firma digitalen la optimización del proceso de contratación de terceros en la Municipalidad distrital de Ventanilla (Walter Luis Roldán Baluis. 2017) .......................................................... 46 3.2.4 La firma digital y su impacto en la gestióndocumentaria del instituto nacional de salud 2018 (Thalia Díaz Tunjar. 2019) ................................ 50 3.3 Software ........................................................................................................... 51 3.3.1 XolidoSign ............................................................................................... 51 3.3.1.1 Funcionalidades .......................................................................... 51 3.3.1.2 Manejo ......................................................................................... 53 CAPÍTULO IV: MODELADODELNEGOCIO ................................................................ 56 4.1 Modelo de la Propuesta .................................................................................... 56 4.1.1 Detalle del Modelo .................................................................................. 56 4.2 Actores del Negocio .......................................................................................... 57 4.3 Reglas de Negocio ........................................................................................... 58 vii 4.4 Casos de Uso del negocio ............................................................................... 59 4.5 Especificaciones de casos de uso del negocio ................................................ 59 CAPÍTULO V: REQUERIMIENTOSDELPROYECTO .................................................. 61 5.1 Requerimientosdelsoftware .............................................................................. 61 5.1.1 Relación de requerimientosfuncionales .................................................. 61 5.1.2 Requerimientos no funcionales ............................................................... 62 5.2 Casos de usodelsistema ................................................................................... 63 5.2.1 Actoresdelsistema .................................................................................. 63 5.2.2 Diagrama de casos de usodelsistema .................................................... 64 5.3 Diagrama de Paquetes..................................................................................... 65 5.4 Modelo Conceptual ......................................................................................... 65 5.5 Prototipos ......................................................................................................... 66 CAPÍTULOVI:ARQUITECTURA .................................................................................. 69 6.1 Realización de casos de uso más significativo paralaarquitectura ................... 69 6.1.1 Diagrama de Casos de Usomássignificativo ........................................... 69 6.1.2 Especificación de casos de uso más representativos ...............................70 6.2 ModelodeDespliegue........................................................................................ 72 6.3 ModelodeComponentes ................................................................................... 73 CAPÍTULO VII: DESARROLLOYPRUEBAS ............................................................... 74 7.1 Desarrollo ......................................................................................................... 74 7.1.1 PlataformaTecnológica ........................................................................... 74 7.1.2 Estándares de Desarrollo .............................................................................74 7.1.2.1 EstándaresdeDocumentación..................................................... 74 7.1.3 Implementación del Sistema ................................................................... 75 7.1.3.1 Inicio ........................................................................................... 75 7.1.3.2Redacción del Historial ................................................................ 75 7.2 PlandePruebas ................................................................................................. 80 7.3 Fases y Definición de Tareas ........................................................................... 81 CAPÍTULO VIII: GESTIÓNDEL PROYECTO .............................................................. 83 8.1 Organizacióndelproyecto .................................................................................. 83 viii 8.2 Gestión de Riesgo del Proyecto........................................................................ 83 CONCLUSIONES ........................................................................................................ 84 RECOMENDACIONES................................................................................................ 85 BIBLIOGRAFÍA............................................................................................................ 86 ix INTRODUCCIÓN El historial médico es una recopilación de información que un paciente brinda al especialista de la salud en el transcurso una consulta médica, esta información brinda una representación del estado actual de salud del paciente al momento de la consulta médica. El historial médico muy aparte de ser una recopilación de información brindado al especialista de la salud, es además un documento de carácter legal, por ende, la validación de la descripción depende del médico, por lo que es importante sufirma. La redacción y posterior validación del historial médico de un paciente luego de una consulta suele ser engorroso dado a la gran cantidad de información que se tiene que manejar. En casos como hospitales el proceso resultaengorroso. El desarrollo de la tecnología de la firma digital ha servido de gran ayuda para casos de validaciones de documentos donde se requiera una firma, esto es, una validación y aceptación de lo escrito en el documento.Entre sus ventajas principales se menciona el menor uso de recursos físicos, menos trámites administrativos, entre otros. Es por el motivo anteriormente explicado que se propone la aplicación de la tecnología de firma digital para la gestión de los historiales médicos. 1 CAPÍTULO I: VISIÓN DEL PROYECTO 1.1 PLANTEAMIENTO DEL PROBLEMA 1.1.1 EL NEGOCIO El “HOSPITAL NACIONAL DANIEL ALCIDES CARRIÓN” constituido en uninicio por el Hospital de Varones Daniel Alcides Carrión y el Hospital Docente San Juan de Dios, inaugurados en 1941 y 1968, respectivamente, en 1971 se unificaron ambos locales con el nombre de Complejo Hospitalario “Daniel Alcides Carrión”, oficializándose este acto mediante Resolución Ministerial N° 0269-91-SA/DM del 15 de marzo de 1991, posteriormente el complejo es designado HOSPITAL NACIONAL DANIEL ALCIDS CARRIÓN, categoría que se otorga a aquellas instituciones de salud que brindan atención especializada, con capacidad para resolver problemas de mayorcomplejidad. El Hospital Nacional Daniel A. Carrión, con dirección en Av. Guardia Chalaca 2176, Bellavista, Callao, es la Institución de Salud de la más grande complejidad dentro de un conjunto de establecimientos en la Provincia Constitucional del Callao, siendo dependiente de la Dirección de Regional de Salud I, asimismo es un Hospital de referencia nacional y sede de docencia tanto pre grado como post grado de la Universidad Nacional Mayor de San Marcos y diversas universidades públicas y privadas. MISIÓN Somos un Hospital Nacional, categoría III-1, en la Región Callao, comprometidos con la salud de la población, que brinda atención especializada e integral con trato digno, solidario, y respetuoso de la interculturalidad e igualdad de género; con equipos multidisciplinarios altamente capacitados y tecnología moderna; que desarrolla actividades de docencia einvestigación. VISIÓN El Hospital Nacional Daniel A. Carrión es una institución acreditada reconocida por su excelencia en el manejo especializado de la salud, con talento humano capacitado y recertificado; con una cultura organizacional proactiva, gestión eficiente e innovadora, desarrollando procesos de mejora continua y con el fin de la mejora en la satisfacción de losusuarios. 2 1.2 DEFINICIÓN DELPROBLEMA La firma manuscrita es aún la manera más usada para validar lo expresado en un documento con una persona en particular, de manera legal. Sin embargo, este método padece de imperfecciones, siendo sus dos cuestiones más importantes: • La verificación de lafirma • La falsificación de lafirma La firma implica dos actividades: el acto de firmar y el acto de verificar la firma. El acto de firmar, para el caso de la firma manuscrita, radica en que una persona manifieste su rúbrica; en tanto que para el actode verificación es más compleja dado que se requiere en diversos casos el uso de herramientas tecnológicas altamente sofisticadas y frecuentementese puede hallar un margen de error. Es por esta misma razón que el proceso de validación del historial médico desde la firma del médico hasta su almacenamiento en el almacén de los historiales médicos implica tiempo, lo cual significa que existe unadeficiencia en los procesos del historial clínico. Otra cuestión importante es el uso cuantioso de papel que se genera por la generación de los reportes de los historiales. (Variable 1: demora de la validación del historial médico, valor 1: 1 hora) (Variable 2: historiales físicos para la generación de los historiales médicos, valor 2: 390 000 historiales físicos anuales) 3 1.3 OBJETIVOS DELPROYECTO 1.3.1 MARCO LÓGICO 1.3.1.1 ÁRBOL DEPROBLEMAS Demora en las validaciones de los historiales Alto consumo de recursos físicos Deficiencia en los procesos del historial clínico (Variable 1: demora de la validación del historial médico, valor 1: 1 hora) Uso cuantioso de papel para la generación de historiales médicos (variable 2: historiales físicos para la generación de los historiales médicos, valor 2: 390 000 historiales físicos anuales) Proceso manual de la generación de los historiales médicos Poco aprovechamiento de las TICs Figura 1. Árbol de problemas Fuente: Elaboración Propia 4 1.3.1.2 ÁRBOL DEOBJETIVOS Reducción en la demora del tiempo de la gestión de los historiales médicos Bajo consumo de recursos físicos Reducción de la demora en el proceso de verificación y validación del historial médico (Variable 1: demora de la validación del historial médico, valor 1: 10 minutos) Reducción del uso de material físico para la generación de los historiales médicos (Variable 2: historiales físicos para la generación de los historiales, valor 2: 120 000 historiales físicos anuales) Proceso computarizado de la generación de los historiales médicos Mejor aprovechamiento de las TICs Figura 2. Árbol de objetivos Fuente: Elaboración Propia 5 1.3.2 OBJETIVO GENERAL Se propone desarrollar un sistema para la gestión de documentos con aplicación de la firma digital, con la cual se plantea una reducción en la demora de las validaciones del historial médico (Variable 1: demora de la validación del historial médico, valor 1: 10 minutos) y una reducción considerable del uso de papel (Variable 2: historiales físicos para la generación de los historiales médicos, valor 2: 120 000 historiales físicos anuales). 1.3.3 OBJETIVOSESPECÍFICOS a) Aplicar la legalidad para el proceso de la generación de los historiales médicos. b) Validar las firmas digitales generadas en archivos PDF (Portable Document Format) c) Aplicación de estándares válidos para el desarrollo de la generación de la firma. d) Desarrollar el sistema mediante el uso de software no-propietario y libre. 1.4 IMPORTANCIA DELPROYECTO 1.4.1 JUSTIFICACIÓN La presente tesis tiene como propósito solucionar la problemática de la demora del tiempo de la redacción y validación de un historial médico redactado por un especialista de la salud, que toma el tiempo de una hora, la cual es un lapso de tiempo elevado considerando 2 factores: La cantidad de pacientes que atiende el hospital, tomando como referencia la figura 3, que muestra la tendencia de las atenciones de consulta externa y la figura 4, que muestra la cantidad de atenciones de emergencia. La posibilidad de reducir el tiempo de la generación del historial hasta su posterior manejo aplicando la tecnología de la firma digital, que da la posibilidad de dar una mejora en lo que al consumo de tiempo refiere. 6 Figura 3. Tendencia de las atenciones Fuente: Plan Estratégico Institucional Figura 4. Atención en el servicio de Emergencia Fuente: Plan Estratégico Institucional 1.5 ALCANCE El alcance del proyecto está contempladoprincipalmentepara el uso de los especialistas de la salud en lo que respecta a la redacción y validación del historial.Esto con el fin de optimizar el proceso de la gestión del manejo de los historiales. Este proyecto está planteado principalmente como una propuesta que se plantea posteriormente concretarse hacia el hospital, dado que el hospital nacional Daniel Alcides Carrión, como todos los centros de salud a nivel nacional, están sobrellevando y luchandocontra una complicada pandemia que ha originado en el país una severaemergencia sanitaria nacional, y es debido a esta circunstancia que ha hecho tanto el hospital Daniel Alcides Carrión como todos los demás centros de salud darle prioridad ala lucha contra esta pandemia. La propuesta contemplará el desarrollo de una aplicación de escritorio que aplicará la redacción, la posterior aplicación de la firma digital utilizando las tecnologías RSA y SHA-256 desarrollado en Python, la generación de historiales en PDF y para la gestión posterior de los documentos se manejará en un gestor de base de datos aplicando el manejo de SQL. 7 CAPÍTULO II: MARCO TEÓRICO 2.1 CRIPTOGRAFÍA ASIMÉTRICA 2.1.1 Según Sean-Philip Oriyano (ISBN:978-0-07-179426-8) Uno de los roles más importantes en las infraestructuras de clave pública es el sistema de cifrado asimétrico. De hecho, los algoritmos de esta clase también se denominan sistemas de cifrado de clave pública / privada. Los sistemas que se desarrollan en un entorno de infraestructura de clave pública a veces se llaman criptosistemas de clave pública, que de hecho es el nombre por la cual comúnmente se le conoce. En un sistema de criptografía asimétrica, todo lo que se hace con una clave A solo puede responder con una clave B asignada y nada más. Este par de claves son generadas mediante un patrón en la cual una clave debe ser secreta y la otra clave debe ser pública. La diferencia principal entre una clave privada y una clave pública es el acceso. Mediante la clave pública el acceso es abierto, pero para la funcionalidad se necesita una clave privada, que esta se mantiene secreta y asignada solamente a una entidad. Hay un número de algoritmos disponibles, los más comunes son los siguientes: Diffie-Hellman: Desarrollado en 1976, este proceso se utiliza para establecer e intercambiar llaves sobre un medio inseguro Elgamal: funciona mediante el cálculo de logaritmos discretos en lugar de la factorización de grandes números Criptografía de curva elíptica: Comúnmente implementada en dispositivos móviles o dispositivos Con menos potencia de procesador o batería. RSA: Ampliamente utilizado en diversas aplicaciones y procesos como el comercio electrónico y aplicaciones comparables. A diferencia de la criptografía simétrica, en la cual se utiliza la misma clave para encriptar y desencriptar, la criptografía asimétrica utiliza dos claves relacionadas pero diferentes. Se puede distribuir la clave pública sin comprometer la seguridad dado que es necesario una única clave privada correspondiente para poder ejecutar su proceso. Además, considerando que la clave pública encripta, mas bien no desencripta, no se compromete la seguridad y el temor de accesos no autorizados 8 2.1.2 Según Arthur Conklin, Gregory White, Dwayne Williams, Roger Davis y Chuck Cothren (ISBN: 978-0-07-183597-8) 2.1.2.1 Definición Los autores (Conklin et al., 2018)definen que la encriptación asimétrica es mejor conocida como criptografía de clave pública y es diferente a la encriptación simétrica. Mientras ambos sonusados para proteger la data de accesos no autorizados, la encriptación asimétrica utiliza dos llaves en vez de una. Este tipo de encriptación fue inventada por Whitfield Diffie y Martin Hellman en 1975, luego desarrollada y explicada en 1976 (Diffie & Hellman, 1976). La encriptación asimétrica ayuda en la creación de firmas digitales y también apunta hacia la mayor debilidad de la encriptación simétrica. Las firmas digitales ayudan en la eficiencia y rapidez de la gestión de los documentos, incluyendo los documentos legales. La encriptación asimétrica envuelve dos claves separadas pero relacionadas matemáticamente. Las claves son usadas en direcciones opuestas, como se verá en la siguiente imagen: Figura 5. Modelo de encriptación asimétrica Fuente: Principles of Computer Security, fifth edition Las claves son distribuídas usando certificados. Un certificado 9 digital contiene información acerca de la asociación de la clave pública con una entidad, e información adicional que se puede usar para verificar la balizar del certificado y la clave.Los sistemas de clave pública trabajan usualmente usando conceptos y nociones matemáticas. Un método común se basa en la factorización de números. La fortaleza de los algoritmos para el uso de la criptografía asimétrica es muy importante. Ya que el uso de esta tecnología es la base para las firmas digitales. Los métodos más comunes que los autores (Conklin et al., 2018) describen son: a) Diffie-Hellman Este protocolo es uno de los más utilizados, toma un rol fundamental en los procesos de SSL (Secure Sockets Layer), además para las tecnologías TLS (Transport Layer Security), SSH (Secure Shell). Este protocolo, usa números primos para trabajar. Utiliza dos números primos, P y G, luego se eligen dos números secretos: a y b. Luego se procesa: X = Ga mod P, siendo X un número público Y = Gb mod P, siendo Y un número público Luego se procede a intercambiar los números públicos. Se computa: Ka =𝑌 𝑎 mod P Se computa: Kb =𝑌 𝑎 mod P Este es el algoritmo base. Aunque hay otros métodos que se crearon para reforzarlo, Diffie-Hellman es aún utilizado. b) RSA Este algoritmo usa el producto de dos números primos y trabaja en el principio de la dificultad en factorizar estos números. Se da por recomendación trabajar con números primos de 100 a 200 dígitos. Estos dos números primos, para este caso, llamados P y Q, aleatoriamente se elige un número E, donde E es mayor que 1. Si bien tiene una funcionalidad simple, la seguridad ha sido testeada por más de 20 años de análisis. 10 Dado que la seguridad de RSA radica en la dificultad de la factorización de dos números grandes, esto puede llevar a demora a nivel software. c) ElGamal ElGamal es usado para la encriptación y las firmas digitales. Este sistema está basado en el cálculo de logaritmos discretos en un campo finito. Se necesita 3 números para generar el par de llaves. Fue descrito por Taher Elgamal en 1984 (Elgamal, 1984). El algoritmo Elgamal no se contempla bajo patente alguna, lo que implica es que es de uso libre.La seguridad del mismo está basada en la suposición que la función aplicada es de una sola dirección y la complejidad del cálculo de un logaritmo discreto, El proceso de cifrar y descifrar se desarrolla sobre operaciones en un grupo cíclico G lo que conlleva a que la protección del algoritmo recae con relación a la complejidad de calcular logaritmos discretos en G. 2.1.3 Según Juan Francisco Rodríguez Ayuso (ISBN:9788494952920) El autor (Rodríguez, 2018) afirma la criptografía asimétrica o criptografía de clave pública permite la transmisión de información sin la necesidad de una clave común entre 2 entidades. La criptografía asimétrica consiste en el uso de 2 claves: Clave privada, solo conocido por el emisor y que el nivel de secretismo debe ser el más óptimo. Clave pública, con la capacidad de ser descubierta por otra u otras entidades. La dinámica de la criptografía consiste en la siguiente manera:El emisor utiliza la clave pública del receptor, para cifrar la información que el receptor únicamente puede descifrar con su clave privada. El autor(Rodríguez, 2018) explica este proceso haciendo una analogía con un buzón “Este proceso se asemeja con el buzón físico dotado de una ranura 11 de correo: la abertura está expuesta y accesible al público en general (siendo el lugar en que se encuentra el equivalente a la clave pública), de modo que alguien que conozca la dirección en que se ubica podrá acudir y colocar un mensaje escrito en su interior, siendo sólo la persona que posee la llave (clave privada) la única que podrá abrirlo y leer la información en él contenida. Con ellos se consigue que el mensaje de datos no sufra cambios a lo largo del proceso en envió y recepción” En los procesos de la criptografía asimétrica, se opta por el cifrado, no precisamente de todo el mensaje, sino, de una parte, la cual se realiza mediante una función, conocida como función hash, que extrae de un mensaje de datos una longitud fija. En esta extracción, la cual es un resumen, consiste en un listado de letras y números incompresible, la cual resulta de aplicar los algoritmos de cifrado. Este resultado se caracteriza por su irreversibilidad, la cual no se puede acceder al mensaje cifrado y descifrarlo, y su exclusividad, que sólo existe una para cada mensaje de datos, lo que conlleva que, si se modifica un número o letra del resultado cifrado, el resultado del mensaje cambia. Una vez obtenido el resultado, el destinatario procede con la verificación, que es el proceso de comprobación la cual usa la clave pública para verificar si el mensaje recibido por el receptor es el mismo al mensaje enviado por el emisor. Para verificar el resultado, el receptor realizará dos procesos: Primero, decodificará el resultado cifrado, aplicando la clave pública brindada por el emisor. En segundo lugar, aplicará la función hash a la información original para obtener un nuevo resultado, la cual debe coincidir con el cifrado resultado de la aplicación hash del emisor. 2.2 FIRMA DIGITAL 2.2.1 Según Jonathan Kantz (ISBN: 978-0-387-27111-0) 2.2.1.1 Definición El autor (Kantz, 2014) describe que el esquema de firma digital ofrece una criptografía análoga a las firmas manuscrita que, de hecho, proveen mayores garantías de seguridad. La firma digital sirve una herramienta poderosa que se puede utilizar para certificar contratos, notarizar documentos, para autenticación de personas y/o corporaciones, así como componentes de protocolos más 12 complejos. Su uso y validación está implementado mediante el manejo de las claves criptográficas (públicas y privadas). Un esquema de la firma digital por lo general es usado por un firmante y verificadores. El firmante empieza a ejecutar un algoritmo de generador de claves. El firmante luego publica su clave pública, para que un verificador empiece a validarlo, se asume que el verificador tiene las herramientas y opciones necesarias para su validación. Luego que el firmante haya establecido una clave pública, el esquema de la firma digital permite al firmante certificar (o “firmar”) que la firma sea la correcta o que la firma sea hecha por el firmante. Es factible considerar el uso de la firma digital. Esto se puede dar por ejemplo para los fabricantes de software que deseen actualizar su programa o aplicación y mediante la firma digital pueden validar su producto para evitar complicaciones de pirateo, robo de información, entre otros. Las firmas digitales por lo general consisten en 3 algoritmos probabilísticos (Gen, Sign, Vrfy): El algoritmo generador de clave Gen toma como entrada el parámetro k. Como salida muestra un par de claves: la clave pública, pk y la clave Privada, sk. Está asumido que el parámetro de seguridad k está implícitamente en las dos claves: tanto en la pública como en la privada. El algoritmo Sign, que es el algoritmo de la firma, toma la clave privada sk y un mensaje m,luego devuelve una firma δ. Si el mensaje no pertenece al emisario, se bloquea y se invalida el proceso. Se describe que la firma pertenece al conjunto de las firmas generadas para el mensaje m. Si se descubre que el mensajeno pertence al emisario, el algoritmo de la firma digital genera un valor vacío e invalida el mensaje, o dependiendo de la forma como está implementado en el sistema con respecto al manejo de las invalidaciones: se genera un mensaje de invalidación, se muestra un mensaje de error y por ende no se envía el mensaje, entre otras maneras de demostrar una invalidación de una firma. El Algoritmo de verificación Vrfy toma la clave pública pk , el mensaje m y la firma δ. Luego de este proceso devuelve un bit b, donde si b=1, significa aceptado y si b=0, significa rechazado. Entendemos que cuando un bit que es 1, significa que el mensaje es válido, por lo que se acepta la verificación y el mensaje se envía sin ningún problema. Caso contrario, cuando el mensaje no está verificado correctamente, el bit de salida es 0, por lo queel 13 algoritmo rechaza la firma, el mensaje y no se provee de un mensaje con la firma digital al emisario que el receptor desea. Cuando una clave pública es entendida partiendo de un contexto, decimos que un menaje en conjunto con par de claves (claves públicas y claves privadas). Es válida si se verifica que el algoritmo de verificación es igual a positivo o en este caso 1. Requerimos que todos los parámetros que pertenezcan a la clave privada y a la clave pública generada por un algoritmo generador de claves, que a su vez estos parámetros pertenezcan a los datos que se enviarán como mensaje. Se debe aclarar que las definiciones formalizadas formalizan una noción intuitiva que de ser posible debe ser aclarada. Específicamente, un esquema de la firma digital es usada de la siguiente manera: Una partición S, que actúa como el firmante, ejecuta el algoritmo generador, en este caso el algoritmo Gen, para obtener un par de claves, la clave pública PK (public key) y la clave privada SK (secret key) Cuando la partición S desea transmitir un mensaje m, le comunica que la firma que ha sido generada por el algoritmo Sign, y se envía al receptor del mensaje con la firma digital incluída. Una vez recibida el mensaje, el receptor debe reconocer la clave pública pk que puede ser verificada para la validación y verificación del mensaje que seacorrecto. Se establece que la partición S envía el mensaje m, y además el mensaje m no ha sido modificado durante su transmisión, por lo que se debe ejecutar los procesos de validación y verificación. Sin embargo, que las ejecuciones de las verificaciones y validaciones no prueban necesariamente que m sea el mensaje correcto, más bien, es una mera posibilidad de que sea lacorrecta. 2.2.1.2 Definiendo el esquema de la firma Definiciones precisas son cruciales si queremos entender la seguridad garantizada por una construcción en particular, que son esenciales antes de que se pueda pensar en ofrecer una construcción sin definir bien los riesgos existentes para los desarrollos. 2.2.1.2.1 Definiciones El correcto desarrollo de los de las definiciones puede ser eficaces para generar una baja o nula probabilidad 14 de error durante la firma y envío y recepción de mensajes. Muchas veces este aspecto es ignorado por muchas presentaciones, inclusive expertos, sin considerar que los aspectos técnicos son precisos y deben dejar de presentarse ambigüedades de todoámbito. Una variante con respecto a las definiciones es la posibilidad de la generación aleatoria de algoritmos verificadores, permitiendo a su vez las probabilidades de error aumenten o disminuyan, así las firmas digitales hayan sido correctamente ejecutadas, compiladas y desarrolladas o no. Para esto una correcta literatura es indispensable e importante. En vez de permitir que los mensajes espaciados puedan ser reparados a priori, considerando un generador aleatorio de mensajes y a su vez un generador aleatorio de claves públicas y privadas, es indispensable que los mensajes sean generados de manera eficiente y correcta. Es indispensable además que las claves públicas y privadas sean gestionadas de manera correcta, que estas deban ser dependientes correctamente de una clave pública generada por el algoritmo Gen. Cuando, en ocasiones, esto se genera en base a una serie de esquemas descritos, es evidente tomar en cuenta el contexto para evitar laredundancia. 2.2.2 Según Hernán Torres Álvarez(ISBN:9972426777) El autor (Torres, 2005) previamente cita a dos autores: 1. La primera cita proviene por parte del autor Cuervo (Cuervo, 1999): “Las firmas electrónicas o digitales consisten básicamente enla aplicación de algoritmos de encriptación a los datos; de esta forma, sólo serán reconocibles por el destinatario, el cual además podrá comprobar la identidad del emitente, la integridad del documento, la autoría y la autenticación, preservando al mismo tiempo la confidencialidad”. 2. El segundo concepto que menciona el autor, basándose en la definición de Fernando Ramos Suárez (Ramos, 2001): “La firma digital es un bloque de caracteres que acompaña a un 15 documento (o fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna manipulación posterior de los datos (integridad) […] consiste en la utilización de un método de encriptación llamado asimétrico o de clave pública.” El autor menciona que ambos autores coinciden que la firma digital es el fin de un proceso de aplicación de métodos de encriptaciones, además del uso de claves públicas privadas, cuyas finalidades son: la comprobación de la identidad del emisario, la verificación y posterior validación del mensaje, la veracidad de la autoría del mensaje y, por último, la comprobación que el mensaje recibido sea el mismo mensaje enviado por el emisario. Si bien afirma que tanto como la firma digital como la firma manuscrita cumplen la misma función, la de dar un sello al mensaje mostrando acuerdo y/o aceptación de lo suscrito en el mensaje o documente, su principal diferencia es la novedad tecnológica y su posterior incremento de seguridad a medida que se desarrollen nuevas tecnologías. Características de la firma digital El autor (Torres, 2005)describe una seria de características de la firma digital: Debe permitir la identificación del usuario. Para lograrse, la firma debe estar asociada solamente al emisario. Se entra en el concepto de la autoría electrónica, de otra forma, la comprobación de las identidades y validaciones y verificaciones de la firma se realizan mediante procesoselectrónicos. La firma digital solo puede ser generada por un único emisor, por lo que debe ser infalsificable e inimitable, lo que quiere decir es que no debe ser suplantada. Significa que solamente el firmante es el único generador de su propiafirma. Las informaciones que se generen a partir de la firma digital deben tener razones suficientes para que ésta tenga validez, pero insuficientes razones para poder generar una falsificación de la misma. Debe permitir detectar la alteración de losmensajes. Debe contener los elementos necesarios para probar la participación del signatario en la emisión del mensaje que ha sido firmado digitalmente Se debe facilitar la no-repudiación de los mensajes, quiere decir que el signatario es capaz de autentificar la firma y el mensaje adjunto a lafirma. La firma digital autentica documentos y/o mensajes. Una vez 16 identificado, es imposible falsificar o alterar el documento firmado o la firma sin que este acto seadetectado. Naturaleza jurídica de la firma digital Al describirse el concepto y las características de la firma digital, se infiera que la naturaleza jurídica de la firma digital es que es un medio de prueba de la autoría de un mensaje, el mensaje mismo y la integridad del mensaje. Al ser un medio de prueba se le otorga además en un medio con validez jurídico ya que legalmente se le está otorgando validez. De esta manera se evitan inseguridades y faltas de certezas jurídicas. Elementos de la firma digital a) Datos de creación y verificación de la firmadigital Los datos de generaciónson data única como los códigos o las claves privadas, que el firmante utiliza para la creación de la firma digital. Los datos de verificación son los datos como códigos o claves públicas que son usadas para la verificación de la firma digital. Los datos de creación y verificación de la firma están vinculados a sus respectivas claves públicas y privadas que se emplean en el uso mediante las herramientas de la criptografía a.1) Calidad en la generación de losdatos Para que la firma digital pueda ser considerada como medio de seguridad debe cumplir que los datos de creación y verificación deban ser seguros y decalidad. El par de claves debe ser seguro La seguridad en el par de claves (clave pública y clave privada) está determinada por su irreversibilidad, es decir, para que el par de laves sea considerado seguro, no debe ser posible obtener la clave privada utilizando la clave pública. Para esto, el autor cita a la autora Martínez Nadal (Martínez, 2000): “Los algoritmos más comunes para la codificación mediante el empleo de claves públicas y privadas se basan en una característica importante de los grandes números primos: una vez que se multiplican entre sí para producir un nuevo número es 17 virtualmente imposible determinar cuáles fueron los números primos que crearon ese número másgrande” De esta cita se desprende que la solución para la irreversibilidad se encuentra en el aspecto matemático, especialmente es el aspecto del uso de los algoritmos. La irreversibilidad del proceso que se espera que seade poca o nula posibilidad descubrir la clave privada de un usuario partiendo de su clave pública se denomina no viabilidad computacional. Se trata de un concepto centrado en el valor de los datos protegidos El par de claves debe ser único La unicidad de las claves implica que no deben existir más de un juego de claves iguales. De no ser así, ya no se cumpliría la identidad. Por este motivo la generación de las claves debe introducir aplicación de la aleatoriedad necesarias para impedir que dos entidades que estén utilizando el mismo programa de generación obtenga una clave igual, sea una clave pública o una clave privada. b) Dispositivos de creación y verificación de la firma digital Basándose en el concepto de Martínez Nadal (Martínez, 2000): “Se trataría respectivamente de aquellos elementos informáticos que permiten la aplicación de la clave privada sobre un mensaje electrónico por parte de su autor y remitente para la creación de una firma electrónica; y la aplicación de la calve pública por parte del destinatario para la verificación de ese mensaje firmado electrónicamente.” Los dispositivos de generación y verificación de la firma constituyen la dimensión dinámica de los elementos de la firma digital. Los datos de generación y verificación de firmas son un elemento estático. Son la base de datos de la firma, mientras que los dispositivos de verificación y generación son el uso de los datos. Los dispositivos de generación y verificación son tan importantes como los datos de generación y verificación, ya que de ellos depende que la exactitud de los datos proporcionados sea correctamente empleada. Por este motivo, los dispositivos deben reunir ciertos requisitos que garanticen su correctofuncionamiento. 2.2.3 Según Mayank Bhusan, Rajkumar Singh Rathore y Aatif Jamshed [ISBN 9789387284807] Los autores (Bhusan et al., 2018) afirman que la firma digital es un 18 proceso que garantiza la legitimidad e integridad de los mensajes y documentos. Para ello, la firma digital debe cumplir con los siguientes requerimientos: El receptor debe verificar la identidad del emisor (autenticidad). El emisor no puede denegar la firma de un documento (no repudio). El receptor no es capaz de crear o modificar un documento firmado por otra persona (integridad). Una firma digital por lo general consiste en 3 algoritmos: Un algoritmo para la generación de claves, las cuales son las claves públicas y privadas (PK, SK; public key, secret key). La clave pública es la clave visible mientras la clave privada es la clave la cual solo tiene control el solicitante. Un algoritmo de la generación de la firma. Un algoritmo de verificación, la cual acepta o rechaza la firma. 2.2.3.1 Método para la generación de la firma digital El método para la firma digital consiste en los siguientes pasos: El firmante aplica la función hash para la información que desee firmar. Esto genera un texto cifrado de letras y números con relación al documento. Al intentar descifrar el código cifrado de la función hash, se puede cambiar de mensaje y, por ende, el mensaje inicial no podrá ser leído. El firmante envía al receptor la información inicial al receptor con la firma aplicada. El documento al estar firmado, no puede ser alterado, pero si puede ser leído a quien el receptor termine entregando la información. Para la verificación, el receptor utiliza la clave pública del emisor para reescribir el mensaje cifrado de la función hash, luego procede a comprobar si el mensaje luego de descifrar es el mismo al mensaje enviado. Si ambos mensajes son iguales, la firma es válida. 19 Figura 6. Proceso de la firma digital Fuente: Fundamental of Cyber Security: Principles, Theory and Practices La autenticidad de un documento es verificada por cualquiera que descifre la firma del documento con la clave pública del remitente, obteniendo la huella del documento, y luego comparándolo con el obtenido al aplicar la función hash al documento recibido que se conectó a la firma. Si las dos huellas son iguales, la autenticidad e integridad del documento son válidas e indudables. Ventajas de la firma digital A comparación de la firma hecha a mano con un bolígrafo, la firma digital ofrece ventajas con respecto a los tiempos, costos y uso de recursos. La aplicación de la firma digital es de suma importancia para las compañías dado la migración y el uso de las tecnologías de la información que se está aplicando en estos últimos años. Las principales ventajas descritas por los autores son las siguientes: Mejora de los procesos operacionales, dado que hay reducción de tiempo y de costos. Poco riesgo de mitigación, con la información asegurada, y la capacidad de almacenamiento de la información sin problemas. Poca probabilidad de daño de los documentos firmados. 2.3 ASPECTOS LEGALES 20 Toda implementación tecnológica aplicada a un entorno dado tiene no solo implicaciones meramente técnicas, sino también implica cuestiones tanto sociales como jurídicas. Para estos casos que tienen implicaciones legales, como los casos de las historias clínicas electrónicas y las firmas digitales, en el Perú se han redactado leyes y reglamentos con el fin de validar las cuestiones legales que implican el desarrollo de la aplicación de la firma digital a historiales clínicos. A continuación, se hace referencia a los siguientes reglamentos: 2.3.1 Ley N° 27269. Ley de Firmas y Certificados Digitales. La ley de Firmas y Certificados Digitales fue dada por el Congreso de la República y publicada en el Diario Oficial El Peruano el día 28 de mayo de 2000 y se plasma que el principal objetivo es regular el uso de la firma digital, la cual tiene la misma validez legal que una firma manuscrita. Conforme a la Ley 27269, la firma electrónica es un símbolo basado en medios electrónicos utilizado por una parte con la intención de autenticar un documento cumpliendo la misma función que una firma manuscrita. La Ley 27269 se aplica a cualquier firma electrónica que se pone, añade o se asocia a un mensaje de datos, con la finalidad de vincular e identificar al firmante, así como garantizar la autenticación e integridad de los mensajes electrónicos. Con la vinculación e identificación previa de los firmantes, se garantiza el no repudio de la información firmada. La Ley 27269 describe a la firma digital como una firma electrónica que aplica la técnica de criptografía asimétrica, con la cual su aplicación es la seguridad de la la integridad del mensaje de datos y enlaza al titular de la firma con el mensaje remitido. Esta técnica criptográfica aplica la utilización de dos llaves: unallave privada, que solo la conoce el titular y la usa para generar la firma digital, y una llave pública con la cual el receptor verifica la firma.” 2.3.2 Ley N° 30024. Ley que crea el Registro Nacional de Historias Clínicas Electrónicas. La Ley 30024, aprobada el 21 de mayo de 2013 y publicada en el Diario Oficial El Peruano el 22 de mayo de 2013, propone el incentivodel uso de las Tecnologías de la Información y Comunicación (TIC) en el sector salud como mecanismo para optimizar la calidad de atención a los ciudadanos y así lograr de manera escalada que los centros de salud cuenten con historias clínicas electrónicas. 21 Entre los objetivos principales de la ley son las siguientes: La organización y el mantenimientodel Registro de las Historias Clínicas Electrónicas. La estandarización de los datos y la información clínica de las Historias Clínicas Electrónicas (HCE) para conseguir la interoperabilidad en el sector salud. El aseguramiento de la disposición de informaciones clínicas contenidas en las HCE para el paciente, el representante legal y los especialistas de la salud. El aseguramiento de continuar la atención de salud hacia el paciente, mediante el intercambio de información clínica que se solicite, comparta o autorice. Informar al Sistema Nacional de Salud para el modelado y ejecución de las políticas públicas que confieran el ejercicio del derecho a la salud. 22 CAPÍTULO III: ESTADO DEL ARTE Para este capítulo revisaremos brevemente investigaciones recientes que fueron desarrolladas para el manejo de la firma digital, con el fin de tener una visión más clara acerca de las técnicas que se utilizan en dichas investigaciones y cuáles han sido los casos de éxito. 3.1 ARTÍCULOS 3.1.1 Invocación por protocolo como plataforma de servicios de firma digital(Mauricio Décima, Gastón Terdoslavich, 2017) La invocación por protocolo consiste enel registro de un sistema para la atención del llamado de protocolo, en caso se dé una invocación para aperturar una URI con este protocolo, se aperturael aplicativo. Para esto esde suma necesidad la elaboración de un aplicativo nativo que contemple la herramienta de la firma, accesibilidad a los certificados y el registro de un protocolo con asociación a la firma. Problema Los autores (Décima &Terdoslavich, 2017) mencionan que usaban una applet basado en Java, pero esta applet les generaba problemas como los siguientes: Diversos problemas con relación a la compatibilidad ante cambios y actualizaciones con respecto al lenguaje Java. Una excesiva cantidad deobservaciones de mostrandoal usuario al momentode la descarga y uso. Problemas de compatibilidad con los navegadores Chrome y Edge En la versión 9 de Java no hay accesibilidad para el plugin, la que ocasiona que las applets no tengan funcionalidad. seguridad Objetivos Los objetivos que se plantearon los autores para la solución del servicio de firma digital fueron los siguientes: Brindarun conjunto de soluciones que contempleeluso de forma fácil y sencilla de certificados digitales dentro del contexto del uso de la firma digital, considerando el encriptado y desencriptado de datos. Desarrollar un sistema que permita la aplicación de la firma digital en aplicaciones web, 23 Gestionar en un sistema gestor de base de datosun registro de los documentos firmados de forma con para poder realizar las acciones de auditoría. Además, con el registro se planteala provisión de una copia de los registros en caso de ser de suma necesidad y poder contar con la factibilidad que un documento impreso tenga la posibilidad de recuperación y su posterior verificaciónde forma a travésdel uso de un código QR en elregistro. Desarrollar un registro con los certificados emitidos, dicho registro permitirá en una situación determinada por el clientedar a conocer que el certificadotenga el visto bueno y tener validez para cadapersona. Proveer servicios Web en lo concerniente a la herramienta de la firma digital Solución Se plantearon 3 soluciones: 1. Desarrollar extensiones para navegadores Web 2. Poner en funcionamiento una API desarrollada usando javascript. 3. Usar aplicaciones nativas aplicando la invocación por protocolo. De las 3 mencionadas anteriormente, los autores decidieron usar la opción de usar aplicaciones navitas por invocación por protocolo, dado que para el sistema el uso de esta herramienta le reduce la dependencia a applets y da mayor independencia a la arquitectura del sistema: Figura 7. Proceso de la firma digital bajo la invocación de protocolos Fuente: (Mauricio Decima, Gastón Terdoslavich) 24 De acuerdo a la gráfica: 1. En el aplicativo Web se realiza una invocación de una APIJavaScript a aplicarse al proceso de la firma. El mismo dispara los siguientes eventos: 2,3,4. Seejecuta la llamada a un servidor intermediador (SSC) el cual almacena la información imprescindiblepara la realización de la firma y regresa un token de identificación único (TIU) 5. La API aplica la herramienta de la invocación usando la herramienta del protocolo a la URI: crypto://TIU queemite a la aplicación nativa y luego emite el parámetroTIU. 6. Se procede a la espera de forma asincrónica la contestación del servidor. 7. El aplicativo toma el TIU que recogió y la mismarealiza la recuperación desde el servidor toda la información requerida para poder realizar la firma. 8. Se procede a realizar la firma digital. 9. El aplicativo retorna la información firmada al servidor 10. Se le emite una respuesta al cliente JavaScript el cual termina su espera por la respuesta (punto 6) con los datos firmados. Solución descrita La solución se desarrolla en 3 partes: Módulo JavaScript: este módulo expone la API que provee el proceso de firma y devuelvelos datos firmados. El módulodesarrolla en temas con respecto a la logística para comunicarse con el servidor SSC, realiza la invocación por protocolo al firmante y se queda de forma asincrónica a la espera la respuesta de lafirma. Aplicación nativa: la aplicación se ejecutamediante la invocación por protocolo. Dado que es una aplicación nativa que se ejecuta en la máquina del usuario se encuentra con diversos retos los cuales se enumeran y describen: o Ladistribución de laaplicación a los clientes de forma sencilla. o El mantenimiento del sistema actualizadoluego del proceso de distribución. o El manejo en temas con respecto a los permisos de administrador para la instalación. Para contrarrestar estos temas se hayan dos soluciones: ClickOnce o Java Web Start. La opción elegida es ClickOnce dado quesatisface con el desarrollo de la solución a todos los problemas descritoscon 25 anterioridad de manera legible, publicando la aplicación desde un aplicativo web. Servidor intercambiador (SSC): Es una aplicación web que muestra los servicios imprescindibles para que la aplicación web que requiera hacer la firmar puedahacer una comunicación de manera bidireccional con la aplicación nativa. Un mérito adicional es de dar el permiso del mantenimiento de un registro y control de toda la data firmada por losclientes. Aporte para la empresa La arquitectura planteada en este estudio, aparte de reemplazar el uso de Applets para poder realizar la firmadigital,ademásbrinda de una plataforma en la cual se puede ir montando los aplicando los siguientes servicios: Encriptación y desencriptación de datos Integración con APIs para el manejo de la información en la firma. Añadir la firma de aplicación en el lado del servidor en forma transparente y clara Verificación con respecto a las revocaciones y fecha a vencerde los certificados,etc. Los usuarios directosde la institución ARBA que aplican la firma digital en la organización también ejecutan los procesos que necesiten cierta documentación protegida con la firma digital entre los que podemos hacer notar: Workflows de aceptación de permisos, Gestión de expedientes, Trámites en general. La herramienta de invocación por protocolo logróreflejar que el proceso de instalar parafirmantepueda serejecutadade manera directa por el usuario final, ya que la herramienta es descargada automáticamente y no necesita algún otro tipo de configuración adicional para su ejecución, esto sucedía lo contrario con el uso de Applet, ya que al usar una applet era inminente la necesidad que especialista de tecnologías de la información realice configuraciones en todas las computadoras que requerían este serviciopara su eficiente manejo. El nivel de factibilidad de ejecución es altoenlos organismos públicos o privados, dado que una de las principales metas a lograr fue la practicidadde la implementación y el uso. Contemplando que la solución 26 de firma se realiza de forma independiente de ellas, el uso de la herramienta de la firma digital brinda la posibilidad para cualquier aplicativo a través de la incorporación de una referencia hacia librerías desarrolladas en JavaScript y la utilización de APIs que dé la función de proveer la información. 3.1.2 Desarrollo de un sistema para la firma digital de registros médicos (Adrián Gómez, Marcela Martínez, Damián Borbolla, Daniel Luna, Enrique R. Soriano. 2014) El proyecto (Gómez et al., 2014) de firma digital estámodelado bajo la infraestructura Private Key Infraestructure (PKI), que considera el uso de llaves públicas yllavesprivadas brindadas por las autoridades certificadoras. El Hospital Italiano de Buenos Aires aceptó la propuesta de desarrollar una propia infraestructura PKI que implica poner en marchala ejecución del desarrollo y gestión de llavespúblicas y llaves privadas. El gestor de administración de información de la institución registra las actividades médicas que genera el proceso de atención. Apoyado en un sistema de registro electrónico, el especialista de la salud registra en laaplicaciónlos ítems médicos que se agrupa de la siguienteforma: Problemasmédicos. Evolucionesmédicas. Estudiossolicitados. Todos los términos agrupados muestranuna consulta médica, los datos médicos que un especialista de la saludconsigna en el documento de atención, se detallaen los ítems que modelan una representacióndel evento en lo que concierne a salud o la consulta por parte del especialista de la salud. Una vez concluida la atención, el especialista de la saludde forma digital firma el historial y se guarda en una base de datos segura. Se contempló el hecho de guardar los eventos con el conjunto de estándares propuesta por HL7(Health Level Seven) la cual es “Clinical Document Architecture” (CDA) y así generar una base de datos de historiales clínicos con firma digital. El procedimiento de firmar digitalmente consta en la recolección de la información médica registrada, y se construye un archivo XML. El XML es un lenguaje de marcado en crecimiento usadopara el desarrollo web, desarrollando en los últimos tiempos un estándar que ayuda a generar seguridad en el entorno. En lo que concierne al aspecto de la seguridad en la herramienta XML se combina algoritmos criptográficos que se puede aplicar con el metalenguaje XML ofreciendo un marco con seguridadpara los usuarios y las aplicaciones. La firma digital de archivos XML es un estándar de seguridad implementada en estos últimos años por el 27 consorcio W3C (World Wide Web Consortium). Con la finalidad de asegurar la integridad y autenticidad, un documento digital debe contemplar tres características principales características: Cuenta con un hash. Consisten en una cadena de dígitos única, generado posteriormente a la aplicación de una fórmula matemática a un documento y/o cadena de texto, que da correspondencia solamente con el original y es irreversible. Ser firmado con un sistema de claves privada y pública, para asegurar su autoría. Poseer un servicio de Time Stamping, para brindar el servicio de temporalidad al documento. Proceso Informático Para el proceso del manejo de los datos a nivel de marcado, el proyecto plateó el uso de los archivos XML, la cual da mayor relevancia a estos tipos de archivos. El procedimiento de firmar digitalmenteconsta en obtener la información incorporada, y se elabora un archivo XML que contienetoda la información médica que contempla el historial médico. La herramienta que genera el documento clínico XML computa un valor único para el hash y hace la encriptación del valor del hash usando la clave privada almacenada en su token, la autoridad certificadora genera la clave privada. El archivo encriptado conserva su información original, luego se procede a la certificación del archivo. El proceso permite la validación del certificado del archivo XML generado, aplicando el proceso de la extracción de la clave pública del archivo. El mensaje pasa a ser desencriptado, se procede a hacer el cálculo del hash y se hace la comparaci con el documento XML firmado. Este proceso permite conservar una copia del historialmédico, detectando posibles modificaciones en el registro original. Se establece cual es el documento a ser firmado identificado por el URI, y cada recurso de cada recurso, este cálculo de un recurso identificado se representa en el elemento “DigestValue”, y mediante el elemento “DigestMethod”, se distingue el algoritmo utilizado para calcularlo. Luego se firma el documento calculando el digest y se guarda la firma en el elemento “SignatureValue”. Se hace la adición de la información de la clave pública guardada en el elemento “KeyInfo”, en esta parte la clave es necesaria para la posteriorverificación de la firma. Los documentos médicos firmados son guardados en un servidor seguro el cual cumple la función de repositorio de documentos firmados y cada recursoaludida se 28 detalla en el elemento XML “Reference”. Se calcula el Digest (Hash) Cualquier tipo de información médica puede ser examina por intermedio de procedimientos, los cuales confirman si la información almacenada es diferente o no de su registro original. Discusión con respecto al desarrollo del sistema Generalmente, el especialista de la salud valida su identidad una sola vez al ingresar a la HCE (Historia Clínica Electrónica), utilizando un nombre de usuario y una contraseña. Esta contraseña se le otorga al especialista después que el especialista firme un acuerdo de confidencialidad al finalizar su capacitación en el uso del sistema. Toda actividad realizada por el profesional a través de la HCE, se queda registrada con el nombre del usuario. La recopilación de las actividades del médico, evidenciado en un único archivo XML, con el agregado del uso de la firma digital, autorizará crear un registro fiable y único de los actos médicos. Por último, los autores afirman que la puesta en marcha de la firma digital en un registro de salud es un proceso desafiante por el motivo que conlleva un importante impacto tecnológicoy organizacional. 3.1.3 RSA cryptosystem: an analysis and python simulator (Cescily Nicole Metzgar, 2017) La autora (Metzgar, 2017), antes de hacer una simulación en el lenguaje Python, describe el método y el uso del sistema RSA, la cual describe el porqué de su utilidad, la cual compromete dos teoremas matemáticos, el Teorema de Lagrange y el Pequeño Teorema de Fermat. Para la simulación en Python, la autora complementa con 5 métodos. Las cuales estarán descritos a continuación: toNumber: este método usa una cadena como parámetro y usa la función predefinida “ord” de Python, que convierte las cadenas en sus respectivas representaciones ASCII. toLetter: toma de una cadena de números que están evaluadas cada 3 dígitos, la cual, luego con el método predefinido “chr” de Python, devuelve una cadena a partir de los números. El método euclidiano es una versión codificada del Algoritmo de Euclides que es usado en el proceso RSA para la desencriptación. isprime: este método se usa para la verificación si es que dos 29 números son primos gcd: este método se usa para calcular el máximo común divisor que es dado como parámetro. La simulación comienza consultando al usuario si es un emisor o receptor Figura 8. Comandos de la simulación (Fuente: Ciscily Metzgar) En caso el usuario indique que es un emisor, se le pedirá un exponente a y el módulo n. Y luego se le pedirá el texto plano la cual desee enviar. Figura 9. Ejemplo de la simulación de la encriptación (Fuente: Ciscily Metzgar) En caso el usuario indique es un receptor, la simulación le consulta que desea realizar, crear parámetros o desencriptar. En caso haya decidido crear parámetros, el sistema le va a requerir dos números p y q. El sistema luego de pedir ambos números, calculará el valor de n, el cual es el número del resultado de la multiplicación entre (p-1) y (q-1). 30 Figura 10. Ingreso de parámetros para la simulación de la desencriptación (Fuente: Ciscily Metzgar). En el siguiente caso, como se podrá ver en la figura 11, la cual es la desencriptación o desciframiento de la data encriptada, el sistema le va a consultar los valores de las variablesp, q y a, siendo a un número exponencial. Figura 11. Simulación de la desencriptación. (Fuente: Ciscily Metzgar). 3.1.4 Digitally Signed And Permission Restricted Pdf Files:A Case Study On Digital Forensics (Patricio Domingues, 31 Miguel Frade - 2018) Los autores (Domingues & Frade, 2018) relatan sobre la digitalización de muchos documentos, especialmente en lo que respecta al uso de los archivos PDF, que son ampliamente usados en diversos ámbitos. Esto sumado a la versatilidad de los archivos PDFs y su uso no solo en computadoras, sino además en celulares y tablets, lo cual implica una adecuada seguridad en lo que respecta al manejo de archivos PDF. El soporte del uso de las firmas digitales en archivos PDF fue incluída a partir de la versión 1.3, lanzada en 2000 (Adobe, 2000), y desde ahí ha recibido soporte y actualización en cuanto a nuevos sistemas. En la versión 1.7 los archivos PDF soportan los algoritmos de firmas digitales RSA y DSA, en la versión 2.0 soporta ECDSA. En cuanto al uso de las funciones hash, el archivo PDF soporta SHA1 desde la versión 1.3, SHA256 desde la versión 1.6, SHA384 y SHA512 desde la versión 1.7. Autopsy es un software de escritorio usado para el análisis forense digital, bajo la licencia Apache 2.0. la cual puede ser complementada con librerías externas, que son generalmente escritas en Java y Python. Los autores usan el módulo digiSigned|ProtectedPDF. Este módulo cumple las funciones de identificar los archivos PDF que están firmados e identificar si los archivos tienen algún nivel de protección ya sea si tienen permitido o no su modificación. Los autores analizan de 10 483 archivos, 294 archivos PDF firmados, las cuales, presentan las siguientes conclusiones: 131 están válidamente firmados 18 tienen falla con respecto a la cadena token 95 no presentan fecha 7 Tienen OSCP inválidos 41 no se pueden verificar el certificado 1 tiene problema de extensión 1 tiene una firma sin emisario. De los 10 483 archivos PDF, 393 tienen restricciones. De los datos anteriores se concluyó que, en base a los archivos PDF firmados, se puede obtener información con respecto a los dueños de los archivos, especialmente información personal. En caso de los archivos que tienen restricciones de permiso, se pudo obtener información, pero menos informativa, ya sea que los archivos estén digitalmente firmados o no. 32 3.1.5 Implementation of a digital signature in a 32 bits embedded system (Juan Camilo Ramírez González, Edwar Jacinto Gómez - 2019) Los autores (Ramírez & Gómez, 2019) redactan en este artículo la implementación de la función hash, el algoritmo de la generación de claves RSA en una plataforma embebida PSoC (Programable System on Chip), plataforma de bajo costo y la cual se analizan una serie de métricas. Los autores implementaron el esquema de firma digital con el uso del estándar PKCS #1 v2.2, la cual cumple con la aplicación en el uso de un hardware de plataforma embebida de 32 bits, que es el PSoC 6 BIE Pioneer. Para las implementaciones del software, se usó las funciones c++ que se pueden implementar en el PSoC, como se muestra en el siguiente esquema. Los autores implementaron la función SHA-256 cuyo principal objetivo fue la creación de un resumen de mensaje de 256 bits de un bloque de datos arbitrarios, de tamaño fijo, con un tiempo de respuesta de 3215 microsegundos y usando el 0.61% de memoria flash (del total de 1MB de memoria Flash) y el 0.11 % de memoria RAM (del total de 288KB de memoria RAM). Figu ra 12. Pro ceso de la firma digital. (Fuente: Juan Camilo, Edwar Gómez). 33 Para la respuesta de la implementación del algoritmo RSA, se requirió un tiempo de 5945 ya que para el proceso se factoriza números primos extensos. Los autores plantean realizar estudios de otras plataformas embebidas de 32 bits, usar otros estándares de firmas digitales y hacer comparaciones de rendimiento con otros algoritmos criptográficos. 3.1.6 Correo electrónico local con implementación de métodos de seguridad criptográfica (Ignacio Javier Hernández Gómez - 2019) Las herramientas que usa el autor (Hernández, 2019) para realizar su proyecto son usar el lenguaje de programación Python, dado que es un lenguaje que está en auge debido a su uso en multitud de ámbitos, además de tener la capacidad de integrar bibliotecas y tener una comunidad de desarrolladores activa. Además, usará Git para el control de versiones y PyCharm, que es un editor de texto centrado en el lenguaje de programación Python, y para la realización de las interfaces gráficas, usa PyQt5, que es un conjunto de librerías que su fin es una ayuda para la creación de interfaces gráficas La implementación se desarrolla en un entorno local, además se ha creado una base de datos para almacenar los correos electrónicos enviados, y a su vez como registro de los usuarios. La herramienta para la gestión de la base de datos va a ser sqlite3. Este BD consta de 2 tablas: Usuario y Correo. La aplicación del correo electrónico, consta de una ventana la cual le pide ingresar su correo y contraseña. Al ingresar le muestra esta interfaz: 34 Figura 13. Ventana del usuario con correos recibidos. (Fuente: Ignacio Javier Hernández Gómez). En la ventana de inicio puede observar los correos enviados y recibidos, eliminar correos, redactar un correo y cerrar su sesión. En caso sea un usuario nuevo en su bandeja de entrada tendrá un mensaje de bienvenida que le explica las medidas de seguridad criptográficas. Para enviar un correo, pone la dirección de correo electrónico completa. En caso de no poner texto, se emitirá un aviso en caso el usuario haya olvidado escribir. Figura 14. Ventana emergente para enviar un correo. (Fuente: Ignacio Javier Hernández Gómez). El autor desarrolló dos formas para el cifrado, que son las formas RSA y Elgamal, esto lo uso para estudiar las respuestas, los tiempos de respuestas y analizar estos datos. Lo cual le demostró seguridad al momento de cifrar el correo 3.1.7 Comparative Study of Different Cryptographic Algorithms(Ankita Verma, Paramita Guha, Sunita Mishra 2016) Las autoras (Verma et al., 2016)realizan este estudio comparativo 35 considerando la importancia de la seguridad en lo que concierne al manejo de datos, además del uso que se hace del manejo de datos en la nube. El estudio de las autoras clasifica los dos tipos de encriptación: encriptación simétrica y encriptación asimétrica. Para el caso del tipo de encriptación simétrica, las autoras describen 4 tipos, que son: Data Encryption Standard (DES) Triple Data Encryption Estándar (3DES) Advanced Encryption Standard (AES) Blowfish Para el caso del tipo de encriptación asimétrica, las autoras describen el RSA (River-Shamir-Adlemen) Las autoras describen las comparaciones en dos tablas: Algorithms Year of use Key Length Size of Block No. of Rounds Power consumption Avalanche Effect DES 1977 56-bits 64-bits 16 Low Less than AES 2000 128-bit, 192-bit or 256-bit key 10(128-bits), 12(192bits),14(256-bits) Low Faster encryption/ decryption, less time than DES 48 Low as compared to des, aes, blowfish and rsa Medium High Fastest, except when changing keys Very high Slower Encryption/ Decryption AES 3DES Blowfish RSA 1978 1993 1977 168-bit, 112-bit or 56-bit 128-bits 64-bit 32-bits up to 448-bits 64-bit >1024-bits Min 512-bits 36 16 No rounds Tabla 1. Comparative analysis of different cryptography algorithms, Table 1 (Fuente:Ankita Verma, Paramita Guha, Sunita Mishra) Algorithms DES AES 3DES Blowfish Resources Consumption Security Requires more cpu cycles Inadequate and memory Consumes resources when data and block size is big Requires effective resource consumption Requires preprocessing High Vulnerable High 37 Throughput Cryptoanalysis Resistance Tunability Medium Vulnerable to linear and differential cryptanalysis No Very high Strong against truncated differential, linear interpolation and square attacks No Medium Vulnerable to differential brute force, attackers can analyze plain text No High Vulnerable to differential brute force attackers No RSA Very high Very high Very high Brute force attack difficult to accomplish Yes Tabla 2. Comparative analysis of different cryptography algorithms, Table 2 (Fuente:Ankita Verma, Paramita Guha, Sunita Mishra) Luego de analizar y comparar los diferentes métodos de encriptación, de las tablas concluyeron que Blowfish mostró una mejor performance que los otros métodos, aunque eso signifique que haya mayor consumo de recursos y tiempo. La performance de AES es mejor que DES y 3DES y además toma menos tiempo en la encriptación y desencriptación. Además, se observó que DES presenta vulnerabilidades en criptoanálisis lineal y diferencial. Los métodos 3DES y Blowfish son vulnerables al ataque de fuerza bruta, contrario al RSA en la cual es dificultoso el ataque de fuerza bruta. En cuanto a los algoritmos de encriptación simétrica, AES y Blowfish son más eficientes y seguros. La velocidad y el consumo de recursos es mejor comparado a los demás algoritmos. En el caso de encriptación asimétrica, RSA ha demostrado seguridad y su uso también puede servir para uso de redes debido a su velocidad de respuesta y seguridad. 3.1.8 El Sistema De Gestión Documental Quipux Y El Manejo De La Documentación Digital En Las Empresas Públicas (Gissella Andreina Intriago Rezabala, Jenny Gisella Villavicencio -2019) Las autoras (Intriago et al., 2019) desarrollaron el sistema Quipux en base a la necesidad de del desarrollo de un manejo con respecto a los documentos dentro de una organización pública, ya que la documentación al ser parte fundamental en una organización, es indispensable hacer una gestión eficiente de los documentos. Las autoras consideran que para un sistema de gestión de documentos se desarrolle de manera efectiva se debe considerar estas tres características: confidencialidad, integridad y disponibilidad. El sistema incluye la parte del manejo de la firma digital la cual sirve para una mejora en la gestión de los documentos, en la cuestión de que la firma digital ayuda en la optimización de la gestión de documentos, dado que gracias a la firma se produce una reducción de recursos como papel y además reducción de tiempo. El sistema desarrollado plantea y destacan las siguientes acciones: 38 Preservación intacta de los documentos durante el tiempo. Acceso inminentea la documentaciónindistintamente del lugar la cual acceden. Indagación de documentaciónde forma sencilla. Generación y transferencia de documentos omitiendo el traslado físico. Invulnerabilidad de la información aplicando herramientas de seguridad digital. Reducción de tiempos de las acciones de distribuir y consultar. Ahorro de los bienes físicos y económicos para la gestión de la documentación. Reducción en la acción de imprimir los documentos. Ayuda a la preservación del ambiente. Aparte del desarrollo del sistema, también se consideró consultar con respecto a la efectividad y los beneficios que traerían gestionar virtualmente los documentos con el manejo de la firma digital, y luego de las consultas a personal que maneja documentos, se afirmó que documentar virtualmente apoyándose en la tecnología de la firma digital trae beneficios a la organización. Las autoras en su investigación concluyeron mediante este enunciado su propuesta: “El contenido y la experiencia que aborda el Sistema de Gestión Documental Quipux del personal administrativo secretarial, comprueba que ésta, es una herramienta que hace más eficaz y más seguro el envió de información, por lo tanto, los resultados de la investigación evidenciaron que es de gran importancia este sistema, puesto que permiten conocer el proceso que se realiza para gestionar la información y archivar los documentos.” 3.1.9 Proyecto De Factibilidad Para La Implementación De Sistemas De Gestión Documental En Las Instituciones De Educación Superior (Jorge Luis Haro Avalos, Roberto Carlos Villacrés Arias - 2018) Los autores (Haro et al., 2018) en la investigación analizan la factibilidad de implementar un sistema para la gestión de documentos que impliquen el uso de la firma digital, la cual se aplica a la Escuela Superior 39 Politécnica de Chimborazo. Se aplica a esta institución por el motivo que al momento de hacer la investigación el 85% de las unidades acumulaba una gran cantidad de trámites, papel y documentos que son guardados y esto genera que no se procesen. El sistema de gestión documental que se aplica en el desarrollo de la investigación implica la computarización de documentos que anteriormente se gestionaba usando papel físico, y en este proceso de computarización está implicado el uso de la tecnología de la firma digital, la cual se propone aplicar para esta investigación. Entre las propuestas principales para el sistema a desarrollar son las siguientes: Las actividades de crear, enviar, recibir, almacenar, recuperar y clasificar losdocumentos para su posterior gestión. Acceder al sistema de usuarios tanto internos como externos a los documentos de una institución. Reportar información estadística de documentación creada y enviada. Recepción en línea de la documentación generada en el sistema y de documentación impresa registrada. Los autores concluyeron que mediante el análisis pudieron comprobar que la computarización de la gestión de los documentos mediante el uso de la firma digital es viable debido a los beneficios que brinda. Los principales beneficios propuestos son: la reducción de tiempo de gestión de los documentos, reducción del uso de papel, y la reducción de espacio para el almacenamiento de los documentos, dado que se propone que los documentos sean digitalizados Los autores enunciaron que, aparte del desarrollo del sistema, lo que puede además ayudar a optimizar la gestión de documentos, es la mejora de los procesos internos de la institución, más que nada en lo que respecta al trato del personal y su eficiencia al momento de sus labores. 3.1.10 Modelo De Gestión Documental Electrónica De Archivos Basado En Metodología BPM Para El Mejoramiento De Los Procesos Administrativos (Yamile Hidalgo Urrea, Wcdaly Cortés Algeciras - 2020) Las autoras (Hidalgo et al., 2020) realizan este proyecto con el objetivo de dar a conocer la importancia que implica la implementación de un 40 sistema de gestión documental electrónica con aplicación de la firma digital, este proyecto está pensado en aplicarse tanto en instituciones públicas como privadas. Luego del análisis realizado por las autoras, plantearon los siguientes enunciados: El uso de la notación BPMN para describir fases para la administración de documentos electrónicos de forma clara y lógica, para la garantía de un flujo de trabajo óptimo, ahorro de tiempo y de recursos. El prototipo del diseño del modelo debe permitir la planificación, el manejo y la organización de la documentación producida y recibida por la entidad que planee usar. La evaluación del modelo permite evaluar su efectividad y con esto, retroalimentar para poder realizar mejoras y ajustes a su desarrollo planteado. El modelo de la gestión documental planteada por las autoras aplicando la herramienta BPMN planea permitir mejorar los procesos principalmente en lo que respecta al ahorro de tiempo y recursos físicos, y a su vez este modelo se debe alinear con las políticas de la institución a la cual pretenden aplicar. Considerando además que en estos últimos años se hace el planteamiento de la digitalización de los documentos como forma de adaptación a la masificación de las tecnologías de información y comunicación 3.2 TESIS 3.2.1 Diseño e implementación de un esquema de encriptación y firmas basado en identidad para dispositivos bug (María Moreno Vilicich, 2015) La temática de la tesis (Moreno, 2015) es laimplementación de un de sistema de para poder ser segura para los dispositivos. El sistema aplica la firma basada en identidadpara los mensajes además utiliza las huellas digitales para hacer el enlace de un usuario determinado hacia un dispositivo,para la protección y preservaciónde la data privada del usuario. Además, el sistema debe tener la posibilidad de extensión para poder la incorporación de la herramienta de encriptación basada en identidad. La autora eligió basarse de la investigación de (Boneh & Franklin, 2001) para el enfoque de la encriptación, la investigación de (Paterson, 2002) para autentificación y el trabajo de Dodis, Reyzin y Smith para la 41 criptografía. Además, se consideró el último estudio en lo que concierne a las actividades de implementar Hash Universal y Códigos MAC para la verificación de la precisión de los resultados antes de la entrega de la información privada guardadaen los dispositivos. En lo que concierne a las huellas digitales, las autoras decidieron por la opción SDK de Griaule Biometrics por el motivo que es fácil y sencilla de usar y no se tiene la necesidad de contar con acceso constante ainternet. En la fase de diseño se consideró la cuestión que los usuarios no se hallasen de forma permanente en comunicacióncon la entidad central, luego de esto se contempla funcionar en tres etapas: la primera al momento de levantarse, se realiza la ejecución del sistema una sola vez y luego se procede a la generación de los parámetros maestros en el sistema de encriptación y de la firma. La segunda etapaconsiste en la incorporación de la huella digital, de su clave por el servidor central, la encriptación de su clave y el guardado de la data en el dispositivo BUG. Como último paso, por cada vez que el usuario acceda al sistema se realiza la consulta de la huella digital, se compara con el patrón registrado de la huella digital y si llega o no a corresponderse la autenticidad de los mensajes emitidos. Estas acciones logran y permiten que las consultas a la entidad central puedan serlo más mínima posible en lo que respecta al uso de recursos y así podrá permitir una comunicación autentificada entre losmiembros. 3.2.1.1 Implementación de lasolución 3.2.1.1.1 Implementación de los componentes Fuzzy Extractor: Para este primer componente se desarrolló en base a implementar pinsketch antes y con dos acciones principales: la generación de la información aleatoria, y la recuperación de los datos connueva información. En las dosacciones seutilizan las dos funciones que se emiten al ser implementadas: Sketch que realiza el cálculo del sketch de un paquete de datos dado y Differ que, mediante un paquete y el sketch de otro computa la diferencia simétrica entre los dos conjuntos. Autentificación basada en Identidad: El segundo componente se desarrolla en dos partes. En el primer pasose emplea el servidor central con las implementaciones de inicio y el proceso de generar claves, luego, en el segundo paso los usuarios lo ejecutan y llega a contener las funciones de la firma y su comprobación. 42 Procesamiento de huellas digitales:este módulo cumple con el funcionamientoen el servidor central además en los dispositivos BUG y se ejecuta a mediante la data que es entregadapor la SDK utilizada. 3.2.1.1.2 Integración de loscomponentes Para poder realizar la integración de todos los módulos, yaun así cada módulo se pueda ejecutar de forma independiente, la autora decidió por el mantenimiento de los códigos externos lo más similar posible a la versión original, conservando sus interfaces. Es por eso que el proceso de comunicar entre el componente de huellas y el fuzzy extractor se realizar mediante archivos que guardan la dataa su vez que la comunicación entre éste y el componente de encriptación se procesa mediante el uso de variables. Se procedió a la elección de esta opción a pesar de la división potencial de seguridad que existe con respecto al fichero, tomando en cuenta en el acto de que ese proceso se desarrolladade forma esporádica y el archivo es borrado tan pronto sea posible, haciendo lo más mínima posible ladevulnerabilidad. 3.2.1.2 Arquitectura Desarrollada La arquitectura planteada se mostrará a continuación Figura 15. Arquitectura Desarrollada Fuente: Moreno Vilich, María Servidor Central (SC): Este módulo se encarga de iniciar los parámetros del sistema de autentificación, con el añadido de la generación de las claves para los usuarios y procede con la 43 extracción de la información de lashuellas digitales al instante de registrarse, así como el almacenamiento de las identidades de los dispositivos que sonutilizados y a quienes se les asigna. Para este ejemplo se considera un solo servidor, aunque,cabe la posibilidad de ser un conjunto de servidores para redes con alto tráfico por parte de los usuarios, sin embargo, considerando que la labor de este componente es esporádica no es considerada necesaria. BUG (BG): Bajo el esquema de la figura 15, se tomó la consideración de un solo dispositivo BUG, sin embargo, en la fase de producción serán diversos los BUG que realicen la interactuación entre cada uno de ellos. Este componente es la que extrae información delambientela cual se simula en esta implementación. La información es procesada mediante la autentificación y enviada ya sea mediante la red ad- hoc o al servidor que realiza la esperamediante el uso de internet. Además,en este componente se realiza la identificación del usuario por cada vez que realice el acceso al sistema luego de haberse registrado, para poder usarlo en base de la información privada brindada por el cliente. Servidor de aplicación (SA):Este componente,recae la correspondencia al servidor que está estático en el sistema, realizando la espera de la información obtenida por los dispositivos BUG para su ejecución. En esta parte, de forma similar que en los BUG se ejecutan las rutinas de verificación y firmas de mensajes para la comunicación de los dispositivos, con el fin del guardado de una lista con los dispositivos con autorización. 3.2.1.3 Proceso de la ejecución delsistema El proceso, desde el iniciodel SC hasta la recepción y verificación de los mensajes por parte del SA, se realiza mediante los siguientes pasos: Inicialización: La entidad central, usando SC procede a la generación de los parámetros maestros del sistema, tanto los de autentificación como los de extracción de información de las huellas. Registro: Cuando un nuevo usuario procede a registrarse,se almacenasu identidad, se almacena la información del 44 dispositivo que le será asignado, además dela huella digital del usuario. Con los datos SC realiza la extracción de la información concerniente a la huella digital a través del fuzzy extractor y luego de la generación de la clave privada mediante la autentificación realiza la encriptación con la clave respectiva. El texto cifrado, los parámetros públicos de autentificación y el código MAC de la clave son almacenados en el dispositivo BUG para su uso posterior. Ingreso: Luego de realizarse el registro del usuario, el usuario debe identificarse por cada vez que realiza el ingreso al sistema mediante el uso de su huella digital. La aplicación BG procede a la verificación de la información de la huella y si hay correspondenciaprocede a la liberación de la clave privada del usuario para la firma de mensajes. Firma: Cada mensaje que sea emitido mediante la red de BUGs o la aplicación SA es firmado con la clave obtenida en la fase de ingreso, utilizando los algoritmos Setup, Keygen, Sign y Verify bajo el esquema Diffie-Hellman. Luego de esto el mensaje es liberado a la red. Verificación: Cuando un mensaje llega a SA, el primer paso es la verificación de la identidad del remitente, la cual se comprueba que sea una de las identidades autorizadas para la red. Si la comprobación es aceptada, se da paso a verificarsela firma y el mensaje a través de los algoritmos Setup, Keygen, Sign y Verify bajo el esquema Diffie-Hellman. 45 3.2.2 Esquema criptográfico para gestionar de forma segura historiales médicos a través de una red de comunicaciones (José Manuel Vásquez Araujo. 2015) En la elaboración del sistema desarrollado (Vásquez, 2015) se usará la metodologíaincremental e iterativa, de tal manera que se sucederán a las etapas que tradicionalmente se aplican para desarrollar sistemas informáticos (análisis, diseño, construcción, pruebas unitarias, integración, pruebas de integración) para los módulosque estén construyéndose. Inicialmente, se planteóla integración de la aplicación a desatollarse se de en un ambiente basado en una arquitectura orientada a servicios (SOA). Para lo cual se consideró a los servicios que se iban abrindarusarían la herramienta de Web Services para brindar el ofrecimiento a los diversosclientes del sistema, B2C3, ademásB2B4, las funciones que sean determinadas en el análisis funcional del sistema. En lo concerniente a los Web Services sehan estado surgiendo una secuencia de decisiones que ayudande gran manera las operaciones de estos sistemas. Entre ellas cabe nombrar la WS-I, la cual como meta principal tiene la promoción de la interoperabilidad en los Web Services en todas las plataformas,en todos los sistemas operativos y en todos los lenguajes de programación. Figura 16. Pila WS-Security Fuente: Vásquez Araujo, José Manuel Inicialmente, el enfoque del proyecto está orientado al plasmado en los Web Services, y usando los anteriores estándares, el uso de administración de historias clínicas. La metaes el ofrecimiento de unos 46 WS altamente operables y además con seguridad, en la medida que aprovechen los estándares de seguridad de la pila WS-*. Estándares cuya robustez está fundamentada haciala apertura y han estadoverificados e inspeccionados no sólo en el ambiente académico, ademásacogen el apoyo de importantes organizaciones del ámbito de las TI (tecnologías de información). Los componentes del sistema son: Cliente Web: Se considera la factibilidad del acceso al sistema desde un navegador Web (Internet Explorer, Mozilla, etc.). Cliente Java: Se brindará facilidad a los especialistas de la salud y pacientes un cliente con una amigable interfaz. Servidor Web: la cual harán la conexión los clientes web. WS: Servicios Web, que serán usados por las aplicaciones Java cliente y además de sistemas por parte terceros (diversos centros de salud, instituciones de carácter público, etc.). Negocio: Para poder realizar el desacople de la presentación de información y la lógica del negocio, se desarrollará una capa, aparte de la de presentación, la cual se encargará de los procedimientos de negocio y de comunicación con la capa de datos. Integración: Se realizará el desacople de la capa de negocio aparte de la de datosmediante una capa de integración, para la facilidad dealteracionesfuturas de componentes. Figura 17. Arquitectura del sistema 47 Fuente: Vásquez Araujo, José Manuel El proceso de elegir los Web Services en contraste a diversos protocolos/sistemas de comunicación se dio debido a una serie deventajas: Baja tendencia al acoplamiento. Facilidad de la interoperabilidad entre diferentes plataformas (Java, .Net,etc.). El uso de XML brindaindependencia tecnologías subyacentes. La utilizaciónde webservices no implica el abandono dediversas herramientas, sólo se necesitaríaagregar una front-end de web services en ellas. Esto permitirálagradual adopción de web services. La existencia de diferentes tecnologías y toolkits para crear Web Services. La aplicación de módulos al desarrollar Web Services ayuda en su uso. Las arquitecturas orientadas a servicios (SOA) tienenbases sólidas en los Web Services. El uso de Protocolo de transferencia de hipertexto (http) brinda la posibilidad de uso de diversas existentes infraestructuras (Servidores de Aplicaciones, Firewalls,etc.). y flexibilidadde las 3.2.3 Expediente con firma digital en la optimización del proceso de contratación de terceros en la municipalidad distrital de ventanilla (Walter Luis Roldán Baluis. 2017) El fin de este proyecto (Roldán, 2017) es la modernización de la gestión de un gobierno municipal aplicando herramientas tecnológicas que permitan simplificar procesos tales como reducir procesos burocráticos, reducir tiempos de respuesta, menor uso de recursos físicos, entre otras acciones. Para este caso en específico, se pretende modernizar en el proceso de contratación de terceros, y se plantea mediante el uso de la firma digital. 48 Figura 18. Identificación de Subsistemas Fuente: Roldán Baluis, Walter Luis En la gráfica 18 se plasma el modelado a nivel sistemas del proyecto planteado y cada subsistema tiene una labor específica El subsistema Administración de perfil se encarga de la creación y manejo de permisos de los usuarios. El subsistema Parámetros maneja la operabilidad de la base de datos. El subsistema Registro de requerimientos realiza el registro de las especificaciones solicitadas por parte de los usuarios y luego plasmada en el sistema El subsistema Respaldo de Información permite guardar y gestionar información de las tablas En las siguientes imágenes se muestra la aplicación realizada en este proyecto de investigación. 49 Figura 19. Prototipo Ventana de Inicio Fuente: Roldán Baluis, Walter Luis Figura 20. Prototipo Listado de Personal Fuente: Roldán Baluis, Walter Luis 50 Figura 21. Prototipo Vista de Requerimiento de Contratación Fuente: Roldán Baluis, Walter Luis CONCLUSIONES Bajo la investigación del proyecto antes redactado se concluyeron los siguientes enunciados: El uso del sistema mejora la labor de la contratación de terceros, en la cuestión de reducción de recursos. Con el uso del sistema, se reduce las incidencias, dado que, al ser digitalizado, hay menos posibilidades de fraudo Al usarse menos recursos, hay rentabilidad en el uso del sistema. Para una mejor gestión, la investigación plantea que tenga interconectividad con otras áreas de la municipalidad y también de otras municipalidades 51 3.2.4 La firma digital y su impacto en la gestión documentaria del instituto nacional de salud 2018 (Thalía Díaz Tunjar. 2019) La autora (Díaz, 2019) con la investigación desarrollada plantea responder la interrogante general con respecto en qué medida la aplicación de la firma digital permitiría mejorar la gestión de los documentos del Instituto Nacional de Salud en el año 2018. Luego de la conclusión del trabajo de investigación, se consideró que la cantidad del uso de papel para firmar documentos era entre 101 a 917 hojas mensualmente. Además, consideraban que el proceso de firmar un documento conllevaba esfuerzo y tiempo (el 72% de los encuestados lo afirmaba así). Una vez implementada la firma digital, los resultados variaron, en la cual afirmaban que en promedio firmaban entre 121 a 180 documentos mensualmente, lo cual aumentó el promedio de antes, la cual el promedio de antes era entre 103 a 134 documentos firmados mensualmente. Y se afirmó que el uso de la firma digital para la gestión de documentos se redujo considerablemente, en la cual el 72% de la población. De los resultados redactados, se concluyeron las comprobaciones con respecto a que hubo una reducción de los recursos de tiempo y en la optimización del uso del papel al aplicarse la firma digital para la gestión de los documentos. A su vez esto demostró además que la organización en el manejo de los recursos materiales y humanos se haga de forma más sencilla, en lo que respecta a la gestión de documentos. En base al proyecto desarrollado por la autora (Díaz, 2019), se plantea que el proyecto de la firma digital integre más procesos para gestionar de una manera eficiente los documentos en todas las áreas, y a su vez todo proceso que conlleve la firma digital se contemple además la capacitación del personal encargada del manejo del sistema. Además, se considera formalizar los procesos concernientes a la firma digital, para así optimizar el recurso de la firma digital, y considerar además el impacto económico que conllevaría el uso de la firma digital. 52 3.3 Software 3.3.1 XolidoSign XolidoSign es un software que le permite al usuario, la firma electrónica de toda la documentación que el usuario desee, el software además le permite la aplicación del sello de tiempo digital a los documentos, tanto independientemente como la incrustación en las firmas digitales, aplicando para ello un servidor compatible RFC 3161, que el usuario aplique. En el transcurso del procedimiento, la aplicación considera las medidas de control y seguridad que sean apropiadas, que sonla revisión de revocación de los certificados, la comprobación de la integridad, entre otros. Además, XolidoSign permite verificar firmas electrónicas, sellos de tiempo archivos firmados, entre otros. Acepta firmas eternas de archivos de cualquier formato, más allá del tamaño e adjuntas en archivos PDF, además de verificar sellados de tiempo. El proceso de verificar de forma digital los documentos se realiza siguiendo lascorrespondientes pautasde mecanismos de seguridad y se plasmaal usuario lacompleta información con el resultado de cada una de las verificaciones que realizó el usuario. XolidgoSing es destinada a su uso por parte deprofesionales o ciudadanos facilitando el acceso de las nuevas herramientas de firma electrónica, las acciones de verificar y sellar en tiempo a todo tipo de colectivos, desde la población estudiantil, profesionales de cualquier índole, PYMES; autónomos, funcionarios, entreotros. 3.3.1.1 Funcionalidades Posibilidad de uso certificadoselectrónicos. Capacidad de elección de diversos tipos de firmas electrónicas o digitales:extendidasy básicas(PKCS7/ CMS) o completas, que añaden referencias a certificados y revocaciones (CAdES-C) y sus valores (CAdES-XL) en la propia firma. Parala firma y/o sello con tiempo diversos documento o archivo sin límite de tamaño:Excel, PDF,Powerpoint, 53 mediante diversos Word, html, archivos vectoriales, bases planos,música... txt,videos,imágenes, diseños de datos,archivos 3D, Brinda soporte de firma PDF externa o integrada. Permite la visibilidad o invisibilidaddel campo de firma en el propio documentoPDF. Brinda el permiso de la firma de diversos documentos y archivos de una sola vez. Comprobación de la validez del certificado electrónico y su estado de revocación con la entidadque emite. Mayor control de la firma visible para pdf, permitiendo el establecimiento de la apariencia y posición de forma gráfica, e incluso poder añadir una imagen de fondo para la firma. Añade eltemporal sellado al documento, archivo o firma,la cualgarantiza suexistenciaenundeterminado momento. XolidoSignpermite usardiversos servidores de sellado de tiempo. Se puede realizar lafirmar con sello de tiempo integrado o realizar un sello temporal independientemente de los documentos oarchivos. Firma de ficheros XML de factura electrónica (FacturaE). Realiza una búsqueda en los ficherosXML de forma que si detectaun ficheroXML que adicione el espacio de nombres propio de FacturaE, se genere unafirma incrustada XAdES contemplado lo especificado por el estándar de Factura electrónica (conocido como: FacturaE, Factura-e, Facturae,etc). 54 3.3.1.2 Manejo Figura 22. Interfaz de Inicio XolidoSign Fuente: Software XolidoSign Durante la apertura del sistema, XolidoSign le brinda las funcionalidades principales que le ofrece: firmar, sello de tiempo y verificar, aparte de Servicios secundarios y avisos con respecto al software 55 Figura 23. Interfaz de Firma Fuente: Software XolidoSign Para la firma, XolidoSign le pedirá la carga de un archivo, no sin antes, haber configurado el certificado que se va a usar para lafirma Figura 24. Configuración del certificado Fuente: Software XolidoSign 56 Luego de haber configurado el certificado, se le procederá a iniciar la firma al documento, para luego observar que el documento, ciertamente ha sido firmado: Figura 25. Verificación del documento firmado Fuente: Software XolidoSign 57 CAPÍTULO IV: MODELADO DEL NEGOCIO En este capítulo presentaremos el aporte teórico de la tesis, donde se da a conocer toda la información concerniente al problema a resolver mediante el análisis del negocio. 4.1 Modelo De la Propuesta El modelo planteado de la solución se muestra en el siguiente diagrama: Figura 26. Modelado del negocio de la propuesta del sistema de gestión Fuente: Elaboración Propia 4.1.1 Detalle del Modelo En la figura 26 se muestra un panorama general de la propuesta de negocio en el marco de la investigación, lo que concierne a la gestión documental de historiales médicos El manejo de la propuesta planteada recae en los especialistas de la salud, dado que ellos son los actores principales y por ende los usuarios permanentes activos de esta propuesta. El administrador gestionará el buen funcionamiento y cumplimiento de las necesidades de los especialistas de la salud. 58 Los especialistas de la salud luego harán usp redacción de historiales adjuntos en un documento pdf y su posterior gestión. El proceso de la generación del historial va adjunto con el proceso de la firma, este proceso se hará en simultáneo, por lo que los especialistas no necesitarán un paso adicional o realizar una labor adicional para la firma del historial. Posterior a la generación, los especialistas de la salud podrán observar los historiales y gestionarlos. 4.2 Actores del Negocio Código AN-01 AN-02 Actor Descripción Gestionan el buen funcionamiento de los procesos planteados Administrador Cumplirán la labor de la redacción de los historiales y su posterior validación mediante la firma digital, posteriormente realizar las gestiones de los historiales Doctores Tabla 3. Reglas del negocio Fuente: Elaboración propia 59 4.3 Reglas de Negocio Código Nombre Regla El horario la cual el sistema deberá estar en funcionamiento es de 24 horas al día, de forma ininterrumpida RN 1 Operatividad RN 2 Acceso Sólo pueden tener acceso los trabajadores RN 3 Cuenta Sólo debe estar asignado una cuenta por usuario RN 4 Acceso usuarios El área de sistemas deberá asignar los roles y permisos a los usuarios RN 5 Firma Sólo puede haber una firma por médico RN 6 Validación Los datos ingresados al historial médico deben estar validados por un médico. RN 7 Alteraciones Los datos ingresados en el historial médico no deben sercambiados. Generación de historial Sólo se puede hacer un historial médico de un paciente si el doctor está válidamente ingresado al sistema RN 8 Tabla 4. Reglas del negocio Fuente: Elaboración propia 60 4.4 Casos de Uso del negocio F i g u r a 2 7 . D i a g r ama de Casos de Uso de Negocio Fuente: creación propia 4.5 Especificaciones de casos de uso del negocio Acontinuación, se detallará los casos de uso de negocio más representativos CUN CUN1. Atender al paciente Actor Doctor 1. El doctor recibe al paciente 2. El doctor atiende al paciente Flujo 3. Si es la primera vez la atención hacia el paciente, se le apertura un nuevo historial, sino, se pide historiales del paciente. 4. El doctor termina con la atención del paciente Post-condición El doctor finalizó la atención del paciente Tabla 5. Reglas del negocio Fuente: Elaboración propia 61 CUN CUN2. Redactar Historial Actor Doctor 1. El doctor recibe al paciente 2. El doctor apertura un historial Flujo 3. El doctor ingresa los datos en el historial 4. El doctor comprueba los datos ingresados en el historial 5. El doctor genera un nuevo historial del paciente Post-condición El doctor generó un historial Tabla 6. Reglas del negocio Fuente: Elaboración propia CUN CUN3. Firmar Historial Actor Doctor Flujo Post-condición 1. El doctor está en el proceso de generar historial 2. El doctor simultáneamente al proceso de la generación del nuevo historial, se firma el documente 3. Se genera un nuevo historial clínico firmado. El doctor generó un historial firmado con el sello del doctor Tabla 7. Reglas del negocio Fuente: Elaboración propia 62 CAPÍTULO V: REQUERIMIENTOS DEL PROYECTO 5.1 Requerimientos del Software 5.1.1 Relación de requerimientosfuncionales NRO. RF-01 RF-02 RF-02 RF-03 RF-04 RF-05 REQUERIMIENTO FUNCIONAL Elsistemadebetenerenlabasededatos el registro de los médicos queusarán elsistema. Asignar permisos y roles deacuerdoal tipo de usuario. Serequiereingresaralsistemaparasu posterior uso. Se requiere verificar al usuario que usará el sistema, medianteunusuario y una contraseña. El sistema debe permitir redactarelhistorial médico. El sistema debe tener integrado la firma del médico responsabledelhistorial que firmará. USUARIO Administrador Administrador Médico Administrador Médico Administrador RF-06 El sistema debe permitir que el médico asegure la informacióningresada. Médico RF-07 El sistema debe permitir firmar al médico para la validez delhistorialmédico Médico RF-08 RF-09 RF-10 RF-11 El sistema debe permitir generarel historial en formato Portable Document File(.pdf). El sistema debe permitir la descarga del documento en formato pdfparaposteriores usos. El sistema debe permitir a losmédicos realizar consultassobre historialespasados. El sistema debe permitir a unusuario salir del sistema en caso así lo desee. Tabla 8. Requerimientos funcionales Fuente: Elaboración propia 63 Médico Médico Médico Médico 5.1.2 Requerimientos nofuncionales Tipo de requerimiento Usabilidad Disponibilidad Código RNF-01 Las interfaces de la aplicación deben ser amigables al usuario RNF-02 El sistema debe brindar herramientas de ayuda en caso lo solicite el usuario RNF-03 El sistema debe brindar mensajes de advertencia, errores y precauciones en caso se solicite RNF-04 El sistema debe estar disponible las 24 horas al día, los 7 días a la semana dado que la atención en el hospital es continuo, inclusive en días feriados RNF-05 El sistema debe hacer copias de seguridad semanalmente para poder contrarrestar la pérdida de información en caso un ataque implique la eliminación de datos RNF-06 El sistema debe permitir el guardado de archivos temporales RNF-07 El sistema sólo funcionará con los usuarios que tengan un nombre de usuario y una contraseña asignadas RNF-8 El sistema debe brindar respuestas no mayor a 10 segundos. Seguridad Eficiencia Diseño Descripción RNF-9 RNF-10 Estabilidad RNF-11 El sistema estará desarrollado en Python, el desarrollo de las firmas estará bajo un esquema de encriptación asimétrica El sistema debe soportar un alcance de 200 usuarios fijos, equivalente al número de médicos que atienden en un día. El sistema debe tener una opción de manejo offline, dado que es una aplicación escritorio Tabla 9. Requerimientos no funcionales Fuente: Elaboración propia 64 5.2 Casos de uso delsistema 5.2.1 Actores delSistema Figura 28. Actores del sistema Fuente: Elaboración propia 65 5.2.2 Diagrama de casos de uso delsistema Figura 29. Diagrama de casos de uso del sistema Fuente: Elaboración propia 66 5.3 Diagrama de Paquetes Figura 30. Diagrama de Paquetes Fuente: Elaboración propia 5.4. Modelo Conceptual Figura 31. Modelo Conceptual Fuente: Elaboración propia 67 5.5 Prototipos Figura 32. Formulario de ingreso al sistema Fuente: Elaboración propia Figura 33. Ventana principal Fuente: Elaboración propia 68 Figura 34. Ventana de firma del documento Fuente: Elaboración propia Figura 35. Ventana verificación y validación de la firma Fuente: Elaboración propia 69 Figura 36. Ventana verificación y validación de la firma Fuente: Elaboración propia 70 CAPÍTULO VI: ARQUITECTURA 6.1 Realización de casos de uso más significativo para laarquitectura 6.1.1 Diagrama de Casos de Uso mássignificativo Figura 37. Casos de uso más representativos Fuente: Elaboración propia 71 6.1.2 Especificación de casos de uso más representativos CUS Actor Precondición CUS1. Iniciar Sesión Doctor Los datos está registrado en la BD del sistema 5. El doctor abre elsistema 6. El sistema le muestra los campos allenar: Usuario Flujo Contraseña 7. El doctor ingresa losdatos 8. El doctor hace click en el botón deIngresar Post-condición El usuario ha sido validado en el sistema Tabla 10. Especificación caso de uso Iniciar Sesión Fuente: Elaboración propia CUS Actor Precondición CUS2. Ver Menú de Opciones Doctor El doctor debe haber ingresado al sistema 1. El doctor observa la ventana principal. 2. El doctor ve en dos columnas las siguientes visualizaciones: Una columna de Opciones que indican 3 opciones: Redactar Historial Listar Historiales Ayuda La información del doctor, con una imagen adjunta. Flujo Post-condición El doctor tiene la disponibilidad de elegir una opción de las 3 opciones mostradas en la ventana principal. Tabla 11. Especificación caso de uso Ver Menu de Opciones Fuente: Elaboración propia 72 CUS Actor Precondición CUS3. Redactar Historial Médico Doctor El doctor después de haber ingresado al sistema, ha ingresado a la opción de redactar historial en el menú. 1. El doctor ingresa a la opción de redacción 2. El doctor redacta el informe del historial considerando los siguientescampos: Nombre, edad y sexo delpaciente. Alergias. Antecedentes. Síntomas. Diagnóstico 3. El doctor procede a leer el historial y verificar la información antes de proceder a generar el historial firmado. Flujo Post-condición El historial está redactado Tabla 12. Especificación caso de uso Redactar historial médico Fuente: Elaboración propia CUS Actor CUS4. Generar Historial Médico Doctor Precondición El doctor tiene redactado el historial médico, con los campos llenados 1. El doctor procede a hacer click en el botón de “generar historial 2. Se genera el historial Flujo Post-condición El historial está generado Tabla 13. Especificación caso de uso Genera historial médico Fuente: Elaboración propia CUS Actor CUS4. Firmar Historial Médico Doctor Precondición El doctor ha hecho click en el botón de “generar historial médico” 1. El sistema procede a firmar el historial médico. Flujo 2. La firma se muestra en el historial. Post-condición El historial está firmado Tabla 14. Especificación caso de uso Firmar Historial Médico Fuente: Elaboración propia 73 6.2 Modelo de Despliegue Figura 38. Modelo de Despliegue Fuente: Elaboración propia 74 6.3 Modelo de Componentes Figura 39. Modelado de Componentes Fuente: Elaboración propia 75 CAPÍTULO VII: DESARROLLO Y PRUEBAS 7.1 Desarrollo 7.1.1 PlataformaTecnológica El desarrollo del sistema propuesto es de una arquitectura web basado en el patrón de capas. Las herramientas de desarrollo serán los siguientes: Lenguajes de programación:Python 3.8 Librerías a usar: PyQT, OpenSSL, PyFPDF Base de Datos: SQL mediante el manejo de la herramienta Sqlite3 7.1.2 Estándares de Desarrollo 7.1.2.1 Estándares deDocumentación Clasificación Tipo de Letra Tamaño Otros Títulos Principales Arial 16 Negrita Subtítulos Principales Arial 13 Negrita Títulos Arial 13 Negrita Subtítulos Arial 13 Negrita Contenido Arial 12 Negrita Cabecera en Tablas Arial 12 Negrita Contenido en Tablas Arial 12 Negrita Sub-subtítulos Arial 12 Negrita Encabezado y Pie de página Arial 12 Negrita Tabla 15. Estándares de documentación Fuente: Elaboración propia 76 7.1.3 Implementación del Sistema 7.1.3.1 Inicio Figura 40. Ventana Principal Aplicación Fuente: Elaboración propia 7.1.3.2 Implementación del Sistema Figura 41. Ventana Redacción del Historial Fuente: Elaboración propia 77 Confirmación de Historial Generado Figura 42. Ventana Historial Generado Fuente: Elaboración propia 78 Pdf del Historial Generado Figura 43. Historial Firmado Fuente: Elaboración propia 79 Panel de la firma Digital Figura 44. Panel del Historial Médico Firmado Fuente: Elaboración propia Detalle de la Firma Digital Figura 45. Resumen del detalle de la Firma Digital Fuente: Elaboración propia 80 Figura 46. Detalle del Historial Firmado Fuente: Elaboración propia 81 7.2 Plan dePruebas El objetivo del plan de pruebas es y verificar los procesos de análisis a bajo nivel del sistema, con el fin de obtener un sistema que cumpla los requerimientos y funcionalidades; las pruebas serán por cada módulo y una del sistema completo. Módulo Acción a realizar Resultado esperado Ingreso El doctor ingresa su usuario y contraseña El sistema permite al doctor ingresar al sistema Redacción de historial Redactar el historial El sistema permite al doctor redactar el historial correspondiente Generar Historial El doctor procederá a generar el historial El sistema genera el historial redactado y firmado por el doctor El doctor procede a ver los historiales generados El doctor puede ver una tabla con la información al respecto de los historiales generados Historiales Tabla 16. Plan de Pruebas Fuente: Elaboración propia 82 7.3 Fases y Definición de Tareas Para la implementación del sistema se debe tener la certeza de las acciones que se realizará, en otraspalabras, se debe saber que hacer para el posterior desarrollo del sistema. En el siguiente gráfico se mostrará las fases para el desarrollo del sistema: Figura 47. Fases del Desarrollo Fuente: Elaboración propia Se describirá las tareas a asignarse por cada fase Fase 1: Definición de la problemática Analizar la situación delhospital. Observar las Tecnologías de información delhospital. Demostrar la viabilidad deldesarrollo. Analizar los beneficios del sistema y demostrar la efectividad a largoplazo. Sintetizar porque el hospital necesita un software para la generación de firmas digitales en sus historialesmédico. Fase 2: Análisis de requisitos Definir que se necesita para generar lafirma. Analizar el manejo de uso de sistemas de los empleados delhospital. Describir las necesidades para la generación de lafirma. Redactar los requerimientos delsistema. Fase 3: Desarrollo Definir los lenguajes de programación a usarse. Realizar la conexión a una base de datos. Realizar interfaces usables y amigables al usuario. Definir los roles para los usuarios y definir los empleados para cada rol. Migrar historiales médicos manuales a computarizados. Asignar permisos a los usuarios. Configurar la base de datos para que acepte la concurrencia de los usuarios. Analizar el hardware. Generar una plantilla para el llenado del historial médico. Aplicar la encriptación basado en la identidad para la generación de 83 claves públicas y privadas. Asignar una única clave pública y privada para un único doctor. Generar documentos de tipo Portable Document File (PDF) Permitir la importación y descarga de documentos pdf. Insertar la firma digital en un historial médico. Validar el ingreso de los documentos del historial médico. Fase 4: Pruebas Analizar la conformidad de los usuarios en el manejo del sistema. Comprobar la concurrencia del sistema. Comprobar si el sistema tiene funciones offline en caso haya una caída repentina del servicio de internet. Analizar si el sistema es usable o no. Verificar el tiempo de demora de los procesos. 84 CAPÍTULO VIII: GESTIÓN DEL PROYECTO 8.1 Organización delproyecto Director del Proyecto Diseñador de Sistemas Analista de Pruebas Programador Figura 48. Organigrama del Proyecto Fuente: Elaboración propia 8.2 Gestión de Riesgo del Proyecto IDENTIFICACIÓN DE RIESGOS NR Fuente de Identificación R1 José Córdova R2 José Córdova Declaración del riesgo Una comunicación dubitativa y con los trabajadores del hospital puede generar un conflicto al momento de redactarlos requerimientos. Un cambio repentino de un requerimiento puede crear cambios desde mínimos hasta severos duranteeldesarrollo del sistema. Categoría ¿Cuándo? Proyecto Análisis Proyecto Desarrollo Tabla 17. Gestión de Riesgos Fuente: Elaboración propia 85 CONCLUSIONES Con el presente proyecto desarrollado se enuncian las siguientes conclusiones: Se desarrolló un sistema que principalmente cumple el objetivo de automatizar el proceso de la redacción de un historial médico aplicando la tecnología de la firma digital. Durante el proceso de análisis se observó, dado que el proceso de la redacción se hace manualmente, contemplar la necesidad del desarrollo del sistema desarrollado en el proyecto para poder automatizar y agilizar el proceso de la redacción del historial médico. La razón por la que se contempló en la propuesta de desarrollo usar el lenguaje de programación Python es debido a que este lenguaje muestra flexibilidad al momento de desarrollar software, además de ser un lenguaje libre y con librerías con código abierto que ayudan a que el desarrollo de un software sea más fluido. Y para el desarrollo del software se aplicaron las tecnologías RSA y SHA, ambas integradas bajo la librería OpenSSL Considerando que, al trabajarse con documentos que implican tener validación legal, en este caso un historial médico, se contempló también analizar aspectos legales que implica la gestión de historiales médicos, y además el aspecto legal que implica integrar la firma digital a este desarrollo. Al desarrollarse la sistematización propuesta en este proyecto se proyecta contemplar los beneficios planteados, las cuales son la de reducción de recursos para la generación de historiales médicos y su posterior gestión. Al desarrollarse el sistema se consideró que al momento de redactar el historial efectivamente puede dar la posibilidad de una reducción del tiempo y de una reducción del consumo de papel, dado que es sistematizado, y la firma automáticamente está adherida al historial al momento de generar el historial. Luego de este proceso los historiales se proceden a gestionar para futuras observaciones que otros especialistas de la salud prevean realizar. Este sistema desarrollado trae la posibilidad de poder desarrollarse más e implementarse con otros módulos para poder automatizar los procesos que se realizan dentro de un centro de salud. 86 RECOMENDACIONES Para una mayor protección de los documentos PDF, el sistema debe actualizarse periódicamente, con el fin de adaptarse a los nuevos cambios en lo que infiera al uso de la firma digital en la gestión de los documentos de historiales médicos. Para un eficiente manejo de la gestión de los documentos, se debe dar capacitación a las personas que se planea usar el sistema, tanto los especialistas de la salud como los administradores del sistema. Para una mejora en el servicio de la gestión de documentos, se propone a un futuro hacer que el sistema sea parte del módulo de la gestión de historiales médicos en el hospital, por lo cual también se plantea integrar con los otros sistemas que el hospital tenga a su disposición. Luego de la implementación en el hospital, se sugiere establecer políticas a fin de administrar de una forma eficiente el sistema de gestión de documentos, lo que implica establecer reglas claras y concisas con respecto a los roles que se le asignan al personal del hospital. Integrar el módulo de gestión de documentos con otros centros de salud luego de la integración en el hospital, para así poder dar una mejor respuesta al paciente 87 BIBLIOGRAFÍA Adobe Inc. (2000) PDF Reference. Second Edition Boneh, d., Franklin m. (2001) Identity-based Encryption from the Weil pairing Bhusan, M., Rathore, R., Jamshed, A. (2018) Fundamental of Cyber Security: Principles, Theory and Practices. ISBN: 9387284808 Conklin, A., White, G.,Williams, D., Davis, R., Cothren, Ch. (2018) Principles of Computer Security: CompTIA Security+ and Beyond, Fifth Edition. ISBN-13: 9781260026016 Cuervo, J (1999) La firma digital y entidades de certificación Décima, M.& Terdoslavich, G. (2017) Invocación por protocolo como plataforma de servicios de firma digital. Díaz, T (2019). La firma digital y su impacto en la gestión documentaria del instituto nacional de salud 2018. Diffie, W. &Hellman, M (1976). New directions in cryptography Domingues P., Frade, M. (2018) Digitally Signed and Permission Restricted PDF Files: A Case Study on Digital Forensics. Elgamal, T (1985) A Public Key Cryptosystem and a SignatureScheme Based on Discrete Logarithms Guerra, L., Vega. H., Landeo, J., Romero, P. (2015). Reconocimiento del síndrome metabólico mediante una red neuronal. Aporte Santiaguino Vol. 8, 229-239. Gómez, A., Martínez, M., Borbolla, D., Luna, D., Soriano, E. (2014) Desarrollo de un sistema para la firma digital de registros médicos. Haro, J., Villacrés, R. (2018) Proyecto De Factibilidad Para La Implementación De Sistemas De Gestión Documental En Las Instituciones De Educación Superior Hernández, I. (2019) Correo electrónico local con implementación de métodos de seguridad criptográfica. Intriago, G., Villavicencio, J. (2019) El Sistema De Gestión Documental Quipux Y El Manejo De La Documentación Digital En Las Empresas Públicas Hospital Nacional Daniel Alcides Carrión. (2017) Plan Estratégico Institucional. Hidalgo, Y., Cortés, W. (2020) Modelo de gestión documental electrónica de archivos basado en metodología BPM para el mejoramiento de los procesos administrativos Kantz, J (2014) Digital Signatures. ISBN: 978-0-387-27712-7 Ley N° 27269 Ley de Firmas y Certificados Digitales https://www.minjus.gob.pe/wpcontent/uploads/2014/03/Ley27269.pdf. 88 Martínez, A (2000). La Ley de Firma Electrónica. Martínez, G., Vega, H., Rodriguez, C., y Guzmán, Y. (2020). Marketing de proximidad mediante aplicación móvil con dispositivos Beacon. 3C TIC. Cuadernos de desarrollo aplicados a las TIC, 9(4), 89-111. https://doi.org/10.17993/3ctic.2020.94.89-111 Metzgar, C. (2017) RSA cryptosystem: an analysis and python simulator. Moreno, M. (2015). Diseño e Implementación de un esquema de encriptación y firmas basado en identidad para dispositivos bug. Oriyano, S. (2013) Cryptography InfoSec Pro Guide.ISBN: 9780071794268 Paterson, K. (2002) Identity-Based Signatures from Pairings on Elliptic Curves Ramos Suárez, F. (2001) La seguridad en el comercio electrónico. Ramírez, J., Gómez, E. (2019) Implementation of a digital signature in a 32 bits embedded system. Rodríguez Ayuso, J. (2018) Ámbito contractual de la firma electrónica.ISBN: 9788494952913 Roldán, W. (2017) Expediente Con Firma Digital En La Optimización Del Proceso De Contratación De Terceros En La Municipalidad Distrital De Ventanilla. Torres Álvarez, H. (2005) El sistema de seguridad jurídica en el comercio electrónico. ISBN: 9972426777 Salas, C., Vega, H., Rodriguez, C. (2021). Contributions to the technological adoption model for the Peruvian agro-export sector. International Journal of Information Technology and Systems Approach. Vol 13.2. EISSN: 1937-9641. DOI: 10.4018/IJEA.2021010101 Vásquez, J. (2015). Esquema criptográfico para gestionar de forma segura historiales médicos a través de una red de comunicaciones. Vega, H. (2014). Visión artificial para reconocimiento de mangos exportables utilizando redes neuronales. PAIDEIA XXI. Vol. 4, Nº 5, 38-45. ISSN 2519-5700. DOI: https://doi.org/10.31381/paideia.v4i5.906 Vega, H. (2020). Alianzas Estratégicas en un mercado globalizado. Editorial Académica Española.ISBN: 978-620-2-80987-0. Verma, A., Guha, P., Mishra, S. (2016) Comparative Study of Different Cryptographic Algorithms.ISSN: 2278-6856 89
