💼 Caso Práctico: Migración de RSA a ECDSA en Receta Electrónica

Situación: El SAS está planificando migrar el sistema de Receta XXI de certificados RSA-2048 a ECDSA-256 para mejorar el rendimiento. Como técnico TFA-STI, te piden evaluar el impacto y los requisitos técnicos.

Análisis necesario:

1. Compatibilidad de software: Primero debes verificar que todas las farmacias con las que se intercambian datos tengan software actualizado que soporte ECDSA. Las versiones antiguas de Java (anteriores a Java 7) y de ciertos navegadores no soportan nativamente ECDSA. Necesitas hacer un inventario de versiones de software en las farmacias andaluzas integradas con el sistema.

2. Rendimiento esperado: Con RSA-2048, el servidor de receta electrónica procesa aproximadamente 500 verificaciones de firma por segundo por núcleo de CPU. Con ECDSA-256, ese número puede triplicarse o cuadruplicarse a 1500-2000 verificaciones por segundo. Esto es crucial en horas punta, cuando miles de ciudadanos recogen medicación simultáneamente.

3. Tamaño de firmas: Cada receta firmada con RSA-2048 genera una firma de 256 bytes. Con millones de recetas al año, cambiar a ECDSA-256 (64 bytes por firma) representa un ahorro significativo de almacenamiento en la BDU (Base de Datos de Usuarios) y en las transferencias de red.

4. Período de transición: No puedes migrar de golpe. Necesitas un período de coexistencia donde el sistema acepte tanto certificados RSA como ECDSA. Los médicos irán renovando sus certificados gradualmente, y durante 2-3 años convivirán ambos tipos.

5. Aspectos normativos: Debes verificar que los certificados ECDSA-256 de los prestadores cualificados (FNMT, Colegios Profesionales) cumplan con las políticas de certificados definidas en la Política de Firma Electrónica del SAS y sean compatibles con el validador @firma.

Recomendación técnica: Proponer una migración gradual en tres fases. Fase 1 (3 meses): Actualización de software en farmacias y pruebas en entorno de preproducción. Fase 2 (6 meses): Emisión de nuevos certificados ECDSA para médicos de centros piloto mientras se mantiene compatibilidad con RSA. Fase 3 (18 meses): Extensión a todos los centros sanitarios y eventual deprecación de RSA-2048 para nuevos certificados, manteniendo validación de certificados RSA existentes hasta su caducidad natural.

💼 Caso Práctico 1: Gestión de Certificados en el SAS

Situación: Un médico de urgencias del Hospital Virgen del Rocío necesita firmar informes clínicos desde el sistema Diraya. Tiene DNIe, certificado FNMT personal y certificado corporativo SAS.

Pregunta: ¿Cuál debe usar y por qué?

Solución:

• Debe usar el certificado corporativo SAS
• Motivo: La Política de Firma del SAS establece que para documentos clínicos oficiales debe emplearse el certificado corporativo de empleado público, que vincula la firma a su condición de profesional del servicio
• El DNIe o FNMT personal servirían para trámites como ciudadano, pero no en su rol profesional
• Además, el certificado corporativo puede incluir atributos profesionales (especialidad, centro, colegiación) que son relevantes para el valor del documento

🔄 Secuencia Completa de Autenticación con CLAVE en ClicSalud+

Paso 1: Inicio de Sesión

María, una paciente de Sevilla, abre su navegador y accede a https://clicsalud.sanidadandalucia.es. En la página de inicio, pulsa el botón «Acceder con Cl@ve».

¿Qué ocurre técnicamente? ClicSalud+ (actuando como SP) genera un mensaje SAML AuthnRequest. Este mensaje es un XML que contiene:

• Un ID único para esta petición específica
• La URL del IdP de CLAVE (donde redirigir al usuario)
• La URL de retorno (AssertionConsumerServiceURL) donde CLAVE debe enviar la respuesta
• El nivel de garantía (LoA) requerido: en este caso, «sustancial»
• La firma digital del SP (ClicSalud+) autenticando la petición

Paso 2: Redirección al IdP

El navegador de María es redirigido automáticamente (HTTP 302 Redirect) a la URL de CLAVE, llevando consigo el AuthnRequest codificado en Base64 como parámetro de la URL. María ahora ve la página de CLAVE, no de ClicSalud+.

Aspecto crítico de seguridad: La redirección se hace mediante HTTP POST o HTTP Redirect Binding. El AuthnRequest va firmado digitalmente con el certificado del SP (ClicSalud+). CLAVE verifica esta firma antes de procesar la petición. Si la firma no es válida o el certificado de ClicSalud+ ha caducado, la autenticación falla aquí mismo. Este es un punto común de incidencias cuando se renuevan certificados corporativos del SAS.

Paso 3: Selección de Método de Autenticación

María ve en la pantalla de CLAVE varias opciones: Cl@ve Permanente, certificado digital, DNIe, Cl@ve PIN. Ella elige «Certificado digital» porque tiene instalado su certificado FNMT en el navegador.

¿Qué hace CLAVE? CLAVE tiene múltiples módulos internos de autenticación, uno por cada método. Cuando María selecciona «Certificado digital», CLAVE activa su módulo de autenticación PKI. Este módulo solicita al navegador que presente los certificados disponibles.

Paso 4: Autenticación con Certificado

El navegador de María muestra una ventana con los certificados instalados. Ella selecciona su certificado FNMT y el navegador realiza una autenticación TLS mutua (mutual TLS) con el servidor de CLAVE, donde el navegador presenta el certificado del usuario y CLAVE lo valida.

Validación del certificado por CLAVE: Aquí es donde ocurre la magia crítica. CLAVE debe verificar que el certificado es válido, y eso implica varios pasos técnicos:

• Verificación de cadena de confianza: CLAVE comprueba que el certificado está firmado por una CA que está en su lista de CAs confiables (FNMT en este caso)
• Verificación de vigencia: Comprueba que la fecha actual está dentro del período de validez del certificado (no ha caducado ni es prematuro)
• Verificación de revocación: Consulta el estado del certificado mediante OCSP o CRL. Si el certificado está revocado, la autenticación falla
• Verificación de uso: Comprueba que el certificado tiene el uso «digitalSignature» o «nonRepudiation» en sus extensiones KeyUsage
• Extracción de atributos: CLAVE extrae del certificado los datos identificativos (nombre, apellidos, NIF) que luego incluirá en la assertion

Paso 5: Generación de la SAML Assertion

Una vez que CLAVE ha autenticado exitosamente a María, genera una SAML Assertion. Esta assertion es un documento XML firmado digitalmente que contiene:

<saml:Assertion ID="a3f1b2c4d5e6..." Version="2.0">
    <saml:Issuer>https://clave.gob.es</saml:Issuer>
    <saml:Subject>
        <saml:NameID Format="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent">
            12345678A
        </saml:NameID>
    </saml:Subject>
    <saml:Conditions NotBefore="2025-11-03T10:00:00Z" NotOnOrAfter="2025-11-03T10:05:00Z">
        <saml:AudienceRestriction>
            <saml:Audience>https://clicsalud.sanidadandalucia.es</saml:Audience>
        </saml:AudienceRestriction>
    </saml:Conditions>
    <saml:AuthnStatement AuthnInstant="2025-11-03T10:00:00Z">
        <saml:AuthnContext>
            <saml:AuthnContextClassRef>
                http://eidas.europa.eu/LoA/substantial
            </saml:AuthnContextClassRef>
        </saml:AuthnContext>
    </saml:AuthnStatement>
    <saml:AttributeStatement>
        <saml:Attribute Name="givenName">
            <saml:AttributeValue>María</saml:AttributeValue>
        </saml:Attribute>
        <saml:Attribute Name="surname">
            <saml:AttributeValue>García López</saml:AttributeValue>
        </saml:Attribute>
        <saml:Attribute Name="eIDAS_LoA">
            <saml:AttributeValue>substantial</saml:AttributeValue>
        </saml:Attribute>
    </saml:AttributeStatement>
    <!-- Firma digital de CLAVE -->
    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
        ...
    </ds:Signature>
</saml:Assertion>
    

Elementos críticos de la Assertion:

• ID único: Identifica esta assertion específica, usado para prevenir ataques de replay
• Issuer: Identifica a CLAVE como emisor de la assertion
• Subject/NameID: El identificador del usuario (su NIF en este caso)
• Conditions: Ventana temporal de validez (típicamente 5 minutos). Fuera de esta ventana, la assertion no es válida
• AudienceRestriction: Especifica que esta assertion SOLO es válida para ClicSalud+, no para otros servicios
• AuthnContextClassRef: Indica el nivel de garantía alcanzado (sustancial, en este caso)
• AttributeStatement: Atributos del usuario (nombre, apellidos, nivel LoA, etc.)
• Signature: Firma digital XML de CLAVE que garantiza la autenticidad e integridad de toda la assertion

Paso 6: Envío de la Response a ClicSalud+

CLAVE genera una SAML Response que envuelve la Assertion y redirige el navegador de María de vuelta a ClicSalud+, concretamente a la URL AssertionConsumerService que ClicSalud+ indicó en el paso 1.

La Response se envía mediante HTTP POST. El navegador de María envía automáticamente un formulario POST invisible a ClicSalud+ conteniendo la Response codificada en Base64.

Paso 7: Validación de la Assertion por ClicSalud+

ClicSalud+ recibe la SAML Response y ahora debe validarla exhaustivamente antes de confiar en ella. Este es un momento crítico de seguridad. ClicSalud+ realiza las siguientes comprobaciones:

1. Decodificación y parsing XML: Decodifica el Base64 y parsea el XML
2. Validación de la firma digital: Verifica la firma XML de CLAVE usando el certificado público de CLAVE (que ClicSalud+ tiene preconfigurado en su metadata SAML)
3. Verificación temporal: Comprueba que la hora actual está dentro de la ventana NotBefore/NotOnOrAfter
4. Verificación de audiencia: Comprueba que el Audience coincide con la propia identidad de ClicSalud+
5. Verificación de InResponseTo: Comprueba que el ID de la Response corresponde al ID del AuthnRequest original que envió (protección contra ataques de replay)
6. Verificación del nivel LoA: Comprueba que el nivel de garantía alcanzado (sustancial) es suficiente para el servicio solicitado
7. Prevención de replay: Marca el ID de la Assertion como «ya usado» en una caché temporal. Si recibe otra petición con el mismo ID, la rechaza

Paso 8: Creación de Sesión Local

Solo si todas las validaciones del paso 7 son exitosas, ClicSalud+ confía en la identidad de María. Ahora ClicSalud+ crea una sesión local en su propio dominio, asocia la sesión con el NIF de María extraído de la Assertion, y establece una cookie de sesión en el navegador.

A partir de este momento, María puede navegar por ClicSalud+ sin necesidad de autenticarse de nuevo. La autenticación con CLAVE solo ocurre una vez al inicio. Durante su navegación, ClicSalud+ valida cada petición mediante la cookie de sesión local, no vuelve a consultar a CLAVE.

Paso 9: Acceso a Recursos

María ya puede consultar sus citas, ver informes médicos, solicitar recetas… ClicSalud+ consulta la Base de Datos Poblacional del SAS usando el NIF de María para recuperar su información sanitaria.

💼 Escenarios de Uso en Sanidad

1. Cartera Sanitaria Digital

• Tarjeta sanitaria europea en formato digital
• Historial de vacunación (como se demostró con el certificado COVID)
• Alergias y datos de emergencia
• Consentimientos para tratamientos

2. Receta Electrónica Transfronteriza

• Ciudadano español de vacaciones en Italia presenta su wallet
• Farmacia italiana valida su identidad y accede a recetas prescritas en España
• Dispensación registrada en ambos sistemas automáticamente

3. Autenticación de Profesionales

• Médico especialista con wallet que contiene credencial de colegiación
• Accede a sistema hospitalario de otra CCAA usando su wallet
• El sistema valida automáticamente su identidad y habilitación profesional

4. Gestión de Consentimientos

• Paciente almacena en su wallet consentimientos firmados digitalmente
• Puede revocarlos en cualquier momento
• Trazabilidad completa y control del paciente sobre sus datos

📱 Flujo: Obtención de Credencial de Paciente SAS en el EUDI Wallet

Contexto: Laura, una ciudadana andaluza de treinta y dos años, acaba de instalar por primera vez la aplicación EUDI Wallet en su teléfono móvil. Quiere obtener su credencial digital de paciente del Servicio Andaluz de Salud que le permitirá identificarse en centros sanitarios, acceder a servicios digitales de salud, y compartir información sanitaria cuando sea necesario.

Paso Uno: Inicialización del Wallet

Laura abre la aplicación EUDI Wallet por primera vez. El wallet le pide que establezca un método de protección de acceso. Ella elige usar reconocimiento facial mediante Face ID de su iPhone, complementado con un PIN de seis dígitos como respaldo. El wallet explica que este método protegerá el acceso a todas sus credenciales y que nunca se compartirá con terceros.

En segundo plano, técnicamente el wallet está generando su DID. Específicamente, genera un par de claves criptográficas Ed25519. La clave privada se almacena en el Secure Enclave del iPhone, una zona de hardware especialmente protegida a la que ni siquiera el sistema operativo tiene acceso directo. La clave pública se usa para construir su DID, que tiene este formato: did:eudi:es:AND:28745632K. Este DID está vinculado a su DNI pero no es simplemente su DNI en formato digital. Es un identificador único derivado criptográficamente que permite verificación sin exponer directamente el DNI en cada transacción.

Paso Dos: Solicitud de Credencial al SAS

Laura navega en el wallet a la sección «Añadir credenciales» y ve una lista de emisores disponibles. Aparece el Servicio Andaluz de Salud entre las opciones. Selecciona «Credencial de Paciente SAS» y el wallet la redirige al servicio de emisión de credenciales del SAS.

Técnicamente, el wallet acaba de iniciar un protocolo OAuth 2.0 / OpenID Connect con el servicio emisor del SAS. Laura debe autenticarse ante el SAS para demostrar que efectivamente es paciente del sistema sanitario público andaluz. El SAS le ofrece varias opciones de autenticación: CLAVE, certificado digital, o DNI electrónico. Ella elige CLAVE con su certificado digital porque ya lo tiene instalado.

Una vez autenticada, el servicio emisor del SAS consulta la Base de Datos Poblacional para verificar que Laura está correctamente registrada como paciente. Obtiene su CIP, su fecha de nacimiento, su médico de familia asignado, su centro de salud de referencia, y otra información básica. Con estos datos, el servicio construye una credencial verificable.

Paso Tres: Emisión y Firma de la Credencial

El servicio emisor del SAS genera un objeto JSON de credencial verificable que contiene los atributos de Laura como paciente. Esta credencial incluye su nombre completo, su CIP, su fecha de nacimiento, su centro de salud asignado, su médico de familia, y la fecha de emisión de la credencial. También incluye el período de validez: la credencial será válida durante cinco años, alineado con la renovación de la tarjeta sanitaria física.

El servicio firma digitalmente esta credencial usando la clave privada corporativa del SAS. Esta clave está almacenada en un Hardware Security Module en el Centro de Proceso de Datos del SAS, garantizando el máximo nivel de seguridad. La firma usa el algoritmo Ed25519Signature2020, que es eficiente y compatible con el estándar W3C de credenciales verificables.

Adicionalmente, el servicio genera compromisos criptográficos para cada atributo usando BBS+ Signatures, lo que permitirá a Laura más adelante hacer revelaciones selectivas de información. Es decir, podrá demostrar solo algunos atributos de la credencial sin revelar todos los demás.

Paso Cuatro: Transferencia de la Credencial al Wallet

La credencial firmada se transmite de forma segura al wallet de Laura mediante una conexión HTTPS. El wallet recibe la credencial y antes de almacenarla, realiza varias verificaciones de seguridad. Primero, verifica que la firma criptográfica es válida usando la clave pública del SAS que obtiene del Trust Registry europeo. Segundo, verifica que el SAS está efectivamente autorizado como emisor de credenciales sanitarias según el registro de confianza. Tercero, verifica que la credencial está dirigida efectivamente a su DID.

Una vez verificada, el wallet almacena la credencial en su almacenamiento cifrado local. La credencial se cifra usando una clave derivada de la biometría de Laura, lo que significa que solo ella puede acceder a sus credenciales. El wallet muestra una notificación: «Has recibido correctamente tu Credencial de Paciente del Servicio Andaluz de Salud».

Laura puede ahora ver la credencial en su wallet. La interfaz le muestra de forma amigable la información: su foto, su nombre, su CIP, su centro de salud. También hay opciones avanzadas donde puede ver la credencial en formato JSON completo si tiene curiosidad técnica, verificar la firma criptográfica, o ver el historial de cuándo y con quién ha compartido esta credencial.

💊 Flujo: Dispensación de Medicamento con Verificación de Credencial

Contexto: Laura acude a una farmacia en Granada con una receta electrónica prescrita por su médico de familia en Sevilla. La farmacia necesita verificar su identidad como paciente del SAS y acceder a su receta electrónica.

Paso Uno: Solicitud de Verificación por la Farmacia

El farmacéutico introduce el CIP de Laura manualmente o escanea un código QR desde su wallet. El sistema de la farmacia detecta que Laura tiene capacidades de credencial verificable habilitadas, así que en lugar de usar el método tradicional de validación con tarjeta sanitaria física, genera una solicitud de presentación verificable.

Esta solicitud especifica exactamente qué información necesita la farmacia. En este caso, necesita verificar que Laura es paciente del SAS, conocer su CIP para acceder a su receta electrónica en el sistema, y opcionalmente verificar que no tiene alergias documentadas a componentes del medicamento que va a dispensar.

Técnicamente, el sistema de la farmacia genera un objeto de «Presentation Request» siguiendo el estándar W3C. Este objeto especifica los atributos requeridos, el propósito de la solicitud que es «dispensación de medicamento con receta electrónica», y un challenge criptográfico que Laura debe firmar para demostrar que es la poseedora legítima del wallet.

Paso Dos: Autorización por el Usuario

El sistema de la farmacia muestra un código QR en su pantalla. Laura escanea este código QR con su wallet. El wallet decodifica la solicitud de presentación y se la muestra a Laura en lenguaje claro y comprensible.

La pantalla de su wallet dice algo así: «Farmacia San Rafael solicita verificar la siguiente información: Tu identificación como paciente del SAS (nombre y CIP), y la existencia de alergias medicamentosas documentadas. Propósito: Dispensación de medicamento prescrito. ¿Autorizas compartir esta información?».

Laura revisa la solicitud. Puede ver exactamente qué atributos se van a compartir. Puede ver el nombre de la farmacia y un identificador verificado del establecimiento sanitario. Y puede decidir aceptar o rechazar la solicitud. Ella acepta tocando el botón «Autorizar» y autenticándose con Face ID para confirmar su consentimiento.

Paso Tres: Generación de Presentación Verificable

El wallet de Laura genera ahora una presentación verificable. Toma su credencial de paciente del SAS completa, pero no la envía entera a la farmacia. En su lugar, genera una prueba derivada que contiene solo los atributos solicitados. Extrae su nombre completo, su CIP, y la información sobre alergias si existe en su credencial. Los demás atributos como su fecha de nacimiento exacta, su dirección, su médico de familia asignado, no se incluyen en la presentación porque la farmacia no los solicitó.

La presentación incluye también una prueba criptográfica de que estos atributos provienen de una credencial válida emitida por el SAS. Esta prueba se genera usando las propiedades de BBS+ Signatures que permiten revelación selectiva. La prueba matemática garantiza que Laura no puede mentir sobre sus atributos, pero al mismo tiempo la farmacia no puede deducir información sobre atributos no revelados.

Adicionalmente, el wallet firma la presentación con la clave privada de Laura asociada a su DID. Esto crea una vinculación criptográfica entre la presentación y su identidad, demostrando que ella es la legítima poseedora de la credencial y no alguien que está presentando una credencial robada o copiada.

Paso Cuatro: Verificación y Uso de la Información

El wallet transmite la presentación verificable al sistema de la farmacia mediante comunicación NFC o escaneando otro código QR, según la infraestructura disponible. El sistema de la farmacia recibe la presentación y procede a verificarla técnicamente.

La verificación implica varios pasos criptográficos. Primero, verifica la firma de revelación selectiva usando la clave pública del SAS, confirmando que los atributos presentados provienen efectivamente de una credencial emitida por el SAS. Segundo, verifica la firma de Laura sobre la presentación usando su clave pública obtenida de su DID, confirmando que ella es la legítima poseedora. Tercero, verifica el challenge criptográfico para asegurarse de que la presentación fue generada específicamente para esta transacción y no puede ser reutilizada en otra farmacia, previniendo ataques de replay. Cuarto, consulta el registro de revocación para asegurarse de que la credencial de Laura no ha sido revocada por algún motivo.

Una vez verificada exitosamente la presentación, el sistema de la farmacia extrae el CIP de Laura y lo usa para consultar la receta electrónica en el sistema Receta XXI del SAS. La receta aparece, prescrita hace dos días por su médico de familia. El farmacéutico procede a dispensar el medicamento, registrando la dispensación en el sistema que automáticamente marca la receta como utilizada.

Todo este proceso, desde que Laura escanea el código QR hasta que se verifica su identidad, tarda menos de diez segundos. Es más rápido que buscar la tarjeta sanitaria física en el bolso, más seguro porque la verificación es criptográfica, y más privado porque la farmacia solo obtiene la información estrictamente necesaria.

🎫 Incidencia #2025-03847 – Médico no puede firmar informes en Diraya

CONTEXTO: Martes, 9:15 AM. Recibes un ticket de la Dra. Carmen Ruiz, médico de familia del Centro de Salud Macarena (Sevilla). El ticket dice: «No puedo firmar los informes de alta desde esta mañana. Me dice que mi certificado no es válido. Ayer funcionaba perfectamente. Tengo 15 informes pendientes de firmar y los pacientes esperan. URGENTE.»

INFORMACIÓN INICIAL:

• Usuario: Dra. Carmen Ruiz (DNI: 28.XXX.XXX-K)
• Centro: CS Macarena
• Sistema afectado: Diraya Historia de Salud Digital
• Navegador: Chrome 120 en Windows 10
• Última vez que funcionó: Ayer lunes por la tarde
• Mensaje de error: «Certificado no válido o no reconocido»

PASO 1: PRIMERA INTERACCIÓN Y RECOPILACIÓN DE INFORMACIÓN

Llamas a la Dra. Ruiz y le pides que te lea exactamente el mensaje de error completo que aparece en pantalla. Te dice: «Error al cargar el certificado. No se encuentra un certificado válido en el sistema o el certificado ha caducado.»

Le preguntas: ¿Has instalado alguna actualización de Windows o del navegador recientemente? Respuesta: «Sí, ayer por la noche el ordenador se reinició solo y esta mañana Chrome me pidió actualizar.»

Bingo. Ya tienes una primera hipótesis. Las actualizaciones de Windows o del navegador pueden afectar al almacén de certificados o a la compatibilidad con ciertos componentes de firma.

PASO 2: VERIFICACIÓN REMOTA DEL CERTIFICADO

Le pides a la Dra. Ruiz que abra el Administrador de Certificados de Windows mientras tú le das instrucciones paso a paso por teléfono. Le dices que pulse Windows+R, escriba «certmgr.msc» y pulse Enter.

Ahora navegas con ella: Certificados – Usuario actual → Personal → Certificados. Le pides que busque su certificado corporativo del SAS. Lo encuentra. Bien, el certificado está instalado.

Le pides que haga doble clic en el certificado y vaya a la pestaña «General». Ahí debe aparecer una frase que diga «Tiene una clave privada que corresponde a este certificado». Ella te confirma que sí aparece. Perfecto, la clave privada está vinculada.

Ahora le pides que mire la pestaña «Detalles» y busque las fechas «Válido desde» y «Válido hasta». Te dice: «Válido desde 15/01/2023 hasta 15/01/2025». Hoy es 3 de noviembre de 2025.

Ahí está el problema. El certificado caducó hace casi 10 meses. Pero espera… ayer funcionaba. ¿Cómo es posible?

ANÁLISIS: Es posible que ayer aún funcionara porque el sistema tenía cacheada una validación exitosa del certificado o porque había algún problema con la sincronización horaria que hizo que el sistema no detectara la caducidad. Pero con la actualización de Windows y el reinicio, el caché se limpió y ahora el sistema correctamente detecta que el certificado está caducado.

PASO 3: VERIFICACIÓN DE CERTIFICADOS DISPONIBLES

Le preguntas: ¿Tienes otros certificados instalados? DNIe, certificado FNMT, certificado del Colegio de Médicos? Ella responde: «Sí, tengo mi DNIe en el lector.»

Le explicas que puede usar temporalmente su DNIe para firmar mientras tramitamos la renovación del certificado corporativo. Pero primero necesitas verificar que el DNIe esté operativo.

Le pides que abra Chrome, vaya a chrome://settings/security y busque la sección «Administrar certificados». En la pestaña «Personal» debe aparecer el certificado del DNIe si el lector está conectado y los drivers instalados. Ella confirma que aparece.

PASO 4: SOLUCIÓN TEMPORAL – USO DEL DNIe

Le indicas que acceda de nuevo a Diraya, intente firmar un informe, y cuando le pida seleccionar certificado, elija el que dice «DIRECCION GENERAL DE LA POLICIA» (el del DNIe) en lugar del certificado corporativo SAS caducado.

Prueba. Funciona. La firma se aplica correctamente. Le explicas que esta es una solución temporal válida porque el DNIe contiene un certificado cualificado de ciudadano que es perfectamente válido para firmar documentos administrativos, aunque no incluye sus datos corporativos de adscripción al SAS.

PASO 5: SOLUCIÓN DEFINITIVA – RENOVACIÓN DEL CERTIFICADO CORPORATIVO

Ahora le explicas que debe renovar su certificado corporativo del SAS. El procedimiento es el siguiente:

1. Solicitud de renovación: Debe acceder a la Intranet corporativa del SAS, sección «Certificados Digitales», y rellenar el formulario de renovación. Como su certificado anterior está caducado, necesita iniciar el trámite con su DNIe.
2. Validación de identidad: El sistema verificará automáticamente sus datos en el directorio corporativo del SAS (Active Directory) cruzándolos con su DNI.
3. Generación de par de claves: El sistema generará un nuevo par de claves RSA-2048 (o ECDSA-256 según la política actual) en su navegador. La clave privada quedará almacenada en el almacén de certificados de Windows.
4. Emisión del certificado: La Autoridad de Certificación corporativa del SAS (basada en Microsoft PKI) emitirá el nuevo certificado, válido por 2 años.
5. Instalación automática: El certificado se instalará automáticamente en su navegador.

Le dices que el proceso completo tarda unos 15 minutos. Mientras tanto, puede seguir trabajando con su DNIe para firmar documentos urgentes.

PASO 6: DOCUMENTACIÓN DE LA INCIDENCIA

Actualizas el ticket #2025-03847 con toda la información:

TICKET #2025-03847 - RESUELTO

USUARIO: Dra. Carmen Ruiz (DNI: 28.XXX.XXX-K)
FECHA: 03/11/2025 09:15
CENTRO: CS Macarena
SISTEMA: Diraya - Módulo de Firma Electrónica

SÍNTOMAS:
- Imposibilidad de firmar informes clínicos
- Mensaje de error: "Certificado no válido o no reconocido"
- Problema surgido tras actualización de Windows y Chrome

DIAGNÓSTICO:
- Certificado corporativo SAS caducado el 15/01/2025
- Certificado permaneció funcional por caché hasta reinicio del sistema
- DNIe del usuario operativo y disponible

SOLUCIÓN TEMPORAL (09:30):
- Configuración de firma con DNIe como método alternativo
- Usuario puede continuar firmando documentos urgentes

SOLUCIÓN DEFINITIVA (09:45):
- Inicio de proceso de renovación de certificado corporativo
- Certificado renovado y operativo
- Antiguo certificado caducado eliminado del almacén

CAUSA RAÍZ:
- Falta de notificación automática previa a caducidad del certificado
- Usuario no recibió avisos de renovación por filtro de spam en correo

ACCIONES PREVENTIVAS:
- Revisar sistema de notificaciones de caducidad de certificados
- Implementar recordatorio en pantalla de login de Diraya 30 días antes de caducidad
- Añadir a Dra. Ruiz a lista de seguimiento para futura renovación (2027)

TIEMPO TOTAL: 35 minutos
PRIORIDAD: ALTA (Afectación servicio asistencial)
TÉCNICO: [Tu nombre]
    

PASO 7: ANÁLISIS POST-INCIDENTE Y MEJORA CONTINUA

Después de resolver la incidencia, analizas si hay un problema sistémico. Consultas la base de datos de certificados corporativos y descubres que hay 43 certificados más que caducarán en los próximos 60 días. Generas un informe y lo envías al Coordinador de Sistemas con una propuesta: implementar un sistema automatizado de alertas que envíe notificaciones a los usuarios 90, 60 y 30 días antes de la caducidad.

También propones mejorar el sistema para que al hacer login en Diraya, si el certificado caduca en menos de 30 días, aparezca un aviso en pantalla con un enlace directo al proceso de renovación.

🎫 Incidencia #2025-04112 – Enfermera no puede acceder a VPN corporativa

CONTEXTO: Viernes, 20:45 PM. Recibes una llamada en el móvil de guardia. Es Lucía Martínez, enfermera del Hospital Virgen del Rocío, que está de guardia localizable desde su domicilio. Necesita acceder urgentemente a Diraya para consultar la historia clínica de un paciente que acaba de ingresar en Urgencias con antecedentes complejos. No puede conectarse a la VPN corporativa.

INFORMACIÓN INICIAL:

• Usuario: Lucía Martínez (usuario corporativo: lmartinez)
• Ubicación: Domicilio particular (fuera de red corporativa)
• Sistema: Cliente VPN Cisco AnyConnect
• Dispositivo: Portátil corporativo Windows 10
• Último acceso exitoso: Hace 3 días
• Urgencia: CRÍTICA (afecta atención paciente urgente)

PASO 1: VERIFICACIÓN DE CREDENCIALES PRIMARIAS

Por teléfono, le preguntas qué mensaje de error aparece exactamente. Ella lee: «Autenticación fallida. Verifique sus credenciales y el código de segundo factor.»

Primera comprobación básica: ¿Está segura de que su usuario y contraseña son correctos? Ella confirma que sí, que es el mismo usuario de siempre. Le pides que pruebe a escribir la contraseña en el Bloc de Notas primero para asegurarse de que no hay un error tipográfico. Prueba. La contraseña está bien escrita.

PASO 2: VERIFICACIÓN DEL SEGUNDO FACTOR

El sistema VPN del SAS usa autenticación de doble factor: usuario/contraseña + código OTP (One-Time Password) enviado por SMS al móvil registrado.

Le preguntas: ¿Te está llegando el SMS con el código? Respuesta: «Sí, me llega. Introduzco el código de 6 dígitos que pone en el SMS, pero me dice que el código es incorrecto o ha caducado.»

Interesante. El SMS llega, lo que significa que el sistema de envío funciona y que el número de móvil está correctamente registrado. El problema está en la validación del código OTP.

PASO 3: DIAGNÓSTICO REMOTO DE SINCRONIZACIÓN TEMPORAL

Los códigos OTP funcionan mediante un algoritmo (TOTP – Time-based One-Time Password) que genera códigos que cambian cada 30 segundos basándose en la hora actual. Si el reloj del servidor y el reloj del sistema del usuario están desincronizados más de un cierto umbral (típicamente 2-3 minutos), los códigos no coincidirán.

Le pides a Lucía que verifique la hora de su portátil. Le dices que mire la esquina inferior derecha de la pantalla. Ella dice: «Pone las 20:48». Tú miras tu reloj de sistemas (sincronizado con el NTP corporativo): son las 20:51.

Ahí está el problema. Su reloj está atrasado 3 minutos, justo en el límite donde el sistema de OTP empieza a rechazar códigos.

ANÁLISIS DE CAUSA: ¿Por qué su reloj está desincronizado? Le preguntas si ha viajado recientemente o si ha cambiado alguna configuración. Ella recuerda que hace dos días tuvo que arrancar el portátil sin conexión a Internet (se había quedado sin wifi en un sitio rural durante una visita domiciliaria) y que la batería del CMOS del portátil está débil (el equipo tiene 4 años). Cuando el portátil arrancó sin sincronización NTP, mantuvo la hora incorrecta.

PASO 4: SOLUCIÓN INMEDIATA

Le indicas a Lucía que sincronice manualmente la hora de su portátil:

1. Hacer clic derecho en el reloj de la barra de tareas
2. Seleccionar «Ajustar fecha y hora»
3. Activar «Establecer hora automáticamente» si está desactivado
4. Hacer clic en «Sincronizar ahora» bajo «Sincronizar el reloj»

Lucía sigue las instrucciones. El reloj se sincroniza. Ahora marca 20:52, la hora correcta.

Le pides que pruebe de nuevo a conectarse a la VPN. Introduce su usuario y contraseña. Recibe un nuevo SMS con un código OTP. Lo introduce. ¡Conexión exitosa! VPN conectada.

Lucía ya puede acceder a Diraya y consultar la historia clínica que necesitaba. Crisis evitada. El paciente puede ser atendido adecuadamente con la información de sus antecedentes.

PASO 5: SOLUCIÓN PREVENTIVA A LARGO PLAZO

Le explicas a Lucía que debe mantener activada la sincronización automática de hora y que si el problema se repite, probablemente necesite cambiar la batería CMOS del portátil. Le dices que abra un ticket de hardware para que el equipo de mantenimiento le cambie la batería en los próximos días.

También te anotas mentalmente que deberías revisar la configuración del servidor VPN. Una desincronización de 3 minutos está en el límite. ¿Debería el sistema ser más tolerante? ¿O más estricto? Esto es un equilibrio entre seguridad y usabilidad. Decides consultarlo en la próxima reunión del equipo de seguridad.

PASO 6: DOCUMENTACIÓN Y REGISTRO

TICKET #2025-04112 - RESUELTO

USUARIO: Lucía Martínez (lmartinez)
FECHA: 03/11/2025 20:45
UBICACIÓN: Remoto (domicilio)
SISTEMA: VPN Cisco AnyConnect + 2FA

SÍNTOMAS:
- Imposibilidad de conectar a VPN corporativa
- Código OTP rechazado sistemáticamente
- SMS con códigos recibidos correctamente

DIAGNÓSTICO:
- Desincronización de reloj del sistema (3 minutos de atraso)
- Códigos TOTP generados fuera de ventana de validez
- Causa raíz: Batería CMOS débil + arranque sin conexión NTP

SOLUCIÓN INMEDIATA (20:53):
- Sincronización manual de reloj del sistema
- Reconexión exitosa a VPN
- Usuario con acceso restaurado en 8 minutos

SOLUCIÓN A LARGO PLAZO:
- Ticket de hardware abierto: #HW-2025-0847
- Programado cambio de batería CMOS
- Usuario notificado de mantener sincronización automática activada

IMPACTO:
- Alta criticidad por afectación a atención urgente de paciente
- Sin impacto en paciente (resolución antes de necesidad crítica)
- Tiempo sin servicio: 8 minutos

LECCIONES APRENDIDAS:
- Implementar monitorización de portátiles con desincronización >1 minuto
- Considerar programa de reemplazo de baterías CMOS en equipos >3 años
- Documentar este caso para base de conocimiento (problema recurrente)

TÉCNICO DE GUARDIA: [Tu nombre]
    

🎫 Incidencia #2025-04589 – Usuarios no pueden acceder a ClicSalud+

CONTEXTO: Lunes, 08:15 AM. Llegas al Centro de Proceso de Datos del SAS y el coordinador de turno te intercepta en la puerta: «Tenemos un problema gordo. Los ciudadanos no pueden acceder a ClicSalud+ desde las 7:30. El CAU ya tiene 150 llamadas en cola. Necesitamos esto funcionando YA.»

INFORMACIÓN INICIAL:

• Sistema afectado: Portal ClicSalud+ (https://clicsalud.sanidadandalucia.es)
• Alcance: Todos los usuarios que intentan acceder con CLAVE
• Hora de inicio: Aproximadamente 07:30 AM
• Síntoma: Error «No se ha podido validar su identidad. Por favor, inténtelo más tarde»
• Usuarios afectados: Estimado 500+ intentos fallidos en 45 minutos
• Métodos alternativos: Acceso con certificado digital funciona correctamente

PASO 1: EVALUACIÓN INICIAL Y ALCANCE

Lo primero es entender el alcance exacto del problema. Te conectas al servidor de monitorización y compruebas los dashboards de ClicSalud+. Ves un pico de errores HTTP 500 en el endpoint de SAML (AssertionConsumerService) desde las 07:32 AM.

Accedes al panel de administración de ClicSalud+ y verificas el estado de los componentes. Todo aparece «verde» excepto el módulo de integración SAML, que muestra estado «Warning» con el mensaje: «Error al validar firma de assertion SAML».

Ahí tienes tu primer indicio concreto. El problema está en la validación de las assertions SAML que llegan de CLAVE.

PASO 2: REVISIÓN DE LOGS DEL SERVIDOR

Accedes al servidor de aplicaciones de ClicSalud+ mediante SSH y revisas los logs del módulo SAML. Ejecutas:

tail -f /var/log/clicsalud/saml-auth.log
    

Ves múltiples entradas como esta:

[2025-11-03 08:16:23] ERROR [SAMLResponseValidator] 
Signature validation failed for assertion ID: _a8f2e9b4c3d1a5f7
SignatureException: Cannot find signing certificate in trusted metadata
Certificate subject: CN=CLAVE IdP New, O=Ministerio, C=ES
Certificate serial: 4F:2A:E8:D3:C1:B9:7A:5E
Certificate SHA256: a1b2c3d4e5f6...
    

El mensaje es claro: el certificado con el que CLAVE está firmando las assertions no se encuentra en la lista de certificados confiables de ClicSalud+. O dicho de otra manera, CLAVE ha cambiado su certificado de firma y ClicSalud+ todavía no tiene el nuevo certificado en su configuración.

PASO 3: VERIFICACIÓN DEL METADATA DE CLAVE

Accedes a la URL pública del metadata de CLAVE para verificar si efectivamente han actualizado su certificado. El metadata de CLAVE se publica en una URL estándar que conoces de memoria:

curl https://clave.gob.es/metadata/idp-metadata.xml > /tmp/clave-metadata-nuevo.xml
    

Abres el archivo XML y buscas la sección KeyDescriptor con uso «signing». Ves que efectivamente hay un nuevo certificado X.509 que no coincide con el que ClicSalud+ tiene configurado.

Verificas la fecha de validFrom del nuevo certificado: 01/11/2025. Hace dos días. ¿Por qué no recibiste notificación? Buscas en tu correo y encuentras un email del Ministerio enviado hace 15 días anunciando la renovación del certificado de CLAVE, con instrucciones para que todos los Service Providers actualizaran sus metadatos antes del 01/11/2025.

El email llegó, pero… está en la bandeja de «Notificaciones técnicas» que nadie revisa sistemáticamente porque recibe 50 correos diarios. Falló el proceso humano de seguimiento de notificaciones críticas.

PASO 4: SOLUCIÓN DE EMERGENCIA

Necesitas restaurar el servicio cuanto antes. Tienes dos opciones:

Opción A (rápida pero sucia): Añadir manualmente el nuevo certificado de CLAVE a la configuración de ClicSalud+ sin quitar el antiguo. Esto permitiría validar assertions firmadas tanto con el certificado nuevo como con el antiguo durante un período de transición.

Opción B (correcta pero más lenta): Actualizar completamente el metadata de CLAVE importando el nuevo archivo XML oficial. Esto actualiza el certificado y cualquier otro cambio que pudiera haber en el metadata (nuevas URLs, nuevos servicios, etc.).

Decides ir por la opción B porque es la forma correcta y no añade mucho tiempo extra (unos 10 minutos más). Accedes a la consola de administración de ClicSalud+ y navegas a la sección «Proveedores de Identidad Federada». Seleccionas «CLAVE» y pulsas «Actualizar Metadata».

El sistema te pide la URL del nuevo metadata. Introduces: https://clave.gob.es/metadata/idp-metadata.xml

El sistema descarga el metadata, lo parsea, valida la firma del metadata (el propio metadata está firmado por CLAVE), y te muestra un resumen de los cambios detectados:

• Certificado de firma: CAMBIO DETECTADO (nuevo certificado)
• Certificado de cifrado: SIN CAMBIOS
• URLs de Single Sign-On: SIN CAMBIOS
• URLs de Single Logout: SIN CAMBIOS

Confirmas la actualización. El sistema importa el nuevo metadata y recarga la configuración. No requiere reinicio del servicio (hot reload).

PASO 5: PRUEBA Y VERIFICACIÓN

Desde tu portátil, abres una ventana de incógnito en el navegador (para evitar cookies cacheadas) y accedes a ClicSalud+. Pulsas «Acceder con Cl@ve». Te redirige a CLAVE. Te autenticas con tu certificado FNMT personal. CLAVE te devuelve a ClicSalud+ con la assertion SAML firmada con el nuevo certificado.

Éxito. Accedes correctamente a ClicSalud+. La validación de la firma SAML funciona.

Verificas los logs en tiempo real. Ya no hay errores de validación de firma. Las assertions se están validando correctamente.

Miras el dashboard de monitorización. Los errores HTTP 500 han cesado. Las autenticaciones exitosas han vuelto a la normalidad.

Son las 08:42 AM. El servicio ha estado caído 1 hora y 12 minutos. Llamas al coordinador y le confirmas que el problema está resuelto. Le pides que notifique al CAU que los usuarios ya pueden volver a acceder con normalidad.

PASO 6: ANÁLISIS POST-MORTEM Y MEJORAS

A las 11:00 AM se celebra la reunión post-mortem con el equipo. Presentas un análisis completo:

ANÁLISIS POST-MORTEM - Incidencia #2025-04589

LÍNEA DE TIEMPO:
- 01/11/2025 00:00 - CLAVE activa nuevo certificado de firma
- 03/11/2025 07:32 - Primeras autenticaciones fallidas detectadas
- 03/11/2025 08:15 - Técnico notificado e inicia diagnóstico
- 03/11/2025 08:42 - Servicio restaurado
- Duración total del incidente: 1h 12min
- Usuarios afectados estimados: 850+

CAUSA RAÍZ:
El certificado de firma de CLAVE se renovó el 01/11/2025, pero el metadata 
de ClicSalud+ no se actualizó. Las assertions firmadas con el nuevo 
certificado no pudieron ser validadas por ClicSalud+.

POR QUÉ NO SE ACTUALIZÓ A TIEMPO:
- El Ministerio envió notificación por email hace 15 días (18/10/2025)
- El email llegó a bandeja compartida "Notificaciones técnicas" 
- Esta bandeja no tiene responsable asignado de revisión sistemática
- No hay procedimiento documentado para renovaciones de certificados federados
- No hay alertas automatizadas cuando metadata de IdPs va a expirar

IMPACTO:
- Servicio crítico ciudadano inaccesible durante 1h 12min en horario prime
- Aproximadamente 850 ciudadanos afectados
- Carga excesiva en CAU (150+ llamadas)
- Imagen del SAS afectada (tendencia negativa en Twitter #ClicSaludCaido)
- Sin impacto en datos (confidencialidad, integridad, disponibilidad de datos 
  históricos preservada)

ACCIONES INMEDIATAS:
1. Metadata de CLAVE actualizado correctamente
2. Verificación de otros proveedores federados (todos OK)
3. Documentación del incidente completa

ACCIONES CORRECTIVAS A MEDIO PLAZO:
1. Implementar sistema de monitorización de caducidad de certificados en metadatas
   - Alert 60 días antes de expiración
   - Alert 30 días antes de expiración
   - Alert 7 días antes de expiración
   - Responsable: Equipo de Monitorización
   - Fecha límite: 30/11/2025

2. Crear procedimiento documentado "PROC-SAS-2025-017" para gestión de 
   renovaciones de certificados de proveedores federados
   - Responsable: Equipo de Seguridad
   - Fecha límite: 20/11/2025

3. Asignar responsable de revisión diaria de bandeja "Notificaciones técnicas"
   - Turno rotativo entre técnicos senior
   - Responsable de implementación: Coordinación TI
   - Fecha límite: Inmediato (desde 04/11/2025)

4. Configurar renovación automática de metadata desde fuente oficial cada 7 días
   con validación y aplicación automática si no hay cambios estructurales
   - Responsable: Equipo de Desarrollo
   - Fecha límite: 15/12/2025

5. Crear runbook (guía de resolución rápida) para este tipo de incidencias
   - Responsable: Documentación técnica
   - Fecha límite: 10/11/2025

LECCIONES APRENDIDAS:
- La gestión manual de certificados federados es propensa a errores
- Los sistemas de notificación deben estar respaldados por monitorización proactiva
- La automatización es crítica para infraestructuras de autenticación federada
- Los procedimientos de emergencia deben estar documentados y accesibles
    

🔍 Incidencia #2025-05234 – Posible acceso indebido a historia clínica

CONTEXTO: Miércoles, 10:30 AM. Recibes una llamada del Responsable de Protección de Datos del SAS. Un paciente ha presentado una queja formal alegando que profesionales sanitarios han accedido a su historia clínica en Diraya sin justificación asistencial. El paciente sospecha que alguien está «cotilleando» su información médica. Esto es extremadamente grave. Estamos hablando de una posible vulneración del RGPD, que puede tener consecuencias legales y sanciones económicas importantes.

El tono de tu interlocutor es serio. Te dice: «Necesito un informe forense completo de todos los accesos a la historia clínica de este paciente en los últimos seis meses. Con nombre de cada profesional que accedió, fecha, hora exacta, desde qué terminal, qué secciones consultó, y si había relación asistencial que justificara el acceso. Y lo necesito para mañana porque Inspección Sanitaria ya está investigando.»

INFORMACIÓN INICIAL:

• Paciente afectado: Juan Carlos Fernández Ruiz (CIP: AND-XXXXXXXX)
• Período a investigar: Últimos 6 meses (mayo – octubre 2025)
• Sistema: Diraya Historia de Salud Digital
• Alcance: Todos los accesos por cualquier profesional sanitario
• Urgencia: MÁXIMA (plazo 24 horas para informe)
• Implicaciones legales: RGPD, posible sanción AEPD, inspección sanitaria

PASO 1: COMPRENSIÓN DEL MARCO LEGAL Y NORMATIVO

Antes de tocar ningún sistema, necesitas entender perfectamente el marco legal en el que te mueves. Esto no es una incidencia técnica ordinaria. Estás realizando una investigación que puede acabar en un procedimiento sancionador o incluso judicial. Cada paso que des debe ser meticuloso, documentado y conforme a la normativa.

Los datos de salud son categoría especial según el artículo nueve del RGPD. El acceso a historias clínicas está regulado por la Ley cuarenta y uno barra dos mil dos de Autonomía del Paciente, que establece que solo pueden acceder los profesionales directamente implicados en la asistencia. El acceso sin justificación asistencial es una infracción muy grave según la Ley Orgánica tres barra dos mil dieciocho.

Además, la Política de Seguridad del SAS obliga a mantener registros de auditoría de todos los accesos a historias clínicas durante un mínimo de seis años. Estos registros deben incluir identificación del usuario, fecha, hora, recurso accedido y acción realizada. Esto es exactamente lo que necesitas ahora.

PASO 2: EXTRACCIÓN DE LOGS DE AUDITORÍA

Diraya mantiene una tabla de auditoría específica para accesos a historias clínicas. Cada vez que un profesional abre una historia, la consulta queda registrada con un nivel de detalle exhaustivo. Accedes al servidor de base de datos de Diraya mediante una conexión segura y preparas tu consulta SQL.

Pero espera, antes de ejecutar ninguna consulta, debes documentar el procedimiento. Abres un documento que titulas «INFORME FORENSE – Auditoría de accesos HC – CIP AND-XXXXXXXX» y comienzas a registrar cada acción que realizas con timestamp preciso. Esto es fundamental porque tu informe debe tener valor probatorio.

-- Consulta SQL de auditoría de accesos a Historia Clínica
-- Ejecutada por: [Tu nombre] - [Tu usuario corporativo]
-- Fecha y hora: 2025-11-03 10:45:32
-- Sistema: Diraya - Base de Datos de Auditoría (servidor: diraya-audit-01.sas.junta-andalucia.es)
-- Objetivo: Investigación de posibles accesos no autorizados

SELECT 
    audit.timestamp_acceso,
    audit.usuario_corporativo,
    prof.nombre_completo,
    prof.categoria_profesional,
    prof.centro_trabajo,
    prof.servicio,
    audit.terminal_origen,
    audit.ip_origen,
    audit.seccion_consultada,
    audit.tiempo_permanencia_segundos,
    audit.acciones_realizadas,
    asist.existe_relacion_asistencial,
    asist.tipo_atencion,
    asist.justificacion
FROM 
    diraya_audit.accesos_historia_clinica audit
LEFT JOIN 
    diraya_rrhh.profesionales prof 
    ON audit.usuario_corporativo = prof.usuario_corporativo
LEFT JOIN 
    diraya_asistencial.relaciones_asistenciales asist 
    ON audit.usuario_corporativo = asist.profesional_usuario
    AND asist.paciente_cip = 'AND-XXXXXXXX'
    AND audit.timestamp_acceso BETWEEN asist.fecha_inicio AND asist.fecha_fin
WHERE 
    audit.paciente_cip = 'AND-XXXXXXXX'
    AND audit.timestamp_acceso >= '2025-05-01 00:00:00'
    AND audit.timestamp_acceso <= '2025-10-31 23:59:59'
ORDER BY 
    audit.timestamp_acceso DESC;
    

Esta consulta es poderosa porque no solo te dice quién accedió y cuándo, sino que cruza esa información con la tabla de relaciones asistenciales. Esta tabla registra automáticamente cuando un paciente es asignado a un profesional, por ejemplo cuando ingresa en una planta hospitalaria, cuando tiene una cita programada en consulta externa, o cuando acude a urgencias. Si alguien accedió a la historia clínica pero no aparece ninguna relación asistencial en las fechas próximas, eso es una bandera roja enorme.

PASO 3: ANÁLISIS DE LOS RESULTADOS

La consulta devuelve doscientos treinta y siete registros de acceso. Eso es bastante para un solo paciente en seis meses. Exportas los resultados a un archivo CSV y comienzas el análisis meticuloso.

Abres el archivo en una hoja de cálculo y empiezas a clasificar los accesos. Creas columnas adicionales para tu análisis: "Justificación aparente", "Nivel de sospecha", "Requiere investigación adicional", "Observaciones".

Identificas varios patrones que necesitas analizar con detalle. Primero, hay muchos accesos legítimos que están claramente justificados. Por ejemplo, ves que el paciente tuvo una cita en cardiología el quince de mayo, y hay registros de acceso del cardiólogo el mismo día a las nueve y cuarenta de la mañana, justo la hora de la cita. Eso está perfectamente justificado. Marcas esos accesos como "LEGÍTIMO - Relación asistencial documentada".

También ves múltiples accesos del médico de familia del paciente a lo largo de los seis meses. Verificas en la tabla de adscrición de pacientes y confirmas que efectivamente ese médico es el titular asignado al paciente en su centro de salud. Un médico de familia puede necesitar consultar la historia de su paciente para preparar citas, revisar resultados de analíticas que le han enviado desde el hospital, o actualizar tratamientos crónicos. Estos accesos también son justificables, aunque algunos no tienen una relación asistencial específica en ese momento exacto. Los marcas como "LEGÍTIMO - Médico de familia titular".

Pero entonces encuentras algo que te llama la atención. Hay diecisiete accesos de una enfermera del Hospital Virgen Macarena, María José Torres, entre junio y septiembre. Los accesos son a diferentes horas, algunos en su horario laboral, otros a las once de la noche, uno incluso un domingo. Y aquí viene lo interesante: verificas la tabla de relaciones asistenciales y este paciente nunca ha estado ingresado en el Virgen Macarena. De hecho, verificas su historial y nunca ha acudido a ese hospital para nada. Ni urgencias, ni consultas, nada.

Esto es altamente sospechoso. ¿Por qué una enfermera de un hospital al que el paciente nunca ha acudido está accediendo repetidamente a su historia clínica? Y además en horarios extraños, incluyendo fuera de su jornada laboral.

PASO 4: INVESTIGACIÓN AMPLIADA DE LOS ACCESOS SOSPECHOSOS

Decides profundizar en los accesos de María José Torres. Ejecutas una consulta más específica para ver exactamente qué secciones de la historia clínica consultó y cuánto tiempo pasó en cada una.

SELECT 
    timestamp_acceso,
    seccion_consultada,
    tiempo_permanencia_segundos,
    terminal_origen,
    ip_origen,
    tipo_dispositivo
FROM 
    diraya_audit.accesos_historia_clinica
WHERE 
    usuario_corporativo = 'mtorres_enf'
    AND paciente_cip = 'AND-XXXXXXXX'
ORDER BY 
    timestamp_acceso;
    

Los resultados son reveladores. La enfermera no estaba consultando secciones que una enfermera normalmente necesitaría para cuidados asistenciales, como constantes vitales, tratamientos actuales o plan de cuidados. No. Estaba consultando sistemáticamente las secciones de "Antecedentes familiares", "Enfermedades previas", "Informes de salud mental" y "Resultados de analíticas". Pasaba varios minutos en cada sección. Y lo que es más revelador, varios de estos accesos se realizaron desde un dispositivo móvil, según indica el campo tipo_dispositivo.

Verificas la IP de origen de estos accesos. Algunos son desde la red corporativa del Virgen Macarena, lo cual sería normal si ella estuviera trabajando. Pero otros son desde IPs externas, residenciales, claramente desde su domicilio particular o desde redes móviles. Esto confirma que estaba accediendo fuera de su horario laboral y desde ubicaciones no corporativas.

Ahora necesitas entender el motivo. Buscas información sobre la enfermera en el directorio de recursos humanos. Ves su nombre completo, su NIF, su dirección... Y entonces buscas si hay alguna relación entre ella y el paciente. Compruebas si comparten apellidos, si viven en la misma zona, si podría haber algún vínculo familiar. Y efectivamente, descubres que comparten el segundo apellido y viven en el mismo distrito postal de Sevilla. Es muy probable que sean familiares, quizás primos.

Esto encaja con un patrón que habéis visto antes en el SAS: accesos indebidos motivados por curiosidad o preocupación familiar. La enfermera probablemente quería saber el estado de salud de su familiar, y utilizó su acceso profesional a Diraya para satisfacer esa curiosidad personal. Esto, aunque humanamente comprensible, es una vulneración gravísima de la confidencialidad. El acceso a historias clínicas debe estar justificado exclusivamente por necesidad asistencial, nunca por vínculos personales o familiares.

PASO 5: VERIFICACIÓN DE OTROS ACCESOS POTENCIALMENTE PROBLEMÁTICOS

Continúas analizando el resto de accesos. Encuentras otros tres casos que requieren explicación adicional. Hay dos accesos de administrativos del servicio de facturación del Hospital Virgen del Rocío. Los administrativos normalmente no deberían acceder a historias clínicas completas, solo a datos administrativos específicos para facturación. Verificas qué secciones consultaron y efectivamente solo accedieron a datos administrativos y de facturación, no a información clínica. Esto parece legítimo, pero lo marcas para verificación porque uno de los accesos fue en horario nocturno, lo cual es inusual para personal administrativo.

También hay un acceso de un médico residente de traumatología que consultó la historia el veintitrés de agosto. Verificas y ese día el paciente acudió a urgencias con un esguince de tobillo, así que está perfectamente justificado.

Y hay un acceso del propio paciente a través del portal ClicSalud+ el tres de octubre. Los pacientes tienen derecho a acceder a su propia historia clínica. Esto no solo es legítimo, es un derecho fundamental reconocido en la legislación. Lo marcas como "LEGÍTIMO - Acceso del propio paciente".

PASO 6: ELABORACIÓN DEL INFORME FORENSE

Con todo el análisis completado, elaboras un informe forense detallado. Este documento debe ser claro, preciso y tener valor probatorio. Estructuras el informe en las siguientes secciones:

═══════════════════════════════════════════════════════════════════════
INFORME FORENSE DE AUDITORÍA DE ACCESOS A HISTORIA CLÍNICA
═══════════════════════════════════════════════════════════════════════

CLASIFICACIÓN: CONFIDENCIAL - PROTECCIÓN DE DATOS
FECHA DE ELABORACIÓN: 03/11/2025
ELABORADO POR: [Tu nombre y cargo]
SOLICITADO POR: Responsable de Protección de Datos del SAS
CASO: Incidencia #2025-05234

1. OBJETO DE LA INVESTIGACIÓN
─────────────────────────────────────────────────────────────────────
Análisis forense de todos los accesos realizados a la historia clínica 
del paciente Juan Carlos Fernández Ruiz (CIP: AND-XXXXXXXX) en el 
sistema Diraya durante el período comprendido entre el 1 de mayo de 2025 
y el 31 de octubre de 2025, con el objetivo de identificar posibles 
accesos no justificados por relación asistencial.

2. METODOLOGÍA EMPLEADA
─────────────────────────────────────────────────────────────────────
2.1. Extracción de registros de auditoría de la base de datos Diraya
2.2. Cruce de información con tabla de relaciones asistenciales
2.3. Verificación de datos de profesionales en directorio de RRHH
2.4. Análisis de patrones de acceso (horarios, secciones, permanencia)
2.5. Investigación ampliada de accesos considerados sospechosos
2.6. Validación con normativa aplicable (RGPD, LOPDGDD, Ley 41/2002)

Todas las consultas realizadas han sido documentadas con timestamp y 
usuario ejecutor para garantizar la trazabilidad del proceso de auditoría.

3. RESUMEN EJECUTIVO
─────────────────────────────────────────────────────────────────────
TOTAL DE ACCESOS REGISTRADOS: 237
- Accesos legítimos con relación asistencial documentada: 213 (89.9%)
- Accesos justificables (médico de familia, coordinación): 7 (3.0%)
- Accesos del propio paciente (ClicSalud+): 1 (0.4%)
- Accesos sospechosos pendientes de aclaración: 3 (1.3%)
- ACCESOS NO JUSTIFICADOS IDENTIFICADOS: 17 (7.2%)

HALLAZGO CRÍTICO: Se han identificado 17 accesos realizados por una 
profesional sanitaria (enfermera) sin relación asistencial justificada, 
varios de ellos realizados fuera del horario laboral y desde dispositivos 
y ubicaciones no corporativas.

4. DETALLE DE ACCESOS NO JUSTIFICADOS
─────────────────────────────────────────────────────────────────────
PROFESIONAL: María José Torres Fernández
NIF: 28.XXX.XXX-Y
CATEGORÍA: Enfermera
CENTRO: Hospital Universitario Virgen Macarena
SERVICIO: Medicina Interna - Planta 3ª

RELACIÓN CON EL PACIENTE: 
Investigación adicional revela que la profesional y el paciente comparten 
segundo apellido y residen en el mismo distrito postal, lo que sugiere 
posible vínculo familiar (pendiente de confirmación por RRHH).

RELACIÓN ASISTENCIAL CON EL PACIENTE:
NINGUNA. El paciente nunca ha sido atendido en el Hospital Virgen Macarena 
ni tiene citas programadas en dicho centro. No existe justificación 
asistencial que ampare estos accesos.

DETALLE DE LOS 17 ACCESOS:

┌──────────────────┬─────────────────────────┬──────────────────┬───────────┐
│ Fecha y Hora     │ Origen                  │ Secciones        │ Tiempo    │
├──────────────────┼─────────────────────────┼──────────────────┼───────────┤
│ 15/06/2025 23:18 │ IP doméstica / Móvil   │ Antecedentes     │ 4 min 32s │
│ 22/06/2025 15:43 │ Red corporativa        │ Informes S.Mental│ 6 min 15s │
│ 29/06/2025 22:07 │ IP doméstica / Móvil   │ Analíticas       │ 3 min 48s │
│ 05/07/2025 14:22 │ Red corporativa        │ Antecedentes Fam.│ 5 min 03s │
│ 12/07/2025 20:35 │ IP doméstica / PC      │ Informes clínicos│ 7 min 22s │
│ ...              │ ...                     │ ...              │ ...       │
└──────────────────┴─────────────────────────┴──────────────────┴───────────┘

[Tabla completa con los 17 accesos en el anexo A]

CARACTERÍSTICAS PREOCUPANTES:
✗ 9 de 17 accesos (53%) realizados fuera del horario laboral
✗ 6 accesos desde dispositivo móvil personal
✗ 4 accesos en fin de semana
✗ Patrón de consulta enfocado en información sensible (salud mental, 
  antecedentes familiares) sin justificación asistencial
✗ Tiempo de permanencia extenso (promedio 5 minutos), indicativo de 
  lectura detallada, no consulta puntual profesional

5. ACCESOS PENDIENTES DE ACLARACIÓN
─────────────────────────────────────────────────────────────────────
Se identifican 3 accesos adicionales que, aunque no son claramente 
irregulares, requieren aclaración por parte de los profesionales:

5.1. Administrativo Servicio Facturación - Acceso nocturno (02:34 AM)
5.2. Administrativo Servicio Facturación - Acceso desde IP no corporativa
5.3. [Detalle en anexo B]

6. MARCO LEGAL Y NORMATIVO APLICABLE
─────────────────────────────────────────────────────────────────────
Los accesos identificados constituyen potenciales infracciones de:

- RGPD (Reglamento UE 2016/679), Art. 5 (Principios de tratamiento)
- RGPD, Art. 32 (Seguridad del tratamiento)
- Ley Orgánica 3/2018 (LOPDGDD), Art. 83 (Deber de confidencialidad)
- Ley 41/2002 de Autonomía del Paciente, Art. 16 (Usos de la HC)
- Código Penal, Art. 197.2 (Descubrimiento y revelación de secretos)

Clasificación de la infracción según LOPDGDD: INFRACCIÓN MUY GRAVE
Sanción potencial AEPD: Hasta 20.000.000€ o 4% facturación anual global

7. RECOMENDACIONES
─────────────────────────────────────────────────────────────────────
INMEDIATAS:
1. Suspensión cautelar del acceso de la profesional María José Torres 
   al sistema Diraya, efectiva de forma inmediata
2. Comunicación formal a la profesional de la apertura de expediente 
   disciplinario
3. Notificación a su superior jerárquico y Dirección de Enfermería
4. Preservación de todas las evidencias digitales
5. Comunicación al paciente afectado de los accesos identificados, 
   conforme Art. 34 RGPD (Comunicación de violación de seguridad)

A CORTO PLAZO:
6. Entrevista formal con la profesional para recabar su versión
7. Investigación de posibles accesos similares a otros pacientes
8. Valoración de comunicación a AEPD (posible brecha de seguridad)
9. Valoración de denuncia penal según gravedad y circunstancias

A MEDIO PLAZO:
10. Implementación de alertas automáticas ante patrones de acceso sospechosos
11. Formación reforzada en confidencialidad y protección de datos
12. Revisión de política de acceso para personal con vínculos familiares

8. CONCLUSIONES
─────────────────────────────────────────────────────────────────────
El análisis forense ha identificado accesos a la historia clínica del 
paciente Juan Carlos Fernández Ruiz que NO están justificados por 
relación asistencial. Los accesos fueron realizados por una profesional 
sanitaria sin competencia asistencial sobre el paciente, en múltiples 
ocasiones, fuera de horario laboral y desde ubicaciones no corporativas.

El patrón de acceso sugiere motivación de curiosidad personal, 
probablemente relacionada con vínculo familiar entre profesional y paciente.

Estos accesos constituyen una vulneración grave del derecho a la 
confidencialidad del paciente y de la normativa de protección de datos.

Se recomienda la adopción inmediata de las medidas correctivas indicadas 
y la evaluación de responsabilidades disciplinarias y, en su caso, legales.

═══════════════════════════════════════════════════════════════════════

ANEXOS:
A. Tabla completa de 17 accesos no justificados con detalle técnico
B. Detalle de 3 accesos pendientes de aclaración
C. Logs completos de auditoría (237 registros)
D. Consultas SQL ejecutadas durante la investigación
E. Normativa aplicable (extractos relevantes)

FIRMA DIGITAL DEL INFORME:
[Hash SHA-256 del documento]
[Firma electrónica del técnico investigador]
[Timestamp cualificado]
    

PASO 7: COMUNICACIÓN DE RESULTADOS Y SEGUIMIENTO

Envías el informe al Responsable de Protección de Datos mediante correo certificado. A las dos horas recibes su respuesta. Te agradece la exhaustividad del trabajo y te informa de que han suspendido cautelarmente el acceso de la enfermera a Diraya y han abierto expediente disciplinario. También te informan de que van a comunicar la incidencia al paciente afectado, como exige el RGPD, y que están valorando si deben notificarlo a la Agencia Española de Protección de Datos.

Tres días después te llaman para una reunión. Quieren que implementes un sistema de alertas automáticas que detecte patrones sospechosos de acceso: accesos fuera de horario laboral, accesos desde IPs no corporativas, accesos reiterados sin relación asistencial, accesos a historias de pacientes con apellidos coincidentes con el profesional. Este sistema debería generar alertas en tiempo real para que Protección de Datos pueda investigar de forma proactiva, no solo reactiva cuando hay quejas.

También te piden que desarrolles un módulo de formación obligatoria sobre confidencialidad que todos los profesionales sanitarios del SAS deberán completar anualmente, con especial énfasis en que el acceso a historias clínicas de familiares, amigos o conocidos está absolutamente prohibido salvo que exista relación asistencial justificada.

💊 Incidencia #2025-05891 - Médicos no pueden prescribir recetas electrónicas

CONTEXTO: Jueves, 11:20 AM. El sistema de monitorización dispara una alerta crítica: el número de recetas electrónicas firmadas en los últimos treinta minutos ha caído a cero en toda Andalucía. Esto es imposible. En un día laborable normal, el sistema procesa entre ochocientas y mil doscientas recetas cada treinta minutos. Un descenso a cero significa que hay un problema sistémico gravísimo.

Simultáneamente, el teléfono del CAU echa humo. Médicos de familia de toda Andalucía están llamando reportando que no pueden firmar recetas. Los pacientes esperan en las consultas. Algunos necesitan medicación urgente. El sistema de salud está efectivamente paralizado en su capacidad de prescripción farmacéutica. La presión es máxima.

INFORMACIÓN INICIAL:

• Sistema afectado: Receta XXI (Sistema de Receta Electrónica)
• Alcance: Toda Andalucía, todos los médicos prescriptores
• Hora inicio: Aproximadamente 10:50 AM
• Síntoma: Imposibilidad de firmar recetas electrónicamente
• Mensaje de error: "Error al aplicar firma electrónica. Contacte con soporte técnico"
• Sistemas colaterales: Diraya funciona normalmente, solo afectado módulo de receta

PASO 1: ACTIVACIÓN DE PROTOCOLO DE CRISIS

Te reúnes urgentemente con el coordinador de sistemas y el responsable del servicio de receta electrónica. Activáis el protocolo de crisis que tenéis documentado para incidencias de nivel uno, aquellas que afectan servicios críticos asistenciales en toda la comunidad autónoma. Esto implica convocar al equipo completo, suspender cualquier otra tarea no crítica, establecer un puente de conferencia permanente entre todos los técnicos involucrados, y abrir un canal de comunicación directo con la Dirección del SAS para mantenerles informados cada quince minutos.

También activáis el plan de contingencia. Mientras investigáis y resolvéis el problema, los médicos deben poder seguir prescribiendo. Enviáis una comunicación masiva a todos los centros sanitarios indicando que temporalmente deben usar el procedimiento de prescripción manual excepcional, emitiendo recetas en papel con firma manuscrita y sello. No es lo ideal, pero permite que la asistencia continúe.

PASO 2: DIAGNÓSTICO INICIAL DEL SISTEMA

Empiezas por lo básico. Verificas el estado de los servidores de aplicación de Receta XXI. Todos operativos. CPU al treinta por ciento, memoria normal, disco con espacio suficiente. No hay problemas de hardware ni de capacidad.

Verificas la conectividad de red entre los componentes del sistema. Todo correcto. Los servidores de aplicación pueden comunicarse con los servidores de base de datos, con los sistemas de firma, con la plataforma @firma. No hay problemas de red ni de firewall.

Revisas los logs de aplicación del módulo de receta electrónica. Y aquí empiezas a ver algo. Múltiples errores del tipo "SignatureException: Certificate chain validation failed" desde las diez y cincuenta de la mañana. Todos los intentos de firma están fallando con el mismo error: fallo en la validación de la cadena de certificados.

PASO 3: INVESTIGACIÓN DE LA PLATAFORMA DE FIRMA

El sistema de Receta XXI utiliza la plataforma @firma del Gobierno para gestionar todo el proceso de firma electrónica. Los médicos firman con sus certificados digitales corporativos o colegiales, y @firma se encarga de validar el certificado, añadir el sello de tiempo, y generar la firma en formato XAdES.

Accedes al servidor donde está desplegado el componente @firma. Revisas sus logs y encuentras el mismo patrón de errores. Cada intento de validar un certificado falla con "Cannot build certification path". Esto significa que @firma no puede construir la cadena de confianza desde el certificado del médico hasta una CA raíz confiable.

Pero espera, esto funcionaba perfectamente ayer. ¿Qué ha cambiado en las últimas veinticuatro horas? Revisas el historial de cambios en el sistema. No ha habido ningún despliegue de código nuevo. No se han modificado configuraciones. No hay actualizaciones del sistema operativo pendientes de aplicar. Todo parece igual que ayer.

Entonces decides comprobar algo más específico. Verificas el almacén de certificados de confianza de @firma, donde se guardan los certificados de las CAs raíz e intermedias que se consideran confiables. Ejecutas un comando para listar los certificados y sus fechas de caducidad.

keytool -list -v -keystore /opt/afirma/truststore.jks -storepass changeit | grep -A 5 "Alias name"
    

Y ahí lo ves. Hay un certificado de CA intermedia de la FNMT que caducó... esta mañana a las nueve. El certificado estuvo válido hasta las ocho y cincuenta y nueve con cincuenta y nueve segundos del tres de noviembre de dos mil veinticinco. Hace hora y media exactamente.

Este certificado intermedio es parte de la cadena de confianza de los certificados corporativos del SAS y de muchos certificados de colegios profesionales. Cuando un médico intenta firmar una receta, @firma valida su certificado, sube por la cadena de confianza hasta llegar a la CA intermedia de la FNMT, y ahí se encuentra con que el certificado de la CA intermedia está caducado. Como no puede completar la cadena de confianza hasta una CA raíz válida, rechaza la firma.

PASO 4: OBTENCIÓN DEL CERTIFICADO ACTUALIZADO

Necesitas urgentemente el nuevo certificado de CA intermedia de la FNMT. Accedes a la web de la FNMT, sección de Descarga de Certificados Raíz e Intermedios. Navegas hasta encontrar el certificado actualizado de la CA intermedia que necesitas. Efectivamente, hay uno nuevo válido desde el primero de noviembre y con vigencia hasta dos mil veintiocho.

Descargas el certificado en formato PEM. Antes de instalarlo en el truststore de @firma, verificas su autenticidad. Calculas su huella SHA-256 y la comparas con la publicada oficialmente en la web de la FNMT. Coinciden. También verificas que el certificado está firmado por la CA raíz de la FNMT que ya tienes en tu truststore. Todo correcto.

PASO 5: INSTALACIÓN DEL CERTIFICADO Y PRUEBAS

Ahora necesitas instalar el nuevo certificado en el truststore de @firma. Pero tienes tres servidores de @firma funcionando en cluster para alta disponibilidad. Necesitas actualizar los tres, y hacerlo de forma que no generes más indisponibilidad de la que ya tienes.

Decides empezar por un solo servidor, el servidor @firma-tres, que es el que menos carga suele tener. Lo sacas temporalmente del balanceador de carga para que no reciba peticiones. Luego instalas el certificado en su truststore.

# Instalación del nuevo certificado de CA intermedia FNMT
keytool -import -trustcacerts \
        -alias fnmt_ca_intermedia_2025 \
        -file /tmp/fnmt_ca_intermedia_nov2025.pem \
        -keystore /opt/afirma/truststore.jks \
        -storepass changeit
    

El sistema te pregunta si confías en el certificado. Verificas de nuevo la huella digital que muestra y confirmas que sí. Certificado instalado.

Ahora necesitas que @firma recargue el truststore. Como @firma corre en un servidor de aplicaciones Tomcat, no necesitas reiniciar todo el servidor, puedes simplemente recargar la aplicación. Esto minimiza el impacto.

# Recarga de la aplicación @firma sin reiniciar Tomcat
/opt/tomcat/bin/catalina.sh restart-app afirma
    

La aplicación se recarga en unos segundos. Ahora necesitas probar si funciona. Desde un navegador, accedes a la interfaz de pruebas de @firma y subes un documento de prueba junto con un certificado corporativo del SAS. Le das a firmar. Y... ¡funciona! La firma se aplica correctamente. La validación de la cadena de certificados es exitosa.

Perfecto. Ahora que sabes que la solución funciona, necesitas aplicarla a los otros dos servidores. Los actualizas uno por uno, sacándolos temporalmente del balanceador, instalando el certificado, recargando la aplicación, probando, y volviéndolos a meter en el balanceador. En quince minutos tienes los tres servidores actualizados y operativos.

PASO 6: VERIFICACIÓN DE SERVICIO Y COMUNICACIÓN

Miras el dashboard de monitorización. Las recetas firmadas comienzan a subir. Cincuenta en el último minuto. Cien. Doscientas. Trescientas. En cinco minutos el sistema vuelve a los niveles normales de mil recetas cada treinta minutos. El servicio está restaurado.

Comunicas al coordinador que el problema está resuelto. Él envía una comunicación urgente a todos los centros sanitarios: "El problema técnico con Receta XXI ha sido resuelto. El sistema está operativo. Pueden volver a prescribir recetas electrónicas con normalidad. Disculpen las molestias."

El tiempo total de indisponibilidad ha sido de una hora y cincuenta minutos. Menos de dos horas. En una situación crítica que afectaba a toda Andalucía, habéis diagnosticado, solucionado y restaurado el servicio en menos de dos horas. Eso es un buen resultado en circunstancias difíciles.

PASO 7: ANÁLISIS POST-MORTEM Y PREVENCIÓN

Por la tarde se convoca la reunión de análisis post-mortem. Presentas tu diagnóstico completo de lo ocurrido. Un certificado de CA intermedia caducó sin que nadie lo detectara a tiempo. La FNMT había publicado el nuevo certificado con dos meses de antelación, pero nadie en el equipo lo instaló porque no había un proceso sistematizado de monitorización de caducidad de certificados de CAs en el truststore.

Propones tres medidas preventivas. Primera, implementar un script que se ejecute semanalmente y que verifique las fechas de caducidad de todos los certificados en el truststore de @firma, generando alertas cuando un certificado esté a menos de sesenta días de caducar. Segunda, documentar un procedimiento estándar para la actualización de certificados de CAs en el truststore, con checklist y responsables asignados. Y tercera, crear un entorno de preproducción donde probar actualizaciones de certificados antes de aplicarlas en producción, para asegurarse de que no hay efectos colaterales inesperados.

El equipo aprueba las tres propuestas. Te asignan la tarea de implementarlas en las próximas dos semanas. También decides documentar este caso como un runbook, una guía paso a paso que cualquier técnico pueda seguir si vuelve a ocurrir un problema similar. Lo titulas "RUNBOOK-007: Fallo de validación de certificados en @firma" y lo guardas en la wiki técnica del equipo.