Firma Electrónica
Por: Dra. María Cristina Vallejo R.
Abogada Especialista Superior en Derecho Financiero y Bursátil
cristina- [email protected]
H OY EN DÍA LA INFORMACIÓN es un activo fundamental y pilar básico del desarrollo de una sociedad avanzada. Es así, que en la Unión Europea el crecimiento es imparable, ya que ha pasado de 63 millones de usuarios en el año 1999, a unos 100 millones en el 2001. España no se ha quedado atrás en este avance, pasando de 4 a 12 millones entre 1999 y 2001. No obstante, el principal problema que se plantean los juristas a nivel mundial es el de la seguridad y confidencialidad de la información que circula por la red.
El acceso a las redes públicas, unido a la seguridad reinante en las redes privadas, hace que Internet, necesite de una serie de mecanismos que generen seguridad. La FIRMA ELECTRONICA aparece como una respuesta a esta deficiencia, que a su vez se manifiesta en la necesidad de confiabilidad, integridad, identidad y no repudio en las comunicaciones. La deficiencia significa, «en primer lugar, que cuando se establece una comunicación y uno de los interlocutores transfiere cierta información al segundo, no se asegura que el mensaje enviado sea recibido únicamente por el destinatario pretendido; es decir, no se asegura la confidencialidad de la información. En segundo término, es posible que la información sea alterada por un agente distinto del emisor a lo largo de su recorrido, antes de ser recibida por su destinatario: de esta manera se puede alterar la integridad de la información. En tercer lugar, ninguno de los agentes en la comunicación puede cerciorarse de la identidad del otro, pudiendo no ser éste otro quien dice ser; y finalmente, puede que el usuario origen de una comunicación se retracte de su autoría, e impida con ello garantizar el no repudio». DOMÍNGUEZ GRAGERA, María Luisa.- Normativa Aplicable a la Firma Electrónica (Directiva 99/93) CE y Real Decreto- Ley 14/1999. Editorial La Ley. España. 2002. pp. 1339.
LA SEGURIDAD EN LAS TRANSACCIONES.-
El problema fundamental que plantean las transacciones a través de Internet desde el punto de vista jurídico, se puede resumir en cuatro grandes temas que han sido puestos de manifiesto por numerosos expertos en la materia y que deben tomar en cuenta para que la información no sea alterada por ningún concepto y son: LA CONFIDENCIALIDAD, INTEGRIDAD, AUTENTICIDAD y NO REPUDIO.
La CONFIDENCIALIDAD, asegura el secreto de las comunicaciones contenidas en los mensajes.
La INTEGRIDAD, hace referencia al hecho de que la información no pueda ser manipulada en el proceso de envío.
La AUTENTICIDAD, significa que la información sea enviada por quien aparece como emisor y recibida por aquel a quien va dirigida.
Por último, el NO REPUDIO, viene a asegurar que no se pueda negar la autoría del mensaje enviado.
Para garantizar el cumplimiento de estos requisitos, se plantearon dos grandes alternativas:
1.- SISTEMAS DE CRIPTOGRAFIA SIMETRICA , que obliga a los interlocutores a utilizar la misma clave para encriptar y desencriptar el mensaje, dicha técnica fue desarrollada por IBM, pero fracasó debido a su inseguridad en cuanto al secreto y confidencialidad de dicha clave. No obstante, este sistema ha sido el más utilizado históricamente.
2.- SISTEMAS DE CRIPTOGRAFIA ASIMETRICA , consisten en la asignación de dos claves, una pública y otra privada, asociadas a un solo interlocutor. Así, un componente del par (la clave privada) solamente es conocido por su propietario, y con esa clave privada firma electrónicamente un documento, mientras que la otra parte del par (la clave pública) se publica ampliamente para que todos la conozcan y el destinatario abra el documento.
Este sistema, parece el más adecuado, para el cumplimiento de los requisitos anteriores, y es el más utilizado en la práctica, bajo la denominación RSA, que se debe a las iniciales de sus creadores (Rivest, Shamir y Adelman), y que es el contemplado en el documento de la ISO (International Standard Organisation),7498-2, de Julio de 1988, que señala la arquitectura de seguridad para proteger las comunicaciones de los usuarios de las redes. Se puede definir como «una cadena de caracteres que se agrega a un archivo digital que hace el mismo papel que la firma convencional que se escribe en un documento de papel ordinario».
En este esquema, se pueden resumir los siguientes pasos:
1.- A cada usuario se le da un número entero que funciona como su clave pública.
2.- Cada usuario posee una clave privada que solo él conoce, y que es distinta para cada uno.
3.- Existe un directorio de claves públicas que pueden ser conocidas.
4.- El emisor envía el mensaje con la clave pública del destinatario, encriptándola con su clave privada. El destinatario solo podrá abrir el mensaje con la clave pública junto con su clave privada.
En suma, la infraestructura que posibilita a enviar una firma electrónica, es el sistema de clave pública/ clave privada, basado en un par de llaves asimétricas, de tal forma que lo que uno firma, el otro lo verifica. Y en el caso de un mensaje cifrado o encriptado, es el sistema de clave publica que se utiliza para descifrar y siempre vinculada a la figura de la Entidad Certificadora.
Esta Entidad, cumple con un rol muy importante dentro de este proceso, porque ofrece soporte como «tercera parte confiable» para certificar y autenticar transacciones electrónicas, realizando servicios tales como:
– La certificación y revocación de claves
– Las consultas de directorio seguro o la emisión de certificados.
QUE ENTENDEMOS POR CRIPTOGRAFIA?
Es la ciencia que estudia la transformación de información legible en otra que no se puede leer directamente. En este proceso, la información es codificada (cifrada) para evitar que sea leída o alterada por terceras personas. La información cifrada será ininteligible para todo aquel que no tenga capacidad de descrifrarla.
De lo dicho se infiere, que el cifrado y descifrado requiere de una fórmula matemática o algoritmo para cifrar los datos.
Hay dos tipos de CRIPTOGRAFIA, como lo mencionamos anteriormente, la criptografía simétrica y la asimétrica: la primera, obliga a los dos interlocutores (emisor y receptor) del mensaje, a utilizar la misma clave para encriptar y desencriptar el mismo. Por otro lado, la criptografía asimétrica, utiliza un par de llaves o claves diferentes, de forma que cada uno de los elementos del par (una clave privada) puede encriptar información que solo la otra componente del par (la clave publica) puede desencriptar.
QUE ES LA FIRMA ELECTRONICA?
En primer lugar, la firma electrónica no tiene nada que ver con lo que intuitivamente piensa más de una persona: una especie de escaneo digital de la firma autógrafa tradicional, sino que consiste en el uso de un sistema de claves que permite varias alternativas a las partes que intervienen en la transacción o comunicación efectuada a través de Internet : por un lado, que la información, al viajar por la Red, vaya cifrada (encriptada), con la finalidad de que si alguien intercepta dicha comunicación durante su tránsito, no la pueda entender. Por otro lado, si alguien, interceptando dicha comunicación, intenta modificarla, ello sería técnicamente detectable. A su vez, nos permite tener la certeza de saber quién es la otra parte con la que contratamos, lo cual nos dará la confianza mínima en el sentido de saber que la otra parte es quién dice ser, y no un farsante o un impostor que se esté haciendo pasar por él; y finalmente, posibilita que el destinatario del mensaje no pueda negar haberlo recibido.
LA IMPORTANCIA DE LA FIRMA ELECTRONICA
La firma electrónica goza de la misma validez legal que la manuscrita, tanto a nivel nacional como internacional, siempre y cuando cumpla con los siguientes requisitos:
– Ser única y personal
– Estar bajo en control exclusivo de la persona que la usa, mediante palabra o clave intransferible
– Hallarse ligada al documento digital, de tal manera que si alguno de los atributos cambia, automáticamente el documento se invalida
– Realizarse en certificados emitidos por Autoridades de Certificación.
PARA QUE SIRVE LA FIRMA ELECTRONICA ?
Pues tiene bastantes utilidades:
– Asegurar que la contraparte, en una relación vía Internet, es quien dice ser.
– Garantizar que el mensaje, al ir debidamente cifrado hasta que llega a su destinatario, no puede accederse a su contenido en el caso de que algún tercero no autorizado lo intercepte durante dicho tránsito.
– Certificar que el destinatario recibió el mensaje, registrándose incluso la hora y segundos a los que tal evento ocurrió. A este fenómeno, se le conoce como no repudio.
– Posibilitar, que en caso de interceptación no autorizada del mensaje, e intento igualmente no consentido de modificarlo, ello se detecte automáticamente.
– Garantizar, que en el supuesto de estar ante una página Web determinada, estamos ante ella y no ante otra ( recordemos que mediante el fenómeno denominado web spoofing, un cracker o hacker habilidosos podrían hacernos creer que estamos ante una página Web concreta, cuando en realidad estamos ante otra, amañada debidamente por éste para sus propios fines ).
– También, aunque sin excluir otro tipo de prestaciones, puede ser útil para certificar el código fuente de programas informáticos, con lo cual, el potencial cliente o usuario autorizado del mismo, puede tener la razonable tranquilidad de que no está ante una obra plagiada, modificada, o contagiada por virus.
– No está de más aclarar, que las utilidades expresadas, aunque inconscientemente, nos las representemos mentalmente en el mundo de Internet, pueden también usarse en redes internas o externas, al margen de Internet, como pueden ser intranets o extranets.