Este
trabajo está orientado a desarrollar un estudio generalizado sobre la forma de
funcionamiento de la firma electrónica, y de su especie la firma digital, con
el fin de plantear los principales problemas que la misma plantea, orientándonos
en lo que refiere a la inseguridad que estos métodos pueden despertar en la
sociedad, y analizar sus posibles soluciones.
La Internet es una red de redes, creada en 1969
bajo el nombre de Arpa Net, mediante subsidio estatal por investigadores
académicos de los Estados Unidos. Recién en 1991 se autorizó la actividad
comercial en su seno, que hasta entonces estaba prohibida. De ahí en mas, la
Internet fue desarrollándose y creando nuevas posibilidades mediante su
utilización, tanto para las personas,
como para las empresas, y hasta para los estados entre sí y en su propio seno.
Esto va acompañado de un creciente proceso de
globalización mundial del cual ya nadie es ajeno. Dicho proceso de integración de las economías, de las políticas,
de las legislaciones y de las culturas se está produciendo a un paso sumamente
acelerado y seguro. A su vez, Internet ha despertado el interés de empresarios
y comerciantes, que han visto en ella una buena oportunidad de abaratar los
costos de sus transacciones comerciales y de llegar a un mayor número de
personas.
Sin embargo, las transacciones comerciales a
través de la red despiertan fundadas sospechas en la sociedad, las cuales
encuentran su base fundamentalmente en los siguientes puntos: -Hay una falta de
conocimiento generalizado acerca del funcionamiento de estos nuevos sistemas.
-La alta complejidad técnica que
estos métodos entrañan que vuelve difícil este propósito de educación popular
sobre el tema.
-Como consecuencia de lo anterior,
el miedo que todo ser humano siente hacia lo desconocido.
Pero el camino no es cerrarse a lo desconocido,
sino buscar métodos que aseguren a las personas y a las empresas la seguridad
de sus transacciones y del intercambio de sus documentos, para así de esta
forma permitir que la tecnología esté al servicio del hombre, y no el hombre
esclavizado a la tecnología.
Cuando uno habla de comercio electrónico
existen 2 tipos de definiciones:
-
Por un
lado tenemos las definiciones más amplias y más comprensivas, las cuales
incluyen todas las transacciones tanto financieras como comerciales que se
llevan a cabo electrónicamente, no solo a través de Internet, sino también por
redes cerradas como el EDI (incluye transacciones comerciales entre empresas,
intercambios de datos entre empresas, etc.), el EFT(intercambio electrónico de
fondos),así como todas las operaciones de las tarjetas de crédito o débito.
En esta concepción, el comercio
electrónico hace uso de otro numeroso grupo de tecnologías, como pueden ser ,
el fax, los códigos de barras, los workflow management sistems, las
videoconferencias, etc.
-
Por
otro lado tenemos las definiciones más restrictivas, las cuales tienden a
asociar el concepto de e-commerce exclusivamente con las transacciones
minoristas que se realizan por la red( B2C: business to consumers)
Entre estos dos extremos podemos tomar como
aceptable, la elaborada por la organización de cooperación y desarrollo
Económico :
Serían”Las transacciones económicas que se
efectúan por redes abiertas como Internet”.
En cuanto al panorama internacional encontramos
como uno de los primeros intentos por la regularización del comercio
electrónico, a la ley modelo de las Naciones Unidas sobre comercio electrónico.
Esta ley fue promulgada por la Secretaría en el año 1996. Dicha ley modelo
tiene por objeto enunciar los procedimientos y principios básicos que los
países deberían incorporar en sus legislaciones para facilitar el empleo de las
técnicas modernas de comunicación, para asignar y transmitir información
utilizando dichas técnicas.
En cuanto a la validez y eficacia de la firma y del documento
electrónico, la ley modelo trata de determinar la función básica de cada uno de
los requisitos de forma de la
documentación sobre papel, con el fin de determinar los criterios que de ser
cumplidos permitirán la atribución a ese mensaje de un reconocimiento legal
equivalente al de un documento en papel.
Encontramos en España un gran desarrollo de este tipo de contratación a nivel legislativo
En el año 1997 se realizó un Anteproyecto de
ley de comercio electrónico para aplicar en la comunidad económica europea. En
el mismo se regula el régimen de actuación de los prestadores de servicios de
la sociedad de la información, de las comunicaciones comerciales, de la
contratación por vía electrónica, la responsabilidad de los prestadores de
servicios, códigos de conducta, el régimen de resolución judicial y extra
judicial de los conflictos, etc.
En España se ha impulsado notablemente, de allí
en más la utilización de medios electrónicos no solo en las transacciones
comerciales, sino que existen proyectos en consideración sobre la aplicación de
diversas técnicas de firma digital y autenticación de documentación en diversas
áreas como puede ser en el ámbito de la administración y del funcionamiento
interno del Estado y del Poder judicial.
Encontramos leyes sobre firma digital también
en otros países de Europa como ser Alemania, la ley sobre firma digital de este
país regula los certificados de las claves y la autoridad certificadora. A su
vez define a la firma digital como un sello digital con una clave privada
asociada a una clave pública, certificada por una entidad de certificación.
Esta ley del 19 de septiembre de 1996 es el primer proyecto de ley sobre firma
digital en Europa.
En Italia, la ley N° 59 del 15 de marzo de
1997, es la primera norma del ordenamiento jurídico italiano que recoge el
principio de la plena validez de los documentos electrónicos.
Se define la firma digital como el resultado
del proceso informático de validación, basado en un sistema de claves
asimétricas o dobles, una pública y otra privada, que permite al suscriptor
transmitir la clave privada y la clave pública al destinatario para verificar
la procedencia y la integridad de un documento informático.
Así podemos encontrar leyes similares en
distintos países de Europa y también en distintos Estados de los Estados Unidos
de América., y en América latina (Perú, Argentina, Chile, Brasil, y Uruguay)
comenzamos a ver los primeros intentos de regulación de la materia.
En estos países de América Latina el primer
paso ha consistido en aceptar el uso de la firma electrónica en el interior de
la Administración Pública, este es el primer paso, que sin duda culminara con
la aceptación del uso de la firma digital también fuera de la misma, tal es la
situación actual de la legislación uruguaya.
Como primer antecedente podemos citar la ley N°
16713 del 3 de Septiembre de 1995. Esta ley es una ley de seguridad social, en
la cual en su art. 84 se establece que en los cheques que emita el Banco de
Previsión Social, destinados al pago de jubilaciones, pensiones y otros
beneficios, podrá sustituirse la firma autógrafa por signos o contraseñas
impuestos mecánica o electrónicamente.
También podemos citar el art. 695 inc. final de
la ley 16736 del 5 de enero de 1996, según el cual se establece que en sede de
expedientes administrativos “la firma
autógrafa podrá ser sustituida por contraseñas o signos informáticos
adecuados”. Aquí vemos la primera inclusión de la firma electrónica en el ámbito de la administración.
Luego encontramos el decreto 65/998,
reglamentario de la ley 16736, de fecha del 10 de marzo de 1998, que en su art.
1° inc. Final, establece: “Cuando la substanciación de las actuaciones
administrativas se realice por medios informáticos, las firmas autógrafas que
la misma requiera podrán ser sustituidas por contraseñas o signos informáticos
adecuados”.
Complementando esto, el decreto N° 312/998 del
3 de noviembre de 1998,establece el uso de la firma electrónica para el Documento Único Aduanero y para la
declaración de Valor de Aduanas cuando se realicen por medios electrónicos.
La recientemente aprobada ley de urgencia de
junio del 2000 establece en su artículo 25:
“Autorizase en todo caso la firma electrónica y
la firma digital, las que tendrán idéntica validez y eficacia a la firma
autógrafa, siempre que estén debidamente autenticadas por claves u otros
procedimientos seguros de acuerdo a la tecnología informática.
La prestación de servicios de certificación no
estará sujeta a autorización previa y
se realizará en régimen de libre competencia, sin que ello implique sustituir o
modificar las normas que corresponde realizar a las personas facultadas para
dar fe pública o intervenir en documentos públicos.”
Con este artículo se amplía en derecho positivo
uruguayo el alcance de la firma electrónica más allá de el ámbito de la
administración pública. El inciso 1° nos dice que será de aplicación en” todo caso”.
En el inciso 2° se introduce la previsión de los llamados “ servicios de
certificación”.
La criptografía que es el mecanismo que se
utiliza en la firma electrónica necesita una “tercera parte de
confianza”(trusted third party), habitualmente identificada como una entidad de
certificación.
Dicha norma prevé 2 aspectos principales con
relación a los servicios de certificación:
-que esta prestación no estará sujeta a
autorización previa, y que se realizará en régimen de libre competencia
-que la misma no implica sustituir o modificar
las normas que regulan las funciones que corresponde realizar a las personas
facultadas para dar fe pública o intervenir en documentos públicos.
Esta norma de nuestra primera ley de urgencia
fue inspirada en el decreto-ley español N° 14/1999 del 17 de septiembre de1999
que establece una norma similar en esta materia. Nuestra ley al igual que la
española, en cuanto al punto de si las entidades de certificación pueden
constituirse libremente, o si se requiere un acto habilitante de un órgano
estatal, opta por el sistema de la libertad, lo cual no exonera (o no debería
exonerar) a quienes pretendan brindar este servicio de cumplir con requisitos
mínimos de confiabilidad y solvencia. A su vez se encarga de indicar, que dicha
prestación de servicios de certificación no interferirá con las normas que
regulan la función notarial.
La firma es un signo elegido por la persona que
hará uso de el, y tiene fundamentalmente 2 funciones:
-sirve para identificar quién es el autor del
documento.
-significa la asunción del contenido por el
autor de la firma.
Sobre todo cuando se trata de un contrato, la
firma es el signo principal que representa la voluntad de obligarse por parte
del firmante. Por tanto la firma cumple una función identificativa del autor, y
una función declarativa, en tanto por medio de ella se acredita la prestación
del consentimiento al contenido del escrito.
La forma tradicional es la forma manuscrita,
otras formas consideradas dentro de las tradicionales son los sellos, las
estampillas, las huellas digitales, etc. De ésta consideración podemos concluir
que no es imprescindible que la firma
sea realizada a mano mediante un garabato.
A estos medios tradicionales, debemos agregar
formas modernas de identificación, que se realizan en la actualidad, tales
pueden ser:
-técnicas basadas en passwords o consignas, las
cuales nos dan acceso al documento, tanto para emitirlo, como para recibirlo.
-medios biométricos, como por ejemplo las
exploraciones de retina, que registran una “firma visual” del individuo
almacenándola en un microprocesador, etc.
-Los algoritmos simétricos, en los cuales,
mediante la criptografía simétrica, los documentos se cifran y se descifran con
una misma clave secreta. Con esta misma clave secreta y única que el receptor
posee, este puede cifrar y descifrar en su caso.
-Finalmente llegamos a la firma digital, la
cual se basa en algoritmos de clave pública o asimétricos. En estos casos se
utilizan 2 claves diferentes: una para cifrar, que solo conoce el dueño de la
misma, y otra para descifrar que es pública. Ambas claves están relacionadas
matemáticamente. No obstante el calculo inverso debería ser de tal complejidad,
que fuera imposible, a partir de la clave pública obtener la clave privada. Es
del caso aclarar que la firma digital no es lo mismo que la firma electrónica.
Firma electrónica es el género, y firma digital es la especie.
La firma digital esta basada en el uso de la
criptografía asimétrica o de clave pública. La criptografía es la
transformación de un mensaje de datos en una forma ilegible para todo aquel que
no posea la clave para desencriptar el
mensaje de datos. La transformación de un mensaje de datos en un mensaje
imposible de leer se llama encriptar, el procedimiento inverso, la
transformación de un mensaje ilegible en un mensaje legible se llama
desencriptar.
El
objetivo de esta es obtener la confidencialidad de la comunicación.
En
este tipo de criptografía, los documentos se cifran y se descifran con una
misma llave o clave, que ambas partes conocen.
A cifra el mensaje y lo manda a B |
__________________________________ |
B Lo recibe, Lo descifra Y lo lee |
La confidencialidad se logra, porque sólo las
partes conocen esa clave secreta.
La finalidad de la criptografía asimétrica es
garantizar la autoría del mensaje, y su integridad. Este algoritmo se basa en que cada uno de los intervinientes
tiene 2 claves, una pública y una privada (secreta).
La clave privada es conocida solo por el
emisor, mientras que la clave pública, es pública.
Ambas claves están relacionadas entre sí, de
forma tal, que conociendo la clave pública, no es posible averiguar la privada.
Esta sería la forma de asegurar la confidencialidad y autenticidad de la
transacción.
Sin embargo, debido a la rapidez con que
aumentan y se desarrollan los conocimientos matemáticos, no hay que descartar
la posibilidad de que en un futuro no muy lejano este método ya no sea seguro,
y deba ser remplazado por otro mejor.
Mediante este sistema, una vez encriptado el
mensaje, este es irreversible, es inmodificable. La clave que se utiliza para encriptar
no puede desencriptar, y lo mismo sucede con la llave que sirve para
desencriptar.
A quiere mandar un mensaje a B,
entonces lo encripta utilizando su clave privada.
|
__________ |
B para leerlo utiliza la clave pública de A
y obtiene el mensaje desencriptado |
Así vemos como se refleja la autoría del
mensaje, ya que el receptor del mismo, sólo podrá descifrar el mensaje, si la
clave pública que este posee de su emisor, se asocia con la clave privada del
mismo
A su vez, el receptor del mensaje no podrá
modificar el contenido del mismo, porque las claves son unidireccionales (una
cifra, la otra descifra). A través de este procedimiento, se puede obtener
también la confidencialidad de la comunicación. Para ello, una vez firmado el
documento con la clave privada por el emisor, éste procederá a su ves a
encriptar el mismo documento con la clave pública del receptor. De esta manera
se asegura que solo el receptor, con su clave privada podrá desencriptar el
mensaje y leerlo.
El funcionamiento de la firma digital esta
basado en las claves asimétricas antes mencionadas, pero a este procedimiento
puede agregarse para mayor seguridad otro sistema, que es el de las llamadas
“Hush function”.
La “hush function” es unidireccional y debe
estar en posesión de ambos comunicantes. Esta función es un procedimiento
matemático basado en un algoritmo que crea una representación digital o forma
comprimida del mensaje, de longitud mucho menor que la del mensaje original.
Luego al aplicar nuevamente la función de hush, el mensaje volverá a su
condición normal.
El procedimiento es el siguiente: El emisor en
primer lugar, aplicará la función de hush, con el fin de resumir el mensaje, a
este resultado, le aplicará a su vez, su clave privada (o sea, lo firmará),
luego mandará esto a su receptor más el mensaje en claro. El receptor, al
recibir el mensaje inteligible, y el encriptado, procederá de la siguiente
manera: Primero verificará la firma a través de la aplicación de la clave
pública del emisor, obteniendo así el mensaje al que se le ha aplicado la
función de hush. El siguiente paso será aplicar la misma función de hush que
aplicó el emisor, al mensaje escrito normalmente. Si el mensaje no ha sido modificado, o adulterado durante la
transmisión, ambos mensajes deberán coincidir.
Como podemos concluir de todo lo antedicho, la
confidencialidad de la clave privada y de la función de hush, es fundamental
para que este proceso garantice la autenticidad y la integridad del mensaje
transmitido. Deberán tomarse especiales precauciones para su distribución,
conservación y almacenaje.
Sin embargo queda un problema por resolver,
este es que el receptor de un mensaje, de una firma digital, no tiene forma de
saber con certeza que la persona que dice ser tal, autor de dicha firma es
realmente esa persona, titular de dicha clave pública, y no un impostor que
esta haciendo uso de esa clave y haciéndose pasar por el verdadero titular de
dicha firma. Esta sería la tarea que deberían desarrollar las entidades de
certificación. Dichas entidades
tendrían la función de registrar a los sujetos, que se presentan como titulares
de las claves públicas, y certificar que tal sujeto es el titular de
determinada clave. Este servicio llevado a cabo por las entidades de
certificación se conoce como “servicio de soporte”.
Estas entidades tendían la función de vincular
a una persona debidamente identificada con un par de claves determinado, para
hacerlo emite un certificado, un registro o documento electrónico que liga una
clave pública con el sujeto del certificado, y confirma que el potencial
firmante identificado en el certificado tiene la correspondiente clave privada.
La principal función del certificado es asociar
directamente la identidad de una persona determinada a una clave pública
concreta e indirectamente a una clave
privada. Así el destinatario de un certificado que desee comprobar la firma
digital creada por la persona que consta como titular del certificado, puede
usar la clave pública incluida en el mismo para verificar que la firma digital
fue creada con la correspondiente clave privada.
Tal verificación ofrece una razonable seguridad
de que la correspondiente clave privada es poseída por la persona mencionada en
el certificado y que la firma digital fue creada por esa persona determinada.
La autoridad o entidad de certificación deberá reunir los requisitos que
determine la ley de cada Estado, conocimientos técnicos, y la experiencia
necesaria, de forma de que ofrezca confianza, fiabilidad y seguridad.
A su vez se debería prever para el caso de
desaparición del organismo certificador, algún mecanismo confiable, el cual
podría ser crear un registro general de certificación, tanto nacional como
internacional, que a su vez auditase a las entidades encargadas , y fuese
garante de su funcionamiento.
Las entidades de certificación pueden emitir
distintos tipos de certificados:
-
certificados
de identidad (que son los más utilizados actualmente dentro de los
criptosistemas de clave pública, y ligan una identidad personal (usuario) o
digital (equipo, software, etc.) a una clave pública.
-
Los
certificados de autorización o potestad que son aquellos que certifican otro
tipo de atributos del usuario distintos de la identidad.
-
Los
certificados transaccionales, que son aquellos que atestiguan que algún hecho o
formalidad acaeció.
-
Los
certificados de tiempo o de estampillado digital de tiempo, que permiten dar fe
de que un documento existía en determinado tiempo.
Así, sus funciones principales serán las
siguientes:
-generación de los registros de claves y de las
claves.
-identificación de peticionarios de
certificados
-emisión de certificados
-almacenamiento de claves privadas
-mantenimiento de las claves vigentes y de las
revocadas
-y la creación de servicios de directorio.
Es muy importante que dichas entidades se
presenten como confiables y capacitadas ante la sociedad y las empresas.
La sociedad, las personas, estamos
acostumbrados a la contratación en soporte papel, y esta forma de contratación
tradicional, nos brinda una considerable sensación de seguridad.
Es por esto que nos sentimos un tanto reticentes
a adoptar las nuevas tecnologías en nuestra vida diaria y en nuestras
transacciones comerciales. Si bien es verdad que existe un considerable miedo a
lo desconocido, también existen fundado motivos para que las personas duden y
tengan incluso un cierto rechazo a la idea de utilizar estas tecnologías.
Nuestra información al ser transmitida por vía
electrónica puede ser víctima de numerosos ataques.
Estos ataques pueden ser muy variados, entre
ellos encontramos como los más comunes los siguientes:
-
acceder
a la información sin ser autorizado
-
interferir
la comunicación entre dos usuarios
-
suplantar
a otra persona a efectos de crear información fraudulenta, etc.
Es de público conocimiento que hasta los
sistemas más seguros, de las empresas que parecía serían las últimas en sufrir
dichos ataques, los han sufrido (caso de la Microsoft), y considero fundado el
temor que el empleo de estas tecnologías pueda generar.
Para aplacar este temor es necesario que se
desarrolle un verdadero sistema de seguridad que permita que las transacciones
se realicen de forma absolutamente segura.
Es fundamental que nuestros legisladores y
nuestros juristas comiencen a interiorizarse en el tema de la contratación
electrónica y en los nuevos métodos que estas técnicas implican. Necesitamos
personas que conozcan muy bien el asunto y que a la hora de legislar elijan lo
mejor para la sociedad en lo que a este y a todos los temas concierne.
La legislación debe tratar de acompañar este
proceso vertiginoso de adopción de nuevas técnicas de contratación a nivel
mundial, para así lograr mantenernos en un buen nivel de competitividad y poder
beneficiarnos todos con los avances de la tecnología.
Se debería establecer claramente que tipo de
requisitos de confiabilidad, solvencia, y experiencia, deben reunir aquellos
que pretendan constituir una entidad de certificación, y no dejar esto librado
a la suerte
Los estados deben cumplir con su deber y buscar
una buena solución a los problemas que pueda plantear la contratación electrónica,
y al mismo tiempo debe encargarse de generalizar los conocimientos sobre el
funcionamiento de estas nuevas técnicas.
-
Rosa
Julia Barceló. “Comercio electrónico entre empresarios. La formación y prueba
del contrato electrónico (EDI).
-
Mathías
Rodríguez Perdomo. “Regulación Estatal del comercio electrónico: El fin del
minimalismo
-
Carlos
E. Delpiazzo. “Validez y eficacia de la firma electrónica”.