Estetrabajo está orientado a desarrollar un estudio generalizado sobre la forma defuncionamiento de la firma electrónica, y de su especie la firma digital, conel fin de plantear los principales problemas que la misma plantea, orientándonosen lo que refiere a la inseguridad que estos métodos pueden despertar en lasociedad, y analizar sus posibles soluciones.

La Internet es una red de redes, creada en 1969bajo el nombre de Arpa Net, mediante subsidio estatal por investigadoresacadémicos de los Estados Unidos. Recién en 1991 se autorizó la actividadcomercial en su seno, que hasta entonces estaba prohibida. De ahí en mas, laInternet fue desarrollándose y creando nuevas posibilidades mediante suutilización,  tanto para las personas,como para las empresas, y hasta para los estados entre sí y en su propio seno.

Esto va acompañado de un creciente proceso deglobalización mundial del cual ya nadie es ajeno.  Dicho proceso de integración de las economías, de las políticas,de las legislaciones y de las culturas se está produciendo a un paso sumamenteacelerado y seguro. A su vez, Internet ha despertado el interés de empresariosy comerciantes, que han visto en ella una buena oportunidad de abaratar loscostos de sus transacciones comerciales y de llegar a un mayor número depersonas.

Sin embargo, las transacciones comerciales através de la red despiertan fundadas sospechas en la sociedad, las cualesencuentran su base fundamentalmente en los siguientes puntos: -Hay una falta deconocimiento generalizado acerca del funcionamiento de estos nuevos sistemas.

-La alta complejidad técnica queestos métodos entrañan que vuelve difícil este propósito de educación popularsobre el tema.

-Como consecuencia de lo anterior,el miedo que todo ser humano siente hacia lo desconocido.

Pero el camino no es cerrarse a lo desconocido,sino buscar métodos que aseguren a las personas y a las empresas la seguridadde sus transacciones y del intercambio de sus documentos, para así de estaforma permitir que la tecnología esté al servicio del hombre, y no el hombreesclavizado a la tecnología.

Cuando uno habla de comercio electrónicoexisten 2 tipos de definiciones:

-        Por unlado tenemos las definiciones más amplias y más comprensivas, las cualesincluyen todas las transacciones tanto financieras como comerciales que sellevan a cabo electrónicamente, no solo a través de Internet, sino también porredes cerradas como el EDI (incluye transacciones comerciales entre empresas,intercambios de datos entre empresas, etc.), el EFT(intercambio electrónico defondos),así como todas las operaciones de las tarjetas de crédito o débito.

En esta concepción, el comercioelectrónico hace uso de otro numeroso grupo de tecnologías, como pueden ser ,el fax, los códigos de barras, los workflow management sistems, lasvideoconferencias, etc.

-        Porotro lado tenemos las definiciones más restrictivas, las cuales tienden aasociar el concepto de e-commerce exclusivamente con las transaccionesminoristas que se realizan por la red( B2C: business to consumers)

Entre estos dos extremos podemos tomar comoaceptable, la elaborada por la organización de cooperación y desarrolloEconómico :

Serían”Las transacciones económicas que seefectúan por redes abiertas como Internet”.

En cuanto al panorama internacional encontramoscomo uno de los primeros intentos por la regularización del comercioelectrónico, a la ley modelo de las Naciones Unidas sobre comercio electrónico.Esta ley fue promulgada por la Secretaría en el año 1996. Dicha ley modelotiene por objeto enunciar los procedimientos y principios básicos que lospaíses deberían incorporar en sus legislaciones para facilitar el empleo de lastécnicas modernas de comunicación, para asignar y transmitir informaciónutilizando dichas técnicas.

En cuanto a la validez  y eficacia de la firma y del documentoelectrónico, la ley modelo trata de determinar la función básica de cada uno delos requisitos de forma de  ladocumentación sobre papel, con el fin de determinar los criterios que de sercumplidos permitirán la atribución a ese mensaje de un reconocimiento legalequivalente al de un documento en papel.

Encontramos en España un gran desarrollo  de este tipo de contratación  a nivel legislativo

En el año 1997 se realizó un Anteproyecto deley de comercio electrónico para aplicar en la comunidad económica europea. Enel mismo se regula el régimen de actuación de los prestadores de servicios dela sociedad de la información, de las comunicaciones comerciales, de lacontratación por vía electrónica, la responsabilidad de los prestadores deservicios, códigos de conducta, el régimen de resolución judicial y extrajudicial de los conflictos, etc.

En España se ha impulsado notablemente, de allíen más la utilización de medios electrónicos no solo en las transaccionescomerciales, sino que existen proyectos en consideración sobre la aplicación dediversas técnicas de firma digital y autenticación de documentación en diversasáreas como puede ser en el ámbito de la administración y del funcionamientointerno del Estado y del Poder judicial.

Encontramos leyes sobre firma digital tambiénen otros países de Europa como ser Alemania, la ley sobre firma digital de estepaís regula los certificados de las claves y la autoridad certificadora. A suvez define a la firma digital como un sello digital con una clave privadaasociada a una clave pública, certificada por una entidad de certificación.Esta ley del 19 de septiembre de 1996 es el primer proyecto de ley sobre firmadigital en Europa.

En Italia, la ley N° 59 del 15 de marzo de1997, es la primera norma del ordenamiento jurídico italiano que recoge elprincipio de la plena validez de los documentos electrónicos.

Se define la firma digital como el resultadodel proceso informático de validación, basado en un sistema de clavesasimétricas o dobles, una pública y otra privada, que permite al suscriptortransmitir la clave privada y la clave pública al destinatario para verificarla procedencia y la integridad de un documento informático.

Así podemos encontrar leyes similares endistintos países de Europa y también en distintos Estados de los Estados Unidosde América., y en América latina (Perú, Argentina, Chile, Brasil, y Uruguay)comenzamos a ver los primeros intentos de regulación de la materia.

En estos países de América Latina el primerpaso ha consistido en aceptar el uso de la firma electrónica en el interior dela Administración Pública, este es el primer paso, que sin duda culminara conla aceptación del uso de la firma digital también fuera de la misma, tal es lasituación actual de la legislación uruguaya.

Como primer antecedente podemos citar la ley N°16713 del 3 de Septiembre de 1995. Esta ley es una ley de seguridad social, enla cual en su art. 84 se establece que en los cheques que emita el Banco dePrevisión Social, destinados al pago de jubilaciones, pensiones y otrosbeneficios, podrá sustituirse la firma autógrafa por signos o contraseñasimpuestos mecánica o electrónicamente.

También podemos citar el art. 695 inc. final dela ley 16736 del 5 de enero de 1996, según el cual se establece que en sede deexpedientes administrativos  “la firmaautógrafa podrá ser sustituida por contraseñas o signos informáticosadecuados”. Aquí vemos la primera inclusión de la firma electrónica  en el ámbito de la administración.

Luego encontramos el decreto 65/998,reglamentario de la ley 16736, de fecha del 10 de marzo de 1998, que en su art.1° inc. Final, establece: “Cuando la substanciación de las actuacionesadministrativas se realice por medios informáticos, las firmas autógrafas quela misma requiera podrán ser sustituidas por contraseñas o signos informáticosadecuados”.

Complementando esto, el decreto N° 312/998 del3 de noviembre de 1998,establece el uso de la firma  electrónica para el Documento Único Aduanero y para ladeclaración de Valor de Aduanas cuando se realicen por medios electrónicos.

La recientemente aprobada ley de urgencia dejunio del 2000 establece en su artículo 25:

“Autorizase en todo caso la firma electrónica yla firma digital, las que tendrán idéntica validez y eficacia a la firmaautógrafa, siempre que estén debidamente autenticadas por claves u otrosprocedimientos seguros de acuerdo a la tecnología informática.

La prestación de servicios de certificación noestará sujeta a  autorización previa yse realizará en régimen de libre competencia, sin que ello implique sustituir omodificar las normas que corresponde realizar a las personas facultadas paradar fe pública o intervenir en documentos públicos.”

Con este artículo se amplía en derecho positivouruguayo el alcance de la firma electrónica más allá de el ámbito de laadministración pública. El inciso 1° nos dice que será de aplicación en” todo caso”.En el inciso 2° se introduce la previsión de los llamados “ servicios decertificación”.

La criptografía que es el mecanismo que seutiliza en la firma electrónica necesita una “tercera parte deconfianza”(trusted third party), habitualmente identificada como una entidad decertificación.

Dicha norma prevé 2 aspectos principales conrelación a los servicios de certificación:

-que esta prestación no estará sujeta aautorización previa, y que se realizará en régimen de libre competencia

-que la misma no implica sustituir o modificarlas normas que regulan las funciones que corresponde realizar a las personasfacultadas para dar fe pública o intervenir en documentos públicos.

Esta norma de nuestra primera ley de urgenciafue inspirada en el decreto-ley español N° 14/1999 del 17 de septiembre de1999que establece una norma similar en esta materia. Nuestra ley al igual que laespañola, en cuanto al punto de si las entidades de certificación puedenconstituirse libremente, o si se requiere un acto habilitante de un órganoestatal, opta por el sistema de la libertad, lo cual no exonera (o no deberíaexonerar) a quienes pretendan brindar este servicio de cumplir con requisitosmínimos de confiabilidad y solvencia. A su vez se encarga de indicar, que dichaprestación de servicios de certificación no interferirá con las normas queregulan la función notarial.

La firma es un signo elegido por la persona quehará uso de el, y tiene fundamentalmente 2 funciones:

-sirve para identificar quién es el autor deldocumento.

-significa la asunción del contenido por elautor de la firma.

Sobre todo cuando se trata de un contrato, lafirma es el signo principal que representa la voluntad de obligarse por partedel firmante. Por tanto la firma cumple una función identificativa del autor, yuna función declarativa, en tanto por medio de ella se acredita la prestacióndel consentimiento al contenido del escrito.

La forma tradicional es la forma manuscrita,otras formas consideradas dentro de las tradicionales son los sellos, lasestampillas, las huellas digitales, etc. De ésta consideración podemos concluirque no es imprescindible que la  firmasea realizada a mano mediante un garabato.

A estos medios tradicionales, debemos agregarformas modernas de identificación, que se realizan en la actualidad, talespueden ser:

-técnicas basadas en passwords o consignas, lascuales nos dan acceso al documento, tanto para emitirlo, como para recibirlo.

-medios biométricos, como por ejemplo lasexploraciones de retina, que registran una “firma visual” del individuoalmacenándola en un microprocesador, etc.

-Los algoritmos simétricos, en los cuales,mediante la criptografía simétrica, los documentos se cifran y se descifran conuna misma clave secreta. Con esta misma clave secreta y única que el receptorposee, este puede cifrar y descifrar en su caso.

-Finalmente llegamos a la firma digital, lacual se basa en algoritmos de clave pública o asimétricos. En estos casos seutilizan 2 claves diferentes: una para cifrar, que solo conoce el dueño de lamisma, y otra para descifrar que es pública. Ambas claves están relacionadasmatemáticamente. No obstante el calculo inverso debería ser de tal complejidad,que fuera imposible, a partir de la clave pública obtener la clave privada. Esdel caso aclarar que la firma digital no es lo mismo que la firma electrónica.Firma electrónica es el género, y firma digital es la especie.

La firma digital esta basada en el uso de lacriptografía asimétrica o de clave pública. La criptografía es latransformación de un mensaje de datos en una forma ilegible para todo aquel queno posea la clave para  desencriptar elmensaje de datos. La transformación de un mensaje de datos en un mensajeimposible de leer se llama encriptar, el procedimiento inverso, latransformación de un mensaje ilegible en un mensaje legible se llamadesencriptar.

Elobjetivo de esta es obtener la confidencialidad de la comunicación.

Eneste tipo de criptografía, los documentos se cifran y se descifran con unamisma llave o clave, que ambas partes conocen.

La confidencialidad se logra, porque sólo laspartes conocen esa clave secreta.

La finalidad de la criptografía asimétrica esgarantizar la autoría del mensaje, y su integridad.  Este algoritmo se basa en que cada uno de los intervinientestiene 2 claves, una pública y una privada (secreta).

La clave privada es conocida solo por elemisor, mientras que la clave pública, es pública.

Ambas claves están relacionadas entre sí, deforma tal, que conociendo la clave pública, no es posible averiguar la privada.Esta sería la forma de asegurar la confidencialidad y autenticidad de latransacción.

Sin embargo, debido a la rapidez con queaumentan y se desarrollan los conocimientos matemáticos, no hay que descartarla posibilidad de que en un futuro no muy lejano este método ya no sea seguro,y deba ser remplazado por otro mejor.

Mediante este sistema, una vez encriptado elmensaje, este es irreversible, es inmodificable. La clave que se utiliza para encriptarno puede desencriptar, y lo mismo sucede con la llave que sirve paradesencriptar.

Así vemos como se refleja la autoría delmensaje, ya que el receptor del mismo, sólo podrá descifrar el mensaje, si laclave pública que este posee de su emisor, se asocia con la clave privada delmismo

A su vez, el receptor del mensaje no podrámodificar el contenido del mismo, porque las claves son unidireccionales (unacifra, la otra descifra). A través de este procedimiento, se puede obtenertambién la confidencialidad de la comunicación. Para ello, una vez firmado eldocumento con la clave privada por el emisor, éste procederá a su ves aencriptar el mismo documento con la clave pública del receptor. De esta manerase asegura que solo el receptor, con su clave privada podrá desencriptar elmensaje y leerlo.

El funcionamiento de la firma digital estabasado en las claves asimétricas antes mencionadas, pero a este procedimientopuede agregarse para mayor seguridad otro sistema, que es el de las llamadas“Hush function”.

La “hush function” es unidireccional y debeestar en posesión de ambos comunicantes. Esta función es un procedimientomatemático basado en un algoritmo que crea una representación digital o formacomprimida del mensaje, de longitud mucho menor que la del mensaje original.Luego al aplicar nuevamente la función de hush, el mensaje volverá a sucondición normal.

El procedimiento es el siguiente: El emisor enprimer lugar, aplicará la función de hush, con el fin de resumir el mensaje, aeste resultado, le aplicará a su vez, su clave privada (o sea, lo firmará),luego mandará esto a su receptor más el mensaje en claro. El receptor, alrecibir el mensaje inteligible, y el encriptado, procederá de la siguientemanera: Primero verificará la firma a través de la aplicación de la clavepública del emisor, obteniendo así el mensaje al que se le ha aplicado lafunción de hush. El siguiente paso será aplicar la misma función de hush queaplicó el emisor, al mensaje escrito normalmente.  Si el mensaje no ha sido modificado, o adulterado durante latransmisión, ambos mensajes deberán coincidir.

Como podemos concluir de todo lo antedicho, laconfidencialidad de la clave privada y de la función de hush, es fundamentalpara que este proceso garantice la autenticidad y la integridad del mensajetransmitido. Deberán tomarse especiales precauciones para su distribución,conservación y almacenaje.

Sin embargo queda un problema por resolver,este es que el receptor de un mensaje, de una firma digital, no tiene forma desaber con certeza que la persona que dice ser tal, autor de dicha firma esrealmente esa persona, titular de dicha clave pública, y no un impostor queesta haciendo uso de esa clave y haciéndose pasar por el verdadero titular dedicha firma. Esta sería la tarea que deberían desarrollar las entidades decertificación.  Dichas entidadestendrían la función de registrar a los sujetos, que se presentan como titularesde las claves públicas, y certificar que tal sujeto es el titular dedeterminada clave. Este servicio llevado a cabo por las entidades decertificación se conoce como “servicio de soporte”.

Estas entidades tendían la función de vinculara una persona debidamente identificada con un par de claves determinado, parahacerlo emite un certificado, un registro o documento electrónico que liga unaclave pública con el sujeto del certificado, y confirma que el potencialfirmante identificado en el certificado tiene la correspondiente clave privada.

La principal función del certificado es asociardirectamente la identidad de una persona determinada a una clave públicaconcreta e indirectamente a  una claveprivada. Así el destinatario de un certificado que desee comprobar la firmadigital creada por la persona que consta como titular del certificado, puedeusar la clave pública incluida en el mismo para verificar que la firma digitalfue creada con la correspondiente clave privada.

Tal verificación ofrece una razonable seguridadde que la correspondiente clave privada es poseída por la persona mencionada enel certificado y que la firma digital fue creada por esa persona determinada.La autoridad o entidad de certificación deberá reunir los requisitos quedetermine la ley de cada Estado, conocimientos técnicos, y la experiencianecesaria, de forma de que ofrezca confianza, fiabilidad y seguridad.

A su vez se debería prever para el caso dedesaparición del organismo certificador, algún mecanismo confiable, el cualpodría ser crear un registro general de certificación, tanto nacional comointernacional, que a su vez auditase a las entidades encargadas , y fuesegarante de su funcionamiento.

Las entidades de certificación pueden emitirdistintos tipos de certificados:

-        certificadosde identidad (que son los más utilizados actualmente dentro de loscriptosistemas de clave pública, y ligan una identidad personal (usuario) odigital (equipo, software, etc.) a una clave pública.

-        Loscertificados de autorización o potestad que son aquellos que certifican otrotipo de atributos del usuario distintos de la identidad.

-        Loscertificados transaccionales, que son aquellos que atestiguan que algún hecho oformalidad acaeció.

-        Loscertificados de tiempo o de estampillado digital de tiempo, que permiten dar fede que un documento existía en determinado tiempo.

Así, sus funciones principales serán lassiguientes:

-generación de los registros de claves y de lasclaves.

-identificación de peticionarios decertificados

-emisión de certificados

-almacenamiento de claves privadas

-mantenimiento de las claves vigentes y de lasrevocadas

-y la creación de servicios de directorio.

Es muy importante que dichas entidades sepresenten como confiables y capacitadas ante la sociedad y las empresas.

La sociedad, las personas, estamosacostumbrados a la contratación en soporte papel, y esta forma de contratacióntradicional, nos brinda una considerable sensación de seguridad.

Es por esto que nos sentimos un tanto reticentesa adoptar las nuevas tecnologías en nuestra vida diaria y en nuestrastransacciones comerciales. Si bien es verdad que existe un considerable miedo alo desconocido, también existen fundado motivos para que las personas duden ytengan incluso un cierto rechazo a la idea de utilizar estas tecnologías.

Nuestra información al ser transmitida por víaelectrónica puede ser víctima de numerosos ataques.

Estos ataques pueden ser muy variados, entreellos encontramos como los más comunes los siguientes:

-        accedera la información sin ser autorizado

-        interferirla comunicación entre dos usuarios

-        suplantara otra persona a efectos de crear información fraudulenta, etc.

Es de público conocimiento que hasta lossistemas más seguros, de las empresas que parecía serían las últimas en sufrirdichos ataques, los han sufrido (caso de la Microsoft), y considero fundado eltemor que el empleo de estas tecnologías pueda generar.

Para aplacar este temor es necesario que sedesarrolle un verdadero sistema de seguridad que permita que las transaccionesse realicen de forma absolutamente segura.

Es fundamental que nuestros legisladores ynuestros juristas comiencen a interiorizarse en el tema de la contrataciónelectrónica y en los nuevos métodos que estas técnicas implican. Necesitamospersonas que conozcan muy bien el asunto y que a la hora de legislar elijan lomejor para la sociedad en lo que a este y a todos los temas concierne.

La legislación debe tratar de acompañar esteproceso vertiginoso de adopción de nuevas técnicas de contratación a nivelmundial, para así lograr mantenernos en un buen nivel de competitividad y poderbeneficiarnos todos con los avances de la tecnología.

Se debería establecer claramente que tipo derequisitos de confiabilidad, solvencia, y experiencia, deben reunir aquellosque pretendan constituir una entidad de certificación, y no dejar esto libradoa la suerte

Los estados deben cumplir con su deber y buscaruna buena solución a los problemas que pueda plantear la contratación electrónica,y al mismo tiempo debe encargarse de generalizar los conocimientos sobre elfuncionamiento de estas nuevas técnicas.

-        RosaJulia Barceló. “Comercio electrónico entre empresarios. La formación y pruebadel contrato electrónico (EDI).

-        MathíasRodríguez Perdomo. “Regulación Estatal del comercio electrónico: El fin delminimalismo

-        CarlosE. Delpiazzo. “Validez y eficacia de la firma electrónica”.