Somos parte de Blogs Comunicorp
Alambre. WeBlog de tecnología y sociedad

Orígenes de la firma electrónica

Sus definiciones, alcances y límites.
Ciber- leyes

Por Alfredo Reyes Krafft*

Existen muchas definiciones de Firma Electrónica, sin embargo consideramos que la mas completa es la establecida por la UNCITRAL:

Por “firma electrónica” se entenderán los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos.

El documento electrónico o informático, se concibe como un medio de expresión de la voluntad con efectos de creación, modificación o extinción de derechos y obligaciones por medio de la electrónica. La seguridad en el comercio electrónico es fundamental para su desarrollo. En un flujo de transacciones en donde las partes ya no tienen contacto ‘físico’, ¿cómo pueden asegurarse de la identidad de aquel con quien están realizando una operación? e, incluso, ¿cómo pueden tener la certeza de que la información intercambiada no ha sido robada, alterada o conocida por personas ajenas?

La firma electrónica, técnicamente, es un conjunto o bloque de caracteres que viaja junto a un documento, fichero o mensaje y que puede acreditar cuál es el autor o emisor del mismo (lo que se denomina autenticación) y que nadie ha manipulado o modificado el mensaje en el transcurso de la comunicación (o integridad).

Es aquél conjunto de datos, como códigos o claves criptográficas privadas, en forma electrónica, que se asocian inequívocamente a un documento electrónico (es decir, contenido en un soporte magnético ya sea en un disquete, algún dispositivo externo o disco duro de una computadora y no de papel), que permite identificar a su autor, es decir que es el conjunto de datos, en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge. 1

La Firma Electrónica permite identificar a la persona que realiza la transacción, es decir, proporciona el servicio de autentificación (verificación de la autoridad del firmante para estar seguro de que fue él y no otro el autor del documento) y no de repudio (seguridad de que el autor del documento no puede retractarse en el futuro de las opiniones o acciones asignadas en él).

Quizás la parte que mas nos interesa a los usuarios es la garantía de detección de cualquier modificación de los datos firmados, proporcionando una integridad total ante alteraciones fortuitas o deliberadas durante la transmisión telemática del documento firmado. El hecho de la firma sea creada por el usuario mediante medios que mantiene bajo su propio control (clave privada protegida, contraseña, datos biométricos, tarjeta chip, etc.) asegura la imposibilidad de efectuar de lo que se conoce como “suplantación de personalidad”.

En otras palabras podríamos definir a la Firma electrónica como el conjunto de datos, en forma electrónica, anexos a otros datos electrónicos o asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documento que la recoge. La debilidad en cuanto al emisor y al receptor radica en la posible suplantación de la identidad de alguno de ellos por parte de elementos ajenos al sistema.

Firma electrónica avanzada

Según la UNCITRAL, para que una firma electrónica sea considerada como fiable debe cumplir con lo siguiente:

a) Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;
b) Los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante
c) Es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y
d) Cuando uno de los objetivos del requisito legal de firma consista en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma.

Con lo anterior es factible garantizar:

Autenticación, para asegurar la identidad de la persona con la que se está
comerciando.

Autorización, para asegurar que a esa persona es la indicada para llevar a cabo una operación concreta.

Privacidad, para garantizar que nadie mas va a ver los intercambios de datos que se lleven a cabo.

Integridad, para asegurar que la transmisión no sea alterada en ruta o en almacenaje

No Repudiación, para garantizar que quien envía el mensaje no puede negar que lo envió el. 2

Equivalencia funcional

El reto mas importante fue equiparar la firma electrónica a la firma autógrafa, dándole los mismos atributos y la misma validez jurídica.

Según la Ley Modelo, “Cuando la ley exija la firma de una persona, ese requisito quedará cumplido en relación con un mensaje de datos si se utiliza una firma electrónica que, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo aplicable, sea fiable y resulte igualmente apropiada para los fines con los cuales se generó o comunicó ese mensaje”.

La firma electrónica entonces será fiable si hay acuerdo entre las partes para su uso (intercambio de claves y contraseñas), ahora bien, por disposición de ley y salvo prueba en contrario se considerará fiable a los efectos del cumplimiento del requisito a que se refiere el párrafo anterior “si:

a) Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;
b) Los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante;
c) Es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y
d) Cuando uno de los objetivos del requisito legal de firma consista en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma.”
De esta manera se pretende que la documentación consignada por medios electrónicos otorgue un grado de seguridad equivalente al del papel, junto con su característica principal, mayor confiabilidad y rapidez

Neutralidad tecnológica

Con el paso del tiempo la tecnología avanza a pasos agigantados, no podemos limitar el cumplimiento de las disposiciones de ley a una determinada tecnología, porque no sería justo para las demás y esto limitaría el desarrollo tecnológico.

La propia UNCITRAL, sobre el particular establece que: “Convencida de que la armonización tecnológicamente neutral de ciertas normas relativas al reconocimiento jurídico de las firmas electrónicas y el establecimiento de un método para evaluar de un modo tecnológicamente neutral la fiabilidad práctica y la idoneidad comercial de las técnicas de firma electrónica darán una mayor certidumbre jurídica al comercio electrónico. 3

El reto es que estas reformas puedan lograr un equilibrio entre el proceso mas dinámico, que es la tecnología, con el mas lento, que es la creación de leyes.

Prestador de servicios de certificación

Según la UNCITRAL, un Prestador de Servicios de Certificación, es aquella persona que expide certificados y puede prestar otros servicios relacionados con las firmas electrónicas.

Es un tercero confiable que acredita el vínculo existente entre una clave y su propietario. Además extiende un certificado de firma electrónica el cual está firmado con su propia clave, para así garantizar la autenticidad de la información.

La existencia de diversos Prestadores de Servicios de Certificación, permitirá que sea el propio usuario quien elija a aquella Entidad que le proporcione mayor confianza y/o seguridad.

Certificados

Según la Ley Modelo el Certificado es todo mensaje de datos u otro registro que confirme el vínculo entre un firmante y los datos de creación de la firma (clave privada).

Es un archivo que incorpora la clave pública de un sujeto y la relaciona con su clave privada.

Su validez consiste en que es la propia Agencia de Certificación o un agente, persona física, dependiente de él, quien actuando como tercero confiable, verifica la identidad de el firmante y da certeza a cualquier otra sobre tal información.

Obligaciones de las partes

Obligaciones de los prestadores de servicios de certificación

a) Actuar de conformidad con las declaraciones que haga respecto de sus normas y prácticas. A esto se le llama Declaratoria de Prácticas de Certificación y constituye el límite de Responsabilidad frente al Usuario y Firmante del Prestador de Servicios de Certificación;

b) Actuar con diligencia razonable para cerciorarse de que todas las declaraciones importantes que haya hecho el firmante en relación con el certificado o que estén consignadas en él sean exactas y cabales;

c) Proporcionar a la parte que confía en el certificado medios razonablemente accesibles que permitan a ésta determinar mediante el certificado:

i) La identidad del prestador de servicios de certificación;
ii) Que el firmante nombrado en el certificado tenía bajo su control los datos de creación de la firma en el momento en que se expidió el certificado;
iii) Que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado o antes de ella;

d) Proporcionar a la parte que confía en el certificado medios razonablemente accesibles que, cuando proceda, permitan a ésta determinar mediante el certificado o de otra manera:
i) El método utilizado para comprobar la identidad del firmante;
ii) Cualquier limitación de los fines o del valor respecto de los cuales puedan utilizarse los datos de creación de la firma (clave privada) o el certificado;
iii) Si los datos de creación de la firma (clave privada) son válidos;
iv) Cualquier limitación del alcance o del grado de responsabilidad que haya establecido el prestador de servicios de certificación;
v) Si existe un medio para que el firmante dé aviso de que los datos de creación de la firma (clave privada) no estén o puedan no estar en su poder;
vi) Si se ofrece un servicio para revocar oportunamente el certificado;
e) Proporcionar un medio para que el firmante dé aviso de que los datos de creación de la firma (clave privada) no estén o puedan no estar en su poder y, cuando se ofrezcan servicios de Registro de Certificados cerciorarse de que existe un servicio para revocar oportunamente el certificado;

f) Utilizar, al prestar sus servicios, sistemas, procedimientos y recursos humanos fiables.

Serán de cargo del prestador de servicios de certificación las consecuencias jurídicas que entrañe el hecho de no haber cumplido estos.

Obligaciones del firmante

Cuando puedan utilizarse datos de creación de firmas (clave privada) para crear una firma con efectos jurídicos, cada firmante deberá:

a) Actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de la firma (clave privada);

b) Sin dilación indebida, utilizar los medios que le proporcione el prestador de servicios de certificación, o en cualquier caso esforzarse razonablemente, para dar aviso en caso de que:
i) el firmante sepa que los datos de creación de la firma (clave privada) han quedado en entredicho; o

ii) las circunstancias de que tiene conocimiento el firmante dan lugar a un riesgo considerable de que los datos de creación de la firma (clave privada) hayan quedado en entredicho;

c) cuando se emplee un certificado para refrendar la firma electrónica, actuar con diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho en relación con el certificado o que hayan de consignarse en él son exactas y cabales.

Obligaciones de la parte que confía

a) Verificar la fiabilidad de la firma electrónica; o
b) Cuando la firma electrónica esté refrendada por un certificado:
i) Verificar la validez, suspensión o revocación del certificado; y
ii) Tener en cuenta cualquier limitación en relación con el certificado.

* Alfredo Reyes Krafft es Doctor en Derecho por la Universidad Panamericana. Actualmente es Director jurídico de e-business en BBVA Bancomer y Vicepresidente Ejecutivo de la Asociación Mexicana de Internet (AMIPCI)

1. Stroke Paul. “La firma electrónica”. Editorial Cono Sur, España, pp. 17-18
2. Gail L. Grant. Understanding Digital Signatures, 14
3. Ley Modelo de la Uncitral sobre Firmas Electrónicas. Palabras de la Asamblea General. Pág. 19


Esta anotación fue publicada el Lunes, Diciembre 15, 2003 a las 3:01 pm y fue clasificado bajo Comercio electrónico, Leyes, Tecnología. Puedes dar seguimiento a los comentarios de esta anotación a través del canal RSS 2.0. Tú puedes dejar una respuesta, o hacer trackback desde tu propio blog.

Notas relacionadas

  • Anuncia Calderon estímulos fiscales para quien use la “firma electrónica”
  • Twitter desde 1935
  • ¿Qué es la firma electrónica?
  • Experimento meme. Haciendo visibles los blogs
  • Publica lo nuevo de tu blog en la firma de tu correo
  • YouTube en los celulares de Verizon


    • Participa. Deja un comentario

    *
    Para verificar que eres una persona y no una máquina, por favor ingresa este codigo
    Anti-Spam Image

    Evita promocionar otros sitios web, SPAM, insultos, ataques personales o solicitudes para resolver tareas escolares (excepto si pides ayuda a otros lectores del blog).

    « Califican a Bush como un “rotundo fracaso”
    ‘Dialers’ el otro riesgo de internet »

    • Anunciate en Alambre

    • Obra en venta
    • ¿Deseas ver tu link aquí?
    • Compra un enlace patrocinado en Alambre

    • ¿Dónde estoy?

      Estás leyendo Alambre, Blog de tecnología y sociedad. ¿Un "blog"? Si no tienes la remota idea de lo qué es, revisa su definición en la Wikipedia. Si ya sabes, recuerda que puedes dejar tus comentarios al final de cada anotación.

      Si buscas algo en particular, te sugerimos usar nuestro motor de búsqueda, ubicado en la parte superior derecha. Igualmente puede localizar notas por temas.

      Si desea que tratemos algún tema en particular o abundemos en los ya publicados, por favor contáctanos.

      Puedes dar seguimiento a nuestro blog a través de nuestro RSS o participa en los Foros de discusión.