martes, 14 de abril de 2009

FIRMA ELECTRONICA. Un eficaz y seguro instrumento para firmar documentos en Internet con la misma validez jurídica que la firma manuscrita




En esta sociedad llena de redes telemáticas abiertas y al alcance de cualquier ciudadano que tenga una conexión a internet, existe mucha desconfianza respecto a la seguridad de las comunicaciones y más aun a la certeza jurídica de las transacciones comerciales.

¿Es segura la red para realizar transacciones con contenido económico y jurídico? Evidentemente la seguridad total no existe, pero hoy en día existen implantados sistemas capaces de garantizar altos niveles de seguridad en la red, mayores incluso que en el negocio tradicional, Y la fórmula se ha encontrado en la “firma electrónica” y en los proveedores de “servicios de certificación”.

¿En qué consiste?
Consiste en un conjunto de datos generados mediante un algoritmo matemático y basado en técnicas criptográficas que se añade al documento que se quiere enviar por Internet y que permite vincular ese documento a una determinada persona o entidad. Este sistema cifra los mensajes gracias a dos claves, una pública y otra privada, vinculadas entre sí. Toda la información que un usuario que disponga de un certificado con firma electrónica mande a través de la Red estará asociada a su clave privada, que sólo él conoce, emparejada con una clave pública en manos del receptor. Al recibir el mensaje -que llega encriptado- introduce la clave pública y se descodifica la información. Así se verifica la procedencia del mensaje y se comprueba que verdaderamente ha sido firmado por el emisor, a la vez que se la integridad del contenido.


En esta relación en la que intervienen un emisor y un receptor se introduce a un tercer actor que es el prestador de los servicios de certificación o autoridad certificadora. Es lo que la Ley de Firma Electrónica, aprobada en diciembre de 2003, denomina "tercera parte de confianza". Este prestador de servicios de certificación puede ser un organismo público o una empresa privada. La AC expide un certificado digital que da fe de la vinculación entre una clave pública y una persona física o jurídica: establece, en definitiva, la identidad del emisor y del receptor, sin tener acceso a la información que se intercambian.


¿ Cual es su regulación legal?
La Directiva 1999/93/CE del Parlamento Europeo y del Consejo de la Unión Europea, creó un marco jurídico para la firma electrónica y para determinados servicios de certificación, con el fin de garantizar un adecuado funcionamiento del mercado comunitario y además formuló la necesidad de buscar acuerdos transfronterizos para garantizar la interoperabilidad a nivel mundial. Esta Directiva entiende por “firma electrónica”.los datos en forma electrónica anejos a otros datos electrónicos o asociados de manera lógica con ellos, utilizados como medio de autenticación..." (Artículo 2.1).


La Ley española 59/2003, de firma electrónica, en su artículo 3, define igualmente la firma electrónica de este modo: La firma electrónica es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante. La firma electrónica avanzada es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.


La firma electrónica avanzada tendrá respecto de los datos consignados en forma electrónica, el mismo valor que la firma manuscrita en relación con los consignados en papel.


¿Cómo funciona?
La firma electrónica es un bloque de caracteres que se añade a un documento o fichero para acreditar quien es su titular (autenticación) y también para detectar que no haya habido ninguna manipulación subsiguiente de los datos (integridad). En la firma el titular utiliza el código personal que el solo conoce (criptografía asimétrica) y esto es lo que impide que después se pueda negar su autoría (no revocación o no repudio). De este modo el titular de la firma queda vinculado por el documento emitido e igualmente la validez de la firma podrá ser adverada por cualquier persona que disponga de la clave pública de titular.


Ahora, una vez realizada la firma electrónica habrá de determinarse su validez y para ello el software del receptor, previa introducción en el mismo de la clave pública de remitente (obtenida a través de una Autoridad de Certificación), descifrará el extracto cifrado del autor. Si el resultado coincide con el extracto anteriormente descifrado, se considera válida; en caso contrario significaría que el documento ha sufrido una modificación posterior y por tanto no es válido.


La clave privada se almacena en un dispositivo de uso privado: una tarjeta criptográfica (por ejemplo el nuevo DNI) o normalmente en el disco duro de un ordenador. La clave pública, en cambio, se distribuye junto con el mensaje firmado, fichero, etc.


Sobre la firma electrónica recibida, el receptor aplicará la clave pública del emisor a fin de descifrarla. El resultado será una huella que debe coincidir con la huella del mensaje. Si esto se produce, hay garantía de que el mensaje no ha sido modificado y de que ha sido emitido por el titular de la firma.

¿ Qué es un certificado de seguridad electrónico?
Los certificados electrónicos son dispositivos que posibilitan el almacenamiento de diversos datos relativos al propietario de los mismos (datos personales, claves, etc) y permiten identificarlo en la red, garantizando tanto la emisión de los datos, como su recepción, la integridad de la información transmitida, la confidencialidad y lo más importante, el no repudio de la transacción.
La Ley 59/2003 de Firma Electrónica, en su artículo 6, nos da el siguiente concepto: Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o jurídica a la que representa.


Estos certificados deben ser emitidos por las autoridades de certificación, también conocidas con el nombre de proveedores de servicios de certificación. Al igual que existe una firma electrónica general y otra cualificada, en el caso de los certificados de seguridad se habla también de certificados ordinarios y certificados reconocidos. Éstos últimos son certificados que ofrecen mayores garantías, ya que reúnen una serie de requisitos que aumentan su seguridad.

¿Para qué sirve un certificado de seguridad electrónico?
El certificado de seguridad electrónico puede ser utilizado para muchas aplicaciones, que van desde la firma de documentos hasta la identificación dentro de una organización. Un certificado de seguridad es una identidad digital, y por tanto como identidad, sirve entre otros, para los siguientes usos:


  • Firma digital. El certificado de seguridad se utiliza para firmar todo tipo de documentos digitales, desde simples e-mails hasta los más complejos contratos mercantiles. Esto implica garantía de no repudio, de conocimiento inequívoco de quien es el emisor del documento y de la integridad del documento, es decir, que el documento firmado es el original y que nadie ha modificado su contenido después de su firma.

  • Seguridad en la comunicación. El certificado sirve para codificar una comunicación entre dos personas, haciendo que toda la información transmitida sea confidencial. Con ello se garantiza que cualquier documento enviado por una persona a otra estará cerrado y sólo podrá ser abierto por su legítimo destinatario. A su vez es igualmente aplicable cuando el emisor o bien el receptor no son una persona sino un servidor de internet, y por tanto, la información enviada o recibida de este servidor estará codificada con el fin de que sólo el auténtico receptor pueda leerla.

  • Seguridad entre las partes: Uno de los problemas se plantean es el de que a veces no estamos seguros de que el receptor sea realmente quien dice ser y por lo tanto el emisor puede tener dudas acerca de si enviar una información o no. Aquí es donde la autoridad de certificación que es la parte de confianza tiene un papel importante puesto que certifica a este como el auténtico receptor.


¿Qué son los servicios de certificación?
La identidad en la Red está basada en la existencia de las terceras partes de confianza, que son las entidades que verifican y dan fe de la identidad de los internautas. Los Servicios de certificación son entidades públicas o privadas cuyo fin es el de verificar la identidad y otros datos relevantes de una persona para que ésta pueda identificarse en la Red.

Existen diferentes entidades de certificación que emiten certificados de seguridad para personas, para empresas, para colectivos, para colegios profesionales, para universidades o para entes públicos. Entre otros tenemos los siguientes prestadores: AC Abogacía, ANCERT (Agencia Notarial de Certificación), ANF AC, Autoritat de Certificació de la Comunitat Valenciana (ACCV), Banesto CA, Camerfirma, CATCert, CERES (Fábrica Nacional de Moneda y Timbre), CICCP, Dirección General de la Policía y de la Guardia Civil, Firmaprofesional S.A., Izempe SA, Telefónica Empresas..

Resulta evidente que los certificados emitidos por cada prestador suelen estar vinculados a determinados colectivos de usuarios. Así, por ejemplo, un DNI electrónico emitido por la Policía será inicialmente aceptado para realizar trámites con la administración pública, mientras que un certificado emitido por un Colegio profesional (AC Abogacía) será aceptado como instrumento electrónico que identifique al colegiado respecto a su actividad profesional, o un certificado de las cámara de comercio (Camerfirma) será aceptado por las empresas adheridas en sus transacciones comerciales.



En el tráfico mercantil entre empresas y sobre todo cuando las transacciones son internacionales, la entidad mas reconocida es Camerfirma, otorgada por las Cámaras de Comercio y que a su vez tiene acuerdos internacionales con otras Cámaras Europeas y Mundiales. Para las relaciones con la Administración Pública, los certificados mas adecuados resultan ser el DNI y los que otorga la Fábrica Nacional de Moneda y Timbre (ANCERT). Para las relaciones con Administraciones Autonómicas, puede resultar aconsejable acudir a sus propias autoridades de certificación (Izempe en el País Vasco, ANF en Cataluña, o ACCV en Comunidad Valenciana).


¿cómo se obtiene un certificado?
Conseguir un certificado con firma electrónica es bastante sencillo. Los nuevos documentos nacionales de identidad ya lo tienen incorporado. Para obtener otros certificados basta con acercarse a cualquiera de las autoridades de certificación existentes. Allí un oficial de acreditación comprobará la identidad del usuario (sea persona física o jurídica) y acto seguido suscribirá el correspondiente contrato de prestación del servicio de certificación y se les facilitarán las correspondientes claves.
Por ejemplo
Fábrica Nacional de moneda y Timbre (Ancert).- Se entra en su página web, se rellena un formulario, se le facilite una referencia y con ella se acude a cualquier oficina de la Agencia Tributaria para acreditar la identidad y para continuar con el proceso de facilitación de las claves públicas y privadas.
Camerfirma.- El Interesado se persona en cualquier cámara de Comercio, se acredita mediante su DNI si es persona física, o si es persona jurídica acredita mediante escritura pública su representación legal, y procede a suscribir el correspondiente contrato para subsiguientemente facilitar el instrumento informático de generación de claves.

1 comentario:

  1. Muy interesante y didáctico. A pesar de las garantías que ofrece, lo cierto es que aún se está introduciendo muy tímidamente en los hábitos diarios. Entre otras cosas puede estar el hecho de que por ejemplo, el uso del DNI electrónico resulta en la práctica bastante farragoso, lo que desmotiva bastante. Y luego está el asunto de cómo se informa a la gente, las posibilidades reales de uso, etc. En fin, que habrá que ir poco a poco...

    ResponderEliminar