Tapa .:

Editorial .:

Entrevista .:

Opinión .:

Dossier .:

Doctrina .:

Actualidad .:

Jurisprudencia .:

Daniel Edgardo Cortés
Ing. en Informática (UCSA)
Posgrado en Criptografía y Seguridad Teleinformática (EST)
Profesor Titular de la Cátedra de Informática Aplicada (UCSA)

La sociedad actual tiene entre sus basamentos las nuevas tecnologías de la información y las comunicaciones. Es indudable el aporte de estos dos componentes –ya inevitables– en la vida diaria actual. Tampoco se puede dudar de las ventajas que le aportan a las actividades económicas, sociales, culturales y políticas que ya no las ignoran, y mucho menos las desaprovechan.

Observando el impacto que dichas tecnologías provocan a la llamada Sociedad de la Información, cabe hacer algunas reflexiones. El futuro desarrollo de los servicios de información y telecomunicación esperado, tales como servicios de enlaces móviles, telecompra, correo electrónico, telebanca, y otros, depende de una estructura segura de TI (tecnología de la información) y de comunicaciones, que no atente contra la confianza en esos servicios y frene su difusión universal.

Bien es sabido la facilidad con que las nuevas tecnologías y sistemas pueden almacenar, distribuir y proporcionar datos relativos a las personas, invadiendo o al menos amenazando la esfera privada, el ámbito íntimo, lo que ha provocado la reactivación del conflicto individuo-sociedad, que se ve reflejado con la aparición de toda una serie de leyes de protección de datos y derecho a la privacidad.

Además, a pesar de los abusos que el sector privado pudiera cometer, normalmente los ciudadanos percibimos al Estado como la amenaza mayor a nuestro derecho a la privacidad. La doble percepción del Estado como amenaza y a la vez como garante de nuestros derechos, tiene fuertes implicaciones en la discusión del uso de las tecnologías en general y de las criptográficas en particular, en una proporción mayor que la actual.

En el ambiente de los que trabajan, discuten o reflexionan sobre la seguridad de los sistemas de información y comunicaciones, se está de acuerdo en que la criptografía es una tecnología imprescindible para garantizar la confidencialidad, integridad y autenticidad dentro de la infraestructura actual, y que esa garantía y protección es hoy vital para la existencia de los servicios de ámbito económico y financiero (aunque no se restringe a ellos) que se apoyan en la mencionada infraestructura.

Para dar un ejemplo, que no es la excepción a la regla aunque si de candente actualidad, podemos mencionar la Certificación Digital, cuya implantación a una escala mayor dependerá de las normas que nuestros legisladores plasmen. Lo que se traduce en un uso intensivo de técnicas criptográficas, tanto para los servicios básicos de seguridad (confidencialidad, autenticación, integridad, no repudio) como para los servicios avanzados (certificación, obliteración, etc).

Además la criptografía –en particular la de Clave Asimétrica– podría ofrecer soluciones al conflicto antes apuntado sociedad-individuo, o más bien estado-individuo, proporcionando nuevos escenarios en los que el control y acceso a la información no resida exclusivamente en una de las partes, estado, individuo o sociedad.

Sin embargo tras esta reconocida necesidad de criptografía, existen aspectos significativos de necesidades de la sociedad enfrentados. Por una parte los ciudadanos desean ver protegidas sus comunicaciones y sus datos de escuchas así como del uso abusivo e indiscriminado de estas. Por otra parte, parece razonable y legítimo que la sociedad, (y el Estado), desee conservar los medios adecuados de lucha contra la delincuencia.

La utilización masiva, indiscriminada e incontrolada de métodos criptográficos podría privar a los gobiernos de obtener el acceso a la información necesaria, por una parte, para su propia gestión y por otra, para la protección de la sociedad. Por oposición, los métodos propuestos por los gobiernos (como por ejemplo la iniciativa estadounidense EES, v.g. Clipper) tienen, a juicio de las organizaciones de libertades civiles, un cierto carácter orwelliano.

Esta situación ha llevado a desarrollar normas internacionales donde la criptografía a pasado a ser considerada “arma bélica”, lo que significa en otras palabras “sujeta a restricciones”. Si un algoritmo criptográfico no reúne determinadas condiciones no puede ser difundido.

Desde un punto de vista de lucha contra el crimen se podría aceptar que se necesiten técnicas criptográficas que no limiten la capacidad de los gobiernos a actuar ante una orden judicial. Porque en caso contrario, la misma tecnología que protegerá ese derecho a la privacidad, que habremos definido y defendido como absoluto, podría dificultar tremendamente la acción de la justicia así como de otros aspectos evidentes de la seguridad nacional. Pero desde el punto de vista de los sectores económicos y financieros la solución no puede implicar el uso de cifrados simples de quebrantar o aceptar aquellos que han sido desarrollados con un concepto de máxima bondad y luego deben ser utilizados con restricciones o condicionamientos. En estos momentos, y con una tendencia creciente e imparable, en la moderna Sociedad de la Información hay demasiada actividad económica y financiera como para hacer recaer la confianza necesaria en estos sistemas sobre técnicas criptográficas vulnerables o condicionadas.

En nuestras Universidades tenemos material humano suficiente para desarrollar con criterios particulares nuestro propio esquema que nos identifique y que a su vez sea compatible con los estándares internacionales. Para ello es necesario dar señales precisas que encolumnen a la sociedad a tomar este desafío como lo han hecho en otros países.

Quedan pues abiertos una serie de puntos en los que la sociedad puede y debe intervenir en el debate existente. ¿Cuán importante es proteger a la sociedad frente a criminales y terroristas? ¿Es esta protección más importante que proteger nuestra privacidad frente a cualquier amenaza, incluyendo los abusos por parte del Estado? ¿Es necesario que exista una tendencia independiente en los desarrollos criptográficos que no estén sujetos a condicionamientos?

Es un hecho claro que nuestra privacidad puede ser completamente garantizada (tanto a nivel de datos como de comunicaciones) con el uso de la criptografía. Pero ¿...? ¿Queremos llevar ese derecho a la privacidad al límite? ¿Quién debe tomar las decisiones concernientes al uso de la criptografía en entornos comerciales y privados? ¿Dónde y cómo queremos que se ejerza el control sobre esta tecnología de doble uso? ¿Qué papel debe asumir la sociedad en este proceso? ¿Cómo se habilitarán los necesarios servicios de certificación, TPC’s (terceras partes confiables, TTP’s en inglés), notarías electrónicas, etc.? ¿Qué modelo, intervencionista o autorregulador, es más adecuado o preferible en la situación actual?. ¿Seremos capaces las partes implicadas en el debate: ciudadanos, tecnólogos, juristas y políticos, de aportar soluciones y políticas criptográficas que satisfagan a toda la sociedad?.

Infraestructura de clave pública

En sus orígenes, Infraestructura de Clave Pública (PKI - Public Key Infrastructure) proviene de un conjunto de componentes de hardware, software, políticas, normas, metodologías y procedimientos que instrumentan los algoritmos que la criptografía, como ciencia, denomina Criptografía Asimétrica o de Clave Pública, con el objeto de asegurar la identidad de los participantes de una comunicación.

A resultas de las sucesivas transformaciones y efectos que ha producido la adopción de la tecnología de Clave Pública, su organización social ha mantenido la denominación, aunque incorporando para su funcionamiento, un Ente Acreditante o Licenciante (dependiendo del modelo jurídico adoptado), un Ente Auditante y Autoridades de Certificación Digital o Terceras Partes Confiables (TTP - Trusted Third Parties).

El término PKI se utiliza para referirse tanto a la Autoridad de Certificación Digital como al resto de componentes, y para referirse, de manera más amplia y a veces confusa, al uso de algoritmos de clave pública en comunicaciones teleinformáticas. Este último significado es incorrecto, ya que no se requieren métodos específicos de PKI para usar algoritmos de clave pública.

La madurez social, la adopción tecnológica y las necesidades de contar con garantías ciudadanas han obligado a que los organismos normalizadores Internacionales gesten la estandarización de todas las aristas relacionadas con la implantación e instrumentación de toda la tecnología involucrada (ITU-T, ISO, IEC, Common Critera, otros). A la par, han surgido organismos acreditadores del cumplimiento de los estándares normalizados por la industria (AICPA - WebTrust Program, Dod PKI, otros). Y para los casos de organismos licenciantes, han asumido el rol alguna dependencia estatal.

De esta manera, desde el punto de vista tecnológico y operacional, se ha alcanzado una base común a nivel mundial que permite el desarrollo de las tecnologías de la información (TI).

Si bien los modelos de implementación organizacional y jurídicos tienen algunas variantes, en esencia el punto central es la Autoridad de Certificación Digital.

La Autoridad de Certificación Digital, como Tercera Parte Confiable, es el órgano responsable de la emisión de los Certificados Digitales (documentos de identidad digitales), por los métodos que considere en sus Políticas de Certificación, la proveedora y/o asesora de la tecnología adecuada para emisión de las claves y su resguardo y la encargada de publicar las Certificados Digitales en los denominados Directorios de Clave Pública.

Por todo ello, la Autoridad de Certificación debe considerarse un órgano impoluto, con medidas de seguridad que infundan la confianza requerida para el éxito de su gestión, proveedor de innovaciones tecnológicas acordes a su gestión, altos niveles de calidad en lo que hace a la atención y disponibilidad, deberes de confidencialidad y neutralidad de intereses.

La función primaria de las Autoridades de Certificación es la de brindar confianza para su dominio operacional ya que es la responsable de la identificación de las personas. En otras palabras, es quién manifiesta públicamente la relación entre la identidad de una persona física, una persona jurídica o un componente de una red de comunicaciones y un certificado digital. Es decir, un instrumento que puedo utilizar en el ámbito de los sistemas de información y comunicaciones que al igual que un documento de identidad o un simple carnet de un club contiene elementos que referencian la identidad del poseedor.

Realizando una analogía con el carnet del club, éste en particular, independientemente de nombre, número de socio, fotografía, última cuota abonada, etc., contiene la firma manuscrita de una Autoridad que representa a la Institución. Pues bien, una Autoridad de Certificación Digital para obtener el lazo de responsabilidad sobre los datos contenidos, firma digitalmente el documento digital que denominamos Certificado Digital.

Sin embargo, la persona encargada de realizar la verificación del carnet, no posee métodos suficientemente económicos y ágiles para constatar que el documento es íntegro y válido; de esta manera utiliza sus sentidos y asume responsabilidades al respecto. En este nuevo escenario, y recordando que la Autoridad de Certificación Digital está siempre disponible, solo bastará con realizarle una consulta en línea para constatar la veracidad del Certificado Digital.

La Ley 25506 de Firma Digital, define al Documento digital como: la representación digital de actos o hechos, con independencia del soporte utilizado para su fijación, almacenamiento o archivo. Un documento digital también satisface el requerimiento de escritura.

De la misma manera define a un Certificado Digital como: el documento digital firmado digitalmente por un certificador, que vincula los datos de verificación de firma a su titular.

Obviando la temática de la denominada Firma o Firma Digital, el Certificado Digital, además de contener datos públicos del propietario (nombre, apellido, correo electrónico, y otros), posee además los datos de quién lo emitió, las normas bajo las cuales fue emitido, los usos y aplicaciones para el que fue emitido, atributos o atribuciones particulares y la confianza que por propia o heredada posee el mismo.

Cambio del paradigma

Es indudable que una de las sensaciones primarias que evidencia el ser humano al llevar a cabo actividades teleinformáticas es la “inseguridad”. Esta situación es producto de la pérdida de los sentidos que habitualmente utiliza el ser humano para llevar a cabo cualquier acto de tipo social. Zanjar estos inconvenientes despertaron en los científicos y tecnólogos un desafío que propugnase la satisfacción social y brindase las condiciones de seguridad que reduzcan el riesgo de inconvenientes en actividades Teleinformáticas.

Las consideraciones que debe cumplir la tecnología para satisfacer el virtual reemplazo de los sentidos y las formas sociales, se han traducido en los siguientes conceptos surgidos del habitual comportamiento social: Confidencialidad, Autenticación, Integridad y No Repudio. La Confidencialidad debe satisfacer que la información contendida en el mensaje o transacción teleinformática, solo sea visible por quién el receptor determine. La Autenticación debe satisfacer la capacidad de identificación de la persona que ha realizado el acto. La Integridad debe satisfacer que la información contenida en el mensaje o transacción teleinformática no ha sido modificada luego de la manifestación de voluntad del emisor. El No Repudio debe satisfacer que el emisor del mensaje o transacción teleinformática no pueda manifestar no haberlo realizado.

Fácilmente se puede colegir que la satisfacción de estos requerimientos esenciales para operaciones en ambientes teleinformáticos, son aspectos que competen a la Seguridad de la Información, en el marco de las Tecnologías de la Información (TI).
La sensibilidad de la información debe ser protegida por diferentes vías o utilizando diferentes mecanismos.

De una rápida vista a la Ley 25506, observamos que estos conceptos han sido vertidos en su artículo 2º donde se define Firma Digital. “Se entiende por firma digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma. Los procedimientos de firma y verificación a ser utilizados para tales fines serán los determinados por la Autoridad de Aplicación en consonancia con estándares tecnológicos internacionales vigentes.”

Cada término empleado hace referencia a alguno de los conceptos mencionados:

> procedimiento matemático: se refiere a la denominada Criptografía de Clave Pública.

> exclusivo conocimiento del firmante y absoluto control:
representan el grado de confidencialidad y la intimidad obligada en el manejo de estos recursos.

> verificación por terceras partes y identificar al firmante:
hace referencia a la autenticación.

> detectar cualquier alteración: hace referencia a la integridad. La satisfacción de la autenticación y la integridad representan, en forma primaria, el no repudio tecnológico.

De esta manera podemos deducir que bajo determinadas normas y procedimientos internacionales y aplicando la tecnología provista por la criptografía podemos obtener las garantías de Confidencialidad, Autenticación, Integridad y No Repudio que se requiere para permitir el tratamiento de información en el ámbito de las comunicaciones y los sistemas de información.
Si a esta respuesta por parte de científicos y tecnólogos le incorporamos legislación y normativas, se plasma en realidad el requerimiento social que estos tiempos proponen.

Recursos aplicados

La base consiste en la creación, mediante algoritmos matemáticos, de un par de claves, una denominada pública y otra denominada privada, relacionadas entre sí matemáticamente.

Es de vital importancia que los procedimientos y algoritmos utilizados puedan ser auditados para obtener garantías de que se realizan de acuerdo al “Estado del Arte” y las normativas nacionales e internacionales en la materia, así como que los procedimientos y garantías que se brindan se encuentran acorde a derecho.

La clave privada, como lo indica su denominación debe ser protegida convenientemente por su propietario ya que es el instrumento primordial para generar una firma digital, en consecuencia en ningún momento debe ser expuesta a ningún tercero, debiendo adoptarse las garantías necesarias para su obtención y resguardo. La clave denominada pública, que como lo indica su denominación es de acceso público, forma parte del Certificado Digital conjuntamente con los datos del propietario. La incorporación de la clave pública al Certificado Digital, así como los datos que serán incluidos en este Documento Digital, es responsabilidad de la Autoridad de Certificación, quién mediante una firma digital del mismo, ratificará su responsabilidad técnica y jurídica del Certificado Digital.

Firma digital

La incorporación de nuevas terminologías hace que, en muchas ocasiones, los conceptos jurídicos tradicionales resulten poco idóneos para interpretar las nuevas realidades.

Muchas veces sucede que cuando tratamos de reconducir estos nuevos hechos a las figuras jurídicas existentes nos encontramos con dificultades. Las viejas instituciones jurídicas que, a través de los siglos han ido incorporando nuevas realidades sociales, cuando tienen que hacerlo respecto a estas nuevas tecnologías, en cierto modo chirrían y las admiten con reservas. Así ocurre cuando tratamos de adaptar el concepto de firma, tal como antiguamente se concebía, al nuevo campo de las transacciones informáticas.

Lo que actualmente conocemos como firma manuscrita o analógica, es producto de un proceso evolutivo a partir de la introducción de tecnología y constantes cambios sociales. Históricamente, podemos recordar que en Roma, los documentos no eran firmados, de acuerdo a nuestra actual concepción. Existía una ceremonia llamada manufirmatio, por la cual, luego de la lectura del documento por su autor o el notarius, era desplegado sobre una mesa y se le pasaba la mano por el pergamino en signo de su aceptación. Solamente después de cumplir esta ceremonia se estampaba el nombre del autor.

En el Sistema Jurídico Visigótico existía la confirmación del documento por los testigos que lo tocaban (chartam tangere), signaban o suscribían (firmatio, roboratio, stipulatio). Desde la época euriciana (Eurico Rey Visigodo 420-484) las leyes visigodas prestaron atención a las formalidades documentales, regulando detalladamente las suscripciones, signos y comprobación de escrituras. La “subscriptio”, representaba la indicación del nombre del signante y la fecha, y el “signum”, un rasgo que la sustituye si no sabe o no puede escribir. La “subcriptio” daba pleno valor probatorio al documento y el “signun” debía ser completado con el juramento de la veracidad por parte de uno de los testigos. Si falta la firma y el signo del autor del documento, éste es inoperante y debe completarse con el juramento de los testigos sobre la veracidad del contenido.

En la Edad Media, la documentación regia viene garantizada en su autenticidad por la implantación del sello. Sello que posteriormente pasó a las clases nobles y privilegiadas.

La firma es definida en la doctrina como el signo personal distintivo que, permite informar acerca de la identidad del autor de un documento, y manifestar su acuerdo sobre el contenido del acto.

La Real Academia de la Lengua define la firma como: “nombre y apellido o título de una persona que ésta pone con rúbrica al pie de un documento escrito de mano propia o ajena, para darle autenticidad, para expresar que se aprueba su contenido o para obligarse a lo que en él se dice”.

En el Vocabulario Jurídico de COUTOURE se define como: “Trazado gráfico, conteniendo habitualmente el nombre, los apellidos y la rúbrica de una persona, con el cual se suscriben los documentos para darles autoría y virtualidad y obligarse en lo que en ellos se dice. De las anteriores definiciones se desprenden las siguientes características:

> identificativa: Sirve para identificar quién es el autor del documento.

> declarativa: Significa la asunción del contenido del documento por el autor de la firma. Sobre todo cuando se trata de la conclusión de un contrato, la firma es el signo principal que representa la voluntad de obligarse.

> probatoria: Permite identificar si el autor de la firma es efectivamente aquél que ha sido identificado como tal en el acto de la propia firma.

Como están planteadas las cosas, podemos distinguir entre:

> Elementos formales, como aquellos elementos materiales de la firma que están en relación con los procedimientos utilizados para firmar y el grafismo mismo de la firma.

> > La firma como signo personal: La firma se presenta como un signo distintivo y personal, ya que debe ser puesta de puño y letra del firmante. Esta característica de la firma manuscrita puede ser eliminada y sustituida por otros medios en la firma digital.

> > El animus signandi: Es el elemento intencional o intelectual de la firma. Consistente en la voluntad de asumir contenido de un documento.

> Elementos funcionales, en donde tomando la noción de firma como el signo o conjunto de signos, podemos distinguir una doble función:

> > Identificadora. La firma asegura la relación jurídica entre el acto firmado y la persona que lo ha firmado.
La identidad de la persona nos determina su personalidad a efectos de atribución de los derechos y obligaciones. La firma manuscrita expresa la identidad, aceptación y autoría del firmante. No es un método de autenticación totalmente fiable. En el caso de que se reconozca la firma, el documento podría haber sido modificado en cuanto a su contenido –falsificado– y en el caso de que no exista la firma autógrafa parece que ya no exista otro modo de autenticación. En caso de duda o negación puede establecerse la correspondiente pericial caligráfica para su esclarecimiento.

> > Autenticación. El autor del acto expresa su consentimiento y hace propio el mensaje. Destacando: operación pasiva que no requiere del consentimiento, ni del conocimiento siquiera del sujeto identificado; y Proceso activo por el cual alguien se identifica conscientemente en cuanto al contenido suscripto y se adhiere al mismo.

La firma digital, tiene los mismos cometidos que la firma manuscrita, pero expresa, además de la identidad y la autoría de la manuscrita, la autenticación y la integridad a través de métodos criptográficos asimétricos o de clave pública (RSA, EL GAMAL, PGP, DSA, ECC, etc.), del documento que se suscribe (no es constante), pero que la hace absolutamente inimitable si no se tiene la clave privada con que se ha generado la firma digital, otorgando verdadera atribución de la identidad y autoría.

Algunos autores definen a la firma digital como una serie de características que acompañan al documento. Es elaborada según procedimientos criptográficos, y lleva un resumen codificado del mensaje, y de la identidad del emisor y receptor.
Para otros, la firma digital es una “señal digital” representada por una cadena de bits que se caracteriza por ser secreta, fácil de reproducir y de reconocer, difícil de falsificar y cambiante en función del mensaje.

Las firmas digitales consisten básicamente en la aplicación de algoritmos matemáticos a los datos que se desean firmar (sean muchos o pocos), de esta forma, sólo serán reconocibles por el destinatario (si así lo decide el emisor), el cual además podrá comprobar la identidad del remitente, la integridad del documento, la autoría y autenticación, el no repudio del autor y preservando al mismo tiempo capacidad de confidencialidad.

Deteniéndonos un momento en los conceptos planteados, e intentando resumir, simplemente se ha ampliado el ámbito para una expresión de voluntad como es la de Firmar manuscritamente, en donde la metodología actual se basa en soportes físicos como el papel y el bolígrafo o similares medios de escritura, por una forma más adecuada a la realidad tecnológica y social. Es decir que ya no será necesario imprimir el documento generado por un procesador de texto en nuestra computadora para su firma y distribución, sino que por el contrario podemos realizar el mismo acto con los consecuentes ahorros de tiempos, papel y posibilidad de distribución masiva como original.

Como se puede observar, la definición de Firma Digital que plantea la Ley 25506, preservando la neutralidad tecnológica, describe claramente cuales son las características que debe reunir una Firma Digital, además de la equiparación jurídica con la firma manuscrita.

Desde el punto de vista de las responsabilidades personales es preciso tener presente que el mecanismo de seguridad se basa sobre todo, en el “absoluto secreto de la clave privada”, tanto al generarse como al guardarse y en la certificación de la clave pública por la Autoridad de Certificación Digital.

Autoridad de certificación digital

El acto personalísimo de firmar digitalmente consiste entonces en aplicarle a un documento digital o mensaje, un procedimiento matemático que requiere del uso de la Clave Privada, que se encuentra bajo absoluto control del firmante así como todo instrumento relacionado con su protección.

La pregunta obligada es ¿Qué función cumple la Autoridad de Certificación Digital, adicionalmente a la identificación indubitable de una persona o un componente y la responsabilidad de este acto que formaliza firmando digitalmente el Certificado Digital?.

Como mencionáramos la Autoridad de Certificación Digital, como Tercera Parte Confiable, es el órgano responsable de la emisión de los Certificados Digitales, por los métodos que considere en sus Políticas de Certificación, la proveedora o asesora de la tecnología para emisión de las claves y la encargada de publicar las Certificados Digitales en los denominados Directorios de Clave Pública. Es en definitiva un Usuario privilegiado en quién ha depositado su confianza un determinado dominio operacional.

Entre sus funciones podemos mencionar (hay que recordar que la Clave Pública, es Pública, se encuentra incluida en el Certificado Digital y este está firmado digitalmente por la Autoridad de Certificación Digital):

> Cumplir y hacer cumplir sus Políticas y Prácticas de Certificación
> Aprobar Solicitudes de Certificados Digitales
> Rechazar Solicitudes de Certificados Digitales
> Firmar y Publicar Certificados Digitales
> Mantener la Lista de Certificados Digitales
> Mantener la Lista de Certificados Digitales Revocados
> Informar del Estado de Certificados Digitales
> Renovar Certificados Digitales
> Revocar Certificados Digitales
> Mantener los más altos niveles acorde al “Estado del Arte” de toda la tecnología

Y entre sus Responsabilidades:

> Brindar o asesorar sobre las herramientas para poder emitir, con calidad técnica y de manera segura e irrepetible por otros medios o en otras circunstancias, un Certificado Digital.
> Garantizar la disponibilidad permanente de los Servicios de Publicación de Certificados Digitales Vigentes, Vencidos y Revocados.
> Publicar sus Políticas de Seguridad.
> Mantener el Plan de Contingencias.
> Publicar el resultado de las Auditorías a las que es sometida, por decisión propia o por pedido de terceros.
> Publicar sus Políticas de Certificación y verificar su cumplimiento.
> Publicar sus Prácticas de Certificación y verificar su cumplimiento.
> Mantener disponibles los Servicios de Certificación las 24hs todo el año.

Por todo ello, la Autoridad de Certificación debe considerarse un órgano impoluto, con medidas de seguridad que infundan la confianza requerida para el éxito de su gestión, proveedor de innovaciones tecnológicas acordes a su gestión y altos niveles de Calidad en lo que hace a la atención y disponibilidad.

A los fines de su gestión, se puede valer de Autoridades de Registro que son las encargadas de realizar las verificaciones de identidad de los suscriptores y solicitar la emisión del correspondiente Certificado Digital, bajo los procedimientos que determine la Autoridad de Certificación Digital de la cual depende.

Cualquier persona que desee verificar una firma digital, deberá entonces consultar y solicitar en el momento de realizar la verificación de dicha firma, el Certificado Digital correspondiente a la Autoridad de Certificación. Cabe destacar que hay mecanismos mediante el cual se le puede realizar esta consulta, que siempre es teleinformática, y que la respuesta se encuentre firmada digitalmente por la Autoridad de Certificación, estableciendo con esto el grado de responsabilidad de la misma. Si bien en ningún caso la Autoridad de Certificación toma conocimiento del documento o mensaje firmado ni de su contenido, el destinatario puede optar por este método para obtener resguardos y evidencias sobre el requerimiento. El ejemplo más simple se produce por el incumplimiento de un pedido de revocación (que inhabilitaría la validez de una firma digital), que la Autoridad de Certificación no hubiese procesado en tiempo y forma, acorde a las propias exigencias declaradas en sus Políticas y Prácticas de Certificación o a las normativas legales en vigencia.

Aplicaciones de la firma digital

Cuales son las aplicaciones?, Cómo integrarlas?, A qué se puede/debe aplicar la firma y la certificación digital?.

Debemos recordar que la tecnología base (Criptografía Asimétrica o de Clave Pública) ha sido adoptada por las Tecnologías de la Información (TI) y aplicada con doble propósito, por un lado a la Seguridad Informática y por el otro a la Firma Digital, no siendo excluyentes entre sí.

Por otra parte, los modelos de implementación deben se atendidos particularmente, por las implicancias que produce esta relación jurídico-informática, por los efectos sociales que posee. Los Dres. Fargosi y Castellano Terz, en su artículo “La Legislación no puede ir más rápido que la realidad” (Comunicaciones II-VII) en referencia a la legislación sobre tecnología, expresan “Los países anglosajones son bastante distintos en todo. Pueden ser muy simpáticos, queda bien incluso utilizar la terminología inglesa, pero no resulta aplicable en nuestro caso. Los antecedentes que hemos tenido en cuenta son los de la Europa que nos es afín: Italia, Francia, España, más la Unión Europea –que tiene un trabajo muy interesante– más América Latina.”.

Pues bien, observando rápidamente los problemas que plantea la sociedad digital y más aún los problemas derivados de ésta, hay cientos de aplicaciones que requieren de identificación indubitable y que de cara a la legislación proveen valor probatorio. Los puntos clave surgen de tres aspectos fundamentales: Estandarizar, Identificar Indubitablemente a Personas y Organizaciones y Disminuir el consumo de papel (despapelización), todo ello con las medidas de seguridad apropiadas que al menos minimicen los riesgos de Repudio y brinden las máximas garantías.

La Estandarización se basa en la generación de Políticas, Normas y Procedimientos para todos los ámbitos involucrados.

La Identificación Indubitable de las Personas y Organizaciones, se sustenta en la Firma Digital, que opera bajo la denominada Infraestructura de Clave Pública.

La disminución del consumo de papel (despapelización), como resultado de la utilización de la Firma Digital, da origen al Documento Digital, garantizando la Autenticidad, Integridad, No Repudio y eventualmente la Confidencialidad del mismo.

Es así que vistos los tiempos en que vivimos, es aplicable entre otras a:

> Identificación como Usuario ante redes Internas o Externas (abiertas o cerradas).
> Comunicaciones Electrónicas (Correos electrónicos, Mensajerías, etc.).
> Identificación a lugares o sitios de acceso remoto (Internet, Extranet, Intranet).
> Comercio Electrónico.
> Transacciones EDI (Electronic Data Interchange).
> Información que se obtenga de Internet (Información del Dominio Público).
> Transacciones Financieras.
> Software y Hardware.
> Comercio Exterior.
> Comercio Interno.
> Toda documentación que precise movilizarse rápidamente o por el contrario que posea un alto costo de movilización.

Aplicaciones en particular

Sobre la Firma Digital:

> Firma y/o Cifrado de Documentos (Expedientes, Pericias, Dictámenes, Eventos sobre Historias Clínicas, Planos, Protocolos, Ensayos, Software, Políticas, Procedimientos, Normativas, Proyectos, Minutas, y otros).
> Firma y/o Cifrado de Mensajería, tanto Interna como Externa.
> Identificación de Personas ante Sistemas Internos en redes
> locales y abiertas (Intranets), Sitios Web (sin necesidad de registrar datos). Determinación segura del Perfil del Usuario.
> Identificación de Sistemas ante el Usuario (¿Cómo sé que es el sistema que dice ser?).
> Trazabilidad con valor jurídico.
> Auditoría de Transacciones.
> Seguridad al operar Comercialmente (Compra-Venta de Acciones, Transacciones Bancarias, Operaciones con Tarjeta de Crédito, y otras).
> Identificación de los componentes físicos de una red (Computadores, Ruteadores, y otros).

Sobre el Documento Digital Firmado Digitalmente:

> Cotizaciones de Bienes y Servicios (tanto el pedido como la cotización y condiciones del Proveedor).
> Resúmenes de Cuenta.
> Recibos de Pago.
> Adjudicaciones.
> Certificaciones.
> e-Learning.
> Factura Digital.
> Cheque Digital.
> Invitaciones.
> Promociones.
> Acreditaciones de Puntaje.
> Remitos de Entrega.
> Ordenes de Compra.
> Solicitudes de Adhesión.
> Contratos.
> Actas.
> Planos.
> Planificaciones.
> Circulares internas y/o externas.
> Reservas o Turnos para distintas prestaciones (Talleres, Médicos, Hoteles, Pasajes, etc.).
> Confirmaciones.
> Autorizaciones de Prestaciones Médicas.
> Receta Médica Electrónica.
> Historia Clínica.
> Declaraciones Juradas.
> Solicitudes de Prestación de Servicios.
> Proyectos.
> Ensayos.
> Diseños.

Es indudable que otras tantas aplicaciones particulares deben o pueden hacer uso de la tecnología. Sin embargo, detrás de ésta, por las connotaciones que conlleva, la certificación por autoridad competente especializada del adecuado funcionamiento de las aplicaciones (laboratorio de Certificación u Homologación de aplicaciones), acorde a las normativas en la materia, las transforma en un tema sumamente delicado. A modo de ejemplo, una aplicación que mayoritariamente posibilita el uso de Certificados Digitales y concordantemente la Firma Digital es la de Correo Electrónico y si bien su funcionamiento actual es razonablemente adecuado y masivo, adolece de garantías contra defectos que le son imputables, más aún de cara a esta nueva realidad digital/legal. ©