RUT
Clave
Recuperar Contraseña
Buscar
Revista Nº 19
TEMAS
 
Firma Digital y Autoridades
de Certificación
Por Rodrigo Gutiérrez M.
Abogado

El anuncio del Gobierno del pronto envío al Congreso de un Proyecto de Ley que homologue la firma electrónica a la firma manuscrita, dando seguridad al desarrollo del Comercio Electrónico en nuestro país, no puede ser menos que bienvenido.
El surgimiento de las nuevas Tecnologías de la Información (TI), está provocando un cambio radical en el mundo social, cultural, laboral y económico. En materia de transacciones electrónicas, los indicios parecieran apuntar a que los intercambios comerciales tradicionales van a ser, en parte, sustituidos por el Comercio Electrónico, término que goza en la actualidad de muchas acepciones: en un sentido amplio involucra todo intercambio de datos por medios electrónicos, esté relacionado o no con una actividad comercial. En sentido estricto, "transacciones comerciales electrónicas", vale decir, compraventa de bienes o prestación de servicios, así como las negociaciones previas y otras actividades posteriores relacionadas con las mismas, aunque no sean estrictamente contractuales, desarrolladas a través de los mecanismos que proporcionan las nuevas Tecnologías de la Información, como Correo Electrónico, WWW, o EDI en su vertiente comercial.

Se realiza hace unos veinte años, a través de los computadores de empresas que estaban conectados con los de otra empresa por medio de redes cerradas y pagadas (por ejemplo, VAN), y que al recibir ciertas órdenes estandarizadas y bajo ciertos protocolos previamente definidos y acordados por las partes, permitían realizar operaciones y transferencia por vía telemática, como por ejemplo, EDI.

Lo novedoso del tema, y por cierto jurídicamente interesante, se produce cuando el Comercio Electrónico se desarrolla entre personas que no tienen una vinculación previa, que pueden habitar en extremos opuestos del planeta y que quieren realizar una transacción sin que exista presencia física, sin que sea soportada en papel y a través de una red abierta como Internet.
La utilización de las TI como instrumento de desarrollo del Comercio Electrónico, permite nuevas oportunidades de negocios, pero también trae consigo problemas que no son menores, a saber:

* La Eliminación del Soporte Papel: Sustituir el papel por bytes genera riesgos e incertidumbre sobre cuestiones jurídicas esenciales: la validez y eficacia del contrato, el perfeccionamiento contractual, la prueba del mismo, la delimitación de riesgos y responsabilidades, la ley aplicable y la jurisdicción competente en caso de litigio.

* El Riesgo de las Redes: Las redes que se usan presentan riesgos inherentes a su funcionalidad, tales como, la transferencia fraudulenta de fondos por atacantes externos o internos, la alteración de contenidos de una orden de pedido, la interrupción de las comunicaciones electrónicas, etc.

* Riesgos de una Transacción: La transacción en sí genera también riesgos, tales como:

- Que el autor y fuente del mensaje hayan sido suplantados,

- Que el mensaje sea alterado de forma accidental o intencional durante su transmisión,

- Que el emisor del mensaje niegue haberlo transmitido o el receptor haberlo recibido, y

- Que el contenido del mensaje sea leído por una persona no autorizada.

Dado lo anterior, no existen garantías sobre la autoría de un mensaje electrónico, sobre su contenido y, en última instancia, sobre la existencia del mismo. Transitar desde el comercio tradicional -donde la operación se soporta en papel y los acuerdos se sellan con firmas manuscritas- hacia un Comercio Electrónico -donde las transacciones son soportadas electrónicamente, el papel es reemplazado por códigos binarios y la firma manuscrita por un algoritmo matemático-, no resulta sencillo.

El ordenamiento jurídico debe sentar las bases legales para que las transacciones sean seguras, creando un entorno de seguridad y confianza que permita el desarrollo efectivo del Comercio Electrónico.

Generando Confianza
El Comercio Electrónico gira en torno a una idea fundamental: intercambio de bienes y servicios en forma electrónica, que antes estaban soportados por papel. Nadie duda de la aparente validez de un contrato de compraventa formalizado en papel y firmado por ambas partes, o de una factura comercial timbrada por el Servicio de Impuestos Internos.

El Comercio Electrónico, a través de las TI, quiere sustituir esa garantía que constituye el soporte papel por otra, presumiblemente más segura, como lo es el soporte electrónico, utilizando para ello un mecanismo conocido como Firma Electrónica o Digital, que asegure a lo menos:

La AUTENTICIDAD, es decir, asegurar que el mensaje se emitió por quien aparece enviándolo.
La INTEGRIDAD, es decir, asegurar que el mensaje enviado no ha sufrido alteraciones entre quien lo envió y quien lo recibió.
La NO REPUDIACIÓN, es decir, que quien envió el mensaje no pueda negar haberlo enviado (ORIGEN), y que quien recibió el mensaje no pueda negar su recepción (DESTINO).

La CONFIDENCIALIDAD, es decir, que se asegure en su caso que sólo el emisor y el receptor del mensaje puedan conocer el contenido del mismo.

La Firma Electrónica
Se entiende por firma electrónica cualquier método o procedimiento basado en medios electrónicos adoptado por una parte con la intención de cumplir las funciones de una firma ológrafa, es decir:

a) Identificar una persona,
b) Dar certidumbre en cuanto a su participación personal en el acto de firmar, y
c) Vincular a la persona con un documento.

La idea central de una Firma Electrónica es que cumpla, y en la forma más estricta, todas y cada una de las funciones de la firma manuscrita. Se ha diferenciado Firma Electrónica de Firma Digital, siendo la primera el género y la segunda una especie, caracterizada por estar asociada a un sistema de criptografía asimétrica de clave pública. Actualmente se sugiere no adherir en forma irrestricta a una tecnología determinada, a fin de permitir la incorporación de las nuevas técnicas que existan o se desarrollen en el futuro. Para efectos de estos comentarios, haremos sinónimas ambas clases de firma.
Las TI han ido aportando la seguridad necesaria para que las Firmas Electrónicas cumplan su objetivo, fundamentalmente a través de técnicas de criptografía, arte de escribir con clave secreta o de un modo enigmático y que se ocupa de transformar mensajes aparentemente ininteligibles y volverlos a su forma normal. El procedimiento normal para evitar que terceros conozcan el contenido de un mensaje digital, es ponerlo en "clave".

Las técnicas más usadas para poner los mensajes en clave son:

a) Criptografía Simétrica: Los sujetos en una transacción con criptografía simétrica comparten una clave secreta, entonces el Emisor cifra con la clave acordada y sólo el Receptor puede descifrar con la misma clave. De este modo, podrían garantizar entre ellos la confidencialidad del mensaje, la integridad del mismo y la autenticación simple de las partes, pero ello no soluciona el problema de la no repudiación, ni en origen ni en destino, ya que no garantiza que las partes que intervienen en una operación sean realmente quienes dicen ser. Este sistema se basa en la seguridad de la clave, y presenta su mayor problema en la distribución de la misma, la que si se realiza por redes abiertas como Internet, puede ser interceptada.
b) Criptografía Asimétrica: Cada persona tiene un par de claves: una privada que se mantiene siempre en secreto y que incluso puede que su titular ni siquiera conozca, ya que le fue asignada y está alojada en su computador, en una llave computacional o en una tarjeta inteligente y, además, se activa a través de una contraseña o de una huella biométrica; y otra que será pública y que se relacionará en forma de algoritmos matemáticos basados, entre otros, en multiplicación de grandes números primos o curvas elípticas con la primera. Este sistema permite cifrar un mensaje con una clave y descifrarlo con la otra o viceversa, pero nunca permite acceder a la clave privada del usuario a través de su clave pública. Esto garantiza la autenticidad, integridad y no rechazo de origen de un mensaje e incluso, si las partes lo desean, la confidencialidad.

Como se podrá apreciar, este sistema criptográfico, de doble llave pública y privada, soluciona técnicamente el problema de la autoría de mensajes (no repudio de origen), y funciona en relaciones comerciales que se fundamentan en el conocimiento mutuo y donde la distribución de las claves no se presenta como un gran problema (por ejemplo, entrega manual, por correo, por fax, etc.).

Pero Internet es una red abierta e insegura, donde las transacciones se realizan entre partes que generalmente no se conocen, desde lugares remotos y sin que existan pautas previas preestablecidas. En este caso, el hecho que una clave se corresponda con otra, no garantiza necesariamente que el mensaje haya sido firmado por quien dice haberlo hecho o, mejor aún, no garantiza que el sujeto que firmó el mensaje sea efectivamente la contraparte en el contrato que se está celebrando, ni tampoco garantiza que el receptor del mensaje no pueda repudiar su recepción en forma posterior. Además, surge el problema de realizar una distribución segura de claves, que es la base sobre la cual se desarrolla la Firma Electrónica.

Para resolver el tema de la identidad de los usuarios, del no repudio en destino y de la distribución segura de las claves, se han ideado diversos procedimientos de carácter técnico, tales como: Registros de Claves Públicas en manos de un tercero independiente; Web of Trust, sistema donde el receptor del mensaje recibe la clave pública del emisor junto con el mensaje y verifica la clave pública con otra persona de confianza quien puede señalar que conoce y confía en el emisor y su clave pública, etc. Estos sistemas, si bien aumentan el grado de seguridad de la operación, requieren que los participantes confíen en un tercero extraño, que no tiene potestades sobre ellos y donde no se establecen responsabilidades por las declaraciones emitidas.

En razón que los sistemas anteriores no otorgan total seguridad para la realización de transacciones electrónicas, han surgido las llamadas Terceras Partes Confiables (Trusted Third Party). La Tercera Parte Confiable tiene por objeto prestar servicios de seguridad a quienes participan en una transacción electrónica. El término Tercera Parte Confiable es más amplio que el de Autoridad de Certificación, de manera tal que necesariamente toda Autoridad de Certificación es una Tercera Parte Confiable, pero no al revés. Si dicha función la realizan mediante la vinculación de una persona a una clave pública -y, por ende, a su clave privada-, comprobando su identidad mediante el registro adecuado y emitiendo el correspondiente certificado, estamos en presencia de una Autoridad de Certificación.

Autoridad de Certificación
En términos simples, Autoridad de Certificación es una entidad que tiene por misión fundamental identificar a una persona natural o jurídica y asociarla o vincularla a su clave pública (y por ende a su clave privada), asumiendo la responsabilidad por la corrección del procedimiento empleado. Para realizar su cometido, la Autoridad Certificadora debe identificar al potencial firmante y luego emitir un Certificado.

La función principal de la Autoridad Certificadora como Tercera Parte Confiable, es dar seguridad a los mensajes y transacciones identificando al solicitante de un Certificado, lo que puede realizar por sí misma o delegar en aquellas personas que estime convenientes, denominadas genéricamente Autoridades de Registro. Habiendo la Autoridad Certificadora, por sí o a través de terceros, verificado en forma fehaciente la identidad del solicitante de un Certificado, está en condiciones de emitir el mismo.

El Certificado es un documento o registro electrónico cuya principal función es unir un par de claves con un suscriptor, asegurando que la clave pública pertenece al suscriptor y garantizando de esta forma la identidad del suscriptor, la privacidad del mensaje y el no repudio de origen. En definitiva, es un Pasaporte o Cédula de Identidad Digital.

El contenido de un Certificado puede ser variado dependiendo de su uso, pero en general consta de lo siguiente:

a) El Identificador de la Autoridad de Certificación que expide el Certificado.
b) El nombre del titular o su seudónimo inequívoco.
c) Un atributo específico del titular, como su dirección, poder suficiente en caso de persona jurídica, etc.
d) Un dispositivo de verificación de firma, que corresponda a un dispositivo de creación de firma bajo el control del titular.
e) El comienzo y fin del período de validez del Certificado.
f) El código identificativo único del Certificado.
g) La Firma Electrónica de la Autoridad Certificadora que expide el Certificado.
h) Los límites de uso del Certificado, si procede.
En el Certificado, todos estos datos van cifrados con la clave privada de la Autoridad de Certificación. Dado que la clave pública de la Autoridad de Certificación es conocida por todos los que intervienen en la transacción, el que reciba un mensaje firmado digitalmente y certificado, podrá leer los datos del Certificado con la clave pública de la Autoridad de Certificación. Una vez que los que intervienen en una transacción electrónica cuenten con sus respectivos Certificados, ya no será necesario que intercambien sus claves a través del medio de transmisión, sino que intercambiarán Certificados.
Cada Autoridad Certificadora realiza un proceso particular para emitir un Certificado, firmando además uno o varios contratos con el solicitante del Certificado, en los cuales se establecerán los derechos, obligaciones y responsabilidades de las partes en relación con la emisión de un Certificado. La función de los Certificados es garantizar la identidad del emisor y receptor de la información (autenticación de las partes), que el mensaje no haya sido manipulado en el camino (integridad de la transacción), que sólo el emisor y el receptor vean la información transmitida (confidencialidad) y que una vez aceptada la comunicación ésta no pueda ser negada de haber sido emitida y, en su caso, recibida (no repudio de origen y destino).

Existen variadas clases de Certificados dependiendo de quién y en qué ámbito se emitan. Entre los principales, se cuentan:

a) Certificados de Clave Pública, que contienen la clave pública de una persona determinada vinculando dicha clave a una persona concreta,
b) Certificados de Atributos, que además de identificar al solicitante y a su par de claves contienen algún tipo de información adicional, como por ejemplo especificación de cargos, poderes de representación, etc., y permiten un uso dentro o fuera de una organización y
c) Certificados Transaccionales, que se emiten para ser utilizados en una transacción específica, y tienen como finalidad limitar el riesgo tanto para el titular del Certificado como para la propia Autoridad de Certificación, teniendo su origen en prácticas comerciales norteamericanas ("ABA Guidelines").

Una característica importante de los Certificados es su temporalidad, es decir, tienen un plazo de duración o vigencia. Su expiración puede ser por modo ordinario, por ejemplo, vencimiento del plazo del mismo, o por un modo extraordinario, cuando por causas imprevistas se debe solicitar la revocación o suspensión del mismo, por ejemplo pérdida de la clave del titular. La emisión de un Certificado, su uso y expiración, traen consigo diversos eventos de responsabilidad contractual y extracontractual tanto para la Autoridad Certificadora como para el solicitante.

Las Autoridades de Certificación han pretendido delimitar su responsabilidad a través de las Prácticas de Certificación conocidas como CPS, que son documentos elaborados por ellas mismas, y a los cuales los solicitantes de un Certificado deben adherir. El estudio particular de una Autoridad de Certificación, su creación, la emisión del Certificado, su ciclo vital y las responsabilidades de las partes involucradas, exceden con mucho los límites de este artículo, pero serán temas esenciales y recurrentes en cualquier legislación que se pretenda adoptar.

Como conclusión, cabe señalar que la irrupción del Comercio Electrónico es una realidad tecnológica que se debe abordar desde el punto de vista jurídico. Se podrá discutir la forma de hacerlo, con modificaciones menores y formales, con legislaciones fuertes y mucha regulación, con la dictación de reglamentos pormenorizados, etc., pero, en definitiva, es claro que es un tema que debemos abordar ahora, a través de la creación de una infraestructura legal moderna y estable que, fomentando el desarrollo del Comercio Electrónico, otorgue seguridad y confianza a los usuarios del mismo.
Revista del Abogado
Números Editados
Publicidad en Revista del Abogado
Volver
webpay
Inscripción en linea
E-CERTCHILE
Revista N° 75
Mayo 2019
MICROJURIS
Codificación Comercial
UANDES
DLE
Los Martes al Colegio
Tramitación Electrónica
PRO BONO
Poder Judicial2
Inserto2