La firma electrónica

• Autor: Antoni Martín, Francisco de Quinto Zumárraga

7.1. La firma electrónica como factor de seguridad tecnológica y jurídica

La regulación jurídica de las nuevas tecnologías dejará de ser en breve una molesta carga de obligaciones para los empresarios y profesionales y, aunque con notable retraso sobre el calendario previsto, sin duda será la base del proceso de incorporación de hasta tres millones de unidades económicas de producción, integradas por empresas, autónomos y profesionales al uso de los sistemas de la información y las redes de telecomunicaciones. Hasta que esto no se consiga no podremos decir que España ha iniciado con decisión la incorporación de las nuevas tecnologías a la gestión empresarial. Hasta la fecha el país vive inmerso en una esquizofrénica dicotomía:

1. Por un lado las grandes empresas con sistemas operativos ciento por ciento integrados en el uso y aplicación puertas adentro de las nuevas tecnologías.

2. Por otro, millones de pequeñas empresas y autónomos que viven prácticamente de espaldas al fenómeno, con el que tropiezan tan solo ocasionalmente con vocación experimental.

   En la práctica, el numeroso colectivo segundo de los citados ralentiza notablemente y hasta imposibilita los intentos por parte del segmento de “grandes empresas” por exportar puertas afuera sus sistemas organizativos con aprovechamiento total de las nuevas tecnologías.

   Para superar el actual estado de cosas es necesario disponer de un marco jurídico capaz de aportar los niveles de seguridad exigidos como mínimos en cada nivel de relación, puesto que dicho nivel es lógicamente diferente en función de los protagonistas y de la naturaleza de la relación que establezcan. Así resulta evidente que las necesidades de seguridad tecnológica y jurídica son distintas en los siguientes supuestos:

   Compra por Internet entre un particular y una empresa (B2C).

   Relación entre empresas a efectos de pedidos, facturación, etc. (B2B).

   Relación entre empresas y particulares con las diferentes instancias de las Administraciones Públicas.

   El desarrollo del necesario marco jurídico presenta en estos momentos un innegable retraso provocado principalmente por el fallido intento de regular jurídicamente la firma electrónica, mediante la apresurada fórmula del real decreto ley en 1999.

   Paralelamente hay que hacer responsable por la parte que le toca al retraso en el despliegue tecnológico de las redes extranet necesarias para el intercambio documental entre las diferentes instancias públicas; administraciones, notarios, registradores, etc.

   Pero como dice el refrán; “nunca es tarde si la dicha es buena” y ahora parece que sí, que el rompecabezas está razonablemente completado y ya comienza a intuirse los beneficiosos efectos de los siguientes sistemas en su funcionamiento integrado.

   La firma electrónica una vez se haya actualizado su regulación jurídica de una forma operativa, según los parámetros del actual proyecto de ley aprobado por el Gobierno para su remisión a las Cortes en la primera semana de abril de 2003, será el elemento que posibilitará el pleno desarrollo tecnológico y legal de diversos sistemas que ayudarán notablemente sin duda alguna a la difusión del uso de las nuevas tecnologías, principalmente de Internet, entre las Administraciones Públicas, las empresas incluidas las pymes y microempresas y en última instancia entre los ciudadanos españoles. Los referidos sistemas son:

   1. El llamado Sistema e-Notario que desarrolla la normativa sobre el particular de la Ley 24/001 conocido coloquialmente como Ley de Acompañamiento a los Presupuestos para el año 2002.

   2. El Estatuto Nueva Empresa regulado en la Ley 7/2003 de 1 de abril de la sociedad limitada Nueva Empresa.

   3. El Sistema e-Factura. Las facturas y recibos digitales emitidos y comunicados por Internet con plena eficacia jurídica y tributaria.

   4. El llamado Punto Neutro Judicial, como red de comunicación entre los diferentes organismos judiciales y entre ellos y otros servicios y bases de datos de la Administración como pueden ser por ejemplo las Fuerzas de Seguridad o los diferentes Registros Públicos, Civil, Mercantil, etc.

   1. FIRMA ELECTRÓNICA: APROXIMACIÓN TECNOLÓGICA.

   Se trata del elemento tecnológico que da soporte a los estándares mínimos de seguridad que son necesarios para la consecución de efectos jurídicos imprescindibles en las relaciones entre particulares y entre éstos y las administraciones. Dada su importancia en la doble vertiente técnica y jurídica procedemos seguidamente a exponer estos dos planos por separado.

   La firma electrónica es el resultado de encriptar mediante un código un determinado mensaje digitalizado, es decir que el significante del referido mensaje está soportado en bytes (impulsos electrónicos) y no en átomos.

   La encriptación deviene imprescindible para los sistemas mixtos de tratamiento y transmisión de la información por redes a los efectos de dotar a los contenidos informatizados de las siguientes propiedades absolutamente necesarias e imprescindibles desde la perspectiva de la seguridad:

   Integridad de los contenidos.

   Autenticidad (autenticación) de los sujetos que intervienen en el proceso.

   Confidencialidad; infracción protegida frente a terceros no autorizados.

   Abordamos ambos términos de forma conjunta por dos razones:

1. Son conceptos complementarios para blindar un proceso de comunicación en su objeto (contenidos) y en sus sujetos (las partes que intervienen).

2. Los mecanismos conceptuales y tecnológicos desarrollados para su protección tienen un tronco común y se basan en la codificación y encriptación de los mensajes.

   Retomando esta última idea podemos decir que el origen y desarrollo de ambas técnicas; codificación y encriptación en el mundo moderno se encuentran en los ámbitos diplomático y militar. Posteriormente el centro de interés invade el terreno del “secreto industrial” y no es hasta fecha reciente, cuando se instala plácidamente orientado hacia la protección de los Derechos Humanos llamados de tercera generación, como conceptos capaces de preservar la confidencialidad, intimidad y privacidad de los mensajes y de las personas que los intercambian.

   Una primera aproximación respecto de estas técnicas nos obliga a señalar que, como toda tecnología está cargada de ideología y en consecuencia se trata de una arma de doble filo en función de quién la utilice.

   La base técnica de los sistemas de protección de la integridad y autenticación de la información es la llamada “clave asimétrica” a PKI (public key infrastucture) en términos ingleses. En el ámbito de la encriptación existen dos sistemas globales:

   1. SISTEMAS DE CLAVE SIMÉTRICA, que son aquellos en que los sujetos participantes (emisores y receptores) operan con un mismo código de encriptación y desencriptación. Su vulnerabilidad radica en el dicho español; “secreto de dos es secreto de Dios y secreto de tres secreto no es”. En efecto la progresiva y reciente divulgación de la clave convierte al sistema de protección en altamente vulnerable.

   2. SISTEMAS DE CLAVE ASIMÉTRICA. Se caracterizan porque emisor y receptor actúan en el circuito con claves dobles y diferentes; una pública conocida por todos y otra privada de carácter reservado. El sistema así concebido debe disponer necesariamente de una “Autoridad de Certificación” que en el marco de una regulación legal muy estricta emite, controla y depura las claves que operan, tanto las públicas como las privadas. Una variante de las claves asimétricas son las que se basan en datos orgánicos de los sujetos intervinientes en el proceso de comunicación, ya se trate de huella digital, manchas del iris ocular o entorno facial, entre otros.

      La firma electrónica es una tecnología que permite asociar un conjunto de datos o un documento a una determinada persona, ya sea en calidad de autor o como responsable de su emisión. Una vez que lo haya firmado electrónicamente el documento no podrá ser repudiado. Un proceso de firma digital requiere la concurrencia de tres elementos: el propio documento que se va a firmar; el identificador digital de quien va ha hacerlo (o certificado digital), y el programa de software que calculará la firma electrónica mediante unos algoritmos de programación. La firma digital es el resultado de unos cálculos que realiza el software de firma electrónica, que utili

      za la información que contiene el documento y los datos del firmante que figuran en el certificado digital. El documento puede ser una carta, una factura o una transacción u otro tipo de archivo digital. El certificado digital es emitidos por una empresa prestadora de servicios de certificación, que emiten este tipo de identificadores utilizando la denominada tecnología PKI o de infraestructura de clave pública y se cercioran de la identidad del peticionario. Una vez que el usuario está en poder del certificado, deberá configurar sus aplicaciones informáticas (por ejemplo, el navegador web y el programa de correo electrónico) para que sepan localizar y utilizar el certificado.

      A partir de este punto, el usuario podrá decidir qué documentos suyos quiere enviar firmados y cuáles no.

      FIRMA ELECTRONICA AVANZADA (F.E.A.) es aquella asimétrica cuyas claves, pública y privada, son extendidas y custodiadas por una AUTORIDAD DE CERTIFICACION o Prestador de Servicios de Certificación en terminología de nuestro Real Decreto Ley hoy vigente.

      ¡La FIRMA ELECTRÓNICA ASIMÉTRICA funciona técnicamente del siguiente modo:

      ¡Firmar electrónica o digitalmente un documento consiste en pasar un determinado algoritmo sobre el texto que se desea cifrar, basándose en la clave privada del signatario electrónico. Cuando el texto debe transmitirse firmado, el algoritmo recorre todos sus datos electrónicos y, junto a la clave privada, obtiene un valor (“hash”), que es la llamada firma digital asimétrica. El hash es un algoritmo matemático o número resultante de aplicar una clave de encriptación a un documento.

      En la transmisión, se envía por una parte el documento cifrado, y por otra el hash. Cuando el receptor...