La seguridad en internet: la firma electrónica

• Autor: Immaculada Barral Viñals
• Cargo del Autor: Coordinadora

1. UN ENTORNO DIGITAL SEGURO: LA SOLUCIÓN A

   LOS PROBLEMAS DE LA IDENTIDAD DE LAS PARTES Y LA INTEGRIDAD DEL MENSAJE. LAS TÉCNICAS CRIPTOGRÁFICAS

   Uno de los temas más candentes que genera el comercio electrónico es el de la seguridad de las transacciones. En realidad, no es que el entorno sea inseguro –o, mejor dicho, no es que el entorno se perciba como claramente insegurosino que aún no ha sido capaz de generar la suficiente confianza entre los operadores jurídicos. Y ello es así porque la novedad del medio utilizado obliga a replantear una serie de problemas que en entorno presencial ya han sido solucionados. En concreto, nos referimos a:

1. La identificación del emisor y del receptor: el contratante debe tener la seguridad de que quien envía un mensaje, accede a una cuenta bancaria o intenta pagar una compra efectuada en una tienda virtual es quien dice ser. En este caso, los medios disponibles en el mundo presencial no sirven porque están basados en la identificación mediante la presencia física de la persona o a través de documentos que atestiguan una identificación anterior y que no pueden ser directamente digitalizados.

2. La integridad del mensaje: debe asegurarse la recepción del mensaje a su destinatario sin alteraciones, evitando accesos no queridos por parte de terceros. Hasta ahora, la seguridad de que el mensaje no hubiera sido alterado con posterioridad a la declaración de voluntad, sólo importaba al derecho de forma muy tangencial: así, por ejemplo, en el caso del testamento ológrafo porque se trata de una declaración de voluntad unilateral que se mantiene secreta hasta después de la muerte del emisor (art. 688.2 Cc) pero prescindía de este problema en los demás casos. En cambio, hoy es un problema candente en Internet.

   En conclusión, en el entorno digital la seguridad plantea nuevos problemas y exige nuevas soluciones que, actualmente, se vinculan a un concepto técnico: la llamada firma digital. En principio, la solución a estos problemas de seguridad íntimamente ligados a cuestiones jurídicas contractuales, se obtiene mediante cualquier expediente técnico que sea capaz garantizar la identidad del emisor, la integridad del mensaje y su confidencialidad. Estas técnicas son variadas: claves de acceso personales a la red o a determinada información passwords-, tarjetas magnéticas, autentificación biométrica -identificación por el iris del ojo, comprobación de la imprenta digital…-, números de identificación personal -PIN-, etc… Algunas de estas formas escasamente cumplen la finalidad que se otorga a la firma manuscrita, de ahí el problema de determinar su eficacia jurídica (MARTÍNEZ NADAL, A., La ley de firma electrónica, Madrid, 2000, pág. 39.)

   Pero los entornos digitales compuestos por redes abiertas -Internet, por ejemploel sistema más utilizado es el de las técnicas criptográficas. Éstas suponen la utilización de la encriptación informática mediante la cual se cifra los datos del mensaje transformándolos en un código binario que lo hace ininteligible para quien no posea la clave para descifrarlo (DIAZ FRAILE, J., “Estudio de la proposición de Directiva europea sobre “firmas electrónicas” de 13 de mayo de 1998”, La Notaria, núm. 9, septiembre 1998, pág 89).

   La criptografía como técnica supone dos grandes puntos de interés, como pone de relieve la Comunicación de la Comisión al Parlamento Europeo, el Consejo y el Comité Econòmico y Social y al Comité de las Regiones sobre “El fomento de la seguridad y la confianza en la comunicación electrónica: hacia un marco europeo para la firma digital y el cifrado”, (COM (97) 503), base de la regulación posterior sobre la firma electrónica. En efecto, por un lado, la criptografía garantiza la integridad del mensaje y la identificación del emisor mediante la llamada firma digital o electrónica; por otro, consigue la encriptación de mensajes para conseguir la confidencialidad de su contenido, es decir, que el mensaje no pueda ser leído por terceros a los que no se destine. Esta segunda función de la criptografía plantea problemas específicos a los que no puede atenderse en este tema dedicado de forma básica a la firma electrónica; pero es de destacar que la confidencialidad de los mensajes genera inseguridad jurídica en cuanto a la posibilidad de controlar la circulación en red de productos delictivos: pornografía infantil, tráfico de drogas... Y esta cuestión, a su vez, plantea otra aún de más hondo calado: los límites del control policial en la red que han generado ya posturas francamente encontradas, cuya sede material no es la que aquí nos ocupa.

2. LA FIRMA DIGITAL CON INFRAESTRUCTURA DE CLAVE PÚBLICA: SU REGULACIÓN

   Según lo expuesto en el epígrafe anterior, los problemas de identificar al emisor del mensaje y garantizar su integridad se solucionan hoy masivamente con la llamada firma digital¹ y, en concreto, con la que utiliza una infraestructura de clave pública -ICP-, es decir, un cifrado de clave asimétrica². Según

   ZAGAMI (“Firma digitale. Crittographia e validità del documento elettronico”, Diritto Informatico, 1996, pág. 154), la firma digital es el conjunto de caracteres alfanuméricos resultantes de complejas operaciones matemáticas de criptografía efectuadas por un odenador sobre un documento electrónico.

   En síntesis, funciona de la siguiente forma: El emisor y el receptor del mensaje tienen una clave pública y otra privada que se complementan de forma mutua ya que cualquier mensaje encriptado con la clave privada sólo puede ser descifrado con la consiguiente clave pública. La clave privada la posee -y en principio sólo debría tener acceso a ellasu titular, ya sea almacenada en el disco duro del ordenador o en una tarjeta magnética que tiene la obligación de custodiar. El emisor encripta su mensaje –que, no olvidemos, puede ser una respuesta contractualcon su clave privada y la envía. Cuando el receptor lee el mensaje después de haberlo descifrado con la clave pública que corresponde al emisor, sabe que proviene de él y que no ha sufrido alteración en su contenido.

   Ello es así porque la firma digital aparece en el documento electrónico que se recibe como una larga serie de dígitos alfanuméricos que varían de un documento a otro aún aplicando la misma clave privada ya que cifran el llamado algoritmo en función de hash que genera un resumen del documento (huella digital). La huella digital es irreversible: a partir del resumen no puede obtenerse el mensaje inicial, y única ya que cualquier cambio produciria un hash distinto. Es el hash lo que se cifra con la clave privada y se envía junto con el documento. El receptor deberá verificar la firma: descifrar el hash cifrado aplicando la clave pública del emisor; y aplicar la función hash sobre el texto, si ambos coinciden, se confirma la identidad y la integridad del mensaje recibido³.

   La contratación on-line ha ofrecido respuestas a los problemas basados en la técnica cuya percepción por los usuarios del sistema puede ser la de un complicado proceso que en pocos segundos realiza la máquina cuando se le da la orden precisa. Es decir, el contratante tiene preguntas reales que formular acerca de la seguridad de las transacciones efectuadas en el mundo virtual, pero puede llegar a despreocuparse del exacto proceso técnico que las realiza para centrarse en saber si efectivamente queda protegida su declaración de voluntad. Y esta última sí que es estrictamente una cuestión jurídica. Con ello quiere indicarse que la regulación de la firma electrónica, a nuestro modo de ver, debe guardar en aquello que sea posible una exquisita neutralidad técnica, porque los procesos para solucionar los problemas expuestos pueden ser desconocidos por los contratantes, pero no su resultado jurídicamente relevante.

   Este deseo se observa en los dos textos vigentes sobre la firma electrónica, a saber:

   La Directiva 1999/93/CE del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 por la que se establece un marco comunitario para la firma electrónica (DOCE L-13/12, de 19 de enero de 2000).

   El Real Decreto-Ley 14/1999, de 17 de septiembre, sobre firma electrónica (BOE núm. 224, de 18 de septiembre), en adelante RDLFE.

   Como puede observarse, el RDLFE 14/1999 es anterior a la Directiva, y ello genera ciertas fricciones en el análisis de ambos textos. Con todo, el Ministerio de Ciencia y Tecnología ha hecho público en julio de 2002 un Borrador de Anteproyecto de ley de firma electrónica, que modifica ciertos aspectos del RDLFE. En el análisis que sigue, se hará referencia a los aspectos más relevantes de estos tres textos.

3. TIPOS DE FIRMA: LA FIRMA ELECTRÓNICA Y LA FIRMA ELECTRÓNICA AVANZADA

   El RDLFE se centra en la firma electrónica y regula su uso, su eficacia jurídica y el régimen aplicable a los servicios de certificación. Quedan fuera de su ámbito las normas relativas a la celebración, la formalización, la validez y la eficacia de los actos jurídicos y el régimen de las obligaciones. Asimismo no interfiere en los sistemas existentes de fe pública (art. 1), de los que hablaremos al final del tema. Su ámbito es, puramente, la regulación del instrumento técnico de la firma electrónica y de las cuestiones jurídicas que lleva directamente emparejado su funcionamiento.

   En el Real Decreto se distinguen dos tipos de firma electrónica:

1. La firma electrónica: su finalidad es la identificación del firmante. La firma electrónica (art. 2,a) es aquella de la cual se puede predicar únicamente el principio de autenticidad, es decir, es el conjunto de datos técnicos que permiten identificar al sujeto que firma; o sea, al signatario en la terminología legal (art. 2,c).

2. La firma electrónica avanzada: este tipo de firma, además de permitir la identificación, sirve también al principio de integridad ya que permite detectar cualquier modificación ulterior de los datos de la firma ya que el signatario mantiene bajo su exclusivo control los medios técnicos necesarios para crearla y son atribuibles a su titular de forma única...