Firma Digital: Cómo lograr que los documentos electrónicos tengan pleno valor jurídico.

Por Augusto Luciano Mathurin, ingeniero en Sistemas de Información y docente de la UTN Santa Fe (Argentina). Desarrollador y analista en Lyris – Consultora IT.

La firma digital es una herramienta tecnológica que permite comprobar quién es el autor de un documento y verificar que su contenido no haya sido modificado. Por ello, un documento electrónico firmado digitalmente posee la misma validez jurídica que un documento en papel firmado de puño y letra, en tanto y en cuanto exista la normativa que le de pleno valor legal a la misma.

Aún con esa definición, es normal continuar con dudas como qué es exactamente la firma digital, si es diferente a una firma electrónica, y un sinfín de otras preguntas. Es que aún existe un gran problema respecto a la firma digital: no hay un consenso extendido sobre sus conceptos. Los proveedores de soluciones tecnológicas pueden ofrecer cosas muy distintas pero llamarles del mismo modo; incluso los países difieren en sus definiciones de firma digital o electrónica. Todo esto sumado a la confusión que pueden tener las personas que intentan adaptar su noción de una firma convencional al ámbito digital.

Para poder comprender de qué se habla cuando se menciona firma electrónica o digital, es necesario preguntarnos primero ¿Por qué firmamos documentos? lo hacemos para asegurar lo siguiente:

• Autoría: Es decir, determinar con certeza el autor de un documento, la firma va acompañada generalmente de una aclaración con el nombre y apellido de la persona que firma.
• Integridad: Una vez firmado un documento, este no puede ser alterado mediante nuevas anotaciones, tachaduras, etc. En soporte papel, cuando esto sucede, las mismas deben ser observadas.
• No repudio: El autor no puede negar su autoría o decir que no es lo que firmó originalmente, ya que su firma es única y puede comprobarse que efectivamente la realizó mediante pericias caligráficas. El no repudio es un atributo que lo establece la jurisprudencia de cada país que incorpora esta tecnología.

Documento electrónico en formato PDF firmado digitalmente, visualizado con un lector que indica y valida dicha firma.

A continuación describiré los intentos más comunes que buscan dar una solución al aplicar estas mismas cualidades para los documentos digitales, para llegar al final a lo que es una firma digital real.

Firma digitalizada

Este concepto es el que las personas normalmente confunden y piensan que es una firma digital. Consiste en la firma de puño y letra escaneada e insertada en un documento como una imagen. En vez de escanear una firma realizada previamente en papel, también podría ser digitalizada mediante un pad o tableta en donde la persona «dibuja» su firma y esta es transformada en una imagen digital.

Lamentablemente este método no brinda ninguna garantía. Imagine que envía un archivo de texto con su firma digitalizada. El receptor podría abrirlo con su editor y cambiar su contenido, o incluso copiar su firma y pegarla en otros documentos que usted no firmó. Por lo tanto, ninguna de las cualidades de la firma convencional se mantienen al digitalizarla y aplicarla en un documento electrónico, solamente se está simulando su aspecto visual. Es por ello que este método no tienen ninguna validez jurídica, a pesar de ser muchas veces confundido con una firma digital.

Firma biométrica

Consiste en recolectar información biométrica de la persona y unir estos datos al documento digital. Un dato biométrico pueden ser cualquiera que identifique inequívocamente a la persona, como sus huellas dactilares, pero lo más común es medir aspectos propios de la acción de dibujar la firma manuscrita. Esto se realiza mediante tabletas especiales, en las que la persona realiza su firma y el dispositivo mide aspectos como velocidad, presión, trazo, inclinación del lápiz, tamaño, etc.

El dispositivo luego de obtener la información biométrica procesa el documento junto con estos datos y como resultado se obtiene un documento electrónico con firma biométrica.

Si bien este proceso es una mejora con respecto a una firma digitalizada, porque identifica a la persona, y además al usuario le resulta natural al seguir realizando la acción de «dibujar una firma» para firmar documentos, aún no es lo suficiente seguro ni cumple en su totalidad con las tres características que debe cumplir una firma. Para obtener autoría es necesario poder verificar estas firmas, y para hacer esta verificación es necesario que exista un banco de datos con la información biométrica de todas las personas. ¿Y qué pasa si este banco de datos llega a ser hackeado? El atacante podría firmar en nombre de cualquier persona. Es por eso que este tipo de firma no es válida legalmente en la mayoría de los países, aunque algunos sí lo consideran como una firma electrónica válida.

Firma electrónica

Como se puede observar, lograr las cualidades de autoría, integridad y no repudio en un documento digital no es trivial, e intentar imitar el proceso de firma manuscrita en el ámbito digital no resulta en ninguna solución real. Para lograr estas cualidades es necesario utilizar sistemas criptográficos que procesen el documento, pero hacer que “las computadoras firmen” en nombre de un humano también conlleva su complejidad. En primer lugar, la persona debe olvidarse que para firmar un documento digital deberá dibujar su firma manuscrita. El mayor movimiento de muñeca que haga será para conectar un pequeño dispositivo a la computadora o ingresar una contraseña.

Si bien por firma electrónica se puede entender cualquier sistema utilizado en medios de comunicación electrónica como símbolo de identificación personal, lo cual podría incluir sistemas de firma como la biométrica, en este caso solo voy a considerar como electrónica a la firma que utiliza una técnica de criptografía asimétrica. Esto es, que para firmar documentos electrónicamente, cada persona necesita un par de claves criptográficas:

• Una clave privada que está bajo absoluto control del suscriptor y solo este conoce, que la almacena de forma segura en su computadora, celular o dispositivo criptográfico. Esta clave le servirá para firmar los documentos, mediante un proceso criptográfico que tiene como entrada esta clave,más el documento que se desea firmar; y como salida, el documento firmado electrónicamente.
• Una clave pública, matemáticamente asociada a la privada, que puede compartirse con todo el mundo. Mediante otro proceso criptográfico, puede comprobarse con esta clave que un documento fue firmado electrónicamente utilizando la clave privada correspondiente (lo que asegura el no repudio, ya que esa clave privada solo la conoce el emisor y entonces nadie más puede utilizarla para firmar el documento) y que no fue alterado (asegurando así la integridad).

Proceso para realizar una firma electrónica mediante criptografía asimétrica. Si bien parece complejo, el usuario final solamente debe usar una aplicación que realiza el trabajo.

Para asegurar la autoría, es necesario asociar estos pares de claves a personas: allí entran en juego los certificado digitales. Un certificado digital es información extra que se anexa junto con la firma digital y que debe cumplir una serie de requisitos. La Ley de Firmas y Certificados Digitales de Perú estipula que deben contener al menos los siguientes datos:

• Datos que identifiquen indiscutiblemente al suscriptor.
• Datos que identifiquen a la Entidad de Certificación.
• La clave pública.
• La metodología para verificar la firma digital del suscriptor impuesta a un mensaje de datos.
• Número de serie del certificado.
• Vigencia del certificado.
• Firma digital de la Entidad de Certificación.

Como se puede observar, el certificado contiene tanto la clave pública como los datos que identifican al suscriptor, que es la persona que posee la clave privada correspondiente. Al asociar ambas cosas se asegura la autoría: ya sabemos quién firmó. Pero ¿Cómo sabemos que efectivamente ese certificado no fue falsificado? Como un certificado digital es un documento electrónico, también puede firmarse para evitar su alteración. Aquí es cuando entran en juego las Entidades de Certificación o Autoridades Certificantes (AC), que legitiman ante los terceros que confían ellas, la relación entre la identidad de una persona y su clave pública.

La Entidad de Certificación, por sí misma o mediante una de sus Autoridades de Registro, verifica la identidad del solicitante de un certificado digital y emite el mismo, firmado digitalmente con su propia clave privada. También es la autoridad encargada de revocar los certificados, por ejemplo en caso de que el suscriptor haya perdido su clave privada o esta haya sido vulnerada. La posibilidad de revocar certificados es muy importante y es una mejora cualitativa respecto a la firma biométrica, pues una persona no puede modificar sus datos biométricos en caso de que hayan sido vulnerados. Pero sí puede cambiar fácilmente su certificado digital y par de claves.

Como puede observarse, la confianza de los usuarios en la Entidad de Certificación es fundamental para el funcionamiento de las firmas electrónicas, pero no existe un procedimiento normalizado para demostrar que una Autoridad Certificante merece dicha confianza. Uno puede confiar en la firma electrónica de una persona porque lleva consigo un certificado firmado digitalmente por una AC pero, ¿cómo confiamos en dicha firma? ¿Le exigimos un certificado digital de una autoridad aún superior? En algún momento se deberá simplemente “confiar” y conocer de antemano la clave pública de una Entidad de Certificación para poder validar sus certificados emitidos. Aquí es cuando son necesarias las políticas y regulaciones.

Firma digital

Se la puede denominar también como firma electrónica reconocida, y en Perú este es el único tipo de firma electrónica que tiene la misma validez jurídica que una firma manuscrita. Los procedimientos y principios técnicos son exactamente los mismos que para una firma electrónica, pero utilizando certificados emitidos por una Autoridad Certificante licenciada. Que una AC esté licenciada significa que es una entidad reconocida por el país.

En Perú, el Instituto Nacional de Defensa de la Competencia y de la Protección de la Propiedad Intelectual – INDECOPI, fue designado como la Autoridad Administrativa Competente para designar a las Entidades de Certificación aptas para operar dentro de la Infraestructura Oficial de Firma Electrónica (IOFE). Pueden ser candidatas organizaciones tanto públicas como privadas. Por ejemplo, el RENIEC ha sido designado como Entidad de Certificación y como Entidad de Registro para el Estado Peruano. Esto le permite emitir los certificados digitales asociados al DNI Electrónico, lo que le permitirá a cada ciudadano poder firmar digitalmente documentos electrónicos.

Para firmar digitalmente un archivo es necesario contar con una clave privada almacenada de forma segura en un dispositivo o computadora, junto con su certificado digital, y luego utilizar una aplicación encargada de realizar el proceso criptográfico que resulta en el archivo electrónico firmado digitalmente.

En conclusión, uno de los grandes beneficios de internet es la posibilidad de enviar información a cualquier parte del mundo. Así, los tiempos para realizar distintos trámites disminuyen y pueden hacerse de una forma más cómoda y sencilla. A pesar de esto, existe el problema de que los contenidos digitales son mucho más volátiles y susceptibles a ser modificados que los documentos físicos, además de que no es sencillo acreditar la identidad de un interlocutor en la red. La firma digital es una solución a esto, pero aún debe extenderse su uso para que en un futuro cercano, nos sea tan natural operar con ella como hoy nos es el dibujar nuestro nombre.

_____________________________________________