Tecnología

INSEGURIDAD EN LA FIRMA ELECTRÓNICA

por Jose Escribano
escrito por Jose Escribano

Sobre este tema se ha escrito y se escribirá mucho, así que…. +más de lo mismo?, creo que no. En vez de tocar lo exclusivamente técnico, (que no soy yo el más indicado), veamos alguna posible práctica real (al final).

Introducción
La firma electrónica, como ya se sabe, se reguló en España con el Real Decreto Ley 14/99 de 17 de septiembre, se intentaba con ello aumentar la seguridad y confianza en las comunicaciones telemáticas, además de garantizar la autenticación y la identidad del comunicante. Intentando cumplir las siguientes funciones, así identificación y atribución del mensaje (indica el origen y voluntad del firmante), función de privacidad (cifrado de mensaje y firmante), función de seguridad e integridad (evidencia si ha habido apertura o alteración del mensaje).

Cuando salió la ley, hay que reconocerle que fue una de las primeras sobre dicho tema. Se conocían sólo la Ley Alemana, la de Singapur, y la del estado de California (USA), pero esa celeridad ha sido criticada por algunos ya que, segon ‘stos, ha dejado algunas lagunas sin resolver, como luego veremos, que pueden hacer de la seguridad una simple ilusi¢n.

Conceptos
La ley maneja diferentes conceptos, as¡ la «firma electr¢nica» (conjunto de datos, mensaje e identifica al autor o autores), y «firma electr¢nica avanzada» o digital (permite la identificaci¢n de signatario, le vincula, y detecta modificaciones del mensaje, en su caso).

La firma electr¢nica avanzada tiene en relaci¢n con el documento electr¢nico, el mismo valor jur¡dico que la firma manuscrita en relaci¢n con el documento en formato papel. La firma electr¢nica avanzada ser  admitida como prueba en juicio respecto a los datos signados, y ser  valorada conforme a los criterios de apreciaci¢n judicial establecidos en las normas procesales. El documento firmado electr¢nicamente no tiene valor de documento poblico: la firma electr¢nica no sustituye la funci¢n del fedatario poblico en relaci¢n con la formalizaci¢n, validez y eficacia de las obligaciones y los contratos. Y esto es importante distinguirlo, la firma electr¢nica no hace de Notario nunca, tendr  valor de documento privado, (es decir, menor fuerza probatoria en un juicio que el documento poblico).

Y adem s para que esto sea as¡, es decir, si deseamos que la firma electr¢nica sea equivalente a la firma manuscrita en un juicio («firma avanzada»), los certificados que se empleen en la comprobaci¢n de una firma electr¢nica deben haber sido expedidos por un proveedor de servicios de certificaci¢n (PSC) acreditado en Espa_a que cumpla con la normativa del RD-L 14/99 y con todos los requisitos legales necesarios para ser un PSC, obviamente.

Clasificaciones doctrinales
Un sector de la doctrina jur¡dica comienza a distinguir las siguientes categor¡as de firma electr¢nica:

1. Firma electr¢nica «alegal».- La firma electr¢nica, en su forma m s b sica, seguridad m¡nima.

2. Firma electr¢nica simple o avanzada.- Supone mayor seguridad, a la vez que mayor coste (hardware, software, certificaciones, etc..)

3. Firma electr¢nica legal.- Supone formas m s complejas de firma, que se combina con requisitos de operaci¢n de dispositivos seguros, evaluaciones de auditor¡a de seguridad, etc., constituyen mecanismos de elevada seguridad jur¡dica y t’cnica, al igual que mayores costes por transacci¢n.

4. Firma electr¢nica legitimada.- Que pone en combinaci¢n medios t’cnicos altamente seguros con la actuaci¢n de fedatarios poblicos (Notarios, registradores) u otros profesionales, con un procedimiento organizativo muy riguroso. Supone el nivel m s alto de seguridad y el m s caro.

Realidad
Bien, supongamos que este articulo lo est  leyendo el responsable de alguna empresa, la «empresa X» (lo cierto es que todo el tema de firmas electr¢nicas va destinado, mayoritariamente, para transacciones econ¢micas). Esta persona ya ha acudido a un PSC que procedi¢ ‘l mismo o a trav’s de una Entidad de Registro Colaboradora del PSC a darle su identificaci¢n personal. Una vez identificados, el PSC gener¢ sus claves (poblica y privada) as¡ como el programa o hardware necesario para su uso que se instal¢ en el ordenador de este responsable de la «empresa X», (la clave privada la tendr  en el CPU de dicho ordenador o estar  incorporada a una tarjeta inteligente).

Ahora supongamos, que el sistema t’cnico es perfecto, que no hay manera de romper el cifrado de dicha firma, ni en el contenido, ni en la forma, ni en nada de nada. +est  la empresa o particular que contrata con la repetida «empresa X» segura de sus transacciones?, lamentablemente NO, la cadena se rompe por su eslab¢n m s d’bil.

Lo Humano
Ya sabemos que no toda firma electr¢nica es una firma digital, (desde el punto de vista de la ley), tambi’n hemos visto como se realiza, qu’ es una autoridad de certificaci¢n, c¢mo se comprueba su validez.

Pero lo que no sabemos, y es lo que puede dar lugar a que todo el sistema se venga abajo, es si el que firma tiene poder para ello, para obligarse. Esto, tal vez, requiera una peque_a explicaci¢n. Una organizaci¢n o empresa es una persona jur¡dica, que cuando actoa en la vida «real» lo hace a trav’s de personas f¡sicas, «de carne y hueso», para ello el ¢rgano correspondiente de dicha empresa expide un poder (o autorizaci¢n), apoderando o autorizando a la persona «x» para realizar una o determinadas operaciones que obligan a la empresa o sociedad en sus operaciones con terceros. Pero esos poderes o autorizaciones se pueden revocar, es decir, la persona «x», puede no estar ya legitimada desde el punto de vista legal a comprometer con su firma a la propia empresa, pero puede ocurrir, y de hecho ocurre qu’ quien contrate con «x» no sepa si los poderes est n o no revocados, considerando que est  realizando un contrato v lido, cuando «x» est  realizando una pura estafa.

Se trata, pues, de un problema profundo de seguridad ya que las entidades de certificaci¢n en el momento de expedir el certificado tienen constancia de la vigencia del poder de representaci¢n de ese usuario, pero a partir de ese instante no pueden acreditar la continuidad de esa facultad de representaci¢n.

La soluci¢n
El Colegio de Registradores Mercantiles y de la Propiedad comenzar  a expedir certificados de firma digital, (hay m s de 100.000 sociedades inscritas ya).La idea es que, acredite la autenticidad de la firma y garantice que el usuario que actoa en representaci¢n de una empresa tiene su cargo vigente en ese momento. Ello pretende realizarse con la interconexi¢n de registros. Y parece que est  previsto hacerse en el plazo de 6 meses, (es decir, para despu’s del verano).

+Y mientras tanto?.- Se aconseja la comprobaci¢n personal, operaci¢n a operaci¢n. Por no decir, que si alguna persona ve comprometida su clave privada, debe presentar denuncia ante su autoridad certificante, quien revocar  el certificado que vincula la clave poblica a la privada, o al menos eso deber¡a…

Eusebio del Valle
evalle@hispasec.com

http://www.hispasec.com

Autor

También te puede interesar

La decadencia digital: cuando internet pierde la memoria

Microsoft lanza Copilot en WhatsApp para asistencia con...

Los 15 trabajos más expuestos a la automatización...

LAS PANTALLAS DE LOS COCHES VAN A DESAPARECER

Entrevista a Esther Paniagua: «Error 404» es una...

Visión artificial para contar aglomeraciones de personas

YONDER: la app de karaoke para que muestres...

Abierto el plazo de solicitudes participar en el...

Africa Code Week (ACW): la lucha por la...