 |
| Certificado Digital. Imagen tomada de: Colombia Digital |
En la actualidad se puede ver a cierta distancia la expedición de la denominada Ley de Comercio Electrónico (Ley 527 del 18 de agosto de 1999), por medio de la cual se definió y reglamentó el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecieron en Colombia las entidades de certificación digital.
En aproximadamente una década de aplicación, este instrumento normativo se ha mostrado como determinante al momento de calificar la seguridad jurídica de un mensaje de datos empleado en cualquier tipo de comunicación electrónica, por cuanto estableció un mecanismo técnico con ciertos atributos que hace posible presumir la confiabilidad de un mensaje de datos, esto es la firma digital – una de las especies de la firma electrónica –.
Se entiende firma digital como un valor numérico que se adhiere a un mensaje de datos y que utiliza un procedimiento matemático vinculado a la clave del iniciador y al texto del mensaje, que permite determinar el valor obtenido exclusivamente con la clave del iniciador, así como que el mensaje inicial no ha sido modificado después de insertado éste. El funcionamiento de la firma digital se podría verificar en los siguientes pasos:
- El autor firma el documento por medio de la clave privada, con esto no puede negar la autoría, pues solo él tiene conocimiento de esa clave, aminorando el riesgo por revocación del mensaje transmitido;
- El receptor comprueba la validez de la firma por medio de la utilización de la clave pública vinculada a la clave privada, con lo cual es posible descifrar el mensaje;
- El software del firmante aplica un algoritmo 'hash' sobre el texto a firmar, obteniendo un extracto de longitud fija y absolutamente específico para ese mensaje. Un mínimo cambio en el mensaje produciría un extracto completamente diferente y por tanto no correspondería con el que originalmente firmó el autor.
La firma digital tendrá la misma fuerza y efecto que una firma manuscrita, siempre que cumpla con los requisitos previstos en el parágrafo del artículo 28 de la Ley 527 de 1999, esto es que: (i) sea única; (ii) sea verificable; (iii) esté bajo control exclusivo del iniciador; (iv) esté ligada a la información del mensaje; y (v) esté de acuerdo con la reglamentación contenida no sólo en la ley 527 de 1999, sino también en el Decreto 1747 de 1999 y el Título V Capítulo 8 de la Circular Única de la Superintendencia de Industria y Comercio.
En ese orden de ideas, la Ley 527 en lo que tiene que ver con la firma digital y las entidades prestadoras de servicio de certificación establece condiciones adicionales de seguridad técnica jurídica a las transacciones electrónicas, garantizando autenticidad, integridad y no repudio.
El certificado digital es un documento que permite a su titular identificarse ante terceros, firmar documentos electrónicamente, evitar la suplantación de la identidad y proteger la información transmitida y la integridad de la comunicación entre las partes.
El sistema de certificación digital permite establecer la identidad y otras cualidades de una persona que actúa a través de una red informática, un sistema de información y, en general, cualquier medio de comunicación y/o información electrónica.
De esta forma, la certificación digital garantiza: la identificación y capacidad de las partes que tratan entre sí sin conocerse (emisor y receptor del mensaje); la confidencialidad de los contenidos de los mensajes (ni leídos, ni escuchados por terceros); la integridad de la transacción (no manipulada por terceros) y la irrefutabilidad de los compromisos adquiridos (no repudiación).
Las aplicaciones de la certificación digital ofrecen un conjunto de garantías de seguridad técnica a las transacciones y comunicaciones electrónicas, basado en la aplicación de la tecnología de infraestructura de llave pública (más conocida por sus siglas en inglés como PKI). Esta aplicación tiene su fundamento jurídico en las reglamentaciones dispuestas por la legislación colombiana a través de la Ley 527 de 1999, el Decreto 1747 del 2000 y la Circular Única 10 de la Superintendencia de Industria y Comercio.
En esta ocasión, se hace necesario revisar cuáles son las posibilidades de aplicación de la certificación digital en las comunicaciones electrónicas, desde el punto de vista de los actuales usos que se le dan a esta tecnología.
Utilidad de la certificación
En primer término, se puede decir que los certificados digitales sirven para firmar digitalmente, validando los documentos electrónicos. Esto se explica por la desmaterialización de documentos físicos que requieren un valor jurídico otorgado por la firma manuscrita, tales como estados financieros, autorizaciones, órdenes de compra, certificación de disponibilidad presupuestal y cualquier comunicación escrita que involucre el uso de una firma o que trate de garantizar la seguridad en el origen y la integridad de la información. Así, la firma digital permite ahorro de tiempo y de dinero en las relaciones entre empresas, empleados u organismo administrativos.
En segundo lugar, la certificación digital se puede aplicar en sistemas de correo electrónico seguro. En este escenario, su utilidad radica en el aseguramiento de comunicaciones de correo electrónico, implementando una garantía de autenticidad del origen de los mensajes, de su integridad y confidencialidad, así como la de sus adjuntos, y del no repudio de la comunicación.
La tercera posibilidad de aplicación está constituida por el aseguramiento de transacciones web, mediante firmas digitales para el aseguramiento de transacciones instrumentadas a través de Internet.
La firma digital de formularios web soluciona problemas propios de estas aplicaciones, como son la suplantación, el repudio de la transacción o la adulteración de la información, que se pueden generar en transacciones financieras, sistemas de aprobación o autorización, sistemas de 'work flow', de operaciones y, en general, cualquier aplicación que requiera: (i) control de identidad, (ii) integridad en el manejo de la información y (iii) un soporte jurídico para la validación de la operación.
De igual forma – en este tercer escenario- , con la utilización de certificados digitales para el aseguramiento de sitios web, se puede determinar la identidad de un sitio en Internet y emplear el ciframiento de los datos con el propósito de garantizar la confidencialidad de la información intercambiada entre la aplicación web y sus usuarios.
En las entidades financieras, en el campo de la banca electrónica, este tipo de aplicación tiene especial importancia si se tiene en cuenta que el uso de certificados permite crear canales seguros de comunicación entre el cliente y su entidad, sin necesidad de utilizar técnicas obsoletas como los 'passwords', que resultan susceptibles de ataque.
Las técnicas de certificación garantizan la identidad de los dos extremos de la comunicación y dejan sin utilidad a los hackers de las páginas web falsas. Así, de la seguridad en la red no solo se benefician los clientes, sino también las propias entidades financieras ya que existen casos en que estas han tenido que asumir un elevado costo por el impacto en sus centros de llamadas, la renovación de las claves de los usuarios, las modificaciones que fueron necesarias en la web corporativa y las molestias causadas a los usuarios al tener que renovar todos los sistemas de identificación afectados por un incidente de este tipo.
Una cuarta aplicación desarrolla sistemas de gestión de identidad, mediante la implementación de certificados digitales para la autenticación de usuarios ante sistemas de información y aplicaciones en general. Esta solución está enfocada a la gestión de identidad, contando con un único elemento de identificación que añade valor jurídico a las operaciones de autenticación y control de acceso.
La quinta posibilidad de aplicación de la certificación digital está constituida por la gestión de reportes e informes, pues mediante la incorporación de la firma digital y de los sistemas administradores de firma digital para la gestión de grandes volúmenes de documentos, se puede hacer más eficiente y segura la administración de informes y reportes periódicos. Este es el modelo que en la actualidad tienen varias de las Superintendencias de nuestro país en su comunicación con las entidades vigiladas.
Por último, la certificación digital puede ser útil para el aseguramiento de VPN (Redes Privadas Virtuales), a través de la utilización de certificados digitales que posibiliten la autenticación y confidencialidad en este tipo de redes.
Tomado de: Colombia Digital
No hay comentarios.:
Publicar un comentario