Almiron.org
Home

 

La firma electrónica


¿Está usted comercializando productos a través de Internet? ¿gestiona o quiere gestionar electrónicamente su negocio desde cualquier lugar? ¿se relaciona con sus clientes o proveedores a través de medios electrónicos? Si la respuesta es afirmativa en al menos una de las cuestiones no le quepa ninguna duda: usted necesita emplear tecnología de firma electrónica o digital. Esta es la única forma posible de enfrentarse, y superar con éxito, a la gran crítica que el ciudadano de a pie le hace al comercio electrónico: la falta de confianza en las transacciones económicas. La tecnología de la firma digital está precisamente pensada para eso, para garantizar y dar confianza a todas nuestras actividades empresariales online.

¿Qué es la firma electrónica y para qué sirve?

En realidad, la firma electrónica no tiene nada que ver con nuestra firma autógrafa tradicional. No es, al contrario de lo que intuitivamente muchos puedan pensar, nuestra firma personal digitalizada (esto es, escaneada), sino que consiste en la aplicación de una serie de conceptos matemáticos descubiertos en la década de los setenta por dos científicos de la Universidad de Standford y del Instituto Tecnológico de Massachussets. Se trata, en pocas palabras, de “pegar” a nuestros documentos electrónicos (las facturas, albaranes, recibos, contratos, etc. digitales) un conjunto de datos en forma de claves que garantizan una serie de cosas a las partes involucradas en ellos. Estas garantías son esenciales para dotar de confianza al medio electrónico como entorno en el que hacer negocios, y esencialmente son las siguientes:

En primer lugar, el uso de estas claves permite que la información que enviamos por la Red vaya cifrada (encriptada) con la finalidad de que si alguien intercepta dicha comunicación durante su tránsito no sea capaz de leerla. Esto es, le sea incomprensible al igual que lo son los mensajes codificados por los espías o por los servicios secretos.Esa es la función de la encriptación o criptología, la ciencia que se ocupa de ocultar, disimular o cifrar la información.

En segundo lugar, emplear tecnología de cifrado como la que usa la firma digital permite garantizar que si alguien intercepta nuestra comunicación e intenta modificarla, y lo logra, su interferencia será técnicamente detectable, esto es: se nos garantiza que la información llegará intacta a su destinatario porque, de lo contrario, sabremos que ha sido manipulada.

La firma digital también nos permite saber o, mejor dicho, tener la certeza de quién es la otra parte con la que estamos interactuando. Es decir, nos da la confianza necesaria para saber que la otra parte es quién dice ser y no un farsante o un impostor que se hace pasar por nuestro interlocutor real.

Y, finalmente, el uso de tecnología de firma digital posibilita garantizar la recepción del mensaje. Esto es, si estoy enviando una documentación legal que estoy obligado a remitir, mi interlocutor no podrá haber negado recibirla si trabajo con esta tecnología.

Estas son pues las grandes bazas de la firma electrónica: la confidencialidad (la capacidad de mantener accesible un documento electrónico sólo a quien queramos) ); la integridad (la garantía de que el documento no será manipulado durante su tránsito digital); y la autenticidad (el compromiso de un individuo sobre el contenido del documento electrónico, sobre su autoría, su envío y su recepción).

La legalización del proceso

Todo lo anterior se garantizaba en el mundo tradicional mediante una mera rúbrica acompañada del número de nuestro documento nacional de identidad o NIF correspondiente, pero eso ya no es posible en un entorno digital. La preocupación por este hecho llegó pronto a las instancias políticas europeas y de ella surgieron dos directivas, una sobre comercio electrónico (2000/31/CE) y otra sobre firma digital (1999/93/CE), que se plasmaron en la legislación española a través de sendas normas legales: el Real-Decreto-Ley 14/1999 sobre firma digital y la Ley 34/2002 de servicios de la sociedad de la información y de comercio electrónico.

Es en la primera, el Real-Decreto sobre firma digital de 1999, donde se equipara, legalmente hablando, la firma digital a la manuscrita tradicional de forma que si se cumplen los requisitos que legalmente se han establecido para la firma digital ésta última tiene el mismo valor jurídico que la firma manuscrita tradicional (es probable que incluso más en el futuro por la facilidad de manipulación de la firma autógrafa frente a la complejidad de la digital).

Por ello es imprescindible, cuando se quieren hacer negocios online con las mismas garantías de validez y efectos jurídicos que en el mundo físico, atenerse a las especificaciones legales para el uso de tecnología de firma digital. ¿Y cuales son estas especificaciones? Esencialmente una: solicitar un certificado de seguridad a unaAutoridad de Certificación certificada a su vez por las autoridades competentes.

¿Qué son los certificados y las autoridades de certificación?

Cuando la relación contractual entre dos personas no es presencial o, lo que es lo mismo, para garantizar que todo lo contado hasta aquí sea posible, hace falta un tercero. Esa es la garantía de seguridad del sistema. Este sistema, esto es, la firma digital, puede ser de muchos tipos pero actualmente el más extendido se basa en la utilización de un método de encriptación llamado asimétrico o de clave pública. Este método consiste en establecer un par de claves asociadas a un sujeto, una pública conocida por todos los restantes sujetos involucrados en la transacción, y otra privada, sólo conocida por el sujeto en cuestión. De esta forma cuando queremos establecer una comunicación segura con otra parte basta con encriptar (léase codificar) el mensaje con la clave pública del sujeto para que a su recepción sólo el sujeto que posee la clave privada pueda leerlo. Pero ¿Cómo saber que la clave pública del destinatario es la que dice ser y no es la de otra persona que me engaña para poder leer el mensaje? En definitiva: ¿cómo “certificar” que cada uno es quien dice ser?

Para solucionar este problema se han creado las autoridades de certificación. Se trata del tercero que otorga a las partes la confianza necesaria para interactuar en un entorno digital en el que nadie se ve las caras. Las autoridades de certificación son el elemento imprescindible para la existencia de una firma electrónica legal pues, tal y como reza en el propio Decreto-Ley, son quienes otorgan “la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad”.Es decir, el certificado es la vinculación de la clave pública del signatario con su identidad real verificada fehacientemente por el prestador de servicios de certificación. Es el eslabón que garantiza la seguridad de todo el proceso. Por ello se precisa de toda una infraestructura de certificación, pues a las autoridades de certificación, que otorgan los certificados, también tiene que certificarlas alguien.

En suma, la firma electrónica proporciona un abanico importante de servicios (autenticación, integridad, no repudio, auditabilidad) que dotan a los documentos digitales así firmados de una validez legal y responsabilidad civil equivalentes a las de la firma manuscrita sobre documentos en papel. Su rápida reglamentación en toda Europa, y especialmente en España, tienen un claro objetivo: dinamizar el comercio electrónico y agilizar las transacciones financieras y de todo tipo para sustituir a las anticuadas y lentas gestiones de rellenado de formularios, albaranes, contratos en papel y demás procesos que hasta el momento se venían haciendo de forma manual con medios físicos.Dentro de unos años, esta arcaica forma manual de trabajar será la que no se considerará segura.

Hacerse con un certificado digital

Actualmente existen diversas agencias que ofrecen certificados para la firma electrónica. En la Agencia de Certificación Electrónica o la Fundación para el Estudio de la Seguridad de las Telecomunicaciones podrá encontrar además respuestas a todas las dudas que pueda tener sobre este tema, empezando por la primera: ¿para qué necesita mi empresa una firma electrónica? Si por ejemplo usted vende libros a través de Internet y solicita los datos bancarios de sus clientes, con un sistema de certificación digital podrá garantizarles que la información que le suministren viajará siempre cifrada y, de ser interceptada, nadie la podrá utilizar. Si necesita enviar mensajes de correo electrónico confidenciales, además de garantizar su procedencia la certificación digital le permitirá cifrar todo su contenido. La firma digital también es útil para firmar digitalmente los productos digitales con propiedad intelectual (el software por ejemplo) de forma que, por si alguien pretende plagiarlo, lleven incorporado una firma digital oculta que le permitirá demostrar su autoría frente a terceros sin escrúpulos. Puede encontrar el Real-Decreto sobre firma digital en https://www.mcyt.es/grupos/grupo_legislacion.htm.

© Núria Almiron, publicado en Dinámica R, julio 2003


© Núria Almiron 2000