¿Está usted comercializando productos a
través de Internet? ¿gestiona o quiere gestionar electrónicamente
su negocio desde cualquier lugar? ¿se relaciona con sus clientes
o proveedores a través de medios electrónicos? Si la respuesta
es afirmativa en al menos una de las cuestiones no le quepa ninguna
duda: usted necesita emplear tecnología de firma electrónica
o digital. Esta es la única forma posible de enfrentarse, y superar
con éxito, a la gran crítica que el ciudadano de a pie
le hace al comercio electrónico: la falta de confianza en las
transacciones económicas. La tecnología de la firma digital
está precisamente pensada para eso, para garantizar y dar confianza
a todas nuestras actividades empresariales online.
¿Qué
es la firma electrónica y para qué sirve?
En
realidad, la firma electrónica no tiene nada que ver con nuestra
firma autógrafa tradicional. No es, al contrario de lo que intuitivamente
muchos puedan pensar, nuestra firma personal digitalizada (esto es,
escaneada), sino que consiste en la aplicación de una serie de
conceptos matemáticos descubiertos en la década de los
setenta por dos científicos de la Universidad de Standford y
del Instituto Tecnológico de Massachussets. Se trata, en pocas
palabras, de “pegar” a nuestros documentos electrónicos
(las facturas, albaranes, recibos, contratos, etc. digitales) un conjunto
de datos en forma de claves que garantizan una serie de cosas a las
partes involucradas en ellos. Estas garantías son esenciales
para dotar de confianza al medio electrónico como entorno en
el que hacer negocios, y esencialmente son las siguientes:
En
primer lugar, el uso de estas claves permite que la información
que enviamos por la Red vaya cifrada (encriptada) con la finalidad de
que si alguien intercepta dicha comunicación durante su tránsito
no sea capaz de leerla. Esto es, le sea incomprensible al igual que
lo son los mensajes codificados por los espías o por los servicios
secretos.Esa es la función de la encriptación o criptología,
la ciencia que se ocupa de ocultar, disimular o cifrar la información.
En
segundo lugar, emplear tecnología de cifrado como la que usa
la firma digital permite garantizar que si alguien intercepta nuestra
comunicación e intenta modificarla, y lo logra, su interferencia
será técnicamente detectable, esto es: se nos garantiza
que la información llegará intacta a su destinatario porque,
de lo contrario, sabremos que ha sido manipulada.
La
firma digital también nos permite saber o, mejor dicho, tener
la certeza de quién es la otra parte con la que estamos interactuando.
Es decir, nos da la confianza necesaria para saber que la otra parte
es quién dice ser y no un farsante o un impostor que se hace
pasar por nuestro interlocutor real.
Y,
finalmente, el uso de tecnología de firma digital posibilita
garantizar la recepción del mensaje. Esto es, si estoy enviando
una documentación legal que estoy obligado a remitir, mi interlocutor
no podrá haber negado recibirla si trabajo con esta tecnología.
Estas
son pues las grandes bazas de la firma electrónica: la confidencialidad
(la capacidad de mantener accesible un documento electrónico
sólo a quien queramos) ); la integridad (la garantía de
que el documento no será manipulado durante su tránsito
digital); y la autenticidad (el compromiso de un individuo sobre el
contenido del documento electrónico, sobre su autoría,
su envío y su recepción).
La
legalización del proceso
Todo
lo anterior se garantizaba en el mundo tradicional mediante una mera
rúbrica acompañada del número de nuestro documento
nacional de identidad o NIF correspondiente, pero eso ya no es posible
en un entorno digital. La preocupación por este hecho llegó
pronto a las instancias políticas europeas y de ella surgieron
dos directivas, una sobre comercio electrónico (2000/31/CE) y
otra sobre firma digital (1999/93/CE), que se plasmaron en la legislación
española a través de sendas normas legales: el Real-Decreto-Ley
14/1999 sobre firma digital y la Ley 34/2002 de servicios de la sociedad
de la información y de comercio electrónico.
Es
en la primera, el Real-Decreto sobre firma digital de 1999, donde se
equipara, legalmente hablando, la firma digital a la manuscrita tradicional
de forma que si se cumplen los requisitos que legalmente se han establecido
para la firma digital ésta última tiene el mismo valor
jurídico que la firma manuscrita tradicional (es probable que
incluso más en el futuro por la facilidad de manipulación
de la firma autógrafa frente a la complejidad de la digital).
Por
ello es imprescindible, cuando se quieren hacer negocios online con
las mismas garantías de validez y efectos jurídicos que
en el mundo físico, atenerse a las especificaciones legales para
el uso de tecnología de firma digital. ¿Y cuales son estas
especificaciones? Esencialmente una: solicitar un certificado de seguridad
a unaAutoridad de Certificación certificada a su vez por las
autoridades competentes.
¿Qué
son los certificados y las autoridades de certificación?
Cuando
la relación contractual entre dos personas no es presencial o,
lo que es lo mismo, para garantizar que todo lo contado hasta aquí
sea posible, hace falta un tercero. Esa es la garantía de seguridad
del sistema. Este sistema, esto es, la firma digital, puede ser de muchos
tipos pero actualmente el más extendido se basa en la utilización
de un método de encriptación llamado asimétrico
o de clave pública. Este método consiste en establecer
un par de claves asociadas a un sujeto, una pública conocida
por todos los restantes sujetos involucrados en la transacción,
y otra privada, sólo conocida por el sujeto en cuestión.
De esta forma cuando queremos establecer una comunicación segura
con otra parte basta con encriptar (léase codificar) el mensaje
con la clave pública del sujeto para que a su recepción
sólo el sujeto que posee la clave privada pueda leerlo. Pero
¿Cómo saber que la clave pública del destinatario
es la que dice ser y no es la de otra persona que me engaña para
poder leer el mensaje? En definitiva: ¿cómo “certificar”
que cada uno es quien dice ser?
Para
solucionar este problema se han creado las autoridades de certificación.
Se trata del tercero que otorga a las partes la confianza necesaria
para interactuar en un entorno digital en el que nadie se ve las caras.
Las autoridades de certificación son el elemento imprescindible
para la existencia de una firma electrónica legal pues, tal y
como reza en el propio Decreto-Ley, son quienes otorgan “la certificación
electrónica que vincula unos datos de verificación de
firma a un signatario y confirma su identidad”.Es decir, el certificado
es la vinculación de la clave pública del signatario con
su identidad real verificada fehacientemente por el prestador de servicios
de certificación. Es el eslabón que garantiza la seguridad
de todo el proceso. Por ello se precisa de toda una infraestructura
de certificación, pues a las autoridades de certificación,
que otorgan los certificados, también tiene que certificarlas
alguien.
En
suma, la firma electrónica proporciona un abanico importante
de servicios (autenticación, integridad, no repudio, auditabilidad)
que dotan a los documentos digitales así firmados de una validez
legal y responsabilidad civil equivalentes a las de la firma manuscrita
sobre documentos en papel. Su rápida reglamentación en
toda Europa, y especialmente en España, tienen un claro objetivo:
dinamizar el comercio electrónico y agilizar las transacciones
financieras y de todo tipo para sustituir a las anticuadas y lentas
gestiones de rellenado de formularios, albaranes, contratos en papel
y demás procesos que hasta el momento se venían haciendo
de forma manual con medios físicos.Dentro de unos años,
esta arcaica forma manual de trabajar será la que no se considerará
segura.
Hacerse con un certificado digital
Actualmente
existen diversas agencias que ofrecen certificados para la firma electrónica.
En la Agencia de Certificación Electrónica
o la Fundación para el Estudio
de la Seguridad de las Telecomunicaciones podrá encontrar
además respuestas a todas las dudas que pueda tener sobre este
tema, empezando por la primera: ¿para qué necesita mi
empresa una firma electrónica? Si por ejemplo usted vende libros
a través de Internet y solicita los datos bancarios de sus clientes,
con un sistema de certificación digital podrá garantizarles
que la información que le suministren viajará siempre
cifrada y, de ser interceptada, nadie la podrá utilizar. Si necesita
enviar mensajes de correo electrónico confidenciales, además
de garantizar su procedencia la certificación digital le permitirá
cifrar todo su contenido. La firma digital también es útil
para firmar digitalmente los productos digitales con propiedad intelectual
(el software por ejemplo) de forma que, por si alguien pretende plagiarlo,
lleven incorporado una firma digital oculta que le permitirá
demostrar su autoría frente a terceros sin escrúpulos.
Puede encontrar el Real-Decreto sobre firma digital en https://www.mcyt.es/grupos/grupo_legislacion.htm.
©
Núria Almiron, publicado en Dinámica R, julio 2003