Héctor García, director del Observatorio Gobierno y TIC U. Javeriana y presidente Camerfirma Colombia. | Foto: Crédito: Cortesía

ANÁLISIS

¿Quién debe emitir la firma electrónica y la firma digital para su seguridad?

Muchos ciudadanos no saben cómo identificarse adecuadamente en entornos electrónicos ni qué mecanismos usar para firmar documentos electrónicos y sentirse seguros de que el mensaje que envían o reciben en medios digitales es verídico.

Héctor José García
12 de junio de 2020

Ante esto, lo recomendable es familiarizarse con las firmas electrónicas y digitales. ¿Quiénes pueden emitir estos tipos de firma? ¿Es lo mismo una firma electrónica que una digital? ¿Cuál es más segura? Para empezar y tener clara la diferencia, puede decirse que existen tres mecanismos de firma: la firma electrónica “simple”, la firma electrónica “certificada” y la firma digital.

Origen

El concepto de firma electrónica, que puede remplazar la firma manuscrita, se planteó por primera vez en la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (CNUDMI) con la expedición de la Ley Modelo sobre Comercio Electrónico, Resolución 51/162 del 16 de diciembre de 1996. Como complemento, en el 2001, se expidió la Ley Modelo de Firmas Electrónicas con el objeto de ayudar a reforzar en los Estados del mundo la necesidad de usar técnicas modernas de autenticación y mejorar la legislación ya existente.

Lea también: ¿Cuál es tu identidad digital?

La Asamblea General de la CNUDMI recomendó a todos los Estados incorporar en sus legislaciones la Ley Modelo sobre las Firmas Electrónicas y la Ley Modelo sobre Comercio Electrónico. En Colombia, siguiendo estas recomendaciones, se aprobó la Ley 527 de 1999, por medio de la cual se definió el acceso y uso de los mensajes de datos, la firma electrónica y las firmas digitales y se establecieron las entidades de certificación. Posteriormente, los Decretos 2364 y 019 de 2012 avanzaron y se permitió a las entidades de certificación emitir certificados no solo en relación con las firmas digitales, sino también en relación con las firmas electrónicas.

¿Qué son las entidades de certificación digital? 

En palabras de la Corte Constitucional son las encargadas de facilitar y garantizar las transacciones comerciales por medios electrónicos e implican un alto grado de responsabilidad y confiabilidad. El servicio de certificación a cargo de estas entidades proporciona seguridad jurídica a las transacciones comerciales por vía informática. 

La entidad de certificación actúa como tercero de absoluta confianza, para lo cual la ley le atribuye importantes prerrogativas de certificación técnica no sobre el contenido mismo del mensaje de datos, sino sobre las características técnicas en las que este fue emitido y sobre la comprobación de la identidad de las partes firmantes del documento.

Para que una persona natural o jurídica pueda constituirse como Entidad de Certificación Digital debe agotar, previamente, un riguroso trámite de evaluación ante el Organismo Nacional de Acreditación de Colombia (ONAC), el cual asegura la fiabilidad de las actuaciones y servicios de la entidad frente a los ciudadanos.

¿Quién emite la firma electrónica “simple”, la firma electrónica “certificada” y la firma digital?

Las firmas electrónicas “simples” pueden ser emitidas por cualquier persona natural o jurídica. Este tipo de firma es un método que permite identificar a una persona en relación con un mensaje de datos como contraseñas, códigos, datos biométricos, claves de un solo uso, entre otros. En caso de repudio, la persona o empresa que haya emitido deberá probar, en sede judicial y con la presencia de un perito experto, la confiabilidad y apropiabilidad del mecanismo de firma. El perito podrá determinar que el mecanismo genera o no confiablidad y apropiabilidad y, en consecuencia, esta evidencia digital podrá ser repudiada por el suscriptor. La combinación de firmas electrónicas simples podría generar integridad. En todo caso, deberá probarse en sede judicial su confiabilidad y apropiabilidad.

Lea también: WEF alerta sobre aumento dramático de riesgos en ciberseguridad tras la pandemia

Por otro lado, las firmas electrónicas "certificadas" son emitidas por entidades de certificación digital que así lo hayan acreditado ante el ONAC. De esta manera se puede garantizar su confiabilidad y apropiabilidad, en cuanto dicho proceso de creación y emisión de la firma ha estado sujeto a una auditoria robusta en materia de seguridad técnica y jurídica. Las firmas electrónicas certificadas son un mecanismo idóneo y seguro; antes de ser ofrecidas y utilizadas en el mercado, deben ser acreditadas y auditadas por el ONAC.

Ahora bien, las firmas digitales, al igual que las anteriores, solo pueden ser emitidas por entidades de certificación digital acreditadas ante el ONAC. Además, se conciben como un valor numérico adherido a un mensaje de datos que permite determinar, de un lado, la identidad del creador del mensaje y, de otro, que dicho mensaje no ha sido modificado posteriormente. La firma digital, a diferencia de una firma electrónica, consta de dos claves separadas, por lo que técnicamente se generan con un algoritmo de cifrado llamado criptografía asimétrica, que permite tener estándares de seguridad altos que hasta el día de hoy no han sido vulnerados. La firma digital no es una tecnología como se interpreta siempre en algunos medios, sino un conjunto de estándares técnicos, y puede ser empleada en cualquier tecnología desarrollada permitiendo garantizar neutralidad tecnológica de conformidad con la ley.

Lea también: Estos son algunos riesgos cibernéticos durante la cuarentena

Por lo anterior, la firma digital goza de una presunción legal de no repudio y es la más segura para firmar documentos con alto grado de importancia, como contratos laborales y de otro tipo, actos administrativos, pagarés y títulos de valores en general, informes de auditoría, estados financieros, reportes ante las superintendencias, providencias judiciales, entre otros.

Para aclarar la confusión que se ha generado con respeto a la integridad del documento electrónico, hay que reconocer que esta puede darse tanto con un mecanismo de firma electrónica como por una firma digital. En el primer caso, técnicamente, se debe hacer una combinación de firmas electrónicas, pero siempre se deberá probar en sede judicial, a través de perito experto, la confiabilidad y apropiabilidad del mecanismo. La firma electrónica emitida por una entidad de certificación generalmente se usa en combinación con una firma digital, de manera que se presume la integridad y autenticidad del documento firmado electrónicamente. La firma digital es la única firma que permite en un solo mecanismo garantizar técnica y jurídicamente la integridad y autenticidad del mensaje de datos.

El recorrido de un PDF: la diferencia entre la firma electrónica y la digital

Hay varias razones que hacen que la firma digital sea uno de los métodos más seguros y confiables en el entorno digital. Para evidenciar estas razones, se tomará como ejemplo un correo electrónico que trae un adjunto en un archivo formato PDF. A continuación veremos las implicaciones del uso de una u otra firma.

Lo primero para tener en cuenta es que el correo electrónico, por supuesto, tiene un usuario y contraseña. Esta contraseña constituye un tipo de firma electrónica. Ahora bien, ¿cómo una persona puede tener total certeza de la identidad de quien envió el mensaje? En el caso de que el correo solo tenga firma electrónica no hay forma de estar seguros, ya que, por ejemplo, una persona puede crear un correo denominado presidencia@gmail.com e indicar en el pie de firma que es “Iván Duque Márquez”, pero no se puede establecer inmediatamente si en realidad se trata de un mensaje enviado por el presidente o por un impostor.

Lea también: Ciberseguridad: los riesgos que puede traer el teletrabajo

Por el otro lado, si el correo trae un mensaje con firma digital, esto quiere decir que tiene el respaldo de una entidad de certificación digital y, por tanto, se ha verificado plenamente la identidad de una persona. Al recibir un mensaje de datos con firma digital, se encuentra el nombre de la persona que suscribió el mensaje, previamente validado de una forma semejante a lo que hacen los notarios con el trámite de presentación personal. En este sentido, si se tratara de un documento físico, ¿qué brindaría más seguridad: un documento con firma simple o un documento que sea autenticado por un notario?

Continuando con el ejemplo, ¿cómo tener certeza de que el documento PDF no ha sido alterado posteriormente? Con una firma electrónica no es posible tener certeza alguna. En la actualidad existen conversores gratuitos que permiten convertir un archivo PDF en un archivo Word, modificarlo y posteriormente volverlo a convertir en PDF. Salvo que se cuente con un experto en tecnología, el receptor del mensaje no notará la alteración del archivo. Mientras tanto, la firma digital permite garantizar que el documento creado es exactamente el mismo documento recibido. En caso de que alguien quiera modificarlo, automáticamente la firma perderá validez y se tendrá que enviar un nuevo correo.

Para terminar, en el siguiente cuadro se muestran las cualidades de cada uno de los mecanismos de firma. Su escogencia dependerá del nivel de seguridad y de las necesidades que cada persona requiera.

*Héctor José García