Seguridad jurídica en entornos electrónicos: la firma electrónica certificada

Microsoft-Hello.jpg

Microsoft anunció el Windows Hello, un nuevo sistema de autenticación biométrica que permite usar la huella dactilar, la cara o el iris del ojo para desbloquear un dispositivo, permitiendo al usuario conectarse a su cuenta para realizar transacciones desde un ordenador, laptop, tableta, o smartphone. Apple, por su parte, anunció recientemente que a través de su sistema Touch ID y utilizando la huella dactilar, los usuarios podrán desbloquear su iPhone, comprar en iTunes, iBooks y App Store.

Otro actor que promueve la autenticación biométrica, y en particular en Colombia, es la Sociedad Cameral de Certificación Digital – Certicámara, autoridad de certificación digital abierta que fue autorizada por la Superintendencia de Industria y Comercio para prestar servicios de certificación digital. Certicámara, anunció el lanzamiento del sistema de autentificación biométrica de huella y voz certificada para trámites presenciales o virtuales, dirigidos a diferentes sectores, como las Notarías, entidades públicas del orden nacional y territorial, organismos de control, Procuraduría, Contraloría y Fiscalía, Cámaras de Comercio, y aplicable en diferentes trámites y procesos donde el control de identidad sea una premisa mayor.

Recientemente, el Ministerio de las TIC adjudicó la licitación pública cuyo objeto es desarrollar el modelo de autenticación y de carpeta ciudadana en el país, donde es indispensable la aplicación de altos estándares de seguridad a fin de evitar fraudes de suplantación, por lo que el uso de sistemas de autenticación biométrica certificada, es indispensable.

Surge el interrogante frente a los niveles de seguridad y el tipo de firma electrónica que debe utilizarse para asegurar los atributos de autenticidad, integridad, no repudio y conservación-consulta.

La respuesta debe centrarse en el riesgo jurídico y el riesgo económico, analizando el impacto de la suplantación de identidad en un determinado trámite. En presencia de firmas electrónicas simples se requiere demostrar la confiabilidad y apropiabilidad de la firma, garantizándose, inicialmente, únicamente la autenticidad del mensaje; en presencia de firmas electrónicas certificadas, se presume la autenticidad, integridad, no repudio y conservación-consulta del mensaje de datos.

En trámites transaccionales en entidades del Estado siempre deberán utilizarse esquemas de firma electrónica certificada; para ciertos trámites internos pueden utilizarse esquemas de firma electrónica simple.

Los niveles de seguridad deben contemplar todo el entorno de software y hardware, y frente al documento electrónico, el acto administrativo electrónico, los expedientes electrónicos, y en general frente a los mensajes de datos, se pueden utilizar esquemas de firma electrónica simple o firma electrónica certificada; la decisión dependerá del análisis del riesgo jurídico y el riesgo económico, en un sistema de gestión documental electrónica de archivo (SGDEA).

«La firma electrónica es un método que permite identificar a una persona en relación con un mensaje de datos»

La diferencia entre uno y otro se explica desde el punto de vista del riesgo y desde el punto de vista de la presunción de legalidad de los actos certificados. En el esquema de firma electrónica simple, la entidad comparte el riesgo con su proveedor de firma electrónica, o lo asume en su totalidad si creó dicha firma, esquema donde deberá demostrarse la confiabilidad y apropiabilidad de la misma; y en el esquema de firma electrónica certificada la entidad traslada el cien por ciento del riesgo y quien asume la responsabilidad es la entidad de certificación digital abierta, existiendo una presunción de legalidad de la firma electrónica, bajo el entendido que es certificada.

La firma electrónica es definida en el Decreto 2364 de 2012 como un método (como lo pueden ser, por ejemplo, un código, las contraseñas, datos biométricos o claves criptográficas privadas), que permite identificar a una persona en relación con un mensaje de datos, siempre y cuando ese método sea confiable y apropiado respecto de los fines para los que se utiliza la firma.

El artículo 7 de la Ley 527, al referirse al equivalente funcional de firma, ya indicaba que dicha firma debía contener un método que permitiera identificar al iniciador de un mensaje de datos, a través de un sistema que sea confiable y apropiado para el propósito por el cual fue creado.

La firma electrónica está regulada en el Decreto 2364 de 2012 y la firma digital se rige por la Ley 527 de 1999 y el Decreto 333 de 2014, entendiendo que el primero se sustenta sobre códigos, contraseñas, sistemas de clave privada creados entre las partes del negocio jurídico, y la segunda, sustentada bajo el esquema de clave pública conocido como el sistema PKI (‘Public Key Infraestructura’).

Los esquemas de firmas electrónicas certificadas, y en concreto la autenticación biométrica certificada, es esencial para procesos donde se requiera de una seguridad robusta que evite al máximo el riesgo de suplantación de identidad, a fin de evitar prácticas como suplantación por el robo o falsificación de cédulas de ciudadanía y de datos personales, a través de prácticas como el phishing, pharming o botnets.
Héctor José García Santiago.
Gerente General Certicámara

Fuente: colombiadigital.net

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

scroll to top