La seguridad en internet y la firma electrónica certificada

Héctor José García Santiago

Director Académico del Centro de Estudios en Derecho y Tecnologías de la Información y las Comunicaciones de la Universidad Javeriana

Microsoft anunció el Windows Hello, un nuevo sistema de autenticación biométrica que permite usar la huella dactilar, la cara o el iris del ojo para desbloquear el dispositivo, y posibilita al usuario para conectarse a su cuenta con el fin de realizar transacciones desde un ordenador, laptop, tableta o teléfono inteligente.

Apple, por su parte, anunció recientemente que a través de su sistema Touch ID y utilizando la huella dactilar, los usuarios podrán desbloquear su iPhone, comprar en iTunes, IBooks y App Store. Otro actor que promueve la autenticación biométrica, y en particular en Colombia, es la Sociedad Cameral de Certificación Digital (Certicámara), autoridad de certificación digital abierta que fue autorizada por la Superintendencia de Industria y Comercio para prestar servicios de certificación digital.

Certicámara anunció el lanzamiento del sistema de autentificación biométrica de huella y voz certificada para trámites presenciales o virtuales, dirigidos a diferentes sectores, como las notarías, entidades públicas del orden nacional y territorial, organismos de control, Procuraduría, Contraloría y Fiscalía, cámaras de comercio, y aplicable en diferentes trámites y procesos donde el control de identidad sea una premisa mayor.

Recientemente, el Ministerio de las TIC adjudicó la licitación pública, cuyo objeto es desarrollar el modelo de autenticación y de carpeta ciudadana en el país, donde es indispensable la aplicación de altos estándares de seguridad, a fin de evitar fraudes de suplantación, por lo que el uso de sistemas de autenticación biométrica certificada es indispensable.

Niveles de seguridad

Surge el interrogante frente a los niveles de seguridad y el tipo de firma electrónica que debe utilizarse para asegurar los atributos de autenticidad, integridad, no repudio y conservación-consulta. La respuesta debe centrarse en el riesgo jurídico y el riesgo económico, analizando el impacto de la suplantación de identidad en un determinado trámite. En presencia de firmas electrónicas simples, se requiere demostrar la confiabilidad y apropiabilidad de la firma, garantizándose, inicialmente, únicamente la autenticidad del mensaje; en presencia de firmas electrónicas certificadas, se presume la autenticidad, integridad, no repudio y conservación-consulta del mensaje de datos.

En trámites transaccionales en entidades del Estado siempre deberán utilizarse esquemas de firma electrónica certificada; para ciertos trámites internos se puede acudir a sistemas de firma electrónica simple. Los niveles de seguridad deben contemplar todo el entorno de software y hardware, y frente al documento electrónico, el acto administrativo electrónico, los expedientes electrónicos y, en general, frente a los mensajes de datos, se pueden utilizar esquemas de firma electrónica simple o firma electrónica certificada; la decisión dependerá del análisis del riesgo jurídico y el riesgo económico, en un sistema de gestión documental electrónica de archivo.

La diferencia entre uno y otro se explica desde el punto de vista del riesgo y de la presunción de legalidad de los actos certificados. En el esquema de firma electrónica simple, la entidad comparte el riesgo con su proveedor de firma electrónica, o lo asume en su totalidad, si creó dicha firma, esquema donde deberá demostrarse la confiabilidad y apropiabilidad de la misma. Y en el de firma electrónica certificada la entidad traslada todo el riesgo y quien asume la responsabilidad es la entidad de certificación digital abierta, existiendo una presunción de legalidad de la firma electrónica, bajo el entendido de que es certificada.

Sustento normativo

La firma electrónica es definida en el Decreto 2364 del 2012 como un método, como puede ser, por ejemplo, un código, las contraseñas, datos biométricos o claves criptográficas privadas que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando ese método sea confiable y apropiado respecto de los fines para los que se utiliza la firma. El artículo 7º de la Ley 527 de 1999, al referirse al equivalente funcional de firma, ya indicaba que dicha firma debía contener un método que permitiera identificar al iniciador de un mensaje de datos, a través de un sistema que sea confiable y apropiado para el propósito por el cual fue creado.

Valga aclarar que la firma electrónica está regulada en el mencionado Decreto 2364, mientras que la firma digital, por la Ley 527 y el Decreto 333 de 2014, entendiendo que la primera se sustenta sobre el códigos, contraseñas, sistema de clave privada creada entre las partes del negocio jurídico, y la segunda, sustentada bajo el esquema de clave pública conocido como el sistema PKI (public key infraestructura).

Los esquemas de firmas electrónicas certificadas, y en concreto la autenticación biométrica certificada, es esencial para procesos donde se requiera de una seguridad robusta que evite al máximo el riesgo de identidad, a fin de evitar prácticas como suplantación por el robo o falsificación de cédulas de ciudadanía y de datos personales a través de prácticas como el phishing, pharming o botnets.