seguridad en las transacciones electronicas

Anuncio
SEGURIDAD EN LAS TRANSACCIONES ELECTRONICAS
TESIS DE GRADO
DIRECTORA
DRA. MARIA CONSUELO VELASQUEZ VELA
PRESENTADO POR
MARIA JULIANA CASTAÑEDA AYALA
MONICA MORALES QUIROGA
PONTIFICIA UNIVERSIDAD JAVERIANA
FACULTAD DE CIENCIAS JURIDICAS
CARRERA DE DERECHO
BOGOTA D.C MARZO DE 2004
1
TABLA DE CONTENIDO
Página
•
Introducción
3
•
Capitulo I: Marco Histórico
11
•
Capitulo II: Marco Conceptual
34
•
Capitulo III: Encriptación de Documentos
47
•
Capitulo IV: Firma Digital
62
•
Capitulo V: Autoridades de Certificación
74
•
Capitulo VI: Medios de pago Electrónicos
95
•
Capitulo VII: Estándares Internacionales
125
•
Capitulo VIII: Legislación Vigente
137
•
Capitulo IX: Problemática y Desafíos
155
•
Capitulo X: Delitos electrónicos
167
•
Conclusiones
193
•
Bibliografía
196
2
INTRODUCCIÓN
Internet se presenta como una puerta abierta al mundo que trae una inmensa
gama de oportunidades para toda la humanidad, sobrepasando barreras físicas y
geográficas, con redes abiertas de alcance mundial que no conocen fronteras ni
sistemas jurídicos que regulen las relaciones entre las distintas partes
involucradas en el mundo actual que se constituye como la aldea global.
Sin embargo, ¿existe conciencia de los peligros que
acechan el tráfico de
información en la Red? Y cuando ésta es confidencial, ¿se encuentra a salvo de
oscuras miradas y de eventuales manipulaciones? Uno de los mayores
problemas que afecta a Internet es la carencia de un marco regulatorio adecuado,
homogéneo y universal que comprenda todas las dificultades que el tráfico
comercial genera entre los distintos países, pues tal vez el mayor obstáculo para
la expansión de las diversas operaciones electrónicas es la sensación de
inseguridad que experimentan los consumidores, empresarios y usuarios a la
hora de transmitir datos confidenciales, tales como números de sus cuentas
bancarias o tarjetas de crédito.
Dado lo anterior, los organismos de regulación, han planteado una serie de
soluciones para evitar los posibles ataques y operaciones ilegales a los que
pueden estar sometidas las redes, consistentes en dotar a las mismas de una
serie de servicios de seguridad, que utilizan en su mayoría técnicas criptográficas
como herramienta básica para las diversas transacciones u operaciones, de
forma tal que puedan obtenerse los mismos resultados que en el mundo real, lo
cual, permitirá realizar en la World Wide Web, cualquier operación o transacción
económica con la seguridad deseada.
Estos sistemas de seguridad evolucionan día a día y adquieren fuerza con el
transcurso del tiempo, la rapidez del comercio y los avances tecnológicos. Sin
embargo, problemas como los altos costos que implican, y su regulación a nivel
nacional hacen que aun hoy no sean perfectos y por el contrario falte mucho para
que lleguen a este estado.
3
En el ámbito de la técnica y la informática son sistemas casi perfectos pues se
acompasan totalmente con la tecnología y responden a las necesidades
inmediatas y futuras del comercio y el mercado. El problema está en su costo,
especialmente cuando se trata de transacciones pequeñas, y finalmente en su
regulación. No hay que olvidar, empero, que cualquier avance informático en esta
materia no debe entenderse al margen de las disposiciones legales vigentes; “lo
que es técnicamente seguro no tiene por qué ser jurídicamente seguro, ni lo
jurídicamente válido tiene siempre que estar ligado a técnicas de seguridad
infalibles”1.
En los últimos años y como se detallará mas adelante, tanto países desarrollados
como en vía de desarrollo han expedido normas sobre Internet, comercio
electrónico y seguridad en las transacciones. Sin embargo, el problema que se
enfrenta no es la falta de leyes sino su ámbito de aplicación. ¿De qué sirve que
cada Nación tenga su propia normatividad sobre Internet, si su esencia es
opuesta al concepto mismo de frontera? ¿Qué ley es la aplicable cuando Internet
se encuentra por encima de las simples y ya obsoletas fronteras físicas?
CONCEPTOS BÁSICOS:
ENCRIPTACION
Una de las formas de conseguir que los datos transferidos solamente puedan ser
interpretados correctamente por el emisor del mismo y por el receptor al que va
dirigido, de forma tal que el mensaje viaje seguro desde la fuente al destino,
siendo imposible la interceptación por terceros del mensaje, o que si se produce
ésta, el mensaje capturado sea incomprensible para quien tenga acceso al
mismo, es la criptología (Kriptos= ocultar, Graphos= escritura), que con el tiempo
ha demostrado ser una de las mejores técnicas, hasta el punto de ser el
mecanismo más usado en los procesos de protección de datos. Esto es así
porque es tal vez el único medio accesible y fácil de implementar para lograr un
1
GARCIA Vidal, Ángel. “La regulación jurídica de la firma electrónica”. Área de derecho mercantil
Universidad Santiago de Compostela
4
acceso controlado a la información en un medio, Internet, que por su propia
naturaleza es abierto y de acceso libre a la información.
La criptografía ha sido empleada desde épocas antiguas hasta hoy en día;
proceso, del que han podido derivarse los aspectos o características
fundamentales que cualquier sistema de transferencia segura basado en
criptografía debe abarcar:
•
Confidencialidad:
Garantizar,
que
los
datos
contenidos
en
las
transacciones sólo sean accesibles a las partes que intervienen.
•
Integridad: Garantizar, mediante el uso de firmas digitales, la integridad de
las transacciones, de tal manera que su contenido no pueda ser alterado
por terceros ajenos, sin ser descubiertos.
•
Autenticidad: Garantizar, mediante el uso de la firma digital y la
certificación, la autenticidad tanto del titular del medio de pago, como del
proveedor. La firma digital garantiza la integridad de la transacción. La
certificación por parte de un tercero (notario electrónico) garantiza la
identidad de las partes que intervienen en la transacción.
•
No repudio: Garantizar la oponibilidad de la transacción, ofreciendo
seguridad inquebrantable de que el autor del documento no puede
retractarse en el futuro de las opiniones o acciones consignadas en él ni
de haberlo enviado.
FIRMA ELECTRÓNICA
El comercio a través de Internet, requiere instrumentos técnicos que garanticen:
la identidad del emisor del mensaje, la imposibilidad de alteración del mensaje y
finalmente la imposibilidad de repudiarlo tanto del emisor como del receptor.
Por fuera de la red, estos problemas se solucionaron con la firma manuscrita; ha
llegado el tiempo de trasladar esta firma a la red y otorgarle con ella la seguridad
que el mercado, el comercio y las demás operaciones exigen para su normal
funcionamiento y desarrollo.
5
La firma electrónica podría definirse como “el conjunto de datos, en forma
electrónica, anejos a otros datos electrónicos o asociados funcionalmente con
ellos, utilizados como medios para identificar formalmente al autor o autores del
documento que la recoge”2
La Unión Europea en Directiva del 13 de diciembre de 1999 recogió este
concepto y lo definió como: “los datos en forma electrónica anejos a otros datos
electrónicos o asociados de manera lógica con ellos, utilizados como medio de
autenticación”.
Para firmar un documento digital, su autor utiliza su propia clave secreta, a la que
sólo el tiene acceso, quedando vinculado al documento que firma, e impidiendo
que pueda después negar su autoría; posteriormente, el receptor del mensaje
podrá acceder a el, comprobar la autoría de su emisor y la validez de dicha firma
disponiendo de la clave pública del autor.
“Para realizar una firma electrónica, el software del firmante aplica un algoritmo
hash sobre el texto a firmar, obteniendo un extracto de longitud fija, y
absolutamente específico para ese mensaje.”3 Un mínimo cambio en el mensaje
produciría un extracto completamente diferente, y por tanto no correspondería
con el que originalmente firmó el autor.
2
3
Real Decreto-ley 14/1999 España. Articulo 2 literal a.
http://seguridad.internautas.org/firmae.php
6
Para firmar electrónicamente un mensaje el emisor aplica su clave privada y para
poder verificar la validez del documento es necesaria la clave pública del autor.
Con este proceso se asegura que únicamente el emisor pudo firmar ese mensaje
La razón última de la Firma Electrónica es que el emisor sea reconocido por el
receptor del mensaje o documento como el autor del mismo.
Con respecto a la eficacia jurídica de la firma electrónica, se ha establecido que
en determinados supuestos tendría el mismo valor jurídico que la firma
manuscrita, y por lo tanto seria admisible como prueba en juicio, siempre y
cuando cumpliera dos requisitos principales: estar basada en un certificado
reconocido y haber sido producida por un dispositivo seguro de firma.
De la misma manera, respetando el principio de la autonomía de la voluntad
privada se ha dispuesto que habrá de respetarse la libertad de las partes para
concertar de común acuerdo las condiciones en que aceptarán las firmas
electrónicas; no se debe privar a las firmas electrónicas utilizadas en estos
sistemas de eficacia jurídica ni de su carácter de prueba en los procedimientos
judiciales.
Es necesario trabajar por la homogeneización normativa para no entorpecer la
libre y rápida comercialización de bienes y servicios y la transmisión de la
información. En este sentido se pronunció la Unión Europea al establecer: “El
desarrollo
del
transfronterizos
comercio
que
electrónico
implican
a
internacional
terceros
países;
requiere
para
acuerdos
garantizar
la
interoperabilidad a nivel mundial, podría ser beneficioso celebrar acuerdos con
terceros países sobre normas multilaterales en materia de reconocimiento mutuo
de servicios de certificación.”
ENTIDADES DE CERTIFICACION
Para brindar confianza a la clave pública surgen las autoridades de certificación,
que son aquellas entidades que merecen la confianza de otros actores en un
7
escenario de seguridad donde no existe confianza directa entre las partes
involucradas en una cierta transacción. “Es por tanto necesaria, una
infraestructura de clave pública (PKI) para cerrar el círculo de confianza,
proporcionando una asociación fehaciente del conocimiento de la clave pública a
una entidad jurídica, lo que le permite la verificación del mensaje y su imputación
a una determinada persona.”4 Esta infraestructura de clave pública encuentra
soporte en una serie de autoridades que se especializan en papeles concretos:
- Autoridades de certificación (CA o certification authorities): vinculan la clave
pública a la entidad registrada proporcionando un servicio de identificación. Una
CA es a su vez identificada por otra CA creándose una jerarquía o árbol de
confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad
común que directa o transitivamente las avala.
- Autoridades de registro (RA o registration authorities): ligan entes registrados a
figuras jurídicas, extendiendo la accesibilidad de las CA.
- Autoridades de fechado digital (TSA o time stamping authorities): vinculan un
instante de tiempo a un documento electrónico avalando con su firma la
existencia del documento en el instante referenciado (resolverían el problema de
la exactitud temporal de los documentos electrónicos).
Estas autoridades pueden materializarse como entes individuales, o como una
colección de servicios que presta una entidad multipropósito.
CERTIFICADO DIGITAL
Un certificado digital es un fichero digital intransferible y no modificable, emitido
por una tercera parte de confianza (AC), que asocia a una persona o entidad una
clave pública. Un certificado digital, utilizado por los agentes electrónicos,
contiene la siguiente información:
- Identificación del titular del certificado
- Clave pública del titular del certificado .
- Fecha de validez.
- Número de serie.
4
http://www.iec.csic.es/criptonomicon/
8
- Identificación del emisor del certificado.
En síntesis, la misión fundamental de los certificados es comprobar que la clave
pública de un usuario, cuyo conocimiento es imprescindible para autenticar su
firma electrónica, pertenece realmente a él, ya que así lo hace constar en el
certificado una autoridad que da fe de ello. Representan además una forma
conveniente de hacer llegar la clave pública a otros usuarios que deseen verificar
sus firmas. Normalmente, cuando se envía un documento firmado digitalmente,
éste siempre se acompaña del certificado del signatario, para que el destinatario
pueda verificar la firma electrónica adjunta.
Así mismo, permiten a sus titulares realizar una gran cantidad de acciones a
través de Internet tales como, acceder por medio de su navegador a sitios web
restringidos, presentando previamente el certificado, cuyos datos serán
verificados y en función de los mismos se le permitirá o denegará el acceso;
enviar y recibir correo electrónico cifrado y firmado; entrar en intranets
corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le
pedirá que presente su certificado, posiblemente almacenado en una tarjeta
inteligente; firmar software para su uso en Internet, de manera que puedan
realizar acciones en el navegador del usuario que de otro modo le serían
negadas. Igualmente, firmar cualquier tipo de documento digital, para uso privado
o público; obtener confidencialidad en procesos administrativos o consultas de
información sensible en servidores de la Administración; realizar transacciones
comerciales seguras con identificación de las partes, como en SSL, donde se
autentica al servidor web, y especialmente en SET, donde se autentican tanto el
comerciante como el cliente.
Partiendo de lo anteriormente expuesto, y teniendo en cuenta la nueva realidad
del mundo globalizado, donde las fronteras se desdibujan ante el nuevo
paradigma Internet, se pretende con este trabajo poner de manifiesto la imperiosa
necesidad de formular políticas y marcos regulatorios claros y universales que
9
doten de seguridad, confianza y competitividad al entrante e imponente modelo
comercial.
Los principios que tradicionalmente han informado y nutrido los diferentes
regímenes jurídicos, tales como soberanía estatal, territorialidad de la ley y
jurisdicción local, se hacen obsoletos ante este nuevo panorama. Sin embargo,
ello no significa en manera alguna que el derecho, la ley y el orden sean
desestimados y deban ceder a la amenaza del caos y la anarquía.
Por el
contrario, ahora más que nunca, debe propugnarse por su plena aplicabilidad,
operancia, eficacia y vinculatoriedad, con la salvedad según la cual parten no de
un espacio geográfico limitado, sino de la ausencia de barreras físicas, jurídicas,
socioculturales y económicas.
En este sentido, se plantean como objetivos fundamentales del trabajo:
1. corroborar la necesidad de un único marco jurídico supranacional para
Internet,
y
especialmente
para
las
transacciones
económicas
electrónicas dado su carácter universal.
2. Identificar, a través de casos concretos los principales problemas que
se presentan actualmente, frente a la inseguridad y desconfianza del
sistema de transacciones electrónicas.
3. Resaltar la importancia dentro del mundo globalizado, de la imposición
de parámetros comunes y únicos que propendan tanto por la seguridad
como por la competitividad de los agentes económicos involucrados.
4. Evidenciar que el desarrollo tecnológico al margen de un desarrollo
jurídico paralelo, se torna problemático e insubsistente así como
ineficiente.
5. Analizar la factibilidad del establecimiento de un único orden jurídico
global, y su adaptación a los sistemas normativos internos.
10
CAPITULO I
MARCO HISTORICO
1- INTERNET:
Internet ha supuesto una revolución sin precedentes en el mundo de la
informática y de las comunicaciones, constituyéndose en una increíble
oportunidad de difusión mundial, un mecanismo de propagación de la información
y un medio de colaboración e interacción entre los individuos y sus computadores
independientemente de su localización geográfica, que crece a un ritmo
vertiginoso; no obstante lo anterior, y por extraño que parezca, no existe una
autoridad central que controle el funcionamiento de la red aunque existen grupos
y organizaciones que se dedican a organizar de alguna forma el tráfico de la
información a través de ella. Tres organizaciones tienen un papel muy importante
en la organización de Internet, el Internet Archiecture Boar (IAB) es el que
controla los estándares de comunicaciones entre las diferentes plataformas para
que puedan funcionar las máquinas y sistemas operativos de diferentes
fabricantes sin ningún problema, este grupo es responsable de cómo se asignan
las direcciones y otros recursos de la red. El NIC (Network Information Center),
grupo encargado de asignar las direcciones y dominios a los solicitantes que
desean conectarse a Internet, y por último, uno de los grupos más importante es
el Internet Task Force (IETF) en el cuál los usuarios de Internet pueden expresar
sus opiniones sobre cómo se deben implementar soluciones a los problemas
operacionales que van surgiendo y como deben cooperar los usuarios para
lograrlo.
El origen de Internet se remonta a la preocupación por parte del Gobierno de los
Estados Unidos durante los años 60, en plena guerra fría, por que sus enemigos
pudieran infiltrarse en los grandes servidores que mantenían las redes de
computadoras, haciendo caer las grandes bases de datos, y con ello, dejando
11
inoperante la red de defensa y de comunicaciones. Debido a ello se creó un
nuevo concepto de red, uniendo las ya existentes, de forma que ningún
ordenador dependiera únicamente de otro. Así en caso de corte, o interrupción de
uno de los enlaces, la red podría dirigir el tráfico hacia los otros enlaces
alternativos. Esta red se denominó ARPANET, y fue el origen de lo que hoy es
Internet. Ante la sobrecarga de la red, principalmente debida a la investigación
por parte de las universidades, se creó una nueva red exclusiva a los militares
(MILNET).
Poco a poco, las necesidades y el número de ordenadores
conectados fueron creciendo, hasta que en 1990, la red deja de denominarse
ARPANET, para tomar su actual nombre INTERNET. Es a partir de 1992, con la
creación del protocolo World Wide Web (www), cuando comienza su gran
expansión debido a que un enorme y creciente número de usuarios que no
formaban parte de las comunidades científicas o académicas empezaron a usar
la Internet, en gran parte por la capacidad de la WWW para manipular fácilmente
documentos multimedia. La Internet creció tremendamente durante finales de los
noventa. Se logró determinar mediante investigaciones que hubo 61 millones de
usuarios de Internet a finales, de 1996, 148 millones a finales de 1998 y un
estimado de 320 millones en el 2000; analistas estiman que durante el transcurso
del año 2001 los usuarios de Internet habrán rebosado los 700 millones de
individuos.
A continuación, se expone brevemente, la evolución histórica de Internet5:
Década del 60
- En 1969 surgió ARPAnet, Agencia de Proyectos de Investigación Avanzada de
Defensa, del Departamento de Defensa de EEUU, cuyo objetivo consistió en el
desarrollo de una red experimental de apoyo a la investigación militar, en
concreto sobre la resistencia a fallos parciales, en la cual se probaron las teorías
y software en los que está basado Internet en la actualidad. Esta red gestionada
por DARPA (defense advances research projects agency), es el origen de
Internet, basado en el intento de conectarla (ARPA) a otras redes mediante
5
http://www.vlex.com
12
enlaces de satélite, radio y cableado, consistiendo su filosofía, en que cada uno
de los ordenadores que la componían fuera capaz de comunicarse, como
elemento individual, con cualquier otra computadora de la red.
- ARPA en principio interconectó 4 grandes computadores en localizaciones
secretas de EEUU.
- Posteriormente DARPA diseñó específicamente el protocolo de comunicaciones
TCP/IP (Transmission Control Protocol/Internet Protocol), extendido ampliamente
hasta nuestros días.
Década del 70
- En 1972 existían ya 40 hosts o nodos de red.
- Se llevó a cabo la Conferencia Internacional de Comunicaciones entre
computadores, con la demostración de ARPA entre estos 40 equipos.
- Se incrementó la demanda de usuarios académicos e investigadores.
- Se realizaron las primeras conexiones internacionales con ARPA: Inglaterra y
Noruega
- Además de utilizarse como medio de intercambio de datos de investigación, los
usuarios comenzaron a comunicarse mediante buzones personales de correo
electrónico.
- Paralelamente, la Organización de la Estandarización Internacional (ISO:
International Organization for Standarization) diseñó el último estándar para la
comunicación entre computadores.
- Los diseñadores de Internet en EEUU, en respuesta a las presiones del
mercado, empezaron a poner el software IP en todo tipo de computadores.
13
Década del 80
- En 1983 se desarrolló el servidor de nombre (DNS), evitando direcciones
numéricas (a nivel usuario).
- Frente al incremento de tráfico, se dividió la red en MIL (militar y restringida) y
ARPA (para el resto de comunicación). La unión de ambas se denomina DARPA
Internet. Los administradores de ARPANET procuraron desde entonces que la
red continuara siendo privada, creando accesos restringidos y permitiendo
algunos gateways o pasarelas a otras redes (como por ejemplo, CSNet) por su
interés científico o tecnológico.
- Paralelamente, se desarrollan las redes de área local Ethernet con protocolos
de comunicación de ARPANet, permitiendo el entendimiento entre redes. (En
1983 aparecen las primeras estaciones de trabajo para escritorio), las cuales
pertenecian a Universidades, Centros de Investigación y Firmas Comerciales
(Usenet, BITnet, EUNet, DECNet).
- En 1984 la NSF (Fundación Nacional de la Ciencia) intenta hacer uso de
ARPANet para facilitar el acceso a cinco Centros de Proceso de Datos,
localizados
en
las
principales
universidades
americanas.
Por
razones
burocráticas no se pudo utilizar ARPANet.
- Una de las redes que se utilizó como apoyo para ARPANET, y que en definitiva
acabaría por se la columna vertebral de Internet, fue NSFNET, la red creada por
la Nacional Science Foundation.
- El número de hosts rebasó los 1.000.
- Debido al costo de las líneas telefónicas, se decidieron crear redes regionales.
El tráfico en la red se incrementó con el tiempo hasta la saturación de los
computadores centrales y líneas telefónicas.
- El "gusano" (worm) de Internet, se transmitió por la red, afectando a 6.000
computadores de los 60.000 que componían la red.
14
Década del 90
- Desapareció ARPANet.
- En 1992 apareció la Internet Society, que es el organismo que rige hoy en día la
red de redes, cuyo propósito principal es promover el intercambio de información
global. En ese mismo año, el Centro Europeo de Investigación Nuclear (CERN),
una de las instituciones que más ha trabajado para que Internet sea como es hoy,
puso en marcha la World Wide Web (WWW). Este fue el paso que dio pie al gran
boom de Internet, apoyado por todo tipo de empresas e instituciones que
empezaron a ver claro un nuevo horizonte. Así, la red que hasta entonces había
tenido un contenido casi estrictamente didáctico y científico, comenzó a
comercializarse, y a convertirse en un medio universal de divulgación de
información.
- En 1993 Las Naciones Unidas y el Banco Mundial están en línea.
- A principios de 1994 comenzó a darse un crecimiento explosivo de las
compañías con propósitos comerciales en Internet dando así origen a una nueva
etapa en el desarrollo de la red.
- En 1995 los sistemas tradicionales de acceso a la información vía telefónica
(Compuserve, Prodigy, America On Line) comenzaron a proporcionar acceso a
Internet.
- El registro de dominios deja de ser gratuito.
- Extraordinario aumento de nodos en Internet: que hacia 1997 ya existían
8.000.000 y 80.000.000 usuarios
Siglo XXI
- El Controlador de tiempo de los EE. UU. y otros pocos servicios de tiempo de
Todo el mundo reportan el nuevo año como 19100 el primero de Enero.
- Un ataque de rechazo de servicio masivo es lanzado contra importantes sitios
web, incluyendo a Yahoo, Amazon, y eBay a comienzos de Febrero.
- El tamaño de la Web estimado por NEC-RI e Inktomi sobrepasa los mil millones
de páginas susceptibles de ser catalogadas.
15
- Varios secuestros de nombres de dominio tienen lugar a finales de Marzo y
comienzos de Junio, incluyendo a internet.com, bali.com, y web.net
- Nadie puede decir con exactitud la cantidad de usuarios que existen, pero la
mayor parte de las personas coincide en el hecho de que hay, al menos, un
usuario por servidor.
Un dato interesante consiste en el hecho que una
abrumada mayoría de los servidores se encuentran ubicados en países
desarrollados. Esto es significativo, pues no podemos decir con justicia que
Internet sea una red democrática y global, puesto que en países como Angola,
Guayana, Honduras, Madagascar no existe un solo servidor conectado a la red.
- Se ha extendido el mito de que "hay que estar en Internet", y de que la
compañía debe de tener su propio Homepage. También se afirma que Internet es
el libro virtualmente infinito y que "todo el saber humano se encuentra en
Internet".
2- COMERCIO ELECTRÓNICO:
El comercio nace espontáneamente cuando una región posee lo que otras
desean y no pueden producir o cuando su industria ha adquirido una ventaja
relativa en la producción de ciertas cosas. Su expansión depende de muchos
factores entre los que sobresalen el adelanto tecnológico tanto de los medios de
transportes y las comunicaciones, como el sistema bancario y financiero, así
como las leyes de los diversos países que pueden estimular u obstaculizar el
crecimiento del comercio.
En la Edad Antigua las caravanas transportaban vía terrestre los productos desde
Oriente, hasta que la civilización Fenicia desarrolló el comercio marítimo por el
mar Mediterráneo.
Un hecho histórico que marcó de forma extraordinaria la evolución del comercio
fue la Revolución Industrial ya que a partir de este momento, el comercio mundial
16
continuó creciendo de la mano con los progresos de la ciencia, la industria y la
tecnología.
La revolución tecnológica a través del tiempo ha sido muy importante y el hecho
más sobresaliente de los últimos años se derivó de un proyecto llevado a cabo
por el Departamento de Defensa de Estados Unidos, mencionado anteriormente,
que dio origen a lo que hoy en día se conoce como la red más grande del mundo:
Internet, la cual ha llegado en los últimos años de desarrollo a ser accesible
desde dos millones de nodos aproximadamente en todo el mundo, ofreciendo
distintos servicios, entre los que se pueden mencionar las conexiones remotas
con emulación de terminal telnet, la transferencia de archivos usando ftp, también
el servicio WWW, los foros de información, y por supuesto el comercio
electrónico.
El comercio electrónico realmente comenzó su despegue hace alrededor de tres
o cuatro años. Actualmente, se calcula que representa aproximadamente cerca
de 300.000 millones de dólares en transacciones, solamente en Estados Unidos.
La demanda que ha surgido ha sido tomada en cuenta por empresas del área de
sistemas, que están enfocando sus operaciones al desarrollo de las herramientas
necesarias que las grandes compañías requieren. En Internet pueden
encontrarse empresas que ya cuentan con una infraestructura básica para
competir comercialmente en línea, como también se evidencia el desarrollo de
nuevos negocios que prestan servicios digitalmente; todo el campo del comercio
electrónico ha tenido mucho auge pero su crecimiento aun tiende a ser
exponencial.
El resultado de la revolución de los últimos años puede resumirse en el
advenimiento de la llamada Sociedad de la Información, cuyo exponente más
conocido es Internet, una red de redes de ámbito mundial, que ha contribuido a
modificar la forma de acercarse al mundo, abriendo nuevas propuestas y
perspectivas. Su implantación se ha producido en tres etapas:
17
1-En una primera etapa, en Internet únicamente se intercambia información,
especialmente
entre
personal
docente
y
estudiantes
pertenecientes
a
Universidades.
2-En una segunda etapa, la importancia de las informaciones ofertadas, la
audiencia a las sedes web que ofrecen tales informaciones y la necesidad de
financiar mayor capacidad de transmisión, contribuye a la aparición de la
publicidad en Internet.
3- En una tercera etapa, a medida que la confianza en el tráfico de consumidores
y empresas aumenta, surge la posibilidad de comerciar en Internet.
Las Nuevas Tecnologías que surgieron con Internet a la cabeza han supuesto
una revolución para el comercio dando lugar al explosivo crecimiento de su más
novedosa clase, el denominado "Comercio Electrónico", el cual, no obstante lo
anterior, no se agota de forma única y exclusiva con Internet.
Evidentemente, el comercio electrónico como transacción comercial a través de
mecanismos electrónicos ya existía, aunque con Internet pasó a desarrollarse en
entornos abiertos de comunicación. Es así como hoy en día, se está ante una red
de redes que le permite al comercio tener un alcance mundial o por lo menos
pretenderlo. De ahí que se hable de Comercio Electrónico y mundialización pues
con la llegada de Internet se pone en marcha una idea mundial de comercio.
Antes de la llegada de la Red de Redes, si bien podía hablarse de Comercio
Electrónico que incluía el comercio tradicional realizado entre empresas en
entornos cerrados de comunicación, no podía hablarse de globalización puesto
que solo participaban unos pocos y perfectamente identificados. Con Internet se
rompen todas las barreras y se permite una comunicación abierta, de forma tal
que todo el que tenga acceso al mismo puede participar en él sin la necesidad de
estar asociado a ningún grupo cerrado y sin la necesidad de conocer a la parte
con la que está entablando una comunicación.
18
Para hablar de Comercio Electrónico se parte de una definición genérica:
cualquier forma de transacción o intercambio de información comercial basada en
la transmisión de datos sobre redes de comunicación como Internet. Es decir, se
incluye tanto la compraventa como todas aquellas actividades previas a esta tales
como publicidad, búsqueda de información, contratación previa etc. De hecho,
hoy por hoy el mayor uso que se hace de Internet es publicitario, principalmente
para darse a conocer, para ofrecer sus productos y servicios y atraer a nuevos
clientes, bajo el supuesto según el cual lo que se publica en la red va a poder ser
captado desde cualquier parte del mundo, a diferencia de lo que ofrecido por los
medios de comunicación tradicionales.
El comercio electrónico directo o completo es aquel cuyas fases se realizan total
y absolutamente por medios electrónicos, a diferencia del comercio electrónico
indirecto o incompleto en el que no todas sus fases se completan por medios
electrónicos y son perfeccionadas por medios físicos o no virtuales. El principal
problema u obstáculo que hace que no pueda hablarse de comercio electrónico
directo, aparte de la entrega (en aquellos casos en donde el bien o servicio
adquirido no es de carácter digital) es el tema del pago, que constituye el mayor
eslabón tanto técnico como psicológico que debe ser superado para que se
produzca el despegue definitivo del Comercio Electrónico. Si no hay confianza
por parte de los usuarios, si no hay conocimiento de las diversas formas de
pagos existentes en la red y de su seguridad técnica no puede hablarse de un
Comercio Electrónico propiamente dicho en el que todas sus transacciones se
materialicen a través de medios electrónicos. La confianza es pues la principal
barrera con la que se enfrentan los nuevos medios de pago electrónicos.
El Comercio Electrónico podría clasificarse de la siguiente manera:
- El Comercio entre Empresas (B2B).
- El Comercio entre Empresas y Consumidores (BTC).
- El Comercio entre Consumidores (C2C).
- El Comercio entre Consumidores y Gobierno (C2G).
- El Comercio entre Empresas y Gobierno (B2G).
19
La evolución de uno u otro tipo de Comercio en el proceso digitalizador es dispar,
a saber, hoy por hoy el B2B es el comercio que más se ha visto beneficiado a
dicho nivel, no obstante es difícil llegar a un Comercio Electrónico propiamente
dicho.
La rápida evolución a lo largo de los 10 últimos años en lo que se refiere a las
Nuevas Tecnologías hace posible prever un futuro en el que predomine el
Comercio Electrónico en todo tipo de transacciones ya sea entre comerciantes y
consumidores, entre los propios comerciantes e incluso entre los mismos
consumidores
El origen del Comercio Electrónico a través de Internet se encuentra en los EEUU
con la incorporación del protocolo WWW hacia 1992, de ahí que sea el país que
más hace uso de él y del que más se pueda hablar de Comercio Electrónico
propiamente dicho. Las primeras empresas que se han beneficiado del comercio
electrónico "mundializado" han sido las estadounidenses.
A pesar de la corta historia del comercio electrónico ya es posible hablar de tres
diferentes etapas en la evolución del software utilizado para su funcionamiento:
1- Formulario HTML: un simple formulario es capaz de recoger la orden y
enviársela por correo electrónico al vendedor; sin embargo, cuando el número de
productos a vender excede de tres o cuatro se hace imposible presentarlos, junto
con sus descripciones y los datos del comprador, en una misma página.
2- Carro de la compra: la tienda puede presentar un número infinito de productos,
cada uno de ellos en su propia página, y el cliente únicamente tiene que ir
señalando los que desea comprar. El sistema es capaz de calcular no sólo los
precios totales sino también las tasas de envío, impuestos y cambio de moneda.
3- Almacenes electrónicos: amplias funciones de administración y trato
personalizado
para
cada
cliente.
Sin
necesidad
de
conocimientos
de
programación y con tan solo su habitual navegador el propietario es capaz de
realizar todo tipo de tareas de actualización de mercancía: añadir, borrar u ocultar
20
temporalmente productos, cambiar precios, establecer concursos, descuentos o
promociones, recoger pedidos seguros, trabajar fácilmente con cuentas e
inventarios existentes, e incluso manipular imágenes.
Actualmente EEUU se encuentre a la cabeza de las nuevas tecnologías, y
aunque Internet es una red de comunicación abierta, que ha llevado a algunos
países a experimentar un crecimiento espectacular al respecto, este fenómeno,
ha vuelto a marcar las diferencias entre los países desarrollados y aquellos
países que todavía se encuentran en proceso de desarrollo y lleva a
dudar
sobre si realmente se puede hablar de globalización, ya que todavía hay muchos
países que no se han integrado en la nueva era digital. El Comercio Electrónico
está creando una nueva frontera entre los países industrializados y los que no lo
están.
Así mismo, el Comercio Electrónico ofrece toda una serie de ventajas tales como
la comodidad, la rapidez y el abaratamiento de los precios; sin embargo ha sido
la fuente de origen de problemas que necesitan ser resueltos en derecho, entre
los cuales destacar:
1- Problemas de Propiedad Intelectual, ya que Internet como medio de
comunicación posibilita la vulneración de tales derechos al introducir tecnologías
que dan pie a la reproducción de obras y facilita la difusión de las mismas.
También se derivan conflictos de marcas, o mejor de nombres de dominio que
surgen como consecuencia de la intención de algunos de beneficiarse de la
reputación ajena.
2- Problemas de protección de datos, ya que la Red al ser un medio abierto
posibilita una mayor circulación de estos sin ningún tipo de control.
3- Problemas fiscales, porque al intervenir partes de diferentes lugares alrededor
del mundo, resulta difícil determinar donde se va a producir la imposición
surgiendo problemas de doble tributación entre otros.
21
Se está ante un elenco de problemas a solucionar y que la legislación actual
resulta en la mayoría de los casos difícilmente adaptable. Además , en la medida
en que el Comercio Electrónico no tiene fronteras, se hace necesaria una
armonización de la legislación a nivel mundial, cosa que resulta difícil teniendo en
cuenta las diferencias ya existentes en parte debidas a diferencias de tipo
cultural.
El problema que presenta el Derecho vigente es que se basa en criterios
básicamente territoriales que devienen insuficientes a la hora de solucionar
conflictos que surgen cuando el medio de comunicación utilizado es Internet.
Internet se ha desarrollado y ha prosperado de una forma tan rápida que ha sido
imposible por parte de los legisladores adaptarse a semejante fenómeno. En los
últimos años se está trabajando de forma intensa sobre la materia y ya se ha
empezado a regular. La idea es armonizar las legislaciones y encontrar
soluciones comunes ante posibles conflictos de leyes. La cuestión es establecer
un marco normativo común en la medida que Internet interconecta a todos los
países del mundo; en este sentido el derecho internacional privado jugaría un
papel fundamental a la hora de la resolución de conflictos.
3- MEDIOS DE PAGO ELECTRÓNICOS:
Elemento esencial para el desarrollo del comercio electrónico lo constituyen los
medios de pago electrónicos. Estos medios de pago constituyen en ocasiones
una adaptación de medios ya existentes o tradicionales al nuevo entorno
electrónico, si bien son aquellos que se desarrollan con objeto de dar una
respuesta específica a las cuestiones que plantea una red abierta como Internet
los que adquieren una especial atención por parte de los usuarios de los mismos,
entendiendo por tales tanto a los empresarios y profesionales que reciben el
pago, como a los consumidores y usuarios que efectúan dichos pagos.
En un entorno electrónico que permite un acceso global en el que se desarrolla el
comercio electrónico, de manera que vendedor y adquirente no tienen por qué
22
estar necesariamente en el mismo lugar geográfico, resulta necesario garantizar
tanto la interoperabilidad como la estandarización de los sistemas de pago
electrónico.
Mediante la interoperabilidad, entendida como la compatibilidad física y lógica de
los sistemas de pago, medios de identificación y equipos de acceso al sistema,
con independencia del lugar en que se acepte el medio de pago en cuestión, se
garantiza al usuario de un medio de pago que podrá efectuar el pago sin mayores
problemas aunque el destinatario del mismo se encuentre situado en otro Estado.
Así mismo, la estandarización de los medios de pago permite establecer sistemas
técnicos mediante los que se hace posible la utilización de dichos medios de
pago sin que existan obstáculos de carácter técnico que impidan su efectiva
utilización. Es así como las necesidades de interoperabilidad y estandarización
en los medios de pago ponen de manifiesto la importancia que tiene el desarrollo
de la tecnología en relación con los mismos, desarrollo que en ningún caso
deberá encontrar obstáculos de origen normativo ya que ello podría llevar
aparejado incluso un freno para el propio comercio electrónico.
El principal problema que enfrenta hoy Internet es la desconfianza de los usuarios
frente a los sistemas de identificación, intercambio de datos personales y pagos,
en la medida en que al no haber sido concebido desde el principio como un
medio para el desarrollo comercial y económico, no es un mecanismo seguro en
sí mismo.
Hoy en día existen diferentes aplicaciones comerciales, protocolos y sistemas de
pago electrónicos que de una u otra forma, cada uno con sus ventajas y
desventajas, satisfacen las cuatro condiciones esenciales para que una
comunicación o transacción electrónica sea considerada como segura y fiable en
Internet, esto es la autenticidad, la confidencialidad, la integridad y el no repudio.
Los primeros pagos de servicios realizados sobre Internet fueron convencionales;
los usuarios del servicio transferían periódicamente el monto total desde su
23
cuenta bancaria a la cuenta del proveedor. Sin embargo, estos pagos llevaban
una gran cantidad de tiempo.
Un poco más avanzado sería combinar las facilidades proporcionadas por las
tarjetas de crédito, para evitar las transacciones externas. El cliente utiliza
Internet para informar al comerciante del número de cuenta, que este utiliza para
cargar el montante, de modo análogo a lo que sucedería fuera de Internet. La
empresa que gestiona la tarjeta se encarga de todo lo demás. En este escenario
empieza a circular información delicada por la red, atentando contra la privacidad
del comprador (que puede ser monitorizado), y a la confidencialidad de los datos
bancarios que pueden ser robados y utilizados fraudulentamente. Surge entonces
la
necesidad
de
crear
mecanismos
de
seguridad
que
garanticen
la
confidencialidad e integridad del contenido, así como la identidad de los
presuntos cliente y vendedor. La solución parecería ser el uso de encriptación
para enviar de forma segura el número de tarjeta, pero aún así existen ciertos
factores por considerar, como sería el costo de la transacción en sí mismo, que
de ser elevado, podría hacer inviable la realización de micro compras.
El siguiente paso en la refinación del mecanismo consiste en introducir una
tercera parte para evitar que información delicada circule libremente por Internet;
este esquema requiere el registro previo de los participantes, fase en la que se
comprueba la identidad y solvencia de cada uno. A partir de este registro previo,
las transacciones se hacen a partir de los datos almacenados por el
intermediario, que periódicamente verifica que no ha habido problemas de
suplantación de identidad, bancarrota u otras disfunciones que pudieran inhibir la
capacidad de realizar transacciones.
En todos los modelos los actores son los clásicos: compradores, vendedores e
instituciones financieras, que materializan las transacciones y garantizan la
solvencia del sistema. La mayor parte de los sistemas se limitan a introducir
agencias especializadas capaces de realizar las labores tradicionales sobre
medios inseguros y sin presencia física de los interesados. Por ello, los requisitos
funcionales apuntan sistemáticamente a la confidencialidad, integridad y
autentificación de los objetos y las partes; para ello parece denominador común
el uso de técnicas criptográficas.
24
Como no podía ser menos tratándose de dinero, los sistemas actuales son muy
tradicionales. Todas las empresas en el negocio adoptan numerosas cautelas
frente a fraudes y fallos técnicos. Si el número de incidencias fuera elevado, las
comisiones se dispararían y los costes asociados al comercio electrónico no
serían tolerables.
4- CRIPTOGRAFIA:
La criptografía es tan antigua como la escritura, ya que el cifrado de textos es una
actividad que ha sido ampliamente usada a lo largo de la historia humana, sobre
todo en el campo militar y en aquellos otros en los que es necesario enviar
mensajes con información confidencial y sensible a través de medios no seguros.
Se dice que las primeras civilizaciones que usaron la criptografía fueron la
egipcia, la Mesopotámica, la India y la China. Los espartanos, 400 años antes de
Cristo, utilizaban un sistema secreto de escritura, el cual consista en un cilindro
al cual se colocaba un papiro en forma de espiral. Se escribía entonces el texto
en cada una de las vueltas del papiro, pero de arriba hacia abajo. Una vez
desenrollado, solo se poda leer una serie de letras aparentemente inconexas.
Para descifrar el mensaje era necesario colocar el papiro exactamente en la
misma posición en la que haba sido escrito. Antiguos textos judíos fueron
encriptados siguiendo el método de sustituir la primera letra del alfabeto por la
última y así sucesivamente.
Pese a lo anterior, el primer sistema criptográfico como tal conocido con su
debida documentación, se debe al emperador romano Julio Cesar. Su sistema
consistía en reemplazar en el mensaje a enviar cada letra por la situada tres
posiciones por delante en el alfabeto latino, así, la A era sustituida por la D, la B
por la E y así sucesivamente. Este sistema fue innovador en su época, aunque
en realidad es fácil de romper, ya que en todo sistema de transposición simple
sólo hay un número de variaciones posible igual al de letras que formen el
alfabeto (27 en este caso).
25
Este fue el primer sistema criptográfico conocido, y a partir de él, y a lo largo de
las historia, aparecieron otros muchos sistemas, basados en técnicas
criptológicas diferentes. Entre ellos caben destacar los sistemas monoalfabéticos
(parecidos al de Julio Cesar, pero que transforman cada letra del alfabeto original
en la correspondiente de un alfabeto desordenado), el sistema play fair de Sir
Charles Wheastone (1854, sistema monoalfabético de diagramas), los sistemas
polialfabéticos, y los de permutación entre otros.
En la Edad Media San Bernardino evitaba la regularidad de los signos
sustituyendo letras por varios signos distintos, así tenía un símbolo para cada
consonante, usaba tres signos distintos para cada una de las vocales y utilizaba
signos sin ningún valor. El libro más antiguo del que se tiene constancia y que
trata sobre criptografía es el Liber Zifrorum escrito por Cicco Simoneta en el siglo
XIV. En el siglo XV se destaca León Battista Alberti que es considerado por
muchos el padre de la criptología al crear la primera máquina de criptografiar que
consiste en dos discos concéntricos que giran independientes consiguiendo con
cada giro un alfabeto de transposición.
En el siglo XVI, Girolamo Cardano utilizó el método de la tarjeta con agujeros
perforados, que se debía colocar sobre un texto para poder leer el mensaje
cifrado; en ese mismo siglo Felipe II utilizó una complicada clave que el francés
Viete logró descifrar. En la misma época, Blaise de Vigenére publica Traicté des
Chiffres donde recoge los distintos métodos utilizados en su época, el método
Vigenére es un método clásico de cifrado por sustitución que utiliza una clave.
Carlos I de Inglaterra usó en el siglo XVII códigos de sustitución silábica.
Napoleón, en sus campañas militares y en los escritos diplomáticos, usó los
llamados métodos Richelieu y Rossignol y para evitar la regularidad de los
símbolos asignaba números a grupos de una o más letras. En el siglo XIX se
utiliza ampliamente el método de transposición, consistente en la reordenación
según distintos criterios de los símbolos del mensaje.
El mayor desarrollo de la criptografía se dio en el período de entreguerras por la
necesidad de establecer comunicaciones militares y diplomáticas seguras. En
1940 se construyó la máquina Hagelin C-48 consistente en seis volantes unidos
26
por el eje y con distinto número de dientes. En la Segunda Guerra Mundial se
construyó por parte alemana la máquina Enigma, que se basaba en un
perfeccionamiento del cilindro de Jefferson, pero la máquina británica Colossus
consiguió descifrar los mensajes cifrados con Enigma. Los americanos
construyeron la máquina Magic utilizada para descifrar el código púrpura japonés.
Con la aparición de la computadora y su increíble capacidad de procesamiento, y
el desarrollo de la informática en la segunda mitad del siglo XX, hizo que la
criptografía se hiciera digital, y con el uso cada vez más extendido de las redes
informáticas y del almacenamiento masivo de información, se dió un gran salto en
el estudio de sistemas criptográficos. En 1975 Diffie y Hellman establecieron las
bases teóricas de los algoritmos de llave pública, lo que es de máxima
importancia pues hasta entonces no se concebía un sistema de cifrado que no
fuese de clave secreta. En 1976, IBM desarrolla un sistema criptográfico
denominado DES (data encryption standard), que luego fue aprobado por la
Oficina de Estandarización de los Estados Unidos, el cual se basa en
complicados sistemas matemáticos de sustitución y transposición, los cuales
hacen que sea particularmente difícil de romper. Sin embargo, DES depende de
que tanto el que envía el mensaje como el que lo recibe conozcan la clave con la
cual fue encriptada y en este sentido se parece al sistema usado por los
espartanos, que necesitaban tener el cilindro con el cual se había codificado el
texto para poder leerlo. En el caso de DES al "cilindro" se le denomina "llave",
cuya seguridad va a depender de su tamaño. Cuando tenemos un mensaje
cifrado hay un número "n" de posibilidades de descubrir la llave con la cual se
encripta. Así, la confiabilidad de una llave depende de que ese número "n" sea
tan alto que a un atacante le tome demasiado tiempo probar todas las
posibilidades. Una llave de 56 bits es actualmente el standard en DES. Para leer
un mensaje cifrado con DES es necesario usar la misma llave con la cual se
encripta, lo cual lo hace poco práctico e inseguro en el caso de transacciones
comerciales virtuales, porque la propia llave deberá transmitirse por medios
electrónicos.
27
Para resolver este problema se crea la criptografía de llave pública. Bajo este
sistema existen dos llaves: una privada y otra pública. Cuando A quiere enviar un
mensaje a B, le solicita su llave pública (que como su nombre lo indica puede ser
conocida por todo el mundo). Con la llave pública A encripta el mensaje y lo envía
a B, que luego procede a descifrarlo aplicándole su llave privada, que no debe
dar a conocer a nadie. La ventaja de este método es que no requiere que ambas
partes conozcan la llave privada.
Las implementaciones más conocidas de la criptografía de llave pública son el
RSA y PGP. En 1977, Rivest, Shamir y Adelman desarrollaron RSA y publicaron
el algoritmo de encriptación, a pesar de la oposición del gobierno norteamericano,
que considera la criptografía un asunto de estado. Más tarde la patente de RSA
del Instituto Tecnológico de Massachussets (MIT) se cede a un grupo
denominado PKP (Public Key Partners). En 1991, el programador Phil
Zimmermann autoriza la publicación en boletines electrónicos y grupos de
noticias un programa desarrollado que denomina Pretty Good Privacy (PGP o
Privacidad Bastante Buena, en español), que se basa en los algoritmos de RSA
publicados en 1978. A pesar de las amenazas de demandas, PGP sigue
creciendo y en la actualidad es el standard de encriptamiento más difundido a
nivel mundial.
De todos modos, no parece que en el futuro se vuelva a repetir la situación
padecida, donde un único algoritmo, el DES, dominó absolutamente el mercado
del cifrado; mas bien es previsible que tengamos que acostumbrarnos a usar
varios métodos, según la aplicación empleada o el interlocutor con el que
deseemos comunicarnos. Si lo anterior se centraba en los algoritmos
convencionales, de clave secreta o simétricos, respecto de los algoritmos de
clave pública o asimétricos parece que la hegemonía absoluta del omnipresente
RSA se mantendrá incólume; al menos en lo tocante a su uso para el
mantenimiento de la confidencialidad de la información. Sin embargo, en lo que
atañe a la firma digital ya le han aparecido competidores, y uno de particular
importancia: el DSS (Digital signature algorithm) que, más por contar con el
28
patrocinio del gobierno de los EE UU que por méritos propios, puede desplazar al
RSA de su preponderancia en el protocolo criptográfico aludido.
5- FIRMA ELECTRÓNICA:
Siendo la necesidad de comunicación entre dos entes esencial e imprescindible
en nuestra sociedad y estando más latente hoy con el surgimiento de la
denominada “Sociedad de la Información”,
una de las mejores formas de
comunicación es por Internet. Uno de los problemas más sentidos que se ha
presentado en este medio es ¿cómo saber que efectivamente la persona con
quien se establece comunicación es precisamente la que dice ser?; es decir el
problema de verificación de Identidad o la autenticación.
La respuesta a este problema fue originalmente la firma tradicional o manuscrita
que tiene varias características, siendo la principal de ellas el ser aceptada
legalmente, esto quiere decir que si alguna persona firmó un documento adquiere
tanto los derechos como las obligaciones que de él deriven, y si estas
obligaciones no son acatadas, el portador del documento tiene el derecho de
reclamación
mediante
un
litigio.
La
autoridad
competente
acepta
las
responsabilidades adquiridas con sólo calificar a la firma como válida. Es
entonces la "firma" el elemento que sirve para demostrar la identidad, de tal
forma que así se sabe quién es la persona quien firmó, ésta no puede negar las
responsabilidades que adquiere en un documento firmado.
La firma implica dos procedimientos importantes: el primero, de firma, que es el
acto en virtud del cual una persona “firma” manualmente un documento. Y el
segundo, de verificación de la firma, que es el acto por el que se determina si una
firma es válida o no.
Tanto las empresas como las personas naturales han utilizado hasta hoy su firma
manuscrita para realizar los más variados trámites y en general para manifestar
29
la voluntad en un documento y manifestar su consentimiento. Hoy con la firma
electrónica, nos encontramos ante un mundo lleno de posibilidades que nos
acercará a la sociedad de la información, pues los actos y contratos celebrados
por medios electrónicos tendrán el mismo reconocimiento, protección y valor con
que gozan los actos y contratos celebrados en soporte de papel.
La información es un activo fundamental y pilar básico del desarrollo de una
sociedad avanzada. Las repercusiones sociales, jurídicas y económicas de la
Sociedad de la Información son considerables y plantean oportunidades y retos
clave a individuos, empresas y gobiernos.
La firma electrónica es un requisito esencial para el desarrollo de la economía
digital porque, gracias a ella, será más fácil comprar, contratar o llegar a cualquier
tipo de acuerdo a través de Internet, al aportar seguridad y compromiso a las
relaciones.
Actualmente el método existente consiste en la utilización de un sistema de
encriptación llamado "asimétrico" o "de doble clave" por el cual se establecen un
par de claves asociadas a un sujeto, una pública -que comunica a terceros y que
puede ser conocida por todos- y otra privada -sólo conocida por él -. Para firmar
digitalmente un documento, el firmante lo hará con su clave privada y quien lo
reciba lo abrirá con la pública; para realizar una comunicación segura dirigida a
dicho sujeto bastará con encriptar el mensaje con la clave pública para que, a su
recepción, sólo el que posea la clave privada pueda leerlo.
La firma digital es el instrumento que permite, entre otras cosas, determinar con
seguridad y fiabilidad si las partes que intervienen en una transacción son
realmente las que dicen ser, y si el contenido del contrato ha sido alterado o no
posteriormente.
Es un conjunto de caracteres, un número natural, de más o menos 300 dígitos si
se usa el sistema RSA, que acompaña a un documento o fichero, acreditando
tanto su autor (autenticación) como que no ha existido ninguna manipulación
30
posterior de los datos (integridad), dotada con las mismas propiedades que la
firma convencional. Para firmar un documento digital, su autor utiliza su propia
clave secreta (sistema criptográfico asimétrico), a la que sólo él tiene acceso, lo
que impide que pueda después negar su autoría (no revocación o no repudio), de
forma tal que queda vinculado al documento de la firma; es decir, es posible
asociar un número único a cada persona o entidad. La validez de dicha firma
podrá ser comprobada por cualquier persona que disponga de la clave pública
del autor, existiendo así tanto un método de firma como uno de verificación de la
firma resolviendo satisfactoriamente los problemas de autenticación y no rechazo.
Los requisitos esenciales exigidos para la validez jurídica y plena de la firma
electrónica son:
1- Está unida de forma inequívoca a su signatario;
2- Es capaz de identificar a su signatario;
3- Su modo de creación asegura que el signatario puede mantenerla sólo bajo su
control.
4- Está vinculada a los datos a los que se refiere de tal manera que una
alteración en los mismos sería revelada.
La necesidad de un marco seguro de transmisión de la información fue puesta de
manifiesto por primera vez en USA, concretamente en UTAH en 1996. El éxito de
esta iniciativa provocó su incorporación al Código de Comercio de USA (Uniform
Comercial Code), que estableció las bases para que las relaciones comerciales
pudieran desarrollarse en este marco. En 1997, a iniciativa de UNCITRAL se
aprobó la Ley Modelo de Comercio Electrónico, que ha servido de base al
desarrollo normativo en este ámbito.
En Europa, la necesidad de establecer un marco seguro de comunicaciones vía
electrónica se ha puesto de manifiesto en repetidas ocasiones. La Cumbre de
Lisboa de Jefes de Estado y de Gobierno de Marzo de 2002, consideró que la
armonización del marco jurídico regulador del comercio electrónico y la seguridad
en el mismo, era un pilar fundamental para la construcción de la economía de la
Unión Europea. El proceso se inicia de modo estable con la aprobación de la
31
Directiva 1999/93 del Parlamento Europeo y del Consejo, por la que se establece
un marco jurídico comunitario para la firma electrónica.
Los antecedentes legales de la firma electrónica, pioneros en la materia, se
sintetizan entonces así:
1- Ley del Estado de UTAH 1996.
2- Ley Modelo sobre Comercio Electrónico 1996 de Naciones Unidas
3- Real Decreto Ley 14/1999, Firma Electrónica del Gobierno de España.
4- Ley de Firma Digital, 1998 Senado de la Nación y Cámara de Diputados
de la República Argentina.
5- Ley Alemana de Firma Digital.
6- Proyecto de ley Nro. 227/1998 Senado Comercio Electrónico y de las
Firma Digital de la República de Colombia.
Es necesaria la existencia de un conjunto básico de estándares implementados
en herramientas de comercio electrónico integradas, abiertas e interoperables.
Todavía hay pocos estándares o normas generales asentados en la industria y
proliferan las propuestas de diversos organismos y consorcios, normalmente
incompatibles entre sí.
El punto de partida y lo más importante es que el usuario particular y empresarial
confíen en la red y encuentren en ella un aliado para hacer mejor las cosas y no
un elenco de dificultades de todo tipo.
Con la firma electrónica, que es actualmente una de las aplicaciones y
manifestaciones más importantes
de la criptografía, se inicia el proceso de
seguridad en las comunicaciones telemáticas y transacciones económicas
electrónicas, que se traduce en:
32
1-Seguridad Técnica, que permita obtener comunicaciones privadas, auténticas e
íntegras Interpartes garantizando que los sites están a salvo de piratas
informáticos o “hackers”.
2-Seguridad Jurídica, entendiendo por tal, un marco jurídico regulador de las
eventuales responsabilidades que pueden dimanar de conductas o actos ilícitos a
través de la red.
3-Seguridad mercantil o económica, que sería la aplicación del concepto anterior
para garantizar un marco seguro de transacciones financieras a través de la red.
4- Seguridad para los consumidores, evitando el abuso de las grandes empresas
de su posición de dominio y la utilización de cláusulas abusivas.
El siglo XX ha revolucionado la criptografía. Retomando el concepto de las
ruedas concéntricas de Alberti, a principios de la centuria se diseñaron teletipos
equipados con una secuencia de rotores móviles, que giraban con cada tecla
que se pulsaba. De esta forma, en lugar de la letra elegida, aparecía un signo
escogido por la máquina según diferentes reglas en un código polialfabético
complejo. Estos aparatos, se llamaron traductores mecánicos. Una de sus
predecesoras fue la Rueda de Jefferson, el aparato mecánico criptográfico más
antiguo que se conserva.
Con la expansión de la red se ha acelerado el desarrollo de las técnicas de
ocultación, ya que, al mismo ritmo que crece la libertad de comunicarse, se
multiplican los riesgos para la privacidad ¿Son capaces las complejas claves
actuales de garantizar el secreto?; muchas de las técnicas que se han
considerado infalibles a lo largo de la historia han mostrado sus puntos débiles
ante la habilidad de los criptoanalistas, desde los misterios de Enigma, que
cayeron en poder del enemigo, hasta el DES, desechado por el propio Gobierno
estadounidense por poco fiable. Sin embargo, a pesar de los muchos rumores
que hablan de la poca seguridad que garantizan las transmisiones vía Internet, es
muy improbable que un estafador pueda interceptar los datos reservados de una
33
transacción, por ejemplo, el número de una tarjeta de crédito, porque los
formularios que hay que rellenar han sido diseñados con programas que cifran
los datos. Los hay tan simples como el Ro13, que sustituye cada letra por la
situada 13 puestos más adelante, o extremadamente complicados.
En palabras de un apasionado de la criptografía, Edgar Allan Poe, "es dudoso
que el género humano logre crear un enigma que el mismo ingenio humano no
resuelva".
34
CAPITULO II
MARCO CONCEPTUAL
A
1. Acceso legal: Acceso por parte de terceras personas o entidades,
incluyendo gobiernos, al texto en claro, o claves criptográficas, o datos
cifrados, de acuerdo a la ley.
2. Autenticación: Proceso por el cual se garantiza que el usuario que
accede a un sistema de computador es quién dice ser. Por lo general, los
sistemas de autenticación están basados en el cifrado mediante una clave
o contraseña privada y secreta que sólo conoce el auténtico emisor.
3. Autoridad certificadora: Entidad que da testimonio de la pertenencia o
atribución de una determinada firma digital a un usuario o a otro
certificador de nivel jerárquico inferior.
4. Algoritmo: Procedimiento o conjunto de procedimientos que describen
una asociación de datos lógicos destinados a la resolución de un
problema. Los algoritmos permiten automatizar tareas.
5. Algoritmo de encriptación o de cifrado: Sistema de encriptación (con
mayor grado de sofisticación cada día) que permite mover información por
las redes telemáticas con seguridad. Existen varios algoritmos, a cual más
complejo y eficaz, destacando entre todos MD5, DES, DES2, RC3, RC4 y,
sobre todo, el SSL (Secure Sockets Layer) de Netscape que,
35
posiblemente, se convierta en el algoritmo que adopte definitivamente
'Internet'. Estos sofisticados algoritmos se caracterizan por sus claves de
encriptación que oscilan entre 40 y 120 bits.
6. Analógico: Representación continua de variables físicas, como la tensión
o la intensidad.
7. Ancho de banda: 1) Es la cantidad de información, normalmente
expresada en bits por segundo, que puede transmitirse en una conexión
durante la unidad de tiempo elegida. Es también conocido por su
denominación inglesa: bandwith. 2) Rango de frecuencias asignadas a un
canal de transmisión. Corresponde al ancho existente entre los límites de
frecuencias inferior y superior en los que la atenuación cae 3 dB.
8. Archivo: Grupo de datos relacionados entre sí que se procesan juntos.
9. ARPA:
Acrónimo
de
Advanced
Research
Projects
Administration
[Administración de proyectos de investigación avanzada]
Agencia
estadounidense creadora de ARPANet.
10. ARPANET: Acrónimo de Advanced Research Projects Administration
Network [Red de la administración de proyectos de investigación
avanzada] Fue la primera red de datos del mundo inicialmente concebida
como plataforma de experimentación. Fue creada y patrocinada en 1969
por el 'US Department of Defense' (Departamento de Defensa de los
EE.UU.) contando, en su etapa inicial, con cuatro nodos y acceso
restringido a militares. Permitía conectar a sus investigadores con centros
de cálculo distantes, compartiendo recursos. En 1982, adoptó TCP/IP
como protocolo estándar. Al conectarse a ella otras redes experimentales
(vía terrestre, radio y satélite) pasó a denominarse 'Internet' (redes
interconectadas) perdiendo su carácter exclusivamente oficial. En 1990
desaparece oficialmente tras 21 años de existencia.
36
B
1. BIT: Cifra binaria; número en notación binaria.
2. BYTE: Conjunto de 8 bits, equivalente a un carácter.
C
1. Certificado: Documento digital que identifica a la autoridad certificadora
que lo ha emitido, al firmante del mensaje o transacción, contiene la clave
pública del firmante, y contiene a su vez la firma digital de la autoridad
certificadora que lo ha emitido.
2. Cifrado: Transformación de un mensaje en otro, utilizando una clave para
impedir que el mensaje transformado pueda ser interpretado por aquellos
que no conocen la clave.
3. Clave criptográfica: Parámetro que se utiliza junto con un algoritmo
criptográfico para transformar, validar, autenticar, cifrar o descifrar datos.
Confidencialidad: Característica o atributo de la información por el que la
misma sólo puede ser revelada a los usuarios autorizados en tiempo y
forma determinados.
4. Criptografía: Ciencia que mediante el tratamiento de la información,
protege a la misma de modificaciones y utilización no autorizada. Utiliza
algoritmos
matemáticos
complejos
para
la
transformación
de
la
información en un extremo y la realización del proceso inverso en el otro
extremo.
5. Clave de acceso: Password [Palabra de acceso] Conocida también por su
expresión en castellano: 'palabra de acceso'. Palabra o clave privada
37
utilizada para confirmar una identidad en un sistema remoto que se utiliza
para que una persona no pueda usurpar la identidad de otra.
D
1. Datos: Representación de hechos, conceptos o instrucciones bajo una
forma adaptada a la comunicación, a la interpretación o al tratamiento por
seres humanos o máquinas.
2. Datos personales: Cualquier información referente a una persona
identificada,
3. Depositario de la clave: Persona o entidad que está en posesión o tiene
el control de las claves criptográficas. El depositario de la clave no es
necesariamente el usuario de la misma.
4. DARPA: Defense Advance Research Projects Agency. Agencia de
proyectos de investigación avanzada para la defensa. Organismo
gubernamental dependiente del Departamento de Defensa norteamericano
(DoD) que financión la investigación y el desarrollo (desde el campo
militar) de Internet a través de la red ARPANET
5. DEA: Data Encryption Algorithm. Algoritmo de encriptación de datos.
Método de cifrado de la información para protegerla de lecturas o
interceptaciones no deseadas
6. DES: Data Encryption Standard. Estándar de encriptación de datos.
Algoritmo para el cifrado/descifrado de información, desarrollado por IBM.
Estandarizado por el gobierno americano
7. Digital: Modo de operación en el que los valores de una señal varían de
forma discreta a diferencia del modo analógico en que lo hacen de forma
38
continúa. Es el tipo de señal habitual de las telecomunicaciones y de la
informática actual.
8. Dirección IP: Descripción formal de una dirección de Internet estándar,
que utiliza números en lugar de nombres (dominios).
9. DNS: Domain Name System. Sistema de denominación de dominios.
Sistema encargado de gestionar los nombres asociados a las direcciones
IP de las máquinas conectadas a Internet para transformar esos nombres
en direcciones IP y que puedan ser identificadas por los computadores.
10. Digital: Representación de información mediante combinaciones de
unidades binarias, siendo el 'bit' la unidad empleada en informática.
11. Digitalizar: Cuando el término se aplica a las telecomunicaciones hay que
interpretarlo como el proceso que se efectúa para convertir una señal
analógica a una señal digital.
12. Disco duro: Disco que se encuentra montado de forma permanente en el
interior de una unidad. También denominado disco fijo.
13. Download: [Descargar] Recepción de datos de un computador remoto
mediante un protocolo de comunicaciones acordado. Coloquialmente
conocido como 'down' o hacer un 'down'.
E
1. EDI (Electronic Data Interchange): Protocolo creado a principios de los
años 70 para permitir que las grandes compañías pudieran transmitir
información a través de sus redes privadas, y está siendo adaptado en la
actualidad a los webs corporativos.
39
2. Encriptación: Acción de proteger la información mediante técnicas
criptográficas
ante
modificaciones
o
utilización
no
autorizada.
3. E-commerce: Electronic Commerce. Comercio electrónico. Término
genérico que engloba a todas las actividades comerciales de compra y
venta de productos y servicios, soportadas y publicitadas a través de
medios electrónicos como Internet.
4. Encriptación: Proceso de codificar la información de manera que sólo sea
accesible
a
quien
posea
un
código
de
descodificación.
F
1. Firma digital: Información añadida o transformación cifrada de los datos
que permite al receptor de los mismos comprobar su fuente e integridad y
protegerse así de la suplantación o falsificación. Consiste en una
transformación de un mensaje utilizando un sistema de cifrado asimétrico
de manera que la persona que posea el mensaje inicial y la clave pública
del firmante, pueda determinar de forma fiable si dicha transformación se
hizo utilizando la clave privada correspondiente a la clave pública del
firmante, y si el mensaje ha sido alterado desde el momento en que se
hizo la transformación. Es un sello integrado en datos digitales, creado con
una clave privada, que permite identificar al propietario de la firma y
comprobar
que
los
datos
no
han
sido
falsificados.
G
1. Global: El conjunto de condiciones que afectan a todo un programa se
denomina "Global", opuesto a "local" en el caso de que no afecte a todo el
programa.
40
H
1. Hacker: Experto en redes y seguridad que accede a sistemas a los que no
tiene autorización sin ánimo de causar daño, generalmente para aprender
más.
2. Homepage: 1. Página Web que se muestra por omisión al abrir un
navegador. Suele incluir bienvenida, descripción y un menú con acceso a
las opciones. 2. Página de máximo nivel o inicio que se muestra en cada
sitio. Es la página que se abre si no se especifica archivo (generalmente
index.htm o default.htm). 3. Página personal que publica alguien con
información
propia
o
personal.
3. HTML: Hypertext Markup Language, Lenguaje de marcado de Hipertexto.
Es el lenguaje de marcas en que se escriben las páginas que se
encuentran en la Web. Mediante etiquetas indica al navegador cómo debe
presentar la página.
4. Hardware: Se denomina hardware a la maquinaria física del computador
(véase firmware y software).
5. Host: [Anfitrión] Computador (normalmente con grandes recursos) con
capacidad multiusuario (en la mayoría de los casos) al que se accede
remotamente y que alberga enormes cantidades de información o servicios
telemáticos específicos consultables en línea. En 'Internet' suelen
gestionar varios servicios simultáneamente.
6. HTTP: Acrónimo de HyperText Transport Protocol [Protocolo de transporte
de hipertexto]. Se trata de un protocolo que se utiliza para acceder a un
servidor 'http' y servir páginas 'HTML' (World Wide Web).
41
I
1. Integridad: Garantía de la exactitud de la información frente a la
alteración, pérdida o destrucción, ya sea de forma accidental o fraudulenta.
2. Interoperabilidad: Interoperabilidad de métodos criptográficos es la
capacidad técnica de que varios métodos criptográficos funcionen,
conjuntamente.
3. Internet:
Acrónimo
de
INTERconnected
NETworks
[Redes
interconectadas] Red virtual de recursos y servicios; no se trata solamente
de una red de redes. Su ámbito es mundial. No está gestionada ni
controlada en forma alguna por ningún 'backbone' u organización aunque
el gobierno de los EE.UU. pretende supervisarla... Pertenece a las mal
llamadas 'Autopistas de la Información' que están todavía por llegar. Ha
sido apodada como 'The Matrix' (la matriz), la aldea global, el ciberespacio,
la infopista,... quizás por la intrínseca dificultad que reviste encontrar una
definición exacta de lo que simboliza. Servicio telemático descrito en [EL
GLOSARIO INFORMATICO].
K
1. Know-How: Conocimientos técnicos y científicos referidos a empresas,
personas y países. En el sector telecomunicaciones, el know-how de una
empresa es vital pudiendo llegar a constituir su pilar base.
L
1. Link: Enlace, hiperenlace entre nodos de información gráfica, textual o de
cualquier tipo.
42
M
1. Métodos criptográficos: abarca las técnicas, servicios, sistemas,
productos y sistemas de gestión de claves criptográficas.
2. Mensaje: Nota, apunte o carta electrónica dejada por un usuario en un
sistema o servicio telemático para que otro u otros usuarios puedan leerlo
y contestarlo, si lo desean.
3. Mensaje de confirmación: Mensaje que aparece después de especificar
determinadas acciones, pidiendo confirmación para continuar con la acción
o para especificar que se desea cancelarla.
N
1. No repudio: Propiedad que se consigue por medios criptográficos, que
impide a una persona o entidad negar haber realizado una acción en
particular relativa a datos (como los mecanismos de no rechazo de autoría
(origen); como demostración de obligación, intención o compromiso; o
como demostración de propiedad)
2. Notario electrónico (TTP, Trusted Third Parties): Entidad pública o
privada encargada de la emisión de certificados digitales que atestigüen la
autenticidad de los propietarios de los mismos.
3. Network : [Red] Servicio de comunicación de datos entre computadores.
4. Networking : [Trabajo en red] Mercado basado en el trabajo en red.
5. Nodo: Punto de conexión en una red (terminal).
43
6. Nombre de dominio : Más conocido por su equivalencia inglesa: Domain
Name [Nombre de dominio]. Permite identificar un computador (o grupo de
ellos) sin tener que recurrir a su dirección 'IP'. Los nombres de dominio
tienen una férrea estructura jerárquica cuyo ejemplo más sencillo podría
ser ctv.es desglosándose como sigue: ctv (nombre de empresa)
.(separador) es (extensión de país, en este caso, España).
O
1. Operadores de red: Entidad pública o privada que haga disponible la
utilización de una red de telecomunicación.
P
1. Protocolo: Conjunto de reglas y de signos que rigen los intercambios de
información entre computadoreses.
2. Puerto: Conexión entre dos dispositivos o sistemas. 1. Valor de 16 bits
que
hace
posible
que
el
destinatario
de
una
información
elija
correctamente la aplicación correspondiente para su tratamiento o
visualización. 2. Conexión entre dos dispositivos o sistemas.
3. Password: [Palabra de acceso] Conocida también como 'clave de acceso'.
Palabra o clave privada utilizada para confirmar una identidad en un
sistema remoto que se utiliza para que una persona no pueda usurpar la
identidad de otra.
4. PC: Acrónimo de Personal Computer [Computadora personal]
R
1. RSA: Uno de los primeros sistemas criptográficos de clave pública.
44
2. Red: Servicio de comunicación de datos entre computadores. Conocido
también por su denominación inglesa: 'network'. Se dice que una red está
débilmente conectada cuando la red no mantiene conexiones permanentes
entre los computadores que la forman. Esta estructura es propia de redes
no profesionales con el fin de abaratar su mantenimiento.
S
1. SET (Secure Electronic Transactions): Protocolo creado para proporcionar
mayor seguridad a los pagos on-line con tarjetas de crédito verificando la
identidad de los titulares de las tarjetas con "certificados digitales" y
encriptando los números de las tarjetas durante todo el trayecto, desde el
navegante, el vendedor y el centro de proceso de datos. Este estándar ha
sido creado por VISA y Master Card y tiene un amplio apoyo de la
comunidad
2. Sistema
bancaria
de
gestión
almacenamiento,
de
claves:
distribución,
mundial.
Sistema
revocación,
para
la
generación,
eliminación,
archivo,
certificación o aplicación de claves criptográficas.
3. Sistemas de información: Computadores, instalaciones de comunicación
y redes de computadores y de comunicación, así como los datos e
informaciones que permiten conservar, tratar, extraer o transmitir, incluidos
los programas, especificaciones y procedimientos destinados a su
funcionamiento,
utilización
y
mantenimiento.
4. SSL (Secure Sockets Layer): Protocolo, creado por Netscape, para crear
conexiones seguras al servidor, de tal modo que la información viaja
encriptada a través de Internet.
5. Servidor:
Computador
que
ejecuta
uno
o
más
programas
simultáneamente con el fin de distribuir información a los computadores
45
que se conecten con él para dicho fin. Vocablo más conocido bajo su
denominación inglesa 'server'.
6. Software: Conjunto de instrucciones mediante las cuales la computadora
puede realizar tareas. Los programas, los sistemas operativos y las
aplicaciones son ejemplos de software.
T
1. TCP: Transmission Control Protocol, Protocolo de control de transmisión.
Es uno de los protocolos de comunicaciones sobre los que se basa
Internet. Posibilita una comunicación libre de errores entre computadores
en Internet.
2. TCP/IP: Transfer Control Protocol / Internet Protocol. Familia de protocolos
que hace posible la interconexión y el tráfico de red en Internet. Los dos
protocolos más importantes son los que dan nombre a la familia, TCP e IP.
3. Telemática: Sistema de integración de computadores en las redes de
telecomunicación. Es la simbiosis o combinación de informática,
electrónica y comunicaciones.
V
1. Virus: Programas hostiles que acceden de forma encubierta a los
computadores y, generalmente, intentan destruir o bien alterar la
información contenida en el sistema. La característica común de todos
ellos es que tienen una parte que se copia automáticamente sin que el
usuario lo decida y, dentro de este contenedor, se introducen las
instrucciones de carácter destructivo.
46
W
1. Website: Sitio web web. Colección de páginas web relacionadas entre sí.
2. Worm: Gusano. Tipo de virus que se sitúa en un sistema de computadores
en el lugar en que pude hacer más daño. Es capaz de multiplicarse y
propagarse por sí mismo.
3. WWW: Llamado también Web o W3. Sistema de organización y
presentación de la información de Internet basado en hipertexto y
multimedia que permite buscar y tener acceso a un conjunto muy variado
de información en Internet. Actualmente es el servicio más utilizado junto
con el correo electrónico.
47
CAPITULO III
ENCRIPTACION DE DOCUMENTOS
1- NOCIÓN Y APLICACIÓN EN INTERNET:
Desde la antigüedad, el hombre ha tenido como una de sus prioridades en el
proceso de comunicación, la confidencialidad de sus mensajes más importantes
de tal forma que solamente puedan ser interpretados correctamente por el emisor
de los mismos y por el receptor al que van dirigidos. Para esto, se han
implementado diferentes sistemas y mecanismos de protección cuyo objetivo es
impedir la interceptación de dicha información por terceras personas ajenas a la
relación y que en caso de fallar, aseguran como mínimo la imposibilidad de
comprender el mensaje.
La criptología ha demostrado con el tiempo ser una de las mejores técnicas para
resolver esta cuestión y actualmente, en la época de los computadores y la
información, es el mecanismo más usado en los procesos de protección de datos
tales como las transacciones bancarias y económicas por Internet y el correo
electrónico cifrado entre otros, teniendo en cuenta la naturaleza misma de
Internet que lo hace un medio abierto y de acceso libre a la información.
El principio básico de la criptografía es mantener la privacidad de la comunicación
entre dos personas alterando el mensaje original de modo que sea
incomprensible
a
toda
persona
distinta
del
destinatario,
obteniendo
adicionalmente la autenticación, esto es la firma del mensaje de modo que un
tercero no pueda hacerse pasar por el emisor.
La palabra "Criptografía" viene del griego "Kryptos", escondido y "Graphos",
escritura, es decir, "Escritura escondida" y básicamente consiste en escribir algo
de manera tal que otra persona que quiera leerlo no pueda entenderlo salvo que
conozca la forma como ha sido ocultado.
48
“Se entiende por criptología, la ciencia que estudia los distintos sistemas de
cifrado destinados a ocultar el significado de mensajes a otras partes que no
sean el emisor y el receptor de dicha información.”6
La criptografía es la parte de la criptología que estudia como cifrar efectivamente
los mensajes; es la técnica de transformar un mensaje inteligible, denominado
texto en claro, en otro que sólo puedan entender las personas autorizadas a ello,
denominado criptograma o texto cifrado. El método o sistema empleado para
encriptar el texto en claro se denomina algoritmo de encriptación.
La Criptografía es una rama de las Matemáticas, que se complementa con el
Criptoanálisis, que es la técnica de descifrar textos cifrados sin tener autorización
para ellos, es decir, realizar una especie de Criptografía inversa. Ambas técnicas
forman la ciencia llamada Criptología.
“La base de las Criptografía suele ser la aplicación de problemas matemáticos de
difícil solución a aplicaciones específicas, denominándose criptosistema o
sistema de cifrado a los fundamentos y procedimientos de operación involucrados
en dicha aplicación.”7
Existen dos principales sistemas de ocultación que juntos conforman la base de
los sistemas criptográficos actuales:
A- La sustitución: consiste en cambiar los caracteres que componen el mensaje
original en otros según una regla determinada de posición natural en el alfabeto.
B- La transposición: en cambio, consiste en cambiar los caracteres componentes
del mensaje original en otros según una regla determinada de posición en el
orden del mensaje.
El uso de una palabra o serie determinada como base de un sistema de cifrado
posee la ventaja de que, si este es complejo, tan sólo será fácil obtener el texto
en claro a quién sepa dicha palabra, además de ser fácil de recordar. Esta
palabra o serie base del mecanismo de cifrado se denomina clave de cifrado, y el
número de letras que la forman se llama longitud de la clave.
Indudablemente, cuanto más complicado sea el mecanismo de cifrado y cuanto
más larga sea la clave, más difícil será romper el sistema y obtener el mensaje
6
7
http://www.arrakis.es/~anguiano/artautcert.html
Ibidem.
49
original para un extraño. Pero más complicado será también para el destinatario
del mensaje cifrado realizar las operaciones de descifrado y obtener el mensaje
original, por lo que se crea el dilema seguridad / tiempo.
Evidentemente los sistemas criptográficos actuales van mucho más allá de un
sistema como el de transposición, fácil de descubrir en unos cuantos intentos.
Las claves de encriptación van a ser la base fundamental de los modernos
sistemas criptográficos, basados en operaciones matemáticas generalmente muy
complejas.
Una de las tareas que más tiempo ocupa a los grandes sistemas de
computadores es el cálculo de números primos cada vez mayores. Su objetivo es
poder obtener un número que sirva para cifrar mensajes y que luego sea muy
complicado descifrarlos.
Si la comunicación en Internet fuera completamente segura, quizás no sería
necesario encriptar la información que se transfiere, pero conforme está
estructurada dicha comunicación, hoy por hoy esta pasa por muchos sitios antes
de llegar a su destino de tal forma que puede tenerse acceso a ella en cualquiera
de estos puntos o puede ser interceptada por entidades ajenas. Por otro lado,
también es interesante poder disponer de una herramienta que proteja ciertos
archivos o documentos que, aunque no vayan a ser enviados, es conveniente
tenerlos a salvo de miradas indiscretas.
Es por esto que la encriptación es una herramienta que a buen seguro va a ver
incrementado su nivel de utilización, a medida que el comercio electrónico
continúe su expansión; datos y medios de pago han de desenvolverse en un
medio seguro para poder garantizar el comercio.
2- FUNCIONAMIENTO Y CLASES DE ENCRITACION POR INTERNET:
“Toda encriptación se encuentra basada en un Algoritmo cuya función es
básicamente codificar la información para que sea indescifrable a simple vista.”8
8
http://greco.dit.upm.es/~enrique/ce/sec2/par211.html
50
El trabajo del algoritmo es precisamente determinar como será transformada la
información de su estado original a otro que sea muy difícil de descifrar.
Una vez la información es transmitida a su destino final, se aplica el algoritmo al
contenido codificado, obteniendo como resultante el contenido original
Hoy en día los algoritmos de encriptación son ampliamente conocidos, razón por
la cual, para prevenir a otro usuario "no autorizado" descifrar información
encritpada, estos utilizan lo que es denominado llave ("key") para controlar tanto
la encriptación como la desencriptación de información.
Sobre estas bases surgieron nuevos y complejos sistemas criptográficos, que se
clasifican en dos tipos o familias principales, los de clave simétrica y los de clave
pública. “Los modernos algoritmos de encriptación simétricos mezclan la
transposición y la permutación, mientras que los de clave pública se basan más
en complejas operaciones matemáticas.”9 Es decir, existen dos tipos de llaves
("keys"), pero la de mayor uso en Internet es denominada "public key" o algoritmo
asimétrico. El nombre "public" proviene de su funcionamiento: existe una llave
pública que es dada a conocer a cualquier persona que así lo desee (todo
Internet), y que es utilizada por los emisores de mensajes para encriptar
información, y adicionalmente existe otra llave (su pareja por llamarla de alguna
manera) única que es conocida exclusivamente por el destinatario del mensaje, y
es mediante esta llave única/secreta que el destinatario descifra ("desencripta")
los mensajes encriptados por el emisor.
La tendencia de los sistemas de clave simétrica, actualmente, es a ser utilizados
poco o simplemente para cuestiones que no necesiten un alto grado de
protección.
Para una mejor comprensión del tema, se expone a continuación la estructura y
funcionamiento de ambos tipos de encriptación, la de clave simétrica y la de clave
asimétrica respectivamente:
9
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
51
a- Encriptación tradicional o simétrica:
“La encriptación convencional o criptosistema de clave secreta es aquella en
donde cada pareja de usuarios que desee transmitirse un mensaje debe contar
con una clave secreta, sólo conocida por ambos, con la cual cifrar y descifrar, es
decir que se usa la misma clave para encriptar y para desencriptar.”10
Las dos personas dispondrían de una clave, que deberían comunicarse por un
medio imposible de interceptar (canal seguro), como por ejemplo pasarla en
mano. Sin embargo, no siempre es fácil disponer de ese tipo de canal y por otra
parte, seguiría necesitándose una clave para cada par de personas.
Es misión fundamental tanto del emisor como del receptor conocer esta clave y
mantenerla en secreto. Si la llave cae en manos de terceros, el sistema deja de
ser seguro, por lo que habría que desechar dicha llave y generar una nueva.
Para que un algoritmo de este tipo sea considerado fiable debe cumplir varios
requisitos básicos:
- conocido el criptograma (texto cifrado) no se pueden obtener de él ni el texto en
claro ni la clave.
- conocidos el texto en claro y el texto cifrado debe resultar más caro en tiempo o
dinero descifrar la clave que el valor posible de la información obtenida por
terceros.
Las principales desventajas de los métodos simétricos son la distribución de las
claves, el peligro de que muchas personas deban conocer una misma clave, la
dificultad de almacenar y proteger muchas claves diferentes, así como la difícil
transmisión secreta de la clave a utilizar por cada pareja y el gran número de
claves necesarias cuando hay bastantes usuarios.
Todos los sistemas criptográficos clásicos se pueden considerar simétricos, y los
principales algoritmos simétricos actuales son DES, IDEA y RC5. Actualmente se
está llevando a cabo un proceso de selección para establecer un sistema
10
Ibidem
52
simétrico estándar, que se llamará AES (Advanced Encryption Standart), cuyo
objetivo es ser el nuevo sistema que se adopte en el ámbito mundial.
El criptosistema de clave secreta más utilizado hasta enero de 1999, cuando fue
roto, fue el Data Encryption Standard. “DES, es un esquema de encriptación
simétrico desarrollado en 1977 por el Departamento de Comercio y la Oficina
Nacional de Estándares de EEUU en colaboración con la empresa IBM, que se
creó con objeto de proporcionar al público en general un algoritmo de cifrado
normalizado para redes de ordenadores.”11 Estaba basado en la aplicación de
todas las teorías criptográficas existentes hasta el momento, y fue sometido a las
leyes de EEUU
Posteriormente apareció una versión de DES implementada por hardware, que
entró a formar parte de los estándares de la ISO con el nombre de DEA, basado
en un sistema monoalfabético, con un algoritmo de cifrado consistente en la
aplicación sucesiva de varias permutaciones y sustituciones. “Inicialmente el texto
en claro a cifrar se somete a una permutación, con bloque de entrada de 64 bits
(o múltiplo de 64), para posteriormente ser sometido a la acción de dos funciones
principales, una función de permutación con entrada de 8 bits y otra de
sustitución con entrada de 5 bits, en un proceso que consta de 16 etapas de
cifrado.”12
En general, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son
usados para la encriptación, mientras que los 8 restantes son de paridad, y se
usan para la detección de errores en el proceso.
Entre las desventajas actuales de este sistema se pueden resaltar:
-
Se considera un secreto nacional de EEUU, por lo que está protegido por
leyes específicas, y no se puede comercializar ni en hardware ni en
software fuera de ese país sin permiso específico del Departamento de
Estado.
-
La clave es corta, tanto que no asegura una fortaleza adecuada. Hasta
ahora había resultado suficiente, y nunca había sido roto el sistema. Pero
con la potencia de cálculo actual y venidera de los computadores y con el
11
12
http://www.htmlweb.net/seguridad/ssl/ssl_4.html
Ibidem
53
trabajo en equipo por Internet se cree que se puede violar el algoritmo,
como ya ha ocurrido una vez, aunque eso sí, en un plazo de tiempo que
no resultó peligroso para la información cifrada.
-
No permite longitud de clave variable, con lo que sus posibilidades de
configuración son muy limitadas, además de permitirse con ello la creación
de limitaciones legales.
-
“La seguridad del sistema se ve reducida considerablemente si se conoce
un número suficiente de textos elegidos, ya que existe un sistema
matemático, llamado Criptoanálisis Diferencial, que puede en ese caso
romper el sistema en 2 elevado a 47 interacciones.”13
Las ventajas que provee son:
-
Es el sistema más extendido del mundo, el que más máquinas usan, el
más barato y el más probado.
-
Es muy rápido y fácil de implementar.
-
Desde su aparición nunca ha sido roto con un sistema práctico.
El sistema criptográfico simétrico RC5 es el sucesor de RC4, frente al que
presenta numerosas mejoras. “RC4 consiste en hacer un XOR al mensaje con un
arreglo que se supone aleatorio y que se desprende de la clave, mientras que
RC5 usa otra operación, llamada dependencia de datos, que aplica sifths a los
datos para obtener así el mensaje cifrado.”14 Ambos han sido creados por RSA
Data Security Inc., la empresa creada por los autores del sistema RSA,
actualmente una de las más importantes en el campo de los sistemas de cifrado y
protección de datos.
Este sistema, permite diferentes longitudes de clave (aunque está prohibida su
exportación fuera de EEUU con longitudes superiores a 56 bits), y funciona como
un generador de números aleatorios que se suman al texto mediante una
operación de tipo OR-Exclusiva.
Es además ampliamente configurable, permitiendo fijar diferentes longitudes de
clave, número de interacciones y tamaño de los bloques a cifrar, por lo que le
13
14
Ibidem
Ibidem
54
permite adaptarse a cualquier aplicación. Por ejemplo, este algoritmo es el usado
por Nestcape para implementar su sistema de seguridad en comunicaciones SSL
(Secure Socket Layer).
En cuanto a su seguridad, aún es pronto para afirmar algo concluyente, aunque
en 1996 una universidad francesa consiguió romper el sistema RC4 con clave de
40 bits, lo que hace sospechar que RC5 con longitudes de clave de 56 bits no es
suficientemente seguro.
b- Encriptación de clave publica o asimétrica:
Se basa en el uso de dos claves diferentes que poseen una propiedad
fundamental: una clave puede desencriptar lo que la otra ha encriptado.
“Las claves pública y privada tienen características matemáticas especiales, de
tal forma que se generan siempre a la vez, por parejas, estando cada una de
ellas ligada intrínsecamente a la otra, de tal forma que si dos llaves públicas son
diferentes, entonces sus llaves privadas asociadas también lo son, y viceversa.”15
Ambas claves, pública y privada, están relacionadas matemáticamente, pero esta
relación debe ser lo suficientemente compleja como para que resulte muy difícil
obtener una a partir de la otra. Este es el motivo por el que normalmente estas
claves no las elige el usuario, sino que lo hace un algoritmo específico para ello, y
suelen ser de gran longitud.
Mientras que la clave privada debe ser mantenida en secreto por su propietario,
ya que es la base de la seguridad del sistema, la clave pública es difundida
ampliamente por Internet, para que esté al alcance del mayor número posible de
personas, existiendo servidores que guardan, administran y difunden dichas
claves.
15
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
55
Para que un algoritmo de clave pública sea considerado seguro debe cumplir con
las siguientes condiciones:
- conocido el texto cifrado no debe ser posible encontrar el texto en claro ni la
clave privada.
- conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro
en tiempo o dinero descifrar la clave que el valor posible de la información
obtenida por terceros.
- conocida la clave pública y el texto en claro no se puede generar un criptograma
correcto encriptado con la clave privada.
- dado un texto encriptado con una clave privada sólo existe una pública capaz de
desencriptarlo, y viceversa.
La principal ventaja de los sistemas de clave pública frente a los simétricos es
que la clave pública y el algoritmo de cifrado son o pueden ser de dominio público
por lo cual, no es necesario poner en peligro la clave privada en tránsito por los
medios inseguros, ya que ésta se encuentra siempre oculta y en poder
únicamente de su propietario. Como desventaja, los sistemas de clave pública
dificultan la implementación del sistema y son mucho más lentos que los
simétricos.
El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en 1976,
y fue la base para el desarrollo de los que después aparecieron, entre los que
cabe destacar el RSA (el más utilizado en la actualidad). Este algoritmo de
encriptación de Whitfield Diffie y Martin Hellman supuso una verdadera revolución
en el campo de la criptografía, ya que fue el punto de partida para los sistemas
asimétricos, basados en dos claves diferentes,
El algoritmo de clave pública RSA fue creado en 1978 por Rivest, Shamir y
Adlman, y es el sistema criptográfico asimétrico más conocido y usado. Ellos se
basaron en el artículo de Diffie-Hellman sobre sistemas de llave pública, crearon
su algoritmo y fundaron la empresa RSA Data Security Inc., que es actualmente
una de las más prestigiosas en el entorno de la protección de datos.
El sistema PGP (Pretty Good Privacity - Intimidad Bastante Buena) fue diseñado
especialmente por Philip Zimmermann en 1991 para proporcionar una forma
segura de intercambio de correo electrónico. Implementa tanto el cifrado del
56
correo y ficheros como la firma digital de documentos. “Para la encriptación del
documento usa un algoritmo de llave simétrica, con intercambio de clave
mediante sistema de llave pública, normalmente RSA, y para la firma digital suele
utilizar la función hash MD5. No obstante, es un sistema ampliamente
configurable, que permite al usuario elegir entre diferentes sistemas asimétricos,
funciones hash y longitudes de clave.”16
Para usarlo hay que comenzar por generar un par de claves, una pública y otra
privada, siendo posible en ese momento la elección de la longitud de clave
deseada. También hay que fijar una clave personal, que se usará luego para
proteger la llave privada de miradas indiscretas. Las claves pública y privada las
genera automáticamente el algoritmo, mientras que la personal de protección la
elige el usuario. “Una vez generadas las claves, la privada se encripta con la
personal mediante un algoritmo simétrico, siendo posteriormente necesario
desencriptarla cada vez que se desee usarla. En cuanto a la clave pública, se
deposita en un fichero especial, de tipo ASCII (sólo texto), denominado certificado
de clave, que incluye el identificador de usuario del propietario (el nombre de esa
persona y algún dato único, como su dirección de e-mail), un sello de hora del
momento en el que se generó el par de llaves y el material propio de la clave.”17
Cuando se desea mandar un correo o fichero encriptado, PGP lo encripta usando
un sistema simétrico, generalmente IDEA o DES, usando una clave aleatoria, que
posteriormente se encripta con RSA. Se envían el documento cifrado con la clave
aleatoria y ésta encriptada con la llave RSA privada del destinatario. Cuando éste
recibe el correo y desea desencriptarlo, su programa PGP primero descifra la
clave simétrica con su llave privada RSA, y luego descifra el documento usando
la clave desencriptada.
Los sistemas de clave asimétrica son los que se están imponiendo, ya que
ofrecen un mayor grado de seguridad, sobre todo porque no hace falta que la
clave sea conocida nada más que por una persona. Ya se sabe que cuando un
secreto se comparte, hay bastantes posibilidades para que deje de serlo.
16
17
http://www.htmlweb.net/seguridad/ssl/ssl_4.html
Ibidem
57
3- ELEMENTOS DE UNA INFORMACIÓN SEGURA:
Varios son los aspectos que hay que manejar en el proceso de transferencia de
un documento electrónico y que definen una comunicación segura, garantizada
actualmente a través de los sistemas de encriptación:
a- Autenticidad: consiste en la seguridad de que las personas que intervienen en
el proceso de comunicación son las que dicen ser.
El método más usado para proporcionar autenticidad es la firma digital, basada,
en la criptografía, empleando llaves o claves. Las llaves son una secuencia
bastante larga de caracteres y números, generadas por un procedimiento
matemático. Su utilización no es, ni más ni menos, que un proceso por el cual los
comunicantes poseen cada uno dos llaves: Una llave privada, que mantienen en
su poder, y una llave pública, que está a disposición de los posibles
intercomunicadores.
La criptografía permite autenticar la persona con quien se esta realizando
comunicación.
b- Confidencialidad: seguridad de que los datos que contiene el documento
permanecen ocultos a los ojos de terceras personas durante su viaje a través de
la red. No entra en juego sólo el papel que realiza la criptografía ocultando los
datos, sino también lo que se hace con dichos datos una vez han llegado al
destinatario de los mismos.
La Confidencialidad se asegura mediante la encriptación del texto o archivo
objeto de la comunicación, por cualquiera de los métodos existentes, de tal forma
que nadie que no conozca las claves con las que se ha enviado el correo
electrónico podrá enterarse de qué es lo que hay en el correo.
Los datos se pueden transformar (o sea encriptar) de tal manera que nadie los
puede entender sin utilizar la clave correcta. En forma encriptada los datos se
pueden ahora transferir o almacenar en medios poco seguros. La información se
convertirá en el verdadero poder y capital del próximo siglo y la encriptación
58
permitirá a los dueños de la información proteger su propiedad y a la vez les
brindará flexibilidad en su utilización.
c- Integridad: consiste en la seguridad de que los datos del documento no sufren
modificación a lo largo de su viaje por el medio inseguro; es la no alteración del
mensaje desde su salida hasta la llegada
La comprobación de la integridad se suele realizar mediante firmas electrónicas,
generalmente basadas en funciones hash. Los datos se pueden transformar de
tal manera que cualquier cambio en los mismos queda inmediatamente patente.
En otras palabras, la criptografía nos permite crear información que no se puede
falsificar
La Autenticidad es condición suficiente para la Integridad, razón por la cual se
afirma que si un documento es auténtico es integro, pero no al revés.
d- No repudio: una vez enviado un documento, su emisor no puede negar haber
sido el autor de dicho envío. Es la condición de imposibilidad de negación del
envío de un mensaje.
Para ello se utiliza la posibilidad de firmar virtualmente los mensajes. El
destinatario aplicará entonces la llave pública del remitente, única manera de
desencriptar el mensaje y por tanto, garantía de que este está expedido por él.
El No repudio es condición suficiente para la Autenticidad, por lo que si un
documento es no repudiable es auténtico, pero no al revés.
Cualquier sistema de transferencia segura basado en criptografía debería abarcar
estos cuatro aspectos, pero no suelen hacerlo en su totalidad. Así, lo sistemas de
clave simétrica ofrecen confidencialidad, pero ninguno de los otros factores,
mientras que los sistemas de clave pública ofrecen autenticidad, integridad,
confidencialidad en el envío (pero no en las fases posteriores) y no repudio si van
asociados a una firma digital.
59
4- IMPLICACIONES COMERCIALES DE LA ENCRIPTACION:
a- ¿Por qué es importante la criptografía en Internet? Pues porque básicamente
toda la estructura del comercio electrónico dependerá de ella. Pero si, como se
sabe, Internet nació hace más de veinte años como una red militar, ¿por qué es
insegura para transacciones comerciales? la razón: “desde sus inicios se decidió
que la seguridad de la información que se transmitía no era una prioridad, lo más
valioso en ese momento era interconectar computadoras de forma tal que pudiera
resistir fallas severas, posiblemente resultado de un ataque nuclear contra los
Estados Unidos”.18
La criptografía como aliada del comercio electrónico busca principalmente
encontrar un sistema en donde los datos comerciales y financieros puedan viajar
de un modo seguro por la red; a ese sistema se le ha llamado SET.
“SET es un sistema de criptografía basado en el mecanismo de llave pública y
en el cual participan las más importantes compañías de tarjetas de crédito a
nivel mundial (Visa, Master Card y American Express) y varios colosos de la
informática (Microsoft, IBM, Netscape, entre otros).”19
SET cubre los tres principios básicos para asegurar el crecimiento del comercio
en línea:
- La información transmitida es confidencial.
- Las transacciones se deben llevar a cabo con total integridad, es decir sin
pérdida de datos.
- Deber haber autenticidad sobre tarjeta habientes y los comerciantes.
18
19
http://www.iuristic.org/iuristic/html/firma.htm
http://www.cetenasa.es/e-business/Talleres/taller1/x301.htm
60
b- La criptología tiene el potencial de hacer más efectiva y más eficiente la
gestión de un gobierno. Es un arma más poderosa en las manos de los buenos
que en las manos de los malos. Más aún, los realmente malos siempre
conseguirán las herramientas que necesitan, mientras restricciones impuestas en
el desarrollo de la criptología limitarán y atrasarán la realización del potencial de
esas tecnologías para el bien, principalmente en los países del Tercer Mundo.
La gestión gubernamental es un servicio entre un proveedor complejo (el
gobierno) y un gran número de consumidores de esos servicios (los ciudadanos).
Es natural pensar sobre la utilización de tecnologías modernas para mejorar esa
enorme gestión de servicios.
5- PROBLEMÁTICA DE LA ENCRIPTACION:
1- La encriptación se ha convertido en pieza clave de un debate que ha
desbordado muchos foros restringidos, hasta configurarse como uno de los focos
de mayor atención de la mayoría de los gobiernos del planeta, al llevar
directamente al enfrentamiento privacidad en las comunicaciones (derecho
fundamental a la libre expresión) - control gubernamental.
“La colisión de intereses que se produce es, por un lado el Derecho a la Intimidad
y a la Privacidad, y por otro, el deseo de los Cuerpos de Seguridad de que no
exista información a la que no puedan tener acceso.”20
2- En la estructura empresarial actual se tiende a instalar antivirus en los puntos
de conexión de las redes a Internet: firewalls, Proxy, etc., al ser este el sitio más
lógico, ya que por allí van a entrar casi el 90 por ciento de los virus. Pero si el virus
viene en un mensaje de correo electrónico cifrado, ese maravilloso antivirus que
está en el firewall va a fracasar en su misión: al estar el contenido del mensaje
cifrado, no va a poder detectar el virus que pueda contener el mensaje.
De otra manera, los usuarios que recibieran correos cifrados podrían verse
envueltos, inconscientemente en una dispersión de dichos virus. “Si el emisor ha
20
http://www.rebelion.org/ddhh/digital080901.htm
61
cifrado el mensaje, también ha cifrado el virus. Nadie, ni siquiera el antivirus más
potente podría descifrar el mensaje para su análisis. Simplemente buscaría un
virus en un montón de caracteres y símbolos que al ser incomprensibles
ocultarían al virus de una manera tan eficaz como ocultan el texto.”21 Por ello, la
protección en las estaciones de trabajo debe ser tan fuerte como la perimetral, ya
que es en la estación de trabajo donde el mensaje se descifrará y aparecerá el
virus.
En definitiva, nadie duda que los sistemas de cifrado son una herramienta que
aumenta la seguridad de las comunicaciones, pero tienen su reverso tenebroso:
ocultan virus a los antivirus perimetrales que no estén preparados. La única
solución para evitar que los virus cifrados entren en la empresa, debe ser una
protección perimétrica efectiva que bloquee los elementos cifrados no
autorizados antes de que puedan alcanzar los servidores y las estaciones de
trabajo de la empresa.
21
http://delitosinformaticos.com/delitos/delitosinformaticos4.shtml
62
CAPITULO IV
FIRMA DIGITAL
1- CARACTERÍSTICAS Y ASPECTOS TÉCNICOS:
A- Definición:
La firma electrónica es un conjunto de datos asociados a un documento
electrónico, que permite asegurar tanto la identidad del firmante como la
integridad del mensaje, pudiendo ser definida como “una secuencia de datos
electrónicos (bits) que se obtienen mediante la aplicación a un mensaje
determinado de un algoritmo (fórmula matemática) de cifrado asimétrico o de
clave pública, y que equivale funcionalmente a la firma autógrafa en orden a la
identificación del autor del que procede el mensaje”22. En definitiva, es el
equivalente a la firma de puño y letra en el mundo digital y tiene el mismo valor
jurídico que la manuscrita.
Desde un punto de vista material, la firma electrónica es una simple cadena o
secuencia de caracteres que se adjunta al final del cuerpo del mensaje firmado
electrónicamente.
No deben confundirse la firma electrónica y la firma digitalizada, pues esta última
es el resultado de pasar la firma manuscrita a través del scanner, en
contraposición a la primera que, como se señalo anteriormente, es el equivalente
a la de puño y letra en el mundo digital y tiene el mismo valor jurídico que con la
manuscrita.
La firma electrónica no es otra cosa que una técnica para verificar que un
documento ha sido realizado por el poseedor de determinado algoritmo (lo que se
conoce como llave privada). Firmar electrónicamente consiste en “realizar una
22
http://www-5.ibm.com/es/ibm/politicaspublicas/libroazul/marco/firma.html
63
operación matemática que convierte el documento original en otro nuevo, cuyos
caracteres guardan con el original una relación matemática basada en el
algoritmo de cifrado”23. Este nuevo documento es ininteligible, y sólo sirve para
verificar que el documento original guarda con el segundo la esperada relación
matemática basada en el algoritmo de cifrado.
B- Procedimiento:
El método existente consiste en la “utilización de un sistema de encriptación
llamado "asimétrico" o "de doble clave", en virtud del cual, se establecen un par
de claves asociadas a un sujeto, una pública -que comunica a terceros y que
puede ser conocida por todos- y otra privada -sólo conocida por él –“24. Para
firmar electrónicamente un documento lo hará con su clave privada y quien lo
reciba lo abrirá con la pública; para realizar una comunicación segura dirigida a
dicho sujeto basta con encriptar el mensaje con la clave pública para que, a su
recepción,
sólo
el
que
posea
la
clave
privada
pueda
leerlo.
El procedimiento utilizado para firmar digitalmente un mensaje es el siguiente: el
firmante genera mediante una función matemática una huella digital del mensaje,
la cual se encripta con la clave privada del firmante, y el resultado es lo que se
denomina firma digital la cual se enviará adjunta al mensaje original. De esta
manera el firmante va a estar adjuntando al documento una marca que es única
para ese documento y que sólo él es capaz de producir. A su vez, el receptor del
mensaje podrá comprobar que el mensaje no fue modificado desde su creación y
que el firmante es quién dice serlo a través del siguiente procedimiento: en primer
término generará la huella digital del mensaje recibido, luego desencriptará la
firma digital del mensaje utilizando la clave pública del firmante y obtendrá de esa
forma la huella digital del mensaje original; si ambas huellas digitales coinciden,
23
24
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
http://www-5.ibm.com/es/ibm/politicaspublicas/libroazul/marco/firma.html
64
significa que el mensaje no fue alterado y que el firmante es quien dice serlo.
Esto no significa que la firma digital sea un password, ya que es el resultado de
un procedimiento realizado con una clave numérica llamada clave privada, es
creada por un algoritmo de generación de claves el cual se encarga de generar
junto con la clave privada una segunda clave denominada clave pública que
funciona como complemento de esta. La clave privada debe permanecer bajo el
exclusivo control de su propietario siendo este el único capaz de tener acceso a
ella, siendo esta característica lo que permite que una firma digital identifique en
forma unívoca al firmante; la clave pública por otra parte es la que permite
verificar a un tercero el origen de la firma y la no alteración del mensaje.
La firma electrónica se basa en la utilización combinada de dos técnicas distintas,
que son la criptografía asimétrica o de clave pública para cifrar mensajes y el uso
de las llamadas funciones hash o funciones resumen, las cuales expondremos a
continuación:
1- Sistemas Criptográficos Asimétricos o de Clave Pública: La firma digital está
basada en el principio criptográfico de claves pública y privada, que se atribuyen
a una persona determinada y de ahí el nombre de asimétricos. Cada usuario
dispone de dos claves, la privada de uso personal y carácter secreto sirve para
firmar y cifrar documentos, que sólo pueden ser desencriptados con la pública y
que tienen las siguientes características
a. Una de las claves, la privada, permanece secreta y es conocida únicamente
por la persona a quien se ha atribuido el par de claves y que la va a utilizar para
cifrar mensajes. La segunda clave, la pública, es o puede ser conocida por
cualquiera.
b. Ambas claves, privada y pública, sirven tanto para cifrar como para descifrar
mensajes.
c. A partir de la clave pública, que es conocida o puede ser conocida por
cualquiera, no se puede deducir ni obtener matemáticamente la clave privada, ya
65
que si partiendo esta, se pudiera obtener la clave privada, el sistema carecería de
seguridad dado que cualquier podría utilizar la clave privada atribuida a otra
persona pero obtenida ilícitamente por un tercero a partir de la clave pública.
“Este dato se basa en una característica de los números primos y en el llamado
problema de la factorización consistente en la obtención, a partir de un
determinado producto, de los factores cuya multiplicación ha dado como
resultado ese producto. Los números primos (números enteros que no admiten
otro divisor que no sea el 1 o ellos mismos), incluidos los números primos
grandes, se caracterizan porque si se multiplica un número primo por otro número
primo, da como resultado un tercer número primo a partir del cual es imposible
averiguar y deducir los factores”. 25
El criptosistema de clave pública más utilizado en la actualidad es el llamado
RSA, creado en 1978 y que debe su nombre a sus tres creadores (Rivest, Shamir
y Adleman).
La utilización del par de claves (privada y pública) implica que A (emisor) cifra un
mensaje utilizando para ello su clave privada y, una vez cifrado, lo envía a B
(receptor), quien descifra el mensaje recibido utilizando la clave pública de A. Si
el mensaje descifrado es legible e inteligible significa necesariamente que ese
mensaje ha sido cifrado con la clave privada de A (es decir, que proviene de A) y
que no ha sufrido ninguna alteración durante la transmisión de A hacia B, porque
si hubiera sido alterado por un tercero, el mensaje descifrado por B con la clave
pública de A no sería legible ni inteligible. Así se satisfacen las necesidades de
integridad (certeza de que el mensaje no ha sido alterado) y no repudiación en
origen (imposibilidad de que A niegue que el mensaje recibido por B ha sido
cifrado por A con la clave privada de éste) esenciales para la transmisión de
información por vía electrónica. La identidad del emisor del mensaje, se obtiene
mediante la utilización de los certificados digitales, tema que se analizará en el
capitulo siguiente.
25
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
66
2- Sistemas Criptográficos Simétricos: Son aquellos en los que dos personas (A y
B), que van a intercambiarse mensajes entre sí, utilizan la misma clave para cifrar
y descifrar el mensaje. Así, el emisor del mensaje (A), lo cifra utilizando una
determinada clave, y una vez cifrado, lo envía a B. Recibido el mensaje, B lo
descifra utilizando la misma clave que usó A para cifrarlo. Los sistemas
criptográficos simétricos más utilizados son los conocidos con los nombres de
DES, TDES y AES. Sin embargo, estos sistemas presentan significativos
inconvenientes, de los cuales se desprende que no sean aptos para ser utilizados
en redes abiertas como Internet, en las que confluyen una pluralidad
indeterminada de personas que se desconocen entre sí y que en la mayoría de
los casos no podrán intercambiarse previamente claves de cifrado por ningún
medio seguro:
a. La necesidad de que A (emisor) y B (receptor) se intercambien previamente
por un medio seguro la clave que ambos van a utilizar para cifrar y descifrar los
mensajes.
b. La necesidad de que exista una clave para cada par de personas que vayan a
intercambiarse mensajes cifrados entre sí.
3- Las funciones Hash:
El problema en transacciones celebradas a través de Internet (lo habitual), es que
consumen un gran ancho de banda, ya que el documento ininteligible que sirve
de base para comprobar la autenticidad del original ocupa mayor espacio que
éste.
Por esta razón, junto a la criptografía asimétrica se utilizan en la firma digital las
llamadas funciones hash o funciones resumen. Los mensajes que se
intercambian pueden tener un gran tamaño, hecho éste que dificulta el proceso
de cifrado. Por ello, no se cifra el mensaje entero sino un resumen del mismo,
obtenido a partir de la aplicación de una funcion hash a este.
67
Se recurre a realizar antes de la firma un resumen automático del original. No se
trata lógicamente de un resumen en el sentido de extraer las ideas principales del
documento, sino en el sentido de obtener un texto que, sea cual sea la longitud
del documento original, siempre tendrá la misma brevísima extensión de un par
de líneas de texto. Ello se hace de tal forma que la modificación de una sola
coma o de cualquier otro carácter en el documento original, generaría un
resumen totalmente distinto. Esta técnica se denomina hash. Realizada esta
operación de resumen se procede a su firma, con lo que se obtiene un
pequeñísimo documento igualmente ininteligible y también siempre de la misma
extensión, que es el que habrá de acompañar al documento original.
“Partiendo de un mensaje determinado que puede tener cualquier tamaño, dicho
mensaje se convierte mediante la función hash en un mensaje con una dimensión
fija (generalmente de 160 bits). Para ello, el mensaje originario se divide en varias
partes cada una de las cuales tendrá ese tamaño de 160 bits, y una vez dividido
se combinan elementos tomados de cada una de las partes resultantes de la
división para formar el mensaje-resumen o hash, que también tendrá una
dimensión fija y constante de 160 bits. Este resumen de dimensión fija es el que
se cifrará utilizando la clave privada del emisor del mensaje. ”26
C- Características:
La firma electrónica permite:
1- La identificación de la parte o partes firmantes, es decir, quién ha generado y/o
aceptado el documento firmado. La firma garantiza que el firmante o los
intervinientes son quienes dicen ser.
2- La autenticación del contenido, esto es, el contenido del documento se
almacena o (en el supuesto de envío) se recibe íntegramente y sin modificación
alguna. El contenido del documento electrónico firmado no puede ser alterado.
26
Ibidem
68
3- La confidencialidad, ya que el contenido, al estar cifrado, sólo puede ser
conocido por el firmante o por aquellos a quien el firmante autorice a acceder al
documento firmado. El contenido del documento electrónico firmado sólo será
conocido por quienes estén autorizados a ello.
4- El no repudio entre las partes. Puesto que se garantiza que el firmante o las
partes firmantes son quienes dicen ser, ninguno de ellos puede negar haber
firmado, enviado o recibido el documento.
2- ASPECTOS LEGALES:
En líneas generales, la regulación de la firma electrónica debe tener en cuenta a
lo largo del procedimiento legislativo:
1- El sistema de regulación ha de ser flexible y no restrictivo.
2- Las normas deben ser tecnológicamente neutrales, sin que tengan
especificaciones técnicas que impliquen la utilización de unos sistemas
determinados y que beneficien a algunos fabricantes sobre otros.
3- Se debe reconocer la libertad contractual de las partes, que puedan adoptar un
determinado sistema de acreditación o firma que reconozcan como válido en un
contrato.
4- Es conveniente apoyar la creación de estándares acordados por el sector.
5- No debería autorizarse ningún sistema de almacenaje de claves privadas, en
el que todo usuario que quisiera emplear un software criptográfico tuviera que
entregar una copia de su clave privada a un "tercero de confianza" -que sería un
organismo gubernamental- Si en un país se establece dicho sistema se está
permitiendo a terceros ajenos a la comunicación el acceso a la clave y, por tanto,
al contenido del mensaje, dando así oportunidades de atacar la privacidad con
fines delictivos; por ejemplo las claves tendrían que ser guardadas en un archivo
69
centralizado que sería un objetivo muy tentador para los hackers. Por otro lado
supone graves problemas para el comercio electrónico ya que los usuarios no
realizarán transacciones comerciales a través de Internet tan masivamente como
lo harían en otras circunstancias, debido al temor de que información confidencial
-como el número de su tarjeta de crédito- pudiera terminar en manos de
delincuentes.
3- ASPECTOS JURÍDICOS:
¿Cuál es el valor Jurídico y cuales son los efectos de la Firma electrónica?
Además de otorgársele valor probatorio, “el principal efecto jurídico de la firma
electrónica es la satisfacción del requerimiento de firma bajo la figura de 'acuerdo
de partes' que las leyes establecen, adquiriendo su mismo alcance y siendo su
empleo una alternativa de la firma manuscrita u hológrafa.”27
Los requisitos para la validez y eficacia jurídica son:
1- Identidad, que implica poder atribuir de forma indubitada el mensaje
electrónico recibido a una determinada persona como autora del mensaje.
2.- Integridad, que implica la certeza de que el mensaje recibido por el receptor
es exactamente el mismo mensaje emitido por el emisor, sin que haya sufrido
alteración alguna durante el proceso de transmisión.
3- No repudiación o no rechazo en origen, que implica que el emisor del mensaje
no pueda negar en ningún caso que el mensaje ha sido enviado por él.
La firma digital es pues un procedimiento técnico, que basándose en la
criptografía,
trata
de
dar
respuesta
a
esa
triple
necesidad
apuntada
anteriormente, a fin de posibilitar el tráfico comercial electrónico.
27
http://www.lasasesorias.com/es/publica/firmaelectronica/
70
A los tres requisitos anteriores, se une un cuarto elemento: la confidencialidad; no
es un requisito esencial de la firma digital sino accesorio de la misma. La
confidencialidad implica que el mensaje no haya podido ser leído por terceras
personas distintas del emisor y del receptor durante el proceso de transmisión del
mismo.
Actualmente se pueden distinguir dos tipos de firma electrónica cuya diferencia
radica en el tratamiento legislativo y como consecuencia de ello en su eficacia
jurídica, mas no en sus aspectos técnicos. La diferenciación entre ambas clases
de firmas está hecha en función de la protección legal que ellas producen:
“1- Firma Electrónica: autentifica la identidad de la persona (es como "mostrar"
nuestra cédula de identidad, para que se confirme la identidad del firmante)
2- Firma electrónica Avanzada: autentifica la identidad, pero además permite
llevar a cabo transacciones comerciales avanzadas y contratos, (es como ir a la
Notaria donde se surte la identificación y además se confirma ante el Notario la
legalidad de la transacción o relación jurídico-comercial).”28
Los principales debates jurídicos que plantea la firma electrónica vienen referidos
a tres ramas del Derecho, a saber:
1- Al Derecho Privado, como declaración de voluntad que es.
2- Al Derecho Constitucional, al estar estrechamente ligada al respeto a la
intimidad del individuo y a la libertad de expresión, aunque estos problemas
conectan con otros de naturaleza jurídico-privada.
3- Finalmente al Derecho Penal en cuanto a la discusión política de si resulta o
no conveniente ampliar los tipos legales para incluir en su estricta definición
nuevos medios de cometer antiguos delitos.
28
http://www.utem.cl/cyt/derecho/firma.html
71
4- IMPLANTACIÓN: TRASCENDENCIA COMERCIAL:
La incorporación de las nuevas tecnologías de la información en todas las
actividades, hace que en muchas ocasiones, los conceptos jurídicos tradicionales
resulten poco idóneos para interpretar las nuevas realidades de la sociedad
actual, inmersa en la era de la revolución informática, fundamentalmente en lo
relativo al manejo de la información, la cual ha sido calificada como un auténtico
poder de las sociedades avanzadas, siendo activo fundamental y pilar básico de
su desarrollo. Las repercusiones sociales, jurídicas y económicas de la Sociedad
de la Información29 son considerables y plantean oportunidades y retos clave a
individuos, empresas y gobiernos, no obstante plantea problemas de gran
envergadura, entre los cuales y como principal, se encuentra el de la seguridad y
confidencialidad de la información que circula por la red, la cual, y dado su
carácter supranacional, implica situaciones, que deben ser resueltas con una
combinación de técnica y regulación normativa.
Este es el problema que intenta solucionar el mecanismo de la firma electrónica,
justificable desde el momento en que los contratos, las transacciones
económicas, las compras, etc. se realizan on-line (a través de la Internet), sin la
presencia física de las partes y frente a la utilización pervertida de las nuevas
tecnologías (aparición de los denominados delitos informáticos), que atenta
contra la información como bien jurídico de naturaleza colectiva o macro-social.
29
La comisión de la sociedad de la información, ha definido este concepto así: La sociedad de información es un término usado para
describir una sociedad y una economía que hacen el mejor uso posible de las nuevas tecnologías de información y de comunicación
(ICT's). En una sociedad de la información, las personas obtienen los beneficios completos de la nueva tecnología en todos los aspectos
de sus vidas: en el trabajo, en su casa y en el juego. Ejemplos de ICT's son: cajeros automáticos para el retiro de dinero en efectivo y
otros servicios bancarios, teléfonos móviles, televisión del teletexto, faxes y servicios informativos tales como el Internet y el E-mail.
Estas nuevas tecnologías tienen implicaciones en todos los aspectos de la sociedad y la economía; están cambiando la manera de hacer
negocios, aprender y aprovechar el tiempo libre.
La Sociedad de la Información, adicionalmente, implica desafíos importantes para los gobiernos:
+ Necesidad de actualizar el sistema normativo para que pueda apoyar las transacciones electrónicas.
+ Necesidad de educar a las personas sobre la nueva tecnología.
+ Los negocios deben incorporarse al ciberespacio para poder obtener éxito.
+ Los servicios de gobierno deben estar disponibles electrónicamente.
72
En definitiva, la firma digital se presenta como un instrumento de seguridad y
confidencialidad de las actividades que se producen en el curso de la interacción
humana en todos sus ámbitos y que dependen de los sistemas informáticos
(transporte, comercio, sistema financiero, gestión gubernamental, arte, ciencia,
relaciones laborales, tecnología, etc.) ya que el comercio, pionero en
innovaciones jurídicas introducidas en el pasado por medio de la costumbre, una
vez más toma la delantera, e innumerables transacciones económicas se vienen
realizando a través de los medios electrónicos, sin más soporte legal que el pacto
entre las partes. La contratación electrónica en su más puro sentido, poco a poco
se viene abriendo paso y crece de forma espectacular; una vez más los hechos
caminan delante del Derecho.
La firma electrónica es pues un requisito esencial para el desarrollo de la
economía digital porque, gracias a ella, será más fácil comprar, contratar o llegar
a cualquier tipo de acuerdo a través de Internet, al aportar seguridad y
compromiso a las relaciones
Es así como desde el punto de vista comercial y económico, la utilidad de la firma
electrónica se manifiesta en los siguientes puntos:
1- Asegurar que la contraparte, en una relación vía Internet, es quien dice ser.
2- Garantizar que el contenido del mensaje, al ir debidamente cifrado hasta que
llega a su destinatario, no puede accederse en el caso de que algún tercero no
autorizado lo intercepte durante dicho tránsito.
3- Certificar que el destinatario recibió el mensaje, registrándose incluso la hora y
segundos a los que tal evento ocurrió, fenómeno que se conoce como “no
repudio”.
4- Posibilitar, que en caso de interceptación no autorizada del mensaje, o intento
de modificarlo, ello se detecte automáticamente.
73
5- Garantizar, que en el supuesto de estar ante una página Web determinada, se
tenga plena certeza sobre esto; es decir, evitar que mediante el fenómeno
denominado web spoofing, un cracker o hacker habilidosos pueda generar la
falsa idea de creer que se esta ante una página web concreta, cuando en
realidad es otra, amañada debidamente por éste para sus propios fines.
74
CAPITULO V
AUTORIDADES DE CERTIFICACION
1- CERTIFICADO DIGITAL:
En los métodos de criptografía asimétrica o de clave pública, cada entidad sólo
ha de poseer un par de claves (privada y pública) independientemente del
número de sistemas con los que se comunique; el único requisito que se ha de
cumplir es la integridad de la clave, para así evitar que un posible atacante
sustituya una clave pública y suplante a su usuario legítimo. Para impedir esto se
recurre a lo que se denomina certificados de clave pública, emitidos por unas
entidades de confianza llamadas Autoridades de Certificación (Certification
Authorities), que garantizan que una determina clave pública pertenece a su
verdadero poseedor, proporcionando las más absolutas garantías de seguridad
respecto a cuatro elementos fundamentales en el comercio electrónico:
· La identificación del usuario/entidad (es quien asegura ser)
· La confidencialidad del mensaje (que sólo lo podrá leer el destinatario)
· La integridad del documento (nadie los ha modificado)
· El no repudio (el mensaje una vez aceptado, no puede ser rechazado por el
emisor)
Los certificados digitales son documentos (registros electrónicos) que atestiguan
que cierta clave pública pertenece a un individuo o entidad determinada, ya que
relacionan la identidad de su poseedor con la clave pública a la que se refiere,
que han sido firmados digitalmente con la clave privada de la respectiva
Autoridad de Certificación (AC). A su vez, evitan que cualquiera pueda generar
un clave distinta y pueda hacerse pasar por cualquier otra persona ya que, de
75
no ser ciertas las informaciones que van asociadas a la clave pública (identidad
de su dueño) la AC se negará a emitir el correspondiente certificado, con lo que
los demás agentes no la aceptaran como clave pública de confianza. El
Certificado de Clave Pública es válido únicamente dentro del período de
vigencia, que comienza en la fecha de inicio indicada en el certificado y finaliza
en su fecha de vencimiento, o con su revocación si fuere revocado. La fecha de
vencimiento del Certificado de Clave Pública en ningún caso puede ser posterior
a la del vencimiento del Certificado de Clave Pública de la Autoridad de
Certificación.
Si bien, lo antedicho se refiere a las firmas digitales basadas en criptosistemas de
clave pública, éstas también pueden basarse en criptosistemas de clave secreta
convencionales, caso en el cual, el papel que juegan las Terceras Partes
Confiables, también denominadas Terceras Partes de Confianza Incondicional,
es en tiempo real, a diferencia de lo que ocurre en el caso de las firmas digitales
basadas en criptosistemas asimétricos. El carácter de incondicionalidad que
deben tener esos agentes se debe a que tanto ellos como los demás agentes a
los que prestan servicio, comparten los mismos “secretos” sobre los que basan la
identidad, por lo que, la TPC podría suplantar a cualquiera de sus asociados. En
este escenario el papel que juega la TPC es de intermediario entre los dos
comunicantes, por lo que participa en todas las transacciones y, al ser un
elemento central del sistema de identidades, se convierte en un “cuello de
botella” que limita el número de agentes a los que puede dar servicio.
“El Certificado Digital o Certificado de Clave Pública debe responder a formatos
estándares reconocidos internacionalmente y contener, como mínimo, los
siguientes datos:
1. el nombre identificador de la Autoridad de Certificación emisora,
2. el nombre identificador del titular de ese certificado,
3. un número de serie que identifica unívocamente al certificado,
4. las fechas de inicio y caducidad del certificado,
76
5. La clave pública y otros tipos de informaciones según sean las finalidades del
certificado.”30
Lo más importante de un certificado es que toda la información anterior va
firmada de modo indisoluble con la clave privada de la Autoridad de Certificación
emisora.
Las Autoridades de Certificación pueden emitir diferentes tipos de certificados,
que básicamente son:
1. Certificados de Identidad: son los más utilizados actualmente dentro de
los criptosistemas de clave pública y ligan una identidad personal (usuario) o
digital (equipo, software, etc.) a una clave pública.
2. Certificados de Autorización o potestad: son aquellos que certifican otro
tipo de atributos del usuario distintos a la identidad, como pueden ser, el
pertenecer a una determinada asociación, disfrutar de una serie de privilegios,
poseer un carné de conducir, etc.
3. Certificados Transaccionales: son aquellos que atestiguan que algún
hecho o formalidad acaeció o fue presenciada por un tercero; el agente de
registro al servicio de la Autoridad de Certificación emisora.
4. Certificados de Tiempo o de estampillado digital de tiempo: permiten dar
fe de que un documento existía en un instante determinado de tiempo, por lo que
constituyen un elemento fundamental de todos los servicios de registro
documental y de protección de la propiedad intelectual o industrial que se están
proponiendo.
Una vez que los que intervienen en una transacción electrónica cuenten con sus
respectivos Certificados, ya no será necesario que intercambien sus claves a
través del medio de transmisión, sino que intercambiarán Certificados.
Cada Autoridad Certificadora realiza un proceso particular para emitir un
Certificado, firmando además uno o varios contratos con el solicitante del
30
http://www.iee.es/come_002.htm
77
Certificado, en los cuales se establecerán los derechos, obligaciones y
responsabilidades de las partes en relación con la emisión de un Certificado.
2- CONFIABILIDAD:
La sociedad actual comienza a hacer uso intensivo de las computadoras y
sistemas de comunicación digital como herramientas básicas para el desarrollo
de sus actividades, en las cuales y al igual que en el mundo no digital, las
transacciones de valor en redes públicas sólo podrán realizarse si dentro de ellas
hay agentes especiales, entidades digitales que ofrezcan confianza a los demás
agentes de la red, los cuales se denominan, en general, Terceras Partes
Confiables (TPC) que pueden ser organizaciones o instituciones de carácter
público o privado tales como Servicios Nacionales de Correos, Instituciones
Bancarias, y otros, ya que en la mayor parte de los casos, los usuarios no
conocen personalmente, en el sentido habitual del término, a los gestores u otros
usuarios del sistema, por lo que se carece de confianza, esto es, “la actitud hacía
alguien en quién se confía o se espera que haga cierta cosa necesaria para su
tranquilidad”. “La criptografía, por sí misma, no proporciona ese nivel de
“tranquilidad” deseado e indispensable, por lo que es necesario recurrir a
mecanismos de orden superior como los protocolos de seguridad.”31 Mediante
estos protocolos, si dos usuarios desconfían, lo cual debería ser la pauta habitual
en las redes telemáticas actuales, éstos pueden interaccionar con un tercero de
modo tal que, al terminar con éxito el protocolo, puedan terminar confiando
mutuamente para la realización de sus operaciones dentro de la red. Para ello,
todas las partes involucradas deberán participar en un mismo protocolo, en cuyo
diseño se incluyen medidas de seguridad que son sobre las que se asienta la
confianza recién adquirida. “Los protocolos, en general, consisten en desligar el
proceso a seguir para realizar una determinada tarea del mecanismo y
31
http://www.arrakis.es/~anguiano/artautcert.html
78
herramientas concretas utilizadas; en resumen, todo protocolo sólo especifica las
reglas de comportamiento a seguir.”32
Es necesario recordar que existen diferentes tipos de protocolos en los que
intervienen terceras partes confiables (Trusted Third Party, TPC):
•
Los protocolos arbitrados: En ellos una TPC o Autoridad de
Certificación participa en la transacción para asegurar que ambos
lados actúan según las pautas marcadas por el protocolo.
•
Los protocolos notariales: En este caso la TPC, además de
garantizar la correcta operación, también permite juzgar si ambas
partes actuarán por derecho según la evidencia presentada a través
de los documentos aportados por los participantes e incluidos
dentro del protocolo notarial. En estos casos, se añade la firma
(digital) del notario a la transacción, pudiendo éste testificar,
posteriormente, en caso de disputa.
•
Los protocolos auto verificables: En estos protocolos cada una de
las partes puede darse cuenta si la otra actúa deshonestamente,
durante el transcurso de la operación.
Igual que existe una relación intrínseca entre firma electrónica y certificado,
porque sin certificados no podríamos verificar las firmas electrónicas, existe otra
relación
intrínseca
entre
certificados
y
confianza
digital.
Sin certificados digitales no existiría la confianza digital, entendida como el
“conjunto de informaciones que hay que procesar en una red para que la misma
sea segura, informaciones que se transmiten en la propia red”33. Pues bien, la
única forma conocida para transmitir estas informaciones necesarias para que la
red sea segura a través de la propia red es escribirlas dentro de un certificado,
porque el certificado es razonablemente infalsificable.
32
33
Ibidem
http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
79
Dentro del comercio electrónico se presentan dos tipos de mercados; el primero
de ellos es el actual mercado basado en las normas EDI que permite realizar las
actividades propias del negocio entre socios comerciales específicos y a través
de redes de valor añadido bien definidas y de marcado carácter privado; el otro,
es el del comercio minorista o al por menor, donde las PYMES y los clientes se
encuentran conectados, vía Internet, a servicios online de aquellos en los que se
exhiben las características más sobresalientes de los productos y servicios
ofertados. Este último, al mismo tiempo que ofrece más oportunidades, conlleva
en sí un gran número de procesos y sistemas, así como la necesidad de una
mayor seguridad lógica en lo que se transmite a través de las redes públicas. En
el escenario EDI, gran parte de la seguridad proviene del hecho de tratarse de
una red privada, compuesta por enlaces punto a punto, y sometida a la vigilancia
y control de los operadores nacionales de la red básica de telefonía. En el caso
del mercado minorista, la mezcla de procedencias y contenidos de la información
que circula por la misma red física hace imposible que el gestor de la
red
proporcione servicios de seguridad a sus usuarios, por lo que la imposibilidad de
basarse en la seguridad física de la red de transporte exige la utilización de
sistemas lógicos de protección.
Para facilitar el comercio electrónico de un punto a otro sin el establecimiento de
acuerdos previos y específicos entre las partes, y para abrir nuevas
oportunidades de negocio, los gestores de las Autoridades de Certificación del
mercado electrónico deben actuar como entidades intermediarias que certifiquen
la identidad y solvencia de sus inscritos, sus referencias financieras, sus
capacidades para el comercio internacional, entre otros, todo ello para justificar la
confianza mínima necesaria entre las partes para poder realizar transacciones
provechosas.
Con la ayuda de los certificados digitales emitidos por las diferentes Autoridades
de Certificación, los agentes del mercado pueden por ejemplo, contestar a
preguntas que se hace el vendedor o suministrador, tales como: ¿Será capaz de
emitir un pedido en firme? ¿De dónde va a salir el dinero para pagar el articulo?...
Crédito, saldos disponibles, etc., del comprador o cliente y toda la información
80
que daría repuesta a estas preguntas, es lo que debe aparecer en los certificados
de autorización que emitirán las correspondientes AC, según el historial de
Electronic Data Interchange. Por su parte, los certificados de identidad emitidos
por agencias normalmente externas al sistema financiero, serán los que permitan
responder a preguntas que se formulan ambas partes, tales como: ¿Es ésta la
persona o empresa quien dice ser? ¿Está este comprador en la capacidad de
realizar la compra? En el mismo sentido, el comprador también puede
preguntarse: ¿Satisfará el producto mis requisitos de calidad? ¿Entregará el
transportista el pedido a tiempo?
La forma más efectiva y aceptada hoy en día para realizar transacciones en el
comercio electrónico entre proveedores y clientes que no han tenido una relación
previa, es a través de clubes de comercio electrónico. En tales casos, las
empresas y clientes se limitan a comprar dentro de un mismo mercado que está
centrado en ciertos sectores, regiones o grupos de interés. “Mediante la
asociación mutua a un mercado, tanto el comprador como el vendedor confían en
el gestor del mismo que, como Autoridad de Certificación, asegura que cada
parte es quién dice ser y cuenta con capacidad suficiente para actuar como
agente de pleno derecho.”34 El hecho de manejar diferentes tipos de certificados
en el futuro será factible, en la medida que los “comerciantes electrónicos” se
suscriban a los diferentes servicios de certificación que actúen como Autoridades
de Certificación dentro de cada uno de los sectores o mercados, y conforme a la
normatividad y requisitos de ley vigentes.
3- OBLIGACIONES DE LOS INTERVINIENTES:
a- Autoridades de Certificación (AC):
1. Abstenerse de generar, exigir, o por cualquier otro medio tomar conocimiento
o acceder bajo ninguna circunstancia, a la clave privada de los titulares de
Certificados por él emitidos.
34
http://greco.dit.upm.es/~enrique/ce/sec2/par211.html
81
2. Mantener el control exclusivo de su propia Clave Privada e impedir su
divulgación.
3. Operar utilizando un sistema técnicamente confiable.
4. Notificar al solicitante sobre las medidas necesarias que está obligado a
adoptar para crear firmas digitales seguras y para su verificación confiable, así
como de las obligaciones que asume por el solo hecho de ser titular de un
Certificado de Clave Pública.
5. Exigir únicamente aquellos datos personales del titular del Certificado que
sean necesarios para su emisión, quedando el solicitante en libertad de proveer
información adicional.
6. Mantener la Confidencialidad de toda información que no figure en el
Certificado.
7. Poner a disposición del solicitante de un certificado toda la información
relativa a su tramitación.
8. Mantener la documentación que soporta los certificados emitidos.
9. Incorporar en las condiciones de emisión y utilización de sus certificados los
efectos de la revocación de su propio Certificado de Clave Pública.
10. Publicar en Internet en forma permanente e ininterrumpida los certificados
que ha emitido, la lista de certificados revocados, las condiciones de emisión y
utilización de sus certificados, su manual de procedimientos, su dirección de
atención al público, de correo electrónico y sus números telefónicos.
11. Registrar las presentaciones que le sean formuladas, así como el trámite
conferido a cada una de ellas.
12. Si las condiciones de emisión y utilización de sus Certificados requieren la
verificación de la identidad del titular, realizar dicha verificación por intermedio
del Oficial Público competente, según la normatividad vigente.
13. Verificar, de acuerdo con lo dispuesto en el manual de procedimientos de la
Autoridad de Certificación, toda otra información que deba ser objeto de
verificación según lo dispuesto en el citado manual, la que debe figurar en las
condiciones de emisión y utilización de sus certificados y en los certificados.
82
14. Informar a los usuarios de Certificados de Clave Pública y aplicar el Plan de
Contingencia previsto, cuando tuviera sospechas fundadas de que la privacidad
de su Clave Privada hubiese sido comprometida o cuando el criptosistema
asimétrico de Clave Pública en él contenida haya dejado de ser seguro.
15. Emplear personal idóneo que tenga los conocimientos específicos, la
experiencia necesaria para proveer los servicios ofrecidos y, en particular,
competencia en materia de gestión, conocimientos técnicos en el ámbito de la
firma digital y experiencia adecuada en los procedimientos de seguridad
pertinentes.
16. Disponer de recursos económicos suficientes para operar y afrontar el
riesgo de responsabilidad por daños.
b- Titular de un Certificado de Clave Pública:
1. Manifestar de forma seria, formal y sincera los datos que provea a la
Autoridad de Certificación
2. Mantener el control exclusivo de su Clave Privada, no compartirla, e impedir
su divulgación.
3. Informar sin demora a la Autoridad de Certificación (AC) sobre cualquier
circunstancia que pueda haber comprometido la privacidad de su Clave Privada.
En el caso, de que la clave haya sido desvelada, o se sospecha que un posible
atacante puede obtenerla total o parcialmente, el titular de esa clave debe
notificar inmediatamente a las Autoridades de Certificación que hayan emitido
certificados a su favor y con esa clave. La autoridad pasará a incluir
inmediatamente dicha clave en sus Listas de Certificados Revocados con la
esperanza de que esa invalidación se difunda rápidamente a través de los
usuarios habituales o fortuitos de esa clave. A continuación, el titular legítimo
debe generar un nuevo par de claves y obtener el certificado correspondiente. La
nueva clave puede utilizarse para “volver a firmar” los documentos que habían
sido firmados con la clave anterior, ahora comprometida, como reafirmación de
los compromisos anteriores. Hay que tener muy en cuenta que el efecto de la
83
revocación de un certificado tiene efecto a partir del momento en el que aparece
en la LCR de la Autoridad de Certificación emisora y que invalida cualquier
operación que se haga con fecha posterior, sin embargo, no afecta a las
operaciones anteriores. Esto es así para evitar que un agente, declarando su
clave comprometida, se pueda retractar de lo que firmó con anterioridad a la
fecha de la denuncia. Como puede darse el caso de que el titular sea realmente
honrado y que el atacante que ha comprometido la clave pueda emitir firmas con
cualquier fecha, los sistemas serios en los que es fundamental la cualidad de no
repudio, las fechas de firma y los propios documentos firmados, deben ser
certificados
temporalmente,
matasellados,
por
agencias
completamente
imparciales dedicadas a tal fin.
4. Informar sin demora a la Autoridad de Certificación el cambio de alguno de
los datos contenidos en el certificado que hubiera sido objeto de verificación.
4- RESPONSABILIDAD:
La emisión de un Certificado, su uso y expiración, traen consigo diversos eventos
de responsabilidad contractual y extracontractual tanto para la Autoridad
Certificadora como para el solicitante.
El alcance de la responsabilidad de la Autoridad de Certificación se encuentra
delimitado por su Política de Certificación, no siendo responsable en los
siguientes casos:
a. Por los casos que se excluyan taxativamente en las condiciones de
emisión y utilización de sus certificados y que no estén expresamente
previstos.
Las Autoridades de Certificación han pretendido delimitar su
responsabilidad a través de las Prácticas de Certificación conocidas como
CPS, que son documentos elaborados por ellas mismas, y a los cuales los
solicitantes de un Certificado deben adherir.
b. Por los daños y perjuicios que resulten del uso no autorizado de un
certificado, si en las correspondientes condiciones de emisión y utilización
de sus certificados constan las restricciones de su utilización.
84
c. Por los daños y perjuicios que excedan el valor límite por transacción, o
por el total de transacciones, si tales valores límites constan en las
correspondientes condiciones de emisión y utilización de sus certificados.
d. Por eventuales inexactitudes en el certificado que resulten de la
información facilitada por el titular que, según lo dispuesto en su manual
de procedimientos, deba ser objeto de verificación, siempre que la
Autoridad de Certificación (AC) pueda demostrar que ha tomado todas las
medidas razonablemente practicables para verificar tal información, de
acuerdo con las circunstancias y el tipo de certificado que se trate.
5- FUNCIONES DE LAS AUTORIDADES DE CERTIFICACIÓN:
1. Generación y Registro de claves Las AC deben emitir certificados de clave
pública de acuerdo a lo establecido en las condiciones de emisión y utilización de
sus certificados. Cualquiera que desee firmar digitalmente mensajes o recibir
envíos cifrados y/o firmarlos, debe poseer un par de claves dentro de algún
criptosistema de clave pública; los agentes pueden tener más de un par de
claves: uno para el trabajo, otro con efectos administrativos, otro para uso
personal. Es más, otras entidades de la red como son las estaciones de trabajo,
los servidores, las impresoras, también pueden (y deben) tener sus pares de
claves; de la misma forma que lo harán personas jurídicas e instituciones como
pueden ser los departamentos de las empresas, la secretaría de una universidad
o la recepción de un hotel.
“Dado que la identidad de cada agente se basa en el secreto de una de las
claves, la privada, cada usuario deberá generar por sus propios medios su par
de claves.”35 En cualquier caso, las claves privadas nunca deben viajar por la
red y habrán de ser distribuidas a través de canales no telemáticos de seguridad
y confidencialidad probadas. Por ello, siempre que se pueda, lo mejor es que
cada nodo de la red sea capaz de generar localmente sus claves con lo que
elimina la necesidad de su distribución. Una vez, generada las claves, el usuario
35
http://www.htmlweb.net/seguridad/ssl/ssl_4.html
85
debe “registrar” su clave pública en una Autoridad de Certificación aceptada
dentro del escenario en el cual pretende moverse. Para la inscripción sólo tiene
que enviar su clave pública y, muy posiblemente, algún que otro documento
digital de solicitud firmado con dicha clave. Al tratarse de documentos públicos,
esta transmisión se puede hacer a través de la red sin menoscabo alguno de su
integridad. Para completar el proceso de inscripción, el solicitante deberá o bien
enviar otro Certificado Digital de Identidad expedido por alguna otra Autoridad
de Certificación aceptada, o bien
un documento físico válido dentro de los
procedimientos administrativos habituales en el que asume la responsabilidad
del compromiso indicado en la solicitud digital que ha enviado. “Satisfechas las
condiciones marcadas por la Autoridad de Certificación en su documento
público de Política de Emisión de Certificados incluida en su Política de
Seguridad, esta autoridad devuelve al solicitante un certificado digital que
atestigua la validez de su clave pública para actuar dentro del sistema. Los
sistemas de autenticación basados en claves simétricas y secretas, no permiten
la generación local de claves sino que ésta es función del servidor central que
constituye la Autoridad de Certificación.”36
2. Identificación de Peticionarios de Certificados
La emisión de Certificados de Identidad Personal exige el reconocimiento previo
de todos aquellos elementos característicos y únicos que son propios del
solicitante; a estos caracteres se les denomina “identificadores intrínsecos”
(fotografía, firma manuscrita, huellas dactilares, timbre de voz, fondo de ojo,
marcas de nacimiento, etc.). “Según el número e importancia de los
identificadores intrínsecos que las Autoridades de Certificación verifican, registran
y archivan para la emisión de sus certificados de identidad, diferente será la
confianza que éstos puedan ofrecer.”37
Cada Autoridad de Certificación, publica cuales los requisitos y el protocolo a
seguir para obtener cada uno de los tipos de certificados digitales que
componen su oferta, de forma que, quién verifica el certificado de la clave,
36
37
http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
Ibidem
86
pueda establecer cual es el nivel de confianza que le merece dicha clave
pública y el correspondiente usuario.
3. Emisión de certificado
Además de los compromisos de verificación que se indican en la política pública
de una Autoridad de Certificación, ésta se compromete a emitir documentos
digitales (los certificados) únicos y perfectamente identificables a través de su
número de serie. Dichas autoridades también son responsables de mantener un
registro seguro y disponible sobre cual es el estado de cada uno de los
certificados que emite. Un certificado digital siempre está en alguno de los
siguientes estados:
a. activo o preactivo: por estado preactivo se entienden aquellos certificados que,
generados en un determinado instante, sólo serán válidos en un intervalo de
tiempo posterior. Desde el momento en que se genera el certificado y hasta que
llega el momento de entrar en vigencia, el certificado está en estado Preactivo.
Cuando la fecha en curso cae dentro del intervalo de vigencia de un certificado,
en este caso, decimos que está en estado Activo.
b. Suspendido: muchas veces es necesario anular temporalmente la vigencia de
un certificado, para ello, la Autoridad de Certificación emisora decide pasarlo al
estado de Suspendido. Con ello no se está invalidando de forma irreversible el
certificado, sino que se le retira de circulación hasta que se le vuelva a dar el
estado de Activo.
c. Revocado: cuando las condiciones que llevaron a la emisión de un certificado
cambian antes de que éste expire, y son de importancia suficiente, la AC deberá
anularlo; para ello, emite un segundo certificado especial, denominado “de
revocación”, el cual, desde ese instante desautoriza al certificado previo y lo hace
de un modo irreversible. A manera de ejemplo se toma el caso de un empleado
que dispone de diferentes certificados de autoridad y que va a disfrutar de su
periodo de vacaciones, para su mayor seguridad, antes de irse, solicita a la
Agencia de Certificación que suspenda todos sus certificados de autoridad ya que
87
él no va estar en la empresa y no hay modo lícito por el cual puedan utilizarse
dichos certificados para ejercer la autoridad que declaran.
Generalmente se publican “Listas de Certificados Revocados” como listas
“negras” en las que la entidad emisora da a conocer cuales son los certificados
que ha anulado para, con ello, desentenderse de las responsabilidades que
pudieran acarrear la utilización y/o aceptación por parte de algún agente de la red
de los mencionados certificados. “Según la importancia de las transacciones que
realicen los agentes basándose en los certificados digitales que utilizan, algunas
veces no será necesario que consulten si las credenciales presentadas están
todavía vigentes en el momento de la transacción, pero habrá otros casos en los
que este requisito sea absolutamente necesario, por lo que el agente verificador
se pondrá en contacto con la Autoridad de Certificación emisora de la credencial
y le preguntará por el estado de vigencia (actividad) de ese certificado en
concreto (número de referencia).”38 Por su parte, la autoridad consultada deberá
devolver al consultante un documento firmado y fechado con la información
solicitada.
d. Caducado: este es el estado final de cualquier certificado y se produce
cuando la fecha en curso es posterior a la fecha de caducidad indicada en el
propio certificado. El estado de “certificado caducado” no le resta valor histórico
ya que, mientras estuvo activo, las operaciones en las que participó eran
perfectamente válidas. Las Autoridades de Certificación deben tener en todo
momento registrado cuales son los estados en los que se encuentran sus
certificados.
4. Almacenamiento en la AC de su clave privada
Las Autoridades de Certificación vistas como un todo, se encargan de verificar las
condiciones que aparecen en sus políticas públicas de seguridad y,
posteriormente, de emitir y seguir el ciclo de vida de los certificados que expiden.
En cuanto a esta última actividad, las Agencias de Certificación son verdaderos
signatarios digitales, para lo cual deben disponer de una clave privada que sólo
38
Ibidem
88
conocen ellos y que custodian con niveles de seguridad iguales o superiores a los
declarados públicamente.
Dado que todo el valor reside en que cada Agencia de Certificación es la única
capaz de generar las firmas que llevan su identificador, es muy importante que
esas claves privadas se almacenen y gestionen de forma segura. “Cualquier fallo
en la seguridad de las claves privadas no sólo pone en entredicho a la institución,
sino que invalida todos los certificados emitidos por ella.”39 En algunos eventos,
ambas funciones se consideran por separado y lo que se denomina Autoridad de
Certificación en sentido amplio, es dividido en Autoridad de Certificación y
Autoridad de Registro. Las funciones de evaluación y verificación de los extremos
contenidos en la política de seguridad se les atribuyen a las Autoridades de
Registro que pueden ser varias, y la capacidad de emitir certificados digitales se
delega a la Autoridad de Certificación propiamente dicha. En este caso, las
Autoridades de Certificación actúan como agentes ciegos guiados por las
Agencias de Registro.
“Para conseguir este nivel de seguridad para las claves privadas, éstas se
generan y almacenan permanentemente en unidades hardware de alta seguridad
denominadas “Unidades de Firmado de Certificados”, las cuales son sometidas a
sofisticadas medidas de seguridad física y dentro de entornos a prueba de
intrusión electrónica.”40 Estas unidades son, por su naturaleza, irrepetibles, y
están diseñadas para que, ante la sospecha de cualquier intento de intromisión,
las claves y demás informaciones relacionadas con ellas se destruyan antes de
que puedan ser alcanzadas desde el exterior. Los administradores de la
Autoridad de Certificación no tienen acceso a la clave privada, sino a un equipo
hardware que firma los documentos que éstos le entreguen. En caso de incendio
o cualquier otra catástrofe involuntaria y fortuita, si la
unidad de firmado se
destruye, la validez y autenticidad de los certificados y credenciales emitidos no
queda comprometida y los certificados firmados siguen siendo válidos siempre y
cuando su estructura asegure que las claves privadas fueron completamente
39
40
Ibidem
http://www.lmdata.es/reports/cfd.htm
89
destruidas en el incidente y que de sus restos no se puede obtener información
parcial o marginal alguna de cuales fueron esas claves.
5. Mantenimiento de las claves vigentes y revocadas
Las Autoridades de Certificación pueden, dentro de los servicios que ofrecen al
público, almacenar los certificados emitidos durante su periodo de validez. De
este modo, en el caso de que uno de los agentes pierda su certificado, siempre
podrá pedirle a la autoridad emisora que le envíe de nuevo una copia.
También se ofrece este servicio en aquellas Autoridades de Certificación que
tienen asociados servidores públicos de certificados mediante los cuales
cualquier agente puede solicitar los certificados de cualquiera de los demás
agentes. Este tipo de servicios son especialmente importantes en las Agencias
de Certificación dedicadas a la emisión de Certificados de Identidad Personal, ya
que cualquier agente que quiera establecer contacto con otro desconocido, tan
sólo tendrá que obtener su certificado de identidad y enviarle un mensaje de
correo electrónico utilizando la clave que aparece en el certificado. De este modo,
el agente se asegura de que en caso de que alguien lea el contenido de su
mensaje, éste sólo podrá ser el poseedor de la identidad que él espera. La
disponibilidad pública de los certificados electrónicos, para algunos supone,
además de una ventaja, un riesgo pues al mantener expuestas las claves
cualquiera podrá hacer uso de ellas y someterlas a un ataque. Para evitar con
cierto éxito (prácticamente total) que estos ataques puedan obtener resultados
provechosos para el atacante, todo par de claves pública y privada tienen un
tiempo de vida limitado. “Este periodo se establece según sea la complejidad
computacional del ataque, como se prevé que evolucione la tecnología durante
ese tiempo y cual sea el nivel de uso previsto para esa clave.”41 Aunque pueda
parecer extraño por ser de naturaleza inmaterial, las claves criptográficas se
desgastan con el uso al igual que lo hacen los materiales físicos. En cualquier
verificación de una firma siempre se debe comprobar la fecha de caducidad y el
momento en el que se está; en ningún caso se deben aceptar mensajes firmados
41
http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
90
con fecha pasadas, y en los casos de riesgo es mejor exigir que los mensajes
estén temporalmente certificados (estampillados o matasellados) por alguna o
algunas Autoridades de Certificación independientes dedicadas a ese menester.
En caso de que un usuario quiera rectificar una clave previamente caducada,
deberá asegurarse de que ésta tiene suficiente longitud (en dígitos) y que no hay
indicios de haber sido comprometida. En este caso, lo que hace la AC es
comprobar que el solicitante es realmente el poseedor de la clave privada
asociada con la clave pública que se le presenta, y emitir un nuevo certificado
para la misma clave y las nuevas firmas se referirán al nuevo certificado, en lugar
del anterior. De todas formas, y aún siendo este proceder aceptable en
escenarios de seguridad media, la facilidad con la que se generan claves hace
innecesario mantener vigente una clave durante periodos de tiempo mayores que
los especificados cuando se certificó por primera vez.
Una vez se destruye voluntaria o involuntariamente una clave privada que no
haya sido comprometida, desde ese momento no se pueden firmar ni descifrar
mensajes con ella, si bien todos los documentos firmados antes de la pérdida
permanecen válidos. Dado que la clave pública asociada sigue estando
dispersa por la red, el titular de la clave deberá solicitar a las Autoridades de
Certificación que hayan emitido certificados para ella, que los revoquen. De este
modo se pretende evitar que alguien pueda seguir utilizándola para enviar
mensajes cifrados al titular y éste ya no podrá leerlos. Dentro de la política de
seguridad de cualquier Autoridad de Certificación que se precie, deben indicarse
cuales son las medidas de seguridad y protocolos a seguir cuando se den este
tipo de situaciones.
6. Servicios de directorio
En caso que alguien quiera encontrar la clave pública de un usuario del sistema,
se prevén diversas formas de conseguirlo: bien por teléfono, por correo,
consultando publicaciones periódicas, etc., sin embargo, estos métodos, aún
pudiendo ser muy seguros, adolecen de una lentitud a veces intolerable. Para
poder obtener esa misma información a la velocidad habitual de las redes, las
91
Autoridades de Certificación dan Servicios de Directorio mediante los cuales,
cualquiera puede obtener la clave pública certificada de cualquier miembro con
quien quiere ponerse en contacto o establecer relaciones de algún tipo. “Un
servicio de Directorio consiste en una gran base de datos en la que cada
entrada de usuario en el directorio contiene los certificados de las claves
públicas de las que es titular, y cada entrada de una Autoridad de Certificación
contiene todos los certificados emitidos para ella por otras Autoridades de
Certificación ante las que está inscrita, y todos los certificados emitidos por ella
misma para otras autoridades.”42 Los Directorios hacen las funciones de las
“guías telefónicas” y deben de estar protegidos contra accesos no autorizados,
de forma que los usuarios puedan obtener de ellos los certificados de las claves
públicas que necesiten. De no existir este tipo de servicios, la distribución de los
certificados y credenciales debería hacerse a través de canales de
comunicación ajenos a la red con lo que haría más lenta la velocidad de
operación de todos los agentes y quedarían muy reducidas las ventajas iniciales
de los métodos telemáticos.
7. Revocar los Certificados de Clave Pública por él emitidos en los
siguientes casos:
a) a solicitud del titular del certificado.
b) a solicitud justificada de un tercero.
c) si determinara que un certificado fue emitido con base en una información
falsa en el momento de la emisión
d) si determinara que el criptosistema asimétrico de las claves públicas
contenidas en los certificados emitidos, ha dejado de ser seguro o si la función
de digesto seguro utilizada para crear la firma digital del certificado dejara de ser
segura.
La solicitud de revocación de un certificado debe hacerse en forma personal, o
por medio de un documento digital firmado digitalmente, o de acuerdo a lo que
42
Ibidem
92
establezca el manual de procedimientos. Si la revocación es solicitada por el
titular, ésta debe concretarse de inmediato; si es solicitada por un tercero, debe
ser realizada dentro de los plazos mínimos necesarios para realizar las
verificaciones del caso. La revocación debe indicar el momento desde el cual se
aplica, precisando minutos y segundos, como mínimo, y no puede ser
retroactiva o a futuro. El certificado revocado debe ser incluido inmediatamente
en la lista de certificados revocados y la lista debe estar firmada por la Autoridad
de Certificación. Dicha lista debe publicarse en forma permanente e
ininterrumpida en Internet. La AC emite una constancia de la revocación para el
propietario del Certificado de Clave Pública revocada.
6- AUTORIDADES DE CERTIFICACIÓN:
La Autoridades de Certificación, son entidades que tienen como objetivo
fundamental identificar a una persona natural o jurídica y asociarla o vincularla a
su clave pública (y por ende a su clave privada), asumiendo la responsabilidad
por la corrección del procedimiento empleado, para lo cual debe identificar al
potencial
firmante
y
luego
emitir
un
certificado.
Como se ha explicado a lo largo del trabajo, los avances en los últimos tiempos
de los sistemas de encriptación asimétricos o de clave pública, han permitido el
desarrollo de la firma digital, por lo cual, y una vez admitida, surge la necesidad
de que, por los menos en una primera transacción entre las partes contratantes,
exista alguna institución que garantice que quien manifiesta ser alguien, en
realidad lo sea; para cubrir esa necesidad nacieron las Autoridades de
Certificación, que vienen a ser notarías de claves públicas que de forma
inequívoca, firman o certifican la clave pública y los datos identificadores de cada
usuario, con lo que brindan confianza en las operaciones.
“La función principal de la Autoridad Certificadora como Tercera Parte Confiable,
es dar seguridad a los mensajes y transacciones identificando al solicitante de un
Certificado, lo que puede realizar por sí misma o delegar en aquellas personas
que
estime
convenientes,
denominadas
genéricamente
Autoridades
de
93
Registro.”43 Habiendo la Autoridad Certificadora, por sí o a través de terceros,
verificado en forma fehaciente la identidad del solicitante de un certificado, está
en condiciones de emitir el mismo.
Es por tanto necesaria una infraestructura de clave pública suficiente para cerrar
el círculo de confianza, proporcionando una asociación fehaciente del
conocimiento de la clave pública a una entidad jurídica, lo que le permite la
verificación del mensaje y su imputación a una determinada persona. “Esta
infraestructura de clave pública consta de una serie de autoridades que se
especializan en papeles concretos, las cuales pueden materializarse como entes
individuales, o como una colección de servicios que presta una entidad
multipropósito”44:
a. Autoridades de certificación (certification authorities): vinculan la clave pública
a la entidad registrada proporcionando un servicio de identificación. Una AC es a
su vez identificada por otra AC creándose una jerarquía o árbol de confianza: dos
entes pueden confiar mutuamente entre sí si existe una autoridad común que
directa o transitivamente las
avala.
b. Autoridades de registro (registration authorities): ligan entes registrados a
figuras
jurídicas,
extendiendo
la
accesibilidad
de
las
AC.
Son las encargadas de realizar las verificaciones de personas y solicitar la
emisión del correspondiente Certificado, bajo los procedimientos que determine la
AC de la cual depende.
Ejemplo: Una Corporación se erige como una autoridad de registro, cuando
solicita los certificados para sus propios empleados, siendo suficiente aval su
solicitud. Indudablemente, el Certificado de esa persona lo habilitará a firmar
como miembro de la organización, y será la misma organización la que solicitará
su revocación cuando esa persona no pertenezca más a la empresa.
43
44
http://www.colegioabogados.cl/revista/19/articulo5.htm
http://www-mat.upc.es/~jforne/sesion4.pdf
94
c. Autoridades de fechado digital (time stamping authorities): vinculan un instante
de tiempo a un documento electrónico avalando con su firma la existencia del
documento en el instante referenciado (resolverían el problema de la exactitud
temporal de los documentos electrónicos)
Dado lo anterior, se concluye que la Autoridad de Certificación es el órgano
responsable de la emisión de los Certificados luego de la verificación, por los
métodos que considere en sus Políticas de Certificación, proveedora de la
tecnología criptográfica para emisión de las claves y la encargada de publicar las
Claves Públicas en los denominados Directorios de clave pública. “Para todo ello,
la Autoridad de Certificación debe considerarse un órgano impoluto, con medidas
de seguridad que infundan la confianza requerida para el éxito de su gestión,
proveedor de innovaciones tecnológicas acordes a su gestión y altos niveles de
calidad
45
en
lo
que
hace
a
la
atención
y
disponibilidad.”45
http://www.iee.es/come_002.htm
95
CAPITULO VI
MEDIOS DE PAGO ELECTRÓNICOS
Actualmente Internet no solo es un sistema de comunicaciones para el
intercambio de datos e información, sino que por el contrario se ha constituido en
la plataforma para un nuevo modelo de mercado empresarial de transacciones
económicas, sustrato real de la nueva economía basada en el comercio
electrónico. Las necesidades derivadas de esta modalidad de uso de Internet, no
concebida originalmente, motivaron el diseño e incorporación de nuevas
tecnologías
y
sistemas
que
permitan
su
correcta
implementación
y
funcionamiento para proveer seguridad, confidencialidad y autenticidad, aspectos
de vital importancia y relevancia, sin los cuales es imposible la prestación de
servicios tales como pagos electrónicos, transacciones bancarias y compras
online entre otros. La disponibilidad y la fiabilidad del sistema dependen de la
disponibilidad y fiabilidad de los dispositivos y de las redes sobre las que se
sustenta. “Si los sistemas de pago electrónicos son bien diseñados, pueden
proporcionar una mayor seguridad y flexibilidad de uso que la ofrecida por los
medios de pago tradicionales.”46
La seguridad y la interoperabilidad buscadas están dadas actualmente por
protocolos de seguridad de carácter general tales como SSL, TLS, S-http, IPSec
y PCT entre otros, más que por sistemas y tecnologías exclusivas para los
medios de pago electrónicos dada su amplia diversidad y la ausencia de
estándares y normas generales para su aplicación y funcionamiento. Parece ser
que todos los indicios apuntan a que SET (Secure Electronic Transaction) se
convierta en el estándar.
46
http://www.iec.csic.es/criptonomicon/comercio/mediospago.html
96
El común denominador entre los protocolos de seguridad generales se encuentra
en la utilización de la criptografía asimétrica, tal y como se ha venido planteando
a lo largo del trabajo; la criptografía está jugando un papel fundamental en la
incorporación de nuevos medios de pago a los ya existentes hoy en día, pues es
la base sobre la que se sustenta la seguridad de estos nuevos medios. Sin
embargo, el principal problema esta en la ausencia de seguridad de la
información una vez finaliza la transferencia.
El objetivo a alcanzar es soportar el mayor número posible de sistemas de pago,
de tal forma que para cada transacción se pueda escoger y utilizar el más
adecuado e idóneo entre los múltiples métodos aceptados tanto por el comprador
como por el vendedor.
1. CARACTERÍSTICAS DE LOS MEDIOS DE PAGO ELECTRÓNICOS
a- Facilidad de uso y rapidez; que sea como sacar monedas del bolsillo.
b- Universalidad; aceptación en todas partes y para pagar cualquier tipo de bien
o servicio.
c- Liquidez del instrumento; que quien reciba el pago pueda utilizarlo
inmediatamente para comprar o pagar otras cosas.
d- Fraccionamiento; posibilidad de ser dividido en céntimos para hacer pagos
exactos.
e- Igualmente útil para pagar cantidades pequeñas o grandes.
f- Incorruptible, que no se desgaste, que no se estropee, que no se lo coman las
ratas ni los virus.
g- Intimidad, que no deje rastro de quién lo ha usado ni para qué.
97
h- Seguridad para evitar robos, y en caso de no poder impedirlo, por lo menos
asegurar que perderá toda utilidad, de tal forma que no se tenga que responder
por lo que el delincuente adquiera.
K- Garantía de que el dinero lo recibe el acreedor y no otra persona.
l- Acreditación del pago: recibos.
m- Libre de costes de transacción; inexistencia de intermediarios entre el
vendedor y el comprador que se queden parte de lo pagado.
2- SISTEMAS DE DINERO ELECTRÓNICO:
2.1 Sistemas implementados con un soporte en tarjeta (card-based).
Estos sistemas proveen al consumidor una tarjeta inteligente o smart card. La
tarjeta trae incorporado un chip que contiene un sistema operativo y aplicaciones
de software, que son insertados en la tarjeta en el proceso de su manufactura. La
emisión de las tarjetas a los consumidores se realiza de diferentes formas: en
algunos casos, la tarjeta involucra una cuenta bancaria perteneciente al usuario;
alternativamente, las tarjetas puede ser adquiridas anónimamente en máquinas
expendedoras o mediante la utilización de tarjetas de crédito o débito. La
institución emisora u operadora central del sistema provee a los comerciantes de
terminales u otros dispositivos que permiten realizar la operación. La carga de los
valores en las tarjetas se realiza generalmente a través de un cajero automático
(ATM - Automatic Teller Machine) o de un teléfono equipado especialmente. En
general, de estas transacciones resulta un débito en la cuenta bancaria
preexistente del consumidor que está ligada a la tarjeta.
Para realizar una compra el usuario introduce su tarjeta en la terminal del
vendedor e ingresa la suma a pagar. La terminal verifica que el balance que
surge de la tarjeta permita realizar la transacción e instruye para que debite la
suma correspondiente al pago. Luego la tarjeta instruye a la terminal del
vendedor para que incremente su balance en la misma suma.
98
2.2 Sistemas basados en un software especial (software-based). Estos
sistemas funcionan por medio de un programa instalado en la computadora del
usuario.
Están
diseñados
para
realizar
pagos
a
través
de
redes,
fundamentalmente Internet. El proceso de carga se realiza por el intercambio de
mensajes entre los dispositivos del usuario y del emisor, mensajes que son
trasmitidos por la red. En la práctica, se tiende a involucrar, por razones de
seguridad, la emisión de documentos o cheques firmados digitalmente. El
proceso de pago depende del diseño del producto de que se trate, así como del
contexto en el que el pago se realiza. La determinación de la cantidad y
características
de
las
entidades
emisoras,
cuyas
obligaciones
son
electrónicamente transmitidas en un sistema de dinero electrónico, son críticas
desde un punto de vista financiero, y afectan asimismo la implementación técnica
de dicho sistema. “Los sistemas que se basan en un solo emisor, pueden no
necesitar un clearing de las transacciones realizadas, siempre y cuando otra
institución no participe colectando o distribuyendo fondos. En sistemas con
múltiples emisores, el número de tarjeta o un certificado emitido por una
autoridad certificante dentro de una infraestructura de firma digital, identifica al
usuario, y las transacciones comerciales y demás operaciones son trasmitidas al
ente emisor para su registro. Este registro puede servir tanto para fines de
clearing financiero como para brindar seguridad al sistema.” 47
2.3 Sistemas híbridos
Utilizan tecnologías que permiten utilizar las tarjetas inteligentes en conexión con
sistemas basados en redes.
3- CLASES DE MEDIOS DE PAGO ELECTRONICOS:
Lo primero que debe señalarse es que genéricamente, al referirse a los medios
de pago electrónicos, se involucra el concepto de dinero electrónico,
“entendiendo por dinero una representación abstracta de un valor (independiente
del valor inherente al papel o metal) respaldada por una autoridad y
47
Ibidem
99
generalmente admitida para la realización de intercambios.”48 El dinero
electrónico pretende ser equivalente al dinero tradicional pero sustituyendo el
soporte tradicional por el soporte electrónico, esto es, sustituyendo el papel por
bits. Se busca, pues, que el dinero electrónico ofrezca las mismas propiedades
que el dinero físico que son, básicamente, las siguientes:
a) aceptación universal
b) pago garantizado
c) inexistencia de costes para el usuario
d) anonimato.
No obstante, debe tenerse en cuenta que hoy en día los medios electrónicos de
pago todavía están en fase de desarrollo y muchos productos están todavía en
fase experimental, y en muchos casos se trata de simples propuestas técnicas
sin implementación real. Por tanto, existe una gran diversidad de esquemas de
pago, sin que haya estándares establecidos y cada una de estas propuestas
exige decisiones sobre las concretas características. Adicionalmente, en el nuevo
sector del dinero electrónico existe una gran confusión, empezando por los
términos creados para cada una de las diferentes técnicas y pasando por las
definiciones legales clave. Así, puede ya oírse hablar de dinero electrónico,
dinero cibernético, moneda cibernética, e-cash o cyber-cash.
A continuación se hará una exposición de los medios de pago electrónicos que
en el presente están siendo utilizados de manera preferente:
3.1. Dinero Electrónico:
Es de prever, que el comercio electrónico reemplace paulatinamente gran parte
de las formas de distribución comercial convencionales debido a las nuevas
posibilidades que ofrece Internet en lo que se refiere a accesibilidad a ofertas a
nivel global. Lo anterior hace latente la necesidad de crear nuevos sistemas de
pago, como el equivalente electrónico al dinero efectivo que no puede ser
48
http://nti.uji.es/docs/nti/net/dinero_electronico.html
100
falsificado ni copiado, goza de anonimato (parcialmente), se puede controlar en
cualquier momento y cuya transferencia requiere pocos datos.
3.1.1 Contenido: el uso del dinero efectivo electrónico ha surgido
recientemente como una alternativa a los pagos realizados con tarjetas ya que
muchos usuarios de Internet se abstienen de realizar sus compras con las
mismas por la facilidad de rastrear la compra, sus nombres, números de tarjetas,
gustos, preferencias etc.
“El dinero electrónico, es moneda en forma electrónica y es emitido
electrónicamente, siendo almacenado en la memoria de un computador,
prescindiendo de cualquier soporte material, cuyo valor económico se atribuye a
un mensaje electrónico ubicado en el disco duro y que puede circular por las
redes electrónicas; de ahí que se denomine dinero en red, más adecuado, por
sus características, para su aplicación al comercio electrónico.”49 Los sistemas
de dinero electrónico suelen caracterizarse por un bajo coste en cada operación
de pago, lo que los hace apropiados para realizar micropagos, entendiendo por
ellos, cantidades (muy) pequeñas.
“En los billetes electrónicos, el papel moneda se sustituye por un conjunto de bits
representativos de un determinado valor denominados tokens, que se almacenan
en ficheros del disco duro y que pueden transferirse a través de la red a cambio
de un producto o servicio.”50 Para tener validez, los tokens deben ser similares al
dinero metálico o de papel, así como en los billetes y monedas tradicionales el
banco se compromete a su reconocimiento por un valor determinado, de la
misma manera los billetes y monedas electrónicas deben estar respaldados por
un determinado valor, tratándose en este caso de un valor prepagado, siendo la
institución financiera la encargada de autenticar su emisión. Por otra parte deben
reunir las mismas características de identificación de sus homólogos en papel,
esto es, estar identificados con un número de serie único, contener el valor
nominal, estar fechados y firmados por la entidad emisora. Para certificar su
49
50
Ibidem
Ibidem
101
valor, el banco emisor firma los tokens con su firma digital y carga en la cuenta
del usuario la cantidad de dinero real correspondiente al dinero digital generado.
Los tokens se convierten así en el equivalente digital de los billetes y monedas y,
de
hecho,
comparten
con
ellos
muchas
características,
por
ejemplo:
el pago es rápido, no requiere autorización previa y (relativamente) anónimo.
Debe evitarse la posibilidad de falsificar o duplicar tokens, pues si se pierde el
dinero electrónico o éste es robado no hay posibilidad de impedir que otra
persona lo gaste, lo cual se constituye en uno de los principales problemas que
se presentan con el uso de este sistema, por la facilidad de copiar el billete
emitido electrónicamente y la posibilidad de cobrar el mismo billete más de una
vez. “Estos problemas se solucionan en principio, con la ayuda de técnicas
criptográficas en la generación del dinero electrónico y con un control exhaustivo
de parte de la institución financiera que respalda la emisión del dinero
electrónico.”51
3.1.2 Sistemas de dinero electrónico:
Algunos sistemas de dinero electrónico son:
3.1.2.1 E- Cash
Sistema gestionado por la empresa de origen holandés Digi-Cash52, consistente
en la emisión de unos pequeños archivos que equivalen a dinero digital. Para
usar el E-Cash tanto el comprador como el vendedor necesitan tener abierta una
cuenta en uno de los bancos que emiten el dinero electrónico, siendo la propia
institución financiera la que facilita el software de emisión del dinero efectivo
electrónico.
En el momento de generar el billete, el usuario le asigna un valor nominal y un
número de serie (el software está programado para generar números de serie
aleatorios suficientemente largos para evitar la duplicidad en la generación de los
billetes), lo firma y lo envía a la institución financiera quien luego de verificar el
número de la cuenta del usuario y la disponibilidad de fondos, procede a firmar el
billete con una clave, certificando el valor nominal solicitado, y se lo envía al
usuario. Una vez que el usuario ha recibido el billete firmado por el banco, lo
51
52
http://nti.uji.es/docs/nti/net/dinero_electronico.html
http://www.digicash.com
102
puede almacenar en una billetera electrónica o lo puede usar inmediatamente
para pagar sus compras en los establecimientos adheridos al sistema. El
comerciante, al recibir el billete, lo envía a la entidad emisora y ésta, una vez que
ha comprobado la autenticidad de la moneda, acredita el valor del billete en la
cuenta del comerciante. Para evitar que el billete sea cobrado dos veces, el
banco emisor debe contar con una base de datos que le permita verificar los
números de serie de los billetes que han sido pagados.
El problema que se presenta con este procedimiento es que no garantiza en
forma absoluta el anonimato del billete pues el banco siempre sabrá la serie de
billete que ha firmado y a quién se lo ha firmado, pudiendo conocer, gracias a
estos datos, cuándo, cómo y dónde fue gastado el billete. “Para solucionar esta
situación se ha ideado el sistema de la “firma digital a ciegas”, mediante el cual el
usuario, antes de enviar la moneda para que la firme el banco, multiplica el
número de serie por un factor conocido como "factor ciego" con la finalidad de
ocultar el verdadero número de serie del billete electrónico, siendo imposible
relacionar el número de serie del billete con el número obtenido después de
aplicar el factor ya que sólo el usuario conoce el factor.”53 Cuando el usuario
recibe el billete divide el número firmado por el banco aplicando el mismo
coeficiente que utilizó para generarlo, obteniendo el número de serie oculto, de
manera que es imposible conocer quien ha gastado el billete ya que el banco
cuando firmó el billete sólo sabía que se trataba de un billete de un determinado
valor solicitado por uno de sus clientes.
3.1.2.2- Millicent54: Es un mecanismo de pagos desarrollado por DIGITAL’s
Systems Resarch Center in Palo Alto, California cuyo objetivo es proveer un
sistema para realizar transacciones de muy pequeños valores en Internet.
Se basa en "scrips" o vales que son como dinero en efectivo, ya que ambos
tienen un valor intrínseco, pero se diferencian de este último ya que sólo tienen
valor cuando son gastados con un vendedor específico. Un scrip consiste en un
mensaje firmado que atestigua que una serie particular de números tiene un valor
53
54
http://esp.ecashdirect.net/tutorial/tutorial_withdraw.html
http://www.millicent.digital.com
103
determinado; los scrips son emitidos y recibidos por un mismo vendedor que es
quien determina el valor de cada uno así como su fecha de vencimiento y
desconoce la identidad del comprador.
El sistema necesita de la presencia de un broker (intermediario) que oficia de
intermediario entre un comprador y todos los vendedores y entre un vendedor y
todos los posibles compradores. Este intermediario conoce la identidad del
comprador pero no lo que ha comprado.
Funciona de la siguiente manera:
1. El comprador instala el programa MilliCent (con U$10 de regalo) servido
por Digital.
2. El comprador le pide al broker un scrip.
3. El broker le vende uno.
4. El broker le pide un scrip al vendedor.
5. El vendedor le vende uno.
6. El comprador le pide al broker el scrip de un vendedor específico y le envía
el scrip que antes le había comprado.
7. El broker le envía el scrip solicitado y el vuelto en forma de otro scrip suyo.
8. El comprador le envía el scrip al vendedor.
9. El vendedor acepta el scrip, verifica que haya sido emitido por él, entrega
las mercaderías o brinda el servicio y envía el vuelto al comprador en
forma de otro nuevo scrip.
10. El comprador puede guardar este nuevo scrip para realizar una futura
compra con ese mismo vendedor o puede cambiarlo por un scrip del
broker.
Millicent está basado en una encriptación simple. Pero esto no representa un
problema ya que el sistema está diseñado para realizar pequeñas transacciones.
De esta manera los costos de romper el sistema son mayores a la ganancia que
podría obtenerse. Si el valor de las transacciones aumentara, se correría un
grave peligro.
3.2. Tarjetas de Crédito
104
No existe ninguna diferencia conceptual con respecto al uso de tarjetas en el
mundo no virtual, pues también supone un cobro rápido para el vendedor a
cambio de una comisión. El pago se ordena a través de la red, mientras que la
validación y realización efectiva se realiza a través de los circuitos normales que
las entidades poseen para tal efecto, independientemente de si la operación ha
sido hecha desde Internet o no.
Los actores que intervienen de manera más general en este sistema son el
comprador y el vendedor. También forman parte activa de la transacción el banco
emisor de la tarjeta de crédito del cliente y el del vendedor que recibe la
transacción, siendo este último en quien reside la cuenta donde se va a liquidar el
pago.
A continuación se exponen de manera breve y simplificada los pasos a seguir
para realizar dicha transacción:
1-El computador del comprador envía los datos de su tarjeta al del vendedor.
2- El computador del vendedor envía los datos de la tarjeta al computador de su
banco
3- El computador del banco comprueba que los datos de la tarjeta sean correctos
4- El computador del banco comunica al del vendedor que la transacción puede
ser aceptada
5- El computador del vendedor comunica al del cliente que la transacción ha sido
aceptada y dispone el envío de la mercancía.
6- El vendedor envía la orden de cargo-abono con los datos de la transacción al
banco.
7- El banco ordena los abonos y cargos correspondientes.
El sistema requiere, por tanto, un alto grado de confianza del cliente en el
establecimiento vendedor, que en realidad es la misma confianza que se necesita
para entregar la tarjeta en un restaurante o en un hotel. La diferencia está en que
en el restaurante, el cliente está físicamente en el establecimiento vendedor, está
viendo el rostro del empleado que recibe la tarjeta, y sabe por tanto dónde y
105
cómo podría hacer una reclamación en caso de detectar un uso fraudulento. Por
tanto este sistema será aceptable en Internet sólo en el caso de que el cliente
conozca previamente al vendedor, su localización física, y deposite en él
suficiente confianza.
3.2.1 Sistemas de seguridad en los pagos con tarjetas:
El masivo uso de las tarjetas en Internet y la sensación de inseguridad en el
usuario al transmitir sus datos a través de una red abierta, provocaron gran
preocupación en las empresas emisoras y gestoras de las tarjetas creando
distintos sistemas de seguridad, teniendo como objeto solucionar estos
problemas y fomentar su uso.
3.2.1.1 Protocolo SET
Uno de los protocolos creado específicamente para realizar estos pagos es el
protocolo SET (Secure Electronic Transaction, Transacción Electrónica Segura),
diseñado por Visa y Masterd Card en conjunto con las grandes empresas
informáticas como IBM, Microsoft, Netscape, RSA y Verisign. “SET busca un
entorno seguro para el comercio en Internet, con base en autenticar a todas las
partes implicadas en la compra mediante certificados digitales, autoridades
certificadoras, el cifrado del mensaje, y el uso de la firma electrónica.”55
En el pago mediante tarjetas con el uso del protocolo SET, además de la entidad
emisora, la entidad negociadora o adquirente, el titular de la tarjeta y el
comerciante, interviene una parte adicional denominada "pasarela de pagos"
(Gateway), institución financiera que proporciona soporte a los comerciantes,
cuya función consiste en procesar los pagos actuando como intermediario entre
los diferentes bancos que participan en la transacción y el vendedor. En el
sistema operativo, una vez que el comerciante recibe los datos de la tarjeta los
envía directamente a la pasarela de pagos, (que también debe estar certificada),
55
http://www.geocities.com/konqui.geo/SET.HTML
106
con la finalidad de obtener la correspondiente autorización o rechazo de la
transacción.
En una compra convencional mediante tarjeta de crédito, en la que el cliente
paga en la tienda haciendo uso de su tarjeta, la transacción sigue los siguientes
pasos:
a. El titular de la tarjeta la presenta al comerciante.
b. Éste la introduce en el Terminal de Punto de Venta (POST), que su banco
le ha proporcionado.
c. Los datos de la transacción se envían a través del sistema de redes de
medios de pago hasta el banco emisor.
d. El banco emisor comprueba que todos los datos son correctos y remite su
aprobación.
e. De ahí llega al banco adquiriente y al terminal del comercio, de donde
saldrá el recibo de la operación.
f. El comerciante tendrá ingresado el dinero en su cuenta a las ocho del
mañana del día siguiente.
g. Por su parte, el cliente no lo verá descontado de su cuenta corriente hasta
el mes siguiente, en función de cuándo realice la compra.
A continuación se describe cómo SET realiza este mismo proceso a través de
Internet56:
a. Decisión de compra del cliente. El cliente está navegando por el sitio Web
del comerciante y decide comprar un artículo. Para tal efecto, llenará algún
formulario y posiblemente hará uso de alguna aplicación tipo carrito de la
compra, para ir almacenando diversos artículos y pagarlos todos al final. El
protocolo SET se inicia cuando el comprador pulsa el botón de Pagar.
b. Arranque del monedero. El servidor del comerciante envía una descripción
del pedido que despierta a la aplicación monedero del cliente.
56
Ibidem
107
c. El cliente comprueba el pedido y transmite una orden de pago de vuelta al
comerciante. La aplicación monedero crea dos mensajes que envía al
comerciante. El primero, la información del pedido, contiene los datos del
pedido, mientras que el segundo contiene las instrucciones de pago del
cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco
adquiriente. En este momento, el software monedero del cliente genera un
firma dual, que permite juntar en un solo mensaje la información del pedido
y las instrucciones de pago, de manera que el comerciante puede acceder
a la información del pedido, pero no a las instrucciones de pago, mientras
que el banco puede acceder a las instrucciones de pago, pero no a la
información del pedido. Este mecanismo reduce el riesgo de fraude y
abuso, ya que ni el comerciante llega a conocer el número de tarjeta de
crédito empleado por el comprador, ni el banco se entera de los hábitos de
compra de su cliente.
d. El comerciante envía la petición de pago a su banco. El software SET en el
servidor del comerciante crea una petición de autorización que envía a la
pasarela de pagos, incluyendo el importe a ser autorizado, el identificador
de la transacción y otra información relevante acerca de la misma, todo
ello convenientemente cifrado y firmado. Entonces se envían al banco
adquiriente la petición de autorización junto con las instrucciones de pago
(que el comerciante no puede examinar, ya que van cifradas con la clave
pública del adquiriente).
e. El banco adquiriente valida al cliente y al comerciante y obtiene una
autorización del banco emisor del cliente. El banco del comerciante
descifra y verifica la petición de autorización. Si el proceso tiene éxito,
obtiene a continuación las instrucciones de pago del cliente, que verifica a
su vez, para asegurarse de la identidad del titular de la tarjeta y de la
integridad de los datos. Se comprueban los identificadores de la
transacción en curso (el enviado por el comerciante y el codificado en las
instrucciones de pago) y, si todo es correcto, se formatea y envía una
petición de autorización al banco emisor del cliente a través de la red de
medios de pago convencional.
108
f. El emisor autoriza el pago. El banco emisor verifica todos los datos de la
petición y si todo está en orden y el titular de la tarjeta posee crédito,
autoriza la transacción.
g. El adquiriente envía al comerciante un testigo de transferencia de fondos.
En cuanto el banco del comerciante recibe una respuesta de autorización
del banco emisor, genera y firma digitalmente un mensaje de respuesta de
autorización que envía a la pasarela de pagos, convenientemente cifrada,
la cual se la hace llegar al comerciante.
h. El comerciante envía un recibo al monedero del cliente. Cuando el
comerciante recibe la respuesta de autorización de su banco, verifica las
firmas digitales y la información para asegurarse de que todo está en
orden. El software del servidor almacena la autorización y el testigo de
transferencia de fondos. A continuación completa el procesamiento del
pedido del titular de la tarjeta, enviando la mercancía o suministrando los
servicios pagados.
i.
Más adelante, el comerciante usa el testigo de transferencia de fondos
para cobrar el importe de la transacción. Después de haber completado el
procesamiento del pedido del titular de la tarjeta, el software del
comerciante genera una petición de transferencia a su banco, confirmando
la realización con éxito de la venta. Como consecuencia, se produce el
abono en la cuenta del comerciante.
j. A su debido tiempo, el dinero se descuenta de la cuenta del cliente.
Para comprar con este protocolo se requiere un software SET, que es
suministrado generalmente por la entidad emisora de la tarjeta, un certificado
digital SET y un monedero digital. El certificado digital SET es emitido por la
misma entidad emisora de la tarjeta y asegura la legitimidad en el uso de la
misma, si se tiene más de una tarjeta electrónica, se requiere un certificado
distinto para cada una; igualmente el vendedor necesitará un certificado digital
diferente para cada marca de tarjeta que quiera aceptar, el uso de estos
certificados proporcionan al comprador la misma seguridad que cuando paga con
tarjeta en el establecimiento físico.
El monedero digital denominado Wallet,
109
funciona en sentido similar a una cartera física almacenando las diferentes
tarjetas electrónicas que posee el comprador y su identificación personal.
“La seguridad en la transacción en el pago con tarjetas mediante el uso del
protocolo SET, se basa en el sistema de firma doble en virtud del cual, el titular
firmará el pedido con la firma pública del comerciante (pudiendo ser éste
solamente quien descifre el mensaje con su clave privada) mientras que la parte
referente al pago vendría cifrada con la clave pública de la entidad emisora o
directamente con la clave pública de la pasarela de pagos según los casos,
siendo éstos los únicos que podrán descifrar esta parte del mensaje mediante la
aplicación de su clave privada. Una vez que el mensaje ha sido cifrado, el
comprador envía el pedido, el comerciante lo recibe y comprueba su veracidad,
remite la orden a la pasarela de pagos, quien no tendrá acceso al contenido del
pedido pero sí a los datos bancarios necesarios para autorizar o denegar la
operación, ésta a su vez solicita la respuesta de la autorización a la respectiva
entidad financiera (banco emisor o banco adquirente), enviando la respuesta al
comerciante.”57
De esta manera se dice que la seguridad en la transacción es absoluta ya que
mediante el sistema de certificados se garantiza la autenticidad de las partes
mientras que el uso de la firma electrónica aporta las garantías de integridad y no
repudio mensaje. No obstante la seguridad que aporta el uso del protocolo SET,
su implantación ha sido criticada en el entendido de que se trata de un proceso
complejo y lento al requerir sistemas asimétricos de cifrado y la comprobación de
los distintos certificados de las partes, de manera que en cada comunicación, el
receptor debe comprobar el origen de la transmisión por medio del sistema de
jerarquías de certificados de los distintos proveedores que los hayan emitido.
De otro lado, los clientes deben darse previamente de alta en el sistema,
solicitando la instalación del Wallet y la conexión con el proveedor de servicios de
certificación para la correspondiente emisión de las claves, lo cual conlleva
plazos entre una y dos semanas.
57
Ibidem
110
Se puede resumir el funcionamiento del protocolo SET de la siguiente forma a
manera de conclusión:
A. Objetivos y necesidades que se quieren conseguir con el protocolo SET:
a. Garantía de la confidencialidad y la no manipulación de la información
financiera personal.
b. Proteger el sistema de tarjetas de crédito utilizado en Internet.
c. Generar, en la mente del consumidor, una opinión de confianza
respecto al nuevo concepto de Internet como mercado.
d. Evitar el pago de compras mediante tarjetas de crédito no autorizadas.
e. Evitar el robo de información financiera del comprador.
B. Beneficios de carácter inmediato que aporta la implantación del protocolo SET:
a. Autentifica los titulares (compradores) de las tarjetas de crédito, los
comerciantes y los bancos que intervienen en las operaciones comerciales por
Internet.
b. Garantiza la máxima confidencialidad de la información del pago.
c. Asegura que los mensajes financieros no serán manipulados dentro
del circuito del proceso de pago.
d. Proporciona interoperatividad entre distintas plataformas hardware y
software.
3.2.1.2 Protocolo SSL58
Debido a la complejidad del sistema SET, en la actualidad el protocolo de
seguridad más utilizado es el SSL (Secure Socket Layer), desarrollado por
Netscape Communications Corporation, que, integrado al navegador, utiliza
conjuntamente cifrado simétrico y asimétrico, encripta los números de la tarjeta
proporcionando cifrado de datos, autenticación de servidores, integridad del
mensaje y opcionalmente la autenticación del cliente, pero no consigue la
confidencialidad, y no repudio del mensaje, sólo conseguida hasta el momento
por el protocolo SET. SSL proporciona servicios de seguridad cifrando los datos
58
http://www.geocities.com/konqui.geo/SSL.HTML
111
intercambiados entre el servidor y el cliente mediante un algoritmo de cifrado
simétrico. A diferencia del protocolo SET, el sistema SSL carece de capacidad
para verificar la validez del número de tarjeta, autorizar la transacción y procesar
la operación con el banco adquirente; la entidad emisora sólo asegura que
mientras viajan los datos desde el navegador hasta el servidor no serán
modificados, pero una vez que lleguen allí, los datos pueden ser manipulados.
Actualmente el profesor Serge Vaudenay, del Instituto Federal de Tecnología de
Suiza, ha demostrado la existencia de una vulnerabilidad de revelado de
información, que puede permitir a un atacante identificar la clave utilizada para el
cifrado de una sesión al descubrir un método para descifrar un mensaje
codificado con la tecnología SSL.
El ataque consta básicamente de los siguientes pasos:
1. El atacante intercepta el bloque que desea descifrar (la contraseña) que envía
uno de los participantes de la sesión.
2. El atacante envía al otro participante un bloque construido por él a partir del
bloque interceptado.
3. El servidor remitirá un mensaje de error al atacante. Este mensaje indicará que
tipo de error se ha producido, si durante la verificación de los bits de relleno o
durante la verificación del código de autenticación.
Este tipo de ataque requiere que el mensaje utilizado para el cifrado sea el mismo
durante un gran número de sesiones. En el ejemplo práctico utilizado por los
investigadores suizos, se ha utilizado un cliente de correo, que periódicamente
consulta al servidor de correo la posible existencia de nuevos mensajes.
No obstante, los expertos en criptografía de Estados Unidos afirmaron que no se
trata de la versión de seguridad que utiliza la mayoría de los usuarios para
realizar operaciones 'comprometidas' como compras on line.
3.2.1.3 First Virtual
Este sistema fue creado en 1994 por una empresa con sede en San Diego,
EE.UU. Se basa en la utilización de las tarjetas de crédito existentes pero elimina
los riesgos que presenta utilizar este tipo de medio de pago en Internet. Antes de
112
que pueda realizarse cualquier transacción a través de este sistema, tanto el
vendedor como el comprador deben registrarse con First Virtual,
debiendo
mandar una solicitud y recibiendo un PIN (número de identificación personal).
Este PIN funcionará como sustituto del número de la tarjeta de crédito y sólo First
Virtual puede conectar este pin con el dueño de la tarjeta de crédito.
Para realizar una transacción:
1. El comprador envía la solicitud de compra y su PIN al vendedor.
2. El vendedor envía la información a First Virtual.
3. First Virtual chequea la solicitud de compra.
4. El comprador confirma (o no) la compra.
5. First Virtual envía la información a la red financiera para ser procesada.
6. El dinero del comprador es transferido a First Virtual que luego lo transfiere
al vendedor.
7. El vendedor recibe el resultado de la operación y entonces puede enviar la
mercadería o realizar el servicio.
First Virtual garantiza al comprador que el vendedor (o cualquier otra persona) no
sabe nada acerca de él y al vendedor la validez de la tarjeta de crédito. En
esencia, First Virtual dobla la base de datos de la compañía de tarjetas de
crédito. La protección de la privacidad radica en la confianza en la política de First
Virtual.
3.3. Las tarjetas electrónicas
Dentro de la amplia clasificación de las tarjetas, se hace referencia a las nuevas
surgidas como consecuencia del desarrollo tecnológico, esto es a los monederos
electrónicos y a las tarjetas diseñadas en forma específica para realizar pagos en
Internet, comúnmente conocidas como tarjetas virtuales.
3.3.1 Los monederos electrónicos:
Si bien son dinero virtual, tienen una convertibilidad establecida con dinero real.
“Los monederos electrónicos son tarjetas de prepago que permiten almacenar
unidades monetarias en un microchip con la finalidad de realizar pequeñas
113
compras, (cabinas telefónicas, taxis, bares, etc) donde hasta ahora no se
aceptaba la tradicional tarjeta de crédito y el consumidor debía realizar los pagos
en efectivo.”59
El funcionamiento de los monederos electrónicos implica el almacenamiento previo a su uso- de una determinada cantidad de dinero a voluntad del titular de
la tarjeta mediante una transferencia de la cuenta bancaria del usuario del
monedero, de forma tal que con el dinero contenido en él, el titular pueda adquirir
los productos y servicios de los proveedores adheridos al sistema.
Este sistema se basa en el prepago, es decir la conversión previa de dinero real
en dinero electrónico, razón por la cual, para la generación del dinero efectivo
electrónico a través de un programa de computador, es necesario, en primer
lugar, tener una cuenta bancaria en una institución financiera ya que son los
fondos de esa cuenta los que permiten a su titular emitir dinero electrónico.
El uso de esta tarjeta implica su introducción en el dispositivo adecuado del
proveedor de bienes y/o servicios a objeto de registrar la operación realizada y
efectuar la correspondiente deducción del saldo, situación que en principio limita
el uso de la tarjeta monedero en operaciones en Internet, no obstante su uso se
está implantando a través de la instalación de un hardware específico en los
computadores de los usuarios que permite la lectura de las tarjetas. El importe de
las operaciones se registra tanto en la tarjeta a través de microchip, como en los
registros informáticos del banco. La utilización del monedero electrónico,
comporta para el titular la asunción de los riesgos en caso de utilización
fraudulenta o irregular así como por su pérdida, incluso después de haberlo
notificado al banco.
Entre los principales sistemas de pago que utilizan el monedero electrónico cabe
mencionar el Sistema de Europay, MasterdCard y Visa (EMV), el European
Electronic Purse (EEP), iniciativa del European Committee for Banking Standards
(ECBS), el Conditional Access for Europe (CAFE) el sistema MONDEX y el
CyberCash, entre otros.
59
http://nti.uji.es/docs/nti/net/dinero_electronico.html
114
Cybercash60, una de las tarjetas monedero que lleva más tiempo en el mercado,
permite almacenar distintas divisas y contiene un programa de seguridad para
proteger el dinero contenido en el monedero. El sistema de aplicación y
utilización implica:
1-El comprador instala la CyberCash Wallet, programa donde se introducen los
datos de las tarjetas que se usarán. El programa gestiona las claves de
protección.
2-El vendedor se registra en CyberCash e instala el CashRegister en su servidor.
3- Cuando el cliente decide comprar al vendedor, el monedero CC (CyberCash)
genera una hoja de pedido electrónica que contiene el número de tarjeta, PIN e
importe. La hoja va con clave privada de cliente y clave pública de CC.
4- La hoja de pedido se envía al vendedor, que lo encripta con su clave privada y
lo envía a CC.
5- CC comprueba los datos y la identidad de comprador y vendedor.
6- CC encarga al banco (o tarjeta) la operación.
7- La conformidad del banco es enviada al comprador y al vendedor.
8- El vendedor envía el producto.
A continuación se expondrá brevemente el sistema Mondex, basado en una
tarjeta inteligente que contiene dinero y puede transferirlo. La tarjeta Mondex es
una tarjeta de débito en el sentido que sólo puede ser usada para gastar el dinero
que contiene. La tarjeta no solo almacena el stock de dinero, sino también un
registro de las transacciones.
“La tecnología Mondex está en desarrollo desde el año 1990 y es propiedad
exclusiva de Mondex Internacional, una empresa con base en Londres y en la
cual MasterCard tiene una participación del 51 % desde finales de 1996.”61
La tarjeta Mondex es emitida por un banco y está conectada con una cuenta
bancaria. Cada tarjeta tiene un número de 16 dígitos que identifica al propietario
de la tarjeta. Para transferir dinero, ambas tarjetas Mondex (la que envía y la que
recibe) deben ser insertadas en algún tipo de lector. Mondex es un sistema
60
61
http://www.cybercash.com
http://pyme.net.uy/documentos/sistemas_pago.htm
115
cerrado ya que el dinero sólo puede transferido desde una tarjeta Mondex a otra.
Como toda la comunicación entre tarjetas está encriptada, el sistema puede ser
usado en canales de comunicación abiertos como Internet o la red telefónica. Los
lectores
de
tarjetas
pueden
ser
incorporados
a
teléfonos,
colectivos,
computadoras, etc.
Así mismo, permite transferencias entre cualquiera que posea el sistema: entre
bancos y sus clientes, entre clientes entre sí y entre vendedores y compradores.
Las tarjetas, además, pueden ser usadas en todo tipo de transacciones: desde
las tradicionales y físicas hasta las electrónicas a través de cualquier red, desde
pequeños valores hasta grandes sumas de dinero.
3.3.2 Las tarjetas virtuales:
Las tarjetas para pagos en Internet representan la última novedad en materia de
tarjetas electrónicas. Aún cuando para el pago en el comercio electrónico en
Internet no es necesaria la configuración de una tarjeta especial en el sentido de
poder pagar con las tradicionales tarjetas de crédito, o débito, las numerosas
reclamaciones de los clientes por el uso fraudulento de las tarjetas, impulsaron a
las diferentes instituciones financieras y propietarias de las marcas que emiten
las tarjetas a trabajar en el diseño de tarjetas especiales para su uso específico
en Internet.
En España, Banesto ha sido la institución pionera en lanzar al mercado la
denominada "Virtual Cash", que se trata de un monedero electrónico de uso
exclusivo para Internet, diseñado para efectuar pequeños pagos. “La tarjeta no
incorpora microchips, ni bandas magnéticas, sólo un número que sirve para
cargarla en el cajero; tampoco está vinculada a una cuenta corriente y se puede
solicitar on line, en la página Web de Banesto y su funcionamiento está basado
en un número asignado a la tarjeta y la clave secreta que se utiliza para el
recargo con la tarjeta de crédito o débito del cliente, y es aceptada en los
establecimientos afiliados al sistema VirtualCash.”62
62
http://www.interfaz.com.co/mediosdepago/Sistemasdepago.html
116
En Italia se está implantando el sistema de pago mediante lectores de tarjetas
conectados al PC del comprador. Se trata de un sistema que permite hacer los
pagos en Internet sin enviar el número de la tarjeta de manera que ningún hacker
pueda apropiarse de los datos del instrumento de pago ni descifrar los algoritmos
matemáticos de cifrado de la información. El sistema es proporcionado por la
empresa Mover, especializada en diseños de sistemas de seguridad para pagos
electrónicos.
“Mediante
un
acuerdo
contractual
que
incluye
el
pago
correspondiente al servicio, la empresa expide directamente al usuario un kit
compuesto de una tarjeta inteligente denominada Movercard y un lector para
conectar al PC.
La firma electrónica del usuario está contenida en el
microprocesador de la tarjeta de modo que es posible reconocer su identidad,
una vez insertada la tarjeta en el lector se teclea el PIN y se autoriza el pago, con
este sistema es posible hacer compras en los establecimientos afiliados al
sistema Mover.”63
4. Los títulos-valores electrónicos
En sus orígenes, la noción del título-valor electrónico se identificaba con el efecto
producido como consecuencia de la desmaterialización del título valor, fenómeno
que permite la circulación electrónica de los títulos gracias a anotaciones
contables en un soporte electrónico. Si bien este proceso contribuyó a la
agilización de los títulos-valores en masa (acciones y obligaciones), no resultaba
del todo idóneo para los títulos emitidos individualmente como es el caso de la
letra de cambio y el cheque. “Actualmente se habla de "electronificación de los
títulos valores" aludiendo esta frase, tanto al sistema de desmaterialización
tradicional, como a la emisión y circulación electrónica a través de redes de
títulos cambiarios susceptibles de uso como medios de pago, en este caso,
referidos a letras de cambio y cheques electrónicos.”64
4.1 Letras de cambio electrónicas:
63
64
Ibidem
http://nti.uji.es/docs/nti/net/dinero_electronico.html
117
La emisión electrónica de letras de cambio es perfectamente factible en los
países que no exigen la utilización de formatos específicos para su emisión. La
mayoría de los países que han adoptado legislación en materia de contratación y
comercio electrónico consagran el principio de equivalencia funcional entre el
documento electrónico y el documento que requiere el tradicional soporte en
papel, de igual manera que consagran el principio de equivalencia funcional entre
la firma autógrafa y la firma manuscrita.
El principal problema que se suscita con el uso electrónico de la letra de cambio,
es el mismo que se presenta en la actualidad con el uso de la letra de cambio
tradicional por efecto del fenómeno conocido como "la crisis de la letra de
cambio" derivado principalmente de la pérdida de confianza en el instrumento
cambiario.
4.2 Cheques electrónicos:
En materia de cheques electrónicos susceptibles de uso en Internet, existen en la
actualidad dos proyectos oficiales: el proyecto FSTC (Financial Services
Techology Consortium) en Estados Unidos y el Proyecto MANDATE (Managing
and Administrating Negotiable Documents and Trading them Electronically) en
Europa.
El FSTC como consorcio de más de 90 miembros, principalmente
bancos, que colaboran de forma no competitiva en el desarrollo de proyectos
técnicos, es un sistema que utiliza una tarjeta inteligente para implementar un
"talonario de cheques electrónicos" seguro. La Tesorería estadounidense firmó
en junio de 1998 su primer cheque electrónico usando este sistema, marcando el
inicio de un periodo de pruebas del sistema antes de su comercialización.
Al lado de estos proyectos existen diversas iniciativas de las grandes empresas y
compañías informáticas para facilitar el pago de las compras a través de Internet
en los que cabe resaltar el uso de Net Check, el Cashier Check, el Net Bill y el
Check Free.
En líneas generales, el funcionamiento de los citados proyectos se basa en la
sustitución del soporte tradicional del cheque -el papel- por un soporte electrónico
que permite emitir y enviar el cheque al tenedor a través de la Red; de igual
forma, el tradicional talonario de cheques se sustituye por una chequera
118
electrónica de bolsillo contenida en una tarjeta electrónica. La seguridad de estos
sistemas se basa en el uso de algoritmos criptográficos que permiten garantizar
la integridad de los datos contenidos en el cheque, evitar las duplicaciones y
mantener oculto el número de cuenta del librador.
El uso del cheque electrónico debe ser pactado con el banco o entidad financiera
y debe insertarse dentro del contrato de cuenta corriente de igual forma como se
pacta el uso del cheque tradicional ya que en virtud de este contrato es que la
entidad se obliga a satisfacer al tenedor el importe del cheque. Debe existir una
cláusula en el contrato que permita la emisión de cheques mediante el uso de la
firma electrónica registrando los datos relativos a la firma del librador tal como se
hace en los casos de las firmas manuscritas, para lo cual será necesario la
intervención de una tercera parte, esto es, de la autoridad de certificación.
Como los cheques electrónicos utilizan el mismo marco regulatorio que los
cheques de papel, no son un nuevo tipo de pago que produce una ruptura con los
esquemas vigentes. Para participar, los bancos sólo tienen que agregar un
servidor electrónico de cheques a un sistema existente.
A continuación se exponen las principales características de algunos de los
sistemas anteriormente mencionados:
1- Checkfree: Se trata de un sistema integrado de Comercio Electrónico basado
en protocolos propios, con clientes y servidores específicos. Trabaja sobre
Windows95 bajo el padrinazgo de Compuserve.
Las órdenes se transmiten a través de Internet, cifradas mediante el algoritmo
RSA y utilizando claves públicas de 756 bits. El tamaño de esta clave se
considera lo suficientemente seguro para usarla en transacciones comerciales.
Los comercios deben estar registrados en CheckFree (www.chekfree.com). El
comprador envía información para ejecutar el pago al comercio, que, a su vez, la
remite a CheckFree. Una vez autorizado el pago, el cliente recibe un justificante,
119
y el comercio recibe el identificador de esta autorización para que entregue el
pedido. CheckFree se encarga de interactuar con los bancos para llevar a cabo la
transferencia de fondos.
2- NetBill: es un proyecto desarrollado en la Universidad Carnegie-Mellon. NetBill
es un pequeño banco en el que tanto clientes como comerciantes mantienen
cuentas privadas.
Los clientes pueden poner dinero en su cuenta para ejecutar pagos, y los
comercios pueden retirarlo. Dedicados a micro pagos basado en un sistema de
clave simétrica y capaz de gestionar pagos de decenas de centavo de dólar.
Se basa en protocolos propios, con clientes y servidores específicos que pueden
empotrarse en navegadores WWW u otro tipo de interfaces de usuario. Todas las
transferencias por Internet van adecuadamente cifradas y firmadas por medio de
claves públicas, con autentificación basada en Kerberos. El sistema es muy
adecuado para la venta de información a través de la red. Un cliente hace un
pedido, y recibe el producto (la información) cifrado. Cuando lo recibe, ordena el
pago que, una vez ejecutado, hace que el comerciante le entregue al comprador
la clave necesaria para desencriptar la información. De esta forma se consigue
ligar a ambas partes para evitar fraudes por desaparición súbita, o por pérdidas
derivadas de fallos de la red o de los terminales
3- El sistema del E-check65 permite la emisión de cheques certificados mediante
la certificación bancaria del instrumento, este procedimiento se lleva a cabo a
través de la inserción de parte de la institución financiera de un sello de garantía
avalado con su firma electrónica, garantizando al portador del cheque la
existencia de una determinada disponibilidad a su favor, de esta manera funciona
el sistema "Cashier Check", utilizado con mayor difusión en Estados Unidos.
65
http://www.echeck.org/
120
4- NetCheck66: Esta es una compañía que implementa el sistema de cheques
electrónicos. Un cheque electrónico es igual al sistema tradicional solo que se
autentifica mediante una firma digital. Para utilizar este sistema el cliente debe
tomar una cuenta en NetCheck, además debe tener una cuenta bancaria o tarjeta
de crédito para respaldar los pagos. El cliente hace un cheque escribiendo todos
los datos necesarios y firmándolo con su firma digital, luego el comerciante
manda los datos a NetCheck, el que certifica la firma y autoriza la transferencia
de fondos.
4. VALIDEZ LEGAL DEL PAGO ELECTRÓNICO
Una de las principales inquietudes que manifiestan los usuarios de Internet a la
hora de efectuar un pago a través de un medio electrónico, se relaciona
directamente con la incertidumbre sobre la validez legal del mismo, la cual seria
aceptada partiendo de los siguientes presupuestos:
1. La autonomía de la voluntad y la libertad de pacto: según estos principios de
carácter general, el pago por medios electrónicos será válido siempre que las
partes hayan convenido en ello.
2. La validez del contrato electrónico: hoy en día, la mayoría de las legislaciones
admiten la validez del contrato efectuado por medios electrónicos. Siendo el pago
un medio de ejecución del contrato, en este caso un medio electrónico de
ejecución de un contrato electrónico, no vemos objeción alguna para declararlo
legalmente admisible.
3. La representatividad del medio de pago: para validar el pago a través de
signos representativos del dinero (letras de cambio y cheques), la mayoría de las
legislaciones admiten el principio de que el pago puede hacerse en dinero
efectivo o en un signo que lo represente, como ha quedado de manifiesto a lo
largo de esta ponencia, el dinero electrónico no es más que una representación
binaria del dinero tradicional, siendo en todo caso susceptible de conversión a
dinero real en beneficio de los derechos del portador.
66
http://www.netcheck.com
121
5. VENTAJAS
1. Disponibilidad: el dinero electrónico está disponible las 24 horas del día, 7 días
a la semana, pues su utilización a través de redes electrónicas no tiene
restricción temporal, ni aún para operaciones entre sitios en diferentes países.
2. Agilidad en operaciones: el manejo interno (en bancos o similares) de la
información asociada con el flujo de dinero ocurre de una forma más natural,
pues la representación física (electrónica) del dinero es de la misma naturaleza
que la información manejada por los sistemas: bits. Se puede hacer uso directo
de los datos, agilizando los procesos internos y los relacionados directamente
con servicios al cliente.
3. Facilidad de recuperación: el seguimiento y auditoría sobre las operaciones es
más eficiente; controles y documentación se hacen -también - electrónicamente.
Las facilidades para tener copias de respaldo, desautorizar una transacción o
controlar el pago efectivo del dinero electrónicamente, conllevan toda una
revolución frente a los mecanismos actuales.
4. Economía en producción a escala: aunque las primeras implantaciones de
esquemas de dinero electrónico pueden requerir fuertes inversiones, el costo
marginal de producción del equivalente a los billetes es cada vez menor. Una vez
la infraestructura está montada, el esquema es menos costoso que la producción
de papel moneda, o cheques.
5. Privacidad: el uso y disponibilidad del dinero es menos evidente externamente.
Ello crea un nivel de seguridad no existente, al menos con respecto al efectivo
que se maneja tradicionalmente.
6. Acelera globalización: la tan pronosticada "aldea global" recibe un paso más
para su formación.
6. PROBLEMATICA
122
La emisión de dinero electrónico tendrá una importante incidencia en la política
monetaria y obligará a asegurar la estabilidad de los precios y la función del
dinero como unidad de cuenta.
Las dificultades que enfrentan los medios de pago electrónicos y su efectiva
evolución se envuelven alrededor de diferentes aspectos:
1. Carencia de estructuras de control: los procesos y operaciones alrededor de
dinero electrónico son más nuevos que el concepto mismo, por lo que escapan a
las estructuras actuales de control de bancos y entidades operadoras. Sin
embargo, el hecho de operar digitalmente favorece la rápida integración de esos
controles de operación.
2. Ausencia de regulación: los problemas derivados del traspaso de fronteras sin
regulación son discutidos bajo contextos académicos y de investigación, pero no
se enfrentan de manera práctica aún. Los grandes obstáculos que generan los
inmensos vacíos legales actuales y la renuencia de los órganos legislativos a
aceptar y dar validez jurídica a instituciones como la firma electrónica entre otras.
Deberá analizarse la necesidad de desarrollar nuevas normas que garanticen:
- El funcionamiento eficaz de los sistemas de pago
- La confidencialidad de las transacciones
- La protección de los consumidores y de los comerciantes
- La estabilidad de los mercados financieros
- La protección frente a delitos
3. Nuevos problemas de seguridad: se requieren elementos de control y
seguridad nuevos y eficaces, lo que no significa una debilidad intrínseca del
dinero electrónico. La evolución tecnológica contribuye también al desarrollo de
los mecanismos de seguridad y el estar implementados sobre datos y procesos
digitales favorece su implantación.
123
4. Susceptibilidad a manipulaciones criminales: junto con el avance tecnológico,
se presentan niveles más sofisticados de criminalidad basados en conocimiento
avanzado de la tecnología, lo que puede causar daños catastróficos que lleven a
una pérdida de confianza en el sistema o en su moneda. Por esta razón, hoy solo
se ven aplicaciones de dinero electrónico en ambientes fáciles de controlar: por
su tamaño, por lo cerrado de la comunidad beneficiada, o por poco riesgo en
bajos volúmenes de las transacciones; no es la tecnología la que impone el
límite.
Deberán establecerse los requisitos que deberá cumplir la emisión de dinero
electrónico y en especial:
- Supervisión sometida a criterios de prudencia.
- Normativa sólida y transparente
- Seguridad técnica que impida manipulaciones y falsificaciones
- Protección frente a delitos, especialmente el blanqueo de dinero
- Suministro de la información necesaria para generar estadísticas monetarias
- Garantía de conversión del dinero electrónico en moneda del banco central a
requerimiento del poseedor del dinero electrónico.
- Coeficiente de caja que obligue a los emisores de dinero electrónico a mantener
unas reservas apropiadas.
5. Proceso de globalización: la eficiencia de una sociedad está ligada a la
competitividad de sus estructuras; sin una adecuada velocidad de adopción de
medios tecnológicos el retraso es cada vez mayor frente a quienes sí lo hacen.
Será necesario incrementar la cooperación entre las autoridades de supervisión
de los países implicados para evaluar la integridad de los sistemas de dinero
electrónico, en especial, en las operaciones transfronterizas.
6. Interoperabilidad de los diferentes sistemas de dinero electrónico: No existe
ningún medio de pago que cumpla todas esas características. Las monedas, los
billetes, los cheques, las tarjetas de plástico, todos los medios tienen algún
124
inconveniente e incumplen alguno de los requisitos que hemos enumerado. Por
tanto es necesario que haya diversidad. Para los pagos pequeños se usará un
medio y para los pagos grandes o los pagos diferidos en el tiempo elegiremos
otros.
Los medios de pago en Internet son muchos y tampoco hay ninguno que sea
perfecto. Dependiendo de lo que se vaya a comprar o vender se usará uno u
otro. En cualquier caso, siendo el ciberespacio un territorio recién descubierto y
con tantas perspectivas de utilización comercial, es natural que estén surgiendo
con profusión nuevos medios de pago diseñados específicamente para Internet
125
CAPITULO VII
ESTANDARES INTERNACIONALES
Es indiscutible que las nuevas tecnologías de la información se presentan como
una oportunidad inmejorable para que los países menos desarrollados o
emergentes puedan achicar la brecha que los separa con los denominados
países del primer mundo, razón por la cual se emplean diversos instrumentos
tales como la firma electrónica, los sistemas de encriptación y las entidades de
certificación los cuales permiten la “adaptación a este nuevo paradigma socioeconómico-cultural, que posibilita la expansión del comercio dentro de esta nueva
economía digital globalizada, rediseña las relaciones laborales y la interacción
humana y, a su vez, en el ámbito administrativo o gubernamental, optimiza la
eficiencia a un bajo costo, con intervención y participación de los administrados
(ciudadanos), lo que importa dotar al sistema de una mayor transparencia y
obtener la consecuente reducción del gasto público y restablecer la credibilidad
en las instituciones democráticas”67, algo que debe garantizar todo Estado social
de Derecho.
En este sentido, el aparato legislativo de las naciones y de los organismos
internacionales juega un papel fundamental en la dinámica planteada, ya que la
sociedad de la información no puede ni debe quedar exenta de un marco legal
apropiado que ofrezca protección y garantías a todo aquel que acceda a la
misma
MODELOS INTERNACIONALES
En el plano internacional tienen lugar actualmente múltiples actividades y debates
en torno a los aspectos legales de la firma digital:
1. La Comisión Europea ha redactado su borrador final de Directiva de Firma
67
http://www.hfernandezdelpech.com.ar/Leyes/LEY%20MODELO%20NAC.UNIDAS%20SOBRE%20FIR
MA%20DIGITAL.htm
126
Digital ("Propuesta de Directiva del Parlamento Europeo y el Consejo sobre un
Marco Común Para las Firmas Electrónicas") del 13 de mayo de 1998, publicado
en el Diario Oficial de las Comunidades Europeas del 23 de octubre de 1998, que
establece las pautas para la utilización de la firma digital por los Estados
miembros.
2. La Comisión de las Naciones Unidas para el Derecho Comercial Internacional
(UNCITRAL) ha aprobado una Ley-Modelo sobre Comercio Electrónico y en
materia de firma digital, cuyas directivas han sido tomadas como base por la
mayoría de los países latinoamericanos que legislaron en la materia, por su
ductilidad para adaptarse a sus necesidades.
La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional es
un órgano subsidiario de la Asamblea General de las Naciones Unidas que se
estableció en 1966 con el mandato general de promover la armonización y
unificación progresivas del derecho mercantil internacional. Desde su creación,
UNCITRAL ha preparado una amplia gama de convenciones, leyes modelo y
otros instrumentos relativos al derecho sustantivo aplicable a las operaciones
comerciales o a otros aspectos del derecho mercantil que inciden en el comercio
internacional, con el objetivo de lograr una “armonización" y "unificación" del
derecho mercantil internacional. Tales conceptos del derecho mercantil
internacional, describen el proceso mediante el cual se van creando y aprobando
normas o regímenes jurídicos destinados a facilitar el comercio internacional. La
Comisión de las Naciones Unidas para el Derecho Mercantil Internacional
determina las esferas en que el comercio internacional se ve obstaculizado por
factores como, la falta de previsibilidad en cuanto a la ley aplicable o la
continuidad de leyes obsoletas, difíciles de compaginar con la práctica comercial
contemporánea, y luego se esfuerza por encontrar y negociar soluciones que
sean aceptables para Estados con diversos ordenamientos jurídicos y situados a
diversos niveles de su desarrollo económico y social.
Aunque los conceptos de "armonización" y "unificación" están íntimamente
relacionados, la comisión entiende por el primero, el proceso mediante el cual se
tiende a facilitar la modificación de ciertos regímenes del derecho interno de los
127
Estados,
para
conferir
previsibilidad
a
las
operaciones
comerciales
transfronterizas y, por el segundo, el proceso mediante el cual los Estados
aprueban normas o regímenes jurídicos comunes para regular determinados
aspectos de las operaciones mercantiles internacionales. Una ley modelo o una
guía legislativa ejemplifican el tipo de texto cuya finalidad es armonizar el derecho
interno, mientras que una convención es un instrumento internacional al que los
Estados dan su aprobación oficial a fin de unificar en el ámbito internacional
ciertas esferas de su derecho interno. Entre los textos preparados hasta la fecha
por UNCITRAL figuran convenciones, leyes modelo, guías jurídicas, guías
legislativas, reglamentos y notas sobre determinadas prácticas.
Independientemente de los términos empleados, el rasgo esencial de la labor de
UNCITRAL está en su empeño por modernizar las leyes en vigor para adaptarlas
a las necesidades del comercio internacional y del desarrollo económico.
Según la guía explicativa proferida por la comisión en 1996, la finalidad de la Ley
Modelo es la de ofrecer al legislador nacional un conjunto de reglas aceptables
en el ámbito internacional que le permitan eliminar algunos obstáculos jurídicos
como la comunicación de datos de cierta trascendencia jurídica en forma de
mensajes sin soporte de papel o la incertidumbre que pudiera haber sobre la
validez o eficacia jurídica de esos mensajes. Con miras a crear un marco jurídico
que permita un desarrollo más seguro de las vías electrónicas de negociación
designadas por el nombre de "comercio electrónico".
La decisión de UNCITRAL de formular un régimen legal modelo para el comercio
electrónico se debe a que el régimen aplicable en ciertos países a la
comunicación y archivo de información era inadecuado o anticuado, al no
haberse previsto en ese régimen las modalidades propias del comercio
electrónico. En algunos casos, la legislación vigente impone o supone
restricciones al empleo de los modernos medios de comunicación, por ejemplo,
por haberse prescrito el empleo de documentos "originales", "manuscritos" o
"firmados". Si bien unos cuantos países han adoptado reglas especiales para
regular determinados aspectos del comercio electrónico, se hace sentir en todas
128
partes la ausencia de un régimen general del comercio electrónico. De ello puede
resultar incertidumbre acerca de la naturaleza jurídica y la validez de la
información presentada en otra forma que no sea la de un documento tradicional
sobre papel.
Adicionalmente, la Ley Modelo puede ayudar a remediar los inconvenientes que
proceden del hecho de que un régimen legal interno inadecuado pueda
obstaculizar el comercio internacional, al depender una parte importante de ese
comercio de la utilización de las modernas técnicas de comunicación. La
diversidad de los regímenes internos aplicables a esas técnicas de comunicación
y la incertidumbre a que dará lugar esa disparidad pueden contribuir a limitar el
acceso de las empresas a los mercados internacionales.
De la misma manera, la Ley Modelo puede resultar un valioso instrumento, en el
ámbito internacional, para interpretar ciertos convenios y otros instrumentos
internacionales existentes. En caso de adoptarse la Ley Modelo como regla de
interpretación
al
respecto,
los
Estados
partes
en
esos
instrumentos
internacionales dispondrían de un medio para reconocer la validez del comercio
electrónico sin necesidad de tener que negociar un protocolo para cada uno de
esos instrumentos internacionales en particular.
La Ley Modelo tiene por objeto enunciar los procedimientos y principios básicos
para facilitar el empleo de las técnicas modernas de comunicación para consignar
y comunicar información en diversos tipos de circunstancias., permitiendo facilitar
el empleo del comercio electrónico y concediendo igualdad de trato a los usuarios
de mensajes consignados sobre un soporte informático que a los usuarios de la
documentación consignada sobre papel. No obstante, se trata de una ley "marco"
que no enuncia por sí sola todas las reglas necesarias para aplicar esas técnicas
de comunicación en la práctica. Además, la Ley Modelo no tiene por objeto
regular todos los pormenores del empleo del comercio electrónico. Por
consiguiente, el Estado promulgante tal vez desee dictar un reglamento para
pormenorizar los procedimientos de cada uno de los métodos autorizados por la
Ley Modelo a la luz de las circunstancias peculiares y posiblemente variables de
129
ese Estado, pero sin merma de los objetivos de la Ley Modelo. Se recomienda
que todo Estado, que decida reglamentar más en detalle el empleo de estas
técnicas, procure no perder de vista la necesidad de mantener la plausible
flexibilidad del régimen de la Ley Modelo, creando un entorno legal neutro para
todo medio técnicamente viable de comunicación comercial.
Es menester señalar que UNCITRAL tiene previsto mantenerse al corriente de los
avances técnicos, jurídicos y comerciales que se produzcan en el ámbito de
aplicación de la Ley Modelo. De juzgarlo aconsejable, la Comisión podría decidir
introducir nuevas disposiciones en el texto de la Ley Modelo o modificar algunas
de las actuales.
En complemento de la ley modelo sobre comercio electrónico, UNCITRAL expidió
en 2001 la ley modelo sobre firma digital, la cual se adapta a los mismos
objetivos señalados y perseguidos por aquella, siendo aplicable en todos los
casos en que se utilicen firmas electrónicas en el marco de actividades
comerciales.
En virtud de esta ley, por “firma digital” se entenderán los datos en forma
electrónica consignados en un mensaje de datos, o adjuntados o lógicamente
asociados al mismo que puedan ser utilizados para identificar al firmante en
relación con el mensaje de datos e indicar que el firmante aprueba la información
contenida en el mensaje de datos; por “certificado” todo mensaje de datos u otro
registro que confirme el vínculo entre un firmante y los datos de creación de la
firma; por “mensaje de datos” la información generada, enviada, recibida o
archivada por medios electrónicos, ópticos o similares; por “firmante” la persona
que posee los datos de creación de la firma y que actúa en nombre propio o de la
persona a la que representa; por “prestador de servicios de certificación” la
persona que expide certificados y puede prestar otros servicios relacionados con
las firmas electrónicas; y por “parte que confía” se entenderá la persona que
pueda actuar sobre la base de un certificado o de una firma electrónica.
130
En este sentido, la ley modelo dispuso en el capitulo II sobre la aplicación de los
requisitos jurídicos a los mensajes de datos, consagrando las siguientes normas:
“Artículo 5.- Reconocimiento jurídico de los mensajes de datos
No se negarán efectos jurídicos, validez o fuerza obligatoria a la información por
la razón que esté en forma de mensaje de datos.
Artículo 5 bis.- Incorporación por remisión
No se negarán efectos jurídicos, validez ni fuerza obligatoria a la información por
la sola razón de que no esté contenida en el mensaje de datos que se supone ha
de dar lugar a este efecto jurídico, sino que figure simplemente en el mensaje de
datos en forma de remisión.
Articulo 6.- Escrito
1. Cuando la ley requiera que la información conste por escrito, ese requisito
quedará satisfecho con un mensaje de datos si la información que éste contiene
es accesible para su ulterior consulta.
2. El párrafo 1 será aplicable tanto si el requisito en él previsto está expresado en
forma de obligación como si la ley simplemente prevé consecuencias en el caso
de que la información no conste por escrito.
3. Lo dispuesto en el presente artículo no será aplicable a: (....)
Articulo 7.- Firma
1. Cuando la ley requiera la firma de una persona, ese requisito quedará
satisfecho en relación con un mensaje de datos:
a) Si se utiliza un método para identificar a esa persona y para indicar que esa
persona aprueba la información que figura en el mensaje de datos; y
131
b) Si ese método es tan fiable como sea apropiado para los fines para los que se
generó o comunicó el mensaje de datos, a la luz de todas las circunstancias del
caso, incluido cualquier acuerdo pertinente.
2. El párrafo 1 será aplicable tanto si el requisito en él previsto está expresado en
forma de obligación como si la ley simplemente prevé consecuencias en el caso
de que no exista una firma.
3. Lo dispuesto en el presente artículo no será aplicable a; (...)
Articulo 8.- Original
1. Cuando la ley requiera que la información sea presentada y conservada en su
forma original, ese requisito quedará satisfecho con un mensaje de datos:
a) Si existe alguna garantía fidedigna de que se ha conservado la integridad de la
información a partir del momento en que se generó por primera vez en su forma
definitiva, como mensaje de datos o en alguna otra forma;
b) De requerirse que la información sea presentada, si dicha información puede
ser mostrada a la persona a la que deba presentar.
2. El párrafo 1 será aplicable tanto si el requisito en él previsto está expresado en
forma de obligación como si la ley simplemente prevé consecuencias en el caso
de que la información no sea presentada o conservada en su forma original.
3. Para los fines del inciso a) del párrafo 1):
a) La integridad de la información será evaluada conforme al criterio de que haya
permanecido completa e inalterada, salvo la adición de algún cambio que sea
inherente al proceso de su comunicación, archivo o presentación; y
b) El grado de fiabilidad requerido será determinado a la luz de los fines para los
que se generó la información y de todas las circunstancias del caso.
132
4. Lo dispuesto en el presente artículo no será aplicable a: (....)
Artículo 9.- Admisibilidad y fuerza probatoria de los mensajes de datos
1. En todo trámite legal, no se dará aplicación a regla alguna de la prueba que
sea óbice para la admisión como prueba de un mensaje de datos:
a) Por la sola razón de que se trate de un mensaje de datos; o
b) Por razón de no haber sido presentado en su forma original, de ser ese
mensaje la mejor prueba que quepa razonablemente esperar de la persona que
la presenta.
2. Toda información presentada en forma de mensaje de datos gozará de la
debida fuerza probatoria. Al valorar la fuerza probatoria de un mensaje de datos
se habrá de tener presente la fiabilidad de la forma en la que se haya generado,
archivado o comunicado el mensaje, la fiabilidad de la forma en la que se haya
conservado la integridad de la información, la forma en la que se identifique a su
iniciador y cualquier otro factor pertinente.
Articulo 10- Conservación de los mensajes de datos
1. Cuando la ley requiera que ciertos documentos, registros o informaciones sean
conservados, ese requisito quedará satisfecho mediante la conservación de los
mensajes de datos, siempre que se cumplan las condiciones siguientes:
a) Que la información que contengan sea accesible para su ulterior consulta; y
b) Que el mensaje de datos sea conservado con el formato en que se haya
generado, enviado o recibido o con algún formato que sea demostrable que
reproduce con exactitud la información generada, enviada o recibida; y
c) Que se conserve, de haber alguno, todo dato que permita determinar el origen
y el destino del mensaje, y la fecha y la hora en que fue enviado o recibido.
133
2. La obligación de conservar ciertos documentos, registros o informaciones
conforme a lo dispuesto en el párrafo 1) no será aplicable a aquellos datos que
tengan por única finalidad facilitar el envío o recepción del mensaje.
3. Toda persona podrá recurrir a los servicios de un tercero para observar el
requisito mencionado en el párrafo 1), siempre que se cumplan las condiciones
enunciadas en los incisos a), b) y c) del párrafo 1).”
Sobre esta base, la ley modelo propugna por la Igualdad de tratamiento de las
tecnologías para la firma, de tal forma que ninguna de las disposiciones, sea
aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier
método para crear una firma electrónica que cumpla los requisitos enunciados
para la misma o que cumpla de otro modo los requisitos del derecho aplicable.
Así mismo, en materia interpretativa, se establecen dos reglas:
1- Habrá de tenerse en cuenta el origen internacional y la necesidad de promover
la uniformidad en su aplicación y la observancia de la buena fe.
2- Las cuestiones relativas a materias que se rijan por dicha Ley y que no estén
expresamente resueltas en ella serán dirimidas de conformidad con los principios
generales en que se inspira.
Finalmente la ley introdujo una excepción a su aplicación, consagrando la
posibilidad de modificación mediante acuerdo entre las partes respecto de sus
efectos, esto, salvo que dicho acuerdo no sea válido o eficaz conforme al derecho
aplicable.
3. La Organización de Cooperación y Desarrollo Económico (OCDE) prosigue sus
trabajos en este ámbito, a modo de continuación de sus pautas de política
criptográfica
de
1997.
Otras
organizaciones
internacionales,
como
la
Organización Mundial del Comercio (OMC), han empezado también a interesarse
en el tema.
134
4. El Comité de Seguridad de la Información de la Sección de Ciencia y
Tecnología de la American Bar Association ("ABA" - Asociación de Abogados de
los EE.UU.) redactó su Normativa de Firma Digital en 1996, en la que participaron
casi ochenta profesionales de las disciplinas del derecho, la informática y la
criptografía de los sectores público y privado, en la que especifica un mecanismo
de firma digital a base a criptografía asimétrica, los certificados de clave pública y
los certificadores de clave pública.
5. Cámara de Comercio Internacional (CCI): El comercio electrónico es capaz de
transformar los negocios a inimaginados campos de oportunidad, sin embargo
para cumplir esta promesa Internet debe someterse a las mismas reglas y
disciplinas que han regulado el comercio tradicional.
Esta fue la principal
conclusión de las conferencias de la agenda comercial para el comercio
electrónico celebradas el 6 y 7 de noviembre de 1997, que reunieron, oficiales del
gobierno, académicos, abogados, ejecutivos de mercadeo y los altos miembros
de la CCI y expertos en comercio de las compañías que constituyen hoy los
mayores proveedores y usuarios de la tecnología de la información.
Los
participantes se convencieron de que la clave reposa en la auto regulación del
negocio, soportada en un marco legal, y tal como lo señaló Geoge Yoong-Baom
Yeo, Ministro de Artes e Información de Singapur, “El comercio electrónico no
puede florecer sin ley y orden”. También se advirtió al sector privado sobre la
urgencia de liderar el desarrollo de Internet, dado que los gobiernos no están lo
suficientemente equipados para regular algo tan amorfo dinámico y ágil, como es
este fenómeno de desafío a las fronteras. Si existe desconcierto, no es sobre la
tecnología y sus capacidades; la gran pregunta es si el negocio puede
autorregularse a través de códigos y estándares que impongan un orden y eviten
la anarquía. Las reglas deben ser armónicas y consistentes extendiéndose a la
protección sobre privacidad, propiedad intelectual, ética comercial, buena fe y
confianza entre los comerciantes, y plena validez de la firma electrónica; si esta
última tiene un significado diferente en cada país, se hace imposible el comercio
135
electrónico.
Los participantes encomendaron a la CCI la labor de regulación, depositando la
confianza en ella, de las transacciones electrónicas a través de Internet. Uno de
los participantes afirmó que se daría máximo un plazo de año y medio para
demostrar que podía controlar el mal uso comercial de Internet, antes de que los
gobiernos se adelantaran en la regulación y vigilancia. En el nuevo mundo del
ciberespacio, donde no existen fronteras, ni divisiones físicas, reglas básicas son
cruciales para el éxito comercial de nuevas redes como Internet, siendo entonces
la labor de la CCI, proveer estas normas que sin entrar en conflicto con otros
ordenamientos constituyen estándares universalmente aplicables.
En respuesta a lo anterior, la CCI, declaró: Al representar todos los negocios en
cada continente, es universalmente reconocida como arbitro de las reglas y
estándares del comercio a través de documentos, conciliando diversos sectores,
regiones, códigos nacionales, estándares y prácticas.
Expertos de la CCI
pertenecientes a compañías con intereses de mercado, han sido vinculados al
desarrollo de los siguientes proyectos:
-imperiosa la necesidad de crear un mecanismo armónico de certificación
construido sobre la base de las reglas GUIDEC que permita a las partes
contratantes verificar su identidad.
- Dictar lineamientos para el mercadeo en Internet, y para las preferencias de la
audiencia global.
- Establecer nuevas cláusulas contractuales que puedan aplicarse a todas las
partes y eviten los inconvenientes surgidos de la diferencia de regimenes sobre
protección de datos.
- Tomar las medidas necesarias para evitar el abuso de nombres de dominio y
derechos de autor en Internet.
- Consagrar un marco regulatorio para el tratamiento de documentos electrónicos,
exportaciones e importaciones, transporte e intercambio de bienes y servicios.
- Disponer una base de datos de los links para los términos electrónicos que
provean definiciones completas de las disposiciones legales de las diferentes
136
compañías.
- Formular mecanismos de solución de controversias del ciberespacio que se
sobrepongan a los problemas de jurisdicción competente.
GUIDEC, (Convención General para el Comercio Electrónico y la Firma Digital
Internacional) fue desarrollado por el comité de seguridad de la información de la
CCI bajo el auspicio del proyecto sobre comercio electrónico elaborado por la
misma. Este proyecto, es un esfuerzo internacional y multidisciplinario cuyos
objetivos son estudiar, facilitar y promover el emergente sistema global de
intercambio.
En este participan las siguientes comisiones de la CCI: banca,
transporte, computación, telecomunicaciones, y políticas de información,
prácticas comerciales, servicios financieros y de seguros de tal forma que se
pueda proveer un acercamiento global a la implementación del comercio digital.
Al ser multidisciplinario, reine a corporaciones líderes, abogados, especialistas en
información
tecnológica,
representantes
gubernamentales
y
asociaciones
industriales mundiales enfocados en temas claves del comercio digital.
La propuesta de la CCI para desarrollar lineamientos internacionales sobre los
aspectos jurídicos del comercio electrónico y el establecimiento de una cadena
internacional de registro y autoridades de certificación, surgió en noviembre de
1995 dentro del contexto del grupo de trabajo encargado de la temática del
comercio digital.
Las primeras aproximaciones fueron discutidas bajo la
denominación de “prácticas internacionales uniformes
de autenticación y
certificación”, sufriendo una modificación posterior durante la etapa de consultas,
cambiándose por GUIDEC, con el fin de asegurar y reflejar el uso de la palabra
“asegurar” (ensure) y su relación directa con la firma digital y la autenticación en
el título.
Bajo revisión, la CCI y su proyecto, determino que los temas envueltos en el
comercio electrónico incluidas el uso de firmas digitales y el papel de las
autoridades de certificación eran lo suficientemente complejas como para ser
tratadas en diferentes grupos.
137
CAPITULO VIII
LEGISLACION VIGENTE
“Básicamente, el problema de la seguridad en las redes, es un tema que, por la
magnitud de sus consecuencias, y las proyecciones que se prevén en el futuro
desarrollo de ellas, se ha tornado estratégico para los gobiernos en todo el
mundo. Estas proyecciones, pronostican que el crecimiento y evolución de la
sociedad de la información globalizada, tendrá características exponenciales. A
esto deben sumársele los esfuerzos internacionales para promover el crecimiento
del comercio electrónico y sus derivaciones. Con este último objetivo, los estados
han tomado decisiones estratégicas para otorgar mayor seguridad a las redes,
fundamentalmente tratando de delinear un marco normativo adecuado que brinde
seguridad jurídica, con el fin de fomentar el desarrollo de actividades a través de
redes”68.
En virtud de esto, se hace necesario un acercamiento a las diferentes
legislaciones vigentes, para así entender como cada uno de los fenómenos
tratados a lo largo del trabajo, es desarrollado por los diferentes ordenamientos
jurídicos y en ese sentido, realizar una comparación con el fin de revelar las
fortalezas y debilidades de un sistema global que debe tender hacia la unificación
o por lo menos hacia la armonización.
A continuación se entrará a la revisión de la normatividad actual de Estados
Unidos de América, contenida en el “ELECTRONIC SIGNATURES IN GLOBAL
AND NATIONAL COMMERCE ACT”, la Unión Europea, consagrada en la
“Directiva 99/93” y Colombia en la Ley 527/99 y el Decreto 1747 de 2000, siendo
este último pionero y por tanto exponente principal de América Latina. Lo anterior
68
NEGOCIOS EN INTERNET. Cap. 6 “la seguridad en las redes abiertas”. Pág. 149
138
se realizará frente a los siguientes temas: firma digital, autoridades de
certificación y su validez y efectos jurídicos, constituyendo estos los pilares de la
nueva realidad comercial urgida de seguridad.
“No debe perderse de vista, que en todos los casos, está presente el interés
legítimo de los Estados de velar por la seguridad y el orden públicos y el
resguardo de las naciones”69.
1- Unión Europea:
Estructura de la “Directiva 99/93”:
1- Justificación:
Las redes abiertas como Internet cada vez son más importantes para la
comunicación mundial. Estas redes permiten la comunicación interactiva entre
personas que anteriormente, no tenían ninguna relación previa.
Al brindar instrumentos para incrementar la productividad y reducir los costes, así
como nuevos medios de llegar al cliente, las redes abiertas ofrecen posibilidades
económicas inéditas. Estas redes están siendo utilizadas por empresas que
desean aprovechar nuevas formas de actividad y nuevos métodos de trabajo:
teletrabajo, entornos virtuales compartidos, etc.
Para aprovechar al máximo dichas posibilidades, es necesario crear un entorno
seguro para la autenticación electrónica.
La firma electrónica permite al destinatario de los datos transmitidos
electrónicamente comprobar el origen de los mismos y verificar que son
completos y no han sido modificados, preservándose de este modo la integridad
de los mismos.
2- Reconocimiento Jurídico de la Firma Digital:
69
Ibidem Pág. 148
139
La firma digital entendida como el conjunto de datos en forma electrónica
accesorios a otros datos electrónicos o asociados de manera lógica con ellos,
utilizados como medio de autenticación, no tiene reconocimiento juridico perfecto,
puesto que para que esto se de, es necesario que la firma digital sea avanzada,
es decir, que cumpla los requisitos siguientes:
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando medios que el firmante puede mantener bajo su
exclusivo control;
d) estar vinculada a los datos a que se refiere de modo que cualquier cambio
ulterior de los mismos sea detectable.
Adicionalmente, para que la firma electrónica avanzada satisfaga el requisito
jurídico de una firma en relación con los datos en forma electrónica del mismo
modo que una firma manuscrita satisface dichos requisitos en relación con los
datos en papel y además, detente pleno valor probatorio, es necesario que este
basada en un certificado reconocido y creada por un dispositivo seguro de
creación de firma.
La Directiva establece los criterios para el reconocimiento jurídico de la firma
digital, centrándose en los servicios de certificación. Dichos criterios son:
•
Obligaciones comunes de los proveedores de servicios de certificación,
para garantizar el reconocimiento transfronterizo de las firmas certificadas
en la Comunidad Europea. Un certificado expedido en un tercer país, será
jurídicamente equivalente al expedido por un proveedor de servicios de
certificación establecido en la comunidad, siempre y cuando se encuentre
bajo alguna de las siguientes situaciones:
a- que el proveedor de servicios de certificación cumpla los requisitos
establecidos en la presente Directiva y haya sido acreditado en el marco
de un sistema voluntario de acreditación establecido en un Estado
miembro;
140
b- que un proveedor de servicios de certificación establecido en la
Comunidad, que cumpla las prescripciones de la Directiva, avale el
certificado;
c- que el certificado o el proveedor de servicios de certificación estén
reconocidos en virtud de un acuerdo bilateral o multilateral entre la
Comunidad y terceros países u organizaciones internacionales.
Para facilitar el desarrollo de estos servicios, la Comisión presentará,
propuestas para lograr el efectivo establecimiento de normas y acuerdos
internacionales aplicables a los servicios de certificación. En particular, y
en caso necesario, solicitará al Consejo mandatos para la negociación de
acuerdos bilaterales y multilaterales con terceros países y organizaciones
internacionales.
•
Normas comunes en materia de responsabilidad para fomentar la
confianza, tanto entre los consumidores que utilizan los certificados como
entre los proveedores de servicios, de manera tal que estos últimos son
sujetos de un régimen especial de responsabilidad y así: serán
responsables por el perjuicio causado a cualquier entidad o persona física
o jurídica que confíe razonablemente en el certificado por lo que respecta
a:
a- la veracidad, en el momento de su expedición, de toda la información
contenida en el certificado reconocido y la inclusión en el certificado de
toda la información prescrita para los certificados reconocidos;
b- la garantía de que, en el momento de la expedición del certificado,
obraban en poder del firmante identificado en el certificado reconocido los
datos de creación de firma correspondientes a los datos de verificación de
firma que constan o se identifican en el certificado;
c-la garantía de que los datos de creación y de verificación de firma
pueden utilizarse complementariamente, en caso de que el proveedor de
servicios de certificación genere ambos; salvo que el proveedor de
servicios de certificación
demuestre que no ha actuado con negligencia.
141
Adicionalmente los proveedores de servicios de certificación serán
responsables por el perjuicio causado a cualquier entidad o persona física
o jurídica que confíe razonablemente en dicho certificado por no haber
registrado la revocación del certificado, salvo que el proveedor de servicios
de certificación pruebe que no ha
actuado con negligencia.
El proveedor de servicios de certificación no deberá responder de los
daños y perjuicios causados por el uso de un certificado reconocido que
exceda de los límites establecidos por él mismo para sus posibles usos,
indicados en este.
Finalmente, el proveedor de servicios de certificación podrá consignar en
el certificado reconocido un valor límite de las transacciones que puedan
realizarse con el mismo, siempre y cuando los límites sean reconocibles
para terceros. El proveedor de servicios de certificación no será
responsable por los perjuicios que pudieran derivarse del exceso de este
máximo
•
Mecanismos de cooperación para facilitar el reconocimiento transfronterizo
de las firmas y certificados en las relaciones con terceros países.
3- Condicionamientos Especiales:
a- Los Estados miembros no someterán a régimen de autorización previa la
prestación de servicios de certificación.
b- Los Estados miembros podrán instaurar o mantener regímenes voluntarios de
acreditación para la calidad de los servicios de certificación. Todo criterio
relacionado con tales regímenes deberá ser objetivo, transparente, proporcionado
y no discriminatorio.
c- Cada Estado miembro aplicará las disposiciones nacionales que adopte de
conformidad con la presente Directiva a los proveedores de servicios de
certificación establecidos en su territorio y a los servicios que éstos proporcionen.
142
Los Estados miembros no podrán imponer restricciones a la prestación de
servicios de certificación procedente de otro Estado miembro en los ámbitos
regulados por la Directiva.
d- Los Estados miembros velarán por que los productos de firma electrónica que
sean conformes con la Directiva puedan circular libremente en el mercado
interior.
e- Los Estados miembros velarán porque no se nieguen efectos jurídicos, validez
ni carácter vinculante a una firma electrónica por el hecho de que ésta se
presente en forma electrónica. Los Estados miembros velarán por que la firma
electrónica basada en un certificado reconocido que haya expedido un proveedor
de servicios de certificación que cumpla lo prescrito en la Directiva, por un lado,
sea considerada como firma que cumple los requisitos legales de una firma
manuscrita y, por otro, sea admisible como prueba a efectos procesales de la
misma forma que una firma manuscrita.
f- Los Estados miembros velarán por que el proveedor de servicios de
certificación que expida un certificado reconocido sea responsable, ante cualquier
persona que de buena fe confíe en el certificado, a efectos de
•
la veracidad de toda la información contenida en el certificado reconocido,
•
la conformidad con todas las prescripciones de la Directiva por lo que se
refiere a la expedición del certificado reconocido,
•
la garantía de que, en el momento de la expedición del certificado
reconocido, obraba en poder del titular identificado en el mismo el
dispositivo de creación de firma correspondiente al dispositivo de
verificación dado o identificado en el certificado,
•
la garantía de que, en caso de que el proveedor de servicios de
certificación genere los dispositivos de creación y de verificación de firma,
ambos funcionan conjunta y complementariamente.
143
g-. Los Estados miembros velarán por que se aplique el reconocimiento mutuo
jurídico de las firmas electrónicas. La Comisión presentará propuestas para el
establecimiento de normas y acuerdos internacionales aplicables a los servicios
de certificación. La Comisión podrá, previo acuerdo del Consejo, negociar
derechos de acceso al mercado de terceros países para las empresas
comunitarias.
h- Los Estados miembros velarán porque los proveedores de servicios de
certificación y los organismos nacionales competentes en materia de acreditación
y supervisión cumplan lo establecido en las Directivas 95/46/CE y 97/66/CE.
i- Los Estados miembros facilitarán a la Comisión la información siguiente:
•
Sistemas voluntarios de acreditación, incluida la información adicional en
caso de utilización de la firma en el sector público,
•
Nombre y dirección de los organismos nacionales competentes en materia
de acreditación y supervisión,
•
Nombre y dirección de los proveedores de servicios de certificación
nacionales acreditados.
Estos datos y toda modificación de los mismos serán notificados por los Estados
miembros con la mayor brevedad.
El planteamiento adoptado intenta evitar el exceso de reglamentación, para lo
cual se basa en las libertades del mercado interior, tiene en cuenta la realidad
comercial y garantiza una protección eficaz y efectiva del interés común. No
obstante, en la actualidad, el marco jurídico de los Estados miembros en esta
materia adolece de falta de claridad, debido a la disparidad existente entre las
normativas aplicables a los servicios de la sociedad de la información, que
genera un importante grado de inseguridad jurídica. Por otra parte, los
movimientos de creación legislativa que se observan en algunos Estados
miembros ponen de manifiesto un grado de divergencia que entraña un riesgo
real de fragmentación del mercado interior.
144
2- Colombia
Estructura de la “Ley 527 de 1999”
1. Mensajes electrónicos de datos
El mensaje electrónico de datos, se considera la piedra angular de las
transacciones comerciales telemáticas.
Por ello la ley lo describe en la siguiente forma:
"Mensaje de datos: la información generada, enviada, recibida, archivada o
comunicada por medios electrónicos, ópticos o similares, como pudieran ser,
entre otros, el intercambio electrónico de datos (EDI), el correo electrónico, el
telegrama, el telex o el telefax". (Artículo 2º literal b).
La noción de "mensaje" comprende las informaciones obtenidas por medios
análogos en el ámbito de las técnicas de comunicación modernas, bajo la
configuración de los progresos técnicos que tengan contenido jurídico.
Cuando en la definición de mensaje de datos, se menciona los "medios
similares", se busca establecer el hecho de que la norma no está exclusivamente
destinada a conducir las prácticas modernas de comunicación, sino que
pretenden ser útil para involucrar todos los adelantos tecnológicos que se
generen en un futuro.
El mensaje de datos como tal debe recibir el mismo tratamiento de los
documentos consignados en papel, es decir, debe dársele la misma eficacia
jurídica, por cuanto el mensaje de datos comporta los mismos criterios de un
documento.
Dentro de las características esenciales del mensaje de datos encontramos que
es una prueba de la existencia y naturaleza de la voluntad de las partes de
145
comprometerse; es un documento legible que puede ser presentado ante las
Entidades públicas y los Tribunales; admite su almacenamiento e inalterabilidad
en el tiempo; facilita la revisión y posterior auditoria para los fines contables,
impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los
intervinientes y es accesible para su ulterior consulta, es decir, que la información
en forma de datos computarizados es susceptible de leerse e interpretarse.
Por otra parte, en el proyecto de ley se hace hincapié como condición de singular
trascendencia, en la integridad de la información para su originalidad y establece
reglas que deberán tenerse en cuenta al apreciar esa integridad, en otras
palabras que los mensajes no sean alterados y esta condición la satisfacen los
sistemas de protección de la información, como la Criptografía y las firmas
digitales, al igual que la actividad de las Entidades de Certificación, encargadas
de proteger la información en diversas etapas de la transacción, dentro del marco
de la autonomía de la voluntad.
Así mismo, cuando el contenido de un mensaje de datos sea completo y esté
alterado, pero exista algún anexo inserto, éste no afectará su condición de
"original". Esas condiciones se considerarían escritos complementarios o serían
asimiladas al sobre utilizado para enviar ese documento "original".
- Equivalentes funcionales
El proyecto de ley, al igual de la Ley Modelo, sigue el criterio de los "equivalentes
funcionales" que se fundamenta en un análisis de los propósitos y funciones de la
exigencia tradicional del documento sobre papel, para determinar como podrían
cumplirse esos propósitos y funciones con técnicas electrónicas.
Se adoptó el criterio flexible de "equivalente funcional", que tuviera en cuenta los
requisitos de forma fiabilidad, inalterabilidad y rastreabilidad, que son aplicables a
la documentación consignada sobre papel, ya que los mensajes de datos por su
146
naturaleza, no equivalen en estricto sentido a un documento consignado en
papel.
En conclusión, los documentos electrónicos están en capacidad de brindar
similares niveles de seguridad que el papel y, en la mayoría de los casos, un
mayor grado de confiabilidad y rapidez, especialmente con respecto a la
identificación del origen y el contenido de los datos, siempre que se cumplan los
requisitos técnicos y jurídicos plasmados en la ley.
2. Firmas digitales
En el capítulo I de la parte III, respecto de la aplicación específica de los
requisitos jurídicos de los mensajes de datos, se encuentra la firma, y para
efectos de su aplicación se entiende por firma digital:
".... un valor numérico que se adhiere a un mensaje de datos y que, utilizando un
procedimiento matemático conocido vinculado a la clave criptográfica privada del
iniciado, permite determinar que este valor numérico se ha obtenido
exclusivamente con la clave criptográfica privada del iniciador y que el mensaje
inicial no ha sido modificado después de efectuada la transformación". (Artículo
2º. Literal h).
A través de la firma digital se pretende garantizar que un mensaje de datos
determinado proceda de una persona determinada; que ese mensaje no hubiera
sido modificado desde su creación y transmisión y que el receptor no pudiera
modificar el mensaje recibido.
Una de las formas para dar seguridad a la validez en la creación y verificación de
una firma digital es la Criptografía, la cual es una rama de las matemáticas
aplicadas que se ocupa de transformar, mediante un procedimiento sencillo,
mensajes en formas aparentemente ininteligibles y devolverlas a su forma
original.
147
Mediante el uso de un equipo físico especial, los operadores crean un par de
códigos matemáticos, a saber: una clave secreta o privada, conocida únicamente
por su autor, y una clave pública, conocida como del público. La firma digital es
el resultado de la combinación de un código matemático creado por el iniciador
para garantizar la singularidad de un mensaje en particular, que separa el
mensaje de la firma digital y la integridad del mismo con la identidad de su autor.
La firma digital debe cumplir idénticas funciones que una firma en las
comunicaciones consignadas en papel. En tal virtud, se toman en consideración
las siguientes funciones de esta:
- Identificar a una persona como el autor;
- Dar certeza de la participación exclusiva de esa persona en el acto de firmar;
- Asociar a esa persona con el contenido del documento.
Concluyendo, es evidente que la transposición mecánica de una firma autógrafa
realizada sobre papel y replicada por el ordenador a un documento informático no
es suficiente para garantizar los resultados tradicionalmente asegurados por la
firma autógrafa, por lo que se crea la necesidad de que existan establecimientos
que certifiquen la validez de esas firmas.
Por lo tanto, quien realiza la verificación debe tener acceso a la clave pública y
adquirir la seguridad que el mensaje de datos que viene encriptado corresponde
a la clave principal del firmante; son las llamadas entidades de certificación que
trataremos más adelante.
148
3. Entidades de certificación.
Uno de los aspectos importantes de este proyecto, es la posibilidad de que un
ente público o privado con poderes de certificar, proporcione la seguridad jurídica
a las relaciones comerciales por vía informática. Estos entes son las entidades de
certificación, que una vez autorizadas, están facultados para: emitir certificados
en relación con claves criptográficas de todas las personas, ofrecer o facilitar los
servicios de registro y estampado cronológico de la transmisión y recepción de
mensajes de datos, así como cumplir otras funciones relativas a las
comunicaciones basadas en las firmas digitales.
La entidad de certificación, expide actos denominados Certificados, los cuales
son manifestaciones hechas como resultado de la verificación que efectúa sobre
la autenticidad, veracidad y legitimidad de las claves criptográficas y la integridad
de un mensaje de datos.
La naturaleza de la función de las entidades de certificación se considera como la
prestación de un servicio público, para lo cual vale la pena detenerse un
momento.
El artículo 365 de la Constitución Política hace referencia al tema de los servicios
públicos, los cuales pueden ser prestados tanto por las entidades públicas como
las privadas o conjuntamente. Esta norma permite que este servicio lo presten los
particulares, si reúnen los requisitos exigidos por la ley y cuenta con la
aprobación de la Superintendencia, organismo rector para todos los efectos.
El proyecto de ley señala que podrán ser entidades de certificación, las Cámaras
de Comercio y en general las personas jurídicas, tanto públicas como privadas,
autorizadas
por
la
Superintendencia
respectiva,
que
cumplan
con
los
requerimientos y condiciones establecidos por el Gobierno Nacional, con
fundamento en el artículo 31 del proyecto.
149
Una vez las entidades de certificación sean autorizadas, podrán realizar
actividades tales como, emitir certificados en relación con las firmas digitales;
ofrecer o facilitar los servicios de creación de firmas digitales certificadas;
servicios de registro y estampado cronológico en la transmisión y recepción de
mensajes de datos; servicios de archivo y conservación de mensajes de datos,
entre otras.
A la par con las actividades definidas anteriormente, estas entidades tendrán
deberes que cumplir frente a los involucrados dentro del proceso mercantil,
deberes atinentes a cada una de las actividades que pretendan ejercer.
En consecuencia, las entidades de certificación, son las encargadas entre otras
cosas, de facilitar y garantizar las transacciones comerciales por medios
electrónicos o medios diferentes a los estipulados en papel e implican un alto
grado de confiabilidad, lo que las hace importantes y merecedoras de un control
ejercido por un ente público, control que redunda en beneficio de la seguridad
jurídica del comercio electrónico.
La comisión redactora del proyecto de ley, consideró que la Superintendencia de
Industria y Comercio debe ser la entidad encargada del control y vigilancia de las
entidades de certificación, por cuanto su competencia es afín con estas labores.
La función que actualmente ejercen las Superintendencias y que les fue
delegada, le corresponde constitucionalmente al Presidente de la República
como Suprema Autoridad Administrativa, cuando señala que una de sus
funciones es la de ejercer la inspección y vigilancia de la prestación de los
servicios públicos.
En razón a que la naturaleza de las funciones de las entidades de certificación se
consideran como la prestación de un servicio público, la inspección y vigilancia de
los servicios públicos que tienen que ver con la certificación, actividades que
150
ejercerán las entidades de certificación, debe radicarse en cabeza de una
Superintendencia como la de Industria y Comercio.
4. Alcance probatorio de los mensajes de datos
El proyecto de ley establece que los mensajes de datos se deben considerar
como medios de prueba, equiparando los mensajes de datos a los otros medios
de prueba originalmente escritos en papel. Veamos
"Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de
datos serán admisibles como medios de prueba y tendrán la misma fuerza
probatoria otorgada a los documentos en el capítulo VIII de título XIII del Código
de Procedimiento Civil.
En toda actuación administrativa o judicial, vinculada con el ámbito de aplicación
de la presente ley, no se negará eficacia, validez o fuerza obligatoria y probatoria
a todo tipo de información en forma de un mensaje de datos, por el solo hecho de
que se trate de un mensaje de datos o en razón de no haber sido presentado en
su forma original" (artículo 10).
Al hacer referencia a la definición de documentos del Código de Procedimiento
Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el
sistema telemático con el sistema manual o documentario, encontrándose en
igualdad de condiciones en un litigio o discusión jurídica, teniendo en cuenta para
su valoración algunos criterios como: confiabilidad, integridad de la información e
identificación del autor.
Criterio para valorar probatoriamente un mensaje de datos. Al valorar la fuerza
probatoria de un mensaje de datos se habrá de tener presente la confiabilidad de
la forma en la que se haya generado, archivado o comunicado el mensaje, la
confiabilidad de la forma en que se haya conservado la integridad de la
151
información, la forma en la que se identifique a su iniciador y cualquier otro factor
pertinente (artículo 11).
3- Estados Unidos:
Estructura del “Electronic Signature in Global and National Commerce Act”
• Conceptos Claves
1. Electrónico: relativo a la tecnología. Capacidad eléctrica digital, magnética,
inalámbrica, óptica, electromagnética, o similar.
2. Registro Electrónico: contrato o cualquier otro registro creado, generado,
enviado, comunicado, recibido, o almacenado por medios electrónicos.
3. Firma Electrónica: sonido, símbolo, o proceso electrónico adjunto
o
lógicamente asociado a un contrato o a otro registro y ejecutado o adoptado por
una persona con la intención de firmarlo.
• Pilares de la ley:
1. Campo de aplicación: cualquier transacción comercial interestatal o realizada
en el extranjero.
2. Cualquier firma, contrato, u otro registro de carácter electrónico referente a una
de estas transacciones tiene plena validez legal, es obligatoria, y surte efectos
jurídicos
3. Un contrato relacionado con estas transacciones comerciales tendré plenos
efectos legales, validez y obligatoriedad cuando para su formación hayan sido
utilizados la firma electrónica o registros electrónicos.
• Alcances del Acta:
1. Es aplicable a cualquier transacción relacionada con la conducta de los
negocios, del consumo o de asuntos comerciales entre dos o más personas.
2. No se aplica a contratos o registros regulados por:
a. Estatuto, regulación, o regla de derecho sobre la creación y ejecución de
152
testamentos, legados, o fiducias testamentarias.
b. Estatuto de estados federales, regulaciones, o reglas de derecho sobre
adopciones, divorcios y las demás materias de derecho de familia.
c. El código comercial uniforme.
3. Otras Excepciones
a. Órdenes o noticias judiciales, o documentos oficiales de la corte
(incluyendo resúmenes, peticiones de defensa, y otros memoriales) requeridos
para ser ejecutados en conexión con los procedimientos de las cortes requeridos
ser ejecutado en la conexión con procedimientos de la corte;
b. Cualquier aviso sobre la cancelación o terminación de un servicio público,
sobre la ejecución de una hipoteca, desahucio, evicción, según los términos del
acuerdo del crédito asegurado, o de un contrato de alquiler para, una residencia.
Sobre la cancelación o la terminación del seguro médico o la indemnización del
seguro de vida beneficia (excepto anualidades); o las quejas sobre los productos
por poner en peligro la salud o seguridad; o
c. Cualquier documento requerido para acompañar el transporte o manejo de
materiales tóxicos, pesticidas, o dañinos.
• Tránsito legislativo:
1. La ley sustantiva de los contratos es aplicable.
2. Estimula a los estados a adoptar el “acto uniforme de las transacciones
electrónicas ("UETA"), que permite cualquier forma de símbolo o de mensaje
electrónico como firma.
3. Como regla general establece que toda ley estatal relacionada con contratos y
firma electrónica, queda derogada, a menos que constituyan una adopción de
UETA o especifiquen los procedimientos alternativos tecnológicamente neutrales
y acordes con títulos I y II del acta.
• Protección al consumidor en casos específicos
1. El acta establece que si un estatuto, ley o regulación exige que determinada
información se provea o esté disponible en forma escrita para los consumidores ,
153
el uso de registros electrónicos es permitido siempre y cuando cumpla con
determinadas especificaciones y condicionamientos.
2. El consumidor debe consentir expresamente y formalmente la recepción de
registros por vía electrónica y su contraparte está obligada a informarlo
detalladamente sobre los derechos relacionados con estos registros consagrados
por el acta.
3. Sin embargo, una falla en la obtención o confirmación del consentimiento
electrónico, no conlleva per se la negación de la efectividad, validez y
obligatoriedad legal de cualquier contrato realizado con el consumidor. No hay
claridad sobre la validez de un contrato cuando falla la formalidad del negocio
que exige tener a disposición la información por escrito.
4. Adicionalmente, debe anotarse que estas previsiones no requieren el
consentimiento del consumidor previo a las relaciones electrónicas;
por el
contrario, estas normas solo se aplican cuando la ley existente exige que la
información del negocio deba proveerse o estar disponible para el consumidor
por escrito. Esto significa, que los negocios electrónicos que normalmente no
exijan registros por escrito no están obligados a regularse por estas
disposiciones.
• Características adicionales del Acta
1. Una firma electrónica es solamente válida bajo las disposiciones del acta,
cuando el firmante tenga la intención de suscribir un contrato.
2. El acto permite que los notarios públicos y otros funcionarios autorizados
realicen sus funciones de manera electrónica, siempre y cuando los demás
requerimientos de los estatutos, regulaciones o reglas de derecho aplicables se
satisfagan.
El acta
suprime los requerimientos de estampillas, sellos o
instrumentos similares dado que estas funciones podrán realizarse por medios
electrónicos.
3. El acta no obliga a los agentes a usar o aceptar las firmas electrónicas, los
contratos electrónicos o los registros electrónicos, pero si intenta facilitar el uso
de estos instrumentos dotándolos de plenos efectos legales sin importar el tipo o
método seleccionado.
154
4. El acta prohíbe a los estatutos federales o estatales requerir tecnologías
especiales para la realización de transacciones electrónicas. Su acercamiento
neutral, le permite al mercado decidir que tecnologías facilitaran el comercio
electrónico de la mejor manera.
● Autoridades de Certificación:
Las directrices establecidas hasta el momento, convergen en apuntar a que sea
el mismo sector privado, quien se encargue de las labores de certificación al ser
este el agente directamente interesado en las transacciones electrónicas.
Adicionalmente, la aproximación que ha tenido el tema se ha circunscrito al
ámbito estatal, sin pronunciamientos relevantes por parte de la legislación
federal.
155
CAPITULO IX
PROBLEMÁTICA ACTUAL Y DESAFÍO
"The invention of the Internet has forever altered the world we live in. Not since
the industrial revolution have we seen such profound change in the way we
work... we shop... we get our news... and conduct business.”
-William M. Daley, Secretary of Commerce, USA
“Los hechos demuestran que las implicaciones de Internet en la vida de las
sociedades son muchas y serán todavía mayores. Esta red, más allá de las
expectativas de sus gestores, comenzó a delinearse como un medio masivo de
comunicación interactivo, el nexo comunicacional de una “comunidad virtual”. Se
trata de un medio muy poderoso de información que posibilita por igual que cada
persona conectada a el pueda conservar un absoluto anonimato o quede
totalmente despojada de su esfera de intimidad.”70
A la luz de este nuevo panorama el modelo económico sufrió un cambio al
incorporar y modificar principios íntimamente ligados con la existencia de Internet,
que constituyen su base axiológica. A continuación, se exponen de manera breve
y concreta:
1. Información contra materia: La información se está convirtiendo en uno de los
bienes más valioso y preciados. Las empresas son valoradas no tanto por sus
activos materiales sino por sus ideas, información, gente y conocimientos.
2. Espacio: No existe; no hay fronteras ni hay distancias.
3. Tiempo: La rapidez es un factor crítico de éxito. Según los expertos, un año en
Internet equivale a siete en el mundo físico. Los negocios se hacen a la velocidad
del pensamiento. En un mundo en constante cambio y evolución, la interacción
70
NEGOCIOS EN INTERNET. Cap. 6 “la seguridad en las redes abiertas”.
156
en tiempo real entre todos los miembros de un equipo es esencial: intercambio de
ideas, información, conocimientos para hacer frente a la competencia y a las
nuevas necesidades del mercado, etc.
4. Personas: Sin duda, se han convertido en el activo más preciado de la
empresa; son sus ideas, su creatividad y su actitud las que permitirán competir
con éxito.
5. Crecimiento: Es acelerado. El hecho de que haya una masa enorme de
personas y empresas interconectadas por la red produce un crecimiento
exponencial que nunca antes se había dado. Una vez dentro, estas empresas
deben crecer sin límites para mantener esa ventaja.
6. Valor: En la "nueva economía" no incrementa con la escasez en producto;
justo lo contrario, cuanta más gente está conectada, más gente adopta un
servicio y mayor valor le proporciona.
7. Distribución: Internet cambia en gran medida el sector de la distribución. Los
distribuidores tradicionales y los agentes están bajo la seria amenaza de una
economía interconectada, en la que los compradores pueden negociar
directamente con los vendedores. Internet está llevando a una avalancha de
información y ofertas.
8. Desplazamiento del poder: El poder está completamente en manos del
consumidor al tener acceso ilimitado a la información.
Está
en
su
mano
cambiar de proveedor con un solo click. Nunca ha sido tan fácil comprar
productos, servicios y precios.
9. Personalización: Las relaciones comerciales son personales. Ya no se dirigen
a un segmento de consumidores, sino a personas con nombre y apellidos. Se
conocen sus hábitos de compra, sus aficiones, sus preferencias y por lo tanto se
le ofrece aquello que realmente necesita.
10. Aperturismo: En contra del hermetismo, la confidencialidad, el acceso limitado
a la información, en la nueva economía la mayoría de la información es accesible.
Al compartir surgen sinergias, nuevas ideas, sugerencias, métodos, importantes
ventajas, nuevos contactos, nuevos clientes, nuevas alianzas, etc. Como
desventaja, un exceso de información puede favorecer a la competencia, esto
genera la imperiosa necesidad de imponer límites.
157
Bajo este esquema, se presenta una nueva problemática que genera nuevos
retos y nuevos desafíos para el ordenamiento jurídico, que debe responder a ella
de manera efectiva en aras de evitar la anarquía del nuevo paradigma global:
Internet.
1- Confianza y seguridad de la Web como mayor activo.
“La confianza es la buena voluntad del usuario de arriesgar el tiempo, el dinero, y
datos personales sobre un website." Jakob Nielsen
Entre las principales razones de la popularización y el éxito de Internet está el
hecho de ser una red abierta. Al ser el protocolo utilizado por los equipos que se
conectan a Internet, TCP-IP, gratuito, cualquier red y cualquier computador puede
conectarse sin más valor que el de la conexión. No hay ningún propietario de
Internet, no hay ninguna autoridad central que pueda imponer un precio o unas
condiciones diferentes de las estrictamente técnicas.
Dado lo anterior, muchas personas ven en Internet el modelo para los negocios
futuros; sin embargo, antes de que eso ocurra, los usuarios tienen que sentirse
seguros sobre el hecho de manejar información personal y financiera a través de
la red, debido a que pasa por muchos computadores a lo largo de su camino,
presentándose la posibilidad de que alguien pueda manipularla y /o apropiarse
de ella.
En la base de todos estos aspectos de seguridad y privacidad esta la confianza;
si los mecanismos que implementa Internet para la autenticación, autorización,
privacidad, integridad y no rechazo, no aparecen en forma contundente para los
usuarios, estos dudarán en usarlos, dado lo cual, se presenta uno de los
problemas más grandes de confianza sobre Internet, esto es la falta de
conocimiento y comprensión, constituyendo una
barrera crítica que debe
superarse. Adicionalmente, en el mundo virtual, los parámetros de confianza aún
no se encuentran bien definidos o acordado, pese a ser esenciales para el uso de
la red.
158
“En las actualidad muchos usuarios desconfían de la seguridad de Internet. En
1996, IDC Research realizó una encuesta en donde el 90% de los usuarios
expresó gran interés sobre la seguridad de Internet.” 71
“Así mismo se presentan grandes problemas al pasar de la seguridad en el
mundo físico a la seguridad en el mundo de Internet, que es básica y
esencialmente una vinculación de computadoras:
1. Nadie está "presente" físicamente,
2. La duplicación y la alteración son fáciles.
3. Las tareas pueden automatizarse.
4. Cada agente está virtualmente en todos lados al mismo tiempo. “72
Es imprescindible entonces asegurar no solamente Internet, sino convencer a los
consumidores y usuarios sobre su seguridad y confiabilidad, lo cual requerirá
educación, experiencia e infraestructura.
Ahora bien, la pregunta que debe hacerse es, ¿es seguro consumir a través de
Internet? La respuesta estará dada por la ley, no obstante su lento desarrollo,
pues el derecho que es algo estático, deberá adaptarse a esta nueva realidad
esencialmente dinámica.
Como se ha visto a lo largo de este trabajo, Internet funciona enviando datos de
un lugar a otro a través de una gran red que la información debe atravesar para
llegar a su destino, para lo cual, deben ser fraccionados en pequeños paquetes
que circulan de manera independiente siendo transportados de un lugar a otro
por cientos de computadores. Cuando los paquetes llegan a su destino se
recomponen para obtener la información completa, pero todos los computadores
que intervienen en este proceso han tenido la oportunidad de accederlos y si la
información no está debidamente protegida contra los intrusos, estos podrán
modificarla o copiarla con la intención de apoderarse de datos confidenciales.
71
72
http://www.eumed.net/cursecon/ecoinet/seguridad/reglas.htm
http://www.acelerate.com/tecno/global.html
159
Como se expuso anteriormente, la única manera de proteger los datos para que
viajen por Internet de una manera segura es la criptografía, en virtud de la cual,
se dispone de una avanzada tecnología en métodos matemáticos que codifican
los bits de tal forma que resulta imposible interpretarlos sin las fórmulas
esenciales que los crearon, convirtiendo la información en algo inviolable.
Inherentes a los sistemas criptográficos son los requisitos que deben cumplirse
en aras de garantizar la seguridad y confiabilidad de la información transmitida,
los cuales se exponen a continuación:
•
La autenticación (promesa de identidad),
•
La autorización (se da permiso a una persona o grupo de personas de
poder realizar ciertas funciones, al resto se le niega el permiso y se les
sanciona si las realizan).
•
La privacidad o confidencialidad,
•
La integridad de datos (demostración que el objeto no se ha alterado) y
•
No rechazo (la protección contra alguien que niega que ellos originaron la
comunicación o datos).
Estas
condiciones
cambian
ligeramente
aumentando
o
disminuyendo,
dependiendo de la importancia de aquello que se está asegurando y del riesgo
potencial que involucra su interceptación., por lo cual los requisitos de seguridad
varían dependiendo del interés a proteger 73:
73
ibidem
160
En desarrollo de lo anterior y en aras de proveer mayores mecanismos de
seguridad, fueron transpolados del mundo físico al virtual algunos elementos de
seguridad y su operatividad,
logrando su plena aplicación y ubicando sus
dificultades. Ejemplo de lo cual se encuentran la firma digital y consecuentemente
las autoridades de certificación.
2- La Diversidad de los Sistemas Normativos en un mundo globalizado.
La globalización es la integración internacional de los mercados de bienes y
servicios, la cual, ha sido impulsada por la liberalización del comercio y los
mercados de capital, la creciente internacionalización de las estrategias
empresariales de producción y distribución y el avance tecnológico, gracias al
cual se están eliminando rápidamente los obstáculos al intercambio internacional
de bienes y servicios y a la movilidad del capital. El sector de las comunicaciones
se adaptó rápidamente a los profundos cambios que ha sufrido el mundo en los
últimos años. La internacionalización de la economía, ha originado un nuevo
modelo de comunicación que se orienta fundamentalmente a atender a ese
mercado de las telecomunicaciones internacionales, privadas y públicas,
fundamentalmente a través de Internet.
“La globalización en su forma moderna comenzó con los viajes de descubrimiento
del siglo XV. Durante la Edad Media precedente, los señores feudales se habían
disputado territorios e influencias, y los emperadores y Papas se enfrentaban
como representantes del poder temporal y espiritual. No había actores privados
sectoriales que asumieran la forma de empresas, sindicatos o grupos de
consumidores, si bien los gremios medievales y los banqueros italianos ejercieron
efectivamente cierta influencia en el proceso político. Con el auge del Estadonación y el nacimiento del capitalismo, los señores feudales y los líderes
religiosos europeos perdieron su poder, que fue transferido al gobierno central
bajo la forma de una monarquía absoluta. Al final de la Guerra de los Treinta
Años, la transición de un sistema feudal a un sistema de Estado-nación fue
161
simbólicamente codificada en el célebre Tratado de Westfalia, en el que algunos
historiadores ven la piedra angular del sistema moderno de relaciones
internacionales. A partir de ese momento, los gobiernos nacionales tendrían que
tratar unos con otros, declarar la guerra o firmar la paz, los tratados y acuerdos
internacionales y, al hacer esto, introducirían cierta forma de orden global en el
mundo. Se habían convertido en los actores principales, que guardaban
celosamente su poder y lo ampliaban no sólo a través de políticas militares, sino
también económicas”74.
Actualmente, este esquema ha variado pues el mundo se ha convertido en aldea
global; mientras a comienzos del siglo XX, el comercio y los imperios fueron los
principales actores de la globalización, en los últimos años, los nuevos motores
han sido la tecnología y los flujos de capital, lo que ha identificado los nuevos
agentes dominantes el escenario mundial con el sector privado. “La globalización
está siendo acompañada por una disminución masiva y continua de los
gobiernos, tanto en términos de recursos como en términos de influencias”75.
Hoy en día los gobiernos de los Estados-naciones están en decadencia pues la
movilidad transnacional de las empresas, del capital y de la tecnología permite a
los agentes del sector privado evitar las jurisdicciones nacionales y desplazarse a
entornos más favorables. La globalización de la tecnología, a través de Internet,
restringe gravemente el grado de libertad y efectividad de la intervención de los
gobiernos, los cuales se reducen a su más mínima expresión, pues tal fenómeno,
no se ha visto acompañado aún por una evolución cultural y política similar,
capaz de satisfacer las aspiraciones de los ciudadanos del mundo y de facilitarles
instrumentos para una mejor comprensión y gobierno de la Sociedad de la
Información. “La Competencia Jurisdiccional en caso de conflictos, hace que el
Comercio Electrónico se pierda en el ciberespacio en materia jurisdiccional,
debido a la facilidad de acceder a las páginas sin que se refleje la localización de
las empresas o comercios que en ellas se promocionan. Por tanto los dos
74
75
http://www.crim.unam.mx/Cultura/informe/cap15.2.htm
Ibidem
162
problemas principales radican en la competencia judicial internacional y en la ley
aplicable
de
cada
país
en
referencia
al
comercio
electrónico”76.
Es innegable que Internet se ha convertido en una inmensa fuente de información
de acceso universal que ejerce una importante influencia sobre los ámbitos sociocultural, económico y jurídico, lo cual ha llevado a comentar sobre los problemas
que causa la desmaterialización del derecho, es decir, las consecuencias
sobrevinientes de la aparición de la informática en forma casi omnipresente en la
vida cotidiana y la diferencias existentes entre el mundo analógico (o material, si
se quiere) y el mundo digital (o desmaterializado), del cual, Internet es tal vez el
paradigma mas importante. Este se ha convertido en el más significativo canal de
comunicación de masas que el hombre haya conocido en toda sus historia, pues
conecta simultáneamente a miles de personas, crece exponencialmente, permite
la publicidad a un costo tan bajo y de forma tan intensiva que representa una
ventaja con respecto a otros medios de comunicación masivos. No es gratuito
hablar de un mundo virtual y el comercio ya ha visto interesantes oportunidades
en este nuevo mercado. La globalización, por su parte, no reconoce fronteras y
coadyuva al crecimiento de la población interconectada.
El problema es que si se presentan conflictos dentro de la red, hay que encontrar
algún mecanismo que facilite la negociación entre las partes a fin de descubrir
sus intereses y solucionar el conflicto. Si tal objetivo no se logra, el ciberespacio
se convertirá en un ámbito que no ofrece seguridad a quienes lo usen. Otra cosa
importante que hay que destacar es que no hay límites fronterizos en Internet y
parece una ilusión intentar establecerlos, por lo que resulta muy complicada la
solución de conflictos.
Frente al mundo virtual es necesario que los diferentes ordenamientos jurídicos
tradicionales, se adapten a esta nueva realidad para su regulación, teniendo en
cuenta la tendencia a la desregulación de la información, elemento base del
76
Mgt. Marissa Bello: Especialista en Derecho Informático y Nuevas Tecnologías
http://www.techlaw-consulting.com/aspectosjuridicos2.html
163
comercio electrónico, pues mientras la definición de la trasgresión dependa de los
sistemas legales y políticos de cada jurisdicción, existirán controversias.
Bajo el nuevo escenario, resulta clara la insostenibilidad de una globalización
producida únicamente como resultado de las fuerzas del mercado y no
restringidas por las fuerzas externas al mismo. “Si no se puede garantizar el
gobierno sólo mediante el mecanismo del mercado y los gobiernos de los
Estados-naciones han sufrido un recorte de sus atribuciones en términos de su
capacidad para formular políticas, ¿quién debería hacerse cargo? Es muy
probable que en algún momento surja algún tipo de gobierno global, pues lo
lógico sería crear instituciones supranacionales (parlamento, policía, juzgados)
que se encargaran de definir y perseguir las conductas indeseables en Internet, lo
que supondría una pérdida inmediata del poder y la influencia de ciertos grupos,
así como un reconocimiento implícito de que puede haber otros modelos mejores
que el de la consabida nación-estado así como del elemento "soberanía",
concepto que actualmente comienza a ser obsoleto”77. Sin embargo, a corto y
mediano plazo son necesarias y posibles algunas medidas intermedias que giran
en torno a la noción de regulación local, que se encuentra aún a varios pasos del
gobierno global, pues mientras la noción de gobierno denota la existencia de una
institución con una carta de organización, derechos, responsabilidades y
mecanismos de ejecución, la noción de regulación es más sutil pues implica que
las funciones del gobierno pueden implementarse sin una institución central.
Lo único cierto a fin de cuentas, es que sin ley no hay civilización, y sin gobierno,
de una u otra forma, no puede haber ley que se haga respetar. Por consiguiente,
debe definirse el programa para un gobierno global como complemento necesario
de la globalización provocada por el mercado.
“Al ser una red global con poder de procesamiento de información y
comunicación
multinodal,
Internet
no
reconoce
fronteras
y
establece
comunicación irrestricta entre todos los nodos. La única censura directa posible
77
http://www.uoc.edu/web/esp/launiversidad/inaugural01/internet_arq.html
164
de Internet es no estar en la red; y esto es cada vez más costoso y casi imposible
para los gobiernos, las sociedades, las empresas y los individuos”78.
El debate acerca de la gobernabilidad global es y será demasiado importante
para sujetarlo a un monopolio, cualquiera que este sea, pues todo monopolio es
peligroso. No hay un grupo único que pueda avocar el mandato excluyendo a los
demás; idealmente y teniendo en cuenta que la gobernabilidad global no es sólo
un asunto económico, representantes de todos los sectores, incluyendo las ONG,
universidades, grupos de reflexión, los gobiernos de los Estados-naciones y las
propias empresas, deberían ocuparse del asunto.
-Desafío: Adaptación de Sistemas Jurídicos y Reducción del
derecho a un único sistema legal: Importancia de los procesos comunitarios.
“Se debe construir un equilibrado marco normativo que contemple todos los
aspectos del sistema y armonice las soluciones jurídicas existentes con el
establecimiento de nuevos criterios que tiendan a asegurar los valores
tradicionales de las sociedades que hacen a la protección de los derechos a la
privacidad, a la imagen, al honor, en armonía con la protección del derecho a
expresar libremente las ideas y del derecho a la información, así como de la
seguridad y defensa de las naciones y el interés publico, tratando de lograr un
adecuado equilibrio entre ellos. Es así, que de manera creciente adquiere un
papel preponderante la cooperación internacional, ya sea por medio del
establecimiento de criterios y pautas comunes entre los países integrantes de
bloques comunitarios, o con arreglo a convenios y acuerdos internacionales.”79
“En un ambiente globalmente intercomunicado, no bastarán las legislaciones
nacionales para brindar protección efectiva a los intereses jurídicos merecedores
de tutela ni menos para permitir que la vida en el mundo en línea se desarrolle
con seguridad jurídica para los operadores.
78
79
Ibidem
Negocios en Internet. Cap. 6 “la seguridad en las redes abiertas”.
165
Se impone un trabajo internacional de armonización de las reglas jurisdiccionales
y de derecho. Caso contrario se crearán paraísos informáticos y se alentará el
ejercicio del imperialismo judicial”80.
En todo proceso de integración internacional uno de los aspectos fundamentales
es el jurídico. Esto, desde diferentes puntos de vista. Por un lado, porque la
integración en sí, requiere de una implementación jurídica, fundamentalmente a
través de acuerdos internacionales, que pueden adoptar la forma de tratados,
cartas, declaraciones, etc., y de leyes internas de cada uno de los Estados que
se integran, las cuales pueden tender a la aprobación o la puesta en vigencia
local de los acuerdos internacionales de integración, o bien propugnar una
identificación normativa por la vía de sancionar textos análogos o idénticos.
El proceso de integración internacional, pues, se da desde lo jurídico, mediante lo
jurídico y por lo jurídico. Y su elemento fundamental es la homogeneización
normativa, obra de los juristas de los Estados que se integran, trabajando en
conjunto sobre bases comunes.
La homogeneización legislativa es más fácil de lograr cuanto más cercanas se
encuentren de por sí las instituciones jurídicas de los países en cuestión. A
veces, homogeneizar soluciones legales resulta una tarea simplísima, y basta
con introducir modificaciones mínimas. En el otro extremo, se presentan
supuestos donde las diferencias exceden el mero contenido normativo, y afectan
al sistema de fuentes; estos son los casos más complejos, porque requieren un
trabajo lento y cuidadoso, y además una extrema sensibilidad diplomática, que
evite herir sentimientos regionalistas.
Esto no quiere decir que las integraciones jurídicas entre unidades políticas con
tradiciones sistémicas diferentes sean imposibles. Pero siempre han acarreado
enormes dificultades, mucho mayores que las ocasionadas por otras diversidades
culturales
80
Cibercriminalidad (Antonio Mille)
166
“En general, los procesos de integración entre unidades políticas con sistemas de
fuentes diferentes sólo se dan por situaciones de fuerza, y bajo la hegemonía de
una de las partes, que impone sus criterios a la otra, aunque le permita subsistir
con una porción más o menos importante de sus respuestas anteriores, siempre
sujetas, en última instancia, al predominio de las nuevas. Por eso, reviste tanto
interés el proceso integrador de la Unión Europea, que casi no registra
precedentes, al constituir un sinecismo voluntario que involucra a países con
diversos sistemas de fuentes. Sin embargo, obsérvese que las mayores
resistencias provienen justamente de Inglaterra, y dentro de ésta de un
importante sector del electorado británico, que teme a la pérdida de sus
tradicionales respuestas jurídicas, forjadas a lo largo de mil quinientos años, y
extraordinariamente adecuadas a la realidad socio-cultural local.” 81
Entonces, si la homogeneización legislativa, elemento esencial de toda
integración política y económica, es más fácil de lograr cuanto más comunes
sean las realidades sociales y la historia, más semejantes los sistemas de
fuentes, y más compatibles los contenidos de las normas, se ha de concluir que
no existe región en el globo más idónea para llevarla adelante que Latinoamérica.
Todos los países que conforman esta enorme región, menos Brasil, muestran un
tronco jurídico de base absolutamente común.
Como corolario de lo anterior, se concluye que la solución es la existencia de
legislación similar o bien acuerdos similares de manera que unificadamente se
pueda entrar en materia y se ejecuten de forma ordenada las resoluciones sean
nacionales o internacionales pero siempre acorde con los acuerdos establecidos.
Los Aspectos Jurídicos del Comercio Electrónico son problemas de tipo global y
meramente técnicos por tanto es necesaria una legislación uniforme para todos
los países en los que se realicen este tipo de comercio y medios de resolución de
conflictos especializados y eficientes.
81
http://revistapersona.4t.com/20Rabinovich.htm (Ricardo D. Rabinovich-Berkman: LA INTEGRACIÓN
LATINOAMERICANA Y LOS ESTUDIOS DE DERECHO
167
CAPITULO X
DELITOS ELECTRONICOS
1- INTRODUCCION
A lo largo de la historia el hombre ha necesitado transmitir y tratar la información
continuamente. La humanidad no ha cesado en la creación de métodos para
procesar información y con ése fin nació la informática, como ciencia encargada
del estudio y desarrollo de éstas máquinas y métodos, y además con la idea de
ayudar al hombre en aquellos trabajos rutinarios y repetitivos, generalmente de
cálculo o de gestión; Luego surgió Internet como una tecnología que pondría la
cultura, la ciencia y la información al alcance de millones de personas de todo el
mundo.
Sin embargo, paralelamente al desarrollo de Internet, delincuentes diversos
encontraron el modo de contaminarla y lo que es peor impunemente. “El
desarrollo de las tecnologías informáticas ofrece un aspecto negativo: Abrió la
puerta a conductas antisociales y delictivas”82.
No hay duda que el espacio virtual se ha convertido en un lugar con muchas
posibilidades delictivas; es una especie de paraíso del delito, debido en parte, a
la dificultad, no imposibilidad, de identificación de los autores del hecho, y por
otra parte al uso intensivo de redes telemáticas que permite un mayor alcance de
los efectos de los virus y otras manipulaciones fraudulentas al suponer una mayor
difusión, así como un inmediato acceso a los objetivos. Se esta ante el crimen
global.
82
INTRODUCCIÓN A LOS DELITOS INFORMÁTICOS, TIPOS Y LEGISLACIÓN.
http://delitosinformaticos.com/delitos/delitosinformaticos4.shtml
168
A medida que pasa el tiempo ha quedado al descubierto que nada de lo
imaginado, ni siquiera en el pasado inmediato, sobre las formas, métodos,
modalidades e impacto de la delincuencia en el ciberespacio, se acerca aunque
sea remotamente a los desarrollos reales del presente, pues nunca en la historia
de la humanidad los avances tecnológicos habían creado tantas condiciones para
la comisión de crímenes.
Nunca antes un avance científico produjo tanto bien y mal. La revolución
informática irrumpió causando una explosión de la cibercriminalidad que
desconcierta a los Estados, porque no tiene barreras de tiempo ni espacio. Es
rápida, técnica e internacional, mientras que la reacción defensiva es lenta,
profana y nacional. Por ello los avances tecno-informáticos son tan propicios a los
criminales. En 1980 sólo el 10% de éstos conocían informática, hoy es el 90%. El
mundo vive la ciberedad.
La contaminación es de diversa índole y entre los últimos ataques a la red, que
pueden calificarse como los más graves, se encuentran el uso de esta por parte
de la mafia internacional que maneja la prostitución infantil,
el terrorismo
internacional y el narcotráfico. La red de redes ha sido caldo de cultivo para
delitos como el tráfico de drogas, la trata de blancas y de niños, el lavado de
activos, la violación a los derechos de autor, la estafa, el hurto, el pánico
económico, la injuria y la calumnia, la violación de correo, la falsedad, el año en
bien ajeno, el secuestro, el peculado, la extorsión, el homicidio y el terrorismo.
Sólo el robo de los piratas informáticos mediante el procedimiento de rastreo de
las claves de las tarjetas de crédito vale anualmente unos 500 millones de
dólares. Los perjuicios económicos provocados por acciones criminales
informáticas alcanzan ya los 10.000 millones de dólares, sin tenerse estadísticas
sobre valoraciones económicas de perjuicios causados por delitos contra la
administración pública, la seguridad pública, la fé pública, la libertad individual,
libertad sexual y dignidad humana, la integridad moral, la vida y la integridad
personal.
169
“Los sistemas de computadoras ofrecen oportunidades nuevas y sumamente
complicadas para infringir la ley y han creado la posibilidad de cometer delitos de
tipo tradicional en formas no tradicionales.”83
El delito electrónico implica actividades criminales que en un primer momento los
países han tratado de encuadrar en las figuras típicas de carácter tradicional,
tales como hurto, fraudes, falsificaciones, perjuicios, estafa, sabotaje, etc. ;sin
embargo, debe destacarse que es el uso indebido de las computadoras lo que ha
propiciado la necesidad de regulación por parte del derecho.
A la hora de perseguir este tipo de conductas delictivas, hay que enfrentar tres
serios problemas:84
1- Se ignora el número de víctimas. Por esta razón, no es posible tener una clara
conciencia de hasta donde alcanza la cibercriminalidad, ello debido en gran parte
al ocultamiento de los ataques por quienes los padecen, principalmente bancos e
instituciones financieras, sistemáticamente sometidos a chantaje informático, ya
que una denuncia supondría delatar la fragilidad de sus sistema de seguridad
informático con la consiguiente perdida de credibilidad.
2- Se esta frente a un inmenso vacío legal. Un ejemplo reciente lo recientemente
se halla en el asunto del virus I love you, triste paradigma de la laguna legal que
reina en esta materia.
3- La prueba. La debilidad de las pruebas, debida a la dificultad de demostración
de los hechos, hace que cualquier intento de persecución de este tipo de
actividades delictivas acabe, casi irremediablemente, en un archivo de las
actuaciones, o, en una petición de indulto por parte de la autoridad investigadora /
acusadora competente.
83
84
Ibidem
Juan José Aragüez Guerrero. VIRUS SIN VACUNA. http://buscalegis.ccj.ufsc.br/arquivos/virus_sem_vacuna.htm
170
2- NOCION Y CLASIFICACION
No hay definición de carácter universal de delito Informático; aun así, muchos han
sido los esfuerzos de expertos que se han ocupado del tema y se han llegado a
formular conceptos funcionales atendiendo a realidades nacionales concretas.
Para Carlos Sarzana, los crímenes por computadora comprenden "Cualquier
comportamiento criminógeno en el cual la computadora ha estado involucrada
como material o como objeto de la acción criminogena, o como mero símbolo"
(Criminalitá e Tecnología); Nidia Callegari define al "delito Informático" como
"aquel que se da con la ayuda de la informática o de técnicas anexas"; María de
la Luz Lima dice que el "delito electrónico" "en un sentido amplio es cualquier
conducta criminógena o criminal que en su realización hace uso de la tecnología
electrónica ya sea como método, medio o fin y que, en un sentido estricto, el
delito Informático, es cualquier acto ilícito penal en el que las computadoras, sus
técnicas y funciones desempeñan un papel ya sea como método, medio o fin"
Por
otra
parte,
debe
mencionarse
que
se
han
formulado
diferentes
denominaciones para indicar las conductas ilícitas en las que se usa a la
computadora, tales como "delitos informáticos", "delitos electrónicos", "delitos
relacionados con la computadora", "crímenes por computadora", delincuencia
relacionada con el ordenador".
De la misma manera, varias han sido las clasificaciones planteadas para los
denominados delitos electrónicos, entre las cuales cabe destacar la propuesta
por el profesor Julio Téllez Valdes, quien utiliza dos criterios para separar los
delitos informáticos:
1- Como instrumento o medio: Se tienen a las conductas criminógenas que se
valen de las computadoras como método, medio, o símbolo en la comisión del
ilícito.
2- Como fin u objetivo: En ésta categoría se enmarcan las conductas
171
criminógenas que van dirigidas en contra de la computadora, accesorios o
programas como entidad física.
Para la Doctora Maria de la Luz Lima, los delitos electrónicos se clasifican en tres
categorías, a saber:
1- Los que utilizan la tecnología electrónica como método: Conductas
criminógenas en donde los individuos utilizan métodos electrónicos para llegar a
un resultado ilícito.
2-
Los que utilizan la tecnología electrónica como medio: Conductas
criminógenas en donde para realizar un delito utilizan una computadora como
medio o símbolo.
3- Los que utilizan la tecnología electrónica como fin: Conductas criminógenas
dirigidas contra la entidad física del objeto o máquina electrónica o su material
con objeto de dañarla.
3- LOS SUJETOS EN LOS DELITOS ELECTRONICOS
1- Sujeto Activo:
Las personas que cometen "Delitos Electrónicos", poseen ciertas características
que no presentan el común de los delincuentes, esto es, los sujetos activos
tienen habilidades para el manejo de los sistemas informáticos y generalmente,
por su situación laboral, se encuentran en lugares estratégicos donde se maneja
información de carácter sensible, o bien son hábiles en el uso de los sistemas
informatizados, aún cuando en muchos de los casos, no desarrollen actividades
laborales que faciliten la comisión de este tipo de delitos.
Los posibles delincuentes electrónicos son personas listas, decididas, motivadas
y dispuestas a aceptar un reto tecnológico, características que pudieran
encontrarse en un empleado del sector de procesamiento de datos. Teniendo en
cuenta estas características, estudiosos en la materia los han catalogado como
172
"delincuentes de cuello blanco", término introducido por primera vez por el
criminólogo norteamericano Edwin Sutherland en el año 1943. Este criminólogo
estadounidense afirma que tanto la definición de los "delitos electrónicos" como la
de los "delitos de cuello blanco" no atienden al interés protegido, como sucede en
los delitos convencionales, sino al sujeto activo que los comete.
2- Sujeto Pasivo:
El sujeto pasivo o víctima del delito es el ente sobre el cual recae la conducta de
acción u omisión que realiza el sujeto activo, y en el caso de los "delitos
electrónicos", mediante este se conocen los diferentes ilícitos que cometen los
delincuentes
informáticos,
quienes
generalmente
son
descubiertos
casuísticamente debido al desconocimiento del modus operandi.
La mayor parte de los delitos no son descubiertos o no son denunciados ante las
autoridades responsables; esto se suma al temor de las empresas de denunciar
este tipo de ilícitos por el desprestigio y la consecuente pérdida económica que
esto pudiera ocasionar. Todo lo anterior lleva a que éste tipo de conductas se
mantenga bajo la llamada "cifra oculta" o "cifra negra".
173
4- TIPOS DE DELITOS ELECTRONICOS85
1- Fraudes cometidos mediante manipulación de computadoras:
A- Manipulación de los datos de entrada: Este tipo de fraude informático conocido
también como sustracción de datos, representa el delito Informático mas común
ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de
conocimientos técnicos de informática y puede realizarlo cualquier persona que
tenga acceso a las funciones normales de procesamiento de datos en la fase de
adquisición de los mismos.
B- Manipulación de programas: Es muy difícil de descubrir y a menudo pasa
inadvertida debido a que el delincuente debe tener conocimientos técnicos
concretos de informática. Este delito consiste en modificar los programas
existentes en el sistema de computadoras o en insertar nuevos programas o
nuevas rutinas. Un método común utilizado por las personas que tienen
conocimientos especializados en programación informática es el denominado
Caballo de Troya, que consiste en insertar instrucciones de computadora de
forma encubierta en un programa informático para que pueda realizar una función
no autorizada al mismo tiempo que su función normal.
C- Manipulación de los datos de salida: Se efectúa fijando un objetivo al
funcionamiento del sistema informático. El ejemplo mas común es el fraude de
que se hace objeto a los cajeros automáticos mediante la falsificación de
instrucciones para la computadora en la fase de adquisición de datos.
Tradicionalmente esos fraudes se hacían a partir de tarjetas bancarias robadas,
85 Tipos de Delitos Informáticos Conocidos por Naciones Unidas. INTRODUCCIÓN A LOS DELITOS INFORMÁTICOS, TIPOS Y
LEGISLACIÓN. http://delitosinformaticos.com/delitos/delitosinformaticos4.shtml
174
sin embargo, en la actualidad se usan ampliamente equipos y programas de
computadora especializados para codificar información electrónica falsificada en
las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
D- Fraude efectuado por manipulación informática: Aprovecha las repeticiones
automáticas de los procesos de cómputo. Es una técnica especializada que se
denomina "técnica del salchichón" en la que "rodajas muy finas" apenas
perceptibles de transacciones financieras, se van sacando repetidamente de una
cuenta y se transfieren a otra.
2- Falsificaciones Informáticas:
A- Como Objeto: Cuando se alteran datos de los documentos almacenados en
forma computarizada
B- Como instrumentos: Las computadoras pueden utilizarse también pare
efectuar falsificaciones de documentos de uso comercial. Cuando empezó a
disponerse de fotocopiadoras computarizadas en color a base de rayos láser
surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas
fotocopiadoras pueden hacer copias de alta resolución, pueden modificar
documentos e incluso pueden crear documentos falsos sin tener que recurrir a un
original, y los documentos que producen son de tal calidad que solo un experto
puede diferenciarlos de los documentos auténticos.
3- Daños o modificaciones de programas o datos computarizados:
A- Sabotaje informático: Es el acto de borrar, suprimir o modificar sin autorización
funciones
o
datos
de
computadora
con
intención
de
obstaculizar
el
funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes
informáticos son:
a- Virus: Es una serie de claves programáticas que pueden adherirse a los
programas legítimos y propagarse a otros programas informáticos. Un virus
puede ingresar en un sistema por conducto de una pieza legitima de soporte
175
lógico que ha quedado infectada, así como utilizando el método del Caballo de
Troya.
b- Gusanos: Se fabrica de forma análoga al virus con miras a infiltrarlo en
programas legítimos de procesamiento de datos o para modificar o destruir los
datos, pero es diferente del virus porque no puede regenerarse. En términos
médicos podría decirse que un gusano es un tumor benigno, mientras que el
virus es un tumor maligno. Ahora bien, las consecuencias del ataque de un
gusano pueden ser tan graves como las del ataque de un virus: por ejemplo, un
programa gusano que subsiguientemente se destruirá puede dar instrucciones a
un sistema informático de un banco pare que transfiera continuamente dinero a
una cuenta ilícita.
c- Bomba lógica o cronológica: Exige conocimientos especializados ya que
requiere la programación de la destrucción o modificación de datos en un
momento dado del futuro. Ahora bien, al revés de los virus o los gusanos, las
bombas lógicas son difíciles de detectar antes de que exploten; por eso, de todos
los dispositivos informáticos criminales, las bombas lógicas son las que poseen el
máximo potencial de daño. Su detonación puede programarse para que cause el
máximo de daño y para que tenga lugar mucho tiempo después de que se haya
marchado el delincuente. La bomba lógica puede utilizarse también como
instrumento de extorsión y se puede pedir un rescate a cambio de dar a conocer
el lugar en donde se halla la bomba.
B- Acceso no autorizado a Sistemas o Servicios: Por motivos diversos: desde la
simple curiosidad, como en el caso de muchos piratas informáticos (Hacker)
hasta el sabotaje o espionaje informático.
a- Piratas informáticos o Hackers: El acceso se efectúa a menudo desde un
lugar exterior, situado en la red de telecomunicaciones, recurriendo a uno de los
diversos medios que se mencionan a continuación. El delincuente puede
aprovechar la falta de rigor de las medidas de seguridad para obtener acceso o
puede descubrir deficiencias en las medidas vigentes de seguridad o en los
176
procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar
por usuarios legítimos del sistema, esto suele suceder con frecuencia en los
sistemas en los que los usuarios pueden emplear contraseñas comunes o
contraseñas de mantenimiento que están en el propio sistema.
C- Reproducción no autorizada de programas informáticos de protección Legal:
Esta puede entrañar una pérdida económica sustancial para los propietarios
legítimos. Algunas jurisdicciones han tipificado como delito esta clase de
actividad y la han sometido a sanciones penales. El problema ha alcanzado
dimensiones transnacionales con el tráfico de esas reproducciones no
autorizadas a través de las redes de telecomunicaciones modernas.
4- Ciberterrorismo:
La
tecnología
informática
permite
una
comunicación
rápida,
amplia
geográficamente y barata. Este fácil y abundante acceso a la información ha sido
aprovechado por las organizaciones criminales, que han alcanzado la
preparación necesaria para hacer uso de la Red con fines terroristas. No sólo
causa daños al dar fórmulas para preparar explosivos (lo cual ha matado niños
que jugaban con eso) sino que puede ser devastador para la Economía
(saboteando sus fuentes) e infraestructura nacional (p.ej. al sabotear sus
sistemas energéticos, redes hospitalarias y desabastecer los cajeros automáticos
y al país de víveres y medicinas).
5- Pornografía y Pedofilia:
Es una de las fuentes económicas más prominentes, y que mueve más dinero
que muchas multinacionales. Las autoridades policiales y las organizaciones no
gubernamentales (ONG) están muy preocupadas porque la pornografía infantil
vía Internet sigue creciendo pese a todos los esfuerzos realizados para
erradicarla.
177
6- Las estafas, subastas y ventas ilegales:
Empresas ficticias que se valen de la buena fe de las personas consiguen
embolsar grandes cantidades a costa de los incautos clientes.
5- LOS PIRATAS INFORMATICOS
Son auténticos genios de la informática, entran sin permiso en computadores y
redes ajenas, husmean, rastrean y a veces, dejan sus peculiares tarjetas de
visita. Los Hackers posmodernos corsarios de la red, son la ultima avanzada de
la delincuencia informática de este de siglo. Parecen mas bien una pandilla que
se divierte haciendo travesuras. El hecho de hacer saltar por los aires las
encriptadas claves de acceso de los ordenadores mas seguros del mundo, entrar
en las redes de información de Gobiernos y organismos oficiales, y simplemente,
echar un vistazo y salir dejando una pequeña tarjeta de visita, parece suficiente
para estos corsarios posmodernos, que no roban, no matan, no destrozan,
simplemente observan.
Actualmente se define al Hackerdown como un nuevo tipo de subcultura con un
factor criminógeno latente. Las pandillas, lejos de hallarse desorganizadas, se
encuentran sujetas a un sistema de valores, normas y conductas compartidas
que constituyen su propia cultura; claro está que la subcultura no coincide con los
valores y normas centrales u oficiales y constituye una suerte de sociedad de
recambio.
Clasificación del pirata Informático:
1- Hacker: Persona que disfruta explorando detalles de los sistemas
programables y aprendiendo a usarlos al máximo, al contrario del operador
común,
que
en
general,
se
conforma
con
aprender
lo
básico.
El que programa con entusiasmo (al borde de la obsesión) o aquel que se divierte
mas programando que haciendo teorías sobre programación.
178
2- Cracker: Aquel que rompe con la seguridad de un sistema. El término fue
acuñado por Hacker en 1985, oponiéndose al mal uso de la palabra Hacker por
parte de la prensa.
3- Preaker: Arte y ciencia de Crackear la red telefónica para obtener beneficios
personales (por ejemplo llamadas gratis de larga distancia).
Los piratas jamás trabajan bajo su verdadero nombre, sino que emplean
pseudónimos del tipo de "Mr. Smut", "Acidflux", "El Cowboy". La estructura de
Internet facilita esta mascarada ya que, al igual que los auténticos filibusteros del
siglo pasado, asaltan los buques elegidos y se pierden acto seguido en el
inmenso mar de la información digital. Por supuesto, sin dejar rastro; si lo hacen,
ya no serian Hackers, sino simples usuarios de dudosa moral sorprendido con las
manos en las redes.
Si bien no se esta frente a la marihuana ni a la cocaína, al alcohol, ni al tabaco, la
adicción a la red es tan real como las mencionadas.
La adicción a Internet cae en la misma clasificación que la de las drogas como la
marihuana, es psicoestimulante o psicoactiva; esta droga contiene un grupo
químico llamado tetrahydrocannabinol que activa el mismo estimulo que por
Internet, sin embargo los provenientes del consumo químico tienen peores
efectos que los derivados tecnológicos.
La misma red generó un grupo de autoayuda llamado IASG (Internet Adicción
Support Group) o grupo soporte para la adicción a Internet.
Este organismo ha publicado los síntomas más comunes experimentados por los
internautas:
-Perdida de la noción del tiempo transcurrido en línea.
-Minimizar ante otros el tiempo que se está conectado.
-Utilizar cada vez menos tiempo en la alimentación o trabajo.
179
-Reducción o renuncia a actividades de orden social, laboral o recreacional
-Síndrome de abstinencia
Se produce ante la reducción o cesación de conexión y cuyos síntomas son:
-Agitación psicomotriz
-Ansiedad
-Pensamiento obsesivo acerca de lo que esta sucediendo en la red.
-Fantasías o sueños acerca de Internet.
-Movimientos de tipeo voluntarios o involuntarios con los dedos.
-Adictos a las adicciones.
6- ESTADISTICAS
El mundo no cuenta todavía con mecanismos efectivos para luchar contra la
cibercriminalidad, aunque ya ha empezado a tomar conciencia de la necesidad
urgente de cooperación internacional, la investigación y observación de las
conductas antisociales cibernéticas, la creación de Tribunales Multi, Trans o
Internacionales, la unificación de las legislaciones penales, la creación de nuevos
recursos tecnológicos y científicos probatorios y la creación de importantes
departamentos para la investigación y persecución de ciberdelito, adjuntos a las
clásicas agencias mundiales como la Interpol, la CIA o la KGB.
Según la NCSA (National Computer Security Association) en 1995 el volumen de
pérdidas causadas en los Estados Unidos por virus informáticos era similar al de
las pérdidas por Hacking y alcanzaban los 1.000 millones de dólares. En 1996 las
pérdidas por virus informático aumentaron en mayor proporción que las causadas
por intrusos informáticos. Pero las cifras aumentaron considerablemente, los
primeros alcanzaron los 5.000 millones y los segundos los 6.000 millones.
A nivel mundial, en el ámbito de las medianas y grandes empresas,
históricamente, la mayor causa de pérdidas de información fue el sabotaje,
seguido por los virus informáticos y por último por otras causas como fallas e
impericias. Durante 1993 y 1994 las pérdidas por virus superaron las
180
ocasionadas por sabotaje, pero a partir de 1995 el sabotaje volvió a ocupar el
primer lugar debido a la utilización de virus específicos.
“El Instituto de Seguridad para la Computación, en cooperación con el Escuadrón
de Intrusiones en Computación de la Oficina Federal de Investigaciones de los
Estados Unidos (FBI), advirtió en su informe 2000 sobre Delito y Seguridad en
Computación que, de 538 profesionales en seguridad de computación activos en
empresas, reparticiones del gobierno, instituciones financieras y medicas y
universidades encuestadas, el 85% informo violaciones a la seguridad de los
sistemas de computación, el 64% informo sobre perdidas financieras debidas a
tales violaciones a la seguridad, y el 70% menciono a la Internet como el
frecuente punto de ataque. El 90% de los atacados informo haber sufrido
vandalismo, el 78% informo denegación del servicio, el 13% informo robo de
información sobre las transacciones y el 8% informo fraude financiero. La
Communications Management Association en Gran Bretaña informo que la
tercera parte de los mayores comercios y autoridades publicas del país habian
sido penetrados.” 86
“En U.S.A., la Oficina de Contabilidad del Gobierno declaró en septiembre de
2001 que el numero de ataques oficialmente informados a sus sistemas de
computación llego a 21.756 en el año 2000 y a 34.754 en los primeros meses de
2001. El 18 de septiembre de 2001, el virus Nimda Word paralizo 100.000
computadoras durante horas.”87
“La perdida económica derivada de la cibercriminalidad es significativa. Los
fraudes mediante tarjeta de crédito cuestan a comercios y consumidores $400
millones cada año mientras que los ataques de virus cuestan a los comercios $12
billones según lo informado. Por ejemplo el virus “I love you” que fue diseminado
en mayo de 2000 causo $10 billones en daños y el virus Melissa de marzo de
1999 costo $80 millones. En 1999, el robo de información causo $68 millones de
86
David Bender. ESFUERZOS PARA COMBATIR DELITOS RELACIONADOS CON LA
COMPUTACION.
87
ibidem
181
daños y el impacto del fraude financiero alcanzo a $56 millones. El daño debido a
copia y distribución ilegal de software costo a las empresas $7.5 millones.”88
“En el presupuesto nacional de EEUU ya se han destinado 2.000 millones de
dólares (unos 370.000 millones de pesetas) para combatir este fenómeno y miles
de sheriffs navegan diariamente por la Red a la búsqueda de espías industriales,
estafadores (que actúan descodificando tarjetas de crédito utilizadas para
compras en Internet), redes de pederastras, ciberterroristas y un largo etcétera”.89
7- MEDIDAS PREVENTIVAS
Para evitar la propagación y aumento del crimen electrónico, no solo es necesario
implementar medidas represivas y coercitivas; por el contrario, se hace
imprescindible el establecimiento de mecanismos y métodos de carácter a priori
que de formas mas sencillas constituyan un frente contra este nuevo tipo de
delincuencia.
“1- Concienciar a los usuarios que un computador conectado a Internet es una
puerta abierta a toda tipo de insultos y crímenes, por lo que hay que estar en
alerta.
2- Mínimas garantías a tener en cuenta como: Adquirir programas originales; No
aceptar ni transmitir copias no autorizadas de programas de ordenador; No
instalar programas obtenidos de fuentes no fiables; No ejecutar ningún fichero
sospechoso que se reciba por correo electrónico, aunque provenga de un amigo;
Instalar y mantener actualizado un programa anti-virus; Suscribirse a un servicio
de alerta de virus en Internet, etc.
3- Contratar un seguro. Así, los aseguradores han entrado ya en la nueva
economía con pólizas que cubren todo tipo de contingencias relacionadas con las
nuevas tecnologías; de este modo se ocupan de situaciones como la violación de
derechos de la propiedad intelectual, el mal uso de la información, la transmisión
88
89
ibidem
http://www.el-mundo.es/navegante/2000/05/18/g8_delitos.html
182
inadvertida de virus, el uso indebido y fraudulento de datos de tarjetas de crédito,
objetos adquiridos en Internet mediante tarjeta, etc.”90
8- MEDIDAS COERCITIVAS
Dentro de esta aldea global, con fronteras trasparentes, se hace necesaria tanto
una homogeneización de las legislaciones, como la creación de esquemas de
cooperación entre los gobiernos, de forma que se puedan combatir las epidemias
informáticas con la misma eficacia y rapidez con que se extienden. Varias son las
posiciones que se han esgrimido dentro del esfuerzo por combatir la
cibercriminalidad, he aquí tres de las más importantes, expuestas durante la
cumbre mundial dedicada a la lucha contra la delincuencia en Internet celebrada
en París:
1- EEUU propuso la creación de una ciberpolicía que combatiría, a escala
mundial, la criminalidad en la red, lo que supondría un cuerpo policial, con carta
blanca para sobrepasar el marco de soberanía estatal.
2- Europa propugna, en claro rechazo a la idea anterior, la creación de un marco
jurídico internacional que evite los paraísos digitales, partiendo del proyecto de
convención sobre la cibercriminalidad preparado por el consejo de Europa.
3- La industria informática, por su parte, rechaza tanto el plan estadounidense
como el proyecto del consejo de Europa. En este sentido, a la industria no le
interesa un tratado que obligue a los proveedores de Internet a guardar datos
para una posible investigación, ya que ello supondría violar la privacidad de los
usuarios, eliminando uno de los principios básicos del estado de Derecho, la
presunción de inocencia. Para esta parte, la solución no se encuentra en una
mayor regulación del ciberespacio, sino en la aplicación de las leyes existentes y
un reforzamiento de la seguridad de los sistemas.
90
Juan José Aragüez Guerrero. VIRUS SIN VACUNA. http://buscalegis.ccj.ufsc.br/arquivos/virus_sem_vacuna.htm
183
Dentro del ámbito normativo, resulta de la mayor importancia resaltar los
esfuerzos realizados por la Unión Europea y por Estados Unidos en su lucha
contra los delitos electrónicos.
1- Europa:
A- Posición común 1999/364/JAI, de 27 de mayo de 1999, adoptada por el
Consejo sobre la base del artículo 34 del Tratado de la Unión Europea relativa a
las negociaciones en torno al proyecto de Convenio sobre la delincuencia en el
ciberespacio celebradas en el seno del Consejo de Europa.
Mediante la presente posición común, los Estados miembros apoyan la
elaboración de un Convenio del Consejo de Europa sobre la delincuencia en el
ciberespacio. Desean que el Convenio complete el derecho penal en la materia
introduciendo una definición clara de las infracciones penales vinculadas a la
informática (fraude, falsificación informática, infracciones en relación con el
contenido como la pornografía de carácter pedófilo, etc.).
Durante el mes de enero de 1999 el Consejo y el Parlamento Europeo adoptaron
un Plan de acción destinado a promover una utilización segura de Internet
luchando contra los mensajes de contenido ilícito y nocivo.
Además, los Estados miembros se comprometen a:
- Designar los órganos jurisdiccionales que serán competentes en el caso de las
infracciones penales antes mencionadas;
- Apoyar la aprobación de disposiciones que facilitarán la cooperación judicial en
materia de asistencia judicial;
- Apoyar la aprobación de disposiciones relativas al almacenamiento y la
conservación de los datos relativos a la delincuencia vinculada a la alta
tecnología;
184
- Apoyar las investigaciones informáticas transfronterizas en caso de una
investigación relativa a una grave infracción penal cumpliendo al mismo tiempo
las disposiciones de la Unión Europea en relación con la utilización y el tráfico de
datos.
- Los Estados miembros coordinarán en la medida de lo posible sus posiciones
sobre los trabajos relativos al Convenio. Además, la Comisión participará
plenamente en estos trabajos.
B- Decisión nº 276/1999/CE del Parlamento Europeo y del Consejo, de 25 de
enero de 1999, por la que se aprueba un plan plurianual de acción comunitaria
para propiciar una mayor seguridad en la utilización de Internet mediante la lucha
contra los contenidos ilícitos y nocivos en las redes mundiales.
Fecha de entrada en vigor: 26.2.1999
El plan de acción, de una duración de cuatro años (del 1 de enero de 1999 al 31
de diciembre de 2002) y con un presupuesto previsto de 25 millones de euros,
tiene como objetivo:
- Incentivar el desarrollo de los actores (industria, usuarios) y la aplicación de
sistemas adecuados de autor reglamentación;
- Dar el impulso inicial favoreciendo las demostraciones y promoviendo la
aplicación de soluciones técnicas;
- Alertar e informar a padres y profesores, en particular por medio de las
asociaciones correspondientes;
- Fomentar la cooperación y el intercambio de experiencias y mejores prácticas;
- Promover la coordinación a escala europea y entre los actores interesados;
- Garantizar la compatibilidad entre los enfoques adoptados en Europa y en otros
lugares.
185
El plan de acción incluye cuatro líneas de acción:
- Crear un entorno seguro por medio de una red de líneas directas (hot lines) y
fomentando la auto reglamentación y los códigos de conducta;
- Desarrollar sistemas de filtrado y de clasificación haciendo más fácil la definición
del contenido;
- Fomentar acciones de sensibilización a todos los niveles para informar mejor a
los padres y a todos los que se ocupan de los niños (profesores, trabajadores
sociales, etc.) sobre la mejor manera de proteger a los menores contra la
exposición a contenidos que podrían ser perjudiciales para su desarrollo y
garantizar así su bienestar;
- Acciones de apoyo que evalúen las implicaciones jurídicas, coordinándolas con
iniciativas internacionales similares y evaluando el impacto de las medidas
comunitarias.
Para realizar el objetivo antes mencionado, se emprenderán bajo la
responsabilidad de la Comisión las acciones siguientes:
- Promoción de la autorreglamentación de la industria y de los sistemas de
seguimiento de contenidos (especialmente relacionados con contenidos como la
pornografía infantil, el racismo y el antisemitismo);
- Incentivos a la industria para que se dote de instrumentos de filtrado y
mecanismos de clasificación que permitan a padres o profesores seleccionar
contenidos convenientes para los niños a su cuidado y que permitan al mismo
tiempo a los adultos elegir el contenido legal al que desean acceder y que tengan
en cuenta la diversidad cultural y lingüística;
- Aumento de la sensibilización de los usuarios, en particular padres, profesores y
niños, hacia los servicios ofrecidos por la industria, para que comprendan mejor
las oportunidades ofrecidas por Internet y puedan aprovecharlas;
186
- Evaluación de las implicaciones jurídicas;
- Actividades que favorezcan la cooperación internacional;
- Otras acciones que favorezcan la realización del objetivo de la presente
propuesta de decisión.
A finales de mayo de 2003, el Consejo de la UE, en acuerdo con el Parlamento
Europeo, aceptó la ampliación a dos años del plan de acción para una Internet
más segura. El plan de acción se amplía por tanto hasta el 31 de diciembre de
2004 con una dotación presupuestaria de 13,3 millones de euros para estos dos
años adicionales. En este marco, las primeras convocatorias de propuestas se
lanzarán en julio de 2003.
C- Convención sobre la Criminalidad del Consejo de Europa:
El 19 de septiembre de 2001 el Consejo de Europa aprobó el “Proyecto de
Convención sobre Cibercrimen”, que fue abierto para la firma y ratificación por
parte de los Estados miembro y de los terceros países que contribuyeron con su
creación, en ceremonia realizada en Budapest el 23 de noviembre de 2001.
Esta convención entrara en vigor cuando haya sido ratificada por al menos cinco
estados, tres de los cuales deberán ser miembros del consejo de Europa.
Tres son los principales objetivos esta Convención:
-
Armonizar los elementos de violaciones y disposiciones conexas en el
área de cibercrimen dentro de la legislación criminal sustantiva domestica.
-
Prever en la legislación procesal criminal domestica las facultades
necesarias para la investigación y enjuiciamiento de tales violaciones, así
como de otras cometidas por medio de sistemas de computación o prueba
en forma electrónica.
-
Establecer un régimen rápido y efectivo de cooperación internacional.
187
Teniendo en cuenta los anteriores objetivos, la Convención puede dividirse en
cuatro secciones:
-
Medidas a ser tomadas a nivel nacional respecto de la legislación
sustantiva (artículos 2 a 13): en esta sección se tipifican ciertas conductas
consideradas como delictivas para que las partes integren dentro de su
propia legislación y así se logre “mejorar los medios para prevenir y
suprimir delitos informáticos o delitos relacionados estableciendo un
estándar mínimo común de violaciones relevantes”91; de la misma manera,
cada parte deberá integrar en su ordenamiento jurídico sanciones
efectivas, proporcionadas y disuasivas, incluyendo la privación de la
libertad para los delitos consagrados. Dentro de los principales conductas
proscritas se pueden encontrar, violaciones contra la confidencialidad,
integridad y disponibilidad de datos y sistemas de computación,
violaciones relacionadas con la computación (entrada, alteración, borrado
o supresión de datos de computación, resultante en datos no auténticos
con la intención de que sean considerados o usados con propósitos
legales como si fueran auténticos, así como también la acusación de
perdidas de propiedad a otro mediante interferencias fraudulentas e
injustificadas que reporten beneficio propio o para otro), pornografía
infantil, violación a los derechos de autor y derechos conexos cuando
quiera que la infracción se cometa deliberadamente en una escala
comercial y por medio de un sistema de computación y prohibición de
ayudar o propiciar cualquiera de las conductas tipificadas. responsabilidad
corporativa (personas jurídicas responsables por la comisión de delitos
electrónicos). Finalmente la Convención también consagro los perímetros
para establecer la responsabilidad corporativa, cuando cualquier persona
jurídica sea responsable de un delito electrónico que, realizado por
cualquier persona física (con facultad de representación) le reporte un
beneficio económico.
91
Explanatory Report, supra nota 74, 33
188
-
Nuevos Procedimientos y Facultades para investigaciones criminales:
aplicables a las violaciones contenidas en la Convención, otras violaciones
no consideradas en ella cometidas por medio de sistemas de computación
y la recolección de pruebas electrónicas de dichos delitos. La
implementación de estas normas estará sujeta a los condicionamientos y
salvaguardas de la legislación interna de cada parte y se encaminan
principalmente a la habilitación necesaria a las autoridades internas
competentes para la preservación, custodia, producción, secuestro y
aseguramiento, recolección y registro de datos y sistemas de computación
y almacenamiento.
-
Facultades Jurisdiccionales: cualquiera de las partes de la Convención
tendrá jurisdicción sobre los delitos tipificados en ella cuando sean
cometidos en su territorio, a bordo de un buque que enarbole su bandera,
a borde de aeronave registrada bajo sus leyes o sea cometido por uno de
sus nacionales.
-
Cooperación Internacional: las partes deberán cooperar mutuamente y en
la mayor extensión posible para los propósitos de adelantar y desarrollar
las investigaciones y procedimientos relacionados con los delitos
electrónicos tipificados. En desarrollo del sistema de cooperación
internacional, la Convención ordena a las partes la implementación de
“contactos disponibles 24 horas, 7 días a la semana” para asegurar la
disposición inmediata de asistencia a las demás partes en conexión con la
investigación y procedimientos. Se incluyo la posibilidad de catalogar como
extraditables todos estos crímenes con el solo asentimiento de una parte y
un Tratado de extradición o en su defecto la misma Convención. La
solicitud de asistencia mutua esta sujeta a algunos condicionamientos
previstos en la misma Convención y así mismo consagro excepciones al
deber de proveer y preservar información, cuando quiera que la parte a la
que se haya solicitado la asistencia considere que la conducta perseguida
es un delito político o cuando el cumplimiento del pedido perjudique su
soberanía, seguridad, orden publico o cualquier otro interés esencial.
189
La Convención sobre ciberterrorismo del Consejo de Europa no ha entrado en
vigor y a pesar de haber sido suscrita por 33 estados solo Albania, Croacia,
Estonia y Hungría la han ratificado. Los estados no miembros del Consejo
(Estados unidos, Canadá Sudáfrica y Japón) que tuvieron una participación activa
en su creación y redacción, la suscribieron el mismo 23 de noviembre de 2001 en
Budapest, pero hasta el momento ninguno la ha ratificado. El pasado 17 de
noviembre de 2003 el Presidente de los Estados Unidos George W. Bush se
dirigió al Senado, transmitiéndole la Convención y advirtiendo sobre la necesidad
de obtener el consentimiento para su ratificación.
El 28 de enero de 2003 en Estrasburgo el Consejo de Ministros de Europa
elaboro y abrió para la firma un protocolo especial y separado de la Convención
destinado a tipificar como delitos, el uso de computadores y redes que
promuevan el racismo, la xenofobia y cualquier tipo de odio o discriminación; este
protocolo entrara en vigor una vez sea ratificado por cinco estados, teniendo en
cuenta que las partes firmantes del Convenio no están obligadas a suscribirlo.
Hasta el momento ninguna de las partes lo ha ratificado y solo 22 estados, todos
miembros del Consejo de Europa lo suscribieron; ninguna de las naciones
amigas que participaron en la elaboración de la Convención lo suscribió.
2- Estados Unidos:
La seguridad e integridad de Internet son hoy un requisito esencial para mantener
un ambiente comercial favorable y fuerte y dado que la proliferación del uso
comercial de la Web conllevo una proliferación paralela de la delincuencia
electrónica, es prioridad de los gobiernos federal y estaduales implementar
medidas preventivas, coercitivas y legislativas que permitan asegurar el
ciberespacio para que, como lo aseguro la Sra. Janet Reno, “continúe siendo un
lugar seguro para hacer comercio, de modo que Internet pueda continuar
reuniendo el mundo en vez de dividirlo en partes” .
190
A- Legislación Federal:
Existen dos regimenes principales destinados a combatir el fraude y abuso
computarizados:
-
Computer Fraud and Abuse Act (1984): tipifica como delitos los accesos
sin autorización y con conocimiento a computadores protegidos en orden a
obtener cierta información relativa a defensa o relaciones exteriores y los
accesos intencionales a información financiera o cualquier información
general de computador protegido, así como también proscribe el uso con
conocimiento de computador para cometer fraude, la penetración
intencional de un computador protegido que cause daño, la transmisión
con conocimiento e intencional de programas, información, códigos o
comandos que causen daños y el tráfico no autorizado de claves de
acceso. Posterior desarrollo jurisprudencial ha establecido que la CFAA
abarca
no
solo
los
daños
infringidos
a
computadores
usados
exclusivamente por una institución financiera o por el gobierno de los
Estados Unidos sino también los producidos a computadores protegidos
de entidades comerciales privadas.
-
Ley Federal sobre Fraude Mediante Transmisiones por Cable: usada para
enjuiciar cibercriminales dedicados al fraude por vía de Internet, definiendo
“fraude” como la conducta por medio de la cual “un individuo recurre o
intenta recurrir a cualquier esquema o artificio para defraudar y después
transmita o cause que se transmitan por vía de Internet, en comercio
interestatal o exterior, cualesquiera escritos, signos, señales, imágenes o
sonidos con el propósito de ejecutar el esquema fraudulento.” Constituye
un aporte importante de esta norma, la posibilidad de declarar la
responsabilidad del delincuente sin tomar en cuenta el éxito o fracaso de
su propósito fraudulento.
Además de las dos normas anteriores, se han dictado otro tipo de normas
más específicas pero igualmente destinadas a evitar el cibercrimen.
191
-
Electronic Communications Privacy Act (1986): destinada a dar mayor
seguridad a las comunicaciones electrónicas y datos incluida la piratería
contra la propiedad intelectual; proscribe conductas como la interceptación
intencional y no autorizada de comunicaciones por cable, orales o
electrónicas.
-
Small
Business
Computer
Security
and
Education
Act:
dictada
específicamente para proteger a las pequeñas empresas frente a los
delitos electrónicos. Su objetivo principal fue establecer un programa de
seguridad y educación en el uso de sistemas de computación para dichas
empresas encargándose de las preocupaciones por los delitos electrónicos
comunes, la seguridad en las transacciones económicas y la utilización y
administración de tecnologías de computación.
-
Existen otros regimenes legislativos federales, que sin estar destinados
específicamente a los delitos electrónicos, proveen instrumentos útiles
para combatir varios delitos relacionados con la computación y las
violaciones a derechos de propiedad intelectual. Entre estas normas se
encuentran: la Economic Espionage Act de 1996 (contra todo tipo de robo
de secretos comerciales), la Anticounterfeiting Consumer Protection Act y
el Criminal Copyright Infrigement Statute del mismo año (contra robo y
piratería), este ultimo modificado en 1997 por la Non Electronic Theft Act.
-
Finalmente La National Stolen Property Act, encaminada a impedir la
explotación de bienes robados esta siendo analizada por los tribunales
judiciales en orden a extender su aplicación a los bienes intangibles del
ciberespacio.
B- Legislación Estadual:
Común denominador: los regimenes estaduales se caracterizan por tipificar
delitos electrónicos y sancionarlos con penas pecuniarias e incluso privativas
de la libertad que son agravadas en caso de demostrarse “intención
fraudulenta” en su comisión. Así mismo ofrecen remedios legales a los
192
comerciantes agraviados enmarcados dentro de acciones de responsabilidad
civil para la indemnización de los perjuicios causados.
En su mayoría definen el delito electrónico como la conducta consistente en
“acceder,
examinar,
modificar,
destruir,
revelar,
usar,
copiar,
robar
computadores, sistemas de computación, redes informáticas, programas de
computación o datos de computación en forma ilegitima o no autorizada.” 92
Particularmente, puede destacarse la legislación de estado de Georgia, que
siendo más comprehensiva y protectora, tipifica los delitos de falsificación en
sistemas de computación y revelación de claves de acceso para ingresar a
recursos de computación. En California, se castigan además de las conductas
corrientes, el desbaratamiento de sistemas de computación, la asistencia
cómplice dada a otro para que acceda ilegalmente a un computador, la
introducción de contaminantes dentro de un computador, sistema o red y el
uso del nombre de dominio de otro comerciante entre otros.
92
David Bender. ESFUERZOS PARA COMBATIR DELITOS RELACIONADOS CON LA
COMPUTACION.
193
CONCLUSION
Ha llegado el momento de dar el siguiente paso en la historia de la humanidad,
en el camino hacia la aldea global.
Como se ha visto a lo largo del presente trabajo, Internet ha significado la
reevaluación de realidades existentes hasta ahora inmodificables y perpetuas, las
cuales se encontraban íntimamente ligadas al Estado-Nación como máxima
expresión de la modernidad. Es así, como lo que hasta hoy fundamentaba el
orden mundial, se ve plenamente desvirtuado por la realidad virtual que desde su
misma esencia niega la existencia de las fronteras, estados soberanos y
jurisdicciones territoriales.
El surgimiento de Internet ha traído consigo el establecimiento de un nuevo
modelo económico, a partir del cual deben repensarse todas las realidades
vigentes pese a haber sido concebido como instrumento de defensa. Excediendo
su objetivo original, Internet se ha convertido en el medio de comercio por
excelencia en un mundo donde el éxito del mercado está marcado por la
necesidad de agilidad en las transacciones, siendo este quien en últimas
determina el estado de evolución de la humanidad. El surgimiento y evolución
del comercio electrónico han supuesto, sin duda alguna, uno de los mayores
desafíos a los que se ve enfrentada la humanidad, pues al paso de facilitar las
diferentes relaciones de los agentes involucrados, ha implicado un crecimiento
paralelo descontrolado de conductas nocivas, perjudiciales, e incluso delictivas,
al margen de cualquier regulación y alcance por parte de los gobiernos
mundiales. La naturaleza abierta, universal, ilimitada e irrestricta de la red, si
bien es punto de partida de desarrollo, se constituye en su mayor obstáculo al
desconocer un orden superior, capaz de regularlo, lo cual significa el germen de
su destrucción.
194
Bajo este panorama, la efectividad de Internet se pone en tela de juicio,
quedando supeditada al establecimiento de modelos y sistemas que garanticen la
seguridad de las transacciones en la misma. Se hace patente entonces, que la
subsistencia de la red depende de la creación de una estructura subyacente de
seguridad, cuyos fundamentos estén dados tanto por los avances tecnológicos,
como por la normatividad jurídica. En este sentido, y como se expuso a lo largo
de este trabajo, la regulación de instrumentos de seguridad como los sistemas de
encriptación, la firma digital y las autoridades de certificación, proporciona y
garantiza la confiabilidad de las transacciones, piedra angular del nuevo modelo.
Es así como se deduce que la creación de un sistema confiable que brinde
niveles de seguridad apropiados, debe incorporar la tecnología a través de
equivalentes funcionales jurídicos.
Al no poder brindar soluciones idóneas e inequívocas a la nueva problemática,
los modelos jurídicos tradicionales, no diseñados para los desafíos de la red, se
constituyen en su mayor obstáculo, pues no solo frenan su avance, sino que
paulatinamente la desvían por el camino del caos y la anarquía.
De lo anterior
se concluye que la solución no puede estar dada por la imposición de
ordenamientos jurídicos preexistentes.
Las fuentes, principios y bases
axiológicas de los regímenes jurídicos imperantes, marcan parámetros y límites
tan drásticos entre ellos que parecería imposible lograr su conciliación, pero el
poder normativo de lo fáctico se hace innegable, e Internet, lejos de ser un
simple paradigma se convierte actualmente en una realidad que demanda una
transformación ontológica y estructural del derecho a nivel global.
La evolución de los sistemas jurídicos, apunta hacia la creación de un
ordenamiento jurídico global dotado de validez y aplicabilidad universal. No basta
entonces con reformas locales, pues se torna necesario identificar en la red, una
nueva fuente de derecho, y dada su naturaleza totalmente incompatible y
chocante con la realidad jurídica actual tomarlo como punto de partida y piedra
angular de un proceso de unificación.
El sector privado, agente primario y
195
principal beneficiario, como nuevo protagonista de la escena mundial, debe ser el
encargado de guiar el proceso de unificación, asumiendo las responsabilidades
que por mucho tiempo han pertenecido al modelo de Estado-Nación.
Finalmente, debe ponerse de manifiesto que la unificación normativa lejos de ser
un fenómeno repentino e instantáneo, es el resultado de un arduo proceso de
acoplamiento, iniciado con la integración regional de diferentes unidades hasta
entonces autónomas e independientes, pasando luego por un periodo de
armonización con aquellas unidades no integradas, y terminando en la
sistematización de las diversas necesidades del modelo bajo un único orden
normativo con vigencia y validez global.
En los últimos años el mundo ha
tomado conciencia de esta nueva realidad y ha sido testigo de varios procesos de
integración, al interior de los cuales, se viene surtiendo una armonización que
relaciona a las grandes comunidades con terceros en principio ajenos a dicho
proceso. Aunque el camino correcto está trazado, y los primeros pasos se han
dado, el ritmo vertiginoso al que marcha el desarrollo tecnológico de Internet,
hace que sea imperioso acelerar la reestructuración del derecho en el nuevo
modelo unificador, so pena de quedar rezagado, exponiendo a la aldea global a
peligros inimaginados causados por la ausencia de un orden garantizador de los
derechos, y libertades inalienables, inmutables y trascendentales de sus
habitantes.
196
BIBLIOGRAFIA
1- GARCIA Vidal, Ángel. “La regulación jurídica de la firma electrónica”. Área de derecho
mercantil Universidad Santiago de Compostela.
2- Real Decreto – ley 14/1999. España.
3- DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma
electrónica.
4- http://seguridad.internautas.org/firmae.php
5- http://www.instisec.com/publico/verarticulo.asp?id=34
6- http://www.el-mundo.es/sudinero/99/SD184/SD184-21.html
7-http://www.unap.cl/index.pl?iid=3424
8-http://www.delitosinformaticos.com/firmaelectronica/analisis.shtml
9-http://www.iec.csic.es/criptonomicon/
10-http://www.masterdisseny.com/master-net/legalia/index.php3
11-http://www.vlex.com
12-http://www.iusnews.com.ar
13- http://www.jmls.edu/cyber/statutes/udsa.html
14-http://www.ccb.org.co
15- http://www.obyron.com/manuint/man01.htm
16- http://www.camaraalcoy.net/Servicios_web/internet.htm
17- http://websperu.wperu.com/internet/www.html
18- http://www.conectu.com/art_historia.php
19- http://www.infolandtalca.cl/inte/capa/guias/internet7.doc
20- http://www.arpa.mil/body/off_programs.html
21- http://www.selfhtml.com.ar/introduccion/internet/origen.htm
22- http://www.selfhtml.com.ar/introduccion/internet/estandares.htm
23- http://www.ati.es/DOCS/internet/histint/histint1.html#origenes
24- http://sirio.deusto.es/abaitua/_outside/ikasle/ih0_96/LUCIA/arpanet.htm
25- http://www.observatorio.unal.edu.co/virtual/lenguajes/cursohtml/ccap0.html
26- http://www.geocities.com/mauroc823/INTERNET.html
27- http://www.rafastd.org/defecto5.htm
28- http://www.zator.com/Internet/A5_1.htm
29- http://www.baluma.es/internet1al10/historia.asp
30- http://www.hackemate.com.ar/ezines/eko/leer/eko-03/Eko3R-10.txt
31- http://www.geocities.com/CapeCanaveral/2566/intro/historia.html
32- http://www.delitosinformaticos.com/especial/seguridad/principio.shtml
33- http://www.geocities.com/manolorodriguez2000/Criptograf_digital.htm
34- http://www.ati.es/novatica/1998/134/arri134.html
35http://doctorado.uninet.edu/2002/cinet/Seguridad/Texto/seguridadYPrivacidad/node7.h
tml
36- http://mailweb.udlap.mx/~is110133/encrip/crip2.html
37- http://leo.worldonline.es/jlquijad/histo.htm
38 http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1-html/node305.html
39-. http://www.comsto.org/Menu/internet.htm
197
40- http://www.aui.es/biblio/articu/Articulos/historia_politica_internet.htm
41- http://www.theatlantic.com/unbound/flashbks/computer/bushf.htm
42- http://www.historia-antigua.com/docs/curiosidades/internet.html
43- http://ibarrolaza.com.ar/zakon/hit.html
44- http://www.ocean.ic.net/ftp/doc/nethist.html
45- http://www.ifla.org/documents/internet/hari1.txt
46- http://www.columbia.edu/~hauben/netbook/
47- http://internet.fiestras.com/servlet
48- http://www.computec.net/html/hisint.html
49- http://www.isc.org/ds/
50- http://www.ucm.es/info/cyberlaw/actual/11/fir01-11-01.htm
51- http://www.delitosinformaticos.com/ecommerce/globalizacion.shtml
52- http://www.fenicios.com/tiendas3.htm
53- http://datamasters.com.ar/argentinashop/asesoria.cfm
54-. http://mailweb.udlap.mx/~is104418/Antecedentes.html
55http://www.economia.cl/economiafinal.nsf/Noticias?OpenForm&categoriasfaq&Innovac
i%C3%B3n+y+Tecnolog%C3%ADa%5CFirma+Electr%C3%B3nica
56- http://www.opinionvirtual.com/firma_electronica/index.php
57- http://www-5.ibm.com/es/ibm/politicaspublicas/libroazul/marco/firma.html
58- http://www.aui.es/biblio/articu/Articulos/comerciofirma.htm
59- http://www.informatica-juridica.com/trabajos/trabajosFirmaElectronica.asp
60- http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/conclusion.htm
61- http://www.senacyt.gob.pa/firmadigital/descripcion.htm
62- http://www.htmlweb.net/seguridad/varios/firma_certificados.html
63- http://www.code4net.com/archives/000008.html
64- http://www.code4net.com/medios_pago.PDF
65- http://www.iec.csic.es/criptonomicon/articulos/expertos30.html
66- http://www.tiempodetertulia.com/programas56.html
67http://www.upco.es/webcorporativo/Servicios/Revista%20ICADE/Documentos/Numero
s_Anteriores/Revista_43.asp
68- http://pyme.net.uy/documentos/sistemas_pago.htm
69- http://www.davara.com/preguntas/pago.html
70- http://wwwdi.ujaen.es/~martin/ficheros/Cong-Int/cisic02a.pdf
71- http://www.mircomnetworks.com/articulos.asp?pag=2&idopc=1
72- http://lightning.prohosting.com/~xpi25/3-4comer.html
73- http://lightning.prohosting.com/~xpi25/Prescomer.html
74http://www.banxico.org.mx/gPublicaciones/DocumentosInvestigacion/docinves/doc200
1-4/doc2001-4.PDF
75- http://www.vilecha.com/Seguridad/comerce.asp
76- http://www.expansiondirecto.com/tecnologia/connectis/octubre/emp15.html
77- http://revista.robotiker.com/revista_estudios/comercio_electronico.html
78- http://www.enable.cl/servicios/procesamiento.html
79- http://www.ambito-juridico.com.br/aj/dconsu0033.htm
80- http://ttt.upv.es/igil/Trans_ISC/comercio_e.PDF
81http://internet.fiestras.com/servlet/ContentServer?pagename=R&c=Secciones&cid=98
3559694625&pubid=982158432634&secID=983559694625
82-http://www.confemadera.es/formirma/Informaciones/Glosario%20de%20e%20commerce.doc
83-http://www.atlas-iap.es/~pepcardo/glosario.htm
84-http://personales.com/espana/leon/tristan/glosario.htm
198
85http://internet.fiestras.com/servlet/ContentServer?pagename=R&c=Secciones&cid=98
3559694625&pubid=982158432634&secID=983559694625
86-http://www.iee.es/come_002.htm
87-http://www.colegioabogados.cl/revista/19/articulo5.htm
88-http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
89-http://www.arrakis.es/~anguiano/artautcert.html
90-http://www-mat.upc.es/~jforne/sesion4.pdf
91-http://www.cetenasa.es/e-business/Talleres/taller1/x301.htm
92-http://www.lmdata.es/reports/cfd.htm
93-http://www.iuristic.org/iuristic/html/firma.htm
94-http://www.htmlweb.net/seguridad/ssl/ssl_4.html
95-http://www.cesca.es/es/comunicacions/scd/ac-pca/docs/Politica-ac-pca.doc
96-http://www.vi-fema-abf.org.ar/pon15.html
97-http://greco.dit.upm.es/~enrique/ce/sec2/par211.html
98-http://lightning.prohosting.com/~xpi25/2-3comer.html
99- http://www.iec.csic.es/criptonomicon/comercio/mediospago.html
100- http://www.onnet.es/08008007.htm
101- http://nti.uji.es/docs/nti/net/dinero_electronico.html
102-http://www.navactiva.com/web/es/atic/doc/articulos/2003/02/p1572.jsp
103- http://www.ebcenter.org/download/ebcenter_download_13.pdf
104- http://www.ieid.org/congreso/ponencias/Rico%20Carrillo,%20Mariliana.pdf
105- http://www.iec.csic.es/criptonomicon/comercio/set.html
106- http://www.geocities.com/konqui.geo/SET.HTML
107- http://www.creaciondempresas.com/albanova/ecommerce/art4.asp
108- http://www.senacyt.gob.pa/firmadigital/preguntasrespuestasii.htm
109- http://www.lafacu.com/apuntes/informatica/set/default.htm
110- http://www.geocities.com/konqui.geo/SSL.HTML
111- http://www.interfaz.com.co/mediosdepago/Sistemasdepago.html
112- http://iblnews.com/news/noticia.php3?id=66764
113http://www.delitosinformaticos.com/seguridad/noticias/104603466344475.shtml
114- http://www.conocimientosweb.net/dt/article109.html
115- http://www.openssl.org/news/secadv_20030219.txt
116- http://pyme.net.uy/documentos/sistemas_pago.htm
117- http://esp.ecashdirect.net/tutorial/tutorial_withdraw.html
118- http://esp.ecashdirect.net/tutorial/tutorial_withdraw.html
119- http://greco.dit.upm.es/~enrique/ce/sec2/par212.html
120- http://www.echeck.org/
121- http://nti.uji.es/docs/nti/net/dinero_electronico.html
122- http://www.enfoque5.com/articulo_5-6.htm
123- http://www.aaapn.org/aaa/boletin/2000/pbol66a.htm
124- http://derechoempresarial.deamerica.net/?art=147
125- http://lightning.prohosting.com/~xpi25/3-5comer.html
126- http://www.aedie.com/cdt/sociedad20informacion/internet.pdf
127- http://www.umc.edu.ve/documentos/doctum/art5_vol3n1.pdf
128- http://www.educ.ar/educar/superior/eventosenlinea/ecomder/paladel_c.jsp
129- http://www.mecon.gov.ar/comercio/electronico/recu7.gif
130- http://www.mecon.gov.ar/download/comercio/electronico/anexo2.pdf
131- http://www.netcheck.com
132- http://www.cybercash.com
133- http://www.millicent.digital.com
134- http://www.digicash.com
199
135- http://www.virtualb.com/cursos/ref004.html
136- http://www.ini.cmu.edu/netbill/pubs.html
137- http://www.onnet.es/08008007.htm
138- http://nti.uji.es/docs/nti/net/dinero_electronico.html
139- http://www.eumed.net/cursecon/ecoinet/seguridad/medios.htm
140- http://www.it-cenit.org.ar/Publicac/LavadoMD/Lavado4
141- http://www.atlas.org.ar/cultura/pujol.asp
142- http://www.ex.ac.uk/~RDavies/arian/emoney.html
143- http://www.fis.utoronto.ca/~stalder/html/e-cash1.html
144- http://www.cato.org/pubs/books/money/lfb-form.html
145- http://www.iccwbo.org/home/news_archives/1997/making_rules.asp
146- http://www.uncitral.org/sp-index.htm
147- http://www.batnet.com/oikoumene/arbunc.html
148- http://www.natlaw.com/ecommerce/docs/e-commerce-peru-contr.htm
149- http://www3.usal.es/~derinfo/derinfo/CE/GCNUDMI.HTM
150- http://200.62.42.101/docum/quien/maradiaga/doc003.htm
151- http://200.62.42.101/docum/quien/maradiaga/doc005.htm
152- http://www.qmw.ac.uk/~tl6345/Instlegis.htm
153- http://www.ulpiano.com/Austral/materiales10.htm
154http://www.hfernandezdelpech.com.ar/Leyes/LEY%20MODELO%20NAC.UNIDAS%2
0SOBRE%20FIRMA%20DIGITAL.htm
155- http://www.archives.state.ut.us/recmanag/46-4-101.htm
156- http://www.rkmc.com/article.asp?articleId=123
157http://articles.corporate.findlaw.com/articles/file/00051/004974/title/Subject/topic/Com
puters%20%20Technology%20Law_Digital%20Signatures/filename/computerstechnolog
ylaw_1_72
158- http://www.gseis.ucla.edu/iclp/e-sign.htm
159- http://europa.eu.int/scadplus/leg/es/lvb/l24204.htm
160- http://europa.eu.int/scadplus/leg/es/lvb/l24118.htm
161- Directiva 95/46/CE
162- Directiva 97/66/CE.
163-Electronic Commerce - National Legislation - United States
”Electronic Signatures in Global and National Commerce Act”
Uniform Electronic Transactions Act
164- Ley 527 de 1999
165- Decreto 1747/00
166- Corte Constitucional - Sentencia C-662 DE 2000
167- http://www.unesco.org/issj/rics160/valaskakisspa.html
168- http://www.uoc.edu/web/esp/launiversidad/inaugural01/internet_arq.html
169- http://www.caravantes.com/arti02/frontera.htm
170- http://www.laempresa.net/noticias/2001/0104/20010426_30.html
171- http://www.alfa-redi.org/revista/data/35-2.asp
172- http://www.crim.unam.mx/Cultura/informe/cap15.2.htm
173- http://www.angelfire.com/tn/tiempos/cultura/texto13.html
174- http://www.acelerate.com/tecno/global.html
175- http://www.ciberconta.unizar.es/LECCION/derint/INICIO.HTML
176- http://www.ubiquando.com.co/ubiquando/tecnologia/seguridad.pdf
177- http://us.terra.wired.com/wired/tecnologia/0,1157,23268,00.html
178- http://www.eumed.net/cursecon/ecoinet/seguridad/reglas.htm
179- http://www.isaca.org/
200
180- http://www.geocities.com/jgarcia596/prot16.html
181- http://winred.com/EP/articulos/libreria/0020470100101665009.html
182-http://revistapersona.4t.com/20Rabinovich.htm (Ricardo D. Rabinovich-Berkman: LA
INTEGRACIÓN LATINOAMERICANA Y LOS ESTUDIOS DE DERECHO
183- Mgt. Marissa Bello: Especialista en Derecho Informático y Nuevas Tecnologías
http://www.techlaw-consulting.com/aspectosjuridicos2.html
184- Tesis de Doctorado: Negocios en Internet. Cap. 6 “la seguridad en las redes
abiertas”.
201
Descargar