La autorregulación de la firma digital: las declaraciones de prácticas y las políticas de certificación

• Autor: David López Jiménez
• Cargo: Doctor (con mención europea) por la Universidad de Sevilla y Doctor por la Universidad Rey Juan Carlos. Profesor Investigador de la Universidad Autónoma de Chile
• Páginas: 271-301

Page 273

1. Introducción

Cada vez más personas recurren a la red de redes con la finalidad de buscar información, realizar múltiples actividades vinculadas, directa o indirectamente, al ocio, efectuar transacciones comerciales de diversa índole o simplemente gestiones ante la Administración pública¹. En este último sentido debemos precisar que las operaciones electrónicas pueden acometerse tanto en el ámbito del sector público —envío de declaraciones fiscales o presentación de instancias en virtud de medios virtuales— como en el sector privado —relaciones entre empresarios (B2B), pero también entre empresarios y consumidores finales (B2C)—, si bien también pueden tener lugar entre ambos sectores (B2A). En definitiva, el catálogo de operaciones que, en la actualidad, pueden realizarse en Internet es, qué duda cabe, enormemente amplio.

El recurso a las TIC conlleva múltiples ventajas para los usuarios de las mismas, aunque también debemos ser conscientes de que las mismas pueden implicar riesgos. Gran parte de los mismos derivan, en cierto sentido, de la desaparición del documento en papel² y de la imposibilidad de efectuar firmas manuscritas en

Page 274

el escenario que comentamos³. Los hándicap que planteamos se suscitan, en gran parte, cuando las comunicaciones electrónicas se efectúan en redes de carácter abierto, cual es el caso de Internet⁴. Muy diferente, no obstante, es la situación que se plantea en el ámbito de la contratación efectuada entre empresarios —habitualmente denominada B2B— en redes de carácter cerrado. Este último sistema, llamado Electronic Data Interchange, esencialmente consistía en la creación de redes cerradas a las que sólo tenían acceso los empresarios que se adhieran a la misma para contratar con otros usuarios presentes⁵. Los usuarios de tales redes, al adherirse formalmente a las mismas, aceptaban un contrato, denominado acuerdo de intercambio, que solventaba ciertos problemas —como el reconocimiento de los contratos incluidos en documentos electrónicos o la eventual firma de los mismos—. Aunque tal red tiene notables ventajas, también ostenta ciertos inconvenientes. Entre estos últimos podemos, entre otros muchos, aludir a los altos costes de mantenimiento, junto al carácter cerrado de la red, lo que naturalmente imposibilitaba la eventualidad de efectuar transacciones a nivel global, reduciendo, de esta forma, la actividad comercial a las empresas inicialmente suscritas.

En este último sentido, en el supuesto de que las transacciones electrónicas se realicen en redes abiertas e inseguras⁶, como Internet, desde el plano estrictamente jurídico, deberían garantizarse, al menos, cuatro aspectos⁷:

Page 275

1. Autenticación o autoría. Acredita que el mensaje proviene de quien, efectivamente, determina que lo envía.

2. Integridad. El mensaje no ha sido alterado, en modo alguno, durante el tránsito o camino que sigue desde el envío hasta su recepción. Es decir, llega íntegro al otro extremo.

3. No repudio. La persona emisora no podrá negar haber remitido el mensaje, ni, de igual manera, la persona receptora podrá manifestar no haberlo recibido. Permitirá imputar indubitadamente un documento digital a su autor. En otras palabras, una parte interviniente en una determinada transacción no podrá, en modo alguno, negar un mensaje con cierto contenido, pero el no repudio también acreditará el no rechazo en destino, que tiene como objetivo que el destinatario del mensaje en cuestión no pueda negar haber recibido el mismo. El presupuesto que enunciamos probará, en suma, la transacción.

4. Confidencialidad del mensaje. Tal extremo presenta una notable relevancia, a efectos de privacidad de su contenido, por parte de terceros no autorizados. En otras palabras, el contenido del mensaje debe ser privado para las partes⁸.

Sólo garantizando la seguridad de las comunicaciones digitales es posible el desarrollo de los servicios de la sociedad de la información regulados por la Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y de Comercio Electrónico —LSSI-CE—, entre los cuales se incluyen la contratación de bienes y servicios por vía electrónica o el suministro de información⁹.

Existen diversos sistemas de identificación virtual. Entre los mismos podemos encontrar sistemas que ostentan cierta simplicidad y, por ende, inseguridad —como un simple password o contraseña asociado a un determinado correo electrónico— hasta sistemas sensiblemente más complejos basados en el recurso a técnicas de tipo biométrico¹⁰ —lectura del iris, huella digital, geometría de la

Page 276

mano, rostro, etc.—. En los sistemas de identificación más seguros y recurridos, en la actualidad, encuentra un lugar destacado la denominada firma digital¹¹. De esta última, nos ocuparemos a continuación.

2. La firma electrónica: la identificación en el mundo virtual

1. Aproximación jurídico-técnica al concepto de firma digital

El método técnico al que recurre la firma electrónica¹² es la criptografía. Se trata de un método que se basa en algoritmos matemáticos que persiguen cifrar el contenido de un mensaje¹³. A través del cifrado¹⁴, los datos legibles se convierten

Page 277

en ilegibles, por lo que, en consecuencia, únicamente podría accederse a los mismos mediante la clave precisa para descifrarlos. Existen dos grandes modalidades de cifrados¹⁵.

En primer lugar, la denominada criptografía de clave única o clave simétrica consiste en un método a través del cual se recurre a la misma clave, tanto para cifrar como para descifrar ciertos datos. Tal clave deberá ser conocida tanto por el emisor como por el receptor de la comunicación. El algoritmo de cifrado simétrico, en la actualidad, más conocido es el denominado Data Encryption Standard. Tal método presenta ciertos inconvenientes¹⁶. Así, entre los mismos, deberá encontrarse un método seguro para dar la clave secreta al destinatario y que la misma no pueda ser interceptada.

En segundo lugar, la llamada criptografía asimétrica o de clave pública¹⁷ se fundamenta en el uso de dos claves. Por un lado, una clave privada que debe ser conocida únicamente por su titular¹⁸ —que cifra el documento—, por lo que, en consecuencia, la debe mantener en secreto¹⁹. Y, por otro, una clave pública o

Page 278

clave de verificación matemática —que descifra el documento—, relacionada matemáticamente con aquélla, que podría ser accesible por cualquier persona. A pesar de que ambas claves se encuentran vinculadas, desde un punto de vista matemático, en virtud de su diseño y ejecución, resulta imposible que las personas que conocen la clave pública puedan derivar de la misma la clave privada²⁰.

El sistema que analizamos se apoya en la infraestructura de clave pública o PKI —Public Key Infraestructure— que, a su vez, suple las carencias de la criptografía de clave privada.

A través del sistema de criptografía asimétrica pueden realizarse firmas digitales que proporcionan autenticidad²¹, integridad²² y no rechazo en origen. De hecho, tales herramientas pueden ser tanto o más útiles, válidas y eficaces, en el comercio electrónico y en los procedimientos legales, como la propia firma escrita en papel²³.

Éstas son precisamente las bases técnicas de la firma electrónica avanzada —que veremos a continuación—, en la que existe la denominada función hash o huella digital de un documento, que es la aplicación de la transformación mate-mática sobre un documento²⁴, dando como resultado una cadena de bits de tamaño predeterminado denominada hash, o huella digital. Esta última es representativa de cada documento, que es de tamaño constante y habitualmente menor que el documento original y, además, no es reconstruible el documento original a partir de ella.

Page 279

El proceso sería el que seguidamente esbozamos: se aplica una función hash sobre el documento que se quiere enviar y, posteriormente, se extrae su huella digital²⁵. A continuación, se encripta la huella digital extraída, aplicando, a su vez, la clave privada del firmante, denominada datos de creación de firma, mediante un sistema informático llamado dispositivo de creación de firma. Consecutivamente, se remite el documento (en claro), junto con la huella digital encriptada y la clave pública del firmante. Cada firma electrónica generada depende, por tanto, del documento firmado (de su hash) y no coincidirá con otra firma electrónica efectuada por el mismo firmante sobre otro documento.

Para verificar esta firma electrónica en destino, es decir, cuando recibe el receptor el documento, se extrae la huella digital del documento recibido (aplicando la misma función hash que en origen) y, ulteriormente, se compara con la huella digital recibida que debe ser desencriptada con la clave pública del firmante —utilizando el mismo algoritmo aplicado para encriptar.

Si la huella extraída localmente coincide con la recibida desencriptada, la verificación es correcta y, en consecuencia, se asegura la integridad de la información. Otra cuestión esencial es la vinculación del firmante a través de la complementariedad de las claves privada y pública.

A efectos técnicos, podemos, en cierto sentido, manifestar que la firma digital se aporta como una suerte de sustitutivo de la firma manuscrita en las comunicaciones electrónicas²⁶. Desde el plano jurídico, se ha aceptado tal instrumento técnico, que ha sido objeto de varias normas legales²⁷.

La asimilación y comparación entre firma manuscrita y electrónica no es, en absoluto, casual. De hecho, a la misma ha...