A veces, interesantes artículos, presionados por la actualidad, corren el riesgo de perderse en las revisiones de actualización de los sitios web o de simples rediseños.

Este es el caso de un interesante artículo de Francisco López Crespo, Secretario de SSITAD, MAP y Carlos Ortiz Bru, Consejero de Comunicaciones de la Representación Permanente ante la Unión Europea cuando fue redactado, posiblemente entre 1998 y 1999, cuando se estaba gestando laDirectiva de Firma Electrónica.

Debe tenerse en cuenta el contexto en el que se escribió y es muy interesante para reconocer el camino recorrido.

Aparece aquí rescatado de la caché de Google, antes de que su borrado sea definitivo.

Actualización. Es posible que el servidor no funcionara en el momento en el que intentaba acceder a este artículo, pero ahora veo que está perfectamente accesible en http://portal.astic.es/Astic/Estudios+ASTIC/Monogr%C3%A1ficos/firmaelectronica.htm

Introducción

No es una novedad el afirmar que la confluencia de sectores hasta hoy autónomos e indiferentes entre sí como las telecomunicaciones, la informática y el audiovisual, ha supuesto el nacimiento de un nuevo tipo de relaciones sociales que confluyen en una novedosa e incipiente Sociedad de la información cuyas características y futuro prevemos pero no conocemos.

La comunicación electrónica a través de redes abiertas está adquiriendo una dimensión impensable hace 10 años y su desarrollo futuro constituirá, con toda probabilidad, una de las características fundamentales de la sociedad del próximo siglo. Las perspectivas que los teóricos económicos y sociales barajan son las de un crecimiento exponencial. Los campos económicos, sociales y culturales sufrirán una honda transformación de la que los ciudadanos, independientemente del lugar geográfico donde se encuentren, serán sus beneficiarios.

No se puede decir que este escenario sea imprevisto para los profesionales: ya a finales de los 70 se oía hablar de la «oficina sin papeles» como paso natural de la evolución tecnológica. La búsqueda de bases en que fundar la confianza en los sistemas de información tiene su reflejo en el tratamiento, más o menos explícito de los subestados de seguridad: autenticación, confidencialidad, integridad, y disponibilidad.

Lo que añade novedad esencial a aquellos planteamientos de hace dos décadas es la generalización del uso del binomio informática y telecomunicaciones (universalidad en cuanto a clases de usos y globalización en términos geográficos) y la explosión, todavía incipiente, de la mercancía intangible información, gracias al código digital único para la creación, almacenamiento, transporte y utilización de los datos, imágenes y sonidos.

Pero dar pasos hacia la sustitución del soporte papel en las transacciones comerciales, administrativas e interpersonales es un problema complejo, en los que intervienen una pluralidad de aspectos legales, organizativos, culturales y técnicos. Por ejemplo, la eficacia y validez de un trámite administrativo realizado por medios exclusivamente electrónicos reclama, entre otras demandas, la protección de la integridad, autenticidad, disponibilidad (no es precisamente un problema menor el archivo y recuperación de los documentos electrónicos a lo largo del tiempo), confidencialidad del documento electrónico (activo información para la Administración), así como establecer los mecanismos de acreditación de la identidad de los participantes en una relación electrónica cuando faltan los elementos habituales del medio físico (oficina administrativa, funcionario, presencia física del particular con pruebas para su identificación, etc.).

Las soluciones ad hoc para implementar estas funcionalidades, aunque cada día más frecuentes en el BOE, no admiten fácil extensión al nuevo escenario de la sociedad de la información; en efecto, un apilamiento de procedimientos particulares de autenticación es incómoda y cara, además de limitar su desarrollo posterior. Afortunadamente, una antigua ciencia, la criptología, y más específicamente la criptografía, que resurge con fuerza en nuestros días, aporta métodos y técnicas para satisfacer de manera universal las nuevas demandas; en particular, los algoritmos asimétricos, núcleo de los sistemas de firma digital. Coadyuvan a este fin las tarjetas con procesador seguro incorporado, que sirve de convivencial título de usuario.

Con la Directiva sobre firma electrónica, la Comisión quiere conseguir en marco europeo que proteja los legítimos intereses particulares y colectivos, al mismo tiempo que promueve el crecimiento de la sociedad global, en cuyo seno busca desesperadamente Europa un lugar como utilizador, una vez que parece incierta la posibilidad de imponer tecnología propia en el mercado.

El Proyecto de Directiva sobre firma electrónica

No obstante, tal crecimiento vendrá condicionado, en especial en lo que afecta al comercio global, en la supresión a corto y medio plazo de los obstáculos hoy existentes para un desarrollo armonioso de la comunicación electrónica. Estos obstáculos tienen su origen en las incertidumbres inherentes al uso de las redes abiertas : los mensajes pueden interceptarse y manipularse, la validez de los documentos puede negarse, los datos personales pueden obtenerse de manera fraudulenta e ilícita, las comunicaciones en suma pueden utilizarse con fines ilegales. Por consiguiente, es necesario crear una infraestructura segura que permita, por una parte, la instauración de una sociedad de la información que proteja a los ciudadanos frente a los abusos y, por otra, el desarrollo de un comercio electrónico basado en garantías, como mínimo similares a las que rigen hoy en día para los intercambios de documentos en papel en los medios económicos.

La Comisión Europea en su comunicación «Iniciativa europea de comercio electrónico» presentado el 16 de abril de 1997 al Parlamento Europeo y al Consejo señalaba que, entre otras, la firma electrónica se configura como un instrumento esencial para fomentar la seguridad y confianza en las redes abiertas, y en consecuencia, en la comunicación electrónica. En el mismo sentido concluyó el documento final de la Declaración ministerial de Bonn, que bajo el título «Las redes mundiales de la información: aprovechar su potencial» se elaboró los días 6 y 7 de julio de 1998.

En un primer paso la Comisión Europea presentó al Parlamento Europeo y al Consejo la comunicación «El fomento de la seguridad y la confianza en la comunicación electrónica. Hacia un marco europeo para la firma digital y el cifrado» (COM 97, 503 final, 8.10.97) donde se indicaba la necesidad de realizar un planteamiento coherente en este ámbito. El 1 de diciembre del mismo año, el Consejo de Ministros de Telecomunicaciones dió su refrendo a la Comisión y solicitó que, a la mayor brevedad posible presentara una propuesta de directiva de firma digital.

A raíz de la citada Comunicación se celebraban reuniones entre la Comisión, los Estados miembros, representantes de la industria y expertos en la materia de cuyos resultados se extrajeron una serie de conclusiones que, como veremos, fueron la base de la directiva comentada. Estas conclusiones, a grandes rasgos, se pueden resumir en los siguientes puntos:

• necesidad urgente de adoptar un marco legal armonizado a nivel europeo que evite el surgimiento de graves obstáculos al mercado interior,
• la directiva europea que en su día se apruebe deberá ser neutral desde el punto de vista tecnológico,
• al objeto de garantizar el funcionamiento del mercado interior y apoyar un rápido desarrollo del mercado, tanto desde el punto de vista de la demanda de los usuarios como de la innovación tecnológica, convendría evitar los sistemas obligatorios de autorización previa. Igualmente, no se ha de regular la firma electrónica utilizada por grupos cerrados, debiendo prevalecer en este ámbito, la libertad contractual (piensese por ejemplo en las tarjetas de crédito o la emitida por los grandes almacenes),
• se ha de garantizar el reconocimiento legal de las firmas digitales y los servicios de certificación, especialmente a través de las fronteras. Ello ha de suponer el definir unos requisitos mínimos esenciales aplicables a los proveedores de servicios de certificación y su correspondiente responsabilidad.

Estos objetivos, elaborados de común acuerdo entre los diferentes sujetos intervinientes en este sector, han sido incorporados a la propuesta de directiva por la que se establece un marco común para la firma electrónica.

El objetivo de la propuesta es facilitar la firma electrónica como base para el desarrollo de las comunicaciones y en especial del comercio electrónico. A tal efecto se establece:

• el reconocimiento legal de la firma electrónica de forma tal que su utilización y efectos tengan el mismo valor que los derivados de la firma manuscrita y sea admisible, en consecuencia, como prueba a efectos procesales.
• la creación de un marco jurídico para determinados servicios de certificación accesibles al público con el fin de garantizar el correcto funcionamiento del mercado interior y su desarrollo.

Los contenidos principales del proyecto de directiva se pueden resumir en los siguientes puntos:

1. Se establece el principio de que los Estados miembros no condicionarán la prestación del servicio de certificación a la obtención de una autorización previa. Ello no ha de suponer el que los Estados puedan introducir o mantener sistemas de acreditación voluntaria para mejorar la calidad de los citados servicios de certificación. Del mismo modo el proyecto prohíbe la posibilidad de limitar el número de prestadores de estos servicios, aplicándose el principio general de la libertad de prestación de este tipo de actividades.
2. Se potencian los principios, ya consagrados, de mercado interior impidiendo cualquier restricción a la prestación de servicios de certificación cuya procedencia sea de otro Estado miembro.
3. Se incorpora el principio novedoso del efecto legal, esto es, la imposibilidad de negar la validez ni la obligatoriedad a una firma electrónica. Como mecanismo de garantía la directiva determina que la firma electrónica basada en un certificado reconocido debe tener, a todos los efectos, idéntico valor, que la firma manuscrita y, ha de ser admisible como prueba a efectos procesales.
4. Correlato de lo anterior, el proyecto establece un sistema de responsabilidad del proveedor de los servicios de certificación por la veracidad y seguridad de los certificados emitidos.
5. Al objeto del desarrollo del comercio electrónico, se articulan mecanismos de equivalencia entre los certificados emitidos por un proveedor de servicios establecido fuera de la Comunidad.
6. Por último, se garantiza la protección de los datos, su seguridad y privacidad, asi como los supuestos en los que cabe su publicidad a instancia de las autoridades nacionales o en los supuestos previstos por los correspondientes en los ordenamientos jurídicos nacionales.

Los servicios de certificación y los certificados cualificados que éstas emiten son las piezas claves de la Directiva. Al mismo tiempo hay que señalar, que el proyecto de Directiva establece la posibilidad de un marco voluntario de acreditación, por lo que podrán existir servicios y certificados ajenos a lo que ésta establece.

Los requisitos que han de cumplir las entidades que provean los servicios de certificación se recogen en el Anexo II y pueden ser resumidos en los siguientes puntos:

• Demostrar la fiabilidad para prestar los servicios de certificación
• Utilizar un servicio de revocación rápido y seguro
• Emplear personal suficientemente cualificado
• Utilizar sistemas y productos dignos de confianza, que garanticen la seguridad técnica y criptográfica
• Tomar medidas contra la falsificación de certificados
• Disponer de recursos financieros apropiados
• Registrar toda la información relevante para investigaciones posteriores
• No mantener copia alguna de la clave privada, salvo petición expresa del propietario
• Informar a los usuarios acerca de la propia entidad de certificación, así como de sus derechos y obligaciones, en lenguaje fácilmente comprensible.

Entre las propiedades que han de cumplir los certificados se encuentran:

• Identificación del servicio de certificación que expide el certificado
• Nombre o seudónimo inequívoco del titular de la firma
• Atributos del titular (identificación fiscal, capacidad de actuar, etc.)
• Verificación de la firma, que corresponda al dispositivo con que se creó
• Periodo de validez del certificado
• Código del certificado (que debe ser único)
• Firma electrónica del servicio de certificación
• Limitaciones de uso del certificado y responsabilidad del servicio de certificación.
• Limitación de la responsabilidad del proveedor de servicios y de las transacciones que con el certificado se puedan realizar.

Consideraciones jurídicas

No se ha de ocultar la dificultad que entraña la puesta en práctica del contenido del proyecto de la directiva. Su trasposición una vez aprobada al derecho interno de cada uno de los Estados Miembros va a suponer problemas de adaptación a los regímenes jurídicos vigentes en cada uno de ellos. Esta igualación entre firmas digitales y manuscritas va a afectar, quierase o no, a la tradicional regulación de las normas civiles, mercantiles, hipotecarias y a temas, hasta hoy asentados en nuestros tradicionales textos legales, como la perfección de los contratos, la legitimación de firma, la fe pública notarial, etc. De forma indirecta,

podemos afirmar que esta directiva, de ser aprobada en sus actuales términos, puede convertirse en el primer elemento de armonización de las diferentes legislaciones europeas en temas, hasta hoy vedados y reservados a la soberanía de los Estados. No obstante, la realidad ha de imponerse a los viejos usos y costumbres y reconocer el hecho de que el papel está en decadencia frente a la emergencia de lo digital, de que la letra impresa va camino de ser sustituida por la combinación binaria.

Ahora bien, tal sustitución tecnológica ha de estar sometida, en todo caso, al principio de la seguridad jurídica de los usuarios como mecanismo de defensa contra posibles fraudes.

La determinación clara del ámbito de aplicación de la Directiva, el control o, si se quiere, la supervisión por parte de las autoridades públicas del cumplimiento de los requisitos exigibles a los servicios de certificación, la concreción y claridad de esos requisitos, la garantía en el tratamiento de los datos y su seguridad y el establecimiento de un claro régimen de responsabilidades, se conforman como elementos fundamentales de garantía de los usuarios frente a posibles abusos o engaños en el tráfico electrónico. Estos aspectos, hoy no bien definidos y regulados en proyecto, son los que están encima de la mesa de discusión en el seno del grupo de trabajo del Consejo. Esperemos que del intercambio de opiniones y de la negociación entre los representantes de los quince países miembros, se resuelvan las ambigüedades y se aclaren las lagunas hoy existentes que, de permanecer, puedan ocasionar más conflictos que resolver los retos que el desarrollo de las nuevas tecnologías nos han aportado.

En todo caso, este cambio irreversible es ya una realidad y como tal de imposible marcha atrás.

Este primer paso -elaboración de una norma sobre firma digital- , se encuentra en un período de tramitación cuya discusión dentro del Consejo finalizará, lo más probable, con la aprobación de una Posición Común por parte del Consejo de Telecomunicaciones de la Unión Europea el próximo 25 de noviembre. Es de esperar que, dada su importancia y trascendencia, el Parlamento Europeo introduzca enmiendas al texto con lo que su aprobación definitiva será durante el primer semestre del próximo año. Corresponderá entonces a las autoridades nacionales su concreción y desarrollo en normas internas que permitan su utilización y extensión como mecanismo normalizado en el campo de la contratación electrónica o, en su caso, en las relaciones con la Administración Pública.

Consideraciones técnicas

Esencialmente, la firma digital se apoya sobre la infrestructura de clave pública, cuyo componente esencial es la criptografía de clave pública. Hablar por tanto de firma digital nos lleva necesariamente a tratar la criptografía, ya que las virtudes y las circunstancias de ésta afectan a la primera. Apuntemos muy brevemente los retos que en esta materia conlleva la puesta en marcha de las exigencias contenidas en el proyecto de Directiva.

Dos son los componentes básicos de la infraestructura de clave pública que subyace en el texto: el proveedor de los servicios de certificación y el título de usuario del servicio(los certificados de autenticidad de la identidad).

La Directiva establece la obligación de que el proveedor de los servicios de certificación debe demostrar su fiabilidad y utilizar sistemas dignos de confianza. Esto supone aplicar funciones y mecanismos de seguridad (que como se sabe son de naturaleza administrativa y técnica) de notable rigor, que deben partir de un exhaustivo análisis y gestión de los riesgos y plasmarse a continuación en la implantación de sistemas y productos debidamente certificados respecto de la seguridad (circunstancia esta última hoy no muy frecuente en el mercado).

En relación con los certificados de autenticidad se concretan, en el texto del proyecto, los contenidos y responsabilidades. Como soporte del título de usuario se imponen con fuerza las tarjetas inteligentes para el almacenamiento y proceso de las claves de autenticación y de confidencialidad y de sus correspondientes certificados.

A la robustez de este sistema criptográfico debe añadirse su integración, eficaz y cómoda, con las aplicaciones informáticas convencionales. No es posible pensar en su aceptación, por parte de los usuarios, si unos y otros programas informáticos se mantuvieran operativamente aislados entre si.

Es en esta integración donde deben producirse todavía avances sustanciales. Por ello, es deseable que el mercado desarrolle y proporcione productos criptográficos que ofrezcan servicios de seguridad ampliables según necesidades, independientes de las aplicaciones que los invoquen -como nivel intermedio entre éstas y el sistema operativo- y que garanticen la interoperabilidad y la intercambiabilidad de unos por otros. Estos productos, desde luego han de responder, en todo caso, a las necesidades de los usuarios, lo que tratándose de productos criptográficos no es ninguna obviedad.

Igualmente se deben desarrollar protocolos para la interoperabilidad de los servicios de certificación, y por lo tanto entre diferentes infraestructuras de clave pública; hoy por hoy no se encuentran sistemas de gestión de claves que sean a la vez fiables, interoperables y fáciles de usar. Para conseguirlo es preciso y urgente definir un conjunto de protocolos de seguridad estándares a niveles de aplicación y sesión, así como entre servicios de certificación.

En el catálogo de temas abiertos en relación con esta tecnología no pueden faltar una mención a ciertas actuaciones que afectan al mercado. Para algunas voces autorizadas, las anacrónicas restricciones en el comercio de los productos de cifrado (sujeto a las restricciones de importación/exportación propias de las tecnologías de uso dual y el limite geográfico de utilización, no favorece ni su difusión ni los beneficios de economía de escala. Al mismo tiempo se ha de asegurar la neutralidad de la legislación con respecto a la tecnología, y favorecer la aceptación internacional de productos de amplia difusión que utilicen métodos criptográficos interoperables.

En fin, como es habitual en las automatizaciones que introduce la informática, adquiere especial relevancia este nuevo paso adelante que supone la firma electrónica en las relaciones de la sociedad de nuestros días. Será precisa la familiarización y adaptación de muchos de nuestros usos y prácticas cotidianas, además de entender las nuevas formas en que se van a basar la confianza de las relaciones sociales y económicas basadas en medios electrónicos.

Una consecuencia práctica para el lector TIC: la seguridad de la información evoluciona desde ser algo «añadido» a nuestros proyectos a ser parte indisoluble de los mismos, cuando no en infraestructura básica sobre la que apoyarse.

La Directiva en el mundo

Si algunas veces la confianza de los ciudadanos en el uso de las nuevas tecnologías ha ido por delante de lo que muchos profesionales hubieran deseado, no es de extrañar que la legislación haya tenido dificultades para seguir el paso. Aún cuando RSA se publicó en 1977, la primera legislación tiene que esperar hasta 1995, en el estado de Utah. En Europa, las leyes alemana e italiana se publican en 1997. Recientemente, la ONU, a través del comité UNCITRAL elabora una propuesta que tiene múltiples apoyos.

En paralelo, surge la influyente Recomendación del Consejo de la OCDE relativa a la directrices de política Criptográfica, que sienta las primeras bases comunes para un entendimiento internacional sobre el uso de la tecnología que aparece como esencial, en nuestros días, en la firma electrónica; pero todavía quedan aspectos difíciles de implementar globalmente, como lo son los mecanismos que permitan la lucha efectiva contra el fraude y la protección de la privacidad.

Recientemente se multiplican las iniciativas internacionales para debatir y encontrar soluciones comunes. Es el caso de la reciente Audiencia internacional sobre firma digital y cifrado .

Entre los aspectos más necesitados de acuerdo se encuentran:

• Armonización de los efectos jurídicos.
• Cooperación internacional para la protección de los consumidores y lucha contra el crimen.
• Criterios armónicos sobre importación y exportación.
• Estándares para la interoperabilidad de métodos y productos criptográficos.

Un largo camino bajo una enorme presión por encontrar soluciones prácticas y baratas.