Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Tesis de Grado
Tesis de Grado
EN EL COMERCIO ELECTRNICO
CONTENIDO
Pgina
INTRODUCCIN
PRIMERA PARTE
INTRODUCCIN AL COMERCIO ELECTRNICO
Captulo I.
1.1
1.2
12
13
35
SEGUNDA PARTE
LOS RIESGOS Y LA SEGURIDAD
Captulo II.
38
45
46
47
48
48
3.2 Gusanos
52
52
52
52
53
4.2 Privilegios
54
54
54
4.5 Transmisiones
54
4.6 Cokies
55
5. Los daos
55
5.1 Interrupcin
55
5.2 Interceptacin
56
5.3 Modificacin
56
5.4 Fabricacin
56
58
60
6.3 La Seguridad
63
64
66
b) Actividad
66
c) Acceso
67
68
a) Seguridad de Trnsito
69
b) Seguridad de Usuario
69
70
70
71
72
75
79
TERCERA PARTE
LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA
Captulo III.
1. Documento escrito
92
2. Autenticidad
95
3. Conservacin y consulta
98
4. Documento Electrnico
103
5. Jurisprudencia
104
CUARTA PARTE
ENTIDADES DE CERTIFICACIN Y FIRMAS DIGITALES
Captulo IV.
4. Entidades de Certificacin
114
1. Concepto
114
119
122
125
125
2. Nacionales o Extranjeras
126
3. Cmaras de Comercio
127
4. Notarios y Cnsules
128
5. Abiertas y Cerradas
128
137
143
145
158
152
159
160
163
165
166
167
168
b) Cerrado
169
QUINTAPARTE
LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIN
Captulo V.
172
CONCLUSIONES
186
BIBLIOGRAFA
196
INTRODUCCIN
Al respecto vase OLIVER. CUELLO, Rafael. Tributacin del Comercio Electrnico. Espaa - Valencia. Tirant Lo
La clasificacin de los servicios de telecomunicaciones cuyo antecedente es la Ley 72 de 1989 (por medio de la
cual se otorgaron facultades extraordinarias al Presidente de la Repblica para reorganizar el sector) -, utiliza la
metodologa tcnica empleada por la UIT - Unin Internacional de Telecomunicaciones -. La finalidad de dicha
metodologa fue unificar las condiciones de estandarizacin tcnica, operativa y de tarifacin de nivel mundial. Ahora
bien, teniendo en cuenta la metodologa de la UIT y las reglas jurdicas para la prestacin, habilitacin y explotacin
de los servicios pblicos de telecomunicaciones, estos se clasificaron as: (Decreto Ley 1900 de 1990)
1.
Servicios bsicos.
2.
Servicios de difusin.
3.
4.
5.
Servicios especiales.
10
El servicio telemtico y de valor agregado Artculo 31 Decreto Ley 1900 de 1990 que es el que nos interesa para
efectos de este estudio es definido como:
[...] aquellos que utilizan como soporte servicios bsicos, telemticos, de difusin, o cualquier
combinacin de estos, y con ellos proporcionan la capacidad completa para el envo o
intercambio de informacin, agregando otras facilidades al servicio soporte o satisfaciendo
nuevas necesidades especificas de telecomunicaciones.
Forman
Son aquellos que utilizan como soporte servicios bsicos, telemticos, de difusin o cualquier
combinacin de estos, prestados a travs de una red de telecomunicaciones autorizada, y con
ellos proporcionan al usuario la capacidad completa para el envo o intercambio de informacin,
agregando otras facilidades al servicio soporte o satisfaciendo necesidades especficas de
telecomunicaciones.
Para que el servicio de valor agregado se diferencie del servicio bsico, es necesario que el
usuario de aquel reciba de manera directa alguna facilidad agregada a dicho servicio, que le
proporcione beneficios adicionales, independientemente de la tecnologa o el terminal utilizado; o
que el operador de servicios de valor agregado efecte procesos lgicos sobre la informacin
que posibiliten una mejora, adicin o cambio al contenido de la informacin de manera tal que
genere un cambio neto de la misma independientemente del terminal utilizado. Este cambio a su
vez, debe generar un beneficio inmediato y directo, que debe ser recibido por el usuario del
servicio.
Para ampliar esta informacin puede consultarse a MICHELSEN, Jaramillo Sergio. Internet Comercio
Electrnico & Telecomunicaciones. Universidad de los Andes. Primera Edicin. Bogot 2002. Legis
Editores S.A. p. 591 a 639.
11
sonora, la telefona fija, mvil, mvil celular, el telefax, etc. En la actual sociedad de la
- privadas o
Al respecto, resulta de trascendental importancia observar fenmenos jurdicos como el Espaol, donde se gest la
Ley 34 de Julio 11 de 2002 sobre Servicios de la Sociedad de la Informacin y Comercio Electrnico, cuyo objetivo
fue la incorporacin al ordenamiento jurdico espaol de la Directiva 2000/31/CE, del Parlamento Europeo y del
Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la informacin, en
particular, el comercio electrnico en el mercado interior. Con relacin a la denominada sociedad de la informacin
la Directiva 2000/31/CE consagr:
12
pblicas -, ofrecen a los usuarios - servicio telemtico y de valor agregado -, que gracias
a las redes de transmisin de informacin, permite conectar dos puntos, sin importar la
distancia entre estos, en tiempo rcord, sin embargo, ste servicio afronta un gran
inconveniente: la inseguridad, razn por la cual, se proporciona al lector una visin
tcnica, jurdica y prctica, sobre los aspectos ms relevantes del comercio electrnico
y la seguridad. ste ltimo elemento, es el pilar de la eficacia en el desarrollo del
intercambio de informacin a travs de redes de valor agregado como el Internet; lograr
entornos seguros genera confianza en el sistema y ambientes propicios para el
intercambio de informacin. De este modo, como primera medida, se introduce al lector
al comercio electrnico, dejando al descubierto la falta de confianza en el sistema, tanto
nacional como internacionalmente. As, se dispone la senda en busca de la seguridad
en el comercio electrnico.
13
Este gran paso - incorporacin normativa interna -, abri las puertas jurdicas al
comercio electrnico, sin embargo, no fue suficiente dicho esfuerzo; el comercio
electrnico est amenazado, los riesgos son potencialmente peligrosos y nefastos. De
esta suerte, conocer los diferentes tipos de riesgos, sus denominaciones y sus vas de
ataque, as como los daos que ocasionan, es necesario para entender qu sistemas
de seguridad deben implementarse, qu responsabilidades surgen y, sobre todo, qu
normatividad debe implementarse, ajustarse o modificarse, en la bsqueda de un
comercio seguro. Todo este entorno de seguridad, debe partir, sin duda alguna, de la
bsqueda de conciencia y de la generacin de confianza en el sistema.
Corte Constitucional. Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morn Daz1. Expediente D-2693.
14
15
puesto de manifiesto la
La actual realidad de los sistemas computacionales, en cuanto a la seguridad se refiere, es preocupante, con ms
frecuencia se ver en los medios de comunicacin noticias de ataques informticos como el que report la sociedad
Hispasec Sistemas - empresa de seguridad y tecnologas de la informacin -, que puede consultarse en la pgina
web http://www.hispusec.com. quien inform:
[...] se est propagando con rapidez un gusano que ataca los ordenadores que utilizan los
sistemas operativos Windows (las versiones Windows NT 4.0, Windows 2000, Windows XP y
Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente
16
Los usuarios deben conocer los ataques que rondan la red, para tomar las medidas de
seguridad pertinentes y, prevenir as, que su computadora o el sistema de
computadoras de su empresa se vea afectado. Las violaciones de seguridad pueden
tener diversos efectos, desde la inoperabilidad del sistema hasta la prdida de
reputacin de una empresa. Esta peligrosa realidad tiene importantes efectos tcnicos y
jurdicos. La bsqueda de responsables, ser tema de discusin en varios escenarios,
sin embargo, la pesquisa que debe primar es la difusin de la condicin de inseguridad,
con el objetivo de crear conciencia.
La palabra negociar viene del Latn negotiari que significa comprar, vender o cambiar gneros mercadera o valores
para aumentar el caudal. Diccionario de la Lengua Espaola. Vigsima Primera Edicin. Madrid: 1994.
17
18
contenido anlogo.
MADRIAN DE LA TORRE, Ramn E. Principios de Derecho Comercial. Sptima Edicin. Bogot: Editorial Temis
19
En este orden de ideas, y con un breve panorama del comercio, resulta necesario fijar
la atencin en el estado actual de las computadoras10 y, en particular el ingreso de
Internet11 al mercado como instrumento comercial.
10
La primer computadora fue diseada con fines militares para calcular la trayectoria de los misiles obs. EL
ENIAC, poda sumar 5000 mil nmeros en un segundo, media 30 metros de largo, 2,5 metros de alto, pesaba 30
toneladas y consuma 25.000 mil vatios de energa.
MUCHLY, sacaron al mercado el UNIVERSAL AUTOMATIC COMPUTER UNIVAC 1, utilizado para fines cientficos y
militares. En 1960 salieron al mercado computadoras cuyo precio oscilaba entre U$20.000 y U$100.000. Fue slo
hasta 1975 cuando ED ROBERTS, diseo el denominado ALTAIR 8800, cuyo costo era de US$400, por primera vez
en la historia era posible que una persona del comn accediera a una computadora. Al respecto puede consultarse a
DIAZ, GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer. 2002. p. 18 a 23.
11
Existen varias teoras sobre el origen del INTERNET, bsicamente se sugieren dos momentos iniciales:
El origen de INTERNET se remonta a la dcada de los sesenta, fecha en que nace una red
formada con la interconexin de cuatro computadores estadounidenses, del Instituto de
Investigaciones de Standford (SRI), de la Universidad de California en los Angeles (UCLA), de
la Universidad de California en Santa Brbara (UCSB) y de la Universidad de Utath, cuyo
objetivo bsico era compartir recursos. A mediados de la poca de los sesenta, Estados
Unidos de Amrica necesitaba disponer de una red nacional interconectada capaz de soportar
un ataque nuclear de la entonces Unin Sovitica. As, en caso de ataques desastrosos con
una alta siniestralidad, la red deba ser capaz de restablecerse,
buscando la ruta ms
20
Las computadoras han tenido un constante desarrollo desde sus inicios. Bill Gates y
Paul Allen fundaron MICROSOFT en 1975. La empresa se dedicaba a la fabricacin de
sistemas operativos - software -. Un ao despus, se termin de construir el APPLE I,
por uno de los ingenieros de Hewlett Packard, quien fundara APPLE COMPUTER. Otro
importante avance en los sistemas operativos, que termin con las maquinas de
escribir, fueron los procesadores de palabras, que salieron al mercado en el siguiente
orden: WORDSTAR, WORDPERFECT, WORD. Para 1981, se lanz al mercado el IBM
PERSONAL COMPUTER (IBM PC). La primera hoja de clculo - LOTUS - apareci en
1982. La sociedad APPLE COMPUTER revolucion el mercado con el MACINTOSH en
1984, su valor agregado fue el sistema operativo, que utilizaba iconos y ventanas
controladas con un ratn. En 1991 se lanz la world wide web (www). Desde entonces,
se vienen desarrollando diversos navegadores; NETSCAPE COMUNICATIONS,
ARPANET y fue la conexin de las computadoras de las instituciones antes mencionadas la
que marc la pauta para su aparicin. Debido a que esta red nunca se utiliz para su fin
primario, al poco tiempo los grupos acadmicos de ese pas la vieron como una buena
posibilidad para intercambiar informacin de todo tipo, por lo que, en los setenta, ARPANET,
es utilizada para fines acadmicos. TRUJILLO SNCHEZ, Guillermo. Internet para abogados.
Medelln: Seal Editora. 2001. p 28.
-
Lo que hoy conocemos como Internet tuvo sus comienzos en el proyecto experimental
diseado, a instancia de la National Advanced Research Proyect Agency, abreviatura de
NARPA o ARPA. Por ello la red digital que surgi se denomin ARPANET, salido de las
discusiones entre VINTON GRAY CERF y ROBERT KAHN a altas horas de la noche en un
hotel de San Franciso y donde se les ocurri la idea clave de conmutar redes de paquetes de
21
informacin. [...]. DIAZ GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer.
2002. p 13.
12
22
23
La cadena de noticias CNN realiz una encuesta, que se difundi a travs de la pgina
web, www.cnnenespanol.com, el 27 de enero de 2003, la pregunta fue la siguiente:
91%
509 votos
No
9%
52 votos
Total: 561 votos
Ahora bien, resulta esencial entender el contexto dentro del cual se est desarrollando
la actividad comercial que est revolucionando el comercio del siglo XXI, la red Internet.
El Dr. Daniel Pea Valenzuela13, expresa una idea clara del concepto de Internet: [...]
red14 compuesta de diversas redes electrnicas. Las redes estn conformadas por
13
PEA VALENZUELA, Daniel. Aspectos Legales de Internet y del Comercio Electrnico. Bogot: Dupr Editores
La red puede definirse como la conexin de computadoras para compartir recursos e intercambiar informacin.
Una red de ordenadores permite que los nodos puedan comunicarse uno con otro. Los nodos son hardware como
por ejemplo impresoras, fax, sistemas operativos etc.
Para comprender qu es una red de ordenadores, debe entenderse el concepto de tamao, forma y aspecto fsico.
El tamao se refiere a dos conceptos:
24
El Dr. Daz Garca15, expresa en los siguientes trminos el concepto de la red Internet:
1. LAN (Local Area Network - Red de Area Local). Si todo est a una distancia razonable que se pueda cubrir
caminando, se le suele llamar LAN, da igual cuntas mquinas estn conectadas, y de qu manera est hecha la
red.
2. WAN (Wide Area Network - Red de Area Amplia). Si se tienen ordenadores en sitios fsicos en Lahore, Pakistn,
otro en Birmingham, Reino Unido y otro en Santiago de Chile, e intenta conectarlos, tendr una WAN.
Vea ms informacin de redes en la nota pie de pgina 50.
La Forma:
Este concepto se refiere a la manera como se interconectan los nodos (crculos). Los enlaces de red (lneas), son el
hilo conductor de los nodos. Hay dos formas de conexin:
Donde hay un nodo central y muchos enlaces de red, que puede representarse de dos formas:
o
o
o
\_ | _/
\|/
o-----o-----o
_/|\_
/ | \
o
o
o
o------o------o-------o--------o
25
mundo.
Permitir que los usuarios se puedan conectar con computadores ubicados en sitios
Internet, es sin duda, la red de redes, que permite comunicacin en tiempo real,
intercambio de informacin, celebracin de contratos, almacenamiento de datos, entre
otros. Es una herramienta inherente al comercio electrnico.
Aspecto fsico:
El aspecto fsico se refiere a la estructura de la red. El dispositivo ms usado es el mdem que puede utilizar una
lnea telefnica, fibra ptica (un delgado filamento de cristal) o seal satelital (telfonos celulares) para crear
enlaces de red.
Protocolo:
La forma de codificar y descodificar los sistemas operativos de las computadoras para poder intercambiar
informacin. Este concepto se ampliara ms adelante.
Vase ms al respecto en la pgina web http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-deredes.
26
15
16
La Comisin de las Naciones Unidas para el Derecho Mercantil Internacional, (UNCITRAL o CNUDMI) promovi la
elaboracin de un proyecto de ley tipo en materia de comercio electrnico. La Asamblea General de la ONU,
mediante Resolucin 51/162 de 1996 aprob la Ley Modelo sobre Comercio Electrnico y recomend su
incorporacin en los ordenamientos internos, como un instrumento til para agilizar las relaciones jurdicas entre
particulares.
El rgimen legal modelo, formulado por la Comisin de Naciones Unidas para el Desarrollo del Derecho Mercantil
Internacional, segn lo expone la Corte Constitucional busca ofrecer:
[...]al legislador nacional un conjunto de reglas aceptables en el mbito internacional que le permitieran eliminar
algunos de esos obstculos jurdicos con miras a crear un marco jurdico que permitiera un desarrollo ms seguro de
las vas electrnicas de negociacin designadas por el nombre de comercio electrnico.
[...] La ley modelo tiene la finalidad de servir de referencia a los pases en la evaluacin y modernizacin de ciertos
aspectos de sus leyes y prcticas en las comunicaciones con medios computarizados y otras tcnicas modernas y en
la promulgacin de la legislacin pertinente cuando no exista legislacin de este tipo. CORTE CONSTITUCIONAL.
Sentencia C 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morn Daz. Bogot: 2000.
El Dr. Ernesto Garca Rengifo, en su libro: Comercio Electrnico. Documento Electrnico y Seguridad Jurdica.
Bogot: Universidad Externado de Colombia. 2000. p. 25 y 26. Manifest:
27
Ahora bien, segn lo expresa el Dr. Ernesto Garca Rengifo, el comercio electrnico,
puede entenderse de la siguiente manera:
a una relacin
17
1.
2.
Validar las operaciones efectuadas por medio de las nuevas tecnologas de la informacin;
3.
4.
5.
El EDI - Intercambio Electrnico de Datos: es toda aquella transmisin de mensaje de datos a travs de medios
telemticos.
18
Ibid. p. 16.
28
Abarca las cuestiones suscitadas por toda relacin de ndole comercial, sea o no
contractual, estructurada a partir de la utilizacin de uno o ms mensajes de datos o de
cualquier medio similar. Las relaciones de ndole comercial comprenden, sin limitarse a
ellas, las siguientes operaciones: toda operacin comercial de suministro o intercambio
de bienes o servicios; todo acuerdo de distribucin; toda representacin o de mandato
comercial (Titulo XIII. Artculo 1262 y s.s. del Cdigo de Comercio); todo tipo de
operaciones financieras, burstiles y de seguros; de construccin de obras; de
consultora; de ingeniera; de concesin de licencias; todo acuerdo de concesin o
explotacin de un servicio pblico; de empresa conjunta y otras formas de cooperacin
industrial o comercial; de transporte de mercancas o de pasajeros por va area,
martima y frrea, o por carretera.
As las cosas, se podra decir que el comercio electrnico debe entenderse como toda
forma de transaccin comercial (compra - venta, pago - cobro) a travs de medios
electrnicos.
29
19
Los servidores, como su nombre lo indica, se utilizan para dar servicios a las dems computadoras que se
encuentran interconectadas entre s. Un servidor puede tener servicios de archivos, de correo, de impresin, de
pginas WEB, de programas, etc., todo en un mismo equipo o en diferentes servidores, dependiendo del volumen de
usuarios. Las funciones principales del Servidor son: a) Centralizar y concentrar la informacin; b) Centralizar las
aplicaciones (correo, archivos, Web, programas, etc.). c) Estandarizar la operacin de la empresa.
20
Sistemas operativos a partir de los cuales se renen una serie de pginas web en varias ventanas segn el
nmero de registros encontrados por el buscador mediante el suministro de cierrta informacin. Existen diversos
buscadores en la red Internet dentro de los cuales pueden destacarse Google, Alta Vista, Yahoo, Lycos, Savy
Search, Info Seek
entre otros. El objetivo de los buscadores es encontrar los documentos que contengan las
Vase
ms
sobre
buscadores
en
la
pgina
web
http://sensei.lsi.uned.es:8000/cea-
30
Bogot:
Editorial
Leyer.
2002.
p.
108
113.
31
de recursos informticos y
21
Normalmente las empresas poseen lo que se llama una Intranet - red de computadoras interconectadas con un
Servidor central -, que les permite intercambiar informacin, enviar mensajes a otros usuarios del sistema, compartir
archivos, etc. As las cosas, Internet tambin se podra definir como una red de redes, una red de Intranet's.
22
Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000. Magistrado Ponente: Dr. Fabio
32
23
Audiencia total
% Poblacin
Fuente
165,00
59,85
Nielsen
60,44
47,59
Nielsen
28,99
48,59
Nielsen
31,92
49,80
SevenOne Interactive
En el peridico EL TIEMPO en su publicacin del 26 de enero de 2000, segn datos de Global Emerging Markets,
se afirm que el comercio electrnico as como los gastos de publicidad en la red tendrn un aumento anual del 140
por ciento.
Segn un estudio realizado por la Universidad de Texas publicado en el peridico EL TIEMPO el 8 de noviembre de
1999 se estimaba que las personas conectadas a Internet ascendan a 171 millones de personas.
33
16,84
8,01
10,62
54,32
Nielsen
9,73
60,87
Nielsen
15,65
26,28
Mediametrie
7,89
22,65
AIMC
6,02
67,83
Nielsen
3,30
45,00
GfK Web-gauge
3,85
52,85
Nielsen
3,37
62,99
Nielsen
2,46
56,84
Nielsen
3,55
43,45
Media Research
0,97
23,36
Nielsen
4,35
59,55
Nielsen
6,30
2,07
40,05
Nielsen
2,06
51,70
Nielsen
1,31
34,11
Nielsen
3,5
3,43
ITU
13,98
7,99
Nielsen
45,80
3,60
CNNIC
0,70
ITU
25,65
53,53
0,2
0,16
57,58
Nielsen
NetValue
NetValue
34
3,06
7,05
ITU
24
2003. p. 5B.
25
35
Armenia
Armenia
Manizales
Manizales
Cartagena
Cartagena
Otras capitales
Otras capitales
Pereira
Pereira
Bucaramanga
Bucaramanga
Barranquilla
Barranquilla
Cali
Cali
Medelln
Medelln
Bogot
Bogot
0
5 10 15 20 25 30 35 40 45 50 55
36
las comunidades apartadas del pas. De esta suerte, las estadsticas muestran que los
servicios, en estos municipios, son solicitados en promedio 850 veces al mes, lo que
equivale a 20 solicitudes diarias.
El comercio electrnico, en el mbito mercantil, puede verse desde varios puntos de
vista. Se tomar la clasificacin que hace el Profesor Pea Valenzuela para explicar
cada uno de estos perfiles26:
26
37
27
Cdigo de Comercio. Artculo 260. Matrices, subordinadas y sucursales. Una sociedad ser subordinada o
controlada cuando su poder de decisin se encuentre sometido a la voluntad de una u otras personas que sern su
38
matriz o controlante, bien sea directamente, caso en el cual aqulla se denominar filial o con el concurso o por
intermedio de las subordinadas de la matriz, en cuyo caso se llamar subsidiaria.
28
Al respecto puede verse por ejemplo el libro Fundamentos del Comercio Electrnico. Barcelona: Editorial Gedisa
S.A. 2001.
29
Frente al concepto informtico el Dr. Ernesto Rengifo Garca Op. cit. p. 10 y 11 manifiesta:
39
30
RODGUEZ. TURRIAGO, Omar. Internet Comercio Electrnico & Comunicaciones. Universidad de Los Andes
40
41
En este punto, es claro que la inseguridad es sin duda alguna el gran obstculo para el
desarrollo del comercio en las redes de informacin. La pregunta inmediata es: cmo
superar el elemento presencial y la formalidad escrita para brindar seguridad a las
transacciones electrnicas?. La seguridad en todos los mbitos, gubernamental,
empresarial, familiar etc., es un aspecto complejo y de difcil solucin. Con el fin de
abarcar el estudio de la seguridad en las redes informticas, objeto de este estudio, se
analizaran los tipos de seguridad en este contexto. Los ataques a las redes informticas
- desde el punto de vista de la prevencin - son similares a prevenir ataques terroristas
42
31
No debe olvidarse que el terrorismo es un delito tipificado por la legislacin penal colombiana y que puede
Constitucin Poltica de Colombia. Artculo 13: Todas las personas nacen libres e iguales ante la ley [...].
Constitucin Poltica de Colombia. Artculo 15: Todas las personas tienen derecho a su intimidad personal y
43
de dichas
44
45
46
47
34
El Decreto 1747 de 2000 contiene 29 artculos, se encuentra dividido por tres captulos que a su vez se subdividen
en secciones.
Captulo I: Aspectos Generales.
Definiciones: Suscriptor, repositorio, clave privada, clave pblica, certificado en relacin con firmas digitales,
estampado cronolgico, entidad de certificacin cerrada, entidad de certificacin abierta, declaracin de prcticas de
certificacin.
Captulo II: De las entidades de certificacin y certificados digitales.
Seccin I: Entidades de certificacin cerrada
Seccin II: Entidades de certificacin abierta
48
Jurisprudencia;
Doctrina y;
La Ley 527 de 1999 es el resultado de una ardua labor de estudio en temas de derecho
mercantil internacional; una comisin redactora de la que formaron parte tanto el sector
privado como el pblico, cuyo liderazgo se gest a iniciativa del Ministerio de Justicia y
del Derecho, con la participacin de los Ministerios de Comercio Exterior, Transporte y
La Resolucin 26930 de 2000 contiene 26 artculos, se encuentra dividido por tres captulos que a su vez se
subdividen en secciones.
CAPTULO I: Entidades de Certificacin Cerradas
CAPTULO II: Entidades de Certificacin Abiertas
Seccin I: Autorizacin
Seccin II: Cumplimiento requisitos permanentes
Seccin III: Firmas Auditoras de Entidades de Certificacin
Seccin IV: Cesacin de Actividades
Seccin V: Estndares, Planes y Procedimientos de Seguridad
CAPTULO III: Certificados
49
En este orden de ideas, gracias a la Ley 527 de 1999 Colombia se pone a tono con las
modernas tendencias del derecho internacional privado, una de cuyas principales
manifestaciones ha sido la adopcin de legislaciones que llenen los vacos normativos
que dificultan el uso de los medios de comunicacin modernos, pues, ciertamente, la
falta de un rgimen especfico que avale y regule el intercambio electrnico de
informaciones y otros medios conexos de comunicacin de datos, origina incertidumbre
y dudas sobre la validez jurdica de la informacin cuyo soporte es informtico, a
diferencia del soporte documental que es el tradicional.
50
De ah que la Ley facilite el uso del Intercambio Electrnico de Datos (EDI) y de medios
conexos de comunicacin de datos, otorgando igual trato a los usuarios de
documentacin con soporte de papel y a los usuarios de informacin con soporte
informtico.
51
Cuando nos referimos a los riesgos, lo primero que se nos viene a la mente es la
eventualidad de ocurrencia de un dao. El Dr. Sarmiento37 expone el significado
etimolgico del trmino riesgo de la siguiente manera:
La concepcin del riesgo38 bajo el esquema del dao, desconoce la teora de la culpa
de la responsabilidad civil, como claramente lo expresa el Dr. Sarmiento39:
37
SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de Colombia. 2002. P.
180 y 181.
38
Los Antecedentes Histricos de la teora del riesgo son: [...] la publicacin en Paris, en 1897, de las obras de
Saleilles Les accidentes de travail et la responsabilit civile, y de Josserand, De la responsabilit du Fait des choses
inanimes. La sentencia de la Corte de Casacin Francesa de 16 de junio de 1897, referente al caso del remolcador
La Marie y la expedicin de la ley francesa de 9 de abril de 1898 sobre la responsabilidad en los accidentes de
trabajo. SARMIENTO GARCIA, Op. Cit. p. 187.
52
De esta suerte, en la teora del riesgo, el dao connota el elemento forzoso para la
generacin de responsabilidad civil40, lo cual es empricamente concordante con la
sucesin de los hechos; a diferencia de lo que sucede con la teora de la culpa, donde
el dao pasa a una segunda lnea y la culpa adquiere toda significacin, a tal punto, que
sin su demostracin, no hay obligacin de resarcir el dao que efectivamente se ha
producido. Al respecto, refirindose a la teora de la culpa, el Dr. Sarmiento
acertadamente expone:
39
40
Definicin de Responsabilidad Civil: [...] es la consecuencia jurdica en virtud de la cual, quien se ha comportado en
forma ilcita debe indemnizar los daos, que con su conducta ilcita ha producido a terceros. [...] ese comportamiento
ilcito consiste en el incumplimiento de las obligaciones derivadas de un contrato, el incumplimiento de las
obligaciones legales o cuasicontractuales, el delito, el cuasidelito, o la violacin del deber general de prudencia.
JARAMILLO, TAMAYO. Javier. De la Responsabilidad Civil. Bogot: Editorial Temis. Tomo I. 1999. P. 12.
53
Riesgo Provecho
Riesgo Creado
Riesgo Profesional
41
54
proporcional entre el beneficio y el dao. [...] si una persona ejerce una actividad que le
reporta beneficios econmicos, debe indemnizar todos los perjuicios que sean
consecuencia de es actividad [...]42.
42
El Dr. Sarmiento sostiene que la teora del riesgo provecho, tiene aplicacin para todas aquellas actividades
econmicas que reportan un beneficio y, no slo, como sostiene los defensores de la teora de la culpa, aplicable a la
responsabilidad por accidentes de trabajo. SARMIENTO, GARCIA. Ibid. p. 183.
43
55
56
garantizada a travs de compaas aseguradoras. Para este caso, la tesis del riesgo profesional, tiene plena cabida y concordancia, sin embargo en la prctica los contratos
que celebran los establecimientos de comercio con los emisores de tarjetas de crdito,
contienen clusulas redactadas de forma tal, que los perjuicios que se causen con
ocasin de la actividad negocial por la red Internet, recaen exclusivamente en el
comerciante, salvo que el perjuicio se haya causado como consecuencia de la culpa
grave o leve del profesional que presta el servicio. As por ejemplo, los contratos que
57
La causa del perjuicio es difcil de probar, los riesgos son muchos y la inseguridad
siempre es asumida por el usuario, el Banco, como se observ, slo responde por
conductas negligentes derivadas de su labor pero no por los perjuicios derivados de la
inseguridad alteracin, modificacin, uso fraudulento etc. -. En el Captulo, Los
Medios de Pago, se expondrn otras clusulas de este tipo de contratos, con el fin de
evidenciar, las clusulas que estn regulando los negocios jurdicos por la red Internet ,
que utilizan como medio de pago la tarjeta de crdito.
58
primera instancia, a asumir los riesgos derivados de las transacciones electrnicas, sin
perjuicio, que las diferentes empresas que presten servicios a travs de la red, asuman,
segn su rango de profesionalidad, los riesgos que cause su el desarrollo de su objeto.
Si bien es cierto, que la celebracin de contratos por va electrnica, se regula, en
primera medida, por la normatividad aplicable a ese contrato en particular, los daos
ciertos, efectivamente causados, deben seguir el lineamiento de las diferentes tesis del
riesgo. Adicionalmente, debe regularse la responsabilidad por la prdida de informacin
- claves privadas, documentos, nmeros secretos de los diferentes medios de pago etc.
-, alteracin y/o modificacin, transferencias no autorizadas etc. Este tipo de
responsabilidad, debe fundamentarse en el aspecto tcnico y, apoyarse en las tesis
tradicionales del riesgo44.
Entremos, entonces, a examinar los riesgos a los que est expuesta una transaccin
comercial por medios electrnicos.
44
En el Captulo los medios de pago se analiza ms detalladamente el tema de la responsabilidad de las empresas
59
Para repeler un ataque hay que conocer al enemigo, razn por la cual, resulta de vital
importancia introducir los riesgos a que est expuesto el comercio electrnico y,
presentar as los mecanismos que los contrarresten.
Cuando Usted se conecta a travs del Network45 a Internet, se estn corriendo varios
riesgos, entre los cuales pueden mencionarse los siguientes:
1. Se crean vas de acceso para los miles de virus que se encuentran en la red.
2. Cuando un virus penetra un sistema puede afectar todos los archivos de las
unidades de disco duros y programas en general, dandolos y afectando su
funcionamiento, lo que genera prdida de tiempo, de dinero y en el peor de los
casos el dao total del equipo.
3. La informacin que se almacena en el computador, tambin se ve expuesta y
puede llegar a ser conocida, borrada o modificada.
4. Para una empresa puede significar la prdida de reputacin, de miles o millones
de pesos, o la parlisis de actividades, prdida de informacin reservada etc.
45
60
Las amenazas a la seguridad digital pueden ser de diversa ndole, sin embargo, pueden
agruparse en tres categoras46:
46
Las tres categoras que se mencionan son expuestas por Robert D. Austin y Crhristopher A.R. Darby en el artculo
61
2. Los Atacantes
Ibid, p. 89.
62
of Technology (MIT), que en los 60's se llamaron a s mismos hackers, para hacer
alusin a su capacidad como programadores. Sin embargo, su uso ms extendido (e
incorrecto, segn los propios hackers) es el de delincuente informtico, o cracker.
Uno de los primeros piratas informticos - Kevin Mitnik - escribi: The Art of Deception
(El arte de la decepcin), que lleg a las libreras, en diciembre de 2003. Mitnik fue
acusado por robo de software y alteracin de datos de Motorola, Novell, Nokia, Sun
Microsystems y de la Universidad de California durante los aos ochenta y noventa.
Mitnik es conocido por ser unos de los hombres ms buscados por el FBI durante tres
aos. En 1995 fue capturado en un apartamento en Raleigh, gracias a la ayuda de un
experto acadmico en seguridad. Pese a su condicin de delincuente informtico, es
considerado un hroe en la comunidad hacker. Si bien es cierto que los hacker son los
atacantes ms conocidos y peligrosos, no son los nicos; como se ver, cualquier
empleado, por ejemplo, es un potencial atacante y, representa un riesgo para el sistema
computacional de la compaa.
2.1 Atacantes Internos
63
Las vas de acceso pueden ser internas o externas. Los ataques internos son aquellos
que se encuentran dentro de la misma empresa - empleados directos -. Este factor ha
sido atribuido entre otros o la inestabilidad laboral; hoy en da la gran mayora de
contratos que celebran las empresas son a trmino fijo, las empresas evitan al mximo
compromisos laborales de largo tiempo que le signifiquen una carga prestacional alta y
una liquidacin costosa, en caso de retiro voluntario o forzado. La prdida de lealtad, es
un factor que, sin duda alguna, contribuye a que los empleados no tengan
remordimiento en causar dao a su empresa y generarle prdidas. Un empleado
bancario descontento, lanz un ataque DOS contra el sistema operativo de su
compaa, el cual se interconectaba con todas las oficinas. Previendo que el personal
de sistemas estara preocupado por interconectar el sistema entre el computador
central y las oficinas, inici un segundo ataque, que fue muy efectivo, gracias a que
conoca el software con el que operaba el banco. Para iniciar su ataque investig en
Internet y baj un programa hacker, que pueden bajarse en diez minutos desde
cualquier computador conectado a la red a travs de fibra ptica. No aplacado, creo una
ruta para que los usuarios al entrar en la pgina web del banco fueran remitidos a una
direccin de pginas pornogrficas48. Los ataques internos son difciles de prevenir y,
dependen del nivel de lealtad y confianza entre empleador y trabajador; un empleado
48
Este hecho fue narrado en Harvard Business Review. Volumen 81. Nmero 6. Junio 2003. p. 89.
64
Los atacantes externos pueden ser de diversa ndole, as como, los motivos que los
impulsan. A continuacin se mencionan los atacantes ms relevantes de las redes:
65
Los vndalos: es la denominacin que se utiliza para aquellas personas que slo
tiene fines destructivos. Como se mencion anteriormente en la mayora de los
casos estas personas suelen ser ex empleados que buscan venganza, o sujetos
que estn en contra del sistema y simplemente buscan desestabilizarlo generar
caos y daos importantes, en las empresas estatales o privadas de alto perfil.
Las formas
de ataque,
66
3.1 Los virus son programas informticos que se activan cuando un archivo es
ejecutado, es decir, slo afectan a aquellos archivos con la extensin .exe, .com, .bat y
.sys de los sistemas operativos de MS_DOS/Windows. Los virus tienen gran capacidad
de clonacin lo cual genera su expansin exponencial afectando en poco tiempo todos
los programas. Los e-mails son la entrada ms comn de los virus.
No es un misterio, lo vemos todos los das en las empresas y en nuestras casas; los
virus son los ataques ms frecuentes que tenemos que afrontar, conforman parte de
nuestro mundo digital, quin no ha tenido un virus en su computador?. La red Internet,
est infestada de virus. Todas las semanas los departamentos de sistemas de las
grandes compaas, tienen dentro de sus funciones, detectar y prevenir la expansin de
virus.
Ahora bien, la aparicin de los primeros virus se remonta a 1986. Los disquetes, fueron
el punto de partida, el sector boot50 contiene un cdigo ejecutable, cada vez que se
reinicia el computador con el disquete inserto en la unidad A, el cdigo reproduce el
programa y guarda una copia en la memoria residente del computador, es decir, en el
49
50
67
disco duro. As mismo, se poda instalar una copia del programa en cualquier disquete,
accesible desde cualquier dispositivo. Ha este fenmeno le dieron el nombre de virus,
por su similitud de reproduccin con los virus biolgicos. Este ao experimental, sirvi
de plataforma para concienciar a los expertos sobre los virus. Se desarrollaron virus
experimentales y se dimension su capacidad destructiva. En 1988, comenz el
denominado baile,51 as mismo, aparecieron los fabricantes de anti - virus. La IBM, tom
conciencia de la importancia de los virus al sufrir el ataque del virus Cascade, desde
entonces, tiene un laboratorio dedicado a detectar y prevenir los virus. Los ataques
continuaron, Brain, Italian, Stoned, Cascade y Jerusalem, se dispersaron por cientos de
computadores. Jerusalem, fue sin lugar a duda el ms violento y complejo, infect a
miles de computadores en Estados Unidos, Espaa y Reino Unido, apareca todos los
viernes y los das 13 del mes. Por su parte los anti - virus seguan tomando fuerza,
gracias, en parte, a los medios de comunicacin que alarmaron a los usuarios, que
comenzaron a demandar anti - virus. En 1989, la situacin se complic con Datacrime,
el cual infectaba el computador y borraba toda la informacin almacenada en el disco
duro. En Estados Unidos se le llam el virus del Descubrimiento, de origen noruego,
fue creado, segn una de las hiptesis sobre su origen, como voz de protesta por
51
Los expertos en la materia: ingenieros de sistemas, se refieren al ao 1988, como el ao en que comenz el baile,
68
cdigo maligno, este tipo de virus cada vez que infectaba un sistema se encriptaba, lo
cual haca difcil su eliminacin. Los creadores de anti - virus tuvieron que desarrollar
algoritmos capaces de descencriptar los virus con el fin de constatar si stos eran
malignos o no, es decir, haban virus cuyo fin no era destructivo sino simplemente
archivos que se multiplicaban con cada arranque del sistema sin ocasionar dao
alguno. Este mismo ao se presenci un virus procedente de Bulgaria cuyo autor se
hacia llamar Dark Avenger; este virus introdujo dos nuevos conceptos: la infeccin
rpida y el ataque remoto. El primero se instalaba en la memoria e infectaba el disco
duro, el segundo se reproduca cada cierto perodo de tiempo, daba la apariencia de
haber desaparecido pero reapareca cuando haba aparente calma en el sistema.
Posteriormente, apareci The whale el cual represent un reto para los expertos, ms
que ser un virus devastador. Estaba compuesto de un algoritmo largo y complejo, lo
52
Polimorfo: cualidad de los que tiene o puede tener varias formas. Diccionario de la Real Academia Espaola.
69
cual haca muy lento y complicada su eliminacin. A finales de este ao - 1990 - se cre
la EICAR European Institue for Computer Anti Virus Research -,
con sede en
Hamburgo. Para esta fecha ya se haban definido alrededor de 150 virus. Para 1991 la
sociedad Symantec lanz al mercado el producto Norton Anti Virus. Varios pases
aportaron su cuota en la creacin de virus, todos muy similares, lo que dificultaba su
definicin, individualizacin y destruccin. De Alemania proceda Gonorrea, de Suecia
Demoralised Youth, de Estados Unidos Hellpit, de Reino Unido Dead on Arrival. Sin
lugar a duda uno de los ms recordados es Tequila que apareci en 1991 y se
expandi por los computadores del mundo. En 1992 el virus ms significativo fue el
denominado Michelangelo, que gener pnico en las empresas. Se estimaban daos
en cerca de cinco millones de computadoras, finalmente la alarma fue ms grande que
el dao real, sin embargo, la prevencin siempre evitar que el desastre sea mayor. Si
bien, se sorte un estrago de grandes dimensiones, la vulnerabilidad de las compaas
qued manifiesta. A finales del 92 aparecieron los paquetes de virus de autor, los
cuales permitieron que cualquier usuario consiguiera generar su propio virus. As
mismo, se creo la Asociacin de Virus Autnticamente Crueles (ARCV) en el Reino
Unido, sin mucho xito, toda vez que la Unidad de Crimen Computacional acab con
sus proyectos al arrestar a sus miembros. Un nuevo grupo de creadores de virus -
70
3.2 Otra forma de ataque son los gusanos, que estn diseados para infiltrarse en los
programas de tratamiento de texto y destruir la informacin, a diferencia de los virus no
poseen la capacidad de reproducirse, lo que los hace fciles de destruir.
3.3 Los caballos de Troya, son programas que estn camuflados dentro de programas
en s mismo inofensivos. Consiste en introducir rutinas en un programa para que acte
en forma distinta a como estaba previsto55. Los virus y los gusanos pueden esconderse
dentro de los trojan horses.
53
La historia de los virus que se expuso puede encontrarse con ms detalles en la pgina web
www.virusport.com/Historia.html
54
55
71
3.4 Las bombas de relojera son muy parecidos a los caballos de troya, pero su forma
de ataque est regulada en el tiempo, de manera que se activan en el momento preciso
en el cual pueden causar un mayor dao.
Los atacantes y los medios que utilizan requieren vas de acceso para introducirse en el
sistema y producir el dao esperado. Existen diversas vas de penetracin las cuales se
exponen a continuacin:
72
Ahora bien, para entender el procedimiento que utilizan los atacantes deben conocerse
las rutas de acceso que utilizan para penetran en los sistemas, con lo cual se tendr un
panorama amplio sobre el modus operandi de los delincuentes informticos.
Para que un ataque sea efectivo es necesario contar con una va de acceso, lo cual se
produce en la mayora de los casos por las deficiencias y puntos vulnerables de un
Network.
73
74
4.5 Transmisiones: Toda informacin que sea transmitida por Internet esta
potencialmente en riesgo de ser interceptada, con las consecuencias que esto
acarrea; inclusin de virus, bombas de tiempo etc., o modificacin, alteracin o
sustraccin de informacin.
4.6 Cookies: Los websites utilizan un sistema operativo (cookies) que recogen y
almacenan informacin del usuario, con el fin de definir su perfil. Estos sistemas
son exclusivamente para desarrollar un marketing apropiado de acuerdo con los
diferentes gustos del usuario. Este sistema de almacenamiento de informacin
es potencialmente riesgoso. La utilizacin y manejo de dicha informacin
determinar el nivel de riesgo. Cuando entramos en la red y aparecen ventanas
ofreciendo productos, no es al azar, en la mayora de los casos, son productos,
bienes o servicios, que en alguna oportunidad, escogimos como favoritos al
llenar una encuesta.
75
Una vez definidos los ataques y las vas que se utilizan para penetrar los sistemas
operativos, la pregunta consecuente es qu hacen estos ataques en el sistema
operativo?.
5. Los daos
En la mayora de los
56
FONT, Andrs. Seguridad y Certificacin en el Comercio Electrnico. Madrid : Editorial Fundacin Retevisin.
2002. p. 27 y 28.
76
Una gran dificultad que afronta la seguridad es la falta de decisin de los gerentes de
sistemas. Dedicar recursos para implementar mecanismos seguros es una decisin
difcil. Si la competencia no implementa medidas de seguridad y durante varios aos no
ocurre ningn siniestro, la decisin de inversin puede verse como una prdida de
utilidad, lo cual, en un entorno competitivo, desdibuja la capacidad de decisin y de
establecer prioridades de ese ejecutivo; sin embargo, un dao puede generar millones
de pesos en
prdidas.
77
sin embargo, las plizas de seguros son mecanismos de respaldo dirigidos a soportar la
ocurrencia del siniestro y no, a la prevencin del mismo, por lo tanto, un entorno
altamente seguro debe contar, tanto con mecanismos de proteccin como con plizas
de seguro.
78
79
preocupacin, tanto del sector pblico o estatal como del privado o empresarial y/o
familiar.
6.1 La Confianza
Se puede afirmar, sin ninguna duda, que la solidez de cualquier relacin o proceso
comercial ha sido el resultado del equilibrio siempre inestable de tres elementos: la
seguridad jurdica del contexto en donde se realiza, el nivel de riesgo que se est
dispuesto a asumir y la confianza existente entre las partes que intervienen en una
transaccin57.
57
Ibid., p. 35 y 36.
80
En una encuesta realizada por la firma Merryl Linch, se pregunt: Estara dispuesto a
dar el nmero de su tarjeta de crdito por Internet?. El resultado fue el siguiente:
1. No sabe / no responde: 9%
2. S: 3%
3. No: 88%
58
CORTE CONSTITUCIONAL. Sentencia C 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morn Daz.
Bogot: 2000.
81
59
Las marcas y su desarrollo son un factor muy influyente en el concepto de confianza, y son claves en el
82
60
83
seguridad que le brinden tranquilidad, tener la certeza que el sitio que visita es
seguro.
- Una navegacin fcil es una condicin necesaria para generar confianza: El diseo
de la pgina web es muy importante a la hora de generar confianza. Tener un fcil
acceso y un manejo sencillo, son elementos que generan seguridad y confianza en
los usuarios. Es muy importante que el sistema operativo utilizado para desarrollar
comercio electrnico a travs de la red, brinde fiabilidad, escalabilidad,
interoperatividad y seguridad61.
61
ELSENPETER, Robert. VELTE, Joby. Fundamentos de Comercio Electrnico. Estados Unidos: MC Graw Hill.
2002. p 65 y 66.
62
Como se defini en el pie de pgina nmero 14, la red es la conexin de computadores cuyo fin es compartir
Redes de rea local: aquellas que conectan todos los componentes de las computadoras dentro de un rea
centralizada. Es la red que enlaza el Departamento Jurdico con el Departamento de Sistema, es la red que
enlaza al Departamento de Mercadeo con la Vicepresidencia de Recursos Humanos o la red que conecta
todos los computadores del Departamento de Diseo con la impresora a color. Pueden existir dentro de una
misma empresa varias redes de rea local que a su vez estn conectadas con una red matriz de rea local
que se convierte en la columna vertebral de las redes de rea local de la empresa.
84
2.
Redes de rea amplia: En esencia las redes de rea amplia son dos redes de rea local unidas a gran
distancia. La red de rea amplia ms grande que existe es Internet. Las computadoras conectadas a una
red de rea amplia se enlazan en la mayora de los casos a travs de redes pblicas, como la lnea
telefnica. Dependiendo de nuestras necesidades puede configurarse una red de rea amplia en cualquier
rango de tamao y velocidad.
Los estndares son un conjunto de parmetros para las aplicaciones de la computadora que aseguran que podr
El ejemplo
que
Los directorios habilitados son bases de datos gigantescas, agendas personales que
permiten tener un
conocimiento ms cercano de los usuarios. El sistema operativo de los directorios habilitados consiste en una
segregacin de informacin esencial, de acuerdo con la configuracin que se le haya dado al directorio. De esta
forma podr saber el pas de origen del usuario, sus datos personales, sus gustos y en general todo cuanto sea
posible dependiendo de la configuracin del sistema.
Vea ms informacin al respecto. Ibid., p 66 a 70.
85
- Hay una relacin directa entre ser conocido y generar confianza: Los sitios ms
visitados son los sitios ms conocidos. Los sitios ms conocidos son los sitios que
ms generan confianza.
65
El hardware engloba lo que se refiere a componentes fsicos de un equipo informtico, el ordenador y sus
componentes: memoria, microprocesadores etc.; y los perifricos como el teclado, monitor, impresoras, mdems etc.
86
6.3 La Seguridad
87
comunicacin informtica. Para prevenir estos ataques hay que identificar los puntos
ms vulnerables y reforzar la seguridad.
Es importante resaltar que existe la intencin por parte de los agentes del comercio
electrnico, en desarrollar e implementar mecanismos de seguridad. Ahora bien, para
adelantar un programa de seguridad informtica, deben conocerse las debilidades del
sistema y las implicaciones que puede generar un ataque o un fraude electrnico.
88
Si bien los ejemplos de vandalismo en la red no son mltiples, los pocos que se
presentan ocasionan innumerables prdidas y parlisis en los sistemas operativos, lo
cual ha afectando a la gran mayora de las reas de la empresa.
Los virus, que hoy en da son la forma ms comn de sabotaje empresarial, ocasionan
todos los das prdidas incalculables67, sin embargo, estos ataques no son dirigidos en
el 95 % de los casos, lo que evidencia, la vulnerabilidad de los sistemas de seguridad y,
el riesgo que est presente. Esta realidad, debe ser vista como un llamado de alerta
para los Departamento de Seguridad de las empresas, con el fin que adapten las
medidas de seguridad necesarias, segn las necesidades de la empresa, para
salvaguardar la integridad de su sistema operativo, software - hardware, pgina web,
imagen etc.
66
AUSTIN, Robert. Darby, Christopher. Harvard Business Review. Volumen 81. Nmero 6. Junio 2003. p. 87.
67
Segn estimaciones del sector, cada ao 90% de las empresas se ve afectada por violaciones de seguridad, que
89
Los ataques externos, ya mencionados, tiene su inicio en las redes de rea amplia. Si la
red de la empresa est conectada a Internet, cualquier persona est en capacidad de
entrar a la red de la empresa, irrumpir la seguridad del sistema y causar daos. La
seguridad en la red es uno de los elementos ms importantes en la seguridad de los
sistemas operacionales de la empresa. La potencialidad de este tipo de ataques es
evidente si se tiene en cuenta que cualquier computador conectado a la red externa
Internet y que se encuentre interconectado con la red interna de la empresa, puede
infectar o transportar el ataque a travs de todos los computadores que se encuentren
conetactados por la red interna.
90
Lo primero que hay que definir en un sistema de seguridad de redes es cuales son las
necesidades de seguridad que requiero, dependiendo del tipo de negocio que
desarrolle.
Son tres, entonces, los elementos claves en los cuales debe centrarse la seguridad de
la empresa en sus actividades en lnea68:
1. Informacin
2. Actividad
3. Acceso
91
68
92
c) El acceso se refiere tanto a la persona que accede al network, que quien acceda es
quien dice ser. En conclusin, el acceso consiste en que slo tengan acceso a la
informacin quien est autorizado, y que al acceder slo se realice la actividad que le
es permitida. Controlar este aspecto, genera confianza y prestigio. Se crea un
sentimiento interno, de control y vigilancia, lo que es altamente positivo como
mecanismo de prevencin de ataques internos.
Los ataques internos, son en su mayora iniciados por empleados descontentos que
conocen los sistemas operativos de la empresa y la vulnerabilidad de los mismos, como
se menciono anteriormente. Pueden valerse de cualquier forma de ataque. Utilizan la
red interna para la expansin del ataque y, su deteccin es muy complicada. Para
contrarrestar este tipo de ataques es muy importante que se tenga control y acceso a
cada equipo de la empresa, se definan perfiles y, se creen niveles de acceso y
restricciones. Los elementos mencionados anteriormente - informacin, actividad y
acceso -, sirven para detectar y prevenir los ataques internos. Sin embargo, la
prevencin en este tipo de ataques debe centrarse particularmente en los niveles de
acceso, con permanentes chequeos sobre las actividades del usuario.
Los empresarios, y en general los internautas, deben adoptar medidas de seguridad que reduzcan
los riesgos y hagan de su sistema operativo un sistema confiable.
93
INTERNET
RED DE LA EMPRESA
SEGURIDAD EN LA RED
Grafica 6. Diseo Robert C. Elsenpeter y Toby J. Velte
94
La seguridad que implemente la empresa, debe proteger todos los flancos, con un
especial nfasis en los focos vulnerables. Existen diversos mecanismos de seguridad,
su implementacin, implica un estudio de riesgos y su aplicacin debe hacerse de
acuerdo con los requerimientos que arroje el estudio. Lo importante es detectar las
debilidades del sistema, de lo contrario, se estaran situando los mecanismos de
seguridad en un lugares no requeridos.
Una vez se hayan definido los riesgos, el paso a seguir, es disponer los recursos para
implementar la seguridad requerida. Las opciones son dos: la seguridad de trnsito y la
seguridad de usuario. La seguridad en el host y la seguridad en el network son
ejemplos concretos de seguridad de trnsito y de seguridad de usuario69.
69
95
de alarma, avisa a los operadores y tcnicos de la red, cuando hay algo fuera de lo
comn a nivel de aplicaciones. Este tipo de seguridad, se ubica en el fondo de la red, es
decir, son sistemas operativos de software o hardware que han sido instalados como
seguridad de la red. Ejemplos de estos seran los Proxy Server, los Pocket Filtering o
los cortafuegos o firewalls.
b) Seguridad de usuario: Este tipo de seguridad utiliza un software que obliga al usuario
a identificarse para poder acceder a los diferentes programas operativos del
computador. El ejemplo ms conocido de este tipo de seguridad son las claves.
contabilidad es la parte que lleva los registros de la seguridad del usuario. Se sigue los
pasos del usuario durante su estada en la red lo que le permite al empleador saber en
que gasta el tiempo su trabajador.
96
Existen varios mecanismos de seguridad entre los cuales destacamos los siguientes:
97
70
98
b) Secure Sockets Layer (SSL)71: El estndar desarrollado por Netscape que utiliza
tecnologa de encriptacin para las comunicaciones entre los navegadores y los
servidores.
71
ORFEI, Stephen W. El Comercio Electrnico. Citado por AZUERO, RODRGUEZ, Sergio, Contratos Bancarios.
Quinta Edicin. Bogot 2002. Editorial: Legis S.A. p. 245. El SLL es poco costoso, est disponible en la mayora de
los browser net tipo Explorer que existen en el mercado, por lo cual es fcil de conseguir. Los mensajes van
infiltrados, lo cual es mucho mejor que hacer negocio sin proteccin alguna, pero SLL no autentica la identificacin de
las partes. Cualquier tarjetahabiente puede ser suplantado desde cualquier terminal, porque SSL encripta el canal
entre el cliente y el comercio, pero sin verificar si es un tarjetahabiente, o ms bien un delincuente. Por ello, el SLL no
est respaldado por los bancos, ni est garantizando la transaccin. Si algo no funciona, es bsicamente problema
del comerciante. Por su parte SET utiliza una encriptacin de fortaleza industrial, identificacin digital, con claves
pblicas y privadas de infiltracin hechas con algoritmos basados en frmulas matemticas; adems valida toda la
transaccin desde el punto de vista del tarjetahabiente, el comerciante y la entidad bancaria. Cualquier comerciante
puede entregarle las llaves pblicas a su cliente, quien remitir datos encriptados, de manera que el mensaje slo
podr leerse utilizando las claves privadas, equivalentes a una identificacin digital, a una firma digital
personalizada.
99
pero como se mencion, el protocolo utilizado, por lo menos en nuestro pas es el SSL.
Ahora bien, cualquier perjuicio o fraude que se ocasione como consecuencia del hurto
de las claves secretas del usuario: clave web y clave privada, es atribuida al
tarjetahabiente, con el argumento que stas son de conocimiento exclusivo del titular
del producto. Argumento que desconoce la inseguridad del protocolo SSL, y la falta de
autenticidad de la informacin, es decir, abre las puertas para el repudio de la
operacin.
72
Pude definirse el servicio pblico como: [...] toda actividad organizada que tiende a satisfacer necesidades de
inters general en forma regular y continua, de acuerdo con un rgimen jurdico especial, bien que se realice por el
Estado directamente o por personas privadas. YOUNES MORENO, Diego. Curso de Derecho Administrativo.
Bogot: Ed. Temis. 1997.
73
Las Defensoras del Cliente se establecieron por virtud de la Ley 795 de 2003 y su reglamentacin est dada por el
100
1. Seguridad en el host
2. Seguridad en el network
101
2. Este sistema controla desde el network el acceso a los host, para lo cual utiliza
diversos mecanismos entre los cuales pueden mencionarse:
Firewalls75: A travs de
74
Autorizacin y Funcionamiento de Entidades de Certificacin y sus Autoridades. Artculo 22: Corta fuegos (Firewall).
La entidad de certificacin debe aislar los servidores de la red interna y externa mediante la instalacin de un corta
fuegos o firewall, en el cual deben ser configuradas las polticas de acceso y alertas pertinentes. La red del centro de
cmputo debe estar ubicada en segmentos de red fsicos independientes de la red interna del sistema, garantizando
que el corta fuegos sea el nico elemento que permita el acceso lgico a los sistemas de certificacin.
La Resolucin 26930 en el Artculo 22 impone la obligacin de usar cortafuegos sin especificar cual de ellos debe
implementarse.
75
Guardafuego filtro de paquetes: Examina el trnsito de la red en la capa de paquetes. Cuando se enva un
paquete por Internet, este es examinado detenidamente, y se le permite el paso o se rechaza de acuerdo
102
generando seguridad al
texto legible
en
con el tipo de configuracin (reglas) con que se ha programado el guardafuegos. Estas calificaciones
programadas de antemano se conocen con el nombre de rdenes de permiso o negacin.
2.
Guardafuegos para el nivel de circuitos: Identifica cada paquete como una solicitud de conexin o como un
paquete que pertenece a una conexin ya establecida. La seguridad se centra en la solicitud de conexin. Si
la conexin concuerda con el criterio vlido para conectar, el guardafuegos permite que pase el paquete.
3.
Guardafuegos de la capa de aplicacin: Valoran los paquetes en la capa de aplicaciones. Rastrea todo la
informacin acerca de la conexin y tiene a diferencia de los dos guardafuegos anteriores la capacidad de
manipular los datos que contiene el paquete, y de esta forma otorgar o no el permiso de entrada a la red o
network.
4.
Filtros dinmicos de paquetes: El administrador de la red en este guardafuegos tiene la facultad de alterar
las reglas de entrada y salida de paquetes, aceptando y rechazando en cualquier momento.
Existe una discusin sobre los guardafuegos, ya que hay personas que argumentan que estos son tanto software
como hardware. En la prctica lo que sucede es que todos los guardafuegos son software pero que para poder
operar necesitan hardware adicionales.
77
103
FUTURO
Otros
2%
Tokens
2%
Tarjetas Inteligentes
4%
Otros
20%
Tokens
8%
Contraseas
26%
Contraseas
86% Certificados
52%
78
104
Para saber cuando se est frente a un servidor seguro debe observar los siguientes
comentarios:
105
106
Si hace clic sobre la celda Aceptar (grfica 7) puede observar que la direccin de la
pgina a la que entr tiene una s al final del http79 y en el monitor de su computador
en la parte inferior izquierda de la barra de controles aparecer un candado. Al hacer
clic sobre el candado, Internet Explorer muestra un nuevo cuadro con las propiedades
del certificado digital. Este cuadro (grfica 9) nos muestra por un lado el Campo,
donde aparecen todas las especificaciones de la forma en como se realiz el certificado
(tipo de encriptacin, tipo de hash, intercambio de claves, emisor, fecha de creacin,
fecha de caducidad, etc.) y por otro lado nos da toda la informacin sobre la autoridad
emisora del certificado.
79
El Internet and Hipertext Transport Protocol (http) fue diseado para que los usuarios pudieran intercambiar
informacin, lo cual permite que la informacin sea fcilmente accesible y transportable de un sitio a otro, funcin
indispensable para el xito del Internet, sin embargo, genera puntos de debilidad e inseguridad en la red.
107
ideas, este tipo de seguridad que brindan los sistemas operativos de Microsoft o
Netscape permiten al usuario tener la certeza que est navegando en una pgina
protegida. La implicacin de tipo jurdico es muy importante; a nivel comercial, si se
lleva a cabo algn tipo de contrato va on line entre el comerciante y el usuario, ste es
perfectamente vlido y, generalmente las condiciones del mismo estn contenidas en
la pgina web y deben ser aceptadas por el usuario comprador. Se tiene la plena
certeza que las condiciones acordadas deben cumplirse y, en caso de incumplimiento
podr demandarse el contrato por incumplimiento, lo que evidencia inconvenientes
logsticos, que deben encontrar refugio en acuerdos o tratados internacionales. Por otro
lado, si se generan perjuicios, por ejemplo, por que la pgina aparentemente se
encontraba protegida por un certificado emitido por autoridad competente, pero la
realidad era otra y, se suministraron datos bancarios y personales generndose
perjuicios, se evidencia una responsabilidad civil de carcter extracontractual en cabeza
del sistema operativo Microsoft o Netscape, ya que la seguridad del sistema fue
vulnerada, riesgo que no tiene porqu asumir el usuario. Ahora bien, interponer una
demanda por responsabilidad civil extracontractual contra una sociedad cuyo domicilio
se encuentre por fuera del territorio nacional, evidencia inconvenientes, sin embargo,
existen oficinas de abogados que adelantan este tipo de procesos en el exterior. Sin
embargo, la solucin a estos inconvenientes no est al alcance de un usuario comn y
108
109
Ahora bien, qu debe tenerse en cuenta para realizar una transaccin segura?, al
respecto el Dr. Guillermo Snchez Trujillo afirma que deben verificarse los siguientes
elementos80:
Garantizar, mediante
80
110
Puede afirmarse que la seguridad posee varias armas para contrarrestar los ataques, la
primera que se analiz fue la seguridad tcnica, la segunda arma es la seguridad
jurdica, la cual a su vez tiene dos tpicos: comercial y penal. A
continuacin se
111
Resulta procedente manifestar que los ataques que afectan el comercio electrnico
pueden ser contrarrestados desde dos pticas diferentes: jurdica y tcnica. La primera
tiene dos mbitos, el comercial y el penal, el primero es el que refiere a la Entidades de
Certificacin, Certificados Digitales y Firmas Digitales - Ley 527 de 1999, Decreto 1747
de 2000 y Resolucin 26930 de 2000; el segundo, se precisa de la siguiente manera,
con el propsito de tener una visin global sobre el tema. Puede decirse que el uso
indebido del software, la apropiacin indebida de datos, las interferencias de datos
ajenos, la manipulacin indebida de datos, la introduccin de datos falsos, entre otras,
son conductas que se enmarcan dentro del tipo penal del Delito Informtico. ste
puede definirse de la siguiente manera:
112
Para Rafael Fernndez Calvo el delito informtico es [...] la realizacin de una accin
que reuniendo las caractersticas que delimitan el concepto de delito, se ha llevado a
cabo, utilizando un elemento informtico o telemtico contra los derechos y libertades
de los ciudadanos82.
Nidia Callegari lo define como [...] aquel que se da con la ayuda de la informtica o de
tcnicas anexas83.
Existe una diferencia entre delito computacional y delito informtico, el primero consiste
en la realizacin del tipo punible mediante el uso de medios computacionales, es decir,
la utilizacin de herramientas tcnicas para la comisin del delito; el segundo consiste
en la ejecucin de la conducta tpica que por su particularidad consiste en la afectacin
o indebida utilizacin de medios electrnicos84.
81
Citado por DAZ GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer. 2002. p. 155.
82
83
Ibid., p. 331.
113
84
Ibid., p. 332.
85
114
115
116
Con el consenso unnime del Senado de los Estados unidos el Presidente Bush firm
la Patriot Act - Provide Appropriate Tools Required to Intercept and Obstruct Terrorism
la cual con efectos mundiales marca un hito en la lucha contra la criminalidad
globalizada. Se trata de una legislacin de emergencia, cuidadosamente redactada y
considerada en palabras del Presidente Bush, que entrar en vigor hasta el 31 de
diciembre de 2005. En general, el gobierno de estados Unidos despus de los hechos
ha endurecido totalmente su arsenal normativo con importantes consecuencias para
ese pas y el resto de la humanidad.
Precisa terminar este tema, con la nocin expresada por la Dra. Guerreo de Global
crime.
GUERRERO, Mara Fernanda. Derecho de Internet & Telecomunicaciones. Universidad de los Andes. 2003. P. 74
117
y 75.
87
118
119
se
negar
eficacia
validez
fuerza
120
88
La Comisin de las Naciones Unidas para el Derecho Mercantil Internacional, inspirada en la conviccin de que al
dotarse - al mensaje de datos - de fundamentacin y respaldo jurdico, se estimulara su uso al hacerlos confiables y
seguros, generando expansin del comercio internacional, dadas las enormes ventajas comparativas de su rapidez,
incluy el valor probatorio de estos medios como herramienta en las relaciones de ndole comercial.
89
La Ley Modelo sigue un nuevo criterio, denominado a veces "criterio del equivalente funcional", basado en un
anlisis de los objetivos y funciones del requisito tradicional de la presentacin de un escrito consignado sobre papel
con miras a determinar la manera de satisfacer sus objetivos y funciones con tcnicas del llamado comercio
121
electrnico [...] Gua para la Incorporacin de la Ley Modelo de la CNUDMI para las Firmas Electrnicas (2001) al
derecho interno. Vase: http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf
90
122
[...] Se adopt el criterio flexible de equivalente funcional que tuviera en cuenta los
requisitos de forma, fiabilidad, inalterabilidad y rastreabilidad que son aplicables a la
documentacin consignada sobre papel, ya que los
mensajes de datos
por su
Para lograr este objetivo - mensaje de datos como medio de prueba -, resulta necesario
conocer el significado y caractersticas del documento, as como sus funciones. El
mensaje de datos, debe cumplir, bajo este supuesto, en el mismo sentido - propsito y
funcin - las caractersticas del documento92 fsico.
91
Ibid., p. 13.
92
El documento segn el diccionario de la Real Academia Espaola es entre otras definiciones El escrito en que
constan datos fidedignos o susceptibles de ser empleados como tales para probar algo.
123
I.
II.
III.
Permitir su reproduccin para que cada una de las partes tuviera un ejemplar
del mismo;
IV.
V.
El Artculo 251 del Cdigo de Procedimiento Civil define la nocin de documento en los
siguientes trminos:
Son documentos los escritos impresos, planos, dibujos, cuadros, fotografas, cintas
magneto
grficas,
discos,
grabaciones
magnetofnicas,
radiografas,
talones,
contraseas, cupones, etiquetas, sellos y, en general, todo objeto mueble que tenga
carcter
edificios o similares.
124
[...] a diferencia del testimonio, el documento no es un acto sino una cosa [...]. En el
testimonio, el acto es el propio hecho representativo y, por tanto, la representacin es el
efecto inmediato del mismo, mientras que en el documento el acto no es, en manera
alguna el hecho representativo, sino que crea un objeto capaz de representar [...]. El
documento no solo es un cosa, sino una cosa
representar un hecho.
93
CARNELUTTI, Francisco. La Prueba Civil. Buenos Aires, 1947. p. 40. Citado por
RODRGUEZ, Gustavo
Humberto. Derecho Probatorio Colombiano. Bogot: Ediciones de Cultura latinoamericana Ltda. EDICULCO: 1979. p
125
b) Tanto los documentos pblicos como los privados pueden estar contenidos en
c) El documento pblico puede utilizar la forma grfica u otra diferente, pero cuando
es escrito y autorizado por el respectivo funcionario, se denomina instrumento
pblica. Esta es, pues, una especie del instrumento pblico, y una subespecie
del documento pblico;
224.
94
126
95
FRAMARINO DEI MALATESTA, Incola. Lgica de las pruebas. Bogot: 1964. p. 11. Citado por RODRGUEZ. Ibid.
p. 231.
96Ley
Modelo de la CNUDMI sobre Firmas Electrnicas. Gua para su Incorporacin al Derecho interno 2001.
NACIONES UNIDAS Nueva York, 2002 Publicacin de las Naciones Unidas Nmero de venta: S.02.V.8ISBN 92-1333321-8.
127
consulta, como requisitos que debe cumplir el mensaje de datos para lograr su
cometido.
1. Documento escrito
es
Ley 527 de 1999. Artculo 6. Escrito. Cuando cualquier norma requiera que la informacin conste por escrito, ese
requisito quedar satisfecho con un mensaje de datos, si la informacin que ste contiene es accesible para su
posterior consulta.
Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una
obligacin, como si las normas prevn consecuencias en el caso de que la informacin no conste por escrito.
98
Cdigo de Comercio. Artculo 46: [...] Con fines exclusivamente probatorios, el asegurador est obligado a entregar
en su original, al tomador, dentro de los quince das siguientes a la fecha de su celebracin el documento contentivo
128
1.
2.
3.
Enva sus datos personales de acuerdo con el cuestionario que para tal
efecto disee la aseguradora;
4.
del contrato de seguro, el cul se denomina pliza, el que deber redactarse en castellano y firmarse por el
asegurador [...].
99
100
Cdigo de Comercio. Artculo 1045: Son elementos esenciales del contrato de seguro:
El inters asegurable;
El riesgo asegurable;
La prima o precio del seguro, y
La obligacin condicional de asegurador.
129
130
bien,
el valor probatorio
En este orden de ideas, cualquier mensaje de datos tiene valor probatorio por
consagracin legal, independientemente del tipo de seguridad que lo proteja. La
calificacin y/o valor probatorio de la prueba, por parte del juez, bajo las reglas de la
sana crtica, en lo que refiere a los mensajes de datos, debe centrarse en la idoneidad
del negocio o acto celebrado, lo cual es directamente proporcional a la seguridad
utilizada. Entre mayor seguridad mayor idoneidad, entre mayor idoneidad, mayor valor
probatorio.
Ahora bien, si el contrato est protegido por una firma digital, es incluso, mucho ms
confiable que un documento fsico, ya que est de por medio y como garante del acto o
negocio, una Entidad que responde civilmente por la autenticidad del documento.
131
101
URIBE, ZUBIETA, Hermann. Internet Comercio Electrnico& Telecomunicaciones. Universidad de los Andes.
132
El Dr. Ernesto Garca Rengifo102 cita la doctrina Italiana quienes hacen una
interpretacin funcional y teleolgica del Artculo 2712 del Codice Civile, afirmando que
la forma electrnica debe ser asimilada a la forma escrita y que el artculo 2712 se
aplica al documento electrnico.
Artculo
2712:
Reproducciones
mecnicas:
las
reproducciones
fotogrficas
102
GARCIA, RENGIFO. Op. Cit., p. 24. No se menciona traductor del Codice Civil.
133
2. Autenticidad
103Ley
527 de 1999. Artculo 7. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de la misma, en relacin con un mensaje de datos, se entender satisfecho dicho
requerimiento s:
a) Se ha utilizado un mtodo que permita identificar al iniciador de un mensaje de datos y para indicar que el
contenido cuenta con su aprobacin.
b) Que el mtodo sea tanto confiable como apropiado para el propsito por el cual el mensaje fue generado o
comunicado.
Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una
obligacin, como si las normas simplemente prevn consecuencias en el caso de que no exista una firma.
104
Los documentos escritos deben ir firmados, para indicar su autor. Cuando se puede atribuir un documento a
134
La autenticidad del mensaje de datos, de acuerdo con el artculo sptimo de la Ley 527
de 1999, se da en aquellos casos en donde para la creacin del mensaje de datos se
En el escrito por medio del cual se pretenda tachar un documento, debe expresarse en que consiste la falsedad y
solicitar las pruebas que sustenten tal afirmacin.
Los documento privados tambin pueden adquirir autenticidad en los casos sealados en el Artculo 252 del Cdigo
de Procedimiento Civil:
1)
Cuando es reconocido expresamente ante Juez o ante Notario, o judicialmente se orden tenerlo por
reconocido;
2)
Cuando es reconocido implcitamente (se aporta al proceso y se afirma estar suscrito por la contraparte, y
esta no lo tacha en el trmino legal previsto para ello).
3)
4)
Cuando se trata de libros de comercio debidamente registrados y llevados en legal forma, o de firmas
estampadas en plizas de seguro, ttulos de inversin
comerciales, bonos de stas,
La eficacia de una prueba es su valor, su fuerza. La eficacia es, por lo tanto, la importancia que le da el juzgador
al evaluarla, el resultado de la calificacin. Como la apreciacin probatoria se obtiene mediante el sistema de la sana
crtica, precisa decir, entonces, que aquel valor, fuerza o mrito de la prueba resulta de la aplicacin de la lgica y
de la experiencia; de su anlisis individual, de su cotejo o relaciones con las dems pruebas, de las inferencias
lgicas que haga el juez en relacin con el tema controvertido [...]. Para que la prueba vlida tenga eficacia, debe
tener valor probatorio, mrito probatorio en el proceso de que se trata. La ley suele sealar expresamente los
requisitos para ese mrito que se exigen en cada medio probatorio. Por ejemplo, en la confesin que el confesante
tenga disponibilidad, que no este prohibida o no se exija otro medio [...] La eficacia tiene grados, y el juez los valora
segn como se presenten estos requisitos. RODRGUEZ, Op. Cit., p. 104 - 106.
135
utiliz un mtodo confiable y a su vez dicho mtodo permite identificar al iniciador106 del
mensaje. Un sistema confiable es aquel que satisface los estndares establecidos por
la Superintendencia de Industria y Comercio (Artculo 2 Decreto 1747 de 2000). El
Superintendente de Industria y Comercio, en uso de sus facultades legales, en especial
las conferidas en los artculos 29, 34, 41 y 42 de la Ley 527 de 1999 y los Decretos
2153 de 1992, 2269 de 1993 y 1747 de 2000, expidi la Resolucin 26930, que en su
artculo 20 nos habla de un Sistema Confiable: Para los efectos del artculo 2 del
Decreto 1747 de 2000 un sistema ser confiable cuando cumpla con lo sealado en los
artculos 21, 22 y 23 de la presente Resolucin107.
106
ARTICULO 21. Polticas, planes y procedimientos de seguridad. La entidad debe definir y poner en prctica
despus de autorizada las polticas, planes y procedimientos de seguridad tendientes a garantizar la prestacin
continua de los servicios de certificacin, que deben ser revisados y actualizados peridicamente. Estos deben incluir
al menos:
-
Procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del
funcionamiento de la entidad, segn estudio que se actualizar peridicamente.
Los algoritmos utilizados y la longitud de las claves utilizadas son tales que garanticen la unicidad de las
firmas generadas en los certificados, por el tiempo de vigencia mximo que duren los mensajes de datos
firmados por sus suscriptores.
136
3. Conservacin y consulta
ARTICULO 22. Corta fuegos (Firewall). La entidad de certificacin debe aislar los servidores de la red interna y
externa mediante la instalacin de un corta fuegos o firewall, en el cual deben ser configuradas las polticas de
acceso y alertas pertinentes.
La red del centro de cmputo debe estar ubicada en segmentos de red fsicos independientes de la red interna del
sistema, garantizando que el corta fuegos sea el nico elemento que permita el acceso lgico a los sistemas de
certificacin.
ARTICULO 23. Sistemas de emisin y administracin de certificados. Los sistemas de emisin y administracin de
certificados deben prestar en forma segura y continua el servicio. En todo caso las entidades debern cumplir al
menos con una de las siguientes condiciones:
1.
Cumplir con requerimientos tcnicos que correspondan por lo menos con los
objetivos del nivel de proteccin 2 (Evaluation Assurance Level 2) definido por Common Criteria for Information
Technology Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria Project
Sponsoring Organization en su parte 3 o su equivalente en la norma ISO/IEC 15408, de:
a)
Sistema de registro de auditora de todas las operaciones relativas al funcionamiento y administracin de los
elementos de emisin y administracin de certificados, que permita reconstruir en todo momento cualquier
actividad de la entidad;
b)
c)
d)
Sistema de chequeo de integridad de la informacin sistema, los datos y en particular de sus claves.
137
108
Ley 527 de 1999. Artculo 8. Original. Cuando cualquier norma requiera que la informacin sea presentada y
conservada en su forma original, ese requisito quedar satisfecho con un mensaje de datos, si:
a) Existe alguna garanta confiable de que se ha conservado la integridad de la informacin, a partir del momento en
que se gener por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma;
b) De requerirse que la informacin sea presentada, si dicha informacin puede ser mostrada a la persona que se
deba presentar.
Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una
obligacin, como si las normas simplemente prevn consecuencias en el caso de que la informacin no sea
presentada o conservada en su forma original.
109Ley
527 de 1999. Artculo 12. Conservacin de los mensajes de datos y documentos. Cuando la Ley requiera que
ciertos documentos, registros o informaciones sean conservados, ese requisito quedar satisfecho, siempre que se
cumplan las siguientes condiciones:
1.
138
En aquellos casos en que los mensajes de datos sean creados por intermedio de
entidades de Certificacin, el Artculo 38 de la Ley 527 de 1999 establece que los
registros de certificados deben ser conservados por el trmino exigido en la ley que
regule el acto o negocio jurdico en particular.
Entre los deberes de las Entidades de Certificacin abierta110 pueden rescatarse dos
deberes que refieren el tema del almacenamiento de datos y que garantizan la
inalterabilidad del mensaje de datos. Artculo 13 Decreto 1747 de 2000:
2.
Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o
recibido o en algn formato que permita demostrar que reproduce con exactitud la informacin generada,
enviada o recibida, y
3.
Que se conserve, de haber alguna, toda informacin que permita determinar el origen, el destino del
mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.
No estar sujeta a la obligacin de conservacin, la informacin que tenga por nica finalidad facilitar el envo o
recepcin de los mensajes de datos.
Los libros y papeles del comerciante podrn ser conservados en cualquier medio tcnico que garantice su
reproduccin exacta.
139
140
A diferencia de los documentos en papel, los mensajes de datos deben ser certificados
tcnicamente para que satisfagan los equivalentes funcionales de un documento
tradicional o en papel y, es all en donde las entidades de certificacin juegan un papel
importante112.
111
Decreto 1747 de 2000. Artculo 1 numeral 3. Repositorio: Sistema de informacin utilizado para almacenar y
Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morn Daz. Expediente D-2693.
141
142
113
Artculo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos sern admisibles
como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Captulo VIII del Ttulo XIII,
Seccin Tercera, Libro Segundo del Cdigo de Procedimiento Civil.
En toda actuacin administrativa o judicial, no se negar eficacia, validez o fuerza obligatoria y probatoria a todo tipo
de informacin en forma de un mensaje de datos, por el slo hecho que se trate de un mensaje de datos o en razn
de no haber sido presentado en su forma original.
114
Artculo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoracin de la fuerza probatoria
de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems
criterios reconocidos legalmente para la apreciacin de las pruebas. Por consiguiente habrn de tenerse en cuenta:
la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la
forma en que se haya conservado la integridad de la informacin, la forma en la que se identifique a su iniciador y
cualquier otro factor pertinente.
143
4. Documento Electrnico
Una vez superada la eficacia probatoria de los mensajes de datos puede definirse el
documento115 electrnico.
115
El documento electrnico, segn el Dr. Daniel Pea Valenzuela, no es tangible, a diferencia del documento con
base de papel , sin embargo, es visible y accesible para su posterior consulta. El documento electrnico est
soportado por bases de datos, archivos electrnicos centros de proceso informticos operados electrnicamente
para el almacenamiento y transmisin de los mensajes de datos. PEA, VALENZUELA, Op. Cit., p. 121, 122.
144
116
117
ANGARITA, REMOLINA, Nelson. Internet Comercio Electrnico & Telecomunicaciones. Bogot: Editorial Legis
145
Mara Fernanda Guerrero, citada por el Dr. Angarita define el documento electrnico
como: Cualquier representacin en forma electrnica de hechos jurdicamente
relevantes, susceptibles de ser asimilados en forma humanamente comprensibles.
5. Jurisprudencia
contra los
Artculos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42,
43, 44, 45 de la Ley 527 de 2001, por estimar que violan los artculos 131 152 y 153118
118
Artculo 131: Compete a la ley la reglamentacin del servicio pblico que prestan los notarios y registradores, la
definicin del rgimen laboral para sus empleados y lo relativo a los aportes como tributacin especial de las
notaras, con destino a la administracin de justicia.
El nombramiento de los notarios en propiedad se har mediante concurso.
Corresponde al Gobierno la creacin, supresin y fusin de los crculos de notariado y registro y la determinacin
del nmero de notarios y oficinas de registro.
CAPTULO III (DE LAS LEYES)
146
Artculo 152: Mediante las leyes estatutarias, el Congreso de la Repblica regular las siguientes materias
a)
Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su proteccin;
b)
Administracin de la justicia;
c)
d)
e)
Estados de excepcin.
miembros del Congreso y deber efectuarse dentro de una sola legislatura. Dicho trmite comprender la revisin
previa por parte de la Corte Constitucional, de la exequibilidad del proyecto. Cualquier ciudadano podr intervenir
para defenderla o impugnarla.
147
Con respecto a los Artculos 152 y 153 de la Carta Magna, el actor considera que no se
respet la reserva estatutaria ni el trmite especial contemplado en el Artculo 153. Los
Artculos demandados son: 9, 10, 11, 12, 13, 14, 15 y 28 de la Ley 527 de 1999.
119
de Comercio Exterior, del Ministerio de Justicia, del Ministerio de Comunicaciones, del Ministerio de Desarrollo
Econmico, as como el Presidente Ejecutivo de la Cmara de Comercio de Bogot, y de la Fundacin Foro Alta
Tecnologa. Los puntos expuestos de mayor relevancia son los siguientes:
La Ley 527 de 1999 fue un esfuerzo de los sectores pblico y privado, los Ministros de Justicia y del
Derecho, Transporte, Desarrollo Econmico y Comercio Exterior.
Ni el comercio electrnico ni la actividad de las entidades de certificacin son un servicio pblico domiciliario,
las partes no necesitan ni estn obligadas a solicitar los servicios de una entidad de certificacin. Es un
tema de derecho privado, que requiere control estatal a cargo de la Superintendencia de Industria y
Comercio.
148
La Ley 527 de 1999 provee a los mensajes de datos y al comercio electrnico de la integridad, confiabilidad
y seguridad que este tipo de prcticas requiere, para la eficaz y efectiva interaccin a travs de redes
telemticas, sin haber contacto directo o fsico.
Las firmas digitales, y los certificados digitales buscan dotar de seguridad tcnica y jurdica a los mensajes
de datos y al comercio electrnico.
Las entidades de certificacin no dan fe pblica. Las entidades de certificacin no son notaras electrnicas.
La actividad de certificacin es un servicio de ndole eminentemente tcnico que tiene que ver con la
confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos.
La certificacin busca primordialmente, garantizar la persona del iniciador, dar integridad de contenido,
hacindolo inalterable, garantizar el no repudio.
Ni la Constitucin ni las leyes han establecido que las funciones pblicas o los servicios pblicos slo
puedan ser prestados por entidades o servidores pblicos. De acuerdo con los artculos 2, 210 y 365 de la
Carta Poltica, el Estado, para el debido cumplimiento de sus fines, tiene la facultad de asignar, delegar o
conferir transitoriamente ciertas y precisas responsabilidades pblicas a los particulares.
Las eventuales modificaciones que la Ley 527 de 1999 hizo a algunas disposiciones contenidas en cdigos,
no afectaron la estructura general de la administracin de justicia o los principios sustanciales y procesales
de la materia, por lo cual, mal podra sostenerse que han debido ser objeto de una ley estatutaria, cuando
su materia es propia de la ley ordinaria, por medio de la cual pueden modificarse normas anteriores de
igual o inferior jerarqua, incluyendo los cdigos.
149
negocios jurdicos celebrados, no solamente por los particulares, sino tambin por el
mismo Estado, as como la importancia de regular y reglamentar jurdicamente su
utilizacin [...].
reglamentarios.
4. Admite su almacenamiento e inalterabilidad en el tiempo.
150
151
120
[...] nicamente aquellas disposiciones que de una forma y otra se ocupen de afectar
la
Para la Corte, una ley estatutaria encargada de regular, la administracin de justicia, como lo
dispone el literal b) del artculo 152 superior, debe ocuparse esencialmente sobre la estructura
general de la administracin de justicia y sobre los principios sustanciales y procesales que
deben guiar a los jueces en su funcin de dirimir los diferentes conflictos o asuntos que se
someten a su conocimiento.
121
En palabras de la Corte:
[...] el aceptar los argumentos de la demandante conducira al absurdo extremo de que toda
norma relacionada con cualquier aspecto de la administracin de justicia, tendra que aprobarse
152
Con respecto a la condicin del mensaje de datos, como medio probatorio, la Corte
expres:
De otra parte, la Corte encuentra que el Artculo 4 del Decreto 266 del 2000, expedido
por el Presidente de la Repblica en ejercicio de las facultades extraordinarias
conferidas por el Numeral 5 del Artculo 1122 de la Ley 573 del 7 de febrero del 2000,
bajo los estrictos requisitos de las leyes estatutarias, lo cual entrabara gravemente la funcin
legislativa y hara inane la funcin de expedir cdigos en todos los ramos de la legislacin y la de
reformar las leyes preexistentes que el constituyente tambin atribuye al Congreso, y que este
desarrolla por medio de la ley ordinaria.
La Honorable Corte ha establecido en varias oportunidades que los asuntos sometidos a reserva de la ley estatutaria
debe ser restrictiva a fin de garantizar, entre otras cosas, la integridad de la competencia del legislador ordinario.
122
Ley 573 de 2000. Artculo 1 : Facultades extraordinarias. De conformidad con lo dispuesto en el numeral 10 del
artculo 150 de la Constitucin Poltica, revstase al Presidente de la Repblica de precisas facultades extraordinarias
153
para que, en el trmino de quince (15) das contados a partir de la publicacin de la presente ley, expida normas con
fuerza de ley para:
1.
(Inexequible) Suprimir o reformar las regulaciones, procedimientos y trmites sobre los que vers el Decreto
1122 de 1999, sin incluir ningn tema adicional. El mbito de aplicacin de las normas expedidas en
desarrollo de las presentes facultades cobijar a los organismos pblicos de cualquier nivel, as como
aquellos que teniendo naturaleza privada ejerzan por atribucin legal funciones pblicas de carcter
administrativo, pero slo en relacin con estas ltimas.
(Este numeral fue declarado inexequible, a partir de la fecha de su promulgacin, por parte de la Corte
Constitucional en Sentencia C 1316 de 2000).
123
Constitucin Poltica de Colombia. Artculo 150 numeral 10: Revestir, hasta por seis meses, al Presidente de la
Repblica de precisas facultades extraordinarias, para expedir normas con fuerza de ley cuando la necesidad lo exija
o la conveniencia pblica lo aconseje. Tales facultades debern ser solicitadas expresamente por el Gobierno y su
aprobacin requerir la mayora absoluta de los miembros de una y otra cmara.
El Congreso podr, en todo tiempo y por iniciativa propia, modificar los decretos leyes dictados por el Gobierno en
uso de facultades extraordinarias.
Estas facultades no se podrn conferir para expedir cdigos, leyes estatutarias, orgnicas, ni las previstas en el
numeral 20 del presente artculo, ni para decretar impuestos.
154
Decreto 266 de 2000. Presidencia de la Repblica. Artculo 4. Medios tecnolgicos. Modificase el artculo 26 del
155
125
Corte Constitucional. Sentencia C-831 de Agosto 8 2001. Expediente D-3371. Magistrado Ponente: Dr. lvaro
Tafur Galvis.
126
Artculo 6: Escrito. Cuando cualquier norma requiera que la informacin conste por escrito, ese requisito quedar
satisfecho con un mensaje de datos, si la informacin que ste contiene es accesible para su posterior consulta. Lo
dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una obligacin,
como si las normas prevn consecuencias en el caso de que la informacin no conste por escrito.
127Constitucin
Poltica de Colombia. Artculo 28: Toda persona es libre. Nadie puede ser molestado en su persona o
familia, ni reducido a prisin o arresto, ni detenido, ni su domicilio registrado, sino en virtud de mandamiento escrito
de autoridad judicial competente, con las formalidades legales y por motivo previamente definido en la ley. La
persona detenida preventivamente ser puesta a disposicin del juez competente dentro de las treinta y seis (36)
horas siguientes, para que ste adopte la decisin correspondiente en el trmino que establezca la ley. En ningn
caso podr haber detencin, prisin ni arresto por deudas, ni penas y medidas de seguridad imprescriptibles.
128
Constitucin Poltica de Colombia. Artculo 152: Mediante las leyes estatutarias, el Congreso de la Repblica
Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su proteccin;
156
establecer que cuando cualquier norma exija que la informacin conste por escrito, ese
requisito quedar satisfecho con un mensaje de datos si la informacin es accesible
para su posterior consulta. A su juicio, se entendera que el requisito exigido en el
Artculo 28 de la Constitucin Poltica, relacionado con mandamiento escrito para
proceder a un arresto o allanamiento estara satisfecho con un mensaje de datos en los
trminos del artculo atacado.
El Dr. Pea afirma que la Ley 527 ha debido tramitarse como una ley estatutaria en la
medida que sta regula una parte esencial del Artculo 28 de la Constitucin Poltica,
toda vez que regular procedimientos y recursos para su proteccin, mediante los
requisitos especiales.
b)
Administracin de justicia;
c)
Organizacin y rgimen
funciones electorales;
d)
157
la
Corte
consider
que
las
leyes
estatutarias
sobre
derechos
e)
Estados de excepcin.
Los apoderados del Ministerio de Justicia y de Desarrollo Econmico sostienen que el campo de aplicacin
129
de la Ley 527 de 1999 se restringe al comercio electrnico de bienes y servicios, razn por la cual no existe
conexin temtica con el derecho fundamental a la libertad, ni mucho menos con el mandamiento escrito
para afectarlo. Adems sostienen que la Corte no podra entrar en el examen del cargo sobre supuesta
violacin de la reserva de ley estatutaria en relacin con el Artculo 28 Constitucional pues sobre este
aspecto ya se habra pronunciado la misma corporacin en la Sentencia C-662 de 2000.
-
El vocero del Ministerio de Comunicaciones sostiene que la norma demandada no afecta ningn aspecto
sustancial del procedimiento colombiano con el reconocimiento jurdico de los mensajes de datos.
El Procurador General de la Nacin afirma que el demandante se equivoca al plantear una relacin entre
una norma que regula el valor jurdico y probatorio de los mensajes de datos con una norma constitucional
que regula actuaciones judiciales, como son las contenidas en el artculo 28 superior. En su concepto es
claro que el mandamiento escrito exigido para una captura o allanamiento no puede ser suplido con un
mensaje de datos electrnico.
158
130
BLANCO, Luis Antonio. LATIN TERMINOLOGA JURDICA. Bogot: ISNB: 950-9431-00-3. 1995. p. 149. Necia
159
Las Certificaciones131 en nuestro medio, representan el soporte necesario para generar confianza
y fuerza vinculante en los actos y operaciones que no han cumplido con una formalidad que los
valide, garantizando la infalibilidad de los hechos. Esta concepcin se ha mantenido a lo largo de
su existencia, a tal punto que se deleg la funcin fedataria en cabeza de las Notaras Pblicas,
encargadas de dar fe pblica a travs de certificaciones.
En el comercio electrnico, los Certificados siguen teniendo especial trascendencia, sin que esto
signifique que las Entidades emisoras de los certificados estn otorgando fe pblica, facultad que
no les ha sido delegada por el Legislador. As, surgieron las Entidades de Certificacin como los
entes encargados de soportar y avalar los hechos y actos celebrados por medios telemticos. De
esta suerte, la seguridad en las redes informticas, se encuentra garantizada, a travs de estas
Entidades, sin que, por supuesto, sean el nico medio de seguridad disponible en el mercado. El
objetivo y fin primordial de dichas Entidades es generar confianza a travs de un respaldo
econmico y jurdico. Las Entidades de Certificacin estn reguladas en la Parte III del
CAPTULO II de la Ley 527 de 1999.
1. Concepto
160
La Ley 527 de 1999 en su Artculo Segundo (2) define las Entidades de Certificacin
de la siguiente manera:
Es aquella persona que, autorizada conforme a la presente Ley, est facultada para
emitir certificados en relacin con las firmas digitales de las personas, ofrecer o facilitar
los servicios de registro y estampado cronolgico de la transmisin y recepcin de
mensajes de datos, as como cumplir otras funciones relativas a las comunicaciones
basadas en las firmas digitales.
131
Los organismos de certificacin de conformidad con lo sealado en el Decreto 2269 de 1993 son entidades
imparciales, pblicas o privadas, nacional, extranjera o internacional, que posee la competencia y la confiabilidad
necesarias para administrar un sistema de certificacin, consultando los intereses generales.
161
2. Concepto 0147224:
esencial
la generacin de certificados
162
digitales en relacin con firmas digitales, sin perjuicio, de que adicionalmente puedan
prestar otro tipo de servicios relacionados con el archivo y conservacin de mensajes
de datos.
Los doctores Ramiro Cubillos Velandia y Erick Rincn Cardenas132 definen las
Entidades de Certificacin de la siguiente manera:
Son aquellas personas jurdicas, que una vez autorizadas, estn facultadas para emitir
certificados en relacin con claves criptogrficas de todas las personas; ofrecer o
facilitar los servicios de registro y estampado cronolgico de la transmisin y recepcin
de mensajes de datos, as como cumplir otras funciones relativas a las comunicaciones
basadas en las firmas digitales. La entidad de certificacin expide actos denominados
certificados, los cuales son manifestaciones hechas como resultado de la verificacin
que efecta sobre la autenticidad, veracidad y legitimidad de las claves criptogrficas y
la integridad de un mensaje de datos [...] las entidades de certificacin son las
encargadas entre otras cosas, de facilitar y garantizar las transacciones comerciales por
medios electrnicos o medios diferentes a los estipulados en papel e implican un alto
grado de confiabilidad, lo que las hace importantes y merecedoras de un control ejercido
por un ente pblico, control que redunda en beneficio de la seguridad jurdica del
comercio electrnico.
132
CUBILLOS. VELANDIA, Ramiro y RINCN. CRDENAS, Erick. Introduccin Jurdica al Comercio Electrnica.
163
En conclusin podemos decir que las Entidades de Certificacin son personas jurdicas,
publicas o privadas, nacionales o extranjeras, que autorizadas por la Superintendencia
de Industria y Comercio, emiten certificados digitales en relacin con firmas digitales,
que garantizan la fiabilidad, inalterabilidad y rastreabilidad de un mensaje de datos,
proporcionando seguridad jurdica a travs una infraestructura de clave pblica.
164
como: emitir certificados en relacin con las firmas digitales; ofrecer o facilitar los
servicios de creacin de firmas digitales certificadas; servicios de registro y estampado
cronolgico en la transmisin y recepcin de mensajes de datos; servicios de archivo y
conservacin de mensajes de datos, entre otras.
133
134
BLANCO, Luis Antonio. Op. cit. p. 134. La ley no puede abarcar todos los casos.
165
Esta definicin de los tabeliones ofrece una clara introduccin al tema de las Entidades
de Certificacin. Si bien es cierto que hasta la fecha las certificaciones que emiten las
Entidades, no gozan de fe pblica, en un futuro no muy lejano podrn tener dicha
caracterstica si el legislador les atribuye dicha facultad, que hoy en da, recae
exclusivamente en las Notaras Pblicas. Al respecto, es imperioso entrar a profundizar
las diferentes posiciones con el fin de clarificar las diferentes acepciones.
166
[...] para la tradicin notarial latina, el notario es una persona elegida por el Estado, a
quien se le delega, el ejercicio de la actividad y se le da un valor especial a sus
consideraciones respecto ciertos documentos, puesto que estos quedan investidos de
un carcter especial, el de estar salvaguardados por la fe pblica o fe notarial, con base
en la cual se considera como cierto ante la sociedad el contenido y los signatarios de un
documento presentado ante este, ora por la escritura pblica, ora por una acta
notarial136.
Los doctores Cubillos y Rincn hacen un anlisis del sistema notarial anglosajn137 y el
sistema notarial latino. Para concluir que las Entidades de Certificacin se asemejan
ms a la actividad notarial anglosajona.
136
137
b)
El documento es slo un principio de prueba que necesita la convalidacin judicial y por ende, como obra
de funcionario fedatario, carece de valor especfico en el orden procesal.
167
Son dos los reparos que generan el cuestionamiento de constitucionalidad que plantea
la demandante a saber: que las entidades certificadoras, estaran dando fe pblica en
Colombia, cuando esta funcin est reservada constitucionalmente de manera
exclusiva a los notarios [...]
168
Si bien el legislador goza de una amplia libertad para regular el servicio notarial, no
puede confundirse la competencia que el legislador tiene para reglamentar el servicio
pblico que prestan los notarios y registradores, al tenor de lo conceptuado por el
Artculo 131 Constitucional, con la asignacin a estos de la funcin fedante como una
atribucin constitucional privativa y excluyente.
Seala la Corte que los Artculos 2, 210 y 365 de la Carta Poltica, le otorgan al
legislador la facultad para conferir transitoriamente el ejercicio de funciones pblicas a
los particulares, lo cual, permite concluir que las entidades de certificacin al prestar el
servicio pblico de certificacin, tienen pleno sustento constitucional.
169
[...] an cuando las funciones de las entidades certificadoras de que trata la Ley 527 de
1999 se asociaran con la fe pblica, no por ello seran inconstitucionales, pues, como
ya se dijo, el legislador bien puede atribuirle a dichas entidades, en su condicin de
entes privados, la caracterstica de entes fedatarios, sin que ello comporte violacin del
artculo 131 de la Carta.
[...]
170
cuando
establezca
los
correspondientes
controles
disciplinarios
De acuerdo con las anteriores apreciaciones, puede afirmarse que las Entidades de
Certificacin en la actualidad no otorgan fe pblica, toda vez que el legislador no les ha
atribuido dicha calidad, sin embargo, no por eso, se encuentran impedidas para hacerlo.
De esta suerte, la funcin fedante, que hoy radica en los Notarios Pblicos, no es
excluyente y privativa, toda vez que es jurdicamente viable revestir a las Entidades de
Certificacin con dicha funcin fedante.
138
171
Las Entidades de Certificacin, en virtud del Artculo 29 de la Ley 527 de 1999 pueden
ser personas jurdicas, nacionales o extranjeras, de carcter pblico o privado, con
autonoma administrativa y financiera, prestadoras de un servicio pblico, bajo la
vigilancia y control de la Superintendencia de Industria y Comercio.
El servicio pblico, como gnero139, puede entenderse de la siguiente manera: [...] toda
actividad organizada que tiende a satisfacer necesidades de inters general en forma
regular y continua, de acuerdo con un rgimen jurdico especial, bien que se realice por
el Estado directamente o por personas privadas140.
Ahora bien, la Constitucin Poltica de Colombia en su Artculo 365 establece:
Los servicios pblicos son inherentes a la finalidad social del Estado. Es deber del
Estado asegurar su prestacin eficiente a todos los habitantes del territorio nacional.
Los servicios pblicos estarn sometidos al rgimen jurdico que fije la ley, podrn ser
prestados por el Estado, directa o indirectamente, por comunidades organizadas, o por
particulares. En todo caso, el Estado mantendr la regulacin, el control y la vigilancia
de dichos servicios [...]
139
172
El Artculo 430 Cdigo Sustantivo del Trabajo: define el servicio pblico as:
Como servicio pblico toda actividad organizada que tienda a satisfacer necesidades
de inters general en forma regular y continua, de acuerdo con un rgimen jurdico
especial, bien que se realice por el Estado, directamente o indirectamente, o por
personas privadas.
Ahora bien, es importante distinguir entre servicio pblico domiciliario y servicio pblico
no domiciliario. El primero se encuentra regulado por la Ley 142 de 1994 y se define
como el servicio destinado a cubrir las necesidades bsicas del ser humano
convirtindose en una necesidad de vida141. Esta ley se aplica a los servicios pblicos
de acueducto, alcantarillado, aseo, energa elctrica, distribucin de gas combustible,
telefona fija pblica bsica conmutada y la telefona local mvil en el sector rural; a las
actividades que realicen las personas prestadoras de servicios pblicos, a las
actividades complementarias y a los otros servicios previstos en normas especiales Artculo 1 -.
140
141
Al respecto la Corte Constitucional expres: El contenido filosfico - poltico de la nocin de servicio pblico
trasciende las diversas posiciones ideolgicas abstencionistas, intervencionistas o neoliberales. Dicho contenido
refleja una conquista democrtica que se traduce en una teora del Estado cuyo cometido esencial es el cubrimiento
de las necesidades bsicas insatisfechas de toda la poblacin y el aseguramiento de un mnimo material para la
existencia digna de la persona. Los servicios pblicos son el medio por el cual el estado realiza los fines esenciales
173
Ahora bien, los doctores Velandia y Crdenas, afirman que la naturaleza de las
entidades de certificacin se considera como la prestacin de un servicio pblico142.
Indudablemente, la actividad de certificacin es un servicio pblico, que puede ser
prestado por entidades pblicas o privadas o conjuntamente entre estas. En respaldo
de dicha afirmacin, la Corte Constitucional expres que las Entidades de Certificacin
en desarrollo de sus funciones ejercen un servicio pblico: La naturaleza de la funcin
de las entidades de certificacin se considera como la prestacin de un servicio pblico
[...]143
de servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios derechos y
deberes constitucionales. Sentencia T 540. Sep. 24/92. M.P. Eduardo Cifuentes Muoz.
142
143
174
La actividad certificadora puede ser prestada por diversos personas jurdicas pblicas o
privadas, lo cual es una garanta de la libre competencia, en beneficio del cliente.
144
175
El Artculo 29145 de la Ley 527 de 1999 indica quienes pueden ejercer como Entidades
de Certificacin, expresando la posibilidad de que stas puedan ser pblicas o privadas:
145
Artculo 29. Caractersticas y requerimientos de las entidades de certificacin. Podrn ser entidades de
certificacin, las personas jurdicas, tanto pblicas como privadas, de origen nacional o extranjero y las cmaras de
comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con
los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones:
a) Contar con la capacidad econmica y financiera suficiente para prestar los servicios autorizados como entidad de
certificacin.
b) Contar con la capacidad y elementos tcnicos necesarios para la generacin de firmas digitales, la emisin de
certificados sobre la autenticidad de las mismas y la conservacin de mensajes de datos en los trminos establecidos
en esta ley.
c) Los representantes legales y administradores no podrn ser personas que hayan sido condenadas a pena
privativa de la libertad, excepto por delitos polticos o culposos; o que hayan sido suspendidas en el ejercicio de su
profesin por falta grave contra la tica o hayan sido excluidas de aqulla. Esta inhabilidad estar vigente por el
mismo perodo que la ley penal o administrativa seale para el efecto.
176
[...] Las entidades certificadoras podrn ser entidades pblicas o privadas. En algunos
pases, por razones de orden pblico, se prev que slo las entidades pblicas estn
autorizadas para actuar como entidades certificadoras. En otros pases, se considera
que los servicios de certificacin deben quedar abiertos a la competencia del sector
privado [...].
Decreto Reglamentario 1520 de 1978. Artculo 7. Limitaciones de funciones: Las cmaras de comercio slo
podrn ejercer las funciones sealadas en el Artculo 86 del Cdigo de Comercio y en el artculo 5 de ste decreto.
177
Otra interpretacin al respecto sera la siguiente: La Ley 527 de 1999, otorg a las
Cmaras de Comercio la posibilidad de ejercer la Actividad Certificadora, con lo cual,
de acuerdo con el Numeral 12 del Artculo 86 del Cdigo de Comercio: Las dems que
les atribuyan las leyes y el Gobierno Nacional, se estara dotando con una nueva
funcin a las Cmaras de Comercio y, permitindoles competir contra el sector privado
en este especial ramo. As, el Artculo 86 del Cdigo de Comercio no se estara
derogando sido complementando.
En consecuencia les est prohibido realizar cualquier acto u operacin que no est encaminado al exclusivo
cumplimiento de las mismas, o que constituya competencia comercial con las actividades propias del sector privado.
178
4. Notarios y Cnsules: De acuerdo con la Ley 527 de 1999 los notarios y los
cnsules no estaban previstos como entidades de certificacin. A raz de su
no inclusin, se suscitaron una serie de confusiones que encontraron respuesta
en la Ley 588 de julio 5 de 2000147, que las facult para ser Entidades de
Certificacin, previa autorizacin de la Superintendencia de Industria y Comercio.
Artculo 1:
147
Ley 588 de 2000. Artculo 1. Notariado y competencias adicionales. El Notariado es un servicio pblico que se
de
179
Entidad de Certificacin Cerrada: Entidad que ofrece servicios propios de las entidades
de certificacin slo para el intercambio de mensajes entre la entidad y el suscriptor148,
sin exigir remuneracin por ello.
Sin perjuicio del contenido normativo del Artculo 1 del Decreto 1747 de 2000, la
no - remuneracin deber revaluarse y, sobre la marcha del ejercicio, se advertir la
necesidad de retribucin, que compense no slo la asuncin de responsabilidades, sino
el desgaste administrativo y el tiempo que se invierte en la emisin de certificados despliegue tcnico y humano -.
148
Decreto 1747 de 2000. Artculo 1. Suscriptor: Persona a cuyo nombre ese expide un certificado.
149
Decreto 1747 de 2001. Artculo 1 numeral 8: Entidad que ofrece servicios propios de las entidades de certificacin
slo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneracin por ello.
180
a)
Ser persona jurdica pblicas o privadas, de origen nacional o extranjero, una Cmaras
de Comercio o una Notara;
b) Contar con la capacidad econmica y financiera suficiente para prestar los servicios
autorizados como entidad de certificacin.
150
151
Ley 527 de 1999. Artculo 29: c) Los representantes legales y administradores no podrn ser personas que hayan
sido condenadas a pena privativa de la libertad, excepto por delitos polticos o culposos; o que hayan sido
suspendidas en el ejercicio de su profesin por falta grave contra la tica o hayan sido excluidas de aqulla. Esta
inhabilidad estar vigente por el mismo perodo que la ley penal o administrativa seale para el efecto.
181
4. Frente a la emisin de certificados, se deber indicar expresamente que slo podrn ser
usados entre la entidad emisora y el suscriptor152. Las entidades debern informar al
suscriptor de manera clara y expresa, previa expedicin de los certificados, que stos no
cumplen los requisitos del artculo 15153 del Decreto 1747 de 2000.
152
153
Decreto 1747 de 2000. Artculo 15. Uso del Certificado Digital. Cuando quiera que un suscriptor firme digitalmente
un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darn por satisfechos los
atributos exigidos para una firma digital en el pargrafo del Artculo 28 de la ley 527 de 1999, s:
1. El certificado fue emitido por una entidad de certificacin abierta autorizada para ello por la Superintendencia de
Industria y Comercio.
2. Dicha firma se puede verificar con la clave pblica que se encuentra en el certificado con relacin a firmas
digitales, emitido por la entidad de certificacin.
3. La firma fue emitida dentro del tiempo de validez del certificado, sin que ste haya sido revocado.
4. El mensaje de datos firmado se encuentra dentro de los usos aceptados en la DPC, de acuerdo al tipo de
certificado.
182
a)
El artculo quinto del Decreto 1747 de 2000, establece que quienes pretendan realizar
las
actividades
propias
de
las
entidades
de
certificacin
abiertas
debern
183
154
Cdigo de Comercio. Artculo 469: Son extranjeras las sociedades constituidas conforme a la ley de otro pas y
Protocolizar en una notara del lugar elegido para su domicilio en el pas, copias autnticas del
documento de su fundacin, de sus estatutos, la resolucin o acto que acord su establecimiento
en Colombia y de los que acrediten la existencia de la sociedad y la personera de sus
representantes, y
b)
184
Es importante aclarar que las sociedades extranjeras se encuentran sujetas a la vigilancia del Estado Colombiano en
cabeza de la Superintendencia de Sociedades o de la Superintendencia Bancaria, segn su objeto social, de acuerdo
con lo establecido en el artculo 470 del Cdigo de Comercio. Sin embargo por disposicin del Decreto 2155 de 1992,
el permiso de funcionamiento en cabeza de la Superintendencia de Sociedades fue abolido, quien slo ejercer la
vigilancia de las mismas.
Artculo 48 del C.P.C. Representacin de personas jurdicas extranjeras. Las personas jurdicas de derecho privado
con domicilio en el exterior, que establezcan negocios permanentes en Colombia, debern constituir en el lugar
donde tengan tales negocios, apoderados con capacidad de representarlos judicialmente. Con tal fin se protocolizar
en la notara del respectivo circuito, prueba idnea de al existencia y representacin de dichas personas jurdicas y
del correspondiente poder. Un extracto de los documentos protocolizados se inscribir en el registro de comercio del
lugar, si se tratare de un sociedad, y en los dems casos en el Ministerio de Justicia.
Las personas jurdicas extranjeras que no tengan negocios permanentes en Colombia, estarn representados en los
procesos por el apoderado que constituyan con las formalidades prescritas en este cdigo.
155
156
Artculo 1 numeral 10. Decreto 1747 de 2000. Declaracin de Prcticas de Certificacin (DPC): Manifestacin de
la entidad de certificacin sobre las polticas y procedimientos que aplica para la prestacin de sus servicios.
185
186
El Artculo Sptimo (7) del Decreto 1747 de 2000 establece que el patrimonio mnimo
se establecer con base en lo siguiente:
187
- Para las sucursales de entidades extranjeras, por medio del capital asignado.
157
188
- Contrato de fiducia con patrimonio autnomo que cumpla con ciertas caractersticas158;
a)
Ser expedidos por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible
lo anterior, por una entidad aseguradora del exterior que cuente con la autorizacin previa de la
Superintendencia Bancaria.
b)
Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe
exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores,
representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales
solicita autorizacin o cuenta con autorizacin.
c)
Cubrir los anteriores riesgos por una cuanta asegurada por evento igual o superior al mayor entre:
i.
ii.
d)
e)
Incluir una clusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de
Industria y Comercio la terminacin del contrato o las modificaciones que reduzcan el alcance o monto de la
cobertura.
158
a)
Tener como objeto exclusivo el cubrimiento de las prdidas sufridas por los suscriptores y terceros
de buena fe exentos de culpa, que se deriven de los errores y omisiones o de actos de mala fe de los
administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades
para las cuales solicita o cuenta con autorizacin.
b)
Contar con recursos suficientes para cubrir prdidas por una cuanta por evento igual o superior al
mayor entre:
i.
Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una
reclamacin, por lo menos hasta el monto mnimo exigido en el punto anterior.
d)
189
6. Infraestructura y recursos por lo menos en la forma exigida en el Artculo 9 del Decreto 1747 de
2000159.
e)
Que las inversiones estn representadas en ttulos de renta fija, alta seguridad y liquidez emitidos o
garantizados por la Nacin, el Banco de la Repblica o calificados como de mnimo riesgo por las
sociedades calificadoras de riesgo.
159
De acuerdo con el artculo noveno del Decreto 1747 de 2000, las Entidades de Certificacin debern contar con
Generar las firmas digitales propias y todos los servicios para los que soliciten autorizacin.
2.
3.
Calificar el sistema como confiable de acuerdo con lo sealado en el artculo 2 del Decreto 1747 de 2000.
4.
5.
6.
Garantizar que el manejo de la clave privada de la entidad est sometido a un procedimiento propio de
seguridad que evite el acceso fsico o de otra ndole, a personal no autorizado.
7.
Contar con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de
las operaciones.
8.
Que los sistemas que cumplan las funciones de certificacin slo sean utilizados con ese propsito y por lo
tanto no puedan realizar ninguna otra funcin.
9.
Que todos los sistemas que participen directa o indirectamente en la funcin de certificacin estn
protegidos por sistemas y procedimientos de autenticacin y seguridad de alto nivel de proteccin, que
deben ser actualizados de acuerdo a los avances tecnolgicos para garantizar la correcta prestacin del
servicio.
Ahora bien, de acuerdo con el artculo 10 del Decreto 1747 de 2000, cuando la entidad de certificacin requiera o
utilice
infraestructura o servicios tecnolgicos prestados por un tercero, los contratos debern prever que la
190
8. Un mecanismo de ejecucin inmediata para revocar los certificados digitales expedidos a los
suscriptores, a peticin de estos o cuando se tenga indicios de que ha ocurrido alguno de los
eventos previstos en el Artculo 37 de la Ley 527 de 1999.
terminacin de los mismos est condicionada a que la entidad haya implementado o contratado una infraestructura o
servicio tecnolgico que le permita continuar prestando sus servicios sin ningn perjuicio para los suscriptores.
191
160
Al respecto el Dr. Javier Tamayo Jaramillo expres: La responsabilidad contractual y extracontractual suponen
que exista un comportamiento activo u omisivo del demandado; que el demandante haya sufrido perjuicio; y que
finalmente, haya un nexo de causalidad entre el comportamiento y el dao. TAMAYO JARAMILLO, Op. Cit. p. 41.
192
por
respaldada por una entidad certificadora estn garantizados. La Entidad debe escoger
una de las garantas que menciona el Artculo 8 Decreto 1747 de 2000. Precisamente,
las garantas que menciona el Artculo 8 del Decreto 1747, deben suplir las
necesidades econmicas en caso que haya lugar a indemnizar un perjuicio. De este
modo, no es viable jurdicamente hablando, establecer clusulas que exoneren a la
Entidad Certificadora de responsabilidad por los perjuicios que se deriven del desarrollo
de sus funciones, toda vez que el riesgo - profesional, debe soportarlo el prestador del
servicio.
161
[...] la responsabilidad civil engloba todos estos comportamientos ilcitos que por generar dao a terceros hacen
193
194
7.
Las funciones de las Entidades de Certificacin han sido definidas por el legislador y
jurisprudencialmente. La Corte Constitucional en Sentencia C-662 de 2000, al respecto
manifest:
195
Por su parte el Artculo 13 del Decreto 1741 de 2000 complementa el Artculo 32 en los
siguientes aspectos:
162
Las Autoridades de Registro, son Entidades pblicas o privadas, encargadas de identificar y registrar a los
solicitantes de un certificado digital. Su funcin bsica es informar a las Entidades de Certificacin, sobre la calidad
personal y profesional de las personas naturales o jurdicas que soliciten el servicio de las Entidades de Certificacin,
quienes pretendan obtener un certificado digital. Las Autoridades de Registro, deben funcionar como organismos
adscritos a las entidades de certificacin, actualmente seran como las Superintendencia para los ministerios o los
intermediarios de seguros para las compaas Aseguradoras. Con autonoma patrimonial y administrativa, pero con
196
2.
La Autoridad de Registro analiza la idoneidad del solicitante, lo ingresa a su base de datos y hace la
solicitud a la Entidad de Certificacin;
197
conservar los libros y papeles del comerciante en cualquier medio tcnico que garantice
su reproduccin exacta, sin establecer condiciones adicionales. De este modo, podra
pensarse que los mensajes de datos a que se refiere la Ley 527 de 1999, no deben
cumplir con la exigencia establecida en el Artculo 60163del Cdigo de Comercio, esto
es, ser conservados 10 aos fsicamente -, sin embargo, debern ser conservados en
medios que garanticen su reproduccin.
Las entidades de certificacin, deben conservar el uso exclusivo de las claves privadas,
implementando las seguridades necesarias que garanticen su privacidad.
Superintendencia.
3.
La Entidad de Certificacin emite el Certificado, el cual se ajustar a los parmetros establecidos en la DPC
y de acuerdo con las necesidades del usuario.
163
Artculo 60 Cdigo de Comercio. Conservacin de Libros y Papeles de Comercio. Los libros y papeles a que se
refiere este captulo (Captulo I Ttulo IV) debern ser conservados cuando menos por diez aos, contados desde el
cierre de aquellos o a la fecha del ltimo asiento, documento o comprobante. Transcurrido este lapso, podrn ser
destruidos por el comerciante, siempre que por cualquier medio tcnico adecuado garantice su reproduccin exacta.
Adems, ante la Cmara de Comercio donde fueron registrados los libros se verificar la exactitud de la reproduccin
198
de la copia, y el secretario de la misma firmar acta en el que anotar los libros y papeles que se destruyeron y el
procedimiento utilizado para su reproduccin [...].
164
Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morn Daz.
165
199
Un sistema confiable, es el que se desarrolla dentro de la rbita que brinda una Entidad
de Certificacin, a travs de la expedicin de Certificados Digitales, mediante el uso de
firmas digitales que se cifran con criptografa. La Corte Constitucional as lo entiende y
expres claramente166:
Por otra parte, en el proyecto de ley se hace hincapi como condicin de singular
trascendencia, en la integridad de la informacin para su originalidad y establece
reglas que debern tenerse en cuenta al apreciar esa integridad, en otras palabras que
los mensajes no sean alterados y esta condicin la satisfacen los sistemas de
proteccin
Las Entidades de Certificacin, actuando como entes pblicos o privados, con poderes
de certificar, proporcionan a las relaciones comerciales por va informtica, la seguridad
166
Sentencia C-831 de 2011. Expediente D- 3371. Magistrado Ponente: Dr. lvaro Tafur Galvis.
200
jurdica que requieren para tener validez en el mundo comercial. Las Entidades de
Certificacin, en desarrollo de sus funciones, emiten un Certificado, el cual avala el
mensaje de datos, al dotarlo de la ms alta seguridad.
8. Certificados Digitales
El sistema PKI
proporcionar un tercero neutral frente a las partes (emisor y receptor del mensaje).
167
168
Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morn Daz.
La palabra certificado de acuerdo con el Diccionario de la Lengua Espaola es la carta o paquete que se certifica.
En trminos jurdicos la certificacin implica que dicho documento est avalado por el emisor.
201
CERTIFICADO DIGITAL
Tipo de Certificado
Nmero del Certificado
Algoritmo de la Firma Digital
Perodo de Validez
Nombre del titular
Titular:
Clave Pblica:
Autoridad de Certificacin
Identificador del Titular
Firma Digital de la Autoridad de Certificacin
169
202
Los elementos bsicos de un Certificado de acuerdo con el Dr. Andrs Font170, son los
siguientes:
El Dr. Zubieta171, resalta la importancia de que no todos los mensajes de datos firmados
digitalmente son certificados digitales, para tener la calidad de certificado digital debe
cumplirse con los requisitos mnimos de contenido y seguridad, as como garantizar la
confidencialidad, autenticacin, integridad y no - repudiacin.
170
171
Ibid. p. 74
ZUBIETA, Hermann. Op. cit., p. 66 y 67.
203
8.1 Certicamara
172
Cmaras de Comercio del pas, con el objetivo de prestar los servicios de certificacin digital que se regulan por la
Ley 527 de 1999 y sus Decretos Reglamentarios. Certicmara es una entidad de certificacin abierta, y de carcter
204
Certificados de Representacin;
De pertenencia;
205
173
206
Ahora bien, para acceder a estos servicios de certificacin digital, es necesario estar
inscrito en cualquiera de las Cmaras de Comercio a nivel Nacional174. Lo que supone
que slo se tiene implementado el sistema para la expedicin de certificados a
personas jurdicas. Posteriormente se debe abrir un proceso de solicitud llenando el
174
Con este requisito, Certicmara se cura en salud y suple el paso investigativo de las Autoridades de Registro, ya
que por el slo hecho de estar inscrito, se avala por la misma Cmara la idoneidad del aspirante a obtener el
certificado como comerciante, lo que lo hace un candidato sin tacha para la expedicin de certificados digitales.
207
208
de certificacin
extranjeras, podrn ser reconocidos en los mismos trminos y condiciones exigidos en la ley para la emisin de
certificados por parte de las entidades de certificacin nacionales, siempre y cuando tales certificados sean
reconocidos por una entidad de certificacin autorizada que garantice en la misma forma que lo hace con sus propios
certificados, la regularidad de los detalles del certificado, as como su validez y vigencia.
209
177
CPC
210
178
211
9. Firmas digitales
El concepto de firma179 ha sido entendido como un signo que representa a una persona
natural o jurdica, con la cual se identifica y manifiesta su voluntad en una relacin
jurdica.
Nombre y apellido, o ttulo de una persona, que esta pone con rbrica al pie de un
documento escrito de mano propia o ajena, para darle autenticidad, y para expresar
que se aprueba su contenido, o para obligarse a lo que es l se dice.
La firma digital no se aleja del concepto bsico de firma, pero si es una especie
particular con caractersticas propias.
179
Slo nos referiremos a la firma digital dentro del contexto de las entidades de certificacin. Sobre las diferentes
nociones de firma dentro del contexto de los mensajes de datos vase el libro Introduccin jurdica al comercio
electrnico de los doctores Velandia y Crdenas. Op. cit., p. 215 a 218.
212
la
1. Si la transformacin se cre usando la clave privada que corresponde a la clave pblica del
firmante, y;
2. Si el mensaje ha sido o no modificado desde que se efectu la transformacin.
180
El doctor MAURICIO CARVAJAL CRDOBA, en su artculo Marco jurdico de la firma digital: Hacia donde
vamos? Publicado en mbito Jurdico (Legis S.A) publicacin agosto 21 a septiembre 3 de 2001, hace un recuento
de la normativa sobre firma digital en el mundo, as:
Unin Europea: Directiva 1999/93, por medio de la cual se establece un marco comunitario para la firma
electrnica; pueden mencionarse a dems de esta Directiva las siguientes: Directiva sobre proteccin de
datos (aprobada en octubre de 1998); Directiva sobre Copyright: pretende reforzar los derechos de autor y
213
proteger su obra de las copias digitales; Directivas sobre comercio electrnico: establece el principio de que
los medios electrnicos pueden ser utilizados para celebrar contratos; Directiva sobre Dinero Electrnico:
establece regulaciones supremamente estrictas para los emisores de dinero electrnico con el nico
propsito de enmarcar dentro de la ms alta credibilidad a estas formas de pago; Directiva sobre firma
digital: esta directiva se produce en medio de fuertes enfrentamientos
defendan la postura bajo la cual se debera establecer el sistema de software y hardware para la
elaboracin de la firma digital, y quienes sostenan que deba ser el mercado el que estableciera estos
mecanismos segn las necesidades del mismo.
Estados Unidos: durante los ltimos aos todos los estados excepto Montana han adoptado medidas en
relacin con la firma electrnica. Se han desarrollado tres tipos de nociones en torno a esta: la firma
electrnica bsica, la firma electrnica limitada y la firma digital.
181
214
Artculo 28. Atributos de una firma digital. Cuando una firma digital haya sido fijada en
un mensaje de datos se presume que el suscriptor de aquella tena la intencin de
acreditar ese mensaje de datos y de ser vinculado con el contendido del mismo.
PARAGRAFO: El uso de una firma digital tendr la misma fuerza y efectos que el uso
de una firma manuscrita, si aquella incorpora los siguientes atributos:
215
Nacional.
182
216
217
criptogrficos deba responder a ese criterio. Sin embargo, estos sistemas carecan de
cimientos matemticos suficientes para medir y cuantificar su resistencia a eventuales
ataques. En 1948 y 1949 dos artculos de Claude Shannon, Teora Matemtica de la
218
La solucin completamente revolucionaria que propusieron fue introducir la nocin de funcin de una sola va con
trampa, o trapdoor one-way function (tambin conocida como funcin de un sentido irreversible). Es una funcin que
se calcula fcilmente en un sentido, pero que es computacionalmente imposible de invertir si no se conoce un
secreto llamado trampa, aunque la funcin sea conocida por todos. Entonces la clave pblica es la funcin, mientras
que la trampa, conocida por un nmero restringido de usuarios se denomina clave privada. Para descifrar el mensaje
el receptor invierte la funcin utilizando la trampa. El ejemplo ms perfecto de criptosistema de clave pblica y, sin
lugar a dudas, el ms simple aparece justo dos aos despus, en 1978. Se debe a Rivest, Shamir y Adleman de
donde toma el nombre RSA. Se basa en la dificultad de factorizar dos nmeros enteros. La clave privada est
formada por la tripleta (p,q,d) donde p y q son dos nmeros primos de aproximadamente el mismo tamao, d es un
nmero entero primo con p-1 y con q-1. La clave pblica se compone del par (n,e). Donde n=pq y e es el inverso de d
mdulo (p-1)(q-1), i.e.
ed = 1 mod(p-1)(q-1).
Supongamos que Alvaro desea enviar un mensaje cifrado con la clave pblica de Julian (n,e). Primero transforma el
mensaje en un nmero m inferior a n. Despus calcula:
c = me mod n, y enva el resultado c a Bob. ste, cuya clave pblica es (p,q,d), calcula:
cd mod n = med mod n = m.
En el caso de RSA, la funcin de una sola va con trampa que se considera es la funcin que asocia a un nmero
x<n el valor xe mod n. (Informacin obtenida de la pgina web www.
219
con clave secreta (o clave privada), los nicos conocidos hasta entonces, ya no
satisfacan las nuevas necesidades que aparecan paralelamente a la explosin de
nuevos medios de comunicacin muy impersonales, como por ejemplo, el desarrollo de
las redes de comunicaciones.
Mediante el uso de un equipo fsico especial, los operadores crean un par de cdigos
matemticos, a saber: una clave secreta o privada, conocida nicamente por su autor, y
una clave pblica, conocida como del pblico. La firma digital es el resultado de la
combinacin de un cdigo matemtico creado por el iniciador para garantizar la
singularidad de un mensaje en particular, que separa el mensaje de la firma digital y la
integridad del mismo con la identidad de su autor.
Los componentes bsicos de un sistema criptogrfico son los algoritmos y las claves.
220
Los algoritmos son ecuaciones matemticas que contienen una variable, y que pueden
ser adaptados a cada uso, insertando una secuencia de bits186 segn el uso que se
requiera. La secuencia variable de bits es lo que se conoce como clave.
La firma digital debe cumplir idnticas funciones que una firma manuscrita, consignada
en papel. En tal virtud, se toman en consideracin las siguientes funciones de esta
ltima:
186
Los bits pueden definirse como la unidad mnima de informacin. Toda la informacin que manipula y guarda un
221
firmado manualmente, se suele firmar cada una de sus hojas, sin embargo, esto
no garantiza la alteracin o modificacin del contendido.
Asociar a esa persona con el contenido del documento. La firma digital, como se
mencion, cumple con la garanta jurdica del no repudio, y garantiza adems
que un documento firmado digitalmente no puede ser alterado. Lo que garantiza
por un lado la vinculacin del firmante con el contenido - autenticidad y, por
otro la fiabilidad del documento. En el supuesto caso de que el documento
222
La firma digital se crea a travs del mecanismo de funcin hash. ste es una funcin
criptogrfica que se aplica a un texto y lo reduce a un tamao fijo. El texto reducido es
conocido como message digest. Una vez el texto es reducido se encripta con la clave
pblica en los sistemas asimtricos o con la clave privada en los sistemas simtricos. El
producto final de esta operacin es la firma digital.
Owr67iuydfgibruyw++frfvds+++dfdsl0987fanasliubiuedsbieuwhbewiufhcbiuexnbgre
iruchiunaefxuygewauygdsbiewj7u6ytbcq987eyfq087eyf0q98efucq098eufq98ey982
3r74cbjhdsgbfsduygfcow8uer7nyftco837r983yrc34+`3qr9fcu09pqinpoiepofunq+`f
p++qrfucreoifq``..-dfhuer5/(.
223
Cuando el receptor recibe el mensaje encriptado utiliza su clave privada o pblica para
desencriptarlo, la clave contiene la misma funcin hash con que se encript el mensaje,
y lo convierte en el message digest inicial, el cual debe ser idntico al generado por el
suscriptor, caso en el cual hay plena garanta de que el mensaje no ha sido alterado ni
modificado.
Son nicas;
Cada transaccin que se realice debe utilizar una clave nueva, creada para un
nico mensaje de datos;
Son susceptibles de ser verificadas por la entidad de certificacin que las cre;
224
Para que tengan garanta legal deben ser creadas por entidades autorizadas
para tal fin.
El Dr. Font187 explica claramente los dos tipos de sistemas criptogrficos: simtricos y
asimtricos
a) Sistema simtrico: Existe una sola clave que es utilizada por el remitente y el
receptor. Esta clave es utilizada tanto para encriptar como para desencriptar o descifrar
el mensaje. Este sistema se denomina de clave compartida.
225
226
MENSAJE
MENSAJE
ENCRIPTACIN
ENCRIPTADO
CLAVE PRIVADA
RECEPTOR
MENSAJE
DESENCRIPTACI
ENCRIPTADO
MENSAJE
CLAVE PRIVADA
227
Grfica No. 10. Sistema de Encriptacin Simtrica. Fuente: Andrs Font. Op. cit., p. 54.
b) Sistema asimtrico188: este sistema utiliza dos claves; una pblica la cual es de libre
acceso y puede ser conocida por cualquier persona; y una privada, que es de uso
exclusivo y privativo del usuario. La clave pblica es transmitida a travs de medios
inseguros - del emisor al receptor o de la entidad al receptor - o simplemente est
disponible en la pgina web de la entidad certificadora. Esta transferencia no necesita
de seguridad alguna, ya que la clave puede ser conocida por cualquier persona sin que
se afecte la seguridad del sistema. La clave privada del emisor es entregada
personalmente al emisor de manera que se garantiza la privacidad de la clave privada y
consecuentemente la seguridad del mensaje de datos transmitido. De esta manera el
188
"[...]Claude Shannon en el ao de 1948 con su obra A mathematical Theory of Communication quien ofrece el
soporte cientfico a las bases para una teora de la informacin y posteriormente, por su parte el paso decisivo lo
dieron Whitfield Diffie y Martn Hellman en el ao de 1976 con su libro titulado New direction in Criptography,
quienes establecieron un sistema denominado de Clave Pblica [...]. Citado por Velandia y Rincn. Op. cit., p. 210.
228
MENSAJE
MENSAJE
ENCRIPTACIN
ENCRIPTADO
RECEPTOR
MENSAJE
DESENCRIPTACI
ENCRIPTADO
MENSAJE
CLAVE PRIVADA
DEL RECEPTOR
229
Grfica No. 11. Sistema de Encriptacin Asimtrica. Fuente: Andrs Font. Op. cit., p. 55.
2. Las dos claves; tanto la pblica como la privada se encuentran en poder del
receptor del mensaje;
3. El emisor del mensaje utiliza la clave pblica que le entrega el receptor, para
que encripte el mensaje de datos;
Sin embargo, pese a la indudable seguridad que implica el sistema asimtrico, surge un
inconveniente con respecto a la autenticidad del iniciador del mensaje de datos, toda
230
vez que si bien se garantiza que el mensaje de datos viaja seguro y, que no es alterado
ni modificado, no se tiene la certeza de que quien envi el mensaje sea quien dice ser,
razn por la cual, cabra la opcin del repudio en dicha comunicacin. Las soluciones
que se presentan son dos: la primera, estara relacionada con el tercero de confianza,
es decir, que si el mensaje de datos es avalado no slo por la firma digital sino por una
Entidad de Certificacin, abra total respaldo jurdico y no cabra la opcin de repudio.
La segunda sera utilizar cuatro claves, dos privadas y dos pblicas. Tanto el iniciador
del mensaje como el receptor tienen dos claves: pblica y privada. El iniciador, con su
clave privada encripta el mensaje de datos y con la clave pblica del receptor lo vuelve
a encriptar, una vez recibido, el receptor con la clave pblica del iniciador lo desencripta
y con su clave privada lo vuelve a desencriptar para obtener el mensaje original,
garantizando as la autenticidad y el no repudio.
El sistema de clave pblica o PKI (key public infraestructure) busca generar confianza
en el comercio electrnico en las transacciones electrnicas de todo tipo, comerciales,
legales, oficiales, personales, etc. Las transacciones y comunicaciones de todo tipo,
que utilizan el sistema de encriptacin son hoy en da seguras gracias a este sistema.
231
Esta capacidad de computacin es la que sirve para generar las claves criptogrficas.
Pero tambin es la que se utiliza, ilegalmente, para descifrarlas, utilizando para ello lo
que se conoce como ataques de fuerza bruta (bruce force attacks), que
bsicamente consisten en utilizar esta capacidad para tratar de encontrar, mediante
millones de combinaciones aleatorias, la verdadera.
As, entre mayor nmero de bits en una clave, ms compleja es descifrarla y viceversa.
Los sistemas de encriptacin fuerte son aquellos que utilizan 128 bits o ms. El Artculo
18 de la Resolucin 26930 de Octubre 26 de 2000, por medio del cual se definieron los
estndares, planes y procedimientos de seguridad, estableci que los algoritmos y la
longitud de la clave seleccionados deben ser superiores o iguales a 1024 bits en el
189
232
190
Ibid. p. 59 a 61.
233
La infraestructura de clave pblica, para que tenga pleno respaldo jurdico, debe ser
montada por una Entidad de Certificacin. Es importante aclarar que el sistema de
cifrado con base en la criptografa y las claves secretas, puede ser ejecutado por todo
aquel que tenga la infraestructura computacional para hacerlo, sin embargo, bajo la
rbita de la normatividad nacional e internacional, si bien el mensaje de datos cifrado a
travs de clave pblica por un tercero diferente a una Entidad de Certificacin, tiene
validez probatoria, la autenticidad del mensaje no puede garantizarse, as como
tampoco habr un tercero de confianza que asuma la responsabilidad por los perjuicios
que se llegaren a causar. La Autoridad de Certificacin tiene a su cargo la emisin de
certificados digitales, los cuales contienen una informacin general acerca del mensaje
de datos que se ha encriptado, y respaldan jurdicamente la operacin.
191
Ibid. p. 63.
234
Sistema de validacin.
Time stamping: que sirve para autenticar la fecha y hora en que se realiza una
determinada transaccin o comunicacin.
Emisor
Directorio
Publicacin de certificados
235
Certificado
Solicitud de
Envo del
Certificado
Certificado
Suscriptor
Usuario
Mensaje Encriptado
Grfica 12. Modelo Abierto. Fuente. Andrs Font. Op. cit., p. 88.
Emisor
Envo
236
Certificados
certificado
Solicitud
certificado
Suscriptor
Usuario
Mensaje encriptado
Grfica 13. Modelo Cerrado. Fuente. Andrs Font. Op. cit., p. 89.
237
238
Ahora bien, aunque en la teora las estructuras cuadrangular o triangular de que pueden
valerse las Entidades de Certificacin para desarrollar su objeto social son importantes
tanto a nivel comercial como a nivel de garantas, la verdad es que slo en la medida en
que el mercado lo requiera, debe pensarse en la figura del directorio - Autoridad de
Registro -. En Colombia el volumen de transacciones va Internet es bastante limitado, y
en esa medida la implementacin de figuras estructurales complejas - sistema
cuadrangular -, que requieren una inversin importante en tecnologa e infraestructura,
lo cual no tiene cabida en el mercado Colombiano y en general en el Suramericano.
239
Las tarjetas de pago tienen diversas funciones como lo expresa la Dra. Gmez
Mendoza192:
192
GMEZ MENDOZA, Mara. Consideraciones Generales en torno a la Tarjeta de Crdito. Estudios en Homenaje a
Joaqun Garriges. Madrid: 1971. Tomo II. P. 393. Citado por CARBONEL. Op. cit., p. 169.
240
Para que el comercio electrnico tenga un desarrollo sostenible, deben existir medios
de pago electrnicos que permitan la transferencia de fondos de manera segura, que
garanticen la autenticacin, autorizacin, no - repudiacin, integridad de la informacin
y la privacidad de la misma193.
En la medida que existan medios de pago seguros a precios accesibles y, de
aceptacin internacional, el porvenir del comercio electrnico estar garantizado.
193
Al respecto puede consultarse Colegio de Abogados de Medelln. Derecho del Comercio Electrnico. Medelln:
241
Ahora bien, en la actualidad cuando la Entidad emisora del medio de pago verifica que
los datos suministrados - nmeros y claves -, son los asignados, autoriza la transaccin
eximindose de todo tipo de responsabilidad con fundamento en que de acuerdo con el
Reglamento de Uso del medio de pago, las claves secretas son privadas y de uso
exclusivo del titular, as, cualquier fraude que se ocasione ser asumido por el titular del
producto. Es evidente, entonces, que las Entidades Financieras estn desconociendo
que la falla, en la mayora de los casos, se presenta en su sistema de seguridad y no
por el mal manejo de las claves asignadas al cliente.
En nuestro pas,
las
242
que celebran las entidades dueas de los medios de pago con sus usuarios, donde la
responsabilidad recae en este ltimo, la autorizacin - como uno de los elementos de
ms trascendencia en la transaccin - en todos los casos, proviene del Banco emisor,
lo que compromete la responsabilidad del Banco frente a la autorizacin, es decir, que
si se presenta algn tipo de perjuicio, como consecuencia de la autorizacin emitida por
el Banco, ste no se puede eximir de su responsabilidad y deber responder por su
accin u omisin segn sea el caso.
243
Sobre las tarjetas de crdito se ha hecho popular como lo expresa el Dr. Manuel E.
Cifuentes Muoz194, la historia segn la cual FranK Mcnamara en una noche de 1949,
avergonzado por no tener como pagar la cuenta del restaurante, se le ocurri la idea de
crear una tarjeta parecida a la de los grandes almacenes, para pagar las cuentas de los
restaurantes. De ah surgi Diners Club. De acuerdo con Cifuentes [...] la historia de la
tarjeta de crdito propiamente dicha se inicia en realidad a finales del siglo XIX en el
seno de la industria hotelera [...], posteriormente y segn lo relata Cifuentes la historia
continua con las llamadas cartas de prestigio que emitieron las compaas petroleras
Esso y Texaco hacia 1920, ergo surgen en 1936 las tarjetas de pago para servicios
areos y ferroviarios. Definitivamente el boom de la tarjeta de crdito se inicia con la
aparicin de Diners Club, y subsiguientemente en el ao de 1958 con la creacin de la
tarjeta American Express. Ulteriormente en el ao 1959 el Bank of America lanza al
244
Jos Carlos Carbonel Pintanel195 afirma que las tarjetas de pago - dbito y crdito -,
tuvieron origen en los viajes de placer.
A finales del siglo XIX algunos hoteles crearon, en Estados unidos, las Tarjetas de
buenos clientes cuyas caractersticas ms relevantes eran identificar al cliente y
eximirle de pago inmediato de las prestaciones realizadas. Posteriormente, en la
segunda dcada de este siglo XX, parecieron en Estados Unidos unas tarjetas de
buenos clientes (Shoppers plates) emitidas por comerciantes (grandes almacenes,
hoteles), y tambin unas tarjetas de caractersticas similares, emitidas por empresas
petrolferas
principio, tuvieron gran difusin no resultaron rentables para las compaas petrolferas
que se vieron obligadas a restringir su uso a finales de los aos 30.
194
195
CARBONEL. PINATEL, Jos Carlos. La Proteccin del Consumidor Titular de Tarjetas de Pago en la Comunidad
245
La depresin de los aos treinta, ocasion una parlisis en las tarjetas de pago,
principalmente, por la cartera morosa que se increment a niveles insostenibles. En
1932 con la presidencia de Franklin D. Roosevelt, varias compaas promocionaron sus
ventas y se cre el sistema de tarjeta de crdito Bell, implementado por le American
196
SIMON, Julio A. Tarjetas de Crdito. Buenos Aires: Abedelo Perrot. Captulo II. p. 43. Citado por CARBONEL. Op.
cit., p. 29.
246
En la actualidad, sin duda alguna, las tarjetas de crdito constituyen el medio de pago
ms usual198. Por su parte el Dr. Andrs Font199, quien corrobora esta afirmacin,
explica las razones por las cuales las tarjetas de crdito son el medio de pago ms
utilizado:
197
198
El Dr. Manuel E. Cifuentes Muoz, en su artculo cita algunas estadsticas tomadas del peridico EL TIEMPO,
247
200
LVAREZ LVAREZ, Julio Leonzo. Colegio de Abogados de Medelln. Derecho del Comercio Electrnico.
248
medida en que el comerciante haga un uso indebido de su tarjeta al poseer los datos
bancarios y personales de ste201. Sin embargo, las entidades financieras en Colombia
tienen implementado este sistema, lo cual representa riesgos inminentes.
Por su parte el SET (Secure Electronic Transaction), desarrollado por Visa y Master
Card con el apoyo de GTE, IBM, SAIC, Terisa, Verising, Microsoft y Netscape,
proporciona seguridad entre el emisor de una tarjeta de crdito su titular y los bancos
involucrados en la transaccin. Adems de asegurar la integridad de las
comunicaciones, tiene la ventaja que identifica a las partes contratantes, lo cual evita el
repudio por una de ellas, es decir que a diferencia del SSL involucra a todas las partes
interesadas en el proceso de pago, que son: el banco emisor de la tarjeta, el banco
receptor - banco del comerciante que recibe el dinero -, el usuario comprador dueo de
la tarjeta y el comerciante. A diferencia del SSL el SET se vale de la criptografa para
impedir al comerciante conocer los datos personales y bancarios del comprador
evitando de esta manera el uso fraudulento de stos, generalmente empleados con
fines publicitarios sin la autorizacin del usuario. El sistema de pago SET es por tanto
seguro y garantiza la autenticacin, integridad y confidencialidad de la operacin. Como
201
Al respecto puede verse a RINCN RIOS, Jarvey, BOHADA VILA, Lubn, SUAREZ, Miguel Angel. Transferencia
249
Las tarjetas inteligentes son aquellas que tiene incorporado un microprocesador que
contiene la informacin sobre el titular y su crdito. Las tarjetas inteligentes tiene varias
de nominaciones.
Como lo expresa el Dr. CARBONEL202, las denominaciones pueden ser las siguientes:
La
tarjeta
inteligente
es
denominada
de
diversas
maneras:
tarjeta
con
microprocesador, tarjeta con microchip, tarjeta con memoria, tarjeta a puce, en francs
y smart card en ingls [...].
Los bancos franceses han sido los primeros en adoptar la tarjeta con memoria (ao
1986 en Rennes, Francia) con el fin de aumentar la seguridad en las transacciones
250
electrnicas y abrir la va a nuevos servicios [...]. Otros pases como Noruega, Nueva
Zelanda, estados Unidos y Gran Bretaa, estn siguiendo este camino.
Las tarjetas inteligentes poseen grandes ventajas, entre las cuales la ms sobresaliente
es la seguridad,
a) Smart Card:
Los Smart Cards son una tarjeta de plstico del tamao de una tarjeta de crdito, que
en lugar de utilizar una banda magntica utiliza un microchip con capacidad de
encriptacin y memoria. Para poder hacer uso de la smart card es necesario conocer el
PIN o clave secreta para acceder a ella. La smart card contiene dos claves
criptogrficas; una que es guardada en el ordenador del Banco o de la Entidad de
202
251
y se digita
Un punto a favor de las smart card est relacionado con la seguridad, gracias a su
limitada capacidad de memoria impide posibles ataques de hackers, toda vez que el
sistema rechaza el programa del hacker, que de acuerdo con los estudios de seguridad
son sistemas operativos complejos, al no poder operar en un campo con tan poca
memoria.
b) Software Wallets:
252
mencionarse:
software adicionales, entre otros. Este sistema es tambin conocido como las tarjetas
253
gran inconveniente de las tarjetas de crdito, es que los riesgos y los perjuicios son
asumidos por el establecimiento de comercio o por el usuario comprador, a diferencia
de este sistema, las nuevas formas de pago - smart card o monederos - gracias a su
seguridad de cifrado, garantizan la inalterabilidad de la operacin y los riesgos se
trasladan a un tercero, generalmente una compaa aseguradora. De esta suerte, la
responsabilidad derivada del desarrollo de la actividad - pago con tarjetas inteligentes -,
es ms clara, y las entidades emisoras de este medio de pago no podrn exhonerarse
de responsabilidad, como actualmente lo vienen haciendo las entidades emisoras de
tarjetas de crdito.
El pago a travs de los telfonos celulares203 puede hacerse de varias maneras: con las
smart card, con tarjetas prepago y con tarjetas de crdito. Las tarjetas prepago,
funcionan de manera idntica a como estn operando las tarjetas para llamadas
nacionales, locales, internacionales y llamadas a celular que se encuentran hoy en el
mercado - tarjeta ETB o tarjeta TELEPSA -. Estas tarjetas tienen un PIN o clave secreta
que permite garantizar la validez de la tarjeta en el sistema, as el usuario comprador al
realizar una compra en los establecimientos que cuenten con el software para tal fin,
203
La generalizacin del telfono mvil en estos ltimos cuatro aos ha llevado a algunas empresas telefnicas a
generar soluciones de seguros y rpidos. En Espaa los Bancos BBVA y BSCH y las operadoras TEEFNICA Y
AIRTEL, uniendo esfuerzos estn lanzando al mercado un sistema de pago mvil, con el cual procuran ganar ms
de cinco y medio millones de usuarios, entre comerciantes y clientes. RINCN. BOHADA, SUAREZ. Op. cit., p. 119.
254
Cash204, en los Estados Unidos, quien comercializa las tarjetas prepago entre 10 y 100
dlares.
Otra forma de pago es la billetera virtual. Este sistema creado por Microsoft y Yahoo,
consiste en la compra con tarjeta de crdito, pero a diferencia del tradicional mtodo de
pago, esta forma de pago funciona remitiendo los datos personales y bancarios por una
sola vez, los datos son almacenados y asegurados mediante la criptografa y para llevar
a cabo una compra slo se requiere la identificacin del usuario y hacer clic en el icono
billetera virtual. Este sistema tiene como fin primario evitar la transmisin continua de
204
Vase ms informacin al respecto en TORO, Jos. Colegio de Abogados de Medelln. Derecho del Comercio
Electrnico. Medelln: Ed. Biblioteca Jurdica Dike. 2002. p. 188. http://www.internetcash.com/. Como lo expresa el
Dr. Toro la empresa BEENZ.COM (http//:www.beenz.com) desarroll su propia moneda virtual. Para hacer uso de
este servicio debe ingresarse a la pgina web de la empresa, diligenciar un formulario y una vez verificados los datos
se puede hacer uso del medio de pago. Sin embargo, estas sociedades enfrentan serios problemas de mercadeo y
de pagos de acreencias financieras, razn por la cual, varias de ellas, incluso BEENZ.COM, han tenido que cerrar
sus negocios y replantear sus estrategias de mercadeo.
255
El dinero electrnico busca las mismas ventajas que el dinero fsico, con mayores
comodidades, como lo expone el Dr. Martnez Nedal205:
[...] se intenta ofrecer las mismas ventajas que con el dinero fsico, que son
bsicamente las siguientes: a) Aceptacin universal como medio de pago. b) Pago
garantizado que no depende de la existencia
ni la
205
256
obligaciones de las partes y tener muy claro hasta donde llega la responsabilidad de
estos proveedores.
Ahora bien, resulta necesario que los usuarios conozcan sus derechos y obligaciones,
frente a los medios de pago, toda vez que, frecuentemente, el emisor no le proporciona
la informacin suficiente al cliente, generndose una publicidad engaosa. De esta
suerte, la Superintendencia Bancaria mediante Circular Externa 002 de 2004 manifest
la obligatoriedad de brindar una informacin veraz, a los clientes con relacin a las
tarjetas de crdito y dbito, en los siguientes trminos:
257
Las entidades que expidan tarjetas dbito o crdito deben disear y aplicar
mecanismos adecuados y permanentes de divulgacin, que permita a sus tarjeta
habientes conocer el funcionamiento de las mismas.
258
206
259
CONCLUSIONES
John Naisbitt
260
El Dr. Ernesto Garca Rengifo208 consciente de este cambio comercial de finales del
siglo XX, manifest:
207
El empirismo es la teora del conocimiento segn la cual el saber procede de la experiencia, y las ideas, de los
sentidos.
208
261
262
diversos riesgos que debe afrontar una empresa, sin embargo, el ndice de
ataques viene en ascenso, con lo cual, la seguridad gana terreno en el campo de
la planeacin estratgica. La decisin de invertir en seguridad implica un costo
alto. Si la empresa que invirti en seguridad no experimenta una violacin grave
de su sistema de red, la inversin no habr producido ningn retorno y las
utilidades de la empresa sern menores que las de la competencia, por este
motivo buscar un equilibrio financiero entre riesgos de seguridad informtica y
rentabilidad no es tarea fcil. Ahora bien, como elemento de juicio para los
empresarios que tomen este tipo de decisiones, debe tenerse en cuenta que la
inversin en prevencin, cualquiera que sea el ramo de seguridad, reduce el
costo de reparacin. En este orden de ideas, la inversin en prevencin puede
incluso orientarse hacia plizas de seguro, sin embargo, la conciencia del gasto
injustificado, para algunos, mantendr expuesta a la empresa frente a
innumerables riesgos.
1.
su valor y servicio;
263
2.
3.
264
Las anteriores medidas son necesarias para tener un entorno seguro. Ahora bien, las
empresas no pueden ni tienen los medios para reaccionar con una campaa agresiva a
cada ataque que se presente, razn por la cual, deben identificar los riesgos ms
probables y los riesgos ms significativos y, asignar as, los recursos correspondientes
a fin de evitarlos y/o contrarrestarlos, para tal fin las empresas deben contar con
personal idneo que permanezca actualizado.
Otro aspecto relevante del comercio electrnico es el respaldo jurdico con el que
dot la Ley 527 de 1999 a los mensajes de datos. La capacidad probatoria
equivalente al documento escrito, es la principal garanta para los usuarios de la
red. Ahora bien, en este punto es de trascendental importancia la tarea de jueces
y magistrados en cuanto a la interpretacin y valoracin de la prueba informtica,
por esta razn y teniendo en cuenta los pocos casos que se han presentado en
nuestros estrados judiciales, se hace necesario que la rama judicial capacite en
estos aspectos a los intrpretes de la norma, quienes deben ser muy
disciplinados para obtener as, fallos justos en derecho, acordes y consecuentes
con los nuevos medios de prueba, donde la sana crtica del juzgador, para la
209
Asegurar el permetro es la primera medida que toman las autoridades cuando hay un riesgo inminente. Para el
265
valoracin
de
la
fuerza
probatoria,
est
acompaada
del
elemento
calidad de vida, tanto el sector privado como el sector pblico. Los beneficios, en
uno y otro sector son diversos. En cuanto a la relacin entre particulares se
266
210
Artculo 4. Medios tecnolgicos. Modificase el Artculo 26 del decreto 2150 de 1995, el cual quedar as:
267
Uno
de
los
grandes
inconvenientes
que
han
tenido
los
servicios
268
269
Sin perjuicio de lo anterior, puede afirmarse que las Entidades de Certificacin y las
Notarias tienen aspectos en comn:
270
normas y por las clusulas que las partes hayan acordado, as mismo, se
aplicarn las normas sobre comercio electrnico y los acuerdos internacionales
que se hayan celebrado con anterioridad a la celebracin del contrato.
Una de las grandes expectativas del comercio electrnico era acabar con la
figura del intermediario, sin embargo, la inseguridad requiere de alguien que la
provea - Entidades de Certificacin -, sin embargo la figura de la Entidad difiere
de la finalidad del intermediario comercial.
ampliando el concepto de
271
Finalmente, puede afirmarse que es posible realizar comercio electrnico seguro gracias a
las diferentes herramientas de seguridad que ofrece el mercado. El desarrollo deber estar
orientado a la cobertura y a la reduccin de costos.
272
BIBLIOGRAFA
DOCTRINA
ANGARITA,
Remolina
Nelson.
Internet
Comercio
Electrnico
&
CARNELUTTI,
Francisco.
273
GARCA
RENGIFO,
Ernesto.
MICHELSEN,
Jaramillo,
Sergio.
Internet
Comercio
Electrnico
&
OLIVER. CUELLO, Rafael. Tributacin del Comercio Electrnico. Espaa Valencia. Tirant Lo Blanch. 1999.
RODGUEZ.
TURRIAGO,
Omar.
Internet
Comercio
Electrnico
&
Seal
Editora. 2001.
274
Electrnico
&
Ed.
URIBE,
ZUBIETA,
Hermann.
Internet
Comercio
Temis. 1997.
JURISPRUDENCIA
Corte Constitucional
Sentencia C- 037 de febrero 5 de 1996.
Magistrado Ponente: Dr. Vladimiro Naranjo Mesa.
Corte Constitucional
Sentencia C-741 de 1998
Magistrado Ponente: Dr. Alejandro Martnez Caballero
Corte Constitucional
Sentencia C- 662 de junio 8 de 2000.
Expediente: D-2693
Magistrado Ponente: Dr. Fabio Morn Daz.
Corte Constitucional
275
Corte Constitucional
Sentencia C-831 de Agosto 8 2001.
Expediente D-3371.
Magistrado Ponente: Dr. lvaro Tafur Galvis.
INTERNET
http://www.aui.es/estadi/internacional/internacional.htm
http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-redesCOMO-2.html
info@ute.edu.ec
malito:info@ute.edu.ec
http://es.mmxieurope.com/home.jps
www.firmasdigitales.com
www.onet.es
www.certicamara.com.co
276
www.crt.gov.co
http://iblnews.com/news/noticia.php3?id=99098
http://www.arkhaios.com/ecommerce/guia.htm
http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf
www.setsi.mcyt.es
LEGISLACIN
-
277
Resolucin 26930.
Cdigo de Comercio.
Concepto 01018465
Concepto 0147224
278
I.
El Tiempo.
mbito Jurdico.
La Repblica.
REVISTAS Y PERODICOS
II.
OTROS
279