La firma digital y la seguridad del negocio jurdico en Internet

Francisco Javier Alvarado Icaza*

Se entiende por seguro, aquello que est libre o exento de riesgo, algo que da confianza. Para sustentar que la firma digital es el medio seguro en que se desarrollarn los negocios jurdicos en Internet y las transacciones electrnicas con valor jurdico en general; hay que dar respuesta a la pregunta: realmente las firmas digitales protegen los documentos electrnicos? Podemos afirmar, en un sentido amplio, que la base del negocio jurdico electrnico es la actividad de compra y venta de productos o servicios a travs de medios tales como Internet, redes de com putadoras o de cualquier otro dispositivo electrnico de comunicacin. De ah la importancia de contar con una prueba documental del negocio electrnico. El soporte informtico que registra las palabras o signos que declaran la manifestacin de la voluntad, debe ser capaz de generar un do cumento con las caractersticas requeridas jurdicamente para ser aceptadas como prueba. En el Per, a partir de la promulgacin de la Ley 27291 que modific el Cdigo Civil, se regl jur dicamente la manifestacin de voluntad, la contratacin y la generacin y comunicacin de firmas mediante medios electrnicos. Por su naturaleza, los documentos electrnicos solo pueden ser vistos e interpretados luego de aplicar, mediante el uso de un equipo informtico, un proceso que convierte las expresiones regis tradas en el cdigo binario del soporte a sus equivalentes en lenguaje natural. Ese hecho lleva a que la operacin de conversin, que hace posible ver el contenido expresado en el documento electrnico, est sometido a ciertas garantas que aseguren su originalidad. sta es la principal objecin que se puede oponer al valor y efecto legal de los documentos electrnicos; sin embargo, es muy sencillo garantizar por medios tecnolgicos la reproduccin exacta del contenido original y hacer confiable al documento electrnico. Para establecer en qu consiste la seguridad de la firma digital, hay que responder a las pregun tas siguientes: cules son los riesgos en el comercio electrnico? y cules son las garantas que protegen de esos riesgos? Esos riesgos son: Suplantacin de la identidad del signatario. Falsedad del documento. Repudio o rechazo del envo o recepcin del documento. Publicidad no deseada.

En consecuencia, si bien la firma digital es una solucin tecnolgica que provee mecanismos de seguridad que garantizan de manera suficiente la autenticidad e integridad de la documentacin electrnica ante los riesgos expuestos; para otorgar validez y eficacia jurdica debe ser utilizada en un sistema creado por el reglamento de la Ley 27269, la denominada Infraestructura Oficial de Firma Electrnica - IOFE. Segn la norma referida, aquella est constituida por el conjunto de firmas digitales, certificados digitales y documentos electrnicos generados bajo ese sistema; adems de las entidades Presta doras de Servicios de Certificacin Digital, sus polticas y declaraciones de prcticas; el software, el hardware y los dems componentes adecuados para las prcticas de certificacin y las condi ciones de seguridad y el sistema de gestin establecido por el INDECOPI como Autoridad Admi nistrativa Competente de la Infraestructura Oficial de Firma Electrnica. Para cada uno de los riesgos expuestos, la IOFE otorga las garantas siguientes:

Garanta de autenticidad
La utilizacin de la firma por el signatario debe ser con la intencin precisa de autenticar un documento electrnico y vincularse con su contenido, cumpliendo de esa manera con las

Abogado, Fedatario Juramentado con especializacin en Informtica. www.alvaradoicaza.com

funciones caractersticas de su firma manuscrita. La firma digital, tambin llamada por la doctrina jurdica firma electrnica avanzada, utiliza la tcnica de criptografa asimtrica para identificar indubitablemente al signatario, siempre que ste mantenga un elemento de la propia firma bajo su exclusivo control; de esa manera se vincula con los datos e informa cin contenidos en los documentos electrnicos firmados. La criptografa asimtrica, o criptogrfica de clave pblica, tiene por base el concepto del par de claves nico, en el que uno de los elementos del par (la clave privada, conocida exclusivamente por el suscriptor) puede cifrar datos que solo el otro componente del par (la clave pblica, disponible para los usurarios de la Internet) puede descifrar. Ambas estn asociadas matemticamente entre s, de tal forma que el conocer la clave pblica no per mita derivar la clave privada. La tcnica de criptografa de clave pblica, como parte del concepto de firma digital, se complementa con el Certificado Digital; documento electrnico que es el origen de la fir ma. El certificado digital es el documento electrnico generado y firmado digitalmente por una Entidad de Certificacin, la cual vincula un par de claves con una persona determina da confirmando su identidad. 1 El Certificado Digital almacena, en una red de informacin, los datos del signatario (nom bre, documento de identidad, clave, direccin oficial de correo electrnico, etc.) cumpliendo con la correcta identificacin, garantizando la integridad y confidencialidad de dicha infor macin y asegurando la aceptacin de los actos jurdicos que la firma digital acredite. El Certificado Digital constituye una identificacin digital y puede ser utilizado para diver sos propsitos, por ejemplo: la firma o cifrado de documentos electrnicos, la autenticacin de software y sitios en la Web, el acceso a redes locales, intranets o a aplicaciones infor mticas, el envo de mensajes con carcter confidencial. Esta identificacin se funda en entidades que desempean el rol de tercera parte de confianza, encargadas de verificar y dar fe de la identidad del titular del certificado digital. La norma denomina a estas entida des: Prestadores de Servicios de Certificacin Digital, cuyo fin es verificar la identifica cin y datos relevantes del signatario. Como sujeto fiable, acredita el vinculo entre una cla ve y el usuario o propietario de la misma, y garantiza la veracidad de la informacin puesta en el Certificado Digital; as se logra la confianza en la infraestructura de las claves pbli cas (PKI por sus siglas en ingls) que protege del riesgo de implantacin de identidad.

Garanta de integridad
El procedimiento de firma digital aplica un algoritmo al documento electrnico suscrito, me diante el cual se obtiene un extracto de la longitud del mismo; ese resultado, debidamente cifrado con la clave privada del signatario, se adjunta al documento con el fin de permitir verificar la integridad del mismo. La verificacin se realiza con la clave pblica del signata rio, proporcionada, en lnea, por el Prestador de Servicios de Certificacin Digital; mediante la clave pblica se reconoce la validez de la firma y se descifra el extracto adjunto, el que, al ser comparado con el resultado obtenido de la iteracin del algoritmo que le gener; si coincide, determina la integridad del documento; de lo contrario, hace evidente su adultera cin. As, el mecanismo de la firma digital descrito protege del riesgo de falsedad del docu mento electrnico.

Garanta de aceptacin incondicional

La aceptacin incondicional se deriva de la aplicacin de tecnologa denominada servicios de norepudio, constituye una garanta desarrollada, en el derecho anglosajn, a conse cuencia del avance tecnolgico y se define por su funcin: es la capacidad de probar a una

Artculo 6 Ley 27269 2

tercera parte que una determinada comunicacin ha sido originada, admitida y enviada a una determinada persona. A pesar que no se garantiza la aceptacin incondicional sin la aplicacin de las garantas de autenticacin e integridad antes expuestas, sta consiste en algo ms que aqullas dos; si la autenticidad prueba quin es el autor de un documento y cual es su destinatario, la aceptacin incondicional prueba adems, frente a una tercera parte que no participa en la comunicacin, cundo sta se produce, que el autor envi la comunicacin y que el desti natario la recibi. Es decir, y esto es esencial, el propsito principal no es el de proteger a los sujetos del negocio ante ataques externos, sino ante los riesgos que ellos mismos pue den originar. La garanta de aceptacin incondicional est dirigida a resolver desacuerdos en torno a si un determinado evento ocurri o no, cundo tuvo lugar, qu entidades intervinieron en l y qu informacin estuvo asociada. Son los Prestadores de Servicios de Certificacin Digital, especficamente aquellos que ac tan bajo la modalidad definida por el reglamento de la Ley como Prestadores de Servicios de Valor Aadido, los que cumplen las funciones de participar como intermediarios en la transmisin o envo de documentos electrnicos firmados digitalmente, aplicando me dios que garanticen la integridad y norepudio de los datos de origen y recepcin.

Garanta de confidencialidad
La garanta de la confidencialidad asegura que la informacin est disponible slo para los sujetos autorizados a conocerla o, en un sentido amplio, a las personas, entidades o pro gramas informticos que tengan derecho a ello. La confidencialidad incluye, adems de los datos, el flujo de su transmisin con el fin de proteger tambin contra el riesgo de un anli sis de trfico ilegal. La firma digital por si sola no garantiza la confidencialidad de la transmisin ya que el men saje puede ser interceptado y ledo por un tercero inescrupuloso; es nuevamente la cripto grafa asimtrica en la cual se basa, la que se usa para cifrar el documento. Luego de la fir ma digital de un documento, ste se puede ser cifrado con la clave publica de su destinata rio; significa que los caracteres de la informacin a transmitir (contenido del documento, fir ma digital y certificado de clave pblica del signatario) se mezclan con los de la clave pbli ca del destinatario, obteniendo una combinacin de caracteres ininteligibles. As, solo el destinatario, mediante la aplicacin de su clave privada, que corresponde a la clave pblica con la que se ha cifrado el mensaje, puede descifrarlos. Resumiendo, para el envo confidencial de informacin el signatario firma el mensaje utili zando su clave privada y cifra su contenido con la clave pblica del destinatario; a su vez, el destinatario recibe el mensaje y descifra su contenido utilizando su clave privada y com prueba la autora del remitente empleando la clave pblica de aqul. La firma digital que garantiza autenticidad, integridad, aceptacin incondicional y confiden cialidad de documentos electrnicos tiene en el Per la misma validez y eficacia jurdica que una firma manuscrita, siempre y cuando haya sido generada por un Prestador de Ser vicios de Certificacin Digital debidamente acreditado dentro de la Infraestructura Oficial de Firma Electrnica.

Sujetos de la Infraestructura Oficial de Firma Electrnica

Los sujetos que participan en el sostenimiento de la IOFE son, en primer lugar, el Titular del Certificado Digital quien es la persona natural o jurdica a quien se le atribuye ste de manera exclusiva; en segundo lugar, el Suscriptor de la Firma Digital quien es la persona natural responsable de la generacin y uso de la clave privada. En el caso que el titular del certifi cado digital sea una persona natural, sobre sta re cae la responsabilidad de suscriptor; en el caso que el titular sea una persona jurdica la responsabilidad del suscriptor recae sobre el representante legal de la misma. Si el certificado es usado por un agente auto matizado, la titularidad del certificado y la responsabi lidad del suscriptor corresponden a la persona jurdi ca. Por ltimo, los Prestadores de Servicios de Certificacin Digital quienes actan segn las modalida des siguientes: Entidad de Certificacin; cumple la funcin de emitir o cancelar Certificados Digitales as como la de brindar servicios inherentes al Certificado o aquellos que den seguridad al sistema de certifica dos en particular o al comercio electrnico en ge neral; contar con un Registro que sirva para cons tatar la clave pblica de cada Certificado. El Re gistro incluye una seccin referida a los Certifica dos Digitales emitidos y la constancia de circuns tancias que afecten la vigencia o cancelacin de los mismos, as como su fecha y hora de inicio y fin. Al Registro se accede por medios telemticos permanentemente y su contenido est a disposi cin de quien lo solicite. Entidad de Registro o Verificacin; cumple la funcin de comprobar la informacin de quien so licite un Certificado Digital, anotar los datos de identificacin y autenticacin del suscriptor de la firma digital y aceptar y autorizar solicitudes de emisin o cancelacin de Certificados Digitales. Prestador de Servicios de Valor Aadido; cum ple funciones de participacin en la transmisin o envo de documentos electrnicos con firma digi tal, certificando la fecha y hora cierta (Sellado de Tiempo), el almacenamiento aplicando medios que garanticen la integridad de tales documentos y el no repudio de los datos de origen y recepcin (Sistema de Intermediacin Digital); o generar certificados de autenticacin para el control de ac ceso a domicilios electrnicos que correspondan a servicios vinculados a la notificacin electrnica.

Responsabilidad frente a los riesgos

Es responsabilidad del Titular del Certifi cado Digital o del Suscriptor de la firma di gital entregar informacin actual, veraz y exacta. Es responsabilidad del Suscriptor mante ner el control y la reserva de la clave pri vada; sin embargo, el titular, el suscriptor o su representante se obligan a solicitar la cancelacin del certificado cuando la cla ve privada haya sido puesta en peligro o sea usada indebidamente, cuando se ha yan revocado las facultades de represen tacin o los poderes de sus representan tes legales o apoderados o cuando la in formacin contenida en el certificado ya no sea veraz. Los Prestadores de Servicios de Certifica cin Digital responden civilmente por los daos y perjuicios2 que pudieran causar cuando acten con negligencia e incum plan con sus obligaciones. Son responsa bles no slo frente al titular del Certificado sino tambin frente a los terceros que re sulten perjudicados por sus actos u omi siones. Se trata de una responsabilidad subjetiva contractual y extra contractual. El INDECOPI determina los criterios para evaluar el cumplimiento de las garantas otorgadas por los Prestadores de Servi cios de Certificacin a fin de responder ante los riesgos; as mismo, asume la res ponsabilidad de decidir el cese de opera ciones de los Prestadores de Servicios de Certificacin Digital.3

2 3

Artculo 73 del Reglamento Certificacin cruzada Artculos 28, 32, 39 del Reglamento 4