Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad Transacciones Electronicas
Seguridad Transacciones Electronicas
TESIS DE GRADO
DIRECTORA
DRA. MARIA CONSUELO VELASQUEZ VELA
PRESENTADO POR
MARIA JULIANA CASTAÑEDA AYALA
MONICA MORALES QUIROGA
1
TABLA DE CONTENIDO
Página
Introducción 3
Capitulo I: Marco Histórico 11
Capitulo II: Marco Conceptual 34
Capitulo III: Encriptación de Documentos 47
Capitulo IV: Firma Digital 62
Capitulo V: Autoridades de Certificación 74
Capitulo VI: Medios de pago Electrónicos 95
Capitulo VII: Estándares Internacionales 125
Capitulo VIII: Legislación Vigente 137
Capitulo IX: Problemática y Desafíos 155
Capitulo X: Delitos electrónicos 167
Conclusiones 193
Bibliografía 196
2
INTRODUCCIÓN
Internet se presenta como una puerta abierta al mundo que trae una inmensa
gama de oportunidades para toda la humanidad, sobrepasando barreras físicas y
geográficas, con redes abiertas de alcance mundial que no conocen fronteras ni
sistemas jurídicos que regulen las relaciones entre las distintas partes
involucradas en el mundo actual que se constituye como la aldea global.
Sin embargo, ¿existe conciencia de los peligros que acechan el tráfico de
información en la Red? Y cuando ésta es confidencial, ¿se encuentra a salvo de
oscuras miradas y de eventuales manipulaciones? Uno de los mayores
problemas que afecta a Internet es la carencia de un marco regulatorio adecuado,
homogéneo y universal que comprenda todas las dificultades que el tráfico
comercial genera entre los distintos países, pues tal vez el mayor obstáculo para
la expansión de las diversas operaciones electrónicas es la sensación de
inseguridad que experimentan los consumidores, empresarios y usuarios a la
hora de transmitir datos confidenciales, tales como números de sus cuentas
bancarias o tarjetas de crédito.
Dado lo anterior, los organismos de regulación, han planteado una serie de
soluciones para evitar los posibles ataques y operaciones ilegales a los que
pueden estar sometidas las redes, consistentes en dotar a las mismas de una
serie de servicios de seguridad, que utilizan en su mayoría técnicas criptográficas
como herramienta básica para las diversas transacciones u operaciones, de
forma tal que puedan obtenerse los mismos resultados que en el mundo real, lo
cual, permitirá realizar en la World Wide Web, cualquier operación o transacción
económica con la seguridad deseada.
Estos sistemas de seguridad evolucionan día a día y adquieren fuerza con el
transcurso del tiempo, la rapidez del comercio y los avances tecnológicos. Sin
embargo, problemas como los altos costos que implican, y su regulación a nivel
nacional hacen que aun hoy no sean perfectos y por el contrario falte mucho para
que lleguen a este estado.
3
En el ámbito de la técnica y la informática son sistemas casi perfectos pues se
acompasan totalmente con la tecnología y responden a las necesidades
inmediatas y futuras del comercio y el mercado. El problema está en su costo,
especialmente cuando se trata de transacciones pequeñas, y finalmente en su
regulación. No hay que olvidar, empero, que cualquier avance informático en esta
materia no debe entenderse al margen de las disposiciones legales vigentes; “lo
que es técnicamente seguro no tiene por qué ser jurídicamente seguro, ni lo
jurídicamente válido tiene siempre que estar ligado a técnicas de seguridad
infalibles”1.
En los últimos años y como se detallará mas adelante, tanto países desarrollados
como en vía de desarrollo han expedido normas sobre Internet, comercio
electrónico y seguridad en las transacciones. Sin embargo, el problema que se
enfrenta no es la falta de leyes sino su ámbito de aplicación. ¿De qué sirve que
cada Nación tenga su propia normatividad sobre Internet, si su esencia es
opuesta al concepto mismo de frontera? ¿Qué ley es la aplicable cuando Internet
se encuentra por encima de las simples y ya obsoletas fronteras físicas?
CONCEPTOS BÁSICOS:
ENCRIPTACION
Una de las formas de conseguir que los datos transferidos solamente puedan ser
interpretados correctamente por el emisor del mismo y por el receptor al que va
dirigido, de forma tal que el mensaje viaje seguro desde la fuente al destino,
siendo imposible la interceptación por terceros del mensaje, o que si se produce
ésta, el mensaje capturado sea incomprensible para quien tenga acceso al
mismo, es la criptología (Kriptos= ocultar, Graphos= escritura), que con el tiempo
ha demostrado ser una de las mejores técnicas, hasta el punto de ser el
mecanismo más usado en los procesos de protección de datos. Esto es así
porque es tal vez el único medio accesible y fácil de implementar para lograr un
1
GARCIA Vidal, Ángel. “La regulación jurídica de la firma electrónica”. Área de derecho mercantil
Universidad Santiago de Compostela
4
acceso controlado a la información en un medio, Internet, que por su propia
naturaleza es abierto y de acceso libre a la información.
La criptografía ha sido empleada desde épocas antiguas hasta hoy en día;
proceso, del que han podido derivarse los aspectos o características
fundamentales que cualquier sistema de transferencia segura basado en
criptografía debe abarcar:
Confidencialidad: Garantizar, que los datos contenidos en las
transacciones sólo sean accesibles a las partes que intervienen.
Integridad: Garantizar, mediante el uso de firmas digitales, la integridad de
las transacciones, de tal manera que su contenido no pueda ser alterado
por terceros ajenos, sin ser descubiertos.
Autenticidad: Garantizar, mediante el uso de la firma digital y la
certificación, la autenticidad tanto del titular del medio de pago, como del
proveedor. La firma digital garantiza la integridad de la transacción. La
certificación por parte de un tercero (notario electrónico) garantiza la
identidad de las partes que intervienen en la transacción.
No repudio: Garantizar la oponibilidad de la transacción, ofreciendo
seguridad inquebrantable de que el autor del documento no puede
retractarse en el futuro de las opiniones o acciones consignadas en él ni
de haberlo enviado.
FIRMA ELECTRÓNICA
El comercio a través de Internet, requiere instrumentos técnicos que garanticen:
la identidad del emisor del mensaje, la imposibilidad de alteración del mensaje y
finalmente la imposibilidad de repudiarlo tanto del emisor como del receptor.
Por fuera de la red, estos problemas se solucionaron con la firma manuscrita; ha
llegado el tiempo de trasladar esta firma a la red y otorgarle con ella la seguridad
que el mercado, el comercio y las demás operaciones exigen para su normal
funcionamiento y desarrollo.
5
La firma electrónica podría definirse como “el conjunto de datos, en forma
electrónica, anejos a otros datos electrónicos o asociados funcionalmente con
ellos, utilizados como medios para identificar formalmente al autor o autores del
documento que la recoge”2
Para firmar un documento digital, su autor utiliza su propia clave secreta, a la que
sólo el tiene acceso, quedando vinculado al documento que firma, e impidiendo
que pueda después negar su autoría; posteriormente, el receptor del mensaje
podrá acceder a el, comprobar la autoría de su emisor y la validez de dicha firma
disponiendo de la clave pública del autor.
“Para realizar una firma electrónica, el software del firmante aplica un algoritmo
hash sobre el texto a firmar, obteniendo un extracto de longitud fija, y
absolutamente específico para ese mensaje.”3 Un mínimo cambio en el mensaje
produciría un extracto completamente diferente, y por tanto no correspondería
con el que originalmente firmó el autor.
2
Real Decreto-ley 14/1999 España. Articulo 2 literal a.
3
http://seguridad.internautas.org/firmae.php
6
Para firmar electrónicamente un mensaje el emisor aplica su clave privada y para
poder verificar la validez del documento es necesaria la clave pública del autor.
Con este proceso se asegura que únicamente el emisor pudo firmar ese mensaje
ENTIDADES DE CERTIFICACION
Para brindar confianza a la clave pública surgen las autoridades de certificación,
que son aquellas entidades que merecen la confianza de otros actores en un
7
escenario de seguridad donde no existe confianza directa entre las partes
involucradas en una cierta transacción. “Es por tanto necesaria, una
infraestructura de clave pública (PKI) para cerrar el círculo de confianza,
proporcionando una asociación fehaciente del conocimiento de la clave pública a
una entidad jurídica, lo que le permite la verificación del mensaje y su imputación
a una determinada persona.”4 Esta infraestructura de clave pública encuentra
soporte en una serie de autoridades que se especializan en papeles concretos:
- Autoridades de certificación (CA o certification authorities): vinculan la clave
pública a la entidad registrada proporcionando un servicio de identificación. Una
CA es a su vez identificada por otra CA creándose una jerarquía o árbol de
confianza: dos entes pueden confiar mutuamente entre sí si existe una autoridad
común que directa o transitivamente las avala.
- Autoridades de registro (RA o registration authorities): ligan entes registrados a
figuras jurídicas, extendiendo la accesibilidad de las CA.
- Autoridades de fechado digital (TSA o time stamping authorities): vinculan un
instante de tiempo a un documento electrónico avalando con su firma la
existencia del documento en el instante referenciado (resolverían el problema de
la exactitud temporal de los documentos electrónicos).
Estas autoridades pueden materializarse como entes individuales, o como una
colección de servicios que presta una entidad multipropósito.
CERTIFICADO DIGITAL
Un certificado digital es un fichero digital intransferible y no modificable, emitido
por una tercera parte de confianza (AC), que asocia a una persona o entidad una
clave pública. Un certificado digital, utilizado por los agentes electrónicos,
contiene la siguiente información:
- Identificación del titular del certificado
- Clave pública del titular del certificado .
- Fecha de validez.
- Número de serie.
4
http://www.iec.csic.es/criptonomicon/
8
- Identificación del emisor del certificado.
Así mismo, permiten a sus titulares realizar una gran cantidad de acciones a
través de Internet tales como, acceder por medio de su navegador a sitios web
restringidos, presentando previamente el certificado, cuyos datos serán
verificados y en función de los mismos se le permitirá o denegará el acceso;
enviar y recibir correo electrónico cifrado y firmado; entrar en intranets
corporativas, e incluso a los edificios o instalaciones de la empresa, donde se le
pedirá que presente su certificado, posiblemente almacenado en una tarjeta
inteligente; firmar software para su uso en Internet, de manera que puedan
realizar acciones en el navegador del usuario que de otro modo le serían
negadas. Igualmente, firmar cualquier tipo de documento digital, para uso privado
o público; obtener confidencialidad en procesos administrativos o consultas de
información sensible en servidores de la Administración; realizar transacciones
comerciales seguras con identificación de las partes, como en SSL, donde se
autentica al servidor web, y especialmente en SET, donde se autentican tanto el
comerciante como el cliente.
9
doten de seguridad, confianza y competitividad al entrante e imponente modelo
comercial.
Los principios que tradicionalmente han informado y nutrido los diferentes
regímenes jurídicos, tales como soberanía estatal, territorialidad de la ley y
jurisdicción local, se hacen obsoletos ante este nuevo panorama. Sin embargo,
ello no significa en manera alguna que el derecho, la ley y el orden sean
desestimados y deban ceder a la amenaza del caos y la anarquía. Por el
contrario, ahora más que nunca, debe propugnarse por su plena aplicabilidad,
operancia, eficacia y vinculatoriedad, con la salvedad según la cual parten no de
un espacio geográfico limitado, sino de la ausencia de barreras físicas, jurídicas,
socioculturales y económicas.
10
CAPITULO I
MARCO HISTORICO
1- INTERNET:
11
inoperante la red de defensa y de comunicaciones. Debido a ello se creó un
nuevo concepto de red, uniendo las ya existentes, de forma que ningún
ordenador dependiera únicamente de otro. Así en caso de corte, o interrupción de
uno de los enlaces, la red podría dirigir el tráfico hacia los otros enlaces
alternativos. Esta red se denominó ARPANET, y fue el origen de lo que hoy es
Internet. Ante la sobrecarga de la red, principalmente debida a la investigación
por parte de las universidades, se creó una nueva red exclusiva a los militares
(MILNET). Poco a poco, las necesidades y el número de ordenadores
conectados fueron creciendo, hasta que en 1990, la red deja de denominarse
ARPANET, para tomar su actual nombre INTERNET. Es a partir de 1992, con la
creación del protocolo World Wide Web (www), cuando comienza su gran
expansión debido a que un enorme y creciente número de usuarios que no
formaban parte de las comunidades científicas o académicas empezaron a usar
la Internet, en gran parte por la capacidad de la WWW para manipular fácilmente
documentos multimedia. La Internet creció tremendamente durante finales de los
noventa. Se logró determinar mediante investigaciones que hubo 61 millones de
usuarios de Internet a finales, de 1996, 148 millones a finales de 1998 y un
estimado de 320 millones en el 2000; analistas estiman que durante el transcurso
del año 2001 los usuarios de Internet habrán rebosado los 700 millones de
individuos.
Década del 60
12
enlaces de satélite, radio y cableado, consistiendo su filosofía, en que cada uno
de los ordenadores que la componían fuera capaz de comunicarse, como
elemento individual, con cualquier otra computadora de la red.
Década del 70
- En 1972 existían ya 40 hosts o nodos de red.
13
Década del 80
- En 1983 se desarrolló el servidor de nombre (DNS), evitando direcciones
numéricas (a nivel usuario).
- Una de las redes que se utilizó como apoyo para ARPANET, y que en definitiva
acabaría por se la columna vertebral de Internet, fue NSFNET, la red creada por
la Nacional Science Foundation.
14
Década del 90
- Desapareció ARPANet.
- En 1992 apareció la Internet Society, que es el organismo que rige hoy en día la
red de redes, cuyo propósito principal es promover el intercambio de información
global. En ese mismo año, el Centro Europeo de Investigación Nuclear (CERN),
una de las instituciones que más ha trabajado para que Internet sea como es hoy,
puso en marcha la World Wide Web (WWW). Este fue el paso que dio pie al gran
boom de Internet, apoyado por todo tipo de empresas e instituciones que
empezaron a ver claro un nuevo horizonte. Así, la red que hasta entonces había
tenido un contenido casi estrictamente didáctico y científico, comenzó a
comercializarse, y a convertirse en un medio universal de divulgación de
información.
- En 1993 Las Naciones Unidas y el Banco Mundial están en línea.
- A principios de 1994 comenzó a darse un crecimiento explosivo de las
compañías con propósitos comerciales en Internet dando así origen a una nueva
etapa en el desarrollo de la red.
Siglo XXI
- El Controlador de tiempo de los EE. UU. y otros pocos servicios de tiempo de
Todo el mundo reportan el nuevo año como 19100 el primero de Enero.
- El tamaño de la Web estimado por NEC-RI e Inktomi sobrepasa los mil millones
de páginas susceptibles de ser catalogadas.
15
- Varios secuestros de nombres de dominio tienen lugar a finales de Marzo y
comienzos de Junio, incluyendo a internet.com, bali.com, y web.net
- Nadie puede decir con exactitud la cantidad de usuarios que existen, pero la
mayor parte de las personas coincide en el hecho de que hay, al menos, un
usuario por servidor. Un dato interesante consiste en el hecho que una
abrumada mayoría de los servidores se encuentran ubicados en países
desarrollados. Esto es significativo, pues no podemos decir con justicia que
Internet sea una red democrática y global, puesto que en países como Angola,
Guayana, Honduras, Madagascar no existe un solo servidor conectado a la red.
2- COMERCIO ELECTRÓNICO:
En la Edad Antigua las caravanas transportaban vía terrestre los productos desde
Oriente, hasta que la civilización Fenicia desarrolló el comercio marítimo por el
mar Mediterráneo.
16
continuó creciendo de la mano con los progresos de la ciencia, la industria y la
tecnología.
La demanda que ha surgido ha sido tomada en cuenta por empresas del área de
sistemas, que están enfocando sus operaciones al desarrollo de las herramientas
necesarias que las grandes compañías requieren. En Internet pueden
encontrarse empresas que ya cuentan con una infraestructura básica para
competir comercialmente en línea, como también se evidencia el desarrollo de
nuevos negocios que prestan servicios digitalmente; todo el campo del comercio
electrónico ha tenido mucho auge pero su crecimiento aun tiende a ser
exponencial.
17
1- En una primera etapa, en Internet únicamente se intercambia información,
especialmente entre personal docente y estudiantes pertenecientes a
Universidades.
Las Nuevas Tecnologías que surgieron con Internet a la cabeza han supuesto
una revolución para el comercio dando lugar al explosivo crecimiento de su más
novedosa clase, el denominado "Comercio Electrónico", el cual, no obstante lo
anterior, no se agota de forma única y exclusiva con Internet.
18
Para hablar de Comercio Electrónico se parte de una definición genérica:
cualquier forma de transacción o intercambio de información comercial basada en
la transmisión de datos sobre redes de comunicación como Internet. Es decir, se
incluye tanto la compraventa como todas aquellas actividades previas a esta tales
como publicidad, búsqueda de información, contratación previa etc. De hecho,
hoy por hoy el mayor uso que se hace de Internet es publicitario, principalmente
para darse a conocer, para ofrecer sus productos y servicios y atraer a nuevos
clientes, bajo el supuesto según el cual lo que se publica en la red va a poder ser
captado desde cualquier parte del mundo, a diferencia de lo que ofrecido por los
medios de comunicación tradicionales.
19
La evolución de uno u otro tipo de Comercio en el proceso digitalizador es dispar,
a saber, hoy por hoy el B2B es el comercio que más se ha visto beneficiado a
dicho nivel, no obstante es difícil llegar a un Comercio Electrónico propiamente
dicho.
20
temporalmente productos, cambiar precios, establecer concursos, descuentos o
promociones, recoger pedidos seguros, trabajar fácilmente con cuentas e
inventarios existentes, e incluso manipular imágenes.
Así mismo, el Comercio Electrónico ofrece toda una serie de ventajas tales como
la comodidad, la rapidez y el abaratamiento de los precios; sin embargo ha sido
la fuente de origen de problemas que necesitan ser resueltos en derecho, entre
los cuales destacar:
21
Se está ante un elenco de problemas a solucionar y que la legislación actual
resulta en la mayoría de los casos difícilmente adaptable. Además , en la medida
en que el Comercio Electrónico no tiene fronteras, se hace necesaria una
armonización de la legislación a nivel mundial, cosa que resulta difícil teniendo en
cuenta las diferencias ya existentes en parte debidas a diferencias de tipo
cultural.
22
estar necesariamente en el mismo lugar geográfico, resulta necesario garantizar
tanto la interoperabilidad como la estandarización de los sistemas de pago
electrónico.
23
cuenta bancaria a la cuenta del proveedor. Sin embargo, estos pagos llevaban
una gran cantidad de tiempo.
Un poco más avanzado sería combinar las facilidades proporcionadas por las
tarjetas de crédito, para evitar las transacciones externas. El cliente utiliza
Internet para informar al comerciante del número de cuenta, que este utiliza para
cargar el montante, de modo análogo a lo que sucedería fuera de Internet. La
empresa que gestiona la tarjeta se encarga de todo lo demás. En este escenario
empieza a circular información delicada por la red, atentando contra la privacidad
del comprador (que puede ser monitorizado), y a la confidencialidad de los datos
bancarios que pueden ser robados y utilizados fraudulentamente. Surge entonces
la necesidad de crear mecanismos de seguridad que garanticen la
confidencialidad e integridad del contenido, así como la identidad de los
presuntos cliente y vendedor. La solución parecería ser el uso de encriptación
para enviar de forma segura el número de tarjeta, pero aún así existen ciertos
factores por considerar, como sería el costo de la transacción en sí mismo, que
de ser elevado, podría hacer inviable la realización de micro compras.
El siguiente paso en la refinación del mecanismo consiste en introducir una
tercera parte para evitar que información delicada circule libremente por Internet;
este esquema requiere el registro previo de los participantes, fase en la que se
comprueba la identidad y solvencia de cada uno. A partir de este registro previo,
las transacciones se hacen a partir de los datos almacenados por el
intermediario, que periódicamente verifica que no ha habido problemas de
suplantación de identidad, bancarrota u otras disfunciones que pudieran inhibir la
capacidad de realizar transacciones.
En todos los modelos los actores son los clásicos: compradores, vendedores e
instituciones financieras, que materializan las transacciones y garantizan la
solvencia del sistema. La mayor parte de los sistemas se limitan a introducir
agencias especializadas capaces de realizar las labores tradicionales sobre
medios inseguros y sin presencia física de los interesados. Por ello, los requisitos
funcionales apuntan sistemáticamente a la confidencialidad, integridad y
autentificación de los objetos y las partes; para ello parece denominador común
el uso de técnicas criptográficas.
24
Como no podía ser menos tratándose de dinero, los sistemas actuales son muy
tradicionales. Todas las empresas en el negocio adoptan numerosas cautelas
frente a fraudes y fallos técnicos. Si el número de incidencias fuera elevado, las
comisiones se dispararían y los costes asociados al comercio electrónico no
serían tolerables.
4- CRIPTOGRAFIA:
25
Este fue el primer sistema criptográfico conocido, y a partir de él, y a lo largo de
las historia, aparecieron otros muchos sistemas, basados en técnicas
criptológicas diferentes. Entre ellos caben destacar los sistemas monoalfabéticos
(parecidos al de Julio Cesar, pero que transforman cada letra del alfabeto original
en la correspondiente de un alfabeto desordenado), el sistema play fair de Sir
Charles Wheastone (1854, sistema monoalfabético de diagramas), los sistemas
polialfabéticos, y los de permutación entre otros.
26
por el eje y con distinto número de dientes. En la Segunda Guerra Mundial se
construyó por parte alemana la máquina Enigma, que se basaba en un
perfeccionamiento del cilindro de Jefferson, pero la máquina británica Colossus
consiguió descifrar los mensajes cifrados con Enigma. Los americanos
construyeron la máquina Magic utilizada para descifrar el código púrpura japonés.
27
Para resolver este problema se crea la criptografía de llave pública. Bajo este
sistema existen dos llaves: una privada y otra pública. Cuando A quiere enviar un
mensaje a B, le solicita su llave pública (que como su nombre lo indica puede ser
conocida por todo el mundo). Con la llave pública A encripta el mensaje y lo envía
a B, que luego procede a descifrarlo aplicándole su llave privada, que no debe
dar a conocer a nadie. La ventaja de este método es que no requiere que ambas
partes conozcan la llave privada.
28
patrocinio del gobierno de los EE UU que por méritos propios, puede desplazar al
RSA de su preponderancia en el protocolo criptográfico aludido.
5- FIRMA ELECTRÓNICA:
Tanto las empresas como las personas naturales han utilizado hasta hoy su firma
manuscrita para realizar los más variados trámites y en general para manifestar
29
la voluntad en un documento y manifestar su consentimiento. Hoy con la firma
electrónica, nos encontramos ante un mundo lleno de posibilidades que nos
acercará a la sociedad de la información, pues los actos y contratos celebrados
por medios electrónicos tendrán el mismo reconocimiento, protección y valor con
que gozan los actos y contratos celebrados en soporte de papel.
La firma digital es el instrumento que permite, entre otras cosas, determinar con
seguridad y fiabilidad si las partes que intervienen en una transacción son
realmente las que dicen ser, y si el contenido del contrato ha sido alterado o no
posteriormente.
30
posterior de los datos (integridad), dotada con las mismas propiedades que la
firma convencional. Para firmar un documento digital, su autor utiliza su propia
clave secreta (sistema criptográfico asimétrico), a la que sólo él tiene acceso, lo
que impide que pueda después negar su autoría (no revocación o no repudio), de
forma tal que queda vinculado al documento de la firma; es decir, es posible
asociar un número único a cada persona o entidad. La validez de dicha firma
podrá ser comprobada por cualquier persona que disponga de la clave pública
del autor, existiendo así tanto un método de firma como uno de verificación de la
firma resolviendo satisfactoriamente los problemas de autenticación y no rechazo.
31
Directiva 1999/93 del Parlamento Europeo y del Consejo, por la que se establece
un marco jurídico comunitario para la firma electrónica.
32
1- Seguridad Técnica, que permita obtener comunicaciones privadas, auténticas e
íntegras Interpartes garantizando que los sites están a salvo de piratas
informáticos o “hackers”.
33
transacción, por ejemplo, el número de una tarjeta de crédito, porque los
formularios que hay que rellenar han sido diseñados con programas que cifran
los datos. Los hay tan simples como el Ro13, que sustituye cada letra por la
situada 13 puestos más adelante, o extremadamente complicados.
34
CAPITULO II
MARCO CONCEPTUAL
35
posiblemente, se convierta en el algoritmo que adopte definitivamente
'Internet'. Estos sofisticados algoritmos se caracterizan por sus claves de
encriptación que oscilan entre 40 y 120 bits.
36
B
37
utilizada para confirmar una identidad en un sistema remoto que se utiliza
para que una persona no pueda usurpar la identidad de otra.
38
continúa. Es el tipo de señal habitual de las telecomunicaciones y de la
informática actual.
39
2. Encriptación: Acción de proteger la información mediante técnicas
criptográficas ante modificaciones o utilización no autorizada.
40
H
41
I
42
M
43
6. Nombre de dominio : Más conocido por su equivalencia inglesa: Domain
Name [Nombre de dominio]. Permite identificar un computador (o grupo de
ellos) sin tener que recurrir a su dirección 'IP'. Los nombres de dominio
tienen una férrea estructura jerárquica cuyo ejemplo más sencillo podría
ser ctv.es desglosándose como sigue: ctv (nombre de empresa)
.(separador) es (extensión de país, en este caso, España).
O
1. Operadores de red: Entidad pública o privada que haga disponible la
utilización de una red de telecomunicación.
P
1. Protocolo: Conjunto de reglas y de signos que rigen los intercambios de
información entre computadoreses.
44
2. Red: Servicio de comunicación de datos entre computadores. Conocido
también por su denominación inglesa: 'network'. Se dice que una red está
débilmente conectada cuando la red no mantiene conexiones permanentes
entre los computadores que la forman. Esta estructura es propia de redes
no profesionales con el fin de abaratar su mantenimiento.
4. SSL (Secure Sockets Layer): Protocolo, creado por Netscape, para crear
conexiones seguras al servidor, de tal modo que la información viaja
encriptada a través de Internet.
45
que se conecten con él para dicho fin. Vocablo más conocido bajo su
denominación inglesa 'server'.
46
W
1. Website: Sitio web web. Colección de páginas web relacionadas entre sí.
47
CAPITULO III
ENCRIPTACION DE DOCUMENTOS
48
“Se entiende por criptología, la ciencia que estudia los distintos sistemas de
cifrado destinados a ocultar el significado de mensajes a otras partes que no
sean el emisor y el receptor de dicha información.”6
La criptografía es la parte de la criptología que estudia como cifrar efectivamente
los mensajes; es la técnica de transformar un mensaje inteligible, denominado
texto en claro, en otro que sólo puedan entender las personas autorizadas a ello,
denominado criptograma o texto cifrado. El método o sistema empleado para
encriptar el texto en claro se denomina algoritmo de encriptación.
La Criptografía es una rama de las Matemáticas, que se complementa con el
Criptoanálisis, que es la técnica de descifrar textos cifrados sin tener autorización
para ellos, es decir, realizar una especie de Criptografía inversa. Ambas técnicas
forman la ciencia llamada Criptología.
“La base de las Criptografía suele ser la aplicación de problemas matemáticos de
difícil solución a aplicaciones específicas, denominándose criptosistema o
sistema de cifrado a los fundamentos y procedimientos de operación involucrados
en dicha aplicación.”7
Existen dos principales sistemas de ocultación que juntos conforman la base de
los sistemas criptográficos actuales:
A- La sustitución: consiste en cambiar los caracteres que componen el mensaje
original en otros según una regla determinada de posición natural en el alfabeto.
B- La transposición: en cambio, consiste en cambiar los caracteres componentes
del mensaje original en otros según una regla determinada de posición en el
orden del mensaje.
El uso de una palabra o serie determinada como base de un sistema de cifrado
posee la ventaja de que, si este es complejo, tan sólo será fácil obtener el texto
en claro a quién sepa dicha palabra, además de ser fácil de recordar. Esta
palabra o serie base del mecanismo de cifrado se denomina clave de cifrado, y el
número de letras que la forman se llama longitud de la clave.
Indudablemente, cuanto más complicado sea el mecanismo de cifrado y cuanto
más larga sea la clave, más difícil será romper el sistema y obtener el mensaje
6
http://www.arrakis.es/~anguiano/artautcert.html
7
Ibidem.
49
original para un extraño. Pero más complicado será también para el destinatario
del mensaje cifrado realizar las operaciones de descifrado y obtener el mensaje
original, por lo que se crea el dilema seguridad / tiempo.
Evidentemente los sistemas criptográficos actuales van mucho más allá de un
sistema como el de transposición, fácil de descubrir en unos cuantos intentos.
Las claves de encriptación van a ser la base fundamental de los modernos
sistemas criptográficos, basados en operaciones matemáticas generalmente muy
complejas.
Una de las tareas que más tiempo ocupa a los grandes sistemas de
computadores es el cálculo de números primos cada vez mayores. Su objetivo es
poder obtener un número que sirva para cifrar mensajes y que luego sea muy
complicado descifrarlos.
Si la comunicación en Internet fuera completamente segura, quizás no sería
necesario encriptar la información que se transfiere, pero conforme está
estructurada dicha comunicación, hoy por hoy esta pasa por muchos sitios antes
de llegar a su destino de tal forma que puede tenerse acceso a ella en cualquiera
de estos puntos o puede ser interceptada por entidades ajenas. Por otro lado,
también es interesante poder disponer de una herramienta que proteja ciertos
archivos o documentos que, aunque no vayan a ser enviados, es conveniente
tenerlos a salvo de miradas indiscretas.
Es por esto que la encriptación es una herramienta que a buen seguro va a ver
incrementado su nivel de utilización, a medida que el comercio electrónico
continúe su expansión; datos y medios de pago han de desenvolverse en un
medio seguro para poder garantizar el comercio.
8
http://greco.dit.upm.es/~enrique/ce/sec2/par211.html
50
El trabajo del algoritmo es precisamente determinar como será transformada la
información de su estado original a otro que sea muy difícil de descifrar.
Una vez la información es transmitida a su destino final, se aplica el algoritmo al
contenido codificado, obteniendo como resultante el contenido original
Hoy en día los algoritmos de encriptación son ampliamente conocidos, razón por
la cual, para prevenir a otro usuario "no autorizado" descifrar información
encritpada, estos utilizan lo que es denominado llave ("key") para controlar tanto
la encriptación como la desencriptación de información.
9
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
51
a- Encriptación tradicional o simétrica:
10
Ibidem
52
simétrico estándar, que se llamará AES (Advanced Encryption Standart), cuyo
objetivo es ser el nuevo sistema que se adopte en el ámbito mundial.
El criptosistema de clave secreta más utilizado hasta enero de 1999, cuando fue
roto, fue el Data Encryption Standard. “DES, es un esquema de encriptación
simétrico desarrollado en 1977 por el Departamento de Comercio y la Oficina
Nacional de Estándares de EEUU en colaboración con la empresa IBM, que se
creó con objeto de proporcionar al público en general un algoritmo de cifrado
normalizado para redes de ordenadores.”11 Estaba basado en la aplicación de
todas las teorías criptográficas existentes hasta el momento, y fue sometido a las
leyes de EEUU
Posteriormente apareció una versión de DES implementada por hardware, que
entró a formar parte de los estándares de la ISO con el nombre de DEA, basado
en un sistema monoalfabético, con un algoritmo de cifrado consistente en la
aplicación sucesiva de varias permutaciones y sustituciones. “Inicialmente el texto
en claro a cifrar se somete a una permutación, con bloque de entrada de 64 bits
(o múltiplo de 64), para posteriormente ser sometido a la acción de dos funciones
principales, una función de permutación con entrada de 8 bits y otra de
sustitución con entrada de 5 bits, en un proceso que consta de 16 etapas de
cifrado.”12
En general, DES utiliza una clave simétrica de 64 bits, de los cuales 56 son
usados para la encriptación, mientras que los 8 restantes son de paridad, y se
usan para la detección de errores en el proceso.
Entre las desventajas actuales de este sistema se pueden resaltar:
- Se considera un secreto nacional de EEUU, por lo que está protegido por
leyes específicas, y no se puede comercializar ni en hardware ni en
software fuera de ese país sin permiso específico del Departamento de
Estado.
- La clave es corta, tanto que no asegura una fortaleza adecuada. Hasta
ahora había resultado suficiente, y nunca había sido roto el sistema. Pero
con la potencia de cálculo actual y venidera de los computadores y con el
11
http://www.htmlweb.net/seguridad/ssl/ssl_4.html
12
Ibidem
53
trabajo en equipo por Internet se cree que se puede violar el algoritmo,
como ya ha ocurrido una vez, aunque eso sí, en un plazo de tiempo que
no resultó peligroso para la información cifrada.
- No permite longitud de clave variable, con lo que sus posibilidades de
configuración son muy limitadas, además de permitirse con ello la creación
de limitaciones legales.
- “La seguridad del sistema se ve reducida considerablemente si se conoce
un número suficiente de textos elegidos, ya que existe un sistema
matemático, llamado Criptoanálisis Diferencial, que puede en ese caso
romper el sistema en 2 elevado a 47 interacciones.”13
Las ventajas que provee son:
- Es el sistema más extendido del mundo, el que más máquinas usan, el
más barato y el más probado.
- Es muy rápido y fácil de implementar.
- Desde su aparición nunca ha sido roto con un sistema práctico.
13
Ibidem
14
Ibidem
54
permite adaptarse a cualquier aplicación. Por ejemplo, este algoritmo es el usado
por Nestcape para implementar su sistema de seguridad en comunicaciones SSL
(Secure Socket Layer).
En cuanto a su seguridad, aún es pronto para afirmar algo concluyente, aunque
en 1996 una universidad francesa consiguió romper el sistema RC4 con clave de
40 bits, lo que hace sospechar que RC5 con longitudes de clave de 56 bits no es
suficientemente seguro.
Mientras que la clave privada debe ser mantenida en secreto por su propietario,
ya que es la base de la seguridad del sistema, la clave pública es difundida
ampliamente por Internet, para que esté al alcance del mayor número posible de
personas, existiendo servidores que guardan, administran y difunden dichas
claves.
15
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
55
Para que un algoritmo de clave pública sea considerado seguro debe cumplir con
las siguientes condiciones:
- conocido el texto cifrado no debe ser posible encontrar el texto en claro ni la
clave privada.
- conocido el texto cifrado (criptograma) y el texto en claro debe resultar más caro
en tiempo o dinero descifrar la clave que el valor posible de la información
obtenida por terceros.
- conocida la clave pública y el texto en claro no se puede generar un criptograma
correcto encriptado con la clave privada.
- dado un texto encriptado con una clave privada sólo existe una pública capaz de
desencriptarlo, y viceversa.
La principal ventaja de los sistemas de clave pública frente a los simétricos es
que la clave pública y el algoritmo de cifrado son o pueden ser de dominio público
por lo cual, no es necesario poner en peligro la clave privada en tránsito por los
medios inseguros, ya que ésta se encuentra siempre oculta y en poder
únicamente de su propietario. Como desventaja, los sistemas de clave pública
dificultan la implementación del sistema y son mucho más lentos que los
simétricos.
El primer sistema de clave pública que apareció fue el de Diffie-Hellman, en 1976,
y fue la base para el desarrollo de los que después aparecieron, entre los que
cabe destacar el RSA (el más utilizado en la actualidad). Este algoritmo de
encriptación de Whitfield Diffie y Martin Hellman supuso una verdadera revolución
en el campo de la criptografía, ya que fue el punto de partida para los sistemas
asimétricos, basados en dos claves diferentes,
El algoritmo de clave pública RSA fue creado en 1978 por Rivest, Shamir y
Adlman, y es el sistema criptográfico asimétrico más conocido y usado. Ellos se
basaron en el artículo de Diffie-Hellman sobre sistemas de llave pública, crearon
su algoritmo y fundaron la empresa RSA Data Security Inc., que es actualmente
una de las más prestigiosas en el entorno de la protección de datos.
El sistema PGP (Pretty Good Privacity - Intimidad Bastante Buena) fue diseñado
especialmente por Philip Zimmermann en 1991 para proporcionar una forma
segura de intercambio de correo electrónico. Implementa tanto el cifrado del
56
correo y ficheros como la firma digital de documentos. “Para la encriptación del
documento usa un algoritmo de llave simétrica, con intercambio de clave
mediante sistema de llave pública, normalmente RSA, y para la firma digital suele
utilizar la función hash MD5. No obstante, es un sistema ampliamente
configurable, que permite al usuario elegir entre diferentes sistemas asimétricos,
funciones hash y longitudes de clave.”16
Para usarlo hay que comenzar por generar un par de claves, una pública y otra
privada, siendo posible en ese momento la elección de la longitud de clave
deseada. También hay que fijar una clave personal, que se usará luego para
proteger la llave privada de miradas indiscretas. Las claves pública y privada las
genera automáticamente el algoritmo, mientras que la personal de protección la
elige el usuario. “Una vez generadas las claves, la privada se encripta con la
personal mediante un algoritmo simétrico, siendo posteriormente necesario
desencriptarla cada vez que se desee usarla. En cuanto a la clave pública, se
deposita en un fichero especial, de tipo ASCII (sólo texto), denominado certificado
de clave, que incluye el identificador de usuario del propietario (el nombre de esa
persona y algún dato único, como su dirección de e-mail), un sello de hora del
momento en el que se generó el par de llaves y el material propio de la clave.” 17
Cuando se desea mandar un correo o fichero encriptado, PGP lo encripta usando
un sistema simétrico, generalmente IDEA o DES, usando una clave aleatoria, que
posteriormente se encripta con RSA. Se envían el documento cifrado con la clave
aleatoria y ésta encriptada con la llave RSA privada del destinatario. Cuando éste
recibe el correo y desea desencriptarlo, su programa PGP primero descifra la
clave simétrica con su llave privada RSA, y luego descifra el documento usando
la clave desencriptada.
Los sistemas de clave asimétrica son los que se están imponiendo, ya que
ofrecen un mayor grado de seguridad, sobre todo porque no hace falta que la
clave sea conocida nada más que por una persona. Ya se sabe que cuando un
secreto se comparte, hay bastantes posibilidades para que deje de serlo.
16
http://www.htmlweb.net/seguridad/ssl/ssl_4.html
17
Ibidem
57
3- ELEMENTOS DE UNA INFORMACIÓN SEGURA:
Varios son los aspectos que hay que manejar en el proceso de transferencia de
un documento electrónico y que definen una comunicación segura, garantizada
actualmente a través de los sistemas de encriptación:
Los datos se pueden transformar (o sea encriptar) de tal manera que nadie los
puede entender sin utilizar la clave correcta. En forma encriptada los datos se
pueden ahora transferir o almacenar en medios poco seguros. La información se
convertirá en el verdadero poder y capital del próximo siglo y la encriptación
58
permitirá a los dueños de la información proteger su propiedad y a la vez les
brindará flexibilidad en su utilización.
59
4- IMPLICACIONES COMERCIALES DE LA ENCRIPTACION:
SET cubre los tres principios básicos para asegurar el crecimiento del comercio
en línea:
- Las transacciones se deben llevar a cabo con total integridad, es decir sin
pérdida de datos.
18
http://www.iuristic.org/iuristic/html/firma.htm
19
http://www.cetenasa.es/e-business/Talleres/taller1/x301.htm
60
b- La criptología tiene el potencial de hacer más efectiva y más eficiente la
gestión de un gobierno. Es un arma más poderosa en las manos de los buenos
que en las manos de los malos. Más aún, los realmente malos siempre
conseguirán las herramientas que necesitan, mientras restricciones impuestas en
el desarrollo de la criptología limitarán y atrasarán la realización del potencial de
esas tecnologías para el bien, principalmente en los países del Tercer Mundo.
La gestión gubernamental es un servicio entre un proveedor complejo (el
gobierno) y un gran número de consumidores de esos servicios (los ciudadanos).
Es natural pensar sobre la utilización de tecnologías modernas para mejorar esa
enorme gestión de servicios.
5- PROBLEMÁTICA DE LA ENCRIPTACION:
De otra manera, los usuarios que recibieran correos cifrados podrían verse
envueltos, inconscientemente en una dispersión de dichos virus. “Si el emisor ha
20
http://www.rebelion.org/ddhh/digital080901.htm
61
cifrado el mensaje, también ha cifrado el virus. Nadie, ni siquiera el antivirus más
potente podría descifrar el mensaje para su análisis. Simplemente buscaría un
virus en un montón de caracteres y símbolos que al ser incomprensibles
ocultarían al virus de una manera tan eficaz como ocultan el texto.”21 Por ello, la
protección en las estaciones de trabajo debe ser tan fuerte como la perimetral, ya
que es en la estación de trabajo donde el mensaje se descifrará y aparecerá el
virus.
En definitiva, nadie duda que los sistemas de cifrado son una herramienta que
aumenta la seguridad de las comunicaciones, pero tienen su reverso tenebroso:
ocultan virus a los antivirus perimetrales que no estén preparados. La única
solución para evitar que los virus cifrados entren en la empresa, debe ser una
protección perimétrica efectiva que bloquee los elementos cifrados no
autorizados antes de que puedan alcanzar los servidores y las estaciones de
trabajo de la empresa.
21
http://delitosinformaticos.com/delitos/delitosinformaticos4.shtml
62
CAPITULO IV
FIRMA DIGITAL
A- Definición:
La firma electrónica es un conjunto de datos asociados a un documento
electrónico, que permite asegurar tanto la identidad del firmante como la
integridad del mensaje, pudiendo ser definida como “una secuencia de datos
electrónicos (bits) que se obtienen mediante la aplicación a un mensaje
determinado de un algoritmo (fórmula matemática) de cifrado asimétrico o de
clave pública, y que equivale funcionalmente a la firma autógrafa en orden a la
identificación del autor del que procede el mensaje”22. En definitiva, es el
equivalente a la firma de puño y letra en el mundo digital y tiene el mismo valor
jurídico que la manuscrita.
Desde un punto de vista material, la firma electrónica es una simple cadena o
secuencia de caracteres que se adjunta al final del cuerpo del mensaje firmado
electrónicamente.
La firma electrónica no es otra cosa que una técnica para verificar que un
documento ha sido realizado por el poseedor de determinado algoritmo (lo que se
conoce como llave privada). Firmar electrónicamente consiste en “realizar una
22
http://www-5.ibm.com/es/ibm/politicaspublicas/libroazul/marco/firma.html
63
operación matemática que convierte el documento original en otro nuevo, cuyos
caracteres guardan con el original una relación matemática basada en el
algoritmo de cifrado”23. Este nuevo documento es ininteligible, y sólo sirve para
verificar que el documento original guarda con el segundo la esperada relación
matemática basada en el algoritmo de cifrado.
B- Procedimiento:
23
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
24
http://www-5.ibm.com/es/ibm/politicaspublicas/libroazul/marco/firma.html
64
significa que el mensaje no fue alterado y que el firmante es quien dice serlo.
Esto no significa que la firma digital sea un password, ya que es el resultado de
un procedimiento realizado con una clave numérica llamada clave privada, es
creada por un algoritmo de generación de claves el cual se encarga de generar
junto con la clave privada una segunda clave denominada clave pública que
funciona como complemento de esta. La clave privada debe permanecer bajo el
exclusivo control de su propietario siendo este el único capaz de tener acceso a
ella, siendo esta característica lo que permite que una firma digital identifique en
forma unívoca al firmante; la clave pública por otra parte es la que permite
verificar a un tercero el origen de la firma y la no alteración del mensaje.
b. Ambas claves, privada y pública, sirven tanto para cifrar como para descifrar
mensajes.
65
que si partiendo esta, se pudiera obtener la clave privada, el sistema carecería de
seguridad dado que cualquier podría utilizar la clave privada atribuida a otra
persona pero obtenida ilícitamente por un tercero a partir de la clave pública.
La utilización del par de claves (privada y pública) implica que A (emisor) cifra un
mensaje utilizando para ello su clave privada y, una vez cifrado, lo envía a B
(receptor), quien descifra el mensaje recibido utilizando la clave pública de A. Si
el mensaje descifrado es legible e inteligible significa necesariamente que ese
mensaje ha sido cifrado con la clave privada de A (es decir, que proviene de A) y
que no ha sufrido ninguna alteración durante la transmisión de A hacia B, porque
si hubiera sido alterado por un tercero, el mensaje descifrado por B con la clave
pública de A no sería legible ni inteligible. Así se satisfacen las necesidades de
integridad (certeza de que el mensaje no ha sido alterado) y no repudiación en
origen (imposibilidad de que A niegue que el mensaje recibido por B ha sido
cifrado por A con la clave privada de éste) esenciales para la transmisión de
información por vía electrónica. La identidad del emisor del mensaje, se obtiene
mediante la utilización de los certificados digitales, tema que se analizará en el
capitulo siguiente.
25
http://www.fajardolopez.com/materiales/Fajardo_RJUAM.html
66
2- Sistemas Criptográficos Simétricos: Son aquellos en los que dos personas (A y
B), que van a intercambiarse mensajes entre sí, utilizan la misma clave para cifrar
y descifrar el mensaje. Así, el emisor del mensaje (A), lo cifra utilizando una
determinada clave, y una vez cifrado, lo envía a B. Recibido el mensaje, B lo
descifra utilizando la misma clave que usó A para cifrarlo. Los sistemas
criptográficos simétricos más utilizados son los conocidos con los nombres de
DES, TDES y AES. Sin embargo, estos sistemas presentan significativos
inconvenientes, de los cuales se desprende que no sean aptos para ser utilizados
en redes abiertas como Internet, en las que confluyen una pluralidad
indeterminada de personas que se desconocen entre sí y que en la mayoría de
los casos no podrán intercambiarse previamente claves de cifrado por ningún
medio seguro:
b. La necesidad de que exista una clave para cada par de personas que vayan a
intercambiarse mensajes cifrados entre sí.
Por esta razón, junto a la criptografía asimétrica se utilizan en la firma digital las
llamadas funciones hash o funciones resumen. Los mensajes que se
intercambian pueden tener un gran tamaño, hecho éste que dificulta el proceso
de cifrado. Por ello, no se cifra el mensaje entero sino un resumen del mismo,
obtenido a partir de la aplicación de una funcion hash a este.
67
Se recurre a realizar antes de la firma un resumen automático del original. No se
trata lógicamente de un resumen en el sentido de extraer las ideas principales del
documento, sino en el sentido de obtener un texto que, sea cual sea la longitud
del documento original, siempre tendrá la misma brevísima extensión de un par
de líneas de texto. Ello se hace de tal forma que la modificación de una sola
coma o de cualquier otro carácter en el documento original, generaría un
resumen totalmente distinto. Esta técnica se denomina hash. Realizada esta
operación de resumen se procede a su firma, con lo que se obtiene un
pequeñísimo documento igualmente ininteligible y también siempre de la misma
extensión, que es el que habrá de acompañar al documento original.
C- Características:
26
Ibidem
68
3- La confidencialidad, ya que el contenido, al estar cifrado, sólo puede ser
conocido por el firmante o por aquellos a quien el firmante autorice a acceder al
documento firmado. El contenido del documento electrónico firmado sólo será
conocido por quienes estén autorizados a ello.
4- El no repudio entre las partes. Puesto que se garantiza que el firmante o las
partes firmantes son quienes dicen ser, ninguno de ellos puede negar haber
firmado, enviado o recibido el documento.
2- ASPECTOS LEGALES:
69
centralizado que sería un objetivo muy tentador para los hackers. Por otro lado
supone graves problemas para el comercio electrónico ya que los usuarios no
realizarán transacciones comerciales a través de Internet tan masivamente como
lo harían en otras circunstancias, debido al temor de que información confidencial
-como el número de su tarjeta de crédito- pudiera terminar en manos de
delincuentes.
3- ASPECTOS JURÍDICOS:
2.- Integridad, que implica la certeza de que el mensaje recibido por el receptor
es exactamente el mismo mensaje emitido por el emisor, sin que haya sufrido
alteración alguna durante el proceso de transmisión.
27
http://www.lasasesorias.com/es/publica/firmaelectronica/
70
A los tres requisitos anteriores, se une un cuarto elemento: la confidencialidad; no
es un requisito esencial de la firma digital sino accesorio de la misma. La
confidencialidad implica que el mensaje no haya podido ser leído por terceras
personas distintas del emisor y del receptor durante el proceso de transmisión del
mismo.
Los principales debates jurídicos que plantea la firma electrónica vienen referidos
a tres ramas del Derecho, a saber:
28
http://www.utem.cl/cyt/derecho/firma.html
71
4- IMPLANTACIÓN: TRASCENDENCIA COMERCIAL:
29
La comisión de la sociedad de la información, ha definido este concepto así: La sociedad de información es un término usado para
describir una sociedad y una economía que hacen el mejor uso posible de las nuevas tecnologías de información y de comunicación
(ICT's). En una sociedad de la información, las personas obtienen los beneficios completos de la nueva tecnología en todos los aspectos
de sus vidas: en el trabajo, en su casa y en el juego. Ejemplos de ICT's son: cajeros automáticos para el retiro de dinero en efectivo y
otros servicios bancarios, teléfonos móviles, televisión del teletexto, faxes y servicios informativos tales como el Internet y el E-mail.
Estas nuevas tecnologías tienen implicaciones en todos los aspectos de la sociedad y la economía; están cambiando la manera de hacer
negocios, aprender y aprovechar el tiempo libre.
La Sociedad de la Información, adicionalmente, implica desafíos importantes para los gobiernos:
+ Necesidad de actualizar el sistema normativo para que pueda apoyar las transacciones electrónicas.
+ Necesidad de educar a las personas sobre la nueva tecnología.
+ Los negocios deben incorporarse al ciberespacio para poder obtener éxito.
+ Los servicios de gobierno deben estar disponibles electrónicamente.
72
En definitiva, la firma digital se presenta como un instrumento de seguridad y
confidencialidad de las actividades que se producen en el curso de la interacción
humana en todos sus ámbitos y que dependen de los sistemas informáticos
(transporte, comercio, sistema financiero, gestión gubernamental, arte, ciencia,
relaciones laborales, tecnología, etc.) ya que el comercio, pionero en
innovaciones jurídicas introducidas en el pasado por medio de la costumbre, una
vez más toma la delantera, e innumerables transacciones económicas se vienen
realizando a través de los medios electrónicos, sin más soporte legal que el pacto
entre las partes. La contratación electrónica en su más puro sentido, poco a poco
se viene abriendo paso y crece de forma espectacular; una vez más los hechos
caminan delante del Derecho.
La firma electrónica es pues un requisito esencial para el desarrollo de la
economía digital porque, gracias a ella, será más fácil comprar, contratar o llegar
a cualquier tipo de acuerdo a través de Internet, al aportar seguridad y
compromiso a las relaciones
1- Asegurar que la contraparte, en una relación vía Internet, es quien dice ser.
73
5- Garantizar, que en el supuesto de estar ante una página Web determinada, se
tenga plena certeza sobre esto; es decir, evitar que mediante el fenómeno
denominado web spoofing, un cracker o hacker habilidosos pueda generar la
falsa idea de creer que se esta ante una página web concreta, cuando en
realidad es otra, amañada debidamente por éste para sus propios fines.
74
CAPITULO V
AUTORIDADES DE CERTIFICACION
1- CERTIFICADO DIGITAL:
· El no repudio (el mensaje una vez aceptado, no puede ser rechazado por el
emisor)
75
no ser ciertas las informaciones que van asociadas a la clave pública (identidad
de su dueño) la AC se negará a emitir el correspondiente certificado, con lo que
los demás agentes no la aceptaran como clave pública de confianza. El
Certificado de Clave Pública es válido únicamente dentro del período de
vigencia, que comienza en la fecha de inicio indicada en el certificado y finaliza
en su fecha de vencimiento, o con su revocación si fuere revocado. La fecha de
vencimiento del Certificado de Clave Pública en ningún caso puede ser posterior
a la del vencimiento del Certificado de Clave Pública de la Autoridad de
Certificación.
76
5. La clave pública y otros tipos de informaciones según sean las finalidades del
certificado.”30
Lo más importante de un certificado es que toda la información anterior va
firmada de modo indisoluble con la clave privada de la Autoridad de Certificación
emisora.
Una vez que los que intervienen en una transacción electrónica cuenten con sus
respectivos Certificados, ya no será necesario que intercambien sus claves a
través del medio de transmisión, sino que intercambiarán Certificados.
Cada Autoridad Certificadora realiza un proceso particular para emitir un
Certificado, firmando además uno o varios contratos con el solicitante del
30
http://www.iee.es/come_002.htm
77
Certificado, en los cuales se establecerán los derechos, obligaciones y
responsabilidades de las partes en relación con la emisión de un Certificado.
2- CONFIABILIDAD:
31
http://www.arrakis.es/~anguiano/artautcert.html
78
herramientas concretas utilizadas; en resumen, todo protocolo sólo especifica las
reglas de comportamiento a seguir.”32
Igual que existe una relación intrínseca entre firma electrónica y certificado,
porque sin certificados no podríamos verificar las firmas electrónicas, existe otra
relación intrínseca entre certificados y confianza digital.
Sin certificados digitales no existiría la confianza digital, entendida como el
“conjunto de informaciones que hay que procesar en una red para que la misma
sea segura, informaciones que se transmiten en la propia red” 33. Pues bien, la
única forma conocida para transmitir estas informaciones necesarias para que la
red sea segura a través de la propia red es escribirlas dentro de un certificado,
porque el certificado es razonablemente infalsificable.
32
Ibidem
33
http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
79
Dentro del comercio electrónico se presentan dos tipos de mercados; el primero
de ellos es el actual mercado basado en las normas EDI que permite realizar las
actividades propias del negocio entre socios comerciales específicos y a través
de redes de valor añadido bien definidas y de marcado carácter privado; el otro,
es el del comercio minorista o al por menor, donde las PYMES y los clientes se
encuentran conectados, vía Internet, a servicios online de aquellos en los que se
exhiben las características más sobresalientes de los productos y servicios
ofertados. Este último, al mismo tiempo que ofrece más oportunidades, conlleva
en sí un gran número de procesos y sistemas, así como la necesidad de una
mayor seguridad lógica en lo que se transmite a través de las redes públicas. En
el escenario EDI, gran parte de la seguridad proviene del hecho de tratarse de
una red privada, compuesta por enlaces punto a punto, y sometida a la vigilancia
y control de los operadores nacionales de la red básica de telefonía. En el caso
del mercado minorista, la mezcla de procedencias y contenidos de la información
que circula por la misma red física hace imposible que el gestor de la red
proporcione servicios de seguridad a sus usuarios, por lo que la imposibilidad de
basarse en la seguridad física de la red de transporte exige la utilización de
sistemas lógicos de protección.
80
que daría repuesta a estas preguntas, es lo que debe aparecer en los certificados
de autorización que emitirán las correspondientes AC, según el historial de
Electronic Data Interchange. Por su parte, los certificados de identidad emitidos
por agencias normalmente externas al sistema financiero, serán los que permitan
responder a preguntas que se formulan ambas partes, tales como: ¿Es ésta la
persona o empresa quien dice ser? ¿Está este comprador en la capacidad de
realizar la compra? En el mismo sentido, el comprador también puede
preguntarse: ¿Satisfará el producto mis requisitos de calidad? ¿Entregará el
transportista el pedido a tiempo?
La forma más efectiva y aceptada hoy en día para realizar transacciones en el
comercio electrónico entre proveedores y clientes que no han tenido una relación
previa, es a través de clubes de comercio electrónico. En tales casos, las
empresas y clientes se limitan a comprar dentro de un mismo mercado que está
centrado en ciertos sectores, regiones o grupos de interés. “Mediante la
asociación mutua a un mercado, tanto el comprador como el vendedor confían en
el gestor del mismo que, como Autoridad de Certificación, asegura que cada
parte es quién dice ser y cuenta con capacidad suficiente para actuar como
agente de pleno derecho.”34 El hecho de manejar diferentes tipos de certificados
en el futuro será factible, en la medida que los “comerciantes electrónicos” se
suscriban a los diferentes servicios de certificación que actúen como Autoridades
de Certificación dentro de cada uno de los sectores o mercados, y conforme a la
normatividad y requisitos de ley vigentes.
34
http://greco.dit.upm.es/~enrique/ce/sec2/par211.html
81
2. Mantener el control exclusivo de su propia Clave Privada e impedir su
divulgación.
5. Exigir únicamente aquellos datos personales del titular del Certificado que
sean necesarios para su emisión, quedando el solicitante en libertad de proveer
información adicional.
11. Registrar las presentaciones que le sean formuladas, así como el trámite
conferido a cada una de ellas.
82
14. Informar a los usuarios de Certificados de Clave Pública y aplicar el Plan de
Contingencia previsto, cuando tuviera sospechas fundadas de que la privacidad
de su Clave Privada hubiese sido comprometida o cuando el criptosistema
asimétrico de Clave Pública en él contenida haya dejado de ser seguro.
83
revocación de un certificado tiene efecto a partir del momento en el que aparece
en la LCR de la Autoridad de Certificación emisora y que invalida cualquier
operación que se haga con fecha posterior, sin embargo, no afecta a las
operaciones anteriores. Esto es así para evitar que un agente, declarando su
clave comprometida, se pueda retractar de lo que firmó con anterioridad a la
fecha de la denuncia. Como puede darse el caso de que el titular sea realmente
honrado y que el atacante que ha comprometido la clave pueda emitir firmas con
cualquier fecha, los sistemas serios en los que es fundamental la cualidad de no
repudio, las fechas de firma y los propios documentos firmados, deben ser
certificados temporalmente, matasellados, por agencias completamente
imparciales dedicadas a tal fin.
4. Informar sin demora a la Autoridad de Certificación el cambio de alguno de
los datos contenidos en el certificado que hubiera sido objeto de verificación.
4- RESPONSABILIDAD:
84
c. Por los daños y perjuicios que excedan el valor límite por transacción, o
por el total de transacciones, si tales valores límites constan en las
correspondientes condiciones de emisión y utilización de sus certificados.
35
http://www.htmlweb.net/seguridad/ssl/ssl_4.html
85
debe “registrar” su clave pública en una Autoridad de Certificación aceptada
dentro del escenario en el cual pretende moverse. Para la inscripción sólo tiene
que enviar su clave pública y, muy posiblemente, algún que otro documento
digital de solicitud firmado con dicha clave. Al tratarse de documentos públicos,
esta transmisión se puede hacer a través de la red sin menoscabo alguno de su
integridad. Para completar el proceso de inscripción, el solicitante deberá o bien
enviar otro Certificado Digital de Identidad expedido por alguna otra Autoridad
de Certificación aceptada, o bien un documento físico válido dentro de los
procedimientos administrativos habituales en el que asume la responsabilidad
del compromiso indicado en la solicitud digital que ha enviado. “Satisfechas las
condiciones marcadas por la Autoridad de Certificación en su documento
público de Política de Emisión de Certificados incluida en su Política de
Seguridad, esta autoridad devuelve al solicitante un certificado digital que
atestigua la validez de su clave pública para actuar dentro del sistema. Los
sistemas de autenticación basados en claves simétricas y secretas, no permiten
la generación local de claves sino que ésta es función del servidor central que
constituye la Autoridad de Certificación.”36
86
pueda establecer cual es el nivel de confianza que le merece dicha clave
pública y el correspondiente usuario.
3. Emisión de certificado
Además de los compromisos de verificación que se indican en la política pública
de una Autoridad de Certificación, ésta se compromete a emitir documentos
digitales (los certificados) únicos y perfectamente identificables a través de su
número de serie. Dichas autoridades también son responsables de mantener un
registro seguro y disponible sobre cual es el estado de cada uno de los
certificados que emite. Un certificado digital siempre está en alguno de los
siguientes estados:
a. activo o preactivo: por estado preactivo se entienden aquellos certificados que,
generados en un determinado instante, sólo serán válidos en un intervalo de
tiempo posterior. Desde el momento en que se genera el certificado y hasta que
llega el momento de entrar en vigencia, el certificado está en estado Preactivo.
Cuando la fecha en curso cae dentro del intervalo de vigencia de un certificado,
en este caso, decimos que está en estado Activo.
b. Suspendido: muchas veces es necesario anular temporalmente la vigencia de
un certificado, para ello, la Autoridad de Certificación emisora decide pasarlo al
estado de Suspendido. Con ello no se está invalidando de forma irreversible el
certificado, sino que se le retira de circulación hasta que se le vuelva a dar el
estado de Activo.
c. Revocado: cuando las condiciones que llevaron a la emisión de un certificado
cambian antes de que éste expire, y son de importancia suficiente, la AC deberá
anularlo; para ello, emite un segundo certificado especial, denominado “de
revocación”, el cual, desde ese instante desautoriza al certificado previo y lo hace
de un modo irreversible. A manera de ejemplo se toma el caso de un empleado
que dispone de diferentes certificados de autoridad y que va a disfrutar de su
periodo de vacaciones, para su mayor seguridad, antes de irse, solicita a la
Agencia de Certificación que suspenda todos sus certificados de autoridad ya que
87
él no va estar en la empresa y no hay modo lícito por el cual puedan utilizarse
dichos certificados para ejercer la autoridad que declaran.
Generalmente se publican “Listas de Certificados Revocados” como listas
“negras” en las que la entidad emisora da a conocer cuales son los certificados
que ha anulado para, con ello, desentenderse de las responsabilidades que
pudieran acarrear la utilización y/o aceptación por parte de algún agente de la red
de los mencionados certificados. “Según la importancia de las transacciones que
realicen los agentes basándose en los certificados digitales que utilizan, algunas
veces no será necesario que consulten si las credenciales presentadas están
todavía vigentes en el momento de la transacción, pero habrá otros casos en los
que este requisito sea absolutamente necesario, por lo que el agente verificador
se pondrá en contacto con la Autoridad de Certificación emisora de la credencial
y le preguntará por el estado de vigencia (actividad) de ese certificado en
concreto (número de referencia).”38 Por su parte, la autoridad consultada deberá
devolver al consultante un documento firmado y fechado con la información
solicitada.
d. Caducado: este es el estado final de cualquier certificado y se produce
cuando la fecha en curso es posterior a la fecha de caducidad indicada en el
propio certificado. El estado de “certificado caducado” no le resta valor histórico
ya que, mientras estuvo activo, las operaciones en las que participó eran
perfectamente válidas. Las Autoridades de Certificación deben tener en todo
momento registrado cuales son los estados en los que se encuentran sus
certificados.
38
Ibidem
88
conocen ellos y que custodian con niveles de seguridad iguales o superiores a los
declarados públicamente.
Dado que todo el valor reside en que cada Agencia de Certificación es la única
capaz de generar las firmas que llevan su identificador, es muy importante que
esas claves privadas se almacenen y gestionen de forma segura. “Cualquier fallo
en la seguridad de las claves privadas no sólo pone en entredicho a la institución,
sino que invalida todos los certificados emitidos por ella.”39 En algunos eventos,
ambas funciones se consideran por separado y lo que se denomina Autoridad de
Certificación en sentido amplio, es dividido en Autoridad de Certificación y
Autoridad de Registro. Las funciones de evaluación y verificación de los extremos
contenidos en la política de seguridad se les atribuyen a las Autoridades de
Registro que pueden ser varias, y la capacidad de emitir certificados digitales se
delega a la Autoridad de Certificación propiamente dicha. En este caso, las
Autoridades de Certificación actúan como agentes ciegos guiados por las
Agencias de Registro.
“Para conseguir este nivel de seguridad para las claves privadas, éstas se
generan y almacenan permanentemente en unidades hardware de alta seguridad
denominadas “Unidades de Firmado de Certificados”, las cuales son sometidas a
sofisticadas medidas de seguridad física y dentro de entornos a prueba de
intrusión electrónica.”40 Estas unidades son, por su naturaleza, irrepetibles, y
están diseñadas para que, ante la sospecha de cualquier intento de intromisión,
las claves y demás informaciones relacionadas con ellas se destruyan antes de
que puedan ser alcanzadas desde el exterior. Los administradores de la
Autoridad de Certificación no tienen acceso a la clave privada, sino a un equipo
hardware que firma los documentos que éstos le entreguen. En caso de incendio
o cualquier otra catástrofe involuntaria y fortuita, si la unidad de firmado se
destruye, la validez y autenticidad de los certificados y credenciales emitidos no
queda comprometida y los certificados firmados siguen siendo válidos siempre y
cuando su estructura asegure que las claves privadas fueron completamente
39
Ibidem
40
http://www.lmdata.es/reports/cfd.htm
89
destruidas en el incidente y que de sus restos no se puede obtener información
parcial o marginal alguna de cuales fueron esas claves.
41
http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
90
con fecha pasadas, y en los casos de riesgo es mejor exigir que los mensajes
estén temporalmente certificados (estampillados o matasellados) por alguna o
algunas Autoridades de Certificación independientes dedicadas a ese menester.
En caso de que un usuario quiera rectificar una clave previamente caducada,
deberá asegurarse de que ésta tiene suficiente longitud (en dígitos) y que no hay
indicios de haber sido comprometida. En este caso, lo que hace la AC es
comprobar que el solicitante es realmente el poseedor de la clave privada
asociada con la clave pública que se le presenta, y emitir un nuevo certificado
para la misma clave y las nuevas firmas se referirán al nuevo certificado, en lugar
del anterior. De todas formas, y aún siendo este proceder aceptable en
escenarios de seguridad media, la facilidad con la que se generan claves hace
innecesario mantener vigente una clave durante periodos de tiempo mayores que
los especificados cuando se certificó por primera vez.
Una vez se destruye voluntaria o involuntariamente una clave privada que no
haya sido comprometida, desde ese momento no se pueden firmar ni descifrar
mensajes con ella, si bien todos los documentos firmados antes de la pérdida
permanecen válidos. Dado que la clave pública asociada sigue estando
dispersa por la red, el titular de la clave deberá solicitar a las Autoridades de
Certificación que hayan emitido certificados para ella, que los revoquen. De este
modo se pretende evitar que alguien pueda seguir utilizándola para enviar
mensajes cifrados al titular y éste ya no podrá leerlos. Dentro de la política de
seguridad de cualquier Autoridad de Certificación que se precie, deben indicarse
cuales son las medidas de seguridad y protocolos a seguir cuando se den este
tipo de situaciones.
6. Servicios de directorio
En caso que alguien quiera encontrar la clave pública de un usuario del sistema,
se prevén diversas formas de conseguirlo: bien por teléfono, por correo,
consultando publicaciones periódicas, etc., sin embargo, estos métodos, aún
pudiendo ser muy seguros, adolecen de una lentitud a veces intolerable. Para
poder obtener esa misma información a la velocidad habitual de las redes, las
91
Autoridades de Certificación dan Servicios de Directorio mediante los cuales,
cualquiera puede obtener la clave pública certificada de cualquier miembro con
quien quiere ponerse en contacto o establecer relaciones de algún tipo. “Un
servicio de Directorio consiste en una gran base de datos en la que cada
entrada de usuario en el directorio contiene los certificados de las claves
públicas de las que es titular, y cada entrada de una Autoridad de Certificación
contiene todos los certificados emitidos para ella por otras Autoridades de
Certificación ante las que está inscrita, y todos los certificados emitidos por ella
misma para otras autoridades.”42 Los Directorios hacen las funciones de las
“guías telefónicas” y deben de estar protegidos contra accesos no autorizados,
de forma que los usuarios puedan obtener de ellos los certificados de las claves
públicas que necesiten. De no existir este tipo de servicios, la distribución de los
certificados y credenciales debería hacerse a través de canales de
comunicación ajenos a la red con lo que haría más lenta la velocidad de
operación de todos los agentes y quedarían muy reducidas las ventajas iniciales
de los métodos telemáticos.
42
Ibidem
92
establezca el manual de procedimientos. Si la revocación es solicitada por el
titular, ésta debe concretarse de inmediato; si es solicitada por un tercero, debe
ser realizada dentro de los plazos mínimos necesarios para realizar las
verificaciones del caso. La revocación debe indicar el momento desde el cual se
aplica, precisando minutos y segundos, como mínimo, y no puede ser
retroactiva o a futuro. El certificado revocado debe ser incluido inmediatamente
en la lista de certificados revocados y la lista debe estar firmada por la Autoridad
de Certificación. Dicha lista debe publicarse en forma permanente e
ininterrumpida en Internet. La AC emite una constancia de la revocación para el
propietario del Certificado de Clave Pública revocada.
6- AUTORIDADES DE CERTIFICACIÓN:
93
Registro.”43 Habiendo la Autoridad Certificadora, por sí o a través de terceros,
verificado en forma fehaciente la identidad del solicitante de un certificado, está
en condiciones de emitir el mismo.
Es por tanto necesaria una infraestructura de clave pública suficiente para cerrar
el círculo de confianza, proporcionando una asociación fehaciente del
conocimiento de la clave pública a una entidad jurídica, lo que le permite la
verificación del mensaje y su imputación a una determinada persona. “Esta
infraestructura de clave pública consta de una serie de autoridades que se
especializan en papeles concretos, las cuales pueden materializarse como entes
individuales, o como una colección de servicios que presta una entidad
multipropósito”44:
43
http://www.colegioabogados.cl/revista/19/articulo5.htm
44
http://www-mat.upc.es/~jforne/sesion4.pdf
94
c. Autoridades de fechado digital (time stamping authorities): vinculan un instante
de tiempo a un documento electrónico avalando con su firma la existencia del
documento en el instante referenciado (resolverían el problema de la exactitud
temporal de los documentos electrónicos)
45
http://www.iee.es/come_002.htm
95
CAPITULO VI
MEDIOS DE PAGO ELECTRÓNICOS
46
http://www.iec.csic.es/criptonomicon/comercio/mediospago.html
96
El común denominador entre los protocolos de seguridad generales se encuentra
en la utilización de la criptografía asimétrica, tal y como se ha venido planteando
a lo largo del trabajo; la criptografía está jugando un papel fundamental en la
incorporación de nuevos medios de pago a los ya existentes hoy en día, pues es
la base sobre la que se sustenta la seguridad de estos nuevos medios. Sin
embargo, el principal problema esta en la ausencia de seguridad de la
información una vez finaliza la transferencia.
El objetivo a alcanzar es soportar el mayor número posible de sistemas de pago,
de tal forma que para cada transacción se pueda escoger y utilizar el más
adecuado e idóneo entre los múltiples métodos aceptados tanto por el comprador
como por el vendedor.
a- Facilidad de uso y rapidez; que sea como sacar monedas del bolsillo.
97
h- Seguridad para evitar robos, y en caso de no poder impedirlo, por lo menos
asegurar que perderá toda utilidad, de tal forma que no se tenga que responder
por lo que el delincuente adquiera.
98
2.2 Sistemas basados en un software especial (software-based). Estos
sistemas funcionan por medio de un programa instalado en la computadora del
usuario. Están diseñados para realizar pagos a través de redes,
fundamentalmente Internet. El proceso de carga se realiza por el intercambio de
mensajes entre los dispositivos del usuario y del emisor, mensajes que son
trasmitidos por la red. En la práctica, se tiende a involucrar, por razones de
seguridad, la emisión de documentos o cheques firmados digitalmente. El
proceso de pago depende del diseño del producto de que se trate, así como del
contexto en el que el pago se realiza. La determinación de la cantidad y
características de las entidades emisoras, cuyas obligaciones son
electrónicamente transmitidas en un sistema de dinero electrónico, son críticas
desde un punto de vista financiero, y afectan asimismo la implementación técnica
de dicho sistema. “Los sistemas que se basan en un solo emisor, pueden no
necesitar un clearing de las transacciones realizadas, siempre y cuando otra
institución no participe colectando o distribuyendo fondos. En sistemas con
múltiples emisores, el número de tarjeta o un certificado emitido por una
autoridad certificante dentro de una infraestructura de firma digital, identifica al
usuario, y las transacciones comerciales y demás operaciones son trasmitidas al
ente emisor para su registro. Este registro puede servir tanto para fines de
clearing financiero como para brindar seguridad al sistema.” 47
47
Ibidem
99
generalmente admitida para la realización de intercambios.”48 El dinero
electrónico pretende ser equivalente al dinero tradicional pero sustituyendo el
soporte tradicional por el soporte electrónico, esto es, sustituyendo el papel por
bits. Se busca, pues, que el dinero electrónico ofrezca las mismas propiedades
que el dinero físico que son, básicamente, las siguientes:
a) aceptación universal
b) pago garantizado
c) inexistencia de costes para el usuario
d) anonimato.
No obstante, debe tenerse en cuenta que hoy en día los medios electrónicos de
pago todavía están en fase de desarrollo y muchos productos están todavía en
fase experimental, y en muchos casos se trata de simples propuestas técnicas
sin implementación real. Por tanto, existe una gran diversidad de esquemas de
pago, sin que haya estándares establecidos y cada una de estas propuestas
exige decisiones sobre las concretas características. Adicionalmente, en el nuevo
sector del dinero electrónico existe una gran confusión, empezando por los
términos creados para cada una de las diferentes técnicas y pasando por las
definiciones legales clave. Así, puede ya oírse hablar de dinero electrónico,
dinero cibernético, moneda cibernética, e-cash o cyber-cash.
48
http://nti.uji.es/docs/nti/net/dinero_electronico.html
100
falsificado ni copiado, goza de anonimato (parcialmente), se puede controlar en
cualquier momento y cuya transferencia requiere pocos datos.
3.1.1 Contenido: el uso del dinero efectivo electrónico ha surgido
recientemente como una alternativa a los pagos realizados con tarjetas ya que
muchos usuarios de Internet se abstienen de realizar sus compras con las
mismas por la facilidad de rastrear la compra, sus nombres, números de tarjetas,
gustos, preferencias etc.
“El dinero electrónico, es moneda en forma electrónica y es emitido
electrónicamente, siendo almacenado en la memoria de un computador,
prescindiendo de cualquier soporte material, cuyo valor económico se atribuye a
un mensaje electrónico ubicado en el disco duro y que puede circular por las
redes electrónicas; de ahí que se denomine dinero en red, más adecuado, por
sus características, para su aplicación al comercio electrónico.”49 Los sistemas
de dinero electrónico suelen caracterizarse por un bajo coste en cada operación
de pago, lo que los hace apropiados para realizar micropagos, entendiendo por
ellos, cantidades (muy) pequeñas.
“En los billetes electrónicos, el papel moneda se sustituye por un conjunto de bits
representativos de un determinado valor denominados tokens, que se almacenan
en ficheros del disco duro y que pueden transferirse a través de la red a cambio
de un producto o servicio.”50 Para tener validez, los tokens deben ser similares al
dinero metálico o de papel, así como en los billetes y monedas tradicionales el
banco se compromete a su reconocimiento por un valor determinado, de la
misma manera los billetes y monedas electrónicas deben estar respaldados por
un determinado valor, tratándose en este caso de un valor prepagado, siendo la
institución financiera la encargada de autenticar su emisión. Por otra parte deben
reunir las mismas características de identificación de sus homólogos en papel,
esto es, estar identificados con un número de serie único, contener el valor
nominal, estar fechados y firmados por la entidad emisora. Para certificar su
49
Ibidem
50
Ibidem
101
valor, el banco emisor firma los tokens con su firma digital y carga en la cuenta
del usuario la cantidad de dinero real correspondiente al dinero digital generado.
Los tokens se convierten así en el equivalente digital de los billetes y monedas y,
de hecho, comparten con ellos muchas características, por ejemplo:
el pago es rápido, no requiere autorización previa y (relativamente) anónimo.
Debe evitarse la posibilidad de falsificar o duplicar tokens, pues si se pierde el
dinero electrónico o éste es robado no hay posibilidad de impedir que otra
persona lo gaste, lo cual se constituye en uno de los principales problemas que
se presentan con el uso de este sistema, por la facilidad de copiar el billete
emitido electrónicamente y la posibilidad de cobrar el mismo billete más de una
vez. “Estos problemas se solucionan en principio, con la ayuda de técnicas
criptográficas en la generación del dinero electrónico y con un control exhaustivo
de parte de la institución financiera que respalda la emisión del dinero
electrónico.”51
3.1.2 Sistemas de dinero electrónico:
Algunos sistemas de dinero electrónico son:
3.1.2.1 E- Cash
Sistema gestionado por la empresa de origen holandés Digi-Cash52, consistente
en la emisión de unos pequeños archivos que equivalen a dinero digital. Para
usar el E-Cash tanto el comprador como el vendedor necesitan tener abierta una
cuenta en uno de los bancos que emiten el dinero electrónico, siendo la propia
institución financiera la que facilita el software de emisión del dinero efectivo
electrónico.
En el momento de generar el billete, el usuario le asigna un valor nominal y un
número de serie (el software está programado para generar números de serie
aleatorios suficientemente largos para evitar la duplicidad en la generación de los
billetes), lo firma y lo envía a la institución financiera quien luego de verificar el
número de la cuenta del usuario y la disponibilidad de fondos, procede a firmar el
billete con una clave, certificando el valor nominal solicitado, y se lo envía al
usuario. Una vez que el usuario ha recibido el billete firmado por el banco, lo
51
http://nti.uji.es/docs/nti/net/dinero_electronico.html
52
http://www.digicash.com
102
puede almacenar en una billetera electrónica o lo puede usar inmediatamente
para pagar sus compras en los establecimientos adheridos al sistema. El
comerciante, al recibir el billete, lo envía a la entidad emisora y ésta, una vez que
ha comprobado la autenticidad de la moneda, acredita el valor del billete en la
cuenta del comerciante. Para evitar que el billete sea cobrado dos veces, el
banco emisor debe contar con una base de datos que le permita verificar los
números de serie de los billetes que han sido pagados.
El problema que se presenta con este procedimiento es que no garantiza en
forma absoluta el anonimato del billete pues el banco siempre sabrá la serie de
billete que ha firmado y a quién se lo ha firmado, pudiendo conocer, gracias a
estos datos, cuándo, cómo y dónde fue gastado el billete. “Para solucionar esta
situación se ha ideado el sistema de la “firma digital a ciegas”, mediante el cual el
usuario, antes de enviar la moneda para que la firme el banco, multiplica el
número de serie por un factor conocido como "factor ciego" con la finalidad de
ocultar el verdadero número de serie del billete electrónico, siendo imposible
relacionar el número de serie del billete con el número obtenido después de
aplicar el factor ya que sólo el usuario conoce el factor.”53 Cuando el usuario
recibe el billete divide el número firmado por el banco aplicando el mismo
coeficiente que utilizó para generarlo, obteniendo el número de serie oculto, de
manera que es imposible conocer quien ha gastado el billete ya que el banco
cuando firmó el billete sólo sabía que se trataba de un billete de un determinado
valor solicitado por uno de sus clientes.
53
http://esp.ecashdirect.net/tutorial/tutorial_withdraw.html
54
http://www.millicent.digital.com
103
determinado; los scrips son emitidos y recibidos por un mismo vendedor que es
quien determina el valor de cada uno así como su fecha de vencimiento y
desconoce la identidad del comprador.
El sistema necesita de la presencia de un broker (intermediario) que oficia de
intermediario entre un comprador y todos los vendedores y entre un vendedor y
todos los posibles compradores. Este intermediario conoce la identidad del
comprador pero no lo que ha comprado.
Funciona de la siguiente manera:
1. El comprador instala el programa MilliCent (con U$10 de regalo) servido
por Digital.
2. El comprador le pide al broker un scrip.
3. El broker le vende uno.
4. El broker le pide un scrip al vendedor.
5. El vendedor le vende uno.
6. El comprador le pide al broker el scrip de un vendedor específico y le envía
el scrip que antes le había comprado.
7. El broker le envía el scrip solicitado y el vuelto en forma de otro scrip suyo.
8. El comprador le envía el scrip al vendedor.
9. El vendedor acepta el scrip, verifica que haya sido emitido por él, entrega
las mercaderías o brinda el servicio y envía el vuelto al comprador en
forma de otro nuevo scrip.
10. El comprador puede guardar este nuevo scrip para realizar una futura
compra con ese mismo vendedor o puede cambiarlo por un scrip del
broker.
104
No existe ninguna diferencia conceptual con respecto al uso de tarjetas en el
mundo no virtual, pues también supone un cobro rápido para el vendedor a
cambio de una comisión. El pago se ordena a través de la red, mientras que la
validación y realización efectiva se realiza a través de los circuitos normales que
las entidades poseen para tal efecto, independientemente de si la operación ha
sido hecha desde Internet o no.
Los actores que intervienen de manera más general en este sistema son el
comprador y el vendedor. También forman parte activa de la transacción el banco
emisor de la tarjeta de crédito del cliente y el del vendedor que recibe la
transacción, siendo este último en quien reside la cuenta donde se va a liquidar el
pago.
105
cómo podría hacer una reclamación en caso de detectar un uso fraudulento. Por
tanto este sistema será aceptable en Internet sólo en el caso de que el cliente
conozca previamente al vendedor, su localización física, y deposite en él
suficiente confianza.
55
http://www.geocities.com/konqui.geo/SET.HTML
106
con la finalidad de obtener la correspondiente autorización o rechazo de la
transacción.
a. Decisión de compra del cliente. El cliente está navegando por el sitio Web
del comerciante y decide comprar un artículo. Para tal efecto, llenará algún
formulario y posiblemente hará uso de alguna aplicación tipo carrito de la
compra, para ir almacenando diversos artículos y pagarlos todos al final. El
protocolo SET se inicia cuando el comprador pulsa el botón de Pagar.
b. Arranque del monedero. El servidor del comerciante envía una descripción
del pedido que despierta a la aplicación monedero del cliente.
56
Ibidem
107
c. El cliente comprueba el pedido y transmite una orden de pago de vuelta al
comerciante. La aplicación monedero crea dos mensajes que envía al
comerciante. El primero, la información del pedido, contiene los datos del
pedido, mientras que el segundo contiene las instrucciones de pago del
cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco
adquiriente. En este momento, el software monedero del cliente genera un
firma dual, que permite juntar en un solo mensaje la información del pedido
y las instrucciones de pago, de manera que el comerciante puede acceder
a la información del pedido, pero no a las instrucciones de pago, mientras
que el banco puede acceder a las instrucciones de pago, pero no a la
información del pedido. Este mecanismo reduce el riesgo de fraude y
abuso, ya que ni el comerciante llega a conocer el número de tarjeta de
crédito empleado por el comprador, ni el banco se entera de los hábitos de
compra de su cliente.
d. El comerciante envía la petición de pago a su banco. El software SET en el
servidor del comerciante crea una petición de autorización que envía a la
pasarela de pagos, incluyendo el importe a ser autorizado, el identificador
de la transacción y otra información relevante acerca de la misma, todo
ello convenientemente cifrado y firmado. Entonces se envían al banco
adquiriente la petición de autorización junto con las instrucciones de pago
(que el comerciante no puede examinar, ya que van cifradas con la clave
pública del adquiriente).
e. El banco adquiriente valida al cliente y al comerciante y obtiene una
autorización del banco emisor del cliente. El banco del comerciante
descifra y verifica la petición de autorización. Si el proceso tiene éxito,
obtiene a continuación las instrucciones de pago del cliente, que verifica a
su vez, para asegurarse de la identidad del titular de la tarjeta y de la
integridad de los datos. Se comprueban los identificadores de la
transacción en curso (el enviado por el comerciante y el codificado en las
instrucciones de pago) y, si todo es correcto, se formatea y envía una
petición de autorización al banco emisor del cliente a través de la red de
medios de pago convencional.
108
f. El emisor autoriza el pago. El banco emisor verifica todos los datos de la
petición y si todo está en orden y el titular de la tarjeta posee crédito,
autoriza la transacción.
g. El adquiriente envía al comerciante un testigo de transferencia de fondos.
En cuanto el banco del comerciante recibe una respuesta de autorización
del banco emisor, genera y firma digitalmente un mensaje de respuesta de
autorización que envía a la pasarela de pagos, convenientemente cifrada,
la cual se la hace llegar al comerciante.
h. El comerciante envía un recibo al monedero del cliente. Cuando el
comerciante recibe la respuesta de autorización de su banco, verifica las
firmas digitales y la información para asegurarse de que todo está en
orden. El software del servidor almacena la autorización y el testigo de
transferencia de fondos. A continuación completa el procesamiento del
pedido del titular de la tarjeta, enviando la mercancía o suministrando los
servicios pagados.
i. Más adelante, el comerciante usa el testigo de transferencia de fondos
para cobrar el importe de la transacción. Después de haber completado el
procesamiento del pedido del titular de la tarjeta, el software del
comerciante genera una petición de transferencia a su banco, confirmando
la realización con éxito de la venta. Como consecuencia, se produce el
abono en la cuenta del comerciante.
j. A su debido tiempo, el dinero se descuenta de la cuenta del cliente.
109
funciona en sentido similar a una cartera física almacenando las diferentes
tarjetas electrónicas que posee el comprador y su identificación personal.
“La seguridad en la transacción en el pago con tarjetas mediante el uso del
protocolo SET, se basa en el sistema de firma doble en virtud del cual, el titular
firmará el pedido con la firma pública del comerciante (pudiendo ser éste
solamente quien descifre el mensaje con su clave privada) mientras que la parte
referente al pago vendría cifrada con la clave pública de la entidad emisora o
directamente con la clave pública de la pasarela de pagos según los casos,
siendo éstos los únicos que podrán descifrar esta parte del mensaje mediante la
aplicación de su clave privada. Una vez que el mensaje ha sido cifrado, el
comprador envía el pedido, el comerciante lo recibe y comprueba su veracidad,
remite la orden a la pasarela de pagos, quien no tendrá acceso al contenido del
pedido pero sí a los datos bancarios necesarios para autorizar o denegar la
operación, ésta a su vez solicita la respuesta de la autorización a la respectiva
entidad financiera (banco emisor o banco adquirente), enviando la respuesta al
comerciante.”57
De esta manera se dice que la seguridad en la transacción es absoluta ya que
mediante el sistema de certificados se garantiza la autenticidad de las partes
mientras que el uso de la firma electrónica aporta las garantías de integridad y no
repudio mensaje. No obstante la seguridad que aporta el uso del protocolo SET,
su implantación ha sido criticada en el entendido de que se trata de un proceso
complejo y lento al requerir sistemas asimétricos de cifrado y la comprobación de
los distintos certificados de las partes, de manera que en cada comunicación, el
receptor debe comprobar el origen de la transmisión por medio del sistema de
jerarquías de certificados de los distintos proveedores que los hayan emitido.
De otro lado, los clientes deben darse previamente de alta en el sistema,
solicitando la instalación del Wallet y la conexión con el proveedor de servicios de
certificación para la correspondiente emisión de las claves, lo cual conlleva
plazos entre una y dos semanas.
57
Ibidem
110
Se puede resumir el funcionamiento del protocolo SET de la siguiente forma a
manera de conclusión:
A. Objetivos y necesidades que se quieren conseguir con el protocolo SET:
a. Garantía de la confidencialidad y la no manipulación de la información
financiera personal.
b. Proteger el sistema de tarjetas de crédito utilizado en Internet.
c. Generar, en la mente del consumidor, una opinión de confianza
respecto al nuevo concepto de Internet como mercado.
d. Evitar el pago de compras mediante tarjetas de crédito no autorizadas.
e. Evitar el robo de información financiera del comprador.
58
http://www.geocities.com/konqui.geo/SSL.HTML
111
intercambiados entre el servidor y el cliente mediante un algoritmo de cifrado
simétrico. A diferencia del protocolo SET, el sistema SSL carece de capacidad
para verificar la validez del número de tarjeta, autorizar la transacción y procesar
la operación con el banco adquirente; la entidad emisora sólo asegura que
mientras viajan los datos desde el navegador hasta el servidor no serán
modificados, pero una vez que lleguen allí, los datos pueden ser manipulados.
Actualmente el profesor Serge Vaudenay, del Instituto Federal de Tecnología de
Suiza, ha demostrado la existencia de una vulnerabilidad de revelado de
información, que puede permitir a un atacante identificar la clave utilizada para el
cifrado de una sesión al descubrir un método para descifrar un mensaje
codificado con la tecnología SSL.
El ataque consta básicamente de los siguientes pasos:
1. El atacante intercepta el bloque que desea descifrar (la contraseña) que envía
uno de los participantes de la sesión.
2. El atacante envía al otro participante un bloque construido por él a partir del
bloque interceptado.
3. El servidor remitirá un mensaje de error al atacante. Este mensaje indicará que
tipo de error se ha producido, si durante la verificación de los bits de relleno o
durante la verificación del código de autenticación.
Este tipo de ataque requiere que el mensaje utilizado para el cifrado sea el mismo
durante un gran número de sesiones. En el ejemplo práctico utilizado por los
investigadores suizos, se ha utilizado un cliente de correo, que periódicamente
consulta al servidor de correo la posible existencia de nuevos mensajes.
No obstante, los expertos en criptografía de Estados Unidos afirmaron que no se
trata de la versión de seguridad que utiliza la mayoría de los usuarios para
realizar operaciones 'comprometidas' como compras on line.
112
que pueda realizarse cualquier transacción a través de este sistema, tanto el
vendedor como el comprador deben registrarse con First Virtual, debiendo
mandar una solicitud y recibiendo un PIN (número de identificación personal).
Este PIN funcionará como sustituto del número de la tarjeta de crédito y sólo First
Virtual puede conectar este pin con el dueño de la tarjeta de crédito.
113
compras, (cabinas telefónicas, taxis, bares, etc) donde hasta ahora no se
aceptaba la tradicional tarjeta de crédito y el consumidor debía realizar los pagos
en efectivo.”59
El funcionamiento de los monederos electrónicos implica el almacenamiento -
previo a su uso- de una determinada cantidad de dinero a voluntad del titular de
la tarjeta mediante una transferencia de la cuenta bancaria del usuario del
monedero, de forma tal que con el dinero contenido en él, el titular pueda adquirir
los productos y servicios de los proveedores adheridos al sistema.
Este sistema se basa en el prepago, es decir la conversión previa de dinero real
en dinero electrónico, razón por la cual, para la generación del dinero efectivo
electrónico a través de un programa de computador, es necesario, en primer
lugar, tener una cuenta bancaria en una institución financiera ya que son los
fondos de esa cuenta los que permiten a su titular emitir dinero electrónico.
El uso de esta tarjeta implica su introducción en el dispositivo adecuado del
proveedor de bienes y/o servicios a objeto de registrar la operación realizada y
efectuar la correspondiente deducción del saldo, situación que en principio limita
el uso de la tarjeta monedero en operaciones en Internet, no obstante su uso se
está implantando a través de la instalación de un hardware específico en los
computadores de los usuarios que permite la lectura de las tarjetas. El importe de
las operaciones se registra tanto en la tarjeta a través de microchip, como en los
registros informáticos del banco. La utilización del monedero electrónico,
comporta para el titular la asunción de los riesgos en caso de utilización
fraudulenta o irregular así como por su pérdida, incluso después de haberlo
notificado al banco.
Entre los principales sistemas de pago que utilizan el monedero electrónico cabe
mencionar el Sistema de Europay, MasterdCard y Visa (EMV), el European
Electronic Purse (EEP), iniciativa del European Committee for Banking Standards
(ECBS), el Conditional Access for Europe (CAFE) el sistema MONDEX y el
CyberCash, entre otros.
59
http://nti.uji.es/docs/nti/net/dinero_electronico.html
114
Cybercash60, una de las tarjetas monedero que lleva más tiempo en el mercado,
permite almacenar distintas divisas y contiene un programa de seguridad para
proteger el dinero contenido en el monedero. El sistema de aplicación y
utilización implica:
1- El comprador instala la CyberCash Wallet, programa donde se introducen los
datos de las tarjetas que se usarán. El programa gestiona las claves de
protección.
2- El vendedor se registra en CyberCash e instala el CashRegister en su servidor.
3- Cuando el cliente decide comprar al vendedor, el monedero CC (CyberCash)
genera una hoja de pedido electrónica que contiene el número de tarjeta, PIN e
importe. La hoja va con clave privada de cliente y clave pública de CC.
4- La hoja de pedido se envía al vendedor, que lo encripta con su clave privada y
lo envía a CC.
5- CC comprueba los datos y la identidad de comprador y vendedor.
6- CC encarga al banco (o tarjeta) la operación.
7- La conformidad del banco es enviada al comprador y al vendedor.
8- El vendedor envía el producto.
60
http://www.cybercash.com
61
http://pyme.net.uy/documentos/sistemas_pago.htm
115
cerrado ya que el dinero sólo puede transferido desde una tarjeta Mondex a otra.
Como toda la comunicación entre tarjetas está encriptada, el sistema puede ser
usado en canales de comunicación abiertos como Internet o la red telefónica. Los
lectores de tarjetas pueden ser incorporados a teléfonos, colectivos,
computadoras, etc.
Así mismo, permite transferencias entre cualquiera que posea el sistema: entre
bancos y sus clientes, entre clientes entre sí y entre vendedores y compradores.
Las tarjetas, además, pueden ser usadas en todo tipo de transacciones: desde
las tradicionales y físicas hasta las electrónicas a través de cualquier red, desde
pequeños valores hasta grandes sumas de dinero.
62
http://www.interfaz.com.co/mediosdepago/Sistemasdepago.html
116
En Italia se está implantando el sistema de pago mediante lectores de tarjetas
conectados al PC del comprador. Se trata de un sistema que permite hacer los
pagos en Internet sin enviar el número de la tarjeta de manera que ningún hacker
pueda apropiarse de los datos del instrumento de pago ni descifrar los algoritmos
matemáticos de cifrado de la información. El sistema es proporcionado por la
empresa Mover, especializada en diseños de sistemas de seguridad para pagos
electrónicos. “Mediante un acuerdo contractual que incluye el pago
correspondiente al servicio, la empresa expide directamente al usuario un kit
compuesto de una tarjeta inteligente denominada Movercard y un lector para
conectar al PC. La firma electrónica del usuario está contenida en el
microprocesador de la tarjeta de modo que es posible reconocer su identidad,
una vez insertada la tarjeta en el lector se teclea el PIN y se autoriza el pago, con
este sistema es posible hacer compras en los establecimientos afiliados al
sistema Mover.”63
63
Ibidem
64
http://nti.uji.es/docs/nti/net/dinero_electronico.html
117
La emisión electrónica de letras de cambio es perfectamente factible en los
países que no exigen la utilización de formatos específicos para su emisión. La
mayoría de los países que han adoptado legislación en materia de contratación y
comercio electrónico consagran el principio de equivalencia funcional entre el
documento electrónico y el documento que requiere el tradicional soporte en
papel, de igual manera que consagran el principio de equivalencia funcional entre
la firma autógrafa y la firma manuscrita.
El principal problema que se suscita con el uso electrónico de la letra de cambio,
es el mismo que se presenta en la actualidad con el uso de la letra de cambio
tradicional por efecto del fenómeno conocido como "la crisis de la letra de
cambio" derivado principalmente de la pérdida de confianza en el instrumento
cambiario.
118
electrónica de bolsillo contenida en una tarjeta electrónica. La seguridad de estos
sistemas se basa en el uso de algoritmos criptográficos que permiten garantizar
la integridad de los datos contenidos en el cheque, evitar las duplicaciones y
mantener oculto el número de cuenta del librador.
El uso del cheque electrónico debe ser pactado con el banco o entidad financiera
y debe insertarse dentro del contrato de cuenta corriente de igual forma como se
pacta el uso del cheque tradicional ya que en virtud de este contrato es que la
entidad se obliga a satisfacer al tenedor el importe del cheque. Debe existir una
cláusula en el contrato que permita la emisión de cheques mediante el uso de la
firma electrónica registrando los datos relativos a la firma del librador tal como se
hace en los casos de las firmas manuscritas, para lo cual será necesario la
intervención de una tercera parte, esto es, de la autoridad de certificación.
Como los cheques electrónicos utilizan el mismo marco regulatorio que los
cheques de papel, no son un nuevo tipo de pago que produce una ruptura con los
esquemas vigentes. Para participar, los bancos sólo tienen que agregar un
servidor electrónico de cheques a un sistema existente.
119
y el comercio recibe el identificador de esta autorización para que entregue el
pedido. CheckFree se encarga de interactuar con los bancos para llevar a cabo la
transferencia de fondos.
Los clientes pueden poner dinero en su cuenta para ejecutar pagos, y los
comercios pueden retirarlo. Dedicados a micro pagos basado en un sistema de
clave simétrica y capaz de gestionar pagos de decenas de centavo de dólar.
65
http://www.echeck.org/
120
4- NetCheck66: Esta es una compañía que implementa el sistema de cheques
electrónicos. Un cheque electrónico es igual al sistema tradicional solo que se
autentifica mediante una firma digital. Para utilizar este sistema el cliente debe
tomar una cuenta en NetCheck, además debe tener una cuenta bancaria o tarjeta
de crédito para respaldar los pagos. El cliente hace un cheque escribiendo todos
los datos necesarios y firmándolo con su firma digital, luego el comerciante
manda los datos a NetCheck, el que certifica la firma y autoriza la transferencia
de fondos.
66
http://www.netcheck.com
121
5. VENTAJAS
1. Disponibilidad: el dinero electrónico está disponible las 24 horas del día, 7 días
a la semana, pues su utilización a través de redes electrónicas no tiene
restricción temporal, ni aún para operaciones entre sitios en diferentes países.
6. PROBLEMATICA
122
La emisión de dinero electrónico tendrá una importante incidencia en la política
monetaria y obligará a asegurar la estabilidad de los precios y la función del
dinero como unidad de cuenta.
123
4. Susceptibilidad a manipulaciones criminales: junto con el avance tecnológico,
se presentan niveles más sofisticados de criminalidad basados en conocimiento
avanzado de la tecnología, lo que puede causar daños catastróficos que lleven a
una pérdida de confianza en el sistema o en su moneda. Por esta razón, hoy solo
se ven aplicaciones de dinero electrónico en ambientes fáciles de controlar: por
su tamaño, por lo cerrado de la comunidad beneficiada, o por poco riesgo en
bajos volúmenes de las transacciones; no es la tecnología la que impone el
límite.
124
inconveniente e incumplen alguno de los requisitos que hemos enumerado. Por
tanto es necesario que haya diversidad. Para los pagos pequeños se usará un
medio y para los pagos grandes o los pagos diferidos en el tiempo elegiremos
otros.
Los medios de pago en Internet son muchos y tampoco hay ninguno que sea
perfecto. Dependiendo de lo que se vaya a comprar o vender se usará uno u
otro. En cualquier caso, siendo el ciberespacio un territorio recién descubierto y
con tantas perspectivas de utilización comercial, es natural que estén surgiendo
con profusión nuevos medios de pago diseñados específicamente para Internet
125
CAPITULO VII
ESTANDARES INTERNACIONALES
MODELOS INTERNACIONALES
67
http://www.hfernandezdelpech.com.ar/Leyes/LEY%20MODELO%20NAC.UNIDAS%20SOBRE%20FIR
MA%20DIGITAL.htm
126
Digital ("Propuesta de Directiva del Parlamento Europeo y el Consejo sobre un
Marco Común Para las Firmas Electrónicas") del 13 de mayo de 1998, publicado
en el Diario Oficial de las Comunidades Europeas del 23 de octubre de 1998, que
establece las pautas para la utilización de la firma digital por los Estados
miembros.
127
Estados, para conferir previsibilidad a las operaciones comerciales
transfronterizas y, por el segundo, el proceso mediante el cual los Estados
aprueban normas o regímenes jurídicos comunes para regular determinados
aspectos de las operaciones mercantiles internacionales. Una ley modelo o una
guía legislativa ejemplifican el tipo de texto cuya finalidad es armonizar el derecho
interno, mientras que una convención es un instrumento internacional al que los
Estados dan su aprobación oficial a fin de unificar en el ámbito internacional
ciertas esferas de su derecho interno. Entre los textos preparados hasta la fecha
por UNCITRAL figuran convenciones, leyes modelo, guías jurídicas, guías
legislativas, reglamentos y notas sobre determinadas prácticas.
128
partes la ausencia de un régimen general del comercio electrónico. De ello puede
resultar incertidumbre acerca de la naturaleza jurídica y la validez de la
información presentada en otra forma que no sea la de un documento tradicional
sobre papel.
La Ley Modelo tiene por objeto enunciar los procedimientos y principios básicos
para facilitar el empleo de las técnicas modernas de comunicación para consignar
y comunicar información en diversos tipos de circunstancias., permitiendo facilitar
el empleo del comercio electrónico y concediendo igualdad de trato a los usuarios
de mensajes consignados sobre un soporte informático que a los usuarios de la
documentación consignada sobre papel. No obstante, se trata de una ley "marco"
que no enuncia por sí sola todas las reglas necesarias para aplicar esas técnicas
de comunicación en la práctica. Además, la Ley Modelo no tiene por objeto
regular todos los pormenores del empleo del comercio electrónico. Por
consiguiente, el Estado promulgante tal vez desee dictar un reglamento para
pormenorizar los procedimientos de cada uno de los métodos autorizados por la
Ley Modelo a la luz de las circunstancias peculiares y posiblemente variables de
129
ese Estado, pero sin merma de los objetivos de la Ley Modelo. Se recomienda
que todo Estado, que decida reglamentar más en detalle el empleo de estas
técnicas, procure no perder de vista la necesidad de mantener la plausible
flexibilidad del régimen de la Ley Modelo, creando un entorno legal neutro para
todo medio técnicamente viable de comunicación comercial.
En virtud de esta ley, por “firma digital” se entenderán los datos en forma
electrónica consignados en un mensaje de datos, o adjuntados o lógicamente
asociados al mismo que puedan ser utilizados para identificar al firmante en
relación con el mensaje de datos e indicar que el firmante aprueba la información
contenida en el mensaje de datos; por “certificado” todo mensaje de datos u otro
registro que confirme el vínculo entre un firmante y los datos de creación de la
firma; por “mensaje de datos” la información generada, enviada, recibida o
archivada por medios electrónicos, ópticos o similares; por “firmante” la persona
que posee los datos de creación de la firma y que actúa en nombre propio o de la
persona a la que representa; por “prestador de servicios de certificación” la
persona que expide certificados y puede prestar otros servicios relacionados con
las firmas electrónicas; y por “parte que confía” se entenderá la persona que
pueda actuar sobre la base de un certificado o de una firma electrónica.
130
En este sentido, la ley modelo dispuso en el capitulo II sobre la aplicación de los
requisitos jurídicos a los mensajes de datos, consagrando las siguientes normas:
1. Cuando la ley requiera que la información conste por escrito, ese requisito
quedará satisfecho con un mensaje de datos si la información que éste contiene
es accesible para su ulterior consulta.
a) Si se utiliza un método para identificar a esa persona y para indicar que esa
persona aprueba la información que figura en el mensaje de datos; y
131
b) Si ese método es tan fiable como sea apropiado para los fines para los que se
generó o comunicó el mensaje de datos, a la luz de todas las circunstancias del
caso, incluido cualquier acuerdo pertinente.
b) El grado de fiabilidad requerido será determinado a la luz de los fines para los
que se generó la información y de todas las circunstancias del caso.
132
4. Lo dispuesto en el presente artículo no será aplicable a: (....)
c) Que se conserve, de haber alguno, todo dato que permita determinar el origen
y el destino del mensaje, y la fecha y la hora en que fue enviado o recibido.
133
2. La obligación de conservar ciertos documentos, registros o informaciones
conforme a lo dispuesto en el párrafo 1) no será aplicable a aquellos datos que
tengan por única finalidad facilitar el envío o recepción del mensaje.
Sobre esta base, la ley modelo propugna por la Igualdad de tratamiento de las
tecnologías para la firma, de tal forma que ninguna de las disposiciones, sea
aplicada de modo que excluya, restrinja o prive de efecto jurídico cualquier
método para crear una firma electrónica que cumpla los requisitos enunciados
para la misma o que cumpla de otro modo los requisitos del derecho aplicable.
134
4. El Comité de Seguridad de la Información de la Sección de Ciencia y
Tecnología de la American Bar Association ("ABA" - Asociación de Abogados de
los EE.UU.) redactó su Normativa de Firma Digital en 1996, en la que participaron
casi ochenta profesionales de las disciplinas del derecho, la informática y la
criptografía de los sectores público y privado, en la que especifica un mecanismo
de firma digital a base a criptografía asimétrica, los certificados de clave pública y
los certificadores de clave pública.
135
electrónico.
- Disponer una base de datos de los links para los términos electrónicos que
provean definiciones completas de las disposiciones legales de las diferentes
136
compañías.
137
CAPITULO VIII
LEGISLACION VIGENTE
68
NEGOCIOS EN INTERNET. Cap. 6 “la seguridad en las redes abiertas”. Pág. 149
138
se realizará frente a los siguientes temas: firma digital, autoridades de
certificación y su validez y efectos jurídicos, constituyendo estos los pilares de la
nueva realidad comercial urgida de seguridad.
“No debe perderse de vista, que en todos los casos, está presente el interés
legítimo de los Estados de velar por la seguridad y el orden públicos y el
resguardo de las naciones”69.
1- Unión Europea:
Estructura de la “Directiva 99/93”:
1- Justificación:
Las redes abiertas como Internet cada vez son más importantes para la
comunicación mundial. Estas redes permiten la comunicación interactiva entre
personas que anteriormente, no tenían ninguna relación previa.
69
Ibidem Pág. 148
139
La firma digital entendida como el conjunto de datos en forma electrónica
accesorios a otros datos electrónicos o asociados de manera lógica con ellos,
utilizados como medio de autenticación, no tiene reconocimiento juridico perfecto,
puesto que para que esto se de, es necesario que la firma digital sea avanzada,
es decir, que cumpla los requisitos siguientes:
a) estar vinculada al firmante de manera única;
b) permitir la identificación del firmante;
c) haber sido creada utilizando medios que el firmante puede mantener bajo su
exclusivo control;
d) estar vinculada a los datos a que se refiere de modo que cualquier cambio
ulterior de los mismos sea detectable.
Adicionalmente, para que la firma electrónica avanzada satisfaga el requisito
jurídico de una firma en relación con los datos en forma electrónica del mismo
modo que una firma manuscrita satisface dichos requisitos en relación con los
datos en papel y además, detente pleno valor probatorio, es necesario que este
basada en un certificado reconocido y creada por un dispositivo seguro de
creación de firma.
140
b- que un proveedor de servicios de certificación establecido en la
Comunidad, que cumpla las prescripciones de la Directiva, avale el
certificado;
c- que el certificado o el proveedor de servicios de certificación estén
reconocidos en virtud de un acuerdo bilateral o multilateral entre la
Comunidad y terceros países u organizaciones internacionales.
Para facilitar el desarrollo de estos servicios, la Comisión presentará,
propuestas para lograr el efectivo establecimiento de normas y acuerdos
internacionales aplicables a los servicios de certificación. En particular, y
en caso necesario, solicitará al Consejo mandatos para la negociación de
acuerdos bilaterales y multilaterales con terceros países y organizaciones
internacionales.
141
Adicionalmente los proveedores de servicios de certificación serán
responsables por el perjuicio causado a cualquier entidad o persona física
o jurídica que confíe razonablemente en dicho certificado por no haber
registrado la revocación del certificado, salvo que el proveedor de servicios
de certificación pruebe que no ha
actuado con negligencia.
El proveedor de servicios de certificación no deberá responder de los
daños y perjuicios causados por el uso de un certificado reconocido que
exceda de los límites establecidos por él mismo para sus posibles usos,
indicados en este.
Finalmente, el proveedor de servicios de certificación podrá consignar en
el certificado reconocido un valor límite de las transacciones que puedan
realizarse con el mismo, siempre y cuando los límites sean reconocibles
para terceros. El proveedor de servicios de certificación no será
responsable por los perjuicios que pudieran derivarse del exceso de este
máximo
3- Condicionamientos Especiales:
142
Los Estados miembros no podrán imponer restricciones a la prestación de
servicios de certificación procedente de otro Estado miembro en los ámbitos
regulados por la Directiva.
d- Los Estados miembros velarán por que los productos de firma electrónica que
sean conformes con la Directiva puedan circular libremente en el mercado
interior.
143
g-. Los Estados miembros velarán por que se aplique el reconocimiento mutuo
jurídico de las firmas electrónicas. La Comisión presentará propuestas para el
establecimiento de normas y acuerdos internacionales aplicables a los servicios
de certificación. La Comisión podrá, previo acuerdo del Consejo, negociar
derechos de acceso al mercado de terceros países para las empresas
comunitarias.
Estos datos y toda modificación de los mismos serán notificados por los Estados
miembros con la mayor brevedad.
144
2- Colombia
Estructura de la “Ley 527 de 1999”
145
comprometerse; es un documento legible que puede ser presentado ante las
Entidades públicas y los Tribunales; admite su almacenamiento e inalterabilidad
en el tiempo; facilita la revisión y posterior auditoria para los fines contables,
impositivos y reglamentarios; afirma derechos y obligaciones jurídicas entre los
intervinientes y es accesible para su ulterior consulta, es decir, que la información
en forma de datos computarizados es susceptible de leerse e interpretarse.
Por otra parte, en el proyecto de ley se hace hincapié como condición de singular
trascendencia, en la integridad de la información para su originalidad y establece
reglas que deberán tenerse en cuenta al apreciar esa integridad, en otras
palabras que los mensajes no sean alterados y esta condición la satisfacen los
sistemas de protección de la información, como la Criptografía y las firmas
digitales, al igual que la actividad de las Entidades de Certificación, encargadas
de proteger la información en diversas etapas de la transacción, dentro del marco
de la autonomía de la voluntad.
- Equivalentes funcionales
146
naturaleza, no equivalen en estricto sentido a un documento consignado en
papel.
2. Firmas digitales
147
Mediante el uso de un equipo físico especial, los operadores crean un par de
códigos matemáticos, a saber: una clave secreta o privada, conocida únicamente
por su autor, y una clave pública, conocida como del público. La firma digital es
el resultado de la combinación de un código matemático creado por el iniciador
para garantizar la singularidad de un mensaje en particular, que separa el
mensaje de la firma digital y la integridad del mismo con la identidad de su autor.
La firma digital debe cumplir idénticas funciones que una firma en las
comunicaciones consignadas en papel. En tal virtud, se toman en consideración
las siguientes funciones de esta:
Por lo tanto, quien realiza la verificación debe tener acceso a la clave pública y
adquirir la seguridad que el mensaje de datos que viene encriptado corresponde
a la clave principal del firmante; son las llamadas entidades de certificación que
trataremos más adelante.
148
3. Entidades de certificación.
El proyecto de ley señala que podrán ser entidades de certificación, las Cámaras
de Comercio y en general las personas jurídicas, tanto públicas como privadas,
autorizadas por la Superintendencia respectiva, que cumplan con los
requerimientos y condiciones establecidos por el Gobierno Nacional, con
fundamento en el artículo 31 del proyecto.
149
Una vez las entidades de certificación sean autorizadas, podrán realizar
actividades tales como, emitir certificados en relación con las firmas digitales;
ofrecer o facilitar los servicios de creación de firmas digitales certificadas;
servicios de registro y estampado cronológico en la transmisión y recepción de
mensajes de datos; servicios de archivo y conservación de mensajes de datos,
entre otras.
150
ejercerán las entidades de certificación, debe radicarse en cabeza de una
Superintendencia como la de Industria y Comercio.
151
información, la forma en la que se identifique a su iniciador y cualquier otro factor
pertinente (artículo 11).
3- Estados Unidos:
Estructura del “Electronic Signature in Global and National Commerce Act”
Conceptos Claves
1. Electrónico: relativo a la tecnología. Capacidad eléctrica digital, magnética,
inalámbrica, óptica, electromagnética, o similar.
2. Registro Electrónico: contrato o cualquier otro registro creado, generado,
enviado, comunicado, recibido, o almacenado por medios electrónicos.
3. Firma Electrónica: sonido, símbolo, o proceso electrónico adjunto o
lógicamente asociado a un contrato o a otro registro y ejecutado o adoptado por
una persona con la intención de firmarlo.
Pilares de la ley:
1. Campo de aplicación: cualquier transacción comercial interestatal o realizada
en el extranjero.
2. Cualquier firma, contrato, u otro registro de carácter electrónico referente a una
de estas transacciones tiene plena validez legal, es obligatoria, y surte efectos
jurídicos
3. Un contrato relacionado con estas transacciones comerciales tendré plenos
efectos legales, validez y obligatoriedad cuando para su formación hayan sido
utilizados la firma electrónica o registros electrónicos.
152
testamentos, legados, o fiducias testamentarias.
b. Estatuto de estados federales, regulaciones, o reglas de derecho sobre
adopciones, divorcios y las demás materias de derecho de familia.
c. El código comercial uniforme.
3. Otras Excepciones
a. Órdenes o noticias judiciales, o documentos oficiales de la corte
(incluyendo resúmenes, peticiones de defensa, y otros memoriales) requeridos
para ser ejecutados en conexión con los procedimientos de las cortes requeridos
ser ejecutado en la conexión con procedimientos de la corte;
b. Cualquier aviso sobre la cancelación o terminación de un servicio público,
sobre la ejecución de una hipoteca, desahucio, evicción, según los términos del
acuerdo del crédito asegurado, o de un contrato de alquiler para, una residencia.
Sobre la cancelación o la terminación del seguro médico o la indemnización del
seguro de vida beneficia (excepto anualidades); o las quejas sobre los productos
por poner en peligro la salud o seguridad; o
c. Cualquier documento requerido para acompañar el transporte o manejo de
materiales tóxicos, pesticidas, o dañinos.
Tránsito legislativo:
1. La ley sustantiva de los contratos es aplicable.
2. Estimula a los estados a adoptar el “acto uniforme de las transacciones
electrónicas ("UETA"), que permite cualquier forma de símbolo o de mensaje
electrónico como firma.
3. Como regla general establece que toda ley estatal relacionada con contratos y
firma electrónica, queda derogada, a menos que constituyan una adopción de
UETA o especifiquen los procedimientos alternativos tecnológicamente neutrales
y acordes con títulos I y II del acta.
153
el uso de registros electrónicos es permitido siempre y cuando cumpla con
determinadas especificaciones y condicionamientos.
2. El consumidor debe consentir expresamente y formalmente la recepción de
registros por vía electrónica y su contraparte está obligada a informarlo
detalladamente sobre los derechos relacionados con estos registros consagrados
por el acta.
3. Sin embargo, una falla en la obtención o confirmación del consentimiento
electrónico, no conlleva per se la negación de la efectividad, validez y
obligatoriedad legal de cualquier contrato realizado con el consumidor. No hay
claridad sobre la validez de un contrato cuando falla la formalidad del negocio
que exige tener a disposición la información por escrito.
4. Adicionalmente, debe anotarse que estas previsiones no requieren el
consentimiento del consumidor previo a las relaciones electrónicas; por el
contrario, estas normas solo se aplican cuando la ley existente exige que la
información del negocio deba proveerse o estar disponible para el consumidor
por escrito. Esto significa, que los negocios electrónicos que normalmente no
exijan registros por escrito no están obligados a regularse por estas
disposiciones.
154
4. El acta prohíbe a los estatutos federales o estatales requerir tecnologías
especiales para la realización de transacciones electrónicas. Su acercamiento
neutral, le permite al mercado decidir que tecnologías facilitaran el comercio
electrónico de la mejor manera.
● Autoridades de Certificación:
Las directrices establecidas hasta el momento, convergen en apuntar a que sea
el mismo sector privado, quien se encargue de las labores de certificación al ser
este el agente directamente interesado en las transacciones electrónicas.
Adicionalmente, la aproximación que ha tenido el tema se ha circunscrito al
ámbito estatal, sin pronunciamientos relevantes por parte de la legislación
federal.
155
CAPITULO IX
PROBLEMÁTICA ACTUAL Y DESAFÍO
"The invention of the Internet has forever altered the world we live in. Not since
the industrial revolution have we seen such profound change in the way we
work... we shop... we get our news... and conduct business.”
-William M. Daley, Secretary of Commerce, USA
70
NEGOCIOS EN INTERNET. Cap. 6 “la seguridad en las redes abiertas”.
156
en tiempo real entre todos los miembros de un equipo es esencial: intercambio de
ideas, información, conocimientos para hacer frente a la competencia y a las
nuevas necesidades del mercado, etc.
4. Personas: Sin duda, se han convertido en el activo más preciado de la
empresa; son sus ideas, su creatividad y su actitud las que permitirán competir
con éxito.
5. Crecimiento: Es acelerado. El hecho de que haya una masa enorme de
personas y empresas interconectadas por la red produce un crecimiento
exponencial que nunca antes se había dado. Una vez dentro, estas empresas
deben crecer sin límites para mantener esa ventaja.
6. Valor: En la "nueva economía" no incrementa con la escasez en producto;
justo lo contrario, cuanta más gente está conectada, más gente adopta un
servicio y mayor valor le proporciona.
7. Distribución: Internet cambia en gran medida el sector de la distribución. Los
distribuidores tradicionales y los agentes están bajo la seria amenaza de una
economía interconectada, en la que los compradores pueden negociar
directamente con los vendedores. Internet está llevando a una avalancha de
información y ofertas.
8. Desplazamiento del poder: El poder está completamente en manos del
consumidor al tener acceso ilimitado a la información. Está en su mano
cambiar de proveedor con un solo click. Nunca ha sido tan fácil comprar
productos, servicios y precios.
9. Personalización: Las relaciones comerciales son personales. Ya no se dirigen
a un segmento de consumidores, sino a personas con nombre y apellidos. Se
conocen sus hábitos de compra, sus aficiones, sus preferencias y por lo tanto se
le ofrece aquello que realmente necesita.
10. Aperturismo: En contra del hermetismo, la confidencialidad, el acceso limitado
a la información, en la nueva economía la mayoría de la información es accesible.
Al compartir surgen sinergias, nuevas ideas, sugerencias, métodos, importantes
ventajas, nuevos contactos, nuevos clientes, nuevas alianzas, etc. Como
desventaja, un exceso de información puede favorecer a la competencia, esto
genera la imperiosa necesidad de imponer límites.
157
Bajo este esquema, se presenta una nueva problemática que genera nuevos
retos y nuevos desafíos para el ordenamiento jurídico, que debe responder a ella
de manera efectiva en aras de evitar la anarquía del nuevo paradigma global:
Internet.
Dado lo anterior, muchas personas ven en Internet el modelo para los negocios
futuros; sin embargo, antes de que eso ocurra, los usuarios tienen que sentirse
seguros sobre el hecho de manejar información personal y financiera a través de
la red, debido a que pasa por muchos computadores a lo largo de su camino,
presentándose la posibilidad de que alguien pueda manipularla y /o apropiarse
de ella.
158
“En las actualidad muchos usuarios desconfían de la seguridad de Internet. En
1996, IDC Research realizó una encuesta en donde el 90% de los usuarios
expresó gran interés sobre la seguridad de Internet.” 71
Ahora bien, la pregunta que debe hacerse es, ¿es seguro consumir a través de
Internet? La respuesta estará dada por la ley, no obstante su lento desarrollo,
pues el derecho que es algo estático, deberá adaptarse a esta nueva realidad
esencialmente dinámica.
71
http://www.eumed.net/cursecon/ecoinet/seguridad/reglas.htm
72
http://www.acelerate.com/tecno/global.html
159
Como se expuso anteriormente, la única manera de proteger los datos para que
viajen por Internet de una manera segura es la criptografía, en virtud de la cual,
se dispone de una avanzada tecnología en métodos matemáticos que codifican
los bits de tal forma que resulta imposible interpretarlos sin las fórmulas
esenciales que los crearon, convirtiendo la información en algo inviolable.
Inherentes a los sistemas criptográficos son los requisitos que deben cumplirse
en aras de garantizar la seguridad y confiabilidad de la información transmitida,
los cuales se exponen a continuación:
73
ibidem
160
En desarrollo de lo anterior y en aras de proveer mayores mecanismos de
seguridad, fueron transpolados del mundo físico al virtual algunos elementos de
seguridad y su operatividad, logrando su plena aplicación y ubicando sus
dificultades. Ejemplo de lo cual se encuentran la firma digital y consecuentemente
las autoridades de certificación.
161
simbólicamente codificada en el célebre Tratado de Westfalia, en el que algunos
historiadores ven la piedra angular del sistema moderno de relaciones
internacionales. A partir de ese momento, los gobiernos nacionales tendrían que
tratar unos con otros, declarar la guerra o firmar la paz, los tratados y acuerdos
internacionales y, al hacer esto, introducirían cierta forma de orden global en el
mundo. Se habían convertido en los actores principales, que guardaban
celosamente su poder y lo ampliaban no sólo a través de políticas militares, sino
también económicas”74.
74
http://www.crim.unam.mx/Cultura/informe/cap15.2.htm
75
Ibidem
162
problemas principales radican en la competencia judicial internacional y en la ley
aplicable de cada país en referencia al comercio electrónico”76.
76
Mgt. Marissa Bello: Especialista en Derecho Informático y Nuevas Tecnologías
http://www.techlaw-consulting.com/aspectosjuridicos2.html
163
comercio electrónico, pues mientras la definición de la trasgresión dependa de los
sistemas legales y políticos de cada jurisdicción, existirán controversias.
Lo único cierto a fin de cuentas, es que sin ley no hay civilización, y sin gobierno,
de una u otra forma, no puede haber ley que se haga respetar. Por consiguiente,
debe definirse el programa para un gobierno global como complemento necesario
de la globalización provocada por el mercado.
77
http://www.uoc.edu/web/esp/launiversidad/inaugural01/internet_arq.html
164
de Internet es no estar en la red; y esto es cada vez más costoso y casi imposible
para los gobiernos, las sociedades, las empresas y los individuos”78.
“Se debe construir un equilibrado marco normativo que contemple todos los
aspectos del sistema y armonice las soluciones jurídicas existentes con el
establecimiento de nuevos criterios que tiendan a asegurar los valores
tradicionales de las sociedades que hacen a la protección de los derechos a la
privacidad, a la imagen, al honor, en armonía con la protección del derecho a
expresar libremente las ideas y del derecho a la información, así como de la
seguridad y defensa de las naciones y el interés publico, tratando de lograr un
adecuado equilibrio entre ellos. Es así, que de manera creciente adquiere un
papel preponderante la cooperación internacional, ya sea por medio del
establecimiento de criterios y pautas comunes entre los países integrantes de
bloques comunitarios, o con arreglo a convenios y acuerdos internacionales.”79
78
Ibidem
79
Negocios en Internet. Cap. 6 “la seguridad en las redes abiertas”.
165
Se impone un trabajo internacional de armonización de las reglas jurisdiccionales
y de derecho. Caso contrario se crearán paraísos informáticos y se alentará el
ejercicio del imperialismo judicial”80.
80
Cibercriminalidad (Antonio Mille)
166
“En general, los procesos de integración entre unidades políticas con sistemas de
fuentes diferentes sólo se dan por situaciones de fuerza, y bajo la hegemonía de
una de las partes, que impone sus criterios a la otra, aunque le permita subsistir
con una porción más o menos importante de sus respuestas anteriores, siempre
sujetas, en última instancia, al predominio de las nuevas. Por eso, reviste tanto
interés el proceso integrador de la Unión Europea, que casi no registra
precedentes, al constituir un sinecismo voluntario que involucra a países con
diversos sistemas de fuentes. Sin embargo, obsérvese que las mayores
resistencias provienen justamente de Inglaterra, y dentro de ésta de un
importante sector del electorado británico, que teme a la pérdida de sus
tradicionales respuestas jurídicas, forjadas a lo largo de mil quinientos años, y
extraordinariamente adecuadas a la realidad socio-cultural local.” 81
Entonces, si la homogeneización legislativa, elemento esencial de toda
integración política y económica, es más fácil de lograr cuanto más comunes
sean las realidades sociales y la historia, más semejantes los sistemas de
fuentes, y más compatibles los contenidos de las normas, se ha de concluir que
no existe región en el globo más idónea para llevarla adelante que Latinoamérica.
Todos los países que conforman esta enorme región, menos Brasil, muestran un
tronco jurídico de base absolutamente común.
81
http://revistapersona.4t.com/20Rabinovich.htm (Ricardo D. Rabinovich-Berkman: LA INTEGRACIÓN
LATINOAMERICANA Y LOS ESTUDIOS DE DERECHO
167
CAPITULO X
DELITOS ELECTRONICOS
1- INTRODUCCION
82
INTRODUCCIÓN A LOS DELITOS INFORMÁTICOS, TIPOS Y LEGISLACIÓN.
http://delitosinformaticos.com/delitos/delitosinformaticos4.shtml
168
A medida que pasa el tiempo ha quedado al descubierto que nada de lo
imaginado, ni siquiera en el pasado inmediato, sobre las formas, métodos,
modalidades e impacto de la delincuencia en el ciberespacio, se acerca aunque
sea remotamente a los desarrollos reales del presente, pues nunca en la historia
de la humanidad los avances tecnológicos habían creado tantas condiciones para
la comisión de crímenes.
169
“Los sistemas de computadoras ofrecen oportunidades nuevas y sumamente
complicadas para infringir la ley y han creado la posibilidad de cometer delitos de
tipo tradicional en formas no tradicionales.”83
A la hora de perseguir este tipo de conductas delictivas, hay que enfrentar tres
serios problemas:84
1- Se ignora el número de víctimas. Por esta razón, no es posible tener una clara
conciencia de hasta donde alcanza la cibercriminalidad, ello debido en gran parte
al ocultamiento de los ataques por quienes los padecen, principalmente bancos e
instituciones financieras, sistemáticamente sometidos a chantaje informático, ya
que una denuncia supondría delatar la fragilidad de sus sistema de seguridad
informático con la consiguiente perdida de credibilidad.
83
Ibidem
84
Juan José Aragüez Guerrero. VIRUS SIN VACUNA. http://buscalegis.ccj.ufsc.br/arquivos/virus_sem_vacuna.htm
170
2- NOCION Y CLASIFICACION
No hay definición de carácter universal de delito Informático; aun así, muchos han
sido los esfuerzos de expertos que se han ocupado del tema y se han llegado a
formular conceptos funcionales atendiendo a realidades nacionales concretas.
De la misma manera, varias han sido las clasificaciones planteadas para los
denominados delitos electrónicos, entre las cuales cabe destacar la propuesta
por el profesor Julio Téllez Valdes, quien utiliza dos criterios para separar los
delitos informáticos:
171
criminógenas que van dirigidas en contra de la computadora, accesorios o
programas como entidad física.
Para la Doctora Maria de la Luz Lima, los delitos electrónicos se clasifican en tres
categorías, a saber:
1- Sujeto Activo:
172
"delincuentes de cuello blanco", término introducido por primera vez por el
criminólogo norteamericano Edwin Sutherland en el año 1943. Este criminólogo
estadounidense afirma que tanto la definición de los "delitos electrónicos" como la
de los "delitos de cuello blanco" no atienden al interés protegido, como sucede en
los delitos convencionales, sino al sujeto activo que los comete.
2- Sujeto Pasivo:
El sujeto pasivo o víctima del delito es el ente sobre el cual recae la conducta de
acción u omisión que realiza el sujeto activo, y en el caso de los "delitos
electrónicos", mediante este se conocen los diferentes ilícitos que cometen los
delincuentes informáticos, quienes generalmente son descubiertos
casuísticamente debido al desconocimiento del modus operandi.
La mayor parte de los delitos no son descubiertos o no son denunciados ante las
autoridades responsables; esto se suma al temor de las empresas de denunciar
este tipo de ilícitos por el desprestigio y la consecuente pérdida económica que
esto pudiera ocasionar. Todo lo anterior lleva a que éste tipo de conductas se
mantenga bajo la llamada "cifra oculta" o "cifra negra".
173
4- TIPOS DE DELITOS ELECTRONICOS85
85 Tipos de Delitos Informáticos Conocidos por Naciones Unidas. INTRODUCCIÓN A LOS DELITOS INFORMÁTICOS, TIPOS Y
LEGISLACIÓN. http://delitosinformaticos.com/delitos/delitosinformaticos4.shtml
174
sin embargo, en la actualidad se usan ampliamente equipos y programas de
computadora especializados para codificar información electrónica falsificada en
las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.
2- Falsificaciones Informáticas:
175
lógico que ha quedado infectada, así como utilizando el método del Caballo de
Troya.
176
procedimientos del sistema. A menudo, los piratas informáticos se hacen pasar
por usuarios legítimos del sistema, esto suele suceder con frecuencia en los
sistemas en los que los usuarios pueden emplear contraseñas comunes o
contraseñas de mantenimiento que están en el propio sistema.
4- Ciberterrorismo:
5- Pornografía y Pedofilia:
Es una de las fuentes económicas más prominentes, y que mueve más dinero
que muchas multinacionales. Las autoridades policiales y las organizaciones no
gubernamentales (ONG) están muy preocupadas porque la pornografía infantil
vía Internet sigue creciendo pese a todos los esfuerzos realizados para
erradicarla.
177
6- Las estafas, subastas y ventas ilegales:
178
2- Cracker: Aquel que rompe con la seguridad de un sistema. El término fue
acuñado por Hacker en 1985, oponiéndose al mal uso de la palabra Hacker por
parte de la prensa.
Los piratas jamás trabajan bajo su verdadero nombre, sino que emplean
pseudónimos del tipo de "Mr. Smut", "Acidflux", "El Cowboy". La estructura de
Internet facilita esta mascarada ya que, al igual que los auténticos filibusteros del
siglo pasado, asaltan los buques elegidos y se pierden acto seguido en el
inmenso mar de la información digital. Por supuesto, sin dejar rastro; si lo hacen,
ya no serian Hackers, sino simples usuarios de dudosa moral sorprendido con las
manos en las redes.
Este organismo ha publicado los síntomas más comunes experimentados por los
internautas:
179
-Reducción o renuncia a actividades de orden social, laboral o recreacional
-Síndrome de abstinencia
-Agitación psicomotriz
-Ansiedad
-Pensamiento obsesivo acerca de lo que esta sucediendo en la red.
-Fantasías o sueños acerca de Internet.
-Movimientos de tipeo voluntarios o involuntarios con los dedos.
-Adictos a las adicciones.
6- ESTADISTICAS
180
ocasionadas por sabotaje, pero a partir de 1995 el sabotaje volvió a ocupar el
primer lugar debido a la utilización de virus específicos.
86
David Bender. ESFUERZOS PARA COMBATIR DELITOS RELACIONADOS CON LA
COMPUTACION.
87
ibidem
181
daños y el impacto del fraude financiero alcanzo a $56 millones. El daño debido a
copia y distribución ilegal de software costo a las empresas $7.5 millones.”88
7- MEDIDAS PREVENTIVAS
88
ibidem
89
http://www.el-mundo.es/navegante/2000/05/18/g8_delitos.html
182
inadvertida de virus, el uso indebido y fraudulento de datos de tarjetas de crédito,
objetos adquiridos en Internet mediante tarjeta, etc.”90
8- MEDIDAS COERCITIVAS
Dentro de esta aldea global, con fronteras trasparentes, se hace necesaria tanto
una homogeneización de las legislaciones, como la creación de esquemas de
cooperación entre los gobiernos, de forma que se puedan combatir las epidemias
informáticas con la misma eficacia y rapidez con que se extienden. Varias son las
posiciones que se han esgrimido dentro del esfuerzo por combatir la
cibercriminalidad, he aquí tres de las más importantes, expuestas durante la
cumbre mundial dedicada a la lucha contra la delincuencia en Internet celebrada
en París:
90
Juan José Aragüez Guerrero. VIRUS SIN VACUNA. http://buscalegis.ccj.ufsc.br/arquivos/virus_sem_vacuna.htm
183
Dentro del ámbito normativo, resulta de la mayor importancia resaltar los
esfuerzos realizados por la Unión Europea y por Estados Unidos en su lucha
contra los delitos electrónicos.
1- Europa:
184
- Apoyar las investigaciones informáticas transfronterizas en caso de una
investigación relativa a una grave infracción penal cumpliendo al mismo tiempo
las disposiciones de la Unión Europea en relación con la utilización y el tráfico de
datos.
185
El plan de acción incluye cuatro líneas de acción:
- Crear un entorno seguro por medio de una red de líneas directas (hot lines) y
fomentando la auto reglamentación y los códigos de conducta;
186
- Evaluación de las implicaciones jurídicas;
Esta convención entrara en vigor cuando haya sido ratificada por al menos cinco
estados, tres de los cuales deberán ser miembros del consejo de Europa.
187
Teniendo en cuenta los anteriores objetivos, la Convención puede dividirse en
cuatro secciones:
91
Explanatory Report, supra nota 74, 33
188
- Nuevos Procedimientos y Facultades para investigaciones criminales:
aplicables a las violaciones contenidas en la Convención, otras violaciones
no consideradas en ella cometidas por medio de sistemas de computación
y la recolección de pruebas electrónicas de dichos delitos. La
implementación de estas normas estará sujeta a los condicionamientos y
salvaguardas de la legislación interna de cada parte y se encaminan
principalmente a la habilitación necesaria a las autoridades internas
competentes para la preservación, custodia, producción, secuestro y
aseguramiento, recolección y registro de datos y sistemas de computación
y almacenamiento.
- Facultades Jurisdiccionales: cualquiera de las partes de la Convención
tendrá jurisdicción sobre los delitos tipificados en ella cuando sean
cometidos en su territorio, a bordo de un buque que enarbole su bandera,
a borde de aeronave registrada bajo sus leyes o sea cometido por uno de
sus nacionales.
- Cooperación Internacional: las partes deberán cooperar mutuamente y en
la mayor extensión posible para los propósitos de adelantar y desarrollar
las investigaciones y procedimientos relacionados con los delitos
electrónicos tipificados. En desarrollo del sistema de cooperación
internacional, la Convención ordena a las partes la implementación de
“contactos disponibles 24 horas, 7 días a la semana” para asegurar la
disposición inmediata de asistencia a las demás partes en conexión con la
investigación y procedimientos. Se incluyo la posibilidad de catalogar como
extraditables todos estos crímenes con el solo asentimiento de una parte y
un Tratado de extradición o en su defecto la misma Convención. La
solicitud de asistencia mutua esta sujeta a algunos condicionamientos
previstos en la misma Convención y así mismo consagro excepciones al
deber de proveer y preservar información, cuando quiera que la parte a la
que se haya solicitado la asistencia considere que la conducta perseguida
es un delito político o cuando el cumplimiento del pedido perjudique su
soberanía, seguridad, orden publico o cualquier otro interés esencial.
189
La Convención sobre ciberterrorismo del Consejo de Europa no ha entrado en
vigor y a pesar de haber sido suscrita por 33 estados solo Albania, Croacia,
Estonia y Hungría la han ratificado. Los estados no miembros del Consejo
(Estados unidos, Canadá Sudáfrica y Japón) que tuvieron una participación activa
en su creación y redacción, la suscribieron el mismo 23 de noviembre de 2001 en
Budapest, pero hasta el momento ninguno la ha ratificado. El pasado 17 de
noviembre de 2003 el Presidente de los Estados Unidos George W. Bush se
dirigió al Senado, transmitiéndole la Convención y advirtiendo sobre la necesidad
de obtener el consentimiento para su ratificación.
2- Estados Unidos:
190
A- Legislación Federal:
- Computer Fraud and Abuse Act (1984): tipifica como delitos los accesos
sin autorización y con conocimiento a computadores protegidos en orden a
obtener cierta información relativa a defensa o relaciones exteriores y los
accesos intencionales a información financiera o cualquier información
general de computador protegido, así como también proscribe el uso con
conocimiento de computador para cometer fraude, la penetración
intencional de un computador protegido que cause daño, la transmisión
con conocimiento e intencional de programas, información, códigos o
comandos que causen daños y el tráfico no autorizado de claves de
acceso. Posterior desarrollo jurisprudencial ha establecido que la CFAA
abarca no solo los daños infringidos a computadores usados
exclusivamente por una institución financiera o por el gobierno de los
Estados Unidos sino también los producidos a computadores protegidos
de entidades comerciales privadas.
- Ley Federal sobre Fraude Mediante Transmisiones por Cable: usada para
enjuiciar cibercriminales dedicados al fraude por vía de Internet, definiendo
“fraude” como la conducta por medio de la cual “un individuo recurre o
intenta recurrir a cualquier esquema o artificio para defraudar y después
transmita o cause que se transmitan por vía de Internet, en comercio
interestatal o exterior, cualesquiera escritos, signos, señales, imágenes o
sonidos con el propósito de ejecutar el esquema fraudulento.” Constituye
un aporte importante de esta norma, la posibilidad de declarar la
responsabilidad del delincuente sin tomar en cuenta el éxito o fracaso de
su propósito fraudulento.
Además de las dos normas anteriores, se han dictado otro tipo de normas
más específicas pero igualmente destinadas a evitar el cibercrimen.
191
- Electronic Communications Privacy Act (1986): destinada a dar mayor
seguridad a las comunicaciones electrónicas y datos incluida la piratería
contra la propiedad intelectual; proscribe conductas como la interceptación
intencional y no autorizada de comunicaciones por cable, orales o
electrónicas.
- Small Business Computer Security and Education Act: dictada
específicamente para proteger a las pequeñas empresas frente a los
delitos electrónicos. Su objetivo principal fue establecer un programa de
seguridad y educación en el uso de sistemas de computación para dichas
empresas encargándose de las preocupaciones por los delitos electrónicos
comunes, la seguridad en las transacciones económicas y la utilización y
administración de tecnologías de computación.
- Existen otros regimenes legislativos federales, que sin estar destinados
específicamente a los delitos electrónicos, proveen instrumentos útiles
para combatir varios delitos relacionados con la computación y las
violaciones a derechos de propiedad intelectual. Entre estas normas se
encuentran: la Economic Espionage Act de 1996 (contra todo tipo de robo
de secretos comerciales), la Anticounterfeiting Consumer Protection Act y
el Criminal Copyright Infrigement Statute del mismo año (contra robo y
piratería), este ultimo modificado en 1997 por la Non Electronic Theft Act.
- Finalmente La National Stolen Property Act, encaminada a impedir la
explotación de bienes robados esta siendo analizada por los tribunales
judiciales en orden a extender su aplicación a los bienes intangibles del
ciberespacio.
B- Legislación Estadual:
192
comerciantes agraviados enmarcados dentro de acciones de responsabilidad
civil para la indemnización de los perjuicios causados.
92
David Bender. ESFUERZOS PARA COMBATIR DELITOS RELACIONADOS CON LA
COMPUTACION.
193
CONCLUSION
194
Bajo este panorama, la efectividad de Internet se pone en tela de juicio,
quedando supeditada al establecimiento de modelos y sistemas que garanticen la
seguridad de las transacciones en la misma. Se hace patente entonces, que la
subsistencia de la red depende de la creación de una estructura subyacente de
seguridad, cuyos fundamentos estén dados tanto por los avances tecnológicos,
como por la normatividad jurídica. En este sentido, y como se expuso a lo largo
de este trabajo, la regulación de instrumentos de seguridad como los sistemas de
encriptación, la firma digital y las autoridades de certificación, proporciona y
garantiza la confiabilidad de las transacciones, piedra angular del nuevo modelo.
Es así como se deduce que la creación de un sistema confiable que brinde
niveles de seguridad apropiados, debe incorporar la tecnología a través de
equivalentes funcionales jurídicos.
195
principal beneficiario, como nuevo protagonista de la escena mundial, debe ser el
encargado de guiar el proceso de unificación, asumiendo las responsabilidades
que por mucho tiempo han pertenecido al modelo de Estado-Nación.
196
BIBLIOGRAFIA
1- GARCIA Vidal, Ángel. “La regulación jurídica de la firma electrónica”. Área de derecho
mercantil Universidad Santiago de Compostela.
2- Real Decreto – ley 14/1999. España.
3- DIRECTIVA 1999/93/CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO
de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma
electrónica.
4- http://seguridad.internautas.org/firmae.php
5- http://www.instisec.com/publico/verarticulo.asp?id=34
6- http://www.el-mundo.es/sudinero/99/SD184/SD184-21.html 7-
http://www.unap.cl/index.pl?iid=3424
8-http://www.delitosinformaticos.com/firmaelectronica/analisis.shtml 9-
http://www.iec.csic.es/criptonomicon/
10-http://www.masterdisseny.com/master-net/legalia/index.php3
11-http://www.vlex.com
12-http://www.iusnews.com.ar
13- http://www.jmls.edu/cyber/statutes/udsa.html
14-http://www.ccb.org.co
15- http://www.obyron.com/manuint/man01.htm
16- http://www.camaraalcoy.net/Servicios_web/internet.htm
17- http://websperu.wperu.com/internet/www.html
18- http://www.conectu.com/art_historia.php
19- http://www.infolandtalca.cl/inte/capa/guias/internet7.doc
20- http://www.arpa.mil/body/off_programs.html
21- http://www.selfhtml.com.ar/introduccion/internet/origen.htm
22- http://www.selfhtml.com.ar/introduccion/internet/estandares.htm
23- http://www.ati.es/DOCS/internet/histint/histint1.html#origenes
24- http://sirio.deusto.es/abaitua/_outside/ikasle/ih0_96/LUCIA/arpanet.htm
25- http://www.observatorio.unal.edu.co/virtual/lenguajes/cursohtml/ccap0.html
26- http://www.geocities.com/mauroc823/INTERNET.html
27- http://www.rafastd.org/defecto5.htm
28- http://www.zator.com/Internet/A5_1.htm
29- http://www.baluma.es/internet1al10/historia.asp
30- http://www.hackemate.com.ar/ezines/eko/leer/eko-03/Eko3R-10.txt
31- http://www.geocities.com/CapeCanaveral/2566/intro/historia.html
32- http://www.delitosinformaticos.com/especial/seguridad/principio.shtml
33- http://www.geocities.com/manolorodriguez2000/Criptograf_digital.htm
34- http://www.ati.es/novatica/1998/134/arri134.html
35http://doctorado.uninet.edu/2002/cinet/Seguridad/Texto/seguridadYPrivacidad/node7.h
tml
36- http://mailweb.udlap.mx/~is110133/encrip/crip2.html
37- http://leo.worldonline.es/jlquijad/histo.htm
38 http://es.tldp.org/Manuales-LuCAS/SEGUNIX/unixsec-2.1-html/node305.html
39-. http://www.comsto.org/Menu/internet.htm
197
40- http://www.aui.es/biblio/articu/Articulos/historia_politica_internet.htm
41- http://www.theatlantic.com/unbound/flashbks/computer/bushf.htm
42- http://www.historia-antigua.com/docs/curiosidades/internet.html
43- http://ibarrolaza.com.ar/zakon/hit.html
44- http://www.ocean.ic.net/ftp/doc/nethist.html
45- http://www.ifla.org/documents/internet/hari1.txt
46- http://www.columbia.edu/~hauben/netbook/
47- http://internet.fiestras.com/servlet
48- http://www.computec.net/html/hisint.html
49- http://www.isc.org/ds/
50- http://www.ucm.es/info/cyberlaw/actual/11/fir01-11-01.htm
51- http://www.delitosinformaticos.com/ecommerce/globalizacion.shtml
52- http://www.fenicios.com/tiendas3.htm
53- http://datamasters.com.ar/argentinashop/asesoria.cfm
54-. http://mailweb.udlap.mx/~is104418/Antecedentes.html
55http://www.economia.cl/economiafinal.nsf/Noticias?OpenForm&categoriasfaq&Innovac
i%C3%B3n+y+Tecnolog%C3%ADa%5CFirma+Electr%C3%B3nica
56- http://www.opinionvirtual.com/firma_electronica/index.php
57- http://www-5.ibm.com/es/ibm/politicaspublicas/libroazul/marco/firma.html
58- http://www.aui.es/biblio/articu/Articulos/comerciofirma.htm
59- http://www.informatica-juridica.com/trabajos/trabajosFirmaElectronica.asp
60- http://rinconquevedo.iespana.es/rinconquevedo/Criptografia/conclusion.htm
61- http://www.senacyt.gob.pa/firmadigital/descripcion.htm
62- http://www.htmlweb.net/seguridad/varios/firma_certificados.html
63- http://www.code4net.com/archives/000008.html
64- http://www.code4net.com/medios_pago.PDF
65- http://www.iec.csic.es/criptonomicon/articulos/expertos30.html
66- http://www.tiempodetertulia.com/programas56.html
67http://www.upco.es/webcorporativo/Servicios/Revista%20ICADE/Documentos/Numero
s_Anteriores/Revista_43.asp
68- http://pyme.net.uy/documentos/sistemas_pago.htm
69- http://www.davara.com/preguntas/pago.html
70- http://wwwdi.ujaen.es/~martin/ficheros/Cong-Int/cisic02a.pdf
71- http://www.mircomnetworks.com/articulos.asp?pag=2&idopc=1
72- http://lightning.prohosting.com/~xpi25/3-4comer.html
73- http://lightning.prohosting.com/~xpi25/Prescomer.html
74http://www.banxico.org.mx/gPublicaciones/DocumentosInvestigacion/docinves/doc200 1-
4/doc2001-4.PDF
75- http://www.vilecha.com/Seguridad/comerce.asp
76- http://www.expansiondirecto.com/tecnologia/connectis/octubre/emp15.html
77- http://revista.robotiker.com/revista_estudios/comercio_electronico.html
78- http://www.enable.cl/servicios/procesamiento.html
79- http://www.ambito-juridico.com.br/aj/dconsu0033.htm
80- http://ttt.upv.es/igil/Trans_ISC/comercio_e.PDF
81http://internet.fiestras.com/servlet/ContentServer?pagename=R&c=Secciones&cid=98
3559694625&pubid=982158432634&secID=983559694625
82-http://www.confemadera.es/formirma/Informaciones/Glosario%20de%20e-
%20commerce.doc
83-http://www.atlas-iap.es/~pepcardo/glosario.htm
84-http://personales.com/espana/leon/tristan/glosario.htm
198
85http://internet.fiestras.com/servlet/ContentServer?pagename=R&c=Secciones&cid=98
3559694625&pubid=982158432634&secID=983559694625
86-http://www.iee.es/come_002.htm
87-http://www.colegioabogados.cl/revista/19/articulo5.htm
88-http://www.fundaciondike.org/seguridad/firmadigital-autoridades3.html
89-http://www.arrakis.es/~anguiano/artautcert.html
90-http://www-mat.upc.es/~jforne/sesion4.pdf
91-http://www.cetenasa.es/e-business/Talleres/taller1/x301.htm
92-http://www.lmdata.es/reports/cfd.htm
93-http://www.iuristic.org/iuristic/html/firma.htm
94- http://www.htmlweb.net/seguridad/ssl/ssl_4.html
95- http://www.cesca.es/es/comunicacions/scd/ac-pca/docs/Politica-ac-pca.doc
96-http://www.vi-fema-abf.org.ar/pon15.html
97-http://greco.dit.upm.es/~enrique/ce/sec2/par211.html
98-http://lightning.prohosting.com/~xpi25/2-3comer.html
99- http://www.iec.csic.es/criptonomicon/comercio/mediospago.html
100- http://www.onnet.es/08008007.htm
101- http://nti.uji.es/docs/nti/net/dinero_electronico.html
102- http://www.navactiva.com/web/es/atic/doc/articulos/2003/02/p1572.jsp
103- http://www.ebcenter.org/download/ebcenter_download_13.pdf
104- http://www.ieid.org/congreso/ponencias/Rico%20Carrillo,%20Mariliana.pdf
105- http://www.iec.csic.es/criptonomicon/comercio/set.html
106- http://www.geocities.com/konqui.geo/SET.HTML
107- http://www.creaciondempresas.com/albanova/ecommerce/art4.asp
108- http://www.senacyt.gob.pa/firmadigital/preguntasrespuestasii.htm
109- http://www.lafacu.com/apuntes/informatica/set/default.htm
110- http://www.geocities.com/konqui.geo/SSL.HTML
111- http://www.interfaz.com.co/mediosdepago/Sistemasdepago.html
112- http://iblnews.com/news/noticia.php3?id=66764
113http://www.delitosinformaticos.com/seguridad/noticias/104603466344475.shtml
114- http://www.conocimientosweb.net/dt/article109.html
115- http://www.openssl.org/news/secadv_20030219.txt
116- http://pyme.net.uy/documentos/sistemas_pago.htm
117- http://esp.ecashdirect.net/tutorial/tutorial_withdraw.html
118- http://esp.ecashdirect.net/tutorial/tutorial_withdraw.html
119- http://greco.dit.upm.es/~enrique/ce/sec2/par212.html
120- http://www.echeck.org/
121- http://nti.uji.es/docs/nti/net/dinero_electronico.html
122- http://www.enfoque5.com/articulo_5-6.htm
123- http://www.aaapn.org/aaa/boletin/2000/pbol66a.htm
124- http://derechoempresarial.deamerica.net/?art=147
125- http://lightning.prohosting.com/~xpi25/3-5comer.html
126- http://www.aedie.com/cdt/sociedad20informacion/internet.pdf
127- http://www.umc.edu.ve/documentos/doctum/art5_vol3n1.pdf
128- http://www.educ.ar/educar/superior/eventosenlinea/ecomder/paladel_c.jsp
129- http://www.mecon.gov.ar/comercio/electronico/recu7.gif
130- http://www.mecon.gov.ar/download/comercio/electronico/anexo2.pdf
131- http://www.netcheck.com
132- http://www.cybercash.com
133- http://www.millicent.digital.com
134- http://www.digicash.com
199
135- http://www.virtualb.com/cursos/ref004.html
136- http://www.ini.cmu.edu/netbill/pubs.html
137- http://www.onnet.es/08008007.htm
138- http://nti.uji.es/docs/nti/net/dinero_electronico.html
139- http://www.eumed.net/cursecon/ecoinet/seguridad/medios.htm
140- http://www.it-cenit.org.ar/Publicac/LavadoMD/Lavado4
141- http://www.atlas.org.ar/cultura/pujol.asp
142- http://www.ex.ac.uk/~RDavies/arian/emoney.html
143- http://www.fis.utoronto.ca/~stalder/html/e-cash1.html
144- http://www.cato.org/pubs/books/money/lfb-form.html
145- http://www.iccwbo.org/home/news_archives/1997/making_rules.asp
146- http://www.uncitral.org/sp-index.htm
147- http://www.batnet.com/oikoumene/arbunc.html
148- http://www.natlaw.com/ecommerce/docs/e-commerce-peru-contr.htm
149- http://www3.usal.es/~derinfo/derinfo/CE/GCNUDMI.HTM
150- http://200.62.42.101/docum/quien/maradiaga/doc003.htm
151- http://200.62.42.101/docum/quien/maradiaga/doc005.htm
152- http://www.qmw.ac.uk/~tl6345/Instlegis.htm
153- http://www.ulpiano.com/Austral/materiales10.htm
154http://www.hfernandezdelpech.com.ar/Leyes/LEY%20MODELO%20NAC.UNIDAS%2
0SOBRE%20FIRMA%20DIGITAL.htm
155- http://www.archives.state.ut.us/recmanag/46-4-101.htm
156- http://www.rkmc.com/article.asp?articleId=123
157http://articles.corporate.findlaw.com/articles/file/00051/004974/title/Subject/topic/Com
puters%20%20Technology%20Law_Digital%20Signatures/filename/computerstechnolog
ylaw_1_72
158- http://www.gseis.ucla.edu/iclp/e-sign.htm
159- http://europa.eu.int/scadplus/leg/es/lvb/l24204.htm
160- http://europa.eu.int/scadplus/leg/es/lvb/l24118.htm
161- Directiva 95/46/CE
162- Directiva 97/66/CE.
163- Electronic Commerce - National Legislation - United States
”Electronic Signatures in Global and National Commerce Act”
Uniform Electronic Transactions Act
164- Ley 527 de 1999
165- Decreto 1747/00
166- Corte Constitucional - Sentencia C-662 DE 2000
167- http://www.unesco.org/issj/rics160/valaskakisspa.html
168- http://www.uoc.edu/web/esp/launiversidad/inaugural01/internet_arq.html
169- http://www.caravantes.com/arti02/frontera.htm
170- http://www.laempresa.net/noticias/2001/0104/20010426_30.html
171- http://www.alfa-redi.org/revista/data/35-2.asp
172- http://www.crim.unam.mx/Cultura/informe/cap15.2.htm
173- http://www.angelfire.com/tn/tiempos/cultura/texto13.html
174- http://www.acelerate.com/tecno/global.html
175- http://www.ciberconta.unizar.es/LECCION/derint/INICIO.HTML
176- http://www.ubiquando.com.co/ubiquando/tecnologia/seguridad.pdf
177- http://us.terra.wired.com/wired/tecnologia/0,1157,23268,00.html
178- http://www.eumed.net/cursecon/ecoinet/seguridad/reglas.htm
179- http://www.isaca.org/
200
180- http://www.geocities.com/jgarcia596/prot16.html
181- http://winred.com/EP/articulos/libreria/0020470100101665009.html
182- http://revistapersona.4t.com/20Rabinovich.htm (Ricardo D. Rabinovich-Berkman: LA
INTEGRACIÓN LATINOAMERICANA Y LOS ESTUDIOS DE DERECHO
183- Mgt. Marissa Bello: Especialista en Derecho Informático y Nuevas Tecnologías
http://www.techlaw-consulting.com/aspectosjuridicos2.html
184- Tesis de Doctorado: Negocios en Internet. Cap. 6 “la seguridad en las redes
abiertas”.
201