TEMA:

LEGISLACION SOBRE DOCUMENTOS ELECTRÓNICOS EN PERÚ

AÑO:

2021

INTRODUCCIÓN

El mundo está realmente interconectado. Cada día se generan millones de

operaciones electrónicas y éstas requieren niveles de seguridad que identifiquen
adecuadamente a los firmantes, quienes interactúan en el ciberespacio para comprar
bienes o adquirir servicios de calidad.

En dicho contexto, Perú no puede ser ajeno a una realidad cuyos problemas legales
se deben resolver desde el derecho informático, con una visión iusinformática, donde
derecho y tecnología se unen para facilitar las operaciones electrónicas en entornos
globalizados e interconectados.

Es así que el sistema jurídico peruano se ha adaptado a las nuevas exigencias de los
tiempos modernos. En concordancia con los avances del derecho informático, ha
regulado en diversos cuerpos normativos tanto las firmas electrónicas como las firmas
digitales.

El primer marco legal que dio origen a una revisión iusinformática para la generación
de operaciones con firma electrónica fue la Ley 27269, Ley de Firmas y Certificados
Digitales. Posteriormente, en junio del año 2000, se aprobó la Ley 27291, que trajo
consigo una serie de modificaciones al Código Civil peruano de 1984. Esto permitió,
entre otros aspectos, aquellos relativos a la utilización de los medios electrónicos para
manifestar la voluntad y la correspondiente utilización de la firma electrónica.
 LEGISLACIÓN SOBRE DOCUMENTOS ELECTRÓNICOS EN EL PERÚ.

Válidez, valor probatorio y eficacia jurídica del documento electrónico

Por la evolución constante de las operaciones electrónicas en contextos nacionales y

transfronterizos, se hizo necesario regular en el Perú los mecanismos técnicos que
permiten una real identificación de las partes participantes en operaciones electrónicas
y facilitan fehacientemente su manifestación de voluntad en el ciberespacio.

Una de las tecnologías más gravitantes para los efectos de interconexión de redes y
operaciones electrónicas es la firma electrónica, regulada en el Perú por el artículo 1
de la Ley 27269, la cual planteó la contextualización teórica de la referida tecnología.
En ese sentido, la acotada norma expresamente señala que el objeto de la Ley 27269
es regular los mecanismos de utilización de la firma electrónica. Por otra parte, otorgó
a dicha tecnología "la misma validez y eficacia jurídica que el uso de una firma
manuscrita (o cualquier) otra análoga que conlleve manifestación de voluntad".

La importancia de la Ley 27269 no sólo radica en que genera un entorno de seguridad

y validez para las operaciones electrónicas, desde el Perú al mundo y viceversa, sino
que permitió dar un paso más allá, al plantear una definición de firma electrónica, con
una redacción neutral. Señala expresamente que la citada tecnología se relaciona con
el uso de "cualquier símbolo basado en medios electrónicos utilizado o adoptado por
una parte con la intención precisa de vincularse o autenticar un documento cumpliendo
todas o algunas de las funciones características de una firma manuscrita". En el
contexto de la Ley 27269, son varios los aspectos relevantes en torno al uso de la
firma electrónica en Perú. Entre éstos, destaca la generación de un elemento de
vinculación con el propio mensaje de datos enviado por el firmante, a través del cual
acredita su identidad en el mundo digital. Así, se genera un entorno de plena
identificación con el documento enviado y la exigencia de un mecanismo de
autenticación con el mensaje de datos.

Asimismo, la tecnología de firma electrónica que exige la ley peruana debe tener una
potencia tal, que permita generar un conjunto de acciones en el mundo electrónico a
modo de replicar las funciones características de la firma manuscrita, tales como:

Crear una real vinculación entre el firmante y el documento firmado.

Proponer mecanismos adecuados para una efectiva identificación del firmante,
de tal forma que no exista duda sobre la identidad real de los intervinientes, en
lo que se denomina la función de identificación o identificativa de la firma.
Además, esto permite la estrecha vinculación entre el firmante y lo firmado.
Generar un espacio adecuado de seguridad a fin lograr una permanente
preservación de todos aquellos aspectos relativos a la integridad del
documento firmado, para que, una vez realizada dicha operación, surtan sus
efectos. La consecuencia de estas funciones genera el no repudio del
documento firmado.
Otorgar obligatoriedad al acto de firmado, de tal forma que la declaración del
firmante acredite su voluntad respecto del contenido obrante en el documento
signado. En ese sentido, la firma actúa como seña o signo en relación con su
actitud positiva y permite generar una expresión de voluntad válida para
contratar u obligarse en general.
Actuar como elemento verificador de la autoría del documento firmado, de tal
modo que haya participado como firmante quien fue plenamente identificado en
relación con el documento y su contenido. Así, se generan tanto un acto pleno
 de identificación del firmante y su posterior participación en el acto de signado,
como un medio de prueba idóneo, frente a posteriores eventualidades legales.
Lograr un elemento diferenciador, como el grafismo generado por el ser
humano firmante como elemento de individualidad, tal como ocurre en el caso
de la firma manuscrita.
Evidenciar un determinado resultado semejante al identificador personal que se
genera en un contexto de firma manuscrita, como signatura particular y
personal. De este modo, se determina un alto grado de intencionalidad, todo
ello como resultado del animus signandi, que vincula al firmante con el
contenido firmado.
Implementar determinado mecanismo de autenticación que genere certeza y
fiabilidad respecto al contenido de lo firmado, para deducir la existencia de un
consentimiento válido.
Conocer fehacientemente al autor del documento firmado, sea por los trazos,
marcas, signos o símbolos dejados sobre la superficie firmada.
Determinar su validez al momento de la firma, aunque ocurriera su
modificación posterior, por el paso del tiempo o por su uso constante.

Sobre el particular, podemos apreciar que toda firma electrónica debe cumplir una
serie de requisitos vinculados con la firma manuscrita. La tecnología utilizada puede
ser de cualquier tipo, lo importante es dar cumplimiento a los mínimos tecnológicos
que exige la norma.

Por otro lado, debemos tener presente lo previsto por el artículo 2 de la Ley 27269,
respecto a su ámbito de aplicación, cuando señala: "se aplica a aquellas firmas
electrónicas que, puestas sobre un mensaje de datos o añadidas o asociadas
lógicamente a los mismos, puedan vincular e identificar al firmante, así
como garantizar la autenticación e integridad de los documentos electrónicos”.

En ese orden de ideas, la norma acota puntualmente el concepto de firma electrónica

para efectos de la ley de firmas digitales, al elemento de vinculación e identificación, a
un contexto técnico. Además, indica que se debe garantizar la autenticación e
integridad de todos los documentos electrónicos trabajados con dicha tecnología. Se
aprecia la existencia de un contexto genérico para el uso de cualquier tipo de firma
electrónica, debiendo asegurarse en dicho proceso la aplicación del principio de
autenticación. Éste es el proceso técnico de verificación de la autoría del firmante y el
principio de integridad, para que el documento no pueda ser modificado durante su
envío. Pero, en caso de que ocurra cualquier tipo de afectación, se deberá contar con
un mecanismo de alerta temprana que permita eliminar cualquier efecto perjudicial en
el documento firmado. De este modo, se procederá a su nulidad y al firmado de un
nuevo documento, a fin de no afectar las operaciones electrónicas, ni las
manifestaciones de voluntad generadas por medios electrónicos.

Posteriormente, en el artículo 3 de la ley de firmas y certificados digitales, Ley 27269,

se define la firma digital, como un tipo de firma electrónica "que utiliza una técnica de
criptografía asimétrica, basada en el uso de un par de claves único; asociadas una
clave privada y una clave pública relacionadas matemáticamente entre sí, de tal forma
que las personas que conocen la clave pública no puedan derivar de ella la clave
privada". La norma prosigue con el desarrollo de todos los demás aspectos aplicables
a la firma digital.
Valor probatorio y eficacia jurídica del documento electrónico

Tras la exposición de conceptos generales vamos a entrar en el epígrafe Valor

Jurídico del Documento Electrónico, en el que volveremos a tocar temas ya esbozados
en las páginas precedentes tales como, concepto de documento, documento
electrónico, garantías de autenticidad, etc., pero lo hacemos con la finalidad de
concretar y puntualizar algunos conceptos básicos y piedra angular del tema objeto de
análisis.

 Nociones Generales
Nuestro incuestionable interés por los avances técnicos y la adaptación del Derecho a
las nuevas situaciones, incluso la utilización de las modernas tecnologías en la
aplicación del Derecho, no debe confundir la actitud y planteamientos que, al estudiar
la conveniencia de la contratación por medios electrónicos, debe tener en nuestra
opinión el posible contratante. Es indudable la necesidad y conveniencia de la
utilización de las nuevas tecnologías en cualquier faceta de la vida social que lo
permita, y más concretamente en el comercio, sobre todo si el volumen de la
negociación es considerable. No podemos imaginar que las actuales relaciones
comerciales, del tipo que sean, prescindieran del teléfono, fax, o computador, cuando
su utilización fuera posible. Nuestra intención es, simplemente, resaltar las
precauciones que el contratante debe tomar, al utilizar estos medios técnicos para
concluir un determinado contrato, dado que ante un incumplimiento del mismo por la
otra parte contratante, y la consiguiente reclamación judicial, se puede encontrar con
que la existencia de una conversación telefónica, y por supuesto su contenido, es muy
difícil de demostrar; así como la persona que ha enviado un fax o introducido una
orden en la computadora, que pudiera ser alguien no autorizado, e incluso un extraño
a la relación negocial.
El necesario acuerdo de voluntades que nuestra legislación exige para la existencia de
un contrato, sería muy difícil de probar.
Llegados a este punto, debemos hacer una breve referencia al valor del documento
electrónico que pudiera aparecer en la contratación, o lo que es lo mismo, la seguridad
con que el contratante puede utilizar estas modernas técnicas, sin el riesgo de
encontrarse ante un supuesto de incumplimiento contractual, totalmente inerme. Ello
nos justifica para que partiendo de conceptos como el de documento, documento
electrónico, y valor probatorio del mismo, podamos encontrar, o cuando menos
proponer soluciones jurídicas a los problemas que en relación con la contratación y su
protección jurídica puedan plantearse al utilizar medios informáticos.

 VALOR PROBATORIO DEL DOCUMENTO ELECTRÓNICO.

a.- CRITERIOS DE APRECIACIÓN DE LA PRUEBA.

Existen tres criterios fundamentales para la valoración de la prueba: criterio de prueba
tasada, libre y mixto. El primero de ellos supone una imposición por parte de la ley al
Juez, de manera abstracta y preestablecida que debe atribuir a cada medio probatorio.
El criterio de prueba libre, consiste en que el Magistrado está en libertad de estimar el
valor de cada prueba según su convicción. Y, por último, el sistema mixto, supone
adoptar el criterio de prueba legal para determinados medios probatorios, como los
instrumentos públicos, y el de libre apreciación conforme a la regla de la sana crítica
para los restantes medios de prueba no excluidos expresamente por la ley. El
documento electrónico se admite como prueba en los sistemas de libre apreciación,
pero encuentra muchas dificultades en los países que han adoptado el criterio de
prueba tasada.

b. DERECHO COMPARADO Y EL ORDENAMIENTO JURÍDICO ESPAÑOL.

En nuestro ordenamiento jurídico, la prueba debe ser valorada por el Juez, según su
prudente arbitrio, salvo que la ley disponga otra cosa (sistema mixto), debiendo
entender la prueba documental en su sentido más amplio posible, que bien pudiera ser
el aportado por CARNELUTTI, lo que nos lleva a incluir en el término documento, a
efectos probatorios, los modernos documentos electrónicos.
Pero muchos más problemas se plantean en otros ordenamientos como el francés o el
británico, en los que encontramos institutos que se fundamentan en el principio
contrario, esto es, el de valoración legal de las pruebas. Así, en los ordenamientos
anglosajones, la posibilidad de utilizar los documentos electrónicos como medio de
prueba, se contrapone con la regla del "oído decir" (Hearsay Rule), y con la regla del
“original" (Best Evidence Rule). Por la primera de estas reglas, un documento no
puede ser hecho valer ante los Tribunales, si su autor no está presente; y por la
segunda, el documento sólo puede ser hecho valer en el Tribunal cuando es producido
en su versión original.
Suiza admite todo tipo de soporte de información ópticos o informáticos, siempre que
esté asegurada su conservación y acceso a la información registrada.
Alemania admite todo tipo de soporte, siempre y cuando permita una reconstrucción
fiel del documento original.
Del mismo modo varios estados de Australia y Nueva Zelanda, han legislado normas
que regulan el valor probatorio de los documentos informáticos.

 EN NUESTRO PAÍS:
La autora Marianella Ledesma Narváez realiza, en el presente artículo, una reflexión
sobre la prueba documental en el ordenamiento jurídico peruano. En primer lugar, se
establece la importancia de la prueba documental, realizándose previamente una
diferenciación entre medio de prueba y fuente de prueba; luego, se explica que el
documento electrónico no es un documento inmaterial, sino que tiene sus propios
medios de escritura en soporte magnético que requiere de un ordenador para poder
ser leídos; finalmente, la autora enuncia que la prueba electrónica puede generar
suficiente grado de certeza si se siguen las reglas de la informática, recomendando la
actuación pericial para generar fiabilidad sobre la misma.

 Falcón nos menciona al respecto, intentando una definición de

documento electrónico, señala que es aquel que ha sido creado sobre
un ordenador, grabado en un soporte informático y que puede ser
 reproducido. Pero, en síntesis, el documento electrónico es un conjunto
de campos magnéticos aplicados a un soporte, de acuerdo con un
determinado código. El medio de recuperación puede ser el medio
probatorio, pero en muchos casos se requerirá una prueba pericial
compleja para llegar a conocerlo o determinar su autenticidad. En otras
palabras, los registros o soportes electrónicos constituyen verdaderos
documentos, pues en ellos se recogen expresiones de pensamiento
humano o de un hecho, incorporándolos a su contenido, que es lo que
los hace capaces de acreditar la realidad de determinados hechos.

 En palabras de Viloria, la documentación electrónica si bien no podría

constituir una escritura, en el sentido tradicional de tinta sobre papel, es
sin embargo, una forma desmaterializada, a través de la cual se
incorporan determinadas expresiones del pensamiento humano y que
pueden servir para acreditar la realidad de determinados hechos

Frente a ello diremos que los documentos electrónicos se apreciarán bajo la libre
apreciación de la prueba, tomando en cuenta la seguridad y la fiabilidad de los medios
con los cuales se la envió, recibió, verificó, almacenó o comprobó si fuese el caso; sin
perjuicio que dicha valoración se efectúe con el empleo de otros métodos que
aconsejen la técnica y la tecnología.
Otra situación a advertir es la designación de peritos si se considera necesario, para
un mejor análisis de la seguridad y fiabilidad del documento electrónico. El examen de
la evidencia electrónica requiere conocimientos, criterio y tino; además, sería óptimo
que la especialización del perito fuere en pericias informáticas. No resulta apropiado
recurrir a la prueba pericial si el juez estima que la prueba aportada es impertinente,
ineficaz o inadmisible, por razones de economía procesal o por evitar una colisión de
derechos: cuando se considere que la fiabilidad del documento no está cuestionada,
todo lo contrario, la contraparte ha reconocido la autoría del documento; y, cuando el
documento electrónico aportado contenga una firma digital autorizada, pues se
presume su validez por Ley.
Cuando no hay lugar a la designación de los peritos, el juzgador puede pasar
directamente a valorar la prueba. No obstante, si debiendo nombrarlos no lo hizo,
siempre queda al juez darles a las pruebas producidas el valor de meros indicios
probatorios y la luz de la sana crítica aumentarles o restarles su eficacia, según
concuerden o no con el conjunto de pruebas aportadas al proceso

 El valor probatorio del documento con soporte electrónico puede producir

suficiente grado de certeza, conforme a las reglas de la informática y por el
principio de libertad probatoria.
La información trasmitida por Internet puede tomarse como un indicio probatorio, así
como aumentar su eficacia si obra en el proceso un reconocimiento tácito o si, al igual
que un resultado de su confrontación con otros documentos públicos y privados,
hagan referencia al mismo. En el supuesto que exista suficiente evidencia electrónica
y el juez la valorase como tal, deberá fundamentar su análisis en el informe pericial
que determine el nivel de fiabilidad y seguridad de los documentos electrónicos.
  DE SU EFICACIA JURÍDICA

Se encuentra en la ley 27269 “Ley de Firmas y Certificados Digitales” modificada por la

Ley Nº 27310, se aprobó la Ley de Firmas y Certificados Digitales, que regula la
utilización de la firma digital otorgándole la misma validez y eficacia jurídica que la
firma manuscrita u otra análoga, estableciéndose los lineamientos generales respecto
de los Prestadores de Servicios de Certificación Digital y la necesidad de contar con
una Autoridad Administrativa Competente encargada de regular de manera más
específica esta materia.
Que, mediante el Decreto Supremo Nº 019-2002-JUS, modificado por el Decreto
Supremo Nº 024-2002-JUS, se aprobó el Reglamento de la Ley Nº 27269 - Ley de
Firmas y Certificados Digitales, el cual finalmente fuera derogado mediante Decreto
Supremo Nº 004-2007-PCM, publicado en el Diario Oficial El Peruano con fecha 14 de
enero de 2007, que aprobó el Reglamento de la Ley de Firmas y Certificados Digitales.
Que, ha cobrado gran importancia dentro de la Administración Pública el empleo de
las nuevas tecnologías para interactuar con los ciudadanos, como mecanismos de
ahorro de tiempo y costos en la tramitación de solicitudes y procedimientos
administrativos. En tal sentido, mediante Ley Nº 27658, Ley Marco de Modernización
de la Gestión del Estado, se declara al Estado Peruano en proceso de modernización
en sus diferentes instancias y procedimientos, con la finalidad de mejorar la gestión
pública y contribuir en el fortalecimiento de un Estado moderno, descentralizado y con
mayor participación del ciudadano. Por su parte, El artículo 20.1.2 de la Ley Nº 27444 -
Ley del Procedimiento Administrativo General establece entre las modalidades de
notificación, las cursadas a través de medios electrónicos que permitan comprobar de
manera fehaciente su acuse de recibo y quien lo recibe; asimismo el artículo 46 de la
Ley Nº 27444 permite la cancelación de los derechos de tramitación mediante
transferencias electrónicas de fondos; y, el artículo 123.1 de la Ley Nº 27444 señala
que los administrados puedan solicitar que el envío de información o documentación
que les corresponda recibir dentro de un procedimiento, sea realizado por medios de
transmisión a distancia.
Que, a fin de lograr un verdadero desarrollo de las transacciones de gobierno
electrónico resulta indispensable establecer un sistema integral que permita acercar de
manera efectiva y segura al ciudadano a la realización de transacciones por medios
electrónicos, siendo para ello importante que se reconozca a los ciudadanos, al igual
que sucede en la experiencia comparada, el derecho a acceder electrónicamente a las
entidades de la Administración Pública de manera sencilla, progresiva y bajo
parámetros de seguridad y protección de las transacciones en sí mismas y de los
datos personales utilizados en ellas.
Que, el artículo 50 del Decreto Supremo Nº 063-2007-PCM encomienda a la Oficina
Nacional de Gobierno Electrónico e Informática, entre otras funciones, proponer la
Estrategia Nacional de Gobierno Electrónico y coordinar y supervisar su
implementación, así como también aprobar los estándares tecnológicos para asegurar
las medidas de seguridad de la información en las entidades de la Administración
Pública, lo que resulta indispensable para lograr la materialización del derecho
ciudadano de acceso a los servicios públicos electrónicos seguros.
Que, mediante Decreto Legislativo Nº 681 se establecen las normas que regulan el
uso de tecnologías avanzadas en materia de documentos e información tanto respecto
a la elaborada en forma convencional cuanto a la producida por procedimientos
informáticos en computadoras y sus normas técnicas, complementarias y
reglamentarias, disponiendo un marco jurídico para la validez y archivo de documentos
en formato digital.

MECANISMOS DE SEGURIDAD EN INTERNET

Autenticación
Definimos la Autenticación como la verificación de la identidad del usuario,
generalmente cuando entra en el sistema o la red, o accede a una base de datos.
Normalmente para entrar en el sistema informático se utiliza un nombre de usuario y
una contraseña. Pero, cada vez más se están utilizando otras técnicas más seguras.

Es posible autenticarse de tres maneras:

Por lo que uno sabe (una contraseña)
Por lo que uno tiene (una tarjeta magnética)
Por lo que uno es (las huellas digitales)

La utilización de más de un método a la vez aumenta las probabilidades de que la

autenticación sea correcta. Pero la decisión de adoptar más de un modo de
autenticación por parte de las empresas debe estar en relación al valor de la
información a proteger.
La técnica más usual (aunque no siempre bien) es la autenticación utilizando
contraseñas. Este método será mejor o peor dependiendo de las características de la
contraseña. En la medida que la contraseña sea más grande y compleja para ser
adivinada, más difícil será burlar esta técnica.
Además, la contraseña debe ser confidencial. No puede ser conocida por nadie más
que el usuario. Muchas veces sucede que los usuarios se prestan las contraseñas o
las anotan en un papel pegado en el escritorio y que puede ser leído por cualquier otro
usuario, comprometiendo a la empresa y al propio dueño, ya que la acción es que se
hagan con esa contraseña es/son responsabilidad del dueño.
Para que la contraseña sea difícil de adivinar debe tener un conjunto de caracteres
amplio y variado (con minúsculas, mayúsculas y números). El problema es que los
usuarios difícilmente recuerdan contraseñas tan elaboradas y utilizan (utilizamos)
palabras previsibles (el nombre, el apellido, el nombre de usuario, el grupo musical
preferido), que facilitan la tarea a quién quiere entrar en el sistema sin autorización.

Autorización
La Autorización se da Como el proceso por el cual se determina qué, cómo y cuándo,
un usuario autenticado puede utilizar los recursos de la organización.
El mecanismo o el grado de autorización puede variar dependiendo de qué sea lo que
se está protegiendo. No toda la información de la organización es igual de crítica. Los
recursos en general y los datos en particular, se organizan en niveles y cada nivel
debe tener una autorización.
Dependiendo del recurso la autorización puede hacerse por medio de la firma en un
formulario o mediante una contraseña, pero siempre es necesario que dicha
autorización quede registrada para ser controlada posteriormente.
En el caso de los datos, la autorización debe asegurar la confidencialidad e integridad,
ya sea dando o denegando el acceso en lectura, modificación, creación o borrado de
los datos.
Por otra parte, solo se debe dar autorización a acceder a un recurso a aquellos
usuarios que lo necesiten para hacer su trabajo, y si no se le negará. Aunque también
es posible dar autorizaciones transitorias o modificarlas a medida que las necesidades
del usuario varíen.

Administración
Es la que establece, mantiene y elimina las autorizaciones de los usuarios del sistema,
los recursos del sistema y las relaciones usuarios-recursos del sistema.
Los administradores son responsables de transformar las políticas de la organización y
las autorizaciones otorgadas a un formato que pueda ser usado por el sistema.
La administración de la seguridad informática dentro de la organización es una tarea
en continuo cambio y evolución ya que las tecnologías utilizadas cambian muy
rápidamente y con ellas los riesgos.
Normalmente todos los sistemas operativos que se precian disponen de módulos
específicos de administración de seguridad. Y también existe software externo y
específico que se puede utilizar en cada situación.

Mantenimiento de la integridad
Definimos el Mantenimiento de la integridad de la información como el conjunto de
procedimientos establecidos para evitar o controlar que los archivos sufran cambios no
autorizados y que la información enviada desde un punto llegue al destino inalterada.
Dentro de las técnicas más utilizadas para mantener (o controlar) la integridad de los
datos están: uso de antivirus, encriptación y funciones 'hash'.
La seguridad en redes, es la protección a toda la infraestructura de computadoras y
también de toda la información contenida. Existen algunos estándares, protocolos,
métodos, reglas y herramientas para que el riesgo sea mínimo en la infraestructura e
información.
Los mecanismos de seguridad son utilizados como protocolos que facilitan la
prestación de servicios de seguridad. Se consideran "ladrillos" que protegen las
comunicaciones de los usuarios frene a distintos riesgos.
Mecanismos
Se dividen en 3 grupos de mecanismos, los cuales son:
1. Prevención: Evitan desviaciones respecto a la política de seguridad.
2. Detención: Detectan intentos de violación de la seguridad del sistema.
3. Recuperación: se aplica cuando se detecta una violacion para que regrese a su
función normal

¿Qué se debe proteger? Se deberían proteger todos los elementos de la red interna
(hardware, software, datos, etc.).
¿De quién protegerse? De cualquier intento de acceso no autorizado desde el exterior
y contra ciertos ataques desde el interior que puedan preverse y prevenir.
¿Cómo protegerse? Esta es la pregunta más difícil y está orientada a establecer el
nivel de monitorización, control y respuesta deseado en la organización.
¿Cuánto costará? Estimando en función de lo que se desea proteger se debe decidir
cuánto es conveniente invertir.
LA CRIPTOLOGÍA, CRIPTOGRAFÍA Y EL CRIPTOANÁLISIS
La criptologia
La Criptología es usada desde la más remota antigüedad. Los indios, chinos, persas,
asirios, babilonios y egipcios, poseían ya signos convencionales equivalentes a las
letras de sus alfabetos, con las que comunicaban órdenes secretas a sus emisarios,
especialmente en tiempo de guerra. Bajo el título “Los albores de la criptología”, José
Luis O casar y Vigil de Quiñones dice, que ya hace casi 4.000 años, en una ciudad
llamada Mene Khufu a orillas del Nilo, un escriba trazó los jeroglíficos que contaban la
historia de la vida de su señor y, al hacerlo, abrió la historia de la criptología. En un
principio fue más un juego que otra cosa, pre- tendía retrasar la comprensión durante
el menor tiempo
Posible y no el mayor como es habitual. La adición de la reserva a las
transformaciones produce la criptografía. Señala J.L. O casar, recogiendo la opinión
de David Kahn, corroborada por Eduardo Alfonso, que la criptografía no estaba
destinada en sus orígenes a encubrir ningún secreto, sino que entrañaba un “juego del
espíritu” que hace imposible el desciframiento de ciertas inscripciones de fondo
completamente banal. Se llegaron a usar medios muy curiosos para hacer llegar
mensajes y noticias de un campamento a otro. Heródoto, autor griego llamado “el
padre de la Historia”, en su obra “Historias”, hace referencia a algunos procedimientos
utilizados para enviar mensajes secretos. Se refiere a la introducción de la carta en el
vientre de una liebre, que portaba un cazador entre varias piezas muertas; o grabar el
texto en tabletas, que luego se recubrían con cera para ocultarlo Eneas, el Táctico,
autor griego del siglo IV a. de C. escribió una obra titulada “Comentarios sobre la
defensa de las plazas”. Uno de los capítulos se dedica a los sistemas de
comunicaciones secretas, y llega a describir hasta veinticinco procedimientos
diferentes: tintas simpáticas zumo de limón, cebolla u otros vegetales, leche cruda,
orín, saliva, agua de almidón, etc. que se revelaban al ser expuestas a la acción del
calor; colocación de piedras, troncos u otros objetos en posiciones convenidas; humos,
escritura sobre la piel humana.Temístocles, que en el año 471 a. de C. fue desterrado,
para mantenerse informado utilizó los medios más imaginativos. Uno de ellos consistía
en afeitar la cabeza de un esclavo que ejercía las funciones de mensajero. Es el
estudio de la criptografía y el criptoanálisis. La palabra Criptología, proviene del
griego. Mezcla los términos kriptos (escondido, oculto) con logos (discurso). La
Criptología entonces vendría a ser el estudio del sentido oculto o lo que se esconde en
determinados mensajes. El estudio de lo oculto viene desde las primeras
civilizaciones. Si bien nació en el antiguo Egipto, fueron los griegos quienes
perfeccionaron las formas de encriptar. Ellos cifraban sus mensajes reemplazando
letras y desordenando palabras, en escritos que sólo podían ser descifrados por
quienes conocían las claves para interpretarlos.
SISTEMAS CRIPTOGRÁFICOS.
A lo largo de la historia han sido muchos los sistemas criptográficos empleados. En
este trabajo se pretende tan sólo dar una visión general que permita ver y dimensionar
la evolución de la Criptología a lo largo de algo más de 2.000 años de historia, y
conocer el alcance de los sistemas criptográficos presentes y futuros, lo que
consideramos un presupuesto básico para abordar los aspectos jurídicos de su
aplicación, que es el objeto de esta tesis.
a) El “scytalo lacedemonio”
El historiador Plutarco, contemporáneo de Suetonio, en “Vida de hombres ilustre:
Lisandro”, describe el primer sistema de transposición conocido, llamado “scytalo
lacedemonio”, que fue inventado y utilizado por los griegos de Esparta y se podría
considerar como la primera máquina de cifrar. Se remonta al siglo V a. de C. y fue
empleado por el general Lisandro en la guerra entre Atenas y Esparta.
La importancia de no soltar en ningún momento el bastón, producto de la necesidad y
la prudencia, se instala como costumbre y, al parecer, así nació el actual bastón de
mando militar, convirtiendo en un simple símbolo jerárquico lo que en su origen fue
una útil máquina de cifrar.
Sistema de Julio César
Según cuenta Suetonio (siglos I y II d. C.), en la “Vi- da de doce césares: César,
Octavio”, y Aulu Gallé, “Noches áticas”, el célebre triunvirato usó a menudo en la
correspondencia que sostenía con Oppio, Balbo, Cornelio y Cicerón un sistema de
cifrado, basado en la sustitución del “alfabeto Julio César”, del que recibe su nombre,
por ser Cayo Julio César su inventor.
El sistema consistía en sustituir la primera letra del alfabeto, A, por la cuarta, D, y así
sucesivamente con todas las demás.
El cifrado de Julio César se basa en la sustitución de letras, donde el alfabeto normal
se sustituye por el alfabeto cifrante.

Importancia de la criptología en la seguridad informática

Las cifras son tan alarmantes como definitivas. Más del 90 % de las pymes no utilizan
ningún tipo de sistema de encriptación de sus mensajes. Esto termina incidiendo de
forma directa en poner en riesgo la información de sus clientes. El permitir el aces
directo a cualquier cliente supone también dejar una puerta abierta a los que se
dedican a robar este tipo de mensajes. Resulta, por lo tanto, imprescindible:
Apostar por el uso de claves criptográficas como las arriba descritas.
Cambiarlas de forma periódica.
Confiar en expertos en este sistema de seguridad para conseguir la máxima eficiencia
posible.

DISCIPLINA DE LA CRIPTOLOGIA
Los campos en los que se divide la criptología son:

 Criptografía. Se ocupa del estudio de los algoritmos, protocolos y sistemas

que se utilizan para proteger la información y dotar de seguridad a las
comunicaciones y a las entidades que se comunican.
 Criptoanálisis. Se ocupa de conseguir capturar el significado de mensajes
construidos mediante criptografía sin tener autorización para ello.
Podríamos decir que el criptoanálisis tiene un objetivo opuesto al de la
criptografía. Su objetivo es buscar el punto débil de las técnicas
criptográficas para explotarla y así reducir o eliminar la seguridad que
teóricamente aportaba esa técnica criptográfica. A cualquier intento de
criptoanálisis se le llama ataque. Un ataque tiene éxito, y se dice que el
sistema se ha roto, cuando el atacante consigue romper la seguridad que la
técnica criptográfica aporta al sistema.
 Esteganografía. Se ocupa de ocultar mensajes con información privada por
un canal inseguro, de forma que el mensaje no sea ni siquiera percibido.
Normalmente el mensaje es escondido dentro de datos con formatos de
video, imágenes, audio o mensajes de texto. Los usos más frecuentes de
estas técnicas son: transmitir cierta información entre entidades sin que sea
detectada por terceros, inclusión de información imperceptible en objetos
digitales (Ej. imágenes, vídeos, audios) para permitir un mayor control del
uso de esos objetos digitales (por ejemplo para implementar huellas
digitales o marcas de agua.
 Estegoanálisis. Se ocupa de detectar mensajes ocultos con técnicas
estenográficas. Podríamos decir que el estegoanálisis tiene un objetivo
opuesto al de la estenografía. Su objetivo es buscar el punto débil de las
técnicas estenográficas para explotarlas y así reducir o eliminar la
seguridad que teóricamente aportaba esa técnica estenográfica. A
cualquier intento de estegoanálisis se le llama ataque. Un ataque tiene
éxito, y se dice que el sistema se ha roto, cuando el atacante detecta que
se ha usado estenografía y por tanto puede obtener el mensaje.

LA CRIPTOLOGIA EN EL SIGLO XXI

La Criptología en el siglo XXI utiliza dos métodos principales de encriptación:

El Cifrado Simétrico, que usa llaves iguales y que sólo están disponibles para quienes
envían y reciben el mensaje.
La Encriptación mediante llaves públicas es más compleja. Allí, quienes envían el
mensaje y los que lo reciben, utilizan llaves diferentes, las que tienen un manejo
mucho más avanzado. Este método es el preferido para quienes buscan un nivel de
seguridad altísimo.

Los mensajes pueden estar escondidos en casi cualquier cosa, incluyendo archivos
inocentes, y estos pueden requerir diferentes métodos para desencriptar distintas
partes, presentando un nivel de sofisticación que sólo se consigue utilizando máquinas
o sistemas especiales y que no están al alcance del público general.

CRIPTOGRAFIA
El término criptografía proviene del griego “kryptos”, escondido, y “graphos”, escritura.
Es decir, se podría traducir como “Escritura escondida”. Se trata de escribir mensajes
de tal forma que, otra persona que desee leerlo, no pueda entenderlo, a no ser que
conozca cómo se ha escondido.
En la sociedad actual del conocimiento, “información” significa “poder” y “criptografía”
es el mecanismo que se utiliza para la protección de la información. Muchos acuerdos
internacionales así como el artículo 12 de la Declaración Universal de los Derechos
Humanos y el artículo 17 del Convenio Internacional sobre Derechos políticos y Civiles
reconocen el derecho a la intimidad y privacidad como uno de los derechos
fundamentales del individuo. En muchas ocasiones conceptos similares como
criptografía, criptoanálisis, criptología y esteganografía son confundidos pero cada uno
de estos términos tiene su propio significado.
• Criptografía: Arte de escribir ocultando la información.
• Criptoanálisis: Técnicas utilizadas para descubrir el significado de mensajes
encriptados.
• Criptología: Ciencia que abarca el estudio de la criptografía y el criptoanálisis.
• Esteganografía: Proveniente de las palabras griegas “εστεγω” (encubierto) y
“γσαφης” (escritura). En la antigua grecia destaca, en Este arte, Demaroto del que se
decía que sabía ocultar mensajes de maneras muy originales. Herodoto cuenta la
estrategia, que desarrollada por Demaroto, utilizó Histaiaco en la batalla de Salamina
cuando el persa Jerjes pretendía sorprender a los griegos: “Afeitó la cabeza del
mensajero, escribió el mensaje en el cuero cabelludo y esperó a que le creciera el
pelo. El mensajero pudo viajar sin caer en sospecha. Cuando llegó a su destino se
afeitó otra vez la cabeza y se pudo leer el mensaje”. La bonanza de un código
criptográfico simplemente se basa en lo persistente que sea ante los ataques de
técnicas de criptoanálisis. Las técnicas de criptoanálisis se clasifican en función de la
información que conoce el criptoanalista:
• Ataque sólo con parte del texto cifrado: El criptoanalista solo conoce el texto cifrado.
Tanto el contenido, como la cabecera del documento, etc son desconocidos para él.
• Ataque con texto original conocido: El criptoanalista conoce parte del texto original
que ha sido codificado. Este ataque es especialmente útil en sistemas de cifrado
simétrico por bloques, ya que cada palabra codificada conserva su longitud.
 • Ataque con texto original escogido: En este caso el criptoanalista conoce el texto
cifrado de un texto original escogido por él. Es efectivo para sistemas simétricos y
algunos asimétricos.
• Ataque con texto cifrado escogido: El criptoanalista es capaz de obtener el texto
original de un texto codificado elegido por él. Es el caso menos común de todos. Existe
otra clasificación que sigue como criterio “el modo de actuar del criptoanalista”:
• Ataque con intermediario: Este ataque consiste en que el criptoanalista se interpone
en la comunicación cuando las dos partes están intercambiándose las claves.
• Ataque de prueba o ensayo (fuerza bruta): Es el método más simple de todos.
Consiste en ir probando cada una de las posibles claves hasta encontrar la que
permite descodificar el mensaje. Este método es lento pero con la llegada de los
ordenadores e Internet se pueden obtener velocidades aceptables. Cuando se entra
en el terreno de la criptografía militar es justo reseñar a kerchoffs que estableció las
normas que debe cumplir un criptosistema para evitar ser violado por un criptoanalista
(siglo XIX). Estas normas son:
• No debe existir ninguna forma de recuperar mediante el criptograma el texto inicial o
la clave.
• Todo sistema criptográfico ha de estar compuesto por dos tipos de información:
 Pública: como es la serie de algoritmos que lo definen.
 Privada: como es la clave. En los sistemas asimétricos parte de la clave es
también información pública.
• La clave escogida debe ser fácil de recordar y modificar.
• El criptograma debe poder ser transmitido usando los medios de comunicación
habituales.
La complejidad del proceso de recuperación del texto original debe corresponderse
con el beneficio obtenido.

Esteganografía

Código
Escritura
Secreta Sustitución

Cifra
Criptografía

Transposición
CRIPTOANÁLISIS
El criptoanálisis (del griego kryptós, "escondido" y analýein, "desatar") es la parte de
la criptología que se dedica al estudio de sistemas criptográficos con el fin de
encontrar debilidades en los sistemas y romper su seguridad sin el conocimiento de
información secreta. En el lenguaje no técnico, se conoce esta práctica como romper o
forzar el código, aunque esta expresión tiene un significado específico dentro del argot
técnico. A las personas que se dedican al criptoanálisis se llaman criptoanalistas.
Los métodos y técnicas del criptoanálisis han cambiado drásticamente a través de
la historia de la criptografía, adaptándose a una creciente complejidad criptográfica.
Los sistemas criptográficos han evolucionado desde los métodos de lápiz y papel del
pasado, pasando por máquinas como Enigma utilizada por los nazis durante
la Segunda Guerra Mundial-, hasta llegar a los sistemas basados en computadoras del
presente. Al aumentar la potencia de cálculo de los sistemas criptográficos, también
los esquemas criptográficos han ido haciéndose más complejos. A mediados de los
años 1970 se inventó una nueva clase de criptografía: la criptografía asimétrica. Los
métodos utilizados para romper estos sistemas son por lo general radicalmente
diferentes de los anteriores, y usualmente implican resolver un problema
cuidadosamente construido en el dominio de la matemática pura. El ejemplo más
conocido es la factorización de enteros.
Los resultados del criptoanálisis han cambiado también: ya no es posible tener un
éxito ilimitado al romper un código, y existe una clasificación jerárquica de lo que
constituye un ataque en la práctica.
La técnica del criptoanálisis se basa en buscar errores o algún error en el sistema para
penetrarlo y hacer daños.
El criptoanálisis es el estudio de tomar datos encriptados y tratar de desencriptarlos sin
usar la clave. El otro lado de la criptografía, se utiliza para descifrar códigos al
encontrar debilidades dentro de ellos. Además de ser utilizada por piratas informáticos
con malas intenciones, esta disciplina también es utilizada a menudo por los militares.
También es utilizado adecuadamente por los diseñadores de sistemas de cifrado para
encontrar, y posteriormente corregir, cualquier debilidad que pueda existir en el
sistema bajo diseño.

El criptoanálisis es el análisis de datos encriptados y tratar de desencriptarlos sin usar

la clave.

Existen varios tipos de ataques que un criptoanalista puede utilizar para descifrar un
código, según la cantidad de información que tenga. Un ataque de solo texto cifrado es
aquel en el que el analista tiene un fragmento de texto cifrado (texto que ya ha sido
cifrado), sin texto sin formato (texto sin cifrar). Este es probablemente el tipo de
criptoanálisis más difícil y requiere un poco de conjeturas. En un ataque de texto plano
conocido, el analista tiene tanto un fragmento de texto cifrado como el correspondiente
fragmento de texto plano.

Las matemáticas y la probabilidad son un principio fundamental detrás del

criptoanálisis.

Otros tipos de ataques pueden implicar el intento de obtener una clave mediante
engaños o robos, como en el ataque “man-in-the-middle”. En este método, el
criptoanalista coloca una pieza de software de vigilancia entre dos partes que se
comunican. Cuando las claves de las partes se intercambian para una comunicación
segura, intercambian sus claves con el atacante en lugar de entre ellos.

La máquina alemana Enigma fue objeto de criptoanálisis en la Segunda Guerra

Mundial.

El objetivo final del criptoanalista es derivar la clave para que todo el texto cifrado se
pueda descifrar fácilmente. Un ataque de fuerza bruta es una forma de hacerlo. En
este tipo de ataque, el criptoanalista intenta todas las combinaciones posibles hasta
que se identifica la clave correcta. Aunque el uso de claves más largas hace que la
derivación sea menos probable estadísticamente de éxito, las computadoras más
rápidas continúan haciendo factibles los ataques de fuerza bruta. Conectar en red un
conjunto de computadoras en una red combina su fuerza, y su poder acumulativo
puede usarse para romper claves largas. Las claves más largas utilizadas, claves de
128 bits, siguen siendo las más fuertes y es menos probable que estén sujetas a este
tipo de ataque.

En esencia, el criptoanálisis es una ciencia de las matemáticas, la probabilidad y las

computadoras rápidas. Los criptoanalistas también suelen requerir cierta persistencia,
intuición, conjeturas y algún conocimiento general del objetivo. El campo también tiene
un elemento histórico interesante; la famosa máquina Enigma, utilizada por los
alemanes para enviar mensajes secretos, fue finalmente descifrada por miembros de
la resistencia polaca y transferida a los británicos.

Los piratas informáticos utilizan el criptoanálisis para entrar en servidores cifrados.

 BIBLIOGRAFIA

 Bustos Pretel, G. (Coord.). (2020). La gestión del documento electrónico (2a.

ed.). Wolters Kluwer España.
 https://elibro.net/es/ereader/udch/141824?page=32

 Sábada Chalezquer, C. y Priego Fernandez, V. D. (2014). La protección y

seguridad de la persona en Internet: aspectos sociales y jurídicos. Editorial
Reus.
 https://elibro.net/es/lc/udch/titulos/46564

 Molina Mateos, J. M. (2000). Seguridad de la información criptología. Santa Fe,

Argentina: El Cid Editor.
 https://elibro.net/es/ereader/udch/80281?page=8.

 García, R. D. M. (2009). Criptografía clásica y moderna. Oviedo, Septem

Ediciones.
 https://elibro.net/es/ereader/udch/102985?page=10.

 Hernández Encinas, L. (2016). La criptografía. Editorial CSIC Consejo Superior

de Investigaciones Científicas.
 https://elibro.net/es/ereader/udch/41843?page=13
 Ortega Triguero, J. y López Guerrero, M. Á. (2006). Introducción a la
criptografía: historia y actualidad. Ediciones de la Universidad de Castilla-La
Mancha.
 https://elibro.net/es/ereader/udch/54964?page=21