Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica. Erick Rincón Cárdenas
Fuente: Rincón Cárdenas, Erick, Derecho del comercio electrónico y de Internet, Tirant Lo Blanch, 2020
La firma digital19 es una de las especies de la llamada firma electrónica y consiste en un conjunto de caracteres que se extraen de un documento, que conforman un valor numérico único, el cual es cifrado, para impedir su reproducción con dos claves, una pública y otra privada.20 Este procedimiento asegura la autenticidad y la integridad, y determina la autoría y recepción, así como el contenido de los datos transmitidos. El funcionamiento de la firma digital se podría verificar en los siguientes pasos:
a. El autor firma el documento21 por medio de la clave privada (sistema de claves asimétrico); con esto no puede negar la autoría, pues solo él tiene el conocimiento de esa clave, lo que aminora el riesgo de repudio del mensaje firmado y transmitido.
b. El receptor comprueba la validez de la firma por medio de la utilización de la clave pública vinculada a la clave privada, con lo cual es posible descifrar el valor numérico obtenido del mensaje de datos originario.
c. El software del firmante aplica un algoritmo hash sobre el texto a firmar (algoritmo matemático unidireccional, es decir, el valor obtenido no arroja el contenido inicial), y obtiene un extracto de longitud fija, absolutamente específico para ese mensaje. Un mínimo cambio en el mensaje produciría un extracto completamente diferente y, por tanto, no correspondería con el que originalmente firmó el autor.22
En consecuencia, la firma digital se configura como la expresión de la voluntad de una persona frente a cierto acto o negocio y, por lo tanto, debe garantizarse que esta no pueda ser utilizada sino por su autor, de esta forma no se defrauda él mismo o un tercero, por ello, los métodos empleados de cifrado asimétrico + funciones de hash o resumen son los mayormente empleados en la seguridad informática y comunicación P2P o entre máquinas. A continuación, los criterios más usados en esta materia para identificar al firmador, sea una persona y/o un software:
a) Algo que el usuario es (ejemplo, la huella digital o el patrón retiniano), la secuencia de ADN (hay definiciones clasificadas de cuál es suficiente), el patrón de la voz (otra vez varias definiciones), el reconocimiento de la firma, las señales bio-eléctricas únicas producidas por el cuerpo vivo, u otro identificador biométrico.
b) Algo que el usuario tiene (ejemplo, tarjeta de la identificación, símbolo de la seguridad, símbolo del software o teléfono celular).
c) Algo que el usuario sabe (ejemplo, una contraseña, una frase o un número de identificación personal [el PIN] del paso).
d) Algo que el usuario hace (ejemplo, reconocimiento de voz, firma, o el paso).
e) Autenticación mediante dos factores “algo que tengo” la llave + “algo que sé” un número de PIN (token criptográfico).
f) Autenticación triple factor “algo que tengo” el dispositivo criptográfico + “algo que sé” una clave de autenticación tipo PIN (al token criptográfico) + “quién soy” la huella dactilar que me permite autenticarme al dispositivo de forma unívoca.23
Esto con el fin de lograr la confiabilidad y que los actos realizados de esta manera sean válidos.
1.2.3. El equivalente funcional de original
A continuación, en el artículo 8º, se define en la ley modelo de la CNUDMI lo que se conoce como el concepto de “original”:
Artículo 8º. Original. Cuando cualquier norma requiera que la información sea presentada y conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si: a) Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma; b) De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar.
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que la información no sea presentada o conservada en su forma original.
El concepto de “original” es uno de los que mayor modificación sufre en el contexto electrónico. La razón esencial para ello es el hecho de que el acceso a la información digital, desde los protocolos de Internet, involucra realizar una copia de la misma. Si el concepto “original” se asocia al soporte en el que por primera vez se incorporó la información, no podría hablarse nunca de un original en los medios electrónicos compartidos por los protocolos de Internet. En esta eventualidad, estaríamos en presencia de una copia de la información.
De otra parte, el concepto de “originalidad” para documentos electrónicos es posible de obtenerlo aplicando la tecnología blockchain, ya que por medio de esta se permite, a partir de la obtención de un valor hash de un mensaje de datos determinado, como función unidireccional, la imposibilidad de realizar un proceso de ingeniería inversa que permita obtener el documento original a partir de su valor hash. La descentralización de blockchain, entendiendo por esta un conjunto de servidores alrededor del mundo que custodian de forma paralela cada uno de los hash generados, y que para su modificación sea necesario el consenso de la mayoría, agregando otro reto en la seguridad, se considera una forma segura de custodiar dicha información, sin embargo, la descentralización de servidores puede ser costosa, por lo que hoy día se pueden generar servicios de nodos descentralizados, incluso desde un mismo centro de datos (datacenter),
No puede identificarse un “original” en este sentido, tal como se hace en los medios físicos tradicionales. El legislador, consciente de esta dificultad, estableció nuevos criterios para determinar cuándo se está en presencia de un original en el contexto de los mensajes de datos. El literal b) del artículo 8º de la ley modelo establece el requisito propio de todo escrito, al que ya se hizo referencia, de que la información pueda ser mostrada cuando se desea consultarla; pero es el literal a) el que establece una verdadera innovación. De acuerdo con este, se entenderá satisfecho el requisito de original siempre que exista una garantía confiable de que la información se ha conservado íntegra desde el momento en que, por primera vez, se generó en su forma definitiva. Esto quiere decir que, en principio, cualquiera de las copias realizadas de un documento podría ser considerado un original para efectos probatorios. Resultaría indiferente establecer cuántas copias se han realizado, o si el archivo electrónico que se examina es una copia de una copia o una copia del primer archivo que se creó.
Para determinar cuándo se entiende que un mensaje de datos es íntegro, se consagró en el artículo 9º de la ley modelo una definición del concepto de “integridad”:
Artículo 9º. Integridad de un mensaje de datos. Para efectos del artículo anterior, se considerará que la información consignada en un mensaje de datos es íntegra, si esta ha permanecido completa e inalterada, salvo la adición de algún endoso o de algún cambio que sea inherente al proceso de comunicación, archivo o presentación. El grado de confiabilidad requerido, será determinado a la luz de los fines para los que se generó la información y de todas las circunstancias relevantes del caso.
La integridad de la información se predica del hecho positivo de que esté completa y del hecho negativo de que no haya sido alterada. Esto exige no solamente una prueba estática de que se garantizó la identidad del mensaje de datos al momento de creación; el almacenamiento del mismo tiene tanta o más importancia que la creación, esto significa que debe probarse la forma cómo se ha garantizado la integridad de la información a lo largo del tiempo. Existen ciertas tecnologías que permiten garantizar los dos aspectos, con lo que esta diferenciación pierde importancia. Tal sería el caso de la infraestructura