Jornada 25 Aniversario Asociacion de Internautas


Firma digital: una solución a largo plazo


La firma digital cada vez está más cerca de convertirse en una realidad para todos los ciudadanos españoles. En septiembre de 1999, España se adelantaba a EE.UU y a buena parte de los países europeos al aprobar un decreto ley para la puesta en marcha de este sistema de reconocimiento digital. Sin embargo, hasta ahora no ha sido posible ponerle hilo a la aguja.





Durante estos casi dos años y medio, el gobierno ha retocado parte del texto y ha puesto en Internet, a disposición de los ciudadanos, el borrador del anteproyecto de la Ley de la Firma Electrónica para posibles sugerencias en el texto final. El plazo de revisión terminó a finales de enero de este año. Aunque cueste creer España es —en esta ocasión— pionera en este tipo de servicios y el país europeo más avanzado en su aplicación, aunque en el resto de Europa también existe una directiva legal que prevee la puesta en marcha de la firma digital y el DNI-e en unos años.

¿Qué es la firma electrónica y cómo funciona? La firma electrónica es un sistema digital que permite identificar al usuario de un documento y acredita que es quién dice ser en relaciones no presenciales, es decir, a través de Internet. Esta firma se presenta en dos modalidades que ya se están aplicando ya en estos momentos. La primera modalidad consiste en escanear la firma manuscrita que actualmente estampamos en cualquier documento y emitirla por correo electrónico cuando nos sea reclamada, pero no va acompañada de ningún sistema de seguridad. La firma electrónica avanzada (la otra modalidad) consta de dos claves: una pública y una privada que están bajo el control exclusivo del firmante, y que permiten detectar si se han introducido modificaciones en el documento original una vez haya sido enviado.

El borrador del anteproyecto de esta ley introduce, además, como novedad la aparición del Documento Nacional de Identidad electrónico (DNI-e), cuya entrada en vigor está prevista para finales de 2003 (según las previsiones realizadas hasta la fecha). Este nuevo documento acreditativo electrónico será muy similar al DNI actual pero con la diferencia de que contendrá un chip; y con él y la firma electrónica podremos hacer en la Red desde una transacción comercial hasta recuperar datos personales con la Administración pública, realizar contrataciones laborales a distancia entre empresas localizadas en zonas geográficas diferentes, pedir préstamos al banco, etc.

El chip del DNI-e— además de contener la información que se lee actualmente en cualquier carné de identidad (o sea, nombre, apellidos, dirección, fecha de nacimiento, etc.)— dispondrá de un código numérico encriptado (o clave privada) que garantizará digitalmente la identidad de la persona que lo utilice. Cuando se requiera bastará introducirlo en un lector de chips que se encontrará en todos los nuevos ordenadores que salgan de fábrica a partir de su puesta en circulación. “La clave privada del DNI-e estará encriptada y para acceder a ella se necesitará un password. El chip estará protegido y al hacer más de tres intentos sin acierto se bloqueará. Para desbloquearlo se deberá contactar con la Autoridad de Certificación que lo haya acreditado”, explica Manel Medina, director del Es-Cert, un equipo de profesionales ligados a la Universidad Politécnica de Catalunya dedicado a potenciar la seguridad de instalaciones informáticas conectadas a Internet.

La Comunidad Valenciana ya ha sido escogida como banco de pruebas para que el DNI-e entre en funcionamiento en el segundo semestre de este año. Sin embargo, este nuevo carné no sustituirá al ‘analógico’ que seguirá siendo obligatorio para todos los ciudadanos españoles como documento nacional de identificación personal. El proyecto de la Ley de Firma electrónica también se está realizando con la Fábrica Nacional de Moneda y Timbre (FNMT) que es, actualmente, la encargada de crear otros documentos personales como pasaportes, carnés de conducir, etc.

Los acreditadores

Para disponer de un certificado de firma electrónica deberemos acudir a una Autoridad Certificadora (AC), empresas privadas que están ya empezando a competir en un mercado recién estrenado. Cada una de estas AC debe registrarse en el Ministerio de Justicia y demostrar que, antes de iniciar su actividad, disponen de 6 millones de euros (1.000 millones de pesetas) para asegurar que pueden hacer frente a su responsabilidad en caso de que causen daños a empresas y particulares con su actividad. Cada una de las AC puede, además, marcar un precio diferente por conceder el certificado acreditativo de firma digital. Habrá diferentes tipos de Autoridades Certificadoras en función del uso que le vayamos a dar. Jordi Buch, director de servicios profesionales de Safelayer, explica que “las AC cumplirán un papel importante porque permitirán que las personas sean amparadas legalmente y puedan mantener relaciones con los bancos, empresas, y efectuar transacciones comerciales, etc., a través de la Red”.

Safelayer es la compañía de referencia en España en la aplicación y desarrollo tecnológico de herramientas para la generación de claves públicas y privadas, así como en aplicaciones de gestión para las AC. Un 70% de los proyectos de firma electrónica del país los ha asumido esta empresa. Desde hace tiempo vienen realizando pruebas tanto con el Ministerio del Interior como con la Generalitat de Catalunya para la aplicación y puesta en marcha de recuperación de datos confidenciales a través de la Red. “La Generalitat tiene abiertas una serie de iniciativas con el propósito de acercar la administración catalana a los ciudadanos y ha mostrado un gran interés en la implantación de estos sistemas”, añade Víctor Canivell, director general de Safelayer.

Si las predicciones se cumplen, en junio de 2003 los residentes en Cataluña dispondrán de una tarjeta de servicios que les permitirá ejecutar pagos y consultas de información y documentación confidencial con la Administración catalana. Para este proyecto, la administración catalana ha invertido 72 millones de euros (unos 12.000 millones de pesetas). La nueva tarjeta será gratuita y se concederá paulatinamente a los catalanes que la soliciten. Uno de los servicios más útiles, en un principio, será el acceso al sistema sanitario para tramitar una visita y que el doctor acceda rápidamente al historial del paciente. En fases posteriores, está previsto que esta tarjeta permita pagar el transporte metropolitano, o los impuestos a las diferentes administraciones locales.

Por otro lado, el Ministerio de Ciencia y Tecnología (MCYT) y la Oficina Española de Patentes y Marcas (OEPM) llegaron a un acuerdo, hace tan sólo unos días, con la FNMT para ser los acreditadores oficiales en las relaciones de los ciudadanos con la Administración. De esta forma, se podrán solicitar o concluir trámites a través de Internet como becas, subvenciones de los programas gestionados por el MCYT o completar el registro de patentes o marcas que ya utiliza el sistema de certificación electrónica para el pago de tasas desde el 2000.

La seguridad

Hasta aquí parece todo bajo control. Tanto los reponsables de Es-Cert como de Safelayer aseguran que es casi imposible romper el encriptado de las claves privadas de la firma digital. “Todo este asunto se ha de contemplar desde una óptica global”, dice Canivell. “Si nos fijamos únicamente en la tecnología, la probabilidad de que se pueda modificar una firma electrónica, o interceptar una información confidencial es muy baja”. “En otras palabras”, añade Jordi Buch, “la tecnología que se utilizará para certificar la identidad ciudadana está basada en técnicas criptográficas tan seguras que tienen muy pocas probabilidades de que se logren romper”. Medina asegura que, en cualquier caso, vamos a poder estar más seguros de la firma digital que de la actual manuscrita, “porque cualquier persona de una empresa puede falsificar la firma de su jefe y nadie va comprobando si es cierta o no hasta que hay un problema”. El único riesgo posible está en el uso personal y gestión que cada ciudadano haga de su firma y su certificado, “pero esto ya es incontrolable”, concluye Canivell.

Una carrera certificadora

Las AC van a estar por todos lados muy pronto. No sólo van a ser empresas privadas sino que colectivos de diferentes ámbitos profesionales ya se están sumando al debate y proponiendo medidas alternativas que, en la práctica, les suponga mayores beneficios de acuerdo con sus necesidades. Un ejemplo es el Colegio de Farmacéuticos de Barcelona que ha creado un sistema estándar de certificación digital y firma electrónica, llamado Firmaprofesional. Otros colegios profesionales, como el de Médicos, el de Arquitectos o el de Ingenieros Industriales de Cataluña ya se han adherido a Firma Profesional, que actúa como Autoridad Certificadora de todos ellos. “Nos dimos cuenta de que la Administración central estaba preparando la firma para personas como ciudadanos españoles, las Cámaras de Comercio ofrecían este servicio para las empresas, pero no había nadie que acreditara que un profesional (de cualquier actividad) es quien dice ser”, explica Josep Gavaldà, gerente del Colegio de Farmacéuticos de Barcelona. “Nuestros clientes no son los profesionales directamente, sino los Colegios donde están agrupados”.

Por su parte, las entidades bancarias no se quedan atrás. Ya está en marcha Identrus, una red de bancos internacional cuyo objetivo es la autentificación de firmas electrónicas y otros aspectos relacionados con las transacciones financieras y comerciales electrónicas. “Hay una serie de actividades que la Administración central no puede hacer: como acreditar que un señor es un buen médico, o que está capacitado para realizar una operación”, explica Canivell. “Por tanto, tiene que haber acreditadores profesionales de diferente índole”. Camerfirma, a su vez, es la AC de las Cámaras de Comercio de España para ofrecer la firma a todas las empresas asociadas a ellas.

El papel de los notarios

El Consejo General del Notariado también está actualmente preparando la creación de su entidad de certificación que proveerá a todos los notarios de firma digital para las relaciones entre ellos y la Administración. Y, de ahora en adelante, estarán obligados al tomar posesión de su plaza a dotarse de una firma electrónica avanzada. Que los notarios tengan esta capacidad de firmar electrónica será muy útil, por ejemplo, en trámites bancarios porque agilizará los actuales evitando algunos desplazamientos. Pero no todos porque, en última instancia, la persona interesada en un préstamo bancario tendrá que presentarse ante el notario y estampar su firma, aunque ésta sea electrónica. Es decir, el notario siempre se tendrá que cerciorar que ese individuo realiza esa operación de voluntad propia y no coaccionado por nadie.

Como mencionaba al principio, España va por delante de muchos otros países en este asunto. Por delante, incluso, de Estados Unidos puesto que sus ciudadanos no tienen DNI ni ningún otro carné acreditativo más que el de conducir, que se concede por correo y con muy pocas garantías. En el resto de Europa, se está aplicando en Finlandia y Suecia desde hace unos años aunque su uso está muy poco generalizado; y Bélgica, Italia o Alemania van al mismo ritmo que nosotros. En América Latina, los gobiernos de Argentina, Uruguay y Costa Rica ya se han puesto a trabajar en esta ley electrónica, pero se sabe poco o nada de cómo está de avanzada esta normativa en otros continentes.

El debate de los riesgos

Recapitulemos. Todo lo expuesto significa que, a partir del año 2004 (tirando largo), cada ciudadano español podrá acudir a una empresa expendedora de certificados de firma digital, y allí nos darán unas claves que deberemos gestionar con mucho cuidado. A partir de ese momento, todas nuestras relaciones comerciales, laborales, o con la administración pública serán mucho más ágiles. Sin embargo, ¿cómo daremos ese paso de ser usuarios desconocidos de la Red a ser personas con identidad pública digital certificada? “En cuestión de dos años tendremos los recursos técnicos necesarios, lo único que falta es un cambio de mentalidad”, responde el director de Safelayer. “Tampoco nos ha costado tanto adaptarnos al teléfono móvil ni a los SMS y allí están”. Manel Medina, el director de Es-Cert añade que “determinados trámites laborales se podrán hacer automáticamente siempre y cuando no tengan una implicación fuerte dentro del modelo de negocio de la organización. La Generalitat, por ejemplo, ya está tramitando solicitudes de vacaciones o pago de dietas”.

Llegar hasta este momento no ha sido cuestión de dos días. Todos los expertos coinciden en que, desde que se empezó a concebir la idea de la firma electrónica hasta nuestros días, pueden haber transcurrido unos diez años de pruebas, errores, y modificaciones. El debate también ha sido manido porque se han contemplado desde todos los ángulos (legal, técnico, social, político) los riesgos, implicaciones y complicaciones. Lo cual no quiere decir, por ello, que sea un acierto el implantar la firma digital en nuestro país. De hecho, hasta que se ponga en marcha no se va a saber.

Uno de los problemas que pueden surgir es cuando dos Autoridades de Certificación no se reconozcan. Es decir, una persona presenta su firma digital acreditada por una AC y reconocida por el Ministerio de Ciencia y Tecnología. Pero la empresa de Taiwán con la cual está comerciando no la acepta porque la legislación de su país simplemente no la tiene implantada. En este sentido, dentro de los países de la Comunidad Europea tenemos todas las puertas abiertas, pero una vez salgamos de ella nadie garantiza nada. Conseguir un marco legal extracomunitario resulta muy difícil, y una vez más nos encontramos en un espacio global sin fronteras—la Red— donde es muy difícil operar como si no las hubiera.

Croquis de supervivencia

Después de todo lo comentado, sería preciso dibujar un croquis donde estuvieran representadas las firmas, claves (públicas y privadas) y certificados que tendremos en nuestro haber de aquí a unos años para hacernos una idea de lo mucho que vamos a tener que espabilar si queremos seguir existiendo en este mundo virtual que estamos edificando, al parecer cada vez más complejo. A todo este entramado de simbología numérica que habrá que recordar, hay que añadirle las contraseñas de nuestras tarjetas de crédito, el número del DNI, la letra del NIF, el número de la Seguridad Social, el número del teléfono móvil, el de nuestro domicilio particular, el del trabajo, el número de fax, etc. que ya utilizamos. Olvidé mencionar todos aquellos lugares de la Red que, actualmente, solicitan una contraseña para entrar como los servidores de correo electrónico, la participación en una lista de distribución, el acceso a un archivo de noticias, la personalización en un foro de discusión, etc. Habrá que ir con una ‘chuleta’ en el bolsillo para salir del paso. Pero, en ese caso, ¿no se corre el riesgo de perderla o de que otra persona pueda acceder a nuestra identidad si se apodera del papelillo? ¿No seríamos acusados por la AC de haber gestionado mal nuestras contraseñas? El borrador de la Ley de la Firma Electrónica deja bien claro que las AC están exhimidas de responsabilidad “cuando el usuario de la firma electrónica incumpla sus obligaciones respecto a la confidencialidad de los datos de la firma o la veracidad de la información suministrada al solicitar la rúbrica”.

Quizás este planteamiento sólo sea fruto del momento, y debamos pasar a la práctica para comprobar que somos capaces de asumir todo esto con naturalidad. Jordi Buch, de Safelayer, explica que el DNI-e servirá precisamente para substituir todas las contraseñas que nos piden en la navegación por Internet. “Estos identificadores digitales también servirán para restringir el acceso a ciertas webs con contenidos pornográficos o violentos. Como el DNI actual, el electrónico tendrá la fecha de nacimiento de la persona que quiera entrar a una página y los menores de cierta edad no podrán visualizar sus contenidos”. Aún así, Buch cree que los software actuales de control de contenidos, como CyberPatrol o similares, seguirán teniendo mercado en aquellos países como EEUU donde el hecho de implantar un DNI-e todavía no se contempla del todo, “porque una cuestión cultural, que llevará tiempo modificar”.

El identificador único

La Unión Internacional de Telecomunicaciones (UIT) propuso, hace unos meses, la utilización de un número de teléfono universal (UPTN, en sus siglas en inglés) con el que se podrá llamar desde cualquier país del mundo sin necesidad de estar cambiándolo aunque las operadoras de telefonía o la ubicación geográfica varíen. “Las empresas podrán efectuar y recibir llamadas prescindiendo de la tecnología utilizada o el país. Se beneficiarán, sin duda, de poder anunciar un número personal único a posibles clientes de todo el mundo”, explica el comunicado oficial. Digo yo: ¿no se podría optar por una solución similar para la firma electrónica? ¿No sería más práctico utilizar un sólo identificador para que fueramos reconocidos automáticamente por todas las administraciones, colegios profesionales, empresas, y comercios virtualmente?

Josep Gavaldà, gerente del Colegio de Farmacéuticos de Barcelona, considera que no hay que ponerse “tan catastrofistas” porque estamos en los inicios de todo este proceso y todavía queda mucho por caminar. “Nuestra voluntad es que la FNMT y nosotros lleguemos a un acuerdo de manera que nuestra firma sirva tanto para hacer la declaración de hacienda, como para firmar una receta electrónica, como para pedir un préstamo al banco, como para comprar en un supermercado de otro país. Estamos en ello. Ya hemos conseguido este acuerdo con la Generalitat de Cataluña y Localret —un consorcio que agrupa a todos los municipios catalanes—. Hay que pensar también que éste es el debate que se está manteniendo en Cataluña pero que en el resto de España todavía no hay esta necesidad y está todo por hacer”.

Canivell de Safelayer opina que nos iremos acostumbrando al uso y manejo de nuestra firma digital sin mayores problemas, y que por fin se podrán realizar transacciones comerciales fiables. “Creo que éste será una de los mayores pasos que se venían reclamando desde hace tiempo”. “No le demos más vueltas”, dice Manel Medina. “¿Qué está pasando ahora con la firma manuscrita? Firmamos y enviamos el documento sin ni siquiera la fotocopia del DNI para comprobar esa firma. Al menos, a partir de ahora habrá más seguridad de que la persona que firma es quien dice ser y que además está acreditado como el profesional que dice ser”.

Por el contrario, José Manuel Pérez, consultor de Safenet Solutions (consultoría especializada en el entorno digital) y abogado de JNV, sí que ve que todavía el borrador de la Ley de Firma Digital se ha de pulir más en un intento de superar dos grandes problemas que actualmente se plantean: “No hay un estándar de criptografía de firma electrónica, en primer lugar; y, en segundo, se han de dar más soluciones legales a nivel global que fomenten la seguridad”. “Sin ello —insiste este abogado— no se lograrán los dos objetivos básicos de esta ley: que son garantizar la seguridad jurídica, y fomentar y potenciar el desarrollo del comercio electrónico y la contratación profesional vía Internet”.

La Asociación de Internautas (AI) estima que el primer borrador del anteproyecto de Ley de Firma Electrónica, publicado en el web del Ministerio de Ciencia y Tecnología, debe profundizar “bastante más” en la depuración de responsabilidades. La comisión de la AI que estudia el anteproyecto, dirigida por Miguel Arroyo, critica que el anteproyecto ni siquiera mencione los sistemas operativos, que son con los que funcionan las máquinas, ni haya referencia alguna a los programas que utilizarán las firmas electrónicas. “Si estos apartados no se regulan puede caerse en una monopolización del comercio electrónico por parte de los sistemas propietarios”, según AI.

Así están las cosas en el tema de la firma electrónica, por ahora. Si se resuelven los inconvenientes vistos hasta el momento puede que llegue a ser una gran solución. Sin embargo, todavía pasarán años a partir de su puesta en práctica a finales del 2003 para que todos nos manejemos con soltura legalmente y acreditadamente en este mundo virtual en construcción.

Karma Peiro Rubio Reproducido de En.Red.Ando

pdfprintpmail