Seguridad informática
La Firma Digital: Una huella que lo certifica en Internet
Al ritmo que aumentan los usuarios y servicios de Internet, se incrementan los riesgos. Wilson Barón, de la compañía Afina, explica la importancia de contar con una Firma Digital certificada.
De la misma forma en que aumentan los usuarios y servicios de Internet, se incrementan los riesgos. De allí la importancia de una Firma Digital certificada que permita dar autenticidad a la información que circula por Internet, sobre todo cuando se trata de transacciones comerciales.
Cada vez son más los usuarios que se suman al mundo del comercio electrónico y basan sus comunicaciones en Internet. Sin embargo, a pesar de que este es un medio rápido y cómodo, no es el más seguro ya que no garantiza que la información contenida no haya sido manipulada o suplantada por alguien ajeno a quien emite el mensaje. La firma digital certificada es un mecanismo electrónico, equivalente a un pasaporte o un documento de identidad en Internet, que permite certificar la autoría e integridad de los documentos que viajan por la red.
Desde el 18 de agosto de 1999, el comercio electrónico en Colombia está determinado por la ley 527/99. Por medio de esta Ley "se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones". Esta Ley tiene por objeto el adoptar un marco normativo, en materia de seguridad en comercio electrónico, y proporcionarle un valor jurídico a los mensajes enviados por la red. Por lo tanto, una firma digital certificada tendrá las mismas implicaciones legales que una firma manuscrita, siempre y cuando cumpla con los requisitos que especifica la ley.
En el mundo tecnológico, la firma digital equivale a la firma holográfica que se plasma en los documentos físicos. Su origen se debe a la necesidad que surgió de legitimizar las negociaciones electrónicas y de dar autenticidad y proteger los mensajes contenidos en los e-mails. Dicha firma no implica que el documento sea privado, es decir, puede ser visto por cualquier persona. Un e-mail firmado a través de un certificado digital garantiza la autoría e integridad del mensaje; la privacidad y confidencialidad del mensaje se da cuando dicho mensaje o documento se encripta, limitando que éste sea visto sólo por quien tienen la llave adecuada (receptor). Los algoritmos de encripción se basan en técnicas matemáticas complejas que se emplean para convertir la información en una serie de códigos que solamente podrán ser descifrados por el destinatario final, el cual debe tener un mecanismo inverso para poderlo hacer legible.
A través de las legislaciones existentes en los países con leyes de comercio electrónico se apalancan las entidades de certificación, tanto abiertas como cerradas. Las entidades de certificación abiertas son aquellas que cumplen con todos los requisitos de ley descritos en la Ley 527, que están avaladas por la SIC (Superintendencia de Industria y Comercio) y que emiten certificados al público para las negociaciones electrónicas.
En Colombia, a la fecha, Certicámara es la única entidad de certificación abierta, autorizado para emitir certificados digitales.
Una autoridad certificadora es una organización especializada y fiable cuya función es la de brindar seguridad a las transacciones que se realizan en Internet, por medio de la expedición de certificados digitales. Estos Certificados digitales contienen las llaves públicas que garantizan la autenticidad de las partes involucradas en un negocio electrónico. Una entidad de certificación cerrada es aquella que emite certificados digitales, pero estos sólo podrán ser usados entre la entidad emisora y el suscriptor, cuando se trata de una misma compañía o un grupo de participantes que se tienen confianza entre sí. Además, estos certificados no cumplen con los requisitos del artículo 15 del Decreto 1747, para satisfacer los atributos exigidos por la Ley con relación a la firma digital.
Las entidades de certificación pueden emitir diferentes tipos de certificados, desde certificados de servidor seguro, certificados para dar autenticidad a un ente jurídico, como también certificados individuales para las personas naturales. Por lo tanto, toda entidad jurídica o persona natural que quiera hacer negocios electrónicos confiables, manteniendo la autenticidad y la integridad de la información, puede tener una firma digital.
Acerca de la encripción
La Criptografía es un mecanismo que se emplea desde mucho tiempo atrás. Su primera aplicación conocida se remonta a 4.000 años atrás, cuando los egipcios utilizaban jeroglíficos encriptados para narrar la vida y hazañas de sus faraones. Durante las guerras de la edad media, los ejércitos debían enviar información de un lugar a otro de manera segura, por lo que la encripción cobró gran importancia. Actualmente, con el advenimiento de la tecnología informática, los algoritmos criptográficos han venido evolucionando hasta el punto de ser muy sofisticados.
La encripción asimétrica, base de los certificados digitales, tiene sus orígenes en los años 70, más exactamente en 1.976, cuando los señores Diffie y Hellman escribieron el primer algoritmo denominado Diffie-Hellman, el cual utilizaba una llave doble compuesta por una llave pública y una llave privada. Las dos llaves pertenecen a la misma persona, la llave pública se puede entregar a cualquier persona. La otra es la llave privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. El remitente usa la llave pública del destinatario para encriptar el mensaje, y una vez encriptado, sólo la llave privada del destinatario podrá descifrar este mensaje.