Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Innovación Pública de la Jefatura de Gabinete de Ministros de la Nación Argentina
(s.f.). “Firma Digital”.
Argentina.gob.ar:https://www.argentina.gob...
https://www. argentina.gob.ar/...
https://www. argentina.gob.ar/...
Cuando se habla de Firma Digital suelen presentarse diversas confusiones
¿Es lo mismo que una firma digitalizada? ¿Tiene la misma validez legal que una firma
manuscrita? ¿Qué costo tiene su implementación? ¿Cuáles son los beneficios de utilizarla y
qué medidas de seguridad debo tener en cuenta? ¿En qué se diferencia con la firma
electrónica? Si alguna vez te hiciste alguna de estas preguntas te invitamos a seguir
leyendo este posteo. De una manera simple y resumida te contaremos todo lo que tienes que
saber al respecto.
Reglamentación legal en Argentina
La ley 25.506 del año 2001 es la normativa vigente que reconoce y establece las condiciones
para la utilización de la Firma Digital y Electrónica en Argentina y determina su eficacia
jurídica. En su artículo 2 la regulación conceptualiza a la “Firma Digital” de una manera
muy específica, por lo que tenemos que estar muy atentos a cada uno de los requisitos
previstos, pues ante la carencia de uno de ellos, la firma será considerada “electrónica” y
su valor probatorio será diferente.
“Se entiende por Firma Digital al resultado de aplicar a un documento digital un
procedimiento matemático que requiere información de exclusivo conocimiento del firmante,
encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de
verificación por terceras partes, tal que dicha verificación simultáneamente permita
identificar al firmante y detectar cualquier alteración del documento digital posterior a su
firma”.
A continuación, se efectuará una explicación breve pero detallada de cada una de las partes
de esta definición:
• La aplicación de esta tecnología sólo tiene sentido en un documento
digital, que es una representación digital de actos o hechos con independencia del soporte
utilizado para su fijación o almacenamiento (art. 6). Es decir, que pueden ser archivos de
“Word”, en formato PDF, correos electrónicos, páginas web, planillas electrónicas de cálculo
y toda otra información incluida en un soporte electrónico. En este punto cabe destacar que,
si firmamos digitalmente un documento y luego lo imprimimos, este pierde las características
consagradas por la ley.
• Es muy importante no perder de vista que la Firma Digital es el
resultado de aplicar un procedimiento matemático: es un algoritmo que está anexado al
documento digital. De tal forma, el logo que señala “firmado digitalmente” por sí solo no
tiene valor. Debe efectuarse un proceso tecnológico específico para firmar y luego otro para
autenticar esa firma.
Para entender técnicamente lo que ocurre en “segundo plano” al aplicar esta tecnología,
tenemos que reconocer un par de conceptos previamente:
A. La seguridad de la técnica abordada en este posteo está garantizada
por la “Criptografía Asimétrica”, que es un método criptográfico que se caracteriza por
poseer dos claves. Son distintas, pero están relacionadas matemáticamente, de tal modo que
lo que se encripta con una sólo se puede desencriptar con la otra (siempre funcionan en
conjunto). A este par se lo conoce como “Clave Pública” y “Clave Privada”. Esta última de
dominio exclusivo y solo conocida por el firmante.
B. Por otra parte, nos referiremos a la función “hash”, la cual
transforma cadenas de bits de longitudes arbitrarias pero finitas, en otras cadenas de
longitud fija de n-bits. En otras palabras, devuelve como resultado una misma longitud fija
de caracteres, independientemente del tamaño del documento. Es una especie de resumen y, por
lo tanto, dos documentos pueden parecer a simple vista idénticos, pero al poseer distintos
hashes no pueden considerarse que son los mismos.
eniendo en cuenta los conceptos desarrollados anteriormente, podemos proceder a explicar
como una aplicación firma digitalmente un documento y luego comprueba su autenticidad.
Al efectuar la Firma Digital, se llevan a cabo los siguientes pasos:
1. El software calcula el hash criptográfico del documento a firmar.
2. Se procede a cifrar el hash recientemente calculado con la clave
privada del emisor (se solicitará en este momento la contraseña con la que el usuario la
protegió).
3. Finalmente, el hash cifrado se anexa junto con otros datos al
documento (fecha y hora de firma, datos del firmante, etc.).
Para llevar a cabo el procedimiento de autenticación de la Firma Digital, el receptor debe
poseer la clave pública del emisor (contenida en su certificado digital). Posteriormente:
1. El software calcula el hash criptográfico del documento.
2. Luego, descifra el hash incorporado en la firma digital con la
clave pública del emisor.
3. Se comparan los resultados obtenidos en los pasos
anteriores.
Si los hashes obtenidos en el apartado 1 y 2 son idénticos, el receptor puede asegurar lo
siguiente:
A. Integridad: el documento no fue modificado desde el momento de la
firma.
B. Autenticación y no repudio: la clave privada con que se firmó
concuerda con la clave pública (recordar que ambas están relacionadas matemáticamente y que
la clave privada sólo es conocida por el emisor, debido a que es información de su exclusivo
conocimiento). Por lo tanto, el firmante queda de este modo autenticado.
Siguiendo con la explicación de la definición anteriormente presentada:
- Este sistema debe ser susceptible de verificación por terceras partes: para otorgar
confiabilidad al procedimiento de firma y autenticación, es preciso garantizar que la clave
pública pertenece al firmante. Es por ello que toma relevancia el concepto de
“Infraestructura de Clave Pública” (PKI, en inglés), que es quién regula la emisión y
distribución de las claves.
Los Certificados Digitales son documentos firmados digitalmente por una Autoridad
Certificante (CA) que acreditan que una clave pública pertenece a un determinado individuo o
entidad. Estos se pueden autenticar de la misma forma que cualquier otro documento con Firma
Digital. Para profundizar este punto, recomendamos consultar el capítulo II de la ley 25.506
“de los certificados digitales” y el estándar X.509 que especifica los formatos estándares
para certificados digitales y el algoritmo de validación de la ruta de certificación, entre
otros aspectos.
Para finalizar con este apartado, retomemos un concepto mencionado
anteriormente. La norma indica que, si la firma carece de alguno de los requisitos legales
para ser considerada firma digital, entonces se estará en presencia de una firma electrónica
¿Y qué implica eso? Si una persona niega o desconoce una Firma Digital, es ella la que debe
probar que es falsa. Caso contrario, si se niega o desconoce una firma electrónica, es la
otra parte quién debe probar su veracidad. En todos los casos en que una reglamentación
exija la firma digital, no será suficiente con una firma electrónica.
Beneficios de su implementación
Los principales beneficios que presenta su implementación son:
•Los documentos electrónicos firmados digitalmente tienen la misma
validez jurídica que aquellos firmados de forma ológrafa. Cuando la ley requiera una firma
manuscrita, la exigencia también queda satisfecha mediante la Firma Digital (art. 3), salvo
excepciones del artículo 4 de la ley antes mencionada.
•Es factible utilizarla para diversos trámites en instituciones públicas
y privadas y firmar cualquier tipo de archivo digital.
•Es posible identificar a la persona que firmó digitalmente y este no
puede negar o repudiar su existencia o autoría. Se presume, salvo prueba en contrario, que
la Firma Digital pertenece al titular del certificado digital que permite la verificación de
la firma (art.7).
•Si el resultado de la verificación de una Firma Digital es válido, se
presume, salvo prueba en contrario, que el documento no ha sido modificado desde el momento
de su firma (art. 8).
•Los documentos electrónicos firmados digitalmente son considerados
originales y poseen valor probatorio (art. 11).
•La exigencia legal de conservar documentos, registros o datos, queda
satisfecha si están firmados digitalmente, siempre que sean accesibles para su posterior
consulta (art. 12).
•Permite automatizar procesos, otorga flexibilidad y ubicuidad, ahorro de
tiempo y dinero, contribuye al medio ambiente, permite analizar la trazabilidad de los
instrumentos electrónicos, entre otros.
Procedimiento para obtener la Firma Digital
Lo primero que hay que hacer es solicitar un turno a través de Internet y luego dirigirse a
la “Oficina de Registro” seleccionada, en la fecha y horario asignado. Cabe aclarar que el
trámite es gratuito y tiene validez en todo el territorio nacional. Puede generarse a través
de dos vías:
• Remota (con celular): en este caso deberá instalarse el “autenticador
de Google” en el teléfono móvil. Este mecanismo sólo puede ser llevado a cabo por personas
humanas y sirve únicamente para firmar digitalmente archivos en formato PDF a través del
“firmador” al que se accede por la web.
• Token: se debe asistir con el dispositivo que debe ser adquirido
previamente. Luego se podrán firmar y autenticar documentos a través de aplicaciones
específicas como ser “XolidoSign” o “Adobe Acrobat Reader”.
Servicios relacionados
Al momento de implementar esta tecnología en una organización, existen servicios que suelen
ofrecer consultoras especializadas en relación a la Firma Digital, los cuales incluyen
típicamente:
•Planificación detallada del proyecto.
•Matriz de riesgo con las principales situaciones vinculadas a la
implementación, su probabilidad de ocurrencia e impacto para el negocio. Detección de
Fortalezas, Oportunidades, Debilidades y Amenazas.
•Gestión de los turnos para la obtención del certificado digital.
•Elaboración de un cronograma en donde se especifica el momento en que
los colaboradores deberán dirigirse a la “Oficina de Registro” más cercana a su
domicilio.
•Evaluación de la cantidad de dispositivos token que serán necesarios,
teniendo en cuenta los procesos críticos del negocio y los referentes que
intervienen.
•Confección de un Plan de Capacitación sobre aspectos legales y
tecnológicos, uso de contraseñas seguras y utilización del software para firmar digitalmente
y autenticar firmas.
•Reingeniería de procesos para la puesta en funcionamiento de esta
tecnología.
•Configuración de la aplicación elegida para firmar digitalmente y
confección de la documentación asociada.
•Realización y aprobación del procedimiento para el almacenamiento de los
documentos digitales y sus respectivas copias de seguridad (backup).
•Instalación de los certificados “raíz” e “intermedios” en todas las
estaciones de trabajo.
•Asesoramiento por parte de profesionales idóneos, calificados y con
experiencia.
Desde BASE4 Security SA proveemos dichos servicios, en los cuales aplicamos toda nuestra
experiencia en la industria, tanto en el aspecto técnico como en el de gestión.-