Por Alfredo Rodríguez
Channel Manager LATAM de Macroseguridad.org
ESPECIAL PARA GOBIERNO DIGITAL
La Ley de Firma Digital en Argentina ha atravezado un largo camino con idas y vueltas. Recién en este 2009 se ha comenzado a transitar por la Ley propiamente dicha, con todo lo que implica su aplicación. Al incorporarse las primeras Autoridades Certificantes operadas por los certificadores licenciados nacionales, todo el escenario ha cambiado literalmente. Las perspectivas, también.
Para hacer una pequeña introducción sobre la Ley de Firma Digital en Argentina (que comenzó allá por el año 1999) diré que ha sido un largo camino con idas y vueltas. Pero recién en este 2009 se ha comenzado a transitar por la Ley propiamente dicha con todo lo que implica su aplicación.
¿Y porque digo esto, acaso no teníamos la Ley 25.506 de Firma Digital?
Si se tenía, pero no estaba reglamentada. Lo que dice en la misma respecto de la equiparación de la firma holográfica con la Firma Digital, hasta el año pasado no existía más que en la enunciación dentro de la ley, hoy esto cambio literalmente al incorporar las primeras Autoridades Certificantes operadas por los certificadores licenciados nacionales.
Cabe aclarar que teníamos y seguimos teniendo “Firma Electrónica”, lo que cambia respecto de la Firma Digital es la inversión de la carga probatoria, o sea dicho de otro modo, si yo firmo digitalmente un documento (ej. un contrato) y luego desconozco la firma del mismo, la persona, empresa, etc, a la que yo le firme ese documento es quien tendrá que probar que el certificado digital usado en esa firma es mío. En el caso de la Firma Digital esto no es necesario, si yo firmé un documento electrónico, PDF, etc., con un Certificado emitido por una Autoridad Certificante operada por un certificador licenciado (en este caso por la ONTI), indiscutiblemente ese certificado es mío, la otra parte no tiene que demostrar absolutamente nada, eliminando toda posibilidad de “no repudio”.
El escenario de hoy al existir dos Autoridades Certificantes operadas por los certificadores licenciados nacionales por la ONTI (Oficina Nacional de Tecnologías Informáticas), como lo son AFIP y ANSES, les da a ambas organizaciones la potestad de emitir certificados digitales con peso de ley, de modo tal que aquel que firme con estos certificados será exactamente lo mismo que si lo hubiera firmado holgráficamente.
Este es el nuevo escenario que se presenta en Argentina, y hasta donde sabemos en una primera etapa se aplicara firma digital en la documentación y procesos internos y que luego intercambien funcionarios de gobierno, a partir de ese punto van a ir trasladando esta práctica a la parte privada. Cabe aclarar que Brasil, Colombia, Chile, disponen de hace unos años de esta tecnología, y se han sumado Ecuador, Uruguay, Perú, y Venezuela.
En países donde desde hace tiempo tienen aplicación de firma digital, el ciudadano común firma sus transacciones comerciales a través de la WEB, realiza transferencias bancarias, firma documentos, los notarios firman las escrituras de propietarios por la venta o compra de inmuebles, jueces que firman documentos desde su casa (por ej: sentencias), no obligando a que este presente en el juzgado al momento de firmar la misma, y así podríamos darnos cuenta que todos los procesos físicos que realizamos a diario también pueden ser realizados en forma virtual, con el consiguiente ahorro de papel por todos aquellos tramites que nos solicitan su presentación con fotocopias o impresiones adicionales, mismo proceso o peor aun entre los mismos organismos de gobierno. Como ejemplo, miremos el camino de un expediente judicial con fojas y fojas que lo componen, sus correspondientes fotocopias que lo engrosan aun mas, las notificaciones enviando a todos aquellos intervinientes en la causa, en fin el ahorro de espacio físico en el almacenamiento de la información, ahorro físico en inmuebles propios, alquileres de depósitos o lugares para guardar esa información en papel, con el cuidado del medio ambiente que involucra el uso limitado del mismo y obviamente, reducción en los espacios publicos en aquellos lugares que hoy deben atender con diferentes tramites a los ciudadanos.
¿Si la Firma Digital es tan práctica y aparentemente con tantos beneficios porque no se implemento antes?
Evidentemente la razón fundamental es que toda esta propuesta va de la mano de una infraestructura tecnológica muy importante, y de políticas de seguridad acordes a la magnitud de este proyecto, que no siempre están disponibles, sea por el momento político oportuno o por los fondos a destinar para llevarlo a cabo.
Por ejemplo la conectividad es un factor importante, ya que como ejemplo, si nuestros juzgados no disponen de Internet difícilmente podamos enviar un mail firmado digitalmente, o adjuntar un archivo firmado de una causa.
Si bien en este momento en Argentina existen en diferentes instituciones de gobierno aplicaciones en producción haciendo uso de la Firma Digital, desde firma de expedientes judiciales, notificación electrónica, correos, documentos electrónicos de intercambio entre funcionarios, memorándum, etc., las mismas están en la mayoría de los casos sin seguridad.
El elemento de seguridad es vital en todo tipo de proyecto pero en este caso de uso de Firma Digital se deben extremar aun más las medidas de seguridad, ya que estamos hablando de la identidad digital de una persona, en definitiva de su DNI virtual para que se entienda bien.
Por eso es que al momento de almacenar ese certificado digital (Firma Digital) se debe extremar todas las medidas. Hubo países que en sus inicios de uso de esta tecnología, guardaban su firma digital (certificado Digital) en un diskette, CD, Pendrive, o mismo en la PC o notebook, Argentina no es la excepción a la regla.
Estamos en presencia de uno de los errores más graves y comunes que se comete y que puede hacer peligrar el uso de este tipo de tecnología.
Porque digo esto y a su vez realizo una pregunta: ¿Ud. dejaría sobre su escritorio un cheque firmado en blanco?
Estoy seguro de que no, porque en este mundo físico, conocemos cuales serian las consecuencias que nos traería eso, pero ¿en un mundo virtual seria lo mismo?
Exactamente igual, con una ley de firma digital que me dice que tengo las mismas responsabilidades que con la firma manuscrita como podría dejar mi “firma” “digital” en un diskette, CD o pendrive… donde cualquiera que lo posea será el verdadero dueño de la información contenida en ese dispositivo, y con solo conectarlo funciona, y esa persona NO AUTORIZADA puede firmar en mi nombre.
Como se ve claramente es grave no tener control sobre esta situación, y por esta razón es que para tener seguridad en este mundo virtual, aparecen las smartcards, los Token como ePass token USB, y los BioPass, justamente para que estos dispositivos criptográficos tan complejos en su infraestructura, y a su vez tan sencillos de integrar y de usar, brinden la seguridad de que cualquier persona AUTORIZADA pueda disponer del uso de su propia firma.
Las perspectivas de lo expuesto son muy buenas y casi me atrevo a decir que este es un camino únicamente de “ida”, esto fundamentado en las exigencias propias al momento de intercambio de información con otros países (sobre todo en Latino America), por el problema del excesivo uso de papel, por el ahorro en tiempos de ejecución de los procesos internos y externos, correos físicos para enviar documentación, cartas, intimaciones, todas con su correspondiente costo, espacios físicos, etc.
Por eso el poner en marcha y usar esta infraestructura tecnológica nos depara un futuro más que interesante, eso si, fundamental cuidar la seguridad. Si esta se ve comprometida el sistema pierde credibilidad y peligra su éxito.
En Argentina desde los últimos dos años han aparecido aplicaciones diversas en PKI (según sus siglas en ingles Public Key Infrastructure ) traducido es el uso de certificados digitales, para utilizarse en procesos como “timbrado” (hoy contamos con soluciones de Timbre digital), Firma digital de cualquier tipo de documentos electrónicos, como ser un Word, Excel, txt, archivos de imágenes, etc., lo cual nos permite interactuar en un mundo virtual con validación cierta de aquello que se realiza vía Internet o por desarrollos de software, CRMs, etc.
El lograr incorporar el uso de certificados digitales a los procesos nos beneficiará en la comodidad de usar nuestro tiempo sin malgastarlo en largas filas a la hora de presentar una declaración jurada, o pagar un impuesto que vence hoy, o para la autorización de un paciente que debe ser atendido en un lugar donde su historia clínica no está físicamente.
Ante nosotros se abre un sin fin de posibilidades de usos pero reitero, si ese certificado – que nos permite hacer tantas cosas con Firma digital, como autenticar usuarios, tanto en un ingreso lógico a la red interna , como a un aplicativo Web, a un sitio (homebanking), o a una VPN – no esta almacenado en forma segura, nuestra infraestructura PKI peligra, dicho de otro modo, nuestra identidad digital puede ser vulnerada, mal usada, experimentar la usurpación de identidad también conocida como identidad robada para vaya a saber que fin, phishing, etc.
Como se desprende de lo antes dicho, así como el adelanto tecnológico nos permite hacer muchas cosas que hasta hace poco podían ser impensadas, este nuevo camino debe ser transitado con seguridad, y como el hilo se corta por lo más delgado, aquellos que estamos en sistemas debemos tener la responsabilidad de proteger a los usuarios, sean ciudadanos comunes o funcionarios de gobierno, de modo tal que sepan que su identidad digital esta a buen resguardo, en definitiva en una smartcard, un token como ePass token USB o la solución mas completa en seguridad del mercado como lo es el BioPass 3000.
Estos dispositivos (ePass) tienen gran aceptación en toda la región ya que sus instaladores están en castellano, tienen licenciamiento perpetuo pensado justamente para grandes cantidades de usuarios, lo cual baja el ROI de cualquier proyecto. Con la incorporación de este tipo de dispositivos en el uso y aplicación de la Firma Digital, aquellos que quieran robar la identidad digital de una persona no lo podrán hacer, de otro modo si no se aplica esta tecnología hoy disponible y accesible, (al menos en el caso de ePass), nadie desde los administradores de sistemas, o responsables de los mismos, podrán garantizar nada.
Fuente: Gobierno Digital
See original here:
Firma digital en Argentina: un nuevo escenario |
