1

Alfredo Batuecas CaletríoÁrea de Derecho Civil

Seguridad y Firma electrónica

Universidad de Salamanca

Veracruz, 24-28 marzo 2007

2

La seguridad en las comunicaciones preocupa al hombre desde antiguo.Su desarrollo ha venido propiciado por necesidades militares:

Grecia: Guerra entre Esparta y Atenas, la escítala

Carlomagno incrustaba signos falsos en sus mensajes

Napoleón asignaba números a las letras o grupos de letras

T. Jefferson utilizaba discos cilíndricos en los que estaban impresas las letras del abecedario

Mención aparte merece César, uno de los primeros en utilizar de un modo útil e inteligente la criptografía: sustituía cada letra por la que ocupaba tres puestos más adelante en el abecedario

“Cuanto más se agravaba cada día la fiereza del asedio, principalmente por ser muy pocos los defensores, estando gran parte de los soldados postrados de las heridas, tanto más se repetían correos a César, de los cuáles algunos eran cogidos y muertos a fuerza de tormentos a vista de los nuestros”.

(La Guerra de las Galias, Libro V, parágrafo XLV)

3

Hoy se utilizan métodos más sofisticados:

SISTEMAS DE CLAVE SIMÉTRICA Método de sustitución

Método de permutaciónEsteganografía

SISTEMAS DE CLAVE ASIMÉTRICA Opera sobre una clave privada y una clave pública

Hoy ya no se envían los mensajes literalmente, sino resúmenes para lo que se utilizan funciones resumen (Hash)

Así, si Esmeralda codifica sus mensajes con su clave privada, Ángel tendrá que utilizar la clave pública de aquélla para poder leerlo. Con esto, se nos garantiza la identidad del remitente del mensaje. Si Esmeralda quiere que el mensaje sólo lo pueda leer Ángel lo que tendrá que hacer es codificar el mensaje con la clave pública de Ángel, porque sólo él tiene acceso a su clave privada. Con esto, Esmeralda se asegura de la identidad del destinatario. También es posible combinar ambos métodos, para lo que basta con codificar el mensaje dos veces, una con la clave privada de Esmeralda y otra con la clave pública de Ángel, con lo que se garantiza tanto la identidad del remitente del mensaje como la del destinatario.

Mixtos: Mezcla sustitución y permutación. Máquina “Enigma”

4

CLASES:

Seguridad física vs. Seguridad jurídica

De fondos

De datos

Desde el punto de vista legal, existe una gran inseguridad jurídica en torno a ambas formas de transferencias, lo que representa una rémora para su implantación efectiva y global en la sociedad.

La respuesta que ha ofrecido el Derecho a uno y otro tipo de transferencia ha sido muy distinta: están reguladas las transferencias electrónicas de datos, pero no las de fondos.

CLASES DE TRANSFERENCIAS ELECTRÓNICAS

5

Datos personales

6

7

TRANSFERENCIAS ELECTRÓNICAS DE

DATOS

(Firma Electrónica)

8

Índice:

               

1. Definiciones.

2. Clases de FE y efectos que se desprenden de su uso.

3. Certificados electrónicos

4. Prestadores de servicios de certificación

9

La firma electrónica ofrece la solución a la autenticidad, integridad, confidencialidad y no rechazo del mensaje en las Transferencias Electrónicas de Datos.

La regulación de la F.E. recae en la Ley 59/2003, de 19 de diciembre. Ley, a diferencia del pago electrónico.

Objetivo: generar en el ámbito digital las condiciones de seguridad y confianza necesarias para estimular el desarrollo de los servicios de la Sociedad de la Información, en particular, de la Administración y del comercio electrónicos.

FIRMA ELECTRÓNICA

10

a) "Firma electrónica": es el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante (entorno internet).

b) "Firma electrónica avanzada": es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante mantiene bajo su exclusivo control.

c) “Firma electrónica reconocida”: es la firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma.

d) "Datos de creación de firma" (clave privada): son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica.

e) "Datos de verificación de firma" (clave pública): son los datos, como códigos o claves criptográficas públicas, que se utilizan para verificar la firma electrónica.

DEFINICIONES I

11

e) “Prestador de servicios de certificación”: es la persona física o jurídica que expide certificados electrónicos o presta otros servicios en relación con la firma electrónica.

f) “Certificado electrónico”: es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad.

g) “Certificados reconocidos”: son los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en esta ley en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

DEFINICIONES II

12

CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS

* Firma electrónica (“simple o sencilla”) “el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante”.

* Firma electrónica avanzada, aquella “que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control”.

* Firma electrónica reconocida, aquella “firma electrónica avanzada basada en un certificado reconocido y generada mediante un dispositivo seguro de creación de firma”.

13

De estas definiciones pueden extraerse, al menos, estas tres conclusiones:

- La FER debe cumplir dos requisitos para que sea tenida por tal (estar basada en un certificado reconocido y ser generada mediante un dispositivo seguro de creación de firma), que no se le exigen, ni a la firma electrónica simple, ni a la firma electrónica avanzada. Estos requisitos le añaden calidad y la hacen más segura.

- Las FEA podrá pertenecer a una firma electrónica reconocida o no, dependiendo de que cumpla los requisitos exigidos a esta última.

- La firma electrónica (simple) y la firma electrónica avanzada, a su vez, se distinguen porque la segunda puede identificar al firmante, detectar cualquier cambio que se realice en los mensajes, vincularse al firmante de manera única y a los datos a los que se refiere, y garantizar que ha sido creada por medios que el firmante puede mantener bajo su estricto control, mientras que la firma electrónica (simple) no.

CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS

14

CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS

Efectos Jurídicos

Así, todo se reduce a un problema de prueba: bastará con demostrar que se utilizó una FER para desplegar efectos.

¿Qué ocurre si la firma utilizada no es reconocida? (Art. 3.9)No se le negarán efectos jurídicos a una firma que no sea FER. La firma electrónica “sencilla” y la FEA no gozan de una equiparación “automática” a la manuscrita.

Habrá que probar todos los extremos de la firma electrónica: seguridad, autenticidad, integridad datos.

La ley equipara los efectos de la firma electrónica RECONOCIDA a los de la firma manuscrita (art. 3.4 LFE).

15

CLASES DE FIRMA ELECTRÓNICA Y EFECTOS JURÍDICOS

Efectos JurídicosEl soporte en que se hallen los datos firmados electrónicamente

será admisible como prueba en juicio.

Si la f.e. es reconocida simplemente se comprobará que el prestador de servicios de certificación prestaba sus servicios de certificación cumpliendo con todas las garantías exigidas por la ley. Importancia de los “sellos de garantía”

¿Qué ocurre si en juicio se impugna la autenticidad de una f.e.?

Si la f.e. no es reconocida, habrá que estar a lo que el artículo 326 LECv establece para los supuestos en que se impugnan documentos privados. Habrá que comprobar específicamente que cumple con la autenticidad, integridad, confidencialidad de datos.

16

CERTIFICADOS ELECTRÓNICOSProblemas de las firmas electrónicas: la distribución segura de

las claves públicas y asegurar que quien utiliza una FE es

ciertamente quien dice ser que es. Para salvar esos problemas, Trusted Third Party o TTP. Es un tercero, el “Prestador de servicios de Certificación”, que expide un certificado, garantizando la autenticidad de las personas.DEFINICIÓN: “un documento firmado electrónicamente por un prestador de servicios de certificación que vincula una clave pública a un firmante y confirma su identidad”.

CLASES:

Certificado Electrónico “sencillo o simple”

Los certificados Electrónicos Reconocidos deben cumplir requisitos especiales establecidos en la ley. Debe indicar: que es reconocido, Código del certificado, FEA del prestador, identificación del firmante, clave pública del firmante, comienzo y fin de su validez, límites de uso del certificado, valor máximo de las transacciones.

Certificado Electrónico reconocido. Su importancia es que son necesarios para las FER.

17

CERTIFICADOS ELECTRÓNICOS

Vigencia del certificadoSon causas de extinción del certificado (Art. 8):

a) Expiración del período de validez que figura en el certificado. b) Revocación formulada por el firmante.

c) Violación o puesta en peligro del secreto de los datos de creación de firma del firmante o del prestador de servicios de certificación o utilización indebida de dichos datos por un tercero. d) Resolución judicial o administrativa que lo ordene. f) Cese en la actividad del prestador de servicios de certificación salvo que, previo consentimiento expreso del firmante, la gestión de los certificados electrónicos expedidos por aquél sean transferidos a otro prestador de servicios de certificación. Etc.Son causas de suspensión temporal del certificado (Art. 9):La solicitud del firmante.

Una resolución judicial, la existencia de dudas, etc.

18

CERTIFICADOS ELECTRÓNICOS

Expedición a favor de personas jurídicasResponsable del certificado y de la clave privada la personas

física solicitante

La persona jurídica actúa por sí misma en el mercado, sin representante legal de intermediario

Cuando se excedan los límites del certificado, “la persona jurídica quedará vinculada frente a terceros sólo si los asume como propios o se hubiesen celebrado en su interés. En caso contrario, los efectos de dichos actos recaerán sobre la persona física responsable de la custodia de los datos de creación de firma, quien podrá repetir, en su caso, contra quien los hubiera utilizado”. Genera muchas dudas

El nombre de la persona física aparece en el certificado

El certificado debe utilizarse para todas las actuaciones propias del giro o tráfico ordinario de la persona jurídica solicitanteNo exceder los límites del certificado

19

PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

CONCEPTO:"...la persona física o jurídica que expide certificados

electrónicos o presta otros servicios en relación con la firma electrónica”. (Art. 2.2 LFE)

Personas jurídicas privadas y también la Admón. (FNMT)=Renta.

Actividad de Certificación

No está sujeta a autorización previa

No obstante, los prestadores que quieran pueden “acreditarse”Procedimiento totalmente voluntario (Art. 26 LFE).

El procedimiento trata de favorecer los sellos de calidad

La LFE ha eliminado el Registro de prestadores estableciendo un mero servicio de difusión de información sobre prestadores.

Conviven prestadores “acreditados” con “no acreditados”

20

Servicio de información de prestadores (Mº. de Industria)

21

PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Obligaciones del prestador

c) Garantizar la disponibilidad de un servicio de consulta sobre la vigencia de los certificados rápido y seguro.

a) No almacenar ni copiar los datos de creación de firma de la persona a la que hayan prestado sus servicios. b) Mantener un directorio actualizado de certificados.

OBLIG. PRESTADOR CERTIFICADOS RECONOCIDOS:a) Garantizar que pueda determinarse con precisión la fecha y la hora en las que se expidió un certificado o se extinguió o suspendió su vigencia. b) Emplear sistemas y productos fiables que garanticen la seguridad técnica. c) Tomar medidas contra la falsificación de certificados. d) Conservar registrada por cualquier medio seguro toda la información y documentación relativa a un certificado reconocido.

22

PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Cese de la actividadComunicación a los firmantes y al Ministerio de Ciencia y

Tecnología. Plazo: 2 meses antes del cese.Podrá ceder la gestión de los certificados válidos a otro prestador con consentimiento de los titulares.

Responsabilidad de los prestadoresExigible a todo tipo de prestador de certificación. Art. 22 LFE.

Prestador responde de los daños causados “a cualquier persona”.

Resp. Contractual o extracontractual.

Titular del certificado (quien tiene la clave privada)Usuario del certificado (quien usa la clave pública)Cualquier tercero (a quienes haya suplantado el titular del cert.)

La carga de la prueba de la diligencia debida recae sobre el prestador

23

PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Exención de Responsabilidad de los prestadores

a) los datos que deban consignarse en el certificado y que le haya facilitado el firmante no sean veraces.

b) el firmante no notifique modificaciones importantes.

c) el firmante no haya conservado con la diligencia debida los datos de creación de firma.

d) el firmante no haya solicitado la suspensión o revocación del certificado, si tenía dudas razonables sobre la confidencialidad de su clave.

e) el firmante utiliza los datos de creación de firma una vez expirado el período de validez del certificado.

24

PRESTADORES DE SERVICIOS DE CERTIFICACIÓN

Supervisión y control de la Admón. PúblicaLa Admón. podrá controlar que el prestador cumple con la ley.

Los prestadores deberán entregar a la Admón. la información que ésta pueda solicitarles.

Infracciones y sanciones

Muy graves: expedir certificados reconocidos sin comprobar, incumplir obligaciones causando daños a terceros. 600000 €.

Graves: incumplir obligaciones sin causar daños a tercero, resistirse a la inspección. De 150000 € a 300000 €.

Leves: incumplir obligaciones sin dar lugar a infracciones graves o muy graves. Hasta 30000 €.

Sanciones graves y muy graves public. en el BOE. Medidas Prov.