Firma electrónica avanzada, el futuro de la autenticidad de documentos
David Alejandro Asencio Sagastume
Estudiante de Ingeniería en Ciencias y Sistemas - USAC
Palabras Clave:
Criptografía, tecnología, encriptación, servicios, gobierno.
Entorno de la firma electrónica avanzada en Guatemala
En el día a día, para realizar cualquier tipo de operación, se requiere la verificación de la identidad de las personas, principalmente en procesos legales o bancarios. Por lo general, estos procesos implican la presencia de la persona como tal y que esta, presente su documento de identificación. Dependiendo del proceso, se generan documentos que avalan la transacción y son firmados por las partes involucradas para asegurar la autenticidad del documento, toda esta logística consume el tiempo de las partes involucradas, principalmente porque se requiere que se presenten físicamente en un mismo lugar a realizar la firma.
Gracias al reconocimiento de la firma electrónica avanzada por parte del gobierno, como una forma de autentificación legal, las instituciones bancarias y los procesos legales empezaron a utilizar y aceptar su uso [1], disminuyendo enormemente los tiempos que se requieren para realizar este tipo de procesos.
¿Qué es la firma electrónica avanzada?
Lo primero es entender a que nos referimos con una firma electrónica avanzada, al escuchar este término podemos pensar que se habla de la firma manuscrita que se realiza comúnmente, que ha sido digitalizada y colocada en un documento digital. Sin embargo, esto no es a lo que se refiere como firma electrónica avanzada, esta se refiere a la generación de un certificado único, que representa a una persona individual, jurídica o una institución [2]. Este certificado garantiza la autenticidad de las personas que firmaron el documento y por lo tanto la autenticidad del documento en cuestión.
La tecnología y funcionamiento detrás de la firma electrónica avanzada no es algo nuevo, es algo que existe desde hace varios años y es utilizado, de cierta forma, en el día a día. Utiliza la encriptación asimétrica, también conocida como Infraestructura de Llave Publica (PKI por sus siglas en ingles).
Se basa en el uso de algoritmos matemáticos para generar una serie de números, a los cuales se les denomina “llave”. Se requiere de dos llaves, una pública y una privada. La llave privada debe ser resguardada y solo el dueño debe tener acceso a esta, mientras que la llave pública, como su nombre lo indica, debe ser pública y ser accesible para todo el mundo.
El flujo de la encriptación asimétrica es el siguiente: cuando una persona firma un documento, por medio de un algoritmo se genera un hash, luego este es encriptado por la llave privada. El hash encriptado es utilizado como firma y se adjunta al documento, incluyendo la fecha en la que se agregó la firma. Si el documento cambia después de la fecha en que se firmó, la firma queda invalidada.
El documento viaja a través de la red, cuando alguien recibe el documento ocurren dos operaciones. Se utiliza el mismo algoritmo para generar el hash del documento recibido, y se utiliza la llave pública para desencriptar y generar otro hash. Se comparan los valores hash y si ambos son iguales quiere decir que la firma es válida. En caso de que no sean iguales en la comparación, o la llave pública no sea capaz de desencriptar la firma, quiere decir que la firma no pertenece a la persona que envió el documento, o este fue modificada en el camino.[3]
La firma electrónica avanzada comparte los tres atributos clave de la encriptación asimétrica [4], que hacen que este proceso sea totalmente transparente para su uso legal.
Autenticidad: Garantiza la identidad de la persona que envía el documento, al ser firmado con la llave privada de esa persona se puede tener la seguridad de que la persona es quien dice ser.
Integridad: Garantiza que los datos del documento no fueron alterados, ya que hacerlo deja sin validez la firma.
No repudio: Quien envía el documento no puede negar el conocimiento de los datos y los compromisos adquiridos con este. Debido a que el documento fue firmado con su llave privada, la cual es única para esa persona.
Como todo proceso tecnológico existen riesgos en su uso, los cuales radican en una mala administración de la pareja de llaves, si no se resguarda cuidadosamente la llave privada, puede generar suplantación de identidad por parte de un tercero, al utilizar la llave privada sin el consentimiento del dueño. Para garantizar la integridad de este flujo, la pareja de llaves debe ser creada, distribuida y almacenada de forma segura, para esto existen múltiples proveedores certificados a nivel nacional e internacional que se encargan de realizar esta tarea.
¿Por qué es tan importante? Como se mencionó anteriormente, el flujo de la encriptación asimétrica es algo que utilizamos de cierto modo todos los días. Ya que el mismo concepto se utiliza para generar los certificados que utilizan las páginas web para mantener seguro el transporte de datos. Si esto es algo tan común entonces ¿por qué es tan importante la firma electrónica digital?
La razón radica en las tendencias actuales, la firma electrónica avanzada existe desde hace varios años, pero está tomando fuerza actualmente en Guatemala debido a dos factores. El primero es debido a la tendencia de disminuir el uso del papel. Y el segundo es que el gobierno reconoce su uso legalmente. En otros países se busca impulsar un gobierno y comercio electrónico, Guatemala ahora se une a esta causa.[5]
¿Cómo nos afecta? La transición al uso de la firma electrónica digital es algo que afecta a todas las personas para bien, debido a que, muchos de los procesos como se conocen actualmente irán cambiando con el paso del tiempo. Ya no será necesario que las personas asistan a un banco a firmar una solicitud de crédito, ya que, pueden enviar el documento firmado electrónicamente, disminuyendo así los tiempos en el traslado al banco y la espera para ser atendido.
Actualmente varias instituciones se han empezado a adaptar al uso de la firma electrónica avanzada, la SAT, por ejemplo, redujo los tiempos para los trámites de títulos de propiedad de los vehículos al firmarlos electrónicamente. La SAT también empezó a impulsar el uso de facturas electrónicas, dando fechas límites para los diferentes grupos de empresas para abandonar el uso del papel.
Con el paso del tiempo surgirán más procesos que se adapten, disminuyendo el tiempo que requieren para ser completados, pero los tiempos no es lo único que se verá afectado por el uso de la firma electrónica. Su uso abre las puertas a múltiples oportunidades de negocio, empresas como GuateFacturas vieron la fuerza que tomaba el uso de facturas electrónicas en otros países y decidieron empezar desde hace años con sus operaciones, ganando terreno en el mercado actual para el manejo de facturación electrónica.
Como adquirir una firma electrónica
La llave privada es un archivo con extensión PFX, CRT o PEM o similar y puede ser manejado en dos modalidades. Por medio de un token físico, como una USB, siendo este el modo menos seguro. O por medio de un API (Application Programming Interface) o un HSM (Hardware Security Module), conectándose a estos para solicitar la firma, reduciendo el riesgo de robo de la llave privada.
Para conseguir una firma se puede solicitar a distintos proveedores, en Guatemala se reconocen los certificados de firma electrónica emitidos por 5B, la Cámara de comercio o Infile. [6] Cualquier persona individual, jurídica o empresa puede solicitar su firma electrónica a una de estas tres entidades y empezarla a utilizar, ya que es totalmente reconocida por la ley.
Conclusiones
Con el paso del tiempo la firma electrónica digital avanzada se convertirá en el único medio reconocido por las instituciones, por lo que es importante adaptarse al cambio.
El uso de la firma electrónica abre las puertas a una variedad de oportunidades de negocio, si se aprovechan se puede ganar terreno en nuevos mercados.
Al optar por el uso de una firma electrónica se debe manejar con alta seguridad, ya que, al descuidar la llave privada se puede sufrir de suplantación de identidad y puede generar una gran variedad de problemas legales.
Referencias
[1] Alvarado, V. (24 de agosto 2018). El Siglo: Bancos de Guatemala implementarán la firma electrónica. Recuperado de https://bit.ly/2wtD4Ds. [Último acceso: 3 de octubre de 2019].
[2] [6] Desconocido. (06 de septiembre 2019). Firma-e: Firma Electrónica Avanzada. Recuperado de https://www.firma-e.com.gt/?page_id=1647 .[Último acceso: 3 de octubre de 2019].
[3] Desconocido. (20 de octubre 2015) DocuSign: Understanding digital signatures. Recuperado de https://bit.ly/2WuT8zs. [Último acceso: 3 de octubre de 2019].
[4] De Luz, S. (16 de noviembre 2010). RedesZone: Criptografía: Algoritmos de cifrado de clave asimétrica. Recuperado de https://bit.ly/2Wz2biP. [Último acceso: 3 de octubre de 2019].
[5] Jiguan, B.. (24 de agosto 2018). Diario de Centro América: Firma avanzada se expandirá a bancos. Recuperado de https://bit.ly/2J6s7KO. [Último acceso: 3 de octubre de 2019].