pero cuando se analiza con detenimiento puede verse cómo esta solución del legislador responde a una de las más importantes características de los medios electrónicos, y es su facilidad de manipulación. Sin la presencia de dispositivos de seguridad especiales, la información que reposa en un medio electrónico es manipulable, sin evidencia fácilmente detectable de ello. El nivel de confiabilidad de un mensaje de datos que no tiene ningún tipo de seguridad técnica es mínimo y su valor probatorio prácticamente nulo. Un mensaje de datos debe revestirse de cierta seguridad para que se le pueda conceder valor probatorio. Y si se quiere que el mismo se considere firmado, esas seguridades deben referirse tanto a quién creo el mensaje de datos o quiere vincularse por él, como al contenido del mensaje.
Sin esos niveles mínimos de seguridad no puede considerarse que la firma “existe”; lo que está en juego aquí es nada menos que la existencia de la firma como tal. Sin los requisitos de confiabilidad, seguridad, sumado al uso adecuado, la firma no puede existir. Eso no significa, por supuesto, que el mensaje de datos que no cumpla con esos niveles mínimos de seguridad no se considere un mensaje de datos. Lo es de acuerdo con la definición del artículo 2º de la Ley 527 de 1999, pero el mismo tendrá a lo sumo la consideración de escrito que permite el artículo 6º, que es una consideración probatoria bastante limitada o incluso no como una prueba documental sino indiciaria.
De lo anterior se colige una importante consecuencia en materia de carga probatoria. Quien afirme que un mensaje de datos está firmado, no solamente debe probar la existencia del mensaje de datos, sino que debe probar, igualmente, que el documento se encuentra firmado; debe probarse la “existencia” de la firma. Esta es una verdadera carga probatoria adicional para quien pretende darle fuerza probatoria a un mensaje de datos firmado; quien afirme que un mensaje de datos se encuentra firmado, debe allegar las pruebas: (i) del método de firma utilizado, (ii) que permitan probar que ese método es confiable para el tipo de transacción, (iii) que el método es apropiado para el tipo de transacción.
Quien solamente allega a un proceso judicial un mensaje de datos, por ejemplo, un archivo electrónico en formato de procesador de textos, y afirma que el mismo está firmado, pero no allega ninguna prueba para corroborar los hechos relacionados con la firma del documento, no podrá esperar que el juez considere que el documento se encuentra verdaderamente firmado. En otras palabras, la firma es un hecho que debe ser probado dentro de un proceso. Determinar si un documento está firmado es relativo al tipo de transacción realizada, a su contexto y a la información contenida en el mensaje de datos que se está firmando. Esta es sin duda una de las principales diferencias que encontramos entre el medio físico y el medio electrónico.
Esto se puede apreciar mejor cuando se repara en las diferencias que el Código General del Proceso establece respecto de los documentos sin firma y a los documentos firmados. Para que un documento sin firma tenga efectos probatorios en un proceso judicial, se requiere de la aceptación expresa de a quién se opone; pero si el documento se encuentra firmado, bastará con el silencio de quien se supone es el firmante para que el mismo se entienda reconocido. En el contexto del mensaje de datos, si no se allegan las pruebas relacionadas con el método de firma, se tomará como un documento no firmado y su tratamiento será el de ese tipo de documentos. Si se allegan las pruebas de la firma y el juez o la autoridad que evalúa la prueba considera que las mismas prueban que el método fue confiable y apropiado, el tratamiento será el de los documentos firmados y la parte a quien se opone deberá afirmar la falsedad del documento.
La ley colombiana que regula el comercio electrónico (Ley 527 de 1999), en la parte técnica sobre firma digital y entidades prestadoras de servicios de certificación, establece condiciones adicionales de seguridad técnica jurídica a las transacciones electrónicas, que garantizan confidencialidad, integridad, identificación o autenticación y no rechazo. Estos cuatro pilares son los garantes de que las transacciones electrónicas cuenten con la seguridad necesaria para su ejecución, los cuales son estudiados y resueltos por la criptografía asimétrica.18
Con la confidencialidad se garantiza que los mensajes de datos lleguen, exclusivamente, a las personas autorizadas para ello; con la integridad, que el mensaje de datos no sea interceptado y modificado durante el envío; con la autenticación y mediante el uso de una firma digital (sistema de clave pública), que se reconozca al titular de la firma y del mensaje, y, con el no rechazo y a través del uso de los servicios de certificación digital, se podrá tener claridad de que el destinatario de un mensaje no desconocerá su recepción y que el autor no negará su autoría.
En el modelo de las normas colombianas se pueden ver tres tipos de equivalencia, a saber: a) firma, b) firma electrónica y c) firma digital con certificado de entidad de certificación.
Estas equivalencias se pueden resumir en la tabla 1.1.
Tabla 1.1. Presupuestos técnico-jurídicos de las firmas o su equivalente
| Firma | Firma electrónica | Firma digital | |
| Método | Cualquiera | Claves, contraseñas, datos biométricos, claves criptográficas privadas | Criptografía asimética (RSA) + SHA256 (Secure Hash Algoritm) |
| Requisitos | Identificación del firmante + capacidad | Identidad digital del firmante + seguridad demostrada | Entidad de certificación digital |
| Equivalencia | Firma | Firma manuscrita | Firma manuscrita |
Fuente: Rincón Cárdenas, Erick, Derecho del comercio electrónico y de Internet, Tirant Lo Blanch, 2020
La firma digital19 es una de las especies de la llamada firma electrónica y consiste en un conjunto de caracteres que se extraen de un documento, que conforman un valor numérico único, el cual es cifrado, para impedir su reproducción con dos claves, una pública y otra privada.20 Este procedimiento asegura la autenticidad y la integridad, y determina la autoría y recepción, así como el contenido de los datos transmitidos. El funcionamiento de la firma digital se podría verificar en los siguientes pasos:
a. El autor firma el documento21 por medio de la clave privada (sistema de claves asimétrico); con esto no puede negar la autoría, pues solo él tiene el conocimiento de esa clave, lo que aminora el riesgo de repudio del mensaje firmado y transmitido.
b. El receptor comprueba la validez de la firma por medio de la utilización de la clave pública vinculada a la clave privada, con lo cual es posible descifrar el valor numérico obtenido del mensaje de datos originario.
c. El software del firmante aplica un algoritmo hash sobre el texto a firmar (algoritmo matemático unidireccional, es decir, el valor obtenido no arroja el contenido inicial), y obtiene un extracto de longitud fija, absolutamente específico para ese mensaje. Un mínimo cambio en el mensaje produciría un extracto completamente diferente y, por tanto, no correspondería con el que originalmente firmó el autor.22
En consecuencia, la firma digital se configura como la expresión de la voluntad de una persona frente a cierto acto o negocio y, por lo tanto, debe garantizarse que esta no pueda ser utilizada sino por su autor, de esta forma no se defrauda él mismo o un tercero, por ello, los métodos empleados de cifrado asimétrico + funciones de hash o resumen son los mayormente empleados en la seguridad informática y comunicación P2P o entre máquinas. A continuación, los criterios más usados en esta materia para identificar al firmador, sea una persona y/o un software:
a) Algo que el usuario es (ejemplo, la huella digital o el patrón retiniano), la secuencia de ADN (hay definiciones clasificadas de cuál es suficiente), el patrón de la voz (otra vez varias definiciones), el reconocimiento de la firma, las señales bio-eléctricas únicas producidas por el cuerpo vivo, u otro identificador biométrico.
b) Algo que el usuario tiene
