Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica. Erick Rincón Cárdenas
Чтение книги онлайн.
Читать онлайн книгу Aspectos teórico-prácticos de la firma digital en Colombia y su referente en Latinoamérica - Erick Rincón Cárdenas страница 19
Crear una firma válida no requiere una tecnología específica. La ley simplemente requiere reconocer que las firmas pueden ser impuestas por medios electrónicos que sean equivalentes funcionales.
La seguridad informática debe preservar la confidencialidad, integridad y disponibilidad de los datos de una organización proporcionando seguridad y reconocimiento legal. Al respecto, será necesario tener en cuenta los siguientes conceptos fundamentales para lo que se abordará en adelante:
a. Seguridad: cualidad o estado de protección contra pérdidas o efectos incontrolables. No es posible en términos absolutos, solo existe en niveles según su sensibilidad.59
b. Confidencialidad: implica que la información solo es compartida entre las personas u organizaciones autorizadas. La seguridad apropiada depende del nivel de confidencialidad de la información.
c. Integridad: implica que la información es auténtica y completa, y que puede confiarse que es suficientemente precisa para un propósito.
d. Disponibilidad: significa que los sistemas responsables por la entrega, almacenamiento y procesamiento de la información son accesibles cuando sean necesitados por aquellos que los necesiten.
e. Conservación de archivos: la información comercial es auditable, por lo tanto, debe ser segura y estar disponible en un estándar de integridad que garantice la conservación de un alto valor como evidencia por largos periodos de tiempo.
f. Autenticación: es la verificación de la autenticidad de identificadores exhibidos por una persona, organización o máquina. Es el segundo paso después de la presentación de un identificador a un sistema de seguridad. Usualmente, la autenticación de la firma tiene efectos legales, mientras la autenticación de origen, destino e identidad tiene objetivos de seguridad tecnológica.
g. Presunción de autenticación: las firmas digitales no solo validan al remitente, sino que pueden estampar cronológicamente la transacción. Las partes pueden utilizar firmas electrónicas con validez legal, la única diferencia con las firmas digitales son las presunciones asociadas con la transacción. Casi todas las leyes asignan una presunción de autoría e integridad a las firmas digitales. Las firmas electrónicas frecuentemente requieren un acuerdo entre las partes para darle este valor describiendo el método específico. La presunción implica que quien presenta un hecho no debe demostrarlo, quedando la carga de la prueba para quien pretende refutarlo. Un método para refutar una firma digital es demostrar que el usuario del certificado digital era un impostor que fraudulentamente convenció a la autoridad de certificación (CA, por sus siglas en inglés) para que emitiera un certificado digital con otro nombre.
La idea de no repudiación es una fuerte evidencia de la identidad del firmante de un documento electrónico que es suficiente para persuadir a una autoridad (juez, árbitro, jurado) del origen, entrega e integridad del documento contra un intento de rechazo.
h. Autoría: la firma manuscrita tradicionalmente es demostrativa de autoría o consentimiento. En e-commerce se ha buscado un equivalente funcional. Muchos países lo han resuelto adoptando leyes similares a la Ley Modelo sobre Comercio Electrónico de la CNUDMI. Existen diversas técnicas de firma electrónica que sirven como equivalentes funcionales.
La presunción de autoría de una firma digital se basa en el principio de que el firmante debe tener cuidado razonable con respecto al uso de esta firma impidiendo el uso de terceros. Por sí sola la firma digital no garantiza la identidad de quien firma, en el mejor de los casos, permite atribuir a una persona esa firma.
No hay verdadera equivalencia funcional si el procedimiento de aplicación de la firma es inseguro. Es necesario que si el firmante sabe que la seguridad de su firma está afectada debe dar noticia sin falta de ello a quien se espera que confíe en tal firma.
Los tipos de incidentes, en materia de seguridad, se pueden clasificar de la siguiente manera:
a. Pruebas: se trata de la realización de diferentes tipos de pruebas con el fin de encontrar fallas en la seguridad de los sistemas, causados por errores de configuración o por defectos en los programas que se instalan. En la actualidad, dichas pruebas se hacen de manera automática con programas específicos, por lo tanto, el número de ordenadores probados es mayor.
b. Acceso a cuentas de usuario: los hackers tienen la posibilidad de entrar al sistema como un usuario legal, adivinando la clave de acceso y aprovechando algún agujero de seguridad que haya en el sistema de seguridad para crear un usuario nuevo. Esto ocurre en varias oportunidades, debido a que los usuarios utilizan claves que son fáciles de adivinar. La mejor protección para esta situación es la imposición de restricciones respecto de palabras que se puedan utilizar (que contengan letras y números que caduquen o que no puedan repetirse las claves utilizadas anteriormente).
c. Acceso a la cuenta del administrador: el objetivo de un hacker es entrar a la cuenta del administrador del sistema, pero cuando este tiene los privilegios necesarios para controlar todos los aspectos. La protección limita el acceso a esa cuenta desde otros ordenadores o utiliza técnicas hardware de identificación como son las tarjetas, huella digital, voz, entre otras.
d. Analizador de red: o sniffer es un programa que lee toda la información que circula por una red de ordenadores. Dentro de la información que viaja en la red se encuentran las claves de acceso de los usuarios, datos de tarjetas de crédito, cuentas bancarias en otros países, cualquier tipo de información de interés para los hackers. En la actualidad, se pretende que dicha información sensible circule de manera encriptada para anular la efectividad de esos ataques.
e. Denegación de servicio: el fin de los ataques es un bombardeo a los sitios para que colapsen y para que los usuarios que entran a la red de manera legal no lo puedan hacer. Para protegerse de estos ataques, los administradores pueden restringir el acceso al sistema, negando el acceso desde los ordenadores que son considerados no fiables. Este tipo de protección no es tan fácil de implementar en los sitios de alta circulación por parte de los usuarios.60
f. Explotación de la credibilidad: entre los ordenadores de una red se establecen diferentes niveles de credibilidad, por ejemplo, cuando un usuario se conecta a otro ordenador que considera el suyo como una máquina segura, y este tiene una cuenta en dicho ordenador, ya no se le solicita la clave de acceso. Cuando un hacker consigue suplantar la identidad de dicho ordenador utilizando uno de esos bajo su control, crea usuarios en el suyo para acceder a las cuentas de los usuarios de otro ordenador. Para evitar este tipo de problemas, el administrador de la red debe utilizar con cuidado la concesión de la calificación de máquina segura a otros ordenadores.61
g. Código malicioso: son los programas que una vez ejecutados producen resultados no deseados como los caballos de Troya, virus y gusanos. Los caballos de Troya son los programas instalados en el ordenador y ejecutados pensando que hacen alguna determinada cosa como traducir un texto, realizar cálculos, etc., y que, además, de forma clandestina, realizan otras actividades sin informar al usuario, como, por ejemplo, crear un usuario nuevo con una clave determinada, enviar un correo a otro ordenador con información confidencial del usuario, borrar información existente, etc.
Existen, por supuesto, otras modalidades de suplantación (SIM swapping), robo de identidades, robo de contraseñas, etc., que evolucionan cada día, en la medida en que los sistemas logran vencer sus propias vulnerabilidades y la educación en esta materia se extiende al interior de las organizaciones y entidades públicas.
1 Emolina, Nelson y Peña, Lisandro, De los títulos valores y de los valores en el contexto digital, primera edición, Bogotá: GECTI Universidad de los Andes, Ediciones Uniandinas,