19 Noviembre 2001

SEGURIDAD, CIFRADO Y FIRMA ELECTRÓNICA

Para evitar posibles ataques informáticos contra un servidor, podemos encontrarnos con diversos sistemas técnicos, entre los que destacan los firewalls, que intentan proteger a una máquina de posibles accesos por parte de personas no autorizadas, aunque, en determinados casos este sistema de seguridad quiebra ya que hay personas que saben esquivarlos. Estos ataques son unos de los problemas de seguridad en Internet y que hacen gastar a las empresas millones de euros para intentar evitarlos.

El Derecho también ha reaccionado contra estos mecanismos de acceso y, concretamente, en el caso español el artículo 197.1 del Código Penal señala que "el que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales(...) será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses". Vemos, por tanto, que este delito se va a consumar por el hecho de apoderarse física o intelectualmente de estos documentos señalados, siempre y cuando haya habido un ánimo de vulnerar la intimidad, sin ser necesaria la divulgación de los mismos. Así pues, observamos que este artículo lo que intenta proteger es la privacidad de las personas físicas contra posibles ataques de terceros, entre los que también estarán incluidos los ataques informáticos.

Otro artículo que también castiga los ataques informáticos, pero en este caso contra las empresas es el artículo 278 del Código Penal que señala que "el que, para descubrir un secreto de empresa se apoderare por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos u otros objetos que se refieran al mismo, (...) será castigado con la pena de prisión de dos a cuatro años y multa de doce a veinticuatro meses". Así, esta disposición lo que quiere proteger es el denominado espionaje industrial, es decir, la obtención sin autorización de los datos almacenados, generalmente, en un fichero informático, a través de diferentes mecanismos, siempre que el contenido del fichero tenga un valor económico. También hay que señalar que se considera secreto de empresa aquella información relativa a la industria o a la empresa que conocen un número reducido de personas y que, por su importancia, se desea mantener oculta.

En definitiva, el Derecho y, en concreto el Derecho Penal, nos da una serie de garantías para evitar los ataques informáticos y que sirven de complemento a las medidas de seguridad técnicas, como los firewalls, que se tienen implantadas en los servidores.

Por otro lado, otro riesgo que existe en Internet es el acceso, en un determinado momento de la comunicación, a datos que se envían a través de esta red. En definitiva, existe un riesgo en la intimidad de los datos y que, diversas técnicas que vamos a comentar a continuación intentan y, en la mayoría de los casos lo consiguen, eliminar este riesgo.

Para evitar este riesgo se han implementad, principalmente, dos mecanismos técnicos que van a garantizar, además de otros aspectos, la integridad de los mensajes que circulan a través de redes abiertas de comunicación. El primero de ellos es la llamada criptografía de clave simétrica o cifrado simétrico. En líneas generales esta técnica consiste en el cifrado de unos datos con una clave y el posterior descifrado de los mismos que se llevará a cabo por esa misma clave. Este conlleva una serie de ventajas e inconvenientes. Entre las ventajas destaca la velocidad que hace que los algoritmos que se utilizan son los más apropiados para el cifrado de grandes cantidades de datos. En cambio, el inconveniente principal reside en la necesidad de distribuir esta clave, por lo que si alguien la consiguiera tendría la posibilidad de descifrar el mensaje.

La segunda técnica es la llamada criptografía de clave asimétrica o cifrado asimétrico. Aquí, van a existir un par de claves, una pública que pueden conocer todos los usuarios y una privada que sólo la conocerá un usuario. Esta técnica lo que hace es cifrar un mensaje con la clave pública de un usuario y ese mismo mensaje sólo podrá ser descifrado con la clave privada de ese usuario. Con lo cual, vemos que lo que se cifra con una clave, sólo se puede descifrar con la otra. En definitiva, tiene la ventaja de que si se conoce la clave pública no significa que se pueda descifrar el mensaje y la desventaja de que la operación de cifrado y descifrado es más lenta que en la criptografía simétrica.

Además en la criptografía de clave asimétrica hay un elemento que cobra especial trascendencia, como es el llamado certificado digital que, en líneas generales, va a garantizar que una clave pública pertenece a una persona en concreto.

En definitiva, el cifrado de clave asimétrica va a garantizar que el autor de un mensaje no haya sido suplantado al enviarlo a través de redes abiertas de comunicaciones (Internet); que el mensaje no sea alterado durante esta transmisión; que el receptor del mensaje asegure haberlo recibido y que el contenido del mensaje sea leído por una persona autorizada. Esto que acabamos de señalar son los cuatro principios básicos que rigen la legislación sobre firma electrónica, es decir, identidad, integridad, no repudio en destino y confidencialidad.

Esta legislación en el caso de España se encuentra recogida en el Real Decreto Ley 14/1999 de Firma Electrónica y en la Directiva 1999/93/CE del Parlamento Europeo y del Consejo, por la que se establece un marco comunitario para la firma electrónica.

El Real Decreto Ley antes mencionado consta de 28 artículos en los que se recogen unas disposiciones generales relativas a lo que se entiende por firma electrónica, clave pública, clave privada, entre otros. Hay que señalar en este punto que es muy importante el artículo 3, al que luego haremos referencia. También se recoge en esta norma cómo se deben prestar los servicios de certificación, qué son los dispositivos de firma electrónica y cómo se van a evaluar y, por último, las infracciones y sanciones.

Este Real Decreto distingue la firma electrónica de la firma electrónica avanzada. Ambas se diferencian en que, según el artículo 2.b de la citada norma, la firma electrónica avanzada será aquella que "permite la identificación del signatario y ha sido creada por medios que éste mantiene bajo su control".

Esta distinción va a ser importante ya que será la firma electrónica avanzada la que tendrá efectos jurídicos plenos que vienen recogidos en el artículo 3 del Real Decreto Ley. Es decir, que la firma electrónica avanzada "tendrá, respecto de los datos consignados en forma electrónica, el mismo valor jurídico que la firma manuscrita en relación con los consignados en papel y será admisible como prueba en juicio (...)". Además este artículo establece una presunción legal favorable a la validez de la firma electrónica cuando el prestador de servicios de certificación que ha intervenido en la misma esté acreditado y los dispositivos a través de los cuales se genera la clave pública y la clave privada estén oficialmente certificados.

Así pues vemos que con esta regulación se pretende dar eficacia jurídica a documentos que estén cifrados utilizando la tecnología de la encriptación de clave asimétrica y, de este modo, asimilarlos a los documentos escritos en formato papel y firmados de forma manual.

Gontzal Gallo
gontzalgallo@delitosinformaticos.com
Especialista Derecho Nuevas Tecnologías.