ARTÍCULOS
CON NOMBRE
Y APELLIDOS

Seguridad, cifrado y Firma digital



Seguridad, cifrado y firma digital



Gontzal Gallo (gontzalgallo@delitosinformaticos.com). Noviembre 2001.

Especialista Derecho Nuevas Tecnologías



Para evitar posibles ataques informáticos contra un servidor, podemos
encontrarnos con diversos sistemas técnicos, entre los que destacan los
firewalls, que intentan proteger a una máquina de posibles accesos por
parte de personas no autorizadas, aunque, en determinados casos este sistema
de seguridad quiebra ya que hay personas que saben esquivarlos.



Estos ataques son unos de los problemas de seguridad en Internet y que hacen
gastar a las empresas millones de euros para intentar evitarlos.


El Derecho también ha reaccionado contra estos mecanismos de acceso
y, concretamente, en el caso español el artículo 197.1 del Código
Penal señala que "el que, para descubrir los secretos o vulnerar
la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas,
mensajes de correo electrónico o cualesquiera otros documentos o efectos
personales(...) será castigado con las penas de prisión de uno
a cuatro años y multa de doce a veinticuatro meses".



Vemos, por tanto, que este delito se va a consumar por el hecho de apoderarse
física o intelectualmente de estos documentos señalados, siempre
y cuando haya habido un ánimo de vulnerar la intimidad, sin ser necesaria
la divulgación de los mismos. Así pues, observamos que este artículo
lo que intenta proteger es la privacidad de las personas físicas contra
posibles ataques de terceros, entre los que también estarán incluidos
los ataques informáticos.


Otro artículo que también castiga los ataques informáticos,
pero en este caso contra las empresas es el artículo 278 del Código
Penal que señala que "el que, para descubrir un secreto de empresa
se apoderare por cualquier medio de datos, documentos escritos o electrónicos,
soportes informáticos u otros objetos que se refieran al mismo, (...)
será castigado con la pena de prisión de dos a cuatro años
y multa de doce a veinticuatro meses".



Así, esta disposición lo que quiere proteger es el denominado
espionaje industrial, es decir, la obtención sin autorización
de los datos almacenados, generalmente, en un fichero informático, a
través de diferentes mecanismos, siempre que el contenido del fichero
tenga un valor económico. También hay que señalar que se
considera secreto de empresa aquella información relativa a la industria
o a la empresa que conocen un número reducido de personas y que, por
su importancia, se desea mantener oculta.


En definitiva, el Derecho y, en concreto el Derecho Penal, nos da una serie
de garantías para evitar los ataques informáticos y que sirven
de complemento a las medidas de seguridad técnicas, como los firewalls,
que se tienen implantadas en los servidores.


Por otro lado, otro riesgo que existe en Internet es el acceso, en un determinado
momento de la comunicación, a datos que se envían a través
de esta red. En definitiva, existe un riesgo en la intimidad de los datos y
que, diversas técnicas que vamos a comentar a continuación intentan
y, en la mayoría de los casos lo consiguen, eliminar este riesgo.


Para evitar este riesgo se han implementado, principalmente, dos mecanismos
técnicos que van a garantizar, además de otros aspectos, la integridad
de los mensajes que circulan a través de redes abiertas de comunicación.



El primero de ellos es la llamada criptografía de clave simétrica
o cifrado simétrico. En líneas generales esta técnica consiste
en el cifrado de unos datos con una clave y el posterior descifrado de los mismos
que se llevará a cabo por esa misma clave. Este conlleva una serie de
ventajas e inconvenientes. Entre las ventajas destaca la velocidad que hace
que los algoritmos que se utilizan son los más apropiados para el cifrado
de grandes cantidades de datos. En cambio, el inconveniente principal reside
en la necesidad de distribuir esta clave, por lo que si alguien la consiguiera
tendría la posibilidad de descifrar el mensaje.


La segunda técnica es la llamada criptografía de clave asimétrica
o cifrado asimétrico. Aquí, van a existir un par de claves, una
pública que pueden conocer todos los usuarios y una privada que sólo
la conocerá un usuario. Esta técnica lo que hace es cifrar un
mensaje con la clave pública de un usuario y ese mismo mensaje sólo
podrá ser descifrado con la clave privada de ese usuario. Con lo cual,
vemos que lo que se cifra con una clave, sólo se puede descifrar con
la otra. En definitiva, tiene la ventaja de que si se conoce la clave pública
no significa que se pueda descifrar el mensaje y la desventaja de que la operación
de cifrado y descifrado es más lenta que en la criptografía simétrica.


Además en la criptografía de clave asimétrica hay un elemento
que cobra especial trascendencia, como es el llamado certificado digital que,
en líneas generales, va a garantizar que una clave pública pertenece
a una persona en concreto.


En definitiva, el cifrado de clave asimétrica va a garantizar que el
autor de un mensaje no haya sido suplantado al enviarlo a través de redes
abiertas de comunicaciones (Internet); que el mensaje no sea alterado durante
esta transmisión; que el receptor del mensaje asegure haberlo recibido
y que el contenido del mensaje sea leído por una persona autorizada.



Esto que acabamos de señalar son los cuatro principios básicos
que rigen la legislación sobre firma electrónica, es decir, identidad,
integridad, no repudio en destino y confidencialidad.


Esta legislación en el caso de España se encuentra recogida en
el Real Decreto Ley 14/1999 de Firma Electrónica y en la Directiva 1999/93/CE
del Parlamento Europeo y del Consejo, por la que se establece un marco comunitario
para la firma electrónica.


El Real Decreto Ley antes mencionado consta de 28 artículos en los que
se recogen unas disposiciones generales relativas a lo que se entiende por firma
electrónica, clave pública, clave privada, entre otros. Hay que
señalar en este punto que es muy importante el artículo 3, al
que luego haremos referencia. También se recoge en esta norma cómo
se deben prestar los servicios de certificación, qué son los dispositivos
de firma electrónica y cómo se van a evaluar y, por último,
las infracciones y sanciones.


Este Real Decreto distingue la firma electrónica de la firma electrónica
avanzada. Ambas se diferencian en que, según el artículo 2.b de
la citada norma, la firma electrónica avanzada será aquella que
"permite la identificación del signatario y ha sido creada por medios
que éste mantiene bajo su control".


Esta distinción va a ser importante ya que será la firma electrónica
avanzada la que tendrá efectos jurídicos plenos que vienen recogidos
en el artículo 3 del Real Decreto Ley. Es decir, que la firma electrónica
avanzada "tendrá, respecto de los datos consignados en forma electrónica,
el mismo valor jurídico que la firma manuscrita en relación con
los consignados en papel y será admisible como prueba en juicio (...)".
Además este artículo establece una presunción legal favorable
a la validez de la firma electrónica cuando el prestador de servicios
de certificación que ha intervenido en la misma esté acreditado
y los dispositivos a través de los cuales se genera la clave pública
y la clave privada estén oficialmente certificados.


Así pues vemos que con esta regulación se pretende dar eficacia
jurídica a documentos que estén cifrados utilizando la tecnología
de la encriptación de clave asimétrica y, de este modo, asimilarlos
a los documentos escritos en formato papel y firmados de forma manual.






 

Legal y Créditos