En estos 25 años de experiencia profesional tuve la oportunidad de ser legislador en Venezuela respecto a las leyes relacionadas con el uso de la Firma Electrónica en ese país. Específicamente pude ser corredactor de la siguientes leyes:
- Ley de Mensajes de Datos Y Firmas Electrónicas
- Ley de Notarios y Registradores
Adicionalmente, tuve también el honor de crear la Superintendencia de Servicios de Certificación Electrónica, llamada Suscerte, con lo cual completé mi experiencia que requirió manejar en detalle no sólo los aspectos operacionales de un proveedor de servicios de certificación electrónica, sino de los aspectos en detalle de la tecnología.
Lo mas importante fue asegurar que la tecnología logre efectivamente dar la misma validez legal y fuerza probatoria de la firma autógrafa, así como la autenticación de las firmas y publicación de documentos propio del acto notarial y registral.
El objetivo fundamental de la norma (leyes, reglamentos, normas, estándares, procesos, etc.) es garantizar que un documento firmado o también notariado, no pueda ser objetado en mayor medida de lo que actualmente es un documento firmado (o también notariado) con los mecanismos clásico de la firma autógrafa.
La esencia de este objetivo yace en la confianza que se tiene de que una firma, autenticación, y certificación de existencia de un documento en el tiempo no puedan ser falsificados o desconocidos.
La buena noticia es que a nivel global se ha demostrado que el uso de una arquitectura de certificación electrónica basada en estándares de Infraestructura de Clave Pública (PKI – por sus siglas en inglés: Public Key Infrastructure) es suficiente para lograr ese objetivo.
La mala noticia es que el eslabón débil no está en la tecnología en si mismo, sino en la rigurosidad con la que se emiten y se invalidan los certificados electrónicos. Es mala noticia porque esto no depende de tecnología, sino de procesos… que son diseñados, optimizados, y ejecutados por … seres humanos.
Entonces, en conclusión, para contar con una firma electrónica que pueda realmente sustituir a la firma autógrafa de la cual dependen hoy todos los procesos públicos y privados, depende de su correcta implementación en tres perspectivas: la legal, la técnica y la operacional.
Y es aquí en donde yace la principal responsabilidad de la superintendencia que regula la materia, asegurar que estas tres (3) perspectivas cumplan adecuadamente para que la firma electrónica pueda sustituir a la autógrafa en cualquier contexto que abarque la legislación.
Chile, 2020
En estos días de pandemia, uno de los temas fundamentales en el que la industria de las tecnologías de la información ha buscado aprovechar al máximo es el lograr que las actividades comerciales y legales se puedan ejecutar de manera remota, y para esto «la herramienta» habilitadora es la Firma Electrónica.
En la empresa en la que trabajo no nos quedamos atrás, evaluando la oportunidad de participar dada mi experiencia en este tema. Entonces hice una evaluación desde los tres puntos de vista posibles en este tema: la perspectiva legal, la técnica y la operacional.
A continuación comparto cada una de las conclusiones a las que llego para cada perspectiva, así como los elementos que soportan dichas conclusiones.
La perspectiva Legal
Me reuní con un notario debidamente adscrito a la «Asociación de Notarios, Conservadores y Archiveros Judiciales», con el cual tengo una relación de amistad que me permitió tener una conversación transparente sin llegar a ser condescendiente en el buen sentido de la palabra.
Las declaraciones más importantes durante esa reunión fueron las siguientes respuestas en el respectivo contexto de su pregunta:
P: ¿Las solemnidades que estipula la Ley que regula es proceso notarial expresa de manera explícita que el acto debe ser presencial?
R: Si
Ahora bien, analizando un poco la Ley, encuentro estos artículos que hablan explícitamente (ej. Artículo 405 de la Ley que regula la material notarial) que las escrituras públicas «podrán ser extendidas manuscritas, mecanografiadas o en otra forma que leyes especiales autoricen»; entonces, un buen caso de esa «otra forma» puede ser perfectamente la reglamentada a través de las leyes, reglamentos y normas técnicas existentes sobre Firmas Electrónicas.
Sin embargo, también hace referencia a que deben ser aplicadas las «solemnidades que fija esta ley», por lo que en principio la declaración de esas solemnidades (donde sea que exista tal declaración en el mar de leyes y reglamentos) serían las que podrían frenar la posibilidad de llevar a cabo este proceso por medios digitales.
Es evidente que mi investigación debe avanzar y encontrar el punto exacto en donde se confirma la declaración del Notario que entrevisté, o quizás si no existe tal «impedimento», abrirle los ojos a los Notarios y hacerles confesar que efectivamente SI es posible realizar el acto notarial usando firmas electrónicas.
Sin embargo, en ese ultimo caso, una cosa es que «sea posible» y otra que el notario (y los jueces, y …. etc) «confíe» y por lo tanto la «use».
Al final de cuentas el uso de firmas electrónicas depende de la CONFIANZA que se tiene en ella; por eso, independientemente de todo lo expresado hasta ahora, incluso considerando que no haya ninguna razón formal que impida el acto notarial con firmas electrónicas, si un notario me dice «yo no uso firmas electrónicas porque no confío en esa tecnología», ahí se acaba el tema, no hay nada que hacer.
Así es, si el notario no confía en la tecnología de la firma electrónica existente, no la va a usar.
Entonces, asumiendo que del punto de vista legal no haya impedimento, faltaría evaluar las perspectivas Técnica y Operacional para saber si las firmas electrónicas en Chile son confiables o no.
La perspectiva Técnica
Atención! Atención! Lo que en Chile llaman «Firma Electrónica» no es una Firma Electrónica. Lo que si puede ser llamado «Firma Electrónica» es lo que la reglamentación llama «Firma Electrónica Avanzada», así que mi breve análisis sobre esta perspectiva se enfocará en esta última.
En líneas generales todas las normas técnicas, desde las publicadas en la Ley original, todas sus modificaciones, y las normas técnicas publicadas según el Artículo 5 de la Ley, declaran el funcionamiento de una Infraestructura de Llave Pública (del inglés PKI – Public Key Infrastructure) con todas las formalidades técnicas para poder confiar en ella sin reservas.
Entonces, la confianza que podemos tener en la firma electrónica en Chile, depende ahora de la perspectiva Operacional.
La perspectiva Operacional
Para poder validar si desde la perspectiva operacional la firma electrónica en Chile es CONFIABLE, uno debería analizar las normas específicas de esta materia y los mecanismos que usa el órgano regulador para garantizar su aplicación rigurosa.
Eso es en efecto una tarea compleja porque se debe analizar los siguientes temas:
- Toda la reglamentación, desde leyes hasta las especificaciones técnicas que regulan los procesos operacionales de los proveedores de servicios de certificación electrónica.
- La metodología utilizada para la ejecución de las auditorías que la Entidad Acreditadora debe llevar a cabo a todas y cada una de los proveedores de certificación electrónica.
- Capacidad física de la Entidad Acreditadora para ejecutar las auditorías de acuerdo con la norma vigente (y que actualmente corresponde con la norma internacional)
Sin embargo no va a ser necesario hacer todo eso porque el 22 de Febrero del año 2019 fue publicada la aprobación de la «NORMA TÉCNICA PARA LA PRESTACIÓN DEL SERVICIO DE CERTIFICACIÓN DE FIRMA ELECTRÓNICA AVANZADA» que declara en su Artículo 1:
Artículo 1°.- La presente norma establece las condiciones bajo las cuales el Certificador o Prestador de Servicios de Certificación de Firma Electrónica Acreditado reconocerá el sistema denominado "ClaveÚnica", como medio de comprobación fehaciente de la identidad del solicitante de un certificado de firma electrónica avanzada, en los términos exigidos por el artículo 12 letra e) de la ley Nº19.799.lo cual, se puede interpretar de manera completa en conjunto junto con el texto de lo expresado en la letra e) del artículo 12 presentado a continuación:
Artículo 12.- Son obligaciones del prestador de servicios de certificación de firma electrónica: e) En el otorgamiento de certificados de firma electrónica avanzada, comprobar fehacientemente la identidad del solicitante, para lo cual el prestador requerirá previamente, ante sí o ante notario público u oficial del registro civil, la comparecencia personal y directa del solicitante o de su representante legal si se tratare de persona jurídica;
De todo esto se llega a la conclusión de que los proveedores de servicios de certificación electrónica pueden emitir certificados que permiten al usuario generar firmas electrónicas identificando el solicitante a través de la «ClaveÚnica» como medio de comprobación fehaciente.
Es decir, toda la complejidad tecnológica y operacional que da confianza a la firma electrónica en Chile depende ahora de la capacidad que provea el sistema de «ClaveÚnica» de evitar que un tercero pueda acceder a la «ClaveÚnica» de una persona en particular sin su consentimiento.
Entonces, ¿cuán seguro es el acceso a la «ClaveÚnica»? A continuación MI análisis.
Basado en mi experiencia, si uno olvida su «ClaveÚnica» es posible recuperarla solicitándolo en el portal de dicho sistema, el cual realiza el envío de la información «secreta» al buzón de correo electrónico del usuario.
Entonces, todo el sistema de firma electrónica de Chile depende de la capacidad que alguien tenga de 1) conocer cuál es la dirección de email o direcciones de email usados por la persona cuya identidad se desea susplantar para firmar en su nombre independientemente de su consentimiento, y 2) interceptar el email que la plataforma de «ClaveÚnica» enviará SIN NINGUNA SEGURIDAD a esa casilla.
Lo primero es simple, basta con una simple ingeniería social para identificar el/los email/emails generalmente utilizados, y lo segundo también 🙁 Se puede capturar el email que la plataforma de «ClaveÚnica» enviará con cualquiera de los variados mecanismos disponibles a través de una simple búsqueda en Google que se puede llevar a cabo con conocimientos básicos de redes.
En conclusión, cualquier persona con conocimientos básicos de redes (y Google) puede firmar de manera electrónica en nombre de cualquier ciudadano sin el respectivo consentimiento.
Ahora entiendo a los Notarios y Registradores 🙂
Saludos a todos.
Actualización del 14/oct/2020: Hoy recibí una referencia interesante (muchas gracias Juan Carlos Aristimuño) que muestra la vulnerabilidad de la clave única: Vulnerabilidad de los sistemas de seguridad de Gobierno Digital permiten a hackers sustraer las Claves Únicas de todos los chilenos.
