Para responder a la pregunta de qué tan segura es su firma electrónica es pertinente analizar las normas existentes sobre documentos electrónicos y el uso de firmas; estas normas en los distintos países generalmente parten de las Leyes Modelo que creó la Comisión de las Naciones Unidas para el Desarrollo Mercantil Internacional (CNUDMI) sobre comercio electrónico y firmas electrónicas.
Esta norma Modelo creada por Naciones Unidas se elabora bajo la estructura de una Ley, con artículos y parágrafos, sirviendo como una especie de “borrador” que cada país puede adaptar según sus necesidades. Esta Ley Modelo es muy útil para responder a la pregunta planteada en este escrito, dado que se brindan pautas respecto de la validez de los documentos electrónicos, sus características, las alternativas para que se puedan firmar los documentos en entornos digitales, entre otros aspectos de utilidad
En Colombia esta Ley “borrador” de Naciones Unidas fue ajustada, dando nacimiento a la Ley 527 de 1999. Esto significa que para responder a cualquier inquietud respecto de los requisitos que se deben cumplir para que un documento electrónico sea válido (por ejemplo, ante un juez en un proceso judicial), en primer lugar, se debe consultar esta Ley y en sus Decretos reglamentarios (El Decreto 2364 de 2012 y el Decreto 333 de 2014).
Partiendo de lo anterior, lo primero que se debe saber es ¿Cómo se pueden firmar documentos electrónicos en Colombia? Para ello se tienen tres opciones de firma: Un gran género, que son las firmas electrónicas y dos tipos especiales de firmas electrónicas, como son la firma electrónica certificada y la firma digital.
Ahora bien, ¿Cuál de estos tres tipos de firma es la más segura? La firma digital es la que se concibe como la más segura, debido a que se basa en una infraestructura de clave pública (PKI), tecnologías y protocolos especiales que evitan posibles suplantaciones de identidad o actividades de “hackeo” de la firma digital; además de esta seguridad, las firmas digitales son emitidas por Entidades de Certificación Digital, entidades expertas en estas temáticas.
Por su parte, las firmas electrónicas certificadas, aunque también son emitidas por entidades de certificación digital, usan tecnologías distintas y más variadas que las firmas digitales, basándose en biometría (como la huella dactilar), contraseñas, OTP (One Time Password), entre otros. La diferencia de este tipo de firmas con las demás firmas electrónicas es que éstas últimas no son emitidas por una entidad de certificación digital.
¿CUÁLES FIRMAS ELECTRÓNICAS SON SEGURAS Y CUÁLES NO?
Para ello se debe tener en cuenta que las funciones básicas de este tipo de firmas -al igual que las firmas manuscritas- son identificar al autor del documento y demostrar que el autor aprueba el contenido del documento suscrito.
De esta forma, la firma electrónica es segura si sirve para cumplir adecuadamente estas funciones básicas y cumple con los parámetros legales; para verificar esto, frente a cualquier tipo de firma electrónica que se encuentre en el mercado es pertinente revisar, como mínimo, los siguientes aspectos:
- Autenticidad: Revise cuales son los métodos para validar la identidad al usar la firma electrónica; por ejemplo, en el caso del reconocimiento facial para desbloquear los celulares, la identidad se valida verificando el rostro de la persona que pretende desbloquear el celular. El nivel de autenticidad se puede evaluar de forma preliminar preguntándose ¿Qué tan probable es que suplanten la identidad del firmante?
- Integridad: Revise si luego de que se firma el documento electrónico es fácil alterarlo o modificarlo. Tenga en cuenta que en la actualidad es relativamente sencillo editar un documento, por lo que es conveniente que la firma electrónica impida dichas modificaciones. Al revisar este aspecto la pregunta a responder es ¿Qué tan sencillo es modificar o alterar el documento firmado electrónicamente?
- Método apropiado: La Ley 527 indica que las firmas de documentos electrónicos deben basarse en un “método confiable y apropiado”, pero, ¿qué significa esto? De manera sencilla este requisito significa que la tecnología de firma electrónica debe guardar correspondencia con la naturaleza y complejidad del acto; en otras palabras, se debe utilizar una tecnología más segura para firmar un contrato de mil millones de pesos y una tecnología menos compleja para enviar un correo electrónico citando a una reunión al interior de una empresa.
Los anteriores criterios permiten evaluar de forma preliminar la seguridad de la firma electrónica, aunque al respecto se aconseja que siempre se cuente con una asesoría técnica o jurídica, sobre todo cuando con la firma electrónica se suscribirán documentos importantes, como contratos o títulos valores.
Otra pregunta que puede surgir al respecto es ¿Qué pasa si se firma un documento con una firma electrónica que no es segura? ¿El documento firmado pierde validez? ¿Si se firmó un contrato con una firma electrónica que no es segura el contrato será nulo? Estas inquietudes no se pueden responder con una aseveración categórica (de si o no), sino que se debe evaluar en cada caso concreto, pues, en principio, todo tipo de firma, electrónica o digital, tiene validez jurídica.
En este orden de ideas, es útil acudir a los niveles de seguridad o confianza: de forma simple estos niveles consisten en asignar un puntaje a la firma electrónica, de tal forma que entre mejor se protejan los criterios de autenticidad y seguridad vistos anteriormente, la firma electrónica tendrá más puntaje, permitiendo que pueda ser categorizada con un nivel de seguridad alto y conforme dicho puntaje disminuya el nivel de seguridad será medio o bajo.
Así las cosas, una firma con un nivel alto de seguridad despejará cualquier duda en torno a la autenticidad e integridad de un documento, mientras que conforme se disminuye dicha seguridad, las dudas en torno a la identidad de la persona que suscribió el documento electrónico y las posibles modificaciones no autorizadas a los mismos aumentarán.
Una correcta evaluación de los criterios expuestos brindará seguridad jurídica a las partes, evitando que en un eventual proceso judicial se desconozca o tache de falso determinado documento electrónico. Para evitar inconvenientes en la validez de los documentos electrónicos se recomienda hacer uso de firmas digitales o, en caso contrario, contar con una adecuada asesoría jurídica y técnica para evaluar los niveles de seguridad jurídica de firma electrónica.
La relevancia de escoger adecuadamente el tipo de firmas ya se ha evidenciado en procesos judiciales: por ejemplo, en España se señaló que no era válido un pagaré suscrito con firma electrónica debido a que de su emisión y funcionamiento no se podía establecer la identidad del firmante.
El hecho de que un pagaré haya sido declarado como no válido por un juez obedece a que las personas no se informan adecuadamente acerca de los requisitos de las firmas electrónicas y a que muchas empresas venden soluciones de firma electrónica que tienen niveles bajos de seguridad sin explicar adecuadamente los aspectos señalados en el presente escrito.
En conclusión, no todas las firmas electrónicas que se promocionan a través de internet, redes sociales u otros medios de comunicación son seguras; el hecho de que se anuncien como “firmas electrónicas” no implica necesariamente que cumplan con todos los requisitos vistos anteriormente, por lo que, se insiste, es necesario evaluar cada tipo de firma antes de utilizarla.
Héctor José García
Director Observatorio de Gobierno y TIC Universidad Javeriana
Presidente Camerfirma Colombia www.camerfirma.com.co