Professional Documents
Culture Documents
EN EL COMERCIO ELECTRÓNICO
Página
INTRODUCCIÓN 8
PRIMERA PARTE
INTRODUCCIÓN AL COMERCIO ELECTRÓNICO
Capítulo I.
2
SEGUNDA PARTE
LOS RIESGOS Y LA SEGURIDAD
Capítulo II.
2. Los atacantes 45
3
4. Las vías de ataque
53
5. Los daños 55
5.1 Interrupción 55
5.2 Interceptación 56
5.3 Modificación 56
5.4 Fabricación 56
6.1 La confianza 58
6.2 Confianza on line 60
6.3 La Seguridad 63
a) Información 66
4
b) Actividad 66
c) Acceso 67
a) Seguridad de Tránsito 69
b) Seguridad de Usuario 69
TERCERA PARTE
LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA
Capítulo III.
5
3. Los mensajes de datos, un efectivo medio de prueba
86
1. Documento escrito 92
2. Autenticidad 95
3. Conservación y consulta
98
5. Jurisprudencia 104
CUARTA PARTE
ENTIDADES DE CERTIFICACIÓN Y FIRMAS DIGITALES
Capítulo IV.
6
1. Concepto 114
7
8.2 Validez de Certificados Extranjeros 158
a) Sistema simétrico
161
b) Sistema asimétrico 163
8
QUINTAPARTE
LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIÓN
Capítulo V.
CONCLUSIONES 186
BIBLIOGRAFÍA 196
9
INTRODUCCIÓN
1 Al respecto véase OLIVER. CUELLO, Rafael. Tributación del Comercio Electrónico. España - Valencia. Tirant Lo
Blanch. 1999. P. 11.
La utilización de la interconexión de ordenadores a través de las redes de telecomunicación para
llevar a cabo las actividades comerciales de empresas y profesionales ha supuesto un cambio
importante en el escenario comercial. Como ha señalado DAVARA, la simbiosis que se ha
producido entre la informática y las comunicaciones ha cambiado, en buena medida, la
mentalidad empresarial al propiciar un amplio abanico de posibilidades a las relaciones
comerciales, ofreciendo una expectativa de prestaciones que hasta hace pocos años podía
considerarse de ciencia-ficción.
2 La clasificación de los servicios de telecomunicaciones – cuyo antecedente es la Ley 72 de 1989 (por medio de la
cual se otorgaron facultades extraordinarias al Presidente de la República para reorganizar el sector) -, utiliza la
metodología técnica empleada por la UIT - Unión Internacional de Telecomunicaciones -. La finalidad de dicha
metodología fue unificar las condiciones de estandarización técnica, operativa y de tarifación de nivel mundial. Ahora
bien, teniendo en cuenta la metodología de la UIT y las reglas jurídicas para la prestación, habilitación y explotación
de los servicios públicos de telecomunicaciones, estos se clasificaron así: (Decreto Ley 1900 de 1990)
1. Servicios básicos.
2. Servicios de difusión.
3. Servicios telemáticos y de valor agregado.
4. Servicios auxiliares y de ayuda.
5. Servicios especiales.
10
El servicio telemático y de valor agregado – Artículo 31 Decreto Ley 1900 de 1990 – que es el que nos interesa para
efectos de este estudio es definido como:
[...] aquellos que utilizan como soporte servicios básicos, telemáticos, de difusión, o cualquier
combinación de estos, y con ellos proporcionan la capacidad completa para el envío o
intercambio de información, agregando otras facilidades al servicio soporte o satisfaciendo
nuevas necesidades especificas de telecomunicaciones.
Forman parte de estos servicios, entre otros, el acceso, envió, tratamiento, depósito y
recuperación de información almacenada, la transferencia electrónica de fondos, el vídeo texto,
el teletexto y el correo electrónico [...].
El Decreto 3055 de 2003, por medio del cual se modificó el Decreto 600 de 2000 en su artículo segundo definió los
servicios de valor agregado de la siguiente manera:
Son aquellos que utilizan como soporte servicios básicos, telemáticos, de difusión o cualquier
combinación de estos, prestados a través de una red de telecomunicaciones autorizada, y con
ellos proporcionan al usuario la capacidad completa para el envío o intercambio de información,
agregando otras facilidades al servicio soporte o satisfaciendo necesidades específicas de
telecomunicaciones.
Para que el servicio de valor agregado se diferencie del servicio básico, es necesario que el
usuario de aquel reciba de manera directa alguna facilidad agregada a dicho servicio, que le
proporcione beneficios adicionales, independientemente de la tecnología o el terminal utilizado; o
que el operador de servicios de valor agregado efectúe procesos lógicos sobre la información
que posibiliten una mejora, adición o cambio al contenido de la información de manera tal que
genere un cambio neto de la misma independientemente del terminal utilizado. Este cambio a su
vez, debe generar un beneficio inmediato y directo, que debe ser recibido por el usuario del
servicio.
Para ampliar esta información puede consultarse a MICHELSEN, Jaramillo Sergio. Internet Comercio
Electrónico & Telecomunicaciones. Universidad de los Andes. Primera Edición. Bogotá 2002. Legis
Editores S.A. p. 591 a 639.
11
sonora, la telefonía fija, móvil, móvil celular, el telefax, etc. En la actual sociedad de la
comunicaciones. Las barreras entre los países - distancia, costos, idioma etc. -, es
avance en los medios de comunicación de los últimos 20 años, está marcado, sin lugar
a duda, por las redes de información: contacto en tiempo real con establecimientos de
tiempo real, son entre otros, los servicios que diferentes Entidades - privadas o
3 Al respecto, resulta de trascendental importancia observar fenómenos jurídicos como el Español, donde se gestó la
Ley 34 de Julio 11 de 2002 sobre Servicios de la Sociedad de la Información y Comercio Electrónico, cuyo objetivo
fue la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE, del Parlamento Europeo y del
Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en
particular, el comercio electrónico en el mercado interior. Con relación a la denominada «sociedad de la información»
la Directiva 2000/31/CE consagró:
12
públicas -, ofrecen a los usuarios - servicio telemático y de valor agregado -, que gracias
a las redes de transmisión de información, permite conectar dos puntos, sin importar la
distancia entre estos, en tiempo récord, sin embargo, éste servicio afronta un gran
técnica, jurídica y práctica, sobre los aspectos más relevantes del comercio electrónico
en el comercio electrónico.
promoviendo un proyecto de ley - Ley Modelo sobre Comercio Electrónico - que fue
13
Este gran paso - incorporación normativa interna -, abrió las puertas jurídicas al
esta suerte, conocer los diferentes tipos de riesgos, sus denominaciones y sus vías de
ataque, así como los daños que ocasionan, es necesario para entender qué sistemas
comercio seguro. Todo este entorno de seguridad, debe partir, sin duda alguna, de la
prueba4, este fallo, por su especial trascendencia, se estudia con detalle en el desarrollo
del estudio.
4 Corte Constitucional. Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morón Díaz1. Expediente D-2693.
14
Institucionalmente, como núcleo de seguridad, se crearon las Entidades de
Certificación, las cuales utilizan un sistema PKI para la creación de firmas digitales con
de estudio detenido.
esperado. Los proveedores luchan por ganar terreno y convertirse en la empresa líder.
Sin duda, veremos importantes e ingeniosos avances en este ámbito. En este orden de
15
1. LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO
5 La actual realidad de los sistemas computacionales, en cuanto a la seguridad se refiere, es preocupante, con más
frecuencia se verá en los medios de comunicación noticias de ataques informáticos como el que reportó la sociedad
Hispasec Sistemas - empresa de seguridad y tecnologías de la información -, que puede consultarse en la página
web http://www.hispusec.com. quien informó:
[...] se está propagando con rapidez un gusano que ataca los ordenadores que utilizan los
sistemas operativos Windows (las versiones Windows NT 4.0, Windows 2000, Windows XP y
Windows Server 2003).Este gusano se aprovecha de una vulnerabilidad recientemente
descubierta en la interfaz de peticiones a procedimientos remotos (Remote Procedure Call, RPC)
de Windows. El verano del 2003 será recordado por dos hechos en los que la velocidad de
propagación ha sido un factor clave: la oleada de incendios forestales y el gran número de
usuarios que se ven forzados a reiniciar sus PC debido a la distribución alcanzada por el gusano
W32/Blaster.
16
Los usuarios deben conocer los ataques que rondan la red, para tomar las medidas de
reputación de una empresa. Esta peligrosa realidad tiene importantes efectos técnicos y
comercio. Por su puesto, las normas no se hicieron esperar. Ahora bien, el acto o la
6 La palabra negociar viene del Latín negotiari que significa comprar, vender o cambiar géneros mercadería o valores
para aumentar el caudal. Diccionario de la Lengua Española. Vigésima Primera Edición. Madrid: 1994.
17
operación de comercio, es considerado una actividad especializada, definida
bancarias, etc., son entre otras actividades, actos u operaciones de comercio. El sujeto
persona que profesionalmente se ocupa de alguna de las actividades que la misma ley
considera como mercantiles8. La gran mayoría de las actividades definidas como actos
del común acuerdo. Hoy en día, esta concepción está siendo revalidada, básicamente,
por las diferentes opciones que ofrece el mercado, en particular, por el comercio
electrónico.
18
Otro aspecto fundamental en el comercio, es su formación consuetudinaria, que marca
el destino del comercio. Como lo expresa el Dr. Paul Rehme en su libro “Historia
Universal del Derecho Mercantil” citado por el Dr. Madriñan de la Torre9 al enunciar lo
siguiente:
usos mercantiles comunes, los cuales por concentración, pasaron con facilidad a ser
contenido análogo.
usos y prácticas comunes, llenando así, el vacío que dejaba el derecho civil común; lo
MADRIÑAN DE LA TORRE, Ramón E. Principios de Derecho Comercial. Séptima Edición. Bogotá: Editorial Temis
9
19
que lleva a otorgar al comerciante el carácter de profesional por desarrollar una
En este orden de ideas, y con un breve panorama del comercio, resulta necesario fijar
10 La primer computadora fue diseñada con fines militares para calcular la trayectoria de los misiles obús. EL
ENIAC, podía sumar 5000 mil números en un segundo, media 30 metros de largo, 2,5 metros de alto, pesaba 30
toneladas y consumía 25.000 mil vatios de energía. Posteriormente, en 1952 J PRESPER ECKER y JOHN
MUCHLY, sacaron al mercado el UNIVERSAL AUTOMATIC COMPUTER UNIVAC 1, utilizado para fines científicos y
militares. En 1960 salieron al mercado computadoras cuyo precio oscilaba entre U$20.000 y U$100.000. Fue sólo
hasta 1975 cuando ED ROBERTS, diseño el denominado ALTAIR 8800, cuyo costo era de US$400, por primera vez
en la historia era posible que una persona del común accediera a una computadora. Al respecto puede consultarse a
DIAZ, GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer. 2002. p. 18 a 23.
11 Existen varias teorías sobre el origen del INTERNET, básicamente se sugieren dos momentos iniciales:
El origen de las comunicaciones a través de redes tiene su inicio en las aulas universitarias, posteriormente el
sistema operativo sirvió para fines bélicos. A continuación dos importantes citas sobre este origen:
- El origen de INTERNET se remonta a la década de los sesenta, fecha en que nace una red
formada con la interconexión de cuatro computadores estadounidenses, del Instituto de
Investigaciones de Standford (SRI), de la Universidad de California en los Angeles (UCLA), de
la Universidad de California en Santa Bárbara (UCSB) y de la Universidad de Utath, cuyo
objetivo básico era compartir recursos. A mediados de la época de los sesenta, Estados
Unidos de América necesitaba disponer de una red nacional interconectada capaz de soportar
un ataque nuclear de la entonces Unión Soviética. Así, en caso de ataques desastrosos con
una alta siniestralidad, la red debía ser capaz de restablecerse, buscando la ruta más
apropiada para efectuar comunicaciones de defensa y contraataque. Este proyecto se llamó
20
Las computadoras han tenido un constante desarrollo desde sus inicios. Bill Gates y
por uno de los ingenieros de Hewlett Packard, quien fundaría APPLE COMPUTER. Otro
importante avance en los sistemas operativos, que terminó con las maquinas de
1984, su valor agregado fue el sistema operativo, que utilizaba iconos y ventanas
controladas con un ratón. En 1991 se lanzó la world wide web (www). Desde entonces,
21
fundado en 1994 creó el Netscape Navigator. Después, Internet Explorer en 1995,
del usuario.12 A pesar de las grandes ventajas que ofrecen los sistemas operativos, la
han tenido una evolución lenta, contrario a lo que se esperaba, toda vez que no existe
del conocimiento, ya que si bien es cierto que la inseguridad está presente, así mismo
información. [...]”. DIAZ GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer.
2002. p 13.
Para más información acerca del desarrollo de los computadores y sistemas operacionales véase a DÍAZ,
12
22
existen mecanismos para contrarrestarla, el obstáculo es que no se conocen estos
mecanismos.
23
La cadena de noticias CNN realizó una encuesta, que se difundió a través de la página
Ahora bien, resulta esencial entender el contexto dentro del cual se está desarrollando
la actividad comercial que está revolucionando el comercio del siglo XXI, la red Internet.
El Dr. Daniel Peña Valenzuela13, expresa una idea clara del concepto de Internet: “[...]
red14 compuesta de diversas redes electrónicas. Las redes están conformadas por
13 PEÑA VALENZUELA, Daniel. Aspectos Legales de Internet y del Comercio Electrónico. Bogotá: Dupré Editores
Ltda. 2001. p 29.
14 La red puede definirse como la conexión de computadoras para compartir recursos e intercambiar información.
Una red de ordenadores permite que los nodos puedan comunicarse uno con otro. Los «nodos» son hardware como
por ejemplo impresoras, fax, sistemas operativos etc.
Para comprender qué es una red de ordenadores, debe entenderse el concepto de tamaño, forma y aspecto físico.
24
computadores y servidores, conectados a su vez a través de redes públicas o privadas
de telecomunicaciones”.
El Dr. Díaz García15, expresa en los siguientes términos el concepto de la red Internet:
1. LAN (Local Area Network - Red de Area Local). Si todo está a una distancia razonable que se pueda cubrir
caminando, se le suele llamar LAN, da igual cuántas máquinas estén conectadas, y de qué manera esté hecha la
red.
2. WAN (Wide Area Network - Red de Area Amplia). Si se tienen ordenadores en sitios físicos en Lahore, Pakistán,
otro en Birmingham, Reino Unido y otro en Santiago de Chile, e intenta conectarlos, tendrá una WAN.
Vea más información de redes en la nota pie de página 50.
La Forma:
Este concepto se refiere a la manera como se interconectan los nodos (círculos). Los enlaces de red (líneas), son el
hilo conductor de los nodos. Hay dos formas de conexión:
Donde hay un nodo central y muchos enlaces de red, que puede representarse de dos formas:
o o o
\_ | _/ o------o------o-------o--------o
\|/
o-----o-----o
_/|\_
/ | \
o o o
o
o | o--o--o
| | |
o--o--o--o--o o
\ |
o------o
/ |
o--o--o--o--o o
| | |
o | o--o
25
[...]un conjunto de computadores unidos entre sí que cumplen tres funciones
principales:
• Permitir que se puedan enviar mensajes desde un computador hacia otro ubicado en
• Almacenar archivos para que puedan ser leídos por una persona en otro lugar del
mundo.
• Permitir que los usuarios se puedan conectar con computadores ubicados en sitios
Internet, es sin duda, la red de redes, que permite comunicación en tiempo real,
Aspecto físico:
El aspecto físico se refiere a la estructura de la red. El dispositivo más usado es el «módem» que puede utilizar una
línea telefónica, fibra óptica (un delgado filamento de cristal) o señal satelital (teléfonos celulares) para crear
enlaces de red.
Protocolo:
La forma de codificar y descodificar los sistemas operativos de las computadoras para poder intercambiar
información. Este concepto se ampliara más adelante.
Véase más al respecto en la página web http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-
redes.
26
En este orden de ideas y, ubicados en el contexto del comercio y de la red Internet, es
El régimen legal modelo, formulado por la Comisión de Naciones Unidas para el Desarrollo del Derecho Mercantil
Internacional, según lo expone la Corte Constitucional busca ofrecer:
[...]al legislador nacional un conjunto de reglas aceptables en el ámbito internacional que le permitieran eliminar
algunos de esos obstáculos jurídicos con miras a crear un marco jurídico que permitiera un desarrollo más seguro de
las vías electrónicas de negociación designadas por el nombre de comercio electrónico.
“[...] La ley modelo tiene la finalidad de servir de referencia a los países en la evaluación y modernización de ciertos
aspectos de sus leyes y prácticas en las comunicaciones con medios computarizados y otras técnicas modernas y en
la promulgación de la legislación pertinente cuando no exista legislación de este tipo”. CORTE CONSTITUCIONAL.
Sentencia C – 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morón Díaz. Bogotá: 2000.
El Dr. Ernesto García Rengifo, en su libro: Comercio Electrónico. Documento Electrónico y Seguridad Jurídica.
Bogotá: Universidad Externado de Colombia. 2000. p. 25 y 26. Manifestó:
27
concepción de comercio electrónico, sin embargo, la utilizó como punto de explicación
electrónico, así como para otras técnicas de comunicación menos avanzadas como el
Ahora bien, según lo expresa el Dr. Ernesto García Rengifo, el comercio electrónico,
Los principios generales de la ley pueden resumirse en estos cinco puntos, como lo expresa el Dr. Rengifo, Ibídem.
P. 26.
1. Facilitar el comercio entre los países y dentro de ellos;
2. Validar las operaciones efectuadas por medio de las nuevas tecnologías de la información;
3. Fomentar y estimular la aplicación de nuevas tecnologías de la información;
4. Promover la uniformidad del derecho; y
5. Apoyar las prácticas comerciales.
17 El EDI - Intercambio Electrónico de Datos: es toda aquella transmisión de mensaje de datos a través de medios
telemáticos.
18 Ibid. p. 16.
28
La legislación colombiana - Ley 527 de 1999 - en su Artículo Segundo (2º), define el
Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no
cualquier medio similar. Las relaciones de índole comercial comprenden, sin limitarse a
comercial (Titulo XIII. Artículo 1262 y s.s. del Código de Comercio); todo tipo de
Así las cosas, se podría decir que el comercio electrónico debe entenderse como toda
electrónicos.
29
Gráfica 2. Fuente: Diseño Universidad Tecnológica Equinoccial (info@ute.edu.ec)
de
redes, a través de servidores19. Una vez en línea, a través de los buscadores20 acceden
a la página web que quieren, encuentran el vendedor que ofrece los servicios o
19 Los servidores, como su nombre lo indica, se utilizan para dar servicios a las demás computadoras que se
encuentran interconectadas entre sí. Un servidor puede tener servicios de archivos, de correo, de impresión, de
páginas WEB, de programas, etc., todo en un mismo equipo o en diferentes servidores, dependiendo del volumen de
usuarios. Las funciones principales del Servidor son: a) Centralizar y concentrar la información; b) Centralizar las
aplicaciones (correo, archivos, Web, programas, etc.). c) Estandarizar la operación de la empresa.
20 Sistemas operativos a partir de los cuales se reúnen una serie de páginas web en varias ventanas – según el
número de registros encontrados por el buscador – mediante el suministro de cierrta información. Existen diversos
buscadores en la red Internet dentro de los cuales pueden destacarse Google, Alta Vista, Yahoo, Lycos, Savy
Search, Info Seek entre otros. El objetivo de los buscadores es encontrar los documentos que contengan las
palabras claves introducidas. Generalmente localiza las páginas web que más se acomoden a las palabras
introducidas. Véase más sobre buscadores en la página web http://sensei.lsi.uned.es:8000/cea-
iw/curso/2k3/m2/buscadores.html y en Derecho Informático. Elementos de la Informática Jurídica. DÍAZ GARCÍA,
30
productos deseados a través de la llamada Intranet21 y, finalmente se intercambian
Las expectativas con relación al comercio electrónico son muy grandes. Justamente, el
31
los próximos años generando grandes ingresos a través de la red, el cual
incorpora nuevos logros dentro del ciclo de producción. A nivel general, todo parece
indicar que este nuevo medio de intercambio de información, al eliminar las barreras
En Colombia, las ventas por Internet son una realidad. Los centros comerciales
red. En 1995 existían en nuestro país 50.000 usuarios de Internet, hoy, según
millón de suscriptores. Así las cosas Colombia se perfila como uno de los países de
tecnológicos para tener acceso a Internet y podría utilizar estos recursos para
21 Normalmente las empresas poseen lo que se llama una Intranet - red de computadoras interconectadas con un
Servidor central -, que les permite intercambiar información, enviar mensajes a otros usuarios del sistema, compartir
archivos, etc. Así las cosas, Internet también se podría definir como una red de redes, una red de Intranet's.
22 Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000. Magistrado Ponente: Dr. Fabio
Morón Díaz. Expediente: D-2693.
32
El crecimiento del comercio electrónico es una realidad, y los usuarios crecen
de usuarios que frecuentan el Internet. Ahora bien, sin perjuicio del auge del Internet, el
ámbito mundial para el comercio electrónico. Todos y cada uno de los internautas
23 En el periódico EL TIEMPO en su publicación del 26 de enero de 2000, según datos de Global Emerging Markets,
se afirmó que el comercio electrónico así como los gastos de publicidad en la red tendrán un aumento anual del 140
por ciento.
Según un estudio realizado por la Universidad de Texas publicado en el periódico EL TIEMPO el 8 de noviembre de
1999 se estimaba que las personas conectadas a Internet ascendían a 171 millones de personas.
33
Canadá, Marzo 2002 16,84 57,58 Nielsen
34
Suráfrica, Diciembre 2001 3,06 7,05 ITU
Telecomunicaciones - CTR - reveló un estudio que arrojó una cifra de dos millones
promedio de 25,4 horas al mes. El número de adeptos a la red Internet ha tenido en los
últimos años una curva creciente en nuestro país, sin embargo, la concentración se da
en las grandes ciudades del país. La siguiente gráfica indica el resultado del estudio de
la CRT:
35
Penetración Internet (%)
Municipios
Armenia Municipios
Armenia
Manizales
Manizales
Cartagena
Cartagena
Otras capitales Otras capitales
Pereira Pereira
Bucaramanga Bucaramanga
Barranquilla
Barranquilla
Cali
Cali
Medellín
Medellín Bogotá
Bogotá
0 5 10 15 20 25 30 35 40 45 50 55
Diseño: Autor
apreciarse que en la Capital del país, Bogotá D.C., el número de usuarios supera por
más del doble, en el mejor de los casos, al número de usuarios de las demás ciudades.
36
las comunidades apartadas del país. De esta suerte, las estadísticas muestran que los
servicios, en estos municipios, son solicitados en promedio 850 veces al mes, lo que
vista. Se tomará la clasificación que hace el Profesor Peña Valenzuela para explicar
37
empresas de transporte etc. Este tipo de comercio es usual entre sociedades
representa en este tipo de comercio el punto clave para el productor. Una vez
posteriori, variables como calidad, imagen, precios etc., que hagan atractivo el
27 Código de Comercio. Artículo 260. Matrices, subordinadas y sucursales. Una sociedad será subordinada o
controlada cuando su poder de decisión se encuentre sometido a la voluntad de una u otras personas que serán su
38
de libros de marketing, que plantean estrategias para maximizar las ventas y
matriz o controlante, bien sea directamente, caso en el cual aquélla se denominará filial o con el concurso o por
intermedio de las subordinadas de la matriz, en cuyo caso se llamará subsidiaria.
28 Al respecto puede verse por ejemplo el libro Fundamentos del Comercio Electrónico. Barcelona: Editorial Gedisa
S.A. 2001.
29 Frente al concepto “informático” el Dr. Ernesto Rengifo García Op. cit. p. 10 y 11 manifiesta:
39
Se llama corredor a la persona que, por su especial conocimiento de los mercados,
personas, con el fin de que celebren un negocio comercial, sin estar vinculados a las
pudo observar cada negocio en particular celebrado en la red puede tener una
regularía por tales normas, sin dejar de lado la regulación sobre comercio - Ley 527 de
adicional, razón por la cual, debe acudirse al Derecho Internacional Privado y aplicar la
normatividad del Estado que tenga un grado de intervención mayor en el negocio. Con
ubicación geográfica de los intervinientes. El mundo virtual impide que con facilidad se
30 RODÍGUEZ. TURRIAGO, Omar. Internet Comercio Electrónico & Comunicaciones. Universidad de Los Andes
Facultad de Derecho. Bogotá: Editorial Legis S.A. 2002. p. 326 y 327.
40
le impute a un actor un domicilio. Es fácil ubicar a los proveedores de servicio de
Internet e inclusive a los operadores de los portales con gran reconocimiento, pero no
físico, son movibles en la red. La dirección puede estar localizada con un servidor en
Nueva York y posteriormente en Japón, sin que el usuario haya cambiado su domicilio.
audiencia en un país, y es catalogado como activo en esa región, sus Cortes tendrán
rige por sus normas especiales, sin embargo, qué jurisdicción es competente para
plenamente definido.
intercambio de recursos.
41
La siguiente gráfica nos muestra el porcentaje de incursión del Comercio Electrónico a
En este punto, es claro que la inseguridad es sin duda alguna el gran obstáculo para el
desarrollo del comercio en las redes de información. La pregunta inmediata es: ¿cómo
analizaran los tipos de seguridad en este contexto. Los ataques a las redes informáticas
42
de los grupos insurgentes31. Objetivamente cualquier sujeto con acceso a la red es un
alto, sin embargo, es una necesidad común, que garantizará la seguridad y la paz. Por
perjuicio, de que debemos estar preparados para este tipo de intervencionismo estatal.
Sin perjuicio de analizar más adelante los mecanismos de seguridad, puede decirse
que ésta, tiene dos áreas de acción - lógica y física -. La primera consiste en
31 No debe olvidarse que el terrorismo es un delito tipificado por la legislación penal colombiana y que puede
desarrollarse en medios informáticos. Código Penal Colombiano. Artículo 195.
32 Constitución Política de Colombia. Artículo 13: Todas las personas nacen libres e iguales ante la ley [...].
33 Constitución Política de Colombia. Artículo 15: Todas las personas tienen derecho a su intimidad personal y
familiar y su buen nombre, y el Estado debe respetarlos y hacerlos respetar.
Al respecto el Dr. Rodríguez Turriago, Op. Cit., p. 329 comenta:
El Parlamento de la Comunidad de la Unión Europea profirió, en 1995, una normatividad - European Union Directive
95/46 -, para proteger el derecho a la intimidad de las personas con respecto al procesamiento de información
personal. En la misma, se establece la prohibición de transferir información personal de ciudadanos europeos a
países donde no exista una protección similar.
43
usuarios a las redes IT de la empresa. Estos dispositivos deben ser implementados
garantizar la integridad de los centros de cómputo, ante cualquier riesgo, como por
medidas preventivas siempre será menos costoso que reparar los daños. Una
44
Gráfica 5. Fuente: http://ute.edu.ec
desarrollo positivo de las redes de información. Las transacciones de nivel mundial por
ventajas:
45
Estar disponibles las 24 horas del día.
empresa - cliente.
clientes.
46
La seguridad se traduce en confianza. Los usuarios quieren confidencialidad en la
Ley 527 de 1999, Decreto 1741 de 2000, Resolución 26930 de 2000 -, que
Este estudio, tiene como objetivo y fin principal mostrarle al lector los diferentes matices
siguiente manera:
47
- Ley 527 de 199934;
35 El Decreto 1747 de 2000 contiene 29 artículos, se encuentra dividido por tres capítulos que a su vez se subdividen
en secciones.
Definiciones: Suscriptor, repositorio, clave privada, clave pública, certificado en relación con firmas digitales,
estampado cronológico, entidad de certificación cerrada, entidad de certificación abierta, declaración de prácticas de
certificación.
48
- Resolución 26930 de 200036;
- Jurisprudencia;
- Doctrina y;
La Ley 527 de 1999 es el resultado de una ardua labor de estudio en temas de derecho
mercantil internacional; una comisión redactora de la que formaron parte tanto el sector
privado como el público, cuyo liderazgo se gestó a iniciativa del Ministerio de Justicia y
36 La Resolución 26930 de 2000 contiene 26 artículos, se encuentra dividido por tres capítulos que a su vez se
subdividen en secciones.
49
Desarrollo, se vieron en la tarea de regular el comercio electrónico y el manejo de los
cabo por vía electrónica y telemática, al hacer confiable, seguro y válido el intercambio
electrónico de informaciones.
En este orden de ideas, gracias a la Ley 527 de 1999 Colombia se pone a tono con las
50
De ahí que la Ley facilite el uso del Intercambio Electrónico de Datos (EDI) y de medios
informático.
51
2. LOS RIESGOS Y LA SEGURIDAD
Cuando nos referimos a los riesgos, lo primero que se nos viene a la mente es la
obrar se produzca un daño, lo cual significa que el riesgo envuelve una noción de
La concepción del riesgo38 bajo el esquema del daño, desconoce la teoría de la culpa
37 SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de Colombia. 2002. P.
180 y 181.
38 Los Antecedentes Históricos de la teoría del riesgo son: [...] la publicación en Paris, en 1897, de las obras de
Saleilles Les accidentes de travail et la responsabilité civile, y de Josserand, De la responsabilité du Fait des choses
inanimées. La sentencia de la Corte de Casación Francesa de 16 de junio de 1897, referente al caso del remolcador
“La Marie” y la expedición de la ley francesa de 9 de abril de 1898 sobre la responsabilidad en los accidentes de
trabajo. SARMIENTO GARCIA, Op. Cit. p. 187.
52
“La idea de riesgo se presenta entonces sustitutiva de la idea de culpa como
dogma milenario heredado del derecho romano, según el cual “no hay
De esta suerte, en la teoría del riesgo, el daño connota el elemento forzoso para la
sucesión de los hechos; a diferencia de lo que sucede con la teoría de la culpa, donde
el daño pasa a una segunda línea y la culpa adquiere toda significación, a tal punto, que
acertadamente expone:
53
[...] nada más ajeno a la realidad que esta concepción y nada más injusto y
civil del campo subjetivo donde la tenía sumida la noción de culpa, al campo objetivo,
Para tal fin se seguirá, la exposición del Dr. Sarmiento41 quien ejemplifica cada una de
- Riesgo – Provecho
- Riesgo – Creado
- Riesgo – Profesional
54
proporcional entre el beneficio y el daño. “[...] si una persona ejerce una actividad que le
reporta beneficios económicos, debe indemnizar todos los perjuicios que sean
actividad que crea riesgos. El profesor Antonio Rocha43 explica este riesgo de la
siguiente manera: “[...] toda actividad que crea para otro un riesgo hace a su autor
responsable del daño que pueda causar sin que haya lugar a investigar si hubo culpa o
no de su parte”.
fundamento indemnizatorio del accidente de trabajo, razón por al cual, este riesgo se
circunscribe para los daños soportados por el trabajador. Sin embargo, como lo
manifiesta el Dr. Sarmiento, este riesgo connota la calidad de profesional, por lo cual su
órbita hoy en día, no puede reducirse a las relaciones laborales, debe, entonces,
aplicarse a todas aquellas actividades profesionales como una subespecie del riesgo
42 El Dr. Sarmiento sostiene que la teoría del riesgo – provecho, tiene aplicación para todas aquellas actividades
económicas que reportan un beneficio y, no sólo, como sostiene los defensores de la teoría de la culpa, aplicable a la
responsabilidad por accidentes de trabajo. SARMIENTO, GARCIA. Ibid. p. 183.
43 Citado por el Dr. SARMIENTO, GARCIA. Op. Cit. P. 185.
55
provecho con una condición adicional: su carácter especializado y técnico. De esta
suerte, todo aquél que ejerza una actividad profesional y que reporte un provecho de la
misma, deberá resarcir los perjuicios que dicha actividad ocasione a terceros.
tomador traslada los riesgos - Artículo 1037 Código de Comercio -, en este contrato es
tan importante la noción de riesgo, que éste forma parta de los elementos esenciales
contrato de seguro, que legislador definió el riesgo en el artículo 1054 del Código de
voluntad del tomador, del asegurado o del beneficiario, y cuya realización da origen
a la obligación del asegurador. Los hechos ciertos, salvo la muerte, y los físicamente
56
Con esta introducción, debe preguntarse ¿dónde se ubica el riesgo en materia de
comercio electrónico?.
expresa con relación al sujeto que debe soportar el riesgo, sin embargo, tienen cabida
las diferentes tesis del riesgo, sin perjuicio de la inminente necesidad, de establecer, en
el ordenamiento legal, una regulación específica para este tipo de negocios jurídicos.
que certifican el intercambio de mensajes de datos, deben responder por los perjuicios
garantizada a través de compañías aseguradoras. Para este caso, la tesis del riesgo -
profesional, tiene plena cabida y concordancia, sin embargo en la práctica los contratos
que celebran los establecimientos de comercio con los emisores de tarjetas de crédito,
contienen cláusulas redactadas de forma tal, que los perjuicios que se causen con
grave o leve del profesional que presta el servicio. Así por ejemplo, los contratos que
57
celebra VISA - Reglamento del Servicio Electrónico de Pagos -, establecen en la
ordenadas siempre que se determine que tales circunstancias son imputables a ella.
La causa del perjuicio es difícil de probar, los riesgos son muchos y la inseguridad
siempre es asumida por el usuario, el Banco, como se observó, sólo responde por
Medios de Pago, se expondrán otras cláusulas de este tipo de contratos, con el fin de
evidenciar, las cláusulas que están regulando los negocios jurídicos por la red Internet ,
servicios de seguridad como las entidades de certificación, deben ser los llamados, en
58
primera instancia, a asumir los riesgos derivados de las transacciones electrónicas, sin
perjuicio, que las diferentes empresas que presten servicios a través de la red, asuman,
primera medida, por la normatividad aplicable a ese contrato en particular, los daños
ciertos, efectivamente causados, deben seguir el lineamiento de las diferentes tesis del
- claves privadas, documentos, números secretos de los diferentes medios de pago etc.
Entremos, entonces, a examinar los riesgos a los que está expuesta una transacción
44
En el Capítulo los medios de pago se analiza más detalladamente el tema de la responsabilidad de las empresas
que prestan servicios a través de la red Internet.
59
Para repeler un ataque hay que conocer al enemigo, razón por la cual, resulta de vital
Cuando Usted se conecta a través del Network45 a Internet, se están corriendo varios
1. Se crean vías de acceso para los miles de virus que se encuentran en la red.
2. Cuando un virus penetra un sistema puede afectar todos los archivos de las
60
Las amenazas a la seguridad digital pueden ser de diversa índole, sin embargo, pueden
sistemas. “En febrero de 2000, los ataque DOS que se dirigieron contra blancos
de alto perfil tales como Yahoo, eBay, CNN y el FBI, causaron daños por más de
US$100 millones”47.
46 Las tres categorías que se mencionan son expuestas por Robert D. Austin y Crhristopher A.R. Darby en el artículo
EL MITO DE LOS SISTEMAS DE IT SEGUROS. Harvard Business Review. Junio de 2003.
61
interna, que en la gran mayoría se divide por áreas. En este aspecto, es
importante que las claves que utilice no sean: nombre, apellido, dirección,
teléfono, fecha cumpleaños etc., lo cual genera una exposición mayor del
sistemas y, mayor aún sobre el grado de compromiso que deben tener cada uno
de los empleados para reducir al máximo los ataques de red y las infiltraciones.
2. Los Atacantes
en los sistemas operativos. Para los especialistas, la definición correcta sería: experto
que puede conseguir de un sistema informático cosas que sus creadores no imaginan.
Se dice que el término hacker nació por los programadores del Massachusetts Institute
47 Ibid, p. 89.
62
of Technology (MIT), que en los 60's se llamaron a sí mismos hackers, para hacer
Uno de los primeros piratas informáticos - Kevin Mitnik - escribió: The Art of Deception
(El arte de la decepción), que llegó a las librerías, en diciembre de 2003. Mitnik fue
acusado por robo de software y alteración de datos de Motorola, Novell, Nokia, Sun
Mitnik es conocido por ser unos de los hombres más buscados por el FBI durante tres
considerado un héroe en la comunidad hacker. Si bien es cierto que los hacker son los
atacantes más conocidos y peligrosos, no son los únicos; como se verá, cualquier
computacional de la compañía.
63
Las vías de acceso pueden ser internas o externas. Los ataques internos son aquellos
sido atribuido entre otros o la inestabilidad laboral; hoy en día la gran mayoría de
contratos que celebran las empresas son a término fijo, las empresas evitan al máximo
compromisos laborales de largo tiempo que le signifiquen una carga prestacional alta y
un factor que, sin duda alguna, contribuye a que los empleados no tengan
compañía, el cual se interconectaba con todas las oficinas. Previendo que el personal
central y las oficinas, inició un segundo ataque, que fue muy efectivo, gracias a que
conocía el software con el que operaba el banco. Para iniciar su ataque investigó en
Internet y bajó un programa hacker, que pueden bajarse en diez minutos desde
cualquier computador conectado a la red a través de fibra óptica. No aplacado, creo una
ruta para que los usuarios al entrar en la página web del banco fueran remitidos a una
48 Este hecho fue narrado en Harvard Business Review. Volumen 81. Número 6. Junio 2003. p. 89.
64
que quiera su empresa y respete la organización seguramente no intentará éste tipo de
cordiales -.
Los ataques externos, tienden a ser más peligrosos aunque menos frecuentes. La
actividades en general.
Los atacantes externos pueden ser de diversa índole, así como, los motivos que los
65
están muy bien dotados y no siempre su intención es demostrar su habilidad,
- Los vándalos: es la denominación que se utiliza para aquellas personas que sólo
casos estas personas suelen ser ex empleados que buscan venganza, o sujetos
Las formas de ataque, pueden definirse como los instrumentos de ataque que
mencionarse49:
66
3.1 Los virus son programas informáticos que se activan cuando un archivo es
ejecutado, es decir, sólo afectan a aquellos archivos con la extensión .exe, .com, .bat y
.sys de los sistemas operativos de MS_DOS/Windows. Los virus tienen gran capacidad
los programas. Los e-mails son la entrada más común de los virus.
No es un misterio, lo vemos todos los días en las empresas y en nuestras casas; los
virus son los ataques más frecuentes que tenemos que afrontar, conforman parte de
está infestada de virus. Todas las semanas los departamentos de sistemas de las
virus.
Ahora bien, la aparición de los primeros virus se remonta a 1986. Los disquetes, fueron
el punto de partida, el sector boot50 contiene un código ejecutable, cada vez que se
67
disco duro. Así mismo, se podía instalar una copia del programa en cualquier disquete,
por su similitud de reproducción con los virus biológicos. Este año experimental, sirvió
de plataforma para concienciar a los expertos sobre los virus. Se desarrollaron virus
denominado baile,51 así mismo, aparecieron los fabricantes de anti - virus. La IBM, tomó
conciencia de la importancia de los virus al sufrir el ataque del virus Cascade, desde
entonces, tiene un laboratorio dedicado a detectar y prevenir los virus. Los ataques
computadores. Jerusalem, fue sin lugar a duda el más violento y complejo, infectó a
miles de computadores en Estados Unidos, España y Reino Unido, aparecía todos los
viernes y los días 13 del mes. Por su parte los anti - virus seguían tomando fuerza,
gracias, en parte, a los medios de comunicación que alarmaron a los usuarios, que
duro. En Estados Unidos se le llamó “el virus del Descubrimiento”, de origen noruego,
fue creado, según una de las hipótesis sobre su origen, como voz de protesta por
51 Los expertos en la materia: ingenieros de sistemas, se refieren al año 1988, como el año en que comenzó el baile,
por la aparición de varios virus, que infectaron a miles de computadores.
68
atribuirle a Colón y no a Eric el Rojo el Descubrimiento de América. Posteriormente
encriptando los archivos del disco duro y descargando en ellos todo lo que se hubiese
código maligno, este tipo de virus cada vez que infectaba un sistema se encriptaba, lo
cual hacía difícil su eliminación. Los creadores de anti - virus tuvieron que desarrollar
algoritmos capaces de descencriptar los virus con el fin de constatar si éstos eran
malignos o no, es decir, habían virus cuyo fin no era destructivo sino simplemente
archivos que se multiplicaban con cada arranque del sistema sin ocasionar daño
alguno. Este mismo año se presenció un virus procedente de Bulgaria cuyo autor se
hacia llamar Dark Avenger; este virus introdujo dos nuevos conceptos: la infección
Posteriormente, apareció “The whale” el cual representó un reto para los expertos, más
52 Polimorfo: cualidad de los que tiene o puede tener varias formas. Diccionario de la Real Academia Española.
69
cual hacía muy lento y complicada su eliminación. A finales de este año - 1990 - se creó
la EICAR – European Institue for Computer Anti Virus Research -, con sede en
Hamburgo. Para esta fecha ya se habían definido alrededor de 150 virus. Para 1991 la
sociedad Symantec lanzó al mercado el producto Norton Anti Virus. Varios países
“Demoralised Youth”, de Estados Unidos “Hellpit”, de Reino Unido “Dead on Arrival”. Sin
lugar a duda uno de los más recordados es “Tequila” que apareció en 1991 y se
expandió por los computadores del mundo. En 1992 el virus más significativo fue el
en cerca de cinco millones de computadoras, finalmente la alarma fue más grande que
el daño real, sin embargo, la prevención siempre evitará que el desastre sea mayor. Si
quedó manifiesta. A finales del 92 aparecieron los paquetes de virus de autor, los
cuales permitieron que cualquier usuario consiguiera generar su propio virus. Así
Unido, sin mucho éxito, toda vez que la Unidad de Crimen Computacional acabó con
70
Trident - apareció en Holanda en 1993. En los últimos años, la historia se repite53. En el
amplia difusión, infectó más de 100 millones de mensajes electrónicos54, este virus
Kazaa, que es un programa en red que permite intercambiar música, videos, juegos etc.
3.2 Otra forma de ataque son los gusanos, que están diseñados para infiltrarse en los
3.3 Los caballos de Troya, son programas que están camuflados dentro de programas
en forma distinta a como estaba previsto”55. Los virus y los gusanos pueden esconderse
53 La historia de los virus que se expuso puede encontrarse con más detalles en la página web
www.virusport.com/Historia.html
54 Véase más información en la página web http://iblnews.com/news/noticia.php3?id=99098.
55 GARCÍA DÍAZ., Op. cit. p. 156.
71
3.4 Las bombas de relojería son muy parecidos a los caballos de troya, pero su forma
Los atacantes y los medios que utilizan requieren vías de acceso para introducirse en el
sistema y producir el daño esperado. Existen diversas vías de penetración las cuales se
exponen a continuación:
72
Ahora bien, para entender el procedimiento que utilizan los atacantes deben conocerse
las rutas de acceso que utilizan para penetran en los sistemas, con lo cual se tendrá un
Para que un ataque sea efectivo es necesario contar con una vía de acceso, lo cual se
Network.
atacantes para exhibir sus habilidades y demostrar que no hay sistema impenetrable e
invulnerable. Las formas más conocidas de vías de ataque son las siguientes:
vía común de los hackers y de los vándalos. Esta vía de ataque, pone en
73
evidencia las deficiencias de seguridad de los softwares. Cada deficiencia es
identificado. Este sistema es muy vulnerable y al ser conocido por los atacantes,
estos pueden hacerse pasar por el usuario dueño del privilegio y afectar tanto la
74
4.4 Management remoto: Para poder conectarse a Internet es necesario contratar
un servidor que sirva de puente. Esta gestión puede hacerse de varias maneras,
desde el mismo sitio del servidor, desde otro ordenador e incluso desde Internet,
4.5 Transmisiones: Toda información que sea transmitida por Internet esta
sustracción de información.
4.6 Cookies: Los websites utilizan un sistema operativo (cookies) que recogen y
almacenan información del usuario, con el fin de definir su perfil. Estos sistemas
75
Una vez definidos los ataques y las vías que se utilizan para penetrar los sistemas
operativo?.
5. Los daños
56 FONT, Andrés. Seguridad y Certificación en el Comercio Electrónico. Madrid : Editorial Fundación Retevisión.
2002. p. 27 y 28.
76
5.3 Modificación: Está ligada a la interceptación en la medida en que cuando se
afectan el network.
Una gran dificultad que afronta la seguridad es la falta de decisión de los gerentes de
ocurre ningún siniestro, la decisión de inversión puede verse como una pérdida de
establecer prioridades de ese ejecutivo; sin embargo, un daño puede generar millones
conciencia sobre la prevención, toda vez que esta implica la destinación de recursos
77
efecto de prevenir - que consiste en la preparación y disposición que se hace
anticipadamente para evitar un riesgo, debe ser una constante en el diario vivir, tanto a
ayudara a prevenir siniestros. Está demostrado que los costos de implementar sistemas
pólizas de seguro, y de esta forma asegurarse por todos los flancos. Las compañías de
seguros ofrecen pólizas que cubren los equipos electrónicos contra cualquier tipo de
sin embargo, las pólizas de seguros son mecanismos de respaldo dirigidos a soportar la
ocurrencia del siniestro y no, a la prevención del mismo, por lo tanto, un entorno
altamente seguro debe contar, tanto con mecanismos de protección como con pólizas
de seguro.
78
6. La importancia de la seguridad y la confianza
cualidad del ordenamiento jurídico, que envuelve, entre otras, tanto la certeza de sus
aplicación. El social, que implica dos ámbitos: público o privado; en el primero interviene
domésticos con apoyo estatal, para evitar daños a los miembros del grupo familiar y sus
evitar persecuciones; a nivel computacional, anti virus, claves etc. -. El presente estudio
refiere la seguridad de los sistemas operativos de las computadoras, que hoy es una
79
preocupación, tanto del sector público o estatal como del privado o empresarial y/o
familiar.
6.1 La Confianza
humanidad.
Se puede afirmar, sin ninguna duda, que la solidez de cualquier relación o proceso
seguridad jurídica del contexto en donde se realiza, el nivel de riesgo que se está
dispuesto a asumir y la confianza existente entre las partes que intervienen en una
transacción57.
en el comercio electrónico:
57 Ibid., p. 35 y 36.
80
[...] la confianza es la variable crítica para incentivar el desarrollo progresivo de las
confiable y, de consiguiente, apto para facilitar las relaciones entre los coasociados.
para los usuarios de los sistemas de redes, sin embargo, el sentimiento de adquisición
En una encuesta realizada por la firma Merryl Linch, se preguntó: ¿Estaría dispuesto a
1. No sabe / no responde: 9%
2. Sí: 3%
3. No: 88%
58 CORTE CONSTITUCIONAL. Sentencia C – 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morón Díaz.
Bogotá: 2000.
81
Ofrecer bienes y/o servicios en cualquier mercado, implica un gran reto; más aún si no
confianza en los consumidores y forjar una buena imagen59 es una tarea que deben
emprender los establecimientos de comercio que buscan ofertar sus bienes y servicios
con la seguridad.
59 Las marcas y su desarrollo son un factor muy influyente en el concepto de “confianza”, y son claves en el
comercio del siglo XX, por esta razón las marcas deben ser sinónimo de identidad, seguridad, privacidad y
credibilidad en las transacciones.
El Comercio Electrónico en Internet debe hacer uso de las marcas como efectivamente lo está haciendo y generar
zonas de comercio seguro, donde la seguridad y la confianza sean las características fundamentales.
82
A continuación se enunciarán los resultados de una serie de estudios realizados en
E.E.U.U, comentados por el Dr. Andrés Font60 con relación con los elementos básicos
una labor que comienza con la manipulación de los elementos del sistema. El fácil
83
seguridad que le brinden tranquilidad, tener la certeza que el sitio que visita es
seguro.
- Una navegación fácil es una condición necesaria para generar confianza: El diseño
los usuarios. Es muy importante que el sistema operativo utilizado para desarrollar
interoperatividad y seguridad61.
61 ELSENPETER, Robert. VELTE, Joby. Fundamentos de Comercio Electrónico. Estados Unidos: MC Graw Hill.
2002. p 65 y 66.
62 Como se definió en el pie de página número 14, la red es la conexión de computadores cuyo fin es compartir
recursos e intercambiar información. Las redes pueden dividirse en dos tipos:
1. Redes de área local: aquellas que conectan todos los componentes de las computadoras dentro de un área
centralizada. Es la red que enlaza el Departamento Jurídico con el Departamento de Sistema, es la red que
enlaza al Departamento de Mercadeo con la Vicepresidencia de Recursos Humanos o la red que conecta
todos los computadores del Departamento de Diseño con la impresora a color. Pueden existir dentro de una
misma empresa varias redes de área local que a su vez están conectadas con una red matriz de área local
que se convierte en la columna vertebral de las redes de área local de la empresa.
84
• Escalabilidad: Consiste en la posibilidad de ampliar el sistema operativo
2. Redes de área amplia: En esencia las redes de área amplia son dos redes de área local unidas a gran
distancia. La red de área amplia más grande que existe es Internet. Las computadoras conectadas a una
red de área amplia se enlazan en la mayoría de los casos a través de redes públicas, como la línea
telefónica. Dependiendo de nuestras necesidades puede configurarse una red de área amplia en cualquier
rango de tamaño y velocidad.
Véase más sobre estructura de redes. Ibid., p. 82 a 249.
63 Los estándares son un conjunto de parámetros para las aplicaciones de la computadora que aseguran que podrá
operar en una multitud de sistemas. El ejemplo que permite visualizar qué son los estándares, son los
procesadores de palabras. Antiguamente un documento elaborado en un procesador de palabras de un determinado
computador no podía leerse en un computador de diferente marca e incluso de la misma marca. Un estándar que
permitió solucionar este problema es el ASCII, que es un procesador de palabras estándar. Internet posee
estándares que permiten que las personas compartan información (HTML).
64 Los directorios habilitados son bases de datos gigantescas, agendas personales que permiten tener un
conocimiento más cercano de los usuarios. El sistema operativo de los directorios habilitados consiste en una
segregación de información esencial, de acuerdo con la configuración que se le haya dado al directorio. De esta
forma podré saber el país de origen del usuario, sus datos personales, sus gustos y en general todo cuanto sea
posible dependiendo de la configuración del sistema.
Vea más información al respecto. Ibid., p 66 a 70.
85
• Seguridad: El aspecto más importante para el comercio electrónico es la
los símbolos ejercen una influencia positiva en los usuarios, lo que paralelamente
genera confianza.
- Hay una relación directa entre ser conocido y generar confianza: Los sitios más
visitados son los sitios más conocidos. Los sitios más conocidos son los sitios que
65 El hardware engloba lo que se refiere a componentes físicos de un equipo informático, el ordenador y sus
componentes: memoria, microprocesadores etc.; y los periféricos como el teclado, monitor, impresoras, módems etc.
86
sistemas de encriptación, hacen del website un sitio seguro y confiable para el
usuario.
6.3 La Seguridad
acceder a los diferentes software del sistema operativo, mecanismos de seguridad para
los aspectos de más relevancia y utilidad en cuento a redes se refiere. Sin embargo,
para colapsar la estructura, robo de la materia prima para uso personal o con fines
comerciales etc. Esto mismo pasa con la información que viaja a través de las redes de
87
comunicación informática. Para prevenir estos ataques hay que identificar los puntos
Es importante resaltar que existe la intención por parte de los agentes del comercio
prevención, son entre otros los conceptos que encierran un ambiente de seguridad en
la red.
desconfianza, mala imagen, caos, son entre otros los conceptos que envuelven un
88
“Cuando se trata de la seguridad digital, no existe una defensa impenetrable. Pero se
Si bien los ejemplos de vandalismo en la red no son múltiples, los pocos que se
Los virus, que hoy en día son la forma más común de sabotaje empresarial, ocasionan
todos los días pérdidas incalculables67, sin embargo, estos ataques no son dirigidos en
el riesgo que está presente. Esta realidad, debe ser vista como un llamado de alerta
para los Departamento de Seguridad de las empresas, con el fin que adapten las
imagen etc.
66 AUSTIN, Robert. Darby, Christopher. Harvard Business Review. Volumen 81. Número 6. Junio 2003. p. 87.
67 “Según estimaciones del sector, cada año 90% de las empresas se ve afectada por violaciones de seguridad, que
tiene un costo aproximado de US$ 17.000 mil millones”. Ibid. p. 37.
89
Los ataques externos, ya mencionados, tiene su inicio en las redes de área amplia. Si la
operacionales.
90
Lo primero que hay que definir en un sistema de seguridad de redes es cuales son las
desarrolle.
Son tres, entonces, los elementos claves en los cuales debe centrarse la seguridad de
1. Información
2. Actividad
3. Acceso
importancia en el mundo, tanto a nivel privado como público. Hoy en día la gran
mayoría, por no decir que la totalidad de las empresas manejan sus negocios a través
inimaginables.
91
Deben generarse mecanismos que protejan la información, para lo cual, es
indispensable hacer uso de los dispositivos de seguridad con los que cuente la empresa
y, reducir el flujo innecesario de información así como las fugas y pérdida de la misma.
Para llevar a buen término estas intenciones debe capacitarse a los empleados en el
riesgo. La primera fase para prevenir los riegos consiste en identificarlos. Una vez
prevención que permitan el normal y adecuado desarrollo del objeto social. De esta
suerte, el acceso a Internet en una empresa, debe estar regulado y controlado por
operativo de acceso a Internet debe poseer niveles de acceso a la red, así como, contar
92
c) El acceso se refiere tanto a la persona que accede al network, que quien acceda es
quien dice ser. En conclusión, el acceso consiste en que sólo tengan acceso a la
información quien está autorizado, y que al acceder sólo se realice la actividad que le
Los ataques internos, son en su mayoría iniciados por empleados descontentos que
red interna para la expansión del ataque y, su detección es muy complicada. Para
contrarrestar este tipo de ataques es muy importante que se tenga control y acceso a
acceso -, sirven para detectar y prevenir los ataques internos. Sin embargo, la
Los empresarios, y en general los internautas, deben adoptar medidas de seguridad que reduzcan
los riesgos y hagan de su sistema operativo un sistema confiable.
93
La siguiente gráfica ilustra la vulnerabilidad y la importancia de la seguridad en la
empresa:
SEGURIDAD EN LA RED
interna provienen de infiltraciones que penetran a través de la red externa, por esta
razón, la seguridad debe estar enfocada en filtros que analicen la información que
proviene de la red externa, haciendo varios chequeos sobre su contenido. Para tal fin,
existen varios mecanismos de seguridad, que deben implementarse de acuerdo con los
requerimientos de la empresa.
94
La seguridad que implemente la empresa, debe proteger todos los flancos, con un
acuerdo con los requerimientos que arroje el estudio. Lo importante es detectar las
Una vez se hayan definido los riesgos, el paso a seguir, es disponer los recursos para
externos para que no penetren la red interna. La seguridad de tránsito cumple la función
95
de alarma, avisa a los operadores y técnicos de la red, cuando hay algo fuera de lo
decir, son sistemas operativos de software o hardware que han sido instalados como
seguridad de la red. Ejemplos de estos serían los Proxy Server, los Pocket Filtering o
b) Seguridad de usuario: Este tipo de seguridad utiliza un software que obliga al usuario
computador. El ejemplo más conocido de este tipo de seguridad son las claves.
el campo operativo del usuario, a través de claves. Este tipo de seguridad es conocida
de accesos a que tiene derecho ese usuario que ha sido previamente identificado. La
contabilidad es la parte que lleva los registros de la seguridad del usuario. Se sigue los
pasos del usuario durante su estadía en la red lo que le permite al empleador saber en
96
Una vez determinada la clase de seguridad que se requiere implementar, debe
el sistema sea seguro, como en la seguridad física de un edificio, cada uno de los
Existen varios mecanismos de seguridad entre los cuales destacamos los siguientes:
97
a) Secure Electronic Transactions: Una de las formas más utilizadas hoy en día en
para generar comercio electrónico seguro. SET puede entenderse como un conjunto de
electrónicas. SET hace uso de todos los mecanismos de seguridad disponibles para
el sistema. Sin embargo en nuestro país las instituciones financieras están utilizando el
protocolo SSL.
98
b) Secure Sockets Layer (SSL)71: El estándar desarrollado por Netscape que utiliza
servidores.
desventaja del SET es que se requiere que tanto vendedor como comprador estén
71 ORFEI, Stephen W. El Comercio Electrónico. Citado por AZUERO, RODRÍGUEZ, Sergio, Contratos Bancarios.
Quinta Edición. Bogotá 2002. Editorial: Legis S.A. p. 245. “El SLL es poco costoso, está disponible en la mayoría de
los browser net tipo Explorer que existen en el mercado, por lo cual es fácil de conseguir. Los mensajes van
infiltrados, lo cual es mucho mejor que hacer negocio sin protección alguna, pero SLL no autentica la identificación de
las partes. Cualquier tarjetahabiente puede ser suplantado desde cualquier terminal, porque SSL encripta el canal
entre el cliente y el comercio, pero sin verificar si es un tarjetahabiente, o más bien un delincuente. Por ello, el SLL no
está respaldado por los bancos, ni está garantizando la transacción. Si algo no funciona, es básicamente problema
del comerciante. Por su parte SET utiliza una encriptación de fortaleza industrial, identificación digital, con claves
públicas y privadas de infiltración hechas con algoritmos basados en fórmulas matemáticas; además valida toda la
transacción desde el punto de vista del tarjetahabiente, el comerciante y la entidad bancaria. Cualquier comerciante
puede entregarle las llaves públicas a su cliente, quien remitirá datos encriptados, de manera que el mensaje sólo
podrá leerse utilizando las claves privadas, equivalentes a una identificación digital, a una firma digital
personalizada”.
99
pero como se mencionó, el protocolo utilizado, por lo menos en nuestro país es el SSL.
Ahora bien, cualquier perjuicio o fraude que se ocasione como consecuencia del hurto
de las claves secretas del usuario: clave web y clave privada, es atribuida al
tarjetahabiente, con el argumento que éstas son de conocimiento exclusivo del titular
del producto. Argumento que desconoce la inseguridad del protocolo SSL, y la falta de
operación.
mínimas de seguridad con que deben contar este tipo de entidades, más aún si
72 Pude definirse el servicio público como: “[...] toda actividad organizada que tiende a satisfacer necesidades de
interés general en forma regular y continua, de acuerdo con un régimen jurídico especial, bien que se realice por el
Estado directamente o por personas privadas”. YOUNES MORENO, Diego. Curso de Derecho Administrativo.
Bogotá: Ed. Temis. 1997.
73 Las Defensorías del Cliente se establecieron por virtud de la Ley 795 de 2003 y su reglamentación está dada por el
Decreto 690 de 2003.
100
A un nivel no comercial, con el fin de asegurar las computadoras y sus sistemas
significativas.
conjuntamente:
1. Seguridad en el host
2. Seguridad en el network
101
- Firewalls74 individuales: Controlan la remisión y recepción de información.
2. Este sistema controla desde el network el acceso a los host, para lo cual utiliza
La Resolución 26930 en el Artículo 22 impone la obligación de usar cortafuegos sin especificar cual de ellos debe
implementarse.
102
- Passwords: Consiste en un sistema de claves de identificación que sólo son
través de hacer las veces de intermediario entre las peticiones que se realicen
con el tipo de configuración (reglas) con que se ha programado el guardafuegos. Estas calificaciones
programadas de antemano se conocen con el nombre de órdenes de permiso o negación.
2. Guardafuegos para el nivel de circuitos: Identifica cada paquete como una solicitud de conexión o como un
paquete que pertenece a una conexión ya establecida. La seguridad se centra en la solicitud de conexión. Si
la conexión concuerda con el criterio válido para conectar, el guardafuegos permite que pase el paquete.
3. Guardafuegos de la capa de aplicación: Valoran los paquetes en la capa de aplicaciones. Rastrea todo la
información acerca de la conexión y tiene a diferencia de los dos guardafuegos anteriores la capacidad de
manipular los datos que contiene el paquete, y de esta forma otorgar o no el permiso de entrada a la red o
network.
4. Filtros dinámicos de paquetes: El administrador de la red en este guardafuegos tiene la facultad de alterar
las reglas de entrada y salida de paquetes, aceptando y rechazando en cualquier momento.
ELSENPETER, VELTE. Op Cit. p 363 a 366.
76 Existe una discusión sobre los guardafuegos, ya que hay personas que argumentan que estos son tanto software
como hardware. En la práctica lo que sucede es que todos los guardafuegos son software pero que para poder
operar necesitan hardware adicionales.
77 Packets: Es la unidad de comunicación fundamental de comunicación en Internet.
103
La siguiente gráfica muestra los mecanismos de seguridad más utilizados en la
ACTUALIDAD FUTURO
Otros 2% Tokens 2%
deben utilizarse para crear entornos seguros. La implementación de uno u otro depende
seguridad.
104
En la práctica si se desea realizar una compra o intercambiar mensajes de datos en
Para saber cuando se está frente a un servidor seguro debe observar los siguientes
comentarios:
hace con Internet Explorer, una vez escriba la dirección del sitio al que desea ingresar,
105
Gráfica 7. Fuente: Sistema Operativo Microsoft Internet Explorer.
Al hacer un clic sobre la celda “Más información” aparecerá un nuevo cuadro (ver
106
Gráfica 8. Fuente: Sistema Operativo Microsoft Internet Explorer.
Si hace clic sobre la celda “Aceptar” (gráfica 7) puede observar que la dirección de la
página a la que entró tiene una “s” al final del http79 y en el monitor de su computador
clic sobre el candado, Internet Explorer muestra un nuevo cuadro con las propiedades
del certificado digital. Este cuadro (gráfica 9) nos muestra por un lado el “Campo”,
fecha de caducidad, etc.) y por otro lado nos da toda la información sobre la autoridad
internauta que está ingresando a una página protegida, cuyo contenido no puede ser
79 El Internet and Hipertext Transport Protocol (http) fue diseñado para que los usuarios pudieran intercambiar
información, lo cual permite que la información sea fácilmente accesible y transportable de un sitio a otro, función
indispensable para el éxito del Internet, sin embargo, genera puntos de debilidad e inseguridad en la red.
107
ideas, este tipo de seguridad que brindan los sistemas operativos de Microsoft o
Netscape permiten al usuario tener la certeza que está navegando en una página
lleva a cabo algún tipo de contrato vía on line entre el comerciante y el usuario, éste es
la página web y deben ser aceptadas por el usuario “comprador”. Se tiene la plena
logísticos, que deben encontrar refugio en acuerdos o tratados internacionales. Por otro
del sistema operativo – Microsoft o Netscape, ya que la seguridad del sistema fue
vulnerada, riesgo que no tiene porqué asumir el usuario. Ahora bien, interponer una
demanda por responsabilidad civil extracontractual contra una sociedad cuyo domicilio
se encuentre por fuera del territorio nacional, evidencia inconvenientes, sin embargo,
existen oficinas de abogados que adelantan este tipo de procesos en el exterior. Sin
108
corriente, ya que los costos de intermediación y representación para demandar son
109
Además de acceder a un sitio seguro hay que asegurarse que se garantice la
Ahora bien, ¿qué debe tenerse en cuenta para realizar una transacción segura?, al
respecto el Dr. Guillermo Sánchez Trujillo afirma que deben verificarse los siguientes
elementos80:
110
• Garantizar mediante el uso de firmas digitales, la integridad de las transacciones,
de tal manera que su contenido no pueda ser alterado por terceros ajenos, sin
ser descubiertos.
transacción.
de clave pública (PKI, Public Key Infraesctructure), que utiliza la encriptación como
Puede afirmarse que la seguridad posee varias armas para contrarrestar los ataques, la
comercial.
111
6.6 Seguridad Jurídica de Tipo Penal: Delito informático
Resulta procedente manifestar que los ataques que afectan el comercio electrónico
pueden ser contrarrestados desde dos ópticas diferentes: jurídica y técnica. La primera
Certificación, Certificados Digitales y Firmas Digitales - Ley 527 de 1999, Decreto 1747
con el propósito de tener una visión global sobre el tema. Puede decirse que el uso
son conductas que se enmarcan dentro del tipo penal del “Delito Informático”. Éste
112
muchas veces, un beneficio ilícito en el agente, sea o no de carácter patrimonial, actué
Para Rafael Fernández Calvo el delito informático es “[...] la realización de una acción
de los ciudadanos”82.
Nidia Callegari lo define como “[...] aquel que se da con la ayuda de la informática o de
técnicas anexas”83.
Existe una diferencia entre delito computacional y delito informático, el primero consiste
81 Citado por DÍAZ GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer. 2002. p. 155.
82 Citado por CUBILLOS y RINCÓN. Op. cit. p. 331.
83 Ibid., p. 331.
113
Entre los delitos informáticos más destacados pueden mencionarse los siguientes85:
acceso.
line.
84 Ibid., p. 332.
85 Ibid., p 336 a 338.
114
Entre los delitos computacionales pueden mencionarse los siguientes:
Código Penal, el cual establece como pena una sanción pecuniaria para el que
115
abusivamente se introduzca en un sistema informático protegido con mecanismos de
la medida que es el único tipo que penaliza aquellas conductas que atentan contra el
datos.
delito informático. Este tipo delitos deben enmarcarse dentro de los Títulos contra la Fe
Así mismo, la pena debe ser directamente proporcional al daño causado, y debe
116
Septiembre de 2001, se implementaron una serie de normas que afectan a la
Con el consenso unánime del Senado de los Estados unidos el Presidente Bush firmó
la Patriot Act - Provide Appropriate Tools Required to Intercept and Obstruct Terrorism
–la cual con efectos mundiales marca un hito en la lucha contra la criminalidad
Precisa terminar este tema, con la noción expresada por la Dra. Guerreo de Global
crime.
delincuencia, razón por la cual las medidas a adoptar deben gestarse en el ámbito del
derecho internacional. Puede decirse, entonces, que el global crime, es aquel que es
86 GUERRERO, María Fernanda. Derecho de Internet & Telecomunicaciones. Universidad de los Andes. 2003. P. 74
117
ejecutado en un ámbito que compete al derecho internacional y que afecta la seguridad
procedimientos acordes con la dimensión del fenómeno que se busca enfrentar. El hilo
global87.
problema global, que requiere de una acción global. Así como se incorporó la Ley
modelo sobre comercio electrónico elaborada por la CNUDMI, deberá incorporarse una
y 75.
87 GUERRERO, María Fernanda. Op. cit., p. 89.
118
La seguridad, entonces, debe abarcar dos tópicos: la seguridad técnica, que es
proporcionada por las Entidades de Certificación, las firmas digitales, la criptografía, los
acuerdo con las necesidades del mercado; el segundo, que es muy pobre
internacionales que permitan un consenso global para hacer frente a este nuevo delito.
119
3. LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA
ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI),
evidentes ventajas, no tenían el aval como medio de prueba, lo cual hacía que su uso
tarea de regular y dotar de fuerza jurídica y probatoria este tipo de medios. Fue así
como se gestó la teoría del equivalente funcional, que no es otra cosa, que dotar al
120
La Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil
manuscrita
88 La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, inspirada en la convicción de que al
dotarse - al mensaje de datos - de fundamentación y respaldo jurídico, se estimularía su uso al hacerlos confiables y
seguros, generando expansión del comercio internacional, dadas las enormes ventajas comparativas de su rapidez,
incluyó el valor probatorio de estos medios como herramienta en las relaciones de índole comercial.
89 La Ley Modelo sigue un nuevo criterio, denominado a veces "criterio del equivalente funcional", basado en un
análisis de los objetivos y funciones del requisito tradicional de la presentación de un escrito consignado sobre papel
con miras a determinar la manera de satisfacer sus objetivos y funciones con técnicas del llamado comercio
121
electrónicas, esas dos funciones jurídicas básicas de la firma se cumplen al utilizarse
párrafo 1) deberá ser tan fiable como sea apropiado para los fines para los que se
consignó o comunicó el mensaje de datos, a la luz de las circunstancias del caso, así
legales que se le han dado en muchos casos a conceptos como escrito, firma y original
electrónico [...] Guía para la Incorporación de la Ley Modelo de la CNUDMI para las Firmas Electrónicas (2001) al
derecho interno. Véase: http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf
90 ANGARITA, Remolina Nelson. Internet Comercio Electrónico & Telecomunicaciones. Desmaterialización,
Documento y Centrales de Registro. Bogotá: Editorial Legis S.A. 2002. p. 13.
122
requisito tradicional con miras a determinar la manera de satisfacer sus objetivos y
[...] Se adoptó el criterio flexible de equivalente funcional que tuviera en cuenta los
Para lograr este objetivo - mensaje de datos como medio de prueba -, resulta necesario
mensaje de datos, debe cumplir, bajo este supuesto, en el mismo sentido - propósito y
91 Ibid., p. 13.
92 El documento según el diccionario de la Real Academia Española es entre otras definiciones “El escrito en que
constan datos fidedignos o susceptibles de ser empleados como tales para probar algo”.
123
En este orden de ideas, es importante mencionar, como señala Gustavo Rodríguez,
cuales son las características del documento físico, que pueden sintetizarse de la
siguiente manera:
El Artículo 251 del Código de Procedimiento Civil define la noción de documento en los
siguientes términos:
Son documentos los escritos impresos, planos, dibujos, cuadros, fotografías, cintas
contraseñas, cupones, etiquetas, sellos y, en general, todo objeto mueble que tenga
edificios o similares.
124
Carnelutti93 refiriéndose a los medios de prueba explica:
[...] a diferencia del testimonio, el documento no es un acto sino una cosa [...]. En el
efecto inmediato del mismo, mientras que en el documento el acto no es, en manera
alguna el hecho representativo, sino que crea un objeto capaz de representar [...]. El
representar un hecho.
cuando es otorgado por un Notario o quien haga sus veces y ha sido incorporado en el
93 CARNELUTTI, Francisco. La Prueba Civil. Buenos Aires, 1947. p. 40. Citado por RODRÍGUEZ, Gustavo
Humberto. Derecho Probatorio Colombiano. Bogotá: Ediciones de Cultura latinoamericana Ltda. EDICULCO: 1979. p
125
Ahora bien, ¿Qué diferencia existe entre documento público y documento privado?;
para tal efecto y, con el fin de entender dicha diferencia, se trae a colación, al Dr.
b) Tanto los documentos públicos como los privados pueden estar contenidos en
c) El documento público puede utilizar la forma gráfica u otra diferente, pero cuando
pública. Esta es, pues, una especie del instrumento público, y una subespecie
224.
94 RODRIGUEZ. Op. cit., p. 228.
126
e) Los demás son documentos privados.
funcionario público da fe ante las partes contratantes y, con efectos erga omnes, que
las firmas de los intervinientes, que aparecen suscritas, son las de los autores que se
enuncian en el documento. Por eso resulta correcto decir que, documento público es el
casos, inclusive, supera las expectativas que en un principio se tuvo de él, aún más, el
mensaje de datos, por su especial condición técnica es más seguro que el documento
95 FRAMARINO DEI MALATESTA, Incola. Lógica de las pruebas. Bogotá: 1964. p. 11. Citado por RODRÍGUEZ. Ibid.
p. 231.
96Ley Modelo de la CNUDMI sobre Firmas Electrónicas. Guía para su Incorporación al Derecho interno 2001.
NACIONES UNIDAS Nueva York, 2002 Publicación de las Naciones Unidas Número de venta: S.02.V.8ISBN 92-1-
333321-8.
127
consulta, como requisitos que debe cumplir el mensaje de datos para lograr su
cometido.
1. Documento escrito
los
ese acto o contrato, queda verificada. Por ejemplo, en el contrato de seguro, regulado
por el Artículo 104698 del Código de Comercio, se exige como prueba de su existencia
97 Ley 527 de 1999. Artículo 6°. Escrito. Cuando cualquier norma requiera que la información conste por escrito, ese
requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su
posterior consulta.
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una
obligación, como si las normas prevén consecuencias en el caso de que la información no conste por escrito.
98 Código de Comercio. Artículo 46: [...] Con fines exclusivamente probatorios, el asegurador está obligado a entregar
en su original, al tomador, dentro de los quince días siguientes a la fecha de su celebración el documento contentivo
128
se verifica al reunirse los elementos esenciales99, para el ejemplo en mención, deben
cumplirse los elementos que menciona el artículo 1045100 del Código de Comercio. En
3. Envía sus datos personales de acuerdo con el cuestionario que para tal
del contrato de seguro, el cuál se denomina póliza, el que deberá redactarse en castellano y firmarse por el
asegurador [...].
99 Código Civil Artículo 1502:
100 Código de Comercio. Artículo 1045: Son elementos esenciales del contrato de seguro:
El interés asegurable;
El riesgo asegurable;
La prima o precio del seguro, y
La obligación condicional de asegurador.
129
registrada en la AC, se procede a la expedición en línea del seguro, de lo
sea la póliza, debe ser entregada por la aseguradora dentro de los quince
confianza, no por ello se pierde el valor probatorio del mensaje de datos, en virtud de la
130
Ley 527 de 1999. En conclusión, si se celebra a través de la red Internet un contrato, el
cual, por expresa disposición legal o contractual exija la formalidad escrita como prueba
que sea accesible para su posterior consulta. Ahora bien, el valor probatorio
En este orden de ideas, cualquier mensaje de datos tiene valor probatorio por
calificación y/o valor probatorio de la prueba, por parte del juez, bajo las reglas de la
sana crítica, en lo que refiere a los mensajes de datos, debe centrarse en la idoneidad
utilizada. Entre mayor seguridad mayor idoneidad, entre mayor idoneidad, mayor valor
probatorio.
Ahora bien, si el contrato está protegido por una firma digital, es incluso, mucho más
confiable que un documento físico, ya que está de por medio y como garante del acto o
negocio, una Entidad que responde civilmente por la autenticidad del documento.
131
Así las cosas, la promesa de compra - venta de inmueble, o el contrato de seguro entre
otros, podrán realizarse por medios electrónicos siempre y cuando el sistema empleado
idoneidad del documento. Los documentos electrónicos son documentos que sirven
como medio de prueba en cualquier proceso judicial y, tendrán el más alto valor
medida en que se logre su posterior consulta. Lo mismo ocurre con los mensajes de
datos netamente virtuales, como un correo electrónico, una página WEB o en general
cualquier documento que circula por Internet, siempre y cuando se logre su posterior
consulta101.
101 URIBE, ZUBIETA, Hermann. Internet Comercio Electrónico& Telecomunicaciones. Universidad de los Andes.
Bogotá: Editorial Legis S.A. 2002. p. 53.
132
El Dr. Ernesto García Rengifo102 cita la doctrina Italiana quienes hacen una
interpretación funcional y teleológica del Artículo 2712 del Codice Civile, afirmando que
la forma electrónica debe ser asimilada a la forma escrita y que el artículo 2712 se
mecánica de hecho o de cosas constituyen plena prueba de los hechos y de las cosas
electrónicos, que permitan su posterior consulta, sin embargo, esa posibilidad, desde el
102 GARCIA, RENGIFO. Op. Cit., p. 24. No se menciona traductor del Codice Civil.
133
2. Autenticidad
103Ley 527 de 1999. Artículo 7º. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho
requerimiento sí:
a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el
contenido cuenta con su aprobación.
b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o
comunicado.
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una
obligación, como si las normas simplemente prevén consecuencias en el caso de que no exista una firma.
104 Los documentos escritos deben ir firmados, para indicar su autor. Cuando se puede atribuir un documento a
determinado autor, puede decirse que dicho documento es auténtico.
El Artículo 252 del Código de Procedimiento Civil establece:
“Es auténtico un documento cuando existe certeza sobre la persona que lo ha firmado o elaborado”.
Por su parte el documento público se presume auténtico, mientras no se compruebe lo contrario mediante la tacha de
falsedad. Lo cual significa que los documentos públicos gozan de una presunción de autenticidad, presunción que es
de hecho, es decir, que admite prueba en contrario. Ahora bien, para tachar de falso un documento, esto es, afirmar
que tiene un autor diferente al aparente, la ley prevé el término procesal dentro del cual puede intentarse la tacha de
falsedad. Artículo 289 del C. de P. C.: a) En la contestación de la demanda; b) Al día siguiente al que haya sido
aportado en audiencia o diligencia; c) En los demás casos, dentro de los cinco (5) días siguientes a la notificación del
auto que ordene tenerlo como prueba.
134
correspondencia entre el documento y su autor. La autenticidad es el elemento más
La autenticidad del mensaje de datos, de acuerdo con el artículo séptimo de la Ley 527
En el escrito por medio del cual se pretenda tachar un documento, debe expresarse en que consiste la falsedad y
solicitar las pruebas que sustenten tal afirmación.
Los documento privados también pueden adquirir autenticidad en los casos señalados en el Artículo 252 del Código
de Procedimiento Civil:
1) Cuando es reconocido expresamente ante Juez o ante Notario, o judicialmente se ordenó tenerlo por
reconocido;
2) Cuando es reconocido implícitamente (se aporta al proceso y se afirma estar suscrito por la contraparte, y
esta no lo tacha en el término legal previsto para ello).
3) Cuando se inscribe en un registro público a petición de quién lo firma;
4) Cuando se trata de libros de comercio debidamente registrados y llevados en legal forma, o de firmas
estampadas en pólizas de seguro, títulos de inversión en fondos mutuos, acciones en sociedades
comerciales, bonos de éstas, efectos negociables, certificados y títulos de almacenes generales de
depósito, y los demás a los que la ley les dé autenticidad.
105 La eficacia de una prueba es su valor, su fuerza. La eficacia es, por lo tanto, la importancia que le da el juzgador
al evaluarla, el resultado de la calificación. Como la apreciación probatoria se obtiene mediante el sistema de la sana
crítica, precisa decir, entonces, que aquel valor, fuerza o mérito de la prueba resulta de la aplicación de la lógica y
de la experiencia; de su análisis individual, de su cotejo o relaciones con las demás pruebas, de las inferencias
lógicas que haga el juez en relación con el tema controvertido [...]. Para que la prueba válida tenga eficacia, debe
tener valor probatorio, mérito probatorio en el proceso de que se trata. La ley suele señalar expresamente los
requisitos para ese mérito que se exigen en cada medio probatorio. Por ejemplo, en la confesión que el confesante
tenga disponibilidad, que no este prohibida o no se exija otro medio [...] La eficacia tiene grados, y el juez los valora
según como se presenten estos requisitos”. RODRÍGUEZ, Op. Cit., p. 104 - 106.
135
utilizó un método confiable y a su vez dicho método permite identificar al iniciador106 del
mensaje. Un sistema confiable es aquel que satisface los estándares establecidos por
las conferidas en los artículos 29, 34, 41 y 42 de la Ley 527 de 1999 y los Decretos
2153 de 1992, 2269 de 1993 y 1747 de 2000, expidió la Resolución 26930, que en su
artículo 20 nos habla de un “Sistema Confiable”: “Para los efectos del artículo 2º del
Decreto 1747 de 2000 un sistema será confiable cuando cumpla con lo señalado en los
106 Decreto 1747. Artículo 1º Iniciador: Persona que actuando por su cuenta, o en cuyo nombre se ha actuado,
envíe o genere un mensaje de datos.
107 ARTICULO 21°. Políticas, planes y procedimientos de seguridad. La entidad debe definir y poner en práctica
después de autorizada las políticas, planes y procedimientos de seguridad tendientes a garantizar la prestación
continua de los servicios de certificación, que deben ser revisados y actualizados periódicamente. Estos deben incluir
al menos:
- Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.
- Políticas de acceso a los sistemas e instalaciones de la entidad, monitoreo constante.
- Procedimientos de actualización de hardware y software, utilizados para la operación de entidades de
certificación.
- Procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del
funcionamiento de la entidad, según estudio que se actualizará periódicamente.
- Plan de manejo, control y prevención de virus informático.
- Procedimiento de generación de claves de la entidad de certificación que garantice que:
• Solo se hace ante la presencia de los administradores de la entidad.
• Los algoritmos utilizados y la longitud de las claves utilizadas son tales que garanticen la unicidad de las
firmas generadas en los certificados, por el tiempo de vigencia máximo que duren los mensajes de datos
firmados por sus suscriptores.
136
3. Conservación y consulta
ARTICULO 22°. Corta fuegos (Firewall). La entidad de certificación debe aislar los servidores de la red interna y
externa mediante la instalación de un corta fuegos o firewall, en el cual deben ser configuradas las políticas de
acceso y alertas pertinentes.
La red del centro de cómputo debe estar ubicada en segmentos de red físicos independientes de la red interna del
sistema, garantizando que el corta fuegos sea el único elemento que permita el acceso lógico a los sistemas de
certificación.
ARTICULO 23°. Sistemas de emisión y administración de certificados. Los sistemas de emisión y administración de
certificados deben prestar en forma segura y continua el servicio. En todo caso las entidades deberán cumplir al
menos con una de las siguientes condiciones:
2. Cumplir con requerimientos técnicos que correspondan por lo menos con los
objetivos del nivel de protección 2 (Evaluation Assurance Level 2) definido por Common Criteria for Information
Technology Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria Project
Sponsoring Organization en su parte 3 o su equivalente en la norma ISO/IEC 15408, de:
a) Sistema de registro de auditoría de todas las operaciones relativas al funcionamiento y administración de los
elementos de emisión y administración de certificados, que permita reconstruir en todo momento cualquier
actividad de la entidad;
b) Sistema de almacenamiento secundario de toda la información de la entidad, en un segundo dispositivo que
cuente por lo menos con la misma seguridad que el dispositivo original, para poder reconstruir la información
de forma segura en caso necesario;
c) Dispositivo de generación y almacenamiento de la clave privada, tal que se garantice su privacidad y
destrucción en caso de cualquier intento de violación. El dispositivo y los procedimientos deben garantizar
que la generación de la clave privada de la entidad solo puede ser generada en presencia de los
representantes legales de la misma; y
d) Sistema de chequeo de integridad de la información sistema, los datos y en particular de sus claves.
137
Sobre el particular, nuestra legislación ha definido los parámetros que deben
conservar un mensaje de datos en su forma original, si existe una garantía para que el
12109 de la Ley 527 de 1999 establece las condiciones para la “Conservación de los
108 Ley 527 de 1999. Artículo 8°. Original. Cuando cualquier norma requiera que la información sea presentada y
conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si:
a) Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en
que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma;
b) De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se
deba presentar.
Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una
obligación, como si las normas simplemente prevén consecuencias en el caso de que la información no sea
presentada o conservada en su forma original.
109Ley 527 de 1999. Artículo 12. Conservación de los mensajes de datos y documentos. Cuando la Ley requiera que
ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho, siempre que se
cumplan las siguientes condiciones:
138
mensajes de datos y documentos” permitiendo que la conservación se pueda hacer
directamente o través de terceros siempre y cuando se cumplan con las exigencias del
artículo 12 en mención.
En aquellos casos en que los mensajes de datos sean creados por intermedio de
registros de certificados deben ser conservados por el término exigido en la ley que
Entre los deberes de las Entidades de Certificación abierta110 pueden rescatarse dos
2. Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o
recibido o en algún formato que permita demostrar que reproduce con exactitud la información generada,
enviada o recibida, y
3. Que se conserve, de haber alguna, toda información que permita determinar el origen, el destino del
mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.
No estará sujeta a la obligación de conservación, la información que tenga por única finalidad facilitar el envío o
recepción de los mensajes de datos.
Los libros y papeles del comerciante podrán ser conservados en cualquier medio técnico que garantice su
reproducción exacta.
139
9. Garantizar el acceso permanente y eficiente de los suscriptores y de
de datos tendrá valor probatorio. Ahora bien, cuando el mensaje de datos es creado en
largo del tiempo y, su posterior consulta, con un elemento adicional muy importante,
perfectas condiciones de calidad aún con el transcurso del tiempo. Es muy importante
que el juzgador tenga en cuenta que la eficacia probatoria del mensaje de datos
repudio.
110 En el siguiente capítulo se estudiará el tema de las Entidades de Certificación abiertas y cerradas.
140
La Corte Constitucional en la Sentencia C - 662 de Junio 08 de 2000 frente a este punto
afirma:
A diferencia de los documentos en papel, los mensajes de datos deben ser certificados
importante112.
tecnológico.
111 Decreto 1747 de 2000. Artículo 1 numeral 3. Repositorio: Sistema de información utilizado para almacenar y
recuperar certificados y otra información relacionada con los mismos.
112 Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morón Díaz. Expediente D-2693.
141
documento electrónico al igual que el documento físico son medios de prueba, en si
mismos considerados.
efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por el hecho de
creado. Ahora bien, un mensaje de datos que esté respaldado por una Entidad de
Certificación tendrá, además, el más alto valor probatorio, toda vez que, ésta garantiza
voluntad u otra declaración por la sola razón de haberse hecho en forma de mensaje de
142
Ahora bien, en la formación de cualquier tipo de contrato, de acuerdo con lo establecido
de datos. Los Artículos 10113 y 11114 de la Ley 527 de 1999 establecen la admisibilidad y
fuerza probatoria de los mensajes de datos, así como, el criterio de valoración que debe
es, que exista la absoluta certeza sobre la identidad del iniciador del mensaje, que el
113 Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán admisibles
como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII,
Sección Tercera, Libro Segundo del Código de Procedimiento Civil.
En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo
de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón
de no haber sido presentado en su forma original.
114 Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria
de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás
criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta:
la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la
forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y
cualquier otro factor pertinente.
143
alterado - Artículo 11 de la Ley 527 de 1999 -; lo cual es posible si el mensaje es
para efectos probatorios, cumpliendo cabalmente todas las exigencias requeridas para
tal fin. De esta suerte, El documento físico y el documento electrónico son documentos
4. Documento Electrónico
Una vez superada la eficacia probatoria de los mensajes de datos puede definirse el
documento115 electrónico.
115 El documento electrónico, según el Dr. Daniel Peña Valenzuela, no es tangible, a diferencia del documento con
base de papel , sin embargo, es visible y accesible para su posterior consulta. El documento electrónico está
soportado por bases de datos, archivos electrónicos centros de proceso informáticos operados electrónicamente
para el almacenamiento y transmisión de los mensajes de datos. PEÑA, VALENZUELA, Op. Cit., p. 121, 122.
144
Gallizia116 define el documento electrónico de la siguiente manera:
145
María Fernanda Guerrero, citada por el Dr. Angarita define el documento electrónico
5. Jurisprudencia
Artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42,
43, 44, 45 de la Ley 527 de 2001, por estimar que violan los artículos 131 152 y 153118
146
de la Constitución Política, tuvo la oportunidad de pronunciarse con respecto a la Ley
como fuente jurisprudencial para la validez de los mensajes de datos como medio de
prueba.
Artículo 152: Mediante las leyes estatutarias, el Congreso de la República regulará las siguientes materias
a) Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección;
b) Administración de la justicia;
c) Organización y régimen de los partidos y movimientos políticos; estatuto de la oposición y funciones
electorales;
d) Instituciones y mecanismos de participación ciudadana;
e) Estados de excepción.
Artículo 153: La aprobación, modificación o derogación de las leyes estatutarias exigirá la mayoría absoluta de los
miembros del Congreso y deberá efectuarse dentro de una sola legislatura. Dicho trámite comprenderá la revisión
previa por parte de la Corte Constitucional, de la exequibilidad del proyecto. Cualquier ciudadano podrá intervenir
para defenderla o impugnarla.
147
Con respecto a los Artículos 152 y 153 de la Carta Magna, el actor considera que no se
Artículos demandados son: 9°, 10, 11, 12, 13, 14, 15 y 28 de la Ley 527 de 1999.
Procedimiento Civil - Capítulo VIII del título XIII, Sección Tercera del Libro Segundo, lo
fuerza probatoria.
119 De manera conjunta intervinieron representantes de la Superintendencia de Industria y Comercio, del Ministerio
de Comercio Exterior, del Ministerio de Justicia, del Ministerio de Comunicaciones, del Ministerio de Desarrollo
Económico, así como el Presidente Ejecutivo de la Cámara de Comercio de Bogotá, y de la Fundación Foro Alta
Tecnología. Los puntos expuestos de mayor relevancia son los siguientes:
- La Ley 527 de 1999 fue un esfuerzo de los sectores público y privado, los Ministros de Justicia y del
Derecho, Transporte, Desarrollo Económico y Comercio Exterior.
- El Comercio Electrónico enmarca la buena fe comercial y la libertad contractual.
- Ni el comercio electrónico ni la actividad de las entidades de certificación son un servicio público domiciliario,
las partes no necesitan ni están obligadas a solicitar los servicios de una entidad de certificación. Es un
tema de derecho privado, que requiere control estatal a cargo de la Superintendencia de Industria y
Comercio.
148
Así mismo debe tenerse en cuenta la apreciación de la Corte con relación a la
trascendencia que implica para los gobiernos la incorporación de la Ley Modelo sobre
- La Ley 527 de 1999 provee a los mensajes de datos y al comercio electrónico de la integridad, confiabilidad
y seguridad que este tipo de prácticas requiere, para la eficaz y efectiva interacción a través de redes
telemáticas, sin haber contacto directo o físico.
- Las firmas digitales, y los certificados digitales buscan dotar de seguridad técnica y jurídica a los mensajes
de datos y al comercio electrónico.
- Las entidades de certificación no dan fe pública. Las entidades de certificación no son notarías electrónicas.
- La actividad de certificación es un servicio de índole eminentemente técnico que tiene que ver con la
confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos.
- La certificación busca primordialmente, garantizar la persona del iniciador, dar integridad de contenido,
haciéndolo inalterable, garantizar el no repudio.
- Ni la Constitución ni las leyes han establecido que las funciones públicas o los servicios públicos sólo
puedan ser prestados por entidades o servidores públicos. De acuerdo con los artículos 2, 210 y 365 de la
Carta Política, el Estado, para el debido cumplimiento de sus fines, tiene la facultad de asignar, delegar o
conferir transitoriamente ciertas y precisas responsabilidades públicas a los particulares.
- Las eventuales modificaciones que la Ley 527 de 1999 hizo a algunas disposiciones contenidas en códigos,
no afectaron la estructura general de la administración de justicia o los principios sustanciales y procesales
de la materia, por lo cual, mal podría sostenerse que han debido ser objeto de una ley estatutaria, cuando
su materia es propia de la ley ordinaria, por medio de la cual pueden modificarse normas anteriores de
igual o inferior jerarquía, incluyendo los códigos.
149
negocios jurídicos celebrados, no solamente por los particulares, sino también por el
utilización [...].
reglamentarios.
150
Efectivamente el mensaje de datos al encontrarse en un sistema electrónico puede ser
almacenado por largos períodos de tiempo, lo que no garantiza que no pueda ser
alterado, de hecho, está expuesto a un sin número de riesgos, que van desde la
cual no puede decirse que un mensaje de datos como tal es inalterable. Para que sea
difícilmente alterable se requiere que esté protegido, por ejemplo, por una Entidad de
Certificación o con claves y códigos complejos, sin embargo, aún así está expuesto.
establecer una relación de tipo jurídico, muchas veces son cartas de amor, fotos o
151
el Artículo 152 constitucional. Al respecto, la Corte considera que el demandante parte
regulación relacionada con los temas previstos en el Artículo 152 requieran el trámite
[...] únicamente aquellas disposiciones que de una forma y otra se ocupen de afectar la
estructura de la administración de justicia, o de sentar principios sustanciales o generales sobre
la materia, deben observar los requerimientos especiales para ese tipo de leyes. Las demás y en
particular los códigos, deben seguir el trámite ordinario previsto en la Carta Política, pues se
trata de leyes ordinarias dictadas por el Congreso de la república en virtud de lo dispuesto en el
numeral 2° del artículo 150 superior.
Por ejemplo véase la Sentencia C- 037 de febrero 5 de 1996. Magistrado Ponente: Dr. Vladimiro Naranjo Mesa:
Para la Corte, una ley estatutaria encargada de regular, la administración de justicia, como lo
dispone el literal b) del artículo 152 superior, debe ocuparse esencialmente sobre la estructura
general de la administración de justicia y sobre los principios sustanciales y procesales que
deben guiar a los jueces en su función de dirimir los diferentes conflictos o asuntos que se
someten a su conocimiento.
[...] el aceptar los argumentos de la demandante conduciría al absurdo extremo de que toda
norma relacionada con cualquier aspecto de la administración de justicia, tendría que aprobarse
152
Con respecto a la condición del mensaje de datos, como medio probatorio, la Corte
expresó:
autor.
De otra parte, la Corte encuentra que el Artículo 4º del Decreto 266 del 2000, expedido
conferidas por el Numeral 5º del Artículo 1º122 de la Ley 573 del 7 de febrero del 2000,
bajo los estrictos requisitos de las leyes estatutarias, lo cual entrabaría gravemente la función
legislativa y haría inane la función de expedir códigos en todos los ramos de la legislación y la de
reformar las leyes preexistentes que el constituyente también atribuye al Congreso, y que este
desarrolla por medio de la ley ordinaria.
La Honorable Corte ha establecido en varias oportunidades que los asuntos sometidos a reserva de la ley estatutaria
debe ser restrictiva a fin de garantizar, entre otras cosas, la integridad de la competencia del legislador ordinario.
122 Ley 573 de 2000. Artículo 1º : Facultades extraordinarias. De conformidad con lo dispuesto en el numeral 10 del
artículo 150 de la Constitución Política, revístase al Presidente de la República de precisas facultades extraordinarias
153
“Mediante el cual se reviste al Presidente de la República de precisas facultades
conforma unidad normativa con el Artículo 10 de la acusada Ley 527 de 1999, dada su
identidad de contenido.
para que, en el término de quince (15) días contados a partir de la publicación de la presente ley, expida normas con
fuerza de ley para:
1. (Inexequible) Suprimir o reformar las regulaciones, procedimientos y trámites sobre los que versó el Decreto
1122 de 1999, sin incluir ningún tema adicional. El ámbito de aplicación de las normas expedidas en
desarrollo de las presentes facultades cobijará a los organismos públicos de cualquier nivel, así como
aquellos que teniendo naturaleza privada ejerzan por atribución legal funciones públicas de carácter
administrativo, pero sólo en relación con estas últimas.
(Este numeral fue declarado inexequible, a partir de la fecha de su promulgación, por parte de la Corte
Constitucional en Sentencia C – 1316 de 2000).
123 Constitución Política de Colombia. Artículo 150 numeral 10: Revestir, hasta por seis meses, al Presidente de la
República de precisas facultades extraordinarias, para expedir normas con fuerza de ley cuando la necesidad lo exija
o la conveniencia pública lo aconseje. Tales facultades deberán ser solicitadas expresamente por el Gobierno y su
aprobación requerirá la mayoría absoluta de los miembros de una y otra cámara.
El Congreso podrá, en todo tiempo y por iniciativa propia, modificar los decretos leyes dictados por el Gobierno en
uso de facultades extraordinarias.
Estas facultades no se podrán conferir para expedir códigos, leyes estatutarias, orgánicas, ni las previstas en el
numeral 20 del presente artículo, ni para decretar impuestos.
154
Afirma la Corte que en vista de que se presenta el fenómeno jurídico de unidad de
materia entre el Artículo 10 de la Ley 527 de 1999 acusado y el Artículo 4124 del Decreto
266 del 2000 “Por el cual se dictan normas para suprimir y reformar las regulaciones,
establecidas en la Ley 573 del 2000, pues regulan un mismo aspecto, esto es, el valor
124 Decreto 266 de 2000. Presidencia de la República. Artículo 4. Medios tecnológicos. Modificase el artículo 26 del
Decreto 2150 de 1995, el cual quedará así:
Se autoriza a la administración pública en el empleo de cualquier medio tecnológico o documento electrónico, que
permita la realización de los principios de igualdad, economía, celeridad, imparcialidad, publicidad, moralidad y
eficacia en la función administrativa, así como el establecimiento de condiciones y requisitos de seguridad que para
cada caso sean procedentes, sin perjuicio, de la competencia que en la materia tengan algunas entidades
especializadas.
Toda persona podrá en su relación con la administración hacer uso de cualquier medio técnico o electrónico, para
presentar peticiones, quejas o reclamaciones ante las autoridades. Las entidades harán públicos los medios de que
dispongan para permitir esta utilización.
Los mensajes electrónicos de datos serán admisibles como medios de prueba y su fuerza probatoria será la otorgada
en las disposiciones del Capítulo VIII del Título XIII Libro Segundo del Código de Procedimiento Civil, siempre que
sea posible verificar la identidad del remitente, así como la fecha de recibo del documento.
PARÁGRAFO: En todo caso el uso de los medios tecnológicos y electrónicos deberá garantizar la identificación del
emisor, del receptor, la transferencia del mensaje, su recepción y la integridad del mismo.
(Este artículo fue declarado exequible por la Corte Constitucional conforme a la parte motiva de la Sentencia C- 662
de 2000, pero a su vez fue declarado inexequible, a partir de su promulgación, por la Corte Constitucional en
Sentencia C-1316 de 2000).
Como conclusión se tiene que la Sentencia C-1316 de 2000 es posterior a la Sentencia C- 662 de 2000, razón por la
cual y acogiéndonos a uno de los principios generales del derecho “una norma posterior deroga en todo lo que le sea
contrario la norma anterior”, lo cual también aplica a nivel jurisprudencial. Debe entenderse que el artículo cuarto (4º)
del Decreto 266 de 2000 es inexequible al igual que el numeral quinto de la Ley 573 de 2000, por lo que la
constitucionalidad del artículo 10 de la Ley 527 no se hace extensivo a las demás normas en mención puesto que
son inconstitucionales.
155
probatorio de los mensajes electrónicos, la Corte estima que la declaratoria de
constitucionalidad comprenderá también al Artículo 4 del Decreto 266 del 2000 por las
interpuso demanda contra el Artículo Sexto126 (6°) de la Ley 527 de 1999 por considerar
que éste vulnera los Artículos 28127 y 152128 de la Constitución Política de Colombia, al
125 Corte Constitucional. Sentencia C-831 de Agosto 8 2001. Expediente D-3371. Magistrado Ponente: Dr. Álvaro
Tafur Galvis.
126 Artículo 6°: Escrito. Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará
satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta. Lo
dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación,
como si las normas prevén consecuencias en el caso de que la información no conste por escrito.
127Constitución Política de Colombia. Artículo 28: Toda persona es libre. Nadie puede ser molestado en su persona o
familia, ni reducido a prisión o arresto, ni detenido, ni su domicilio registrado, sino en virtud de mandamiento escrito
de autoridad judicial competente, con las formalidades legales y por motivo previamente definido en la ley. La
persona detenida preventivamente será puesta a disposición del juez competente dentro de las treinta y seis (36)
horas siguientes, para que éste adopte la decisión correspondiente en el término que establezca la ley. En ningún
caso podrá haber detención, prisión ni arresto por deudas, ni penas y medidas de seguridad imprescriptibles.
128 Constitución Política de Colombia. Artículo 152: Mediante las leyes estatutarias, el Congreso de la República
regulará las siguientes materias:
a) Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección;
156
establecer que cuando cualquier norma exija que la información conste por escrito, ese
El Dr. Peña afirma que la Ley 527 ha debido tramitarse como una ley estatutaria en la
medida que ésta regula una parte esencial del Artículo 28 de la Constitución Política,
toda vez que regular procedimientos y recursos para su protección, mediante los
requisitos especiales.
norma ha debido ser objeto de ley estatutaria y no de una simple ley ordinaria como
b) Administración de justicia;
c) Organización y régimen de los partidos políticos y movimientos políticos; estatuto de la oposición y
funciones electorales;
d) Instituciones y mecanismos de participación ciudadana, y
157
Los intervinientes en el escrito de la demanda, de forma unánime, defendieron la
hacerse por vía de ley estatutaria. La norma atacada (Artículo Sexto de la ley 527 de
e) Estados de excepción.
129
- Los apoderados del Ministerio de Justicia y de Desarrollo Económico sostienen que el campo de aplicación
de la Ley 527 de 1999 se restringe al comercio electrónico de bienes y servicios, razón por la cual no existe
conexión temática con el derecho fundamental a la libertad, ni mucho menos con el mandamiento escrito
para afectarlo. Además sostienen que la Corte no podría entrar en el examen del cargo sobre supuesta
violación de la reserva de ley estatutaria en relación con el Artículo 28 Constitucional pues sobre este
aspecto ya se habría pronunciado la misma corporación en la Sentencia C-662 de 2000.
- Los representantes del Ministerio de Comercio Exterior y de Transporte sustentan su respuesta
argumentando que el artículo sexto de la Ley 527 no es desarrollo del artículo 28 de la Constitución, por lo
tanto, su fin no es afectar o alterar el derecho a la libertad personal o la inviolabilidad del domicilio. La
referencia que hace la Ley 527 de 1999 de materias específicas señaladas en el artículo 152 de la Carta no
obligaba a que su expedición se hiciera mediante una ley estatutaria.
- El vocero del Ministerio de Comunicaciones sostiene que la norma demandada no afecta ningún aspecto
sustancial del procedimiento colombiano con el reconocimiento jurídico de los mensajes de datos.
- El Procurador General de la Nación afirma que el demandante se equivoca al plantear una relación entre
una norma que regula el valor jurídico y probatorio de los mensajes de datos con una norma constitucional
que regula actuaciones judiciales, como son las contenidas en el artículo 28 superior. En su concepto es
claro que el mandamiento escrito exigido para una captura o allanamiento no puede ser suplido con un
mensaje de datos electrónico.
158
cuando pretende dar a la norma el alcance de regular el Artículo 28 de la Carta, por lo
que la supuesta violación del Artículo 152 no tiene no tiene fundamento al no aplicarse
Finalmente, para el bien del comercio y para el desarrollo de los medios de información
a través de redes telemáticas, la Ley 527 salió adelante a pesar de las criticas recibidas
VIDERI130 -.
130 BLANCO, Luis Antonio. LATIN TERMINOLOGÍA JURÍDICA. Bogotá: ISNB: 950-9431-00-3. 1995. p. 149. “Necia
es la sabiduría que pretende saber más que la Ley”.
159
5. ENTIDADES DE CERTIFICACIÓN: FIRMAS DIGITALES Y CERTIFICADOS
Las Certificaciones131 en nuestro medio, representan el soporte necesario para generar confianza
y fuerza vinculante en los actos y operaciones que no han cumplido con una formalidad que los
valide, garantizando la infalibilidad de los hechos. Esta concepción se ha mantenido a lo largo de
su existencia, a tal punto que se delegó la función fedataria en cabeza de las Notarías Públicas,
encargadas de dar fe pública a través de certificaciones.
En el comercio electrónico, los Certificados siguen teniendo especial trascendencia, sin que esto
signifique que las Entidades emisoras de los certificados estén otorgando fe pública, facultad que
no les ha sido delegada por el Legislador. Así, surgieron las Entidades de Certificación como los
entes encargados de soportar y avalar los hechos y actos celebrados por medios telemáticos. De
esta suerte, la seguridad en las redes informáticas, se encuentra garantizada, a través de estas
Entidades, sin que, por supuesto, sean el único medio de seguridad disponible en el mercado. El
económico y jurídico. Las Entidades de Certificación están reguladas en la Parte III del
1. Concepto
160
La Ley 527 de 1999 en su Artículo Segundo (2°) define las Entidades de Certificación
de la siguiente manera:
Es aquella persona que, autorizada conforme a la presente Ley, está facultada para
emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar
mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones
conceptos:
Industria y Comercio, está facultada para emitir certificados en relación con las firmas
131 Los organismos de certificación de conformidad con lo señalado en el Decreto 2269 de 1993 son “entidades
imparciales, públicas o privadas, nacional, extranjera o internacional, que posee la competencia y la confiabilidad
necesarias para administrar un sistema de certificación, consultando los intereses generales”.
161
digitales de las personas, ofrecer o facilitar los servicios de registro y estampado
superintendencia que la ley señala que las Entidades de Certificación pueden ser las
2. Concepto 0147224:
datos.
certificados y puede prestar otros servicios relacionados con las firmas electrónicas.
La actividad de certificación dentro del marco de la Ley 527 de 1999 tiene como
sustento una firma digital. En consecuencia, para que una persona, natural o jurídica
162
digitales en relación con firmas digitales, sin perjuicio, de que adicionalmente puedan
de datos.
Los doctores Ramiro Cubillos Velandia y Erick Rincón Cardenas132 definen las
Son aquellas personas jurídicas, que una vez autorizadas, están facultadas para emitir
de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones
encargadas entre otras cosas, de facilitar y garantizar las transacciones comerciales por
por un ente público, control que redunda en beneficio de la seguridad jurídica del
comercio electrónico.
132 CUBILLOS. VELANDIA, Ramiro y RINCÓN. CÁRDENAS, Erick. Introducción Jurídica al Comercio Electrónica.
Medellín: Ediciones Jurídicas Gustavo Ibáñez Ltda. 2002. p. 258.
163
El Dr. Hermann Zubieta Uribe133 hace el siguiente comentario frente a la definición de
herramientas a los usuarios para verificar las firmas digitales de las personas, también
se nota que al ser autorizados, están subordinados dentro del modelo de confianza a
una autorización que, como se desprende del artículo 42 de la misma ley, es otorgada
En conclusión podemos decir que las Entidades de Certificación son personas jurídicas,
de Industria y Comercio. Una vez obtenido el permiso, podrán realizar actividades tales
164
como: emitir certificados en relación con las firmas digitales; ofrecer o facilitar los
en el derecho interno, quien en un uso de sus facultades expidió la Ley 527 de 1999.
Una vez expedida la ley y definidas las reglas de juego de las Entidades de
NON POSSUNT134 -; como primera medida, se crearon dos bandos: los que defienden
Una vez agotas las discusiones debatidas en el seno de la Corte Constitucional, resulta
165
El profesor Alemán WILHELM SCHMIDT THOME, al entrar el tema de los tabeliones
romanos, dice que “eran personas privadas que por una especial autorización del estado
embargo, ningún oficio público y sus documentos no tenían fe pública. Pero si estaban
bajo inspección estatal y tenían, sobre todo ante autoridades y tribunales fuerza legal.135
Esta definición de los tabeliones ofrece una clara introducción al tema de las Entidades
de Certificación. Si bien es cierto que hasta la fecha las certificaciones que emiten las
característica si el legislador les atribuye dicha facultad, que hoy en día, recae
notarial
166
La discusión se centró en la fe pública. Existen dos posiciones: a) Entidades de
[...] para la tradición notarial latina, el notario es una persona elegida por el Estado, a
documento presentado ante este, ora por la escritura pública, ora por una acta
notarial136.
Los doctores Cubillos y Rincón hacen un análisis del sistema notarial anglosajón137 y el
sistema notarial latino. Para concluir que las Entidades de Certificación se asemejan
167
Por su parte la Jurisprudencia a través de la Corte Constitucional mediante Sentencia
Son dos los reparos que generan el cuestionamiento de constitucionalidad que plantea
como, en su valor probatorio - dice -, son lo realmente relevante para el derecho, pues
168
De acuerdo con la exposición de la Corte Constitucional, las Entidades de Certificación
certifican técnicamente que un mensaje de datos cumple con los elementos esenciales
como auténtico.
Si bien el legislador goza de una amplia libertad para regular el servicio notarial, no
Artículo 131 Constitucional, con la asignación a estos de la función fedante como una
Señala la Corte que los Artículos 2º, 210 y 365 de la Carta Política, le otorgan al
los particulares, lo cual, permite concluir que las entidades de certificación al prestar el
169
[...] aún cuando las funciones de las entidades certificadoras de que trata la Ley 527 de
1999 se asociaran con la fe pública, no por ello serían inconstitucionales, pues, como
entes privados, la característica de entes fedatarios, sin que ello comporte violación del
constitucionalmente estas personas ejercen una función pública. Además, no es cierto que
la Constitución ordene, como equivocadamente lo indica el actor, que este servicio debe
ser prestado por particulares, por cuanto la ley puede radicar la función fedante en
servidores públicos. Nada en la Carta se opone a esa posible regulación, puesto que la
Constitución en manera alguna ordena que los notarios deban ser particulares y que este
servicio deba ser prestado obligatoriamente mediante una forma de descentralización por
colaboración, puesto que es también posible que la ley regule de manera diversa el
servicio notarial y establezca que los notarios y sus subalternos adquieren la calidad de
170
servidores públicos. La Constitución confiere entonces una amplia libertad al Legislador
para regular de diversas maneras el servicio notarial, puesto que el texto superior se limita
a señalar que compete a la ley la reglamentación del servicio que prestan los notarios y
registradores, así como la definición del régimen laboral para sus empleados (CP art. 131).
Por consiguiente, bien puede la ley atribuir la prestación de esa función a particulares,
puede el Legislador optar por otro régimen y atribuir la prestación de ese servicio a
De acuerdo con las anteriores apreciaciones, puede afirmarse que las Entidades de
atribuido dicha calidad, sin embargo, no por eso, se encuentran impedidas para hacerlo.
De esta suerte, la función fedante, que hoy radica en los Notarios Públicos, no es
excluyente y privativa, toda vez que es jurídicamente viable revestir a las Entidades de
138 Sentencia C-741 de 1998, Magistrado Ponente: Dr. Alejandro Martínez Caballero.
171
4. La actividad de las entidades de certificación - un servicio público -
Las Entidades de Certificación, en virtud del Artículo 29 de la Ley 527 de 1999 pueden
El servicio público, como género139, puede entenderse de la siguiente manera: “[...] toda
regular y continua, de acuerdo con un régimen jurídico especial, bien que se realice por
Los servicios públicos son inherentes a la finalidad social del Estado. Es deber del
Estado asegurar su prestación eficiente a todos los habitantes del territorio nacional.
Los servicios públicos estarán sometidos al régimen jurídico que fije la ley, podrán ser
139 La especie es el servicio público domiciliario regulado por la Ley 142 de 1994.
172
El Artículo 430 Código Sustantivo del Trabajo: define el servicio público así:
Como servicio público toda actividad organizada que tienda a satisfacer necesidades
personas privadas.
Ahora bien, es importante distinguir entre servicio público domiciliario y servicio público
como el servicio destinado a cubrir las necesidades básicas del ser humano
convirtiéndose en una necesidad de vida141. Esta ley se aplica a los servicios públicos
telefonía fija pública básica conmutada y la telefonía local móvil en el sector rural; a las
Artículo 1° -.
173
Ahora bien, los doctores Velandia y Cárdenas, afirman que “la naturaleza de las
[...]”143
entidad de orden estatal. Fue así, que la comisión redactora del proyecto, consideró
de servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios derechos y
deberes constitucionales. Sentencia T – 540. Sep. 24/92. M.P. Eduardo Cifuentes Muñoz.
142 Velandia y Cárdenas. Op. cit. p. 235
143 Corte Constitucional. Sentencia C-831. Expediente D – 3371.
174
ejercer el control y la vigilancia sobre la actividad certificadora de las entidades de
certificación.
servicios públicos que tiene que ver con la certificación, actividades que ejercerán las
de Industria y Comercio144.
La actividad certificadora puede ser prestada por diversos personas jurídicas públicas o
175
El Artículo 29145 de la Ley 527 de 1999 indica quienes pueden ejercer como Entidades
jurídicas privadas o públicas, dependiendo del origen del capital con que sean
constituidas.
Modelo manifestó:
145 Artículo 29. Características y requerimientos de las entidades de certificación. Podrán ser entidades de
certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de
comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con
los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones:
a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de
certificación.
b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de
certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos
en esta ley.
c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena
privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su
profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el
mismo período que la ley penal o administrativa señale para el efecto.
176
[...] Las entidades certificadoras podrán ser entidades públicas o privadas. En algunos
países, por razones de orden público, se prevé que sólo las entidades públicas estén
que los servicios de certificación deben quedar abiertos a la competencia del sector
privado [...].
sociedades extranjeras.
el Artículo 86 del Código de Comercio, lo que les impide competir con las
146 Decreto Reglamentario 1520 de 1978. Artículo 7. Limitaciones de funciones: Las cámaras de comercio sólo
podrán ejercer las funciones señaladas en el Artículo 86 del Código de Comercio y en el artículo 5º de éste decreto.
177
en el sentido que las Cámaras de Comercio estarían impedidas para realizar la
actividad de certificación a que se refiere la Ley 527 de 1999, sin embargo, por
posterior modifica tácitamente la anterior. Por esta razón debe entenderse que la Ley
Otra interpretación al respecto sería la siguiente: La Ley 527 de 1999, otorgó a las
de acuerdo con el Numeral 12 del Artículo 86 del Código de Comercio: “Las demás que
les atribuyan las leyes y el Gobierno Nacional”, se estaría dotando con una nueva
En consecuencia les está prohibido realizar cualquier acto u operación que no esté encaminado al exclusivo
cumplimiento de las mismas, o que constituya competencia comercial con las actividades propias del sector privado.
178
4. Notarios y Cónsules: De acuerdo con la Ley 527 de 1999 los notarios y los
en la Ley 588 de julio 5 de 2000147, que las facultó para ser Entidades de
de 2000 en desarrollo de lo previsto por la Ley 527 de 1999 (Capítulo II), clasificó
Artículo 1:
147 Ley 588 de 2000. Artículo 1. Notariado y competencias adicionales. El Notariado es un servicio público que se
presta por los notarios e implica el ejercicio de la fe pública notarial.
PAR 1º . Las notarías y consulados podrán ser autorizados por la Superintendencia de Industria y Comercio como
entidades de certificación, de conformidad con la Ley 527 de 1999.
PAR 2º. Las notarías y consulados podrán transmitir como mensajes de datos, por los medios electrónicos, ópticos y
similares a los que se refiere el literal a) del artículo 2º de la Ley 527 de 1999, a otros notarios o cónsules, copias,
certificados, constancias de los documentos que tengan en sus archivos, así como de los documentos privados que
los particulares quieran transmitir con destino a otros notarios y cónsules o personas naturales o jurídicas. Dichos
documentos serán auténticos cuando reúnan los requisitos técnicos de seguridad que para la transmisión de
mensajes de datos establece la Ley 527 de 1999.
179
Entidad de Certificación Cerrada: Entidad que ofrece servicios propios de las entidades
Sin perjuicio del contenido normativo del Artículo 1° del Decreto 1747 de 2000, la
servicio es gratuito149.
148 Decreto 1747 de 2000. Artículo 1. Suscriptor: Persona a cuyo nombre ese expide un certificado.
149 Superintendencia de Industria y Comercio. Concepto No. 01062749 del 17 de septiembre de 2001:
Decreto 1747 de 2001. Artículo 1 numeral 8: Entidad que ofrece servicios propios de las entidades de certificación
sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.
180
Para su funcionamiento necesita la autorización de la Superintendencia de Industria y
siguientes requisitos150:
1. Cumplir las condiciones establecidas en el artículo 29 de la Ley 527 de 2001, esto es:
a) Ser persona jurídica públicas o privadas, de origen nacional o extranjero, una Cámaras
b) Contar con la capacidad económica y financiera suficiente para prestar los servicios
181
3. Estar en capacidad de cumplir los estándares mínimos que fije la Superintendencia de
4. Frente a la emisión de certificados, se deberá indicar expresamente que sólo podrán ser
suscriptor de manera clara y expresa, previa expedición de los certificados, que éstos no
cumplen los requisitos del artículo 15153 del Decreto 1747 de 2000.
información:
1. El certificado fue emitido por una entidad de certificación abierta autorizada para ello por la Superintendencia de
Industria y Comercio.
2. Dicha firma se puede verificar con la clave pública que se encuentra en el certificado con relación a firmas
digitales, emitido por la entidad de certificación.
3. La firma fue emitida dentro del tiempo de validez del certificado, sin que éste haya sido revocado.
4. El mensaje de datos firmado se encuentra dentro de los usos aceptados en la DPC, de acuerdo al tipo de
certificado.
182
a) Certificado de Existencia y Representación Legal de una entidad pública, de notario o
cónsul.
El artículo quinto del Decreto 1747 de 2000, establece que quienes pretendan realizar
183
particularizarlas y acreditar ante la Superintendencia de Industria y Comercio lo
siguiente:
requisitos contemplados en el Libro Segundo, Título VIII del Código de Comercio para
de Procedimiento Civil154.
154 Código de Comercio. Artículo 469: Son extranjeras las sociedades constituidas conforme a la ley de otro país y
con domicilio principal en el exterior.
El artículo 471 del Código de Comercio se establece los requisitos que debe cumplir una sociedad extranjera para
desarrollar su actividad en el país:
a) Protocolizar en una notaría del lugar elegido para su domicilio en el país, copias auténticas del
documento de su fundación, de sus estatutos, la resolución o acto que acordó su establecimiento
en Colombia y de los que acrediten la existencia de la sociedad y la personería de sus
representantes, y
b) Obtener de la Superintendencia de Sociedades o de la Bancaria, según sea el caso, permiso para
funcionar en el país.
184
2. Que los administradores y representantes legales no están incursos en las causales de
términos:
Es importante aclarar que las sociedades extranjeras se encuentran sujetas a la vigilancia del Estado Colombiano en
cabeza de la Superintendencia de Sociedades o de la Superintendencia Bancaria, según su objeto social, de acuerdo
con lo establecido en el artículo 470 del Código de Comercio. Sin embargo por disposición del Decreto 2155 de 1992,
el permiso de funcionamiento en cabeza de la Superintendencia de Sociedades fue abolido, quien sólo ejercerá la
vigilancia de las mismas.
Artículo 48 del C.P.C. Representación de personas jurídicas extranjeras. Las personas jurídicas de derecho privado
con domicilio en el exterior, que establezcan negocios permanentes en Colombia, deberán constituir en el lugar
donde tengan tales negocios, apoderados con capacidad de representarlos judicialmente. Con tal fin se protocolizará
en la notaría del respectivo circuito, prueba idónea de al existencia y representación de dichas personas jurídicas y
del correspondiente poder. Un extracto de los documentos protocolizados se inscribirá en el registro de comercio del
lugar, si se tratare de un sociedad, y en los demás casos en el Ministerio de Justicia.
Las personas jurídicas extranjeras que no tengan negocios permanentes en Colombia, estarán representados en los
procesos por el apoderado que constituyan con las formalidades prescritas en este código.
155 Véase nota pie de página número 131.
156 Artículo 1 numeral 10. Decreto 1747 de 2000. Declaración de Prácticas de Certificación (DPC): Manifestación de
la entidad de certificación sobre las políticas y procedimientos que aplica para la prestación de sus servicios.
185
La Superintendencia de Industria y Comercio definirá el contenido de la Declaración de
3. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben observar
los terceros.
5. Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.
comprometida.
d. Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad
186
9. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación.
10. Modelos y minutas de los contratos que utilizarán con los usuarios.
11. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.
autorización.
El Artículo Séptimo (7º) del Decreto 1747 de 2000 establece que el patrimonio mínimo
2. La Reserva legal;
3. El superávit por prima en colocación de acciones y se deducirán las pérdidas acumuladas y las
fiscal si lo hubiere.
187
- Tratándose de entidades públicas, por medio del proyecto de gastos y de inversión
- Para las sucursales de entidades extranjeras, por medio del capital asignado.
157
188
- Contrato de fiducia con patrimonio autónomo que cumpla con ciertas características158;
a) Ser expedidos por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible
lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la
Superintendencia Bancaria.
b) Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe
exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores,
representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales
solicita autorización o cuenta con autorización.
c) Cubrir los anteriores riesgos por una cuantía asegurada por evento igual o superior al mayor entre:
i. 7.500 salarios mínimos mensuales legales por evento; o
ii. El límite de responsabilidad definido en las prácticas de certificación
d) Incluir cláusula de restitución automática del valor asegurado;
e) Incluir una cláusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de
Industria y Comercio la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la
cobertura.
158
a) Tener como objeto exclusivo el cubrimiento de las pérdidas sufridas por los suscriptores y terceros
de buena fe exentos de culpa, que se deriven de los errores y omisiones o de actos de mala fe de los
administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades
para las cuales solicita o cuenta con autorización.
b) Contar con recursos suficientes para cubrir pérdidas por una cuantía por evento igual o superior al
mayor entre:
i. 7.500 salarios mínimos mensuales legales por evento; o
ii. El límite de responsabilidad definido en las prácticas de certificación.
c) Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una
reclamación, por lo menos hasta el monto mínimo exigido en el punto anterior.
189
6. Infraestructura y recursos por lo menos en la forma exigida en el Artículo 9° del Decreto 1747 de
2000159.
e) Que las inversiones estén representadas en títulos de renta fija, alta seguridad y liquidez emitidos o
garantizados por la Nación, el Banco de la República o calificados como de mínimo riesgo por las
sociedades calificadoras de riesgo.
159 De acuerdo con el artículo noveno del Decreto 1747 de 2000, las Entidades de Certificación deberán contar con
un equipo de personas, una infraestructura física, tecnológica, procedimientos y sistemas de seguridad, que
permitan a las Entidades:
1. Generar las firmas digitales propias y todos los servicios para los que soliciten autorización.
2. Garantizar el cumplimiento de lo previsto en la declaración de prácticas de certificación (DPC).
3. Calificar el sistema como confiable de acuerdo con lo señalado en el artículo 2 del Decreto 1747 de 2000.
4. Expedir certificados que cumplan los siguientes requisitos:
a. Lo previsto en el artículo 35 de la ley 527 de 1999; y
b. Alguno de los estándares de certificados que admita de manera general la Superintendencia de
Industria y Comercio.
5. Garantizar la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de
toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la
entidad.
6. Garantizar que el manejo de la clave privada de la entidad esté sometido a un procedimiento propio de
seguridad que evite el acceso físico o de otra índole, a personal no autorizado.
7. Contar con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de
las operaciones.
8. Que los sistemas que cumplan las funciones de certificación sólo sean utilizados con ese propósito y por lo
tanto no puedan realizar ninguna otra función.
9. Que todos los sistemas que participen directa o indirectamente en la función de certificación estén
protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que
deben ser actualizados de acuerdo a los avances tecnológicos para garantizar la correcta prestación del
servicio.
Ahora bien, de acuerdo con el artículo 10 del Decreto 1747 de 2000, cuando la entidad de certificación requiera o
utilice infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que la
190
7. Informe inicial de auditoria satisfactorio a juicio de la misma Superintendencia.
8. Un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los
suscriptores, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los
conveniente.
de Certificación.
terminación de los mismos está condicionada a que la entidad haya implementado o contratado una infraestructura o
servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores.
191
6. Responsabilidad de las entidades de certificación:
actividad debe ser resarcido de acuerdo con las normas sobre responsabilidad civil
contractual y extracontractual160.
responsabilidad altísimas, a tal punto, que las fallas humanas o técnicas en el servicio
160 Al respecto el Dr. Javier Tamayo Jaramillo expresó: “La responsabilidad contractual y extracontractual suponen
que exista un comportamiento activo u omisivo del demandado; que el demandante haya sufrido perjuicio; y que
finalmente, haya un nexo de causalidad entre el comportamiento y el daño”. TAMAYO JARAMILLO, Op. Cit. p. 41.
192
Las cláusulas exonerativas de responsabilidad161 no tienen cabida cuando se contrata
perjuicios que se causen por una operación de comercio electrónico que esté
respaldada por una entidad certificadora están garantizados. La Entidad debe escoger
una de las garantías que menciona el Artículo 8° Decreto 1747 de 2000. Precisamente,
las garantías que menciona el Artículo 8° del Decreto 1747, deben suplir las
Entidad Certificadora de responsabilidad por los perjuicios que se deriven del desarrollo
de sus funciones, toda vez que el riesgo - profesional, debe soportarlo el prestador del
servicio.
civil y por las normas propias del negocio celebrado, sin perjuicio de la aplicación de las
161 [...] la responsabilidad civil engloba todos estos comportamientos ilícitos que por generar daño a terceros hacen
surgir en cabeza de quien lo causó, la obligación de indemnizar. Ibid., p. 12.
193
Sin perjuicio de lo anteriormente mencionado es importante aclarar que proceden para
del certificado;
194
7. Funciones y deberes de las Entidades de Certificación:
Las funciones de las Entidades de Certificación han sido definidas por el legislador y
manifestó:
que versa, no sobre el contenido mismo del mensaje de datos, sino sobre las
de la Ley 527 de 1999, los cuales pueden sintetizarse en una frase de la siguiente
manera:
195
La función y deber principal de las entidades de certificación es la expedición de
archivos digitales del sistema, permitiendo que el usuario o suscriptor tenga acceso
Por su parte el Artículo 13 del Decreto 1741 de 2000 complementa el Artículo 32 en los
siguientes aspectos:
muy importante que en diferentes países como España, Estados Unidos o Inglaterra, la
162 Las Autoridades de Registro, son Entidades públicas o privadas, encargadas de identificar y registrar a los
solicitantes de un certificado digital. Su función básica es informar a las Entidades de Certificación, sobre la calidad
personal y profesional de las personas naturales o jurídicas que soliciten el servicio de las Entidades de Certificación,
quienes pretendan obtener un certificado digital. Las Autoridades de Registro, deben funcionar como organismos
adscritos a las entidades de certificación, actualmente serían como las Superintendencia para los ministerios o los
intermediarios de seguros para las compañías Aseguradoras. Con autonomía patrimonial y administrativa, pero con
196
propio de las Entidades de Certificación, lo cual consiste en la verificación de la
debiendo explicarles de la forma más clara posible el tipo de certificado que se está se
la gran diferencia que sus actos comprometen su propia responsabilidad y la responsabilidad de las entidades de
certificación.
El funcionamiento del sistema sería de la siguiente manera:
1. El usuario solicita la expedición de un certificado a la Autoridad de Registro, acreditando toda la información
que le sea solicitada;
2. La Autoridad de Registro analiza la idoneidad del solicitante, lo ingresa a su base de datos y hace la
solicitud a la Entidad de Certificación;
197
conservar los libros y papeles del comerciante en cualquier medio técnico que garantice
pensarse que los mensajes de datos a que se refiere la Ley 527 de 1999, no deben
es, ser conservados 10 años físicamente -, sin embargo, deberán ser conservados en
Las entidades de certificación, deben conservar el uso exclusivo de las claves privadas,
Industria y Comercio cualquier evento que comprometa la eficaz prestación del servicio,
así como, informar y cumplir las instrucciones y requerimientos que imponga ésta
Superintendencia.
3. La Entidad de Certificación emite el Certificado, el cual se ajustará a los parámetros establecidos en la DPC
y de acuerdo con las necesidades del usuario.
163 Artículo 60 Código de Comercio. Conservación de Libros y Papeles de Comercio. Los libros y papeles a que se
refiere este capítulo (Capítulo I Título IV) deberán ser conservados cuando menos por diez años, contados desde el
cierre de aquellos o a la fecha del último asiento, documento o comprobante. Transcurrido este lapso, podrán ser
destruidos por el comerciante, siempre que por cualquier medio técnico adecuado garantice su reproducción exacta.
Además, ante la Cámara de Comercio donde fueron registrados los libros se verificará la exactitud de la reproducción
198
Las Entidades de Certificación le brindan al mensaje de datos las siguientes
privacidad.
de la copia, y el secretario de la misma firmará acta en el que anotará los libros y papeles que se destruyeron y el
procedimiento utilizado para su reproducción [...].
164 Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morón Díaz.
165 Ibid., 3. Cargos Globales.
199
Un sistema confiable, es el que se desarrolla dentro de la órbita que brinda una Entidad
firmas digitales que se cifran con criptografía. La Corte Constitucional así lo entiende y
expresó claramente166:
Por otra parte, en el proyecto de ley se hace hincapié como condición de singular
reglas que deberán tenerse en cuenta al apreciar esa integridad, en otras palabras que
protección
Las Entidades de Certificación, actuando como entes públicos o privados, con poderes
166 Sentencia C-831 de 2011. Expediente D- 3371. Magistrado Ponente: Dr. Álvaro Tafur Galvis.
200
jurídica que requieren para tener validez en el mundo comercial. Las Entidades de
8. Certificados Digitales
proporcionar un tercero neutral frente a las partes (emisor y receptor del mensaje).
167 Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morón Díaz.
168 La palabra certificado de acuerdo con el Diccionario de la Lengua Española es la carta o paquete que se certifica.
En términos jurídicos la certificación implica que dicho documento está avalado por el emisor.
201
CERTIFICADO DIGITAL
Tipo de Certificado
Número del Certificado
Algoritmo de la Firma Digital
Período de Validez
Nombre del titular
Titular:
Clave Pública:
Autoridad de Certificación
Identificador del Titular
Firma Digital de la Autoridad de Certificación
2. Permite que el receptor del mensaje de datos pueda acceder a la clave pública
202
Los elementos básicos de un Certificado de acuerdo con el Dr. Andrés Font170, son los
siguientes:
El Dr. Zubieta171, resalta la importancia de que no todos los mensajes de datos firmados
digitalmente son certificados digitales, para tener la calidad de certificado digital debe
cumplirse con los requisitos mínimos de contenido y seguridad, así como garantizar la
170 Ibid. p. 74
203
8.1 Certicamara
La actividad de expedir certificados en nuestro país, es hoy en día bastante limitada, sin
embargo, a pesar del desconocimiento del tema, se han adelantado diversos proyectos,
trámites y que generen una mejor calidad de vida. Como se ha venido mencionando,
funcionamiento y sus servicios, para entender así, en la práctica, cómo hacer uso de
este servicio:
172 Sociedad Cámara de Certificación Digital Certicámara S.A., es una sociedad anónima constituida por las
Cámaras de Comercio del país, con el objetivo de prestar los servicios de certificación digital que se regulan por la
Ley 527 de 1999 y sus Decretos Reglamentarios. Certicámara es una entidad de certificación abierta, y de carácter
204
Certicámara ofrece tres tipos de certificados173:
• Certificados de Representación;
• De pertenencia;
clave privada. De forma tal que, cuando el representante legal quiera otorgar
de su domicilio, bien sea dentro del mismo país o fuera de él, podrá firmar
empresarial, que tiene como propósito fundamental crear comercio electrónico seguro. Es un tercero neutral que
brinda confianza en la transacción.
205
pública a través de Certicámara, para que pueda desencriptar el mensaje y
certificados donde se relaciona una clave pública con una persona natural,
digitales en los que se relaciona una clave pública con una dirección URL,
certificados.
206
Es destacable que una Entidad de Certificación al hacer parte de una Cámara de
Ahora bien, para acceder a estos servicios de certificación digital, es necesario estar
necesarias para la emisión del certificado. Una vez establecida la idoneidad del usuario,
el proceso termina con la expedición del certificado, la cual debe estar enmarcada
174 Con este “requisito”, Certicámara se cura en salud y suple el paso investigativo de las Autoridades de Registro, ya
que por el sólo hecho de estar inscrito, se avala por la misma Cámara la idoneidad del aspirante a obtener el
certificado como comerciante, lo que lo hace un candidato sin tacha para la expedición de certificados digitales.
207
Es muy importante el reconocimiento físico de la persona que solicita la expedición del
certificado digital, para lo cual debe acudir a la cámara de comercio donde se encuentra
de firma. Sólo el propietario del certificado digital puede hacer uso de él al introducir su
número de identificación personal, similar a la clave de una tarjeta débito. Todos los
clientes reciben un kit de instalación, el cual contiene un lector y una tarjeta inteligente
para que pueda firmarse digitalmente el documento que se quiera proteger. Los
Certificados que expide Certicámara tienen una vigencia de un año, al cabo del cual
pierden su vigencia.
inteligente “Smart Card”, en la cual se almacena la identidad del usurario al igual que
su capacidad de firma. La tarjeta a su vez, contiene una clave o PIN que sólo conoce su
propietario.
208
8.2 Validez de las certificaciones que expidan compañías extranjeras176
del 23 de agosto de 2000 manifestó que sólo las Entidades Autorizadas por la
Entidades extranjeras.
extranjero sea válido en nuestro país, debe estar avalado por el Cónsul de Colombia en
209
cuya gestión y emisión de certificados es válido por el hecho de estar admitida y
manera:
dispuestas a asumir ciertos riesgos con respecto a los certificados emitidos por otras
que los respectivos usuarios puedan comunicarse entre ellos de manera más eficaz
177 CPC
210
En la actualidad, las Entidades Financieras y Aseguradoras, poseen certificados
emitidos por Compañías extranjeras, en particular el certificado que emite Verising, sin
entidad de certificación digital del exterior. Esto por cuanto la ley requiere que las
los exigidos a las locales. La normatividad colombiana es mucho más estricta que la de
otros países, como por ejemplo, E.U., donde el proceso de identificación y emisión de
los certificados digitales es libre y por tanto no obedece a los estándares de seguridad
dichas compañías para que adopten certificados válidos y con respaldo jurídico en la
ley colombiana.
211
9. Firmas digitales
El concepto de firma179 ha sido entendido como un signo que representa a una persona
jurídica.
Nombre y apellido, o título de una persona, que esta pone con rúbrica al pie de un
documento escrito de mano propia o ajena, para darle autenticidad, y para expresar
La firma digital no se aleja del concepto básico de firma, pero si es una especie
179 Sólo nos referiremos a la firma digital dentro del contexto de las entidades de certificación. Sobre las diferentes
nociones de firma dentro del contexto de los mensajes de datos véase el libro “Introducción jurídica al comercio
electrónico” de los doctores Velandia y Cárdenas. Op. cit., p. 215 a 218.
212
El Estado de UTA, en el año de 1996, primer estado en legislar en los Estados Unidos
persona que posea el mensaje inicial y la clave pública del firmante pueda
1. Si la transformación se creó usando la clave privada que corresponde a la clave pública del
firmante, y;
180 El doctor MAURICIO CARVAJAL CÓRDOBA, en su artículo “Marco jurídico de la firma digital: ¿Hacia donde
vamos? Publicado en Ámbito Jurídico (Legis S.A) publicación agosto 21 a septiembre 3 de 2001, hace un recuento
de la normativa sobre firma digital en el mundo, así:
213
Un valor numérico que se adhiere a un mensaje de datos y que, utilizando un
con la clave criptográfica privada del iniciador y que el mensaje inicial no ha sido
forma similar a como una firma escrita vincula el documento firmado con el autor de la
firma.
proteger su obra de las copias digitales; Directivas sobre comercio electrónico: establece el principio de que
los medios electrónicos pueden ser utilizados para celebrar contratos; Directiva sobre Dinero Electrónico:
establece regulaciones supremamente estrictas para los emisores de dinero electrónico con el único
propósito de enmarcar dentro de la más alta credibilidad a estas formas de pago; Directiva sobre firma
digital: esta directiva se produce en medio de fuertes enfrentamientos conceptuales entre quienes
defendían la postura bajo la cual se debería establecer el sistema de software y hardware para la
elaboración de la firma digital, y quienes sostenían que debía ser el mercado el que estableciera estos
mecanismos según las necesidades del mismo.
• Estados Unidos: durante los últimos años todos los estados excepto Montana han adoptado medidas en
relación con la firma electrónica. Se han desarrollado tres tipos de nociones en torno a esta: la firma
electrónica básica, la firma electrónica limitada y la firma digital.
181 FONT, Andrés. Op. cit. p.
214
A través de la firma digital se pretende garantizar que un determinado mensaje de datos
digital. Para tal efecto la firma digital debe cumplir con ciertos requisitos que expone el
Artículo 28:
Artículo 28. Atributos de una firma digital. Cuando una firma digital haya sido fijada en
acreditar ese mensaje de datos y de ser vinculado con el contendido del mismo.
PARAGRAFO: El uso de una firma digital tendrá la misma fuerza y efectos que el uso
215
Nacional.
momento de la firma; y
d) cuando uno de los objetivos del requisito legal de firma consista en dar seguridades
asociados al mismo, que puedan ser utilizados para identificar al firmante en relación
mensaje de datos;
firma electrónica182, firma digital y firma certificada. La firma electrónica es aquella cuya
216
creación implica el uso de medios informáticos, independientemente de cual sea éste,
es decir, que cualquier firma que implique el uso de la informática puede considerarse
como firma electrónica; así la firma digital y la firma certificada son firmas electrónicas,
aquellas son especie y esta es el género. Por su parte, la firma digital es aquella que se
vale del proceso de clave pública y, la firma certificada es aquella que además de
forma original184.
escitalo era un bastón. El emisor enrollaba una tira de cuero alrededor del bastón y
217
escribía longitudinalmente sobre el bastón. Después desenrollaba la tira y la enviaba
diámetro del bastón - que había jugado el papel de clave -, era imposible descifrar el
criptográficos debía responder a ese criterio. Sin embargo, estos sistemas carecían de
Vernam introducido algunas decenas de años antes - todavía llamado one time pad -
218
impracticable. Razón por la cual hoy en día la verificación de la seguridad de un
cifrado de clave secreta sea seguro, ningún ataque conocido debe vulnerar el sistema.
185 “La solución completamente revolucionaria que propusieron fue introducir la noción de función de una sola vía con
trampa, o trapdoor one-way function (también conocida como función de un sentido irreversible). Es una función que
se calcula fácilmente en un sentido, pero que es computacionalmente imposible de invertir si no se conoce un
secreto llamado trampa, aunque la función sea conocida por todos. Entonces la clave pública es la función, mientras
que la trampa, conocida por un número restringido de usuarios se denomina clave privada. Para descifrar el mensaje
el receptor invierte la función utilizando la trampa”. El ejemplo más perfecto de criptosistema de clave pública y, sin
lugar a dudas, el más simple aparece justo dos años después, en 1978. Se debe a Rivest, Shamir y Adleman de
donde toma el nombre RSA. Se basa en la dificultad de factorizar dos números enteros. La clave privada está
formada por la tripleta (p,q,d) donde p y q son dos números primos de aproximadamente el mismo tamaño, d es un
número entero primo con p-1 y con q-1. La clave pública se compone del par (n,e). Donde n=pq y e es el inverso de d
módulo (p-1)(q-1), i.e.
ed = 1 mod(p-1)(q-1).
Supongamos que Alvaro desea enviar un mensaje cifrado con la clave pública de Julian (n,e). Primero transforma el
mensaje en un número m inferior a n. Después calcula:
c = me mod n, y envía el resultado c a Bob. Éste, cuya clave pública es (p,q,d), calcula:
En el caso de RSA, la función de una sola vía con trampa que se considera es la función que asocia a un número
x<n el valor xe mod n. (Información obtenida de la página web www.
219
con clave secreta (o clave privada), los únicos conocidos hasta entonces, ya no
Mediante el uso de un equipo físico especial, los operadores crean un par de códigos
matemáticos, a saber: una clave secreta o privada, conocida únicamente por su autor, y
una clave pública, conocida como del público. La firma digital es el resultado de la
de datos indescifrable.
Los componentes básicos de un sistema criptográfico son los algoritmos y las claves.
220
Los algoritmos son ecuaciones matemáticas que contienen una variable, y que pueden
ser adaptados a cada uso, insertando una secuencia de bits186 según el uso que se
La firma digital debe cumplir idénticas funciones que una firma manuscrita, consignada
última:
Las firmas digitales no sólo vinculan a una persona con un contenido sino que
186 Los bits pueden definirse como la unidad mínima de información. Toda la información que manipula y guarda un
ordenador está codificada en bits.
221
firmado manualmente, se suele firmar cada una de sus hojas, sin embargo, esto
firma digital en su forma operativa garantiza que sólo la persona que conoce la
clave privada o que tiene acceso a ella puede firmar digitalmente un documento,
riesgos, en cuanto tiene que ver con la fuerza o violencia que se puede ejercer
sobre su titular para obtener su firma, pero con la gran ventaja que la firma digital
se repite la misma firma, lo que representa una gran ventaja frente a la firma
documentos, como por ejemplo, la firma del representante legal en las pólizas de
seguro.
• Asociar a esa persona con el contenido del documento. La firma digital, como se
222
firmado digitalmente fuese alterado, dicho cambio se detectaría en forma
inmediata por parte del receptor del mensaje, lo que haría inhábil dicho
La firma digital se crea a través del mecanismo de función hash. Éste es una función
conocido como message digest. Una vez el texto es reducido se encripta con la clave
pública en los sistemas asimétricos o con la clave privada en los sistemas simétricos. El
Owr67iuydfgibruyw++frfvds+++dfdsl0987fanasliubiuedsbieuwhbewiufhcbiuexnbgre
iruchiunaefxuygewauygdsbiewj7u6ytbcq987eyfq087eyf0q98efucq098eufq98ey982
3r74cbjhdsgbfsduygfcow8uer7nyftco837r983yrc34+`3q’r9fcu09pqinápoiepofunq+`f
p++qrfucreoifq``..-dfhuer5/(.
223
Cuando el receptor recibe el mensaje encriptado utiliza su clave privada o pública para
desencriptarlo, la clave contiene la misma función hash con que se encriptó el mensaje,
y lo convierte en el message digest inicial, el cual debe ser idéntico al generado por el
suscriptor, caso en el cual hay plena garantía de que el mensaje no ha sido alterado ni
modificado.
• Son únicas;
clave pública una de las claves es de acceso público y puede ser conocida por
cualquier persona;
• Cada transacción que se realice debe utilizar una clave nueva, creada para un
• Son susceptibles de ser verificadas por la entidad de certificación que las creó;
224
• Para que tengan garantía legal deben ser creadas por entidades autorizadas
para generar confianza en el comercio electrónico, con el fin que las transacciones por
El Dr. Font187 explica claramente los dos tipos de sistemas criptográficos: simétricos y
asimétricos
a) Sistema simétrico: Existe una sola clave que es utilizada por el remitente y el
receptor. Esta clave es utilizada tanto para encriptar como para desencriptar o descifrar
225
Este sistema presenta un problema de seguridad. Cuando se ha encriptado el mensaje,
la clave debe ser remitida al destinatario del mensaje para que pueda descifrarlo. La
en que los sistemas de transporte utilizados para enviar la clave, son vulnerables ya
para empresas que ejecutan esporádicamente negocios jurídicos por Internet, pero que
su negocio no está basado en estos. Así por ejemplo, las Entidades Financieras, que
pública asimétrica, toda vez que el envío de claves no se encuentra protegido. Así,
cualquiera de los servicios que ésta ofrece, debe digitar desde su computador las
claves secretas tanto de acceso a la página web de la Entidad como, la clave secreta
de su cuenta de ahorros o corriente; las claves viajan a través de la red por fibra óptica
o por redes telefónicas o, cualquiera otra utilizada para acceder a la red Internet, lo cual
no tiene protección alguna y puede ser interceptado por los piratas informáticos. Para
comunicación telefónica y saber lo que dicen los interlocutores, para nuestro caso sería
226
interceptar la comunicación y obtener las claves secretas, lo que representa un atractivo
para los delincuentes informáticos que están al asecho para obtener las claves privadas
del usuario.
EMISOR
MENSAJE
MENSAJE ENCRIPTACIÓN
ENCRIPTADO
CLAVE PRIVADA
RECEPTOR
MENSAJE DESENCRIPTACIÓ
MENSAJE
ENCRIPTADO N
CLAVE PRIVADA
227
Gráfica No. 10. Sistema de Encriptación Simétrica. Fuente: Andrés Font. Op. cit., p. 54.
importancia para terceros y que no implica el manejo de recursos, donde las partes
b) Sistema asimétrico188: este sistema utiliza dos claves; una pública la cual es de libre
acceso y puede ser conocida por cualquier persona; y una privada, que es de uso
de seguridad alguna, ya que la clave puede ser conocida por cualquier persona sin que
188 "[...]Claude Shannon en el año de 1948 con su obra “A mathematical Theory of Communication” quien ofrece el
soporte científico a las bases para una teoría de la información y posteriormente, por su parte el paso decisivo lo
dieron Whitfield Diffie y Martín Hellman en el año de 1976 con su libro titulado “New direction in Criptography”,
quienes establecieron un sistema denominado de Clave Pública [...]”. Citado por Velandia y Rincón. Op. cit., p. 210.
228
sistema es altamente seguro y confiere a las transacciones electrónicas la seguridad
que requieren.
EMISOR
MENSAJE
MENSAJE ENCRIPTACIÓN
ENCRIPTADO
RECEPTOR
MENSAJE DESENCRIPTACIÓ
MENSAJE
ENCRIPTADO N
CLAVE PRIVADA
DEL RECEPTOR
229
Gráfica No. 11. Sistema de Encriptación Asimétrica. Fuente: Andrés Font. Op. cit., p. 55.
la red INTERNET;
2. Las dos claves; tanto la pública como la privada se encuentran en poder del
3. El emisor del mensaje utiliza la clave pública que le “entrega” el receptor, para
Sin embargo, pese a la indudable seguridad que implica el sistema asimétrico, surge un
inconveniente con respecto a la autenticidad del iniciador del mensaje de datos, toda
230
vez que si bien se garantiza que el mensaje de datos viaja seguro y, que no es alterado
ni modificado, no se tiene la certeza de que quien envió el mensaje sea quien dice ser,
razón por la cual, cabría la opción del repudio en dicha comunicación. Las soluciones
que se presentan son dos: la primera, estaría relacionada con el tercero de confianza,
es decir, que si el mensaje de datos es avalado no sólo por la firma digital sino por una
La segunda sería utilizar cuatro claves, dos privadas y dos públicas. Tanto el iniciador
del mensaje como el receptor tienen dos claves: pública y privada. El iniciador, con su
clave privada encripta el mensaje de datos y con la clave pública del receptor lo vuelve
a encriptar, una vez recibido, el receptor con la clave pública del iniciador lo desencripta
El sistema de clave pública o PKI (key public infraestructure) busca generar confianza
que utilizan el sistema de encriptación son hoy en día seguras gracias a este sistema.
231
La criptografía de clave secreta, al igual que la criptografía de clave pública permite
computacional de los chips y su actual - bajo costo -. Sobre el particular el Dr. Font189
afirmó:
Esta capacidad de computación es la que sirve para generar las claves criptográficas.
Pero también es la que se utiliza, ilegalmente, para descifrarlas, utilizando para ello lo
que se conoce como ataques de “fuerza bruta” (“bruce force” attacks), que
Así, entre mayor número de bits en una clave, más compleja es descifrarla y viceversa.
Los sistemas de encriptación fuerte son aquellos que utilizan 128 bits o más. El Artículo
18 de la Resolución 26930 de Octubre 26 de 2000, por medio del cual se definieron los
232
algoritmo de RSA o su equivalente. Longitudes inferiores serán admitidas, pero no
233
La infraestructura de clave pública, para que tenga pleno respaldo jurídico, debe ser
cifrado con base en la criptografía y las claves secretas, puede ser ejecutado por todo
aquel que tenga la infraestructura computacional para hacerlo, sin embargo, bajo la
través de clave pública por un tercero diferente a una Entidad de Certificación, tiene
tampoco habrá un tercero de confianza que asuma la responsabilidad por los perjuicios
certificados digitales, los cuales contienen una información general acerca del mensaje
234
• Sistema automático de renovación de certificados cuando se cumpla su vigencia
suscriptor.
• Sistema de validación.
• Time stamping: que sirve para autenticar la fecha y hora en que se realiza una
el siguiente gráfico:
Emisor Directorio
Publicación de certificados
235
Solicitud de Envío del
Suscriptor Usuario
Mensaje Encriptado
Gráfica 12. Modelo Abierto. Fuente. Andrés Font. Op. cit., p. 88.
siguiente gráfico:
Emisor
Envío
236
Certificados certificado
Solicitud
certificado
Suscriptor Usuario
Mensaje encriptado
Gráfica 13. Modelo Cerrado. Fuente. Andrés Font. Op. cit., p. 89.
Si se pregunta cuál de las dos estructuras es la ideal, sin lugar a duda debe
eficiencia calidad. Sin embargo, esto no significa que una Entidad de Certificación
237
organizacional de la Entidad. Por ejemplo, la actividad de certificación desarrollada por
Ahora bien, la estructura que utiliza el sistema triangular es más sencilla que la
Certificación que cumpla las funciones de directorio, Certicámara al ser una Cámara de
digitales.
siendo explícita la necesidad de crear, si las necesidades del mercado así lo exigen,
una Autoridad de Registro. Mientras no sea una necesidad, estará a cargo de las
238
Ahora bien, aunque en la teoría las estructuras cuadrangular o triangular de que pueden
valerse las Entidades de Certificación para desarrollar su objeto social son importantes
tanto a nivel comercial como a nivel de garantías, la verdad es que sólo en la medida en
239
6. LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIÓN
Las tarjetas de pago tienen diversas funciones como lo expresa la Dra. Gómez
Mendoza192:
como medio para obtener dinero, bien en oficinas bancarias, bien en cajeros. Como
medio de pago, las tarjetas permiten el pago, de bienes y servicios sin necesidad de
192 GÓMEZ MENDOZA, María. Consideraciones Generales en torno a la Tarjeta de Crédito. Estudios en Homenaje a
Joaquín Garriges. Madrid: 1971. Tomo II. P. 393. Citado por CARBONEL. Op. cit., p. 169.
240
Para que el comercio electrónico tenga un desarrollo sostenible, deben existir medios
y la privacidad de la misma193.
Como se mencionó, los medios de pago, tienen hoy en día un gran obstáculo: la
fondos se refiere.
193 Al respecto puede consultarse Colegio de Abogados de Medellín. Derecho del Comercio Electrónico. Medellín:
Ed. Biblioteca Jurídica Dike. 2002. p 163 a 178.
241
Ahora bien, en la actualidad cuando la Entidad emisora del medio de pago verifica que
los datos suministrados - números y claves -, son los asignados, autoriza la transacción
Reglamento de Uso del medio de pago, las claves secretas son privadas y de uso
exclusivo del titular, así, cualquier fraude que se ocasione será asumido por el titular del
por el mal manejo de las claves asignadas al cliente. En nuestro país, las
tener la plena certeza de que las transacciones que realizan son completamente
seguras y respaldadas. Por ejemplo, CREDIBANCO VISA celebra con sus usuarios
vendedores un Convenio Especial Para Las Ventas no Presenciales, por medio del
productos en cualquier parte del mundo. Sin embargo, dicho convenio establece
cabo una transacción on line. Ahora bien, sin perjuicio de estos convenios de adhesión,
242
que celebran las entidades dueñas de los medios de pago con sus usuarios, donde la
más trascendencia en la transacción - en todos los casos, proviene del Banco emisor,
mecanismo utilizado para llevar a cabo la transacción esté asegurado o, se valga del
telemáticos. Así, quien desarrolle medios de pago seguros, de fácil acceso y a costes
243
1. Breve Reseña de las Tarjetas de Crédito
Sobre las tarjetas de crédito se ha hecho popular como lo expresa el Dr. Manuel E.
Cifuentes Muñoz194, la historia según la cual FranK Mcnamara en una noche de 1949,
avergonzado por no tener como pagar la cuenta del restaurante, se le ocurrió la idea de
crear una tarjeta parecida a la de los grandes almacenes, para pagar las cuentas de los
restaurantes. De ahí surgió Diners Club. De acuerdo con Cifuentes “[...] la historia de la
tarjeta de crédito propiamente dicha se inicia en realidad a finales del siglo XIX en el
continua con las llamadas “cartas de prestigio” que emitieron las compañías petroleras
Esso y Texaco hacia 1920, ergo surgen en 1936 las tarjetas de pago para servicios
244
mercado la Bank Americard con más de 3.000 bancos adheridos, que se convertiría en
José Carlos Carbonel Pintanel195 afirma que las tarjetas de pago - débito y crédito -,
A finales del siglo XIX algunos hoteles crearon, en Estados unidos, las “Tarjetas de
segunda década de este siglo XX, parecieron en Estados Unidos unas tarjetas de
principio, tuvieron gran difusión no resultaron rentables para las compañías petrolíferas
245
La depresión de los años treinta, ocasionó una parálisis en las tarjetas de pago,
los sistemas económicos del mundo, incluyendo las tarjetas de pago, tuvieron un
repliegue hasta 1948, donde Diners Club logró posicionarse en el mercado con tanta
popularidad que se produjo la película “El hombre de Diners Club”196. En 1958 aparece
la tarjeta de American Express, lo que coincide con la historia del Dr. Cifuentes, que
para 1982 había sobrepasado en ventas a Diners Club con un total de 15 millones de
tarjetas y 25 millones en 1987, lograron una expansión en 1958 sacaron al mercado sus
tarjetas que tuvieron gran acogida. Para la década de los años 60 los bancos crearon
asociaciones con el fin de colocar un gran número de tarjetas, de donde salió la tarjeta
Master Card en los años 80. A principio de 1991 circulaban un promedio de 257
millones de tarjetas de Visa con una facturación que estaba cercana a los 350.000.oo
millones de dólares197.
196 SIMON, Julio A. Tarjetas de Crédito. Buenos Aires: Abedelo Perrot. Capítulo II. p. 43. Citado por CARBONEL. Op.
cit., p. 29.
246
En la actualidad, sin duda alguna, las tarjetas de crédito constituyen el medio de pago
más usual198. Por su parte el Dr. Andrés Font199, quien corrobora esta afirmación,
explica las razones por las cuales las tarjetas de crédito son el medio de pago más
utilizado:
247
comunicaciones entre los servidores y los navegadores. Este sistema proporciona un
magnitud de las claves, esto es, que tamaño va a tener la firma digital que se utilizará
problema en la medida que la página web del vendedor le permite al usuario comprador
descargar el programa gratis. Así finalmente, las transacciones mediante SSL sólo
usuario, que son cifrados mediante criptografía simétrica. El receptor del mensaje al
un riego adicional, tanto para el usuario vendedor, en la medida en que se haga una
200 ÁLVAREZ ÁLVAREZ, Julio Leonzo. Colegio de Abogados de Medellín. Derecho del Comercio Electrónico.
Medellín: Ed. Biblioteca Jurídica Dike. 2002. p 166 y 167.
248
medida en que el comerciante haga un uso indebido de su tarjeta al poseer los datos
Por su parte el SET (Secure Electronic Transaction), desarrollado por Visa y Master
Card con el apoyo de GTE, IBM, SAIC, Terisa, Verising, Microsoft y Netscape,
proporciona seguridad entre el emisor de una tarjeta de crédito su titular y los bancos
comunicaciones, tiene la ventaja que identifica a las partes contratantes, lo cual evita el
repudio por una de ellas, es decir que a diferencia del SSL involucra a todas las partes
receptor - banco del comerciante que recibe el dinero -, el usuario comprador dueño de
fines publicitarios sin la autorización del usuario. El sistema de pago SET es por tanto
201 Al respecto puede verse a RINCÓN RIOS, Jarvey, BOHADA ÁVILA, Lubín, SUAREZ, Miguel Angel. Transferencia
Electrónico de Fondos. Ed: Universidad Santiago de Cali. Cali. 2002. p. 115.
249
aspecto negativo de esta forma de pago puede mencionarse la lentitud de la operación
y su alto costo, en la medida en que tanto comprador como vendedor requieren instalar
las mismas aparecen los denominados “digital cash”. Existen básicamente dos formas:
Las tarjetas inteligentes son aquellas que tiene incorporado un microprocesador que
contiene la información sobre el titular y su crédito. Las tarjetas inteligentes tiene varias
de nominaciones.
Como lo expresa el Dr. CARBONEL202, las denominaciones pueden ser las siguientes:
microprocesador, tarjeta con microchip, tarjeta con memoria, tarjeta a puce, en francés
Los bancos franceses han sido los primeros en adoptar la tarjeta con memoria (año
250
electrónicas y abrir la vía a nuevos servicios [...]. Otros países como Noruega, Nueva
Las tarjetas inteligentes poseen grandes ventajas, entre las cuales la más sobresaliente
vez que entre mayor memoria, mayor seguridad, sin embargo, los piratas informáticos
prefieren sistemas complejos con gran memoria para poner en funcionamiento sus
sistemas, igualmente complejos, razón por la cual, una memoria reducida puede ser un
a) Smart Card:
Los Smart Cards son una tarjeta de plástico del tamaño de una tarjeta de crédito, que
encriptación y memoria. Para poder hacer uso de la smart card es necesario conocer el
PIN o clave secreta para acceder a ella. La smart card contiene dos claves
251
Certificación, la otra está almacenada en la tarjeta, ésta es privada y ni siquiera la
Un punto a favor de las smart card está relacionado con la seguridad, gracias a su
limitada capacidad de memoria impide posibles ataques de hackers, toda vez que el
sistema rechaza el programa del hacker, que de acuerdo con los estudios de seguridad
son sistemas operativos complejos, al no poder operar en un “campo” con tan poca
memoria.
b) Software Wallets:
software a través de una cuenta bancaria permite transferir recursos del Banco del
barreras pese a las ventajas de seguridad que ofrece. Dentro de éstas pueden
252
mencionarse: la nula aceptación en el mercado y la necesidad de instalación de
software adicionales, entre otros. Este sistema es también conocido como las tarjetas
el cual ha sido cancelado previamente por el titular de la tarjeta al Banco emisor. Sin
En el futuro próximo, lo más probable es que las tarjetas de crédito sean reemplazadas
por las smart cards, sobre todo con la nueva tendencia del comercio electrónico a
través de telefonía móvil. La explicación de este cambio es sencilla; los usuarios buscan
reduciendo costos, es decir, buscan una relación costo beneficio favorable a sus
intereses. Así las cosas, las smart card, brindan confianza en las transacciones
que se ofrezca en la red con la más alta tecnología de seguridad a precios accesibles.
sistema, así mismo, podrá acceder a cualquier bien o servicio independientemente del
253
gran inconveniente de las tarjetas de crédito, es que los riesgos y los perjuicios son
de este sistema, las nuevas formas de pago - smart card o monederos - gracias a su
es más clara, y las entidades emisoras de este medio de pago no podrán exhonerarse
tarjetas de crédito.
El pago a través de los teléfonos celulares203 puede hacerse de varias maneras: con las
smart card, con tarjetas prepago y con tarjetas de crédito. Las tarjetas prepago,
funcionan de manera idéntica a como están operando las tarjetas para llamadas
mercado - tarjeta ETB o tarjeta TELEPSA -. Estas tarjetas tienen un PIN o clave secreta
realizar una compra en los establecimientos que cuenten con el software para tal fin,
203 La generalización del teléfono móvil en estos últimos cuatro años ha llevado a algunas empresas telefónicas a
generar soluciones de seguros y rápidos. En España los Bancos BBVA y BSCH y las operadoras TEÑEFÓNICA Y
AIRTEL, uniendo esfuerzos están lanzando al mercado un sistema de pago móvil, con el cual procuran ganar más
de cinco y medio millones de usuarios, entre comerciantes y clientes. RINCÓN. BOHADA, SUAREZ. Op. cit., p. 119.
254
debe digitar los números de su clave, el sistema verifica la capacidad de pago de la
misma y autoriza electrónicamente el pago. Este sistema es, sin lugar a duda, práctico
seguro y confidencial, sin embargo presenta el problema de su difusión toda vez que no
es generalizado, en gran medida, por los altos costos que implica acceder a los
mercados. Para tener una idea de su costo puede mencionarse el sitio Internet
Cash204, en los Estados Unidos, quien comercializa las tarjetas prepago entre 10 y 100
dólares.
Otra forma de pago es la billetera virtual. Este sistema creado por Microsoft y Yahoo,
consiste en la compra con tarjeta de crédito, pero a diferencia del tradicional método de
pago, esta forma de pago funciona remitiendo los datos personales y bancarios por una
sola vez, los datos son almacenados y asegurados mediante la criptografía y para llevar
a cabo una compra sólo se requiere la identificación del usuario y hacer clic en el icono
billetera virtual. Este sistema tiene como fin primario evitar la transmisión continua de
204 Véase más información al respecto en TORO, José. Colegio de Abogados de Medellín. Derecho del Comercio
Electrónico. Medellín: Ed. Biblioteca Jurídica Dike. 2002. p. 188. http://www.internetcash.com/. Como lo expresa el
Dr. Toro la empresa BEENZ.COM (http//:www.beenz.com) desarrolló su propia moneda virtual. Para hacer uso de
este servicio debe ingresarse a la página web de la empresa, diligenciar un formulario y una vez verificados los datos
se puede hacer uso del medio de pago. Sin embargo, estas sociedades enfrentan serios problemas de mercadeo y
de pagos de acreencias financieras, razón por la cual, varias de ellas, incluso BEENZ.COM, han tenido que cerrar
sus negocios y replantear sus estrategias de mercadeo.
255
datos personales y bancarios, para impedir la interceptación y uso fraudulento de los
datos.
El dinero electrónico busca las mismas ventajas que el dinero físico, con mayores
[...] se intenta ofrecer las mismas ventajas que con el dinero físico, que son
cada compra se deja un rastro fácil de seguir que permite constituir un perfil del
titular.
que se celebra con los proveedores de servicios de pagos on line, para determinar las
256
obligaciones de las partes y tener muy claro hasta donde llega la responsabilidad de
estos proveedores.
Ahora bien, resulta necesario que los usuarios conozcan sus derechos y obligaciones,
frente a los medios de pago, toda vez que, frecuentemente, el emisor no le proporciona
la obligatoriedad de brindar una información veraz, a los clientes con relación a las
transparencia y eficiencia
c. EOSF).
257
Las entidades que expidan tarjetas débito o crédito deben diseñar y aplicar
de, entre otros aspectos, los beneficios, cuidados físicos, seguridades en el uso de
mismas.
258
decisión sobre el producto. Así mismo, debe informarse apropiadamente sobre las
88/590/CEE señala que “el consumidor debe recibir información apropiada sobre las
cláusulas contractuales, incluidos los cánones y otros gastos [...] y sobre sus derechos
259
CONCLUSIONES
representa la prueba reina del negocio celebrado. Hoy se está forjando una
260
El Dr. Ernesto García Rengifo208 consciente de este cambio comercial de finales del
ético a lo valorativo, lo cual hace recordar la frase del pensador decimonónico: “todo
en redes informáticas, así como el pilar sobre el cual debe apoyarse el mundo
207 El empirismo es la teoría del conocimiento según la cual el saber procede de la experiencia, y las ideas, de los
sentidos.
208 GARCÍA. RENGIFO, Ernesto. Op. cit., p. 58.
261
digital. La vulnerabilidad en los sistemas operativos genera inseguridad de tipo
jurídico, que debe ser afrontada por el derecho interno de cada país soportado
262
diversos riesgos que debe afrontar una empresa, sin embargo, el índice de
rentabilidad no es tarea fácil. Ahora bien, como elemento de juicio para los
empresarios que tomen este tipo de decisiones, debe tenerse en cuenta que la
incluso orientarse hacia pólizas de seguro, sin embargo, la conciencia del gasto
innumerables riesgos.
su valor y servicio;
263
2. Con base en el campo de acción, interno y externo, establezca los
implantados.
mismo, restringir el acceso a páginas inseguras y monitorear las páginas web que
sistemas de la empresa.
264
Las anteriores medidas son necesarias para tener un entorno seguro. Ahora bien, las
empresas no pueden ni tienen los medios para reaccionar con una campaña agresiva a
cada ataque que se presente, razón por la cual, deben identificar los riesgos más
probables y los riesgos más significativos y, asignar así, los recursos correspondientes
a fin de evitarlos y/o contrarrestarlos, para tal fin las empresas deben contar con
- Otro aspecto relevante del comercio electrónico es el respaldo jurídico con el que
por esta razón y teniendo en cuenta los pocos casos que se han presentado en
con los nuevos medios de prueba, donde la sana crítica del juzgador, para la
209 Asegurar el perímetro es la primera medida que toman las autoridades cuando hay un riesgo inminente. Para el
caso de la seguridad digital el modus operandi es igual.
265
valoración de la fuerza probatoria, esté acompañada del elemento
ciudadanos con las Entidades, con el fin mejorar los servicios y la calidad de
calidad de vida, tanto el sector privado como el sector público. Los beneficios, en
266
refiere, entornos digitales, generan importantes ventajas: se amplía el campo de
ingresos para el empresario. Por su parte, las Entidades del Orden Nacional
pueden hacer uso de las ventajas a través de la red Internet210 y, cumplir con sus
en los costos de transporte y de tiempo, son sin duda dos factores que mejoran
la calidad de vida de una colectividad, el comercio electrónico hace que esto sea
posible.
210 Artículo 4º. Medios tecnológicos. Modificase el Artículo 26 del decreto 2150 de 1995, el cual quedará así:
"Artículo 26. Medios tecnológicos Se autoriza a la Administración Pública el empleo de cualquier
medio tecnológico o documento electrónico, que permita la realización de los principios de
igualdad, economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la función
administrativa, así como el establecimiento de condiciones y requisitos de seguridad que cada
caso sean procedentes, sin perjuicio de las competencias que en la materia tengan algunas
entidades especializadas.
Toda persona podrá en su relación con la administración hacer uso de cualquier medio técnico o electrónico, para
presentar peticiones, quejas o reclamaciones ante las autoridades. Las entidades harán públicos los medios de que
dispongan para permitir esta utilización
267
- Uno de los grandes inconvenientes que han tenido los servicios
sistemas de pago. Hoy en día, por ejemplo, las entidades financieras ofrecen
el uso de servicios por redes informáticas en forma segura, sin que el usuario
tenga que soportar los perjuicios derivados de las falencias de seguridad de las
Entidades.
la telemática y del comercio electrónico, con el fin que los futuros profesionales
268
intervención de personas jurídicas, lo que necesariamente llevará a la creación
estarán interconectadas.
control y por las entidades públicas y privadas que prestan servicios públicos, así
269
son similares, la fe pública que caracteriza la actividad notarial, es hoy, exclusiva.
Jurídicamente es viable que las Entidades de Certificación sean envestidas de la función
fedante. Por ahora, dicha facultad es privativa de las Notarías. Los documentos avalados
por las Entidades de Certificación no se encuentran, en nuestra actual normalización,
salvaguardados por la fe pública o la fe notarial. Cabe aclarar, que las notarias están
facultados para ser entidades de certificación. Ahora bien, es importante resaltar que
Sin perjuicio de lo anterior, puede afirmarse que las Entidades de Certificación y las
informáticas, la regla general es que el contrato celebrado se rige por sus propias
270
normas y por las cláusulas que las partes hayan acordado, así mismo, se
extracontractual.
- Una de las grandes expectativas del comercio electrónico era acabar con la
hagan aún más seguro y confiable el sistema. Autoridades que deben ser
creadas por todos los países, para que a través de pactos internacionales se
271
- Finalmente, puede afirmarse que es posible realizar comercio electrónico seguro gracias a
las diferentes herramientas de seguridad que ofrece el mercado. El desarrollo deberá estar
orientado a la cobertura y a la reducción de costos.
272
BIBLIOGRAFÍA
DOCTRINA
273
- FONT, Andrés. Seguridad y Certificación en el Comercio Electrónico. Aspectos
Generales y Consideraciones Estratégicas. Madrid: Fundación Retevisión. 2000.
274
- TAMAYO JARAMILLO, Javier. De la Responsabilidad Civil. Tomo I. Bogotá:
Editorial Temis S.A. 1999.
JURISPRUDENCIA
- Corte Constitucional
Sentencia C- 037 de febrero 5 de 1996.
Magistrado Ponente: Dr. Vladimiro Naranjo Mesa.
- Corte Constitucional
Sentencia C-741 de 1998
Magistrado Ponente: Dr. Alejandro Martínez Caballero
- Corte Constitucional
Sentencia C- 662 de junio 8 de 2000.
Expediente: D-2693
Magistrado Ponente: Dr. Fabio Morón Díaz.
- Corte Constitucional
275
Sentencia C – 1316 de 2000
Magistrado Ponente:
- Corte Constitucional
Sentencia C-831 de Agosto 8 2001.
Expediente D-3371.
Magistrado Ponente: Dr. Álvaro Tafur Galvis.
INTERNET
- http://www.aui.es/estadi/internacional/internacional.htm
- http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-redes-
COMO-2.html
- info@ute.edu.ec
- malito:info@ute.edu.ec
- http://es.mmxieurope.com/home.jps
- www.firmasdigitales.com
- www.onet.es
- www.certicamara.com.co
276
- www.crt.gov.co
- http://iblnews.com/news/noticia.php3?id=99098
- http://www.arkhaios.com/ecommerce/guia.htm
- http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf
- www.setsi.mcyt.es
LEGISLACIÓN
277
- Resolución 26930.
- Código de Comercio.
• Concepto 01018465
• Concepto 0147224
• Concepto No. 01062749
278
• Concepto No. 00050766
I. REVISTAS Y PERÍODICOS
- El Tiempo.
- Ámbito Jurídico.
- La República.
II. OTROS
279