Universidad de Salamanca

Seguridad y Firma
electrnica

Veracruz, 24-28 marzo 2007

Alfredo Batuecas Caletro

rea de Derecho Civil
1
 Cuanto ms se agravaba cada da la fiereza del
asedio, principalmente por ser muy pocos los defensores,
estando gran parte de los soldados postrados de las
heridas, tanto ms se repetan correos a Csar, de los
cules algunos eran cogidos y muertos a fuerza de
tormentos a vista de los nuestros.
(La Guerra de las Galias, Libro V, pargrafo XLV)

La seguridad en las comunicaciones preocupa al hombre desde

antiguo.
Su desarrollo ha venido propiciado por necesidades militares:
Grecia: Guerra entre Esparta y Atenas, la esctala
Carlomagno incrustaba signos falsos en sus mensajes
Napolen asignaba nmeros a las letras o grupos de letras
T. Jefferson utilizaba discos cilndricos en los que estaban
impresas las letras del abecedario
Mencin aparte merece Csar, uno de los primeros en utilizar de
un modo til e inteligente la criptografa: sustitua cada letra por
la que ocupaba tres puestos ms adelante en el abecedario 2
 Hoy se utilizan mtodos ms sofisticados:
SISTEMAS DE CLAVE SIMTRICA
Mtodo de sustitucin
Mtodo de permutacin
Esteganografa
Mixtos: Mezcla sustitucin y permutacin. Mquina Enigma
SISTEMAS DE CLAVE ASIMTRICA
Opera sobre una clave privada y una clave pblica
Hoy ya no se envan los mensajes literalmente, sino
resmenes para lo que se utilizan funciones resumen (Hash)
As, si Esmeralda codifica sus mensajes con su clave privada, ngel tendr que utilizar la
clave pblica de aqulla para poder leerlo. Con esto, se nos garantiza la identidad del
remitente del mensaje. Si Esmeralda quiere que el mensaje slo lo pueda leer ngel lo que
tendr que hacer es codificar el mensaje con la clave pblica de ngel, porque slo l tiene
acceso a su clave privada. Con esto, Esmeralda se asegura de la identidad del destinatario.
Tambin es posible combinar ambos mtodos, para lo que basta con codificar el mensaje
dos veces, una con la clave privada de Esmeralda y otra con la clave pblica de ngel,
3 con
lo que se garantiza tanto la identidad del remitente del mensaje como la del destinatario.
 CLASES DE TRANSFERENCIAS ELECTRNICAS

Seguridad fsica vs. Seguridad jurdica

CLASES:
De fondos
De datos

Desde el punto de vista legal, existe una gran inseguridad

jurdica en torno a ambas formas de transferencias, lo que
representa una rmora para su implantacin efectiva y
global en la sociedad.

La respuesta que ha ofrecido el Derecho a uno y otro tipo

de transferencia ha sido muy distinta: estn reguladas las
transferencias electrnicas de datos, pero no las de
fondos.
4
Datos
personales

5
6
TRANSFERENCIAS
ELECTRNICAS DE
DATOS
(Firma Electrnica)

7
ndice:
1. Definiciones.
2. Clases de FE y efectos que se
desprenden de su uso.
3. Certificados electrnicos
4. Prestadores de servicios de
certificacin

8
 FIRMA ELECTRNICA

La firma electrnica ofrece la solucin a la autenticidad,

integridad, confidencialidad y no rechazo del mensaje en
las Transferencias Electrnicas de Datos.

La regulacin de la F.E. recae en la Ley 59/2003, de 19 de

diciembre. Ley, a diferencia del pago electrnico.

Objetivo: generar en el mbito digital las condiciones de

seguridad y confianza necesarias para estimular el
desarrollo de los servicios de la Sociedad de la
Informacin, en particular, de la Administracin y del
comercio electrnicos.
9
 DEFINICIONES I

a) "Firma electrnica": es el conjunto de datos, en forma electrnica,

consignados junto a otros o asociados con ellos, que pueden ser
utilizados como medio de identificacin del firmante (entorno internet).
b) "Firma electrnica avanzada": es la firma electrnica que permite
identificar al firmante y detectar cualquier cambio ulterior de los datos
firmados, que est vinculada al firmante de manera nica y a los datos a
que se refiere y que ha sido creada por medios que el firmante mantiene
bajo su exclusivo control.
c) Firma electrnica reconocida: es la firma electrnica avanzada
basada en un certificado reconocido y generada mediante un dispositivo
seguro de creacin de firma.
d) "Datos de creacin de firma" (clave privada): son los datos nicos,
como cdigos o claves criptogrficas privadas, que el firmante utiliza
para crear la firma electrnica.
e) "Datos de verificacin de firma" (clave pblica): son los datos, como
cdigos o claves criptogrficas pblicas, que se utilizan para verificar la
firma electrnica.
10
 DEFINICIONES II

e) Prestador de servicios de certificacin: es la persona fsica o

jurdica que expide certificados electrnicos o presta otros servicios en
relacin con la firma electrnica.

f) Certificado electrnico: es un documento firmado

electrnicamente por un prestador de servicios de certificacin que
vincula unos datos de verificacin de firma a un firmante y confirma su
identidad.

g) Certificados reconocidos: son los certificados electrnicos

expedidos por un prestador de servicios de certificacin que cumpla los
requisitos establecidos en esta ley en cuanto a la comprobacin de la
identidad y dems circunstancias de los solicitantes y a la fiabilidad y
las garantas de los servicios de certificacin que presten.

11
 CLASES DE FIRMA ELECTRNICA Y EFECTOS
JURDICOS

* Firma electrnica (simple o sencilla) el conjunto de datos,

en forma electrnica, consignados junto a otros o asociados
con ellos, que pueden ser utilizados como medio de
identificacin del firmante.

* Firma electrnica avanzada, aquella que permite identificar

al firmante y detectar cualquier cambio ulterior de los datos
firmados, que est vinculada al firmante de manera nica y a
los datos a que se refiere y que ha sido creada por medios que
el firmante puede mantener bajo su exclusivo control.

* Firma electrnica reconocida, aquella firma electrnica

avanzada basada en un certificado reconocido y generada
mediante un dispositivo seguro de creacin de firma.
12
 CLASES DE FIRMA ELECTRNICA Y EFECTOS
JURDICOS

De estas definiciones pueden extraerse, al menos, estas tres conclusiones:

- La FER debe cumplir dos requisitos para que sea tenida por tal (estar
basada en un certificado reconocido y ser generada mediante un dispositivo
seguro de creacin de firma), que no se le exigen, ni a la firma electrnica
simple, ni a la firma electrnica avanzada. Estos requisitos le aaden calidad
y la hacen ms segura.

- Las FEA podr pertenecer a una firma electrnica reconocida o no,

dependiendo de que cumpla los requisitos exigidos a esta ltima.

- La firma electrnica (simple) y la firma electrnica avanzada, a su vez, se

distinguen porque la segunda puede identificar al firmante, detectar
cualquier cambio que se realice en los mensajes, vincularse al firmante de
manera nica y a los datos a los que se refiere, y garantizar que ha sido
creada por medios que el firmante puede mantener bajo su estricto control,
mientras que la firma electrnica (simple) no.
13
 CLASES DE FIRMA ELECTRNICA Y EFECTOS
JURDICOS

Efectos Jurdicos
La ley equipara los efectos de la firma electrnica
RECONOCIDA a los de la firma manuscrita (art. 3.4 LFE).
As, todo se reduce a un problema de prueba: bastar con
demostrar que se utiliz una FER para desplegar efectos.

Qu ocurre si la firma utilizada no es reconocida? (Art. 3.9)

No se le negarn efectos jurdicos a una firma que no sea
FER. La firma electrnica sencilla y la FEA no gozan
de una equiparacin automtica a la manuscrita.
Habr que probar todos los extremos de la firma electrnica:
seguridad, autenticidad, integridad datos.
14
 CLASES DE FIRMA ELECTRNICA Y EFECTOS
JURDICOS

Efectos Jurdicos
El soporte en que se hallen los datos firmados electrnicamente
ser admisible como prueba en juicio.
Qu ocurre si en juicio se impugna la autenticidad de una f.e.?
Si la f.e. es reconocida simplemente se comprobar que el
prestador de servicios de certificacin prestaba sus
servicios de certificacin cumpliendo con todas las
garantas exigidas por la ley. Importancia de los sellos de
garanta
Si la f.e. no es reconocida, habr que estar a lo que el
artculo 326 LECv establece para los supuestos en que se
impugnan documentos privados. Habr que comprobar
especficamente que cumple con la autenticidad, integridad,15
confidencialidad de datos.
 CERTIFICADOS ELECTRNICOS
Problemas de las firmas electrnicas: la distribucin segura de las
claves pblicas y asegurar que quien utiliza una FE es ciertamente
quien dice ser que es.
Para salvar esos problemas, Trusted Third Party o TTP. Es un
tercero, el Prestador de servicios de Certificacin, que expide un
certificado, garantizando la autenticidad de las personas.
DEFINICIN: un documento firmado electrnicamente por un
prestador de servicios de certificacin que vincula una clave
pblica a un firmante y confirma su identidad.

CLASES:
Certificado Electrnico sencillo o simple
Certificado Electrnico reconocido. Su importancia es que son
necesarios para las FER.
Los certificados Electrnicos Reconocidos deben cumplir requisitos
especiales establecidos en la ley. Debe indicar: que es reconocido,
Cdigo del certificado, FEA del prestador, identificacin del
firmante, clave pblica del firmante, comienzo y fin de su validez,
16
lmites de uso del certificado, valor mximo de las transacciones.
 CERTIFICADOS ELECTRNICOS

Vigencia del certificado

Son causas de extincin del certificado (Art. 8):
a) Expiracin del perodo de validez que figura en el certificado.
b) Revocacin formulada por el firmante.
c) Violacin o puesta en peligro del secreto de los datos de creacin de
firma del firmante o del prestador de servicios de certificacin o
utilizacin indebida de dichos datos por un tercero.
d) Resolucin judicial o administrativa que lo ordene.
f) Cese en la actividad del prestador de servicios de certificacin
salvo que, previo consentimiento expreso del firmante, la gestin de
los certificados electrnicos expedidos por aqul sean transferidos a
otro prestador de servicios de certificacin. Etc.
Son causas de suspensin temporal del certificado (Art. 9):
La solicitud del firmante.
Una resolucin judicial, la existencia de dudas, etc. 17
 CERTIFICADOS ELECTRNICOS

Expedicin a favor de personas jurdicas

Responsable del certificado y de la clave privada la personas fsica
solicitante
El nombre de la persona fsica aparece en el certificado
El certificado debe utilizarse para todas las actuaciones propias del giro o
trfico ordinario de la persona jurdica solicitante
No exceder los lmites del certificado

La persona jurdica acta por s misma en el mercado, sin

representante legal de intermediario
Cuando se excedan los lmites del certificado, la persona jurdica
quedar vinculada frente a terceros slo si los asume como propios
o se hubiesen celebrado en su inters. En caso contrario, los efectos
de dichos actos recaern sobre la persona fsica responsable de la
custodia de los datos de creacin de firma, quien podr repetir, en
su caso, contra quien los hubiera utilizado.
Genera muchas dudas
18
 PRESTADORES DE SERVICIOS DE CERTIFICACIN

CONCEPTO:
"...la persona fsica o jurdica que expide certificados
electrnicos o presta otros servicios en relacin con la firma
electrnica. (Art. 2.2 LFE)
Personas jurdicas privadas y tambin la Admn. (FNMT)=Renta.

Actividad de Certificacin
No est sujeta a autorizacin previa
No obstante, los prestadores que quieran pueden acreditarse
Procedimiento totalmente voluntario (Art. 26 LFE).
Conviven prestadores acreditados con no acreditados
El procedimiento trata de favorecer los sellos de calidad
La LFE ha eliminado el Registro de prestadores
estableciendo un mero servicio de difusin de informacin
19
sobre prestadores.
Servicio de informacin de prestadores (M. de Industria)

20
 PRESTADORES DE SERVICIOS DE CERTIFICACIN

Obligaciones del prestador

a) No almacenar ni copiar los datos de creacin de firma de la
persona a la que hayan prestado sus servicios.
b) Mantener un directorio actualizado de certificados.
c) Garantizar la disponibilidad de un servicio de consulta
sobre la vigencia de los certificados rpido y seguro.
OBLIG. PRESTADOR CERTIFICADOS RECONOCIDOS:
a) Garantizar que pueda determinarse con precisin la fecha y
la hora en las que se expidi un certificado o se extingui o
suspendi su vigencia.
b) Emplear sistemas y productos fiables que garanticen la
seguridad tcnica.
c) Tomar medidas contra la falsificacin de certificados.
d) Conservar registrada por cualquier medio seguro toda la
informacin y documentacin relativa a un certificado
21
reconocido.
 PRESTADORES DE SERVICIOS DE CERTIFICACIN

Cese de la actividad
Comunicacin a los firmantes y al Ministerio de Ciencia y
Tecnologa. Plazo: 2 meses antes del cese.
Podr ceder la gestin de los certificados vlidos a otro
prestador con consentimiento de los titulares.

Responsabilidad de los prestadores

Exigible a todo tipo de prestador de certificacin. Art. 22 LFE.
Prestador responde de los daos causados a cualquier persona.
Titular del certificado (quien tiene la clave privada)
Usuario del certificado (quien usa la clave pblica)
Cualquier tercero (a quienes haya suplantado el titular del cert.)
Resp. Contractual o extracontractual.
La carga de la prueba de la diligencia debida recae sobre el prestador
22
 PRESTADORES DE SERVICIOS DE CERTIFICACIN

Exencin de Responsabilidad de los prestadores

a) los datos que deban consignarse en el certificado y que le
haya facilitado el firmante no sean veraces.

b) el firmante no notifique modificaciones importantes.

c) el firmante no haya conservado con la diligencia debida

los datos de creacin de firma.

d) el firmante no haya solicitado la suspensin o revocacin

del certificado, si tena dudas razonables sobre la
confidencialidad de su clave.

e) el firmante utiliza los datos de creacin de firma una vez

expirado el perodo de validez del certificado. 23
 PRESTADORES DE SERVICIOS DE CERTIFICACIN

Supervisin y control de la Admn. Pblica

La Admn. podr controlar que el prestador cumple con la ley.
Los prestadores debern entregar a la Admn. la informacin que
sta pueda solicitarles.
Infracciones y sanciones
Muy graves: expedir certificados reconocidos sin comprobar,
incumplir obligaciones causando daos a terceros. 600000 .
Graves: incumplir obligaciones sin causar daos a tercero,
resistirse a la inspeccin. De 150000 a 300000 .
Leves: incumplir obligaciones sin dar lugar a infracciones
graves o muy graves. Hasta 30000 .
Sanciones graves y muy graves public. en el BOE. Medidas Prov.
24