Con cada día que pasa y cada proyecto de documentación electrónica que veo, se mantienen mis reparos al modelo PKI (infraestructura de clave pública) de utiliza la firma electrónica avanzada regulada en la Ley N°19.799.
Anteriormente lo he explicado, la firma avanzada es un modelo de firma elitista y muy poco amigable, de dudosa neutralidad tecnológica, que frena las políticas públicas de fomento a otras firmas electrónicas seguras.
Entonces, si ya llevamos 14 años de la Ley N°19.799 –tiempo más que suficiente para evaluar y sacar conclusiones- ¿por qué se insiste en mantener el modelo de firma electrónica avanzada (FEA)?
Recordemos que la FEA que se define en nuestra ley se construye bajo un estándar denominado infraestructura de clave pública o PKI. Para explicarlo podemos resumir los siguientes puntos:
1. la persona que firma un documento lo hace a través de un dispositivo que mantiene bajo su exclusivo control (normalmente un token o una tarjeta).
2. Con ese instrumento se realiza un procedimiento algorítmico sobre el documento, que genera un extracto o huella (hash), propio para ese caso y que consideraremos como la firma electrónica.
3. Eso sí, el estándar PKI establece que para aportar mayor confianza sobre la documentación electrónica, es necesario acudir a un tercero –entidad certificadora- que genera otro documento electrónico que acompaña a aquél que se ha firmado.
4. Ese certificado electrónico es un documento que da cuenta del hecho de que esa firma ha sido generada por un dispositivo que ese certificador proporcionó al usuario que aparentemente firma (no es un notario como algunos creen).
5. Sobre este punto, el modelo de firma avanzada que se regula en Chile exige que la empresa que certifica necesariamente haya cumplido un requisito administrativo, denominado “acreditación”. Este requisito es esencial para la existencia de una firma electrónica avanzada.
Como puede apreciarse, la acreditación de la entidad certificadora no es una exigencia técnica del modelo de firma avanzada, sino que es un procedimiento de autorización administrativa previa de la empresa que quiera dedicarse al rubro de las firmas electrónicas avanzadas.
Dicho de otro modo, si la empresa de mayor reconocimiento mundial en certificación de firmas no pasara por este trámite ante la Subsecretaría de Economía (en calidad de Entidad Acreditadora), por más que entregue un producto de altísimo nivel técnico y de seguridad, el usuario que lo utilice en Chile legalmente no tendría una firma avanzada y, aunque igualmente le permitiría suscribir documentos electrónicos válidos, éstos tendrían un valor probatorio inferior en caso de un juicio.
Por lo tanto, al hablar de firma electrónica avanzada nos referimos a una especie dentro de un variopinto escenario de firmas que, si bien requiere garantizar algunas características mínimas de seguridad –a saber, la integridad del documento, la identificación de suscriptor, el no repudio de la firma, y la autenticación entre el dispositivo y el usuario-, no le son exclusivas.
Otros modelos de firma como los biométricos, por ejemplo, podrían responder de igual o mejor manera a dichas características, pero no serían firma electrónica avanzada si carecieran de un certificado emitido por una empresa acreditada ante la Subsecretaría de Economía.
Vuelvo, entonces, sobre la pregunta: ¿Por qué insistir en este modelo de FEA, que luego de 14 años no ha logrado instalarse en nuestra cotidianidad? ¿Por qué se mantiene si es un esquema elitista y basado en una promesa de seguridad que no es del todo cierta?
¿Será por el mercado?
Lo primero que se me ocurre, conociendo la realidad chilena, es pensar en razones de libre mercado. Claro, se crea una actividad económica para ser explotada por empresas particulares que se dediquen al rubro de la certificación electrónica y, por ello, se defiende el modelo, pese a sus costos para la ciudadanía.
Sin embargo, ¿por qué insistir en un mercado tan concentrado que se encuentra en manos de solo 6 empresas certificadoras acreditadas? Si es por impulsar el mercado de firmas electrónicas, ¿no debería ser más competitivo y abrirse a un mayor número de prestadores, sobre todo quienes ofrecen tecnologías de firma más innovadoras, más accesibles y más seguras?
Por tanto, no creo que podamos sostener razones de mercado para defender el modelo de FEA chileno, si su demanda es muy baja, considerando el gran universo de potenciales usuarios de firma electrónica. La FEA que se ofrece en Chile no es un producto atractivo ni resuelve la necesidad de firmar electrónicamente los documentos para la mayoría de las personas.
¿Será por las políticas públicas?
Otra razón que se podría esgrimir es la política pública que tal vez hay detrás del modelo chileno de FEA. Desde el minuto en que la Subsecretaría de Economía actúa como la Entidad Acreditadora de las empresas de certificación que participan en esta PKI, es posible que obedezca a objetivos más amplios.
No olvidemos que si una entidad certificadora no supera el procedimiento de acreditación, no estará autorizada por el Estado para ofrecer dispositivos que generen firmas electrónicas avanzadas.
Sin embargo, no estoy claro que la Entidad Acreditadora busque fomentar el uso de firmas avanzadas para la mayoría de la ciudadanía, por ejemplo, para realizar trámites con el Estado o entre particulares. De hecho, si ese fuera uno de sus objetivos claramente no estaría logrado, considerando los costos de un certificado digital y su renovación (sobre de $40.000 por el dispositivo e-token y cerca de $24.000 por el certificado cada año). Si eso lo unimos a lo complejo que puede resultar su uso para gran parte de la ciudadanía, me llevan a descartar la razón de política pública, como defensa del modelo chileno de FEA.
Eso sí, tal vez el conservar el modelo de FEA se deba a una razón de interés público, pero solo de un sector: las empresas. Si así fuera, tampoco me convence porque no se estaría apuntando a la gran mayoría de empresas del país, esto es, micro y pequeñas (90%), sino solo al 10% que cubre la élite de medianas y grandes empresas.
Lo anterior sería grave, porque no hay que olvidar que las firmas electrónicas constituyen el elemento que la Ley N°19.799 exige para que un documento electrónico sea válido de modo equivalente a un instrumento en papel (art.3).
Si el foco se encontrara en las empresas medianas y grandes, capaces de incluir los costos y complejidades del modelo de FEA chileno, se estarían generando condiciones arbitrariamente discriminadoras respecto de micro y pequeñas empresas. Por ejemplo, al firmar sus contratos, porque si lleva FEA constituye plena prueba en juicio, a diferencia de otro idéntico, pero suscrito con firma simple, ya que solo sería base de una presunción judicial.
¿Será por la seguridad de esas firmas?
Quienes defienden el modelo PKI de las firmas avanzadas por razones de seguridad parecen estar viviendo aún en 2002. Son los argumentos que se pueden leer en la historia de la Ley N°19.799 para justificar el modelo. Pero luego de 14 años ya no existe el mismo escenario, con la misma oferta de modelos de firma electrónica.
Aun así, en 2002 tampoco podía defenderse el modelo de FEA como inexpugnable desde el punto de vista de la seguridad.
Recordemos que en la PKI, el usuario que firma utiliza un dispositivo que obra en su poder (algo que tiene) y lo combina con una contraseña para autenticarse (algo que sabe). Cuando inicia la acción de firmar un documento utilizando ambos elementos, la firma surge como resultado de un proceso algorítmico que realiza el sistema informático sobre el documento, no por una acción asociada directamente a la persona que supuestamente firma.
A partir de lo anterior, si un tercero se apodera del dispositivo y conoce la contraseña, dará lugar al mismo proceso algorítmico, generando firmas electrónicas perfectamente válidas y que se presumen realizadas por el titular de los dispositivos, aunque en realidad fue suplantado.
Entonces, ¿por qué se insiste en señalar que el modelo de FEA es el más seguro si la posibilidad de suplantación está siempre presente y sin gran dificultad?
¿No será el momento de fomentar modelos de firmas electrónicas que, además, agregan “algo que soy”, como es el caso de la biometría? No digo que sean infalibles, pero al menos brindan niveles equivalentes o similares a la seguridad de las firmas avanzadas.
En resumen, si la oferta y la demanda no parecen suficientes para justificar el modelo PKI de FEA, si no se advierte con claridad una política pública de fomento ni tampoco son exclusivos niveles de seguridad que garantiza, ¿por qué no tomar acciones que cambien el modelo o, al menos, que no sean la única solución para ciertas actuaciones?
Esto lo planteamos porque, aunque en la gran mayoría de actuaciones de los particulares no es obligatorio el uso de FEA, vemos como aparecen normas recientes que insisten en su exigencia, como con la Ley 20.659 –Empresa en un día- o la Ley 20.886 -Tramitación digital de procedimientos judiciales-. Pero sobre esto nos referiremos en una próxima columna.
Continuará…