Para responder este cuestionamiento se debe tener en cuenta que de acuerdo con la Ley 527 de 1999 todo documento electrónico debe asegurar la autenticidad, la integridad y el no repudio, concebidos como los principales atributos de seguridad jurídica de un documento.
La autenticidad hace referencia a la certeza que se tiene de la identidad de la persona que firmó el documento, es decir, que la persona que lo firma en verdad si es quien dice ser; la integridad consiste en que después de la firma el documento no puede ser modificado o alterado y el no repudio es la prohibición de que luego de firmado el documento, la persona niegue que lo firmó, por tal razón, al suscribir un documento electrónico se deben asegurar estos tres elementos. No obstante, debido a la variedad de firmas, dichos elementos se asegurarán en mayor o en menor medida, para lo cual surgen los niveles de riesgo o niveles de confianza.
Los niveles de confianza hacen referencia a la importancia del documento y, consecuentemente, al grado de seguridad de este, pueden ser bajo, medio, alto o muy alto, siendo bajo aquel documento cuya alteración o suplantación no implica graves consecuencias jurídicas, mientras que el nivel muy alto responde a aquellos documentos respecto de los cuales se deben tomar todas las acciones para evitar su falsificación o alteración, debido a su relevancia jurídica.
Teniendo en cuenta lo expuesto, aquellos documentos con un nivel de confianza bajo podrán utilizar una firma electrónica simple; los documentos con un nivel de confianza medio podrán utilizarán una firma electrónica certificada y, por último, los documentos con un nivel de confianza alto o muy alto, como los contratos o los títulos valores, deberán, de preferencia, suscribirse con una firma digital, dado que es el tipo de firma más segura. Para entender eso, piénsese en un contrato que debe firmar el ordenador del gasto o representante legal de una entidad pública, el contrato seguramente debe llevar la firma y visto bueno del abogado que revisó el contrato y del área financiera, así como del responsable del área que solicita el servicio y finalmente debe ser firmado por el representante legal. Así las cosas, en este caso en concreto, los representantes de las áreas jurídicas y financiera y el área que solicita el bien o servicio pueden firmar con una firma electrónica simple o certificada y el representante legal firmará con una firma digital. Lo ideal es que las plataformas que se implementen permitan el uso de una u otra firma según el nivel de confianza que se requiera. Este es el ejemplo del “deber ser” en el mundo de las firmas electrónicas, esto es, la combinación de firmas electrónicas en un mismo documento o contrato, a elección del usuario.
Escoger erróneamente el nivel de confianza o el mecanismo de firma puede llevar a que se considere que el documento no está firmado o a que sea tachado de falsedad en un escenario judicial. A modo de ejemplo, en materia de títulos valores, diversos jueces colombianos han negado mandamientos de pago por pagarés suscritos con firmas electrónicas que no brindan certeza acerca de la autenticidad del documento, esto es, no aseguran que el deudor en efecto suscribió el pagaré.
Justamente estos factores han llevado al Estado colombiano a que los trámites y documentos más sensibles deban ser suscritos con firma digital. Así, los reportes que realizan los vigilados de la Superintendencia de Salud, las operaciones en el Sistema de Información Financiera –SIIF-, reportes ante las Contralorías, así como las facturas electrónicas, entre muchos otros, hacen uso de la firma digital.
Actualmente en Colombia existen diversos tipos de firma: la firma manuscrita (que tradicionalmente es utilizada para suscribir documentos físicos), la firma por medios mecánicos (que se realiza a través de mecanismos como los sellos), la firma a ruego (para personas que no puedan o no sepan firmar) y la firma de los que tienen discapacidad visual (que debe ser autenticada ante juez o notario). Hoy se firman más documentos electrónicos que físicos, de hecho, es raro ver que se exija, incluso en gobierno y sector justicia, la firma manuscrita en documentos físicos.
La firma electrónica se divide en tres clases: la firma digital, la firma electrónica certificada y la firma electrónica simple. Cualquiera de estos métodos servirá para suscribir documentos en un entorno electrónico y su elección dependerá del contexto y la necesidad concreta que se tenga. La firma digital es la firma que mayor seguridad y confianza brinda y otorga una garantía legal de no repudio (art. 28 Ley 527/99) a los documentos suscritos con este mecanismo. La firma electrónica certificada es la que sigue en nivel de confianza técnico-legal, y la firma electrónica simple es la del nivel de confianza más bajo.
Para diferenciar estos tres mecanismos de firma es importante tener en cuenta dos elementos: el rol de las Entidades de Certificación Digital y la tecnología para la generación y uso de las firmas electrónicas.
Respecto del primer punto, las Entidades de Certificación Digital son sociedades cualificadas, especializadas en la generación de firmas para documentos electrónicos y cuya actividad es regulada por el Gobierno Nacional a través de una acreditación otorgada por el Organismo Nacional de Acreditación de Colombia. Solamente las Entidades de Certificación Digital pueden emitir certificados de firma digital y certificados de firmas electrónicas, mientras que las firmas electrónicas simples pueden ser emitidas por cualquier persona o empresa y no se exige ninguna auditoría sobre las mismas.
En el segundo punto, depende del tipo de firma que se utilice, respecto a la firma electrónica y la firma electrónica certificada, se podrán utilizar todos los mecanismos pendientes a la identificación de la persona, como claves, mecanismos de usuario y contraseña, claves de un solo uso o biometría, formularios de preguntas y respuestas, entre otros, siendo el factor diferenciador que en la firma certificada los mecanismos son auditados y acreditados por el Organismo Nacional de Acreditación de Colombia (ONAC), mientras que en la firma simple no existe, ni se exige ninguna verificación de un tercero idóneo autorizado legalmente.
Por su parte, la firma digital, consiste en un estándar tecnológico, es decir, tanto su generación como su uso responde a normas técnicas estandarizadas y aceptadas a nivel nacional e internacional. Este estándar se basa en la criptografía de clave pública y en una infraestructura denominada PKI (public key infraestructure), cuya seguridad radica en el intercambio de llaves entre el emisor y el receptor del mensaje, de tal forma que el documento solo será visible para aquella persona que tenga las llaves correctas (como sucede al abrir la puerta de una casa), y, además de sus bondades técnicas tiene un respaldo legal, que consagra una presunción legal de no repudio, esto es, garantizar la autenticidad y la integridad del documento, lo que significa que se da garantía acerca de la identidad de la persona que firma el documento, así como de la integridad del documento, esto es que éste no ha sido alterado o modificado desde el momento de la firma.
Los estándares tecnológicos de criptografía de clave pública (PKI) son RSA, DSA, AES y ECDSA (curva elíptica). La norma colombiana aplicable, destaca los Criterios Específicos de Acreditación para Entidades de Certificación Digital del Organismo Nacional de Acreditación (ONAC), CEA 3.0-07 V2, ya que esta entidad, estableció los estándares técnicos de firma digital en Colombia, permitiendo el uso del algoritmo RSA, el más común y ampliamente utilizado, así como de los algoritmos DSA y ECDSA.
En términos sencillos, estos algoritmos sirven para autenticar y cifrar la información, combinar elementos técnicos, permitiendo catalogar a la firma digital como la más segura de todas.
RSA, el algoritmo más utilizado en el mundo, cuya sigla atiende al nombre de sus fundadores (Rivest, Shamir y Adleman), es un algoritmo de crifrado de clave pública inventado en 1977. Sus creadores son Ron Rivest: criptólogo y profesor del MIT, coautor del libro: Introducción a los Algoritmos, fundador de RSA Security, Verising y Peppercoin; Adi Shamir – Criptógrafo israelí, profesor de matemáticas y Ciencias de la Computación en el Instituto Weizmann y Leonard Adleman, profesor en ciencias de la computación y biología molecular de la Universidad del Sur de California. Este estándar tecnológico ha estado presente por décadas y es la base del avance de la firma digital. En Colombia y en el mundo, este ha sido el algoritmo de firma digital más utilizado.
No obstante, el terreno que ha ganado el algoritmo RSA en las últimas décadas, viene en auge el algoritmo de curva elíptica ECDSA. ECDSA ha sido respaldado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), y actualmente está avalado por la Agencia de Seguridad Nacional de EE. UU. (NSA) para la protección de información de alto secreto y como se mencionó su uso fue habilitado y permitido en Colombia para certificados de firma digital. El algoritmo de curva elíptica tiene tamaños de clave más pequeños que RSA, lo que significa que puede lograr un cifrado más fuerte con menos potencia informática y menor ancho de banda de red, lo cual representa una ventaja para firmar digitalmente en dispositivos móviles. De acuerdo con diversos estudios realizados por distintas autoridades de certificación, en la mayoría de las implementaciones prácticas, RSA parece ser mucho más rápido que ECDSA en verificar las firmas, aunque es más lento al firmar. En Colombia las Entidades de Certificación Digital, vienen ofreciendo firmas digitales con algoritmos RSA y también ya se está introduciendo en el mercado colombiano el estándar de curva elíptica ECDSA para firma digital.
Se ha discutido acerca de la computación cuántica, y el logro de poder descifrar las llaves privadas generadas por RSA. Investigadores chinos liderados por Bao Tan, Ziqi Tan y ShijieWei, expresaron que un modelo matemático podría descifrar el algoritmo RSA. Sin embargo, durante la Conferencia Enigma 2023 realizada en Santa Clara California, en Estados Unidos, el experto informático Simson Garinkel, manifestó que la computación cuántica tenía pocas aplicaciones y recursos como para descifrar el algoritmo RSA, sin duda, es un tema que está en constante revisión y estudio.
La moneda virtual Bitcoin y la mayoría de las criptomonedas, basa su seguridad en la misma tecnología que la firma digital, esto es, en algoritmos de clave pública (PKI). El estándar que han seleccionado ha sido de preferencia el algoritmo ECDSA de curva elíptica, bajo el entendido que este algoritmo mejora el rendimiento de los sistemas que lo usan, debido a la reducción en la longitud de las llaves utilizadas sin afectar la seguridad. DSA o RSA requiere de una llave de 2048 bits, mientras que las curvas elípticas reducen en 81% este número. De no tener este tipo de algoritmo, el blockchain y los procesos en criptomonedas sería aún más lentos
¿Puedo utilizar la firma escaneada en mis documentos?
Estas firmas consisten en tomar una foto o escanear una firma manuscrita y, posteriormente, copiarla y pegarla en distintos documentos electrónicos, a través de Word, PDF u otros programas similares.
Sin embargo, esta firma trae diversos problemas: en primer lugar, facilita la suplantación y falsificación de documentos, pues cualquier persona puede realizar la operación de copiar y pegar la firma de otro individuo en cualquier documento; en segundo lugar, no brinda garantías de que el grafo de la persona realmente fue colocado por dicha persona y, en tercer lugar, no brinda ningún mecanismo de protección informática o de cifrado al documento.
Algunos autores, e incluso algunos fallos judiciales sitúan, equivocadamente, la firma escaneada como un tipo de firma electrónica, dado que sostienen, permite identificar a una persona en entornos virtuales. Sin embargo, se debe tener sumo cuidado con este tipo de firmas, es probable que, al utilizar la firma escaneada, una autoridad judicial indique que la firma es inválida y, por ende, no se tendrá en cuenta el documento suscrito o firmado.
La Corte Suprema de Justicia, en expediente 2004-01074 ha señalado que los documentos enviados por correo electrónico y los cuales pueden construirse a través de un esquema de firma electrónica (usuario y contraseña), no brindan certeza respecto de la autenticidad del documento; así mismo, en este pronunciamiento se ratifica la seguridad e idoneidad de la firma digital, señalando sobre la misma que “se equipara a la firma ológrafa, por cuanto cumple idénticas funciones que ésta, con las más exigentes garantías técnicas de seguridad”.
Los mecanismos de firma con los continuos avances digitales tendrán que responder a tres retos iniciales: asegurar con mayor fiabilidad la identidad de las personas, garantizar la seguridad del documento a pesar de los nuevos virus informáticos o software malicioso y permitir la usabilidad del mecanismo, esto es, que cada vez sea más sencillo firmar documentos electrónicos.