FIRMA DIGITAL

NOCIONES GENERALES DE LA FIRMA DIGITAL

 Firma: “trazado gráfico, conteniendo habitualmente el nombre, apellido y
rúbrica de una persona, con el cual se suscriben los documentos para darle
autoría y obligarse con lo que en ellos se dice.”
 En ese entendido la firma digital basada en unas fórmulas matemáticas dadas
en clave conocidas como criptografía de llave pública que es un modelo
matemático creado por matemáticos de la Universidad de Stanford y del MIT.
 La utilidad del sistema tiene su principal expresión en el procedimiento de
firmado, cuando mediante un programa de cómputo, un sujeto alimenta un
documento a firmar y su llave privada, el programa entonces produce como
resultado un mensaje digital denominado firma digital.
DEFINICIÓN DE FIRMA DIGITAL
 La ley 164 en su Art. 6) define a la firma digital, como:
 “La firma electrónica que identifica únicamente a su titular, creada por
métodos que se encuentren bajo el absoluto y exclusivo control de su titular,
susceptible de verificación y está vinculada a los datos del documento digital
de modo tal que cualquier modificación de los mismos ponga en evidencia su
alteración.”

 ADSIB
 Agencia para el Desarrollo de la Sociedad de la Información
CARACTERÍSTICAS DE LA FIRMA DIGITAL
 Se han establecido una serie de características necesarias que tiene que
cumplir un esquema de firma para que pueda ser utilizado y aceptado. La
validez de una firma se ampara en la imposibilidad de ser falsificada y radica
en el secreto del firmante.
 Integridad

 Atribución

 Accesibilidad
Integridad
 Entendida en dos vertientes, la primera respecto de la fiabilidad del método
para generarla, comunicarla, recibirla o archivarla. Y la segunda como la
forma de garantizar que la información en él contenida no fue alterada.
Atribución
 La cual puede ser de dos tipos:
 1) Simple: Definida como los datos en forma electrónica consignados en un
mensaje de datos, o adjuntados o lógicamente asociados al mismo, que
puedan ser utilizados para identificar al firmante en relación con el mensaje
de datos
 2) Avanzada: Que podemos conceptuar como la firma electrónica que permite
la identificación del firmante y ha sido generada bajo su exclusivo control que
vincula exclusivamente al mismo con el mensaje de datos al que se adjunta o
se asocia, lo que permite que sea detectable cualquier modificación ulterior
de éste
Accesibilidad
 Se refiere a que el contenido de un mensaje de datos en el que se consignen
contratos, pueda estar disponible al usuario (emisor, receptor, juez, auditor,
autoridades, etc.) para ulterior consulta, siempre y cuando reúna las dos
características anteriormente anotadas.
 Mediante el art. 33) de la Ley 164 Ley General de Tecnologías de Información
y Comunicaciones, clasifica las características y condiciones mínimas que
deberían cumplir las firmas digitales comprendidas en las siguientes:
 a) Estar vinculada a un certificado digital de manera que cualquier alteración
subsiguiente en el mismo sea detectable: Esta característica está basado
sobre el principio de la integralidad del documento como medida de
protección contra la modificación de los datos en forma intencional o
accidental. El emisor protege el documento, incorporándole a ese un valor de
control de integridad (certificado digital), que corresponde a un valor único,
calculado a partir del contenido del mensaje al momento de su creación.
 b) Haber sido creada durante el periodo de vigencia del certificado digital
válido del firmante: Ello se entiende en que la firma digital deberá ser creada
siempre en relación al tiempo de vigencia del certificado digital. Contrario a
ello se significaría que no existe seguridad jurídica sobre los actos que se
vayan haciendo debido a que el certificado digital ha podido ser revocado,
removido o cualquier forma de alteración que no garantice su fidelidad con la
base de datos.
 c) Haber sido creado utilizando un dispositivo de creación de firma
técnicamente seguro y confiable: Para que la firma digital cumpla con su
función de medio de seguridad, será necesario que los datos de creación y
verificación de la firma sean seguros y de calidad. Ello se refiere al software
de creación de firma, este debe cumplir con los estándares o protocolos
mundiales impuestos para su creación y verificación de la forma digital.
 d) Ser creada por medios que el firmante pueda mantener bajo su exclusivo
control y la firma sea controlada por la persona a quien pertenece: Este
precepto se vincula al principio de unicidad e exclusividad del firmante: Pues
las firmas deben poder ser generadas solamente por el firmante y por lo tanto
infalsificable. Es por ello que la firma debe depender del firmante.
 e) Contener información vinculada exclusivamente a su titular: Esta
característica se refiere a que únicamente la firma digital deberá expresar la
identidad de su titular, no pudiendo comprender en ella nombres de tercera
persona, tales como que se pretenda validar por decir al hermano, al tío, al
sobrino en una sola firma. Ello comprende al principio de exclusividad de la
firma digital.
 f) Permitir verificar unívocamente la autoría e identidad del signatario,
mediante dispositivos técnicos de comprobación: Para tener una llave maestra
y acceder cualquier aplicación informática, en particular funcionalidades
provistas a través internet; las técnicas y dispositivos empleados deben
garantizar una adecuada atención de las amenazas a las que están
enfrentadas las tecnologías de información y comunicación en la actualidad,
evitando o reduciendo en forma significativa los riesgos inherentes a su uso.
 g) Que el método de creación y verificación sea confiable, seguro e
inalterable para el propósito para el cual fue generado un registro de creación
de la firma:
 h) Que los datos sean susceptibles de verificación por terceros: Este precepto
se debe al Principio de Publicidad. Las firmas deben ser fácilmente
verificables por los receptores de las mismas y, de ser necesario, también por
autoridades competentes.
 i) Que al momento de creación de la firma digital, los datos con los que se
creare se hallen bajo control exclusivo del signatario: El hecho de que la
firma haya sido creada por el signatario mediante medios que mantiene bajo
su propio control (su clave privada protegida, por ejemplo, por una
contraseña, una tarjeta inteligente, etc.) asegura, además, la imposibilidad
de su suplantación por otro individuo.
 j) Que la firma digital sea controlada por la persona a quien pertenece: Se
refiere al hecho de que la firma haya sido creada por el signatario mediante
medios que mantiene bajo su propio control (su clave privada protegida, por
ejemplo, por una contraseña, una tarjeta inteligente, etc.) asegura, además,
la imposibilidad de su suplantación por otro individuo.
NATURALEZA JURÍDICA DE LA FIRMA DIGITAL
 La firma digital representa una modalidad de identificación instrumental
producto de la modernidad tecnológica, pero evidentemente no es una firma
en sentido estricto ni tradicional.
 Las firmas digitales son instrumentos mediante los cuales una persona
autentica un mensaje de datos e identifica al suscriptor, aunque éste no sea
el autor real del mensaje.
 Por lo expuesto se puede deducir que la naturaleza de la firma digital
consiste en la certificación de autenticidad y seguridad jurídica que emite
hacia las demás personas.
MECANISMOS TECNICOS PARA EL FUNCIONAMIENTO DE LA FIRMA DIGITAL

 LA CRIPTOGRAFÍA

 1.1. Criptografía simétrica o convencional

 1.2. Criptografía asimétrica o de clave pública
 1.2.1. Claves Pública
 1.2.2. Claves Privadas

 FUNCIÓN HASH
La criptografía
 Es el arte o ciencia de cifrar y descifrar información mediante el empleo de técnicas
matemáticas que hagan posible el intercambio de mensajes de tal manera que sólo puedan
leerlos las personas a quienes van dirigidos.
 La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación
entre dos entidades y, en segundo, asegurar que la información que se envía es auténtica en un
doble sentido: que el remitente sea en realidad quien dice ser y que el contenido del mensaje
enviado, por lo común denominado criptograma, no haya sido modificado en su tránsito.
 1. Criptografía simétrica o convencional
 Esta criptografía es el método criptográfico que usa una misma clave para cifrar y para descifrar
mensajes. Las dos partes que se comunican han de ponerse de acuerdo de antemano en cuál
clave usar. Una vez que ambas tienen acceso a esta clave, el remitente cifra un mensaje al
utilizarla, lo envía al destinatario y éste lo descifra con ella.
 2. Criptografía asimétrica o de clave pública
 Esta criptografía es el método criptográfico que usa un par de claves para el envío de mensajes.
Las dos claves pertenecen a la persona que ha enviado el mensaje. Una clave es pública y se
puede entregar a cualquier persona, mientras que la otra clave es privada y el propietario debe
guardarla de modo que nadie tenga acceso a ella .
 El remitente usa la clave pública del destinatario para cifrar el mensaje y, una vez cifrado, sólo
la clave privada del destinatario podrá descifrar este mensaje.
1.2.1. Claves Pública
 Es uno de los documentos electrónicos que genera el uso de algoritmo
asimétrico y que se publica junto con el certificado digital para cifrar
información que desea enviar el propietario de la llave privada, La llave
pública se presenta dentro del archivo de requerimiento para presentarlo
ante el SAT y obtener un certificado digital.
 Para nuestra normativa boliviana se define a la clave pública, como el
“Conjunto de caracteres de conocimiento público, generados mediante el
mismo sistema de cifrado de la clave privada; contiene datos únicos que
permiten verificar la firma digital de signatario en el Certificado Digital.”
1.2.2. Claves Privadas
 Es uno de los documentos electrónicos que genera el uso de algoritmo
asimétrico y que sólo debe conocer y resguardar el propietario del par de
llaves (pública/privada), Con esta llave privada se realiza el firmado digital,
el cual codifica el contenido de un mensaje. Esta criptografía es el método
criptográfico que usa un par de claves para el envío de mensajes.
 Del mismo modo nuestra normativa entiende por clave privada, al: “Conjunto
de caracteres alfanuméricos generados mediante un sistema de cifrado que
contiene datos únicos que el signatario emplea en la generación de una firma
electrónica o digital sobre un mensaje electrónico de datos o documento
digital”
Función Hash
 Es una herramienta fundamental en la criptografía, la función hash, es usada
principalmente para resolver el problema de la integridad de los mensajes,
así como la autenticidad de mensajes y de su origen.
 Los algoritmos hash transforman una secuencia de bits en otra menor, es
decir, este algoritmo efectúa un cálculo matemático sobre los datos que
constituyen el documento y da como resultado un número único denominado
MAC (Messeges Authenticatión Code), la función hash se caracteriza por su
irreversibilidad, es decir, no se puede construir el texto a firmar dada la
función hash y estos se aplican tanto para la creación, como para la
verificación de la Firma Digital. Los algoritmos hash o algoritmos de resumen
proporcionan al destinatario seguridad en la integridad de la información
recibida.
 Este algoritmo hash se aplica sobre un mensaje inicial, obteniendo así un
resumen del mismo denominado Reseñe del Mensaje o Huella Digital; es decir,
el resultado del hash es un valor mucho más pequeño que los datos originales.
CERTIFICADO DIGITAL
ASPECTOS GENERALES DEL CERTIFICADO DIGITAL
 La firma digital requiere para su configuración de otros elementos tales como
los Certificados Digitales. Estos certificados son documentos digitales,
emanados de un certificador, que acreditan la vinculación entre una clave
pública y una persona. Consiste en una estructura de datos firmados
digitalmente por la autoridad certificadora, con información acerca de una
persona y de la clave pública de la misma. Las entidades certificadoras
emiten los certificados tras comprobar la identidad del sujeto.
 El certificado permite realizar un conjunto de acciones de manera segura y
con validez legal. Los certificados digitales son el equivalente digital del
Documento de Identidad, en lo que a la autentificación de individuos se
refiere, ya que permiten que un sujeto demuestre que es quien dice ser, es
decir, que está en posesión de la clave secreta asociada a su certificado.
DEFINICIÓN DE CERTIFICADO DIGITAL
 Los certificados son los registros electrónicos que prueban que una clave
pública pertenece a determinado individuo o entidad.
 El certificado digital es el elemento objetivo de la función de certificación. Es
el documento que da fe de la idoneidad del titular de una firma digital y sus
claves, tanto la pública como la privada.
 La Ley 164/2011 Ley General de Tecnologías de Información y Comunicaciones
- Certificado digital: “Es un documento digital firmado digitalmente por una
entidad certificadora autorizada que vincula unos datos de verificación de
firma a un signatario y confirma su identidad. El certificado digital es válido
únicamente dentro del período de vigencia, indicado en el certificado
digital.”
 En síntesis, cabe resaltar que no puede existir una firma digital sin el
certificado digital.
CARACTERSITICAS DEL CERTIFICADO DIGITAL
 Es un documento electrónico. Es generado con medios electrónicos y tiene
valides de un documento escrito.
 Es expedido únicamente por entidades de certificación.
 Debe contener determina información para que sea considerado un
certificado digital. En otras palabras, es un documento que debe cumplir con
determinadas formalidades técnicas-jurídicas.
 Además de la información debe contener otro tipo de datos relativos al titular
de una firma digital, que, como hemos señalado, puede tener diversos fines.
Por lo tanto , los certificados digitales también pueden tener diversos fines y
ser de distintas clases.
 Tiene un periodo de vigencia previamente establecido, por lo que se deduce
que su vigencia es limitada. Sin embargo, puede dejar de tener vigencia antes
de que se venza el periodo establecido cuando se produzca los casos de
revocación o suspensión.
 FUNCIONES DEL CERTIFICADO DIGITAL
 Básicamente el certificado digital permite autentificar y garantizar la
confidencialidad de las comunicaciones entre ciudadanos, empresas u otras
instituciones públicas a través de las redes abiertas de comunicación. Se
garantiza que únicamente el ciudadano puede acceder a la información,
evitando suplantaciones.
 Acredita la identidad del titular de la firma digital

 Legitima la autoría de la firma digital que certifica

 Vincula un documento digital o mensaje electrónico de datos, con la firma

digital y la persona

 Garantiza la integridad del documento digital o mensaje electrónico con

firma digital
Acredita la identidad del titular de la firma digital
 El Certificado Digital es igual a una cedula de identidad y cumple la función
imprescindible para desempeñarnos en la sociedad global de nuestro tiempo.
Sin ellos no se puede demostrar la identidad de ninguna persona. Es por eso,
que se necesita un documento de identidad que se denomina Certificado de
Identidad Personal (CDI), para demostrar la identidad.
Legitima la autoría de la firma digital que certifica
 Con el uso de los certificados en el proceso de aplicación de la firma digital
podemos tener la seguridad que dicho mensaje fue enviado por el titular de la
clave pública que se encuentra en el certificado. Con lo que se determina la
autoría de dicho mensaje. Pero necesitamos otro elemento para que el
sistema que estructura la firma electrónica sea realmente operacional, es
necesario fijar la hora en que se originan y que pueda quedar fijada tanto en
los mensajes como en los certificados el momento temporal en que se
producen, los informáticos denominan a este elemento como sellos
temporales.
Vincula un documento digital o mensaje electrónico de datos, con la firma digital
y la persona
 Esta función resalta la importancia de que no todos los mensajes de datos
firmados digitalmente son certificados digitales, para tener la calidad de
certificado digital debe cumplirse con los requisitos mínimos de contenido y
seguridad, así como garantizar la confidencialidad, autenticación, integridad
y no-repudiación.
Garantiza la integridad del documento digital o mensaje electrónico con firma
digital
 En este aspecto juega un rol importante la seguridad jurídica que componen
las entidades certificadoras, porque de seguridad jurídica podemos entender
como el conjunto de todas las reglas jurídicas que el Estado asegure a las
partes que entran en una relación jurídica contractual, en lo relativo a la
creación del contrato, la validación del contrato, la validez del contenido
contractual, la confidencialidad y la posibilidad de prueba de dicho contrato.
CONTENIDO DEL CERTIFICADO DIGITAL
 Mediante el Artículo, 27) del D.S. 1793/2013 Reglamento a Ley General de
Tecnologías de Información y Comunicaciones se especifica el contenido
específico que tendrá el certificado Digital.
 Pero elementalmente un certificado digital comprende en los siguientes datos
 La identificación de que se expiden como tales
 El código de identificación único del certificado
 La identificación del prestador de servicio
 La identidad del signatario
 Los datos de verificación de firma que correspondan con los datos de creación
de firma que estén bajo control del signatario.
 El comienzo y el fin del periodo de validez del certificado
 Los casos de representación
 Límites del uso del certificado
La identificación de que se expiden como tales
 Esta exigencia tiene el fin de identificar al certificado como tal, cualquiera
sea la forma que pueda adoptar, o cualquiera sea medio tecnológico por el
cual se genere. De esta manera se está en correspondencia con el principio de
neutralidad tecnológica
El código de identificación único del certificado
 De esta manera se podrá identificar los distintos certificados que una entidad
de certificación pueda expedir. En caso de que una persona tenga diversos
certificados, se en una entidad de certificación o en varias, no serán
confundidos.
La identificación del prestador de servicio
 Es preciso que la identidad de la tercera parte de confianza que de fe de la
identidad del titular de una firma digital sea plenamente identificada. En esto
se basa el sistema de confianza requerido para la realización de una
operación de comercio electrónico.
La identidad del signatario
 Debido a que el certificado tiene como fin principal acreditar la identidad del
titular de una firma digital, debe contener los datos mínimos de la identidad
del titular.
 Se deberá consignar el nombre y apellidos completos del signatario, el
número de su documento de identidad, su domicilio, su dirección de correo
electrónico y cualquier otra información que resulte relevante.
Los datos de verificación de firma que correspondan con los datos de creación de
firma que estén bajo control del signatario.
 El certificado debe contener la clave pública del signatario, para que el
destinatario de un mensaje pueda descifrar el mensaje cifrado con la clave
privada del signatario. Como indicamos, esta exigencia permitirá la
publicidad de las claves públicas
El comienzo y el fin del periodo de validez del certificado
 Como ya hemos señalado, el certificado digital tiene una vida limitada, por lo
que deberá indicar su periodo de vigencia.
Los casos de representación
 En caso de que en el certificado se incluyan atributos dinámicos, como son los
supuestos de representación, se deberá hacer referencia al documento en el
que consta la representación que ejercer el titular del certificado. Pero se
debe tener en cuenta que, al tratarse de atributos dinámicos, se podrá dar fe
de su existencia antes de su emisión, no después.
Límites del uso del certificado
 En el certificado se podrá consignar las limitaciones para su empleo como las
restricciones respecto de los tipos de operación comercial o las personas a las
que se dirige un mensaje cifrado digitalmente. También se podrá establecer
límites en cuanto a la cuantía de las transacciones para las cuales se pueda
utilizar el certificado.
CLASES DE CERTIFICADOS DIGITALES
 a) Certificado de identidad Son los más utilizados actualmente dentro
de los criptosistemas de clave pública y ligan una clave pública a una
identidad personal (usuario) o digital (equipo, software, etc.)
 b) Certificado de autorización o potestad certifican atributos no
relacionados con la identidad del usuario como, por ejemplo, la
representación que pueda ejercer a favor de otra persona.
 c) Certificados transaccionales Atestiguan que un hecho o una
formalidad acaecieron o fueron presentados por un tercero.
 d) Certificado de tiempo o estampilla digital Permiten dar fe de que un
documento en un instante determinado.
SUSPENSIÓN Y REVOCACIÓN DE LOS CERTIFICADOS DIGITALES
SUSPENSIÓN
 La suspensión, como su propio nombre indica, hace referencia a paralizar, interrumpir,
suspender el trayecto de un acto administrativo que, por naturaleza, nace con vocación
de aplicarse sobre los hechos para los que se dictó. Pero, ¿en qué casos debe operar?
¿Cuál es su funcionalidad?
 Nuestra normativa contempla la suspensión del certificado digital mediante el Artículo,
30) del D.S. 1793/2013 Reglamento a Ley General de Tecnologías de Información y
Comunicaciones se especifica el contenido específico que tendrá el certificado Digital:
 La vigencia de un certificado digital será suspendida por la entidad certificadora, cuando
se verifique alguna de las siguientes circunstancias:
 A solicitud del titular del certificado, debidamente comunicada a la entidad
certificadora;
 Decisión de la entidad certificadora en virtud de razones técnicas, previa comunicación a
los signatarios;
 Por orden o decisión judicial debidamente fundamentada que determine la suspensión
provisional de la vigencia del certificado digital.
 A requerimiento del titular del certificado digital, cuando la suspensión haya sido
solicitada por éste
 Cesación de las causas técnicas que motivaron la suspensión a criterio de la entidad
certificadora;
 Por orden o decisión judicial debidamente fundamentada que determine el cese de la
suspensión de la vigencia del certificado digital.
REVOCACIÓN
 Mediante el Artículo, 31) del D.S. 1793/2013 Reglamento a Ley General de
Tecnologías de Información y Comunicaciones casos:
 A solicitud de su titular, debidamente comunicada a la entidad certificadora;
 Por fallecimiento del titular del certificado;
 Por disolución o quiebra de la persona jurídica titular del certificado digital, a partir
de la comunicación oficial recibida por la entidad certificadora;
 Sentencia condenatoria ejecutoriada en contra del titular del certificado digital,
por la comisión de delitos en los que se haya utilizado como instrumento la firma
digital;
 Sentencia judicial que declare la ausencia o interdicción del titular del certificado
digital;
 Por requerimiento de autoridad competente conforme a Ley;
 Cuando se corrobore que el titular del certificado digital no ha custodiado
adecuadamente los mecanismos de seguridad, propios del funcionamiento del
sistema de certificación, que le proporcione la entidad certificadora autorizada;
 De comprobarse por parte de la ATT, que se han producido vulneraciones técnicas
del sistema de seguridad de la entidad certificadora que afecte la prestación de
servicios de certificación digital;
 Por incumplimiento de las causas pactadas entre la entidad certificadora con el