¿Qué es firma digital?

 

Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas.

 

¿Para qué sirve la firma digital?

 

La firma digital es el único mecanismo jurídicamente válido en el país asegurar transacciones electrónicas. Varias organizaciones como el sector bancario han avanzado en la implementación de mecanismos de seguridad, sin embargo solo la firma digital tiene el poder de no repudio que garantiza la autenticidad (no modificación) y autoría de las transacciones.

 

Problemática de seguridad sin firma digital

Más que teoría la ausencia de mecanismos de firma digital ha provocado y continúan provocando serios daños económicos a las organizaciones. Algunos ejemplos:

 

Bancos deberán reintegrar dinero robado a clientes por Internet   “Pérdidas de usuarios ascenderían a ¢600 millones”   “Alrededor de 700 denuncias se han presentado por sustracción de recursos mediante banca electrónica”   Extractos de http://www.larepublica.net/app/cms/www/index.php?pk_articulo=27510

Se disparan estafas bancarias mediante Internet   “En el 2007 se recibieron 71 denuncias pero este año ya van por 77 clientes de un banco público reportaron estafas por ¢120 millones.”   “Los dineros, en montos de $3.000 a $10.000, o de ¢3 millones a ¢5 millones, son enviados a cuentas de personas jóvenes, especialmente, estudiantes, detectó la Policía. ”   “El monto total de lo estafado en los 77 casos, pero mencionó que fácilmente supera los ¢200 millones.”   Extractos de http://www.nacion.com/ln_ee/2007/junio/11/sucesos1125993.html

Aparece nuevo correo para estafar por ‘web’ “El monto obtenido por los estafadores asciende a más de $929 millones, según la firma de consultoría Gartner Group.”   Extractos de http://www.nacion.com/ln_ee/2007/mayo/05/economia1085396.html

Nacional alerta sobre correo para robar clave a clientes   “Esa modalidad de fraude, conocida como phishing , permite a los “pescadores de contraseñas” obtener la clave de las tarjetas de crédito o débito, entrar a las cuentas y robar el dinero.”   Extractos de http://www.nacion.com/ln_ee/2009/marzo/20/economia1911054.html

Firma digital reducirá inseguridad de banca en línea   “Un sistema de firmas y certificados digitales que el Gobierno está preparando forzaría a los bancos a ofrecer un mejor mecanismo de verificación de identidad en línea, que reduciría sustancialmente el riesgo del “fraude electrónico”. ”   “Carlos Melegatti, director del SINPE, dijo que ese sistema hará “prácticamente imposible” cometer fraudes con phishing, pharming (el usuario es redireccionado a un sitio electrónico que parece del banco) y keyloggers (programas que registran lo tecleado y lo envían al estafador). ” “Aquí, muchos bancos utilizan solo un mecanismo (número de usuario y palabra clave) para verificar la identidad, pese a que desde el 2005 las cinco instituciones de supervisión financiera de EE. UU. advirtieron que es “inadecuado”. ” “En el 2007, casi 500 costarricenses fueron víctimas de fraude electrónico y perdieron más de ¢800 millones, pues los bancos le asignan todo el riesgo al usuario y no devuelven el dinero. ” “En países desarrollados, la carga de la prueba les corresponde a los bancos: deben probar que el fraude ocurrió por culpa del cliente o reintegrar el dinero.” Extractos de http://www.nacion.com/ln_ee/2008/marzo/03/economia1444077.html

BCR borró claves de 150.000 clientes   “El mensaje era un intento de estafa electrónica conocida como phishing , con la cual se busca robar los datos de acceso de los usuarios .   Extractos de http://www.nacion.com/ln_ee/2007/marzo/10/pais1025489.html

OIJ captura a 16 implicados en fraude bancario por Internet   “Jorge Rojas expresó que al inicio los casos eran por sumas entre $3.000 (¢1,5 millones) y $10.000 (¢5,2 millones), pero recientemente recibieron una denuncia por una estafa de $200.000 (¢104 millones). ”   Extractos de http://www.nacion.com/ln_ee/2007/agosto/16/sucesos1205806.html

BN y BCR apelaron condenas por fraudes bancarios por Internet   “BN ha recibido seis condenas y BCR, dos; hay más demandas en proceso”   “Los jueces confirmaron que los sistemas de banca electrónica de esas instituciones no fueron suficientemente seguros.”   Extractos de http://www.nacion.com/ln_ee/2008/diciembre/27/pais1823082.html

 

¿Cómo soluciona la firma digital estos problemas?

 

La firma digital reemplaza reemplaza el uso del nombre de usuario y la clave que tradicionalmente se utiliza en los sistemas Web. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o peor aun apuntar en algún lado la llave privada ya que esta es un número de cientos de dígitos que se guarda en un dispositivo seguro (token o smart card).

 

Estos dispositivos son "tamper-proof" lo que significa que el certificado y la llave privada no pueden ser copiados ni exportados; además el dispositivo está protegido por una clave de manera que solo puede ser utilizado por el usuario.

 

El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

 

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSL permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente.

 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el dispositivo protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el dispositivo y la clave del usuario legítimo.

 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el dispositivo con la llave privada con que se generó la firma digital y este está protegido por clave.

 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.

 

¿Cómo se implementa firma digital en un sistema web?

El uso básico de firma digital es reemplazar el esquema de autenticación tradicional de usuario y clave u otros que pese a ser un poco más seguros que este no son válidos jurídicamente (no son prueba en un juicio por ejemplo).

 

El segundo y más fuerte uso de la firma digital es dar confianza a ambas partes que participan en una transacción ya sea esta una operación bancaria, un trámite de servicios públicos, una denuncia judicial o en general cualquier trámite en el que:

 

-      la persona que envía desea estar segura que su transacción será realizara y que nadie más podrá hacerlo en su nombre o falsificar sus datos

 

-      la organización que recibe desea estar segura que la transacción proviene efectivamente de la persona dueña del certificado y que esta no podrá repudiar ninguna transacción hecha

 

Hermes logra lo anterior mediante varios componentes de software que permiten:

 

 

§ Firmar digitalmente en la PC del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor. (no repudio)

 

§ Validar la firma digital del formulario en el servidor, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento. (confianza para la organización)

 

§ Generar un recibo firmado digitalmente en el servidor de una transacción enviada por un usuario.  (confianza para el usuario)

 

§ Crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios (confianza para ambas partes y prueba fehaciente en litigios)

 

El siguiente diagrama describe gráficamente los componentes de la solución

 

 

Entre las ventajas de los componentes de firma digital de Hermes destacan:

 

 

ü  Facilidad de integración con cualquier autoridad certificadora

 

ü  Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET, PHP y Java.

 

ü  Uso transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet.

 

ü  Tecnología invulnerable a keyloggers o phishing

 

Aplicaciones de firma digital en Costa Rica

 

A la fecha en Costa Rica no existen muchas aplicaciones en producción que saquen provecho de la firma digital.

 

Posiblemente la más conocida es Comprared en donde los proveedores comerciales pueden enviar sus ofertas, aclaraciones, objeciones y un general todos los procesos de contratación administrativa de forma electrónica gracias al uso de certificado digitales. Comprared inició con certificados digitales generados por el Ministerio de Hacienda y ya realizó los cambios para usar también los generados por SINPE / MICIT. Actualmente Comprared está trabajando en la generación de facturas electrónicas firmadas digitalmente.

 

El CFIA también implementó firma digital en el Administrador de Planos de Construcción (APC). Mediante este sistema se realiza el visado digital de los planos evitando desplazamientos, disminuyendo tiempos del proceso y por tanto disminuyendo los tiempos asociados.

 

Actualmente Hermes trabaja en la implementación de su tecnología en uno de los principales bancos del Estado con el fin de reducir las problemáticas que los afectan.

 

 

Más información   firmadigital@hermes-soft.com

Sitios de información relacionada:   http://www.firmadigital.go.cr   http://es.wikipedia.org/wiki/Firma_digital