UNIVERSIDAD DE BUENOS AIRES

Trabajo final: Firma Digital y mtodos de autenticacin.

Desde la perspectiva de la seguridad informtica
Curso de Postgrado: Derecho de Nuevas Tecnologas,
Comunicacin Digital y Redes Sociales"
Marcela Pallero
marcelapallero@gmail.com
Octubre de 2013

Firma digital y mtodos de autenticacin.

Objetivo del trabajo:
Definir y clarificar ciertos conceptos incorporados en la ley de firma digital
provenientes del mbito de la seguridad de la informacin que causan confusin, a
fin de identificar las diferencias entre firma digital y electrnica, y el uso de los
certificados como medio de autenticacin.
El presente documento no explica la infraestructura de clave pblica (o simtrica)
en general ni los tipos de firma desde el punto de vista tcnico, tampoco se explican
mtodos criptogrficos por razones de espacio y pertinencia.
Introduccin:
Los conceptos de firma electrnica, firma digital y mtodos de autenticacin si bien se
vinculan entre s, resulta importante mencionar que existen enormes diferencias, tanto
tcnicas como legales. El presente documento realiza un recorrido por la ley N 25.506 de
Firma Digital de la Repblica Argentina y seala algunas referencias a sus normas
complementarias y uno de los marcos conceptuales que fue tomado para su sancin.
Nuestra ley de firma digital sigui los lineamientos de la Ley Modelo de la Comisin de
las Naciones Unidas para el Derecho Mercantil Internacional de Naciones Unidas,
UNCITRAL por su siglas en ingls, es por eso que se han tomado algunos conceptos para el
desarrollo del presente trabajo el documento Fomento de la confianza en el comercio
electrnico: cuestiones jurdicas de la utilizacin internacional de mtodos de autenticacin
y firma electrnicas1, producido por el mismo organismo. Viena, 2009.
Como eje de este trabajo la idea es brindar algunos conceptos que por conocidos no dejan
de ser conflictivos a la hora de leer e interpretar la ley de firma digital y sus normas
complementarias [1].
Desarrollo:
El empleo de la terminologa no slo es poco sistemtico sino en cierta medida
engaoso menciona en su introduccin el documento antes citado y en este sentido
esperamos describir algunos conceptos centrales de la seguridad de la informacin que
pueden contribuir a una mejor comprensin del tema.
Los conceptos que surgen definir pueden centrarse en autenticacin, identificacin y
autorizacin que resultan procesos necesarios de comprender en la medida que pueden
confundirse.
Para consensuar un trmino y su contexto se habla de autenticacin cuando se
verifica la igualdad de un patrn que se presenta con un patrn guardado de
antemano con el que debe coincidir uno a uno (1:1) y de Identificacin cuando se
1

http://www.uncitral.org/pdf/spanish/texts/electcom/08-55701_Ebook.pdf

Trabajo Final Marcela Pallero- Pgina 2

conoce la identidad de un individuo y se la trata de determinar mediante la

comparacin del patrn obtenido con los patrones existentes en un banco de datos,
conocido como relacin de uno a muchos o 1:n 2
Hablar de autenticacin no implica el conocimiento a priori de la identidad de una
persona, es decir autenticarse no es identificarse. Es presentar ciertas credenciales que
hacen que un sistema o una persona reconozca si esas credenciales usadas como patrn
coinciden con una y solo una de las registradas por ese sistema o persona, el tpico caso de
usuario y contrasea sin ningn tipo de validacin de la identidad es un mtodo de
autenticacin que le permite a una persona o sistema, por ejemplo, el acceso a un entorno
restringido.
Para el mbito de la seguridad informtica, la autenticacin remite a la necesidad de
autorizacin; en el entorno informtico este proceso se entiende, como la habilitacin para
un usuario la posibilidad de realizar ciertas acciones, por ejemplo leer. La autorizacin
puede ser, para las credenciales de una persona o de la conexin de una aplicacin o de un
dispositivo, etc. El proceso de autenticacin adems, debera permitir el registro de las
acciones o actividades realizadas por quien fue autorizado (evidencias para auditoras).
En cambio la identificacin implica conocer previamente la identidad, es decir que ya sea
por algn mtodo directo o indirecto, hay garanta de que el patrn presentado, por
ejemplo, un DNI, es suficiente elemento para acreditar la identidad de la persona que lo
posea si la imagen coincide con su fisonoma y no hay evidencias de una alteracin del
soporte presentado.
En el caso de la Ley N 25.506, lo explicita en dos artculos como sigue:
ARTCULO 7 Presuncin de autora. Se presume, salvo prueba en contrario
que toda firma digital pertenece al titular del certificado digital que permite la
validacin de dicha firma.
ARTCULO 8 Presuncin de integridad. Si el resultado de un procedimiento
de verificacin de una firma digital aplicado a un documento digital es verdadero
se presume, salvo prueba en contrario, que este documento digital no ha sido
modificado desde el momento de su firma.
Los mtodos o factores de autenticacin ms utilizados para las personas son:
1)

algo que se sabe o conocido, por ejemplo una contrasea, pin, frase de paso,

etc.
2)

algo que se es, algn rasgo biomtrico,

3)

algo que se tiene, una tarjeta magntica, token, etc.

4)

una combinacin de los anteriores

2 Biometra, La proteccin de los datos personales y la biometra, Juan Antonio Travieso, Pg. 213

Trabajo Final Marcela Pallero- Pgina 3

5)

por sus roles cuando se requiera ms de una persona

Ahora bien, como venimos mencionando los mtodos de autenticacin no tienen por
objetivo la identificacin, es as que los mtodos buenos o malos de autenticacin no dicen
nada respecto de la identidad detrs de la autenticacin.
Tanto la definicin de firma digital como de firma electrnica en nuestra ley tienen como
requisito la identificacin de quien firma, es decir que la identificacin es necesaria tanto
en la firma digital como electrnica, aunque siempre a travs de un medio.
Claro est que los requisitos legales para firma digital son los suficientes como para que la
carga de la prueba est en quien la desconoce y la firma electrnica est en quien la invoca
como verdadera.
El valor probatorio de la firma digital est dado por verificaciones tanto manuales como
automticas, por ejemplo, la primera restriccin y ms importante en el esquema de la
Infraestructura de Firma Digital est dada por la Poltica de Certificacin de la Autoridad
Certificante que indica para qu mbito puede usarse esa firma (aplicabilidad) y quienes
pueden ser suscriptores. Estas verificaciones no son automticas y son aprobadas por el
Ente Licenciante en el proceso de Licenciamiento de la organizacin que lo solicita.
ARTCULO 2 Firma Digital. Se entiende por firma digital al resultado de
aplicar a un documento digital un procedimiento matemtico que requiere
informacin de exclusivo conocimiento del firmante, encontrndose sta bajo su
absoluto control. La firma digital debe ser susceptible de verificacin por terceras
partes, tal que dicha verificacin simultneamente permita identificar al firmante y
detectar cualquier alteracin del documento digital posterior a su firma.
Los procedimientos de firma y verificacin a ser utilizados para tales fines sern
los determinados por la Autoridad de Aplicacin en consonancia con estndares
tecnolgicos internacionales vigentes.

Esta definicin est complementada con los Artculos: 9. sobre la validez de la firma, Art.
13 de los Certificado Digitales, Art. 14: Validez de los certificados digitales y Art. 17 de los
Certificadores licenciados, de la Ley N 25.506, entre otros. Esto es dado que una firma
digital no es tal, sino es vlida, es decir, si no cumple con una serie de requisitos
administrativos derivados del conjunto de esta ley y sus normas complementarias, dicho
esto, adems, sin hacer referencia a la robustez tcnica de la criptografa de clave pblica
implicada en los algoritmos estndares utilizados ni su implementacin.
Esto es porque los aspectos tecnolgicos de la firma digital no determinan por s el origen
o la integridad respecto de las personas como es necesario a efectos de una firma en su
versin holgrafa.
Utilizando la misma terminologa que en Argentina, la UNCITRAL indica:

Trabajo Final Marcela Pallero- Pgina 4

La definicin de firma electrnica en los textos de la CNUDMI es

deliberadamente amplia, para que abarque todos los mtodos de firma
electrnica existentes o futuros. Siempre que el mtodo utilizado es tan fiable
como sea apropiado para los fines para los que se gener o comunic el mensaje
de datos, a la luz de todas las circunstancias del caso, incluido cualquier acuerdo
pertinente, se deber considerar que cumplen las prescripciones legales en
materia de firma. Los textos de la CNUDMI relativos al comercio electrnico, as
como un gran nmero de otros textos legislativos, se basan en el principio de la
neutralidad tecnolgica y por lo tanto pretenden dar cabida a todas las formas de
firma electrnica. As pues, la definicin de firma electrnica dada por la
CNUDMI abarcara todo el abanico de tcnicas de firma electrnica, desde los
altos niveles de seguridad, como los sistemas de garanta de la firma basados en
criptografa asociados a un sistema de ICP -Infraestructura de clave pblica- (una
forma habitual de firma digital (vanse los prrs. 25 a 53), hasta los niveles de
seguridad ms bajos, como cdigos o contraseas no cifrados. La mera inclusin
del nombre mecanografiado del autor al final de un mensaje de correo electrnico,
que es la forma ms habitual de firma electrnica, por ejemplo, cumplira la
funcin de identificar correctamente al autor del mensaje siempre que no sea
infundado utilizar un nivel tan bajo de seguridad.

Las frases resaltadas remarcan la necesidad de la incorporacin de algn procedimiento

fiable para identificar a quien va a utilizar un mtodo de autenticacin para que revista el
carcter de firma electrnica an en su versin ms liviana, en tanto se utiliza para
distinguir a uno del resto.
Asimismo se enuncia: Ni los nombres mecanografiados en correos electrnicos sin cifrar
ni las firmas escaneadas brindan mucha seguridad ni sirven para demostrar
categricamente la identidad del iniciador de la comunicacin en que figuren, en ese
sentido, el Art. 5 la LFD define la firma electrnica, indica:
ARTCULO 5 Firma electrnica. Se entiende por firma electrnica al conjunto
de datos electrnicos integrados, ligados o asociados de manera lgica a otros
datos electrnicos, utilizado por el signatario como su medio de identificacin, que
carezca de alguno de los requisitos legales para ser considerada firma digital. En
caso de ser desconocida la firma electrnica corresponde a quien la invoca
acreditar su validez.
Trabajo Final Marcela Pallero- Pgina 5

Uso de firma digital vs uso de firma electrnica.

Si bien est definido quien tiene la carga de la prueba en el caso de la firma digital y de la
firma electrnica, cabe mencionar que en tanto en el caso de la firma digital la estructura
tecnolgica se basa en estndares internacionales, en el caso de la firma electrnica, se
admiten muchas variantes, no implicando, ni estndares ni parmetros de seguridad, con lo
cual se podra listarse un sinnmero de aspectos que podran no brindar seguridad en
trminos tcnicos, ni procedimentales
Desde el punto de vista probatorio, el problema es claro, se cita nuevamente el un ejemplo
de los usos y su valor probatorio:
Dado que los requisitos de forma a efectos probatorios tal vez revistan ms
importancia que los requisitos de forma a efecto de validez de los contratos. La
dificultad de demostrar acuerdos orales es una de las principales razones por la
que los contratos comerciales se plasman en documentos escritos o se documentan
por correspondencia, incluso aunque un acuerdo oral fuera vlido de otro modo.
Es que resulta poco probable que las partes cuyas obligaciones estn
documentadas en escritos firmados logren negar el contenido de sus obligaciones.
En el estado del arte de la tecnologa y haciendo una analoga con el planteo anterior,
utilizar firma electrnica y despus alegar su valor sea tan comparable como sellar un
acuerdo oral, lo que implica que as como sigue habiendo acuerdos orales, los habr en el
mundo informtico con firma electrnica, sin embargo es esperable que en cuanto se trate
de trmites de los que luego se quiera alegar validez se utilice una firma digital.
Para que una firma digital sea vlida, el proceso de verificacin se compone de un conjunto
de pasos que tienen componentes a nivel del estado, quien concede la licencia al
Certificador licenciado aprobando su Poltica, normas internas y procedimientos, y luego a
nivel operativo de validacin manual que debe realizar el usuario que verifica la firma y
otro automtico realizado por el sistema, gracias al uso de estndares de criptografa.
Cadena de Validaciones (derivada de la legislacin): Los artculos refieren a la ley N
25.506
1)

Que el certificado utilizado para la verificacin de la firma haya sido

emitido por un Certificador Licenciado. Art. 9 y 14 (Validez de la firma y del

certificado)
2)

Que el certificado utilizado se use en el mbito para el que la Poltica de

Certificacin fue aprobada por el Ente Licenciante para ese Certificador

Licenciado. Art 23 inc c)
3)

Que el suscriptor sea un usuario habilitado por la Poltica de Certificacin.

Lo valida la Autoridad de Registro en su proceso de suscripcin e Identificacin.

Art. 20
Trabajo Final Marcela Pallero- Pgina 6

4)

Que el certificado permita identificar a su titular y que su formato sea de

acuerdo al estndar establecido por el Ente Licenciante. Art. 14

5)

Que el certificado no haya sido revocado, (Validez) o lo que es lo mismo,

que al momento de la firma, el certificado haya estado vigente. Art. 9 Inc. a)

6)

Que la emisin del certificado se base en una sincrona horaria confiable.

Todos los relojes de los equipos informticos deben estar sincronizados con un
desvo menor a un segundo. DA (6/2007) Seccin 3 del Anexo I.
7)

Que el suscriptor haya cumplido con las pautas para l establecidas en el

Acuerdo con suscriptores con el Certificador licenciado, manteniendo la

exclusividad de su clave privada y la exactitud de sus datos en el certificado. Art.
25 (Obligaciones del titular del certificado)
8)

Que el procedimiento de verificacin tcnica del sistema haya sido exitoso,

(se verifica automticamente la integridad: que no fue alterado, autenticidad, es el

documento que el suscriptor firm) Art. 9, Inc. b)
Estas validaciones estn implicadas en la Infraestructura de la Firma Digital de la
Repblica Argentina y es por ellos que ante el uso del sistema existe un requerimiento de
informacin por parte de quien va a utilizarlo (tercer usuario) que se encuentra en el
documento exigido por la DA 6/2007 para el Certificador Licenciado denominado
Trminos y condiciones con terceros usuarios, en el que se explican las condiciones de
uso.
Asimismo, como elemento del sistema de firma digital, si bien no es mencionado en forma
expresa en el marco normativo, de manera general pueden enumerarse los siguientes
componentes. (terminologa concordante con la UNCITRAL):
1)
2)
3)
4)

Uso de criptografa de clave pblica

Funcin de control (hash o digesto)
Procedimiento de creacin de firma
Procedimiento de verificacin de firma

Por otro lado, en los elementos de la definicin de firma electrnica se pueden distinguir:
a) Un conjunto de datos electrnicos
b) Otros datos electrnicos utilizados por el firmante como medio de identificacin.
c) estos ltimos datos electrnicos integrados, ligados o asociados de manera lgica los
primeros
c) carece de alguno de los requisitos legales para ser consideradas firma digital.
Dicho lo anterior entonces, el uso de usuario y clave o password, puede ser considerado
Trabajo Final Marcela Pallero- Pgina 7

una firma electrnica?

Segn la bibliografa el uso de cualquier medio habitual para identificarse podra funcionar
como firma electrnica, no obstante, el usuario y contrasea como menciona el documento
de UNCITRAL [Pg. 30 prrafo 63] es un mtodo de autenticacin en el mejor de los
casos, ya que no definindose ms que stos elementos, no carece de alguno de los
elementos requeridos para la firma digital, sino de todos.
No hay procedimiento de firma, ni de verificacin de firma, no hay forma de
verificarla alteracin de un documento, ni documento en trminos de la ley. Art 6
Tampoco podra ser verificada de manera simultnea por terceras partes la
integridad del documento y la identidad del suscriptor.
Tampoco hay estndares, as mencionados.
Para poder brindar seguridad a un procedimiento informtico que contemple todas las
capas tecnolgicas se ha creado la firma digital que si bien tiene el efecto jurdico de la
firma holgrafa incorpora aspectos de criptografa y normas que permiten que pueda ser
confiable logrando una herramienta til al momento de usar la tecnologa para cuestiones
que requieren garantas de autora e integridad, pero conceptualmente no es idntica a la
tradicional.
Las funciones principales de la firma basadas en papel son:
Funcin de identificacin: Permite identificar al signatario.
Funcin probatoria: las firmas aportan certidumbre acerca de la participacin
personal de esa persona en el acto de la firma. Funcin de atribucin: vinculan al
signatario con el contenido de un documento.
Dado que no existe forma de garantizar quien est detrs del teclado la firma digital
viene a crear ciertas garanta, mediante el uso algoritmos matemticos robustos en
trminos de que tales mtodos no pueden ser quebrados, o lo que es lo mismo, no son
vulnerables y exigiendo Polticas, normas y procedimientos de seguridad rigurosos, de
acuerdo a estndares internacionales aceptados y adaptados para su aplicacin en nuestra
legislacin.
Toda interaccin en el mundo de Internet est mediada por tecnologa para cuyos usuarios,
en su gran mayora resulta transparente. ste nuevo medio que constituye la informtica y
las redes, as como la interaccin de los usuarios adopta su lenguaje del mundo fsico, y all
se apropia de trminos que resignifica, hecho que resulta relevante al momento de explicar
lo que ocurre cuando surgen problemas.
En particular, ha surgido hechos propios del mbito informtico, por ej. un documento
electrnico puede ser copiado sin que haya diferencia entre original y copia, tambin la
copia se puede hacer en forma remota y muchos otros aspectos relevantes como la
denominacin de las acciones, as quien lee un documento, habiendo dicho que no hay
garantas de quien se encuentre del otro lado la identificacin, autenticacin y autorizacin
pasan a tener una relevancia crucial en tanto son nombres de usuario con permisos quienes
Trabajo Final Marcela Pallero- Pgina 8

pueden acceder (tener la posibilidad) de leer, escribir, modificar, borrar, etc.

En este nuevo mbito informtico, los testigos ya no son personas, en el mbito
informtico los testigos son los rastros que los mismos sistemas dejan de las transacciones
realizadas. Los protocolos que an se usan para la comunicacin en internet (entre
aplicaciones) no estuvieron pensados para ser seguros, fueron pensados para cumplir una
funcin y la cumplieron tan bien que siguen utilizndose aunque muchos de ellos carezcan
por completo requisitos de seguridad.
Un sistema con previsiones de seguridad debera permitir la posibilidad de rastrear todas
las actividades que se realizan sobre sus componentes y registrar datos (logs) sobre accesos
en caso de que existieran, as como garantizar la integridad, confidencialidad y
disponibilidad de la informacin que maneja.
Como mencionaba antes, la vulnerabilidad de ciertos protocolos, el desconocimiento de
cmo funcionan las aplicaciones, la falta de cuidado en el uso la tecnologa expone a los
usuarios a riesgos respecto de su informacin y su privacidad y de igual manera para
organizaciones pblicas y privadas.
Las empresas proveedoras de servicios gratuitos como correos o acceso a redes sociales
masivas cambian las reglas para acceder a sus servicios de manera peridica atendiendo a
los requerimientos de seguridad: desde hace tiempo proveen la opcin de conectarse
mediante canales seguros como https (opcin para que alguien que intercepte la
comunicacin no pueda leerla), o doble factor de autenticacin como clave enviada a un
celular registrado, etc.
Lo cierto es que cada vez que se requiera garanta de identificacin para la gestin de un
trmite deber requerirse, en nuestro pas, la firma digital. Es cierto que comprender dnde
reside la fortaleza es complicado de entender, pero en rigor de verdad, hasta que se
demuestre lo contrario, lo que queda es difundir su uso a fin de que cuando se requiera sea
utilizada.
Segn la ley la forma de identificar una firma electrnica se da ante la falta de alguno de
los requisitos legales de la firma digital y dado que toda la definicin de la firma digital
son requisitos legales podemos enumerar
Elementos que enumera la definicin:
Ser aplicado a un documentos digital
Un procedimiento matemtico que requiera informacin de exclusivo
conocimiento del firmante.
Dos partes: un firmante y un verificador (tercera parte).
Procedimientos requeridos por la ley:
Procedimiento de firma: es el que involucra al documento a firmar con el
procedimiento matemtico y a la clave
Procedimiento de verificabilidad simultnea: es el que dada una firma
digital permite identificar a quien lo firm y la integridad del documento
Requerimiento de la ley para la verificacin de la firma:
1) Verificabilidad simultnea: la firma digital debe permitir identificacin del
Trabajo Final Marcela Pallero- Pgina 9

firmante e integridad del documento en el mismo momento.

Requisitos para los procedimientos:
2) Determinables: no pueden ser cualquiera, deben ser determinados por la
autoridad de aplicacin
Requisito tcnico:
3) Respetar los estndares tecnolgicos internacionales vigentes, tanto para el
procedimiento de firma como de verificacin simultnea.
Con esta descripcin de elemento y requerimientos de la ley para esos elementos, que
alguno de los requisitos no est presente podra tratarse de:
1) Que la identidad y de la integridad no se pueda verificar de manera simultnea.
Aunque una firma debera orientarse a mostrar la voluntad de adjudicarse el
contenido de un documento desde su firma (integridad) de un documento y la
identificacin de su autor.
2) Que siga un estndar no determinado por la autoridad.
3) Que el estndar de firma y verificacin no siga estndares internacionales.
Por otro lado el uso de un nombre de usuario y contrasea (credenciales) es un medio para
autenticar un usuario, pero nunca una descripcin de firma por si mismos.
En las infraestructuras de firma digital, los certificados digitales pueden usarse como
mtodos de autenticacin, en tanto, ellos mismos son documentos firmados digitalmente
por un certificador licenciado, dado que fueron emitidos con las seguridades de la
identidad del suscriptor (dueo del certificado), pueden usarse para autenticacin segura en
transacciones o ante sistemas sin necesidad de realizar un procedimientos de firma.
Conclusin:
Si bien la firma digital puede resultar complicada de entender, la complejidad de la
tecnologa informtica y los aspectos de seguridad actuales requieren que en las cuestiones
que se requiera alguna garanta de confianza en la identificacin de las personas y los
documentos que generen, se recomiende su uso, sin embargo tampoco es lgico que se
exija para todo trmite, para otras cuestiones puede apelarse a otros mtodos, desde el uso
de la misma tecnologa que la firma digital pero con certificadores no licenciados hasta
otros mtodos menos robustos, pero siempre que sea una organizacin el mtodo utilizado
deber ser diseado, implementado y mantenido por especialistas.

Marcela Pallero.
marcelapallero@gmail.com
28 de septiembre de 2013.
[1] Referencias: Normas complementarias a la ley N 25506:
Decreto 2628/2002
Decreto 724/2006
Decisin Administrativa 6/2007

Trabajo Final Marcela Pallero- Pgina 10