En esta época donde el trabajo remoto está cobrando más fuerza, una necesidad evidente ha llegado a ser el uso de firma electrónica; que asista a las empresas tanto públicas, como privadas en su transformación digital.
Iniciemos marcando la diferencia entre conceptos.
Una firma electrónica es un concepto jurídico, equivalente electrónico al de la firma manuscrita, donde una persona acepta y da por validado el contenido de un mensaje electrónico a través de cualquier medio electrónico que sea legítimo y permitido.
Mientras que una firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente identificar a la entidad origen de dicho mensaje y confirmar que el mensaje no ha sido alterado desde que fue firmado.
Por tanto, una firma digital provee:
- Autenticidad.
- Integridad.
- No repudio.
En Panamá la firma electrónica existe legalmente a través de la Ley 51 de 22 de julio de 2008, la cual define y regula los:
- documentos electrónicos,
- las firmas electrónicas,
- la prestación de servicios de almacenamiento tecnológico de documentos,
- y certificación de firmas electrónicas.
Posteriormente, modificada por la Ley 82 del 2012 que otorgó al registro público de Panamá atribuciones de autoridad registradora y certificadora raíz de firma electrónica para la república de Panamá, a través de la dirección de firma electrónica. En esta reglamentación existe una diferenciación entre la firma electrónica simple y la firma electrónica calificada.
La firma escaneada, que consiste en la firma manuscrita pasada por un escáner se encuentra excluida de la definición de firma electrónica, al no cumplir con los requisitos correspondientes y por ser fácilmente adulterada, por lo que no se encuentra regulada en Panamá.
La firma electrónica simple, pura o sencilla es un método técnico utilizado para identificar a una persona y para indicar que esa persona aprueba la información que figura en un mensaje de datos o documento electrónico. Es utilizada dentro de aquellas aplicaciones y páginas web que utilizan diversos métodos de autenticación, para comprobar la identidad del usuario.
Se puede definir la firma electrónica calificada como un firma electrónica cuya validez es respaldada por un certificado electrónico calificado que:
- Permite identificar al firmante y detectar cualquier cambio posterior de los datos firmados.
- Está vinculada al firmante de manera única y para ser utilizada con determinados datos.
- Ha sido creada utilizando dispositivos seguros de creación de firmas electrónicas, los cuales mantiene el firmante bajo su control exclusivo.
- Ha sido creada a través de la infraestructura de un prestador que sigue los parámetros técnicos legales de servicios de certificación registrados ante la dirección nacional de firma electrónica.
Respecto al reconocimiento de certificados emitidos en el extranjero, la Ley 51 en su artículo 17 dice:
Los certificados emitidos por prestadores de servicios de certificación de firmas electrónicas extranjeros podrán ser reconocidos en los mismos términos y condiciones establecidos por esta Ley para los certificados calificados cuando:
- Tales certificados sean reconocidos en virtud de acuerdos con otros países, ya sean bilaterales o multilaterales, o efectuados en el marco de organizaciones internacionales de las que Panamá sea parte.
- Tales certificados sean emitidos por prestadores de servicios de certificación debidamente avalados en su país de origen por instituciones homólogas a la Dirección General de Comercio Electrónico que requieren para su reconocimiento estándares que garanticen la seguridad en la creación del certificado y la regularidad de los detalles del certificado, así como su validez y vigencia.
- Se acredite que tales certificados fueron emitidos por un prestador de servicios de certificación que cumple con los estándares mínimos requeridos para un prestador de servicios de certificación de firmas electrónicas registrado en la Dirección General de Comercio Electrónico.
El procedimiento común de un aplicativo de firma de documentos PDF (véase Figura 1) es el siguiente:
Dado un documento PDF redactado, primeramente se genera uno o varios campos de firma según el número de firmantes que sean requeridos.
Se extrae el contenido del documento, al cual se aplica una función hash (la cual es una operación criptográfica que genera identificadores únicos e irrepetibles de un tamaño fijo).
Este hash obtenido es enviado a la tarjeta criptográfica, la cual haciendo uso de uno de los certificados que contiene, firma el hash haciendo uso de criptografía asimétrica.
Finaliza el procedimiento, agregando el hash firmado al campo de firma.
Si el contenido del documento es modificado, el nuevo hash resultante será diferente al hash contenido en la firma del documento, por lo tanto, el documento perderá su validez.
Redacción: EHCGroup / Carlos Caballero