El Modelo Vasco de Contratación Electronica
description
Transcript of El Modelo Vasco de Contratación Electronica
-
MMDDUULLOO 66::
CONTRATACIN PBLICA DEL GOBIERNO VASSCCOO..
EEELLL SSSIIISSSTTTEEEMMMAAA DDDEEE LLLIIICCCIIITTTAAACCCIIINNN PPPBBBLLLIIICCCAAA EEE
FFFAAAVVVOOORRRAAABBBLLLEEE PPPAAARRRAAA LLLAAASSS IIINNNVVVEEERRRSSSIIIOOONNNEEESSS EEE
LLAA FFIIRRMMAA EELLEECCTTRRNNIICCAA CCOOMMOO IINNSSTTRRUUMMEENNTTOO DDEE
UUNN CCAASSOO PPRRCCTTIICCOO:: EELL MMOODDEELLOO DDEE
CONTRATACIN PBLICA DEL GOBIERNO VALLAA CCOONNTTRRAATT
AUTOR: JAIME LLLEEECCCTTTRRNNNIIICCCAAA::: CCCRRREEEAAANNNDDDOOO UUUNNN CCCLLLIIIMMMAAA
NNN AAAMMMRRRIIICCCAAA LLLAAATTTIIINNAAA (((222 EEEDDD...)))
R
N
AACCIINN AADDMMIINNIISSTTRRAATTIIVVAA
DOMNGUEZ-MACAYA LAURNAGA
-
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica
como instrumento de la contratacin administrativa 2
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
NDICE
ndice ......................................................................................................... 2
PRIMERA PARTE
1. INTRODUCCION ....................................................................................... 5
2. DIFERENTES TIPOS DE FIRMA ELECTRNICA.............................................. 11
3. CONSECUENCIAS JURDICAS DE LA FIRMA ELECTRNICA............................ 14
4. FUNDAMENTOS TCNICOS....................................................................... 17
4.1 Elementos lgicos y fsicos de garanta de la identidad............................. 17
4.2 fundamentos de la criptografa ............................................................. 20
4.3 Integridad - HASH.............................................................................. 24
4.4 cifrado de los ficheros ......................................................................... 30
4.5 SSL - Secure Socket Layer .................................................................. 38
4.6 El no repudio ..................................................................................... 47
5. FUNDAMENTOS ORGANIZATIVOS.............................................................. 49
5.1 Comprobacion de la vigencia................................................................ 49
5.2 No necesidad de desplazamiento .......................................................... 50
5.3 Rapidez del envo ............................................................................... 51
SEGUNDA PARTE
6. ANTECEDENTES Y SITUACION ACTUAL ...................................................... 53
6.1 Quien es el gobierno vasco? ............................................................... 53
6.2 Qu es el modelo vasco de contratacin publica electrnica?.................. 54
-
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica
como instrumento de la contratacin administrativa 3
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
6.3 Hitos del MVCPE................................................................................. 56
6.4 Algunos datos del MVCPE .................................................................... 58
6.5 Abundante documentacin a su servicio ................................................ 59
7. PRINCIPIOS ESTRATGICOS DEL MODELO ................................................. 62
7.1 Recomendaciones implantadas............................................................. 62
7.2 Recomendaciones por implantar ........................................................... 64
7.3 Recomendaciones no interesentes ........................................................ 65
8. BENEFICIOS OBTENIDOS DE LA IMPLANTACIN DEL MODELO ...................... 66
9. NO TODO SER UN CAMINO DE ROSAS ..................................................... 70
9.1 La gestin del cambio ......................................................................... 70
9.2 El centro de soporte a los usuarios........................................................ 71
9.3 La formacin ..................................................................................... 72
9.3.1 Formacin presencial..................................................................... 72
9.3.2 Formacin no presencial ................................................................ 73
10. COMPONENTES APLICATIVOS DE LA ARQUITECTURA DEL MODELO.............. 74
10.1 Propios de la contratacin electrnica .................................................. 75
10.1.1 Aplicacin de gestin expedientes de contratacin .......................... 75
10.1.2 Registro de licitadores o contratistas.............................................. 75
10.1.3 Clasificacin de empresas............................................................. 76
10.1.4 Web de registro y clasificacin de empresas................................... 76
10.1.5 Registro de contratos .................................................................. 76
10.1.6 Sistema de licitacin electrnica.................................................... 76
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica
10.1.7 Web informativa a licitadores. el perfil de contratante ...................... 76
10.1.8 Aplicacin de gestin de compra y almacenes ................................. 78
10.1.9 Web de proveedores.................................................................... 78
10.1.10 Centro de soporte a usuarios ...................................................... 78
10.1.11 Gestion de las alertas tempranas................................................. 78
10.2 Comunes a la administracion electronica general................................... 78
10.2.1 Certificacin, tarjeta y firma electrnica reconocida.......................... 78
10.2.2 Servicio horizontal de notificacin electrnica.................................. 79
10.2.3 Anotacin automtica en el libro de entradas y salidas de los
documentos que se envan ..................................................................... 79
10.2.4 Mis gestiones. cmo est lo mo? ................................................. 79
10.2.5 Otros ........................................................................................ 79
11. EL CONCEPTO DE ALERTA TEMPRANA.................................................... 81
12. LICITACIONES DE PRUEBA A DISPOSICIN DE LAS EMPRESAS ................... 85
como instrumento de la contratacin administrativa 4
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
PRIMERA PARTE:
LA FIRMA ELECTRNICA COMO INSTRUMENTO DE GARANTA DE LA CONTRATACIN ELECTRNICA.
DIEZ VENTAJAS DE LA FIRMA ELECTRNICA SOBRE LA MANUSCRITA.
1. INTRODUCCION
En las legislaciones que rigen las contrataciones de bienes, obras y servicios de
nuestras administraciones a diferencia de las de corte anglosajn- tiene gran
importancia la constancia y la fehaciencia de la personalidad y capacidad de los
que intervenimos en los expedientes de contratacin -no digamos nada en relacin con
los empresarios que nos remiten las ofertas-, as como la seriedad y la
inviolabilidad de las ofertas que se reciben.
Por ello no es casualidad que las reflexiones que sobre la contratacin pblica
electrnica quiero hacerles llegar a ustedes empiecen precisamente por el anlisis sobre
qu es y qu pretende garantizar la utilizacin de la firma electrnica en la contratacin
administrativa (utilizar indistintamente administrativa o pblica). Conocern ustedes
aqu sus fundamentos bsicos, tanto desde un punto de vista legal, como tcnico y
organizativo, en un estudio que yo suelo titular como la firma electrnica para
escpticos.
En el anlisis de los aspectos jurdicos de la firma electrnica que van ustedes a poder
conocer en este estudio, resear con carcter preferente lo que prev la Ley Modelo de
la CNUDMI sobre firmas electrnicas del ao 2001, y complementariamente me referir
a lo previsto en la Directivas de la Unin Europea sobre firma electrnica y contratacin
administrativa, as como a las leyes espaolas en esos mbitos.
instrumento de la contratacin administrativa 5
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Ley Modelo CNUDMI 2001 sobre firma electrnica.
La Ley Modelo de la CNUDMI sobre firmas electrnicas es la norma que ha
inspirado la prctica totalidad de las legislaciones de pases iberoamericanos
en materia de firma electrnica.
Pueden ustedes consultar la Ley Modelo y su gua para la incorporacin al derecho
interno en http://www.uncitral.org/pdf/spanish/texts/electcom/ml-elecsig-s.pdf
Como ustedes tal vez conocern, la CNUDMI es la Comisin de la Naciones Unidas
para el estudio del Derecho Mercantil Internacional creada por su Asamblea
General en 1966-, que trabaja para facilitar el comercio internacional mundial mediante
la preparacin de convenios, leyes modelo leyes que luego los estados que lo deseen
pueden aprobar como propias-, normas y guas jurdicas cuyo objeto es armonizar el
derecho mercantil internacional.
Para la Asamblea General de las Naciones Unidas, la adopcin de la garanta de
la firma electrnica en nuestras legislaciones de contratacin pblica es
interesante, como recuerda la resolucin de fecha 12 de Diciembre de 2001 en la que
se aprueba la Ley Modelo sobre firmas electrnicas, al ser consciente la Asamblea
General de la gran utilidad de las nuevas tecnologas de identificacin personal
utilizadas en el comercio electrnico, generalmente conocidas como firmas
electrnicas, recordando el inters de la Asamblea General en garantizar la
seguridad jurdica en el contexto de la utilizacin ms amplia posible del procesamiento
automtico de datos en el comercio internacional mediante la utilizacin de la firma
electrnica, y recomendando, por ltimo, que todos los Estados consideren de
manera favorable la Ley Modelo sobre las Firmas Electrnicas cuando
promulguen o revisen sus leyes, habida cuenta de la necesidad de que el derecho
aplicable a los mtodos de comunicacin, almacenamiento y autenticacin de la
informacin sustitutivos de los que utilizan papel sea uniforme y que se haga todo lo
posible por promover el conocimiento y la disponibilidad generales de la Ley Modelo
sobre las Firmas Electrnicas para su incorporacin al derecho interno.
instrumento de la contratacin administrativa 6
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
En Espaa es obligatorio utilizar firma electrnica (avanzada o reconocida)
para la contratacin electrnica.
En la legislacin espaola, por su parte, la utilizacin de la firma electrnica
reconocida no es optativa para los agentes participantes en la variante electrnica de
la contratacin administrativa, sino obligatoria. Vemos que, en efecto, la Ley de
Contratos del Sector Pblico indica en el apartado f de su Disposicin adicional
decimonovena (que es la que regula el uso de medios electrnicos, informticos y
telemticos en los procedimientos regulados en la Ley) que cuando se utilicen esos
medios electrnicos, informticos o telemticos-, todos los actos y manifestaciones
de voluntad de los rganos administrativos o de las empresas licitadoras o
contratistas que tengan efectos jurdicos y se emitan tanto en la fase preparatoria
como en las fases de licitacin, adjudicacin y ejecucin del contrato deben ser
autenticados mediante una firma electrnica reconocida de acuerdo con la Ley
59/2003, de 19 de diciembre, de Firma Electrnica.
Como pueden ustedes comprobar esta regulacin tiene cuatro caractersticas:
a. Se refiere a todos los actos importantes de los expedientes de contratacin.
b. Rige tanto para los contratistas como para la propia administracin.
c. Se aplica en todas las fases de la contratacin, desde la fase preparatoria
hasta la ejecucin de los contratos, pasando por la licitacin y la adjudicacin de
los mismos.
d. Al referirse a un procedimiento muy garantista, como es el de la
contratacin administrativa, el legislador se decanta no por cualquier tipo
de firma electrnica, sino por la firma electrnica que da mayores
garantas, es decir, la firma electrnica reconocida frente a otras menos
rigurosas como son la firma electrnica simple (u ordinaria) o la firma
electrnica fiable (o avanzada), que luego estudiaremos.
instrumento de la contratacin administrativa 7
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
De manera igual de contundente, aunque algo ms limitada, la otra gran ley
espaola sobre contratacin administrativa, la Ley 31/2007, de 30 de octubre,
sobre procedimientos de contratacin en los sectores del agua, la energa, los
transportes y los servicios postales, en el apartado b de su Artculo 73 que es el que
regula las comunicaciones por medios electrnicos- indica que se exigir que las
ofertas transmitidas por va electrnica vayan acompaadas de una firma
electrnica avanzada con arreglo a la Ley 59/2003, de 29 de diciembre, de Firma
Electrnica. En este caso la regulacin es menos ambiciosa, ya que la necesidad de la
firma electrnica se circunscribe a la suscripcin de las ofertas por los contratistas con
lo cual en otro tipo de actos con efectos jurdicos se admitirn otros tipo de elementos
de autenticacin-, y la tipologa que se exige de firma electrnica es la fiable (o
avanzada) y no la reconocida.
La opcin legislativa que las Cortes Generales espaolas han tomado se adapta
perfectamente a lo previsto por la CNUDMI y en las Directivas europeas
comunitarias sobre contratacin pblica, aunque hemos de conocer, no obstante, que,
cumpliendo asimismo con la normativa europea, se poda haber optado por otro tipo
de soluciones en materia de autenticacin de las partes intervinientes en los procesos
de contratacin.
Directivas europeas: la firma electrnica es optativa.
En efecto, tanto la Directiva 2004/18/CE del Parlamento Europeo y del Consejo de
31 de marzo de 2004 sobre coordinacin de los procedimientos de adjudicacin
de los contratos pblicos de obras, de suministro y de servicios, en su Artculo
42.5. b), como la Directiva 2004/17/CE del Parlamento Europeo y del Consejo de 31
de marzo de 2004 sobre la coordinacin de los procedimientos de adjudicacin
de contratos en los sectores del agua, de la energa, de los transportes y de los
servicios postales, en su articulo 48.5.b, -Normas aplicables a las comunicaciones-,
contemplan que con arreglo al artculo 5 de la Directiva 1999/93/CE, los Estados
miembros podrn exigir que las ofertas transmitidas por va electrnica vayan
instrumento de la contratacin administrativa 8
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
acompaadas de una firma electrnica avanzada de conformidad con lo dispuesto
en el apartado 1 de dicho artculo.
Vemos, por lo tanto, que la opcin espaola de exigir el respaldo de la firma
electrnica (reconocida o avanzada segn el sector) en determinadas fases del
procedimiento de contratacin administrativa diferentes de la de la oferta ha sido una
opcin voluntaria del legislador, decisin que no puedo sino calificar de
plenamente acertada. Y la califico de esta manera porque, a pesar de que es
indudable que introducir requisitos de firma electrnica dificulta inicialmente cualquier
procedimiento pensemos en compararlo por ejemplo con un mtodo de autenticacin
light como puede ser el de usuario y password-, las ventajas que como luego
veremos aporta la utilizacin de estas tcnicas superan con creces las
desventajas que podamos intuir, sobretodo en un procedimiento tan garantista como
es el de la contratacin administrativa, en cualquiera de nuestras legislaciones.
Firma electrnica: tiene muchas ms ventajas que inconvenientes.
Esta libre decisin del legislador espaol casa perfectamente, adems, con lo
previsto en la Directiva 1999/93/CE, de 13 de Diciembre, por la que se establece
un marco comunitario para la Firma Electrnica, la cual es imperativa ya desde
su propio prembulo, cuando afirma que la Firma Electrnica se utilizar en el
sector pblico en el marco de las Administraciones y en la comunicacin entre ellas y
con los ciudadanos y agentes econmicos (en nuestro caso los contratistas-licitadores-
adjudicatarios de nuestras contrataciones) y se subraya por ejemplo en la
contratacin pblica.
Igualmente es coherente con la traslacin que la Ley 59/2003, de 19 de Diciembre, de
Firma Electrnica, realiza del mandato imperativo recogido en ese Prembulo de la
Directiva 1999/93 que hemos visto, posibilitando el uso de la Firma Electrnica en la
Administracin Pblica. Dicha norma lo hace en diferentes preceptos, pero
especialmente en el art. 4.1 (Esta ley se aplicar al uso de la firma electrnica en el
instrumento de la contratacin administrativa 9
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
seno de las Administraciones Pblicas) y en el art. 3.6 (El documento electrnico
ser soporte deb) documentos expedidos y firmados electrnicamente por
funcionarios).
instrumento de la contratacin administrativa 10
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
2. DIFERENTES TIPOS DE FIRMA ELECTRNICA
La firma electrnica se define como el conjunto de datos en forma electrnica
consignados en un mensaje de datos, o adjuntados o lgicamente asociados al
mismo, que puedan ser utilizados para identificar al firmante en relacin con el
mensaje de datos e indicar que el firmante aprueba la informacin recogida en el
mismo (art. 2.a de la Ley Modelo CNUDMI sobre firmas electrnicas), definicin
similar a la contenida en el art. 2.1 de la Directiva 1999/93 de firma
electrnica, para la cual, la firma electrnica son los datos en forma electrnica
anejos a otros datos electrnicos o asociados de manera lgica con ellos, utilizados
como medio de autenticacin, o en el art. 3.1 de la Ley espaola de firma
electrnica, la Ley 59/2003. Como no poda ser de otra manera, vemos que la
funcin primordial de la firma electrnica es la identificacin o autenticacin del
firmante, la misma cualidad que exigimos a la firma manuscrita, aunque en este caso
con muchas menos garantas como luego veremos.
La firma electrnica es el conjunto de datos en forma electrnica consignados
o asociados a un mensaje con el fin de identificar al firmante.
En estas definiciones caben muchas diferentes tipologas de firma electrnica,
algunas de una calidad que puede dejar mucho que desear. Por ejemplo, una
firma manuscrita escaneada que adjunto a un escrito es una forma de firma
electrnica o incluso una firma donde yo relaciono mis datos personales tambin lo es.
Vemos que en estos casos estamos ante el supuesto de que sern unas firmas un
conjunto de datos- consignadas junto al escrito o anejas al mismo, pero en ningn caso
asociadas de manera lgica con ste, lo que les da un valor y una garanta de
autenticidad muy limitada. Este tipo de firma electrnica, y por exclusin, aquellas
que no pertenezcan a los otros dos tipos por no cumplir con sus requisitos, son los que
podemos definir como firma electrnica simple u ordinaria.
instrumento de la contratacin administrativa 11
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Sin embargo, en documentos con una eficacia jurdica importante y que suponen el
nacimiento de obligaciones slidas entre las partes, la salvaguardia que puede
ofrecer una firma electrnica simple es muy limitada. Pensemos por ejemplo
en que para garantizar la seriedad de la oferta nuestras legislaciones admiten
que el rgano de contratacin pueda exigir a los licitadores la constitucin de
una garanta (tambin denominada depsito o fianza) que responda del
mantenimiento de sus ofertas hasta la adjudicacin del contrato (as, p.e. lo
contempla art. 91.1 Ley 30/2007 espaola, de Contratos del Sector Pblico, cuando
desarrolla la garanta provisional, el art. 30.12 de Ley 80/1993 colombiana, por la
cual se expide el Estatuto General de Contratacin de la Administracin Pblica, cuando
permite incautar la garanta constituida para responder por la seriedad de la propuesta
si el adjudicatario no suscribe el contrato, o el art. 33 de la Ley 7494/96 de Costa
Rica, de Contratacin Administrativa, cuando regula la garanta de participacin, entre
otras normas), o que la obligacin de cumplir con el objeto del contrato con su
consiguiente contrapartida del derecho del cobro del precio del mismo- nace con la
suscripcin del contrato, por lo que la garanta de suscripcin de aquella la oferta- o
este el contrato- ha de ser plena.
Si avanzamos en el anlisis de las tipologas de firma electrnica, veremos que el art.
6.3 de la Ley Modelo CNUDMI define el concepto de firma electrnica fiable.
Dicho artculo prev que para que pueda ser considerada como fiable, la firma
electrnica ha de cumplir con cuatro condiciones:
a. Que los datos de creacin de la firma, en el contexto en que son utilizados,
corresponden exclusivamente al firmante.
b. Que los datos de creacin de la firma estaban, en el momento de la firma,
bajo el control exclusivo del firmante.
c. Que es posible detectar cualquier alteracin de la firma electrnica hecha
despus del momento de la firma.
d. Y que cuando uno de los objetivos del requisito legal de firma consista en dar
seguridades en cuanto a la integridad de la informacin a que corresponde
como es el caso de la contratacin administrativa-, es posible detectar
cualquier alteracin de esa informacin por ejemplo en la oferta- hecha
despus del momento de la firma.
instrumento de la contratacin administrativa 12
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
La firma electrnica es fiable, si cumple 4 condiciones:
Los datos de creacin de firma corresponden exclusivamente al firmante
Esos datos estaban bajo su control.
Es posible detectar modificaciones de la firma.
Es posible detectar modificaciones del documento firmado.
De manera similar define a la firma electrnica la norma europea en el art. 2.2
de la Directiva 1999/93, y la norma espaola en el art. 3.2 de la Ley 59/2003,
aunque en ambos casos la firma no se denomina fiable, sino avanzada.
Buscando una mayor solidez en las firmas electrnicas, la ley espaola 59/2003
da un paso ms adelante y configura en su art. 3.3 el concepto de firma
electrnica reconocida (a la que tambin podramos denominar firma electrnica
fiable cualificada), que es aquella que, adems de cumplir con todos los requisitos que
hemos visto para la firma electrnica simple y para la fiable, tiene dos caractersticas
aadidas:
a. Est basada en un certificado reconocido
b. y ha sido generada mediante un dispositivo seguro de creacin de
firma
instrumento de la contratacin administrativa 13
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
3. CONSECUENCIAS JURDICAS DE LA FIRMA ELECTRNICA
Efectos jurdicos plenos.
Como es lgico, cuando la legislacin de la Naciones Unidas, la legislacin europea o la
espaola abogan por la utilizacin de la firma electrnica en procedimientos
administrativos, es porque se concede a los documentos firmados con ella efectos
jurdicos.
La Ley Modelo que hemos venido analizando es rotunda en este aspecto. En efecto, su
art. 6.1 recoge que cuando la ley exija la firma de una persona, ese requisito
quedar cumplido en relacin con un mensaje de datos si se utiliza una firma
electrnica que sea fiable con los requisitos y en el sentido que antes hemos
estudiado-. Por su parte, su apartado segundo reafirma esta exigencia al afirmar que
el cumplimiento del requisito previsto en el apartado primero se dar tanto si el
requisito a que se refiere est expresado en forma de una obligacin como si la ley
simplemente prev consecuencias para el caso de que no haya firma.
Por su parte, en la legislacin europea, si la firma electrnica que utilizamos
cumple los requisitos para ser considerada como firma electrnica avanzada (o
fiable) o reconocida, segn el caso, sus efectos jurdicos sern plenos, pues la
legislacin prev que este tipo de firma electrnica tiene, respecto de los datos
consignados en forma electrnica, exactamente el mismo valor que la firma
manuscrita en relacin con los consignados en papel (art. 5.1 Directiva F.E. y 3.4 Ley
F.E. espaola). Como consecuencia natural, un documento suscrito con firma
electrnica reconocida es plenamente admisible como prueba documental en
juicio (art. 5.1 Directiva y 3.8 Ley espaola).
Firma electrnica = Firma manual
instrumento de la contratacin administrativa 14
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Valor prueba documental.
No es casualidad que a la prueba derivada de un documento firmado
electrnicamente con firma electrnica avanzada (o fiable) o reconocida en Europa se
le otorgue ese carcter de prueba documental. Antes al contrario, es por la
solidez que aporta la tecnologa de firma electrnica reconocida a la
autenticidad del firmante y a la integridad de lo firmado la que sin duda ha
motivado al legislador a darle este carcter tan privilegiado como es su
conceptuacin como prueba documental.
Pero, adems, el slo hecho de no cumplir con todos los requisitos para ser
firma electrnica avanzada o reconocida, no significa que se le niegue todo
efecto jurdico. As lo regulan los arts. 5.2 de la Directiva F.E. y 3.9 de la Ley F.E.
espaola cuando recogen que no se negarn efectos jurdicos a una firma electrnica
que no rena los requisitos de firma electrnica reconocida en relacin a los datos a los
que est asociada por el mero hecho de presentarse en forma electrnica. No tendr
la potencia probatoria de la prueba documental y deber por lo tanto complementarse
con otro tipo de pruebas que lo corroboren, pero s que tendr una cierta validez
probatoria.
Por ltimo, no podemos pasar por alto el primordial inters lgico en funcin del
sujeto que lo tiene- de la CNUDMI y la Asamblea General de la ONU en el
reconocimiento por los pases de las firmas electrnicas generadas en otros
pases y de los certificados que los contienen, con el fin de no obstaculizar el
comercio electrnico internacional, sino todo lo contrario.
La ONU Fomenta el reconocimiento internacional de las firmas electrnicas
instrumento de la contratacin administrativa 15
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Dedica la Ley Modelo CNUDMI de firma electrnica su articulo 12 a afirmar con
rotundidad en su apartado primero que al determinar si un certificado o una firma
electrnica producen efectos jurdicos, o en qu medida los producen, no se tomar en
consideracin:
a) El lugar en que se haya expedido el certificado o en que se haya creado o utilizado la
firma electrnica, ni b) el lugar en que se encuentre el establecimiento del expedidor o
del firmante.
En la misma lnea, su apartado segundo prev que todo certificado expedido fuera [del
Estado promulgante] producir los mismos efectos jurdicos en [el Estado promulgante]
que todo certificado expedido en [el Estado promulgante], si presenta un grado de
fiabilidad sustancialmente equivalente.
Igualmente, su apartado tercero afirma que toda firma electrnica creada o utilizada
fuera [del Estado promulgante] producir los mismos efectos jurdicos en [el Estado
promulgante] que toda firma electrnica creada o utilizada en [el Estado promulgante]
si presenta un grado de fiabilidad sustancialmente equivalente.
instrumento de la contratacin administrativa 16
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
4. FUNDAMENTOS TCNICOS
Hemos visto hasta ahora el potencial jurdico que la firma electrnica nos aporta y que,
conviene repetirlo, la iguala a la firma manuscrita si se dan las condiciones que antes
he explicado.
Las 10 ventajas de la firma electrnica respecto a la manual
En este apartado vamos a explicar en un nivel bsico, pero creo que suficientemente
aclaratorio, cmo la tcnica que incorpora la firma electrnica nos ayuda a
mejorar las funcionalidades que nos ha aportado hasta ahora la firma
tradicional, y, al hilo de la explicacin y tratndose de los tipos de firma electrnica
ms garantistas -la firma electrnica avanzada (o fiable) o reconocida, en adelante
F.E.- iremos viendo lo que yo defino como las diez mejoras o ventajas de la
firma electrnica respecto a la manuscrita.
Pido disculpas adelantadas si algunas de las explicaciones pueden llegar a resultar
excesivamente tcnicas y por lo tanto algo ininteligibles para legos en la materia, pero
creo que pueden ser de gran inters para comprender un instrumento la firma
electrnica- que por imperativo legal antes o despus manejaremos en nuestras tareas
cotidianas relacionadas con la contratacin administrativa. Intentar introducir
solamente los tecnicismos necesarios para un cabal entendimiento de la cuestin.
4.1 Elementos lgicos y fsicos de garanta de la identidad
Bsicamente la F.E. se basa en la existencia de
sendas parejas de claves, una pblica y la otra
privada, tanto para el emisor de un mensaje
(en nuestro caso por ejemplo una oferta econmica)
o cualquier otro tipo de archivo, como para el
receptor del mismo.
La F.E. se basa en la
existencia de pares de
claves, pblicas y privadas
instrumento de la contratacin administrativa 17
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Para firmar el mensaje, el emisor debe de utilizar
ineludiblemente su clave privada, la cual est bajo
su exclusivo control, ya que, en los sistemas ms
extendidos y seguros, su clave privada est
encriptada en un fichero creado digitalmente por la
Autoridad de Certificacin.
1 Ventaja: Para
firmar he de utilizar
un elemento fsico.
Dicho certificado suele estar contenido en un
chip (parecido visualmente slo visualmente- al
de los que llevan generalmente las tarjetas tipo
bono-bus o monedero) insertado en una tarjeta
similar a las bancarias. Por lo tanto debo de
poseer la tarjeta para utilizar mi clave privada y
para poder firmar el mensaje.
Han ustedes de conocer que no es estrictamente necesaria la utilizacin de
tarjetas fsicas para utilizar firma electrnica, ya que se puede tambin realizar
desde, por ejemplo, una memoria de tipo USB o, sencillamente, desde un fichero que
tengamos directamente instalado en nuestro ordenador. En los dos primeros casos la
ventaja comparativa con la firma manuscrita se mantiene; no as en la tercera opcin
en la que perderamos, innecesariamente he de decir, esta garanta. Yo abogo
claramente por la utilizacin de tarjetas u otro tipo de elementos fsicos para
poder firmar electrnicamente.
Sin embargo, de lo que irremediablemente no voy a
poder prescindir para firmar electrnicamente, es
del conocimiento del PIN o clave de acceso que me
permita utilizar mi clave privada, en cualquiera de las
tres variantes que hemos visto. Por lo tanto para firmar
he de conocer dicho PIN.
2 Ventaja:Para
firmar he de conocer
un PIN.
Mientras que en el caso de la firma manuscrita cualquiera con un poco de
habilidad puede firmar suplantndome, en el caso de la F.E., nadie que no
tenga mi tarjeta (o memoria USB o fichero) y que adems no conozca cual es el
pin de acceso al certificado de firma electrnica podr firmar por mi.
instrumento de la contratacin administrativa 18
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Lo podr hacer solamente si yo lo consiento y lo deseo, al haberle dado en una
actuacin totalmente irresponsable- mi tarjeta y haberle revelado cual es mi pin de
acceso, pero no podr firmar con mi desconocimiento o en contra de mi
voluntad como puede suceder ahora con una firma manuscrita.
Una cuestin de tipo tcnico que favorecera enormemente la confianza del gran
publico en la F.E. sera que el acceso al uso de la clave privada se controlase
por mtodos biomtricos (tipo huella digital, control del iris del ojo, etc.),
imposibilitando definitivamente cualquier utilizacin irregular de la firma. Este tipo de
acceso controlado ya se puede requerir para, por ejemplo utilizar el propio ordenador,
y, en consecuencia, ni el coste econmico ni tecnolgico de este importante incremento
de seguridad en la utilizacin de las tarjetas de firma electrnica, suficientemente
modesto en algunas de las posibles soluciones, justifican la no implantacin de los
mismos, por lo que pueden ser una realidad en breve plazo.
Hemos de destacar que la clave privada es privada
en tal medida que incluso yo siendo el poseedor
y titular de mi certificado de F.E.- desconozco cual
es. Por supuesto, nadie que quiera demostrar si un
documento ha sido firmado por mi necesita conocer la
clave privada de mi certificado de firma electrnica.
3 Ventaja: Para
firmar utilizo una clave
que desconozco.
Por su parte, el receptor del mensaje, o cualquier otra persona, aplicando la clave
pblica del emisor, que valga la redundancia es pblica y por lo tanto es
susceptible de ser conocida por cualquiera, puede
comprobar y demostrar la identidad del
firmante, puesto que, conviene repetirlo, slo ste
con su clave privada y su correspondiente PIN ha
podido firmarlo. Con esto se garantiza la Autenticidad
del mensaje.
4 Ventaja: Con la clave
pblica demuestro
indubitadamente quien
ha sido el firmante.
instrumento de la contratacin administrativa 19
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Actualmente cuando abrimos un sobre que contiene una oferta, Cmo
sabemos que por el hecho de poner en la propia oferta que la misma ha sido
suscrita por fulano de tal, apoderado de determinada empresa, realmente ha sido
suscrita por el mismo? Ciertamente suponemos y damos por hecho como as habr
sido- la realizacin de la firma manuscrita, pero realmente no lo sabemos a ciencia
cierta. Con la firma manuscrita, para tener este nivel de garanta respecto al suscriptor
del documento, habra de intervenir un fedatario pblico, con los gastos, molestias y,
sobretodo, falta de confidencialidad, que ello originara.
A sensu contrario, con la utilizacin de la F.E. s sabemos sin ningn gnero de
dudas quien ha sido el firmante de la oferta recibida.
4.2 fundamentos de la criptografa
Aunque de momento estamos hablando de firma y no de cifrado del documento que
veremos al final-, para una mejor comprensin de la diferencia entre las tecnologas
simtricas y las asimtricas estas ltimas utilizadas en la F.E.-, es imprescindible dar
siquiera cuatro pinceladas muy bsicas sobre criptografa.
En primer lugar hemos de conocer su significado. Criptografa viene de las palabras
griegas Kryptos (escondido) + Graphos (escritura), es decir, significa escritura
escondida. Se trata de escribir algo de forma que otra persona que lo lea no lo
pueda entender salvo que sepa como se ha escondido (o encriptado).
Criptografa = escritura escondida
En la criptografa simtrica usamos la misma clave para cifrar (o encriptar) y
descifrar (o desencriptar). Para que el receptor descifre el mensaje es
imprescindible que conozca la clave que el emisor ha utilizado, con lo que
proporciona menor seguridad, al poderse difundir aquella clave.
instrumento de la contratacin administrativa 20
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Esta es el tipo de tecnologa que utilizamos por ejemplo cuando utilizamos la tcnica de
password (o contrasea) y cdigo de usuario.
En la criptografa asimtrica, puesto que se usan dos claves del emisor para
firmar, una la privada y la otra pblica, y otras dos, en su caso, para cifrar (la
privada y la pblica del receptor), ninguno de ellos necesita conocer la clave
privada del otro, por lo que el sistema es muy seguro.
La F.E. utiliza las claves privadas, que son desconocidas por todos.
Otra de los datos fundamentales de ese tipo de criptografa asimtrica es comprobar
que a partir del conocimiento de la clave pblica, que repito- por su propio
carcter de pblica puede ser conocida por cualquiera, no se puede deducir ni
obtener matemticamente la clave privada sin un esfuerzo ingente. En otro caso, si
partiendo de la clave pblica se pudiese obtener fcilmente la clave privada, el sistema
carecera de seguridad dado que cualquier podra
utilizar la clave privada atribuida a otra persona,
pero obtenida ilcitamente por un tercero
partiendo de la clave pblica.
NO se puede obtener
fcilmente la clave privada
partiendo de la pblica
Esta afirmacin de que no es posible conocer la
clave privada a partir de la pblica, se basa en una caracterstica de los nmeros primos
(nmeros enteros que no admiten otro divisor que no sea el 1 o ellos mismos) y en el
llamado problema de la factorizacin. Si A x B = C, el problema de la factorizacin es la
obtencin a partir de un determinado producto (C), de los factores cuya multiplicacin
ha dado como resultado ese producto (en nuestro caso A y B).
Los nmeros primos, incluidos los nmeros primos grandes, se caracterizan porque si
se multiplica un nmero primo por otro nmero primo, da como resultado un tercer
nmero primo, a partir del cual es virtualmente imposible averiguar y deducir los
nmeros primos que lo han producido.
El criptosistema de clave pblica ms utilizado en la actualidad es el llamado
RSA, creado en 1978 y que debe su nombre a sus tres creadores (Rivest, Shamir y
Adleman).
instrumento de la contratacin administrativa 21
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Este sistema criptogrfico se vale de esa caracterstica de los nmero primos y
tiene, adems, dos grandes ventajas:
a. Por una parte, -esto lo destacaban en el Hackmeeting de Barcelona del ao
2000-, an con longitudes de clave grandes, mientras el proceso de creacin
de claves la pblica y la privada- se realiza en pocos minutos (o incluso
menos), la factorizacin necesaria para obtener la clave privada
partiendo de la pblica- requiere muuuuuuuucho tiempo como se observa
en la siguiente tabla:
Tamao de la clave MIPS-ao necesarios para la
factorizacin
512 30 000
768 200 000 000
1024 300 000 000 000
2048 300 000 000 000 000 000 000
(Siendo un MIPS-ao la cantidad de clculo que llevara a cabo un ordenador capaz de
ejecutar un milln de instrucciones por segundo, en un ao.)
b. La otra gran ventaja del sistema RSA respecto a otros sistemas criptogrficos
(por ejemplo el DES) es que el tamao de las claves no es fijo, es decir,
permite que a medida que pueda comprometerse la factorizacin y por lo
tanto la seguridad- de los mdulos RSA empleados (incluso con el desarrollo de
nuevos dispositivos hardware), se puedan elegir claves de longitudes mayores
que mantengan la seguridad del criptosistema.
Como destacan en un interesantsimo estudio los profesores D. Ral Durn Daz, D. Lus
Hernndez Encinas y D. Jaime Muoz Masqu, un incremento aritmtico de la
longitud de las claves tiene un incremento exponencial de la seguridad, dicho
de manera ms clara duplicando la longitud se consigue una seguridad infinitamente
ms superior.
Incremento aritmtico de las claves = incremento exponencial de la seguridad
instrumento de la contratacin administrativa 22
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
En efecto, aun utilizando el llamado dispositivo Twinkle (The Weizmann Institute Key
Locating Engine) para mejorar la factorizacin de nmeros grandes un dispositivo
optoelectrnico capaz de analizar 100 millones de nmeros enteros grandes y
determinar cules factorizan completamente en menos de 10 milisegundos- para
atacar un mdulo criptogrfico de 768 bits llevara 24.000 veces mas tiempo
que en caso de que el mdulo fuera de 512 bits, y si tratamos de hacerlo contra un
mdulo de 1.024 bits (el doble de 512) haran falta 65 millones de veces el tiempo
necesario para hacerlo contra un modulo de 512 bits, necesitndose 45.000 dispositivos
Twinkle, haran falta 500.000 aos para llevar a cabo la denominada criba y la memoria
necesaria para manejar la matriz necesaria sera de entre 5 y 10 Tb (un Terabite es
equivalente a 125.000 Megabytes aproximadamente).Veamos una tabla resumen:
Tamao clave (en bits) N Total Operaciones (Tiempo en bits)
428
465
512
768
1024
5,5 10 17
2,5 10 18
1,7 1019
1,1 1023
1,3 10 26
La mayora de los certificados de firma electrnica tienen un tamao de claves
de 1024, aunque, por ejemplo, el Documento Nacional de Identidad espaol
electrnico utiliza 2.048 bits.
No se asusten, con todos estos nmeros que hemos
visto, como el lgico, no pretendo que ustedes se los
estudien ni siquiera, tal vez, que los entiendan en detalle-,
sino que intento que viendo la magnitud tan desmedida
de los mismos, confen en la seguridad que la F.E.
proporciona contra los ataques informticos que pueda
recibir.
La F.E. puede ser
atacable, pero
muuuchooo menos
que la manual.
instrumento de la contratacin administrativa 23
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
En definitiva, que se convenzan de que la F.E. puede ser vulnerable, pero con mucha,
mucha dificultad, tiempo y coste, y, por supuesto, de que es mucho ms fcil atacar
una firma manuscrita.
4.3 INTEGRIDAD - HASH
5 Ventaja: El hash
garantiza conocer si el
documento firmado ha
sido alterado
Pasemos ahora a conocer otra cuestin de vital
importancia en la contratacin administrativa, como
es la garanta que la F.E. nos aporta en relacin
con la integridad de los mensajes (en nuestro
caso ofertas), es decir, que su contenido no haya
sido alterado.
Para ello se utiliza un sistema muy ingenioso, que es el siguiente: Del mensaje
(u oferta), mediante la aplicacin de diferentes formulas matemticas, se obtiene un
HASH (tambin denominada huella digital o compendio de mensaje o resultado control
o funcin resumen) del mismo. Un hash es una funcin matemtica que asocia
valores de un dominio extenso a otro de menor rango, en definitiva un conjunto
de letras y nmeros que resumen un documento de diez, mil o un milln de pginas, da
igual su tamao original.
Un Hash es un conjunto de numero y letras,
p.e.34329A0FE33F632C8251F1AB6068979CC2F31A43, que resumen un documento.
Veamos una forma de calcular un hash bsico:
instrumento de la contratacin administrativa 24
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Ustedes conocern el cdigo ASCII (American Standard Code for Information
Interchange - Cdigo Normalizado Americano para el Intercambio de la Informacin),
que es una clave simtrica estndar internacional que utilizan todos los ordenadores,
por la cual se asigna a cada tecla del ordenador (letras o signos de puntuacin) un
nmero diferente equivalente. He aqu la lista de los ms significativos:
225 233 237 243 250
instrumento de la contratacin administrativa 25
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Para comprender como funciona un hash vamos a partir de una frase
cualquiera (Ley Modelo CNUDMI de firma electrnica 2001.) y vamos a
sustituir cada letra de este texto por su equivalente en cdigo ASCII:
L e y M o d e l o C N U D76 101 121 32 77 111 100 101 108 111 32 67 78 85 68
M I d e f i r m a e l e77 73 32 100 101 32 102 105 114 109 97 32 101 108 101
c t r n i c a 2 0 0 1 . 99 116 114 243 110 105 99 97 32 50 48 48 49 46 32
Utilizamos esos cdigos ASCII numricos- de ese texto para hacer cualquier
clculo que queramos
L e y M o d e l o C N U D76 101 121 32 77 111 100 101 108 111 32 67 78 85 68
-3.025 -4.995 -108 5.293 -476
M I d e f i r m a e l e77 73 32 100 101 32 102 105 114 109 97 32 101 108 101
128 76 -32 -342 384 -707
c t r n i c a 2 0 0 1 . 99 116 114 243 110 105 99 97 32 50 48 48 49 46 32
-1.938 13.965 64 96 968.403
En este caso, he agrupado de tres en tres letras, y aplicamos una sencilla
formula matemtica: Restamos a la 1 letra la 2 letra y el resultado lo
multiplicamos por la 3 letra. La suma de los resultados, en este caso 8.403,
es una funcin HASH que identifica plenamente el texto.
instrumento de la contratacin administrativa 26
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Realicemos un pequeo cambio, en este caso, sencillamente quitamos el acento
a electrnica
L e y M o d e l o C N U D76 101 121 32 77 111 100 101 108 111 32 67 78 85 68
-3.025 -4.995 -108 5.293 -476
M I d e f i r m a e l e77 73 32 100 101 32 102 105 114 109 97 32 101 108 101
128 76 -32 -342 384 -707
c t r o n i c a 2 0 0 1 . 99 116 114 111 110 105 99 97 32 50 48 48 49 46 32
-1.938 105 64 96 96-5.457
Vemos que este pequeo cambio supone que lo que antes era un hash de
8.403 pase a ser un hash de -5.457, totalmente diferente como podemos
comprobar, a pesar de que el cambio ha sido muy pequeo.
El hash detecta cualquier cambio realizado en el texto, por pequeo que sea.
Conociendo que este es el juego del hash, sigamos avanzando. Qu haremos con
nuestro mensaje para que quede meridianamente clara su integridad? Para enviar un
mensaje firmado electrnicamente:
a. Calculo (en realidad mi sistema calcula) el hash o resumen del mismo.
b. Codifico encripto- ese hash obtenido, utilizando la clave privada que est en mi
certificado de F.E.
c. Envo a mi interlocutor tres elementos: el documento, el hash codificado e
incluso mi clave pblica (en este caso por si el receptor no la conoce a pesar de
su carcter de pblica).
d. El receptor (su ordenador) en primer lugar vuelve a calcular el hash del
documento que le he enviado.
instrumento de la contratacin administrativa 27
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
e. El receptor, adems, desencripta con mi clave pblica el hash codificado que le
he enviado.
f. Si ambos hash coinciden, sin ningn gnero de dudas se puede afirmar que el
documento no ha sido alterado.
Esta quinta ventaja que hemos visto supera ampliamente la situacin actual,
porque Cmo s yo, miembro de la mesa de contratacin la entidad
responsable de la tramitacin del expediente de contratacin-, que el documento que
contiene la oferta no ha sido alterado? Acaso hay algn fedatario pblico que lo
certifique? Es suficiente garanta que pueda llevar una firma manuscrita
(supuesta firma manuscrita dira yo) en la solapa de cierre del sobre que la
contiene? Con el sistema de F.E., sin embargo, no puedo tener, ni tengo
ninguna duda sobre su integridad.
La funcin HASH que hemos visto en nuestro ejemplo tiene un objetivo
didctico y por ello es excesivamente bsica y fcil de atacar. Sin embargo, las
tcnicas que se aplican en la F.E., al objeto de garantizar aun ms la seguridad del
sistema, tienen que cumplir con cuatro caractersticas:
a. Todos los HASH que se generen con un mismo sistema tienen el mismo
tamao sea cual sea el de los datos originales; es indiferente que sea una
sola lnea o un archivo de 50 Mb.
b. Dado un texto base es fcil y barato, para un ordenador, calcular su
HASH. Si el archivo es pequeo el clculo es instantneo, para uno de 50 Mb
slo tarda unos pocos segundos.
c. El nmero de operaciones que se realizan para su obtencin hace que sea
imposible reconstruir un texto base a partir de su HASH.
d. Es prcticamente imposible que dos textos diferentes tengan un mismo
HASH, dado el nmero tan alto de combinaciones posibles.
Es prcticamente imposible reconstruir el texto base a partir del hash o que
dos textos diferentes tengan el mismo hash.
instrumento de la contratacin administrativa 28
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Si calculamos el hash de la frase que antes he utilizado para el ejemplo (Ley Modelo
CNUDMI de firma electrnica 2001.), podremos comprobar que es el siguiente:
DF4188E0A41D138F5263E8F43D200E0793FACE5B. Para resumir esa
sencilla frase en esa combinacin de letras y nmeros, el sistema ha realizado
mltiples operaciones que llenan ms de doscientas paginas el documento est
disponible para el que lo desee-, con mltiples operaciones tan complejas como
A= E + F(B, C, D) + (A
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
SHA-1 ha sido examinado muy de cerca por la comunidad criptogrfica pblica, y no se
ha encontrado hasta ahora ningn ataque efectivo. Ello no obstante, la resistencia de
este algoritmo SHA-1 se ha visto comprometida a lo largo del ao 2005, despus de
que el otro de los grandes algoritmos, el MD5, adems de otros, quedara seriamente
comprometido en el 2004 por parte de un equipo de investigadores chinos. Por ello el
tiempo de vida de SHA-1 ha quedado visto para sentencia y seguramente evolucionar
para volverse a hacer inatacable.
A modo de otros ejemplos, podemos ver que:
a. El HASH obtenido con el mtodo SHA-1 que correspondera a un mensaje simple
como mi oferta es de 5.000.000 es
BEEA8D2E53F697A4223296CC657893DCF5210B8C, mientras que, cambiando
mnimamente la cifra y el mensaje a mi oferta es de 5.000.001 vemos que en
este caso tras este cambio su HASH es
34329A0FE33F632C8251F1AB6068979CC2F31A43, absolutamente diferentes
como se puede comprobar.
b. En ese otro de los sistemas habituales, el MD5 (Message-Digest Algorithm 5,
Algoritmo de Resumen del Mensaje 5) los hash son
870B2FF2A34B6730E1C1A547ABA65156 y
883B57112DDE6F4FB3A611482AACBE21, respectivamente.
4.4 cifrado de los ficheros
Con lo que hasta ahora hemos visto, cualquier persona puede conocer y comprobar el
mensaje enviado. Sin embargo, puede suceder que no queramos que cualquiera lo
pueda hacer, si no slo alguna o algunas personas determinadas, como sucede en el
caso que nos ocupa: enviar una oferta en un procedimiento de contratacin
administrativa.
6 Ventaja: Cifrando el
documento contra la
clave pblica del
destinatario, slo quien
Esta necesidad, ciertamente inherente a la
contratacin administrativa, tambin tiene una
respuesta adecuada con la utilizacin de las
tecnologas que soportan la firma electrnica.
instrumento de la contratacin administrativa 30
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Para garantizar la confidencialidad de un documento, lo encriptaremos con la
clave pblica del destinatario, con lo que slo ste, con su clave privada, que
recordemos est protegida por su tarjeta de firma electrnica y su correspondiente
PIN, ser capaz de descifrarlo y conocer su contenido.
Un vez ms, en este aspecto tenemos una superior garanta en relacin con la
utilizacin de la firma manuscrita convencional, porque exagerando mucho el
argumento sin que nadie se me alarme- en la actualidad la ofertas estn en las
mesas de los funcionarios a la espera de cualquiera que quiera conocerlas
con anterioridad a su apertura oficial, puesto que probablemente no estn
depositadas en una caja de seguridad con un agente custodindolas permanentemente,
cosa que s pasa valga la comparacin- con la firma electrnica reconocida.
Para analizar el encriptado de ofertas electrnicas, y no de cualquier otro tipo de
documento, estudiaremos aqu los requisitos que las Directivas Europeas de
contratacin imponen para ello -la Directiva2004/18/CE analiza los requisitos
relativos a los dispositivos de recepcin electrnica de las ofertas, de las solicitudes de
participacin en su Anexo X-.
Esta Directiva, exige la utilizacin de la F.E., porque el apartado a) del citado Anexos
X elimina de plano la posibilidad de utilizar un sistema de los tpicos de
USUARIO y CONTRASEA para firmar suscribir- las ofertas, ya que prev que los
sistemas de licitacin han de ajustarse a las disposiciones nacionales en aplicacin de
la Directiva 1999/93/CE (Directiva sobre la Firma Electrnica). Otras legislaciones si
que admiten el acceso de usuario y contrasea en la contratacin electrnica,
pero es claro que ello hace perder todas las garantas que en este estudio estamos
analizando y, en cualquier caso, solo es razonable que nos acojamos a esta
posibilidad de acceso ligth si se trata de empresas que estn participando en el
tipo de compras de material homologado o similar- y que ya han sido
seleccionadas con anterioridad a la presentacin de ofertas en este tipo de compras.
Pero, nos vale cualquier sistema con el nico requisito de que utilice F.E.? Para
conocer la respuesta analicemos el citado anexo. Del anlisis concluiremos que hay un
conjunto de requisitos que s pueden cumplir todos los sistemas que la
utilicen, a saber:
instrumento de la contratacin administrativa 31
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Cualquier sistema de firma electrnica garantiza el control de acceso a las
ofertas y la determinacin de las diferentes horas y fechas.
a. Hay un conjunto de requisitos que inciden en la necesidad de controlar el acceso
al sistema y por lo tanto a las ofertas. La primera parte del apartado c) dice que
ha de garantizarse razonablemente que nadie tenga acceso a los datos
transmitidos, el apartado d) que en caso de violacin de esa prohibicin de
acceso, pueda garantizarse razonablemente que la violacin pueda detectarse
con claridad, el apartado e) que nicamente las personas autorizadas y el
apartado h) que los datos recibidos slo (han de ser) accesibles a las personas
autorizadas a tener conocimiento de los mismos".
Garantizar el control de acceso a cualquier tipo de sistema informtico es una
condicin imprescindible, y ms s hablamos de procedimientos de contratacin, en
los que el conocimiento no autorizado de las ofertas conculca radicalmente el principio
de igualdad que preconiza cualquier legislacin de contratacin pblica. No obstante,
esta garanta es un elemento que casi se le ha de suponer a cualquier sistema
informtico y desde luego a cualquiera que utilice F.E...
Hay dos elementos suplementarios que tenemos que tener en cuenta: Puesto que
la oferta electrnica circula por la red, la encriptacin de la misma, y por lo
tanto su proteccin, se ha de hacer en el ordenador del licitador, antes de que se
enve a la administracin, y no en los ordenadores de sta ltima. Adems,
podemos incrementar la seguridad en el control de acceso s el ingreso de los
funcionarios en el sistema, no se produce, a su vez, mediante la utilizacin del
sistema de usuario y password, sino mediante la necesidad de identificarse mediante la
utilizacin de su certificado de F.E... Cuidando estas circunstancias, la oferta es
absolutamente inviolable.
instrumento de la contratacin administrativa 32
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
b. Existe otro conjunto de requisitos relativos, en este caso, a diferentes
fechas relevantes en el procedimiento administrativo y/o en el sistema. En
efecto, el apartado b) exige que se pueda determinar con precisin la hora
y la fecha exactas de la recepcin de las ofertas, la segunda parte del
apartado c) obliga a garantizar razonablemente que nadie tenga acceso (a la
oferta)antes de que finalicen los plazos establecidos, la segunda parte del
apartado g) lo reitera al contemplar que slo pueda darse el acceso (a la
oferta) despus de la fecha especificada".
Cualquier sistema que utilice la F.E. puede, y debe garantizar estos requisitos,
pero le hemos de aadir dos circunstancias que elevarn considerablemente el
cumplimiento del requisito.
Ciertamente, s tanto a la hora y fecha del sistema informtico, como a la hora y fecha
de presentacin de la oferta le aadimos el requisito de que sea un tercero (la
Autoridad Certificadora de F.E.) el que la determine y la controle (el llamado Time
Stamping), imposibilitamos la manipulacin de la misma la fecha o la hora- por
parte de la administracin. Adems, por otro lado, hemos de facilitar el acuse de
recibo automtico cuando el licitador presenta su oferta telemticamente, pues
as podr demostrar el momento en que lo ha hecho.
Pero, sin embargo, hay dos requisitos que no son tan sencillos de cumplir:
c. y d. Son los previstos en el apartado f) cuando prev que en las diferentes fases
del procedimiento de licitacin de contratos o del concurso, slo la accin
simultnea de las personas autorizadas puede permitir el acceso a los
datos presentados, mientras que el apartado g) recalca que la accin
simultnea de las personas autorizadas slo pueda dar acceso despus de la
fecha especificada a los datos transmitidos.
Es ms complicado que el sistema de firma electrnica garantice que el control
de la oferta quede en manos de, al menos, dos personas.
En la actualidad hay dos estrategias diferentes de cifrado y descifrado de las
ofertas siendo ambas, claro est, realizadas con tecnologa de F.E.-:
instrumento de la contratacin administrativa 33
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
a. La primera de ellas es cifrar las ofertas contra los datos del certificado
de F.E.- de cada concurso.
b. La segunda de ellas es la que utiliza el Modelo Vasco de Contratacin
Pblica Electrnica, prevista en la Orden de 16 de Agosto de 2004, de la
Consejera de Hacienda y Administracin Pblica del Gobierno Vasco, sobre
tramitacin telemtica de determinados procedimientos y actuaciones previstas en
la legislacin de contratos de las Administraciones Pblicas, en cuyo art. 14.2 se
seala que el cifrado de las ofertas se realizar contra las claves pblicas
de los miembros de la mesa de contratacin. Las citadas claves se
publicarn en el anuncio de licitacin o invitacin a licitar en el expediente
concreto de que se trate. Para su recomposicin y descifrado ser necesaria
la participacin en el acto de apertura, del qurum legalmente necesario
de miembros de la mesa con sus correspondientes certificados de F.E..
En el MVCPE se garantizan todos los requisitos. Se cifran las ofertas contra las
claves pblicas de los miembros de la mesa de contratacin.
La necesidad de la accin simultnea queda absolutamente garantizada con
esta segunda solucin, mientras que es menos slida con la primera de ellas, ya que,
en algn momento o en todo-, alguna persona tendr en su poder los elementos que
permiten descifrar la oferta: el certificado digital del concurso/sobre con el que,
identificndose con el PIN que su poseedor conoce, puede acceder a la clave privada.
De una manera grafica podemos observar como es esta segunda forma de actuar y
para ello conoceremos el esquema de funcionamiento de la licitacin electrnica
del MVCPE:
instrumento de la contratacin administrativa 34
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Al dar de alta una licitacin electrnica en el servidor del Gobierno:
El licitador, en su propio ordenador
instrumento de la contratacin administrativa 35
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Envo de las ofertas con la tecnologa de seguridad SSL que explicaremos ms adelante:
El da de la apertura, con las claves privadas de los miembros de la mesa de contratacin, una vez llegada la hora prevista
instrumento de la contratacin administrativa 36
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Este sistema es el que sirvi de base a la recomendacin
de los servicios de la Unin Europea relativa a la
utilizacin en la contratacin electrnica del principio de
los Cuatro Ojos (dos funcionarios necesarios para
conocer las ofertas), como una de las prcticas recomendadas.
Recomendacin
de la UE
No obstante, es cierto que organizativamente la aplicacin de este segundo
procedimiento tiene dos dificultades aadidas:
a. La primera es la indudable mayor problemtica que supone tener que dotar de
certificados de firma electrnica a muchos, posiblemente la mayora, de los
funcionarios y cargos de una Administracin, pues cualquiera de ellos suele
ser habitual u ocasionalmente miembro de una mesa de contratacin. Por lo
tanto, slo es una decisin factible de llevar a cabo si la tomamos inmersa
en una estrategia de introducir la firma electrnica de manera
generalizada en nuestra administracin; pero esto va a ser as antes o
despus en todas las organizaciones, mejor antes que despus.
b. En segundo trmino, la concurrencia imprescindible de conseguir para
desencriptar la oferta es la del qurum de miembros de la mesa que estaban
nombrados en el momento de la publicacin del anuncio de licitacin,
pues es contra las claves pblicas de esas precisas personas contra las que se
encripta la oferta, no pudiendo ser modificadas con posterioridad.
Puede, y suele haber traslados, bajas por enfermedad, etc., en definitiva,
modificaciones en la composicin de una mesa ya constituida. Es
conveniente minimizar esta problemtica dotando de certificados de firma
electrnica a todos los miembros de la mesa, es decir, incluyendo a los
titulares y a los suplentes, con lo que la posibilidad de que no pueda haber
qurum con la asistencia de miembros originarios de la mesa sea prcticamente
nula.
Pero, a sensu contrario, en este aspecto organizativo tambin tiene otra
ventaja indudable respecto al otro sistema de utilizacin de firma electrnica:
instrumento de la contratacin administrativa 37
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Una vez elaborados y distribuidos los certificados de firma electrnica, que son personales de cada uno de los miembros de la mesa, cada titular de
los mismos los puede utilizar en todas las mesas en las que participe, as
como en otros procedimientos de la administracin que requieran de
firma electrnica, mientras que con el otro sistema, para cada
procedimiento de contratacin, sin solucin de continuidad, la autoridad
certificadora de firma electrnica ha de generar un nuevo certificado con sus
correspondientes claves pblica y privada, su PIN, su eventual materializacin en
un elemento fsico como es una tarjeta de plstico, etc., lo cual
organizativamente tambin es muy complicado de hacer si adems no
disponemos de mucho tiempo para llevarlo a cabo, como suele pasar con
frecuencia en las contrataciones administrativas.
Cual de los dos sistemas es mejor? Juzguen ustedes mismos
4.5 SSL - SECURE SOCKET LAYER
Por otro lado, esta caracterstica de inviolabilidad de la oferta que hemos
estudiado, aunque ya de por s ofrece plenas garantas respecto a la
imposibilidad de conocimiento de la oferta as encriptada, como ya hemos visto, no
est de ms prever que nuestro sistema de licitacin electrnica siga la estrategia de
complementar su seguridad con la utilizacin de las tcnicas de envo seguro
en la red. Me estoy refiriendo a la utilizacin para el envo de ofertas de
protocolos de transmisin seguros, como puede ser el ms conocido de ellos, el
denominado SSL.
Complementar la
seguridad mediante
envo SSL. Nunca
sustituir a la F.E.
Este protocolo Secure Socket Layer (SSL), a los
efectos de agilizar la transmisin de datos utiliza
una forma de encriptacin mixta simtrica-
asimtrica.
instrumento de la contratacin administrativa 38
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Para ello, proporciona servicios de seguridad cifrando los datos intercambiados entre el
servidor y el navegador con un algoritmo de cifrado simtrico ms ligero, y por lo
tanto ms rpido-, pero cifrando esa clave simtrica utilizada, denominada clave de
sesin, que se genera de manera aleatoria, mediante un algoritmo de cifrado
asimtrico.
Este cifrado asimtrico de la clave de sesin se realiza contra la clave pblica del
receptor del envo, de tal manera que slo l lo pueda descifrar con su clave privada y,
por lo tanto, conocer cual es la clave de sesin. Nadie que pudiera interceptar en la red
informtica la clave de sesin cifrada podra descifrarla para conocerla.
Cmo funciona este sistema de transmisin?
a. El servidor al que voy a enviar la oferta y mi ordenador se ponen en contacto para
ver cual es el nivel mximo de seguridad que ambos admiten.
b. El servidor generar una clave de sesin con la que luego encriptar la
transmisin de la oferta (encriptacin simtrica).
c. Para enviarme la clave de sesin y garantizar que soy el nico que la conoce,
siguiendo la tcnica de encriptacin asimtrica que he explicado con
anterioridad, el servidor la encriptar contra la clave pblica que ha
generado mi ordenador.
d. Solamente mi ordenador, cuando reciba la clave de sesin encriptada y la
relacione con la clave privada que tambin ha generado l con anterioridad,
ser capaz de conocer la clave de sesin.
e. Conocida la clave de sesin por el servidor y por mi ordenador y solamente por
ellos-, la informacin que se transmita encriptada con esa clave se sesin
nicamente podr ser conocida por ambos y no por ningn otro ordenador que
pudiera interceptar la oferta.
Pero cmo podemos saber si realmente estamos ante un sistema de
transmisin seguro soportado por la tecnologa SSL y no ante una imitacin
fraudulenta del mismo?
instrumento de la contratacin administrativa 39
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
a. En primer lugar, al acceder a una pagina segura, seguramente nos aparecer un
mensaje similar a este
b. Si la autoridad de certificacin que avala la transaccin no es conocida ni
reconocida- por usted por no haber trabajado con ella con anterioridad o por no
ser de su confianza, le aparecer un mensaje similar a
c. Adems, si examinamos la pagina Web segura que se nos abre en nuestro
navegador de Internet y para ello valga de ejemplo la pagina de licitacin
electrnica del Gobierno Vasco, www.contratacion.info, dentro del portal
www.euskadi.net-, nos hemos de fijar en que tenga dos caractersticas:
instrumento de la contratacin administrativa 40
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
https +candado cerrado
= transmision segura
En la barra de direccin, veremos que en vez del
clsico inicio http (HyperText Transfer Protocol -
protocolo de transferencia de hipertexto), se inicia
con https. Esa letra s significa la seguridad de
la transmisin. Tambin veremos en la esquina inferior derecha la
representacin grafica de esa seguridad, mediante el smbolo de un candado cerrado
tanto si utilizamos el navegador Internet Explorer, Mozilla Firefox
otros navegadores-.
u
d. Si nos situamos con el ratn del ordenador encima del candado, veremos
que nos reafirma que estamos utilizando en protocolo SSL y adems nos
indica el grado de seguridad que tendr nuestra transmisin en este caso 128
bits- .
e. Si hacemos doble clic sobre el candado nos aparecern los datos sobre la
entidad certificadora que nos garantiza la seguridad de la transmisin en
este caso de la pagina segura del banco BBVA-
instrumento de la contratacin administrativa 41
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Compruebe quien es la
entidad certificadora que
garantiza la transmisin
segura
f. Puede ser que conozcamos la entidad certificadora y la demos por buena, o si
queremos conocer ms de ella, pincharemos en declaracin del emisor y
veremos cual es su poltica de certificacin, con el objeto de ver si nos
convence o no.
instrumento de la contratacin administrativa 42
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
g. Por ltimo, puedo conocer la ruta de certificacin del certificado que
garantiza la seguridad de la transaccin. Puede que desconfe del emisor de la
certificacin o que no lo conozca, pero con esta comprobacin puedo conocer en
caso de que exista- quien es el certificador de cabecera que me garantiza que
ese emisor del certificado es competente y seguro. Es aqul el que me garantiza
la seguridad de ste y si encuentro en la ruta algn certificador de mi
confianza, sabr que el certificador de la cola de la ruta tambin es
seguro
Estas precauciones que hemos visto para la oferta, sirven tambin como explicacin
para no caer en la trampa, cada vez ms extendida -llamada phising- por la que
imitando la pagina Web de alguna entidad bancaria o de otro tipo- en Internet, y
abusando de nuestra buena fe, algunos delincuentes cibernticos pretenden hacerse
con el conocimiento de nuestras claves de cliente y cdigos de acceso a nuestras
cuentas bancarias o tarjetas de crdito.
Hemos de distinguir entre
lo que es y lo que
aparenta ser.
Ojo! Tenemos que aprender a ver lo que es, no
lo que aparenta ser. Y me explico un par de
ejemplos de emails que recib intentando que picara
el anzuelo.
instrumento de la contratacin administrativa 43
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Primer ejemplo. Este es un email que recib para pedirme mis datos de eBay, la famosa
pagina Web de subastas a la que estoy suscrito. Como pueden ustedes ver, la direccin
de Internet no tena la s despus de http
Cuando entr en la pgina Web, ya comprob que, efectivamente, no tena ni la s ni el
candado cerrado que he comentado antes:
Desde que recib el email y con esta sencilla doble comprobacin ya tena claro que no
era una pgina con un protocolo de transmisin de datos seguro y por lo tanto no haba
ninguna autoridad de certificacin de firma electrnica que soportara la transaccin de
los datos.
Sin embargo entre el email recibido y la pgina visitada hay una diferencia de la que
algunos de ustedes se habrn dado cuenta, pero otros muchos seguramente no. Es una
instrumento de la contratacin administrativa 44
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
diferencia que puede parecer sutil, pero que tiene mucha importancia para saber la
fiabilidad de un email que recibamos y de la pgina Web en la que nos piden que demos
determinados datos.
En efecto, en la direccin de Internet que viene en
el email, lo que aparece en la parte
inmediatamente anterior a la primera barra / es
ebay.com; sin embargo, en la direccin real de la
pgina Web lo que aparece en ese lugar es
mimosend.hk un dominio ubicado en Hong kong-
. Si que aparece ebay.com, pero ms a la izquierda, para que pensemos que es
lo mismo cuando en realidad no lo es.
El lugar que ocupa cada
palabra en una
direccin de Internet es
importante.
Esta diferencia puede hacer que nos dirijamos a una pgina Web fraudulenta y que
demos nuestros datos a quien no se los debemos de dar. En el primer caso el titular
del dominio de Internet es el titular del dominio ebay.com seguramente ebay,
pero no con una seguridad al 100% porque algunos dominios no estn vinculados
necesariamente con los titulares de las marcas, aunque si vamos a ebay.com podremos
investigar si nos parecen paginas solventes o fraudulentas-, mientras que en el
segundo caso el titular del dominio y por lo tanto de la pgina- es el que sea
titular de mimosend.hk, que pueden ustedes apostarse algo a que no es
precisamente ebay.
Segundo ejemplo. Veamos ahora otro ejemplo de otro email fraudulento que recib,
para intentar dejar ms clara la cuestin.
En este caso es un email aparentemente de un banco online en el que he de confesar
que no tena cuenta corriente abierta, por lo que el fraude era evidente-.
instrumento de la contratacin administrativa 45
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Este email aparentemente pareca que me iba a llevar a una pagina segura del banco
la famosa s apareca en la direccin de Internet-. Esta apariencia era muy poco slida,
ya que cuando situaba el puntero del ratn sobre esa direccin de Internet, me
desvelaba la pgina a la que realmente me iba a llevar:
Comprobamos aqu otra vez la doble trampa: la famosa s ha desaparecido y el dominio
de Internet no es openbank.es, sino 5098265.cn un dominio situado en china-
Al hacer clic sobre el enlace que vena en el email me llevaba a:
instrumento de la contratacin administrativa 46
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Redireccionndome, por cierto a otro dominio: 083452.cn, pero, claro est, sin la
famosa s ni el candado cerrado.
Hay que tener en cuenta que las comprobaciones que hacemos sobre las pginas
Web y que he recomendado realizar-, las ejecuta nuestro propio navegador de
Internet y por lo tanto es extremadamente difcil que el ciberdelincuente las
simule. No es lo mismo que en el email, donde si se pueden simular con facilidad
determinados elementos.
4.6 El no repudio
Queda un ltimo aspecto importante a garantizar por
la firma electrnica: Hablamos del denominado No
Repudio. Ello significa que ni el emisor ni el
receptor del mensaje puedan negar la
transmisin del mismo.
7 Ventaja: La F.E.
garantiza el no repudio de
la transmisin.
El No Repudio en origen es claro con lo que he explicado hasta ahora y no
puede ser aducido por el firmante del documento. Sin embargo, el No Repudio
en destino es ms complicado de garantizar y para ello cabran bsicamente tres
posibilidades:
a. La primera de ellas consistira en obligar al destinatario a una especie de
acuse de recibo del mensaje que ha de firmar electrnicamente el receptor
para poder tener conocimiento de su contenido. En este caso, la decisin de
recibir y conocer o no el mensaje queda excesivamente a cargo del receptor del
mismo, y, adems, tcnicamente es ms complicada que cualquiera de las otras
dos que vamos a estudiar a continuacin.
b. La segunda es mediante la intervencin de una tercera persona
(denominada Tercera Parte Confiable) que certifica el recibo del mensaje,
normalmente mediante el Time Stamping o Sello de Tiempo. Esta solucin
supone unos costes aadidos por la intervencin de esas personas ajenas a la
transaccin original.
c. La tercera, posibilitando que la transaccin se realice en nuestros propios
servidores, para poder demostrar con ello el momento del acceso al
documento.
instrumento de la contratacin administrativa 47
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
Para entender esta tercera posible solucin hay
que conocer cual es la problemtica del no
repudio en destino. En este sentido, la
dificultad deriva de que voy a enviar un
mensaje a una persona que tiene su cuenta
de correo electrnico en un servidor
diferente al mo, y que adems puede estar
ubicado en cualquier pas del mundo. A sensu contrario, si le envo el
mensaje a un destinatario cuyo correo electrnico est en mi mismo
servidor, ste me puede certificar con precisin el momento tanto de la
recepcin como de la lectura del mismo, -esto lo conocemos todos los que
utilizamos en nuestras empresas o Administraciones el correo electrnico-.
La solucin es por tanto facilitar al receptor de mensajes una especie de correo
electrnico que est en mi servidor corporativo que me garantice el no repudio
en destino.
Esta solucin es la que hemos adoptado la mayora de las
Administraciones Pblicas que notificamos electrnicamente a nuestros
ciudadanos y empresas.
La mejor solucin para
evitar el repudio en
destino es depositar las
notificaciones en nuestro
propio servidor.
Obtendremos de esta manera la sptima ventaja de la firma electrnica sobre la
manuscrita: nadie nos podr decir que no fue l el que suscribi la oferta esa
oferta y no otra- que nos envi, y en el momento preciso en el que nos la
envi.
instrumento de la contratacin administrativa 48
-
El sistema de licitacin pblica electrnica: creando un clima favorable para las
inversiones en Amrica latina
Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como
5. FUNDAMENTOS ORGANIZATIVOS
Ya he demostrado que tanto desde un punto de vista jurdico, como de un punto de
vista tcnico, la utilizacin de firma electrnica en los negocios jurdicos que las
Administraciones y los particulares realizamos es, desde todo punto de vista,