SEGURIDAD EN EL COMERCIO ELECTRÓNICO
PONTIFICIA UNIVERSIDAD JAVERIANA FACULTAD DE DERECHO
Proyecto: Tesis de grado Presentado por: Héctor José García Santiago Dirigido por: Alvaro Andrés Motta Navas
Bogotá, D.C., Marzo de 2004
CONTENIDO
Página INTRODUCCIÓN
8
PRIMERA PARTE INTRODUCCIÓN AL COMERCIO ELECTRÓNICO
Capítulo I.
1. La Seguridad en el Comercio Electrónico
1.1
Introducción al Comercio Electrónico
1.2
Marco Jurídico del Comercio Electrónico en Colombia
12
13
35
2
SEGUNDA PARTE LOS RIESGOS Y LA SEGURIDAD
Capítulo II.
2. Los Riesgos y la Seguridad
38
1. ¿A qué riesgos está expuesto al conectarse a la red Internet? 43 2. Los atacantes
45
2.1 Atacantes internos
46
2.2 Atacantes externos
47
3. Los formas de ataque
48
3.1 Los virus
48
3.2 Gusanos
52
3.3 Caballo de Troya 52 3.4 Bombas de Relojería
52
3.5 Introducción de datos falsos
52
3.6 Técnica de Salami
52
3
4. Las vías de ataque 53 4.1 Software bugs
53
4.2 Privilegios
54
4.3 Instalación del Sistema Operativo
54
4.4 Managment Remoto
54
4.5 Transmisiones
54
4.6 Cokies
55
5. Los daños
55
5.1 Interrupción
55
5.2 Interceptación
56
5.3 Modificación
56
5.4 Fabricación
56
6. La importancia de la seguridad y la confianza 57 6.1 La confianza
58
6.2 Confianza on line
60
6.3 La Seguridad
63
6.3.1 Seguridad en la empresa a) Información
64 66
4
b) Actividad
66
c) Acceso
67
6.3.2 Mecanismos de Seguridad
68
a) Seguridad de Tránsito
69
b) Seguridad de Usuario
69
6.3.3 Tipos de Seguridad
70
a) Secure Electronic Transaction
70
b) Secure Sokets Layer
71
c) Seguridad de el Host y en el Network
72
6.4 Cómo acceder a una página web segura
75
6.5 Transacción segura
79
6.6 Seguridad Jurídica de Tipo Penal: Delito Informático 80
TERCERA PARTE LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA
Capítulo III.
5
3. Los mensajes de datos, un efectivo medio de prueba 86
1. Documento escrito
92
2. Autenticidad
95
3. Conservación y consulta 98 4. Documento Electrónico
103
5. Jurisprudencia
104
CUARTA PARTE ENTIDADES DE CERTIFICACIÓN Y FIRMAS DIGITALES
Capítulo IV.
4. Entidades de Certificación
114
6
1. Concepto
114
2. Naturaleza Jurídica de las Entidades de Certificación 119 3. La actividad Certificadora de las Entidades de Certificación frente a la actividad notarial
119
4. La Actividad de las Entidades de Certificación - un servicio público 5. Tipos de Entidades de Certificación 1. Públicas o Privadas
122 125 125
2. Nacionales o Extranjeras 126 3. Cámaras de Comercio
127
4. Notarios y Cónsules
128
5. Abiertas y Cerradas
128
6. Responsabilidad de las Entidades de Certificación
137
7. Funciones y deberes de las Entidades de Certificación 139 8. Certificados Digitales 8.1 Certicámara
143 145
7
8.2 Validez de Certificados Extranjeros 9. Firmas Digitales
158 152
9.1 Creación de una firma digital
159
9.2 Características de las firmas digitales 160 10. El Sistema PKI
160
10.1 Tipos de Sistemas PKI 160 a) Sistema simétrico 161 b) Sistema asimétrico
163
10.2 Funcionamiento del Sistema 164
10.3 Objetivos de la PKI
165
10.4 Las Funciones de la PKI desde
una Triple Perspectiva
166
10.5 Estructura de la PKI
167
10.6 Modelos de PKI 168 a) Abierto
168
b) Cerrado
169
8
QUINTAPARTE LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIÓN
Capítulo V.
5. Los Medios de Pago y Procedimientos de Certificación
172
1. Breve reseña de las tarjetas de crédito 175 2. Principales Instrumentos de Seguridad SSL y SET 177
CONCLUSIONES
186
BIBLIOGRAFÍA
196
9
INTRODUCCIÓN
La unión entre los medios de comunicación y la informática, conocida como telemática, ha generado un cambio sin precedentes en el ámbito comercial1. El Comercio Electrónico, es el ejemplo más sobresaliente de esta relación, representando un instrumento de comunicación2 tan significativo, como la televisión, la radiodifusión
1
Al respecto véase OLIVER. CUELLO, Rafael. Tributación del Comercio Electrónico. España - Valencia. Tirant Lo
Blanch. 1999. P. 11.
La utilización de la interconexión de ordenadores a través de las redes de telecomunicación para llevar a cabo las actividades comerciales de empresas y profesionales ha supuesto un cambio importante en el escenario comercial. Como ha señalado DAVARA, la simbiosis que se ha producido entre la informática y las comunicaciones ha cambiado, en buena medida, la mentalidad empresarial al propiciar un amplio abanico de posibilidades a las relaciones comerciales, ofreciendo una expectativa de prestaciones que hasta hace pocos años podía considerarse de ciencia-ficción. 2
La clasificación de los servicios de telecomunicaciones – cuyo antecedente es la Ley 72 de 1989 (por medio de la
cual se otorgaron facultades extraordinarias al Presidente de la República para reorganizar el sector) -, utiliza la metodología técnica empleada por la UIT - Unión Internacional de Telecomunicaciones -. La finalidad de dicha metodología fue unificar las condiciones de estandarización técnica, operativa y de tarifación de nivel mundial. Ahora bien, teniendo en cuenta la metodología de la UIT y las reglas jurídicas para la prestación, habilitación y explotación de los servicios públicos de telecomunicaciones, estos se clasificaron así: (Decreto Ley 1900 de 1990) 1.
Servicios básicos.
2.
Servicios de difusión.
3.
Servicios telemáticos y de valor agregado.
4.
Servicios auxiliares y de ayuda.
5.
Servicios especiales.
10
El servicio telemático y de valor agregado – Artículo 31 Decreto Ley 1900 de 1990 – que es el que nos interesa para efectos de este estudio es definido como:
[...] aquellos que utilizan como soporte servicios básicos, telemáticos, de difusión, o cualquier combinación de estos, y con ellos proporcionan la capacidad completa para el envío o intercambio de información, agregando otras facilidades al servicio soporte o satisfaciendo nuevas necesidades especificas de telecomunicaciones. Forman
parte de estos servicios, entre otros, el acceso, envió, tratamiento, depósito y
recuperación de información almacenada, la transferencia electrónica de fondos, el vídeo texto, el teletexto y el correo electrónico [...]. El Decreto 3055 de 2003, por medio del cual se modificó el Decreto 600 de 2000 en su artículo segundo definió los servicios de valor agregado de la siguiente manera:
Son aquellos que utilizan como soporte servicios básicos, telemáticos, de difusión o cualquier combinación de estos, prestados a través de una red de telecomunicaciones autorizada, y con ellos proporcionan al usuario la capacidad completa para el envío o intercambio de información, agregando otras facilidades al servicio soporte o satisfaciendo necesidades específicas de telecomunicaciones. Para que el servicio de valor agregado se diferencie del servicio básico, es necesario que el usuario de aquel reciba de manera directa alguna facilidad agregada a dicho servicio, que le proporcione beneficios adicionales, independientemente de la tecnología o el terminal utilizado; o que el operador de servicios de valor agregado efectúe procesos lógicos sobre la información que posibiliten una mejora, adición o cambio al contenido de la información de manera tal que genere un cambio neto de la misma independientemente del terminal utilizado. Este cambio a su vez, debe generar un beneficio inmediato y directo, que debe ser recibido por el usuario del servicio. Para ampliar esta información puede consultarse a MICHELSEN, Jaramillo Sergio. Internet Comercio
Electrónico & Telecomunicaciones. Universidad de los Andes. Primera Edición. Bogotá 2002. Legis Editores S.A. p. 591 a 639.
11
sonora, la telefonía fija, móvil, móvil celular, el telefax, etc. En la actual sociedad de la
información3, la capacidad de realizar acuerdos con soporte jurídico de manera fácil, rápida y económica, representa una verdadera revolución en el área de las comunicaciones. Las barreras entre los países - distancia, costos, idioma etc. -, es historia gracias a las redes de comunicación, en especial a la red Internet. El gran avance en los medios de comunicación de los últimos 20 años, está marcado, sin lugar a duda, por las redes de información: contacto en tiempo real con establecimientos de comercio de todo el mundo, intercambio de imágenes, mensajes escritos y de voz en tiempo real, son entre otros, los servicios que diferentes Entidades
3
- privadas o
Al respecto, resulta de trascendental importancia observar fenómenos jurídicos como el Español, donde se gestó la
Ley 34 de Julio 11 de 2002 sobre Servicios de la Sociedad de la Información y Comercio Electrónico, cuyo objetivo fue la incorporación al ordenamiento jurídico español de la Directiva 2000/31/CE, del Parlamento Europeo y del Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior. Con relación a la denominada «sociedad de la información» la Directiva 2000/31/CE consagró:
Lo que la Directiva 2000/31/CE denomina «sociedad de la información» viene determinado por la extraordinaria expansión de las redes de telecomunicaciones y, en especial, de Internet como vehículo de transmisión e intercambio de todo tipo de información. Su incorporación a la vida económica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el incremento de las posibilidades de elección de los usuarios y la aparición de nuevas fuentes de empleo. Pero la implantación de Internet y las nuevas tecnologías tropieza con algunas incertidumbres jurídicas, que es preciso aclarar con el establecimiento de un marco jurídico adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo de este nuevo medio. Al respecto, puede consultar las siguientes páginas web, donde encontrara el texto completo de la Ley 34 de Julio 11 de 2002, así como la Exposición de Motivos: http://www.ati.es/gt/informatica-sociedad/información y http://www.setsi.mcyt.es.
12
públicas -, ofrecen a los usuarios - servicio telemático y de valor agregado -, que gracias a las redes de transmisión de información, permite conectar dos puntos, sin importar la distancia entre estos, en tiempo récord, sin embargo, éste servicio afronta un gran inconveniente: la inseguridad, razón por la cual, se proporciona al lector una visión técnica, jurídica y práctica, sobre los aspectos más relevantes del comercio electrónico y la seguridad. Éste último elemento, es el pilar de la eficacia en el desarrollo del intercambio de información a través de redes de valor agregado como el Internet; lograr entornos seguros genera confianza en el sistema y ambientes propicios para el intercambio de información. De este modo, como primera medida, se introduce al lector al comercio electrónico, dejando al descubierto la falta de confianza en el sistema, tanto nacional como internacionalmente. Así, se dispone la senda en busca de la seguridad en el comercio electrónico.
La normatividad que regula el comercio electrónico, se gestó en la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional (en inglés UNCITRAL), promoviendo un proyecto de ley - Ley Modelo sobre Comercio Electrónico - que fue aprobado mediante Resolución 51/162 de 1996. La Asamblea General de la ONU, recomendó su incorporación en los ordenamientos internos de cada país, como un instrumento útil para agilizar las relaciones jurídicas entre particulares.
13
Este gran paso - incorporación normativa interna -, abrió las puertas jurídicas al comercio electrónico, sin embargo, no fue suficiente dicho esfuerzo; el comercio electrónico está amenazado, los riesgos son potencialmente peligrosos y nefastos. De esta suerte, conocer los diferentes tipos de riesgos, sus denominaciones y sus vías de ataque, así como los daños que ocasionan, es necesario para entender qué sistemas de seguridad deben implementarse, qué responsabilidades surgen y, sobre todo, qué normatividad debe implementarse, ajustarse o modificarse, en la búsqueda de un comercio seguro. Todo este entorno de seguridad, debe partir, sin duda alguna, de la búsqueda de conciencia y de la generación de confianza en el sistema.
La capacidad probatoria de los mensajes de datos, es una característica de especial trascendencia jurídica, razón por la cual, la Corte Constitucional se pronunció al respecto, manifestando la constitucionalidad del mensaje de datos como medio de prueba4, este fallo, por su especial trascendencia, se estudia con detalle en el desarrollo del estudio.
4
Corte Constitucional. Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morón Díaz1. Expediente D-2693.
14
Institucionalmente, como núcleo de seguridad, se crearon las Entidades de Certificación, las cuales utilizan un sistema PKI para la creación de firmas digitales con base en la criptografía. Su creación, funcionamiento y regulación jurídica serán objeto de estudio detenido.
Los medios de pago, constituyen una herramienta necesaria en el engranaje informático comercial. A pesar de su gran desarrollo tecnológico, no han alcanzado el nivel óptimo esperado. Los proveedores luchan por ganar terreno y convertirse en la empresa líder. Sin duda, veremos importantes e ingeniosos avances en este ámbito. En este orden de ideas, éste tema será, el cierre del presente estudio.
Solo resta, darle la bienvenida a esta nueva perspectiva de intercambio de información y mercaderías - comercio electrónico -.
15
1. LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO
Cuando se trata de la seguridad digital, no existe una defensa impenetrable. Robert D. Austin
La seguridad connota la viabilidad del comercio electrónico. El transmitir información a través de medios informáticos implica innumerables riesgos. La situación actual de desarrollo, computacional y de redes de información, ha
puesto de manifiesto la
importancia de detectar, prevenir y detener las violaciones a la seguridad5 informática.
5
La actual realidad de los sistemas computacionales, en cuanto a la seguridad se refiere, es preocupante, con más
frecuencia se verá en los medios de comunicación noticias de ataques informáticos como el que reportó la sociedad
Hispasec Sistemas - empresa de seguridad y tecnologías de la información -, que puede consultarse en la página web http://www.hispusec.com. quien informó: [...] se está propagando con rapidez un gusano que ataca los ordenadores que utilizan los
sistemas operativos Windows (las versiones Windows NT 4.0, Windows 2000, Windows XP y Windows Server 2003).Este gusano se aprovecha de una
vulnerabilidad recientemente
descubierta en la interfaz de peticiones a procedimientos remotos (Remote Procedure Call, RPC) de Windows. El verano del 2003 será recordado por dos hechos en los que la velocidad de propagación ha sido un factor clave: la oleada de incendios forestales y el gran número de usuarios que se ven forzados a reiniciar sus PC debido a la distribución alcanzada por el gusano W32/Blaster.
16
Los usuarios deben conocer los ataques que rondan la red, para tomar las medidas de seguridad pertinentes y, prevenir así, que su computadora o el sistema de computadoras de su empresa se vea afectado. Las violaciones de seguridad pueden tener diversos efectos, desde la inoperabilidad del sistema hasta la pérdida de reputación de una empresa. Esta peligrosa realidad tiene importantes efectos técnicos y jurídicos. La búsqueda de responsables, será tema de discusión en varios escenarios, sin embargo, la pesquisa que debe primar es la difusión de la condición de inseguridad, con el objetivo de crear conciencia.
1.1 Introducción al Comercio Electrónico
Entender el comercio electrónico, requiere a priori, concebir qué es el comercio. Sin lugar a duda la negociación, entendida como la acción o efecto de negociar6, es la génesis del comercio. La necesidad de satisfacer necesidades, primarias o no, desembocó en el intercambio de mercaderías; lo cual es en esencia un acto de comercio. Por su puesto, las normas no se hicieron esperar. Ahora bien, el acto o la
6
La palabra negociar viene del Latín negotiari que significa comprar, vender o cambiar géneros mercadería o valores
para aumentar el caudal. Diccionario de la Lengua Española. Vigésima Primera Edición. Madrid: 1994.
17
operación de comercio, es considerado una actividad especializada, definida expresamente por el legislador7. Así la adquisición de bienes a título oneroso con destino a enajenarlos o a arrendarlos, el recibo de dinero en mutuo, la intervención como asociado en la constitución de sociedades comerciales, las operaciones bancarias, etc., son entre otras actividades, actos u operaciones de comercio. El sujeto del comercio es el comerciante, quien de acuerdo con nuestra legislación es aquella persona que profesionalmente se ocupa de alguna de las actividades que la misma ley considera como mercantiles8. La gran mayoría de las actividades definidas como actos u operaciones de comercio, a lo largo de la historia, han estado sujetas a una condición: la interacción física de las partes contratantes - aspecto fundamental del negocio jurídico -. La manifestación de voluntad, en una parte importante de dichos actos, se expresaba a través de un documento físico - papel -, donde la firma manuscrita daba fe del común acuerdo. Hoy en día, esta concepción está siendo revalidada, básicamente, por las diferentes opciones que ofrece el mercado, en particular, por el comercio electrónico.
7
Código de Comercio Artículo 20.
8
Código de Comercio. Artículo 10.
18
Otro aspecto fundamental en el comercio, es su formación consuetudinaria, que marca el destino del comercio. Como lo expresa el Dr. Paul Rehme en su libro “Historia Universal del Derecho Mercantil” citado por el Dr. Madriñan de la Torre9 al enunciar lo siguiente:
Dondequiera que floreció la costumbre, fueron desarrollándose, relativamente pronto, usos mercantiles comunes, los cuales por concentración, pasaron con facilidad a ser derecho. Así surge desde un principio el derecho consuetudinario mercantil, que es donde encuentra justamente el comercio su norma
especial, como derecho de
contenido análogo.
Así mismo, el comercio siempre ha tendido hacia la internacionalización, que no es otra cosa que el uso de prácticas comunes entre comerciantes nacionales y extranjeros. El comercio electrónico no ha sido ajeno a estas características, por el contrario es un fiel ejemplo de su aplicabilidad teórica y práctica.
El ordenamiento jurídico en el comercio, nace precisamente, como respuesta a esos usos y prácticas comunes, llenando así, el vacío que dejaba el derecho civil común; lo
9
MADRIÑAN DE LA TORRE, Ramón E. Principios de Derecho Comercial. Séptima Edición. Bogotá: Editorial Temis
S.A. 1997. p 25 a 32.
19
que lleva a otorgar al comerciante el carácter de profesional por desarrollar una actividad especializada y con regulación propia.
En este orden de ideas, y con un breve panorama del comercio, resulta necesario fijar la atención en el estado actual de las computadoras10 y, en particular el ingreso de Internet11 al mercado como instrumento comercial.
10
La primer computadora fue diseñada con fines militares para calcular la trayectoria de los misiles obús. EL
ENIAC, podía sumar 5000 mil números en un segundo, media 30 metros de largo, 2,5 metros de alto, pesaba 30 toneladas y consumía 25.000 mil vatios de energía.
Posteriormente, en 1952 J PRESPER ECKER y JOHN
MUCHLY, sacaron al mercado el UNIVERSAL AUTOMATIC COMPUTER UNIVAC 1, utilizado para fines científicos y militares. En 1960 salieron al mercado computadoras cuyo precio oscilaba entre U$20.000 y U$100.000. Fue sólo hasta 1975 cuando ED ROBERTS, diseño el denominado ALTAIR 8800, cuyo costo era de US$400, por primera vez en la historia era posible que una persona del común accediera a una computadora. Al respecto puede consultarse a DIAZ, GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer. 2002. p. 18 a 23. 11
Existen varias teorías sobre el origen del INTERNET, básicamente se sugieren dos momentos iniciales:
1) Conexión de redes con fines académicos. 2) Conexión de redes con fines militares. El origen de las comunicaciones a través de redes tiene su inicio en las aulas universitarias, posteriormente el sistema operativo sirvió para fines bélicos. A continuación dos importantes citas sobre este origen: -
El origen de INTERNET se remonta a la década de los sesenta, fecha en que nace una red formada con la interconexión de cuatro computadores estadounidenses, del Instituto de Investigaciones de Standford (SRI), de la Universidad de California en los Angeles (UCLA), de la Universidad de California en Santa Bárbara (UCSB) y de la Universidad de Utath, cuyo objetivo básico era compartir recursos. A mediados de la época de los sesenta, Estados Unidos de América necesitaba disponer de una red nacional interconectada capaz de soportar un ataque nuclear de la entonces Unión Soviética. Así, en caso de ataques desastrosos con una alta siniestralidad, la red debía ser capaz de restablecerse,
buscando la ruta más
apropiada para efectuar comunicaciones de defensa y contraataque. Este proyecto se llamó
20
Las computadoras han tenido un constante desarrollo desde sus inicios. Bill Gates y Paul Allen fundaron MICROSOFT en 1975. La empresa se dedicaba a la fabricación de sistemas operativos - software -. Un año después, se terminó de construir el APPLE I, por uno de los ingenieros de Hewlett Packard, quien fundaría APPLE COMPUTER. Otro importante avance en los sistemas operativos, que terminó con las maquinas de escribir, fueron los procesadores de palabras, que salieron al mercado en el siguiente orden: WORDSTAR, WORDPERFECT, WORD. Para 1981, se lanzó al mercado el IBM PERSONAL COMPUTER (IBM PC). La primera hoja de cálculo - LOTUS - apareció en 1982. La sociedad APPLE COMPUTER revolucionó el mercado con el MACINTOSH en 1984, su valor agregado fue el sistema operativo, que utilizaba iconos y ventanas controladas con un ratón. En 1991 se lanzó la world wide web (www). Desde entonces, se vienen desarrollando diversos navegadores; NETSCAPE COMUNICATIONS, ARPANET y fue la conexión de las computadoras de las instituciones antes mencionadas la que marcó la pauta para su aparición. Debido a que esta red nunca se utilizó para su fin primario, al poco tiempo los grupos académicos de ese país la vieron como una buena posibilidad para intercambiar información de todo tipo, por lo que, en los setenta, ARPANET, es utilizada para fines académicos. TRUJILLO SÁNCHEZ, Guillermo. Internet para abogados. Medellín: Señal Editora. 2001. p 28. -
Lo que hoy conocemos como Internet tuvo sus comienzos en el proyecto experimental diseñado, a instancia de la National Advanced Research Proyect Agency, abreviatura de NARPA o ARPA. Por ello la red digital que surgió se denominó ARPANET, salido de las discusiones entre VINTON GRAY CERF y ROBERT KAHN a altas horas de la noche en un hotel de San Franciso y donde se les ocurrió la idea clave de conmutar redes de paquetes de
21
fundado en 1994 creó el Netscape Navigator. Después, Internet Explorer en 1995, desplazó el navegador de Netscape. Los sistemas operativos han sido desarrollados para ofrecer sistemas íntegros y ágiles, tecnológicamente hablando, facilitando la labor del usuario.12 A pesar de las grandes ventajas que ofrecen los sistemas operativos, la inseguridad en las redes de información, ha generado desconfianza en el sistema, sin embargo, ha generado conciencia en los empresarios que desarrollan los sistemas operativos; la búsqueda se concentra cada vez más en el desarrollo de sistemas seguros. La inseguridad constituye, indiscutiblemente, en muro de contención para el progreso del comercio electrónico. De esta suerte, las transacciones no presenciales, han tenido una evolución lenta, contrario a lo que se esperaba, toda vez que no existe en el usuario común un sentimiento de seguridad y confianza en los sistemas operativos. Esta forma de pensar, debe disiparse y, por el contrario propagar el conocimiento de la seguridad en los medios electrónicos; el mecanismo más adecuado para difundir el sentimiento de confianza, es sin duda, la transmisión de la información y del conocimiento, ya que si bien es cierto que la inseguridad está presente, así mismo
información. [...]”. DIAZ GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer. 2002. p 13. 12
Para más información acerca del
desarrollo de los computadores y sistemas operacionales véase a DÍAZ,
GARCÍA. Ibid. p. 17 a 23.
22
existen mecanismos para contrarrestarla, el obstáculo es que no se conocen estos mecanismos.
El siguiente extracto del artículo, Inseguridad en la Red Aumentará Intervención de
Gobiernos, publicado por la página web http://www.delitosinformaticos.com, es una clara muestra del impacto de la inseguridad en el comercio electrónico: La falta de seguridad en Internet dominará el debate y aumentará la intervención de gobiernos en la "red de redes" en los próximos años, ante la nula privacidad a de los usuarios, cuyos datos personales están al alcance de cualquiera. Expertos de firmas especializadas consideraron que la actual falta de privacidad de los cibernautas, que amenaza incluso su seguridad, ha originado una creciente preocupación y podría causar pérdidas millonarias a las empresas dedicadas al comercio electrónico. De acuerdo con una encuesta de la firma de investigación de mercados Forrester Research, 65 por ciento de más de 10 mil consumidores consultados se mostraron "muy preocupados" o "extremadamente preocupados" sobre su privacidad al navegar en Internet. Esta falta de confianza causó que en 1999 los consumidores en línea de Estados Unidos se abstuvieran de hacer negocios por unos cuatro mil doscientos millones de dólares y que 54 por ciento de las empresas disminuyeran o frenaran completamente su comercio electrónico. La encuesta mostró que mientras más aumenta la popularidad de Internet, los usuarios se muestran más temerosos de la seguridad de los datos que proporcionan a los sitios que visitan. Cada vez que alguien se conecta a la red, es vulnerable de compartir sus datos con firmas que buscan información con fines comerciales o con verdaderos delincuentes que pretenden por ejemplo apropiarse de números de tarjetas de crédito.
23
La cadena de noticias CNN realizó una encuesta, que se difundió a través de la página web, www.cnnenespanol.com, el 27 de enero de 2003, la pregunta fue la siguiente:
¿Usted cree que Internet es demasiado vulnerable? Sí
91%
509 votos
No
9%
52 votos Total: 561 votos
Tabla No. 1. Fuente: CNN EN ESPAÑOL
Ahora bien, resulta esencial entender el contexto dentro del cual se está desarrollando la actividad comercial que está revolucionando el comercio del siglo XXI, la red Internet.
El Dr. Daniel Peña Valenzuela13, expresa una idea clara del concepto de Internet: “[...] red14 compuesta de diversas redes electrónicas. Las redes están conformadas por
13
PEÑA VALENZUELA, Daniel. Aspectos Legales de Internet y del Comercio Electrónico. Bogotá: Dupré Editores
Ltda. 2001. p 29. 14
La red puede definirse como la conexión de computadoras para compartir recursos e intercambiar información.
Una red de ordenadores permite que los nodos puedan comunicarse uno con otro. Los «nodos» son hardware como por ejemplo impresoras, fax, sistemas operativos etc. Para comprender qué es una red de ordenadores, debe entenderse el concepto de tamaño, forma y aspecto físico. El tamaño se refiere a dos conceptos:
24
computadores y servidores, conectados a su vez a través de redes públicas o privadas de telecomunicaciones”.
El Dr. Díaz García15, expresa en los siguientes términos el concepto de la red Internet:
1. LAN (Local Area Network - Red de Area Local). Si todo está a una distancia razonable que se pueda cubrir caminando, se le suele llamar LAN, da igual cuántas máquinas estén conectadas, y de qué manera esté hecha la red. 2. WAN (Wide Area Network - Red de Area Amplia). Si se tienen ordenadores en sitios físicos en Lahore, Pakistán, otro en Birmingham, Reino Unido y otro en Santiago de Chile, e intenta conectarlos, tendrá una WAN. Vea más información de redes en la nota pie de página 50.
La Forma: Este concepto se refiere a la manera como se interconectan los nodos (círculos). Los enlaces de red (líneas), son el hilo conductor de los nodos. Hay dos formas de conexión: Donde hay un nodo central y muchos enlaces de red, que puede representarse de dos formas: o o o \_ | _/ \|/ o-----o-----o _/|\_ / | \ o o o
o------o------o-------o--------o
O puede que tenga tres subredes conectadas a través de un nodo: o o | o--o--o | | | o--o--o--o--o o \ | o------o / | o--o--o--o--o o | | | o | o--o
25
[...]un conjunto de computadores unidos entre sí que cumplen tres funciones principales: • Permitir que se puedan enviar mensajes desde un computador hacia otro ubicado en
cualquier lugar del mundo. • Almacenar archivos para que puedan ser leídos por una persona en otro lugar del
mundo. • Permitir que los usuarios se puedan conectar con computadores ubicados en sitios
remotos, tal y como si estuviesen en el mismo lugar”.
Internet, es sin duda, la red de redes, que permite comunicación en tiempo real, intercambio de información, celebración de contratos, almacenamiento de datos, entre otros. Es una herramienta inherente al comercio electrónico.
o
Aspecto físico: El aspecto físico se refiere a la estructura de la red. El dispositivo más usado es el «módem» que puede utilizar una línea telefónica, fibra óptica (un delgado filamento de cristal) o señal satelital (teléfonos celulares) para crear enlaces de red. Protocolo: La forma de codificar y descodificar los sistemas operativos de las computadoras para poder intercambiar información. Este concepto se ampliara más adelante. Véase más al respecto en la página web http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-deredes.
26
En este orden de ideas y, ubicados en el contexto del comercio y de la red Internet, es procedente continuar con la concepción de comercio electrónico. Sea lo primero, manifestar que la Ley Modelo de la CNUDMI16 sobre Comercio Electrónico no definió la
15
DÍAZ GARCÍA, Op. Cit., p. 63 y 64.
16
La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, (UNCITRAL o CNUDMI) promovió la
elaboración de un proyecto de ley tipo en materia de comercio electrónico. La Asamblea General de la ONU, mediante Resolución 51/162 de 1996 aprobó la Ley Modelo sobre Comercio Electrónico y recomendó su incorporación en los ordenamientos internos, como un instrumento útil para agilizar las relaciones jurídicas entre particulares. El régimen legal modelo, formulado por la Comisión de Naciones Unidas para el Desarrollo del Derecho Mercantil Internacional, según lo expone la Corte Constitucional busca ofrecer: [...]al legislador nacional un conjunto de reglas aceptables en el ámbito internacional que le permitieran eliminar algunos de esos obstáculos jurídicos con miras a crear un marco jurídico que permitiera un desarrollo más seguro de las vías electrónicas de negociación designadas por el nombre de comercio electrónico. “[...] La ley modelo tiene la finalidad de servir de referencia a los países en la evaluación y modernización de ciertos aspectos de sus leyes y prácticas en las comunicaciones con medios computarizados y otras técnicas modernas y en la promulgación de la legislación pertinente cuando no exista legislación de este tipo”. CORTE CONSTITUCIONAL. Sentencia C – 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morón Díaz. Bogotá: 2000. El Dr. Ernesto García Rengifo, en su libro: Comercio Electrónico. Documento Electrónico y Seguridad Jurídica. Bogotá: Universidad Externado de Colombia. 2000. p. 25 y 26. Manifestó:
La ley modelo fue aprobada por la Comisión el 16 de diciembre de 1996 en cumplimiento de su mandato de fomentar la armonización y unificación del derecho mercantil internacional, con miras a eliminar los obstáculos innecesarios ocasionados al comercio electrónico internacional por las insuficiencias y divergencias del derecho interno que afecten a ese comercio. Fue preparada a raíz del cambio fundamental registrado en los medios de comunicación entre las partes. Tiene la finalidad de servir de referencia a los países en la evaluación y modernización de ciertos aspectos de sus leyes y prácticas en las comunicaciones con medios computarizados
27
concepción de comercio electrónico, sin embargo, la utilizó como punto de explicación para referirse al empleo de técnicas electrónicas modernas como el EDI17 y el correo electrónico, así como para otras técnicas de comunicación menos avanzadas como el télex, la telecopia o el fax.
Ahora bien, según lo expresa el Dr. Ernesto García Rengifo, el comercio electrónico, puede entenderse de la siguiente manera:
[...] el intercambio de información entre personas que da lugar
a una relación
comercial, consistente en la entrega en línea de bienes intangibles o en un pedido electrónico de bienes tangibles. Este intercambio de datos o información puede ser multimedia o consistir en imagines, textos y sonidos.18.
y otras técnicas modernas y en la promulgación de legislación pertinente cuando no exista legislación de este tipo. Los principios generales de la ley pueden resumirse en estos cinco puntos, como lo expresa el Dr. Rengifo, Ibídem. P. 26.
17
1.
Facilitar el comercio entre los países y dentro de ellos;
2.
Validar las operaciones efectuadas por medio de las nuevas tecnologías de la información;
3.
Fomentar y estimular la aplicación de nuevas tecnologías de la información;
4.
Promover la uniformidad del derecho; y
5.
Apoyar las prácticas comerciales.
El EDI - Intercambio Electrónico de Datos: es toda aquella transmisión de mensaje de datos a través de medios
telemáticos. 18
Ibid. p. 16.
28
La legislación colombiana - Ley 527 de 1999 - en su Artículo Segundo (2º), define el Comercio Electrónico de la siguiente manera:
Abarca las cuestiones suscitadas por toda relación de índole comercial, sea o no contractual, estructurada a partir de la utilización de uno o más mensajes de datos o de cualquier medio similar. Las relaciones de índole comercial comprenden, sin limitarse a ellas, las siguientes operaciones: toda operación comercial de suministro o intercambio de bienes o servicios; todo acuerdo de distribución; toda representación o de mandato comercial (Titulo XIII. Artículo 1262 y s.s. del Código de Comercio); todo tipo de operaciones financieras, bursátiles y de seguros; de construcción de obras; de consultoría; de ingeniería; de concesión de licencias; todo acuerdo de concesión o explotación de un servicio público; de empresa conjunta y otras formas de cooperación industrial o comercial; de transporte de mercancías o de pasajeros por vía aérea, marítima y férrea, o por carretera.
Así las cosas, se podría decir que el comercio electrónico debe entenderse como toda forma de transacción comercial (compra - venta, pago - cobro) a través de medios electrónicos.
Gráficamente el comercio electrónico se desarrolla de la siguiente manera:
29
Gráfica 2. Fuente: Diseño Universidad Tecnológica Equinoccial (
[email protected])
Los usuarios, potenciales compradores, se conectan a la red Internet desde su computadora, para lo cual necesitan de un tercero que provea el servicio de conexión de redes, a través de servidores19. Una vez en línea, a través de los buscadores20 acceden a la página web que quieren,
19
encuentran el vendedor que ofrece los servicios o
Los servidores, como su nombre lo indica, se utilizan para dar servicios a las demás computadoras que se
encuentran interconectadas entre sí. Un servidor puede tener servicios de archivos, de correo, de impresión, de páginas WEB, de programas, etc., todo en un mismo equipo o en diferentes servidores, dependiendo del volumen de usuarios. Las funciones principales del Servidor son: a) Centralizar y concentrar la información; b) Centralizar las aplicaciones (correo, archivos, Web, programas, etc.). c) Estandarizar la operación de la empresa. 20
Sistemas operativos a partir de los cuales se reúnen una serie de páginas web en varias ventanas – según el
número de registros encontrados por el buscador – mediante el suministro de cierrta información. Existen diversos buscadores en la red Internet dentro de los cuales pueden destacarse Google, Alta Vista, Yahoo, Lycos, Savy Search, Info Seek
entre otros. El objetivo de los buscadores es encontrar los documentos que contengan las
palabras claves introducidas. Generalmente introducidas.
Véase
más
sobre
localiza las páginas web que más se acomoden a las palabras
buscadores
en
la
página
web
http://sensei.lsi.uned.es:8000/cea-
iw/curso/2k3/m2/buscadores.html y en Derecho Informático. Elementos de la Informática Jurídica. DÍAZ GARCÍA,
30
productos deseados a través de la llamada Intranet21 y, finalmente se intercambian mensajes de datos para concretar el acuerdo. Las expectativas con relación al comercio electrónico son muy grandes. Justamente, el beneficio de este medio es inobjetable, pero se requiere la implementación de medidas y mecanismos de seguridad - técnico jurídicos - que faciliten y hagan posible lo conectividad mundial a través de medios electrónicos. El vicepresidente ejecutivo de la Cámara de Comercio de Bogotá, expresó su opinión respecto a la evolución de los medios de comunicación y el comercio electrónico y su valor agregado para el comercio mundial en los siguientes términos:
La posibilidad de transmitir digitalmente de manera descentralizada, el desarrollo de Internet a finales de los años sesenta y el perfeccionamiento de sus servicios desde la aparición de la red de redes en los años ochenta, se constituyeron en los pilares básicos para el despegue del comercio electrónico. En la actualidad el desarrollo del comercio electrónico a nivel mundial es un hecho innegable e irreversible. No sólo es así, sino que se prevé, seguirá en crecimiento en Alexander.
Bogotá:
Editorial
Leyer.
2002.
p.
108
a
113.
31
los próximos años generando grandes ingresos a través de la red, el cual innegablemente causa un impacto sobre la actividad económica, sociales y jurídicas en donde éstas tienen lugar. A pesar de no haber madurado aún, el comercio electrónico crece a gran velocidad e incorpora nuevos logros dentro del ciclo de producción. A nivel general, todo parece indicar que este nuevo medio de intercambio de información, al eliminar las barreras y permitir un contacto en tiempo real entre consumidores y vendedores, producirá mayor eficiencia en el ciclo de producción aparejado a un sinnúmero de beneficios como la reducción de costos, eliminación de intermediarios en la cadena de comercialización, etc. trayendo importantes e invaluables beneficios a los empresarios que estén dotados de estas herramientas. En Colombia, las ventas por Internet son una realidad. Los centros comerciales virtuales y las transferencias electrónicas, entre otro, ya pueden encontrarse en la red. En 1995 existían en nuestro país 50.000 usuarios de Internet, hoy, según estudios especializados, llegan a los 600.000 y en el año 2000 sobrepasarán el millón de suscriptores. Así las cosas Colombia se perfila como uno de los países de mayor crecimiento en América Latina en utilización tecnológicos para tener
de recursos informáticos y
acceso a Internet y podría utilizar estos recursos para
competir activa y efectivamente en el comercio internacional [...] 22
21
Normalmente las empresas poseen lo que se llama una Intranet - red de computadoras interconectadas con un
Servidor central -, que les permite intercambiar información, enviar mensajes a otros usuarios del sistema, compartir archivos, etc. Así las cosas, Internet también se podría definir como una red de redes, una red de Intranet's. 22
Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000. Magistrado Ponente: Dr. Fabio
Morón Díaz. Expediente: D-2693.
32
El crecimiento del comercio electrónico es una realidad, y los usuarios crecen exponencialmente23. Se han realizado varias estadísticas reflejan en cifras, el número de usuarios que frecuentan el Internet. Ahora bien, sin perjuicio del auge del Internet, el comercio electrónico, entendido como la negociación de mercaderías a través de medios electrónicos, no ha tenido el impacto que se esperaba, como quedó antedicho, por razones de inseguridad. Las siguientes cifras, reflejan el inmenso potencial en el ámbito mundial para el comercio electrónico. Todos y cada uno de los internautas representan, en mayor o menor medida, potenciales agentes del comercio electrónico:
Número de usuarios de Internet por países Número de Usuarios de Internet (en millones de personas)
23
Audiencia total
% Población
Fuente
EE.UU, Mayo 2002
165,00
59,85
Nielsen
Japón, Mayo 2002
60,44
47,59
Nielsen
Reino Unido, Junio 2002
28,99
48,59
Nielsen
Alemania, Junio 2002
31,92
49,80
SevenOne Interactive
En el periódico EL TIEMPO en su publicación del 26 de enero de 2000, según datos de Global Emerging Markets,
se afirmó que el comercio electrónico así como los gastos de publicidad en la red tendrán un aumento anual del 140 por ciento. Según un estudio realizado por la Universidad de Texas publicado en el periódico EL TIEMPO el 8 de noviembre de 1999 se estimaba que las personas conectadas a Internet ascendían a 171 millones de personas.
33
Canadá, Marzo 2002
16,84
Italia, Mayo 2002*
8,01
Australia, Junio 2002
10,62
54,32
Nielsen
Holanda, Junio 2002
9,73
60,87
Nielsen
Francia, Diciembre 2001
15,65
26,28
Mediametrie
España, Marzo 2002
7,89
22,65
AIMC
Suecia, Junio 2002
6,02
67,83
Nielsen
Bélgica, Junio 2002
3,30
45,00
GfK Web-gauge
Suiza, Mayo 2002
3,85
52,85
Nielsen
Dinamarca, Junio 2002
3,37
62,99
Nielsen
Noruega, Abril 2002
2,46
56,84
Nielsen
Austria, Diciembre 2001
3,55
43,45
Media Research
Singapur, Abril 2002
0,97
23,36
Nielsen
Hong Kong (China), Junio 2002
4,35
59,55
Nielsen
Taiwán, Abril 2002*
6,30
Finlandia, Abril 2002
2,07
40,05
Nielsen
Nueva Zelanda, Junio 2002
2,06
51,70
Nielsen
Irlanda, Junio 2002
1,31
34,11
Nielsen
México, Diciembre 2001
3,5
3,43
ITU
Brasil, Junio 2002
13,98
7,99
Nielsen
China, Julio 2002
45,80
3,60
CNNIC
7
0,70
ITU
25,65
53,53
0,2
0,16
India, Diciembre 2001 Corea del Sur, Junio 2002 Nigeria, Diciembre 2001
57,58
Nielsen NetValue
NetValue
Korea Network Information Center ITU
34
Suráfrica, Diciembre 2001
3,06
7,05
ITU
Tabla 2. Fuente: http://www.aui.es/estadi/internacional/internacional.htm
En Colombia existen 2,7 millones de Internautas24. La Comisión de Regulación de Telecomunicaciones - CTR - reveló un estudio que arrojó una cifra de dos millones setecientos treinta y dos mil doscientos un (2,732,201) usuarios en el primer semestre de 200325. De acuerdo con dicho estudio un internauta en Colombia navega un promedio de 25,4 horas al mes. El número de adeptos a la red Internet ha tenido en los últimos años una curva creciente en nuestro país, sin embargo, la concentración se da en las grandes ciudades del país. La siguiente gráfica indica el resultado del estudio de la CRT:
24
La República. Diario Económico, Empresarial y Financiero de Colombia. Publicación Martes 25 de Noviembre de
2003. p. 5B. 25
Comisión de Regulación de Telecomunicaciones www.crt.gov.co.
35
Penetración Internet (%) Municipios Municipios
Armenia
Armenia
Manizales
Manizales
Cartagena
Cartagena
Otras capitales
Otras capitales Pereira
Pereira
Bucaramanga
Bucaramanga
Barranquilla
Barranquilla
Cali
Cali
Medellín
Medellín
Bogotá
Bogotá 0
5 10 15 20 25 30 35 40 45 50 55
Gráfica 3. Fuente: CRT. La República. Edición Martes 25 de Noviembre de 2003. Diseño: Autor
La gráfica muestra la concentración de usuarios en las grandes ciudades. Puede apreciarse que en la Capital del país, Bogotá D.C., el número de usuarios supera por más del doble, en el mejor de los casos, al número de usuarios de las demás ciudades.
Numerosos municipios no tienen acceso ni siquiera a un computador, siendo éste, el principal inconveniente que afrontan los colombianos a la hora de conectarse a la red. Sin perjuicio de lo anterior, gracias al programa COMPARTEL, se ha logrado ingresar a
36
las comunidades apartadas del país. De esta suerte, las estadísticas muestran que los servicios, en estos municipios, son solicitados en promedio 850 veces al mes, lo que equivale a 20 solicitudes diarias. El comercio electrónico, en el ámbito mercantil, puede verse desde varios puntos de vista. Se tomará la clasificación que hace el Profesor Peña Valenzuela para explicar cada uno de estos perfiles26:
•
Comercio electrónico negocio a negocio: este tipo de comercio es aquel en que se intercambian bienes y servicios entre empresas a través de la red Internet. La principal implicación consiste en la tecnificación de las empresas, toda vez que para llevar a cabo dicho intercambio se requiere, como es de suponerse, sistemas operativos que hagan lo posible, significando un costo de operación importante. El intercambio consiste, en formalizar el acto de comercio, es decir, la propuesta u oferta y aceptación. El pago puede efectuarse a través de transferencias bancarias o a través de la red bancaria del banco pagador y receptor. La obligación de dar - intercambio de bienes - implica un desplazamiento físico que se cumple en un segundo momento a través de una
26
VALENZUELA, PEÑA, Daniel. Op. cit. p. 25.
37
empresas de transporte etc. Este tipo de comercio es usual entre sociedades matrices y sus subordinadas27
- empresas asociadas que intercambian
recursos con frecuencia -. El cumplimiento de los requisitos de forma puede realizarse a través de la red - on line -, y el intercambio físico se hace posterior al acuerdo. La tecnificación de la empresa se traduce en mayor productividad y menores costes de transacción.
•
Comercio electrónico de empresa a consumidor: este tipo comercio consiste en la aplicación de procesos informáticos que le permiten a las empresas poner su producto a disposición del navegante - consumidor -. Hoy en día existen diversos negocios en línea, que ofrecen una gran variedad de productos. La confiabilidad, representa en este tipo de comercio el punto clave para el productor. Una vez alcanzada la confianza del consumidor, el negocio es viable; entran a jugar, a posteriori, variables como calidad, imagen, precios etc., que hagan atractivo el producto. Acceder a este comercio es relativamente sencillo, lo complejo es mantenerse en el mercado, ofrecer productos y servicios que atraigan al consumidor y que lo induzcan a comprar. En el mercado existen un sin número
27
Código de Comercio. Artículo 260. Matrices, subordinadas y sucursales. Una sociedad será subordinada o
controlada cuando su poder de decisión se encuentre sometido a la voluntad de una u otras personas que serán su
38
de libros de marketing, que plantean estrategias para maximizar las ventas y mantenerse activo en la red Internet28.
•
Comercio electrónico de consumidor a empresa: este comercio le permite a los consumidores acceder a los diferentes productos que se ofrecen en la red, que pueden llegar a ser adquiridos a través de mecanismos informáticos29.
•
Comercio electrónico entre consumidores: el ejemplo perfecto que explica este comercio es el de los remates, o el de las bolsas de empleo, los cuales funcionan a través de un intermediario que pone en contacto a dos personas quienes eventualmente pueden llegar a contratar. En derecho esta figura por analogía debería regularse por el “Corretaje” regulado en el artículo 1340 del Código de Comercio que establece:
matriz o controlante, bien sea directamente, caso en el cual aquélla se denominará filial o con el concurso o por intermedio de las subordinadas de la matriz, en cuyo caso se llamará subsidiaria. 28
Al respecto puede verse por ejemplo el libro Fundamentos del Comercio Electrónico. Barcelona: Editorial Gedisa
S.A. 2001. 29
Frente al concepto “informático” el Dr. Ernesto Rengifo García Op. cit. p. 10 y 11 manifiesta:
(...) la informática es la rama de la tecnología
moderna que se ocupa del proceso y
almacenamiento de informaciones mediante soportes automatizados...la exigencia de transmitir a distancia esas informaciones mediante redes interconectadas ha determinado la aparición de la telemática, que consiste en la tecnología de las comunicaciones para el intercambio de información entre equipos informáticos.
39
Se llama corredor a la persona que, por su especial conocimiento de los mercados, se ocupa como agente intermediario en la tarea de poner en relación a dos o más personas, con el fin de que celebren un negocio comercial, sin estar vinculados a las partes por relaciones de colaboración, dependencia, mandato o representación.
La anterior clasificación revela la importancia de la seguridad física y jurídica en el comercio electrónico, la necesidad de regulación con normas claras y precisas que protejan tanto al consumidor como al productor o vendedor. Sin embargo, como se pudo observar cada negocio en particular celebrado en la red puede tener una regulación en la legislación colombiana, y de ser así dicho negocio en particular se regularía por tales normas, sin dejar de lado la regulación sobre comercio - Ley 527 de 1999 y sus reglamentaciones -, la cual de igual forma tendría aplicación. En Internet, como lo expone el Dr. Rodríguez30 la distinción de la jurisdicción, genera un problema adicional, razón por la cual, debe acudirse al Derecho Internacional Privado y aplicar la normatividad del Estado que tenga un grado de intervención mayor en el negocio. Con respecto a la ubicación geográfica el Dr. Rodríguez expone:
En el Internet la determinación de la jurisdicción incluye un elemento adicional: la ubicación geográfica de los intervinientes. El mundo virtual impide que con facilidad se
30
RODÍGUEZ. TURRIAGO, Omar. Internet Comercio Electrónico & Comunicaciones. Universidad de Los Andes
Facultad de Derecho. Bogotá: Editorial Legis S.A. 2002. p. 326 y 327.
40
le impute a un actor un domicilio. Es fácil ubicar a los proveedores de servicio de Internet e inclusive a los operadores de los portales con gran reconocimiento, pero no a los usuarios particulares. Las direcciones en el Internet, por no tener un carácter físico, son movibles en la red. La dirección puede estar localizada con un servidor en Nueva York y posteriormente en Japón, sin que el usuario haya cambiado su domicilio. La jurisprudencia norteamericana ha precisado que cuando un portal se dirige a una audiencia en un país, y es catalogado como activo en esa región, sus Cortes tendrán jurisdicción sobre este [...].
Resulta de trascendental importancia que el legislador defina la jurisdicción a aplicar a través de tratados internacionales, no sólo de derecho privado sino público. Es claro, que cualquier contrato celebrado, independientemente de su contexto geográfico, se rige por sus normas especiales, sin embargo, qué jurisdicción es competente para conocer en un determinado momento una controversia, es un ámbito que no está plenamente definido.
Ahora bien, es inminente la necesidad de implementación de medios tecnológicos seguros que faciliten el intercambio de bienes y servicios a través de la red Internet. Un Software que haga posible la comunicación y, medios de pago que permitan el intercambio de recursos.
41
La siguiente gráfica nos muestra el porcentaje de incursión del Comercio Electrónico a Marzo 2002 en Europa:
Gráfica 4. Fuente: Jupiter MMXI Europe
En este punto, es claro que la inseguridad es sin duda alguna el gran obstáculo para el desarrollo del comercio en las redes de información. La pregunta inmediata es: ¿cómo superar el elemento presencial y la formalidad escrita para brindar seguridad a las transacciones electrónicas?. La seguridad en todos los ámbitos, gubernamental, empresarial, familiar etc., es un aspecto complejo y de difícil solución. Con el fin de abarcar el estudio de la seguridad en las redes informáticas, objeto de este estudio, se analizaran los tipos de seguridad en este contexto. Los ataques a las redes informáticas - desde el punto de vista de la prevención - son similares a prevenir ataques terroristas
42
de los grupos insurgentes31. Objetivamente cualquier sujeto con acceso a la red es un potencial agresor, los delincuentes se infiltran cómo un usuario común y su ubicación, como se mencionó, es difícil de detectar. La prevención resulta, ante esta desventaja, sumamente necesaria. Sin embargo, el costo político y social de implementar medidas de prevención, que coarten la libertad32, privacidad e intimidad33, resulta sumamente alto, sin embargo, es una necesidad común, que garantizará la seguridad y la paz. Por ahora no debemos preocuparnos de este aspecto, por lo menos en Colombia, sin perjuicio, de que debemos estar preparados para este tipo de intervencionismo estatal.
Sin perjuicio de analizar más adelante los mecanismos de seguridad, puede decirse que ésta, tiene dos áreas de acción - lógica y física -. La primera consiste en implementar mecanismos a nivel hardware y software, que impidan la entrada ilegal de
31
No debe olvidarse que el terrorismo es un delito tipificado por la legislación penal colombiana y que puede
desarrollarse en medios informáticos. Código Penal Colombiano. Artículo 195. 32 33
Constitución Política de Colombia. Artículo 13: Todas las personas nacen libres e iguales ante la ley [...]. Constitución Política de Colombia. Artículo 15: Todas las personas tienen derecho a su intimidad personal y
familiar y su buen nombre, y el Estado debe respetarlos y hacerlos respetar. Al respecto el Dr. Rodríguez Turriago, Op. Cit., p. 329 comenta: El Parlamento de la Comunidad de la Unión Europea profirió, en 1995, una normatividad - European Union Directive 95/46 -, para proteger el derecho a la intimidad de las personas con respecto al procesamiento de información personal. En la misma, se establece la prohibición de transferir información personal de ciudadanos europeos a países donde no exista una protección similar.
43
usuarios a las redes IT de la empresa. Estos dispositivos deben ser implementados luego de un análisis de vulnerabilidad de la compañía. La segunda consiste en garantizar la integridad de los centros de cómputo, ante cualquier riesgo, como por ejemplo movimientos telúricos, incendios, sobrecargas de energía etc. La complejidad de la seguridad tiene un sin número de explicaciones entre las cuales puede mencionarse: - el tiempo que demanda realizar una efectiva protección
de dichas
actividades; - los costes de operación en sistemas seguros; - la vulnerabilidad de los sistemas de seguridad más comunes y económicos. Sin embargo, implementar medidas preventivas siempre será menos costoso que reparar los daños. Una alternativa interesante, es la intervención de terceros con capacidad técnica y económica que garanticen la seguridad - lógica y física - a precios accesibles.
La siguiente gráfica refleja la relación entre, complejidad en la protección, contra el tiempo que demanda implementar un sistema seguro.
44
Gráfica 5. Fuente: http://ute.edu.ec
La seguridad se ha convertido hoy en día en un elemento imprescindible para el desarrollo positivo de las redes de información. Las transacciones de nivel mundial por medios informáticos - comercio electrónico - dependen en gran medida de la potencialización de los mecanismos de seguridad.
Ahora bien, ¿qué ventajas puede generar la seguridad?. A continuación se mencionan las ventajas según la Universidad Tecnológica Equinoccial Centro de Excelencia
Investigación y Transferencia de Tecnología quienes hacen una compilación de las ventajas:
Desaparecer los límites geográficos para los negocios en general.
45
Estar disponibles las 24 horas del día. Reducción de un porcentaje importante en los costos de la transacción. Se facilita la labor de los negocios entre empresario y cliente. Reducción considerable de inventarios. Agiliza las operaciones del negocio. Proporcionar nuevos medios para encontrar y servir a los clientes. Incorporar estrategias de nivel internacional para optimizar las relaciones empresa - cliente. Reducir el tamaño del personal y consecuentemente los costos de nómina. Reducción de costos de publicidad, generando mayor competitividad. Cercanía a los clientes y mayor interactividad y personalización de la oferta. Desarrollo de ventas electrónicas. Globalización y acceso a mercados potenciales de millones de clientes. Implantar tácticas en la venta de productos para crear fidelidad en los clientes. Bajo riesgo de inversión. Rápida actualización en información de productos y servicios de la empresa (promociones, ofertas, etc.).
46
La seguridad se traduce en confianza. Los usuarios quieren confidencialidad en la transmisión electrónica de sus mensajes de datos - que de lograrse - incrementará el comercio a través de medios electrónicos, representando un valor agregado muy importante para las economías mundiales.
Sin perjuicio de lo anterior, y pese a la desconfianza que existe en el comercio electrónico, hoy en día existen herramientas técnicas soportadas en normas jurídicas – Ley 527 de 1999, Decreto 1741 de 2000, Resolución 26930 de 2000 -, que proporcionan seguridad en el intercambio de datos a través de medios electrónicos. Este estudio, tiene como objetivo y fin principal mostrarle al lector los diferentes matices del comercio electrónico, con un especial énfasis en la seguridad, en los elementos técnicos y la normalización que los soporta.
1.2 Marco Jurídico del Comercio Electrónico en Colombia
El marco jurídico del comercio electrónico en nuestro país está conformado de la siguiente manera:
47
-
Ley 527 de 199934;
-
Decreto 1747 de 200035;
34
La Ley 527 de 1999 contiene 47 artículos, distribuidos en cuatro Partes, a saber:
Parte I. PARTE GENERAL: Capítulo I. Disposiciones Generales; Capítulo II. Aplicación de los Requisitos Jurídicos de los mensajes de datos; Capítulo III. Comunicación de los mensajes de datos; Parte II. COMERCIO ELECTRÓNICO EN MATERIA DE COMERCIO DE TRANSPORTE DE MERCANCÍAS. Parte III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIÓN. Capítulo I. Firmas Digitales; Capítulo II. Entidades de Certificación; Capítulo III. Certificados; Capítulo IV. Suscriptores de Firmas Digitales; Capítulo V. Superintendencia de Industria y Comercio; Capítulo VI. Disposiciones varias. Parte IV. REGLAMENTACIÓN Y VIGENCIA. 35
El Decreto 1747 de 2000 contiene 29 artículos, se encuentra dividido por tres capítulos que a su vez se subdividen
en secciones. Capítulo I: Aspectos Generales. Definiciones: Suscriptor, repositorio, clave privada, clave pública, certificado en relación con firmas digitales, estampado cronológico, entidad de certificación cerrada, entidad de certificación abierta, declaración de prácticas de certificación. Capítulo II: De las entidades de certificación y certificados digitales. Sección I: Entidades de certificación cerrada Sección II: Entidades de certificación abierta
48
-
Resolución 26930 de 200036;
-
Jurisprudencia;
-
Doctrina y;
-
Conceptos de la Superintendencia de Industria y Comercio (SIC) -.
La Ley 527 de 1999 es el resultado de una ardua labor de estudio en temas de derecho mercantil internacional; una comisión redactora de la que formaron parte tanto el sector privado como el público, cuyo liderazgo se gestó a iniciativa del Ministerio de Justicia y del Derecho, con la participación de los Ministerios de Comercio Exterior, Transporte y
Sección III: De la decisión y las responsabilidades Sección IV: De los certificados digitales Capítulo III: Facultades de la Superintendencia de Industria y Comercio. 36
La Resolución 26930 de 2000 contiene 26 artículos, se encuentra dividido por tres capítulos que a su vez se
subdividen en secciones. CAPÍTULO I: Entidades de Certificación Cerradas CAPÍTULO II: Entidades de Certificación Abiertas Sección I: Autorización Sección II: Cumplimiento requisitos permanentes Sección III: Firmas Auditoras de Entidades de Certificación Sección IV: Cesación de Actividades Sección V: Estándares, Planes y Procedimientos de Seguridad CAPÍTULO III: Certificados
49
Desarrollo, se vieron en la tarea de regular el comercio electrónico y el manejo de los mensajes de datos en Colombia.
La razón de ser obedeció a la necesidad de implementar en la legislación colombiana, un régimen jurídico consecuente con las nuevas realidades en el área de las comunicaciones y en el comercio, de modo que las herramientas jurídicas y técnicas, dieran un fundamento sólido y seguro a las relaciones y transacciones que se llevan a cabo por vía electrónica y telemática, al hacer confiable, seguro y válido el intercambio electrónico de informaciones.
En este orden de ideas, gracias a la Ley 527 de 1999 Colombia se pone a tono con las modernas tendencias del derecho internacional privado, una de cuyas principales manifestaciones ha sido la adopción de legislaciones que llenen los vacíos normativos que dificultan el uso de los medios de comunicación modernos, pues, ciertamente, la falta de un régimen específico que avale y regule el intercambio electrónico de informaciones y otros medios conexos de comunicación de datos, origina incertidumbre y dudas sobre la validez jurídica de la información cuyo soporte es informático, a diferencia del soporte documental que es el tradicional.
50
De ahí que la Ley facilite el uso del Intercambio Electrónico de Datos (EDI) y de medios conexos de comunicación de datos, otorgando igual trato a los usuarios de documentación con soporte de papel y a los usuarios de información con soporte informático.
51
2. LOS RIESGOS Y LA SEGURIDAD
Cuando nos referimos a los riesgos, lo primero que se nos viene a la mente es la eventualidad de ocurrencia de un daño. El Dr. Sarmiento37 expone el significado etimológico del término riesgo de la siguiente manera:
Por riesgo se entiende la contingencia de un daño, o sea, la posibilidad de que al obrar se produzca un daño, lo cual significa que el riesgo envuelve una noción de potencialidad referida esencialmente al daño, elemento éste que estructura todo el derecho de la responsabilidad y le otorga a la teoría que lleva su nombre un contenido esencialmente objetivo en el análisis de los hechos y las conductas que traen como consecuencia un perjuicio [...]
La concepción del riesgo38 bajo el esquema del daño, desconoce la teoría de la culpa de la responsabilidad civil, como claramente lo expresa el Dr. Sarmiento39:
37
SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de Colombia. 2002. P.
180 y 181. 38
Los Antecedentes Históricos de la teoría del riesgo son: [...] la publicación en Paris, en 1897, de las obras de
Saleilles Les accidentes de travail et la responsabilité civile, y de Josserand, De la responsabilité du Fait des choses inanimées. La sentencia de la Corte de Casación Francesa de 16 de junio de 1897, referente al caso del remolcador “La Marie” y la expedición de la ley francesa de 9 de abril de 1898 sobre la responsabilidad en los accidentes de trabajo. SARMIENTO GARCIA, Op. Cit. p. 187.
52
“La idea de riesgo se presenta entonces sustitutiva de la idea de culpa como fundamento de la responsabilidad civil, lo cual implica el desconocimiento total del dogma milenario heredado del derecho romano, según el cual “no hay responsabilidad sin culpa comprobada”, en el que se basa toda la teoría tradicional de la responsabilidad y donde el elemento culpa se constituye en presupuesto de existencia de la obligación de indemnizar”
De esta suerte, en la teoría del riesgo, el daño connota el elemento forzoso para la generación de responsabilidad civil40, lo cual es empíricamente concordante con la sucesión de los hechos; a diferencia de lo que sucede con la teoría de la culpa, donde el daño pasa a una segunda línea y la culpa adquiere toda significación, a tal punto, que sin su demostración, no hay obligación de resarcir el daño que efectivamente se ha producido. Al respecto, refiriéndose a la teoría de la culpa, el Dr. Sarmiento acertadamente expone:
39
SARMIENTO. GARCIA. Ibid. p. 182.
40
Definición de Responsabilidad Civil: [...] es la consecuencia jurídica en virtud de la cual, quien se ha comportado en
forma ilícita debe indemnizar los daños, que con su conducta ilícita ha producido a terceros. [...] ese comportamiento ilícito consiste en el incumplimiento de las obligaciones derivadas de un contrato, el incumplimiento de las obligaciones legales o cuasicontractuales, el delito, el cuasidelito, o la violación del deber general de prudencia. JARAMILLO, TAMAYO. Javier. De la Responsabilidad Civil. Bogotá: Editorial Temis. Tomo I. 1999. P. 12.
53
[...] nada más ajeno a la realidad que esta concepción y nada más injusto y desestabilizador del orden social, que condicionar la obligación de indemnizar los daños, cada vez más frecuentes y voluminosos en nuestro mundo altamente tecnificado e industrial a consideraciones estrictamente subjetivas, por esta razón la teoría del riesgo reacciona desplazando el estudio y el análisis de la responsabilidad civil del campo subjetivo donde la tenía sumida la noción de culpa, al campo objetivo, colocando al daño como causa única y primaria de la obligación de indemnizar [...]
La concepción de la teoría del riesgo conlleva, necesariamente, al estudio de las diferentes variantes que han expuesto la doctrina y jurisprudencia nacional y extranjera. Para tal fin se seguirá, la exposición del Dr. Sarmiento41 quien ejemplifica cada una de las siguientes tesis:
-
Riesgo – Provecho
-
Riesgo – Creado
-
Riesgo – Profesional
Riesgo - Provecho: esta tesis cuantifica la obligación de resarcir, con fundamento en el beneficio obtenido del daño causado, estableciendo una relación directamente
41
SARMIENTO, GARCIA. Ibid. p. 183 a 186.
54
proporcional entre el beneficio y el daño. “[...] si una persona ejerce una actividad que le reporta beneficios económicos, debe indemnizar todos los perjuicios que sean consecuencia de es actividad [...]42”.
Riesgo - Creado: la responsabilidad, en esta tesis, recae en quien desarrolla una actividad que crea riesgos. El profesor Antonio Rocha43 explica este riesgo de la siguiente manera: “[...] toda actividad que crea para otro un riesgo hace a su autor responsable del daño que pueda causar sin que haya lugar a investigar si hubo culpa o no de su parte”.
Riesgo - Profesional: la legislación francesa, consagró este tipo de riesgo como el fundamento indemnizatorio del accidente de trabajo, razón por al cual, este riesgo se circunscribe para los daños soportados por el trabajador. Sin embargo, como lo manifiesta el Dr. Sarmiento, este riesgo connota la calidad de profesional, por lo cual su órbita hoy en día, no puede reducirse a las relaciones laborales, debe, entonces, aplicarse a todas aquellas actividades profesionales como una subespecie del riesgo
42
El Dr. Sarmiento sostiene que la teoría del riesgo – provecho, tiene aplicación para todas aquellas actividades
económicas que reportan un beneficio y, no sólo, como sostiene los defensores de la teoría de la culpa, aplicable a la responsabilidad por accidentes de trabajo. SARMIENTO, GARCIA. Ibid. p. 183. 43
Citado por el Dr. SARMIENTO, GARCIA. Op. Cit. P. 185.
55
provecho con una condición adicional: su carácter especializado y técnico. De esta suerte, todo aquél que ejerza una actividad profesional y que reporte un provecho de la misma, deberá resarcir los perjuicios que dicha actividad ocasione a terceros.
En nuestro ordenamiento jurídico, el riesgo ha generado diversas discusiones y teorías encaminadas a dilucidar en cabeza de quién debe radicarse. La titularidad del riesgo, en el contrato de seguro, por ejemplo, es clara, el contrato en sí mismo tiene su esencia en la asunción de un riesgo por un tercero; el asegurador, asume los riesgos y, el tomador traslada los riesgos - Artículo 1037 Código de Comercio -, en este contrato es tan importante la noción de riesgo, que éste forma parta de los elementos esenciales del contrato - el riesgo asegurable -. Es de tal importancia la noción de riesgo para el contrato de seguro, que legislador definió el riesgo en el artículo 1054 del Código de Comercio de la siguiente manera:
Denominase riesgo el suceso incierto que no depende exclusivamente de la voluntad del tomador, del asegurado o del beneficiario, y cuya realización da origen a la obligación del asegurador. Los hechos ciertos, salvo la muerte, y los físicamente imposibles, no constituyen riesgos y son, por lo tanto, extraños al contrato de seguro. Tampoco constituye riesgo la incertidumbre subjetiva respecto de determinado hecho que haya tenido o no - cumplimiento.
56
Con esta introducción, debe preguntarse ¿dónde se ubica el riesgo en materia de comercio electrónico?.
En materia de intercambio de bienes por medios telemáticos, no existe una regulación expresa con relación al sujeto que debe soportar el riesgo, sin embargo, tienen cabida las diferentes tesis del riesgo, sin perjuicio de la inminente necesidad, de establecer, en el ordenamiento legal, una regulación específica para este tipo de negocios jurídicos.
La normatividad actual en materia de comercio electrónico, establece que las entidades que certifican el intercambio de mensajes de datos, deben responder por los perjuicios que el desarrollo de la actividad genere.
Responsabilidad que se encuentra
garantizada a través de compañías aseguradoras. Para este caso, la tesis del riesgo profesional, tiene plena cabida y concordancia, sin embargo en la práctica los contratos que celebran los establecimientos de comercio con los emisores de tarjetas de crédito, contienen cláusulas redactadas de forma tal, que los perjuicios que se causen con ocasión de la actividad negocial por la red Internet, recaen exclusivamente en el comerciante, salvo que el perjuicio se haya causado como consecuencia de la culpa grave o leve del profesional que presta el servicio. Así por ejemplo, los contratos que
57
celebra VISA - Reglamento del Servicio Electrónico de Pagos -, establecen en la cláusula vigésima quinta se la responsabilidad del banco en los siguientes términos:
El Banco se obliga a responder ante el cliente por las fallas, deficiencias, incumplimientos o demoras en que incurra, en la verificación de los datos y documentos suministrados o en la realización de las operaciones autorizadas u ordenadas siempre que se determine que tales circunstancias son imputables a ella.
La causa del perjuicio es difícil de probar, los riesgos son muchos y la inseguridad siempre es asumida por el usuario, el Banco, como se observó, sólo responde por conductas negligentes derivadas de su labor pero no por los perjuicios derivados de la inseguridad – alteración, modificación, uso fraudulento etc. -. En el Capítulo, Los
Medios de Pago, se expondrán otras cláusulas de este tipo de contratos, con el fin de evidenciar, las cláusulas que están regulando los negocios jurídicos por la red Internet , que utilizan como medio de pago la tarjeta de crédito.
Es manifiesto, como se mencionó, que deben forjarse en el ámbito de las transacciones por medios electrónicos, normas claras y equitativas, en cuanto a la asunción de riesgos. Los organismos dedicados a la seguridad de redes, sociedades que presten servicios de seguridad como las entidades de certificación, deben ser los llamados, en
58
primera instancia, a asumir los riesgos derivados de las transacciones electrónicas, sin perjuicio, que las diferentes empresas que presten servicios a través de la red, asuman, según su rango de profesionalidad, los riesgos que cause su el desarrollo de su objeto. Si bien es cierto, que la celebración de contratos por vía electrónica, se regula, en primera medida, por la normatividad aplicable a ese contrato en particular, los daños ciertos, efectivamente causados, deben seguir el lineamiento de las diferentes tesis del riesgo. Adicionalmente, debe regularse la responsabilidad por la pérdida de información - claves privadas, documentos, números secretos de los diferentes medios de pago etc. -, alteración y/o modificación, transferencias no autorizadas etc. Este tipo de responsabilidad, debe fundamentarse en el aspecto técnico y, apoyarse en las tesis tradicionales del riesgo44.
Entremos, entonces, a examinar los riesgos a los que está expuesta una transacción comercial por medios electrónicos.
1. ¿A qué riesgos está expuesto al conectarse a la red Internet?
44
En el Capítulo los medios de pago se analiza más detalladamente el tema de la responsabilidad de las empresas
que prestan servicios a través de la red Internet.
59
Para repeler un ataque hay que conocer al enemigo, razón por la cual, resulta de vital importancia introducir los riesgos a que está expuesto el comercio electrónico y, presentar así los mecanismos que los contrarresten.
Cuando Usted se conecta a través del Network45 a Internet, se están corriendo varios riesgos, entre los cuales pueden mencionarse los siguientes:
1. Se crean vías de acceso para los miles de virus que se encuentran en la red. 2. Cuando un virus penetra un sistema puede afectar todos los archivos de las unidades de disco duros y programas en general, dañándolos y afectando su funcionamiento, lo que genera pérdida de tiempo, de dinero y en el peor de los casos el daño total del equipo. 3. La información que se almacena en el computador, también se ve expuesta y puede llegar a ser conocida, borrada o modificada. 4. Para una empresa puede significar la pérdida de reputación, de miles o millones de pesos, o la parálisis de actividades, pérdida de información reservada etc.
45
Sistema operativo utilizado para la interconexión de redes.
60
Las amenazas a la seguridad digital pueden ser de diversa índole, sin embargo, pueden agruparse en tres categorías46:
-
Ataques de red: son aquellos que se efectúan a través de la red Internet. Ocasionan un lento desempeño en el sistema operativo de cada uno de los computadores de la empresa, afectan el correo electrónico y las redes internas, sin que necesariamente se afecten o dañen los sistemas operativos. Un ejemplo de este tipo de ataques es el DOS -Denial of Service -, que consiste en remitir una gran cantidad de correos electrónicos que producen el agotamiento de los sistemas. “En febrero de 2000, los ataque DOS que se dirigieron contra blancos de alto perfil tales como Yahoo, eBay, CNN y el FBI, causaron daños por más de US$100 millones”47.
-
Las infiltraciones: se dirigen al interior de los sistemas operativos, el modus operandi consiste en descifrar las contraseñas de los usuarios para acceder al escritorio del computador, donde se podrá acceder a cualquier sistema operativo e inclusive a los demás equipos que se encuentren conectados a través de red
46
Las tres categorías que se mencionan son expuestas por Robert D. Austin y Crhristopher A.R. Darby en el artículo
EL MITO DE LOS SISTEMAS DE IT SEGUROS. Harvard Business Review. Junio de 2003.
61
interna, que en la gran mayoría se divide por áreas. En este aspecto, es importante que las claves que utilice no sean: nombre, apellido, dirección, teléfono, fecha cumpleaños etc., lo cual genera una exposición mayor del sistema. Es claro que no existe conciencia sobre la vulnerabilidad de los sistemas y, mayor aún sobre el grado de compromiso que deben tener cada uno de los empleados para reducir al máximo los ataques de red y las infiltraciones.
-
El código maligno: abarca los virus y los gusanos.
2. Los Atacantes
Como introducción al tema de los atacantes, se referirá al más común y famoso de ellos - el hacker -. Término proveniente del inglés hack - recortar. Tradicionalmente se considera hacker al aficionado a la informática que busca defectos y puertas traseras en los sistemas operativos. Para los especialistas, la definición correcta sería: experto que puede conseguir de un sistema informático cosas que sus creadores no imaginan. Se dice que el término hacker nació por los programadores del Massachusetts Institute 47
Ibid, p. 89.
62
of Technology (MIT), que en los 60's se llamaron a sí mismos hackers, para hacer alusión a su capacidad como programadores. Sin embargo, su uso más extendido (e incorrecto, según los propios hackers) es el de delincuente informático, o cracker.
Uno de los primeros piratas informáticos - Kevin Mitnik - escribió: The Art of Deception (El arte de la decepción), que llegó a las librerías, en diciembre de 2003. Mitnik fue acusado por robo de software y alteración de datos de Motorola, Novell, Nokia, Sun Microsystems y de la Universidad de California durante los años ochenta y noventa.
Mitnik es conocido por ser unos de los hombres más buscados por el FBI durante tres años. En 1995 fue capturado en un apartamento en Raleigh, gracias a la ayuda de un experto académico en seguridad. Pese a su condición de delincuente informático, es considerado un héroe en la comunidad hacker. Si bien es cierto que los hacker son los atacantes más conocidos y peligrosos, no son los únicos; como se verá, cualquier empleado, por ejemplo, es un potencial atacante y, representa un riesgo para el sistema computacional de la compañía. 2.1 Atacantes Internos
63
Las vías de acceso pueden ser internas o externas. Los ataques internos son aquellos que se encuentran dentro de la misma empresa - empleados directos -. Este factor ha sido atribuido entre otros o la inestabilidad laboral; hoy en día la gran mayoría de contratos que celebran las empresas son a término fijo, las empresas evitan al máximo compromisos laborales de largo tiempo que le signifiquen una carga prestacional alta y una liquidación costosa, en caso de retiro voluntario o forzado. La pérdida de lealtad, es un factor que, sin duda alguna, contribuye a que los empleados no tengan remordimiento en causar daño a su empresa y generarle pérdidas. Un empleado bancario descontento, lanzó un ataque DOS contra el sistema operativo de su compañía, el cual se interconectaba con todas las oficinas. Previendo que el personal de sistemas estaría preocupado por interconectar el sistema entre el computador central y las oficinas, inició un segundo ataque, que fue muy efectivo, gracias a que conocía el software con el que operaba el banco. Para iniciar su ataque investigó en Internet y bajó un programa hacker, que pueden bajarse en diez minutos desde cualquier computador conectado a la red a través de fibra óptica. No aplacado, creo una ruta para que los usuarios al entrar en la página web del banco fueran remitidos a una dirección de páginas pornográficas48. Los ataques internos son difíciles de prevenir y, dependen del nivel de lealtad y confianza entre empleador y trabajador; un empleado 48
Este hecho fue narrado en Harvard Business Review. Volumen 81. Número 6. Junio 2003. p. 89.
64
que quiera su empresa y respete la organización seguramente no intentará éste tipo de maniobras. Por esta razón, el tema de la inseguridad debe abarcar políticas empresariales que vayan desde la creación de niveles de acceso al sistema operativo a través de claves, como también, programas - cursos, conferencias y entornos de trabajo cordiales -.
2.2 Atacantes Externos:
Los ataques externos, tienden a ser más peligrosos aunque menos frecuentes. La prevención, depende en gran medida de los sistemas de seguridad que utilice la empresa y, de los mecanismos de seguridad que emplee en sus transacciones y actividades en general.
Los atacantes externos pueden ser de diversa índole, así como, los motivos que los impulsan. A continuación se mencionan los atacantes más relevantes de las redes:
-
Los hacker su denominación es inglesa y su nombre se generalizó a nivel mundial, la intención de estos personajes es demostrar su habilidad ingresando a sistemas y programas de forma ilegal, alterándolos y dañándolos. Técnicamente
65
están muy bien dotados y no siempre su intención es demostrar su habilidad, pueden estar detrás de información confidencial o buscando beneficios económicos ilícitos. Ubicarlos es una tarea bastante difícil y por lo general buscan sistemas operativos can falencias de seguridad.
-
Los vándalos: es la denominación que se utiliza para aquellas personas que sólo tiene fines destructivos. Como se mencionó anteriormente en la mayoría de los casos estas personas suelen ser ex empleados que buscan venganza, o sujetos que están en contra del sistema y simplemente buscan desestabilizarlo generar caos y daños importantes, en las empresas estatales o privadas de alto perfil.
3. Las formas de ataque
Las formas
de ataque,
pueden definirse como los instrumentos de ataque que
penetran en los sistemas alterándolos, modificándolos, o borrándolos; en términos más comunes, “infectándolos”. Entre las formas de ataque más importantes pueden mencionarse49:
66
3.1 Los virus son programas informáticos que se activan cuando un archivo es ejecutado, es decir, sólo afectan a aquellos archivos con la extensión .exe, .com, .bat y .sys de los sistemas operativos de MS_DOS/Windows. Los virus tienen gran capacidad de clonación lo cual genera su expansión exponencial afectando en poco tiempo todos los programas. Los e-mails son la entrada más común de los virus.
No es un misterio, lo vemos todos los días en las empresas y en nuestras casas; los virus son los ataques más frecuentes que tenemos que afrontar, conforman parte de nuestro mundo digital, ¿quién no ha tenido un virus en su computador?. La red Internet, está infestada de virus. Todas las semanas los departamentos de sistemas de las grandes compañías, tienen dentro de sus funciones, detectar y prevenir la expansión de virus.
Ahora bien, la aparición de los primeros virus se remonta a 1986. Los disquetes, fueron el punto de partida, el sector boot50 contiene un código ejecutable, cada vez que se reinicia el computador con el disquete inserto en la unidad A, el código reproduce el programa y guarda una copia en la memoria residente del computador, es decir, en el
49
Vea más información: Ibid. p. 25 a 29.
50
El boot es el maletero de un disquete, es decir, el sitio que permite el almacenamiento de datos.
67
disco duro. Así mismo, se podía instalar una copia del programa en cualquier disquete, accesible desde cualquier dispositivo. Ha este fenómeno le dieron el nombre de virus, por su similitud de reproducción con los virus biológicos. Este año experimental, sirvió de plataforma para concienciar a los expertos sobre los virus. Se desarrollaron virus experimentales y se dimensionó su capacidad destructiva. En 1988, comenzó el denominado baile,51 así mismo, aparecieron los fabricantes de anti - virus. La IBM, tomó conciencia de la importancia de los virus al sufrir el ataque del virus Cascade, desde entonces, tiene un laboratorio dedicado a detectar y prevenir los virus. Los ataques continuaron, Brain, Italian, Stoned, Cascade y Jerusalem, se dispersaron por cientos de computadores. Jerusalem, fue sin lugar a duda el más violento y complejo, infectó a miles de computadores en Estados Unidos, España y Reino Unido, aparecía todos los viernes y los días 13 del mes. Por su parte los anti - virus seguían tomando fuerza, gracias, en parte, a los medios de comunicación que alarmaron a los usuarios, que comenzaron a demandar anti - virus. En 1989, la situación se complicó con Datacrime, el cual infectaba el computador y borraba toda la información almacenada en el disco duro. En Estados Unidos se le llamó “el virus del Descubrimiento”, de origen noruego, fue creado, según una de las hipótesis sobre su origen, como voz de protesta por
51
Los expertos en la materia: ingenieros de sistemas, se refieren al año 1988, como el año en que comenzó el baile,
por la aparición de varios virus, que infectaron a miles de computadores.
68
atribuirle a Colón y no a Eric el Rojo el Descubrimiento de América. Posteriormente apareció el código maligno - Aids Information Disquette -. Consistía en un documento que contenía instrucciones específicas para la creación de archivos y directorios. El
modus operandi consistía en introducirse en el motor de arranque del sistema operativo encriptando los archivos del disco duro y descargando en ellos todo lo que se hubiese alojado en el disquete. En 1990, aparecieron los virus polimórficos52 -, a diferencia del
código maligno, este tipo de virus cada vez que infectaba un sistema se encriptaba, lo cual hacía difícil su eliminación. Los creadores de anti - virus tuvieron que desarrollar algoritmos capaces de descencriptar los virus con el fin de constatar si éstos eran malignos o no, es decir, habían virus cuyo fin no era destructivo sino simplemente archivos que se multiplicaban con cada arranque del sistema sin ocasionar daño alguno. Este mismo año se presenció un virus procedente de Bulgaria cuyo autor se hacia llamar Dark Avenger; este virus introdujo dos nuevos conceptos: la infección rápida y el ataque remoto. El primero se instalaba en la memoria e infectaba el disco duro, el segundo se reproducía cada cierto período de tiempo, daba la apariencia de haber desaparecido pero reaparecía cuando había aparente calma en el sistema. Posteriormente, apareció “The whale” el cual representó un reto para los expertos, más que ser un virus devastador. Estaba compuesto de un algoritmo largo y complejo, lo 52
Polimorfo: cualidad de los que tiene o puede tener varias formas. Diccionario de la Real Academia Española.
69
cual hacía muy lento y complicada su eliminación. A finales de este año - 1990 - se creó la EICAR – European Institue for Computer Anti Virus Research -,
con sede en
Hamburgo. Para esta fecha ya se habían definido alrededor de 150 virus. Para 1991 la sociedad Symantec lanzó al mercado el producto Norton Anti Virus. Varios países aportaron su cuota en la creación de virus, todos muy similares, lo que dificultaba su definición, individualización y destrucción. De Alemania procedía “Gonorrea”, de Suecia “Demoralised Youth”, de Estados Unidos “Hellpit”, de Reino Unido “Dead on Arrival”. Sin lugar a duda uno de los más recordados es “Tequila” que apareció en 1991 y se expandió por los computadores del mundo. En 1992 el virus más significativo fue el denominado “Michelangelo”, que generó pánico en las empresas. Se estimaban daños en cerca de cinco millones de computadoras, finalmente la alarma fue más grande que el daño real, sin embargo, la prevención siempre evitará que el desastre sea mayor. Si bien, se sorteó un estrago de grandes dimensiones, la vulnerabilidad de las compañías quedó manifiesta. A finales del 92 aparecieron los paquetes de virus de autor, los cuales permitieron que cualquier usuario consiguiera generar su propio virus. Así mismo, se creo la Asociación de Virus Auténticamente Crueles (ARCV) en el Reino Unido, sin mucho éxito, toda vez que la Unidad de Crimen Computacional acabó con sus proyectos al arrestar a sus miembros. Un nuevo grupo de creadores de virus -
70
Trident - apareció en Holanda en 1993. En los últimos años, la historia se repite53. En el 2004, el virus Mydoom, se convirtió en el mayor virus informático de la historia por su amplia difusión, infectó más de 100 millones de mensajes electrónicos54, este virus bautizado Mydomm o Novarg, actúa como un gusano. Se ha difundido a través de Kazaa, que es un programa en red que permite intercambiar música, videos, juegos etc.
3.2 Otra forma de ataque son los gusanos, que están diseñados para infiltrarse en los programas de tratamiento de texto y destruir la información, a diferencia de los virus no poseen la capacidad de reproducirse, lo que los hace fáciles de destruir.
3.3 Los caballos de Troya, son programas que están camuflados dentro de programas en sí mismo inofensivos. “Consiste en introducir rutinas en un programa para que actúe en forma distinta a como estaba previsto”55. Los virus y los gusanos pueden esconderse dentro de los trojan horses”.
53
La historia de los virus que se expuso puede encontrarse con más detalles en la página web
www.virusport.com/Historia.html 54
Véase más información en la página web http://iblnews.com/news/noticia.php3?id=99098.
55
GARCÍA DÍAZ., Op. cit. p. 156.
71
3.4 Las bombas de relojería son muy parecidos a los caballos de troya, pero su forma de ataque está regulada en el tiempo, de manera que se activan en el momento preciso en el cual pueden causar un mayor daño.
3.5 La introducción de datos falsos, es otra de las formas de ataque, consiste en la manipulación de datos de entrada o salida de los sistemas operativos generando error en la transmisión o recepción de mensajes de datos, con el fin de inducir a error con fines económicos o no.
3.6 La Técnica de Salami es utilizada en el sistema financiero en particular en las transferencias de cuentas corrientes, cuentas de ahorro y productos de ahorro, consistente en la transferencia automática de los centavos de las transacciones realizadas a una cuenta determinada.
Los atacantes y los medios que utilizan requieren vías de acceso para introducirse en el sistema y producir el daño esperado. Existen diversas vías de penetración las cuales se exponen a continuación:
72
Ahora bien, para entender el procedimiento que utilizan los atacantes deben conocerse las rutas de acceso que utilizan para penetran en los sistemas, con lo cual se tendrá un panorama amplio sobre el modus operandi de los delincuentes informáticos.
4. Las vías de ataque
Para que un ataque sea efectivo es necesario contar con una vía de acceso, lo cual se produce en la mayoría de los casos por las deficiencias y puntos vulnerables de un Network.
El desarrollo de los sistemas operativos y sus deficiencias en particular suscitan a los atacantes para exhibir sus habilidades y demostrar que no hay sistema impenetrable e invulnerable. Las formas más conocidas de vías de ataque son las siguientes:
4.1 Software Bugs: Estos se introducen en el software, permitiendo al intruso atacar la estructura o columna vertebral de los ordenadores de los Network. Esta es la vía común de los hackers y de los vándalos. Esta vía de ataque, pone en
73
evidencia las deficiencias de seguridad de los softwares. Cada deficiencia es potencialmente una vía de acceso.
4.2 Privilegios: La gran mayoría de los sistemas operativos de computación, utilizan un sistema de seguridad denominado privilegios, el cual consiste en proveer al usuario una identificación, generalmente una clave, que le permite ser identificado. Este sistema es muy vulnerable y al ser conocido por los atacantes, estos pueden hacerse pasar por el usuario dueño del privilegio y afectar tanto la legalidad de la comunicación como las transacciones efectuadas. En la actualidad se utiliza el correo electrónico como medio para obtener contraseñas y nombres de usuarios, los pescadores, como se les conoce, envían un mensaje de una entidad oficial ofreciendo promociones o enviando información importante, con el fin que el usuario proporcione su user name y su password.
4.3 Instalación del sistema operativo: La gran expansión del mercado de computadores, ha generado la necesidad de un mercado de fácil acceso, tanto en el acceso como en la manipulación. Esta accesibilidad hace que los sistemas operativos sean vulnerables.
74
4.4 Management remoto: Para poder conectarse a Internet es necesario contratar un servidor que sirva de puente. Esta gestión puede hacerse de varias maneras, desde el mismo sitio del servidor, desde otro ordenador e incluso desde Internet, lo cual evidencia claros riesgos.
4.5 Transmisiones: Toda información que sea transmitida por Internet esta potencialmente en riesgo de ser interceptada, con las consecuencias que esto acarrea; inclusión de virus, bombas de tiempo etc., o modificación, alteración o sustracción de información.
4.6 Cookies: Los websites utilizan un sistema operativo (cookies) que recogen y almacenan información del usuario, con el fin de definir su perfil. Estos sistemas son exclusivamente para desarrollar un marketing apropiado de acuerdo con los diferentes gustos del usuario. Este sistema de almacenamiento de información es potencialmente riesgoso. La utilización y manejo de dicha información determinará el nivel de riesgo. Cuando entramos en la red y aparecen ventanas ofreciendo productos, no es al azar, en la mayoría de los casos, son productos, bienes o servicios, que en alguna oportunidad, escogimos como favoritos al llenar una encuesta.
75
Una vez definidos los ataques y las vías que se utilizan para penetrar los sistemas operativos, la pregunta consecuente es ¿qué hacen estos ataques en el sistema operativo?.
5. Los daños
Los formas de ataque pueden producir significativos daños, que pueden enmarcarse como lo dice el Dr. Font56 en cuatro clases genéricas:
5.1 Interrupción: Una vez se ha producido el ataque uno de los inconvenientes y consecuencias que se produce es la interrupción de los programas, lo cual puede reflejarse en la denegación del acceso al mismo, la lentitud del sistema, procesamiento errado de las ordenes, bloqueo del sistema. 5.2 Interceptación: Esta se produce cuando el atacante accede sin autorización al network y obtiene información confidencial y privilegiada.
En la mayoría de los
casos el acceso se produce en información que está siendo transmitida.
56
FONT, Andrés. Seguridad y Certificación en el Comercio Electrónico. Madrid : Editorial Fundación Retevisión.
2002. p. 27 y 28.
76
5.3 Modificación: Está ligada a la interceptación en la medida en que cuando se produce la interceptación en la mayoría de los casos se produce la modificación de l información que ha sido interceptada. En este caso la interceptación tiene como único fin la modificación de la información. 5.4 Fabricación: Consiste en la introducción de nuevos elementos que son dañinos y afectan el network.
Una gran dificultad que afronta la seguridad es la falta de decisión de los gerentes de sistemas. Dedicar recursos para implementar mecanismos seguros es una decisión difícil. Si la competencia no implementa medidas de seguridad y durante varios años no ocurre ningún siniestro, la decisión de inversión puede verse como una pérdida de utilidad, lo cual, en un entorno competitivo, desdibuja la capacidad de decisión y de establecer prioridades de ese ejecutivo; sin embargo, un daño puede generar millones de pesos en
pérdidas.
Precisamente, los daños producen dos efectos: crean
conciencia sobre el riesgo y su potencialidad y, muestra las debilidades del sistema. Si bien un daño evidentemente es un hecho negativo, trae consigo aspectos positivos generan conciencia -. En nuestro entorno cultural, empresarial y familiar, no hay conciencia sobre la prevención, toda vez que esta implica la destinación de recursos físicos y técnicos que comprometen recursos, sin embargo, la prevención - acción y
77
efecto de prevenir - que consiste en la preparación y disposición que se hace anticipadamente para evitar un riesgo, debe ser una constante en el diario vivir, tanto a nivel profesional como personal. Implementar a tiempo sistemas de seguridad certificación, autenticación, autorización, claves, encriptación, corta fuegos etc. -, ayudara a prevenir siniestros. Está demostrado que los costos de implementar sistemas de prevención, reducen los costos de reparación en más de un 50% e incluso hasta en un 100%. Otra opción interesante es complementar los sistemas de prevención, con pólizas de seguro, y de esta forma asegurarse por todos los flancos. Las compañías de seguros ofrecen pólizas que cubren los equipos electrónicos contra cualquier tipo de riesgo - virus, sobre carga de energía, incendio, terremoto etc. -,
sin embargo, las pólizas de seguros son mecanismos de respaldo dirigidos a soportar la ocurrencia del siniestro y no, a la prevención del mismo, por lo tanto, un entorno altamente seguro debe contar, tanto con mecanismos de protección como con pólizas de seguro.
78
6. La importancia de la seguridad y la confianza
La seguridad puede enfocarse desde varios escenarios. El jurídico, entendido como la cualidad del ordenamiento jurídico, que envuelve, entre otras, tanto la certeza de sus normas como la no - ambigüedad de sus significados y, consecuentemente, la fácil aplicación. El social, que implica dos ámbitos: público o privado; en el primero interviene la organización estatal, que dedica sus esfuerzos a evitar la violencia, el terrorismo, a atender necesidades económicas y sanitarias con miras a mejorar la calidad de vida de sus asociados y proveer un orden social revestido de legitimidad. El segundo se divide en el empresarial o de las personas jurídicas y, el familiar y de las personas naturales; el primero dedica sus esfuerzos en dispositivos de seguridad - empresas de vigilancia, cámaras de seguridad, puertas de acceso restringidas, capacitación en prevención de riesgos catastróficos de carácter natural, seguridad computacional: claves, cortafuegos, restricciones etc.; el segundo, consiste en la implementación de mecanismos domésticos con apoyo estatal, para evitar daños a los miembros del grupo familiar y sus bienes - cerraduras de seguridad, cinturón de seguridad, rutas alternas con el fin de evitar persecuciones; a nivel computacional, anti virus, claves etc. -. El presente estudio refiere la seguridad de los sistemas operativos de las computadoras, que hoy es una
79
preocupación, tanto del sector público o estatal como del privado o empresarial y/o familiar.
6.1 La Confianza
La confianza es el elemento esencial de toda relación jurídico – comercial, ha jugado un papel fundamental en la historia mercantil, política, militar y espiritual de la humanidad.
Se puede afirmar, sin ninguna duda, que la solidez de cualquier relación o proceso comercial ha sido el resultado del equilibrio siempre inestable de tres elementos: la seguridad jurídica del contexto en donde se realiza, el nivel de riesgo que se está dispuesto a asumir y la confianza existente entre las partes que intervienen en una transacción57.
La Corte Constitucional en Sentencia C- 662 de 200058 se expresó así de la confianza en el comercio electrónico:
57
Ibid., p. 35 y 36.
80
[...] la confianza es la variable crítica para incentivar el desarrollo progresivo de las vías electrónicas de comunicación conocidas como correo electrónico y comercio electrónico, pues es el elemento que permite acreditarlos como un medio seguro, confiable y, de consiguiente, apto para facilitar las relaciones entre los coasociados.
La adquisición de productos de diferentes países del mundo, la celebración de negocios, la transferencia de fondos, la consulta de saldos etc., es una idea atractiva para los usuarios de los sistemas de redes, sin embargo, el sentimiento de adquisición se ve frustrado por la incertidumbre y la falta de confianza en el sistema.
En una encuesta realizada por la firma Merryl Linch, se preguntó: ¿Estaría dispuesto a dar el número de su tarjeta de crédito por Internet?. El resultado fue el siguiente:
1. No sabe / no responde: 9% 2. Sí: 3% 3. No: 88%
58
CORTE CONSTITUCIONAL. Sentencia C – 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morón Díaz.
Bogotá: 2000.
81
Ofrecer bienes y/o servicios en cualquier mercado, implica un gran reto; más aún si no se tiene la confianza y el respaldo jurídico. Posicionarse en el mercado, generar confianza en los consumidores y forjar una buena imagen59 es una tarea que deben emprender los establecimientos de comercio que buscan ofertar sus bienes y servicios en la red Internet. En el comercio electrónico la confianza está directamente relacionada con la seguridad.
Ahora bien, teniendo en cuenta que la confianza es un componente imprescindible para las transacciones por medios electrónicos, es necesario, concienciar al usuario sobre la existencia de mecanismos seguros que le permiten realizar una transacción con la completa tranquilidad y respaldo.
6.2 Confianza On Line
59
Las marcas y su desarrollo son un factor muy influyente en el concepto de “confianza”, y son claves en el
comercio del siglo XX, por esta razón las marcas
deben ser sinónimo de identidad, seguridad, privacidad y
credibilidad en las transacciones. El Comercio Electrónico en Internet debe hacer uso de las marcas como efectivamente lo está haciendo y generar zonas de comercio seguro, donde la seguridad y la confianza sean las características fundamentales.
82
A continuación se enunciarán los resultados de una serie de estudios realizados en E.E.U.U, comentados por el Dr. Andrés Font60 con relación con los elementos básicos que generan confianza en la red:
- Generar confianza requiere tiempo: generar confianza en las redes informáticas es una labor que comienza con la manipulación de los elementos del sistema. El fácil acceso, sumado a los diferentes valores agregados que se ofrezcan y a la seguridad, conducirán al usuario a tener credibilidad en el negocio. Identificar una página segura es fácil, existen determinados signos que le indican al internauta si se encuentra en un sitio seguro tal y como lo veíamos anteriormente. Tanto para el comprador como para vendedor es indispensable que los signos de seguridad aparezcan en la página web que se visita, lo que generara confianza en la misma y en el mejor de los casos la compra on line.
- La experiencia de la navegación por Internet es ambivalente: La experiencia en la navegación del internauta es indiferente en términos de confianza. Un experto o inexperto internauta indiferentemente, necesitan elementos y mecanismos de
60
FONT, Op. cit., p. 40, 41 y 42.
83
seguridad que le brinden tranquilidad, tener la certeza que el sitio que visita es seguro.
- Una navegación fácil es una condición necesaria para generar confianza: El diseño de la página web es muy importante a la hora de generar confianza. Tener un fácil acceso y un manejo sencillo, son elementos que generan seguridad y confianza en los usuarios. Es muy importante que el sistema operativo utilizado para desarrollar comercio electrónico a través de la red, brinde fiabilidad, escalabilidad, interoperatividad y seguridad61.
•
Fiabilidad: La fiabilidad consiste en un sistema operativo ágil y confiable. Una programación fuerte y una red62 con tecnología de avanzada dependiendo de las necesidades del usuario.
61
ELSENPETER, Robert. VELTE, Joby. Fundamentos de Comercio Electrónico. Estados Unidos: MC Graw Hill.
2002. p 65 y 66. 62
Como se definió en el pie de página número 14, la red es la conexión de computadores cuyo fin es compartir
recursos e intercambiar información. Las redes pueden dividirse en dos tipos: 1.
Redes de área local: aquellas que conectan todos los componentes de las computadoras dentro de un área centralizada. Es la red que enlaza el Departamento Jurídico con el Departamento de Sistema, es la red que enlaza al Departamento de Mercadeo con la Vicepresidencia de Recursos Humanos o la red que conecta todos los computadores del Departamento de Diseño con la impresora a color. Pueden existir dentro de una misma empresa varias redes de área local que a su vez están conectadas con una red matriz de área local que se convierte en la columna vertebral de las redes de área local de la empresa.
84
•
Escalabilidad: Consiste en la posibilidad de ampliar el sistema operativo por razones de saturación, agregando más procesadores para fortalecer el sistema. Agregar más procesadores se denomina escalar, y es una consideración muy importante a la hora de elegir el sistema operativo para realizar comercio electrónico, en particular en la calidad de oferente.
•
Interoperatividad: Consiste en la posibilidad de vinculación con otros sistemas operativos para comunicarse con otras computadoras e intercambiar información. Siendo de vital importancia la aceptación de estándares63 y la capacidad de utilizar directorios habilitados64.
2.
Redes de área amplia: En esencia las redes de área amplia son dos redes de área local unidas a gran distancia. La red de área amplia más grande que existe es Internet. Las computadoras conectadas a una red de área amplia se enlazan en la mayoría de los casos a través de redes públicas, como la línea telefónica. Dependiendo de nuestras necesidades puede configurarse una red de área amplia en cualquier rango de tamaño y velocidad.
Véase más sobre estructura de redes. Ibid., p. 82 a 249. 63
Los estándares son un conjunto de parámetros para las aplicaciones de la computadora que aseguran que podrá
operar en una multitud de sistemas.
El ejemplo
que
permite visualizar qué son los estándares, son los
procesadores de palabras. Antiguamente un documento elaborado en un procesador de palabras de un determinado computador no podía leerse en un computador de diferente marca e incluso de la misma marca. Un estándar que permitió solucionar este problema es el ASCII, que es un procesador de palabras estándar. Internet posee estándares que permiten que las personas compartan información (HTML). 64
Los directorios habilitados son bases de datos gigantescas, agendas personales que
permiten tener un
conocimiento más cercano de los usuarios. El sistema operativo de los directorios habilitados consiste en una segregación de información esencial, de acuerdo con la configuración que se le haya dado al directorio. De esta forma podré saber el país de origen del usuario, sus datos personales, sus gustos y en general todo cuanto sea posible dependiendo de la configuración del sistema. Vea más información al respecto. Ibid., p 66 a 70.
85
•
Seguridad: El aspecto más importante para el comercio electrónico es la seguridad, sistemas confiables harán del sistema operativo (hardware65 y software) un sistema que garantizará credibilidad.
- Determinados signos aumentan la credibilidad de un website: Está demostrado que los símbolos ejercen una influencia positiva en los usuarios, lo que paralelamente genera confianza.
- Hay una relación directa entre ser conocido y generar confianza: Los sitios más visitados son los sitios más conocidos. Los sitios más conocidos son los sitios que más generan confianza.
- La mención explícita en el website de la política de seguridad de la empresa aumenta la percepción de confianza:
El hecho que el website haga referencia
explícita e implícita a la seguridad del usuario, y contenga políticas de seguridad soportadas con normas legales, y en el mejor de los casos con certificados y
65
El hardware engloba lo que se refiere a componentes físicos de un equipo informático, el ordenador y sus
componentes: memoria, microprocesadores etc.; y los periféricos como el teclado, monitor, impresoras, módems etc.
86
sistemas de encriptación, hacen del website un sitio seguro y confiable para el usuario.
6.3 La Seguridad
La seguridad informática tiene diferentes campos de acción: claves de acceso para acceder a los diferentes software del sistema operativo, mecanismos de seguridad para el intercambio de información a través de las diferentes redes de comunicación, acceso restringido a la información de bases de datos etc. Ahora bien, la movilidad es uno de los aspectos de más relevancia y utilidad en cuento a redes se refiere. Sin embargo, dicha movilidad representa un riesgo significativo en la medida que implica la posibilidad de ser interceptada y utilizada de modo fraudulento. Imaginemos redes de transporte de crudo - petróleo -, estos sistemas de transporte consisten en la distribución de crudo a través de oleoductos - tubos de acero que recorren los diferentes Departamentos y Municipios del país transportando el recurso a sus diferentes destinos -: refinería o puertos, para su procesamiento o exportación. Durante este recorrido, ocurren innumerables siniestros: bombas en las redes de distribución para colapsar la estructura, robo de la materia prima para uso personal o con fines comerciales etc. Esto mismo pasa con la información que viaja a través de las redes de
87
comunicación informática. Para prevenir estos ataques hay que identificar los puntos más vulnerables y reforzar la seguridad.
Es importante resaltar que existe la intención por parte de los agentes del comercio electrónico, en desarrollar e implementar mecanismos de seguridad. Ahora bien, para adelantar un programa de seguridad informática, deben conocerse las debilidades del sistema y las implicaciones que puede generar un ataque o un fraude electrónico.
6.3.1 Seguridad en la empresa
Confidencialidad, integridad, confianza, credibilidad, reputación, buen nombre, éxito, prevención, son entre otros los conceptos que encierran un ambiente de seguridad en la red.
Pérdida de información, pérdida de tiempo, costos elevados, parálisis operacional, desconfianza, mala imagen, caos, son entre otros los conceptos que envuelven un sistema operacional de red que no cuenta con una seguridad adecuada.
88
“Cuando se trata de la seguridad digital, no existe una defensa impenetrable. Pero se puede reducir el riesgo implementando prácticas operativas seguras”66.
Si bien los ejemplos de vandalismo en la red no son múltiples, los pocos que se presentan ocasionan innumerables pérdidas y parálisis en los sistemas operativos, lo cual ha afectando a la gran mayoría de las áreas de la empresa.
Los virus, que hoy en día son la forma más común de sabotaje empresarial, ocasionan todos los días pérdidas incalculables67, sin embargo, estos ataques no son dirigidos en el 95 % de los casos, lo que evidencia, la vulnerabilidad de los sistemas de seguridad y, el riesgo que está presente. Esta realidad, debe ser vista como un llamado de alerta para los Departamento de Seguridad de las empresas, con el fin que adapten las medidas de seguridad necesarias, según las necesidades de la empresa, para salvaguardar la integridad de su sistema operativo, software - hardware, página web, imagen etc.
66
AUSTIN, Robert. Darby, Christopher. Harvard Business Review. Volumen 81. Número 6. Junio 2003. p. 87.
67
“Según estimaciones del sector, cada año 90% de las empresas se ve afectada por violaciones de seguridad, que
tiene un costo aproximado de US$ 17.000 mil millones”. Ibid. p. 37.
89
Los ataques externos, ya mencionados, tiene su inicio en las redes de área amplia. Si la red de la empresa está conectada a Internet, cualquier persona está en capacidad de entrar a la red de la empresa, irrumpir la seguridad del sistema y causar daños. La seguridad en la red es uno de los elementos más importantes en la seguridad de los sistemas operacionales de la empresa. La potencialidad de este tipo de ataques es evidente si se tiene en cuenta que cualquier computador conectado a la red externa Internet y que se encuentre interconectado con la red interna de la empresa, puede “infectar” o transportar el ataque a través de todos los computadores que se encuentren conetactados por la red interna.
La seguridad en la red busca mantener el equilibrio entre Internet y la red de la empresa. El equilibrio se conseguirá si se tiene un sistema de seguridad que dificulte la irrupción de las formas de ataque en el sistema operativo. Si la seguridad de red, que posee la empresa, no garantiza la invulnerabilidad, mi conexión a Internet será insegura, poniendo en riesgo la red de la empresa y en general los sistemas operacionales.
90
Lo primero que hay que definir en un sistema de seguridad de redes es cuales son las necesidades de seguridad que requiero, dependiendo del tipo de negocio que desarrolle.
Son tres, entonces, los elementos claves en los cuales debe centrarse la seguridad de la empresa en sus actividades en línea68:
1. Información 2. Actividad 3. Acceso
a) La información es definitivamente uno de los aspectos más relevantes y de mayor importancia en el mundo, tanto a nivel privado como público. Hoy en día la gran mayoría, por no decir que la totalidad de las empresas manejan sus negocios a través de sistemas de computación. Perder la información o perder control sobre la información y, que está sea conocida por la competencia, genera pérdidas inimaginables.
91
Deben generarse mecanismos que protejan la información, para lo cual, es indispensable hacer uso de los dispositivos de seguridad con los que cuente la empresa y, reducir el flujo innecesario de información así como las fugas y pérdida de la misma. Para llevar a buen término estas intenciones debe capacitarse a los empleados en el buen uso de los sistemas.
b) Dependiendo del tipo de actividad que se desarrolle, se generan diversos niveles de riesgo. La primera fase para prevenir los riegos consiste en identificarlos. Una vez identificados deben implementarse las medidas necesarias de prevención que impidan que el riesgo se ejecute. Así, la actividad de la empresa consistirá no sólo en el desarrollo de su objeto social sino también en la puesta en marcha de actividades de prevención que permitan el normal y adecuado desarrollo del objeto social. De esta suerte, el acceso a Internet en una empresa, debe estar regulado y controlado por Departamentos, luego por actividades de trabajo, y finalmente por cargos. El sistema operativo de acceso a Internet debe poseer niveles de acceso a la red, así como, contar con contraseñas personales de acceso.
68
FONT, Op Cit. p 23 y 24.
92
c) El acceso se refiere tanto a la persona que accede al network, que quien acceda es quien dice ser. En conclusión, el acceso consiste en que sólo tengan acceso a la información quien está autorizado, y que al acceder sólo se realice la actividad que le es permitida. Controlar este aspecto, genera confianza y prestigio. Se crea un sentimiento interno, de control y vigilancia, lo que es altamente positivo como mecanismo de prevención de ataques internos.
Los ataques internos, son en su mayoría iniciados por empleados descontentos que conocen los sistemas operativos de la empresa y la vulnerabilidad de los mismos, como se menciono anteriormente. Pueden valerse de cualquier forma de ataque. Utilizan la red interna para la expansión del ataque y, su detección es muy complicada. Para contrarrestar este tipo de ataques es muy importante que se tenga control y acceso a cada equipo de la empresa, se definan perfiles y, se creen niveles de acceso y restricciones. Los elementos mencionados anteriormente - información, actividad y acceso -, sirven para detectar y prevenir los ataques internos. Sin embargo, la prevención en este tipo de ataques debe centrarse particularmente en los niveles de acceso, con permanentes chequeos sobre las actividades del usuario. Los empresarios, y en general los internautas, deben adoptar medidas de seguridad que reduzcan los riesgos y hagan de su sistema operativo un sistema confiable.
93
La siguiente gráfica ilustra la vulnerabilidad y la importancia de la seguridad en la empresa:
INTERNET
RED DE LA EMPRESA
SEGURIDAD EN LA RED Grafica 6. Diseño Robert C. Elsenpeter y Toby J. Velte
La red interna de la empresa se mantendrá en equilibrio si la seguridad de la red externa es estable y se mantiene actualizada. La gran mayoría de los daños de red interna provienen de infiltraciones que penetran a través de la red externa, por esta razón, la seguridad debe estar enfocada en filtros que analicen la información que proviene de la red externa, haciendo varios chequeos sobre su contenido. Para tal fin, existen varios mecanismos de seguridad, que deben implementarse de acuerdo con los requerimientos de la empresa.
6.3.2 Mecanismos de Seguridad
94
La seguridad que implemente la empresa, debe proteger todos los flancos, con un especial énfasis en los focos vulnerables. Existen diversos mecanismos de seguridad, su implementación, implica un estudio de riesgos y su aplicación debe hacerse de acuerdo con los requerimientos que arroje el estudio. Lo importante es detectar las debilidades del sistema, de lo contrario, se estarían situando los mecanismos de seguridad en un lugares no requeridos.
Seguridad de Tránsito y de Usuario:
Una vez se hayan definido los riesgos, el paso a seguir, es disponer los recursos para implementar la seguridad requerida. Las opciones son dos: la seguridad de tránsito y la seguridad de usuario. La seguridad en el host y la seguridad en el network son ejemplos concretos de seguridad de tránsito y de seguridad de usuario69.
a) Seguridad de tránsito: La seguridad de tránsito regula el flujo de tránsito en la red. La función más importante de este nivel de seguridad, es detener a los atacantes externos para que no penetren la red interna. La seguridad de tránsito cumple la función
69
ELSENPETER, Robert. VELTE, Joby. Op. cit., p. 354 a 371.
95
de alarma, avisa a los operadores y técnicos de la red, cuando hay algo fuera de lo común a nivel de aplicaciones. Este tipo de seguridad, se ubica en el fondo de la red, es decir, son sistemas operativos de software o hardware que han sido instalados como seguridad de la red. Ejemplos de estos serían los Proxy Server, los Pocket Filtering o los cortafuegos o firewalls.
b) Seguridad de usuario: Este tipo de seguridad utiliza un software que obliga al usuario a identificarse para poder acceder a los diferentes programas operativos del computador. El ejemplo más conocido de este tipo de seguridad son las claves.
La seguridad de usuario brinda la posibilidad de establecer niveles de acceso, limitando el campo operativo del usuario, a través de claves. Este tipo de seguridad es conocida como “sistema de autenticación, autorización y contabilidad”.
La autenticación permite identificar al usuario. La autorización es la lista de permisos y de accesos a que tiene derecho ese usuario que ha sido previamente identificado. La
contabilidad es la parte que lleva los registros de la seguridad del usuario. Se sigue los pasos del usuario durante su estadía en la red lo que le permite al empleador saber en que gasta el tiempo su trabajador.
96
Una vez determinada la clase de seguridad que se requiere implementar, debe escogerse el dispositivo. En términos cotidianos es decidir si en las puertas de acceso se van a ubicar perros, alarmas de fuego o detector de metales. En sistemas computacionales, existen diversos tipos o mecanismos de seguridad que permiten que el sistema sea seguro, como en la seguridad física de un edificio, cada uno de los dispositivos cumple una función determinada.
6.3.3 Tipos de seguridad
Existen varios mecanismos de seguridad entre los cuales destacamos los siguientes:
A nivel de comercio electrónico, es decir, seguridad implementada para llevar a cabo comercio en red, los mecanismos desarrollados y de mayor importancia son:
97
a) Secure Electronic Transactions: Una de las formas más utilizadas hoy en día en cuanto a la seguridad se refiere, es el Protocolo SET70 - Secure Electronic Transactions -. SET fue fomentado por Visa y Masterd Card. Proporciona seguridad en las comunicaciones a través de Internet entre el emisor de una tarjeta de crédito, su titular, el banco e institución financiera del comerciante.
Las entidades financieras emisoras de tarjetas de crédito, han formado un comunidad para generar comercio electrónico seguro. SET puede entenderse como un conjunto de especificaciones que proporcionan una forma segura de realizar transacciones electrónicas. SET hace uso de todos los mecanismos de seguridad disponibles para asegurar las transacciones. En la actualidad, la mayoría de las entidades financieras internacionales están implementando el protocolo SET para garantizar la seguridad en el sistema. Sin embargo en nuestro país las instituciones financieras están utilizando el protocolo SSL.
70
FONT, Op Cit., p. 158.
98
b) Secure Sockets Layer (SSL)71: El estándar desarrollado por Netscape que utiliza tecnología de encriptación para las comunicaciones entre los navegadores y los servidores.
El SET a diferencia del SSL, además de asegurar la integridad de las comunicaciones identifica a las partes contratantes, lo cual evita el repudio de la transacción. La desventaja del SET es que se requiere que tanto vendedor como comprador estén registrados y tengan instalado el sistema.
Indiscutiblemente, el protocolo SET es el sistema de seguridad adecuado para las instituciones financieras, teniendo en cuenta que el servicio que prestan es público72,
71
ORFEI, Stephen W. El Comercio Electrónico. Citado por AZUERO, RODRÍGUEZ, Sergio, Contratos Bancarios.
Quinta Edición. Bogotá 2002. Editorial: Legis S.A. p. 245. “El SLL es poco costoso, está disponible en la mayoría de los browser net tipo Explorer que existen en el mercado, por lo cual es fácil de conseguir. Los mensajes van infiltrados, lo cual es mucho mejor que hacer negocio sin protección alguna, pero SLL no autentica la identificación de las partes. Cualquier tarjetahabiente puede ser suplantado desde cualquier terminal, porque SSL encripta el canal entre el cliente y el comercio, pero sin verificar si es un tarjetahabiente, o más bien un delincuente. Por ello, el SLL no está respaldado por los bancos, ni está garantizando la transacción. Si algo no funciona, es básicamente problema del comerciante. Por su parte SET utiliza una encriptación de fortaleza industrial, identificación digital, con claves públicas y privadas de infiltración hechas con algoritmos basados en fórmulas matemáticas; además valida toda la transacción desde el punto de vista del tarjetahabiente, el comerciante y la entidad bancaria. Cualquier comerciante puede entregarle las llaves públicas a su cliente, quien remitirá datos encriptados, de manera que el mensaje sólo podrá leerse utilizando las claves privadas, equivalentes a una identificación digital, a una firma digital personalizada”.
99
pero como se mencionó, el protocolo utilizado, por lo menos en nuestro país es el SSL. Ahora bien, cualquier perjuicio o fraude que se ocasione como consecuencia del hurto de las claves secretas del usuario: clave web y clave privada, es atribuida al tarjetahabiente, con el argumento que éstas son de conocimiento exclusivo del titular del producto. Argumento que desconoce la inseguridad del protocolo SSL, y la falta de autenticidad de la información, es decir, abre las puertas para el repudio de la operación.
Actualmente, la responsabilidad de este tipo de eventualidades no se ha definido en nuestro país, y será misión de las Defensorías del Cliente Financiero73, de la Superintendencia Bancaria de Colombia o del Legislativo, imponer las condiciones mínimas de seguridad con que deben contar este tipo de entidades, más aún si manejan recursos de terceros.
72
Pude definirse el servicio público como: “[...] toda actividad organizada que tiende a satisfacer necesidades de
interés general en forma regular y continua, de acuerdo con un régimen jurídico especial, bien que se realice por el Estado directamente o por personas privadas”. YOUNES MORENO, Diego. Curso de Derecho Administrativo. Bogotá: Ed. Temis. 1997. 73
Las Defensorías del Cliente se establecieron por virtud de la Ley 795 de 2003 y su reglamentación está dada por el
Decreto 690 de 2003.
100
A un nivel no comercial, con el fin de asegurar las computadoras y sus sistemas operativos, a continuación se enuncian las herramientas de seguridad más significativas.
c) Seguridad en el Host y en el Network:
Existen dos modelos de protección que pueden utilizarse separadamente o conjuntamente:
1. Seguridad en el host 2. Seguridad en el network
1. La seguridad en el host es la forma de seguridad más común, se aplica individualmente a cada ordenador y tiene gran acogida en empresas pequeñas.
Este sistema utiliza tres programas de seguridad:
101
-
Firewalls74 individuales: Controlan la remisión y recepción de información.
-
Sandbox: Es un área segura no conectada al network cuya función es probar los programas antes de su incorporación.
-
Scanning: Este programa se encarga de comprobar que los programas y los discos duros no tengan virus.
2. Este sistema controla desde el network el acceso a los host, para lo cual utiliza diversos mecanismos entre los cuales pueden mencionarse:
-
Firewalls75: A través de
programas de software y hardware76 se crea un
sistema de puertas que controlan la entrada y salida al network.
74
Superintendencia de Industria y Comercio. Resolución 26930 de Octubre 26 de 2000. Estándares para
Autorización y Funcionamiento de Entidades de Certificación y sus Autoridades. Artículo 22: “Corta fuegos (Firewall). La entidad de certificación debe aislar los servidores de la red interna y externa mediante la instalación de un corta fuegos o firewall, en el cual deben ser configuradas las políticas de acceso y alertas pertinentes. La red del centro de cómputo debe estar ubicada en segmentos de red físicos independientes de la red interna del sistema, garantizando que el corta fuegos sea el único elemento que permita el acceso lógico a los sistemas de certificación”. La Resolución 26930 en el Artículo 22 impone la obligación de usar cortafuegos sin especificar cual de ellos debe implementarse.
75
Hay cuatro tipos diferentes de firewalls: 1.
Guardafuego filtro de paquetes: Examina el tránsito de la red en la capa de paquetes. Cuando se envía un paquete por Internet, este es examinado detenidamente, y se le permite el paso o se rechaza de acuerdo
102
-
Passwords: Consiste en un sistema de claves de identificación que sólo son conocidas por las personas autorizadas para ello,
generando seguridad al
acceso de programas confidenciales y al network en general. -
Encriptación: Es un sistema que sirve para convertir un
texto legible
en
indescifrable a través de la criptografía. -
Proxy Server: Es un sistema de bloqueo que controla la entrada de los virus a través de hacer las veces de intermediario entre las peticiones que se realicen desde el network hacia Internet. Una vez reconocida la petición y si el programa acepta la petición se establece la transmisión y se hace efectiva la petición.
-
Packet Filtering: Este es un sistema de filtros que analiza los packets77.
con el tipo de configuración (reglas) con que se ha programado el guardafuegos. Estas calificaciones programadas de antemano se conocen con el nombre de órdenes de permiso o negación. 2.
Guardafuegos para el nivel de circuitos: Identifica cada paquete como una solicitud de conexión o como un paquete que pertenece a una conexión ya establecida. La seguridad se centra en la solicitud de conexión. Si la conexión concuerda con el criterio válido para conectar, el guardafuegos permite que pase el paquete.
3.
Guardafuegos de la capa de aplicación: Valoran los paquetes en la capa de aplicaciones. Rastrea todo la información acerca de la conexión y tiene a diferencia de los dos guardafuegos anteriores la capacidad de manipular los datos que contiene el paquete, y de esta forma otorgar o no el permiso de entrada a la red o network.
4.
Filtros dinámicos de paquetes: El administrador de la red en este guardafuegos tiene la facultad de alterar las reglas de entrada y salida de paquetes, aceptando y rechazando en cualquier momento.
ELSENPETER, VELTE. Op Cit. p 363 a 366. 76
Existe una discusión sobre los guardafuegos, ya que hay personas que argumentan que estos son tanto software
como hardware. En la práctica lo que sucede es que todos los guardafuegos son software pero que para poder operar necesitan hardware adicionales. 77
Packets: Es la unidad de comunicación fundamental de comunicación en Internet.
103
La siguiente gráfica muestra los mecanismos de seguridad más utilizados en la actualidad y que se prevé serán utilizados en el futuro.
MECANISMOS DE SEGURIDADA MÁS UTILIZADOS ACTUALIDAD
FUTURO
Otros
2%
Tokens
2%
Tarjetas Inteligentes
4%
Otros
20%
Tokens
8%
Contraseñas
26%
Contraseñas
86% Certificados
52%
Tabla 3. Fuente: Forrester Research. Citado por Andres Font78
Como puede observarse existen diferentes mecanismos de seguridad que pueden y deben utilizarse para crear entornos seguros. La implementación de uno u otro depende de las necesidades de seguridad y la potencialidad del riesgo asegurable. En el mercado e incluso a través de la red pueden adquirirse estos mecanismos de seguridad.
6.4 ¿Cómo acceder a una página web segura?
78
FONT, Andrés. Op Cit. Pág 30.
104
En la práctica si se desea realizar una compra o intercambiar mensajes de datos en general, debe asegurarse de que está conectado con un servidor seguro.
Es importante tener en cuenta que el comercio electrónico seguro a través de Internet solamente se admite con los navegadores
Netscape Navigator (versión 4.06 o
superiores) o Internet Explorer (versión 4 y posteriores).
Para saber cuando se está frente a un servidor seguro debe observar los siguientes comentarios:
Usted se puede conectar a la red a través de Interner Explorer o de Netscape, si lo hace con Internet Explorer, una vez escriba la dirección del sitio al que desea ingresar, en la pantalla encontrará la opción de entrada, y al hacer clic sobre ésta aparecerá un cuadro “alerta de seguridad” (ver gráfica 7).
105
Gráfica 7. Fuente: Sistema Operativo Microsoft Internet Explorer.
Al hacer un clic sobre la celda “Más información” aparecerá un nuevo cuadro (ver gráfica 8) el cual indica que se está ingresando a un sitio seguro.
106
Gráfica 8. Fuente: Sistema Operativo Microsoft Internet Explorer.
Si hace clic sobre la celda “Aceptar” (gráfica 7) puede observar que la dirección de la
página a la que entró tiene una “s” al final del http79 y en el monitor de su computador en la parte inferior izquierda de la barra de controles aparecerá un candado. Al hacer clic sobre el candado, Internet Explorer muestra un nuevo cuadro con las propiedades del certificado digital. Este cuadro (gráfica 9) nos muestra por un lado el “Campo”, donde aparecen todas las especificaciones de la forma en como se realizó el certificado (tipo de encriptación, tipo de hash, intercambio de claves, emisor, fecha de creación, fecha de caducidad, etc.) y por otro lado nos da toda la información sobre la autoridad emisora del certificado.
Este tipo de páginas, que cuentan con certificados de seguridad, garantizan al internauta que está ingresando a una página protegida, cuyo contenido no puede ser alterado ni modificado y, que la página web no ha sido suplantada. En este orden de
79
El Internet and Hipertext Transport Protocol (http) fue diseñado para que los usuarios pudieran intercambiar
información, lo cual permite que la información sea fácilmente accesible y transportable de un sitio a otro, función indispensable para el éxito del Internet, sin embargo, genera puntos de debilidad e inseguridad en la red.
107
ideas, este tipo de seguridad que brindan los sistemas operativos de Microsoft o Netscape permiten al usuario tener la certeza que está navegando en una página protegida. La implicación de tipo jurídico es muy importante; a nivel comercial, si se lleva a cabo algún tipo de contrato vía on line entre el comerciante y el usuario, éste es perfectamente válido y, generalmente las condiciones del mismo están contenidas en la página web y deben ser aceptadas por el usuario “comprador”. Se tiene la plena certeza que las condiciones acordadas deben cumplirse y, en caso de incumplimiento podrá demandarse el contrato por incumplimiento, lo que evidencia inconvenientes logísticos, que deben encontrar refugio en acuerdos o tratados internacionales. Por otro lado, si se generan perjuicios, por ejemplo, por que la página aparentemente se encontraba protegida por un certificado emitido por autoridad competente, pero la realidad era otra y, se suministraron datos bancarios y personales generándose perjuicios, se evidencia una responsabilidad civil de carácter extracontractual en cabeza del sistema operativo – Microsoft o Netscape, ya que la seguridad del sistema fue vulnerada, riesgo que no tiene porqué asumir el usuario. Ahora bien, interponer una demanda por responsabilidad civil extracontractual contra una sociedad cuyo domicilio se encuentre por fuera del territorio nacional, evidencia inconvenientes, sin embargo, existen oficinas de abogados que adelantan este tipo de procesos en el exterior. Sin embargo, la solución a estos inconvenientes no está al alcance de un usuario común y
108
corriente, ya que los costos de intermediación y representación para demandar son altos. Todavía se requieren mecanismos, como se mencionó, pactos o tratados internacionales, que hagan más fácil el manejo de los inconvenientes en la red.
Gráfica 9. Fuente: Sistema Operativo Microsoft Internet Explorer.
Si utiliza el navegador Netscape, el proceso es similar, y lo importante es cerciorarse de que la pantalla le muestre la información de seguridad y verificarla.
6.5 Transacción segura
109
Además de acceder a un sitio seguro hay que asegurarse que se garantice la confidencialidad, integridad, autenticación y no repudio del mensaje de datos:
1. Confidencialidad: para mantener la información privada. 2. Integridad: para probar que la información no ha sido manipulada. 3. Autenticación: para probar la identidad de un individuo o aplicación. 4. No repudio: para asegurar que no se pueda negar el origen de la información PKI combina estas cuatro funciones de seguridad.
Ahora bien, ¿qué debe tenerse en cuenta para realizar una transacción segura?, al respecto el Dr. Guillermo Sánchez Trujillo afirma que deben verificarse los siguientes elementos80:
•
Garantizar, mediante
el cifrado, la confidencialidad de las transacciones
electrónicas, de manera que los datos contenidos en dichas transacciones sólo sean accesibles a las partes que intervinieron en la misma.
80
TRUJILLO, Sánchez Gullermo. Ob cit Pág 119.
110
•
Garantizar mediante el uso de firmas digitales, la integridad de las transacciones, de tal manera que su contenido no pueda ser alterado por terceros ajenos, sin ser descubiertos.
•
Garantizar, mediante la certificación, la autenticidad tanto del titular del medio de pago, como del proveedor. La certificación por parte de un tercero (notario electrónico) garantiza además la identidad de las partes que intervienen en la transacción.
Otro mecanismo de seguridad, que se estudiará en detalle, es la llamada infraestructura de clave pública (PKI, Public Key Infraesctructure), que utiliza la encriptación como herramienta de seguridad para hacer indescifrables mensajes de datos y hacer del comercio electrónico un campo de transacciones tan seguros como lo fueron alguna vez las interacciones cara a cara.
Puede afirmarse que la seguridad posee varias armas para contrarrestar los ataques, la primera que se analizó fue la seguridad técnica, la segunda arma es la seguridad jurídica, la cual a su vez tiene dos tópicos: comercial y penal. A
continuación se
estudiará él segundo de ellos y posteriormente se analizará la seguridad jurídica comercial.
111
6.6 Seguridad Jurídica de Tipo Penal: Delito informático
Resulta procedente manifestar que los ataques que afectan el comercio electrónico pueden ser contrarrestados desde dos ópticas diferentes: jurídica y técnica. La primera tiene dos ámbitos, el comercial y el penal, el primero es el que refiere a la Entidades de Certificación, Certificados Digitales y Firmas Digitales - Ley 527 de 1999, Decreto 1747 de 2000 y Resolución 26930 de 2000; el segundo, se precisa de la siguiente manera, con el propósito de tener una visión global sobre el tema. Puede decirse que el uso indebido del software, la apropiación indebida de datos, las interferencias de datos ajenos, la manipulación indebida de datos, la introducción de datos falsos, entre otras, son conductas que se enmarcan dentro del tipo penal del “Delito Informático”. Éste puede definirse de la siguiente manera:
[...] todas aquellas acciones u omisiones típicas - antijurídicas y dolosas - cometidos contra personas naturales o jurídicas, realizadas mediante el uso de sistemas electrónicos de transmisión de información y, destinadas a producir un perjuicio en la víctima a través de atentados a la sana técnica informática, lo cual, generalmente producirá de manera colateral lesiones a distintos valores jurídicos, reportándose,
112
muchas veces, un beneficio ilícito en el agente, sea o no de carácter patrimonial, actué con o sin ánimo de lucro”. (Claudio Libano Manssur)81.
Para Rafael Fernández Calvo el delito informático es “[...] la realización de una acción que reuniendo las características que delimitan el concepto de delito, se ha llevado a cabo, utilizando un elemento informático o telemático contra los derechos y libertades de los ciudadanos”82.
Nidia Callegari lo define como “[...] aquel que se da con la ayuda de la informática o de técnicas anexas”83.
Existe una diferencia entre delito computacional y delito informático, el primero consiste en la realización del tipo punible mediante el uso de medios computacionales, es decir, la utilización de herramientas técnicas para la comisión del delito; el segundo consiste en la ejecución de la conducta típica que por su particularidad consiste en la afectación o indebida utilización de medios electrónicos84.
81
Citado por DÍAZ GARCÍA, Alexander. Derecho Informático. Bogotá: Editorial Leyer. 2002. p. 155.
82
Citado por CUBILLOS y RINCÓN. Op. cit. p. 331.
83
Ibid., p. 331.
113
Entre los delitos informáticos más destacados pueden mencionarse los siguientes85:
•
Acceso no Autorizado: Consiste en el uso ilegítimo de claves o contraseñas de acceso.
•
Alteración, modificación o destrucción de datos: Consiste en el daño que se ocasiona a la red mediante la utilización de alguna de las formas de ataque, alterando, modificando o destruyendo información o sistemas operativos.
•
Infracción de los derechos de autor: Consiste en la reproducción, cesión, distribución o utilización en general sin la debida autorización expresa y escrita del titular de los derechos patrimoniales e intelectuales de algún escrito protegido por los derechos de autor.
•
Estafas electrónicas: Consiste en las maquinaciones fraudulentas que llevan al engaño cuando se realiza una transacción electrónica como la compra venta on line.
•
Transferencia de fondos: Consiste en el engaño que se produce en un sistema para la transferencia de fondos a diferentes cuentas.
84
Ibid., p. 332.
85
Ibid., p 336 a 338.
114
Entre los delitos computacionales pueden mencionarse los siguientes:
•
Espionaje: Puede ser de dos clases:
- Espionaje gubernamental: Consiste en el acceso no autorizado a bases de datos gubernamentales, por personas, organizaciones o gobiernos extranjeros, con el fin de interceptar y acceder a información con carácter de reserva. - Espionaje industrial: El objetivo es acceder e interceptar información con carácter de reserva pero entre personas de derecho privado.
•
Terrorismo: Consiste en la utilización de la red con el fin de llevar a cabo actos que alteren el orden público y la convivencia pacífica.
•
Otro tipo de delitos: Consiste en la utilización de la red con el fin de planear, y llevar a cabo conductas típicas.
En nuestra legislación el “Delito Informático” está consagrado en el Artículo 195 del Código Penal, el cual establece como pena una sanción pecuniaria para el que
115
abusivamente se introduzca en un sistema informático protegido con mecanismos de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo.
La introducción de este tipo penal, en la legislación colombiana, es bastante limitada, en la medida que es el único tipo que penaliza aquellas conductas que atentan contra el comercio electrónico, las transacciones electrónicas y la transmisión de mensajes de datos.
Es muy importante que se planteé la inclusión en el código penal de normas con carácter autónomo diferenciadas entre sí que condenen las diferentes modalidades de delito informático. Este tipo delitos deben enmarcarse dentro de los Títulos contra la Fe Pública, el Patrimonio Económico, la Seguridad Estatal etc., según el bien jurídico tutelado que se vea vulnerado.
Así mismo, la pena debe ser directamente proporcional al daño causado, y debe contemplar la pena privativa de la libertad. A raíz de los hechos ocurridos el 11 de
116
Septiembre de 2001, se implementaron una serie de normas que afectan a la comunidad internacional. Como lo menciona claramente la Dra. Guerrero86:
Con el consenso unánime del Senado de los Estados unidos el Presidente Bush firmó la Patriot Act - Provide Appropriate Tools Required to Intercept and Obstruct Terrorism –la cual con efectos mundiales marca un hito en la lucha contra la criminalidad globalizada. Se trata de una legislación de emergencia, “cuidadosamente redactada y considerada” en palabras del Presidente Bush, que entrará en vigor hasta el 31 de diciembre de 2005. En general, el gobierno de estados Unidos después de los hechos ha endurecido totalmente su arsenal normativo con importantes consecuencias para ese país y el resto de la humanidad.
Precisa terminar este tema, con la noción expresada por la Dra. Guerreo de Global
crime.
La concepción de global crime, parte de la correlación existente entre globalización y criminalidad. Así, el acercamiento de los mercados ha implicado el acercamiento de la delincuencia, razón por la cual las medidas a adoptar deben gestarse en el ámbito del derecho internacional. Puede decirse, entonces, que el global crime, es aquel que es 86
GUERRERO, María Fernanda. Derecho de Internet & Telecomunicaciones. Universidad de los Andes. 2003. P. 74
117
ejecutado en un ámbito que compete al derecho internacional y que afecta la seguridad de los países en general.
[...] el proceso de globalización, pese a sus detractores, debe continuar su curso en circunstancias especialmente tranquilas. Esa tranquilidad está determinada por una actitud claramente consciente y decidida de orientar la acción de contraste mediante procedimientos acordes con la dimensión del fenómeno que se busca enfrentar. El hilo conductor de cualquier argumento dirigido a es propósito está en entender que la criminalidad global se contrarresta únicamente mediante una respuesta igualmente global87.
Ciertamente, la criminalidad ejercida sobre medios telemáticos, es en definitiva un problema global, que requiere de una acción global. Así como se incorporó la Ley modelo sobre comercio electrónico elaborada por la CNUDMI, deberá incorporarse una reglamentación de aplicación global que permita integrar conceptos penales y juzgar a los delincuentes en tribunales internacionales si es del caso.
y 75. 87
GUERRERO, María Fernanda. Op. cit., p. 89.
118
La seguridad, entonces, debe abarcar dos tópicos: la seguridad técnica, que es proporcionada por las Entidades de Certificación, las firmas digitales, la criptografía, los protocolos de seguridad, los firewells etc., y, la seguridad jurídica comercial y penal; tanto la primera como la segunda, especialmente la primera, tiene un nuestra legislación un marco normativo básico, que debe complementarse y desarrollarse de acuerdo con las necesidades del mercado; el segundo, que es muy pobre jurídicamente, debe partir de la noción del global crime, y promover acuerdos internacionales que permitan un consenso global para hacer frente a este nuevo delito.
119
3. LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA
En toda actuación administrativa o judicial, no
se
negará
eficacia
validez
o
fuerza
obligatoria y probatoria a todo tipo de información en forma de un mensaje datos [...] (Ley 527 de 1999)
La Ley 527 de 1999 incorporó el Artículo Segundo (2)° de la Resolución 51/162 de la Asamblea General donde se define el mensaje de datos de la siguiente manera:
La información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares, como pudieran ser, entre otros, el Intercambio Electrónico de Datos (EDI), Internet, el correo electrónico, el telegrama, el télex o el telefax.
Ahora bien, las nuevas tecnologías de la comunicación, a pesar de sus grandes y evidentes ventajas, no tenían el aval como medio de prueba, lo cual hacía que su uso en negocios y contratos fuera muy limitado. Como solución, el legislador se dio a la tarea de regular y dotar de fuerza jurídica y probatoria este tipo de medios. Fue así como se gestó la teoría del equivalente funcional, que no es otra cosa, que dotar al documento electrónico de las mismas características que posee el documento físico.
120
La Ley Modelo de la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional - CNUDMI88 -, dirigió sus esfuerzos en fundamentar los equivalentes
funcionales89. Al respecto, resulta importante conocer el razonamiento de la Asamblea General de la CNUDMI, en la elaboración de la Ley Modelo y los lineamientos que plasmó en la Guía para la Incorporación de la Ley en los ordenamientos Internos:
Una de las características principales de la nueva Ley Modelo es la de aumentar la seguridad del funcionamiento de los criterios de flexibilidad que se establecen en el artículo 7 de la Ley Modelo de la CNUDMI sobre Comercio Electrónico para el reconocimiento de una firma electrónica como equivalente funcional a una firma manuscrita El artículo 7 se centra en las dos funciones básicas de la firma: la identificación del autor y la confirmación de que el autor aprueba el contenido del documento. En el apartado a) del párrafo 1) se enuncia el principio de que, en las comunicaciones
88
La Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, inspirada en la convicción de que al
dotarse - al mensaje de datos - de fundamentación y respaldo jurídico, se estimularía su uso al hacerlos confiables y seguros, generando expansión del comercio internacional, dadas las enormes ventajas comparativas de su rapidez, incluyó el valor probatorio de estos medios como herramienta en las relaciones de índole comercial. 89
La Ley Modelo sigue un nuevo criterio, denominado a veces "criterio del equivalente funcional", basado en un
análisis de los objetivos y funciones del requisito tradicional de la presentación de un escrito consignado sobre papel con miras a determinar la manera de satisfacer sus objetivos y funciones con técnicas del llamado comercio
121
electrónicas, esas dos funciones jurídicas básicas de la firma se cumplen al utilizarse un método que identifique al iniciador de un mensaje de datos y confirme que el iniciadora prueba la información en él consignada. El apartado b) del párrafo 1) establece un criterio flexible respecto del grado de seguridad que se ha de alcanzar con la utilización del método de identificación mencionado en el apartado a). El método seleccionado conforme al apartado a) del párrafo 1) deberá ser tan fiable como sea apropiado para los fines para los que se consignó o comunicó el mensaje de datos, a la luz de las circunstancias del caso, así como del acuerdo entre el iniciador y el destinatario del mensaje.
Con respecto a la búsqueda de soluciones, que hicieran posible que un documento electrónico pueda servir como medio de prueba el Dr. Angarita90manifestó lo siguiente:
Para solucionar esas dificultades el legislador colombiano, reconociendo los efectos legales que se le han dado en muchos casos a conceptos como escrito, firma y original y las consecuencias jurídicas de su omisión en una actividad en la que legalmente son imprescindibles, estableció un criterio a fin de adecuar los mismos a un contexto basado en el empleo de la informática. Este principio ha sido denominado el equivalente funcional, el cual se basa en un análisis de los objetivos y funciones del
electrónico [...] Guía para la Incorporación de la Ley Modelo de la CNUDMI para las Firmas Electrónicas (2001) al derecho interno. Véase: http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf 90
ANGARITA, Remolina Nelson. Internet Comercio Electrónico & Telecomunicaciones. Desmaterialización,
Documento y Centrales de Registro. Bogotá: Editorial Legis S.A. 2002. p. 13.
122
requisito tradicional con miras a determinar la manera de satisfacer sus objetivos y funciones en un contexto tecnológico91.
La exposición de motivos del proyecto de Ley
227 del 21 de abril de 1998 de la
Cámara de Representantes refirió que la Legislación Colombiana se acogió el principio del equivalente funcional, en los siguiente términos:
[...] Se adoptó el criterio flexible de equivalente funcional que tuviera en cuenta los requisitos de forma, fiabilidad, inalterabilidad y rastreabilidad que son aplicables a la documentación consignada sobre papel, ya que los
mensajes de datos
por su
naturaleza, no equivalen en estricto sentido a un documento consignado en papel.
Para lograr este objetivo - mensaje de datos como medio de prueba -, resulta necesario conocer el significado y características del documento, así como sus funciones. El mensaje de datos, debe cumplir, bajo este supuesto, en el mismo sentido - propósito y función - las características del documento92 físico.
91
Ibid., p. 13.
92
El documento según el diccionario de la Real Academia Española es entre otras definiciones “El escrito en que
constan datos fidedignos o susceptibles de ser empleados como tales para probar algo”.
123
En este orden de ideas, es importante mencionar, como señala Gustavo Rodríguez, cuales son las características del documento físico, que pueden sintetizarse de la siguiente manera:
I.
Legible por todos;
II.
Inalterabilidad a lo largo del tiempo;
III.
Permitir su reproducción para que cada una de las partes tuviera un ejemplar del mismo;
IV.
Autenticación de los datos consignados mediante una firma;
V.
Presentación formal y aceptable de un escrito ante las autoridades públicas y los Tribunales.
El Artículo 251 del Código de Procedimiento Civil define la noción de documento en los siguientes términos:
Son documentos los escritos impresos, planos, dibujos, cuadros, fotografías, cintas magneto
gráficas,
discos,
grabaciones
magnetofónicas,
radiografías,
talones,
contraseñas, cupones, etiquetas, sellos y, en general, todo objeto mueble que tenga carácter
representativo o declarativo, y las inscripciones en lápidas, monumentos,
edificios o similares.
124
Carnelutti93 refiriéndose a los medios de prueba explica:
[...] a diferencia del testimonio, el documento no es un acto sino una cosa [...]. En el testimonio, el acto es el propio hecho representativo y, por tanto, la representación es el efecto inmediato del mismo, mientras que en el documento el acto no es, en manera alguna el hecho representativo, sino que crea un objeto capaz de representar [...]. El documento no solo es un cosa, sino una cosa
representativa, o sea capaz de
representar un hecho.
En nuestra legislación, se distinguió entre documentos privados y públicos. El artículo 251 del Código de Procedimiento Civil establece:
Los documentos son públicos o privados. Documento público es el otorgado por funcionario público en ejercicio de su cargo o con su intervención. Cuando consiste en un escrito autorizado o suscrito por el respectivo funcionario, es un instrumento público; cuando es otorgado por un Notario o quien haga sus veces y ha sido incorporado en el respectivo protocolo, se denomina escritura pública. Documento privado es el que no reúne los requisitos para ser documento público.
93
CARNELUTTI, Francisco. La Prueba Civil. Buenos Aires, 1947. p. 40. Citado por
RODRÍGUEZ, Gustavo
Humberto. Derecho Probatorio Colombiano. Bogotá: Ediciones de Cultura latinoamericana Ltda. EDICULCO: 1979. p
125
Ahora bien, ¿Qué diferencia existe entre documento público y documento privado?; para tal efecto y, con el fin de entender dicha diferencia, se trae a colación, al Dr. Rodríguez94, quien explica la diferencia de la siguiente manera:
a) Es la publicidad la que distingue a los documentos, en públicos y privados;
b) Tanto los documentos públicos como los privados pueden estar contenidos en
escritos, o en otras formas gráficas;
c) El documento público puede utilizar la forma gráfica u otra diferente, pero cuando es escrito y autorizado por el respectivo funcionario, se denomina instrumento
público. Este es, pues, una especie del documento público; d) El documento público, que a la vez sea instrumento público, cuando es otorgado por un Notario e incorporado en el protocolo, toma la denominación de escritura
pública. Esta es, pues, una especie del instrumento público, y una subespecie del documento público;
224. 94
RODRIGUEZ. Op. cit., p. 228.
126
e) Los demás son documentos privados.
Es importante, aclarar y diferenciar, como lo expresa FRAMARINO95, la diferencia entre publicidad y autenticidad: la publicidad, pretende dar fe ante todos de la autenticidad: el funcionario público da fe ante las partes contratantes y, con efectos erga omnes, que las firmas de los intervinientes, que aparecen suscritas, son las de los autores que se enuncian en el documento. Por eso resulta correcto decir que, documento público es el que hace fe pública de su autenticidad.
El mensaje de datos cumple las características del documento escrito y en algunos casos, inclusive, supera las expectativas que en un principio se tuvo de él, aún más, el mensaje de datos, por su especial condición técnica es más seguro que el documento consignado en un papel. Así, lo expresó la Comisión de las Naciones Unidas para el Derecho Mercantil Internacional96. Otro aspecto de trascendental importancia en la búsqueda de este objetivo, es la verificación de la autenticidad, la conservación y la
95
FRAMARINO DEI MALATESTA, Incola. Lógica de las pruebas. Bogotá: 1964. p. 11. Citado por RODRÍGUEZ. Ibid.
p. 231. 96Ley
Modelo de la CNUDMI sobre Firmas Electrónicas. Guía para su Incorporación al Derecho interno 2001.
NACIONES UNIDAS Nueva York, 2002 Publicación de las Naciones Unidas Número de venta: S.02.V.8ISBN 92-1333321-8.
127
consulta, como requisitos que debe cumplir el mensaje de datos para lograr su cometido.
1. Documento escrito
La Ley 527 de 1999 en el Capítulo Segundo “Aplicación de los requisitos jurídicos de los mensajes de datos”, Artículo Sexto97, plantea que sí el documento electrónico
es
accesible para su posterior consulta, la exigencia de la forma escrita, para formalizar ese acto o contrato, queda verificada. Por ejemplo, en el contrato de seguro, regulado por el Artículo 104698 del Código de Comercio, se exige como prueba de su existencia la póliza de seguro. En este caso, al igual que en todo contrato, el perfeccionamiento 97
Ley 527 de 1999. Artículo 6°. Escrito. Cuando cualquier norma requiera que la información conste por escrito, ese
requisito quedará satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas prevén consecuencias en el caso de que la información no conste por escrito. 98
Código de Comercio. Artículo 46: [...] Con fines exclusivamente probatorios, el asegurador está obligado a entregar
en su original, al tomador, dentro de los quince días siguientes a la fecha de su celebración el documento contentivo
128
se verifica al reunirse los elementos esenciales99, para el ejemplo en mención, deben cumplirse los elementos que menciona el artículo 1045100 del Código de Comercio. En el contrato de seguro celebrado a través de la red, el perfeccionamiento, al ser un contrato consensual, se daría de la siguiente manera:
1.
El tomador del seguro ingresa a la página web de la aseguradora;
2.
Ubica el seguro que necesita tomar;
3.
Envía sus datos personales de acuerdo con el cuestionario que para tal efecto diseñe la aseguradora;
4.
La aseguradora realiza una investigación de los datos personales del solicitante. Para llevar a cabo dicha investigación puede valerse de la Autoridad de Certificación, o verificar con la Entidad de Certificación, que cumpla las funciones de Autoridad de Certificación, sí el solicitante se encuentra registrado en la base de datos de la entidad. Si se encuentra
del contrato de seguro, el cuál se denomina póliza, el que deberá redactarse en castellano y firmarse por el asegurador [...]. 99
Código Civil Artículo 1502:
100
Código de Comercio. Artículo 1045: Son elementos esenciales del contrato de seguro:
El interés asegurable; El riesgo asegurable; La prima o precio del seguro, y La obligación condicional de asegurador.
129
registrada en la AC, se procede a la expedición en línea del seguro, de lo contrario será necesaria la corroboración de los datos personales a través de medios idóneos que garanticen o certifiquen la veracidad de los datos. 5.
Después de realizado el estudio del tomador y del estado del riesgo, la aseguradora manifiesta su aceptación y da vía libre a la expedición del seguro. A partir de este momento el contrato existe, y la prueba de este, o sea la póliza, debe ser entregada por la aseguradora dentro de los quince días siguientes al perfeccionamiento del contrato, y una vez efectuada la entrega comienza el término para pagar la prima del seguro. La entrega de la póliza es un paso que puede obviarse si se contrata a través de la red; una vez perfeccionado el contrato el tomador podrá imprimir la póliza y tener la prueba de la existencia del contrato.
Lo importante en estos eventos es que exista la plena seguridad que el contrato no ha sido alterado ni modificado,
lo que se logra si se cumplen las exigencias de
confiabilidad que exige la ley. Sin perjuicio de lo anterior, aún si el acuerdo de voluntades se generó en un ambiente inseguro, sin el respaldo de un tercero de confianza, no por ello se pierde el valor probatorio del mensaje de datos, en virtud de la En defecto de cualquiera de estos elementos, el contrato de seguro no producirá efecto alguno.
130
Ley 527 de 1999. En conclusión, si se celebra a través de la red Internet un contrato, el cual, por expresa disposición legal o contractual exija la formalidad escrita como prueba de su existencia, es necesario, que dicho documento pueda transformarse a físico o que sea accesible para su posterior consulta. Ahora
bien,
el valor probatorio
dependerá del entorno de seguridad que rodeó el acuerdo de voluntades.
En este orden de ideas, cualquier mensaje de datos tiene valor probatorio por consagración legal, independientemente del tipo de seguridad que lo proteja. La calificación y/o valor probatorio de la prueba, por parte del juez, bajo las reglas de la sana crítica, en lo que refiere a los mensajes de datos, debe centrarse en la idoneidad del negocio o acto celebrado, lo cual es directamente proporcional a la seguridad utilizada. Entre mayor seguridad mayor idoneidad, entre mayor idoneidad, mayor valor probatorio.
Ahora bien, si el contrato está protegido por una firma digital, es incluso, mucho más confiable que un documento físico, ya que está de por medio y como garante del acto o negocio, una Entidad que responde civilmente por la autenticidad del documento.
131
Así las cosas, la promesa de compra - venta de inmueble, o el contrato de seguro entre otros, podrán realizarse por medios electrónicos siempre y cuando el sistema empleado - software -, permita la reproducción o posterior consulta del documento y garantice la idoneidad del documento. Los documentos electrónicos son documentos que sirven como medio de prueba en cualquier proceso judicial
y, tendrán el más alto valor
probatorio, si está de por medio una Entidad de Certificación, o, mecanismos idóneos de seguridad que garanticen la integridad del documento.
Al respecto, el Dr. Hermann Zubieta Uribe afirma:
En efecto hoy en día no se puede negar el valor de documento escrito a un fax en la medida en que se logre su posterior consulta. Lo mismo ocurre con los mensajes de datos netamente virtuales, como un correo electrónico, una página WEB o en general cualquier documento que circula por Internet, siempre y cuando se logre su posterior consulta101.
101
URIBE, ZUBIETA, Hermann. Internet Comercio Electrónico& Telecomunicaciones. Universidad de los Andes.
Bogotá: Editorial Legis S.A. 2002. p. 53.
132
El Dr. Ernesto García Rengifo102 cita la doctrina Italiana quienes hacen una interpretación funcional y teleológica del Artículo 2712 del Codice Civile, afirmando que la forma electrónica debe ser asimilada a la forma escrita y que el artículo 2712 se aplica al documento electrónico.
Artículo
2712:
Reproducciones
mecánicas:
las
reproducciones
fotográficas
o
cinematográficas, los registros fonográficos y, en general cualquier otra representación mecánica de hecho o de cosas constituyen plena prueba de los hechos y de las cosas representadas, si aquel contra el cual están producidas no convierte la conformidad con los hechos o con las cosas mismas.
Definitivamente, la formalidad escrita puede suplirse mediante el uso de sistemas electrónicos, que permitan su posterior consulta, sin embargo, esa posibilidad, desde el punto de vista probatorio, no garantiza la autenticidad del documento.
102
GARCIA, RENGIFO. Op. Cit., p. 24. No se menciona traductor del Codice Civil.
133
2. Autenticidad
El artículo séptimo103 de la Ley 527 de 1999, refiere el tema de la autenticación104 del mensaje de datos. La autenticidad es la verdad de la indicación del autor, es decir, la
103Ley
527 de 1999. Artículo 7º. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de la misma, en relación con un mensaje de datos, se entenderá satisfecho dicho requerimiento sí: a) Se ha utilizado un método que permita identificar al iniciador de un mensaje de datos y para indicar que el contenido cuenta con su aprobación. b) Que el método sea tanto confiable como apropiado para el propósito por el cual el mensaje fue generado o comunicado. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que no exista una firma. 104
Los documentos escritos deben ir firmados, para indicar su autor. Cuando se puede atribuir un documento a
determinado autor, puede decirse que dicho documento es auténtico. El Artículo 252 del Código de Procedimiento Civil establece: “Es auténtico un documento cuando existe certeza sobre la persona que lo ha firmado o elaborado”. Por su parte el documento público se presume auténtico, mientras no se compruebe lo contrario mediante la tacha de falsedad. Lo cual significa que los documentos públicos gozan de una presunción de autenticidad, presunción que es de hecho, es decir, que admite prueba en contrario. Ahora bien, para tachar de falso un documento, esto es, afirmar que tiene un autor diferente al aparente, la ley prevé el término procesal dentro del cual puede intentarse la tacha de falsedad. Artículo 289 del C. de P. C.: a) En la contestación de la demanda; b) Al día siguiente al que haya sido aportado en audiencia o diligencia; c) En los demás casos, dentro de los cinco (5) días siguientes a la notificación del auto que ordene tenerlo como prueba.
134
correspondencia entre el documento y su autor. La autenticidad es el elemento más relevante del documento para su eficacia105 probatoria.
La autenticidad del mensaje de datos, de acuerdo con el artículo séptimo de la Ley 527 de 1999, se da en aquellos casos en donde para la creación del mensaje de datos se
En el escrito por medio del cual se pretenda tachar un documento, debe expresarse en que consiste la falsedad y solicitar las pruebas que sustenten tal afirmación. Los documento privados también pueden adquirir autenticidad en los casos señalados en el Artículo 252 del Código de Procedimiento Civil: 1)
Cuando es reconocido expresamente ante Juez o ante Notario, o judicialmente se ordenó tenerlo por reconocido;
2)
Cuando es reconocido implícitamente (se aporta al proceso y se afirma estar suscrito por la contraparte, y esta no lo tacha en el término legal previsto para ello).
3)
Cuando se inscribe en un registro público a petición de quién lo firma;
4)
Cuando se trata de libros de comercio debidamente registrados y llevados en legal forma, o de firmas estampadas en pólizas de seguro, títulos de inversión comerciales, bonos de éstas,
en fondos mutuos, acciones en sociedades
efectos negociables, certificados y títulos de almacenes generales de
depósito, y los demás a los que la ley les dé autenticidad. 105
La eficacia de una prueba es su valor, su fuerza. La eficacia es, por lo tanto, la importancia que le da el juzgador
al evaluarla, el resultado de la calificación. Como la apreciación probatoria se obtiene mediante el sistema de la sana crítica, precisa decir, entonces, que aquel valor, fuerza o mérito de la prueba resulta de la aplicación de la lógica y de la experiencia; de su análisis individual, de su cotejo o relaciones con las demás pruebas, de las inferencias lógicas que haga el juez en relación con el tema controvertido [...]. Para que la prueba válida tenga eficacia, debe tener valor probatorio, mérito probatorio en el proceso de que se trata. La ley suele señalar expresamente los requisitos para ese mérito que se exigen en cada medio probatorio. Por ejemplo, en la confesión que el confesante tenga disponibilidad, que no este prohibida o no se exija otro medio [...] La eficacia tiene grados, y el juez los valora según como se presenten estos requisitos”. RODRÍGUEZ, Op. Cit., p. 104 - 106.
135
utilizó un método confiable y a su vez dicho método permite identificar al iniciador106 del mensaje. Un sistema confiable es aquel que satisface los estándares establecidos por la Superintendencia de Industria y Comercio (Artículo 2º Decreto 1747 de 2000). El Superintendente de Industria y Comercio, en uso de sus facultades legales, en especial las conferidas en los artículos 29, 34, 41 y 42 de la Ley 527 de 1999 y los Decretos 2153 de 1992, 2269 de 1993 y 1747 de 2000, expidió la Resolución 26930, que en su artículo 20 nos habla de un “Sistema Confiable”: “Para los efectos del artículo 2º del
Decreto 1747 de 2000 un sistema será confiable cuando cumpla con lo señalado en los artículos 21, 22 y 23 de la presente Resolución”107.
106
Decreto 1747. Artículo 1º
Iniciador: Persona que actuando por su cuenta, o en cuyo nombre se ha actuado,
envíe o genere un mensaje de datos. 107
ARTICULO 21°. Políticas, planes y procedimientos de seguridad. La entidad debe definir y poner en práctica
después de autorizada las políticas, planes y procedimientos de seguridad tendientes a garantizar la prestación continua de los servicios de certificación, que deben ser revisados y actualizados periódicamente. Estos deben incluir al menos: -
Políticas y procedimientos de seguridad de las instalaciones físicas y los equipos.
-
Políticas de acceso a los sistemas e instalaciones de la entidad, monitoreo constante.
-
Procedimientos de actualización de hardware y software, utilizados para la operación de entidades de certificación.
-
Procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del funcionamiento de la entidad, según estudio que se actualizará periódicamente.
-
Plan de manejo, control y prevención de virus informático.
-
Procedimiento de generación de claves de la entidad de certificación que garantice que:
•
Solo se hace ante la presencia de los administradores de la entidad.
•
Los algoritmos utilizados y la longitud de las claves utilizadas son tales que garanticen la unicidad de las firmas generadas en los certificados, por el tiempo de vigencia máximo que duren los mensajes de datos firmados por sus suscriptores.
136
3. Conservación y consulta
ARTICULO 22°. Corta fuegos (Firewall). La entidad de certificación debe aislar los servidores de la red interna y externa mediante la instalación de un corta fuegos o firewall, en el cual deben ser configuradas las políticas de acceso y alertas pertinentes. La red del centro de cómputo debe estar ubicada en segmentos de red físicos independientes de la red interna del sistema, garantizando que el corta fuegos sea el único elemento que permita el acceso lógico a los sistemas de certificación. ARTICULO 23°. Sistemas de emisión y administración de certificados. Los sistemas de emisión y administración de certificados deben prestar en forma segura y continua el servicio. En todo caso las entidades deberán cumplir al menos con una de las siguientes condiciones: 1.
Cumplir el Certificate Issuing and Management Components Protection Profile
nivel 2 desarrollado por el National Institute of Standards and Technologies; o 2.
Cumplir con requerimientos técnicos que correspondan por lo menos con los
objetivos del nivel de protección 2 (Evaluation Assurance Level 2) definido por Common Criteria for Information Technology Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria Project Sponsoring Organization en su parte 3 o su equivalente en la norma ISO/IEC 15408, de: a)
Sistema de registro de auditoría de todas las operaciones relativas al funcionamiento y administración de los elementos de emisión y administración de certificados, que permita reconstruir en todo momento cualquier actividad de la entidad;
b)
Sistema de almacenamiento secundario de toda la información de la entidad, en un segundo dispositivo que cuente por lo menos con la misma seguridad que el dispositivo original, para poder reconstruir la información de forma segura en caso necesario;
c)
Dispositivo de generación y almacenamiento de la clave privada, tal que se garantice su privacidad y destrucción en caso de cualquier intento de violación. El dispositivo y los procedimientos deben garantizar que la generación de la clave privada de la entidad solo puede ser generada en presencia de los representantes legales de la misma; y
d)
Sistema de chequeo de integridad de la información sistema, los datos y en particular de sus claves.
137
Sobre el particular, nuestra legislación ha definido los parámetros que deben observarse. El artículo octavo (8º)108 de la Ley 527 de 1999, prevé la posibilidad de conservar un mensaje de datos en su forma original, si existe una garantía para que el mensaje de datos no sea alterado y pueda ser presentado - exhibido - en el tiempo que se requiera. La garantía, consiste en la creación del mensaje de datos a través de un “sistema confiable” y su almacenamiento en un sistema que garantice la no alteración y, su posterior consulta y exhibición a la autoridad que lo requiera. El artículo 12109 de la Ley 527 de 1999 establece las condiciones para la “Conservación de los
108
Ley 527 de 1999. Artículo 8°. Original. Cuando cualquier norma requiera que la información sea presentada y
conservada en su forma original, ese requisito quedará satisfecho con un mensaje de datos, si: a) Existe alguna garantía confiable de que se ha conservado la integridad de la información, a partir del momento en que se generó por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma; b) De requerirse que la información sea presentada, si dicha información puede ser mostrada a la persona que se deba presentar. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas simplemente prevén consecuencias en el caso de que la información no sea presentada o conservada en su forma original. 109Ley
527 de 1999. Artículo 12. Conservación de los mensajes de datos y documentos. Cuando la Ley requiera que
ciertos documentos, registros o informaciones sean conservados, ese requisito quedará satisfecho, siempre que se cumplan las siguientes condiciones: 1.
Que la información que contengan sea accesible para su posterior consulta;
138
mensajes de datos y documentos” permitiendo que la conservación se pueda hacer directamente o través de terceros siempre y cuando se cumplan con las exigencias del artículo 12 en mención.
En aquellos casos en que los mensajes de datos sean creados por intermedio de entidades de Certificación, el Artículo 38 de la Ley 527 de 1999 establece que los registros de certificados deben ser conservados por el término exigido en la ley que regule el acto o negocio jurídico en particular.
Entre los deberes de las Entidades de Certificación abierta110 pueden rescatarse dos deberes que refieren el tema del almacenamiento de datos y que garantizan la inalterabilidad del mensaje de datos. Artículo 13 Decreto 1747 de 2000:
2.
Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o recibido o en algún formato que permita demostrar que reproduce con exactitud la información generada, enviada o recibida, y
3.
Que se conserve, de haber alguna, toda información que permita determinar el origen, el destino del mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.
No estará sujeta a la obligación de conservación, la información que tenga por única finalidad facilitar el envío o recepción de los mensajes de datos. Los libros y papeles del comerciante podrán ser conservados en cualquier medio técnico que garantice su reproducción exacta.
139
9. Garantizar el acceso permanente y eficiente de los suscriptores y de terceros al repositorio111 de la entidad. 12. Conservar la documentación que respalda los certificados emitidos, por el término previsto en la ley para los papeles de los comerciantes y tomar las medidas necesarias para garantizar la integridad y la confidencialidad que le sean propias.
En consecuencia, el mensaje de datos al ser creado, debe permitir su posterior consulta y garantizar su conservación en el tiempo. Si se cumplen estas exigencias el mensaje de datos tendrá valor probatorio. Ahora bien, cuando el mensaje de datos es creado en un entorno confiable, esto es, con la intervención de un tercero de confianza Entidades de Certificación - se garantiza: la inalterabilidad del mensaje de datos a lo largo del tiempo y, su posterior consulta, con un elemento adicional muy importante, perfectas condiciones de calidad aún con el transcurso del tiempo. Es muy importante que el juzgador tenga en cuenta que la eficacia probatoria del mensaje de datos depende directamente de su confiabilidad, es decir, la garantía de inalterabilidad y no repudio. 110
En el siguiente capítulo se estudiará el tema de las Entidades de Certificación abiertas y cerradas.
140
La Corte Constitucional en la Sentencia C - 662 de Junio 08 de 2000 frente a este punto afirma:
A diferencia de los documentos en papel, los mensajes de datos deben ser certificados técnicamente para que satisfagan los equivalentes funcionales de un documento tradicional o en papel y, es allí en donde las entidades de certificación juegan un papel importante112.
A través de los diferentes mecanismos de seguridad, y en especial el ofrecido por las Entidades de Certificación, se garantiza en forma integra todas y cada una de las características del documento escrito y se genera más seguridad por el contexto tecnológico.
Los mensajes de datos pueden garantizar la misma confiabilidad que un documento escrito, cumpliendo la misma función, lo que jurídicamente se traduce en que el
111
Decreto 1747 de 2000. Artículo 1 numeral 3. Repositorio: Sistema de información utilizado para almacenar y
recuperar certificados y otra información relacionada con los mismos. 112
Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morón Díaz. Expediente D-2693.
141
documento electrónico al igual que el documento físico son medios de prueba, en si mismos considerados.
A nivel normativo, el Artículo 5° de la Ley 527 de 1999 contempla que no se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por el hecho de constar en forma de mensaje de datos. La norma no se refirió a la seguridad que debe enmarcar al mensaje de datos, de lo cual se colige que, cualquier mensaje de datos tiene validez probatoria independientemente del entorno de seguridad en el cual fue creado. Ahora bien, un mensaje de datos que esté respaldado por una Entidad de Certificación tendrá, además, el más alto valor probatorio, toda vez que, ésta garantiza su inalterabilidad y compromete su responsabilidad en dicha garantía, dentro del proceso que adelanta el juez bajo las reglas de la sana crítica.
Así mismo, en las relaciones entre el iniciador y el destinatario de un mensaje de datos, no se negarán efectos jurídicos, validez o fuerza obligatoria a una manifestación de voluntad u otra declaración por la sola razón de haberse hecho en forma de mensaje de datos (Artículo 15 de la Ley 527 de 1999).
142
Ahora bien, en la formación de cualquier tipo de contrato, de acuerdo con lo establecido en el Artículo 14 de la Ley 527 de 1999, la oferta y la aceptación, podrán ser expresadas por medio de un mensaje de datos. No se negará validez o fuerza obligatoria a un contrato por la sola razón de haberse celebrado en forma de mensaje de datos. Los Artículos 10113 y 11114 de la Ley 527 de 1999 establecen la admisibilidad y fuerza probatoria de los mensajes de datos, así como, el criterio de valoración que debe tener en cuenta el juzgador cuando este frente a un mensaje de datos.
Ahora bien, el juez al valorar probatoriamente un mensaje de datos debe tener en cuenta, como se mencionó, primordialmente, la confiabilidad de dicho mensaje, esto es, que exista la absoluta certeza sobre la identidad del iniciador del mensaje, que el mensaje de datos haya conservado su integridad y, que no ha sido modificado ni
113
Artículo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos serán admisibles
como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Capítulo VIII del Título XIII, Sección Tercera, Libro Segundo del Código de Procedimiento Civil. En toda actuación administrativa o judicial, no se negará eficacia, validez o fuerza obligatoria y probatoria a todo tipo de información en forma de un mensaje de datos, por el sólo hecho que se trate de un mensaje de datos o en razón de no haber sido presentado en su forma original. 114
Artículo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoración de la fuerza probatoria
de los mensajes de datos a que se refiere esta ley, se tendrán en cuenta las reglas de la sana crítica y demás criterios reconocidos legalmente para la apreciación de las pruebas. Por consiguiente habrán de tenerse en cuenta: la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la forma en que se haya conservado la integridad de la información, la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.
143
alterado - Artículo 11 de la Ley 527 de 1999 -; lo cual es posible si el mensaje es creado bajo medidas de seguridad que así lo garanticen, en su mayor expresión: criptografía, firmas digitales, Certificados y Entidades de Certificación.
Finalmente puede decirse que el mensaje de datos se asimila al documento escrito para efectos probatorios, cumpliendo cabalmente todas las exigencias requeridas para tal fin. De esta suerte, El documento físico y el documento electrónico son documentos en si mismo considerados, pero su creación es diferente. El documento electrónico es un mensaje de datos con características particulares.
4. Documento Electrónico
Una vez superada la eficacia probatoria de los mensajes de datos puede definirse el documento115 electrónico.
115
El documento electrónico, según el Dr. Daniel Peña Valenzuela, no es tangible, a diferencia del documento con
base de papel , sin embargo, es visible y accesible para su posterior consulta. El documento electrónico está soportado por bases de datos, archivos electrónicos centros de proceso informáticos operados electrónicamente para el almacenamiento y transmisión de los mensajes de datos. PEÑA, VALENZUELA, Op. Cit., p. 121, 122.
144
Gallizia116 define el documento electrónico de la siguiente manera:
“Es un objeto físico dirigido a conservar y transmitir informaciones mediante mensajes en lenguaje natural, realizado con la intermediación de funciones electrónicas”.
Frente a esta definición y para no generar confusión frente a la noción de lo “físico” en el documento electrónico, puede afirmarse que éste es un objeto intangible con capacidad de transformarse a físico, perceptible por los sentidos, que contiene información que puede ser o no jurídicamente relevante y expresa la voluntad del agente creador; es construido con la intermediación de funciones electrónicas que pueden garantizar su confiabilidad.
El Dr. Nelson Remolina define el documento electrónico de la siguiente manera:
“[...] aquellos documentos cuyo soporte se encuentra en medios electrónicos, llámese mensaje de datos, registro contable electrónico o el texto electrónico de un contrato”117.
116
Citado por el Dr. Ernesto García Rengifo. Op. Cit., p. 33
117
ANGARITA, REMOLINA, Nelson. Internet Comercio Electrónico & Telecomunicaciones. Bogotá: Editorial Legis
S.A. 2000. p. 18.
145
María Fernanda Guerrero, citada por el Dr. Angarita define el documento electrónico como: “Cualquier representación en forma electrónica de hechos jurídicamente relevantes, susceptibles de ser asimilados en forma humanamente comprensibles”.
Ahora bien, una vez expuesta la posición de la legislación y la doctrina colombiana respecto al mensaje de datos como medio de prueba, es importante conocer la posición de la Jurisprudencia como fuente de derecho en nuestra legislación.
5. Jurisprudencia
La Corte Constitucional atendiendo la demanda de inconstitucionalidad
contra los
Artículos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45 de la Ley 527 de 2001, por estimar que violan los artículos 131 152 y 153118
118
CAPITULO II (DE LA FUNCIÓN PÚBLICA)
Artículo 131: Compete a la ley la reglamentación del servicio público que prestan los notarios y registradores, la definición del régimen laboral para sus empleados y lo relativo a los aportes como tributación especial de las notarías, con destino a la administración de justicia. El nombramiento de los notarios en propiedad se hará mediante concurso. Corresponde al Gobierno la creación, supresión y fusión de los círculos de notariado y registro y la determinación del número de notarios y oficinas de registro. CAPÍTULO III (DE LAS LEYES)
146
de la Constitución Política, tuvo la oportunidad de pronunciarse con respecto a la Ley 527 de 1999 y en particular frente a los mensajes de datos y su capacidad probatoria.
A continuación se analiza la providencia más importante que hasta el momento ha promulgado la Corte Constitucional en materia de comercio electrónico y, en particular, como fuente jurisprudencial para la validez de los mensajes de datos como medio de prueba.
Sentencia C-662 de Junio 08 de 2000
Artículo 152: Mediante las leyes estatutarias, el Congreso de la República regulará las siguientes materias a)
Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección;
b)
Administración de la justicia;
c)
Organización y régimen de los partidos y movimientos políticos; estatuto de la oposición y funciones electorales;
d)
Instituciones y mecanismos de participación ciudadana;
e)
Estados de excepción.
Artículo 153: La aprobación, modificación o derogación
de las leyes estatutarias exigirá la mayoría absoluta de los
miembros del Congreso y deberá efectuarse dentro de una sola legislatura. Dicho trámite comprenderá la revisión previa por parte de la Corte Constitucional, de la exequibilidad del proyecto. Cualquier ciudadano podrá intervenir para defenderla o impugnarla.
147
Con respecto a los Artículos 152 y 153 de la Carta Magna, el actor considera que no se respetó la reserva estatutaria ni el trámite especial contemplado en el Artículo 153. Los Artículos demandados son: 9°, 10, 11, 12, 13, 14, 15 y 28 de la Ley 527 de 1999.
Según el actor los Artículos cuestionados modificaron y adicionaron el Código de Procedimiento Civil - Capítulo VIII del título XIII, Sección Tercera del Libro Segundo, lo que en su concepto equivale a administrar justicia al atribuir a los mensajes de datos fuerza probatoria.
En defensa de la Constitucionalidad de la Ley 527 de 1999 intervinieron119 dirigentes de diferentes entes corporativos públicos y privados, cuyas intervenciones se resumen y se destacan por su precisión y claridad.
119
De manera conjunta intervinieron representantes de la Superintendencia de Industria y Comercio, del Ministerio
de Comercio Exterior, del Ministerio de Justicia, del Ministerio de Comunicaciones, del Ministerio de Desarrollo Económico, así como el Presidente Ejecutivo de la Cámara de Comercio de Bogotá, y de la Fundación Foro Alta Tecnología. Los puntos expuestos de mayor relevancia son los siguientes:
-
La Ley 527 de 1999 fue un esfuerzo de los sectores público y privado, los Ministros de Justicia y del Derecho, Transporte, Desarrollo Económico y Comercio Exterior.
-
El Comercio Electrónico enmarca la buena fe comercial y la libertad contractual.
-
Ni el comercio electrónico ni la actividad de las entidades de certificación son un servicio público domiciliario, las partes no necesitan ni están obligadas a solicitar los servicios de una entidad de certificación. Es un tema de derecho privado, que requiere control estatal a cargo de la Superintendencia de Industria y Comercio.
148
Así mismo debe tenerse en cuenta la apreciación de la Corte con relación a la trascendencia que implica para los gobiernos la incorporación de la Ley Modelo sobre Comercio Electrónico, que como lo expresa la Corte, conlleva la ampliación de las fronteras comerciales del país:
[...] El examen de constitucionalidad de la Ley debe tener en cuenta la trascendencia que el comercio electrónico tiene en la globalización de las relaciones económicas, el impacto de su evolución, las consecuencias que genera en el desarrollo de los actos y
-
La Ley 527 de 1999 provee a los mensajes de datos y al comercio electrónico de la integridad, confiabilidad y seguridad que este tipo de prácticas requiere, para la eficaz y efectiva interacción a través de redes telemáticas, sin haber contacto directo o físico.
-
Las firmas digitales, y los certificados digitales buscan dotar de seguridad técnica y jurídica a los mensajes de datos y al comercio electrónico.
-
Las entidades de certificación no dan fe pública. Las entidades de certificación no son notarías electrónicas.
-
La actividad de certificación es un servicio de índole eminentemente técnico que tiene que ver con la confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos.
-
La certificación busca primordialmente, garantizar la persona del iniciador, dar integridad de contenido, haciéndolo inalterable, garantizar el no repudio.
-
Ni la Constitución ni las leyes han establecido que las funciones públicas o los servicios públicos sólo puedan ser prestados por entidades o servidores públicos. De acuerdo con los artículos 2, 210 y 365 de la Carta Política, el Estado, para el debido cumplimiento de sus fines, tiene la facultad de asignar, delegar o conferir transitoriamente ciertas y precisas responsabilidades públicas a los particulares.
-
Las eventuales modificaciones que la Ley 527 de 1999 hizo a algunas disposiciones contenidas en códigos, no afectaron la estructura general de la administración de justicia o los principios sustanciales y procesales de la materia, por lo cual, mal podría sostenerse que han debido ser objeto de una ley estatutaria, cuando su materia es propia de la ley ordinaria, por medio de la cual pueden modificarse normas anteriores de igual o inferior jerarquía, incluyendo los códigos.
149
negocios jurídicos celebrados, no solamente por los particulares, sino también por el mismo Estado, así como la importancia de regular y reglamentar jurídicamente su utilización [...].
Es importante resaltar, que si bien el análisis se centra en el aspecto comercial, el ámbito cultural, que no es comentado ni analizado, juega, también, un papel trascendental en la incorporación de la normativa sobre comercio electrónico, presencia que tiene especial importancia en un país en vía de desarrollo como el nuestro.
En la parte considerativa, el Alto Tribunal, comienza su análisis describiendo las características del mensaje de datos en los siguientes términos:
1. Es una prueba de la existencia y naturaleza de la voluntad de las partes de comprometerse. Es importante aclarar que no todo mensaje de datos contiene una intención de obligarse y de generar efectos jurídicos. 2. La segunda característica es que dicho documento es legible y puede ser presentado ante las autoridades públicas y los tribunales. 3. Facilita la revisión y posterior
auditoria para los fines contables, impositivos y
reglamentarios. 4. Admite su almacenamiento e inalterabilidad en el tiempo.
150
Efectivamente el mensaje de datos al encontrarse en un sistema electrónico puede ser almacenado por largos períodos de tiempo, lo que no garantiza que no pueda ser alterado, de hecho, está expuesto a un sin número de riesgos, que van desde la alteración, modificación e interceptación del mensaje, hasta su destrucción, razón por la cual no puede decirse que un mensaje de datos como tal es inalterable. Para que sea difícilmente alterable se requiere que esté protegido, por ejemplo, por una Entidad de Certificación o con claves y códigos complejos, sin embargo, aún así está expuesto. 5. Afirma derechos y obligaciones jurídicas entre los intervinientes y es ulterior para su posterior consulta, es decir que la información en forma de datos computarizados es susceptible de leerse e interpretarse.
Como se mencionó, es importante tener en cuenta que los mensajes de datos no siempre conllevan en sí mismos un contenido de carácter jurídico; un e-mail es un mensaje de datos y en la mayoría de los casos no incorpora o no tiene como fin establecer una relación de tipo jurídico, muchas veces son cartas de amor, fotos o anécdotas de viajes etc.; un fax es un mensaje de datos y generalmente tiene una función informativa, generalmente no busca generar derechos y obligaciones.
El actor considera que todo aspecto sustantivo o procesal relacionado con la administración de justicia está reservado al ámbito de la ley estatutaria de acuerdo con
151
el Artículo 152 constitucional. Al respecto, la Corte considera que el demandante parte de una premisa equivocada, “como quiera que la accionante parte de un erróneo entendimiento acerca del ámbito material que constituye la reserva de la ley estatutaria120 sobre la administración de justicia”.
En conclusión la reserva de la ley estatutaria no significa que cualquier asunto y regulación relacionada con los temas previstos en el Artículo 152 requieran el trámite especial ahí previsto121.
120
La Corte ha establecido en varias ocasiones:
[...] únicamente aquellas disposiciones que de una forma y otra se ocupen de afectar
la
estructura de la administración de justicia, o de sentar principios sustanciales o generales sobre la materia, deben observar los requerimientos especiales para ese tipo de leyes. Las demás y en particular los códigos, deben seguir el trámite ordinario previsto en la Carta Política, pues se trata de leyes ordinarias dictadas por el Congreso de la república en virtud de lo dispuesto en el numeral 2° del artículo 150 superior. Por ejemplo véase la Sentencia C- 037 de febrero 5 de 1996. Magistrado Ponente: Dr. Vladimiro Naranjo Mesa:
Para la Corte, una ley estatutaria encargada de regular, la administración de justicia, como lo dispone el literal b) del artículo 152 superior, debe ocuparse esencialmente sobre la estructura general de la administración de justicia y sobre los principios sustanciales y procesales que deben guiar a los jueces en su función de dirimir los diferentes conflictos o asuntos que se someten a su conocimiento. 121
En palabras de la Corte:
[...] el aceptar los argumentos de la demandante conduciría al absurdo extremo de que toda norma relacionada con cualquier aspecto de la administración de justicia, tendría que aprobarse
152
Con respecto a la condición del mensaje de datos, como medio probatorio, la Corte expresó:
[...] al hacer referencia a la definición de documentos del Código de Procedimiento Civil, le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema telemático con el sistema manual o documentario, encontrándose en igualdad de condiciones en un litigio o discusión jurídica, teniendo en cuenta para su valoración algunos criterios como: confiabilidad, integridad de la información e identificación del autor.
De otra parte, la Corte encuentra que el Artículo 4º del Decreto 266 del 2000, expedido por el Presidente de la República en ejercicio de las facultades extraordinarias conferidas por el Numeral 5º del Artículo 1º122 de la Ley 573 del 7 de febrero del 2000,
bajo los estrictos requisitos de las leyes estatutarias, lo cual entrabaría gravemente la función legislativa y haría inane la función de expedir códigos en todos los ramos de la legislación y la de reformar las leyes preexistentes que el constituyente también atribuye al Congreso, y que este desarrolla por medio de la ley ordinaria. La Honorable Corte ha establecido en varias oportunidades que los asuntos sometidos a reserva de la ley estatutaria debe ser restrictiva a fin de garantizar, entre otras cosas, la integridad de la competencia del legislador ordinario. 122
Ley 573 de 2000. Artículo 1º : Facultades extraordinarias. De conformidad con lo dispuesto en el numeral 10 del
artículo 150 de la Constitución Política, revístase al Presidente de la República de precisas facultades extraordinarias
153
“Mediante el cual se reviste al Presidente de la República de precisas facultades extraordinarias en aplicación del numeral 10123 del Artículo 150 de la Constitución”, conforma unidad normativa con el Artículo 10 de la acusada Ley 527 de 1999, dada su identidad de contenido.
para que, en el término de quince (15) días contados a partir de la publicación de la presente ley, expida normas con fuerza de ley para: 1.
(Inexequible) Suprimir o reformar las regulaciones, procedimientos y trámites sobre los que versó el Decreto 1122 de 1999, sin incluir ningún tema adicional. El ámbito de aplicación de las normas expedidas en desarrollo de las presentes facultades cobijará a los organismos públicos de cualquier nivel, así como aquellos que teniendo naturaleza privada ejerzan por atribución legal funciones públicas de carácter administrativo, pero sólo en relación con estas últimas.
(Este numeral fue declarado inexequible, a partir de la fecha de su promulgación, por parte de la Corte Constitucional en Sentencia C – 1316 de 2000). 123
Constitución Política de Colombia. Artículo 150 numeral 10: Revestir, hasta por seis meses, al Presidente de la
República de precisas facultades extraordinarias, para expedir normas con fuerza de ley cuando la necesidad lo exija o la conveniencia pública lo aconseje. Tales facultades deberán ser solicitadas expresamente por el Gobierno y su aprobación requerirá la mayoría absoluta de los miembros de una y otra cámara. El Congreso podrá, en todo tiempo y por iniciativa propia, modificar los decretos leyes dictados por el Gobierno en uso de facultades extraordinarias. Estas facultades no se podrán conferir para expedir códigos, leyes estatutarias, orgánicas, ni las previstas en el numeral 20 del presente artículo, ni para decretar impuestos.
154
Afirma la Corte que en vista de que se presenta el fenómeno jurídico de unidad de materia entre el Artículo 10 de la Ley 527 de 1999 acusado y el Artículo 4124 del Decreto 266 del 2000 “Por el cual se dictan normas para suprimir y reformar las regulaciones,
trámites y procedimientos”, dictado con base en las facultades extraordinarias establecidas en la Ley 573 del 2000, pues regulan un mismo aspecto, esto es, el valor 124
Decreto 266 de 2000. Presidencia de la República. Artículo 4. Medios tecnológicos. Modificase el artículo 26 del
Decreto 2150 de 1995, el cual quedará así: Se autoriza a la administración pública en el empleo de cualquier medio tecnológico o documento electrónico, que permita la realización de los principios de igualdad, economía, celeridad, imparcialidad, publicidad, moralidad y eficacia en la función administrativa, así como el establecimiento de condiciones y requisitos de seguridad que para cada caso sean procedentes, sin perjuicio, de la competencia que en la materia tengan algunas entidades especializadas. Toda persona podrá en su relación con la administración hacer uso de cualquier medio técnico o electrónico, para presentar peticiones, quejas o reclamaciones ante las autoridades. Las entidades harán públicos los medios de que dispongan para permitir esta utilización. Los mensajes electrónicos de datos serán admisibles como medios de prueba y su fuerza probatoria será la otorgada en las disposiciones del Capítulo VIII del Título XIII Libro Segundo del Código de Procedimiento Civil, siempre que sea posible verificar la identidad del remitente, así como la fecha de recibo del documento. PARÁGRAFO: En todo caso el uso de los medios tecnológicos y electrónicos deberá garantizar la identificación del emisor, del receptor, la transferencia del mensaje, su recepción y la integridad del mismo. (Este artículo fue declarado exequible por la Corte Constitucional conforme a la parte motiva de la Sentencia C- 662 de 2000, pero a su vez fue declarado inexequible, a partir de su promulgación, por la Corte Constitucional en Sentencia C-1316 de 2000). Como conclusión se tiene que la Sentencia C-1316 de 2000 es posterior a la Sentencia C- 662 de 2000, razón por la cual y acogiéndonos a uno de los principios generales del derecho “una norma posterior deroga en todo lo que le sea contrario la norma anterior”, lo cual también aplica a nivel jurisprudencial. Debe entenderse que el artículo cuarto (4º) del Decreto 266 de 2000 es inexequible al igual que el numeral quinto de la Ley 573 de 2000, por lo que la constitucionalidad del artículo 10 de la Ley 527 no se hace extensivo a las demás normas en mención puesto que son inconstitucionales.
155
probatorio de los mensajes electrónicos, la Corte estima que la declaratoria de constitucionalidad comprenderá también al Artículo 4 del Decreto 266 del 2000 por las razones atrás referidas.
Otra Sentencia de trascendental importancia para el comercio electrónico es la C-831 de 2001125, la cual se expone a continuación:
El Dr. Daniel Peña Valenzuela en ejercicio de la acción pública de inconstitucionalidad interpuso demanda contra el Artículo Sexto126 (6°) de la Ley 527 de 1999 por considerar que éste vulnera los Artículos 28127 y 152128 de la Constitución Política de Colombia, al
125
Corte Constitucional. Sentencia C-831 de Agosto 8 2001. Expediente D-3371. Magistrado Ponente: Dr. Álvaro
Tafur Galvis. 126
Artículo 6°: Escrito. Cuando cualquier norma requiera que la información conste por escrito, ese requisito quedará
satisfecho con un mensaje de datos, si la información que éste contiene es accesible para su posterior consulta. Lo dispuesto en este artículo se aplicará tanto si el requisito establecido en cualquier norma constituye una obligación, como si las normas prevén consecuencias en el caso de que la información no conste por escrito. 127Constitución
Política de Colombia. Artículo 28: Toda persona es libre. Nadie puede ser molestado en su persona o
familia, ni reducido a prisión o arresto, ni detenido, ni su domicilio registrado, sino en virtud de mandamiento escrito de autoridad judicial competente, con las formalidades legales y por motivo previamente definido en la ley. La persona detenida preventivamente será puesta a disposición del juez competente dentro de las treinta y seis (36) horas siguientes, para que éste adopte la decisión correspondiente en el término que establezca la ley. En ningún caso podrá haber detención, prisión ni arresto por deudas, ni penas y medidas de seguridad imprescriptibles. 128
Constitución Política de Colombia. Artículo 152: Mediante las leyes estatutarias, el Congreso de la República
regulará las siguientes materias: a)
Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su protección;
156
establecer que cuando cualquier norma exija que la información conste por escrito, ese requisito quedará satisfecho con un mensaje de datos si la información es accesible para su posterior consulta. A su juicio, se entendería que el requisito exigido en el Artículo 28 de la Constitución Política, relacionado con mandamiento escrito para proceder a un arresto o allanamiento estaría satisfecho con un mensaje de datos en los términos del artículo atacado.
El Dr. Peña afirma que la Ley 527 ha debido tramitarse como una ley estatutaria en la medida que ésta regula una parte esencial del Artículo 28 de la Constitución Política, toda vez que regular procedimientos y recursos para su protección, mediante los requisitos especiales.
Según el actor, tratándose en este caso de la regulación de un derecho fundamental consagrado en el Artículo 28 de la Constitución Política - la libertad personal -, la norma ha debido ser objeto de ley estatutaria y no de una simple ley ordinaria como sucede con la Ley 527 de 1999.
b)
Administración de justicia;
c)
Organización y régimen
de los partidos políticos y movimientos políticos; estatuto de la oposición y
funciones electorales; d)
Instituciones y mecanismos de participación ciudadana, y
157
Los intervinientes en el escrito de la demanda, de forma unánime, defendieron la constitucionalidad de la norma acusada129. Finalmente,
la
Corte
consideró
que
las
leyes
estatutarias
sobre
derechos
fundamentales tienen por objeto desarrollarlos y complementarlos. Esto no supone que toda regulación en la cual se toquen aspectos relativos a un derecho fundamental deba hacerse por vía de ley estatutaria. La norma atacada (Artículo Sexto de la ley 527 de 1999), ni en su finalidad ni en su contenido está dirigida a afectar el núcleo esencial del derecho a la libertad personal y la inviolabilidad del domicilio. El actor no tiene razón
e)
Estados de excepción.
-
Los apoderados del Ministerio de Justicia y de Desarrollo Económico sostienen que el campo de aplicación
129
de la Ley 527 de 1999 se restringe al comercio electrónico de bienes y servicios, razón por la cual no existe conexión temática con el derecho fundamental a la libertad, ni mucho menos con el mandamiento escrito para afectarlo. Además sostienen que la Corte no podría entrar en el examen del cargo sobre supuesta violación de la reserva de ley estatutaria en relación con el Artículo 28 Constitucional pues sobre este aspecto ya se habría pronunciado la misma corporación en la Sentencia C-662 de 2000. -
Los representantes del Ministerio de Comercio Exterior y de Transporte sustentan su respuesta argumentando que el artículo sexto de la Ley 527 no es desarrollo del artículo 28 de la Constitución, por lo tanto, su fin no es afectar o alterar el derecho a la libertad personal o la inviolabilidad del domicilio. La referencia que hace la Ley 527 de 1999 de materias específicas señaladas en el artículo 152 de la Carta no obligaba a que su expedición se hiciera mediante una ley estatutaria.
-
El vocero del Ministerio de Comunicaciones sostiene que la norma demandada no afecta ningún aspecto sustancial del procedimiento colombiano con el reconocimiento jurídico de los mensajes de datos.
-
El Procurador General de la Nación afirma que el demandante se equivoca al plantear una relación entre una norma que regula el valor jurídico y probatorio de los mensajes de datos con una norma constitucional que regula actuaciones judiciales, como son las contenidas en el artículo 28 superior. En su concepto es claro que el mandamiento escrito exigido para una captura o allanamiento no puede ser suplido con un mensaje de datos electrónico.
158
cuando pretende dar a la norma el alcance de regular el Artículo 28 de la Carta, por lo que la supuesta violación del Artículo 152 no tiene no tiene fundamento al no aplicarse en este caso la reserva de la ley estatutaria a que alude el demandante. Finalmente, para el bien del comercio y para el desarrollo de los medios de información a través de redes telemáticas, la Ley 527 salió adelante a pesar de las criticas recibidas en materia procesal. - STULTA VIDETUR PAPIENTIA QUAE LEGE VULT SAPIENTOR VIDERI130 -.
130
BLANCO, Luis Antonio. LATIN TERMINOLOGÍA JURÍDICA. Bogotá: ISNB: 950-9431-00-3. 1995. p. 149. “Necia
es la sabiduría que pretende saber más que la Ley”.
159
5. ENTIDADES DE CERTIFICACIÓN: FIRMAS DIGITALES Y CERTIFICADOS
Las Certificaciones131 en nuestro medio, representan el soporte necesario para generar confianza y fuerza vinculante en los actos y operaciones que no han cumplido con una formalidad que los valide, garantizando la infalibilidad de los hechos. Esta concepción se ha mantenido a lo largo de su existencia, a tal punto que se delegó la función fedataria en cabeza de las Notarías Públicas, encargadas de dar fe pública a través de certificaciones.
En el comercio electrónico, los Certificados siguen teniendo especial trascendencia, sin que esto signifique que las Entidades emisoras de los certificados estén otorgando fe pública, facultad que no les ha sido delegada por el Legislador. Así, surgieron las Entidades de Certificación como los entes encargados de soportar y avalar los hechos y actos celebrados por medios telemáticos. De esta suerte, la seguridad en las redes informáticas, se encuentra garantizada, a través de estas Entidades, sin que, por supuesto, sean el único medio de seguridad disponible en el mercado. El objetivo y fin primordial de dichas Entidades es generar confianza a través de un respaldo económico y jurídico. Las Entidades de Certificación están reguladas en la Parte III del CAPÍTULO II de la Ley 527 de 1999.
1. Concepto
160
La Ley 527 de 1999 en su Artículo Segundo (2°) define las Entidades de Certificación de la siguiente manera:
Es aquella persona que, autorizada conforme a la presente Ley, está facultada para emitir certificados en relación con las firmas digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales.
La Superintendencia de Industria y Comercio, como ente regulador, definió las Entidades de Certificación; descripción que ha sido repetida en varios de sus conceptos:
1. Marzo 28 de 2001 Concepto 01018465:
Entidad de Certificación es la persona que previa autorización de la Superintendencia de Industria y Comercio, está facultada para emitir certificados en relación con las firmas
131
Los organismos de certificación de conformidad con lo señalado en el Decreto 2269 de 1993 son “entidades
imparciales, públicas o privadas, nacional, extranjera o internacional, que posee la competencia y la confiabilidad necesarias para administrar un sistema de certificación, consultando los intereses generales”.
161
digitales de las personas, ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. Afirma la superintendencia que la ley señala que las Entidades de Certificación pueden ser las personas jurídicas de naturaleza pública o privada, nacionales o extranjeras, así como las cámaras de comercio.
2. Concepto 0147224:
Las Entidades de Certificación son aquellas personas jurídicas y privadas, incluidas las cámaras de comercio, que poseen el hardware y software necesarios para la generación de firmas digitales, la emisión de certificaciones sobre la autenticidad de las mismas y la conservación y archivo de documentos soportados en mensajes de datos. Tal y como quedó consignado en la exposición de motivos de la Ley 527 de 1999, la ley se basó en la ley modelo de comercio electrónico elaborada por la CNUDMI, la cual definió al prestador de servicios de certificación como la “persona que expide certificados y puede prestar otros servicios relacionados con las firmas electrónicas. La actividad de certificación dentro del marco de la Ley 527 de 1999 tiene como sustento una firma digital. En consecuencia, para que una persona, natural o jurídica pueda ser autorizada por la Superintendencia de Industria y Comercio como entidad certificadora, debe tener como finalidad
esencial
la generación de certificados
162
digitales en relación con firmas digitales, sin perjuicio, de que adicionalmente puedan prestar otro tipo de servicios relacionados con el archivo y conservación de mensajes de datos.
Los doctores Ramiro Cubillos Velandia y Erick Rincón Cardenas132 definen las Entidades de Certificación de la siguiente manera:
Son aquellas personas jurídicas, que una vez autorizadas, están facultadas para emitir certificados en relación con claves criptográficas de todas las personas; ofrecer o facilitar los servicios de registro y estampado cronológico de la transmisión y recepción de mensajes de datos, así como cumplir otras funciones relativas a las comunicaciones basadas en las firmas digitales. La entidad de certificación expide actos denominados certificados, los cuales son manifestaciones hechas como resultado de la verificación que efectúa sobre la autenticidad, veracidad y legitimidad de las claves criptográficas y la integridad de un mensaje de datos [...] las entidades de certificación son las encargadas entre otras cosas, de facilitar y garantizar las transacciones comerciales por medios electrónicos o medios diferentes a los estipulados en papel e implican un alto grado de confiabilidad, lo que las hace importantes y merecedoras de un control ejercido por un ente público, control que redunda en beneficio de la seguridad jurídica del comercio electrónico.
132
CUBILLOS. VELANDIA, Ramiro y RINCÓN. CÁRDENAS, Erick. Introducción Jurídica al Comercio Electrónica.
Medellín: Ediciones Jurídicas Gustavo Ibáñez Ltda. 2002. p. 258.
163
El Dr. Hermann Zubieta Uribe133 hace el siguiente comentario frente a la definición de las Entidades de Certificación:
En general, la entidad de certificación va a ser el ente encargado de proveer de herramientas a los usuarios para verificar las firmas digitales de las personas, también se nota que al ser autorizados, están subordinados dentro del modelo de confianza a una autorización que, como se desprende del artículo 42 de la misma ley, es otorgada por la Superintendencia de Industria y Comercio.
En conclusión podemos decir que las Entidades de Certificación son personas jurídicas, publicas o privadas, nacionales o extranjeras, que autorizadas por la Superintendencia de Industria y Comercio, emiten certificados digitales en relación con firmas digitales, que garantizan la fiabilidad, inalterabilidad y rastreabilidad de un mensaje de datos, proporcionando seguridad jurídica a través una infraestructura de clave pública.
Por mandato de la Ley 527 de 1999 - Artículo 42 -, las Entidades de Certificación, requieren, para su funcionamiento, aprobación previa, por parte de la Superintendencia de Industria y Comercio. Una vez obtenido el permiso, podrán realizar actividades tales
164
como: emitir certificados en relación con las firmas digitales; ofrecer o facilitar los servicios de creación de firmas digitales certificadas; servicios de registro y estampado cronológico en la transmisión y recepción de mensajes de datos; servicios de archivo y conservación de mensajes de datos, entre otras.
2. Naturaleza Jurídica de las Entidades de Certificación
Con fundamento en la Ley Modelo de la CNUDMI, el legislador inició su incorporación en el derecho interno, quien en un uso de sus facultades expidió la Ley 527 de 1999. Una vez expedida la ley
y definidas las reglas de juego de las Entidades de
Certificación, la doctrina inició su papel - OMNES CASUS LEGIBUS COMPREHENDI NON POSSUNT134 -; como primera medida, se crearon dos bandos: los que defienden la exequibilidad y utilidad de la ley y, por el otro, quienes demandan la inconstitucionalidad de la misma y reprochan la ligereza e inconsistencias de la misma. Una vez agotas las discusiones debatidas en el seno de la Corte Constitucional, resulta consecuente comenzar la discusión sobre la naturaleza jurídica de la ley.
133
ZUBIETA. Op. Cit., p. 67.
134
BLANCO, Luis Antonio. Op. cit. p. 134. “La ley no puede abarcar todos los casos”.
165
El profesor Alemán WILHELM SCHMIDT THOME, al entrar el tema de los tabeliones romanos, dice que “eran personas privadas que por una especial autorización del estado habían adquirido facultad para extender y legalizar documentos sobre determinados negocios jurídicos contra el pago de derechos. Estos tabeliones no ejercían, sin embargo, ningún oficio público y sus documentos no tenían fe pública. Pero si estaban bajo inspección estatal y tenían, sobre todo ante autoridades y tribunales fuerza legal.135
Esta definición de los tabeliones ofrece una clara introducción al tema de las Entidades de Certificación. Si bien es cierto que hasta la fecha las certificaciones que emiten las Entidades, no gozan de fe pública, en un futuro no muy lejano podrán tener dicha característica si el legislador les atribuye dicha facultad, que hoy en día, recae exclusivamente en las Notarías Públicas. Al respecto, es imperioso entrar a profundizar las diferentes posiciones con el fin de clarificar las diferentes acepciones.
3. La actividad certificadora de las Entidades de Certificación frente a la actividad notarial 135
RINCÓN y CUBILLOS. Op. cit., p. 255 y 256.
166
La discusión se centró en la fe pública. Existen dos posiciones: a) Entidades de Certificación otorgando fe pública; b) Entidades certificadoras que no cumplen funciones de fedatarias. La discusión se abordó tanto por la Doctrina como por la Jurisprudencia. Al respecto se menciona una de las posiciones de la Doctrina:
[...] para la tradición notarial latina, el notario es una persona elegida por el Estado, a quien se le delega, el ejercicio de la actividad y se le da un valor especial a sus consideraciones respecto ciertos documentos, puesto que estos quedan investidos de un carácter especial, el de estar salvaguardados por la fe pública o fe notarial, con base en la cual se considera como cierto ante la sociedad el contenido y los signatarios de un documento presentado ante este, ora por la escritura pública, ora por una acta notarial136.
Los doctores Cubillos y Rincón hacen un análisis del sistema notarial anglosajón137 y el sistema notarial latino. Para concluir que las Entidades de Certificación se asemejan más a la actividad notarial anglosajona.
136
CUBILLOS y RINCÓN. Op. cit., p. 256.
137
“El sistema notarial anglosajón tiene como características esenciales las siguientes: a)
El notario es un profesional privado;
b)
El documento es sólo un principio de prueba que necesita la convalidación judicial y por ende, como obra de funcionario fedatario, carece de valor específico en el orden procesal”.
167
Por su parte la Jurisprudencia a través de la Corte Constitucional mediante Sentencia C-662 de 2000, abordó el tema, el cual se expuso de la siguiente manera:
Son dos los reparos que generan el cuestionamiento de constitucionalidad que plantea la demandante a saber: que las entidades certificadoras, estarían dando fe pública en Colombia, cuando esta función está reservada constitucionalmente de manera exclusiva a los notarios [...]
Así las cosas, la Corte Constitucional entró a determinar si constitucionalmente la fe pública es una función privativa de los Notarios, concluyendo lo siguente:
La Corte afirma que independientemente de las características técnicas de las entidades de certificación, es eminente que las mismas participan de un importante componente de la tradicional función fedante. La protección y la confianza que la comunidad deposita en el empleo de los medios electrónicos de comunicación, así como, en su valor probatorio - dice -, son lo realmente relevante para el derecho, pues ciertamente es el marco jurídico, el que crea el elemento de confianza.
168
De acuerdo con la exposición de la Corte Constitucional, las Entidades de Certificación certifican técnicamente que un mensaje de datos cumple con los elementos esenciales para considerarlo como tal, a saber, la confidencialidad, la autenticidad, la integridad y la no - repudiación de la información, lo que en últimas permite inequívocamente tenerlo como auténtico.
Si bien el legislador goza de una amplia libertad para regular el servicio notarial, no puede confundirse la competencia que el legislador tiene para reglamentar el servicio público que prestan los notarios y registradores, al tenor de lo conceptuado por el Artículo 131 Constitucional, con la asignación a estos de la función fedante como una atribución constitucional privativa y excluyente.
Señala la Corte que los Artículos 2º, 210 y 365 de la Carta Política, le otorgan al legislador la facultad para conferir transitoriamente el ejercicio de funciones públicas a los particulares, lo cual, permite concluir que las entidades de certificación al prestar el servicio público de certificación, tienen pleno sustento constitucional.
La Corte, frente al particular concluyó:
169
[...] aún cuando las funciones de las entidades certificadoras de que trata la Ley 527 de 1999 se asociaran con la fe pública, no por ello serían inconstitucionales, pues, como ya se dijo, el legislador bien puede atribuirle a dichas entidades, en su condición de entes privados, la característica de entes fedatarios, sin que ello comporte violación del artículo 131 de la Carta.
Como lo estableció la Corte Constitucional138, la función pública, puede ser desempeñada por un particular o por un servidor público, al respecto se recuerda la Sentencia C-741 de 1998:
[...]
En efecto, independientemente del debate doctrinal y jurisprudencial sobre la
naturaleza jurídica de los notarios en el ordenamiento legal colombiano, es claro que constitucionalmente estas personas ejercen una función pública. Además, no es cierto que la Constitución ordene, como equivocadamente lo indica el actor, que este servicio debe ser prestado por particulares, por cuanto la ley puede radicar la función fedante en determinadas instituciones estatales y conferir por ende a los notarios la calidad de servidores públicos. Nada en la Carta se opone a esa posible regulación, puesto que la Constitución en manera alguna ordena que los notarios deban ser particulares y que este servicio deba ser prestado obligatoriamente mediante una forma de descentralización por colaboración, puesto que es también posible que la ley regule de manera diversa el servicio notarial y establezca que los notarios y sus subalternos adquieren la calidad de
170
servidores públicos. La Constitución confiere entonces una amplia libertad al Legislador para regular de diversas maneras el servicio notarial, puesto que el texto superior se limita a señalar que compete a la ley la reglamentación del servicio que prestan los notarios y registradores, así como la definición del régimen laboral para sus empleados (CP art. 131). Por consiguiente, bien puede la ley atribuir la prestación de esa función a particulares, siempre
y
cuando
establezca
los
correspondientes
controles
disciplinarios
y
administrativos para garantizar el cumplimiento idóneo de la función; sin embargo, también puede el Legislador optar por otro régimen y atribuir la prestación de ese servicio a funcionarios públicos vinculados formalmente a determinadas entidades estatales [...]
De acuerdo con las anteriores apreciaciones, puede afirmarse que las Entidades de Certificación en la actualidad no otorgan fe pública, toda vez que el legislador no les ha atribuido dicha calidad, sin embargo, no por eso, se encuentran impedidas para hacerlo.
De esta suerte, la función fedante, que hoy radica en los Notarios Públicos, no es excluyente y privativa, toda vez que es jurídicamente viable revestir a las Entidades de Certificación con dicha función fedante.
138
Sentencia C-741 de 1998, Magistrado Ponente: Dr. Alejandro Martínez Caballero.
171
4. La actividad de las entidades de certificación - un servicio público -
Las Entidades de Certificación, en virtud del Artículo 29 de la Ley 527 de 1999 pueden ser personas jurídicas, nacionales o extranjeras, de carácter público o privado, con autonomía administrativa y financiera, prestadoras de un servicio público, bajo la vigilancia y control de la Superintendencia de Industria y Comercio.
El servicio público, como género139, puede entenderse de la siguiente manera: “[...] toda actividad organizada que tiende a satisfacer necesidades de interés general en forma regular y continua, de acuerdo con un régimen jurídico especial, bien que se realice por el Estado directamente o por personas privadas”140. Ahora bien, la Constitución Política de Colombia en su Artículo 365 establece: Los servicios públicos son inherentes a la finalidad social del Estado. Es deber del Estado asegurar su prestación eficiente a todos los habitantes del territorio nacional. Los servicios públicos estarán sometidos al régimen jurídico que fije la ley, podrán ser prestados por el Estado, directa o indirectamente, por comunidades organizadas, o por particulares. En todo caso, el Estado mantendrá la regulación, el control y la vigilancia de dichos servicios [...]
139
La especie es el servicio público domiciliario regulado por la Ley 142 de 1994.
172
El Artículo 430 Código Sustantivo del Trabajo: define el servicio público así: Como servicio público toda actividad organizada que tienda a satisfacer necesidades de interés general en forma regular y continua, de acuerdo con un régimen jurídico especial, bien que se realice por el Estado, directamente o indirectamente, o por personas privadas.
Ahora bien, es importante distinguir entre servicio público domiciliario y servicio público no domiciliario. El primero se encuentra regulado por la Ley 142 de 1994 y se define como el servicio destinado a cubrir las necesidades básicas del ser humano convirtiéndose en una necesidad de vida141. Esta ley se aplica a los servicios públicos de acueducto, alcantarillado, aseo, energía eléctrica, distribución de gas combustible, telefonía fija pública básica conmutada y la telefonía local móvil en el sector rural; a las actividades que realicen las personas prestadoras de servicios públicos, a las actividades complementarias y a los otros servicios previstos en normas especiales Artículo 1° -. 140
YOUNES, MORENO, Diego. Op. cit.
141
Al respecto la Corte Constitucional expresó: El contenido filosófico - político de la noción de servicio público
trasciende las diversas posiciones ideológicas abstencionistas, intervencionistas o neoliberales. Dicho contenido refleja una conquista democrática que se traduce en una teoría del Estado cuyo cometido esencial es el cubrimiento de las necesidades básicas insatisfechas de toda la población y el aseguramiento de un mínimo material para la existencia digna de la persona. Los servicios públicos son el medio por el cual el estado realiza los fines esenciales
173
Ahora bien, los doctores Velandia y Cárdenas, afirman que “la naturaleza de las entidades de certificación se considera como la prestación de un servicio público”142. Indudablemente, la actividad de certificación es un servicio público, que puede ser prestado por entidades públicas o privadas o conjuntamente entre estas. En respaldo de dicha afirmación, la Corte Constitucional expresó que las Entidades de Certificación en desarrollo de sus funciones ejercen un servicio público: “La naturaleza de la función de las entidades de certificación se considera como la prestación de un servicio público [...]”143
Las entidades de certificación en desarrollo de sus fines primordiales - facilitar y garantizar las transacciones comerciales por medios electrónicos -, y al considerar que este es un servicio público, necesariamente, requería, un control, por parte de una entidad de orden estatal. Fue así, que la comisión redactora del proyecto, consideró que la Superintendencia de Industria y Comercio, era el órgano apropiado que debía
de servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios derechos y deberes constitucionales. Sentencia T – 540. Sep. 24/92. M.P. Eduardo Cifuentes Muñoz. 142
Velandia y Cárdenas. Op. cit. p. 235
143
Corte Constitucional. Sentencia C-831. Expediente D – 3371.
174
ejercer el control y la vigilancia sobre la actividad certificadora de las entidades de certificación.
Al respecto la Corte Constitucional asintió sobre la decisión del legislador:
En razón a que la naturaleza de la funciones de las entidades de certificación se considera como la prestación de un servicio público, la inspección y vigilancia de los servicios públicos que tiene que ver con la certificación, actividades que ejercerán las entidades de certificación, debe radicarse en cabeza de una Superintendencia como la de Industria y Comercio144.
La actividad certificadora puede ser prestada por diversos personas jurídicas públicas o privadas, lo cual es una garantía de la libre competencia, en beneficio del cliente.
5. Tipos de Entidades de Certificación
144
Corte Constitucional Sentencia C-831. Expediente D-3371.
175
El Artículo 29145 de la Ley 527 de 1999 indica quienes pueden ejercer como Entidades de Certificación, expresando la posibilidad de que éstas puedan ser públicas o privadas:
1. Públicas o privadas: Las Entidades de Certificación podrán ser personas jurídicas privadas o públicas, dependiendo del origen del capital con que sean constituidas.
Con respecto a este punto la CNUDMI, en la Guía para la Incorporación de la Ley Modelo manifestó:
145
Artículo 29. Características y requerimientos de las entidades de certificación. Podrán ser entidades de
certificación, las personas jurídicas, tanto públicas como privadas, de origen nacional o extranjero y las cámaras de comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones: a) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación. b) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley. c) Los representantes legales y administradores no podrán ser personas que hayan sido condenadas a pena privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el mismo período que la ley penal o administrativa señale para el efecto.
176
[...] Las entidades certificadoras podrán ser entidades públicas o privadas. En algunos países, por razones de orden público, se prevé que sólo las entidades públicas estén autorizadas para actuar como entidades certificadoras. En otros países, se considera que los servicios de certificación deben quedar abiertos a la competencia del sector privado [...].
2. Nacionales o Extranjeras: El legislador previó la posibilidad de entidades de certificación extranjeras, consecuente con el ámbito de globalización que rodea la Ley. Lo importante es que se cumplan los requisitos legales y técnicos establecidos en la ley para ser una Entidad de Certificación. En la práctica, para que los efectos jurídicos de la certificación extranjera estén ajustados a la ley colombiana, es necesario el cumplimiento de las obligaciones de inscripción para sociedades extranjeras.
3. Cámaras de Comercio: Las cámaras de comercio de acuerdo con el Decreto Reglamentario 1520 de 1978146 sólo pueden ejercer las funciones señaladas en el Artículo 86 del Código de Comercio, lo que les impide competir con las actividades propias del sector privado. Esto genera un inconveniente normativo 146
Decreto Reglamentario 1520 de 1978. Artículo 7. Limitaciones de funciones: Las cámaras de comercio sólo
podrán ejercer las funciones señaladas en el Artículo 86 del Código de Comercio y en el artículo 5º de éste decreto.
177
en el sentido que las Cámaras de Comercio estarían impedidas para realizar la actividad de certificación a que se refiere la Ley 527 de 1999, sin embargo, por virtud de ésta Ley fueron expresamente facultadas.
Cuando existan dos normas contradictorias de diferente época se entenderá que la posterior modifica tácitamente la anterior. Por esta razón debe entenderse que la Ley 527 de 1999 derogó tácitamente el Decreto Reglamentario 1520 de 1978 en la parte relativa a la prohibición de las Cámaras de Comercio de constituir competencia contra instituciones del sector privado sí lo hace como una Entidad de Certificación.
Otra interpretación al respecto sería la siguiente: La Ley 527 de 1999, otorgó a las Cámaras de Comercio la posibilidad de ejercer la Actividad Certificadora, con lo cual, de acuerdo con el Numeral 12 del Artículo 86 del Código de Comercio: “Las demás que les atribuyan las leyes y el Gobierno Nacional”, se estaría dotando con una nueva función a las Cámaras de Comercio y, permitiéndoles competir contra el sector privado en este especial ramo. Así, el Artículo 86 del Código de Comercio no se estaría derogando sido complementando.
En consecuencia les está prohibido realizar cualquier acto u operación que no esté encaminado al exclusivo cumplimiento de las mismas, o que constituya competencia comercial con las actividades propias del sector privado.
178
4. Notarios y Cónsules: De acuerdo con la Ley 527 de 1999 los notarios y los cónsules no estaban previstos como entidades de certificación. A raíz de su no – inclusión, se suscitaron una serie de confusiones que encontraron respuesta en la Ley 588 de julio 5 de 2000147, que las facultó para ser Entidades de Certificación, previa autorización de la Superintendencia de Industria y Comercio.
5. Entidades de Certificación Abiertas y Cerradas: El Decreto Reglamentario 1747 de 2000 en desarrollo de lo previsto por la Ley 527 de 1999 (Capítulo II), clasificó las Entidades de Certificación de la siguiente manera:
Artículo 1:
147
Ley 588 de 2000. Artículo 1. Notariado y competencias adicionales. El Notariado es un servicio público que se
presta por los notarios e implica el ejercicio de la fe pública notarial. PAR 1º . Las notarías y consulados podrán ser autorizados por la Superintendencia de Industria y Comercio como entidades de certificación, de conformidad con la Ley 527 de 1999. PAR 2º. Las notarías y consulados podrán transmitir como mensajes de datos, por los medios electrónicos, ópticos y similares a los que se refiere el literal a) del artículo 2º de la Ley 527 de 1999, a otros notarios o cónsules, copias, certificados, constancias de los documentos que tengan en sus archivos, así como de los documentos privados que los particulares quieran transmitir con destino a otros notarios y cónsules o personas naturales o jurídicas. Dichos documentos serán auténticos cuando reúnan los requisitos técnicos de seguridad que para la transmisión
de
mensajes de datos establece la Ley 527 de 1999.
179
Entidad de Certificación Cerrada: Entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor148, sin exigir remuneración por ello.
Sin perjuicio del contenido normativo del Artículo 1° del Decreto 1747 de 2000, la no - remuneración deberá revaluarse y, sobre la marcha del ejercicio, se advertirá la necesidad de retribución, que compense no sólo la asunción de responsabilidades, sino el desgaste administrativo y el tiempo que se invierte en la emisión de certificados despliegue técnico y humano -.
La entidad de certificación cerrada es aquella que certifica el intercambio de mensajes de datos entre la entidad y el suscriptor, con la particular característica de que su servicio es gratuito149.
148
Decreto 1747 de 2000. Artículo 1. Suscriptor: Persona a cuyo nombre ese expide un certificado.
149
Superintendencia de Industria y Comercio. Concepto No. 01062749 del 17 de septiembre de 2001:
Decreto 1747 de 2001. Artículo 1 numeral 8: Entidad que ofrece servicios propios de las entidades de certificación sólo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneración por ello.
180
Para su funcionamiento necesita la autorización de la Superintendencia de Industria y Comercio. Para obtener dicha autorización es necesario el cumplimiento de los siguientes requisitos150: 1. Cumplir las condiciones establecidas en el artículo 29 de la Ley 527 de 2001, esto es:
a)
Ser persona jurídica públicas o privadas, de origen nacional o extranjero, una Cámaras de Comercio o una Notaría;
b) Contar con la capacidad económica y financiera suficiente para prestar los servicios autorizados como entidad de certificación.
c) Contar con la capacidad y elementos técnicos necesarios para la generación de firmas digitales, la emisión de certificados sobre la autenticidad de las mismas y la conservación de mensajes de datos en los términos establecidos en esta ley.
2. Que los administradores y representantes legales no estén incursos en las causales de inhabilidad previstas en el literal c) del artículo 29 de la ley 527 de 1999151;
150
Decreto 1747 de 2000 artículo 3º.
151
Ley 527 de 1999. Artículo 29: c) Los representantes legales y administradores no podrán ser personas que hayan
sido condenadas a pena privativa de la libertad, excepto por delitos políticos o culposos; o que hayan sido suspendidas en el ejercicio de su profesión por falta grave contra la ética o hayan sido excluidas de aquélla. Esta inhabilidad estará vigente por el mismo período que la ley penal o administrativa señale para el efecto.
181
3. Estar en capacidad de cumplir los estándares mínimos que fije la Superintendencia de Industria y Comercio de acuerdo a los servicios ofrecidos.
4. Frente a la emisión de certificados, se deberá indicar expresamente que sólo podrán ser usados entre la entidad emisora y el suscriptor152. Las entidades deberán informar al suscriptor de manera clara y expresa, previa expedición de los certificados, que éstos no cumplen los requisitos del artículo 15153 del Decreto 1747 de 2000.
5. Diligenciar el Anexo No. 1 de la Resolución 26930 de 2000 anexando la siguiente información:
152
Véase artículo cuatro Decreto 1747 de 2000.
153
Decreto 1747 de 2000. Artículo 15. Uso del Certificado Digital. Cuando quiera que un suscriptor firme digitalmente
un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darán por satisfechos los atributos exigidos para una firma digital en el parágrafo del Artículo 28 de la ley 527 de 1999, sí: 1. El certificado fue emitido por una entidad de certificación abierta autorizada para ello por la Superintendencia de Industria y Comercio. 2. Dicha firma se puede verificar con la clave pública que se encuentra en el certificado con relación a firmas digitales, emitido por la entidad de certificación. 3. La firma fue emitida dentro del tiempo de validez del certificado, sin que éste haya sido revocado. 4. El mensaje de datos firmado se encuentra dentro de los usos aceptados en la DPC, de acuerdo al tipo de certificado.
182
a)
Certificado de Existencia y Representación Legal de una entidad pública, de notario o cónsul.
Un formato diligenciando en Anexo 2 de la Resolución 26930 de 2000 por cada uno de los administradores o representantes legales.
1. Entidad de Certificación Abierta: La que ofrece servicios propios de las entidades de certificación, tales como:
a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor; o
b) Recibe remuneración por éstos.
Son aquellas entidades de carácter oneroso que ofrece servicios de emisión de certificados, en relación con las firmas digitales, facilita el servicio de registro y estampado cronológico de transmisión y recepción de mensajes de datos entre el suscriptor del mensaje y un tercero cualquiera.
El artículo quinto del Decreto 1747 de 2000, establece que quienes pretendan realizar las
actividades
propias
de
las
entidades
de
certificación
abiertas
deberán
183
particularizarlas y acreditar ante la Superintendencia de Industria y Comercio lo siguiente:
1. Personería jurídica o condición de notario o cónsul;
Cuando se trate de una entidad extranjera, se deberá acreditar el cumplimiento de los requisitos contemplados en el Libro Segundo, Título VIII del Código de Comercio para las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio colombiano. Igualmente deberá observarse lo establecido en el artículo 48 del Código de Procedimiento Civil154.
154
Código de Comercio. Artículo 469: Son extranjeras las sociedades constituidas conforme a la ley de otro país y
con domicilio principal en el exterior. El artículo 471 del Código de Comercio se establece los requisitos que debe cumplir una sociedad extranjera para desarrollar su actividad en el país: 1.
Se distingue si la sociedad operara de forma permanente o transitoria; si la sociedad operará de forma permanente, esto es, desarrollar una de las actividades descritas en el artículo 474 del mismo código, deberá cumplir los siguientes requisitos: a)
Protocolizar en una notaría del lugar elegido para su domicilio en el país, copias auténticas del documento de su fundación, de sus estatutos, la resolución o acto que acordó su establecimiento en Colombia y de los que acrediten la existencia de la sociedad y la personería de sus representantes, y
b)
Obtener de la Superintendencia de Sociedades o de la Bancaria, según sea el caso, permiso para funcionar en el país.
184
2. Que los administradores y representantes legales no están incursos en las causales de inhabilidad previstas en el literal c) del Artículo 29 de la Ley 527 de 1999155.
3. Declaración de Prácticas de Certificación (DPC) satisfactoria, de acuerdo con los requisitos establecidos por la Superintendencia de Industria y Comercio156.
El Artículo Sexto del Decreto 1747 establece el contenido de la DPC en lo siguientes términos:
Es importante aclarar que las sociedades extranjeras se encuentran sujetas a la vigilancia del Estado Colombiano en cabeza de la Superintendencia de Sociedades o de la Superintendencia Bancaria, según su objeto social, de acuerdo con lo establecido en el artículo 470 del Código de Comercio. Sin embargo por disposición del Decreto 2155 de 1992, el permiso de funcionamiento en cabeza de la Superintendencia de Sociedades fue abolido, quien sólo ejercerá la vigilancia de las mismas. Artículo 48 del C.P.C. Representación de personas jurídicas extranjeras. Las personas jurídicas de derecho privado con domicilio en el exterior, que establezcan negocios permanentes en Colombia, deberán constituir en el lugar donde tengan tales negocios, apoderados con capacidad de representarlos judicialmente. Con tal fin se protocolizará en la notaría del respectivo circuito, prueba idónea de al existencia y representación de dichas personas jurídicas y del correspondiente poder. Un extracto de los documentos protocolizados se inscribirá en el registro de comercio del lugar, si se tratare de un sociedad, y en los demás casos en el Ministerio de Justicia. Las personas jurídicas extranjeras que no tengan negocios permanentes en Colombia, estarán representados en los procesos por el apoderado que constituyan con las formalidades prescritas en este código. 155
Véase nota pie de página número 131.
156
Artículo 1 numeral 10. Decreto 1747 de 2000. Declaración de Prácticas de Certificación (DPC): Manifestación de
la entidad de certificación sobre las políticas y procedimientos que aplica para la prestación de sus servicios.
185
La Superintendencia de Industria y Comercio definirá el contenido de la Declaración de Prácticas de Certificación DPC, la cual deberá incluir, al menos lo siguiente:
1. Identificación de la entidad de certificación. 2. Política de manejo de los certificados. 3. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben observar los terceros. 4. Manejo de la información suministrada por los suscriptores. 5. Garantías que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades. 6. Límites de responsabilidad por el ejercicio de su actividad. 7. Tarifas de expedición y revocación de certificados. 8. Procedimientos de seguridad para el manejo de los siguientes eventos:
a. Cuando la seguridad de la clave privada de la entidad de certificación se ha visto comprometida. b. Cuando el sistema de seguridad de la entidad de certificación ha sido vulnerado
c. Cuando se presenten fallas en el sistema de la entidad de certificación que comprometan la prestación del servicio. d. Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad contratados por el suscriptor.
186
9. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificación. 10. Modelos y minutas de los contratos que utilizarán con los usuarios. 11. Política de manejo de otros servicios que fuere a prestar, detallando sus condiciones.
4. Patrimonio mínimo de 400 salarios mínimos mensuales legales vigentes al momento de la autorización.
El Artículo Séptimo (7º) del Decreto 1747 de 2000 establece que el patrimonio mínimo se establecerá con base en lo siguiente:
1. Las cuentas patrimoniales de capital suscrito y pagado; 2. La Reserva legal; 3. El superávit por prima en colocación de acciones y se deducirán las pérdidas acumuladas y las del ejercicio en curso.
El patrimonio mínimo deberá acreditarse:
- En el caso de personas jurídicas, por medio de estados financieros, con una antigüedad no superior a 6 meses, certificados por el representante legal y el revisor fiscal si lo hubiere.
187
- Tratándose de entidades públicas, por medio del proyecto de gastos y de inversión que generará la actividad de certificación, conjuntamente con los certificados de disponibilidad presupuestal que acrediten la apropiación de recursos para dicho fin.
- Para las sucursales de entidades extranjeras, por medio del capital asignado.
- En el caso de los notarios y cónsules, por medio de los recursos dedicados exclusivamente a la actividad de entidad de certificación.
5. Constitución de las garantías previstas en el Decreto 1747 de 2000.
Las garantías requeridas para el funcionamiento de una entidad de Certificación abierta están contenidas en el artículo 8º del Decreto 1747 de 2000. De acuerdo con el artículo en mención sólo se requiere el cumplimiento de una de las siguientes garantías:
- Seguros vigentes que cumplan con ciertos requisitos157;
157
188
- Contrato de fiducia con patrimonio autónomo que cumpla con ciertas características158;
a)
Ser expedidos por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible lo anterior, por una entidad aseguradora del exterior que cuente con la autorización previa de la Superintendencia Bancaria.
b)
Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita autorización o cuenta con autorización.
c)
Cubrir los anteriores riesgos por una cuantía asegurada por evento igual o superior al mayor entre: i.
7.500 salarios mínimos mensuales legales por evento; o
ii.
El límite de responsabilidad definido en las prácticas de certificación
d)
Incluir cláusula de restitución automática del valor asegurado;
e)
Incluir una cláusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de Industria y Comercio la terminación del contrato o las modificaciones que reduzcan el alcance o monto de la cobertura.
158
a)
Tener como objeto exclusivo el cubrimiento de las pérdidas sufridas por los suscriptores y terceros de buena fe exentos de culpa, que se deriven de los errores y omisiones o de actos de mala fe de los administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales solicita o cuenta con autorización.
b)
Contar con recursos suficientes para cubrir pérdidas por una cuantía por evento igual o superior al mayor entre: i.
7.500 salarios mínimos mensuales legales por evento; o
ii. El límite de responsabilidad definido en las prácticas de certificación. c)
Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una reclamación, por lo menos hasta el monto mínimo exigido en el punto anterior.
d)
Que la fiduciaria se obligue a obtener permiso de la Superintendencia de Industria y Comercio, previamente a cualquier cambio en los reglamentos, disminución en el monto o alcance de la cobertura, así como para el retiro de fideicomitentes y para la terminación del contrato.
189
6. Infraestructura y recursos por lo menos en la forma exigida en el Artículo 9° del Decreto 1747 de 2000159.
e)
Que las inversiones estén representadas en títulos de renta fija, alta seguridad y liquidez emitidos o garantizados por la Nación, el Banco de la República o calificados como de mínimo riesgo por las sociedades calificadoras de riesgo.
159
De acuerdo con el artículo noveno del Decreto 1747 de 2000, las Entidades de Certificación deberán contar con
un equipo de personas, una infraestructura física,
tecnológica, procedimientos y sistemas de seguridad, que
permitan a las Entidades: 1.
Generar las firmas digitales propias y todos los servicios para los que soliciten autorización.
2.
Garantizar el cumplimiento de lo previsto en la declaración de prácticas de certificación (DPC).
3.
Calificar el sistema como confiable de acuerdo con lo señalado en el artículo 2 del Decreto 1747 de 2000.
4.
Expedir certificados que cumplan los siguientes requisitos: a. b.
Lo previsto en el artículo 35 de la ley 527 de 1999; y Alguno de los estándares de certificados que admita de manera general la Superintendencia de Industria y Comercio.
5.
Garantizar la existencia de sistemas de seguridad física en sus instalaciones, un monitoreo permanente de toda su planta física, y acceso restringido a los equipos que manejan los sistemas de operación de la entidad.
6.
Garantizar que el manejo de la clave privada de la entidad esté sometido a un procedimiento propio de seguridad que evite el acceso físico o de otra índole, a personal no autorizado.
7.
Contar con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de las operaciones.
8.
Que los sistemas que cumplan las funciones de certificación sólo sean utilizados con ese propósito y por lo tanto no puedan realizar ninguna otra función.
9.
Que todos los sistemas que participen directa o indirectamente en la función de certificación estén protegidos por sistemas y procedimientos de autenticación y seguridad de alto nivel de protección, que deben ser actualizados de acuerdo a los avances tecnológicos para garantizar la correcta prestación del servicio.
Ahora bien, de acuerdo con el artículo 10 del Decreto 1747 de 2000, cuando la entidad de certificación requiera o utilice
infraestructura o servicios tecnológicos prestados por un tercero, los contratos deberán prever que la
190
7. Informe inicial de auditoria satisfactorio a juicio de la misma Superintendencia.
8. Un mecanismo de ejecución inmediata para revocar los certificados digitales expedidos a los suscriptores, a petición de estos o cuando se tenga indicios de que ha ocurrido alguno de los eventos previstos en el Artículo 37 de la Ley 527 de 1999.
La Superintendencia de Industria y Comercio tendrá la facultad de solicitar ampliación o aclaración sobre el cumplimiento de cualquiera de los requisitos que estime conveniente.
Si se cumplen los anteriores requerimientos se debe solicitar directamente ante la Superintendencia de Industria y Comercio la autorización para funcionar como Entidad de Certificación.
En la actualidad la única Entidad de Certificación que ha obtenido autorización para funcionar como Entidad de Certificación Abierta es Certicamara, que pertenece a la Cámara de Comercio de Bogotá.
terminación de los mismos está condicionada a que la entidad haya implementado o contratado una infraestructura o servicio tecnológico que le permita continuar prestando sus servicios sin ningún perjuicio para los suscriptores.
191
6. Responsabilidad de las entidades de certificación:
La actividad de las entidades de certificación, como se mencionó, es la prestación de un servicio público, y como tal, su responsabilidad se extiende a la de un hombre de negocios respecto a la ejecución de su actividad, de modo tal, que cualquier incumplimiento y/ o daño que se cause como consecuencia directa o indirecta de su actividad debe ser resarcido de acuerdo con las normas sobre responsabilidad civil contractual y extracontractual160.
La actividad certificadora debe ser desarrollada dentro de un marco de garantías y responsabilidad altísimas, a tal punto, que las fallas humanas o técnicas en el servicio son responsabilidad de la entidad como ente prestador de un servicio público.
160
Al respecto el Dr. Javier Tamayo Jaramillo expresó: “La responsabilidad contractual y extracontractual suponen
que exista un comportamiento activo u omisivo del demandado; que el demandante haya sufrido perjuicio; y que finalmente, haya un nexo de causalidad entre el comportamiento y el daño”. TAMAYO JARAMILLO, Op. Cit. p. 41.
192
Las cláusulas exonerativas de responsabilidad161 no tienen cabida cuando se contrata con una entidad de certificación para la expedición de certificados digitales; los perjuicios que se causen
por
una operación de comercio electrónico que esté
respaldada por una entidad certificadora están garantizados. La Entidad debe escoger una de las garantías que menciona el Artículo 8° Decreto 1747 de 2000. Precisamente, las garantías que menciona el Artículo 8° del Decreto 1747, deben suplir las necesidades económicas en caso que haya lugar a indemnizar un perjuicio. De este modo, no es viable jurídicamente hablando, establecer cláusulas que exoneren a la Entidad Certificadora de responsabilidad por los perjuicios que se deriven del desarrollo de sus funciones, toda vez que el riesgo - profesional, debe soportarlo el prestador del servicio.
La responsabilidad de la entidad es contractual y se regulará por las normas del código civil y por las normas propias del negocio celebrado, sin perjuicio de la aplicación de las normas propias sobre comercio electrónico y la aplicación de la teoría del riesgo.
161
[...] la responsabilidad civil engloba todos estos comportamientos ilícitos que por generar daño a terceros hacen
surgir en cabeza de quien lo causó, la obligación de indemnizar. Ibid., p. 12.
193
Sin perjuicio de lo anteriormente mencionado es importante aclarar que proceden para la entidad de certificación, como formas de exoneración de responsabilidad: demostrar diligencia y cuidado y/o culpa exclusiva de la víctima, es decir, inadecuado manejo de las herramientas de seguridad.
La página de Internet www.onet.es, toca el tema de la responsabilidad de las entidades de certificación y afirma que ésta comprende:
•
La información que contenga el certificado es exacta y confiable; desde la fecha de emisión del certificado hasta su vencimiento o revocación;
•
El certificado cumple con todas las garantías técnicas mínimas de seguridad;
•
La entidad de certificación es responsable por los perjuicios económicos que se causen como consecuencia de la expedición de un certificado digital;
•
La entidad de certificación podrá exonerarse de su responsabilidad en cuanto demuestre que tomó todas las medidas razonablemente aplicables en la expedición del certificado;
•
La entidad de certificación no será responsable por perjuicios derivados de un uso diferente al estipulado en el certificado digital;
194
7.
Funciones y deberes de las Entidades de Certificación:
Las funciones de las Entidades de Certificación han sido definidas por el legislador y jurisprudencialmente. La Corte Constitucional en Sentencia C-662 de 2000, al respecto manifestó:
[...] el servicio de certificación a cargo de las entidades certificadoras propende por proporcionar seguridad jurídica a las transacciones comerciales por vía informática, actuando la entidad de certificación como tercero de absoluta confianza, para lo cual la ley le atribuye importantes prerrogativas de certificación técnica, entendiendo por tal, la que versa, no sobre el contenido mismo del
mensaje de datos, sino sobre las
características técnicas en las que este fue emitido y sobre la comprobación de la identidad, tanto de la persona que lo ha generado, como la de quien lo ha recibido.
Los deberes de las entidades de certificación se encuentran regulados en el Artículo 32 de la Ley 527 de 1999, los cuales pueden sintetizarse en una frase de la siguiente manera:
195
La función y deber principal de las entidades de certificación es la expedición de certificados digitales, de acuerdo con lo establecido en la Declaración de Prácticas de Certificación, bajo las garantías mínimas que avalen la seguridad, confiabilidad protección, debido uso de la información y conservación de los mensajes de datos en archivos digitales del sistema, permitiendo que el usuario o suscriptor tenga acceso permanente al sistema y pronta resolución de sus inquietudes y quejas, bajo la permanente realización de auditorias e inspección y vigilancia por parte de la Superintendencia de Industria y Comercio.
Por su parte el Artículo 13 del Decreto 1741 de 2000 complementa el Artículo 32 en los siguientes aspectos:
Para la expedición de certificados la entidad de certificación debe cumplir una tarea muy importante que en diferentes países como España, Estados Unidos o Inglaterra, la cumple la denominada “Autoridad de Registro”162. En Colombia es una función y deber
162
Las Autoridades de Registro, son Entidades públicas o privadas, encargadas de identificar y registrar a los
solicitantes de un certificado digital. Su función básica es informar a las Entidades de Certificación, sobre la calidad personal y profesional de las personas naturales o jurídicas que soliciten el servicio de las Entidades de Certificación, quienes pretendan obtener un certificado digital. Las Autoridades de Registro, deben funcionar como organismos adscritos a las entidades de certificación, actualmente serían como las Superintendencia para los ministerios o los intermediarios de seguros para las compañías Aseguradoras. Con autonomía patrimonial y administrativa, pero con
196
propio de las Entidades de Certificación, lo cual consiste en la verificación de la identidad del suscriptor y su historial, comprobando que sea un sujeto de derecho calificado para la realización de transacciones electrónicas. Así mismo, la entidad debe tener a disposición de sus clientes la Declaración de Prácticas de Certificación, debiendo explicarles de la forma más clara posible el tipo de certificado que se está se expidiendo, su grado de confiabilidad y la responsabilidad de la entidad en caso de perjuicios derivados de dicha certificación.
Como complemento, se impone la necesidad de disponer de una línea exclusiva de atención al cliente y la obligación de informar sobre la revocación de los certificados o la suspensión del servicio.
Se resalta la importancia en la conservación de la documentación que respalda los certificados emitidos. El Artículo 12 de la Ley 527 de 1999 impone la obligación de la gran diferencia que sus actos comprometen su propia responsabilidad y la responsabilidad de las entidades de certificación. El funcionamiento del sistema sería de la siguiente manera: 1.
El usuario solicita la expedición de un certificado a la Autoridad de Registro, acreditando toda la información que le sea solicitada;
2.
La Autoridad de Registro analiza la idoneidad del solicitante, lo ingresa a su base de datos y hace la solicitud a la Entidad de Certificación;
197
conservar los libros y papeles del comerciante en cualquier medio técnico que garantice su reproducción exacta, sin establecer condiciones adicionales. De este modo, podría pensarse que los mensajes de datos a que se refiere la Ley 527 de 1999, no deben cumplir con la exigencia establecida en el Artículo 60163del Código de Comercio, esto es, ser conservados 10 años físicamente -, sin embargo, deberán ser conservados en medios que garanticen su reproducción.
Las entidades de certificación, deben conservar el uso exclusivo de las claves privadas, implementando las seguridades necesarias que garanticen su privacidad.
Finalmente, las entidades de certificación deben informar a la Superintendencia de Industria y Comercio cualquier evento que comprometa la eficaz prestación del servicio, así como, informar
y cumplir las instrucciones y requerimientos que imponga ésta
Superintendencia. 3.
La Entidad de Certificación emite el Certificado, el cual se ajustará a los parámetros establecidos en la DPC y de acuerdo con las necesidades del usuario.
163
Artículo 60 Código de Comercio. Conservación de Libros y Papeles de Comercio. Los libros y papeles a que se
refiere este capítulo (Capítulo I Título IV) deberán ser conservados cuando menos por diez años, contados desde el cierre de aquellos o a la fecha del último asiento, documento o comprobante. Transcurrido este lapso, podrán ser destruidos por el comerciante, siempre que por cualquier medio técnico adecuado garantice su reproducción exacta. Además, ante la Cámara de Comercio donde fueron registrados los libros se verificará la exactitud de la reproducción
198
Las Entidades de Certificación le brindan al mensaje de datos las siguientes características: confidencialidad, autenticidad, integridad y no - repudiación164.
La confidencialidad connota aquellos requisitos técnicos mínimos para garantizar la privacidad. La autenticidad
es la certificación técnica que identifica a la persona iniciadora o
receptora de un mensaje de datos. La integridad es el cumplimiento de los procedimientos técnicos necesarios que garanticen que la información enviada por el iniciador de un mensaje de datos es la misma del que lo recibió. La no repudiación es el procedimiento técnico que garantiza que el iniciador de un mensaje de datos no puede desconocer el envío de determinada información. 165
La confiabilidad va de la mano con la integridad, si un mensaje es integro, es decir, no ha sido alterado, es confiable, agregando así el elemento de privacidad.
de la copia, y el secretario de la misma firmará acta en el que anotará los libros y papeles que se destruyeron y el procedimiento utilizado para su reproducción [...]. 164
Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morón Díaz.
165
Ibid., 3. Cargos Globales.
199
Un sistema confiable, es el que se desarrolla dentro de la órbita que brinda una Entidad de Certificación, a través de la expedición de Certificados Digitales, mediante el uso de firmas digitales que se cifran con criptografía. La Corte Constitucional así lo entiende y expresó claramente166:
Por otra parte, en el proyecto de ley se hace hincapié como condición de singular trascendencia, en la integridad de la información para su originalidad y establece reglas que deberán tenerse en cuenta al apreciar esa integridad, en otras palabras que los mensajes no sean alterados y esta condición la satisfacen los sistemas de protección
de la información, como la criptografía y las firmas digitales, al igual que la actividad de las entidades de certificación, encargadas de proteger la información en diversas etapas de la transacción, dentro del marco de la autonomía de la voluntad167.
Las Entidades de Certificación, actuando como entes públicos o privados, con poderes de certificar, proporcionan a las relaciones comerciales por vía informática, la seguridad 166
Sentencia C-831 de 2011. Expediente D- 3371. Magistrado Ponente: Dr. Álvaro Tafur Galvis.
200
jurídica que requieren para tener validez en el mundo comercial. Las Entidades de Certificación, en desarrollo de sus funciones, emiten un Certificado, el cual avala el mensaje de datos, al dotarlo de la más alta seguridad.
8. Certificados Digitales
El sistema PKI
tiene su apoyo fundamental en la fiabilidad y, esta sólo la puede
proporcionar un tercero neutral frente a las partes (emisor y receptor del mensaje).
Los certificados168 digitales son emitidos, gestionados, administrados y revocados por las Autoridades de Certificación.
El siguiente gráfico ilustra la forma y el contenido169 de un certificado digital:
167 168
Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morón Díaz. La palabra certificado de acuerdo con el Diccionario de la Lengua Española es la carta o paquete que se certifica.
En términos jurídicos la certificación implica que dicho documento está avalado por el emisor.
201
CERTIFICADO DIGITAL Tipo de Certificado Número del Certificado Algoritmo de la Firma Digital Período de Validez Nombre del titular Titular: Clave Pública: Autoridad de Certificación Identificador del Titular Firma Digital de la Autoridad de Certificación
El certificado digital cumple dos funciones básicas:
1. Garantiza que la transacción sea segura, proporcionando confiabilidad, integridad, autenticidad y no repudio. 2. Permite que el receptor del mensaje de datos pueda acceder a la clave pública del remitente, para poder desencriptar el mensaje.
169
FONT, Andrés. Op. cit., p.
202
Los elementos básicos de un Certificado de acuerdo con el Dr. Andrés Font170, son los siguientes:
•
Identidad del usuario;
•
Número de serie del certificado;
•
Fecha de expiración del certificado;
•
Copia de la clave pública del usuario;
•
Identidad de la Entidad de Certificación.
El Dr. Zubieta171, resalta la importancia de que no todos los mensajes de datos firmados digitalmente son certificados digitales, para tener la calidad de certificado digital debe cumplirse con los requisitos mínimos de contenido y seguridad, así como garantizar la confidencialidad, autenticación, integridad y no - repudiación.
Como se mencionó, a la fecha la única Entidad de Certificación autorizada por la Superintendencia de Industria y Comercio es Certicamara.
170
171
Ibid. p. 74 ZUBIETA, Hermann. Op. cit., p. 66 y 67.
203
8.1 Certicamara
La actividad de expedir certificados en nuestro país, es hoy en día bastante limitada, sin embargo, a pesar del desconocimiento del tema, se han adelantado diversos proyectos, impulsados por la necesidad de implementar mecanismos de seguridad que agilicen los trámites y que generen una mejor calidad de vida. Como se ha venido mencionando, sólo existe una Entidad de Certificación, abierta, autorizada por la Superintendencia de Industria y Comercio para expedir Certificados Digitales. A continuación se explica su funcionamiento y sus servicios, para entender así, en la práctica, cómo hacer uso de este servicio:
Certicámara172, única Entidad de Certificación abierta en funcionamiento, pertenece como su nombre lo sugiere a las Cámaras de Comercio del país.
172
Sociedad Cámara de Certificación
Digital Certicámara S.A., es una sociedad anónima
constituida por las
Cámaras de Comercio del país, con el objetivo de prestar los servicios de certificación digital que se regulan por la Ley 527 de 1999 y sus Decretos Reglamentarios. Certicámara es una entidad de certificación abierta, y de carácter
204
Certicámara ofrece tres tipos de certificados173:
•
Certificados de Representación;
•
De pertenencia;
•
Certificados de Servidor Seguro.
- Certificados de Representación de Empresa: Consiste en la expedición de certificados digitales en donde se relaciona una clave pública con una persona, indicando que dicha persona ostenta la calidad de representante legal de una persona jurídica determinada al momento de expedición del certificado. Siendo responsable la entidad de informar oportunamente sobre la revocación del mismo. El representante legal tendrá bajo su custodia la clave privada. De forma tal que, cuando el representante legal quiera otorgar poderes, celebrar contratos, votar en una asamblea etc., y se encuentre fuera de su domicilio, bien sea dentro del mismo país o fuera de él, podrá firmar digitalmente el documento que se requiera, el cual quedará avalado con su firma digital y tendrá, plena validez jurídica. El receptor recibirá la clave empresarial, que tiene como propósito fundamental crear comercio electrónico seguro. Es un tercero neutral que brinda confianza en la transacción.
205
pública a través de Certicámara, para que pueda desencriptar el mensaje y corroborar la representación legal de dicha sociedad.
- Certificados de Pertenencia a Empresa: Consiste en la expedición de certificados donde se relaciona una clave pública con una persona natural, indicando que dicha persona ostenta un cargo específico en una empresa determinada al momento de la expedición del certificado. Su funcionamiento es igual al anterior. Este tipo de certificados es ideal para empresas multinacionales o nacionales con varias sedes en el país. Se ahorrará tiempo y costos de traslado, entre muchos otros beneficios.
- Certificados de Servidor Seguro: Consiste en la expedición de certificados digitales en los que se relaciona una clave pública con una dirección URL, indicando que una persona determinada tiene el control y el derecho a ser asociado a dicha dirección. Su funcionamiento es igual a los dos anteriores certificados.
173
Véase más información al respecto en la página web de Certicámara www.certicamara.com.co
206
Es destacable que una Entidad de Certificación al hacer parte de una Cámara de
Comercio, como es el caso de Certicámara, suple las funciones de registro y de control de idoneidad de los usuarios con un elemento de confianza adicional, por su especial connotación dentro del gremio.
Ahora bien, para acceder a estos servicios de certificación digital, es necesario estar inscrito en cualquiera de las Cámaras de Comercio a nivel Nacional174. Lo que supone que sólo se tiene implementado el sistema para la expedición de certificados a personas jurídicas. Posteriormente se debe abrir un proceso de solicitud llenando el
Formulario de Petición del Certificado, que puede obtenerse en cualquiera de las Cámaras de Comercio a nivel Nacional, al cual se deben adjuntar los documentos de identificación requeridos. Este formulario contiene las exigencias documentales necesarias para la emisión del certificado. Una vez establecida la idoneidad del usuario, el proceso termina con la expedición del certificado, la cual debe estar enmarcada dentro de los parámetros establecidos en la DPC.
174
Con este “requisito”, Certicámara se cura en salud y suple el paso investigativo de las Autoridades de Registro, ya
que por el sólo hecho de estar inscrito, se avala por la misma Cámara la idoneidad del aspirante a obtener el certificado como comerciante, lo que lo hace un candidato sin tacha para la expedición de certificados digitales.
207
Es muy importante el reconocimiento físico de la persona que solicita la expedición del certificado digital, para lo cual debe acudir a la cámara de comercio donde se encuentra ubicado su domicilio social.
Una vez verificados los documentos presentados, Certicámara emite un certificado digital, se almacena en una tarjeta inteligente la identidad del usuario, y su capacidad de firma. Sólo el propietario del certificado digital puede hacer uso de él al introducir su número de identificación personal, similar a la clave de una tarjeta débito. Todos los clientes reciben un kit de instalación, el cual contiene un lector y una tarjeta inteligente para que pueda firmarse digitalmente el documento que se quiera proteger. Los Certificados que expide Certicámara tienen una vigencia de un año, al cabo del cual pierden su vigencia. Certicamara175 utiliza como soporte de almacenamiento de Certificados una tarjeta inteligente “Smart Card”, en la cual se almacena la identidad del usurario al igual que su capacidad de firma. La tarjeta a su vez, contiene una clave o PIN que sólo conoce su propietario.
208
8.2 Validez de las certificaciones que expidan compañías extranjeras176
Al respecto la Superintendencia de Industria y Comercio en el concepto No. 00050766 del 23 de agosto de 2000 manifestó que sólo las Entidades Autorizadas por la Superintendencia, conforme a la ley, podrán autorizar y dar fe de las Certificaciones de Entidades extranjeras.
Se obvia el requisito, según el cual, para que un documento creado o emitido en el extranjero sea válido en nuestro país, debe estar avalado por el Cónsul de Colombia en el país de creación y ratificado por el Ministerio de Relaciones Exteriores177.
La Superintendencia de Industria y Comercio emite un listado de las Entidades de Certificación de nivel mundial, consideradas idóneas para su ejercicio en Colombia, 175 176
Vea más información sobre Certicámara en la dirección electrónica www.certicamara.com.co Ley 527 de 1999. Artículo 43: Los certificados de firmas digitales emitidos por entidades
de certificación
extranjeras, podrán ser reconocidos en los mismos términos y condiciones exigidos en la ley para la emisión de certificados por parte de las entidades de certificación nacionales, siempre y cuando tales certificados sean reconocidos por una entidad de certificación autorizada que garantice en la misma forma que lo hace con sus propios certificados, la regularidad de los detalles del certificado, así como su validez y vigencia.
209
cuya gestión y emisión de certificados es válido por el hecho de estar admitida y reconocida por la Superintendencia de Industria y Comercio178. De esta forma, la Superintendencia de Industria y Comercio tiene un mayor control y establece lasos comerciales de intermediación importantes para el futuro, en cuanto se refiere al comercio electrónico por Internet.
La Comisión de las naciones Unidas para el Desarrollo Mercantil Internacional manifestó la solidaridad en el riesgo, entre entidades de Certificación de la siguiente manera:
La Segunda parte: Guía para la incorporación de la Ley Modelo de la CNUDMI 33 reconocimiento de certificados extranjeros se realiza generalmente mediante un método denominado “certificación cruzada”. En tales casos es necesario que entidades certificadoras sustancialmente equivalentes (o entidades certificadoras dispuestas a asumir ciertos riesgos con respecto a los certificados emitidos por otras entidades certificadoras) reconozcan mutuamente los servicios prestados, de forma que los respectivos usuarios puedan comunicarse entre ellos de manera más eficaz y con mayor confianza en la fiabilidad de los certificados que se emitan.
177
CPC
210
En la actualidad, las Entidades Financieras y Aseguradoras, poseen certificados emitidos por Compañías extranjeras, en particular el certificado que emite Verising, sin embargo, Certicámara no ha entablado acuerdos de certificación recíproca con ninguna entidad de certificación digital del exterior. Esto por cuanto la ley requiere que las entidades de certificación acreditadas en el exterior cumplan requisitos equivalentes a los exigidos a las locales. La normatividad colombiana es mucho más estricta que la de otros países, como por ejemplo, E.U., donde el proceso de identificación y emisión de los certificados digitales es libre y por tanto no obedece a los estándares de seguridad requeridos en Colombia. En este orden de ideas, puede afirmarse que jurídicamente, estas compañías no ofrecen a sus usuarios una seguridad apta en cuanto a negociaciones por medio telemáticos se refiere, razón por la cual, es función de la Superintendencia de Industria y Comercio pronunciarce frente al particular y someter a dichas compañías para que adopten certificados válidos y con respaldo jurídico en la ley colombiana.
178
Al respecto véase la Circular Externa No. 054 de 2001.
211
9. Firmas digitales
El concepto de firma179 ha sido entendido como un signo que representa a una persona natural o jurídica, con la cual se identifica y manifiesta su voluntad en una relación jurídica.
El diccionario de la Real Academia Española define la firma de la siguiente manera:
Nombre y apellido, o título de una persona, que esta pone con rúbrica al pie de un documento escrito de mano propia o ajena, para darle autenticidad, y para expresar que se aprueba su contenido, o para obligarse a lo que es él se dice.
Como es evidente, la Real Academia tiene una labor pendiente en actualizar el concepto de firma e incluir sus nuevas acepciones.
La firma digital no se aleja del concepto básico de firma, pero si es una especie particular con características propias.
179
Sólo nos referiremos a la firma digital dentro del contexto de las entidades de certificación. Sobre las diferentes
nociones de firma dentro del contexto de los mensajes de datos véase el libro “Introducción jurídica al comercio electrónico” de los doctores Velandia y Cárdenas. Op. cit., p. 215 a 218.
212
El Estado de UTA, en el año de 1996, primer estado en legislar en los Estados Unidos de Norteamérica, sobre el uso comercial de la firma digital, reguló el tema de
la
creación de certificados digitales en relación con firmas digitales de clave pública, y definió la firma digital de la siguiente manera:
Transformación de un mensaje empleando un criptosistema asimétrico tal, que una persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza:
1. Si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante, y; 2. Si el mensaje ha sido o no modificado desde que se efectuó la transformación.
La Ley 527180 de 1999 en su artículo segundo define la firma digital como:
180
El doctor MAURICIO CARVAJAL CÓRDOBA, en su artículo “Marco jurídico de la firma digital: ¿Hacia donde
vamos? Publicado en Ámbito Jurídico (Legis S.A) publicación agosto 21 a septiembre 3 de 2001, hace un recuento de la normativa sobre firma digital en el mundo, así: •
España: Real Decreto 14 de septiembre 17 1999;
•
Unión Europea: Directiva 1999/93, por medio de la cual se establece un marco comunitario para la firma electrónica; pueden mencionarse a demás de esta Directiva las siguientes: Directiva sobre protección de datos (aprobada en octubre de 1998); Directiva sobre Copyright: pretende reforzar los derechos de autor y
213
Un valor numérico que se adhiere a un mensaje de datos y que, utilizando un procedimiento matemático conocido vinculado a la clave criptográfica privada del iniciado, permite determinar que este valor numérico se ha obtenido exclusivamente con la clave criptográfica privada del iniciador y que el mensaje inicial no ha sido modificado después de efectuada la transformación.
El Dr. Font181 define la firma digital así:
Técnicamente, una firma digital es un mecanismo de clave pública que vincula la identidad de una parte (en una relación o transacción) a un determinado mensaje. De forma similar a como una firma escrita vincula el documento firmado con el autor de la firma.
proteger su obra de las copias digitales; Directivas sobre comercio electrónico: establece el principio de que los medios electrónicos pueden ser utilizados para celebrar contratos; Directiva sobre Dinero Electrónico: establece regulaciones supremamente estrictas para los emisores de dinero electrónico con el único propósito de enmarcar dentro de la más alta credibilidad a estas formas de pago; Directiva sobre firma digital: esta directiva se produce en medio de fuertes enfrentamientos
conceptuales entre quienes
defendían la postura bajo la cual se debería establecer el sistema de software y hardware para la elaboración de la firma digital, y quienes sostenían que debía ser el mercado el que estableciera estos mecanismos según las necesidades del mismo.
•
Estados Unidos: durante los últimos años todos los estados excepto Montana han adoptado medidas en relación con la firma electrónica. Se han desarrollado tres tipos de nociones en torno a esta: la firma electrónica básica, la firma electrónica limitada y la firma digital.
181
FONT, Andrés. Op. cit. p.
214
A través de la firma digital se pretende garantizar que un determinado mensaje de datos procede de una persona determinada; que el mensaje no ha sido modificado desde su creación y transmisión y, que el receptor no puede modificar el mensaje recibido.
La Ley 527 reconoció además, la equivalencia entre la firma manuscrita y la firma digital. Para tal efecto la firma digital debe cumplir con ciertos requisitos que expone el Artículo 28:
Artículo 28. Atributos de una firma digital. Cuando una firma digital haya sido fijada en un mensaje de datos se presume que el suscriptor de aquella tenía la intención de acreditar ese mensaje de datos y de ser vinculado con el contendido del mismo.
PARAGRAFO: El uso de una firma digital tendrá la misma fuerza y efectos que el uso de una firma manuscrita, si aquella incorpora los siguientes atributos:
1. Es única a la persona que la usa. 2. Es susceptible de ser verificada. 3. Está bajo el control exclusivo de la persona que la usa. 4. Está ligada a la información o mensaje, de tal manera que si éstos son cambiados, la firma digital es invalidada. 5.
Está conforme a las reglamentaciones adoptadas por el Gobierno
215
Nacional.
La CNUDMI, en el Artículo 6° de la Ley Modelo incluyó dos aspectos que no fueron incluidos por el Legislador:
c) es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y d) cuando uno de los objetivos del requisito legal de firma consista en dar seguridades en cuanto a la integridad de la información a que corresponde, es posible detectar cualquier alteración de esa información hecha después del momento de la firma.
La CNUDMI definió la firma electrónica de la siguiente forma: Artículo Segundo. Definiciones: a) Por “firma electrónica” se entenderán los datos en forma electrónica consignados en un mensaje de datos, o adjuntados o lógicamente asociados al mismo, que puedan ser utilizados para identificar al firmante en relación con el mensaje de datos e indicar que el firmante aprueba la información recogida en el mensaje de datos;
Es importante en este punto, hacer la siguiente diferenciación entre los conceptos de firma electrónica182, firma digital y firma certificada. La firma electrónica es aquella cuya
182
El Decreto Ley 14 de España En su Artículo 2° define las firmas electrónicas:
216
creación implica el uso de medios informáticos, independientemente de cual sea éste, es decir, que cualquier firma que implique el uso de la informática puede considerarse como firma electrónica; así la firma digital y la firma certificada son firmas electrónicas, aquellas son especie y esta es el género. Por su parte, la firma digital es aquella que se vale del proceso de clave pública y, la firma certificada es aquella que además de utilizar el proceso de clave pública es avalada por un tercero de confianza – Entidad de Certificación – por medio de la expedición de un Certificado Digital183 -. Precisamente, una de las formas de dar seguridad a la validez en la creación y verificación de una firma digital es la criptografía. La cual es una rama de las matemáticas aplicadas que se ocupa de transformar, mediante un procedimiento sencillo, mensajes en formas aparentemente ininteligibles y devolverlas luego a su forma original184.
En Grecia, siglo VI antes de Cristo, se utilizó el primer cifrado, llamado “escitalo". El escitalo era un bastón. El emisor enrollaba una tira de cuero alrededor del bastón y
Es el conjunto, en forma electrónica, anejos a otros datos electrónicos asociados funcionalmente con ellos, utilizados como medio para identificar formalmente al autor o a los autores del documentos que la recoge. 183 184
Al respecto puede consultarse al Dr. ZUBIETA, Hermann. Op. cit. p. 70 a 72.
FONT, Andrés. Op. cit. p. 156.
217
escribía longitudinalmente sobre el bastón. Después desenrollaba la tira y la enviaba con un mensajero - que desconocía el contenido -, al destinatario. Sin conocer el diámetro del bastón - que había jugado el papel de clave -, era imposible descifrar el mensaje. Más adelante el ejercito romano utilizó el cifrado de Cesar - para la transmisión y planeación de estrategias militares - consistente en desplazar el alfabeto tres letras hacia delante o atrás.
Durante 19 siglos, se asiste al desarrollo de técnicas de cifrado experimentales donde la seguridad residía esencialmente en la confianza que el usuario depositaba en dichos sistemas. En el siglo XIX, Kerchoffs estableció los principios de la criptografía moderna, cuyas máximas establecen que la seguridad de un sistema de cifrado reside en la clave y no en el procedimiento de cifrado.
Así las cosas, concebir sistemas
criptográficos debía responder a ese criterio. Sin embargo, estos sistemas carecían de cimientos matemáticos suficientes para medir y cuantificar su resistencia a eventuales ataques. En 1948 y 1949 dos artículos de Claude Shannon, Teoría Matemática de la
Comunicación y sobre todo Teoría de la Comunicación de los Sistemas Secretos, dieron los cimientos científicos a la criptografía. Shannon probó que el cifrado de Vernam introducido algunas decenas de años antes - todavía llamado one time pad era el único sistema incondicionalmente seguro. Sin embargo, el sistema era
218
impracticable. Razón por la cual hoy en día la verificación de la seguridad de un sistema, se centra en la seguridad computacional. En la medida que un sistema de cifrado de clave secreta sea seguro, ningún ataque conocido debe vulnerar el sistema.
En 1975 Diffie y Hellman publicaron un artículo llamado New Directions in Cryptography
(Nuevas direcciones en Criptografía) que cambió la concepción de los criptógrafos, introduciendo el concepto de criptografía de clave pública185. Los algoritmos de cifrado 185
“La solución completamente revolucionaria que propusieron fue introducir la noción de función de una sola vía con
trampa, o trapdoor one-way function (también conocida como función de un sentido irreversible). Es una función que se calcula fácilmente en un sentido, pero que es computacionalmente imposible de invertir si no se conoce un secreto llamado trampa, aunque la función sea conocida por todos. Entonces la clave pública es la función, mientras que la trampa, conocida por un número restringido de usuarios se denomina clave privada. Para descifrar el mensaje el receptor invierte la función utilizando la trampa”. El ejemplo más perfecto de criptosistema de clave pública y, sin lugar a dudas, el más simple aparece justo dos años después, en 1978. Se debe a Rivest, Shamir y Adleman de donde toma el nombre RSA. Se basa en la dificultad de factorizar dos números enteros. La clave privada está formada por la tripleta (p,q,d) donde p y q son dos números primos de aproximadamente el mismo tamaño, d es un número entero primo con p-1 y con q-1. La clave pública se compone del par (n,e). Donde n=pq y e es el inverso de d módulo (p-1)(q-1), i.e.
ed = 1 mod(p-1)(q-1). Supongamos que Alvaro desea enviar un mensaje cifrado con la clave pública de Julian (n,e). Primero transforma el mensaje en un número m inferior a n. Después calcula:
c = me mod n, y envía el resultado c a Bob. Éste, cuya clave pública es (p,q,d), calcula: cd mod n = med mod n = m. En el caso de RSA, la función de una sola vía con trampa que se considera es la función que asocia a un número x
