Artículo de Kriptópolis que pone en duda la ecuación Firma digital = Firma manuscrita. Desde luego, la firma digital elimina de la ecuación al usuario: la clave de firma se almacena en un sistema informático, que es el encargado de realizar la firma. Así pues, ¿qué pinta el usuario en todo el sistema? Nada impide al sistema informático firmar digitalmente un documento sin autorización del usuario.
Pues por lo que pone en Kriptópolis es bien distinto a lo que comentas "demuestra cómo es posible, dadas ciertas condiciones, firmar un correo o documento con un certificado 12.p (como los de la FNMT) sin conocimiento de su propietario y sin necesidad de conocer su contraseña...", es bien distinto.
Es decir, que no habla nada de malware y dice claramente, que no se necesita conocer la contraseña para firmar el mensaje. También dice que en determinadas condiciones, por lo que habrá que esperar para conocer dichas condiciones, pero pueden ser tan simples como tener acceso físico al certificado.
Decir que no pasa nada por un fallo en la firma digital, puesto que también hay fallos en la firma manuscrita es un gran error puesto que la Ley de la Firma Digital, al no contemplar un fallo del sistema, no permite el repudio.
Es un matiz, pero crucial, si alguien logra falsificar una firma digital o simplemente usa tu firma para firmar algo, estás más que fastidiado con la Ley en la mano, al menos con la manuscrita puedes pedir un perito calígrafo, que aunque no tiene validez judicial, los jueces suelen hacer caso de lo que dicen.
Hablando claro, si te preguntas"¿acaso esa misma situación (alguien que tome tu firma y la reproduzca) no puede darse también con la firma manuscrita?, es que no conoces lo que implica y supone la Ley de la Firma Electrónical para el usuairo ya que esa pregunta, para la Ley no tiene sentido alguno. Por definición, la firma digital no contempla que pueda ocurrir un fraude puesto que se en teoría ha diseñado para que sea "imposible" y en base a ello, se ha legislado con todo lo que ello supone para el sufrido usuario, lo malo es que puede que dicha suposición no se base en una realidad y eso sí que es grave puesto que tendrás que apechugar, sin posibilidad de defensa, lo que haya firmado un tercero en tu nombre.
No se, a la espera de ver el texto de Fernando Acero a mi esto me parece demagogia: con esto no se invalida el sistema sino se advierte del uso fraudulento que puede hacerse de el pero ¿acaso no se cometen también fraudes con las firmas manuscritas? Hace poco hubo un escándalo con una operadora de telefonía cuyos agentes comerciales 'engañaban' a los viejecillos para que firmaran un alta en el servicio de marcación automática ¿invalida la posibilidad de fraude a la firma manuscrita? Yo no lo creo...
He leído tu post felipe (y de ahí he ido a la nota de kriptópolis y luego aquí) y ya te digo, no estoy de acuerdo con que se pierda el control. Puede ser un problema de falta de educación o de conocimientos, puedes ser vícitima de un engaño pero son situaciones que también se pueden dar con la firma manuscrita. Si proteges tu clave privada con una contraseña el sistema no podrá jamás firmar sin tu intervención voluntaria. Otra cosa es que un malware tome ese pin y luego lo reutilice pero, volvemos a lo mismo ¿acaso esa misma situación (alguien que tome tu firma y la reproduzca) no puede darse también con la firma manuscrita?
Blanik: en el artículo de kriptópolis no dan datos de ningún tipo para que podamos comprobar si lo que dicen es cierto y yo prefiero esperar, como he dicho en el primer post, a ver el texto de Fernando Acero antes de hacer ningún juicio serio así que sólo estoy haciendo suposiciones. Hasta dónde yo se no es posible firmar electronicamente sin intervención del usuario si tu clave privada está protegida con contraseña. A partir de aquí, si tu no proteges tú certificado con contraseña es problema de falta de educación (y no del sistema), si una persona o una pieza de código te 'roba' la clave privada y/o la contraseña con la que la proteges es un fraude, y no se me ocurre ningún otro supuesto más pero, desde luego, en ningún caso es problema del sistema de firmas.
En cuanto a que la ley de firma electrónica no contemple el fraude pues... me la voy a releer porque no me la se de memoria (lógico) pero hasta donde yo recuerdo ni lo contempla ni lo deja de contemplar, simplemente la equipara a la firma manuscrita... pero ya te digo: me la releeo y te comento.
Comentarios
Pues por lo que pone en Kriptópolis es bien distinto a lo que comentas "demuestra cómo es posible, dadas ciertas condiciones, firmar un correo o documento con un certificado 12.p (como los de la FNMT) sin conocimiento de su propietario y sin necesidad de conocer su contraseña...", es bien distinto.
Es decir, que no habla nada de malware y dice claramente, que no se necesita conocer la contraseña para firmar el mensaje. También dice que en determinadas condiciones, por lo que habrá que esperar para conocer dichas condiciones, pero pueden ser tan simples como tener acceso físico al certificado.
Decir que no pasa nada por un fallo en la firma digital, puesto que también hay fallos en la firma manuscrita es un gran error puesto que la Ley de la Firma Digital, al no contemplar un fallo del sistema, no permite el repudio.
Es un matiz, pero crucial, si alguien logra falsificar una firma digital o simplemente usa tu firma para firmar algo, estás más que fastidiado con la Ley en la mano, al menos con la manuscrita puedes pedir un perito calígrafo, que aunque no tiene validez judicial, los jueces suelen hacer caso de lo que dicen.
Hablando claro, si te preguntas"¿acaso esa misma situación (alguien que tome tu firma y la reproduzca) no puede darse también con la firma manuscrita?, es que no conoces lo que implica y supone la Ley de la Firma Electrónical para el usuairo ya que esa pregunta, para la Ley no tiene sentido alguno. Por definición, la firma digital no contempla que pueda ocurrir un fraude puesto que se en teoría ha diseñado para que sea "imposible" y en base a ello, se ha legislado con todo lo que ello supone para el sufrido usuario, lo malo es que puede que dicha suposición no se base en una realidad y eso sí que es grave puesto que tendrás que apechugar, sin posibilidad de defensa, lo que haya firmado un tercero en tu nombre.
No se, a la espera de ver el texto de Fernando Acero a mi esto me parece demagogia: con esto no se invalida el sistema sino se advierte del uso fraudulento que puede hacerse de el pero ¿acaso no se cometen también fraudes con las firmas manuscritas? Hace poco hubo un escándalo con una operadora de telefonía cuyos agentes comerciales 'engañaban' a los viejecillos para que firmaran un alta en el servicio de marcación automática ¿invalida la posibilidad de fraude a la firma manuscrita? Yo no lo creo...
He leído tu post felipe (y de ahí he ido a la nota de kriptópolis y luego aquí) y ya te digo, no estoy de acuerdo con que se pierda el control. Puede ser un problema de falta de educación o de conocimientos, puedes ser vícitima de un engaño pero son situaciones que también se pueden dar con la firma manuscrita. Si proteges tu clave privada con una contraseña el sistema no podrá jamás firmar sin tu intervención voluntaria. Otra cosa es que un malware tome ese pin y luego lo reutilice pero, volvemos a lo mismo ¿acaso esa misma situación (alguien que tome tu firma y la reproduzca) no puede darse también con la firma manuscrita?
Blanik: en el artículo de kriptópolis no dan datos de ningún tipo para que podamos comprobar si lo que dicen es cierto y yo prefiero esperar, como he dicho en el primer post, a ver el texto de Fernando Acero antes de hacer ningún juicio serio así que sólo estoy haciendo suposiciones. Hasta dónde yo se no es posible firmar electronicamente sin intervención del usuario si tu clave privada está protegida con contraseña. A partir de aquí, si tu no proteges tú certificado con contraseña es problema de falta de educación (y no del sistema), si una persona o una pieza de código te 'roba' la clave privada y/o la contraseña con la que la proteges es un fraude, y no se me ocurre ningún otro supuesto más pero, desde luego, en ningún caso es problema del sistema de firmas.
En cuanto a que la ley de firma electrónica no contemple el fraude pues... me la voy a releer porque no me la se de memoria (lógico) pero hasta donde yo recuerdo ni lo contempla ni lo deja de contemplar, simplemente la equipara a la firma manuscrita... pero ya te digo: me la releeo y te comento.
Blanik... Acero... que estúpido soy.
El verdadero problema de la firma digital es que el usuario pierde absolutamente el control, cediéndolo a un sistema informático.
Por si a alguien le interesa mi opinión al respecto: http://felipe-alfaro.org/blog/2006/05/07/firma-digital-firma-manuscrita/