Críticas a la ONTI por el decreto que reglamenta la Ley de Firma Digital

Hugo Scolnik, coautor de la Ley argentina de Firma Digital, dirige la empresa Firmas Digitales, que desarrolló los primeros proyectos de criptografía y seguridad de los 45 principales bancos argentinos. En diálogo con Canal AR, brindó sus opiniones acerca del decreto firmado la semana pasada que modifica al decreto 427/98 relacionado con las Firmas Digitales para la Administración Pública Nacional (APN).

Días atrás, Canal AR publicó una nota en la que Carlos Achiary explicaba de qué se trataba un token y en donde señalaba: "Lo que está en juego es muy fuerte, por ende utilizaremos los de mayor seguridad: la clave privada nunca está en el token y la firma se produce directamente en el token sin pasar por la PC, porque puede haber un agujero de seguridad en el medio y lo que se pone en juego es mucho".

En base a estas declaraciones, Scolnik explicó que los token son dispositivos electrónicos, algunos con un procesador adentro y otros que son sólo áreas de memoria. Estos permiten que se pueda grabar en una parte de memoria protegida la clave privada y pública para la firma digital. Se le puede solicitar que almacene la clave privada encripatada y la idea es que cada persona lleve el suyo a todos lados. Como la clave se encuentra protegida por medio de una password, por más que alguien se robe el token no se va a poder tener acceso a la firma. “Siempre hay un proceso que implica el uso de la PC, porque la capacidad de procesamiento que los dispositivos tienen es muy limitada”, comentó Scolnik.

“La gente cree que la firma digital empieza con todo esto y en realidad, las primeras instalaciones vienen desde el año 97”, comentó. También explicó que la firma existe con o sin certificados, pero que estos son importantes para realizar transacciones con el resto del mundo, porque los certificados digitales emitidos por las autoridades certificantes autorizadas por el ente licenciatario brindan la confiabilidad necesaria para que sean confiables para otros países del mundo. O al menos así debería ser.

Por otro lado, señaló que con la ley 25.506 (de firma digital) ha pasado de todo. "No se cumplió el plazo para reglamentarla, los funcionarios fueron cambiando a lo largo de los años, y cada vez que cambiaban, como todo en este país, había que empezar de vuelta. Una cantidad enorme de ideas que teníamos no estaban claramente reflejadas en la ley. Una de ellas, tenía que ver con los seguros (modificación que se hizo en el nuevo decreto firmado). Desde el principio planteamos distintos niveles de autoridades certificantes y no nos escucharon. No es lo mismo cuando de por medio existe una operación por 10.000.000 de dólares, operación que requiere un seguro importante por peligro de fraude, que cuando un alumno de la facultad necesita firmar un formulario de inscripción, todo depende de lo que haya de por medio. Desde el principio planteamos distintos niveles de autoridades certificantes y recién ahora se acepta", dijo.

También declaró que en el decreto 427/98 ya se autorizaba a la Administración Pública Nacional a utilizar la firma digital, y el nuevo decreto dice más o menos lo mismo, aunque nadie tiene hoy los certificados en la APN. "Esperemos que cuando haya aplicaciones esto sirva para algo. Y en el ámbito privado, no cambia en absoluto".

"Hay que apuntar a que haya muchas autoridades certificantes, porque si no se corre el peligro de poner limitaciones, que todo se centralice y se cree un monopolio y eso hay que evitarlo". La comisión asesora ha realizado, en base a los documentos de licenciamiento propuestos por la ONTI, una fuerte crítica, planteando que la aceptación selectiva de los Certificadores Licenciados por parte del Estado, tal como se expresa en el Decreto, torna cuestionable el proceso de licenciamiento, delegando la posibilidad de seleccionar los certificados aceptables o válidos al funcionario en actividad, con un criterio propio.

"El tema más serio tiene que ver con que toda la reglamentación se vino atrasando porque lo que quiere la ONTI es auditar todo lo que tenga que ver con la firma digital. ¿Si es mejor para los ciudadanos? Bárbaro, pero a mi criterio este decreto no añade nada nuevo. En el ámbito privado la firma digital ya funcionaba por convenios y sólo es para el ámbito de la Administración Pública que puede servir, pero para hacer las cosas en serio, hay que auditar la seguridad y hoy no sé si la ONTI está preparada para hacerlo".