Firma digital: continúa el debate

Aun resta una resolución de la Jefatura de Gabinete relacionada con las normas de licenciamiento para que la firma digital comience a utilizarse en el Ejecutivo. A mediados del mes pasado, cuando el presidente Nestor Kirchner firmó el decreto 724/06 que modificaba la ley 25.506 de firma digital, Carlos Achiary, director de la Oficina Nacional de Tecnologías de la Información (ONTI) comentaba que en “las próximas semanas” el tema estaría resuelto. Hoy estamos a un mes, y en el marco del seminario de Firma Digital organizado por la consultora Prince & Cooke, el subsecretario de la Gestión Pública, Juan Manuel Abal Medina, comentó que todavía faltan uno o dos meses para que salga la resolución con esas famosas normas.

El ente licenciante, como bien se sabe, será la ONTI, quien definirá las normas y los procedimientos a tener en cuenta por quienes deseen convertirse en un certificador licenciado, es decir, empresas que otorgarán los certificados que validen las firmas digitales. Achiary, también presente en el seminario, explicó que el procedimiento tiene que ver con la recepción de la documentación pertinente, una evaluación legal y técnica, y una auditoria interna.

En cuanto al esquema de licenciamiento, está formado por una autoridad de certificación raíz que firma los certificados a las autoridades de certificación, quienes a su vez, firmarán los certificados de los usuarios. Así se conforma un esquema de 3 niveles. Por otro lado, también comentó que entre los requisitos, se encuentran que la infraestructura tecnológica deberá estar ubicada en el país para poder evaluar los requerimientos de seguridad necesarios, la garantía del seguro de caución y el seguro de responsabilidad civil, que a partir del último decreto firmado, son optativos. Con respecto a la autoridad de registro, que es quien verifica la identidad de la persona a la que pertenece el certificado, señaló que puede ser parte de la autoridad certificadora o no.

“Queremos un sistema seguro y barato para la sociedad. No está pensado para que el Estado recaude mucho dinero. Queremos que sea un sistema seguro y barato para la todos. Y, principalmente, que avance generándose confianza en los diferentes sectores”, reflexionó Achiary.

Al turno de la ponencia de Hugo Scolnik, miembro del Departamento de Computación de la Facultad de Ciencias Exactas de la UBA, y socio gerente de Firmas Digitales, la charla se puso un poco más tenebrosa, ya que explicó punto por punto, técnicamente, cuáles son los riesgos y falencias que pueden encontrarse si la firma digital no es implementada con la cautela que requiere. “Los mecanismos de auditoria son los que más me preocupan”, comentó en un principio, y criticó: “Entiendo que el decreto 724/06, sólo es una permutación de los dígitos del decreto que se firmó en el 98, porque no hubo grandes cambios”. Por otro lado, agregó: “Quiénes deben auditar ¿Saben hacerlo? La firma digital, se puede implementar, pero hay muchas cosas por hacer”.

Un asistente al evento, parte del público, comentó que la ley no generó un ente encargado de controlar que esté formado por expertos y no por funcionarios de Gobierno. “Daría más confianza, hoy hay poca gente en el país que está técnicamente preparada para cosas así. ¿En quién tenemos que confiar? Hay aspectos que no veo que se estén teniendo en cuenta y que pueden llevar a que las firmas y las claves se puedan quebrar. Hay que armar algo que cubra de una forma sensata todos los aspectos”, remató Scolnik, quien culminó su presentación con una bonita imagen de la pantera rosa.

Ante tales acusaciones, directamente dirigidas a la ONTI, Canal AR dialogó con Achiary, quien señaló: “Toda nueva tecnología lleva implícitos riegos de seguridad en sentido amplio, pero yo creo que el tránsito de la humanidad hacia medios electrónicos no tiene vuelta atrás, independientemente de los problemas de seguridad que implica, que por otro lado, no creo que sean mayores de los que tenemos hoy con el papel y la lapicera. Obviamente, no hay que minimizar los riesgos y utilizar los procedimientos de seguridad adecuados. Ahora, es necesario entender que el concepto de seguridad nunca es absoluto. Hay que encontrar un justo medio. Cuanto uno más sabe, más conoce los peligros que tiene. Pero para la mayoría de la población, lo más importante del tema es saber cómo funciona la firma digital y saber qué se debe hacer para usarla sanamente. Es una lucha constante, como dijo Hugo Scolnik donde a medida que surgen nuevas tecnologías, surgen nuevas formas de ataque, y simplemente hay que saber cómo defenderse”.

-¿De qué forma se está trabajando en la ONTI para garantizar la seguridad?

- Nosotros en materia de seguridad informática, tenemos un grupo que trabaja dentro de la competencia del Estado nacional y que da apoyo a los organismos dándoles modelos de políticas de seguridad e información relacionada con la seguridad, alertas sobre ataques y asistencia técnica en general. O sea que estamos al tanto de cuál es la problemática. Y en materia de firma digital, tenemos un grupo de expertos que conoce el tema, pero además contamos con el apoyo de la comisión asesora, formada por gente de formación multidisciplinaria, que nos mantienen alerta de los problemas que pueden ir surgiendo, de vulnerabilidades de la tecnología, etc. O sea, hay que estar atentos a lo que pasa en el mundo y nosotros estamos atentos a eso, y además reforzados por la comisión asesora.

- ¿Qué infraestructura tecnológica se va a utilizar?

- La infraestructura tecnológica que vamos a usar es una infraestructura usada y probada a nivel mundial. Equipos criptográficos que no pueden ser violados, en los que se generan firmas en el propio equipo, los denominados HSM. Y en materia de software, vamos a utilizar el OpenCA que es un software de código abierto que es ampliamente usado a nivel mundial. Nosotros estamos dentro de los estándares mundiales.