Plumas NCC | Firma electrónica y Blockchain

Por: Rodolfo Guerrero Martínez (México).

La firma electrónica representa una herramienta fundamental en el marco de las tecnologías de la información y comunicación, entendiendo entre principales atributos la seguridad, eficiencia, validez jurídica, disminución de tiempo y gasto económico, así como la obligatoriedad que representa para los actos desempeñados por toda persona física o moral entorno a sus actividades en los entornos digitales. 

En ese sentido, resulta importante hacer reconocimiento de una serie de hitos para la firma electrónica en México y a nivel internacional, comenzando por los años 2000, el 29 mayo, tras la publicación en el Diario Oficial de la Federación (DOF) del decreto por el cual se reformo el Código Civil Federal, el Código Federal de Procedimientos Civiles y el Código de Comercio y con ello poder legislar en materia de comercio electrónico y la utilización de medios electrónicos y tecnológicos como una forma para manifestar la voluntad de los contratantes. 

Posteriormente, en el año 2001 a nivel internacional se aprobó por la Asamblea de las Naciones Unidas la Ley Modelo sobre las firmas electrónicas de la Comisión de las Naciones para el Derecho Mercantil Internacional (CNUDMI), donde se recomienda a todos los países de la ONU adaptar sus legislaciones conforme a dicha ley modelo. 

Como tercer acontecimiento, ubicamos la reforma hecha en materia de firma electrónica al Código de Comercio el 29 de agosto del año 2003, por medio de la cual añade reglas claras y detalladas respecto a la firma electrónica, la avanzada, prestadores de servicios de certificación, entre otros. 

Ahora bien, en la actualidad resaltamos la necesidad de la incorporación de nuevos mecanismos tecnológicos para la firma electrónica como blockchain o de la cadena de bloques en aras de proteger la identidad digital de las personas.

Esto a través, por ejemplo, de una seguridad mejorada producto de la estructura descentralizada e inmutabilidad; de transparencia y verificación (autenticando documentos sin la necesidad intermediarios); y de interoperabilidad que reduzca el reconocimiento de firmas electrónicas entre distintas jurisdicciones mediante la creación de un estándar. 

En el presente artículo (1) abordaremos los tipos de firma electrónica, su marco jurídico, además de realizar una breve propuesta en materia de blockchain para el mejoramiento de los procesos de identificación de los usuarios, así como de seguridad digital. 

Tipos de firma electrónica

En primera instancia localizamos la firma electrónica avanzada (FEA), que se genera utilizando una herramienta criptográfica, por ejemplo la e.firma del Servicio de Administración Tributaria (SAT), que se compone de un certificado público y una llave privada.

La e.firma y las herramientas equivalentes son generadas por entidades llamadas Prestadores de Servicios de Certificación (siendo el SAT una de ellas), siguiendo un riguroso proceso de verificación de identidad y datos biométricos como se detalla en el artículo 97 del Código de Comercio. 

Es precisamente la rigurosidad de este proceso la que confiere a las firmas avanzadas generadas utilizando estas herramientas el más alto nivel de solidez jurídica.

Por otra parte, ubicamos la firma electrónica simple (FES), aquella que cumple con los requisitos del artículo 89, pero no los requisitos adicionales del artículo 97 del Código de Comercio, es considerada una firma simple.

‍Para que sea considerada una FES es necesario que exista un intercambio de claves y contraseñas secretas durante la firma del documento, ejemplos de esto son:

(I) Ingresar un usuario y contraseña;

(II) Códigos de un solo uso generados por un “token”, por ejemplo, una aplicación móvil de banco que genera un código único para transacciones.

(III) Uso de una llave privada que está bajo el exclusivo control del firmante.

Y por supuesto, en tercer término, tenemos la firma autógrafa digitalizada, que surge cuando se dibuja con un dedo o lápiz electrónico en un celular o una computadora / tableta. Muchas de las plataformas de firma electrónica internacionales utilizan este tipo de firma.

Marco jurídico de la firma electrónica en México

Iniciamos con el Código de Comercio, publicado en octubre del año 1889 y reformado el 28 de diciembre del año 2023 que considera las firmas electrónicas por medio del título II Del Comercio Electrónico de los artículos 89 al 272, destacando lo siguiente: En los actos de comercio y en la formación de los mismos podrán emplearse los medios electrónicos, ópticos o cualquier otra tecnología. Para efecto del presente Código, se deberán tomar en cuenta las definiciones de (I) firma electrónica; (II) firma electrónica avanzada o fiable; y (III) prestador de servicios de certificación.

Con respecto a la firma electrónica se mencionan los requisitos para ser apreciada como avanzada o fiable en las fracciones del artículo 97

I. Los datos de creación de la firma, en el contexto en que son utilizados, corresponden exclusivamente al firmante;

II. Los datos de creación de la firma estaban, en el momento de la firma, bajo el control exclusivo del firmante;

III. Es posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y

IV. Respecto a la integridad de la información de un mensaje de datos, es posible detectar cualquier alteración de ésta hecha después del momento de la firma.

En cuanto, a la Ley de Firma Electrónica Avanzada publicada en el DOF el 11 de enero de 2012 -teniendo su última reforma el 20 de mayo del año 2021- contiene en su artículo 2 diferentes conceptos relevantes como:

Autoridad Certificadora (fracción IV): las dependencias y entidades de la Administración Pública Federal y los prestadores de servicios de certificación que conforme a las disposiciones jurídicas, tengan reconocida esta calidad y cuenten con la infraestructura tecnológica para la emisión, administración y registro de certificados digitales, así como para proporcionar servicios relacionados con los mismos;

Certificado Digital (fracción V): el mensaje de datos o registro que confirme el vínculo entre un firmante y la clave privada; 

Clave Privada (fracción IV): los datos que el firmante genera de manera secreta y utiliza para crear su firma electrónica avanzada, a fin de lograr el vínculo entre dicha firma electrónica avanzada y el firmante; 

Clave Pública (fracción VII): los datos contenidos en un certificado digital que permiten la verificación de la autenticidad de la firma electrónica avanzada del firmante; 

Datos y elementos de identificación (fracción VIII): aquéllos que se encuentran considerados como tales en la Ley General de Población y en las disposiciones que deriven de la misma; y

Documento Electrónico (fracción X): aquél que es generado, consultado, modificado o procesado por medios electrónicos.

Finalmente, establecemos la labor de parte de los prestadores de servicios de certificación (PSC) que son personas o instituciones públicas que proporcionan servicios con firmas electrónicas, emisión de certificaciones digitales, constancias de mensajes de datos, sellos digitales de tiempo y digitalización de documentos en soporte físico, que a su vez pueden fungir como terceros legalmente autorizados conforme a la Norma Oficial Mexicana NOM 151-SCFI-2016, requisitos observables para la conservación de mensaje de datos y digitalización de documentos. 

Aplicación de Blockchain en materia de firma electrónica avanzada

Recordemos que la firma electrónica avanzada es un conjunto de datos y caracteres que permite la identificación del firmante, que ha sido creada por medios electrónicos bajo su exclusivo control, de manera que está vinculada únicamente al mismo y a los datos a los que se refiere, lo que permite que sea detectable cualquier modificación ulterior de éstos, la cual produce los mismos efectos jurídicos que la firma autógrafa (Art. 2 Fracción XIII de la Ley de Firma Electrónica Avanzada).

Sin embargo, existe problemáticas que resultan prominentes sobre las bondades que se deberían presentar para las firmas electrónicas, debido a las plataformas digitales que brindan dichos servicios, iniciando por el desconocimiento de la ciudadanía en su correcto uso; añadiendo la ausencia de e.firma (que otorga cierto nivel de seguridad) para el firmado de contratos; y ante la crisis de plataformas que presenten mecanismos los cuales respalden y certifiquen su proceso de firmas -esto al no facilitar el copy-paste de imágenes con firmas, por ejemplo-, de lo contrario nos advierte su bajo o nulo nivel de confiabilidad. 

Ahora bien, bajo lo precedente y de acuerdo con la Ley de Firma Electrónica Avanzada encontramos diversas características, las cuales resaltaremos por medio de la propuesta de aplicación con blockchain (poniendo en relieve lo desarrollado por la empresa tecnológica mexicana SEIF –seif.io-) para cada una a continuación:

(1) Funcionalidad: Efectivamente satisface el requisito de la firma autógrafa y dicha firma corresponde exclusivamente al firmante (igualmente aplicable a la firma electrónica simple). En ese sentido, SEIF genera una firma en base a los documentos de identidad, email, teléfonos y biometria de una persona, y para usarla debe de hacer una validación de su identidad para que corresponda con estos datos verificados de él.

(2) Autenticidad: Permite evidenciar que el firmante del documento electrónico es quien dice ser. Esto se puede garantizar, por ejemplo, con la confirmación de tokens, IPs, documentos de identificación, etcétera. Respecto a la activación de la firma de SEIF es necesario que el usuario se identifique y se compruebe su identidad, basada en sus documentos previamente verificados por la empresa.

(3) Integridad: Permite garantizar por medios tecnológicos que el contenido del documento no se ha alterado después de firmado. Justamente, el sistema de encriptación con tecnología blockchain, genera una combinación alfa-númerica única basada en el contenido que ha sido encriptado, esto quiere decir que esta combinación de caracteres corresponde al archivo y conjunto de contenido; ya sean imágenes, cada coma, cada punto, cada pixel, por lo que si se altera un pixel, un punto, una coma, cualquier cosa, esto cambiaría está llave de encriptación única generada basada en el contenido original. Y cómo un doble factor de seguridad está clave alfa-númerica es almacenada en una red distribuida o blockchain que garantiza que no puede ser alterada por nadie.

(4) Neutralidad: La firma electrónica utiliza certificados digitales y no excluye o restringe autoridades certificadoras. La firma electrónica de SIEF usa certificados digitales generados por la tecnología blockchain que nos garantizan que todos los eventos que registramos tienen el sello de tiempo que usa una red de blockchain en la que no pueden ser alterados la secuencia de eventos, la temporalidad, así como la integridad en conjunto de un documento o evento.

(5) No repudio: Asegura que el emisor del documento no puede negar la autoría del contenido firmado. Como resultado de la utilización de la tecnología blockchain, todos los eventos que son registrados y certificados no pueden ser repudiados, empezando por la plena identificación y verificación de los usuarios, así como sus vistos buenos y acciones alrededor de un evento, todo queda registrado con su respectivo sello de tiempo, así como la validación de las llaves criptográficas de cada participante.

(6) Confidencialidad: Garantiza que solo el firmante es capaz de consultar el contenido de un documento. El mecanismo de SIEF es único, debido a que a diferencia de otros sistemas blockchain, permiten la confidencialidad mediante un sistema denominado Zero Knowledge Proof que facilita al administrador o cada usuario poder determinar quién puede ver qué información, de acuerdo con niveles, un sistema de jerarquías o la voluntad personal de cada usuario.

En suma, una de las exigencias más relevantes en materia de firmas electrónicas avanzadas es la existencia de un certificado digital, que representa un mensaje de datos encriptados los cuales podrán descifrarse mediante dos claves: la del firmante (clave privada) y del certificado (clave pública).

En esa lógica, la propuesta compartida líneas arriba, donde se enfatizan los mecanismos de la tecnología blockchain por parte de la empresa SIEF, establece la transacción entre clave pública y privada en armonía con la exigencia de la tecnología del cifrado, además de brindar mayor seguridad al tener un certificado y firma propietarios blockchain, por ejemplo. 

Notas

(1) El presente artículo será publicado próximamente en su versión ampliada en una revista académica. 

(2) GUERRERO MARTÍNEZ, Rodolfo. Xela y Guatemala 4.0: Hacia una transformación digital, 2023. Véase en: https://goo.su/nGC1U

(3) GUERRERO MARTÍNEZ, Rodolfo. Los Smart contracts desde una perspectiva tecnológica, 2023. Véase en: https://goo.su/KJXC