| Artículos
> Nueva Economía >
Seguridad y propiedad intelectual
© Copyright de este texto Certificados de seguridad online: se vende confianza La obsesión por la seguridad en la Red a todos los niveles ha encontrado en las diferentes legislaciones sobre firma digital su ámbito natural de desarrollo normativo. Sin embargo, su incorporación a las prácticas habituales de las empresas y los consumidores todavía es escasa. Las entidades que emiten certificados de seguridad en España están abriendo lentamente un camino que promete un negocio potencial rentable, pero difícil por lo abstracto de un producto que lo que vende es confianza. Abril 2001. En septiembre de 1999 se aprobó la ley sobre la firma electrónica, que convirtió a España en uno de los países más avanzados en la regulación al respecto. Sobre el papel, la norma establecía las condiciones de seguridad exigibles para un uso fiable de la identidad digital, y determinaba la creación de un registro de las entidades habilitadas para expedir certificados de seguridad. Hasta la fecha, el Ministerio de Justicia, ente encargado de la puesta en marcha de este registro, todavía no lo ha iniciado, aunque según Ignacio Alamillo, responsable del área legal y consultoría de la Agencia de Certificación Electrónica (ACE), una de las compañías que emiten certificados de seguridad, "no es necesario. El Real Decreto prevé que exista, pero la mera solicitud de inscripción en él, aunque no esté operativo, basta para iniciar la actividad". En definitiva, y a la espera de que se establezca este registro, los certificados que emiten estas empresas no son ilegales, sino que en caso de conflicto deberían justificar ante un juez la corrección de sus procesos. De hecho, ya están funcionando en este sentido, además de ACE, Camerfirma, servicio de certificación digital de las cámaras de Comercio, Industria y Navegación; la Fábrica Nacional de Moneda y Timbre, que ha desarrollado diversas iniciativas de la Administración a través del Proyecto Ceres; Feste, vinculado al Consejo General del Notariado, y la empresa Ipsca (Internet Publishing Services of Certification Authority). Dos niveles de servicio de seguridad Ya en la propia ley sobre firma electrónica se estipula la diferencia entre las autoridades de registro y las autoridades de certificación. Juan Luis Iturralde, responsable de marketing de Camerfirma, explica que las primeras "estudian la documentación del usuario final y certifican su identidad", mientras que las segundas son las que propiamente emiten el certificado a la empresa o usuario que lo solicita. En este sentido, Ignacio Alamillo señala que hay que diferenciar entre los proveedores de la tecnología que establece la seguridad y los de servicios relacionados con ella. ACE, en virtud de su acuerdo con el gigante mundial de la seguridad Verisign, se define como proveedor tecnológico: "Facultamos a empresas para convertirse en autoridad de certificación para sus empleados, proveedores, clientes y cualquiera que se relacione con ella. Contamos con un centro de proceso virtual en el que el cliente contrata un determinado número de licencias para usuarios activos a los que él mismo puede certificar. En definitiva, certificamos al certificador". Por su parte, Juan Carlos Pascual, director técnico de Ipsca, señala que su compañía "es autoridad de certificación y de registro, pero además ofrecemos otros servicios como formación, consultoría, contratación online, verificación de firma, etc.". En este servicio integral de seguridad la empresa se vale de tecnología propia, de estándares internacionales y de aportaciones de compañías como Microsoft o Safelayer. Pero, ¿qué es la firma digital? Autenticación del firmante, integridad del documento y garantía de no repudio. Estos son los ejes de la firma electrónica, los objetivos que persigue este sistema de seguridad basado en unos sistemas de encriptación que exigen la existencia de una clave secreta del usuario, de otra pública que lo identifique y de un agente externo, la autoridad de certificación, que garantice la fiabilidad de esas dos claves. La clave pública, o PKI, debe ser conocida por todo el mundo y, por tanto, todos podrán utilizarla. La clave privada únicamente debe ser conocida por el usuario. Para cifrar un fichero se utiliza la clave pública del destinatario y sólo este, con su clave privada, podrá descifrarlo. En el caso de la firma electrónica o digital, un usuario que conoce la PKI de otro quiere recibir de éste un texto firmado. Aunque un tercero intente manipular el texto, el receptor detectaría, al verificar la firma, que el texto recibido no es el mismo. Además, podría probar ante terceros que el documento que tiene en su poder ha sido enviado por el emisario y éste no podría negarlo (no repudio). Gracias a que conoce su clave pública puede verificar que la firma del texto es correcta. Ipsca señala que la aplicación de la firma electrónica a las comunicaciones y procesos de negocio permite obtener, entre otros, los siguientes beneficios: Ahorro en los costes de gestión. La gestión de la información en soporte electrónico permite reducir gastos. Agilización de las operaciones. La rapidez en el transporte e intercambio de información es mayor. Ventajas en el almacenamiento de datos. Se concretan en una mayor efectividad en su tratamiento y en la reducción del coste que conlleva esta parte del proceso. Vinculación del documento con su firmante. El emisor del documento (que puede ser una orden de compra en un comercio virtual) no puede negar su autoría, ya que la firma electrónica tiene la misma validez legal que la manuscrita. Inalterabilidad del documento. La modificación no es posible, ya que el receptor la detectaría al descodificarlo. La competencia entre certificadoras Para Juan Luis Iturralde, de Camerfirma, la competencia entre entidades certificadoras se traduce en una especialización: "Cada uno certificará lo que ya hacía en el mundo real. Así, la Fábrica Nacional de Moneda y Timbre se encargará del DNI y otras cuestiones oficiales, nosotros del B2B, los colegios profesionales de sus colegiados, etc.". En el mismo sentido se manifiesta Juan Carlos Pascual, de Ipsca, para el que "la diferencia principal entre cada uno es el enfoque del negocio. En nuestro caso, centramos nuestra actividad en la pequeña y mediana empresa". Ignacio Alamillo, por su parte, afirma que "la confianza en cada uno la genera la propia imagen de marca". Asegura que "los grandes jugadores que mueven el negocio de la certificación son la banca y las operadoras telefónicas, que crean sistemas con reglas comunes". A partir de ahí, se establece la competencia entre quienes ofrecen la tecnología y entre los que ofertan servicios de seguridad. En este sentido, señala que su competencia no es, por ejemplo, Camerfirma, sino la firma que le suministra la tecnología, Safelayer. Tendencias optimistas En cuanto a la aceptación de estos sistemas de seguridad por parte de la empresa española, Alamillo se muestra optimista, aunque cauto: "El mercado está empezando a emerger, y como todo en Internet, el avance inicial puede ser muy rápido. Hasta ahora las grandes inversiones que hemos realizado han tenido un retorno adecuado, y pensamos que habrá un mercado emergente para dos ó tres años". De hecho, sus previsiones indican que la facturación de 2000 (que la empresa no facilita) se podrá multiplicar hasta por 10 este año. Artículos > Nueva Economía > Seguridad y propiedad intelectual |