17-03-2025
Arquitectura Legal Digital
Para asegurarse que uno está visitando el sitio correcto se suele mencionar que se debe revisar el candado que está asociado a un certificado digital. Este certificado es lo mismo que una firma pero valida que el dominio sea realmente el que dice ser y no de un tercero. Uno puede clonar un sitio web pero el certificado carecerá de validez puesto que está registrado con otro ente. Creo que todos más o menos entendemos eso. Como siempre el diablo está en los detalles.
Cuando diseño la verificación de documentos no es necesario que el dominio sea exactamente el mismo que estamos acostumbrados, por poner un ejemplo tomemos un certificado de antecedentes del registro civil y en vez de usar el dominio completo registrocivil.cl/validaciones... podemos inscribir un dominio de tipo validacionesregcivil.cl/validaciones o incluso un dominio de alto nivel distinto al cl. Son muy pocas las personas que recibiendo un documento del tipo certificado digital no solo hagan clic o copien y peguen la url en el navegador sin pensar nada de mal ante la pequeña diferencia.
Y se lo que dirán algunos, pero el certificado digital no será válido, y si, si lo será. Hoy casi todos los sitios permiten incorporar certificados digitales a sus dominios para poder transferir datos de modo seguro, o encriptados y no realmente para validar identidad de dominio. Nuestro Frank Abagnale bien puede registrar un dominio y utilizar el certificado que viene por defecto para obtener el candado de seguridad.
Conocer quienes son los que nos brindan esa seguridad de encriptación y el dominio que valida en efecto puede cumplir la misma medida de seguridad. Podemos decir que si una de las empresas autorizadas por la cámara de comercio o la propia entidad gubernamental que entrega firmas digitales creara un certificado web autorizado, todos podríamos abrir las propiedades y ver que el certificado corresponda con la institución asumiendo que la entidad no emitirá un certificado a otras instituciones haciéndose pasar por esta. ¿Y entonces por qué no es así?
Los certificados web suelen traspasar las barreras fronterizas, muchos dominios son hospedados fuera de Chile y los visitantes provienen de todo el mundo. Las instituciones que más experiencia cuentan en seguridad son norteamericanas, como la famosa e-sign. Introducir un certificado de raíz web toma tiempo y que todos los navegadores populares lo reconozcan como un certificado legítimo puede ser costoso. Este es el mismo problema que tenemos cuando queremos usar una firma para certificar una casilla electrónica, como nadie tiene incorporados los certificados de raíz de las entidades autorizadas nacionales, es más atractivo utilizar certificados de aquellas que si están incorporadas.
¿Cuál es la diferencia entre eso y la firma incorporada en el certificado? Existe una diferencia marcada y sencilla que permite a todos validar por si mismo la autenticidad de cualquier certificado firmado digitalmente, la autoridad que firma el certificado suele ser un funcionario activo de la institución, por ejemplo en registro civil es Victor Rebolledo Salas, mientras que para la CMF se espera que sea Solange Berstein Jáuregui o Eduardo Oñate Escalona Director General de Tecnologías de la Información, nunca autofirmados.
|
