Documente Academic
Documente Profesional
Documente Cultură
Octubre de 2009 C1
C Sistemas Administrativos
C2 Octubre de 2009
Sistemas Administrativos C
mación actualizada acerca de los trámites b) El establecimiento de convenios que ha-
y procedimientos a su cargo; informarán a gan factible el intercambio electrónico
los ciudadanos de las condiciones tecno- seguro de información y documentos "Notamos que se adicionan
lógicas para el acceso a los servicios elec- obtenidos de los ciudadanos, entre las una serie de exigencias −muy
trónicos seguros; brindarán las garantías entidades encargadas de su archivo y necesarias− para incorporar
para un comunicación segura; admitirán las entidades interesadas, con el propó-
el uso de la firma digital en la
la recepción de documentos firmados di- sito de suprimir su reiterada solicitud.
gitalmente emitidos por las entidades de c) La puesta a disposición de los ciudada- gestión pública a nivel nacio-
certificación, registro y verificación com- nos de sus servicios empleando firmas nal. Habrá que superar una
petentes; contarán con una red de puntos digitales, certificados digitales y cana- serie de limitaciones, pero
de acceso a nivel nacional a través de los les seguros que se encuentren dentro
destacamos el esfuerzo legis-
centros de acceso ciudadano; implemen- del ámbito de la Infraestructura Oficial
tarán los procedimientos necesarios para de Firma Electrónica. lativo para facilitar el acceso
los ciudadanos que no cuenten con el d) La protección del derecho a la intimi- del ciudadano a los servicios
conocimiento de la tecnología necesaria dad y a la confidencialidad de las co- del Estado con el aprovecha-
para sus transacciones electrónicas que municaciones dentro de lo establecido
podrán acceder a través de un notario que para tales efectos por la Norma Marco
miento de las TIC".
cuente con Diploma de Idoneidad Técnica, sobre Privacidad.
para lo cual el ciudadano deberá identifi- e) El empleo de la dirección oficial de co- • Un identificable contexto de creación.
carse ante el depositario de la fe pública rreo electrónico cuando dicho servicio • La participación de: autor (la persona
y prestar su consentimiento expreso, de- sea implementado. En cumplimiento de responsable de emitir el documento,
jando constancia de ello para los casos de lo establecido en el presente artículo, las un destinatario (la persona a quien el
discrepancia o litigio; y deberán aplicar los entidades de la Administración Pública documento ha sido dirigido); el escri-
criterios de usabilidad establecidos por la que brinden el servicio de Sistema de tor (persona responsable de la arti-
Autoridad Administrativa Competente. Intermediación Digital deberán acredi- culación del contenido);el originador
Como constatamos se trata de un tarse ante la Autoridad Administrativa (persona asignada con una dirección
buen número de exigencias que las en- Competente como Prestador de Ser- electrónica donde el documento ha
tidades públicas deberán cumplir para vicios de Valor Añadido para el Estado sido generado – enviado o reunido y
situarse ventajosamente en lo que la Ley Peruano. conservado – ; y el creador (la persona
señala, adicionalmente los recursos presu- donde existe el fondo o documentos
puestales serán fundamentales para ese Notamos que se adicionan una serie de de archivo); una acción, en la que el
cometido. exigencias −muy necesarias− para incor- documento es parte, sostiene el pro-
Sobre la adecuación de los procedi- porar el uso de la firma digital en la gestión cedimiento o como parte de las deci-
mientos y trámites administrativos por pública a nivel nacional. Habrá que superar siones de un proceso.
medios electrónicos seguros, el Artículo una serie de limitaciones, pero destacamos
44º exige poner especial atención en: el esfuerzo legislativo para facilitar el acceso Para la complejidad de los sistemas
a) La creación y mantenimiento de ar- del ciudadano a los servicios del Estado con digitales los principales problemas son
chivos electrónicos para el almacena- el aprovechamiento de las TIC. Sin embargo la forma fija y contenido estable, en ese
miento y gestión de los documentos es necesario incidir en la creación y mante- sentido:
electrónicos generados durante los nimiento de documentos electrónicos au- • Cuando un documento es conservado
trámites y procedimientos públicos: ténticos porque sustentarán los derechos en varias presentaciones documentales
recepción y envío de solicitudes, escri- de los administrados y del Estado. Para ello (word ó de word a pdf) se decide, des-
tos y comunicaciones. Las entidades de nos referiremos a uno de los hallazgos de de la valoración del documento, si se
la Administración Pública, mediante investigación del Proyecto InterPARES con guarda en una o más manifestaciones,
convenios de colaboración, podrán ha- sede en The University of British Columbia, se toma la decisión cuando se identifi-
bilitar sus respectivos archivos electró- Vancouver, Canadá, liderado por Luciana ca como un documento indicando su
nicos para la recepción de solicitudes, Duranti, su directora, donde se viene traba- periodo de retención.
escritos y comunicaciones de compe- jando desde el año 1999 a la fecha sobre la • Un documento es estable cuando no ha
tencia de otra entidad, según lo esta- autenticidad del documento electrónico y sido alterado, pero hay que considerar
blecido en el convenio. Los sistemas su preservación a largo plazo. Apoyándose una variabilidad dentro de lo posible:
informáticos encargados de la gestión en la Diplomática el Proyecto ha identifica- cuando el usuario tiene diferentes ver-
de los archivos electrónicos emitirán do las siguientes características: siones del documento, por intención
automáticamente un acuse de recibo • Una forma fija y estable del documento del autor o por los diferentes sistemas
o cargo electrónico consistente en una electrónico. operativos o aplicaciones
copia autenticada del escrito, solicitud • Su vinculación con otros documentos En lo que se refiere a la presunción de la
o comunicación, incluyendo la fecha y dentro del sistema digital a través de autenticidad, Luciana Duranti destaca que
la hora de presentación y el número de códigos de identificación u otro único ésta se encuentra basada en la confianza
ingreso al archivo. identificador. de su creador y que una legítima cadena
Octubre de 2009 C3
C Sistemas Administrativos
ininterrumpida de custodia a largo plazo garantías de seguridad de la firma digital porque no se ha garantizado la verifi-
no es posible, porque se presentan cons- que naturalmente la legislación no puede cación de la firma digital a lo largo del
tantes riesgos debido a manipulación, atender per se, en tanto no se trata de un tiempo, el hecho es que se requiere que la
vulnerabilidad y fragilidad, especialmente vacío normativo sino de adicionar otros firma haya sido satisfactoriamente verifi-
cuando se transmite a través del espacio y elementos para el uso de la firma digital. cada.(8)
cuando son migrados por la obsolescen- MoReq 2 señala algunos requisitos para la No queremos dejar de resaltar el con-
cia (InterPares1). La autenticidad debe ser aplicación de la firma digital (firma avan- tenido del artículo 44 del Reglamento, es-
verificada, en tanto no es posible preser- zada) como parte de un SGDEA que es tos son:
var documentos de archivo digitales sino donde debe actuar. Entre los ‘obligatorios’ a) La creación y mantenimiento de archi-
la habilidad para reproducirlos(5). destacamos: vos electrónicos para almacenamiento
En este contexto la firma digital viene a. El SGDEA debe ser capaz de verificar si y gestión.
a ser un medio de declaración de la au- la captura de la firma digital al tiempo b) La firma de convenios con otras en-
tenticidad del documento en un punto de la captura del documento electró- tidades de la Administración Pública
específico en el tiempo y por una persona nico está asociada a éste con un cer- para habilitar archivos electrónicos de
jurídica dotada de autoridad para hacer tificado y se mantienen los detalles competencia de otra entidad. Se emite
esta declaración, que se inserta en el do- relacionados con la certificación del acuse de recibo electrónico que es co-
cumento para atestiguar su autenticidad. proveedor del servicio. pia autenticada del escrito presentado,
Las firmas digitales pueden soportar la au-
tenticación, pero no son suficientes para
establecer la identidad y demostrar la
A
No siempre será posible tener mas tarde
esta información en el tiempo.
b. Debe ser posible la configuración de los
con fecha y hora de presentación y nú-
mero de ingreso.
c) La puesta a disposición de los ciudada-
integridad de un documento electrónico roles administrativos del sistema, cada nos de sus servicios empleando la firma
a largo plazo(6), ergo, primero habrá que configuración en el tiempo o después digital, certificados digitales y canales
garantizar la autenticidad de éste y luego de la fecha guardará la verificación de seguros que se encuentren dentro del
proceder a su autenticación mediante la los metadatos de los documentos fir- ámbito de la Infraestructura de Firma
firma digital. De otro lado, debemos tener mados electrónicamente, incluyendo Digital.
en cuenta que los software para el docu- la clave pública, con el documento al d) La protección del derecho a la intimi-
mento electrónico y la firma digital no son tiempo de la captura en alguna de las dad y confidencialidad.
los mismos, éste último es un componen- siguientes maneras: e) El empleo de dirección oficial de correo
te digital más del documento electrónico, − El hecho del suceso de verificación electrónico cuando dicho servicio sea
por lo que no hay garantía de que pueda − Especificar la información solicitada implementado.
preservarse en el largo plazo pues el soft- para la verificación del proceso.
ware de firma digital tiene una vida muy − Todos los datos de verificación De conformidad con el artículo 4º
corta. Esto es esencial aunque no siempre del Reglamento los documentos firma-
Tal como lo prevé el Reglamento de será posible recrear más tarde esta dos digitalmente deberán ser admitidos
la Ley Nº 27269, existe la posibilidad de información en el tiempo. en los procedimientos administrativos
que las claves privadas sean utilizadas por c. Cuando capturamos un mensaje de siempre que la firma digital haya sido
terceros (Artículo 15º inciso c); otro peli- e-mail el SGDEA debe posibilitar su autorizada utilizando un certificado
gro es que al paso del tiempo quien tiene captura automática y preservar como emitido por una Autoridad de Certifi-
un documento con firma digital no pue- metadato los detalles acerca del proce- cación acreditada en cooperación con
da abrirlo por la falta de las claves. Cabe so de verificación de una firma electró- una entidad de Registro y Verificación
preguntarse, como lo hace InterPARES: nica incluyendo: acreditada, además deberá aplicarse
¿cuáles son las implicancias del uso de la i. El hecho de que la validez de la fir- un software de firmas digitales acredi-
firma digital para la gestión de documen- ma fue chequeado. tado ante la autoridad Administrativa
tos electrónicos auténticos a largo plazo? ii. La identificación individual del ini- competente. De cumplirse todas estas
¿el largo plazo impedirá su implantación? cio del chequeo. especificaciones estaremos ante un
¿qué adaptaciones y extensiones específi- iii. El certificado de usuario documento firmado digitalmente con
cas serían necesarias? La autoridad de una iv. La serie de números de certificados todas las garantías de validez que fran-
firma digital depende de la existencia de electrónicos, verificando la firma. quea la ley. Se garantiza entonces, el ‘no
una infraestructura de clave pública (PKI), v. La certificación del proveedor del repudio’ pero solo al documento indivi-
la eficacia de ésta depende de la continui- servicio con el cual la firma ha sido dual no a todos los que conforman un
dad de la cadena de confianza por las au- validada. documento compuesto, a tenor del se-
toridades de certificación, entonces ¿qué vi. El dato y tiempo en que el chequeo gundo párrafo del mismo artículo, por
mecanismos hay o debieran haber para ocurrió. tanto, cuando se trata de un expediente
garantizar la continuidad de la cadena de Esto es esencial, pero igualmente no habrá que considerar la firma por cada
confianza en el caso de que una de esas siempre es posible tener esta informa- uno de los documentos individuales
organizaciones deje de existir?(7). ción, por el cambio de software, porque que lo conforman. La pregunta es: ¿Qué
Será necesario contemplar algunos expira el certificado o porque las autori- pasa cuando tenemos una resolución,
métodos que nos permitan apoyar las dades externas pueden dejar de existir; informe de una comisión, o cualquier
C4 Octubre de 2009
Sistemas Administrativos C
otro documento que además de la fir- el ejercicio del voto electrónico primor- vinculación del titular de la firma con el
ma de quien los autoriza demanda las dialmente no presencial en los procesos documento que se firma.
visaciones(9) de otros funcionarios? El electorales. La norma puntualiza algunas exi-
documento deberá contar con la firma En cuanto a la seguridad, aparte de gencias para la conservación de los
digital de todos los funcionarios por- las indicadas por la Infraestructura de Fir- documentos electrónicos, en tal virtud
que la ley no contempla las visaciones ma Digital, conviene que los funcionarios convendría trabajar los requisitos ar-
las que deberán tratase como firma di- públicos adopten una serie de medidas chivísticos o técnicos tal como lo han
gital. Este tipo de documentos deberá para proteger su firma digital, como al- hecho diversos países en Norteamérica,
adaptarse a un SGDEA que contemple macenarla en la computadora de su uso Europa y en esta parte del continente
el mecanismo necesario para llenar el personal con todas las precauciones que Brasil. Experiencias al respecto hay mu-
vacío normativo. No obstante, algunas impidan el acceso de terceros no autoriza- chas, como las investigaciones de Inter-
entidades buscan soluciones como la dos, es más no deberán autorizar a nadie PARES o MoReq 2(11). Asimismo es nece-
llamada Firma Visto Bueno que es la el uso de su firma en tanto no provenga sario precisar que los Centros de Acceso
firma digital configurada como un tipo de una orden que se evidencie claramen- al Ciudadano para interactuar con los
de firma adicional, que corresponderá a te, para evitar que alguien utilice su firma administrados (artículo 51) podrán en-
cada uno de los firmantes responsables usurpando no solo a la persona sino a la cargarse del archivo y almacenamiento
de revisar y dar Visto Bueno al Docu- función que cumple en nombre del Esta- de documentos electrónicos provenien-
mento Consolidado(10), como no está do peruano. Existen empresas que ofre- tes de los administrados y dirigidos a
dentro de la Ley, entiéndase como fir- cen los servicios de seguridad pertinen- diversas entidades públicas, asumiendo
mas digitales las que serán tantas como tes, lo mismo deberá hacer el ciudadano una gran responsabilidad en la conser-
visaciones sean necesarias. que utilice su DNIe. vación de esos documentos que son
El artículo 41º señala los principios El reglamento casi imperativamente prueba de la gestión realizada por cada
generales de acceso a los servicios establece en la Cuarta Disposición Com- uno de los ciudadanos que soliciten sus
electrónicos seguros, según el nume- plementaria Final (otorgó el plazo de 6 servicios. Estos centros deberán esme-
ral 41.4. Principio de seguridad en la meses para que la entidades se adecuen rar la preservación de los documentos
implantación y utilización de medios a la norma y ofrezcan los servicios de los electrónicos para los administrados y el
electrónicos para la prestación de ser- ciudadanos por medios electrónicos) el Estado mismo.
vicios de gobierno electrónico, se exi- uso de la firma digital o electrónica, esta
girá a las entidades de la Administra- última debe gozar de características si- v. Garantías de validez y seguri-
ción Pública el respeto a los estánda- milares a la digital y ser reconocida por dad de la firma digital
res de seguridad y requerimientos de RENIEC para su reconocimiento legal.
acreditación necesarios para poder do- Aun para el país es un sistema caro que Según Filip Boudrez: “La validación
tar de respaldo tecnológico y presun- posiblemente la administración pública de los documentos digitales por medio
ción legal suficiente a las operaciones con los escasos recursos presupuestales de una firma digital se corresponde con
que realicen por medios electrónicos, que por largos años se mantiene en aus- la autenticación o la demostración de
según lo establecido para tales efectos teridad no pueda sostener, por lo que autenticidad (…) La autenticidad de un
por la Autoridad Administrativa Com- habrá que esperar su implementación documento no solamente puede ser ex-
petente. En tal virtud las entidades que progresiva. No solo hay que considerar hibida si la identidad del documento ha
opten por el servicio a través de las TIC los riesgos de pérdida de autenticidad sido establecida. En la identidad, las ca-
deberán premunirse de todas las ga- de los documentos electrónicos o de racterísticas únicas y las características
rantías necesarias para la seguridad ju- verificación de la firma digital, sino del distintivas de un documento digital son
rídica, lo que implica el uso de la firma problema de obsolescencia de hardware registradas, entonces la diferencia con
digital por parte de los funcionarios y software, por lo que no percibimos su otros documentos es clara. La amplitud
cumpliendo los estándares y requisitos implementación inmediata. Las enti- de la autenticad no puede ser investigada
de seguridad pertinentes. dades con mayores recursos muy bien sin las características esenciales del docu-
Otro aspecto de especial atención podrán ir implementado la tecnología mento que ha sido registrado e identifica-
es el señalado en el Artículo 45 sobre el digital para los servicios a los adminis- do de manera significativa. La identidad
Documento Nacional de Identidad Elec- trados como un avance del e-gobierno, de un documento no puede ser estableci-
trónico (DNIe) que acredita presencial y mejorando de esta manera el servicio a da con una firma digital (…) La identidad
electrónicamente la identidad personal los administrados. de un documento es usualmente regis-
de su titular, permite la firma digital de El Reglamento también plantea las trada en los metadatos del documento
documentos electrónicos y el ejercicio diversas firmas digitales que un indivi- (…) La validación de la función de la fir-
del voto electrónico. A diferencia de los duo pueda registrar, este es uno de los ma digital está completamente basada
certificados digitales que pudiesen ser cuestionamientos que nos atrevemos a en los bitstreams de los cuales consiste
provistos por otras Entidades de Certi- hacer, pero reconocemos que a diferencia un file de computadora. Los bitstreams(12)
ficación públicas o privadas, el que se de la firma ológrafa, es posible tecnológi- pueden cambiar mientras que el conteni-
incorpora en el DNIe cuenta con la facul- camente. Consideramos que se podrían do del documento ha permanecido idén-
tad adicional de poder ser utilizado para presentar complicaciones en cuanto a la tico. Con una firma digital son firmados
Octubre de 2009 C5
C Sistemas Administrativos
los bits de un file de computadora y no últimos tiempos han desarrollado y que con destacado éxito el proyecto, de carácter corpo-
el contenido de un documento. Simple- se ofrecen como posibilidades para opti- rativo, de implantación del Sistema de Información
mente los documentos electrónicos no mizar la preservación de los documentos y Gestión de Archivos (SIGIA).
(4) Decreto Supremo Nº 052-2008-PCM, Reglamen-
pueden ser identificados por medio de electrónicos y facilitar el servicio en línea a to de la Ley de Firmas y Certificados digitales
representación de un bit (relacionados los administrados. 27264, http://www.ongei.gob.pe/normas/1934/
uno−a–uno)“(13). De acuerdo con lo sos- Pese a los riesgos que aun se puede NORMA_1934_N%20052-2008-PCM.pdf [Consulta:
25.08.08].
tenido por nuestro autor los metadatos percibir del uso de la informática en la (5) The International Research on Permanent Au-
del documento serán fundamentales gestión de los documentos de archi- thentic Records in Electronic Systems (InterPARES)
para la validación de la autenticidad y au- vos, vale la pena tomar las decisiones http://www.interpares.org/.
(6) Duranti Luciana (Editor) (2005) The long-term
tenticación del documento electrónico, que inserten a nuestro país en el de- Preservation of Authentic Electronic record: Finding
en consecuencia la firma digital si bien sarrollo tecnológico a la par que otros of the InterPARES Proyect, Italy, pp. 22.
constituye una forma de autentificación países, sin embargo será necesario me- (7) Ibíd, p. 65, Italy.
(8) MoReq 2 (2008) Model Requirements for the
válida deberá complementarse con los dir los riesgos de pérdida de informa- Management of Electronic Records. Update and
metadatos adecuados para lograr docu- ción porque esto equivale a la pérdida extensión, European Commision, Luxembourg,
pp. 124.
mentos auténticos y por consiguiente de derechos de los administrados y del (9) La práctica tradicional administrativa permite
copias auténticas. Estado lo que haría peligrar la seguri- el visado de documentos mediante una media
dad jurídica. firma (generalmente no es la firma que usa el
A
funcionario para autorizar un documento) a veces
vi. Conclusiones sobre un sello que identifica la dependencia a la
Notas: –––––––––––– que corresponde.
(1) Ley 27269 de firmas y certificados digitales (10) http://www.egasa.com.pe/transparencia/da-
La utilización de la firma digital en la http://www.congreso.gob.pe/ntley/Imagenes/ tos_generales/mapro/17%20USO%20DEL%20
gestión pública, además de la Ley, requie- Leyes/27269.pdf [Consulta: 30.05.05]. SIED.PDF [Consulta: 07.09.09].
re de otros elementos dirigidos a minimi- (2) Guía práctica de la Ley 11/2007, de acceso (11) Ibid, MoReq 2.
electrónico de los ciudadanos a los Servicios (12) Dato digital codificado en una secuencia no es-
zar los riesgos que por el momento aun Públicos (LAECSP) http://www.femp.es/ tructurada de bits binarios que son transmitidos,
causan incertidumbre en las transacciones index.php/femp/areas_de_gesti_n/gobierno_ guardados o recibidos como una unidad. También
a través de las TIC. local_y_funci_n_p_blica/modernizaci_n_y_ se deletrea “bit stream.” [Computer and Informa-
calidad/gu_a_eadministraci_n [Consulta: tion Sciences] InterPARES Proyect.
Será necesario trabajar, a través de las 07.09.09]. (13) BOUDREZ, Filip, Digital signatures and electronic
entidades competentes, los requisitos ar- (3) Alfonso Díaz Rodríguez, actualmente Archivero records, InterPARES, Disseminatio, http://www.
chivísticos que las investigaciones de los del Gobierno del Principado de Asturias, dirige interpares.org/ 2005 [Consulta: 07.09.09].
Bitácora Informativa
I. Sabía Usted que… II. GRÁFICOS SOBRE FIRMA DIGITAL
Gráfico Nº 1
La criptografía es un arte mediante
el cual un mensaje legible es convertido Creando y verificando una firma digital
en un texto incomprensible y después Encriptar el código hash con la
devuelto a su forma original. Conside- Calcular
código hash clave privada del emisor
remos, por ejemplo, el texto siguiente,
redactado (ficticiamente) por el general 1011…10101 1011…10101
Wellesley: “Blucher, mañana al alba ata- Creación de un docu-
caremos a Bonaparte en Waterloo” A este mento firmado digital-
texto le aplicaremos una clave muy sen- mente (por el emisor)
cilla: cada letra será reemplazada por la Documento firmado
letra que le precede en el abecedario (y digitalmente
la “a” por la “z”). El resultado es: “Aktbgdq, 1011…10101
lznzmz zk zkaz zszbzqdlñr z Añmzozqsd
dm Vzsdqkññ”, que tiene un aire a dialec-
to sumerio con incrustaciones de raíces Desencriptar la firma con la
Calcular clave pública del emisor Verificando la firma digital
linguísticas asirias (esta es una aprecia- código hash (por el receptor)
ción personal, pues no conocemos en
absoluto ni al dialecto ni a las incrusta-
1011…10101 ?
= 1011…10101
ciones). Si el código hash calculado no concuerda con el resultado de la firma digital desencriptada, o
el documento fue modificado después de hacer la firma, o la firma no fue generada por la clave
–––––––––––– privada del emisor del documento.
Fuente: http://www.indecopi.gob.pe/destacado-re- Fuente: http://upload.wikimedia.org/wikipedia/commons/thumb/e/e9/Firma_digital.jpg/450px-Firma_digital.jpg (10.09.09).
glamen
C6 Octubre de 2009