La importancia de la Firma Digital en LexNET

Nos guste o no, parece que, de ahora en adelante, el futuro de la Justicia en España se va a encontrar estrechamente vinculado a las nuevas tecnologías y, sobre todo, a su buen funcionamiento.

Aunque dicho funcionamiento no siempre va a depender directamente de nosotros como meros operadores jurídicos, hemos de poner todo nuestro interés, en la medida de lo posible, a la hora de intentar comprender un poco mejor las herramientas que vamos a usar en nuestro día a día, para contribuir, entre todos, a una mayor eficacia del sistema.

Esta es la razón por la que hemos decidido dedicar parte de nuestro tiempo a aportar algo de luz sobre una serie de conceptos básicos directamente relacionados con el sistema LexNET. Todo ello con la ayuda del Asesor Informático de nuestro Blog que, amablemente, se ha prestado a ayudarnos. Se trata de un campo hasta ahora desconocido para muchos en el mundo jurídico, por lo que intentaremos ofrecer ideas claras y concretas.

Comencemos por el principio…

De conformidad con el artículo 6 del Real Decreto 1065/2015, de 27 de noviembre, sobre comunicaciones electrónicas en la Administración de Justicia en el ámbito territorial del Ministerio de Justicia y por el que se regula el sistema LexNET, para el empleo de los sistemas electrónicos de información y comunicación que así lo requieran, serán válidos los sistemas de identificación electrónica y de firma electrónica que sean conformes a lo establecido por la Ley 59/2003, de 19 de diciembre, de firma electrónica, y el Reglamento UE n.º 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014, relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por el que se deroga la Directiva 1999/93/CE, y resulten adecuados para garantizar la identificación de los intervinientes y, en su caso, la autenticidad e integridad de los documentos electrónicos.

Hemos de tener siempre presente que Internet no deja de ser una Red insegura pues, per se, no proporciona mecanismos de autenticación, privacidad o integridad. Si bien, dada la incipiente informatización de todos los sectores de la sociedad, ha sido necesario poner a disposición de los ciudadanos y de las empresas unos instrumentos que les ofrezcan la posibilidad de identificarse en Internet de una manera segura y fidedigna.

Ello se consigue a través de un fichero informático en el que se alberga información sobre nuestra identidad. Se trata de un fichero personal e instransferible que, al igual que nuestro Documento Nacional de Identidad (DNI), una vez instalado en el ordenador, será el encargado de certificar nuestra identidad en las páginas web que lo soliciten.

Estos ficheros son expedidos por las Entidades de Certificación, en nuestro caso, la Fábrica Nacional de Moneda y Timbre (FNMT), que, además de suministrarlos físicamente, son las encargadas de certificar posteriormente su autenticidad ante los posibles destinatarios.

Por medio del uso de este mecanismo, no sólamente tratamos de prevenir una posible usurpación de identidad en la Red, sino que también procuramos que la información que transmitimos desde nuestro ordenador hacia una web concreta viaje por la Red con las mayores garantías de seguridad e integridad posibles. Resulta esencial que en su «viaje por la web» la información no pueda ser «leída» o, incluso, modificada, por usuarios distintos a los legítimos destinatarios de la misma.

A esto es a lo que se refiere el legislador cuando habla del «empleo de sistemas electrónicos de información y comunicación que resulten adecuados para garantizar la identificación de los intervinientes y, en su caso, la autenticidad e integridad de los documentos electrónicos«. En un ámbito como puede ser el de la Administración de Justicia resulta de VITAL importancia que se cumplan con todas las medidas de seguridad posibles para evitar que información que se encuentra estrechamente vinculada con el derecho fundamental de los ciudadanos a la tutela judicial efectiva (Art. 24 de la Constitución) pueda ser «robada» o manipulada. Realmente es un tema serio, a la par que preocupante.

Entrando ya en materia…

Una de las formas en las que se nos puede solicitar que certifiquemos nuestra identidad en la Web es mediante el certificado digital que se encuentra instalado en nuestro ordenador y a través del navegador con el cual hemos accedido a la página web en cuestión. Habitualmente, al detectar que una Web concreta solicita autenticación de usuario mediante certificado digital, es el propio navegador quien nos da la opción de usar nuestro certificado, mostrándonos dicha opción en pantalla, con lo que nos resulta muy sencillo: Sólo tenemos que «aceptar» y, desde ese momento, toda la información que va a transitar entre nuestro ordenador y la Web estará «blindada» ante agentes externos, por medio de un cifrado de datos que hace que los mismos sólo sean visibles para su destinatario.

Pero, ¿Cómo funciona este sistema?

En nuestro certificado digital existen Dos Claves: Una publica y otra privada. Estas claves NO las conocemos (ni falta que nos hace) pero vienen ya integradas en el certificado por la entidad que lo emitió, en este caso la FNMT.

Con vuestro permiso, lo ilustraremos con un ejemplo: Imaginemos que enviamos un paquete por mensajería a Bruselas. Hemos de dar por sentado que ese paquete va a pasar por infinidad de lugares (ciudades, oficinas, profesionales, no profesionales…). Si bien, imaginad que la Empresa de Mensajería, para asegurarnos que nuestro envío no será abierto por nadie que no sea el destinatario, nos proporciona la posibilidad de introducirlo en una caja de seguridad (Entidad Emisora y Certificadora), para lo que nos da Dos Llaves: Una de ellas la usaremos siempre para cerrar los paquetes que enviemos (Clave Privada); y la otra es la que se proporcionará al destinatario del paquete, quien podrá abrirlo, pero no modificar el envío (Clave Pública).

Resumiendo conceptos y trasladándo el ejemplo al caso de las comunicaciones con LexNET:

Empresa de transporte = Internet.
Caja de seguridad = Entidad de Certificación (FNMT).
Remitente = Nosotros.
Destinatario = Lexnet.
Clave privada = «Llave» con la que firmamos los documentos que vamos a enviar.
Clave publica= «Llave» que envía nuestro certificado a los destinatarios, quienes podrán abrir pero NO modificar el documento.

En el caso contrario, ocurriría lo mismo, sólo que nosotros seríamos los destinatarios y LexNET el remitente.

Y en todo esto… ¿Qué tienen que ver las famosas Tarjetas criptograficas?

Pues, sencillamente, se trata de un paso más en la seguridad del envío. Como explicábamos anteriormente, cuando nos identificamos en la Web mediante el certificado electrónico instalado en nuestro ordenador a través del navegador, damos por sentado que somos nosostros los que estamos delante de nuestro ordenador pero, ¿Qué ocurriría si alguien malintencionado lo utilizara desde nuestro ordenador sin nuestro consentimiento? o… ¿Y si, por cualquier incidencia, nos viésemos obligados a firmar digitalmente desde un ordenador público?.

El uso de la Tarjeta Criptográfica es un elemento más que fortalece la seguridad en la certificación de identidad ya que, en este caso, el certificado se encuentra instalado en el microchip de la tarjeta, la cual siempre nos va a exigir la introducción de un código PIN para poder usar el certificado. Esto es un plus de seguridad que el sistema LexNET valora, es por ello que en la Guía de Buenas Prácticas de LexNET, elaborada por el Ministerio de Justicia, se nos recomienda el «uso de certificados soportados en tarjeta chip» como forma de firma óptima para LexNET (Imagen).

Esperamos que este artículo os haya ayudado a comprender un poco mejor la importancia del correcto uso de los certificados de usuario y de la firma electrónica a la hora de garantizar una mayor protección de la información que compartimos en la Red. Aquí os dejamos algunos enlaces de interés: