SEGURIDAD INFORMÁTICA

·                    ¿Qué es la Firma Electrónica y la Firma Digital?

 

La Firma Electrónica es un conjunto de datos adjunto o lógicamente asociado a un mensaje, documento electrónico o archivo digital, cuya finalidad es comprobar su integridad y permitir la identificación unívoca del autor.

 

En tanto la Firma Digital es una modalidad de la firma electrónica, desarrollada a partir de una infraestructura de clave pública ("PKI") y privada; es decir, de la tecnología de criptografía asimétrica. En el mismo sentido, se habla de firma electrónica avanzada  cuando la identificación es altamente fiable y permite detectar cualquier alteración del documento no autorizada merced a que los dispositivos empleados en la creación de la firma son seguros, por cumplir determinadas exigencias técnicas, y porque el Prestador de Servicios de Certificación que ha intervenido está acreditado como tal.

Text Box: Llave Privada

 

Text Box: Identidad

 

Text Box: Llave Pública

 

 

 

·                    ¿Qué es PKI?

 

Es la combinación de programas, tecnologías de encripción, procesos, y servicios que permite a las organizaciones asegurar las comunicaciones y las transacciones del Negocio. [1]

 

¿Qué son los Certificados Digitales?[2]

 

Es la certificación electrónica que vincula unos datos de verificación de firma a un signatario y confirma su identidad. Los Prestadores de Servicios de Certificación certifican que quien firma un documento electrónico, utiliza realmente las claves de quien dice ser, para lo cual han generado previamente la clave pública y privada del firmante, y le han identificado.

 

 

 

 

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Las aplicaciones de Internet como navegadores (por ejemplo Internet Explorer o Netscape Navigator) o programas para correo electrónico, ya traen incorporados los elementos que les permiten utilizar los certificados de Firma Electrónica, por lo que los usuarios no necesitan instalar ningún software adicional. Por ejemplo, cuando uno se conecta a un Sitio Web que use certificados electrónicos con Internet Explorer, se despliega la siguiente ventana:

Aquí se le está preguntando al usuario que seleccione un certificado de Firma Electrónica para identificarse en el sitio Web, a diferencia del mecanismo común de usuario/contraseña.

 

·                    ¿Diferencia entre Firma Digital y Certificados Digitales?

 

Un certificado, es un documento electrónico que contiene un conjunto de información que permite identificar al usuario titular de una clave pública, es decir, la única persona que administra la clave privada que le corresponde a esta clave pública. En cambio la firma digital como tal es un conjunto de 150 caracteres o más que permite identificar al autor del documento en el que consta.

           

·                    ¿Qué garantiza la Firma Digital?

 

La firma digital garantiza:

 

Autenticidad: la posibilidad técnica de establecer un nexo unívoco entre un documento, mensaje, archivo o firma electrónica y su autor.

 

No Repudio: ofrece protección a un usuario frente a que otro usuario niegue posteriormente que en realidad se realizó cierta comunicación. Esta protección se efectúa por medio de una colección de evidencias irrefutables que permitirán la resolución de cualquier disputa. El no repudio de origen protege al receptor de que el emisor niegue haber enviado el mensaje, mientras que el no repudio de recepción protege al emisor de que el receptor niegue haber recibido el mensaje. Las firmas digitales constituyen el mecanismo más empleado para este fin.

 

Confidencialidad: se trata de la seguridad de que los datos que contiene el documento permanecen ocultos a los ojos de terceras personas durante su viaje por el medio desde A a B. Y aquí no entra en juego sólo el papel que realiza la criptografía ocultando los datos, si no también qué se hace con dichos datos una vez han llegado al destinatario de los mismos.

 

·                    ¿Qué es encriptar un documento?[3]

La encriptación es el procedimiento por medio del cual se convierte un texto, mensaje, archivo, documento, etc., de su formato original a otro  ilegible o ininteligible para quien no posea la clave necesaria para revertir el proceso. Puede ser simétrica o asimétrica, según se emplee la misma clave, o bien dos claves diferentes pero matemáticamente relacionadas entre sí, para encriptar y desencriptar, respectivamente.

 

El siguiente esquema ayuda a entender este concepto.

 

Ø      Documento sin encriptar

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

        

  

 

 

 

 

 

 

 

 

 

 

 

 

 


 

Ø      Documento encriptado

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


 

·                    ¿Cómo se va a entregar el certificado digital?

            El certificado digital será entregado dentro de un aparato conocido como TOKEN, es conocido también como MINIKEY.  El TOKEN deberá de ser traído por cada auxiliar de la función pública aduanera.

            ¿Qué es un TOKEN ?

            Es el dispositivo de seguridad utilizado para firmar digitalmente y cifrar mensajes. Tiene un Nivel de Seguridad ALTO, siendo el portador de la llave del usuario para acceder los servicios prestados que requieren Certificados Digitales. Este combina las funcionalidades de una tarjeta inteligente y su lectora en un hardware en uno solo; es fácil de manipular, seguro y se puede trasladar a cualquier parte del mundo.

 

Al ser un dispositivo USB asegura la máxima compatibilidad (Plug and Play) con la mayoría de los computadores de escritorio y portátiles utilizados. Esto implica que no necesita periféricos adicionales para su correcto funcionamiento.

 

 

 

·                    ¿Qué características debe tener el TOKEN ?

            Los requerimientos técnicos de los Tokens entre otros serán:

 

q       Poseer las características similares a iKey 2032 (FIPS).

q       Debe estar  conformado por dos componentes, un controlador/chip criptográfico y un controlador de bus USB.

q       El almacenamiento de 32KB.

q       Que soporte RSA, encriptación de 1024/2048 bits.

q       Un sistema operativo de chip criptográfico con un entorno para administrar y generar claves criptográficas.

q       No debe permitir grabar su llave a otro medio. Por ejemplo al disco duro.

q       El controlador USB debe cumplir con la función de un lector de tarjeta inteligente, que transporte los datos para su utilización en el controlador criptográfico.

q       Ejecutar una variedad de algoritmos criptográficos: DES en modos ECB y CBC, DESX, triple-DES, RC2, RC4 y RC5.

q       Debe soportar Pki, Certificados Digitales X.509, llaves públicas y privadas.

 

·                    ¿Qué precio pueden tener?

            El precio de los TOKEN con las características antes mencionadas es de aproximadamente de $ 60.

·                    ¿Cuál es la forma para enviar un mensaje firmado digitalmente y encriptado?

Como se ve en la respuesta de la pregunta anterior, es exactamente igual que cuando usted envía un mensaje por correo.

·                    ¿Cuál o cuáles requisitos se deben cumplir el Auxiliar de la Función Pública Aduanera para poder contar con certificado digital?

El principal requisito, es estar debidamente inscrito  en el Departamento de Registro de la Dirección General de Aduanas y además los siguientes requisitos pedidos por la Autoridad Certificadora:

 

Toda solicitud deberá presentarse mediante un formulario de solicitud de prestación de servicios de certificación digital, para lo cual, dependiendo del tipo de certificado, deberán presentarse el original y fotocopia de  los siguientes documentos:

 

Ø      Formulario de solicitud de prestación de servicios de certificación digital sin firmar (se firma en presencia del administrador del CA Emisor),  

Ø      Original y fotocopia de su cédula de identidad o documento legal de identificación como persona física,

Ø      Empresa comercial o asociación,  deberá presentar cédula jurídica de la empresa o asociación, cédula o documento legal de  identidad de la persona física que la solicita o representa, así como el documento legal en que se demuestre su autoridad para actuar en nombre  de la empresa o sociedad, o como  representante legal.

·                    ¿Cuáles son los niveles de certificados?

Nivel 1:     Autenticar (Usuario y Password)

Nivel 2:     Cifrado-autenticado (SSL)

Nivel 3:     Autenticar (Certificado Digital)

Nivel 4:     Firma Digital (doc., pdf., gif., jpg., tiff.)

Nivel 5:     Autenticar (Llave privada almacenada en un Token)

 

·                    ¿Será obligatorio el uso de los certificados digitales para TICA?

Sí, todos los Auxiliares de la Función Pública Aduanera, así como aquellos usuarios que vayan a interactuar con el sistema informático deberán contar al menos con un certificado digital.

·                    ¿Dónde y quién van a entregar los certificados digitales?

Los certificados digitales serán entregados por una Autoridad Certificadora que se constituirá en el Ministerio de Hacienda, bajo los más altos estándares de calidad y seguridad internacional, serán entregados de forma personal en la oficina que dicha Autoridad va tener sea en el edificio central del Ministerio de Hacienda o en el edificio de la DGI.

·                    ¿Cuál es el procedimiento para la entrega del certificado digital?

El procedimiento de entrega será de manera personal (cara a cara), cumpliendo para todos los efectos con los requisitos de seguridad que establece el manual de procedimientos de esta Autoridad Certificadora.

·                    ¿El Certificado Digital se va a ajustar a algún de período de vigencia o podrá ser usado de manera indefinida por parte del Auxiliar?

Sí, el Certificado Digital tendrá, por razones de seguridad, un período de vigencia para su uso, lo cual por consiguiente va a imposibilitar el uso indefinido del mismo.

 

·                    ¿Dé cuánto va ser la vigencia del certificado digital?

Los certificados digitales tendrán una vigencia de un año, pudiendo ser revocado antes de ese tiempo, sea de manera voluntaria o por que la Autoridad Certificadora lo considere prudente, debido a una falla de seguridad en la que incurrió el dueño del certificado.  Para el caso de los auxiliares, se tomará como punto de partida de  vigencia, el mes correspondiente en el que deben renovar la garantía ante la Dirección General de Aduanas.

·                    ¿Cuántas veces al año debo de solicitar el certificado?

En principio y si el uso del certificado es el adecuado, se deberá de solicitar solamente una vez al año, sin embargo si por ejemplo, un asistente de un agente aduanero renuncia y quiere trabajar con un agente aduanero distinto deberá por supuesto solicitar un nuevo certificado por que el certificado anterior será revocado por la Autoridad Certificadora.

·                    ¿Por qué motivos se puede revocar un certificado digital?

                        El certificado se puede revocar a solicitud del interesado, en cualquier momento pero indicando el motivo.

 

            La autoridad certificadora podría revocar el certificado en los siguientes casos:

 

a)      Cuando se produzcan cambios en la información que el certificado contiene o ésta no se actualice.

b)      Cuando la clave privada asociada al certificado de clave pública, o el medio en que se encuentre almacenada se encuentren comprometidos o corran peligro de estarlo.

c)      Cuando producto de un acto final en firme la administración aduanera inhabilite al Auxiliar de la Función Pública Aduanera.

¿Cuál va a ser el mecanismo en que se entregará el certificado digital?

Para el proceso de entrega, éste esta definido en el manual de procedimientos de la Autoridad Certificadora del Ministerio de Hacienda,  la entrega se hará en persona cara a cara, siendo esta la principal característica, la presencia e identificación de la persona debe ser inequívoca para poder hacerle la entrega del certificado digital.

¿Qué nivel de certificado van a tener los Agentes Aduaneros?

Al ser el Agente Aduanero, uno de los principales actores del Sistema Aduanero e igualmente  un agente sobre el que recae mucha de la responsabilidad, lo apropiado es que cuente con certificado de nivel 5, que le va a permitir tanto a él, como a la administración tener una plena e irrefutable seguridad de que el envío del mensaje que contiene DUA y las imagines y que por supuesto la firma del DUA fue la hecha por él y todas las características las encontramos en un certificado de ese nivel.

¿Qué procesos puede realizar el Agente Aduanero con ese certificado?

El Agente Aduanero podrá realizar los siguientes procesos:

 

a)      Firmar la Declaración Aduanera

b)      Enviar la Declaración Aduanera conjuntamente con los demás documentos adjuntos a la declaración aduanera

c)      Hacer las solicitudes que le faculta la Ley y el Reglamento

 

¿Qué nivel de certificado va a tener el Asistente del Agente Aduanero?

Se considera que a los Asistentes de los Agentes Aduaneros podrán contar con certificado de clase 1, suficiente para que se identifiquen dentro del sistema informático y que este ligado al certificado digital del Agente Aduanero para él cual trabaja.

¿Qué procesos puede realizar el Asistente del Agente Aduanero con el certificado?

Los indicados en los incisos d) y e) del artículo 122 del Reglamento a la LGA.

¿Cuáles otras personas aparte del Agente Aduanero y su Asistente van a poder contar con un certificado digital?

Todos los demás auxiliares de la función pública aduanera que se encuentren debidamente inscritos ante la Dirección General, así como todos las entidades estatales que tienen una interacción directa con el Servicio Aduanero.

¿El certificado digital podrá ser usado por otra persona distinta a la que se le entregó?

El certificado va ser una herramienta que podrá ser utilizada únicamente por la persona a la que se entregó, esto indiscutiblemente por razones de seguridad. 

¿Cómo hace una Agencia Aduanal persona jurídica para poder utilizar el Certificado Digital?

Lo va a hacer a través de su representante legal,  quien contará con un certificado de nivel 5, además, los agentes aduaneros que trabajen para esta Agencia Aduanal persona jurídica, contarán con un certificado ligado al que se le dio  al representante legal, el cual  va permitir saber que esos certificados están ligados entre sí.  Ejemplo:

 

La Agencia Aduanal Puertas Aduaneras se le entregará un certificado que a manera de ejemplo pueda tener la siguiente numeración para su identificación: 1897801236971

 

Este sería el número  de certificado que se entregaría a la Agencia Aduanal Puertas Aduaneras, en la persona de su representante.

 

Ahora los demás certificados que sean entregados a esa misma Agencia Aduanal pero en este caso para el uso de los agentes aduaneros tendrá la siguiente numeración: 1897801236971-001 1897801236971-002, permitiendo saber exactamente de que Agencia Aduanal fue enviado el mensaje y cual agente aduanero, lo que es también un apoyo de seguridad para la misma Agencia.

¿Qué normas regulan la firma digital en el procedimiento aduanero?

Las normas que regulan la firma digital en el procedimiento aduanero se encuentran incluidas en el CAUCA III y la Ley General de Aduanas.

¿Qué dicen esas normas legales?

El CAUCA en su artículo 23 establece que “las firmas electrónicas, los códigos, claves de acceso confidenciales o de seguridad equivalen, para todos los efectos legales, a la firma autógrafa de los funcionarios y empleados aduaneros, auxiliares, declarantes y demás personas autorizadas.”

           

Como se desprende de manera clara, el CAUCA III, que es norma superior a la Ley nacional, le da a la firma electrónica la equivalencia de la firma autógrafa, para todos los efectos legales que de ella se deriven.

 

La Ley General de Aduanas, regula la informatización de los procedimientos  estableciendo que “cuando la Dirección General de Aduanas lo determine, mediante resolución de carácter general, y le asigne la clave de acceso confidencial y el código de usuario correspondiente o su certificado digital, mediante un prestador de servicios de certificación, el auxiliar de la función pública aduanera deberá realizar los actos correspondientes conforme a esta Ley y sus Reglamentos, empleando el sistema informático según los formatos y las condiciones autorizados.”

 

La misma Ley establece que las firmas autógrafas, que la Dirección General de Aduanas requiera, podrán ser sustituidas por contraseñas o signos adecuados, como la firma electrónica, para la sustanciación de las actuaciones administrativas que se realicen por medios informáticos”.  Igualmente, por esa disposición legal se obliga a la presentación de la declaración mediante transmisión electrónica de datos, utilizando su código de usuario y su clave de acceso confidencial o firma electrónica y expresamente se indica que para todos los efectos legales, la clave de acceso confidencial y/o firma electrónica equivale a la firma autógrafa de los funcionarios, auxiliares y demás usuarios.

 

Fue clara la intención del legislador al plasmar en la reforma a la Ley del pasado 5 de marzo, todo lo referente al uso tanto de la firma electrónica como de los certificados digitales, buscando con esto proveer tanto a la administración como a los administrados de herramientas de seguridad modernas y ágiles que permitan un mejor desarrollo del comercio tanto a lo interno como a lo externo.

 


 

[1] Tomado de la presentación de PKI  realizada por el señor  Harvey Villalobos, Presidente de

     Biz Net.

 

[2] Tomado de la presentación de PKI  realizada por el señor  Harvey Villalobos, Presidente de

     Biz Net.

 

[3] Tomado de la presentación de PKI  realizada por el señor  Harvey Villalobos, Presidente de

     Biz Net.

 


Inicio