La gestión de identidad y la biometría certificada

Por: Héctor José García (*)

Los actores interesados en temas de criptografía y seguridad informática actualmente están tratando de establecer el futuro de las infraestructuras de llave pública basadas en el estándar X.509 (PKI) y las tecnologías de cadena articulada (blockchain). Cuando se debe usar una u otra debe ser resultado de un análisis de riesgos realizado por expertos.

Sin embargo, es muy probable que estas dos tecnologías se lleguen a complementar para necesidades específicas de suscripción de contratos y documentos electrónicos de uso restringido.

Cuando la criptografía es utilizada en firmas digitales, los certificados tipo X.509 son el núcleo jurídico que hace posible la suscripción de documentos electrónicos con plana validez legal y probatoria.

En el mundo los protocolos de seguridad como el de moneda electrónica (bitcoin o criptomoneda), son la base de las transacciones actuales, lo más utilizados son:

Estampado o Sello de tiempo RFC3161 Proof Of Existence 
Firmas PDF PAdES DocuSign
Certificados X.509 Keybase

En los Estados Unidos, las cadenas articuladas no tienen muchas barreras regulatorias, pero fuera de éstas, dichos mecanismos tampoco mucha oportunidad en el contexto legal internacional, en la medida que la mayoría de países cuentan con una norma marco en materia de comercio electrónico y seguridad electrónica sustentada en firmas electrónicas simples y avanzadas (firmas digitales), mecanismos que al tener una referencia normativa particular y concreta tienen un valor legal determinado.

Los protocolos de seguridad pueden y deben ser complementados, incluso deben surgir soluciones que utilicen este tipo de protocolos en interacción con sistemas de certificación digital, para lograr el efecto técnico y jurídico deseado.

Uno de los usos de esta tecnología se encuentra en la posibilidad de crear un mecanismo de gestión de identidad que permita descubrir información asociada, mediante un repositorio público de validación de información.

Un ejemplo de esto es la dirección de una billetera electrónica de Bitcoin o criptomoneda, la cual es generada con una llave privada que es almacenada en un archivo monedero, donde la moneda puede ser gestionada desde una plataforma federada. Sin embargo, para efectos de validación de la identidad de una persona, es importante que el mecanismo de gestión de identidad no sea federado, sino centralizado y jerárquico, donde un tercero de confianza pueda garantizar la identidad de quienes realizan todo tipo de transacciones electrónicas.

Lo anterior no deja de lado la posibilidad de  gestionar posteriores relaciones contractuales de manera federada, cuando se tiene la tranquilidad de la identidad de los firmantes mediante la intervención de un tercero idóneo de confianza, acreditado para operar en el marco legal, el cual proporcionará la información de la identidad de los firmantes y del momento justo con hora legal en que se desarrolla la imposición de una firma sobre un documento electrónico o mensaje de datos.

Es importante tener presente las tecnologías que vienen surgiendo sobre biometría para la gestión de identidad y más allá, la identificación de personas mediante fuentes confiables de patrones biométricos, lo cual abre un nuevo panorama de identificación de personas, pero solo en mecanismos de biometría certificados se encontrarán los elementos necesarios para blindar la evidencia digital con mecanismos de firma digital que den integridad al dato biométrico, el cual permitirá identificar a futuro a las personas que estarán vinculadas de manera unívoca con un contrato electrónico o vínculo jurídico digital.

Es importante recordar que los datos biométricos son protegidos por la ley de habeas data en nuestro país, y tienen especial protección constitucional, en tanto su uso indebido atenta contra la privacidad de los individuos, lo cual implica que dichos datos sean protegidos técnicamente con los mecanismos que den el mayor nivel de seguridad y encripción. Estas características hacen muy recomendable el uso de certificados digitales y sellos de tiempo que sean además auditados internacionalmente, cuya vigilancia y control está en cabeza de la Superintendencia de Industria y Comercio, lo que otorga a los patrones biométricos el valor probatorio de integridad y confidencialidad acorde a la Ley de Comercio Electrónico.

(*)Presidente de Certicámara S.A., Colombia. (Entidad de Certificación Digital y Autoridad de Registro)