el modelo vasco de contratación electronica

MMDDUULLOO 66::

CONTRATACIN PBLICA DEL GOBIERNO VASSCCOO..

EEELLL SSSIIISSSTTTEEEMMMAAA DDDEEE LLLIIICCCIIITTTAAACCCIIINNN PPPBBBLLLIIICCCAAA EEE

FFFAAAVVVOOORRRAAABBBLLLEEE PPPAAARRRAAA LLLAAASSS IIINNNVVVEEERRRSSSIIIOOONNNEEESSS EEE

LLAA FFIIRRMMAA EELLEECCTTRRNNIICCAA CCOOMMOO IINNSSTTRRUUMMEENNTTOO DDEE

UUNN CCAASSOO PPRRCCTTIICCOO:: EELL MMOODDEELLOO DDEE

CONTRATACIN PBLICA DEL GOBIERNO VALLAA CCOONNTTRRAATT

AUTOR: JAIME LLLEEECCCTTTRRNNNIIICCCAAA::: CCCRRREEEAAANNNDDDOOO UUUNNN CCCLLLIIIMMMAAA

NNN AAAMMMRRRIIICCCAAA LLLAAATTTIIINNAAA (((222 EEEDDD...)))

R

N

AACCIINN AADDMMIINNIISSTTRRAATTIIVVAA

DOMNGUEZ-MACAYA LAURNAGA

Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica

como instrumento de la contratacin administrativa 2

El sistema de licitacin pblica electrnica: creando un clima favorable para las

inversiones en Amrica latina

NDICE

ndice ......................................................................................................... 2

PRIMERA PARTE

1. INTRODUCCION ....................................................................................... 5

2. DIFERENTES TIPOS DE FIRMA ELECTRNICA.............................................. 11

3. CONSECUENCIAS JURDICAS DE LA FIRMA ELECTRNICA............................ 14

4. FUNDAMENTOS TCNICOS....................................................................... 17

4.1 Elementos lgicos y fsicos de garanta de la identidad............................. 17

4.2 fundamentos de la criptografa ............................................................. 20

4.3 Integridad - HASH.............................................................................. 24

4.4 cifrado de los ficheros ......................................................................... 30

4.5 SSL - Secure Socket Layer .................................................................. 38

4.6 El no repudio ..................................................................................... 47

5. FUNDAMENTOS ORGANIZATIVOS.............................................................. 49

5.1 Comprobacion de la vigencia................................................................ 49

5.2 No necesidad de desplazamiento .......................................................... 50

5.3 Rapidez del envo ............................................................................... 51

SEGUNDA PARTE

6. ANTECEDENTES Y SITUACION ACTUAL ...................................................... 53

6.1 Quien es el gobierno vasco? ............................................................... 53

6.2 Qu es el modelo vasco de contratacin publica electrnica?.................. 54





6.3 Hitos del MVCPE................................................................................. 56

6.4 Algunos datos del MVCPE .................................................................... 58

6.5 Abundante documentacin a su servicio ................................................ 59

7. PRINCIPIOS ESTRATGICOS DEL MODELO ................................................. 62

7.1 Recomendaciones implantadas............................................................. 62

7.2 Recomendaciones por implantar ........................................................... 64

7.3 Recomendaciones no interesentes ........................................................ 65

8. BENEFICIOS OBTENIDOS DE LA IMPLANTACIN DEL MODELO ...................... 66

9. NO TODO SER UN CAMINO DE ROSAS ..................................................... 70

9.1 La gestin del cambio ......................................................................... 70

9.2 El centro de soporte a los usuarios........................................................ 71

9.3 La formacin ..................................................................................... 72

9.3.1 Formacin presencial..................................................................... 72

9.3.2 Formacin no presencial ................................................................ 73

10. COMPONENTES APLICATIVOS DE LA ARQUITECTURA DEL MODELO.............. 74

10.1 Propios de la contratacin electrnica .................................................. 75

10.1.1 Aplicacin de gestin expedientes de contratacin .......................... 75

10.1.2 Registro de licitadores o contratistas.............................................. 75

10.1.3 Clasificacin de empresas............................................................. 76

10.1.4 Web de registro y clasificacin de empresas................................... 76

10.1.5 Registro de contratos .................................................................. 76

10.1.6 Sistema de licitacin electrnica.................................................... 76




10.1.7 Web informativa a licitadores. el perfil de contratante ...................... 76

10.1.8 Aplicacin de gestin de compra y almacenes ................................. 78

10.1.9 Web de proveedores.................................................................... 78

10.1.10 Centro de soporte a usuarios ...................................................... 78

10.1.11 Gestion de las alertas tempranas................................................. 78

10.2 Comunes a la administracion electronica general................................... 78

10.2.1 Certificacin, tarjeta y firma electrnica reconocida.......................... 78

10.2.2 Servicio horizontal de notificacin electrnica.................................. 79

10.2.3 Anotacin automtica en el libro de entradas y salidas de los

documentos que se envan ..................................................................... 79

10.2.4 Mis gestiones. cmo est lo mo? ................................................. 79

10.2.5 Otros ........................................................................................ 79

11. EL CONCEPTO DE ALERTA TEMPRANA.................................................... 81

12. LICITACIONES DE PRUEBA A DISPOSICIN DE LAS EMPRESAS ................... 85




Mdulo 6: Un caso prctico: el modelo de contratacin pblica del Gobierno Vasco. La firma electrnica como

PRIMERA PARTE:

LA FIRMA ELECTRNICA COMO INSTRUMENTO DE GARANTA DE LA CONTRATACIN ELECTRNICA.

DIEZ VENTAJAS DE LA FIRMA ELECTRNICA SOBRE LA MANUSCRITA.

1. INTRODUCCION

En las legislaciones que rigen las contrataciones de bienes, obras y servicios de

nuestras administraciones a diferencia de las de corte anglosajn- tiene gran

importancia la constancia y la fehaciencia de la personalidad y capacidad de los

que intervenimos en los expedientes de contratacin -no digamos nada en relacin con

los empresarios que nos remiten las ofertas-, as como la seriedad y la

inviolabilidad de las ofertas que se reciben.

Por ello no es casualidad que las reflexiones que sobre la contratacin pblica

electrnica quiero hacerles llegar a ustedes empiecen precisamente por el anlisis sobre

qu es y qu pretende garantizar la utilizacin de la firma electrnica en la contratacin

administrativa (utilizar indistintamente administrativa o pblica). Conocern ustedes

aqu sus fundamentos bsicos, tanto desde un punto de vista legal, como tcnico y

organizativo, en un estudio que yo suelo titular como la firma electrnica para

escpticos.

En el anlisis de los aspectos jurdicos de la firma electrnica que van ustedes a poder

conocer en este estudio, resear con carcter preferente lo que prev la Ley Modelo de

la CNUDMI sobre firmas electrnicas del ao 2001, y complementariamente me referir

a lo previsto en la Directivas de la Unin Europea sobre firma electrnica y contratacin

administrativa, as como a las leyes espaolas en esos mbitos.

instrumento de la contratacin administrativa 5




Ley Modelo CNUDMI 2001 sobre firma electrnica.

La Ley Modelo de la CNUDMI sobre firmas electrnicas es la norma que ha

inspirado la prctica totalidad de las legislaciones de pases iberoamericanos

en materia de firma electrnica.

Pueden ustedes consultar la Ley Modelo y su gua para la incorporacin al derecho

interno en http://www.uncitral.org/pdf/spanish/texts/electcom/ml-elecsig-s.pdf

Como ustedes tal vez conocern, la CNUDMI es la Comisin de la Naciones Unidas

para el estudio del Derecho Mercantil Internacional creada por su Asamblea

General en 1966-, que trabaja para facilitar el comercio internacional mundial mediante

la preparacin de convenios, leyes modelo leyes que luego los estados que lo deseen

pueden aprobar como propias-, normas y guas jurdicas cuyo objeto es armonizar el

derecho mercantil internacional.

Para la Asamblea General de las Naciones Unidas, la adopcin de la garanta de

la firma electrnica en nuestras legislaciones de contratacin pblica es

interesante, como recuerda la resolucin de fecha 12 de Diciembre de 2001 en la que

se aprueba la Ley Modelo sobre firmas electrnicas, al ser consciente la Asamblea

General de la gran utilidad de las nuevas tecnologas de identificacin personal

utilizadas en el comercio electrnico, generalmente conocidas como firmas

electrnicas, recordando el inters de la Asamblea General en garantizar la

seguridad jurdica en el contexto de la utilizacin ms amplia posible del procesamiento

automtico de datos en el comercio internacional mediante la utilizacin de la firma

electrnica, y recomendando, por ltimo, que todos los Estados consideren de

manera favorable la Ley Modelo sobre las Firmas Electrnicas cuando

promulguen o revisen sus leyes, habida cuenta de la necesidad de que el derecho

aplicable a los mtodos de comunicacin, almacenamiento y autenticacin de la

informacin sustitutivos de los que utilizan papel sea uniforme y que se haga todo lo

posible por promover el conocimiento y la disponibilidad generales de la Ley Modelo

sobre las Firmas Electrnicas para su incorporacin al derecho interno.





En Espaa es obligatorio utilizar firma electrnica (avanzada o reconocida)

para la contratacin electrnica.

En la legislacin espaola, por su parte, la utilizacin de la firma electrnica

reconocida no es optativa para los agentes participantes en la variante electrnica de

la contratacin administrativa, sino obligatoria. Vemos que, en efecto, la Ley de

Contratos del Sector Pblico indica en el apartado f de su Disposicin adicional

decimonovena (que es la que regula el uso de medios electrnicos, informticos y

telemticos en los procedimientos regulados en la Ley) que cuando se utilicen esos

medios electrnicos, informticos o telemticos-, todos los actos y manifestaciones

de voluntad de los rganos administrativos o de las empresas licitadoras o

contratistas que tengan efectos jurdicos y se emitan tanto en la fase preparatoria

como en las fases de licitacin, adjudicacin y ejecucin del contrato deben ser

autenticados mediante una firma electrnica reconocida de acuerdo con la Ley

59/2003, de 19 de diciembre, de Firma Electrnica.

Como pueden ustedes comprobar esta regulacin tiene cuatro caractersticas:

a. Se refiere a todos los actos importantes de los expedientes de contratacin.

b. Rige tanto para los contratistas como para la propia administracin.

c. Se aplica en todas las fases de la contratacin, desde la fase preparatoria

hasta la ejecucin de los contratos, pasando por la licitacin y la adjudicacin de

los mismos.

d. Al referirse a un procedimiento muy garantista, como es el de la

contratacin administrativa, el legislador se decanta no por cualquier tipo

de firma electrnica, sino por la firma electrnica que da mayores

garantas, es decir, la firma electrnica reconocida frente a otras menos

rigurosas como son la firma electrnica simple (u ordinaria) o la firma

electrnica fiable (o avanzada), que luego estudiaremos.





De manera igual de contundente, aunque algo ms limitada, la otra gran ley

espaola sobre contratacin administrativa, la Ley 31/2007, de 30 de octubre,

sobre procedimientos de contratacin en los sectores del agua, la energa, los

transportes y los servicios postales, en el apartado b de su Artculo 73 que es el que

regula las comunicaciones por medios electrnicos- indica que se exigir que las

ofertas transmitidas por va electrnica vayan acompaadas de una firma

electrnica avanzada con arreglo a la Ley 59/2003, de 29 de diciembre, de Firma

Electrnica. En este caso la regulacin es menos ambiciosa, ya que la necesidad de la

firma electrnica se circunscribe a la suscripcin de las ofertas por los contratistas con

lo cual en otro tipo de actos con efectos jurdicos se admitirn otros tipo de elementos

de autenticacin-, y la tipologa que se exige de firma electrnica es la fiable (o

avanzada) y no la reconocida.

La opcin legislativa que las Cortes Generales espaolas han tomado se adapta

perfectamente a lo previsto por la CNUDMI y en las Directivas europeas

comunitarias sobre contratacin pblica, aunque hemos de conocer, no obstante, que,

cumpliendo asimismo con la normativa europea, se poda haber optado por otro tipo

de soluciones en materia de autenticacin de las partes intervinientes en los procesos

de contratacin.

Directivas europeas: la firma electrnica es optativa.

En efecto, tanto la Directiva 2004/18/CE del Parlamento Europeo y del Consejo de

31 de marzo de 2004 sobre coordinacin de los procedimientos de adjudicacin

de los contratos pblicos de obras, de suministro y de servicios, en su Artculo

42.5. b), como la Directiva 2004/17/CE del Parlamento Europeo y del Consejo de 31

de marzo de 2004 sobre la coordinacin de los procedimientos de adjudicacin

de contratos en los sectores del agua, de la energa, de los transportes y de los

servicios postales, en su articulo 48.5.b, -Normas aplicables a las comunicaciones-,

contemplan que con arreglo al artculo 5 de la Directiva 1999/93/CE, los Estados

miembros podrn exigir que las ofertas transmitidas por va electrnica vayan





acompaadas de una firma electrnica avanzada de conformidad con lo dispuesto

en el apartado 1 de dicho artculo.

Vemos, por lo tanto, que la opcin espaola de exigir el respaldo de la firma

electrnica (reconocida o avanzada segn el sector) en determinadas fases del

procedimiento de contratacin administrativa diferentes de la de la oferta ha sido una

opcin voluntaria del legislador, decisin que no puedo sino calificar de

plenamente acertada. Y la califico de esta manera porque, a pesar de que es

indudable que introducir requisitos de firma electrnica dificulta inicialmente cualquier

procedimiento pensemos en compararlo por ejemplo con un mtodo de autenticacin

light como puede ser el de usuario y password-, las ventajas que como luego

veremos aporta la utilizacin de estas tcnicas superan con creces las

desventajas que podamos intuir, sobretodo en un procedimiento tan garantista como

es el de la contratacin administrativa, en cualquiera de nuestras legislaciones.

Firma electrnica: tiene muchas ms ventajas que inconvenientes.

Esta libre decisin del legislador espaol casa perfectamente, adems, con lo

previsto en la Directiva 1999/93/CE, de 13 de Diciembre, por la que se establece

un marco comunitario para la Firma Electrnica, la cual es imperativa ya desde

su propio prembulo, cuando afirma que la Firma Electrnica se utilizar en el

sector pblico en el marco de las Administraciones y en la comunicacin entre ellas y

con los ciudadanos y agentes econmicos (en nuestro caso los contratistas-licitadores-

adjudicatarios de nuestras contrataciones) y se subraya por ejemplo en la

contratacin pblica.

Igualmente es coherente con la traslacin que la Ley 59/2003, de 19 de Diciembre, de

Firma Electrnica, realiza del mandato imperativo recogido en ese Prembulo de la

Directiva 1999/93 que hemos visto, posibilitando el uso de la Firma Electrnica en la

Administracin Pblica. Dicha norma lo hace en diferentes preceptos, pero

especialmente en el art. 4.1 (Esta ley se aplicar al uso de la firma electrnica en el





seno de las Administraciones Pblicas) y en el art. 3.6 (El documento electrnico

ser soporte deb) documentos expedidos y firmados electrnicamente por

funcionarios).





2. DIFERENTES TIPOS DE FIRMA ELECTRNICA

La firma electrnica se define como el conjunto de datos en forma electrnica

consignados en un mensaje de datos, o adjuntados o lgicamente asociados al

mismo, que puedan ser utilizados para identificar al firmante en relacin con el

mensaje de datos e indicar que el firmante aprueba la informacin recogida en el

mismo (art. 2.a de la Ley Modelo CNUDMI sobre firmas electrnicas), definicin

similar a la contenida en el art. 2.1 de la Directiva 1999/93 de firma

electrnica, para la cual, la firma electrnica son los datos en forma electrnica

anejos a otros datos electrnicos o asociados de manera lgica con ellos, utilizados

como medio de autenticacin, o en el art. 3.1 de la Ley espaola de firma

electrnica, la Ley 59/2003. Como no poda ser de otra manera, vemos que la

funcin primordial de la firma electrnica es la identificacin o autenticacin del

firmante, la misma cualidad que exigimos a la firma manuscrita, aunque en este caso

con muchas menos garantas como luego veremos.

La firma electrnica es el conjunto de datos en forma electrnica consignados

o asociados a un mensaje con el fin de identificar al firmante.

En estas definiciones caben muchas diferentes tipologas de firma electrnica,

algunas de una calidad que puede dejar mucho que desear. Por ejemplo, una

firma manuscrita escaneada que adjunto a un escrito es una forma de firma

electrnica o incluso una firma donde yo relaciono mis datos personales tambin lo es.

Vemos que en estos casos estamos ante el supuesto de que sern unas firmas un

conjunto de datos- consignadas junto al escrito o anejas al mismo, pero en ningn caso

asociadas de manera lgica con ste, lo que les da un valor y una garanta de

autenticidad muy limitada. Este tipo de firma electrnica, y por exclusin, aquellas

que no pertenezcan a los otros dos tipos por no cumplir con sus requisitos, son los que

podemos definir como firma electrnica simple u ordinaria.





Sin embargo, en documentos con una eficacia jurdica importante y que suponen el

nacimiento de obligaciones slidas entre las partes, la salvaguardia que puede

ofrecer una firma electrnica simple es muy limitada. Pensemos por ejemplo

en que para garantizar la seriedad de la oferta nuestras legislaciones admiten

que el rgano de contratacin pueda exigir a los licitadores la constitucin de

una garanta (tambin denominada depsito o fianza) que responda del

mantenimiento de sus ofertas hasta la adjudicacin del contrato (as, p.e. lo

contempla art. 91.1 Ley 30/2007 espaola, de Contratos del Sector Pblico, cuando

desarrolla la garanta provisional, el art. 30.12 de Ley 80/1993 colombiana, por la

cual se expide el Estatuto General de Contratacin de la Administracin Pblica, cuando

permite incautar la garanta constituida para responder por la seriedad de la propuesta

si el adjudicatario no suscribe el contrato, o el art. 33 de la Ley 7494/96 de Costa

Rica, de Contratacin Administrativa, cuando regula la garanta de participacin, entre

otras normas), o que la obligacin de cumplir con el objeto del contrato con su

consiguiente contrapartida del derecho del cobro del precio del mismo- nace con la

suscripcin del contrato, por lo que la garanta de suscripcin de aquella la oferta- o

este el contrato- ha de ser plena.

Si avanzamos en el anlisis de las tipologas de firma electrnica, veremos que el art.

6.3 de la Ley Modelo CNUDMI define el concepto de firma electrnica fiable.

Dicho artculo prev que para que pueda ser considerada como fiable, la firma

electrnica ha de cumplir con cuatro condiciones:

a. Que los datos de creacin de la firma, en el contexto en que son utilizados,

corresponden exclusivamente al firmante.

b. Que los datos de creacin de la firma estaban, en el momento de la firma,

bajo el control exclusivo del firmante.

c. Que es posible detectar cualquier alteracin de la firma electrnica hecha

despus del momento de la firma.

d. Y que cuando uno de los objetivos del requisito legal de firma consista en dar

seguridades en cuanto a la integridad de la informacin a que corresponde

como es el caso de la contratacin administrativa-, es posible detectar

cualquier alteracin de esa informacin por ejemplo en la oferta- hecha

despus del momento de la firma.





La firma electrnica es fiable, si cumple 4 condiciones:

Los datos de creacin de firma corresponden exclusivamente al firmante

Esos datos estaban bajo su control.

Es posible detectar modificaciones de la firma.

Es posible detectar modificaciones del documento firmado.

De manera similar define a la firma electrnica la norma europea en el art. 2.2

de la Directiva 1999/93, y la norma espaola en el art. 3.2 de la Ley 59/2003,

aunque en ambos casos la firma no se denomina fiable, sino avanzada.

Buscando una mayor solidez en las firmas electrnicas, la ley espaola 59/2003

da un paso ms adelante y configura en su art. 3.3 el concepto de firma

electrnica reconocida (a la que tambin podramos denominar firma electrnica

fiable cualificada), que es aquella que, adems de cumplir con todos los requisitos que

hemos visto para la firma electrnica simple y para la fiable, tiene dos caractersticas

aadidas:

a. Est basada en un certificado reconocido

b. y ha sido generada mediante un dispositivo seguro de creacin de

firma





3. CONSECUENCIAS JURDICAS DE LA FIRMA ELECTRNICA

Efectos jurdicos plenos.

Como es lgico, cuando la legislacin de la Naciones Unidas, la legislacin europea o la

espaola abogan por la utilizacin de la firma electrnica en procedimientos

administrativos, es porque se concede a los documentos firmados con ella efectos

jurdicos.

La Ley Modelo que hemos venido analizando es rotunda en este aspecto. En efecto, su

art. 6.1 recoge que cuando la ley exija la firma de una persona, ese requisito

quedar cumplido en relacin con un mensaje de datos si se utiliza una firma

electrnica que sea fiable con los requisitos y en el sentido que antes hemos

estudiado-. Por su parte, su apartado segundo reafirma esta exigencia al afirmar que

el cumplimiento del requisito previsto en el apartado primero se dar tanto si el

requisito a que se refiere est expresado en forma de una obligacin como si la ley

simplemente prev consecuencias para el caso de que no haya firma.

Por su parte, en la legislacin europea, si la firma electrnica que utilizamos

cumple los requisitos para ser considerada como firma electrnica avanzada (o

fiable) o reconocida, segn el caso, sus efectos jurdicos sern plenos, pues la

legislacin prev que este tipo de firma electrnica tiene, respecto de los datos

consignados en forma electrnica, exactamente el mismo valor que la firma

manuscrita en relacin con los consignados en papel (art. 5.1 Directiva F.E. y 3.4 Ley

F.E. espaola). Como consecuencia natural, un documento suscrito con firma

electrnica reconocida es plenamente admisible como prueba documental en

juicio (art. 5.1 Directiva y 3.8 Ley espaola).

Firma electrnica = Firma manual





Valor prueba documental.

No es casualidad que a la prueba derivada de un documento firmado

electrnicamente con firma electrnica avanzada (o fiable) o reconocida en Europa se

le otorgue ese carcter de prueba documental. Antes al contrario, es por la

solidez que aporta la tecnologa de firma electrnica reconocida a la

autenticidad del firmante y a la integridad de lo firmado la que sin duda ha

motivado al legislador a darle este carcter tan privilegiado como es su

conceptuacin como prueba documental.

Pero, adems, el slo hecho de no cumplir con todos los requisitos para ser

firma electrnica avanzada o reconocida, no significa que se le niegue todo

efecto jurdico. As lo regulan los arts. 5.2 de la Directiva F.E. y 3.9 de la Ley F.E.

espaola cuando recogen que no se negarn efectos jurdicos a una firma electrnica

que no rena los requisitos de firma electrnica reconocida en relacin a los datos a los

que est asociada por el mero hecho de presentarse en forma electrnica. No tendr

la potencia probatoria de la prueba documental y deber por lo tanto complementarse

con otro tipo de pruebas que lo corroboren, pero s que tendr una cierta validez

probatoria.

Por ltimo, no podemos pasar por alto el primordial inters lgico en funcin del

sujeto que lo tiene- de la CNUDMI y la Asamblea General de la ONU en el

reconocimiento por los pases de las firmas electrnicas generadas en otros

pases y de los certificados que los contienen, con el fin de no obstaculizar el

comercio electrnico internacional, sino todo lo contrario.

La ONU Fomenta el reconocimiento internacional de las firmas electrnicas





Dedica la Ley Modelo CNUDMI de firma electrnica su articulo 12 a afirmar con

rotundidad en su apartado primero que al determinar si un certificado o una firma

electrnica producen efectos jurdicos, o en qu medida los producen, no se tomar en

consideracin:

a) El lugar en que se haya expedido el certificado o en que se haya creado o utilizado la

firma electrnica, ni b) el lugar en que se encuentre el establecimiento del expedidor o

del firmante.

En la misma lnea, su apartado segundo prev que todo certificado expedido fuera [del

Estado promulgante] producir los mismos efectos jurdicos en [el Estado promulgante]

que todo certificado expedido en [el Estado promulgante], si presenta un grado de

fiabilidad sustancialmente equivalente.

Igualmente, su apartado tercero afirma que toda firma electrnica creada o utilizada

fuera [del Estado promulgante] producir los mismos efectos jurdicos en [el Estado

promulgante] que toda firma electrnica creada o utilizada en [el Estado promulgante]

si presenta un grado de fiabilidad sustancialmente equivalente.





4. FUNDAMENTOS TCNICOS

Hemos visto hasta ahora el potencial jurdico que la firma electrnica nos aporta y que,

conviene repetirlo, la iguala a la firma manuscrita si se dan las condiciones que antes

he explicado.

Las 10 ventajas de la firma electrnica respecto a la manual

En este apartado vamos a explicar en un nivel bsico, pero creo que suficientemente

aclaratorio, cmo la tcnica que incorpora la firma electrnica nos ayuda a

mejorar las funcionalidades que nos ha aportado hasta ahora la firma

tradicional, y, al hilo de la explicacin y tratndose de los tipos de firma electrnica

ms garantistas -la firma electrnica avanzada (o fiable) o reconocida, en adelante

F.E.- iremos viendo lo que yo defino como las diez mejoras o ventajas de la

firma electrnica respecto a la manuscrita.

Pido disculpas adelantadas si algunas de las explicaciones pueden llegar a resultar

excesivamente tcnicas y por lo tanto algo ininteligibles para legos en la materia, pero

creo que pueden ser de gran inters para comprender un instrumento la firma

electrnica- que por imperativo legal antes o despus manejaremos en nuestras tareas

cotidianas relacionadas con la contratacin administrativa. Intentar introducir

solamente los tecnicismos necesarios para un cabal entendimiento de la cuestin.

4.1 Elementos lgicos y fsicos de garanta de la identidad

Bsicamente la F.E. se basa en la existencia de

sendas parejas de claves, una pblica y la otra

privada, tanto para el emisor de un mensaje

(en nuestro caso por ejemplo una oferta econmica)

o cualquier otro tipo de archivo, como para el

receptor del mismo.

La F.E. se basa en la

existencia de pares de

claves, pblicas y privadas





Para firmar el mensaje, el emisor debe de utilizar

ineludiblemente su clave privada, la cual est bajo

su exclusivo control, ya que, en los sistemas ms

extendidos y seguros, su clave privada est

encriptada en un fichero creado digitalmente por la

Autoridad de Certificacin.

1 Ventaja: Para

firmar he de utilizar

un elemento fsico.

Dicho certificado suele estar contenido en un

chip (parecido visualmente slo visualmente- al

de los que llevan generalmente las tarjetas tipo

bono-bus o monedero) insertado en una tarjeta

similar a las bancarias. Por lo tanto debo de

poseer la tarjeta para utilizar mi clave privada y

para poder firmar el mensaje.

Han ustedes de conocer que no es estrictamente necesaria la utilizacin de

tarjetas fsicas para utilizar firma electrnica, ya que se puede tambin realizar

desde, por ejemplo, una memoria de tipo USB o, sencillamente, desde un fichero que

tengamos directamente instalado en nuestro ordenador. En los dos primeros casos la

ventaja comparativa con la firma manuscrita se mantiene; no as en la tercera opcin

en la que perderamos, innecesariamente he de decir, esta garanta. Yo abogo

claramente por la utilizacin de tarjetas u otro tipo de elementos fsicos para

poder firmar electrnicamente.

Sin embargo, de lo que irremediablemente no voy a

poder prescindir para firmar electrnicamente, es

del conocimiento del PIN o clave de acceso que me

permita utilizar mi clave privada, en cualquiera de las

tres variantes que hemos visto. Por lo tanto para firmar

he de conocer dicho PIN.

2 Ventaja:Para

firmar he de conocer

un PIN.

Mientras que en el caso de la firma manuscrita cualquiera con un poco de

habilidad puede firmar suplantndome, en el caso de la F.E., nadie que no

tenga mi tarjeta (o memoria USB o fichero) y que adems no conozca cual es el

pin de acceso al certificado de firma electrnica podr firmar por mi.





Lo podr hacer solamente si yo lo consiento y lo deseo, al haberle dado en una

actuacin totalmente irresponsable- mi tarjeta y haberle revelado cual es mi pin de

acceso, pero no podr firmar con mi desconocimiento o en contra de mi

voluntad como puede suceder ahora con una firma manuscrita.

Una cuestin de tipo tcnico que favorecera enormemente la confianza del gran

publico en la F.E. sera que el acceso al uso de la clave privada se controlase

por mtodos biomtricos (tipo huella digital, control del iris del ojo, etc.),

imposibilitando definitivamente cualquier utilizacin irregular de la firma. Este tipo de

acceso controlado ya se puede requerir para, por ejemplo utilizar el propio ordenador,

y, en consecuencia, ni el coste econmico ni tecnolgico de este importante incremento

de seguridad en la utilizacin de las tarjetas de firma electrnica, suficientemente

modesto en algunas de las posibles soluciones, justifican la no implantacin de los

mismos, por lo que pueden ser una realidad en breve plazo.

Hemos de destacar que la clave privada es privada

en tal medida que incluso yo siendo el poseedor

y titular de mi certificado de F.E.- desconozco cual

es. Por supuesto, nadie que quiera demostrar si un

documento ha sido firmado por mi necesita conocer la

clave privada de mi certificado de firma electrnica.

3 Ventaja: Para

firmar utilizo una clave

que desconozco.

Por su parte, el receptor del mensaje, o cualquier otra persona, aplicando la clave

pblica del emisor, que valga la redundancia es pblica y por lo tanto es

susceptible de ser conocida por cualquiera, puede

comprobar y demostrar la identidad del

firmante, puesto que, conviene repetirlo, slo ste

con su clave privada y su correspondiente PIN ha

podido firmarlo. Con esto se garantiza la Autenticidad

del mensaje.

4 Ventaja: Con la clave

pblica demuestro

indubitadamente quien

ha sido el firmante.





Actualmente cuando abrimos un sobre que contiene una oferta, Cmo

sabemos que por el hecho de poner en la propia oferta que la misma ha sido

suscrita por fulano de tal, apoderado de determinada empresa, realmente ha sido

suscrita por el mismo? Ciertamente suponemos y damos por hecho como as habr

sido- la realizacin de la firma manuscrita, pero realmente no lo sabemos a ciencia

cierta. Con la firma manuscrita, para tener este nivel de garanta respecto al suscriptor

del documento, habra de intervenir un fedatario pblico, con los gastos, molestias y,

sobretodo, falta de confidencialidad, que ello originara.

A sensu contrario, con la utilizacin de la F.E. s sabemos sin ningn gnero de

dudas quien ha sido el firmante de la oferta recibida.

4.2 fundamentos de la criptografa

Aunque de momento estamos hablando de firma y no de cifrado del documento que

veremos al final-, para una mejor comprensin de la diferencia entre las tecnologas

simtricas y las asimtricas estas ltimas utilizadas en la F.E.-, es imprescindible dar

siquiera cuatro pinceladas muy bsicas sobre criptografa.

En primer lugar hemos de conocer su significado. Criptografa viene de las palabras

griegas Kryptos (escondido) + Graphos (escritura), es decir, significa escritura

escondida. Se trata de escribir algo de forma que otra persona que lo lea no lo

pueda entender salvo que sepa como se ha escondido (o encriptado).

Criptografa = escritura escondida

En la criptografa simtrica usamos la misma clave para cifrar (o encriptar) y

descifrar (o desencriptar). Para que el receptor descifre el mensaje es

imprescindible que conozca la clave que el emisor ha utilizado, con lo que

proporciona menor seguridad, al poderse difundir aquella clave.





Esta es el tipo de tecnologa que utilizamos por ejemplo cuando utilizamos la tcnica de

password (o contrasea) y cdigo de usuario.

En la criptografa asimtrica, puesto que se usan dos claves del emisor para

firmar, una la privada y la otra pblica, y otras dos, en su caso, para cifrar (la

privada y la pblica del receptor), ninguno de ellos necesita conocer la clave

privada del otro, por lo que el sistema es muy seguro.

La F.E. utiliza las claves privadas, que son desconocidas por todos.

Otra de los datos fundamentales de ese tipo de criptografa asimtrica es comprobar

que a partir del conocimiento de la clave pblica, que repito- por su propio

carcter de pblica puede ser conocida por cualquiera, no se puede deducir ni

obtener matemticamente la clave privada sin un esfuerzo ingente. En otro caso, si

partiendo de la clave pblica se pudiese obtener fcilmente la clave privada, el sistema

carecera de seguridad dado que cualquier podra

utilizar la clave privada atribuida a otra persona,

pero obtenida ilcitamente por un tercero

partiendo de la clave pblica.

NO se puede obtener

fcilmente la clave privada

partiendo de la pblica

Esta afirmacin de que no es posible conocer la

clave privada a partir de la pblica, se basa en una caracterstica de los nmeros primos

(nmeros enteros que no admiten otro divisor que no sea el 1 o ellos mismos) y en el

llamado problema de la factorizacin. Si A x B = C, el problema de la factorizacin es la

obtencin a partir de un determinado producto (C), de los factores cuya multiplicacin

ha dado como resultado ese producto (en nuestro caso A y B).

Los nmeros primos, incluidos los nmeros primos grandes, se caracterizan porque si

se multiplica un nmero primo por otro nmero primo, da como resultado un tercer

nmero primo, a partir del cual es virtualmente imposible averiguar y deducir los

nmeros primos que lo han producido.

El criptosistema de clave pblica ms utilizado en la actualidad es el llamado

RSA, creado en 1978 y que debe su nombre a sus tres creadores (Rivest, Shamir y

Adleman).





Este sistema criptogrfico se vale de esa caracterstica de los nmero primos y

tiene, adems, dos grandes ventajas:

a. Por una parte, -esto lo destacaban en el Hackmeeting de Barcelona del ao

2000-, an con longitudes de clave grandes, mientras el proceso de creacin

de claves la pblica y la privada- se realiza en pocos minutos (o incluso

menos), la factorizacin necesaria para obtener la clave privada

partiendo de la pblica- requiere muuuuuuuucho tiempo como se observa

en la siguiente tabla:

Tamao de la clave MIPS-ao necesarios para la

factorizacin

512 30 000

768 200 000 000

1024 300 000 000 000

2048 300 000 000 000 000 000 000

(Siendo un MIPS-ao la cantidad de clculo que llevara a cabo un ordenador capaz de

ejecutar un milln de instrucciones por segundo, en un ao.)

b. La otra gran ventaja del sistema RSA respecto a otros sistemas criptogrficos

(por ejemplo el DES) es que el tamao de las claves no es fijo, es decir,

permite que a medida que pueda comprometerse la factorizacin y por lo

tanto la seguridad- de los mdulos RSA empleados (incluso con el desarrollo de

nuevos dispositivos hardware), se puedan elegir claves de longitudes mayores

que mantengan la seguridad del criptosistema.

Como destacan en un interesantsimo estudio los profesores D. Ral Durn Daz, D. Lus

Hernndez Encinas y D. Jaime Muoz Masqu, un incremento aritmtico de la

longitud de las claves tiene un incremento exponencial de la seguridad, dicho

de manera ms clara duplicando la longitud se consigue una seguridad infinitamente

ms superior.

Incremento aritmtico de las claves = incremento exponencial de la seguridad





En efecto, aun utilizando el llamado dispositivo Twinkle (The Weizmann Institute Key

Locating Engine) para mejorar la factorizacin de nmeros grandes un dispositivo

optoelectrnico capaz de analizar 100 millones de nmeros enteros grandes y

determinar cules factorizan completamente en menos de 10 milisegundos- para

atacar un mdulo criptogrfico de 768 bits llevara 24.000 veces mas tiempo

que en caso de que el mdulo fuera de 512 bits, y si tratamos de hacerlo contra un

mdulo de 1.024 bits (el doble de 512) haran falta 65 millones de veces el tiempo

necesario para hacerlo contra un modulo de 512 bits, necesitndose 45.000 dispositivos

Twinkle, haran falta 500.000 aos para llevar a cabo la denominada criba y la memoria

necesaria para manejar la matriz necesaria sera de entre 5 y 10 Tb (un Terabite es

equivalente a 125.000 Megabytes aproximadamente).Veamos una tabla resumen:

Tamao clave (en bits) N Total Operaciones (Tiempo en bits)

428

465

512

768

1024

5,5 10 17

2,5 10 18

1,7 1019

1,1 1023

1,3 10 26

La mayora de los certificados de firma electrnica tienen un tamao de claves

de 1024, aunque, por ejemplo, el Documento Nacional de Identidad espaol

electrnico utiliza 2.048 bits.

No se asusten, con todos estos nmeros que hemos

visto, como el lgico, no pretendo que ustedes se los

estudien ni siquiera, tal vez, que los entiendan en detalle-,

sino que intento que viendo la magnitud tan desmedida

de los mismos, confen en la seguridad que la F.E.

proporciona contra los ataques informticos que pueda

recibir.

La F.E. puede ser

atacable, pero

muuuchooo menos

que la manual.





En definitiva, que se convenzan de que la F.E. puede ser vulnerable, pero con mucha,

mucha dificultad, tiempo y coste, y, por supuesto, de que es mucho ms fcil atacar

una firma manuscrita.

4.3 INTEGRIDAD - HASH

5 Ventaja: El hash

garantiza conocer si el

documento firmado ha

sido alterado

Pasemos ahora a conocer otra cuestin de vital

importancia en la contratacin administrativa, como

es la garanta que la F.E. nos aporta en relacin

con la integridad de los mensajes (en nuestro

caso ofertas), es decir, que su contenido no haya

sido alterado.

Para ello se utiliza un sistema muy ingenioso, que es el siguiente: Del mensaje

(u oferta), mediante la aplicacin de diferentes formulas matemticas, se obtiene un

HASH (tambin denominada huella digital o compendio de mensaje o resultado control

o funcin resumen) del mismo. Un hash es una funcin matemtica que asocia

valores de un dominio extenso a otro de menor rango, en definitiva un conjunto

de letras y nmeros que resumen un documento de diez, mil o un milln de pginas, da

igual su tamao original.

Un Hash es un conjunto de numero y letras,

p.e.34329A0FE33F632C8251F1AB6068979CC2F31A43, que resumen un documento.

Veamos una forma de calcular un hash bsico:





Ustedes conocern el cdigo ASCII (American Standard Code for Information

Interchange - Cdigo Normalizado Americano para el Intercambio de la Informacin),

que es una clave simtrica estndar internacional que utilizan todos los ordenadores,

por la cual se asigna a cada tecla del ordenador (letras o signos de puntuacin) un

nmero diferente equivalente. He aqu la lista de los ms significativos:

225 233 237 243 250





Para comprender como funciona un hash vamos a partir de una frase

cualquiera (Ley Modelo CNUDMI de firma electrnica 2001.) y vamos a

sustituir cada letra de este texto por su equivalente en cdigo ASCII:

L e y M o d e l o C N U D76 101 121 32 77 111 100 101 108 111 32 67 78 85 68

M I d e f i r m a e l e77 73 32 100 101 32 102 105 114 109 97 32 101 108 101

c t r n i c a 2 0 0 1 . 99 116 114 243 110 105 99 97 32 50 48 48 49 46 32

Utilizamos esos cdigos ASCII numricos- de ese texto para hacer cualquier

clculo que queramos

L e y M o d e l o C N U D76 101 121 32 77 111 100 101 108 111 32 67 78 85 68

-3.025 -4.995 -108 5.293 -476

M I d e f i r m a e l e77 73 32 100 101 32 102 105 114 109 97 32 101 108 101

128 76 -32 -342 384 -707

c t r n i c a 2 0 0 1 . 99 116 114 243 110 105 99 97 32 50 48 48 49 46 32

-1.938 13.965 64 96 968.403

En este caso, he agrupado de tres en tres letras, y aplicamos una sencilla

formula matemtica: Restamos a la 1 letra la 2 letra y el resultado lo

multiplicamos por la 3 letra. La suma de los resultados, en este caso 8.403,

es una funcin HASH que identifica plenamente el texto.





Realicemos un pequeo cambio, en este caso, sencillamente quitamos el acento

a electrnica

L e y M o d e l o C N U D76 101 121 32 77 111 100 101 108 111 32 67 78 85 68

-3.025 -4.995 -108 5.293 -476

M I d e f i r m a e l e77 73 32 100 101 32 102 105 114 109 97 32 101 108 101

128 76 -32 -342 384 -707

c t r o n i c a 2 0 0 1 . 99 116 114 111 110 105 99 97 32 50 48 48 49 46 32

-1.938 105 64 96 96-5.457

Vemos que este pequeo cambio supone que lo que antes era un hash de

8.403 pase a ser un hash de -5.457, totalmente diferente como podemos

comprobar, a pesar de que el cambio ha sido muy pequeo.

El hash detecta cualquier cambio realizado en el texto, por pequeo que sea.

Conociendo que este es el juego del hash, sigamos avanzando. Qu haremos con

nuestro mensaje para que quede meridianamente clara su integridad? Para enviar un

mensaje firmado electrnicamente:

a. Calculo (en realidad mi sistema calcula) el hash o resumen del mismo.

b. Codifico encripto- ese hash obtenido, utilizando la clave privada que est en mi

certificado de F.E.

c. Envo a mi interlocutor tres elementos: el documento, el hash codificado e

incluso mi clave pblica (en este caso por si el receptor no la conoce a pesar de

su carcter de pblica).

d. El receptor (su ordenador) en primer lugar vuelve a calcular el hash del

documento que le he enviado.





e. El receptor, adems, desencripta con mi clave pblica el hash codificado que le

he enviado.

f. Si ambos hash coinciden, sin ningn gnero de dudas se puede afirmar que el

documento no ha sido alterado.

Esta quinta ventaja que hemos visto supera ampliamente la situacin actual,

porque Cmo s yo, miembro de la mesa de contratacin la entidad

responsable de la tramitacin del expediente de contratacin-, que el documento que

contiene la oferta no ha sido alterado? Acaso hay algn fedatario pblico que lo

certifique? Es suficiente garanta que pueda llevar una firma manuscrita

(supuesta firma manuscrita dira yo) en la solapa de cierre del sobre que la

contiene? Con el sistema de F.E., sin embargo, no puedo tener, ni tengo

ninguna duda sobre su integridad.

La funcin HASH que hemos visto en nuestro ejemplo tiene un objetivo

didctico y por ello es excesivamente bsica y fcil de atacar. Sin embargo, las

tcnicas que se aplican en la F.E., al objeto de garantizar aun ms la seguridad del

sistema, tienen que cumplir con cuatro caractersticas:

a. Todos los HASH que se generen con un mismo sistema tienen el mismo

tamao sea cual sea el de los datos originales; es indiferente que sea una

sola lnea o un archivo de 50 Mb.

b. Dado un texto base es fcil y barato, para un ordenador, calcular su

HASH. Si el archivo es pequeo el clculo es instantneo, para uno de 50 Mb

slo tarda unos pocos segundos.

c. El nmero de operaciones que se realizan para su obtencin hace que sea

imposible reconstruir un texto base a partir de su HASH.

d. Es prcticamente imposible que dos textos diferentes tengan un mismo

HASH, dado el nmero tan alto de combinaciones posibles.

Es prcticamente imposible reconstruir el texto base a partir del hash o que

dos textos diferentes tengan el mismo hash.





Si calculamos el hash de la frase que antes he utilizado para el ejemplo (Ley Modelo

CNUDMI de firma electrnica 2001.), podremos comprobar que es el siguiente:

DF4188E0A41D138F5263E8F43D200E0793FACE5B. Para resumir esa

sencilla frase en esa combinacin de letras y nmeros, el sistema ha realizado

mltiples operaciones que llenan ms de doscientas paginas el documento est

disponible para el que lo desee-, con mltiples operaciones tan complejas como

A= E + F(B, C, D) + (A




SHA-1 ha sido examinado muy de cerca por la comunidad criptogrfica pblica, y no se

ha encontrado hasta ahora ningn ataque efectivo. Ello no obstante, la resistencia de

este algoritmo SHA-1 se ha visto comprometida a lo largo del ao 2005, despus de

que el otro de los grandes algoritmos, el MD5, adems de otros, quedara seriamente

comprometido en el 2004 por parte de un equipo de investigadores chinos. Por ello el

tiempo de vida de SHA-1 ha quedado visto para sentencia y seguramente evolucionar

para volverse a hacer inatacable.

A modo de otros ejemplos, podemos ver que:

a. El HASH obtenido con el mtodo SHA-1 que correspondera a un mensaje simple

como mi oferta es de 5.000.000 es

BEEA8D2E53F697A4223296CC657893DCF5210B8C, mientras que, cambiando

mnimamente la cifra y el mensaje a mi oferta es de 5.000.001 vemos que en

este caso tras este cambio su HASH es

34329A0FE33F632C8251F1AB6068979CC2F31A43, absolutamente diferentes

como se puede comprobar.

b. En ese otro de los sistemas habituales, el MD5 (Message-Digest Algorithm 5,

Algoritmo de Resumen del Mensaje 5) los hash son

870B2FF2A34B6730E1C1A547ABA65156 y

883B57112DDE6F4FB3A611482AACBE21, respectivamente.

4.4 cifrado de los ficheros

Con lo que hasta ahora hemos visto, cualquier persona puede conocer y comprobar el

mensaje enviado. Sin embargo, puede suceder que no queramos que cualquiera lo

pueda hacer, si no slo alguna o algunas personas determinadas, como sucede en el

caso que nos ocupa: enviar una oferta en un procedimiento de contratacin

administrativa.

6 Ventaja: Cifrando el

documento contra la

clave pblica del

destinatario, slo quien

Esta necesidad, ciertamente inherente a la

contratacin administrativa, tambin tiene una

respuesta adecuada con la utilizacin de las

tecnologas que soportan la firma electrnica.





Para garantizar la confidencialidad de un documento, lo encriptaremos con la

clave pblica del destinatario, con lo que slo ste, con su clave privada, que

recordemos est protegida por su tarjeta de firma electrnica y su correspondiente

PIN, ser capaz de descifrarlo y conocer su contenido.

Un vez ms, en este aspecto tenemos una superior garanta en relacin con la

utilizacin de la firma manuscrita convencional, porque exagerando mucho el

argumento sin que nadie se me alarme- en la actualidad la ofertas estn en las

mesas de los funcionarios a la espera de cualquiera que quiera conocerlas

con anterioridad a su apertura oficial, puesto que probablemente no estn

depositadas en una caja de seguridad con un agente custodindolas permanentemente,

cosa que s pasa valga la comparacin- con la firma electrnica reconocida.

Para analizar el encriptado de ofertas electrnicas, y no de cualquier otro tipo de

documento, estudiaremos aqu los requisitos que las Directivas Europeas de

contratacin imponen para ello -la Directiva2004/18/CE analiza los requisitos

relativos a los dispositivos de recepcin electrnica de las ofertas, de las solicitudes de

participacin en su Anexo X-.

Esta Directiva, exige la utilizacin de la F.E., porque el apartado a) del citado Anexos

X elimina de plano la posibilidad de utilizar un sistema de los tpicos de

USUARIO y CONTRASEA para firmar suscribir- las ofertas, ya que prev que los

sistemas de licitacin han de ajustarse a las disposiciones nacionales en aplicacin de

la Directiva 1999/93/CE (Directiva sobre la Firma Electrnica). Otras legislaciones si

que admiten el acceso de usuario y contrasea en la contratacin electrnica,

pero es claro que ello hace perder todas las garantas que en este estudio estamos

analizando y, en cualquier caso, solo es razonable que nos acojamos a esta

posibilidad de acceso ligth si se trata de empresas que estn participando en el

tipo de compras de material homologado o similar- y que ya han sido

seleccionadas con anterioridad a la presentacin de ofertas en este tipo de compras.

Pero, nos vale cualquier sistema con el nico requisito de que utilice F.E.? Para

conocer la respuesta analicemos el citado anexo. Del anlisis concluiremos que hay un

conjunto de requisitos que s pueden cumplir todos los sistemas que la

utilicen, a saber:





Cualquier sistema de firma electrnica garantiza el control de acceso a las

ofertas y la determinacin de las diferentes horas y fechas.

a. Hay un conjunto de requisitos que inciden en la necesidad de controlar el acceso

al sistema y por lo tanto a las ofertas. La primera parte del apartado c) dice que

ha de garantizarse razonablemente que nadie tenga acceso a los datos

transmitidos, el apartado d) que en caso de violacin de esa prohibicin de

acceso, pueda garantizarse razonablemente que la violacin pueda detectarse

con claridad, el apartado e) que nicamente las personas autorizadas y el

apartado h) que los datos recibidos slo (han de ser) accesibles a las personas

autorizadas a tener conocimiento de los mismos".

Garantizar el control de acceso a cualquier tipo de sistema informtico es una

condicin imprescindible, y ms s hablamos de procedimientos de contratacin, en

los que el conocimiento no autorizado de las ofertas conculca radicalmente el principio

de igualdad que preconiza cualquier legislacin de contratacin pblica. No obstante,

esta garanta es un elemento que casi se le ha de suponer a cualquier sistema

informtico y desde luego a cualquiera que utilice F.E...

Hay dos elementos suplementarios que tenemos que tener en cuenta: Puesto que

la oferta electrnica circula por la red, la encriptacin de la misma, y por lo

tanto su proteccin, se ha de hacer en el ordenador del licitador, antes de que se

enve a la administracin, y no en los ordenadores de sta ltima. Adems,

podemos incrementar la seguridad en el control de acceso s el ingreso de los

funcionarios en el sistema, no se produce, a su vez, mediante la utilizacin del

sistema de usuario y password, sino mediante la necesidad de identificarse mediante la

utilizacin de su certificado de F.E... Cuidando estas circunstancias, la oferta es

absolutamente inviolable.





b. Existe otro conjunto de requisitos relativos, en este caso, a diferentes

fechas relevantes en el procedimiento administrativo y/o en el sistema. En

efecto, el apartado b) exige que se pueda determinar con precisin la hora

y la fecha exactas de la recepcin de las ofertas, la segunda parte del

apartado c) obliga a garantizar razonablemente que nadie tenga acceso (a la

oferta)antes de que finalicen los plazos establecidos, la segunda parte del

apartado g) lo reitera al contemplar que slo pueda darse el acceso (a la

oferta) despus de la fecha especificada".

Cualquier sistema que utilice la F.E. puede, y debe garantizar estos requisitos,

pero le hemos de aadir dos circunstancias que elevarn considerablemente el

cumplimiento del requisito.

Ciertamente, s tanto a la hora y fecha del sistema informtico, como a la hora y fecha

de presentacin de la oferta le aadimos el requisito de que sea un tercero (la

Autoridad Certificadora de F.E.) el que la determine y la controle (el llamado Time

Stamping), imposibilitamos la manipulacin de la misma la fecha o la hora- por

parte de la administracin. Adems, por otro lado, hemos de facilitar el acuse de

recibo automtico cuando el licitador presenta su oferta telemticamente, pues

as podr demostrar el momento en que lo ha hecho.

Pero, sin embargo, hay dos requisitos que no son tan sencillos de cumplir:

c. y d. Son los previstos en el apartado f) cuando prev que en las diferentes fases

del procedimiento de licitacin de contratos o del concurso, slo la accin

simultnea de las personas autorizadas puede permitir el acceso a los

datos presentados, mientras que el apartado g) recalca que la accin

simultnea de las personas autorizadas slo pueda dar acceso despus de la

fecha especificada a los datos transmitidos.

Es ms complicado que el sistema de firma electrnica garantice que el control

de la oferta quede en manos de, al menos, dos personas.

En la actualidad hay dos estrategias diferentes de cifrado y descifrado de las

ofertas siendo ambas, claro est, realizadas con tecnologa de F.E.-:





a. La primera de ellas es cifrar las ofertas contra los datos del certificado

de F.E.- de cada concurso.

b. La segunda de ellas es la que utiliza el Modelo Vasco de Contratacin

Pblica Electrnica, prevista en la Orden de 16 de Agosto de 2004, de la

Consejera de Hacienda y Administracin Pblica del Gobierno Vasco, sobre

tramitacin telemtica de determinados procedimientos y actuaciones previstas en

la legislacin de contratos de las Administraciones Pblicas, en cuyo art. 14.2 se

seala que el cifrado de las ofertas se realizar contra las claves pblicas

de los miembros de la mesa de contratacin. Las citadas claves se

publicarn en el anuncio de licitacin o invitacin a licitar en el expediente

concreto de que se trate. Para su recomposicin y descifrado ser necesaria

la participacin en el acto de apertura, del qurum legalmente necesario

de miembros de la mesa con sus correspondientes certificados de F.E..

En el MVCPE se garantizan todos los requisitos. Se cifran las ofertas contra las

claves pblicas de los miembros de la mesa de contratacin.

La necesidad de la accin simultnea queda absolutamente garantizada con

esta segunda solucin, mientras que es menos slida con la primera de ellas, ya que,

en algn momento o en todo-, alguna persona tendr en su poder los elementos que

permiten descifrar la oferta: el certificado digital del concurso/sobre con el que,

identificndose con el PIN que su poseedor conoce, puede acceder a la clave privada.

De una manera grafica podemos observar como es esta segunda forma de actuar y

para ello conoceremos el esquema de funcionamiento de la licitacin electrnica

del MVCPE:





Al dar de alta una licitacin electrnica en el servidor del Gobierno:

El licitador, en su propio ordenador





Envo de las ofertas con la tecnologa de seguridad SSL que explicaremos ms adelante:

El da de la apertura, con las claves privadas de los miembros de la mesa de contratacin, una vez llegada la hora prevista





Este sistema es el que sirvi de base a la recomendacin

de los servicios de la Unin Europea relativa a la

utilizacin en la contratacin electrnica del principio de

los Cuatro Ojos (dos funcionarios necesarios para

conocer las ofertas), como una de las prcticas recomendadas.

Recomendacin

de la UE

No obstante, es cierto que organizativamente la aplicacin de este segundo

procedimiento tiene dos dificultades aadidas:

a. La primera es la indudable mayor problemtica que supone tener que dotar de

certificados de firma electrnica a muchos, posiblemente la mayora, de los

funcionarios y cargos de una Administracin, pues cualquiera de ellos suele

ser habitual u ocasionalmente miembro de una mesa de contratacin. Por lo

tanto, slo es una decisin factible de llevar a cabo si la tomamos inmersa

en una estrategia de introducir la firma electrnica de manera

generalizada en nuestra administracin; pero esto va a ser as antes o

despus en todas las organizaciones, mejor antes que despus.

b. En segundo trmino, la concurrencia imprescindible de conseguir para

desencriptar la oferta es la del qurum de miembros de la mesa que estaban

nombrados en el momento de la publicacin del anuncio de licitacin,

pues es contra las claves pblicas de esas precisas personas contra las que se

encripta la oferta, no pudiendo ser modificadas con posterioridad.

Puede, y suele haber traslados, bajas por enfermedad, etc., en definitiva,

modificaciones en la composicin de una mesa ya constituida. Es

conveniente minimizar esta problemtica dotando de certificados de firma

electrnica a todos los miembros de la mesa, es decir, incluyendo a los

titulares y a los suplentes, con lo que la posibilidad de que no pueda haber

qurum con la asistencia de miembros originarios de la mesa sea prcticamente

nula.

Pero, a sensu contrario, en este aspecto organizativo tambin tiene otra

ventaja indudable respecto al otro sistema de utilizacin de firma electrnica:





Una vez elaborados y distribuidos los certificados de firma electrnica, que son personales de cada uno de los miembros de la mesa, cada titular de

los mismos los puede utilizar en todas las mesas en las que participe, as

como en otros procedimientos de la administracin que requieran de

firma electrnica, mientras que con el otro sistema, para cada

procedimiento de contratacin, sin solucin de continuidad, la autoridad

certificadora de firma electrnica ha de generar un nuevo certificado con sus

correspondientes claves pblica y privada, su PIN, su eventual materializacin en

un elemento fsico como es una tarjeta de plstico, etc., lo cual

organizativamente tambin es muy complicado de hacer si adems no

disponemos de mucho tiempo para llevarlo a cabo, como suele pasar con

frecuencia en las contrataciones administrativas.

Cual de los dos sistemas es mejor? Juzguen ustedes mismos

4.5 SSL - SECURE SOCKET LAYER

Por otro lado, esta caracterstica de inviolabilidad de la oferta que hemos

estudiado, aunque ya de por s ofrece plenas garantas respecto a la

imposibilidad de conocimiento de la oferta as encriptada, como ya hemos visto, no

est de ms prever que nuestro sistema de licitacin electrnica siga la estrategia de

complementar su seguridad con la utilizacin de las tcnicas de envo seguro

en la red. Me estoy refiriendo a la utilizacin para el envo de ofertas de

protocolos de transmisin seguros, como puede ser el ms conocido de ellos, el

denominado SSL.

Complementar la

seguridad mediante

envo SSL. Nunca

sustituir a la F.E.

Este protocolo Secure Socket Layer (SSL), a los

efectos de agilizar la transmisin de datos utiliza

una forma de encriptacin mixta simtrica-

asimtrica.





Para ello, proporciona servicios de seguridad cifrando los datos intercambiados entre el

servidor y el navegador con un algoritmo de cifrado simtrico ms ligero, y por lo

tanto ms rpido-, pero cifrando esa clave simtrica utilizada, denominada clave de

sesin, que se genera de manera aleatoria, mediante un algoritmo de cifrado

asimtrico.

Este cifrado asimtrico de la clave de sesin se realiza contra la clave pblica del

receptor del envo, de tal manera que slo l lo pueda descifrar con su clave privada y,

por lo tanto, conocer cual es la clave de sesin. Nadie que pudiera interceptar en la red

informtica la clave de sesin cifrada podra descifrarla para conocerla.

Cmo funciona este sistema de transmisin?

a. El servidor al que voy a enviar la oferta y mi ordenador se ponen en contacto para

ver cual es el nivel mximo de seguridad que ambos admiten.

b. El servidor generar una clave de sesin con la que luego encriptar la

transmisin de la oferta (encriptacin simtrica).

c. Para enviarme la clave de sesin y garantizar que soy el nico que la conoce,

siguiendo la tcnica de encriptacin asimtrica que he explicado con

anterioridad, el servidor la encriptar contra la clave pblica que ha

generado mi ordenador.

d. Solamente mi ordenador, cuando reciba la clave de sesin encriptada y la

relacione con la clave privada que tambin ha generado l con anterioridad,

ser capaz de conocer la clave de sesin.

e. Conocida la clave de sesin por el servidor y por mi ordenador y solamente por

ellos-, la informacin que se transmita encriptada con esa clave se sesin

nicamente podr ser conocida por ambos y no por ningn otro ordenador que

pudiera interceptar la oferta.

Pero cmo podemos saber si realmente estamos ante un sistema de

transmisin seguro soportado por la tecnologa SSL y no ante una imitacin

fraudulenta del mismo?





a. En primer lugar, al acceder a una pagina segura, seguramente nos aparecer un

mensaje similar a este

b. Si la autoridad de certificacin que avala la transaccin no es conocida ni

reconocida- por usted por no haber trabajado con ella con anterioridad o por no

ser de su confianza, le aparecer un mensaje similar a

c. Adems, si examinamos la pagina Web segura que se nos abre en nuestro

navegador de Internet y para ello valga de ejemplo la pagina de licitacin

electrnica del Gobierno Vasco, www.contratacion.info, dentro del portal

www.euskadi.net-, nos hemos de fijar en que tenga dos caractersticas:





https +candado cerrado

= transmision segura

En la barra de direccin, veremos que en vez del

clsico inicio http (HyperText Transfer Protocol -

protocolo de transferencia de hipertexto), se inicia

con https. Esa letra s significa la seguridad de

la transmisin. Tambin veremos en la esquina inferior derecha la

representacin grafica de esa seguridad, mediante el smbolo de un candado cerrado

tanto si utilizamos el navegador Internet Explorer, Mozilla Firefox

otros navegadores-.

u

d. Si nos situamos con el ratn del ordenador encima del candado, veremos

que nos reafirma que estamos utilizando en protocolo SSL y adems nos

indica el grado de seguridad que tendr nuestra transmisin en este caso 128

bits- .

e. Si hacemos doble clic sobre el candado nos aparecern los datos sobre la

entidad certificadora que nos garantiza la seguridad de la transmisin en

este caso de la pagina segura del banco BBVA-





Compruebe quien es la

entidad certificadora que

garantiza la transmisin

segura

f. Puede ser que conozcamos la entidad certificadora y la demos por buena, o si

queremos conocer ms de ella, pincharemos en declaracin del emisor y

veremos cual es su poltica de certificacin, con el objeto de ver si nos

convence o no.





g. Por ltimo, puedo conocer la ruta de certificacin del certificado que

garantiza la seguridad de la transaccin. Puede que desconfe del emisor de la

certificacin o que no lo conozca, pero con esta comprobacin puedo conocer en

caso de que exista- quien es el certificador de cabecera que me garantiza que

ese emisor del certificado es competente y seguro. Es aqul el que me garantiza

la seguridad de ste y si encuentro en la ruta algn certificador de mi

confianza, sabr que el certificador de la cola de la ruta tambin es

seguro

Estas precauciones que hemos visto para la oferta, sirven tambin como explicacin

para no caer en la trampa, cada vez ms extendida -llamada phising- por la que

imitando la pagina Web de alguna entidad bancaria o de otro tipo- en Internet, y

abusando de nuestra buena fe, algunos delincuentes cibernticos pretenden hacerse

con el conocimiento de nuestras claves de cliente y cdigos de acceso a nuestras

cuentas bancarias o tarjetas de crdito.

Hemos de distinguir entre

lo que es y lo que

aparenta ser.

Ojo! Tenemos que aprender a ver lo que es, no

lo que aparenta ser. Y me explico un par de

ejemplos de emails que recib intentando que picara

el anzuelo.





Primer ejemplo. Este es un email que recib para pedirme mis datos de eBay, la famosa

pagina Web de subastas a la que estoy suscrito. Como pueden ustedes ver, la direccin

de Internet no tena la s despus de http

Cuando entr en la pgina Web, ya comprob que, efectivamente, no tena ni la s ni el

candado cerrado que he comentado antes:

Desde que recib el email y con esta sencilla doble comprobacin ya tena claro que no

era una pgina con un protocolo de transmisin de datos seguro y por lo tanto no haba

ninguna autoridad de certificacin de firma electrnica que soportara la transaccin de

los datos.

Sin embargo entre el email recibido y la pgina visitada hay una diferencia de la que

algunos de ustedes se habrn dado cuenta, pero otros muchos seguramente no. Es una





diferencia que puede parecer sutil, pero que tiene mucha importancia para saber la

fiabilidad de un email que recibamos y de la pgina Web en la que nos piden que demos

determinados datos.

En efecto, en la direccin de Internet que viene en

el email, lo que aparece en la parte

inmediatamente anterior a la primera barra / es

ebay.com; sin embargo, en la direccin real de la

pgina Web lo que aparece en ese lugar es

mimosend.hk un dominio ubicado en Hong kong-

. Si que aparece ebay.com, pero ms a la izquierda, para que pensemos que es

lo mismo cuando en realidad no lo es.

El lugar que ocupa cada

palabra en una

direccin de Internet es

importante.

Esta diferencia puede hacer que nos dirijamos a una pgina Web fraudulenta y que

demos nuestros datos a quien no se los debemos de dar. En el primer caso el titular

del dominio de Internet es el titular del dominio ebay.com seguramente ebay,

pero no con una seguridad al 100% porque algunos dominios no estn vinculados

necesariamente con los titulares de las marcas, aunque si vamos a ebay.com podremos

investigar si nos parecen paginas solventes o fraudulentas-, mientras que en el

segundo caso el titular del dominio y por lo tanto de la pgina- es el que sea

titular de mimosend.hk, que pueden ustedes apostarse algo a que no es

precisamente ebay.

Segundo ejemplo. Veamos ahora otro ejemplo de otro email fraudulento que recib,

para intentar dejar ms clara la cuestin.

En este caso es un email aparentemente de un banco online en el que he de confesar

que no tena cuenta corriente abierta, por lo que el fraude era evidente-.





Este email aparentemente pareca que me iba a llevar a una pagina segura del banco

la famosa s apareca en la direccin de Internet-. Esta apariencia era muy poco slida,

ya que cuando situaba el puntero del ratn sobre esa direccin de Internet, me

desvelaba la pgina a la que realmente me iba a llevar:

Comprobamos aqu otra vez la doble trampa: la famosa s ha desaparecido y el dominio

de Internet no es openbank.es, sino 5098265.cn un dominio situado en china-

Al hacer clic sobre el enlace que vena en el email me llevaba a:





Redireccionndome, por cierto a otro dominio: 083452.cn, pero, claro est, sin la

famosa s ni el candado cerrado.

Hay que tener en cuenta que las comprobaciones que hacemos sobre las pginas

Web y que he recomendado realizar-, las ejecuta nuestro propio navegador de

Internet y por lo tanto es extremadamente difcil que el ciberdelincuente las

simule. No es lo mismo que en el email, donde si se pueden simular con facilidad

determinados elementos.

4.6 El no repudio

Queda un ltimo aspecto importante a garantizar por

la firma electrnica: Hablamos del denominado No

Repudio. Ello significa que ni el emisor ni el

receptor del mensaje puedan negar la

transmisin del mismo.

7 Ventaja: La F.E.

garantiza el no repudio de

la transmisin.

El No Repudio en origen es claro con lo que he explicado hasta ahora y no

puede ser aducido por el firmante del documento. Sin embargo, el No Repudio

en destino es ms complicado de garantizar y para ello cabran bsicamente tres

posibilidades:

a. La primera de ellas consistira en obligar al destinatario a una especie de

acuse de recibo del mensaje que ha de firmar electrnicamente el receptor

para poder tener conocimiento de su contenido. En este caso, la decisin de

recibir y conocer o no el mensaje queda excesivamente a cargo del receptor del

mismo, y, adems, tcnicamente es ms complicada que cualquiera de las otras

dos que vamos a estudiar a continuacin.

b. La segunda es mediante la intervencin de una tercera persona

(denominada Tercera Parte Confiable) que certifica el recibo del mensaje,

normalmente mediante el Time Stamping o Sello de Tiempo. Esta solucin

supone unos costes aadidos por la intervencin de esas personas ajenas a la

transaccin original.

c. La tercera, posibilitando que la transaccin se realice en nuestros propios

servidores, para poder demostrar con ello el momento del acceso al

documento.





Para entender esta tercera posible solucin hay

que conocer cual es la problemtica del no

repudio en destino. En este sentido, la

dificultad deriva de que voy a enviar un

mensaje a una persona que tiene su cuenta

de correo electrnico en un servidor

diferente al mo, y que adems puede estar

ubicado en cualquier pas del mundo. A sensu contrario, si le envo el

mensaje a un destinatario cuyo correo electrnico est en mi mismo

servidor, ste me puede certificar con precisin el momento tanto de la

recepcin como de la lectura del mismo, -esto lo conocemos todos los que

utilizamos en nuestras empresas o Administraciones el correo electrnico-.

La solucin es por tanto facilitar al receptor de mensajes una especie de correo

electrnico que est en mi servidor corporativo que me garantice el no repudio

en destino.

Esta solucin es la que hemos adoptado la mayora de las

Administraciones Pblicas que notificamos electrnicamente a nuestros

ciudadanos y empresas.

La mejor solucin para

evitar el repudio en

destino es depositar las

notificaciones en nuestro

propio servidor.

Obtendremos de esta manera la sptima ventaja de la firma electrnica sobre la

manuscrita: nadie nos podr decir que no fue l el que suscribi la oferta esa

oferta y no otra- que nos envi, y en el momento preciso en el que nos la

envi.





5. FUNDAMENTOS ORGANIZATIVOS

Ya he demostrado que tanto desde un punto de vista jurdico, como de un punto de

vista tcnico, la utilizacin de firma electrnica en los negocios jurdicos que las

Administraciones y los particulares realizamos es, desde todo punto de vista,

el modelo vasco de contratación electronica

Documents