Continuamos con el segundo apartado. Hoy el foco será técnico, los conceptos técnicos que serán tratados son:
Firma Electrónica Avanzada y Simple.
PIN, Clave, Password o Contraseña.
Presencialidad es distinto de electrónico.
Introducción a Biometría.
¿Dónde se utiliza la biometría?
La seguridad en la biometría.
Comencemos…
La Firma Electrónica.
La regulación chilena (Ley 19.799 “Sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma) distingue dos tipos de firma, la formalmente reconocida como Firma Electrónica Avanzada (su sigla coloquial es FEA), que tiene protocolos asociados a su entrega al dueño de ella, esta solución digital permite firmar documentos electrónicos y el firmante puede ser identificado y validado legalmente certificando la integridad del contenido y confidencialidad de la información del documento. Además, existe la denominada Firma Electrónica, la que desde este punto será denominada Firma Electrónica (su sigla coloquial es FE); que al no existir una definición formal y legal como tal se ha entendido que es todo complemento que permita “al receptor de un documento electrónico identificar al menos formalmente a su autor”. Hay algunos teóricos que plantean que existiría una tercera firma, la propia destinada a ser utilizada por el estado, cuestión que es abordada en el “TITULO II Uso de Firmas Electrónicas por los Órganos del Estado” de la ley en cuestión, exceptuando a las empresas públicas creadas por ley, “las que se regirán por las normas previstas para la emisión de documentos y firmas electrónicas por particulares”.
Por contrapartida, La Ley 19.799 “Sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma, señala en su artículo 2º.- Para los efectos de esta ley se entenderá por: … “g) Firma electrónica avanzada: aquella certificada por un prestador acreditado, que ha sido creada usando medios que el titular mantiene bajo su exclusivo control, de manera que se vincule únicamente al mismo y a los datos a los que se refiere, permitiendo la detección posterior de cualquier modificación, verificando la identidad del titular e impidiendo que desconozca la integridad del documento y su autoría, y h) Usuario o titular: persona que utiliza bajo su exclusivo control un certificado de firma electrónica, i) Fecha electrónica: conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se ha efectuado una actuación sobre otros datos electrónicos a los que están asociados»
El artículo 5°, Nº2 de la Ley N° 19.799 establece que «los que posean la calidad de instrumento privado, en cuanto hayan sido suscritos con firma electrónica avanzada, tendrán el mismo valor probatorio señalado en el número anterior. Sin embargo, no harán fe respecto de su fecha, a menos que ésta conste a través de un fechado electrónico otorgado por un prestador acreditado”.
En Chile, la Ley 19.799 sobre documentos electrónicos, firma electrónica y servicios de certificación de dicha firma, indica en su artículo segundo, inciso “e”, que la Entidad Acreditadora es la Subsecretaría de Economía, Fomento y Reconstrucción, actualmente denominada Subsecretaría de Economía y Empresas de Menor Tamaño. Dicha Ley está reglamentada mediante el Decreto Supremo 181 de 2002. A septiembre de 2020 las empresas autorizadas a operar son:
E-CERT CHILE
Acreditación: Acreditada según R.A.E. Nº 317, de 14 de agosto de 2003, de la Subsecretaría de Economía, Fomento y Reconstrucción.
ACEPTA.COM
Acreditación: Acreditada según R.A.E. Nº 650, de 21 de octubre de 2004, de la Subsecretaría de Economía, Fomento y Reconstrucción.
E-SIGN S.A.
Acreditación: Acreditada según R.A.E. Nº 330, de 1 de junio de 2005, de la Subsecretaría de Economía, Fomento y Reconstrucción.
CERTINET S.A.
Acreditación: Acreditada según R.A.E. Nº 380, de 21 de julio de 2006, de la Subsecretaría de Economía, Fomento y Reconstrucción.
E-PARTNERS (Paperless)
Acreditación: Acreditada según R.A.E. Nº 172, de 30 de enero de 2013, de la Subsecretaría de Economía, y Empresas de Menor Tamaño.
TOC
Acreditación: Acreditada según R.A.E. Nº 1902, de 17 de junio de 2016, de la Subsecretaría de Economía y Empresas de Menor Tamaño.
BPO-Advisors (IDok)
Acreditación: Acreditada según R.A.E. Nº 3696, de 06 de noviembre de 2017, de la Subsecretaría de Economía y Empresas de Menor Tamaño.
Thomas Signe
Acreditación: Acreditada según R.A.E. Nº 442, de 12 de febrero de 2020, de la Subsecretaría de Economía y Empresas de Menor Tamaño.
(Fuente: https://www.entidadacreditadora.gob.cl/entidades/, última visita 14/02/2021)
En aquellos casos en que sea requerida la firma del trabajador o de ambas partes, bastará para la validez del instrumento una firma electrónica, cuyas características se ajusten a lo dispuesto en el artículo 2º letra f) de la ley N°19.799, cuyo texto es el siguiente: “Para los efectos de esta ley se entenderá por:
…f) Firma electrónica: cualquier sonido, símbolo o proceso electrónico, que permite al receptor de un documento electrónico identificar al menos formalmente a su autor;”
De dicho artículo se desprende que se trata de una definición sumamente amplia, lo que permite incluir una gran variedad de opciones. Al mismo tiempo, de las normas referidas en los párrafos que anteceden es posible concluir que, salvo situaciones específicas, el proceso de firma electrónica puede ser realizado de manera remota, vale decir, sin contar con la presencia física de las partes en un lugar determinado.
PIN, Clave, Password o Contraseña.
El PIN[i] es un número de identificación personal utilizado en ciertos sistemas, como el teléfono móvil o el cajero automático, para identificarse y obtener acceso a él. El PIN es un tipo de contraseña. Solo la persona que utiliza la solución conoce el PIN que le da acceso al sistema; ese es su propósito. El PIN tiene que ser suficientemente seguro para evitar la intromisión no autorizada al servicio que resguarda.
Frecuentemente, el PIN es un código de 4 dígitos[ii], en el rango de 0000 al 9999, por lo que hay 10000 códigos diferentes que el usuario puede asignar.
Respecto del caso que las plataformas de Documentos Laborales Electrónicos utilicen para la identificación de los trabajadores claves, pin, contraseña o password, las soluciones deben considerar la alternativa que permita al trabajador modificarla a su elección las veces que considere necesario, sin más restricciones que los parámetros mínimos de seguridad, por ejemplo, cantidad de números, letras o uso de mayúsculas.
Presencialidad es distinto de electrónico.
Se refuerzan dos conceptos, primero firma electrónica, que ya se ha definido; segundo, presencial y remoto. Remoto es el término que permite referirse a aquello que se encuentra a una cierta distancia, retirado o alejado y presencial, alude al término que tiene como significado más frecuente la condición de alguien o de algo que se encuentra en un cierto lugar. La firma electrónica permite realizar el proceso independiente de la cercanía de la persona (presencial o remoto), solo dependiendo de la herramienta técnica que permita validar el proceso de identificación.
En resumen, es posible concluir que, salvo situaciones particulares, el proceso de firma electrónica puede ser realizado de manera remota, vale decir, sin contar con la presencia física de las partes en un lugar determinado. Un ejemplo de esas particularidades será la asistencia a cursos o exposiciones, en donde junto con verificar la identidad se verificará la asistencia física.
De manera común el ser humano se ha identificado mirando a las caras, escuchando las voces, viendo la forma en que se mueve la gente o mediante la escritura. La biometría (del griego bios vida y metron medida) “es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos físicos o conductuales intrínsecos” (Colaboradores Wikipedia, 2019).
Antiguamente, la humanidad no tenía otra alternativa para identificarse más allá de la exploración física de las personas, esta era la única forma de verificar su identidad, sin embargo, esto ya no es aplicable considerando la necesidad de garantizar (Colaboradores de Wikipedia, 2019) la identidad de las personas en las distintas aplicaciones de la biometría. Las tecnologías de la información y la comunicación (TIC), permiten que actualmente se pueda automatizar la verificación de identidad utilizando métodos automatizados, apoyándose en la biometría.
En cada caso de uso de la biometría, se mide cierta combinación de las características y se comparan con registros almacenados para verificar, las características comparadas son regularmente físicas. También existen procesos que operan con el comportamiento, por ejemplo, una secuencia de teclas para ingresar una palabra o una frase.
En cada viaje realizado en un aeropuerto, se verifica la identidad de las personas, en algunos cajeros automáticos al retirar dinero, se espera ser la única persona que pueda acceder a esos servicios con completa seguridad. Estas aplicaciones de la biometría, que resuelven la necesidad de identificación, son producto del desarrollo de esta tecnología. Actualmente existen tres categorías principales de aplicaciones biométricas: forense, gubernamental (pasaportes, cedulas de identidad) y comercial (cajeros automáticos, tarjetas de crédito, tarjetas de retail).
La aplicación masiva de la biometría, cuyo objetivo es identificar personas únicas, busca asegurar que las soluciones son fiables, seguras, interoperables y de fácil uso. Lo anterior se resuelve mediante la normalización de reglas que hacen posible distinguir perfectamente a los individuos y además normas para proteger los datos biométricos de las personas, para resguardar su privacidad y para evitar los ciber ataques que terminan en fraudes y suplantación de identidad. La Organización Internacional de Normalización (originalmente en inglés: International Organization for Standardization, conocida por la abreviación ISO) entrega la definición de biometría: «Es el reconocimiento automático de los individuos en función de sus características biológicas y de comportamiento» (Colaboradores de Wikipedia, 2019).
¿Dónde se utiliza la biometría?
La biometría se puede utilizar en la mayoría de los procesos en donde la identificación de una persona es relevante. Esto desde los notebooks donde el escaneo de la huella dactilar verifica la identidad del usuario, entrega de chequeras en los bancos, compras con la huella en retail, registro del bono cuando se accede a prestaciones médicas, contratos de seguros, pasaportes electrónicos, contratos con las tarjetas del retail, declaraciones de salud, mandatos, los accesos a oficinas, los registros de asistencia al trabajo y la firma de documentos laborales. Y nuevamente como ya se señaló, ha sido el propio legislador quien ha ordenado otorgar validez a la documentación que conste en soporte electrónico, en los términos indicados en la ley de firma electrónica.
Una tarea básica y cotidiana en la vida de un ser humano es identificar y distinguir a los demás. La mayoría de los robos de identidad suceden hoy en día a partir de fuentes de identificación tradicionales, como lo son los PIN, clave, contraseña o password. La biometría actúa ayudando a proteger la identidad, haciendo que sea más difícil el robo de contraseñas o respuestas secretas. Es mucho más difícil para los delincuentes suplantar la identidad si el acceso es controlado con biometría. En la ‘autentificación biométrica’ se utilizan diversas técnicas, ya sea sobre los rasgos físicos o conductuales de una persona.
Para que una característica anatómica puede ser utilizada por un sistema biométrico debe cumplir con las siguientes particularidades:
i.Universalidad: que tan común es encontrar esta característica biométrica en las personas.
ii.Singularidad: que tan única es esa característica biométrica entre las personas.
iii.Permanencia: que tanto perdura la característica biométrica en el tiempo y que sea de manera inalterable
iv.Recolectable: que tan fácil es la captura, medición y almacenamiento de la característica biométrica
v.Calidad: que tan preciso, veloz y robusto es el sistema en el manejo de la huella biométrica.
vi.Aceptabilidad: que tanta aprobación tiene la tecnología entre las personas.
vii.Fiabilidad: que tan fácil es engañar al sistema de autenticación. (Santiago, 1 de junio 2021)
[i] PIN: de las siglas en inglés, Personal Identification Number.
[ii] La inmensa mayoría de las tarjetas de débito y de crédito del mundo exigen que cuando las vas a usar en un cajero automático introduzcas un PIN de cuatro dígitos, pero en realidad este número de dígitos no se escogió tras ningún tipo de estudio ni por ningún tipo de limitación técnica. John Shepherd-Barron, el inventor del cajero automático moderno, señala en «The man who invented the cash machine», que él pensaba en usar seis dígitos, pero al comentarle la idea a su mujer esta le dijo que no era capaz de recordar más de cuatro dígitos, con lo que así quedó.