Palabra: Alberto Schmidt

Firma digital en Bolivia, realidad y desafíos

   

Por Alberto Schmidt - Gerente de Innovación y O&M de la empresa AXON SRL (www.axon.com.bo) 

 

Imagínese que ya no haya filas en los trámites en organismos públicos como Derechos Reales, Alcaldías, Servicio de Impuestos, SEGIP, Policía, Órgano Electoral, Órgano Judicial, Ministerios, Autoridades de Fiscalización, Notarías y Oficialías de Registro Civil, Banca y Seguros, etc. Así es, todo esto gracias al uso de la Firma Digital; ¡que avanza y gana terreno en Bolivia!

¿Qué es la Firma Digital?

Firma Digital tiene un concepto amplio; algunas veces incluye, o se confunde, con otros métodos relacionados como Firma Electrónica, Firma Digitalizada o Firma Holográfica. De todas maneras, y para un mejor entendimiento, será mejor comenzar en lo que NO es la Firma Digital. La Firma Digital NO es una firma escaneada, o una huella digitalizada o una clave (usuario y contraseña). Surgió como una solución a problemas en los trámites públicos que beneficia a la población en general mediante el intercambio de información digitalizada de manera más ágil y con una alta reducción de costos y tiempo. La Firma Digital requiere lo que se conoce como Certificado Digital. El Certificado Digital es un archivo digital con un formato bajo una norma estándar internacional que debe ser emitida por un órgano o empresa autorizado por Ley, y fiscalizado por una Raíz de Infraestructura de Clave Pública (PKI su acrónimo en inglés). Usualmente el PKI Raíz, también conocida como Entidad Certificadora Raíz, es una entidad del estado y que también debe ser definido por Ley. En Bolivia esta entidad es la Autoridad de Regulación y Fiscalización de Telecomunicaciones y Transportes (ATT).

¿La Firma Digital es segura?

Hace un poco más de un año un periódico Nacional publicó un artículo acerca de la falsificación de firmas manuscritas, el cual está tipificado en 11 posibles delitos; y también indicaba que el 60% de denuncias de delitos financieros están relacionados con este tipo de falsificación. Eso es grave.

La pregunta clave es: ¿cuál es la principal diferencia entre una firma manuscrita y una firma digital? La respuesta es: seguridad. Técnicamente es imposible falsificar una firma digital. Por tanto, los procedimientos internos de cualquier empresa que usará la Firma Digital deben ser ajustados bajo plataformas informáticas altamente controladas, sin afectar el modelo de trabajo o el modelo del negocio de estas empresas y que puedan ser públicas o privadas.

¿Qué alternativas técnicas existen para la implementación de la Firma Digital?

De forma general, hay tres alternativas técnicas, estas son:

  1. FIRMA ATENTIDA. Se trata de lo básico con el uso de un Token Criptográfico que almacena uno o más certificados digitales que es emitido por una PKI sea para uso de una entidad pública o privada. Este Token – no confundir con un OTP (On Time Password) - permite una firma digital con un certificado instalado previamente y otorgado por el ECA. Si el proceso es solo manual, aún se tenga un Token con buena velocidad (ej: 1TBPS) se demora entre 2 a 3 minutos la firma digital por documento. Por tanto, este uso es para un cliente con pocas transacciones o intercambio de información;

 

  1. FIRMA DESATENDIDA. Se trata del uso de una tecnología HSM (Hardware Security Module) que pueden ser por Hardware (appliance) o por Software (máquina virtual). Los certificados digitales son emitidos por el PKI autorizado y subordinado el PKI Raíz (ATT) y es custodiado en el HSM. Usualmente se lo explota instalado en el Centro de Procesamiento de Datos de las empresas para firmar los documentos legales dentro de un Flujo de Trabajo con procedimientos establecidos; y en momento que se requiera la firma digital en este Flujo, le llega al firmante (ej: un gerente) una solicitud ingreso de credenciales (usuario y contraseña o PIN) para su firma y aprobación;

 

  1. FIRMA MASIVA ATENDIDA – Es similar que la FIRMA DESANTENDIDA, pero mediante el uso de una plataforma SaaS Cloud (Software as a Service). Sin embargo, para este caso, no existe límite en la custodia de certificados digitales de tipo remoto; y estos son almacenados en un HSM sin necesidad que le empresa tenga que instalar un appliance en su propio Data Center. También el servicio SaaS puede estar disponible mediante un Servicio Web (Web Service) para obtener los datos bajo un formato estándar del Certificado Digital. Se usa el mismo modelo de pagos por servicio y no por licencias o implementación, y se implementa de forma mucho más ágil este servicio para clientes finales y firmas desatendidas de forma interna.

 

¿Qué avances hay en Bolivia?

Bolivia ha realizado importantes avances en las normas para el uso de esta tecnología. Existe una ley vigente (Ley Nº 164, de agosto del 2011), y que está complementada por varias normas vigentes. Entre ellas está la norma ATT-DJ-RA 1022-2013 que es la base para la Homologación de Tokens Criptográfico para registro de Certificados Digitales.  Esta y otras normas vigentes pueden ser descargadas de la web institucional de la ATT que incluye una norma para implementar la tecnología de Sello de Tiempo.

Más adelante se muestra los avances en el marco del Sistema de Facturación Electrónica (SFE) del Servicio de Impuestos Nacionales (SIN). También es importante mencionar, que la ATT está por promulgar un nueva Normativa que enmarcará algunos puntos importantes que deben ser considerados para la implementación del SFE.

Para un mejor entendimiento, el Decreto Supremo no 1793, establece la siguiente estructura jerárquica para el desarrollo de esta tecnología (fuente: web institucional de la ATT):

Como se puede ver en la figura arriba, Bolivia cuenta con la disponibilidad necesaria de entidades para la implementación de esta tecnología basado en una cadena de confianza para el uso de la Firma Digital.

Adicionalmente, son dos entidades certificadoras (ECA) que disponen certificados digitales, una de ellas es la Agencia para el Desarrollo de la Sociedad de la Información (ADSIB) para el sector público y privado, y la otra es DigiCert de FUNDEMPRESA solo para el sector privado.

Hay que ser realista, la tecnología que envuelve la Firma Digital no es simple. Requiere herramientas sofisticadas de seguridad, métodos bien establecidos y controlados. Esto es un trabajo en equipo, es decir, es imperativo contar con procedimientos claros entre todos los agentes envueltos, como los PKIs, emisores de Certificados Digitales (públicos y privados), los Agentes de Registros, empresas que usarían la Firma Digital y beneficiarios (signatarios).

¿Cuáles son los desafíos en el marco de la Facturación Electrónica (SFE) del Servicio de Impuestos Nacionales (SIN)?

Es una buena iniciativa del Servicio de Impuestos. La RND 101800000026 del SIN, promulgada en noviembre del año pasado, establecía que el inicio de operación era desde el 1ro de marzo de este año (Grupo 1). Sin embargo, hubo modificaciones en la RND 101900000003, promulgada a finales de febrero de este año, la cual establece que su inicio de operación (Grupo 1) sea desde 1ro de noviembre de este año.

Personalmente, estuve haciendo presentaciones, seminarios y charlas a empresas y a grupos de empresas asociadas sobre la Firma Digital en el marco de la Facturación Electrónica; y pude identificar oportunidades donde las empresas podrán aprovechar la disponibilidad de tecnología probada y de nivel internacional. Esta tecnología está lista para ser implantada e integrada a módulos computacionales de generador de facturas de forma eficiente y con una infraestructura altamente sofisticada. Las empresas no tienen necesidad de asumir desarrollos internos, en vez de eso, pueden considerar alternativas tecnológicas de excelente costo/beneficio y que son prácticamente “plug & play” dentro de su Infraestructura o fuera de ellas (ej: plataforma SaaS).

Para una mejor explicación general y que puede ser aplicada a las alternativas técnicas para la implementación de Firma Digital mostrado en párrafos anteriores en este mismo artículo, la siguiente figura muestra tres Modalidades de una plataforma de solución para el SFE:

En la parte derecha de la figura hay dos modalidades que son “fierro”. Uno es el Hardware Security Module (HSM) de tipo appliance; y el otro es el Token. Estos dispositivos con los “Custodiadores” de los Certificados Digitales y que cumplen con fuertes estándares de seguridad. La tercera modalidad es un HSM por Software que también cumple con los mismos estándares, sin embargo, es una instalación en máquinas virtuales (VMs). Para cualquier caso de HSM (Hardware o Software) se puede instalar plataforma “Clustering” y crecer de acuerdo a la demanda de transacciones. Por otro lado, y este concepto NO corresponde a la figura arriba, también existe la posibilidad de Custodiar los Certificados sin uso de HSM o Token. Sin embargo, esto sería un tremendo error; el problema es la Seguridad en esta Custodia; ya que estarían protegidos solo por software y a nivel de Sistema Operativo (Windows, Linux, otros) que son vulnerables a ataques o clonajes de estos certificados; y hay que tener en cuenta que una de las principales razones del SFE del SIN es evitar Clonaje y/o Falsificaciones de Facturas o Notas Fiscales.

Para cualquier caso, lo más importante de estos componentes es el SOFTWARE DE APLICACIÓN DE FIRMA que es gestionado por un Panel de Control. Sin este Software, y solo tener el HSM o Token, es como tener un Computador sin Sistema Operativo. Relacionado a este tema, percibo que los responsables del proyecto SFE en estas empresas sofisticadas, creen que el tener solo el HSM es suficiente, esto es un error conceptual; inclusive, el tener una iniciativa de desarrollar el Software de Aplicación de Firma es otro error aún más grave. El Software de Aplicación de Firma es extremadamente sofisticado y complejo, que debe cumplir con fuertes algoritmos de seguridad. Aquí no hay que re-inventar la pólvora. Existen marcas que ya tienen desarrollado este Software listo para ser operados en una plataforma centralizada o descentralizada. Por otro lado, la ADSIB tiene disponible en su Web institucional un software que permite aplicar la Clave Pública y Privada en uno o más certificados custodiados ya sea en un HSM o Token, ambos de tipo físico; estos no son de tipo virtual.

El “tamaño” e Infraestructura de un proyecto de implementación para el SFE en su modalidad (hay 5 modalidades en el 101800000026) con Firma Digital dependerá del acceso de la Red, su Topología, número de transacciones “On Line”, número de transacciones concurrentes, número de envíos de los archivos XML al SIN y representación gráfica (ej: archivo .pdf) al cliente consumidor del producto o servicio. Por tanto, es imperativo que las empresas o grupos de rubros formados por empresas puedan hacer un trabajo previo de “Sizing” y componentes de proyecto con expertos en esta materia.