Retomar la agenda digital, parte II

04-06-2006

Christian Hess (“Retomar la agenda digital”, La Nación, 2 de abril, 2006) se refiere también a la “Ley de Certificados, Firmas Digitales y Documentos Electrónicos” (ley 8454 [doc]). Antes de referirme a la opinión de Christian al respecto, me permito exponer brevemente mi propia opinión al respecto.

En dos platos: pésima ley. Cada vez que uno se topa con un proyecto de ley de cientos de páginas de extensión (e.g. “Plan Fiscal”) sabe que está frente a una ley mala. Las leyes no pueden ser complicadas, aunque se refieran a materia complicada. Acá tenemos el problema que queremos ver todo normado por una ley hasta el último detalle, y eso nos está consumiendo como un cáncer. Pero en este caso particular es necesaria una ley que vaya a los detalles pues norma un asunto donde es necesaria la interoperabilidad para garantizar el funcionamiento. El artículo 2 de la ley reza:

En materia de certificados, firmas digitales y documentos

electrónicos, la implementación, interpretación y aplicación de esta Ley

deberán observar los siguientes principios: a) Regulación legal mínima

y desregulación de trámites. […] d) Igualdad de tratamiento para las

tecnologías de generación, proceso o almacenamiento

involucradas.

Imagino que existe un grupo de gente que lee eso y aplaude porque el Estado decidió no intervenir en materia privada. Pero esa gente no se da cuenta del grave problema en el cual se entra: al no normarse la tecnología utilizada para la generación de certificados básicamente se imposibilita la interoperabilidad. O mejor dicho: se tiene el mismo tipo de interoperabilidad que se tiene en el mercado de automóviles, donde todos sabemos que es posible comprar partes de Toyota y colocarlas en un Audi. En otras palabras: se tiene la temida situación en la cual el vendedor decide cuando y cómo realizar cambios de tecnología, sin que exista garantía de interoperabilidad con productos de otros vendedores o incluso entre versiones distintas del mismo producto.

Esta ley debió establecer el uso de X.509 para los certificados, el cual es un estándard ITU-T y es la tecnología utilizada mundialmente para este efecto, lo cual garantiza la interoperabilidad no solo dentro de Costa Rica sino más allá de sus fronteras también. Se está confundiendo neutralidad con falta de normativa. Existe una multitud de proveedores de software que elaboran productos que son capaces de generar y trabajar con certificados de este tipo, para una multitud de architecturas. Dejar el portillo abierto para otras tecnologías solo invita a que un proveedor que tenga amplio dominio del mercado a través de otros productos introduzca una tecnología propietaria para lograr capturar a los clientes.

Respecto a la opinión de Christian…

Uno de los problemas cruciales en el campo que interesa es

el del modo en que debería estructurarse el árbol jerárquico de

autoridades de certificación digital. Y, en particular, el tema de la

autoridad raíz.

Christian se refiere a la jerarquía de confianza: ¿cuál debe ser la entidad en Costa Rica que responderá en última instancia por la veracidad de los datos? Y acá no es “responder” en el sentido de establecer responsabilidades judiciales, sino responder en el sentido de que esta entidad deberá primero certificar la identidad de otras entidades certificadoras y además verificar que son “de confianza”, es decir, que las certificaciones emitidas por estas otras entidades cumplen con todos los requisitos para que los usuarios finales puedan confiar en el contenido de los certificados emitidos.

Christian aboga por la existencia de una sola entidad raíz, es decir, que en última instancia todos las certificaciones se puedan trazar hasta una sola entidad. Esto tiene la ventaja de que el usuario solo debe procurar un certificado y con ello es suficiente para verificar la identidad de todos los entes con los que establezca relaciones. Además los entes que obtengan certificados (y acá Christian parece solo estar pensando en término de empresas comerciales y no de personas físicas) solo deberán incluirse en una jerarquía, haciendo que el proceso sea más barato. El argumento no es enteramente correcto. Si existiesen múltiples jerarquías, no es necesario que una entidad se centifique en todas ellas, solo es necesario que el usuario cuente con los certificados raíz de todas, lo cual no significa realmente un esfuerzo desproporcionado si se organiza bien su distribución.

Christian argumenta que el gobierno no tiene la capacidad ni financiera ni de recursos humanos necesaria para operar la autoridad raíz, y que por tanto esta labor debe ser delegada hacia otro sector. Una opción según Christian es SINPE, en razón de su interés y afinidad en el comercio electrónico. Otra es el ICE o RACSA, en razón de su afinidad tecnológica. Otra más es el Banco Central. Los argumentos a favor de SINPE o el ICE son poco convincentes (se reducen a algo como “ellos pueden”), y el Banco Central dice que tiene afinidad. Argumenta inmediatamente que no todos los cuidadanos son usuarios del sistema bancario nacional, y que por tanto se puede pensar en el registro civil provea los servicios para esos usuarios.

Ese razonamiento revela una profunda incompresión del tema. La autoridad raíz solo va a certificar a los certificadores. Los certificadores serán compañías privadas en su mayoría. Se ocupa una entidad que entieda de tecnología, y que entienda los problemas relacionados con la certificación digital de identidades. Ni SINPE ni el ICE cumplen con ese perfil, y el Banco Central si bien tiene gente que entiende de eso, tal vez no tiene la inclinación para crear nuevas plazas para este efecto (y recargar a alguien con un cuarto de tiempo para esta labor reflejaría — otra vez — falta de entendimiento).

La entidad raíz debe estar en el MICYT. Ellos tienen la capacidad tecnológica (o deberían tenerla en buena teoría) y no creo que sea tan complicada la creación de plazas que la ley prácticamente requiere.

Y por favor, dejen que los que consideramos la posibilidad de ofrecer el servicio en forma seria y responsable trabajemos en paz.



  « Anterior: Siguiente: »