You are on page 1of 5

Firmas Digitales en el ambito forense*

Autenticación de Evidencia Digital

Norberto Pedro Condori Yujra José Luis Aruquipa Hilari Pascual Yana Chejo
Postgrado en Informática Postgrado en Informática Postgrado en Informática
Universidad Mayor de San Andrés Universidad Mayor de San Andrés Universidad Mayor de San Andrés
La Paz - Bolivia La Paz - Bolivia Paz - Bolivia
norbertopcy@gmail.com norbertopcy@gmail.com norbertopcy@gmail.come-mail

II. CADENA DE CUSTODIA Y AUTENTIFICACION


Abstract—Los tribunales se están enfrentando día tras día con DE EVIDENCIA DIGITAL
problemas a la hora de autenticar evidencia contenida en medios La cadena de custodia se basa e implica varios aspectos
electrónicos. Este trabajo trata sobre el análisis de estos como la identificación, recolección, adquisición y preservación
problemas y cómo podríamos solucionarlos mediante el uso de y su objetivo es el control de la integridad de la evidencia o
firmas digitales. prueba, al hablar de integridad se implica la protección contra
el daño, contaminación, destrucción, alteración y sustitución.
Keywords—component; firmas digitales, cadena de custodia,
autentificación de evidencia digital Mediante de la cadena de custodia se garantiza la
autenticidad de los elementos de prueba o evidencias, desde su
I. INTRODUCCION identificación y recolección hasta la conclusión del proceso,
identificando a las personas involucradas en la manipulación y
En los últimos años, hemos visto un crecimiento análisis de la evidencia o pruebas. donde la recolección está
vertiginoso en la necesidad de programados ( "software" ) en ligada al indicio del hecho u objeto.
todas las etapas de nuestras vidas. Las computadoras dejaron
de ser una herramienta opcional y pasaron a ser una necesidad, Una evidencia es una certeza clara y manifiesta de la que
muchas veces impuesta, para el desarrollo de nuestras tareas. no se puede dudar debe poseer las siguientes características:
Más aún, no simplemente estamos aumentando la cantidad de relevancia, confiabilidad y suficiencia.
información que guardamos en estos sistemas sino que la
La evidencia puede ser física o electrónica(Digital), el
misma cada vez es más importante y necesaria en nuestro
primero es la evidencia tangible, la segunda es cualquier
diario vivir por lo que se hace necesario asegurarnos que la
registro generado o almacenado en un sistema computacional,
misma se mantenga íntegra, segura y accesible.
que puede ser utilizado como prueba en un proceso legal y se
La evidencia electrónica incluye todo aquello que sea refiere a la información contenida dentro de un elemento físico
susceptible de estar en medios electrónicos. Esto puede ser electrónico.
desde una grabación de video, una conversación telefónica, un
documento de computadora, entre otros. Para propósitos de III. PROBLEMAS EN LA AUTENTICACIÓN DE EVIDENCIA
este trabajo, nos referiremos a la evidencia electrónica como DIGITAL
toda aquella información que puede ser manipulada en una
computadora[i] y que sea susceptible de llegar en algún La autenticación es una característica importante a la hora
momento al tribunal. de trabajar con la evidencia digital. Pues esta información es
fácil de ser manipulada y se debe ser cuidadoso a la hora de
Como discutiremos a continuación, el descubrimiento de tomarla en consideración y darle confiabilidad.
evidencia electrónica presenta unos problemas particulares
debido, principalmente, a que este tipo de evidencia puede ser Los medios de comunicación actuales email, redes sociales
fácilmente duplicada y manipulada ocasionando que la han cambiado la forma en la que nos comunicamos. Es así que
autenticación de la misma se torne más difícil en comparación la documentación electrónica es un debate en ámbitos
con la evidencia no electrónica.[ii] judiciales la evidencia digital, tiene que ser autentificada para
poder ser admisibles en los tribunales, por la frecuencia en que
Este trabajo tiene como propósito demostrar que es son usados y por la facilidad con la que pueden ser
necesario utilizar un estándar claro de firmas electrónicas para manipulados, dificultan aún más el decir con certeza, quién los
poder facilitar la autenticación de evidencia electrónica en los envió y si los mismos se mantienen íntegros desde el día que
tribunales. Más aún, si estamos intentando regular para que los fueron enviados o recolectados.
países se unan en un comercio a través del Internet y para
facilitar las transacciones electrónicas internacionalmente, La cadena de custodia es otro problema más a la hora de
debemos crear un estándar mundial a través de tratados para autenticar la evidencia digital. Los tribunales son bastante
que se usen los mismos sistemas de firmas electrónicas a través cuidadosos a la hora de aceptar la evidencia en medios
de la mayor parte del mundo. electrónicos, en algunos casos han permitido evidencia
propensa a ser alterada aunque no se haya probado toda la
cadena de custodia por la complejidad que tiene probar lo C. Proceso de Firma Digital
contrario, que en efecto, no fue alterada. Esto realmente es un  Primero, crear una huella digital única (llamado hash)
problema, pues tenemos la preocupación de que se pueda empleando un algoritmo matemático. Este hash es
fabricar evidencia en contra de algún acusado y los tribunales, específico para ese documento en particular; lo que
al no tener las herramientas ni la preparación para probar lo significa que hasta el más mínimo cambio resultará en
contrario, puedan estar cometiendo alguna injusticia. un hash diferente.
IV. FIRMA DIGITAL
Una firma digital es un mecanismo criptográfico que
permite al receptor de un mensaje firmado digitalmente
identificar a la entidad originadora de dicho mensaje
(autenticación de origen y no repudio), y confirmar que el
mensaje no ha sido alterado desde que fue firmado por el
originador (integridad).
La firma digital es una herramienta tecnológica que permite
garantizar la autoría e integridad de los documentos digitales, Fuente: Digital Signature diagram.svg
posibilitando que éstos gocen de una característica que
únicamente era propia de los documentos en papel a  Segundo, el hash se encripta con la llave privada del
digitalización de los documentos permite mantener copias de firmante. Luego el hash encriptado y la llave pública
los mismos, pero el remitente necesita certificar ante el del firmante son combinadas en la firma digital, al
receptor el grado de validez que estos poseen. cual se agrega el documento.
Una firma digital establece medidas de autenticación la
autenticidad, la Integridad y la No renuncia.

A. Certificado Digital
Un Certificado Digital consta de una pareja de claves
criptográficas, una pública y una privada, creadas con un
algoritmo matemático, de forma que aquello que se cifra con
una de las claves sólo se puede descifrar con su clave pareja.
Fuente: Digital Signature diagram.svg
La clave pública forma parte de lo que se denomina
Certificado Digital en sí, que es un documento digital que D. Verificación de la Firma
contiene la clave pública junto con los datos del titular, todo Para verificar el documento se emplea un programa con
ello firmado electrónicamente por una Autoridad de soporte de firmas digitales. Éste automáticamente usa la llave
Certificación, que es una tercera entidad de confianza que pública del firmante (la cual está incluida en la firma digital)
asegura que la clave pública se corresponde con los datos del para desencriptar el documento hash.
titular.
El programa calcula un nuevo hash para el documento. Si
Los principales datos encontrados en un certificado digital el nuevo hash es igual al hash desencriptado entonces se podrá
son: afirmar que el documento no ha sido alterado.
 Datos que identifican al titular (nombre, número de
identificación, estado, etc.)
 Nombre de la Autoridad Certificadora (AC) que emitió
el certificado
 El número de serie y el periodo de validez del
certificado.
 La firma digital de AC.

B. Autoridad Certificadora (AC)


Es la entidad responsable por emitir certificados digitales.
Estos certificados pueden ser emitidos para diversos tipos de
entidades, tales como: persona, ordenador, departamento de
una institución, institución, etc.

Fuente: Digital Signature diagram.svg


E. Firma Electrónica vs Firma Digital El ”Gobierno Electrónico”, lo denomina la Agencia de
Mientras que la firma electrónica es una expresión genérica Gobierno Electrónico y Tecnología de la Información y
y mucho más amplia relativa a los datos electrónicos, no tiene comunicación “AGETIC”, al cambio en la forma de Gestionar
como tal necesariamente validez legal. Un ejemplo es la y administrar el bien común y los recursos públicos, que
creación de un PDF firmado por su autor, que lo identifica pero incorpora la tecnología y los principios de la eficiencia y
sin validez legal ni seguridad de autenticación. eficacia en la atención a la población en la ejecución de obras y
presupuesto público, con el fin de simplificar la burocracia. A
Por el contrario, la firma digital es la firma electrónica través de las plataformas tecnológicas, so podrá acceder a la
certificada y basada en la mencionada criptografía basada información estatal de manera ágil y se impulsará la
en clave pública (PKI – Public Key Infrastructure) cumpliendo participación.
así la normativa de firma electrónica avanzada, De esta
manera, la firma digital es la que tiene validez legal, evita la Una de estas tecnologías es la Firma Digital en la que se
suplantación de identidad y permite la autenticación e está trabajando en la regulación de firma Digital y en base a
identificación en toda clase de procesos administrativos, ello, el Estado Boliviano inició el Proyecto de Ley de
burocráticos o fiscales, entre otros. Telecomunicaciones que contempla el desarrollo del Gobierno
Electrónico y el Software Libre y legisla la Firma Digital
basada en el Certificado Digital Seguro.
IV. LEGISLACIÓN VIGENTE SOBRE FIRMA DIGITAL EN
LATINO AMERICA Dicho Proyecto de Ley, define la Firma Digital como la
rúbrica electrónica que autentica y verifica al titular de dicha
La digitalización de los documentos permite mantener
firma, otorgándole reconocimiento jurídico para impedir la
copias de los mismos, pero el remitente necesita certificar ante
usurpación y suplantación de la identidad digital del firmante.
el receptor el grado de validez que estos poseen.
Así mismo, certifica la autenticidad de los documentos
Según el consultor en Recursos Humanos y Tecnologías de firmados y detecta los posibles intentos de manipulación
la Información Jonny Heiss, señala que la firma digital y posterior que alguien pudiera intentar hacer de ésta.
electrónica tienen tres funciones principales. La primera,
El uso de la firma digital es impulsado por el Gobierno a
consiste en certificar la autenticidad de un documento firmado
través de la Ley N° 164. Se trata de un avance tecnológico que
por la persona o entidad correspondiente. En segunda instancia,
permitirá agilizar trámites en instituciones públicas y privadas,
contribuye a detectar si alguien modificó el documento
y dotar de validez jurídica a documentos enviados por Internet.
electrónico después que el firmante le puso su firma digital, lo
Para ello se ha designado a la ADSIB como la Entidad
que en el caso de la firma holográfica no es posible. Esta
Certificadora Pública (EPC) en Bolivia.
función es denominada "integridad". Finalmente, el autor de
una firma digital no puede negar haber firmado un documento La función de la ADSIB es emitir el certificado digital con
electrónico, porque nadie más que él puede hacerlo. Esta duración de un año, para que el usuario haga uso, cuantas veces
característica se denomina el "no repudio". vea conveniente, de la firma digital con el máximo nivel de
seguridad para documentos que envíe por internet, ante
Esta tecnología comenzó tomar importancia en la región en
posibles interferencias de terceros.
1998, cuando cada nación estableció reformas para abrirle paso
en sus legislaciones. Puerto Rico y Uruguay fueron los La firma digital es una herramienta informática que provee
primeros países en determinar normativas respecto a este un nivel de seguridad máxima para proteger la identidad del
recurso. Le siguieron Bermuda y Colombia en 1999; Islas signatario y la integridad de los documentos firmados. Un
Caimán, Perú y México en 2000; Venezuela, Argentina, documento firmado digitalmente tiene la misma Valdez
Panamá y Brasil en 2001; Chile y Ecuador en 2002; Belize en jurídica que otro firmado a mano (Articulo 78- Validez
2003; Costa Rica entre 2005 y 2006; Guatemala en 2008, y Jurídica).
Trinidad y Tobago en 2009.
Para firmar un documento digital el usuario dispondrá de
En tanto, Bolivia, a pesar de que aprobó una ley al respecto un dispositivo de Hardware denominado token, que contiene su
en el Congreso y con unanimidad en 2007, aún no se llave privada, que al insertarse en el equipo con la contraseña
encuentran referencias en la Gaceta Oficial. Cuba, Paraguay, El firma el documento seleccionado
Salvador y Saint Lucía no poseen legislación al respecto, ni
han mostrado intenciones. De esta manera, 18 de los 23 países La ADSIB certifica la identidad de la persona y la posesión
de la región tienen en cuenta a esta tecnología. de la clave privada, el contenido de los documentos firmados
por cada cliente es de su exclusiva responsabilidad.
V. LEGISLACIÓN BOLIVIANA SOBRE FIRMA DIGITAL
VI. FIRMAS DIGITALES Y AUTENTICACIÓN DE EVIDENCIA
El Gobierno del Estado Plurinacional de Bolivia, impulsor ELECTRÓNICA
de la soberanía tecnológica. La liberación científica y
tecnológica de las bolivianas y bolivianos requiere romper los El uso de Firmas Digitales en la autenticación de evidencia
lazos de dependencia que desde el principio de colonización electrónica es evidente. Nuestra propia ley, como vimos en la
española nos han mantenido solo como consumidores de la sección anterior, establece presunciones que harían más fácil la
tecnología. presentación de evidencia en nuestros tribunales. Estas
presunciones obedecen a que, utilizando este método, se
asegura tanto la integridad como la autoría de cualquier dato en
medios electrónicos de forma que un tribunal puede entender, de Autenticación del Mensaje.[lxxiii] Este código es único
prima facie, que se trata de unos datos verdaderos. El uso, sin para cada mensaje y cualquier alteración al mensaje, produciría
embargo, que se le está dando a esta tecnología no es muy un código distinto. Este código se mezcla con la llave privada
amplio. Los tribunales, como vimos en las secciones a través del algoritmo y nos produce la firma. Esta firma, es
anteriores[lxiv], siguen enfrentándose con el dilema de entonces verificada con la llave pública (o certificado) y nos
autenticación haciendo de estos procesos unos extremadamente da, con toda certeza, no simplemente el autor del documento,
onerosos. sino el MAC con el que podemos verificar que el mensaje no
ha sido alterado.
Firmas Digitales y Autoría
La integridad del documento, o probar que el documento no
Como vimos, las firmas digitales, nos aseguran, por ha sido modificado, se logra mediante el uso de una Firma
definición, la identificación del firmante[lxv], esto por que la Digital. No todas las firmas electrónicas proveen el
llave privada se mantiene únicamente en su posesión y la ley mecanismo para verificar la integridad del documento, parte
crea una presunción de que eso es así.[lxvi] El signatario, a su esencial en la autenticación de evidencia electrónica.[lxxiv]
vez, tiene la responsabilidad de mantener su llave privada en
secreto y no compartirla con terceros y de no hacerlo podría Los movimientos hacia crear una uniformidad en las firmas
responder por su negligencia.[lxvii] electrónicas a nivel internacional incluyen dentro de sus
definiciones que, para ser considerada una firma electrónica
Para asegurarnos de que la Firma en realidad válida, debe hacer detectable cualquier alteración del
pertenece a una persona en particular, descansamos en un documento posterior a su firma cuando esta sea una de sus
tercer ente, conocido como una Autoridad Certificadora[lxviii] finalidades.[lxxv] Más aún, como vimos, la legislación vigente
(CA por sus siglas en inglés) que así lo certifica. Esta entidad en Puerto Rico, aunque quiere darle cabida a cualquier firma
se encarga de mantener un registro de Firmas Digitales electrónica, mantienen el requisito de poder detectar un cambio
conocido como "Public Key Infrastructure" donde mantiene dentro del mensaje que se está firmando para hacer válida
una relación entre las firmas digitales y la identidad de los ciertas presunciones.[lxxvi]
firmantes. A esta relación la llamamos certificado. Estos
certificados se tienen que mantener vigentes y el CA tiene que Debemos recordar que toda la información susceptible a
asegurarse de que, en caso de que alguna llave privada haya estar en medios electrónicos puede ser firmada para garantizar
sido comprometida ( que haya caído en manos de otras su integridad. Normalmente pensamos que se trata únicamente
personas además del firmante) el certificado sea revocado. De de documentos escritos, pues son los que solemos firmar
esta manera nos aseguramos de que las personas que vayan a cuando se trata de firmas a manuscrito. Pero en este caso,
verificar las Firmas Digitales sepan desde que fecha el podemos firmar cualquier tipo de evidencia electrónica, como
documento pudo haber sido firmado por otra persona que no lo serían, fotos, películas, hojas de cálculo, imágenes de discos
haya sido la que aparece en el certificado.[lxix] A su vez, los duros enteros, entre otras.
CA tienen que certificarse con otro CA, esto por que cada
firma digital que ellos emiten tiene que estar a su vez firmada CONCLUSIONES
por ellos mismos y esta firma tener su propio certificado. De
esa manera se crea una estructura de certificados y ciertos Una tecnología como la Firma Digital, con tanta aceptación
tratadistas entienden que debe ser el gobierno el CA de última y que está siendo usada por distintas industrias, permitiría una
instancia.[lxx] manera más rápida y sencilla de autenticar la evidencia
electrónica en los tribunales.
Podemos entonces concluir que, teniendo un certificado
válido, la firma digital de cierta información en medios Los tratadistas se han expresado sobre la dificultad que
electrónicos fue hecha por la persona indicada en el certificado. están enfrentando los tribunales al tratar de autenticar evidencia
Además, como vimos, la complejidad para poder adivinar la electrónica donde las legislaciones obligan a tratar todas las
llave privada de alguien es prácticamente imposible.[lxxi] firmas electrónicas de la misma manera, sin poderle dar un
Estas razones son las que hacen que las Firmas Digitales mayor peso probatorio a una que a otra:
avaladas por un certificado válido se consideren como "Non - Las legislaciones vigentes[lxxxiii] en Estados Unidos y a su
repudiable". Este término se refiere a que una vez se pruebe la vez en Puerto Rico con respecto a las firmas electrónicas fallan
identidad de la persona en el certificado y que la firma al no establecer estándares firmes a la hora de proveer medidas
pertenece a ese certificado, la persona no puede decir que eso para asegurar la autoría y la integridad de la información que se
no fue firmado por él.[lxxii] guarda en medios electrónicos. El propósito de su creación es
Firmas Digitales e Integridad permitir la participación de nuestro país en el comercio
internacional[lxxxiv], pero la falta de estándares está creando
Por integridad nos referimos a que la información un caos en los tribunales. Las presunciones creadas por la ley
electrónica no ha sido alterada (se mantiene íntegra) desde el no pueden trabajar en un vacío de una tecnología neutral sino
momento en que se firmó hasta el momento en que se trae al que tienen que basarse en tecnologías seguras, que están
tribunal. Cualquier alteración, sea o no sustancial, cambiaría la funcionando y que proveen la alternativa de permitirnos
evidencia y afectaría su autenticación, pues en efecto, no se autenticar la evidencia de una manera más certera.
trataría de lo que proponemos que es.
Existen iniciativas por parte de la American Bar
Como parte del algoritmo matemático para crear la Firma Association de crear estándares a la hora de autenticar
Digital, se utiliza lo que se conoce como el MAC o el Código
evidencia electrónica y su enfoque mayor está siendo el uso de REFERENCIAS
firmas digitales e infraestructuras de llaves públicas.[lxxxv]
También hay intentos de crear una nueva categoría de [1] G. Eason, B. Noble, and I. N. Sneddon, “On certain integrals of
Cibernotarios cuyas funciones van a ser similares a la de los Lipschitz-Hankel type involving products of Bessel functions,” Phil.
notarios como los conocemos ahora pero a través del Internet. Trans. Roy. Soc. London, vol. A247, pp. 529–551, April 1955.
Dentro de las normativas que proponen para estos funcionarios (references)
se encuentra el registro de las llaves públicas.[lxxxvi] [2] J. Clerk Maxwell, A Treatise on Electricity and Magnetism, 3rd ed., vol.
2. Oxford: Clarendon, 1892, pp.68–73.
Queda mucho por hacer y muchos retos contra los que [3] I. S. Jacobs and C. P. Bean, “Fine particles, thin films and exchange
enfrentarnos, pero los abogados tenemos que tener una anisotropy,” in Magnetism, vol. III, G. T. Rado and H. Suhl, Eds. New
participación activa a la hora de encontrar maneras que ayuden York: Academic, 1963, pp. 271–350.
a la economía procesal y a la rapidez con la que se llevan a [4] K. Elissa, “Title of paper if known,” unpublished.
cabo los procedimientos judiciales. Asegurándonos en etapas [5] R. Nicole, “Title of paper with only first word capitalized,” J. Name
tempranas de seguir ciertas normas que nos ayuden a mantener Stand. Abbrev., in press.
la integridad de los documentos en medios electrónicos y [6] Y. Yorozu, M. Hirano, K. Oka, and Y. Tagawa, “Electron spectroscopy
aplicando una tecnología en específico, facilitaríamos mucho la studies on magneto-optical media and plastic substrate interface,” IEEE
Transl. J. Magn. Japan, vol. 2, pp. 740–741, August 1987 [Digests 9th
tarea de autenticación de evidencia en los tribunales. La Annual Conf. Magnetics Japan, p. 301, 1982].
jurisprudencia cada día reconoce una mayor responsabilidad en [7] M. Young, The Technical Writer’s Handbook. Mill Valley, CA:
los abogados de ser diligentes a la hora de trabajar con la University Science, 1989.
evidencia electrónica.[lxxxvii] Esta tecnología se encuentra
disponible y se llama Fir.