¿Por qué tantos peros a la firma digital?

Julio 4, 2018 - Noticias

Estoy cien por ciento de acuerdo con la primera dama: la mejor movilidad es la que no se hace. Ella propone estimular el teletrabajo. En buena hora. Yo sugiero, además, capacitar a los empleados públicos a cargo de atender a los usuarios para que acepten documentos con firma digital, sin necesitar echarse los pleitos que he tenido yo durante el último año.

Debo tener la firma digital desde hace unos seis o siete años, pero no fue sino hasta el año pasado cuando descubrí un dispositivo, al cual le inserto la tarjeta de la firma digital dada por el Banco Central, que se comunica con mi celular y me permite validar firmas y rubricar documentos digitalmente. Mi reacción inmediata fue pensar “nunca más volvería a ir a una institución para efectuar un trámite”.

Firmar documentos con una PC es totalmente anacrónico, lidiar con la última versión de los drivers de la firma digital es de locos.

La ley tiene 13 años de aprobada, muy buena por cierto, y el sistema del Banco Central debe tener 10 años desde que se hizo disponible con una tecnología que hoy es obsoleta (por no ser móvil ni amigable).

Quienes utilizábamos la firma digital esporádicamente, necesitábamos soporte técnico (por fortuna antes Mer-Link lo daba gratis). Dicen, no me consta, que hay 200.000 firmas digitales emitidas y se utilizan regularmente; tampoco sé si eso es todas las semanas o todos los meses. Lo que sé es que son muy pocas, debería haber al menos 2 millones. El argumento del costo se cae cuando se usa intensamente; además, al aumentar la cantidad de usuarios debería caer el precio porque el Banco Central presta un servicio, no lucra.

Viacrucis

El año pasado debía hacer un trámite en Acueductos y Alcantarillados (AyA) para un condominio de tres apartamentos con un solo medidor. Llené el formulario a mano, le tomé una foto y le puse la firma digital, y ahí empezó el pleito.

Yo, por supuesto, llené mal el formulario, pero el pleito era porque me dijeron: “Ese trámite es presencial y necesita su firma de puño y letra”. Perdí los estribos, envié correos furibundos donde explicaba que la firma digital no solo tiene validez legal, sino que es mejor que la de puño y letra porque garantiza que el documento nunca ha sido ni podrá ser modificado.

Duré semanas en el asunto. Por cabezón, me negué a ir al AyA, pedí ayuda al Ministerio de Ciencia y Tecnología (Micit) y el departamento legal del AyA intervino y me dio la razón. Obviamente, le perdí interés al asunto y creo que el trámite no se ha completado, por mi culpa.

Hacia finales del 2017, cumplí con los requisitos para la pensión de la Caja Costarricense de Seguro Social (CCSS). Me llevé otro disgusto cuando me dijeron que no se podía tramitarla con firma digital. Nuevamente, un atraso, y tras la intervención del departamento legal, me dieron la razón. Hoy soy, orgullosamente, pensionado de la CCSS sin haber asistido a una oficina a hacer el trámite. Sin duda es la mejor movilidad la que no se hace.

Luego, en la operadora que tenía mi Régimen Obligatorio de Pensiones y mi Fondo de Capitalización Laboral alegaron lo mismo: debo ir a las oficinas para hacer el trámite. En esta ocasión bastó un correo a un gerente, y listo. Me dieron mi plata sin ir a ningún lado.

Un resultado menos elegante tuve en una institución con la cual tenía que firmar un contrato. Apenas había empezado el pleito cuando un mensajero tocó el timbre de mi casa y me pidió que si era tan amable firmara el contrato (y dejara de hacer alborotos).

Descubrimiento

Averiguando por qué reaccionan tan mal contra la firma digital, me enteré de que los expedientes —del país, básicamente— son de papel y las instituciones se enfrentan al problema de cómo incluir en ese expediente un documento firmado digitalmente.

Cuando un documento firmado digitalmente se imprime, el papel no tiene ninguna validez, es como un fax, o peor. La solución es digitalizar los expedientes, pero como no se puede hacer de manera instantánea, deben buscar una solución transitoria, como imprimir el documento y anotarle la dirección de la versión electrónica con la firma validada. El problema es de la institución, no del usuario.

También tuve un episodio con Tributación Directa, pero los abogados me aconsejaron firmar el papel para que ellos lo autentificaran y efectuar el trámite sin retrasos. Reticente, firmé.

Meses después, por intervención del Micit, obtuve un correo de la Contraloría de Hacienda donde asegura que todos los trámites en Hacienda se pueden hacer con firma digital. Por supuesto lo guardé para enseñárselo al próximo que se niegue a aceptar la firma digital.

Recientemente, tuve otro disgusto. Esta vez, nada más y nada menos que con la Asamblea Legislativa. Debía firmar una adenda a un contrato de alquiler y el funcionario a cargo me devolvió el documento para que firmara de puño y letra porque así era requerido.

La edad y la repetición de estos sucesos me han acortado bastante la mecha, así que arranqué sin batería y le contesté de forma no muy amigable lo que siempre digo. Por suerte, el funcionario había enviado copia del correo al director de la Proveeduría, quien reaccionó de inmediato y me dio la razón. Así terminó el conato de encontronazo.

Cada vez que firmo un documento digitalmente, me ahorro un traslado totalmente innecesario. Los disgustos que me he llevado bien valen la pena. Primero, porque sientan un precedente. Espero que al próximo ciudadano que intente una gestión con firma digital no le pongan ningún pero, y, segundo, porque los traslados, además del gasto de tiempo y combustible, seguramente me hubieran causado malestares parecidos.

En el Gobierno deben llevarse a cabo decenas de miles de trámites todos los días, es decir, son decenas de miles de viajes innecesarios, decenas de miles de litros de combustible y miles de horas perdidas cinco días a la semana. Hagan los números a ver si vale la pena o no masificar la firma digital, con la debida capacitación a los funcionarios.

Artículo publciado en el periódico La Nación

Un comentario sobre “¿Por qué tantos peros a la firma digital?

  1. Firmador on

    Y todo ello a pesar de que existe una norma que obliga a las instituciones a recibir documentos firmados digitalmente que está vigente desde hace ya años. Muchas gracias por luchar por ello, merece la pena y el esfuerzo.

    Pero lamentablemente es algo más complicado, no es solamente cuestión de voluntad política sino también un problema técnico. La autoridad intermedia que emite la Firma Digital para personas físicas es el Banco Central y los certificados los emite en dispositivos con tarjeta inteligente con circuito integrado de contacto (ISO/IEC 7816). El controlador para manejar estas tarjetas tiene una licencia restrictiva y el código fuente es cerrado. Esto hace que el software que se usa para acceso por una interfaz estándar de comunicación con el módulo (PKCS #11) que distribuyen desde soporte es únicamente para arquitecturas x86, dificultando enormemente que pueda llevarse a dispositivos móviles, que suelen tener otras arquitecturas, mayoritariamente ARM. Otras formas alternativas a PKCS #11 como comunicarse directamente por PC/SC no están documentadas y habría que firmar un acuerdo de confidencialidad con NXP (anteriormente Athena) para poder trabajar con ellas.

    Si a esto sumamos que las herramientas de software de Firma Digital disponibles en el país para cumplir con el estándar de firma para documento oficial (basado en XAdES, CAdES y PAdES), en este frente estamos trabajando un grupo de especialistas en Firma Digital para crear un software libre que facilite esta tarea sin depender de soluciones cerradas que hasta ahora hemos determinado que han limitado su implementación, mejora y facilidad de uso.

    Otro problema es que muchos teléfonos inteligentes del mercado tienen un sistema operativo personalizable por el fabricante y que en muchas ocasiones restringe la comunicación libre por puerto USB desde las aplicaciones, haciendo que no detecten nada conectado, haciendo que adaptadores micro USB para el puerto de datos y carga en muchas ocasiones no sean detectados y por lo tanto frustrando las posibilidades de comunicación con el mismo.

    Una posibilidad de solución para no depender de PC es optar por tecnología sin contacto (NFC) que ofrecen ya las cédulas de identificación de algunos países. En un caso que conozco (España), pasaron de las tarjetas con circuito integrado de contacto a tarjetas sin contacto y aun así está siendo un fracaso y siendo reemplazado por muchas instituciones por certificados emitidos de forma externa, debido a la dificultad de instalación del software necesario para el hardware, duplicando esfuerzos y que tampoco parece resolver sino complicar más el ecosistema de firma digital en ese país.

    Es por ello que creo que a nivel técnico hay que resolver cuanto antes los siguientes frentes sin excepción:

    1: Hardware de Firma Digital con middleware abierto, por ejemplo compatible con OpenSC, para que la interfaz PKCS #11 no dependa de un módulo privativo de código cerrado. Por ejemplo la llave USB ePass 2003 de Feitian homologado para Sello Electrónico para persona jurídica en Costa Rica, pero no para Firma Digital para persona física. El ePass 2003 cumple con estos requerimientos y es el más económico de los homologados. No obstante, para no depender de limitaciones de interfaz con dispositivos móviles, optar por tarjetas sin contacto (NFC) en lugar de lectores o conexiones por USB. Para garantizar la masificación, sería conveniente que se emitieran en la propia cédula e idealmente contaran con imágenes empotradas dentro del certificado de la fotografía de la persona y de su huella dactilar, como se hace en Europa en muchos casos, de esta forma la fotografía se puede incorporar en la representación visual de la firma de los PDF, por ejemplo.

    2: Software libre, abierto, multiplataforma y sobre todo fácil de usar para crear firmas y validarlas. En esta parte estamos trabajando los miembros del proyecto Firmador, mediante un firmador independiente y también de un firmador mixto local/remoto para firmar documentos grandes alojados en remoto solamente descargando el hash del documento. El nuevo firmador del BCCR permite este último método, pero es de código cerrado y los instaladores tienen algunos defectos a los que los usuarios no pueden proponer mejoras de forma ágil al no disponer de un repositorio público. Además, el firmador del BCCR depende de su propia API y sistema de servidores, por lo que agrega complejidad al despliegue de la tecnología en ambientes de terceros. Sería ideal que existiera una implementación de referencia oficial que fuera libre y abierta en lugar de multiplicar esfuerzos entre instituciones (Firmadores del BCCR, de RACSA, de Hacienda, etc.).

    3: Incluir certificados intermedios de la jerarquía en los dispositivos de firma para facilitar a los software que no incluyen los certificados en el nivel B de AdES cumplir con el estándar de forma correcta. Actualmente el Banco Central y otras sedes con quioscos de Firma Digital no están emitiendo las tarjetas con los certificados intermedios incorporados. En Europa sí se realiza de esta forma, esto evitaría tener que distribuir intermedios de forma incorrecta por parte de los instaladores y solamente deberían instalar los de la CA raíz.

    4: Sobre la bien mencionada capacitación, establecer unos criterios básicos de validación de firma para personas e instituciones. Actualmente hay personas que ignoran cómo validar una firma digital correctamente. Por ejemplo, en el caso de los PDF, los hay que creen que la representación visual de la firma impresa en el documento es la firma digital, cuando no es así, permitiendo en el personal no capacitado que puedan pasarle un documento como si estuviera firmado de forma legítima, o aceptar documentos impresos que tienen esta firma visible que no tiene ninguna validez sin una versión electrónica. El software que estamos desarrollando mostrará un mensaje de aviso en esta representación visible advirtiendo sobre ello, tal y como recomienda el estándar PAdES y que no hemos visto que ningún software firmador en el país siga. Cabe mencionar que la representación visual de la firma en los PDF es completamente opcional, por lo que un documento firmado digitalmente cumpliendo con el reglamento de Costa Rica es válido aun sin esta característica.

    Saludos.

    Responder

Agregue un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *