Tecnología - Sistemas

Firma Digital

Objetivos de la Nota

El presente artículo tiene por objetivo difundir la Tecnología de Firma Digital en el ámbito de la Salud y así develar el enorme mundo de aplicaciones que con dicha tecnología se pueden implementar, sobresaliendo entre todas la Historia Clínica Computarizada (HCC).

Conceptos previos

Hemos crecido en una cultura en la que nos han inculcado la costumbre de guardar todos los papeles por si acaso.

Esto ha hecho que cada uno de nosotros mantenga un archivo particular con todos los comprobantes que nos envían las empresas proveedoras de Servicios, los Organismos oficiales para el pago de impuestos, y los que recibimos cuando compramos un bien (Factura, Remito, Garantía Escrita).

En muchos casos lo hacemos porque nos lo indican para constatar la operación de compra, dar validez a la Garantía de los productos que compramos y en otros por si debemos confirmar que abonamos cierto servicio o impuesto.

Además, ¿ a nadie le ha ocurrido que le reclamen la cancelación de un servicio o impuesto ya pago, con la correspondiente amenaza de corte o citación judicial ? y ¿ qué es lo que nos piden ?

Que nos presentemos personalmente con el comprobante de pago (cola de por medio) o se lo enviemos por Fax.

Ahora bien, ¿ tiene sentido hacerlo cuando la mayoría de las cancelaciones se efectúan por Bancos (débito automático, transferencia bancaria, pagos en ventanilla o cajeros automáticos) o empresas habilitadas para esos menesteres ? ¿Tienen idea del costo que representa emitir y distribuir semejante volumen de documentación ?

En lo que a mi respecta creo que no tiene ningún sentido, ya que la tecnología informática está más que preparada para evitar semejante despilfarro, y aunque muchos defiendan esta cultura escudándose por un lado en que así evitan la evasión impositiva (una gran falacia, ya que vía los Bancos se pueden realizar los controles necesarios), y por otro en que la población no está capacitada para desenvolverse con la tecnología informática (a pesar de que, presionados por la crisis económica, la mayoría de los argentinos ha reducido sus gastos, ya son más de 5.000.000 las personas de todo el país que se conectan habitualmente a Internet - 14 % de la población -, número más que suficiente para por lo menos repensar la cosa).
Ahora, si llevamos esta cultura a las Empresas, además de los que nos obliga la reglamentación vigente (10 años de guarda ) cada empleado, en muchos casos, intenta mantener un archivo particular por si le vienen a reclamar de otro sector. Es así, como aparece el arma mortal número uno: la Fotocopiadora.


Se estima que cada legajo de documentación se encuentra duplicado, triplicado o cuadruplicado, distribuido en distintos sectores de la organización.


Y acá, nuevamente, llamamos a la reflexión: ¿cuánto espacio físico es necesario para albergar semejante cantidad de documentación? y ¿cuál es su costo?.
En un seminario escuché que los arquitectos calculan, para un edificio de oficinas, que el 12 % de espacio físico es destinado para archivo, no así en los edificios judiciales donde este porcentaje es superado ampliamente.

Señores, no se dónde está ubicada su empresa, pero averigüen cuanto está el m2 en zonas como Puerto Madero o el Microcentro, y así se darán cuenta el impresionante costo de estructura que se pueden ahorrar.

Despapelizar (total o parcialmente) un circuito administrativo implica migrar los documentos que se emplean, a medios de almacenamiento distinto del papel. Esto será posible, en mayor o menor medida, en función de los requisitos que se imponga a los documentos utilizados.
La técnica de digitalizar un circuito (despapelizar) permite:

• Hacer mucho más eficiente la gestión.

• Lograr mayor eficacia.

• Disminuir los costos.

Es necesario para ello, respetar las siguientes características de los documentos:

• Identificación del Autor del documento.
• Integridad de la información contenida: un documento digital se ha mantenido integro, si su contenido no ha sido alterado con posterioridad al instante en que su autor lo emitió.

• No repudio: característica por la cual su autor no puede negar posteriormente el haberlo producido.

La tecnología de la Firma Digital, permite conferir característica de no repudiabilidad al documento digital, identificando inequívocamente al autor y verificando que su contenido no ha sido alterado.

Faltaría resaltar que otro elemento destacable es la disminución en los tiempos de tratamiento de la información, elevando los niveles de eficacia y eficiencia a su máxima expresión, redundando en una mejor calidad de atención y servicio.

Una de las herramientas principales que nos va a permitir materializar semejante avance tecnológico es la FIRMA DIGITAL.

Conceptualización y Legislación Argentina

En la Argentina, el marco legal de la Firma Digital está dado por la Ley 25.506 (publicada en el Boletín Oficial del 14/12/2001) y su Decreto reglamentario 2.628/02 (publicado en el Boletín Oficial del 20/10/2001).

Cómo ven, el Decreto Reglamentario se publicó un año después de la Ley de Firma Digital, una eternidad a mi modo de ver las cosas. Seguramente la grave situación que atravesaba el país hicieron que el proyecto quedara relegado.

Por suerte para nuestro país, las Autoridades actuales, encabezadas por el Lic. Norberto Ivancich (Subsecretario de la Gestión Pública) y el Lic. Carlos Achiary (a cargo del ONTI - Oficina Nacional de Tecnología Informática), le están inyectando al proyecto de Firma Digital un impulso fenomenal.

Como muestra de ello, en el capitulo Actualidad , reproduciremos los conceptos sobresalientes de la entrevista realizada al Lic. Achiary por el diario InfoBae.

En primer lugar y a los efectos de despejar cualquier tipo de confusión, diremos que la Firma Digital no es .....
• NO es una firma escaneada.
Todos sabemos que es posible firmar en forma manuscrita en un papel, digitalizar dicha firma a través de un Scanner, y el producto de esa digitalización (un archivo con extensión jpg, bmp, giff, etc.) insertarlo en un documento de Word, Adobe Acrobate, Powerpoint, etc. y distribuir dicha documentación por mail, folletería, etc.
Este mecanismo no garantiza que el documento no haya sido alterado y que el autor sea realmente quien figure en la firma. Las imágenes escaneadas son fácilmente capturables y de esta manera utilizable por otra persona para incorporarla en otro documento.
O sea, no da ningún tipo de garantía de integridad del documento ni de identificación fehaciente del autor.

• NO es una Password.
La password, por si sola, es un mecanismo que confiere seguridad de acceso, junto con otro elemento denominado “login” o “usuario”.
Login: alberto
Paswword: ********** >>palabra secreta<<
Si bien este par de elementos identifica a un usuario, como estos elementos residen en un servidor para su validación, dicha información puede ser utilizada por otra persona con el conocimiento suficiente. Además, ambos elementos no permiten controlar la integridad de la documentación.

• NO tiene que ver con Biometría.
Biometría, es un sistema que permite identificar personas a través de su huella digital, y dado que no hay dos personas con el mismo mapa de huella digital, todo daría a pensar que este mecanismo sería suficiente.

Pero no es así, ya que una vez más no permite controlar la integridad del documento, y además, el mapa de bites correspondiente a la huella digital, puede ser capturado por un intruso y utilizado por este para firmar otros documentos.

• NO es Encriptación de datos
Encriptación es un mecanismo que permite ocultar el contenido de un documento a través de un cifrado, pero no permite identificar al firmante ni controlar la integridad del documento.
Despejada la duda que genera la utilización de los términos antes descriptos, pasaremos a detallar el art. 2, cap I de la Ley 25.506, donde se describe lo que se entiende por Firma Digital:

“Se entiende por Firma Digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante (una clave privada), encontrándose éste bajo su absoluto control. La Firma Digital, debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma”.
¿Qué se utiliza para firmar y luego para verificar la firma?
Se utiliza un programa basado en un método matemático denominado CRIPTOGRAFÍA ASIMÉTRICA o de CLAVE PÚBLICA RSA.
Dicho método fue creado en el Instituto de Massachussets , en 1977, por Ronald Rivest, Adi Shamir y Len Adleman, y fue diseñado para verificar las condiciones de NO REPUDIABILIDAD: identificar inequívocamente al autor y verificar que su contenido no ha sido alterado.

El sistema criptográfico asimétrico emplea un par de claves, cada una de las cuales es la función inversa de la otra:

lo que una hace, solamente la otra lo puede deshacer, y viceversa.

• Clave Privada: es la utilizada por el autor para firmar y se debe mantener en secreto.

• Clave Pública: es la utilizada por el receptor del documento para verificar su autoría e integridad.

Inicialmente y por única vez, el firmante utiliza un programa especial en su computadora para generar su propio par de claves (privada y pública).

Para firmar un documento digital, emplea un programa en su computadora que, a partir del documento y de la clave privada, genera un número que llamaremos firma digital de ese documento. Obsérvese que el número que convenimos en llamar firma digital, no depende solamente de la clave privada del firmante, sino que también depende del documento particular que se está firmando. Si la misma persona firma otro documento, la firma digital de éste será diferente que la anterior.

Para verificar un documento digital, el receptor emplea un programa en su computadora que, a partir del documento, la firma digital y la clave pública del firmante, aplica un cálculo matemático y determina si estos tres elementos concuerdan.

Otro requisito esencial es el de estar seguro de que la clave pública a utilizar sea efectivamente la perteneciente al firmante, y no a otra persona. Esto se logra a través de las Autoridades Certificantes, que tienen la misión de manifestar fehacientemente que una determinada persona es poseedora de un determinado par de claves (Privada y Pública). Para ello emiten un certificado que contiene los datos identificatorios del firmante y la clave pública.

Algunos aspectos sobresalientes de la Ley 25.506.

• Artículo 3: del requerimiento de Firma.
Cuando la legislación requiere una firma manuscrita, la misma queda satisfecha por la Firma Digital.

• Artículo 7: presunción de Autoría.

Se presume, salvo prueba en contrario, que toda Firma Digital pertenece al titular del Certificado Digital.

• Artículo 8: presunción de integridad.

Si la verificación de una Firma Digital aplicada a un documento es verdadera, se presume, salvo prueba en contrario, que el documento no ha sido alterado.

• Artículo 11: Original.
Los documentos electrónicos firmados digitalmente y los reproducidos en formato digital firmados digitalmente a partir de originales de primera generación en cualquier otro soporte, también serán considerados originales.

• Artículo 51: Derecho Penal.

Incorpórese el art. 78 bis en el Código Penal:

• Los términos “Firma y Suscripción”, deben comprenderse como: “Firma Digital, creación de una Firma Digital o Firmar Digitalmente”.

• Los términos “Documento, Instrumento Privado o Certificado”, deben comprenderse como: “Documento Digital firmado digitalmente”.
Infraestructura.
• Autoridad de Aplicación: Jefatura de Gabinete.

Establece las normas y procedimientos para implementar la Ley.
• Comisión Asesora.

Emite recomendaciones sobre aspectos técnicos del funcionamiento.
• Ente Administrador.

Encargado de otorgar las licencias a los certificadores y supervisarlos.
• Certificadores Licenciados.

Proveedores de los servicios de certificación.
• Autoridad de Registros.

Validan la identidad de los suscriptores de certificados.
• Sistema de Auditoría.

Evalúa la confiabilidad y calidad de los sistemas utilizados.
En resumen, un esquema básico sería: los licenciantes habilitan a los certificadores y estos certifican la firma digital de los usuarios.

Las Autoridades Certificantes, tienen la misión de manifestar fehacientemente que una determinada persona es poseedora de un determinado par de Claves (privada u pública).

Para ello emiten un certificado que contiene los datos identificatorios del firmante y la clave pública. Dicho Certificado debe acompañar siempre al documento firmado.

En caso de denuncia, por revelación de claves privadas, la Autoridad Certificante debe mantener una lista de certificados revocados que debe ser consultada en el momento de la verificación.

Característica sobresaliente

La firma digital es más fuerte que la firma holográfica ya que esta última no garantiza la integridad del documento firmado.
Aplicabilidad
La tecnología permite transformar al tiempo y la distancia en obstáculos fácilmente superables.
Cualquier transacción comercial, cualquier acuerdo legal, cualquier interacción formal, pueden concretarse instantáneamente mediante la firma digital.
Vamos a un ejemplo concreto en el ámbito de la Salud:
Por cada práctica médica que se realiza en los Centros de Servicio, el médico o técnico especialista realiza un Informe escrito del mismo el cual debe llevar su firma.
El destinatario de dicho informe es el Médico que lo solicitó, y una copia del mismo va para el financiador (Prepaga, Obra Social). También, en muchos lugares guardan otra copia por resguardo.
Hasta ahora contabilizamos 3 documentos por cada estudio realizado, que encima requieren de una infraestructura de distribución hacia los distintos destinatarios (horas hombre, tinta, papel, impresoras, correo, etc., etc.). Tener en cuenta la cantidad de estudios que se realizan por día, mes, año ...
Administrativamente, hay un costo que generalmente no se tiene en cuenta y es el ocasionado por el extravío de la documentación cuando el destinatario de la documentación es el Financiador. En éste caso se genera lo que en la jerga de los administradores de salud se denomina DEBITO, y que en muchas ocasiones detiene o posterga parcial o totalmente el circuito financiero de pago a los prestadores.
Ahora bien si todo este circuito estuviera informatizado, el 99 % de los problemas desaparecerían, los costos de estructura bajarían drásticamente, a pesar de la inversión tecnológica, y sin lugar a duda, si el resultado del estudio se incorporara inmediatamente a la Historia Clínica Computarizada, ayudaría a mejorar la calidad de atención al paciente. Ni que hablar si se anexara algún sistema de alarma ante la posibilidad que corra peligro la vida del paciente.
Todo lo expresado es factible de hacer, sólo hay que poner manos a la obra.

Cómo este, hay muchísimos ejemplos que podría dar, pero para no agotarlos con tanta información, en próximos boletines les iré dando otros casos.
Cuando tratemos el tema de Historia Clínica Computarizada (HCC) ahí si que verán los grandes beneficios que la tecnología puede aportar para mejorar la calidad de atención al paciente.
Igualmente les aconsejo comenzar a probar la tecnología en circuitos internos donde la Auditoria Interna puede hacer las veces de autoridad certificante.
Actualidad
Argentina
Infobae, lunes 23 de Febrero del 2004: Entrevista al Director Nacional del ONTI (Oficina Nacional de Tecnología de la Información) Carlos Achiary.
La comisión asesora ya está elegida y comenzó a reunirse para dar forma a los pasos que quedan por cumplimentar.
A mitad de año ya podrán comenzar a trabajar las primeras autoridades certificantes de Firma Digital.
España
El gobierno español aprobó el proyecto de implementación del documento de identidad electrónico.
Se espera que para 2007 todos los documentos se que expidan en el nuevo formato, incluirán certificados digitales.
Enlace de Interés
Subsecretaría de la Gestión Pública - Infraestructura de Firma Digital: http://www.pki.gov.ar
En este sitio encontrará información sobre toda la legislación Argentina en Firma Digital, los certificadores licenciados en el marco de la Ley Nº 25.506 de Firma Digital, los proyectos implementados por la Administración Pública Nacional, los servicios disponibles y el estado de situación nacional e internacional en el tema.

Cierre de la Nota
En próxima edición del Boletín ampliaremos más información sobre Firma Digital, sobre todo en la temática del Certificado Digital.
No quería dejar pasar la oportunidad de agradecer a las personas que de una u otra forma me transmitieron sus conocimientos en la materia: Hugo Scolnik (ganador del premio Konex del año pasado), Armando Carratalá, Daniel Edgardo Cortés, Antonio Pavanetto y seguramente alguien más que no recuerdo.
Aclaro que si alguno de los conceptos vertidos en el presente material discrepa con el pensamiento de alguna de las personalidades arriba mencionadas, el error seguramente será del que suscribe.
Cualquier consulta que se quiera hacer al Editor enviar email a: jorgeguerra@fibertel.com.ar se la responderemos a la brevedad.

> ARRIBA <