Firma electrónica vs firma digital en la Dian:¿Un paso atrás en seguridad?

Publicado en la revista Business Mail, disponible aquí


eeLa Dian ha desarrollado un nuevo método de autenticación para los contribuyentes, se trata de un sistema de firma electrónica a través de un código que es enviado por correo electrónico con una vigencia de dos horas y de uso por una sola vez, (one time password).

Este código debe entenderse como una firma electrónica a la luz del Decreto 2364 de 2012 y  debe  entenderse como aquellos códigos, datos biométricos, claves criptográficas, entre otros, que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando el mecanismo utilizado sea confiable y apropiado respecto de los fines para los que se utiliza la firma.

Para lo anterior es necesario contar con un acuerdo de voluntades previo, en virtud del cual se estipulan las condiciones legales y técnicas a las cuales se sujetarán las partes para realizar comunicaciones y efectuar transacciones. Del mismo modo señala la norma que los datos de creación de la firma electrónica son únicos y personalísimos. 

Dado lo anterior, es claro que el procedimiento de códigos utilizado por la Dian a título de firma electrónica para acceder al sistema y firmar los documentos electrónicos no consulta los estándares de seguridad idóneos para validar la identidad de los contribuyentes y para firmar documentos electrónicos, en materia de seguridad y como modelo de autenticación electrónica deja mucho que desear.

A continuación se mencionan varias de las críticas al modelo de firma electrónica adoptado por la DIAN:

  1. No es un modelo que esté sustentado sobre un acuerdo de voluntades que permitan al usuario determinar las condiciones técnicas y legales del mecanismo de
  2. El envío de los códigos no es seguro pues no se realiza a través de un correo electrónico certificado.
  3. Se pasa de un modelo de firma digital que goza de presunción de no repudio a un modelo donde la integridad y la autenticidad deben probarse en un juicio.
  4. Se van al traste los esfuerzos por cumplir con el estandar PKI como CEA Cerrada, estandar recomendado por la Comisión de las Naciones Unidadas para el Desarrollo Mercantil Internacional, con los miles de millones en inversiones
  5. No es claro cómo dicho mecanismo de firma garantiza la integridad de la declaración firmada, por lo que no hay certeza sobre la fiabilidad de dicho mecanismo de
  6. No es un mecanismo que sea auditado por un organismo que avale la calidad en el servicio y garantice al usuario la idoneidad del mismo como sí sucede con la firma digital que es acreditada y auditada por el Organismo Nacional de Acreditación de Colombia –ONAC-.

Con lo expuesto, actualmente de originarse alguna acción mal intencionada para afectar a un contribuyente bien sea  persona  natural o jurídica, la DIAN se vería abocada a asumir dicha responsabilidad por ser el creador y custodio del mecanismo de firma electrónica.

Pese a lo anterior la buena noticia es que el Ministro de las TIC y el Presidente de la República, firmaron el pasado mes de Agosto, el decreto que define y regula el modelo de autenticación electrónica para Colombia, que nada tiene que ver con la autenticación notarial de documentos, conceptos claramente opuestos, donde se impone la obligatoriedad para todas las Entidades Públicas, incluyendo la DIAN, de hacer uso de los mecanismos de autenticación dispuestos por el modelo de servicios ciudadanos digitales, a fin de que en los procesos de validación de identidad y de firma electrónica de documentos se utilicen los más altos estándares de seguridad y no se deje al arbitrio e ingenio de cada entidad diseñar su propio modelo, lo cual a la postre es inmanejable, incontrolable e inseguro y no consulta las mejores prácticas y estándares a nivel mundial.

En un país donde el fraude de suplantación de identidad genera más de 100 mil denuncias al año es fundamental que el MinTic guíe, informe y aterrice dicho estándar en todas las entidades del estado a la mayor brevedad posible.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s