"Que su método de creación y verificación sea confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o comunicado."
Puede bajar la ley haciendo clic aquí.
En Ecuador se firman, para mayor seguridad, documentos con firma electrónica con el único software oficial desarrollado por la Subsecretaría de Gobierno Electrónico. Con el mismo software se debe validar la firma electrónica estampada y por tanto la validez del documento firmado. No hay otro camino. El código QR no garantiza nada más allá de jugar el papel de fecha de tránsito.
La última versión, al 11/02/2022, es la 2.10.1. Por contrato el usuario firmante está obligado a tener actualizado el software.
Pero, el gran pero
Muchas entidades emisoras de documentos con firmas electrónicas como por ejemplo los registros de la propiedad cantonales del país instan, en contra de lo contractual, a los usuarios que reciben certificaciones con firma electrónica a validar el documento emitido con una metodología sui géneris y con base a comparación visual, que ofrecen en sus portales, obviando las rigurosidades de los hashes (de contenido de documentos y otros) contemplados en la firma electrónica; pero lo más grave es que se obvie el cifrado de la firma electrónica y explicados ampliamente a lo largo de este blog. El usuario que ha recibido una certificación de un registro de la propiedad y que además ha pagado por ello debe tener un único canal de verificación que, por cierto, no es más que el de firma electrónica FirmaEC.
Mostrando los botones como muestra
Caso 1
Registro de la propiedad de Ibarra
Pese a que el Registrador de la Propiedad de Ibarra firma los documentos con firma electrónica se obvia el camino oficial de validación FirmaEC (desarrollado por la Subsecretaría de Gobierno Electrónico) y se impulsa al usuario a utilizar un mecanismo que finalmente no valida la firma electrónica. En conclusión con este método sui géneris puede llegar a validarse visualmente documentos que en caso extremo ni siquiera tengan la firma electrónica; lo que significa que el cifrado de la firma electrónica no esté contenida en los metadatos del archivo.
Puede bajar el manual (GUÍA PARA COMPROBAR LA VERACIDAD DE DOCUMENTOS EMITIDOS EN EL RPI) del proceso sui géneris de validación de documentos con firma electrónica haciendo clic aquí o directamente puede acceder a la página del Registro de la Propiedad de Ibarra.
Expresa el Registro de la Propiedad de Ibarra en su manual:
"Por lo tanto el Registro de la Propiedad vio la necesidad de contar con una herramienta informática para realizar la comprobación de estos documentos y evitar que se modifiquen, repliquen o alteren."
Caso 2
Consulados
La imagen lo dice todo.
¿Y de algunos registros que han respondido a mis observaciones?
La única manera de validación y/o verificación de certificados y documentos emitidos, autorizada por el Registro de la Propiedad del Cantón, es mediante el uso de los canales electrónicos oficiales que pone a disposición la institución a los usuarios; estos son, la aplicación web denominada “Ventanilla Pública de Atención al Usuario” donde la URL es la siguiente: https://www.xxxxxvirtual.gob.ec/ que se encuentra la opción de “Validar Documentos” utilizando el código de verificación impreso en los documentos; y la aplicación móvil llamada “Registro Propiedad Xxxx” que se la puede descargar para Android desde la tienda oficial de aplicaciones Play Store y para IOS desde la App Store, desde allí la validación es mediante el código QR que se visualiza en el mismo documento.
El Registro de la Propiedad del Cantón no se responsabiliza por la utilización de canales electrónicos externos no autorizados por la institución, cualquier otra forma de validación de documentos conlleva a resultados no esperados que pueden entre otras cosas poner en riesgo la integridad jurídica de los mismos, repercutiendo en aspectos legales en contra de las personas que con o sin intención utilicen esa documentación alterada."
Mis oficios
Puede ver los oficios enviados a las sendas autoridades en mi blog relativo.
Recomendación
Lo que se hace con el software de Firma Electrónica (FirmaEC) solo debe probarse con el software de Firma Electrónica. Nada de comprobaciones visuales, que sugieren por ejemplo los registros de la propiedad, ya que es la más pobre e insegura.
Técnicamente hablando: debe chequearse tanto el hash del archivo PDF y el cifrado de la firma electrónica lo que ha sido suficientemente explicado en este blog, ningunos de esos chequeos los pueden hacer los aplicativos individuales de las entidades (como registros de la propiedad) ya que no conocen la clave del cifrado y tampoco deben conocerla por estricta seguridad. La unicidad del método de validación es fundamental.
Y finalmente la recomendación: Pongan en la página https://www.firmadigital.gob.ec/ la aplicación para validar directamente, en documentos, la firma electrónica; esta omisión quizá dio pie a que cada organización pusiera sus propios validadores sui géneris que no tienen ninguna seguridad ya que instan a validaciones visuales y no manejan ni hashes ni cifrados.
No hay comentarios:
Publicar un comentario