Hacía tiempo que no escuchaba hablar de los correo-e certificados y de las empresas de certificación electrónica, pero recientemente un amigo mío (también detective privado) sacó a colación uno de estos servicios.

Sin ir más lejos, quería ver si se podría obtener un certificado de contenido de una página web concreta, y en la que el acceso estaba restringido (perfiles privados de una conocida red social).

Le dije que sí, que había empresas de certificación electrónica que se dedicaban a esto.

CERTIFICACIONES DIGITALES

Estas empresas de certificación electrónica y sus productos facilitan enormemente la tarea de probar determinados hechos que a priori podrían parecer evidentes y que en realidad no lo son tanto: como el envío, la recepción y la integridad de un correo-e.

Por ponerles un ejemplo, si te quieres dar de baja de un servicio y te piden que les mandes tu solicitud de baja por correo-e: en caso de que no te den de baja y te sigan cobrando las mensualidades ¿cómo podrías probar que tu correo-e fue enviado, que la empresa lo recibió y que su contenido incluía tu solicitud de baja y no otra cosa?

Sin estas empresas y sus certificados, sería difícil probar esto y conseguir que un juez aceptara un “se lo envié desde mi correo de hotmail”.

Gracias a evicertia, lleida.net, eGarante, y otros “terceros de confianza”, conseguirás que un tribunal acepte, valore y sentencie de diferente manera casos como el mostrado anteriormente.

CONTRATOS ONLINE

Uno de los productos “estrella” de estas empresas es la contratación a distancia.

Poder “certificar” que dos partes se ponen de acuerdo para que una de las partes preste un servicio determinado a la otra parte, quien a su vez en dicho contrato acepta pagar por dicho servicio.

Como pueden ver no es tan sencillo, pero hay productos como eviSign (de evicertia) que harán mucho más fácil y seguro este proceso.

¿Podría una agencia de detectives privados utilizar estos servicios para celebrar sus contratos con sus clientes?

¿RIESGOS DE CONFIDENCIALIDAD?

Estos servicios son muy útiles, pero en un sector como en el que nos ocupa, tenemos nuestras reservas:

Personalmente, emplearía estos servicios (como eviSign) sin ningún tipo de reservas para la contratación de otro tipo de servicios, pero no para la celebración de un contrato de prestación de servicios de detectives privados.

La razón es obvia, en el mejor de los casos, el tercero “de confianza” conocerá la identidad del cliente. En el peor, hasta el contenido (detalles) del contrato (de la investigación).

¿Cómo solucionar esto?

Una de dos, o estas empresas incluyen algún tipo de protección  (encriptación) tanto del contenido del contrato, como de las partes que celebran el mismo (o por lo menos, de la identidad del cliente), de manera que ellos no tengan acceso a dicha información si no es con autorización de la agencia (poseedor de la contraseña del cifrado), o se prescinde del tercero (no vaya a ser que no sea “de confianza”).

Surge automáticamente la pregunta:

¿Cómo se puede prescindir de estos “terceros de confianza”, sin volver al punto de partida en el que nos encontrábamos al inicio del artículo?

SOLUCIONES CRIPTOGRÁFICAS

Incluyendo algunas herramientas criptográficas y desvelando algunos pasos que no habían salido a colación.

Pongamos un ejemplo: A y B quieren celebrar un contrato a distancia Tienen prisa y no pueden (o no quieren) emplear un servicio de mensajería urgente que lleve el contrato de A a B, y que tras la firma de B y quedándose con una copia, retorne el original firmado a A.

Asumimos también en nuestro ejemplo que la opción del escaner no sirve (de hecho, nuestros informes sólo pueden ser aportados en sede judicial firmados de nuestro puño y letra; un anacronismo, sí, pero así son las cosas).

Si empleamos el correo-e (y salvando la confidencialidad del contenido del contrato con una buena herramienta de cifrado) ¿cómo podemos dejar constancia fehaciente del envío del mismo por A, de su recepción por B, de su aceptación y de la integridad del contenido?

Pienso que se puede solucionar echando mano de nuestra amiga la criptografía, y más concretamente de una función hash (si quieren conocer sus entresijos, y para no extenderme busquen en el mare magnum de google).

La función hash se caracteriza por ser un algoritmo determinista (que da siempre el mismo valor) y que nos sirve para verificar la integridad de una cadena (frase, archivo, etc). Por ejemplo, si pasamos por una función hash (SHA-256, por ejemplo) la siguente frase “detectives privados”, nos dará como resultado la siguiente cadena:

653F1BFE397B1C66560B66073D0C4A7405FA952689D5FCAD0544B4BCCA623025

Si alteráramos levemente la frase, y en lugar de lo anterior pasáramos por SHA-256 la frase “detectives privado” (sin la última ese), el resultado sería:

BD915D788CD7DC0E938136FE170EB5FE344CD5667084F6C2AAA32D6614F2EC12

Como pueden comprobar, una leve modificación cambiará completamente nuestra cadena hash, lo que nos permite detectar cualquier alteración accidental o maliciosa de aquello que queramos transmitir (frase, documento, etc).

Prueben ustedes mismos a introducir las frases en la siguiente web y comprobarán que les sale el mismo resultado (un resultado único, a prueba de colisiones, es decir, a prueba de que dos hash coincidan).

Ya me estoy perdiendo de nuevo por los cerros de Úbeda. Retornemos a nuestro ejemplo matriz.

Si A, redacta el contrato y lo pasa por la función hash, obtendrá una cadena única que identifica al documento y su contenido.

Si A envía a B el documento vía correo-e y le pide a B que verifique y responda al correo-e con el hash resultante, estará confirmando la recepción del envío y la integridad del contrato (así ninguna de las partes podrá “alterar”, “cambiar” el documento).

Si a todo esto le sumamos que B, transfiera a A la provisión de fondos, la totalidad, parte o una cantidad simbólica vía transferencia bancaria, estaremos también autentificando a B, y confirmando (doblemente) el envío, la recepción, la aceptación y la integridad del contrato, sobretodo si en el concepto estipulamos que se incluya por ejemplo los ocho últimos caracteres del hash (14F2EC12, por ejemplo).

(Visitas totales: 565, hoy: 1 visitas)