Firmas Digitales y Autenticación de Evidencia Electrónica


Porwilliammoura- Postado em 14 novembro 2012

Firmas Digitales y Autenticación de Evidencia Electrónica

 
Abstract: 
Los tribunales se están enfrentando día tras día con problemas a la hora de autenticar evidencia contenida en medios electrónicos. Este trabajo trata sobre el análisis de estos problemas y cómo podríamos solucionarlos mediante el uso de firmas digitales.

             I.      Introducción

            En los últimos años, hemos visto un crecimiento vertiginoso en la necesidad de programados ( "software" ) en todas las etapas de nuestras vidas.  Las computadoras dejaron de ser una herramienta opcional y pasaron a ser una necesidad, muchas veces impuesta, para el desarrollo de nuestras tareas.  Más aún, no simplemente estamos aumentando la cantidad de información que guardamos en estos sistemas sino que la misma cada vez es más importante y necesaria en nuestro diario vivir por lo que se hace necesario asegurarnos que la misma se mantenga íntegra, segura y accesible.

 

            La evidencia electrónica incluye todo aquello que sea susceptible de estar en medios electrónicos.  Esto puede ser desde una grabación de video, una conversación telefónica, un documento de computadora, entre otros.  Para propósitos de este trabajo, nos referiremos a la evidencia electrónica como toda aquella información que puede ser manipulada en una computadora[i] y que sea susceptible de llegar en algún momento al tribunal.

           

            Como discutiremos a continuación, el descubrimiento de evidencia electrónica presenta unos problemas particulares debido, principalmente, a que este tipo de evidencia puede ser fácilmente duplicada y manipulada ocasionando que la autenticación de la misma se torne más difícil en comparación con la evidencia no electrónica.[ii]

 

            Este trabajo tiene como propósito demostrar que es necesario utilizar un estándar claro de firmas electrónicas para poder facilitar la autenticación de evidencia electrónica en los tribunales.  Más aún, si estamos intentando regular para que los países se unan en un comercio a través del Internet y para facilitar las transacciones electrónicas internacionalmente, debemos crear un estándar mundial a través de tratados para que se usen los mismos sistemas de firmas electrónicas a través de la mayor parte del mundo.

 

          II.      Autenticación de Evidencia

            La autenticación[iii] de evidencia significa establecer que lo que el proponente sostiene que la evidencia es, efectivamente lo es.[iv]  Esto es para propósitos de cumplir con el requisito de que toda la evidencia tiene que ser pertinente para un caso en particular.  Una evidencia es pertinente si tiende a "hacer la existencia de un hecho más probable o menos probable de lo que sería sin tal evidencia; dicho hecho debe a su vez, referirse a una cuestión en controversia o a la credibilidad de algún testigo o declarante".[v]  No podemos hablar entonces de pertinencia si no tenemos claro que el objeto, material o cualquier otra evidencia que traemos a juicio se trata, en efecto, de lo que decimos que es.[vi]  Pero no toda evidencia auténtica es pertinente, sino que éste es un elemento dentro de la pertinencia, por esto es que hablamos de pertinencia condicionada (a otros elementos).[vii]

 

            Las reglas de evidencia, tanto federal[viii] como local[ix] nos presentan unas guías a la hora de autenticar la evidencia.  Estas guías no son taxativas, sino que son unos ejemplos que no pueden ser interpretados como limitación a las maneras de autenticación[x].  Entre los ejemplos que nos proponen se encuentran:

 

  • Testimonio de Testigo de Conocimiento
  • Comparación Pericial o por Juzgador
  • Prueba circunstancial
  • Proceso o Sistema
  • Admisión de Parte
  • Disposición de Ley

 

            Como hicimos notar, las reglas de evidencia no nos crean unas pautas obligatorias a la hora de la autenticación y esto nos permite crear nuevos métodos a la hora de enfrentarnos con evidencia que no ha sido tomada en consideración hasta el momento.[xi]

 

            La cadena de custodia es otro método de autenticación, que aunque no está contenido en las Reglas de Evidencia de Puerto Rico, ha sido reconocido por nuestra jurisprudencia.[xii]  Nuestro Tribunal ha ido más lejos, y en Pueblo v. Carrasquillo,[xiii] plantean situaciones donde no simplemente se puede usar como método de autenticación sino que el acusado tiene el derecho a exigirlo.[xiv] Ahora bien, este método se utiliza para evidencia demostrativa que no es susceptible de ser identificada por su apariencia externa ni susceptible de ser marcada.[xv]  Cuando la evidencia contiene características distintivas que la hacen fácilmente identificable, no es necesario establecer la cadena de custodia; tampoco lo es si se trata de evidencia debidamente marcada.[xvi]

 

            Este método de autenticación consiste en demostrar que no hubo ninguna alteración a la evidencia desde el momento en que la misma se hizo relevante hasta el momento en que se trajo a juicio.[xvii]  La cadena está formada de eslabones que han interactuado de una forma u otra con la evidencia y para cada uno de ellos, se debe incluir el momento de la custodia, de quién se recibió la evidencia y a quién se le pasó, y las medidas tomadas para asegurar la integridad de la evidencia y evitar que se intervenga con ella o se altere.[xviii]

 

            Por la fácil manipulación de la evidencia que se encuentra en medios electrónicos, ésta también está sujeta a que se pruebe cada uno de los eslabones de la cadena de custodia para que la misma sea admisible en el juicio.[xix]  Para asegurarnos de que la evidencia electrónica no ha sido alterada podemos ver, entre otras cosas, las políticas sobre el almacenamiento y las restricciones de acceso, utilizar dispositivos tecnológicos para limitar su acceso o utilizar algún tipo de codificación que indique cuando y por quién el documento ha sido accedido o si el mismo ha sido alterado.[xx]  Veremos más adelante algunos de los aspectos de la evidencia electrónica que ha causado problemas en los tribunales.

 

            Existen ciertas instancias donde las Reglas de Evidencia de Puerto Rico nos permiten presentar cierta evidencia sin que se requiera "evidencia extrínseca como condición previa a la admisibilidad".[xxi]  Esto por que ciertos tipos de documentos gozan de cierta confianza y se permite que se prueben a si mismos.[xxii]  La evidencia es la siguiente:

 

  • Documentos Reconocidos
  • Documentos públicos bajo sello oficial
  • Documentos públicos suscritos por funcionarios públicos
  • Documentos públicos extranjeros
  • Copias certificadas de récords y documentos públicos
  • Publicaciones oficiales
  • Periódicos o Revistas
  • Etiquetas comerciales[xxiii]

 

            Una vez probamos que cierta evidencia cae dentro de uno de los renglones anteriores, es el oponente y no el proponente el que debe presentar evidencia extrínseca, en caso de que así lo desee, demostrando que la evidencia no es auténtica.

 

       III.      Problemas en la Autenticación de Evidencia Electrónica

            La autenticación es una de las partes más retantes a la hora de trabajar con la evidencia electrónica.[xxiv] La información en medios electrónicos es fácil de ser manipulada y los tribunales son muy cuidadosos a la hora de tomarla en consideración y darle confiabilidad.[xxv]  El tribunal se expresó en el caso de St. Clair v. Johnny’s Oyster & Shrimp, Inc.,[xxvi] donde nos dicen:

 

"There is no way Plaintiff can overcome the presumption that the information he discovered on the Internet is inherently untrustworthy.  Anyone can put anything on the Internet.  No Web-site is monitored for accuracy and nothing contained therein is under oath or even subject to independent verification absent underlying documentation... For these reasons, any evidence procured off the Internet is adequate for almost nothing, even under the most liberal interpretation of the hearsay exception rules found in Fed. R. Evid. 807"

 

            El e-mail es un ejemplo de evidencia electrónica.  Este es un instrumento que ha cambiado de una manera asombrosa la forma en la que nos comunicamos.  Para el año 2007 se espera que se estén enviando más de 2.7 trillones de e-mails.[xxvii]  Con estos datos, podemos tener la certeza de que esta documentación electrónica es y va a seguir siendo cada día con más frecuencia, fuente de debate en los tribunales.  Los e-mails, al igual que el resto de la evidencia electrónica (y no electrónica), tienen que ser autenticados para poder ser admisibles en los tribunales, pero estos, por la frecuencia en que son usados y por la facilidad con la que pueden ser manipulados, dificultan aún más el decir con certeza, quién los envió y si los mismos se mantienen íntegros desde el día que fueron enviados.[xxviii]  En la actualidad, para autenticar comunicaciones electrónicas normalmente utilizamos el contenido o circunstancias extrínsecas a la comunicación.[xxix]

 

            La cadena de custodia es otro problema más a la hora de autenticar la evidencia electrónica.  Aunque, como dije anteriormente, los tribunales son bastante cuidadosos a la hora de aceptar la evidencia en medios electrónicos, en algunos casos han permitido evidencia propensa a ser alterada aunque no se haya probado toda la cadena de custodia[xxx] por la complejidad que tiene probar lo contrario, que en efecto, no fue alterada.[xxxi]  Esto realmente es un problema, pues tenemos la preocupación de que se pueda fabricar evidencia en contra de algún acusado y los tribunales, al no tener las herramientas ni la preparación para probar lo contrario, puedan estar cometiendo alguna injusticia en contra de éste.[xxxii]

 

            Las páginas de Internet también son fuente de debate en los tribunales por la cantidad de información que las mismas contienen y la facilidad con la que se pueden manipular.[xxxiii]  Para autenticarlas los tratadistas recomiendan 3 pasos:

  1. Tenemos que demostrar, que el documento impreso que traemos al tribunal representa una copia fiel y exacta de lo que mostraba nuestra computadora cuando estábamos viendo la página de Internet.
  2. Tenemos que demostrar que lo que estábamos viendo en nuestra pantalla, en efecto, era una copia fiel y exacta de lo que realmente estaba en el servidor.[xxxiv]
  3. Cuando traemos esa prueba para probar que lo que se dice es cierto, puede levantar problemas de prueba de referencia.[xxxv]

Reglas de Evidencia Propuestas para Evidencia Electrónica

            En Puerto Rico, el Comité Asesor Permanente de las Reglas de Evidencia de Puerto Rico se encuentra evaluando las reglas de evidencia para atender algunos de los problemas con los que se están enfrentando los tribunales, y, entre las reglas propuestas, las que atienden los asuntos de evidencia en medios electrónicos son las siguientes:

 

  • Récord Electrónico[xxxvi]
    • Un récord electrónico podrá autenticarse mediante evidencia de la integridad del sistema en el cual o por el cual los datos fueron grabados o almacenados.  La integridad del sistema se demuestra a través de evidencia que sustente la determinación de que en todo momento pertinente el sistema de computadoras o dispositivo similar estaba operando correctamente o en caso contrario, el hecho de que su no operación correcta no afectó la integridad del récord electrónico.

 

  • Correo Electrónico[xxxvii]
    • Un correo electrónico podrá autenticarse mediante evidencia de la integridad del sistema en el cual o por el cual fue creado, enviado o recibido.

 

  • Se presumirá la integridad del récord si[xxxviii]:
    • (1) se establece mediante declaración jurada que fue grabado o almacenado por una parte adversa a la que lo propone, o
    • (2) se establece mediante declaración jurada que fue grabado o almacenado en el curso usual y ordinario de negocios por una persona que no es parte en los procedimientos y quien no lo ha grabado o almacenado bajo el control de la que lo propone.

 

            Aunque estas reglas propuestas atienden una parte de la problemática existente, es necesario que las mismas abarquen todo tipo de evidencia electrónica y que atiendan las diversas situaciones que pueden ocurrir con esta evidencia para asegurar su autenticidad e integridad. 

        IV.      Firmas Digitales

¿Que es una firma digital?

            En términos generales, una firma digital es el resultado de aplicar a un documento[xxxix] digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control.[xl]  La tecnología para producir este resultado es lo que se conoce como cifrado asimétrico[xli] o cifrado de llave pública (Public Key Encryption).  En términos más específicos, para generar una firma digital, necesitamos:

 

  1. Un código de autenticación del mensaje (Message Autentication Code o MAC).  Esto es una serie de dígitos derivados del propio mensaje, para asegurar su integridad.
  2. Un algoritmo matemático, para producir un resultado ilegible de la combinación entre MAC y la llave privada (explicada a continuación), excepto con el uso la llave pública que le pertenece al mismo usuario. A esto le llamamos la Firma Digital.
  3. Dos llaves específicas para un usuario, una privada (que va a mantener solamente en su posesión) y una pública (que la va a compartir con las demás personas).  Cada llave se trata de una serie de dígitos y letras que son específicas para ese usuario.  Las llaves se miden por bits y cuánto más alto sea este número, más segura es la llave. [xlii]

 

            Ahora bien, no estamos hablando de encriptación de documentos para que no sean visibles por nadie.  Lo que estamos haciendo aquí es adjuntar al documento una serie de información que sale como resultado de utilizar el algoritmo matemático, junto con la llave privada de forma que, teniendo la llave pública de esa persona, podamos certificar que él produjo esa firma y que el documento está inalterado.

 

            El resumen de todo lo anterior significa que, aplicando el algoritmo matemático se produce una mezcla entre la información electrónica y la llave privada a la que llamamos Firma Digital.  Esa Firma Digital es un resultado único para esos dos elementos.  Ahora bien, esa Firma Digital junto con la llave pública produce el mismo documento original.[xliii]

 

            El funcionamiento del algoritmo para producir las llaves privadas y públicas, al igual que el algoritmo matemático para el cifrado exceden el alcance de este artículo, pero voy a discutir un poco de cuan seguro es este sistema.  No hay forma matemática de crear la llave privada, ni con la llave pública ni con la firma digital.  Pero existe un método que se conoce como el ataque de fuerza bruta (Brute Force Attack).  Para esto, lo que se hace es probar cada una de las alternativas, usando computadoras potentes, para intentar recrear la llave privada.  Uno por uno, se coge el mensaje y una llave al azar y se prueba a ver si usando el algoritmo matemático se genera la misma Firma Digital que produjo la persona que firmó.  Si lo consigo, ya tengo la llave privada y podría firmar documentos haciéndome pasar por la persona a la cual pertenece.  La realidad es que este método es prácticamente imposible de realizar con éxito.  Una llave normal (o mas bajo de lo normal se podría decir) cuenta con 128 bits, lo que significa que hay 2128 posibles llaves que tendría que tratar.  Una computadora que pudiera verificar un billón de billones (1018) llaves por segundo, tardaría 10,790,283,070,806 años[xliv] en tratarlas todas.

Firmas Digitales v. Firmas Electrónicas

            Las firmas electrónicas se tratan de un concepto más amplio.  Nos referimos a un "conjunto de datos, en forma electrónica, anejados a otros datos electrónicos o asociados funcionalmente a ellos con la intención de firmarlo"[xlv].  La firma electrónica puede ser un nombre al final de un e-mail o documento, un "acepto" al final de la contratación cuando compra un artículo por Internet, un número de identificación personal para obtener dinero de un cajero automático, una representación digital de la firma a manuscrito como la que utilizamos cuando firmamos para la tarjeta de crédito, una firma digital, en fin, cualquier dato, puesto de forma electrónica, que tenga la intención de firmar un documento.[xlvi]  Cuando hablamos entonces de una firma electrónica, no hablamos de una tecnología en específico, sino de una intención de, por medio de un dato electrónico, firmar un documento.

 

            Podríamos decir, entonces, que una Firma Digital, es un tipo Firma Electrónica que consiste de un cifrado asimétrico que nos permite, además de probar la autoría del documento, asegurarnos de la integridad del mismo.[xlvii]  Por esta razón es que también se podría decir que supera la firma a manuscrito, pues ésta no asegura que el documento no ha sido alterado desde que ha sido firmado.[xlviii]

Legislación Vigente sobre Firmas Electrónicas y Digitales

            Actualmente, en el ámbito de Firmas Electrónicas, Puerto Rico cuenta con la Ley de Firmas Electrónicas[xlix], que derogó la Ley de Firmas Digitales[l] que existía anteriormente.  Esto surgió a raíz de la aprobación federal del Electronic Signatures in Global and National Commerce Act[li] (E-Sign) la cual no permite que se favorezca ningún tipo de tecnología sobre otra.  Con esto, Puerto Rico se separó de la vertiente civilista[lii] de adoptar la Firma Digital sobre cualquier otro método de firma electrónica y se acercó más a la vertiente del "common law" donde probar la forma y el peso de la evidencia es más importante que el tipo de firma electrónica que se utilizó.[liii]

 

            Este movimiento de Puerto Rico al adoptar una ley de Firmas Electrónicas que sea tecnológicamente neutral responde a que E-Sign ocupa el campo[liv] y no permite que ningún estado tenga ninguna ley que favorezca un método sobre otro.[lv]  Al igual que Puerto Rico, los demás estados de la unión aprobaron legislaciones que cumplieran con ese requisito.[lvi]

 

            Aunque nuestra ley se modificó para atemperarla con E-Sign federal, añadió, como parte de los requisitos para ser una firma electrónica válida y a su vez tener el mismo efecto legal que una firma a puño y letra, que dicha firma asegure la integridad tanto de la firma como del documento que está firmando.[lvii]  Además, nuestra ley de Firmas Electrónicas[lviii], a diferencia de E-Sign, crea unas presunciones[lix] a la hora de utilizar firmas electrónicas:

 

  • Existe una presunción controvertible de que el documento no ha sido modificado desde el momento de su firma, si es posible utilizar un dispositivo de verificación de la firma electrónica y del contenido de un documento electrónico que permita corroborar con éxito la firma y el contenido del mismo.
  • Existe una presunción controvertible de que la firma electrónica pertenece al signatario titular del certificado de firma electrónica que contiene los datos de verificación de firma correspondientes.
  • Existe una presunción controvertible de que la firma electrónica fue añadida por el signatario a un documento electrónico con la intención de firmarlo.
  • Existe una presunción controvertible de que la información contenida en un certificado de firma electrónica vigente es correcta.

 

            Estas presunciones, heredadas de la ley anterior de Firmas Digitales[lx], además de lo dicho anteriormente, nos hacen pensar que en realidad no se le está dando el mismo peso a cualquier firma electrónica sino que se favorece una que asegure la integridad del documento como lo sería la Firma Digital lo cual iría en contra de lo que establece E-Sign en el sentido de no darle mayor peso a una tecnología que a otra.[lxi]

 

            El movimiento internacional es aceptar todas las firmas electrónicas pero reconocer la Firma Digital (o aquella que asegure el contenido del documento) para propósitos de autenticar los documentos.[lxii]  Lo que significa esto es que no se le va a negar validez legal a una firma electrónica sin importar el método que se utilice, pero, si la misma va a ser usada con el propósito de asegurar la integridad del documento, tiene que usarse una firma electrónica que así lo permita (por ejemplo, una firma digital).

 

           V.      Firmas Digitales y Autenticación de Evidencia Electrónica

 

            El uso de Firmas Digitales en la autenticación de evidencia electrónica es evidente.  Nuestra propia ley, como vimos en la sección anterior, establece presunciones que harían más fácil la presentación de evidencia en nuestros tribunales.[lxiii]  Estas presunciones obedecen a que, utilizando este método, se asegura tanto la integridad como la autoría de cualquier dato en medios electrónicos de forma que un tribunal puede entender, prima facie, que se trata de unos datos verdaderos.  El uso, sin embargo, que se le está dando a esta tecnología no es muy amplio.  Los tribunales, como vimos en las secciones anteriores[lxiv], siguen enfrentándose con el dilema de autenticación haciendo de estos procesos unos extremadamente onerosos.

Firmas Digitales y Autoría

            Como vimos, las firmas digitales, nos aseguran, por definición, la identificación del firmante[lxv], esto por que la llave privada se mantiene únicamente en su posesión y la ley crea una presunción de que eso es así.[lxvi]  El signatario, a su vez, tiene la responsabilidad de mantener su llave privada en secreto y no compartirla con terceros y de no hacerlo podría responder por su negligencia.[lxvii] 

 

            Para asegurarnos de que la Firma en realidad pertenece a una persona en particular, descansamos en un tercer ente, conocido como una Autoridad Certificadora[lxviii] (CA por sus siglas en inglés) que así lo certifica.  Esta entidad se encarga de mantener un registro de Firmas Digitales conocido como "Public Key Infrastructure" donde mantiene una relación entre las firmas digitales y la identidad de los firmantes.  A esta relación la llamamos certificado.  Estos certificados se tienen que mantener vigentes y el CA tiene que asegurarse de que, en caso de que alguna llave privada haya sido comprometida ( que haya caído en manos de otras personas además del firmante) el certificado sea revocado.  De esta manera nos aseguramos de que las personas que vayan a verificar las Firmas Digitales sepan desde que fecha el documento pudo haber sido firmado por otra persona que no haya sido la que aparece en el certificado.[lxix]  A su vez, los CA tienen que certificarse con otro CA, esto por que cada firma digital que ellos emiten tiene que estar a su vez firmada por ellos mismos y esta firma tener su propio certificado.  De esa manera se crea una estructura de certificados y ciertos tratadistas entienden que debe ser el gobierno el CA de última instancia.[lxx]

 

            Podemos entonces concluir que, teniendo un certificado válido, la firma digital de cierta información en medios electrónicos fue hecha por la persona indicada en el certificado.  Además, como vimos, la complejidad para poder adivinar la llave privada de alguien es prácticamente imposible.[lxxi]  Estas razones son las que hacen que las Firmas Digitales avaladas por un certificado válido se consideren como "Non - repudiable".  Este término se refiere a que una vez se pruebe la identidad de la persona en el certificado y que la firma pertenece a ese certificado, la persona no puede decir que eso no fue firmado por él.[lxxii]

 

Firmas Digitales e Integridad

            Por integridad nos referimos a que la información electrónica no ha sido alterada (se mantiene íntegra) desde el momento en que se firmó hasta el momento en que se trae al tribunal.  Cualquier alteración, sea o no sustancial, cambiaría la evidencia y afectaría su autenticación, pues en efecto, no se trataría de lo que proponemos que es.

 

            Como parte del algoritmo matemático para crear la Firma Digital, se utiliza lo que se conoce como el MAC o el Código de Autenticación del Mensaje.[lxxiii]  Este código es único para cada mensaje y cualquier alteración al mensaje, produciría un código distinto.  Este código se mezcla con la llave privada a través del algoritmo y nos produce la firma.  Esta firma, es entonces verificada con la llave pública (o certificado) y nos da, con toda certeza, no simplemente el autor del documento, sino el MAC con el que podemos verificar que el mensaje no ha sido alterado.

 

            La integridad del documento, o probar que el documento no ha sido modificado, se logra mediante el uso de una Firma Digital.  No todas las firmas electrónicas proveen el mecanismo para verificar la integridad del documento, parte esencial en la autenticación de evidencia electrónica.[lxxiv]

 

            Los movimientos hacia crear una uniformidad en las firmas electrónicas a nivel internacional incluyen dentro de sus definiciones que, para ser considerada una firma electrónica válida, debe hacer detectable cualquier alteración del documento posterior a su firma cuando esta sea una de sus finalidades.[lxxv]  Más aún, como vimos, la legislación vigente en Puerto Rico, aunque quiere darle cabida a cualquier firma electrónica, mantienen el requisito de poder detectar un cambio dentro del mensaje que se está firmando para hacer válida ciertas presunciones.[lxxvi]

 

            Debemos recordar que toda la información susceptible a estar en medios electrónicos puede ser firmada para garantizar su integridad.  Normalmente pensamos que se trata únicamente de documentos escritos, pues son los que solemos firmar cuando se trata de firmas a manuscrito.  Pero en este caso, podemos firmar cualquier tipo de evidencia electrónica, como lo serían, fotos, películas, hojas de cálculo, imágenes de discos duros enteros, entre otras.

 

        VI.      Sugerencias

            Como vimos, muchos de los problemas que tenemos a la hora de autenticar la evidencia electrónica[lxxvii] pueden ser resueltos mediante el uso de Firmas Digitales.  Para esto, debemos adoptar unas normativas a la hora de trabajar con la evidencia electrónica:

 

  • Debe implantarse una política de firmas digitales en los documentos o escritos puestos en Internet para ciertas industrias, por ejemplo, la prensa.
    • Esto, nos aseguraría la integridad y la fuente de dicho escrito.[lxxviii]
  • En ciertas industrias reguladas, debe implantarse el uso de firmas digitales en el envío de comunicaciones electrónicas tanto internas como externas:
    • Un ejemplo de esto serían los avisos del banco enviados por e-mail.
  • Para toda incautación de evidencia por parte del estado, se debe dar una copia de la firma digital expedida por una agencia de certificados al acusado.  Esto evitaría los problemas que confrontamos con las cadenas de custodia ya que estaríamos marcando la evidencia.[lxxix]
  • En ciertas industrias reguladas, la información almacenada deberá contener la firma de la persona que la creó.
    • Un ejemplo de esto sería en la industria de salud, cada médico que escribe en un récord, debe poner su firma electrónica en lo que escribe asegurando así su autoría e integridad.
  • En todo descubrimiento de prueba, todo documento electrónico debe ser firmado por la parte que provee la información y dicha firma debe ser presentada en la corte a la vez que se presenta el documento.  Con esto, no necesitamos la cadena de custodia ya que tenemos la presunción de que los documentos no fueron modificados desde que fueron firmados.[lxxx]
  • Bajo la Regla 79 de las Reglas de Evidencia de Puerto Rico[lxxxi], la cual establece la Autenticación Prima Facie, se debería enmendar para añadir:
    • Documentos Electrónicos con Firmas Digitales expedidas por una Autoridad Certificadora.
  • Debemos también crear un estándar en el que podamos confiar a la hora de validar una firma electrónica.  No podemos crear unas presunciones en el vacío que sean neutrales a la tecnología.  El estándar que propongo es uno de Firmas Digitales, tal y como se presenta en este artículo.
  • Los programas que interactúen con las firmas electrónicas deben estar regulados también por el estado.  De nada vale que se mantenga la llave privada de forma que nadie la pueda ver, si el programa que uso para firmar no tiene los estándares de seguridad adecuados.

 

     VII.      Conclusión

            Una tecnología como la Firma Digital, con tanta aceptación y que está siendo usada por distintas industrias, permitiría una manera más rápida y sencilla de autenticar la evidencia electrónica en los tribunales.

 

            Los tratadistas se han expresado sobre la dificultad que están enfrentando los tribunales al tratar de autenticar evidencia electrónica donde las legislaciones obligan a tratar todas las firmas electrónicas de la misma manera, sin poderle dar un mayor peso probatorio a una que a otra:

 

Critics of E-SIGN point out that the U.S. legislature failed to specify a technology that would provide legally adequate security and, thus, has pushed the responsibility of providing adequate legal certainty onto future lawmakers, judges, and juries.  This uncertainty could create evidentiary presumption problems for judges and juries to solve.  Under this scenario, judges and juries will likely have difficulty distinguishing between each new technology's level of security, even with the help of lawyers and experts, especially when the technology is in its infancy. The legislature is better suited to the task of gathering the sophisticated expertise required to create appropriate presumptions about the security of electronic signature technologies.[lxxxii]

 

            Las legislaciones vigentes[lxxxiii] en Estados Unidos y a su vez en Puerto Rico con respecto a las firmas electrónicas fallan al no establecer estándares firmes a la hora de proveer medidas para asegurar la autoría y la integridad de la información que se guarda en medios electrónicos.  El propósito de su creación es permitir la participación de nuestro país en el comercio internacional[lxxxiv], pero la falta de estándares está creando un caos en los tribunales.  Las presunciones creadas por la ley no pueden trabajar en un vacío de una tecnología neutral sino que tienen que basarse en tecnologías seguras, que están funcionando y que proveen la alternativa de permitirnos autenticar la evidencia de una manera más certera.

 

            Existen iniciativas por parte de la American Bar Association de crear estándares a la hora de autenticar evidencia electrónica y su enfoque mayor está siendo el uso de firmas digitales e infraestructuras de llaves públicas.[lxxxv]  También hay intentos de crear una nueva categoría de Cibernotarios cuyas funciones van a ser similares a la de los notarios como los conocemos ahora pero a través del Internet.  Dentro de las normativas que proponen para estos funcionarios se encuentra el registro de las llaves públicas.[lxxxvi]

            Queda mucho por hacer y muchos retos contra los que enfrentarnos, pero los abogados tenemos que tener una participación activa a la hora de encontrar maneras que ayuden a la economía procesal y a la rapidez con la que se llevan a cabo los procedimientos judiciales.  Asegurándonos en etapas tempranas de seguir ciertas normas que nos ayuden a mantener la integridad de los documentos en medios electrónicos y aplicando una tecnología en específico, facilitaríamos mucho la tarea de autenticación de evidencia en los tribunales.  La jurisprudencia cada día reconoce una mayor responsabilidad en los abogados de ser diligentes a la hora de trabajar con la evidencia electrónica.[lxxxvii] Esta tecnología se encuentra disponible y se llama Fir


[i] Con esto nos referimos a cualquier información que pueda guardarse en un disco duro y pueda ser manipulada por una computadora sin importar el tipo de datos de que se trate.  Incluiría, sin tratar de ser exhaustivos, documentos en procesadores de palabras, videos, fotos, hojas de cálculo, entre otros.

[ii] Weinstein’s Federal Evidence, 5-900 Weinstein's Federal Evidence § 900.02.

[iii] La regla 75 de las Reglas de Evidencia de Puerto Rico, nos establece que la autenticación es una condición previa a la admisibilidad y que esta se satisface con la presentación de evidencia suficiente para sostener una determinación de que la materia en cuestión es lo que el proponente sostiene.  32A L.P.R.A. Ap. IV, Regla 75.

[iv] Ernesto L. Chiesa, Tratado de Derecho Probatorio, pág. 991, (1998).

[v] Regla 18(b) de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 18(b).

[vi] Supra, nota 4, pág. 992.

[vii] Id.

[viii] Regla 901(b) de Evidencia Federal, USCS Fed. Rules Evid. R 901.

[ix] Regla 76 de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 76.

[x] La Regla 76 específicamente nos aclara que: "sin que se interprete como una limitación".  Id.

[xi] Id.

[xii] Véase Pueblo v. Bianchi, 117 DPR 484 (1986), donde nos definen su propósito como: "evitar error en la identificación del objeto y demostrar que la evidencia presentada no ha sufrido cambios sustanciales desde que fue ocupada el día de los hechos".

[xiii] 123 DPR 690 (1989).

[xiv] Este caso nos establece que el proponente de la evidencia vendrá obligado a probar la cadena de custodia cuando: 1) se ocupan objetos que contienen evidencia de naturaleza fungible; 2) cuando, no siendo fungible, la evidencia no tiene características que la distinga de objetos similares; 3) cuando la condición del objeto es lo relevante - películas, grabaciones, etc. - y el mismo es fácilmente suceptible de alteración.

[xv] Supra, nota 4, pág. 1018.

[xvi] Id., pág. 1027.

[xvii] Paul R. Rice, Electronic Evidence, Law and Practice,  pág. 256, A.B.A. (2005).

[xviii] Supra, nota 4, pág. 1018.

[xix] En In re Vee Vinhnee, 336 B.R. 437, 445 (2005), nota al calce 6, el Tribunal expresa al respecto su preocupación:  "In general, the Federal Rules of Evidence apply to computerized data as they do to other types of evidence. Computerized data, however, raise unique issues concerning accuracy and authenticity. Accuracy may be impaired by incomplete data entry, mistakes in output instructions, programming errors, damage and contamination of storage media, power outages, and equipment malfunctions. The integrity of data may also be compromised in the course of discovery by improper search and retrieval techniques, data conversion, or mishandling."

[xx] Supra, nota 17, pág. 258.

[xxi] Regla 79 de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 79.

[xxii] Supra, nota 4, pág. 1033.

[xxiii] Supra, nota 21.

[xxiv] Supra, nota 17, pág. 222.

[xxv] Id., pág. 227.

[xxvi] 76 F. Supp. 2d 773,774-775 (S.D. Tex. 1999).

[xxvii] David Hricik & Amy Falkingham, Symposium Article: Lawyers Still Worry Too Much About Transmitting E-Mail Over the Internet, 10 J. Tech. L. & Pol'y 265, 289 (2005).

[xxviii] Supra, nota 17, pág. 228-236.

[xxix] Id., pág. 232.

[xxx] Véase, United States v. Whiteaker, 127 F.3d 595 (7th Cir. 1997), donde el tribunal aceptó información financiera que fue obtenida de la computadora del acusado sin que se hubiera probado la cadena de custodia completa.

[xxxi] Paul Rice, página 258

[xxxii] Véase, Kupper v. State, 2004 WL 60768, un caso de la corte de Texas, donde se cuestionó la cadena de custodia desde que se ocupó la evidencia hasta que se llevó al tribunal.  El tribunal se expreso: "In prosecution for aggravated sexual assault, trial court acted within its discretion in admitting documents purportedly retrieved from defendant's work computer, despite defendant's claim that State did not show that the documents came from a computer he actually used; computer forensics officer testified that she "imaged," or made copies of, the computer pointed out to her by detective as defendant's work computer, that she placed identifying marks on the documents copied from the hard drive and gave copy to detective, and that the documents at trial appeared to be the same as the documents she gave detective, and the text of the documents contained defendant's name. Rules of Evid., Rule 901(a)."

[xxxiii] Véase, United States v. Jackson, 208 F. 3d 633 (7th Cir. 2000), St. Clair v. Johnny’s Oyster & Shrimp, Inc., supra, nota 26.

[xxxiv] Este es un problema de autoría e integridad cuya solución se provee más adelante mediante el uso de Firmas Digitales en la sección Sugerencias, infra.

[xxxv] Supra, nota 17, págs. 237 - 239.  El tratadista se expresa con respecto a esto: "Due to the suceptibility of the Internet and the Web pages posted on it to alteration by hackers, it would not be irrational for judges to conclude that the Internet format should not be used at trial without added assurances that there has been not tampering."

[xxxvi] Véase Regla 901(B)(13), disponible en http://www.tribunalpr.org/sistema/supremo/Reglas-Derecho-Probatorio_2007-vc.pdf.

[xxxvii] Véase Regla 901(B)(14), Id.

[xxxviii] Véase Regla 902(L), Id.

[xxxix] Valga aclarar que aunque normalmente se use para firmar documentos de texto, esta tecnología permitiría crear una firma digital de cualquier data que se encuentre en la computadora, entiéndase fotos, películas, hojas de cálculo, entre otros.

[xl] Artículo 2 de la ley número 25506 de diciembre 11 de 2001 de Firmas Digitales de Argentina.

[xli] Véase Introduction to Cryptography, disponible en http://www.pgpi.org/doc/pgpintro/

[xlii] Jeff Hynick, May I Borrow Your Mouse? A Note on Electronic Signatures in The United States, Argentina and Brazil, 12 Sw. J.L. & Trade Am. 159 (2005).

[xliii] En realidad lo que produce es el Message Autentication Code, pero éste es una representación del mensaje original.

[xliv] En realidad las probabilidades de encontrar la llave sería la mitad, pero debido a la magnitud de las cantidades de las que estamos hablando, no haría mucha diferencia para efectos de la seguridad.

[xlv] Ley número 359 del 16 de septiembre del 2004 de Puerto Rico, 3 LPRA 8701 ss.  Véase también 15 U.S.C. § 7001 para su definición a nivel federal.

[xlvi] Stephen Mason, Electronic Signatures in Practice, 6 J. High Tech. L. 148 (2006).

[xlvii] Richard Raysman & Peter Brown, Computer Law: Drafting and Negociating Forms, § 1A.07, Law Journal Press (2006).

[xlviii] Id.

[xlix] Ley Núm, 359 de 16 de septiembre de 2004, 3 L.P.R.A. § 8701.

[l] Ley Núm, 188 de 7 de agosto de 1998, 3 L.P.R.A. § 1031

[li] 15 U.S.C §  7001 et seq. (2004).

[lii] Así vemos como en Argentina se aprobó la ley número número 25506 de diciembre 11 de 2001 de Firmas Digitales.  Véase http://www.certificadodigital.com.ar/ley25_506.htm

[liii] Supra, nota 46.  Nos dice el autor que: "The focus is on the method used to communicate intention and to ensure the method chosen is appropriate for the purposes of the information. As a result, an "I accept" icon can be effective when used to indicate the agreement for the purchase of goods or services from a trader operating a web site. There is no need for the complexity associated with the use of a digital signature to prove intent. The important issue is whether the intent is manifest and the method is appropriate to the particular transaction."

[liv] 15 U.S.C. § 7001(a)(2).

[lv] Id.

[lvi] Vease http:// www.mbc.com/ecommerce/legislative.asp

[lvii] Nuestra ley, supra, nota 49, en la sección 8703 expone los requisitos para que una firma electrónica sea válida a los efectos de que se le reconozcan los efectos legales.  Entre estos se encuentra en el punto (d) Que sea posible detectar cualquier alteración de la firma electrónica hecha después del momento de la firma; y (e) Cuando uno de los objetivos del requisito legal de la firma consista en dar seguridades en cuanto a la integridad de la información a la que corresponde, que sea posible detectar cualquier alteración de esa información hecha después del momento de la firma.

[lviii] Supra, nota 49.

[lix] 3 L.P.R.A. § 8703a.

[lx] Supra, nota 50.

[lxi] 15 U.S.C. § 7002(a).

[lxii] UNCITRAL Model Law on Electronic Commerce (1996), disponible en http://www.jus.uio.no/lm/un.electronic.commerce.model.law  Paises como Singapore, Bermuda y la Unión Europea han seguido esta vertiente. Supra, nota 46.

[lxiii] Supra, nota 59.

[lxiv] Problemas en la Autenticación de Evidencia Electrónica, supra.

[lxv] Véase supra, ¿Qué es una Firma Digital?

[lxvi] Supra, Nota 59.

[lxvii] La ley de Firmas Electrónicas de Puerto Rico, supra, en su sección 8705 establece obligaciones para el signatario, entre las que se encuentra:

·         Actuar con diligencia razonable para evitar la utilización no autorizada de sus datos de creación de la firma.

·         Dar aviso sin dilación indebida a cualquier persona que, según pueda razonablemente prever, pueda considerar fiable la firma electrónica o prestar servicios que la apoyen [si la misma ha sido comprometida].

·         Notificar a la autoridad certificadora y a la autoridad de registro si su firma electrónica ha sido comprometida por terceros no autorizados o indebidamente utilizada, en cuanto tenga conocimiento de ello.

·         Actuar con diligencia razonable para cerciorarse de que todas las declaraciones que haya hecho que hayan de consignarse en el certificado de firma electrónica sean cabales y exactas.

·         El signatario incurrirá en responsabilidad por el incumplimiento de las disposiciones de esta sección u cualquiera otra dispuesta mediante reglamento.

[lxviii] La ley de Firmas Electrónicas de Puerto Rico,supra, los regula en su sección 8705 y entre sus responsabilidades se encuentra:

·         Actuar con diligencia razonable para asegurarse de que todas las declaraciones importantes que haya hecho con relación al ciclo vital del certificado o que estén consignadas en él sean exactas y cabales.

·         Proporcionar medios de acceso razonablemente fácil que permitan a la parte que confía en el certificado determinar en este: La identidad de la autoridad certificadora; Que el signatario nombrado en el certificado tenía bajo su control los datos de creación de la firma electrónica en el momento en que se expidió el certificado; Que los datos de creación de la firma eran válidos en la fecha en que se expidió el certificado o antes de ella; Si los datos de creación de firma son válidos y no están en entredicho.; entre otros.

[lxix] Para una expliación más detallada, ver Drafting Negotiating Forms

[lxx] Froomkin, Symposium: Innovation and the Information Environment: The Essential Role of Trusted Third Parties in Electronic Commerce, 75 Ore. L. Rev. 49, 56 (1996).

[lxxi] Véase supra, ¿Qué es una Firma Digital?

[lxxii] Supra,  Nota 46.

[lxxiii] Vease supra, ¿Qué es una firma Digital?

[lxxiv] Paul Rice nos dice: The basic concerns of authentication are the same, whether dealing with electronic or paper documents.  First, the proponent should be able to show that the content of a document is complete and unaltered.  Second, proponents should be able to show that a document originated from the named source.  Supra, nota 17, pág. 222.

[lxxv] UNCITRAL Model Law on Electronic Signatures 2001, Disponible en http://www.uncitral.org/pdf/english/texts/electcom/ml-elecsig-e.pdf, en su artículo 6 dispone que: "An electronic signature is considered to be reliable for the purpose of satisfying the requirement referred to in paragraph 1 if... Where a purpose of the legal requirement for a signature is to provide assurance as to the integrity of the information to which it relates, any alteration made to that information after the time of signing is detectable."

[lxxvi] Ver supra, Legislación Vigente sobre Firmas Electrónicas y Digitales

[lxxvii] Vease supra, Problemas en la Autenticación de Evidencia Electrónica.

[lxxviii] Podrían entonces tratarse como si fueran periódicos tal y como se trataría la versión impresa.  Se resolvería el problema de autenticación de información en páginas de internet con respecto a su integridad, supra, al igual que el problema que plantea Paul Rice cuando dice: "However, unlike a traditional periodical, there is only one copy of this publication, absent backups or printouts from it.  Consequently, unlike a newspaper or magazine, it may be significantly harder to verify its accuracy.", Supra, nota 17, pág. 246.

[lxxix] Como vimos anteriormente, supra, nota 16, la cadena de custodia aplica con evidencia que no es suceptible de ser marcada.

[lxxx] Supra, nota 59.

[lxxxi] Supra, nota 21.

[lxxxii] Jennifer L. Koger, You Sign, E-Sign, We All Fall Down: Why the United States Should Not Crown the Marketplace as Primary Legislator of Electronic Signatures, 11 Transnat'l L. & Contemp. Probs. 491, 508. (Citas omitidas).

[lxxxiii] Véase, Legislación Vigente sobre Firmas Electrónicas y Digitales, supra.

[lxxxiv] Art. 2 de la Ley de Septiembre 16, 2004, Núm. 359 de Puerto Rico.

[lxxxv] Véase, http://www.abanet.org/scitech/ec/isc/dsgfree.html

[lxxxvi] Barassi, The Cybernotary: Public Key Registration and Certification and Authentication of International Legal Transactions, available at http://www.abanet.org/scitech/ec/cn/cybernote.html

[lxxxvii] Véase Zubulake v. UBS Warburg LLC, 217 F.R.D. 309 (S.D.N.Y. 2003), Zubulake v. UBS Warburg LLC, 220 F.R.D. 212 (S.D.N.Y. 2003), Zubulake v. UBS Warburg LLC, 2004 WL 1620866 (S.D.N.Y. July 20, 2004). Estos casos expresan la responsabilidad de los abogados a la hora de localizar las posibles fuentes de evidencia en medios electrónicos.  También la responsabilidad de preservar la información contenida de la misma manera.

 

 

BIBLIOGRAFÍA

  1. Weinstein’s Federal Evidence, 5-900 Weinstein's Federal Evidence § 900.02
  2. Regla 75 de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 75.
  3. Regla 76 de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 76.
  4. Ernesto L. Chiesa, Tratado de Derecho Probatorio, pág. 991, (1998).
  5. Regla 18(b) de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 18(b).
  6. Regla 901(b) de Evidencia Federal, USCS Fed. Rules Evid. R 901.
  7. Regla 76 de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 76.
  8. Pueblo v. Bianchi, 117 DPR 484 (1986)
  9. Pueblo v. Carrasquillo, 123 DPR 690 (1989)
  10. Paul R. Rice, Electronic Evidence, Law and Practice,  pág. 237-239, 256, 258, A.B.A. (2005)
  11. In re Vee Vinhnee, 336 B.R. 437, 445 (2005)
  12. Regla 79 de las Reglas de Evidencia de Puerto Rico, 32A L.P.R.A. Ap. IV, Regla 79.
  13.  St. Clair v. Johnny’s Oyster & Shrimp, Inc., 76 F. Supp. 2d 773,774-775 (S.D. Tex. 1999)
  14. David Hricik & Amy Falkingham, Symposium Article: Lawyers Still Worry Too Much About Transmitting E-Mail Over the Internet, 10 J. Tech. L. & Pol'y 265, 289 (2005)
  15. United States v. Whiteaker, 127 F.3d 595 (7th Cir. 1997)
  16. Kupper v. State, 2004 WL 60768
  17. United States v. Jackson, 208 F. 3d 633 (7th Cir. 2000)
  18. Regla 901(B)(13), 901(B)(14), 902(L), disponible en http://www.tribunalpr.org/sistema/supremo/Reglas-Derecho-Probatorio_2007-vc.pdf
  19. Artículo 2 de la ley número 25506 de diciembre 11 de 2001 de Firmas Digitales de Argentina.
  20. Introduction to Cryptography, disponible en http://www.pgpi.org/doc/pgpintro/
  21. Jeff Hynick, May I Borrow Your Mouse? A Note on Electronic Signatures in The United States, Argentina and Brazil, 12 Sw. J.L. & Trade Am. 159 (2005)
  22. Ley número 359 del 16 de septiembre del 2004 de Puerto Rico, 3 LPRA 8701 ss.
  23. Stephen Mason, Electronic Signatures in Practice, 6 J. High Tech. L. 148 (2006).
  24. Richard Raysman & Peter Brown, Computer Law: Drafting and Negociating Forms, § 1A.07, Law Journal Press (2006).
  25. Ley Núm, 359 de 16 de septiembre de 2004, 3 L.P.R.A. § 8701.
  26. Ley Núm, 188 de 7 de agosto de 1998, 3 L.P.R.A. § 1031
  27. Ley número número 25506 de diciembre 11 de 2001 de Firmas Digitales.  Véase http://www.certificadodigital.com.ar/ley25_506.htm
  28. UNCITRAL Model Law on Electronic Commerce (1996), disponible en http://www.jus.uio.no/lm/un.electronic.commerce.model.law 
  29. Froomkin, Symposium: Innovation and the Information Environment: The Essential Role of Trusted Third Parties in Electronic Commerce, 75 Ore. L. Rev. 49, 56 (1996).
  30. UNCITRAL Model Law on Electronic Signatures 2001, Disponible en http://www.uncitral.org/pdf/english/texts/electcom/ml-elecsig-e.pdf
  31. Jennifer L. Koger, You Sign, E-Sign, We All Fall Down: Why the United States Should Not Crown the Marketplace as Primary Legislator of Electronic Signatures, 11 Transnat'l L. & Contemp. Probs. 491, 508. (Citas omitidas).
  32. Barassi, The Cybernotary: Public Key Registration and Certification and Authentication of International Legal Transactions, available at http://www.abanet.org/scitech/ec/cn/cybernote.html
  33. Zubulake v. UBS Warburg LLC, 217 F.R.D. 309 (S.D.N.Y. 2003).
  34. Zubulake v. UBS Warburg LLC, 220 F.R.D. 212 (S.D.N.Y. 2003).
  35. Zubulake v. UBS Warburg LLC, 2004 WL 1620866 (S.D.N.Y. July 20, 2004)

Country:

Editor notes: 
Author: 
SITE:
http://www.alfa-redi.org/node/8931