Se sostiene en los Estados Unidos que el Gobierno y la industria deben trabajar conjuntamente a efectos de crear una infraestructura que brinde seguridad y permita el desarrollo de productos que incorporen elementos de criptografía, sin menoscabar la seguridad nacional y pública. Una política que considere claves criptográficas como base para acuerdos gubernamentales bilaterales y multilaterales sería determinante para que la industria pueda desarrollar productos que operen mundialmente. La industria participará en la definición de algoritmos y protocolos estándar, y desarrollará productos de claves de encriptado adecuados para la protección de los sectores de información públicos y privados. El Gobierno colaborará estableciendo estándares para la Infraestructura de Administración de Claves (IAC) y proveerá un mercado para productos de seguridad.
Una infraestructura de Administración de Claves y adecuados productos de claves brindarán muchos beneficios, tanto local como internacionalmente, mientras se consideran las ventajas de la red global para un comercio mejorado, más ágil y seguro.
Como se dijo antes, se insiste en que el gobierno no puede seguir con el monopolio de la criptografía. Ya no resulta aceptable el argumento de que la única información que merece interés de seguridad nacional es la información gubernamental. Por otro lado, resulta irreal creer que el gobierno brindará soluciones acordes a la velocidad con que se suceden los cambios en Information Technology. Poco a poco, todas las instituciones, ya sean civiles o militares, y las corporaciones, se van comunicando a través de conexiones comunes. El comercio nacional e internacional se está mudando a la red.
Existe otro argumento de peso que obliga al gobierno a ser socio en el desarrollo de la infraestructura antes referida. No sólo la Era de la Información produce cambios radicales en la forma en que la gente interactúa, sino que la dependencia de los sistemas de información hace a las instituciones vulnerables en un grado antes inimaginable. Casi todas las instituciones de las que la seguridad pública depende se encuentran ante graves riesgos debido a su presencia y dependencia dentro de una infraestructura de información global.
Pero la proliferación de servicios criptográficos no está exenta de riesgos. Las claves pueden perderse, ser robadas u olvidadas, tornando inútiles los datos encriptados. Adicionalmente, la utilización indiscriminada del encriptado sin características que brinden la adecuada seguridad pueden poner en un serio peligro a la sociedad.
Firma digital - La ley del Estado de Utah
En los Estados Unidos varios estados están desarrollando o han implementado una legislación sobre firma digital, entre ellos Arizona, Georgia, Hawai, Oregon, Washington, Illinois, California y Florida.
Gran parte de esta legislación se ha basado en la Ley del Estado de Utah sobre la Firma Digital (Utah Digital Signature Act), que comenzó a regir el 1 de mayo de 1995, y en la Guía de Firma Digital (Digital Signature Guidelines), publicada en octubre de 1995 por The American Bar Association's Information Security Committee (Comité de la ABA Science and Technology Section.)
Utah fue el primer estado en haber implementado un nuevo uso en la autopista informática. Ante la ausencia de una ley modelo, la Ley de Firma Digital de Utah se ha convertido en referencia obligada para los demás estados.
Esta ley conforma un esquema regulatorio que brinda efectos legales a la firma digital, un sistema de doble clave que brinda protección, verificación y autenticación a transacciones en línea (on-line.)
En el acto electrónico interviene un tercera parte que es la autoridad certificante, encargada de emitir los certificados indispensables para poder utilizar el sistema, cuyas funciones describiremos más adelante.
La Ley define la firma digital ("dig-sig") como la transformación de un mensaje empleando un criptosistema asimétrico tal que una persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con certeza:
1) Si la transformación se creó usando la clave privada que corresponde a la clave pública del firmante, y 2) si el mensaje ha sido modificado desde que se efectuó la transformación. Esta definición es importante ya que decide la tecnología a utilizar, que recae fundamentalmente en la criptografía, cuya definición y características hemos brindado anteriormente.
La firma digital utiliza un criptosistema asimétrico. Esto significa que comprende dos procesos: 1) la creación de la firma por el suscriptor utilizando la clave privada, que es sólo conocida por el suscriptor, y el es el único responsable de su guarda, y 2) la verificación de la firma por la otra parte: el receptor del mensaje comprueba su autenticidad utilizando la clave pública que surge del certificado del suscriptor, comunicándose con el repositorio o registro donde el referido certificado se encuentra registrado.
Una típica transacción con firma digital comienza con la determinación por parte del firmante del contenido del documento que desea firmar (mensaje plano). Luego el software crea una imagen digital o resumen del mensaje mediante la aplicación de una función denominada "hash function". Al resultado de la aplicación de esta función se lo denomina "hash result", y consiste en un código único para el mensaje. De esta forma, si el mensaje cambia o es modificado, el "hash result" será diferente. Por último el software encripta o transforma el "hash result" con la firma digital mediante la aplicación de la clave privada del firmante. La firma así obtenida es única tanto para el mensaje como para la clave privada utilizada para su creación.
La verificación de la firma digital es realizada computando un nuevo "hash result" del mensaje original utilizando la misma "hash function" usada en la creación de la firma digital. Finalmente, con la clave pública que surge del certificado del firmante, el receptor comprueba si la firma digital proviene del la clave privada del firmante y si el nuevo "hash result" es igual al que proviene de la firma digital. El receptor realiza esta operatoria comunicándose con el registro de claves públicas donde se encuentra registrado el certificado correspondiente.
La infraestructura o el sistema requiere de terceras partes confiables, que representan a la autoridad certificante por parte del gobierno. La ley de Utah le da una importancia fundamental a las Autoridades Certificantes (Certification Authorities, "CAs"), definidas como las personas facultadas para emitir certificados Pueden ser personas físicas o empresas o instituciones públicas o privadas y deberán obtener una licencia de la Division of Corporations and Commercial Code, en el caso del Estado de Utah, para funcionar como tales.
Son las encargadas de mantener los registros directamente en línea (on-line) de claves públicas. Una compañía puede emitir certificados a sus empleados, una universidad a sus estudiantes, una ciudad a sus ciudadanos.
Para evitar que se falsifiquen los certificados, la clave pública de la CA debe ser confiable: una CA debe publicar su clave pública o proporcionar un certificado de una autoridad mayor que atestigüe la validez de su clave. Esta solución da origen a diferentes niveles, estratos o jerarquías de CAs.
También debemos nombrar a los certificados, que son los registros electrónicos que atestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten la verificación de que una clave pública dada pertenece fehacientemente a una determinada persona. Los certificados ayudan a evitar que alguien utilice una clave falsa haciéndose pasar por otro. En su forma más simple, contienen una clave pública y un nombre, la fecha de vencimiento de la clave, el nombre de la autoridad certificante, el número de serie del certificado y la firma digital de quien otorga el certificado. Los certificados se inscriben en un Registro (repository), considerado como una base de datos a la que el público puede acceder directamente en línea (on-line) para conocer acerca de la validez de los mismos. Los usuarios o firmantes (subscribers) son aquellas personas que detentan la clave privada que corresponde a la clave pública identificada en el certificado. Por lo tanto, la principal función del certificado es identificar el par de claves con el usuario o firmante, de forma tal que quien pretende verificar una firma digital con la clave pública que surge de un certificado tenga la seguridad que la correspondiente clave privada es detentada por el firmante.
La Autoridad Certificante puede emitir distintos tipos de certificados. Los certificados de identificación simplemente identifican y conectan un nombre a una clave pública. Los certificados de autorización, en cambio, proveen otro tipo de información correspondiente al usuario, como dirección comercial, antecedentes, catálogos de productos, etc. Otros certificados colocan a la Autoridad Certificante en el rol de notario, pudiendo ser utilizados para la atestación de la validez de un determinado hecho o que un hecho efectivamente ha ocurrido. Otros certificados permiten determinar día y hora en que el documento fue digitalmente firmado (Digital time-stamp certificates.)
El interesado en operar dentro del esquema establecido por la ley, luego de crear el par de claves deberá presentarse ante la autoridad certificante (o funcionario que ella determine) a efectos de registrar su clave pública, acreditando su identidad y/o cualquier otra circunstancia que le sea requerida para obtener el certificado que le permita 'firmar' el documento de que se trate.
Por ejemplo, para realizar una operación financiera de importancia con un banco, éste puede requerir al interesado un certificado del que surja, además de la constatación de su identidad, el análisis de sus antecedentes criminales o financieros. Esto quiere decir que la firma digital del interesado sólo será aceptada por la otra parte si cuenta con el certificado apropiado para la operación a realizar.
El Registro (Repository) como dijimos anteriormente, es la base de datos a la que el público puede acceder on-line para conocer acerca de la validez de los certificados, su vigencia o cualquier otra situación que se relacione con los mismos. Dicha base de datos debe incluir, entre otras cosas, los certificados publicados en el repositorio, las notificaciones de certificados suspendidos o revocados publicadas por las autoridades certificantes acreditadas, los archivos de autoridades certificantes autorizadas y todo otro requisito exigido por la División. Para ser reconocido, el repositorio debe operar bajo la dirección de una autoridad certificante acreditada.
Un caso concreto: VeriSign
VeriSign es una de las empresas que brinda servicios de certificación. Estos servicios han sido diseñados básicamente para brindar seguridad al comercio electrónico y a la utilización de la firma digital. Para el logro de este objetivo, las autoridades de emisión (Issuing Authorities, "IA") autorizadas por VeriSign funcionan como tercera parte de confianza, emitiendo, administrando, suspendiendo o revocando certificados de acuerdo
Con la práctica pública de la empresa. Las IA facilitan la confirmación de la relación existente entre una clave pública y una persona o nombre determinado. Dicha confirmación es representada por un certificado: un mensaje firmado digitalmente y emitido por una IA. La gestión del proceso de certificación incluye servicios de registro, "naming", autenticación, emisión, revocación y suspensión de los certificados.
Esta empresa ofrece tres niveles de servicios de certificación. Cada nivel o clase de certificados provee servicios específicos en cuanto a funcionalidad y seguridad. Los interesados eligen entre estos grupos de servicios el que más le conviene según sus necesidades, debiendo especificar qué clase de certificado desean. Dependiendo de la clase de certificado requerido, los interesados pueden solicitarlos y obtenerlos electrónicamente siguiendo las instrucciones detalladamente indicadas, o deberán concurrir personalmente a una Local Registration Authority (LRA), o a un delegado, que puede ser un notario. Pueden existir varias "IA" para cada uno de los distintos niveles. Cumplidos los requisitos exigidos se emite el certificado o se envía un borrador para su aceptación por el interesado, según el caso.
Los Certificados Clase 1 son emitidos y comunicados electrónicamente a personas físicas, y relacionan en forma indubitable el nombre del usuario o su "alias" y su dirección de E-mail con el registro llevado por VeriSign. No autentican la identidad del usuario. Los Certificados Clase 2 son emitidos a personas físicas, y confirman la veracidad de la información aportada en el acto de presentar la aplicación y que ella no difiere de la que surge de alguna base de datos de usuarios reconocida. Es utilizado para comunicaciones intra-inter organizaciones vía E-mail; transacciones comerciales de bajo riesgo; validación de software y suscripciones on line. Debido a las limitaciones de las referidas bases de datos, esta clase de certificados está reservada a residentes en los Estados Unidos y Canadá. Los Certificados Clase 3 son emitidos a personas físicas y organizaciones públicas y privadas. En el primer caso, asegura la identidad del suscriptor, requiriendo su presencia física ante una LRA o un notario. En el caso de organizaciones asegura la existencia y nombre mediante el cotejo de los registros denunciados con los contenidos en bases de datos independientes. Son utilizados para determinadas aplicaciones de comercio electrónico como “electronic banking” y Electronic Data Interchange (EDI.)
Como las IAs autorizadas por VeriSign firman digitalmente los certificados que emiten, la empresa asegura a los usuarios que la clave privada utilizada no está comprometida, valiéndose para ello de productos de hardware. Asimismo, recomiendan que las claves privadas de los usuarios sean encriptadas via software o conservadas en un medio físico (smart cards o PC cards.)
El dinero Electrónico y el lavado de Dinero
Expuestas las características generales de los sistemas de dinero electrónico y los mecanismos que se utilizan para garantizar la seguridad y privacidad de toda transmisión electrónica de mensajes, analizaremos su relación con el lavado de dinero.
Para ello recurriremos a las 40 Recomendaciones establecidas por FATF (Financial Action Task Force.) Este Grupo de Acción Financiera sobre Lavado de Dinero fue convocado por el Grupo de los Siete (G-7) en la Cumbre Económica de París de 1989, con la misión de desarrollar y promover políticas de prevención y represión del lavado de dinero, y reúne a 26 países y dos organizaciones internacionales (Comisión Europea y Consejo de Cooperación de los Estados del Golfo Pérsico.)
Con relación al tema que nos ocupa, se establece que los países deben prestar especial atención a la amenaza que representa el desarrollo de nuevas tecnologías que favorecen el anonimato, tomando las medidas necesarias para prevenir la utilización de las mismas en el lavado de dinero.
En este sentido se promueve, en el ámbito internacional, el acercamiento de los organismos encargados del control del lavado de dinero con las empresas que desarrollan los productos de dinero electrónico.
El lavado de dinero se produce luego de la comisión de un delito, de donde surgen fondos que necesitan ser lavados. La detección de esta actividad ilícita constituye la primera dificultad, sobre todo por el hecho de que los medios utilizados para el lavado no solamente son legales sino que constituyen actividades corrientes, como la apertura de cuentas en bancos, la adquisición de instrumentos monetarios y la transferencia electrónica de fondos.
Del examen de las características anteriormente mencionadas surge claramente que el dinero electrónico tendría la particularidad de facilitar a los lavadores la ocultación del origen de los fondos, permitiendo su anónima movilización. Es lógico suponer que si estos nuevos sistemas se desarrollan de forma tal que se acomoden a las necesidades de los lavadores mejor que los sistemas de pago existentes, seguramente van a ser utilizados.
Una de las características distintivas de la economía digital es la desintermediación, es decir, la eliminación de todo aquello que se interpone entre las partes. La presencia de esta característica se observa claramente en el desarrollo de los sistemas de dinero electrónico. Históricamente los controles han descansado en la intermediación de los bancos y otras instituciones financieras, que actúan como aduanas que los fondos generalmente deben atravesar y donde se deben mantener registros de las operaciones. De hecho, la mayor parte de la regulación contra el lavado de dinero, así como las 40 Recomendaciones de la FATF, están destinadas específicamente a las entidades financieras para que implementen medidas que aseguren la existencia de informes por escrito que permitan el seguimiento de las operaciones.
Como hemos visto, algunos sistemas de dinero electrónico facilitan el cambio de valores sin la participación de los bancos, lo que da por tierra con la ayuda anteriormente mencionada.
Con relación a este tema, se promueve la aplicación de todas las recomendaciones a instituciones financieras no bancarias. Por otro lado, se aconseja a los países miembros a que establezcan aquellas actividades realizadas por el sector no financiero que pueden resultar vulnerables al lavado de dinero, y en este caso, que impongan controles efectivos.
Teniendo en cuenta lo expresado, los servicios de dinero electrónico pueden resultar comprendidos dentro de estas recomendaciones.
Se recomienda que los organismos de control aseguren que las instituciones supervisadas posean programas adecuados para prevenir el lavado de dinero. Con tal motivo, las autoridades competentes deben trazar pautas que ayuden a las instituciones financieras a dictar patrones sospechosos en las conductas de sus clientes. Otro punto importante es que algunos de estos sistemas pueden ser ofrecidos por entidades que actualmente no están sujetas a regulación.
Los sistemas de dinero electrónico hacen muy difícil que se cumpla con el principio "conozca su cliente". En Internet, cuyas características principales analizamos anteriormente, un gran conglomerado internacional podría no distinguirse de un pequeño negocio que realiza sus primeras armas en el comercio.
Las recomendaciones requieren que las instituciones financieras mantengan determinados registros de las transacciones realizadas así como la verificación y registro de la identidad de los clientes y la autenticación de la estructura legal de sus negocios La forma en que los sistemas de dinero electrónico puedan implementar estas medidas resulta incierta. Además se requiere que las instituciones financieras identifiquen y reporten cualquier actividad sospechosa, y desarrollen e implementen programas contra el lavado de dinero.
La mayor o menor facilidad para trasladar los valores, así como la necesidad de recurrir a la intervención del emisor o de un tercero a efectos de concretar la operación determinará el éxito de los sistemas. Algunos sistemas sólo permiten la transferencia de valores entre un individuo, por un lado, y un comerciantes y el emisor del sistema, por el otro. Otros, en cambio, permiten la transferencia de valores entre individuos. Estos últimos serían el sistema ideal ya que el producto en más parecido al efectivo.
A efectos de controlar el flujo de valores se han propuesto distintas medidas, entre las que se destacan:
-
Limitar las transacciones entre individuos a operaciones de poco monto. La tecnología permite que se almacenen montos ilimitados. Los emisores seguramente limitarán estos valores para reducir el peligro de fraudes, pero en definitiva esto será determinado por factores comerciales y de mercado.
-
Restringir la utilización de valores a un tiempo o plazo determinado. Hay que tener en cuenta que los lavadores explotarán cualquier tipo de limitación que se establezca, como lo hacen en la actualidad, obteniendo múltiples tarjetas, utilizando diferentes nombres y distintos emisores.
-
Aumentar el nivel de registro de operaciones: Se considera casi imposible el seguimiento de todas las transacciones. Incluso si la tecnología lo permitiera sería prohibitivo a nivel costos y generaría una enorme cantidad de datos que no tendrían valor ni utilidad. Además no sería aceptado por los consumidores que buscan reserva.
Algunos sistemas ofrecerán tarjetas por ATM. Otros requerirán la apertura de una cuenta. Lógicamente el sistema con menor control será el más atractivo, pero todos deben presentar la facilidad de registrar la propiedad del medio que se utiliza.
La velocidad, la seguridad y el anonimato de los sistemas de dinero electrónico constituyen características positivas que inducen a su utilización, pero a su vez, las mismas características resultan atractivas para ser utilizadas con propósitos ilícitos. En este sentido, y recordando lo expresado al hablar del futuro de la protección criptográfica, se recomienda que la legislación sobre seguridad y secreto debe ser concebida de forma tal de no impedir medidas contra el lavado de dinero.
Cabe realizar la siguiente interrogante: ¿Cuáles son los desafíos que introducirá el dinero electrónico?. Menor vulnerabilidad en la detección de las operaciones. El transporte físico del efectivo siempre ha presentado problemas al lavador de dinero. Hasta resulta común el abandono de dinero por no poder transportarlo rápidamente.
El dinero electrónico reduce la necesidad del contrabando físico, permitiendo que en lugar de un envío repartido en valijas con doble fondo, grandes cantidades puedan ser transmitidas instantáneamente y en forma segura con unas pocas instrucciones. El dinero podría ser transportado a cualquier lugar del mundo sin la necesidad de pasar por el control de las instituciones intermediarias tradicionales.
En la actualidad se considera que solo una pequeña parte de los U$S 2 trillones que por día se transfieren electrónicamente en todo el mundo, corresponden a fondos ilícitos. Una vez que los sistemas de dinero electrónico se utilicen en larga escala, los mismos tomarán parte de la proporción de dichos fondos ilícitos, resultando difícil identificarlos dentro del volumen total.
El volumen y la velocidad del procesamiento computarizado de datos dificultarán el desarrollo de indicadores que permitan detectar actividades sospechosas. Para tener una idea de los números que se manejan, el informe nos recomienda tener en cuenta las estadísticas que surgen de SWIFT (Society for Worldwide Interbank Financial Telecommunication S.C.), y compararlas con los números que se prevén para Internet:
SWIFT Fondos transmitidos electrónicamente por día: U$S 2 trillones
Mensajes recibidos por día: 2.5 millones; por año: 580 millones.
Operaciones por segundo: 1,000. Países miembros: 135.
Usuarios 5.300
INTERNET Servidores 12.8 millones.
Usuarios 300 millones.
Correo electrónico por mes 1 billón.
Estos números sirven para demostrar como los números de SWIFT se verán opacados y como el control será aun más difícil en el mundo del dinero electrónico.
