Nuestra actividad digital supera cada vez más a la tradicional: somos de clic rápido a la hora de comprar online, mandar adjuntos en un correo electrónico o comentar un hilo en Twitter pero ¿sabemos cómo demostrar que nos han cobrado un precio distinto al que vimos en la página web o que un usuario desconocido cuyo nombre es una arroba seguido de un puñado de número y letras inconexas nos lleva acosando semanas? Un adelanto: no, una captura de pantalla no es suficiente.
Dada la rapidez con la que la información circula, cambia y desaparece en la red sin dejar rastro aparente, unas horas o incluso minutos puede ser una espera demasiado larga para obtener ‘una prueba digital’ en presencia de un perito informático o un notario. Es por ello, que es cada vez más habitual que los usuarios recurran a los servicios de los conocidos como ‘testigos online’.
Los ‘prestadores de servicios electrónicos de confianza’, que es el nombre oficial que recibe esta figura reconocida por el Ministerio de Energía, Turismo y Agenda Digital de España, actúan como un “tercero de confianza” que mediante desarrollos basados en firma digital acreditan con un timestamp, es decir, con un sello de tiempo, que un conjunto de datos existió en una fecha y hora concretas y que ninguno de estos datos ha sido modificado desde entonces.
En este sentido, “el sellado de tiempo cualificado proporciona un valor añadido a la utilización de firma digital ya que ésta por sí sola no proporciona ninguna información acerca del momento de creación de la firma”, según recoge el portal de la Fábrica Nacional de Moneda y Timbre (FNMT) del que depende la Entidad Pública de Certificación de comunicaciones en redes abiertas (CERES).
¿Cómo certifica contenido un testigo online?
El mercado de estos ‘terceros de confianza’ es cada vez más amplio y conviene acudir al listado oficial del MINETUR para comprobar qué empresas están cualificadas o no. Nosotros vamos a comprobar cómo certificar contenido online a través de eGarante, una de las herramientas más populares entre los usuarios de Internet y recomendada por organismos oficiales como la Guardia Civil o el OSI (Observatorio de Seguridad del Internauta, dependiente del Instituto Nacional de Ciberseguridad) por contar con un servicio gratuito limitado para particulares.
El sistema eGarante es uno de los pioneros del sector, arrancó en 2010 como una prueba de concepto, con un pequeño hosting y totalmente free, en el conocido blog security by default del informático y desarrollador Yago Jesús. Ocho años después, cuenta hoy con una plataforma de servicios multidisciplinar en versión Premium que permite trackear el contenido de páginas web, certificar documentos o todas las comunicaciones de correo electrónico de una empresa.
Los dos elementos clave que convierten a eGarante en un "tercero de confianza" son la firma electrónica, realizada con un sello de empresa cualificado que vincula el documento presentado como prueba con eGarante como su originador, y el sello de tiempo electrónico cualificado que establece la presunción del momento en el que se creó dicha certificación, explica Jesús.
Uno de los dos servicios que sigue siendo gratuito para particulares es eGarante Web que proporciona una copia del contenido de una página publicado en un momento concreto con la garantía del sello de tiempo. Puede ser que queramos conservar como prueba una publicación de un portal de noticias que se dedica a difundir fake news, el de una tienda online donde hemos comprado un producto en oferta pero luego nos han cargado unos costes extra no mencionados o conservar los tuits de un usuario que reincidentemente nos amenaza y calumnia.
Es tan sencillo como enviar un correo a websigned@egarante.com, sin texto en el cuerpo y con la URL de la página en cuestión como única información en el ‘asunto’ del mensaje. A los pocos segundos recibimos un e-Mail con un documento adjunto en PDF que contiene la captura de la página de la URL solicitada, dirección IP, y en la esquina inferior la firma de eGarante y timestamp digital donde aparece la fecha y hora exactas en las que se firmó el certificado.
El pdf es firmado electrónicamente con un certificado de sello de empresa facilitado por Firma Profesional, entidad prestadora de servicios de sertificación inscrita en el Ministerio de Industria, según informa eGarante en su 'Declaración de Prácticas de Certificación'.
"La certificación emitida por eGarante es una declaración de un tercero independiente, no confundir con un certificado regulado por la Ley de Firma Electrónica y el EIDAS", aclara el creador del servicio.
Al ser gratuito tenemos una limitación de dos certificaciones diarias y otras contrapartidas como la imposibilidad de certificar perfiles con candado o web privadas que requieran de loggin de acceso –algo solventable con el plugin disponible para Google Chrome. Sin embargo, el servicio premium web track además de permitirnos monitorizar una página web concreta y recibir periódicamente certificados del contenido publicado, evita las barreras del acceso restringido.
También de forma gratuita, aunque limitada, podemos disponer de eGarante Mail, si por ejemplo queremos certificar que hemos solicitado mediante correo electrónico la cancelación de la suscripción a un servicio. Para ello, volvemos a mandar un correo, esta vez a mailsigned@egarante.com como destinatario en copia.
De nuevo, en cuestión de minutos recibiremos, como emisores, un correo que corrobora el envío del correo a la dirección indicada, con unos datos adjunto si fuese el caso, y el destinatario recibe otro correo de eGarante con un adjunto que es una copia idéntica al correo original enviado.
Recientemente ha sido lanzado un nuevo servicio,eG Social, destinado a usuarios de redes sociales con gran volumen de seguidores, como personajes famosos o influencers. En formato app para Instagram y Twitter la nueva herramienta certifica automáticamente todas las menciones, comentarios e interacciones del perfil para que el usuario no tenga que estar preocupado de registrarlos uno a uno.
“Trasladamos al mundo digital el ‘estamos grabando’" anuncia su creador. Y reconoce que esperan que la advertencia en los perfiles de que todo está quedando registrado en un archivo digital con validez jurídica tenga, a su vez, un efecto disuasorio.
Validez como ‘evidencia electrónica’en un juicio
Una evidencia electrónica, para que sea admisible en un juicio, ha de cumplir con unas características fundamentales como que “sea íntegra y auténtica, que su contenido no haya sido alterado, que identifique a los manifestantes, y que pueda acreditar el momento de su emisión y su recepción”, explica Ruth Salas Ordoñez, abogada penalista especializada en delitos digitales.
Así, en un juicio, “el uso de una certificación electrónica emitida por un Prestador de Servicios de Certificación, tiene valor como documento, por lo que una prueba presentada con este tipo de garantía, es difícilmente impugnable por la parte contraria”. Sin embargo, “la prueba digital es un indicio, junto a otras pruebas más”, añade la abogada. Al final un juicio es un puzle de pruebas que tienen que encajar.
"La fortaleza de esta certificación se basa en que es una prueba de un tercero, no manipulable por la persona que la presenta. Para asegurar dicha imposibilidad de manipulación se sigue un proceso pericialmente sólido y se aplican unos métodos criptográficos que tienen como finalidad asegurar la cadena de custodia desde que se crea la prueba por parte de eGarante hasta que se presenta y valora en el juicio", explica Jesús.
Por supuesto no es la única forma de certificar un contenido de la Red. En España, la máxima autoridad con capacidad para dar fe pública son los notarios. A no ser que excepcionalmente demos con un notario con conocimientos tecnológicos avanzados que pueda hacer por sí mismo actas notariales de contenidos digitales, como explican en sus respectivos blogs los notarios 3.0 Jose Carmelo Llopis o Javier González Granado, lo habitual es una gran falta de desconocimiento del entorno digital como critica el notario Javier Rosales.
Acorde a su reglamento, los notarios sólo puedan dar fe de lo que captan sus sentidos, por lo que en principio no pueden garantizar que el contenido digital que tienen delante no haya sido modificado. Por ello, son los peritos informáticos quienes generalmente guían a los notarios en sus actas, donde explican y aportan pruebas como fotografías y capturas de la consola tomadas durante el proceso de acceso y análisis informático del dispositivo en cuestión.
Los forenses informáticos tienen “dos objetivos clave a desarrollar: mantener la integridad de la evidencia, es decir, que el acceso a la fuente original se haga sin manipulación y la preservación de la cadena de custodia de la evidencia digital mediante el cálculo de los códigos hash de los datos, que son como la firma estos mismos”, tal y como resume Pilar Vila, perito informático miembro de ANCITE (Asociación Nacional de Ciberseguridad y Pericia Tecnológica) y autora del libro de reciente publicación “Técnicas de análisis forense informático para peritos judiciales profesionales”.
Para Vila el uso de este tipo de herramientas resulta "fundamental en el ámbito probatorio, ya que aportan una prueba documental que es muy fácil de presentar y que además está basada en una certificación"
“Ni sustituye a un notario ni a un perito informático”
El creador de eGarante se muestra tajante respecto a la “polémica artificial” generada por la potencial intromisión de competencias entre los prestadores de servicios de confianza y el gremio de los notarios.
“Evidentemente no es nuestra función ya que el notario es de más alto nivel. Somos players distintos y nuestra aspiración es ser una herramienta complementaria, porque lo que no tendría sentido es que para mandar un correo electrónico tuvieses que llamar a un notario, quedar con él para que dé fe de lo que se ha escrito en la cabecera, etc.”
“Los proveedores de servicios de certificación lo que hacen es una petición al servidor de origen que da el contenido al usuario, y lo capturan con una fecha y una hora exacta”, puntualiza Silvia Barrera, consultora en Seguridad Informática e inspectora de la Policía Nacional en excedencia.
Por eso, en su opinión, “es el único método que técnicamente soluciona el problema de que no se vuelen las evidencias y que las capturas cumplan con las garantías técnicas y jurídicas de que no han sido modificadas”.
Es más, Barrera considera que “es un servicio que debería brindar el Minsiterio del Interior gratuitamente para que los servidores estuvieran en dependencias de la policía y no en manos de terceros que son empresas privadas” cuando los ciudadanos tienen que interponer una denuncia de este tipo.
Ver 4 comentarios