UNIR Revista
El no repudio es considerado uno de los principios fundamentales de seguridad de la información. En UNIR, analizamos en qué consiste, cuál es su importancia y cómo funciona.
El no repudio o irrenunciabilidad provee garantía al receptor de una comunicación en cuanto que el mensaje fue originado por el emisor y no por alguien que se hizo pasar por este. Además, previene que el remitente o emisor del mensaje afirme que él no envió el mensaje.
En resumen, el no repudio en seguridad de la información es la capacidad de demostrar o probar la participación de las partes (origen y destino, emisor y receptor, remitente y destinatario), mediante su identificación, en una comunicación o en la realización de una determinada acción.
Para garantizar el no repudio en seguridad informática se necesitan establecer los siguientes mecanismos:
- Identificación: mecanismo o proceso que provee la capacidad de identificar a un usuario de un sistema.
- Autenticación: permite verificar la identidad o asegurar que un usuario es quien dice ser.
Se suele aplicar a:
- Contratos formales establecidos de manera telemática.
- Comunicación entre dos partes.
- Transferencia de datos.
- Acciones de los usuarios en un sistema informático.
Implementar mecanismos de no repudio requiere de profesionales especializados en seguridad informática con formaciones como el Máster en Ciberseguridad online de UNIR.
Tipos de no repudio
- En origen: consiste en garantizar que una persona envió un determinado mensaje. El remitente no puede negar que lo mandó, ya que el destinatario dispone de pruebas del envío.
- En destino: avala que alguien recibió un determinado mensaje. En este caso, el destinatario no podrá rebatir que no lo recibió porque el remitente cuenta con pruebas de la recepción.
La firma electrónica
En seguridad informática y ciberseguridad uno de los mecanismos más importante de no repudio es la firma electrónica. Esta es el conjunto de datos asociados a un documento electrónico que identifican al firmante y dotan de validez legal al documento que se firma.
Para garantizar el no repudio, esta firma debe estar vinculada exclusivamente a la persona que firma e identificarla unívocamente. Además, la rúbrica debe realizarse a través de un medio electrónico o digital que el firmante tiene bajo su único control y vincularse a los datos que se firman de tal manera que no se puedan modificar sin ser detectados los cambios.
Las firmas deben cumplir los siguientes requisitos técnicos para que garanticen el no repudio:
- La clave de firma está asignada a una persona u organización identificable.
- La clave privada está únicamente bajo el control de la persona u organización que firma.
Tipos de firma electrónica
Los distintos tipos de firma electrónica son:
- Simple: se trata de aceptar o rechazar el contenido de un documento, son típicas en las condiciones generales de uso, políticas de seguridad o privacidad, etc. Al firmar con datos anexos a otros ofrece un nivel de seguridad menor, pero es un elemento de prueba admisible ante un tribunal, aunque puede exigirse que se complementarse con otros elementos de prueba.
- Avanzada OTP: la persona firmante recibe un código a través de un canal de comunicaciones distinto al de la operativa de firma (p. ej. móvil o correo electrónico) al momento de firmar. Es típica su utilización en compras electrónicas u operaciones de banca electrónica. Debe estar vinculada exclusivamente al firmante, permitir la identificación de este y haber sido creada utilizando datos bajo su control exclusivo.
- Biométrica: la persona firma físicamente en una tablet o dispositivo electrónico. Se utiliza por ejemplo en el servicio de correo o transporte de paquetería, en las sucursales bancarias, etc.
- Certificado digital: se firma mediante un certificado que se apoya en un par de claves, una privada y una pública. Hay que aclarar que certificado digital no es lo mismo que firma electrónica. El certificado digital es un documento que nos identifica en internet para poder realizar trámites online y que permite la firma electrónica. Ejemplos de firma electrónica serían la firma realizada mediante el DNI electrónico o con los certificados digitales de persona física de la FNMT. La firma de un documento con un certificado digital de estas características garantiza que la persona que rubrica el documento es quien dice ser y que lo ha firmado ella. Cabe destacar que es necesaria la debida diligencia en la custodia de estos certificados digitales para que nadie tenga acceso a ellos y los pueda utilizar suplantando la identidad del propietario. Su funcionamiento es:
- Se calcula el valor de hash (algoritmo matemático) del documento o mensaje a firmar.
- El hash calculado del documento o mensaje se cifra con la clave privada del certificado digital del emisor.
- Se transmite junto con el documento o mensaje.
- El receptor recibe la transmisión y calcula el hash del mensaje o documento recibido y descifra con la clave pública el hash transmitido. Si coinciden, se garantiza la integridad (el mensaje no ha sido cambiado) y el no repudio, el remitente ha sido quien ha firmado el documento o mensaje.
Existen otros mecanismo de no repudio como el correo electrónico, el cual implementa mecanismos de seguimiento que garantizan que un remitente no pueda negar que envió un email y para que el destinatario no pueda decir que no lo ha recibido.
No repudio en el comercio electrónico
En el caso del comercio electrónico los servicios de no repudio aportan un plus de seguridad ya que ofrecen una garantía a las dos partes implicadas en una transacción. Por una parte, permiten al emisor o vendedor contar con una prueba de que el producto ha sido entregado y, por otra, aportan al receptor o comprador un justificante de que ha cumplido con su parte en la operación.
Si el no repudio impide que alguien pueda renegar de un mensaje que efectivamente ha mandado, en el comercio electrónico este mecanismo aporta seguridad tanto al comerciante como al cliente, ya que asegura el correcto desarrollo de la transacción o, lo que es lo mismo, el cumplimiento por parte de cada uno de los actores involucrados en la venta de sus obligaciones.
El pago online suele despertar cierta desconfianza pero se vuelve seguro gracias al no repudio.
Por ejemplo: una persona realiza una compra a través de una página web y elige como método de pago una transferencia bancaria. Una vez hecha, recibirá un justificante en el que queda reflejada la cantidad pagada y el número de cuenta a la que se ha enviado el dinero. El vendedor además de recibir el dinero, también tendrá su propio recibo. Por otra parte, registrará el envío de la mercancía y la recepción por parte del cliente.