A pesar de una reciente presentación en la que se mantiene que el correo electrónico tiene valor de prueba en juicio, lo cierto es que es una prueba muy endeble. Cualquiera con coste cero puede “fabricar” un correo electrónico sin que haya un riesgo alto de ser descubierto en el apaño. Este problema es similar en otras pruebas en formato electrónico.
Por este motivo y a la vista de que el correo electrónico se está imponiendo como medio de comunicación entre las empresas y de éstas con la administración, el Comité Técnico sobre Firma Electrónica de ETSI (European Telecommunications Standards Institute) ha formado un grupo de estudio (el STF 318 del que formo parte) con la finalidad de estudiar cuáles habrían de ser los requerimientos del correo electrónico certificado y determinar si es necesario normalizarlo y en qué sentido.
En algunos países europeos (Italia, Bélgica y Alemania) ya se ha comenzado la implantación y/o regulación de estos servicios lo que podría generar un problema de interoperabilidad que la normalización en esta materia pretende evitar. Por este motivo, se ha llegado a la conclusión de que es necesario estudiar las posibilidades de normalizar los servicios de seguridad que proporcionen la autenticación del remitente y la prueba de recepción de un correo electrónico que sean equivalentes a los ya existentes para el correo certificado con acuse de recibo que proporciona el correo postal.
Como un primer paso de este proceso estamos recogiendo información a través de un cuestionario del que esperamos extraer una visión lo más cercana posible a la del mercado real en cada estado de la UE.
Cualquier aportación será muy agradecida.
Esta es el blog personal de Paloma LLaneza. Gracias por visitarlo. Para comentarios, sugerencias o contactar conmigo: info[arroba]palomallaneza.com
josemaria
Enero 24th, 2007 at 10:04
¿No debería de bastar con que estuviera firmado de acuerdo a lo regulado por la ley 59/2003 de firma electrónica?
Paloma LLaneza
Enero 25th, 2007 at 10:03
Josemaria, ya sabes que en la ley se dicen muchas cosas y que se definen diversos tipos de firmas electrónicas. Además la firma electrónica te proporciona, teóricamente (pues cabe prueba en contrario), autenticación y no repudio en origen, pero no prueba de recepción y no repudio en destino que es lo que se busca.
josemaria
Enero 25th, 2007 at 12:49
Si, claro. Me refería sólo a la autenticación y no repudio en origen. Desgraciadamente la parte de prueba de recepción y no repudio en destino se me antoja tan, tan difícil (si no imposible) que creo que lo teneis bien difícil para llegar a una solución válida. Mucha suerte en cualquier caso y ya nos contarás.
Carlos *
Enero 25th, 2007 at 13:52
TTP+Clave_Privada+TSA+Mensajes Sonda.
De la -operación de entrega- entre el MTA y el UA es factible obtener una evidencia de valor probatorio. Pero aún queda verificar que se abrió el correo y que fue el destinatario concreto el que lo abrió. Todo un desafío.
Lo de la versatilidad de Paloma me tiene atónito, pasa de un tour de prisones a un sesudo grupo de individuos que promueven estándares internacionales.
Para esos cambios de contexto intuyo que nada mejor que el pescado crudo … aderezado con la ISO/IEC 7498-2, la ISO/IEC 10181-4 y la ISO/IEC 13888-1, que dará lugar a un shusISO al estilo ‘llaneza’ que el comensal(destinatario) no podrá rechazar (repudiar).
Saludos
PD: Espero que nos mantengas informados sobre este tema en la medida de lo posible.
Paloma LLaneza
Enero 26th, 2007 at 9:38
Carlos, el anisakis que si no te mata te pone como un toro versátil
El gran problema del valor legal de las acciones/documentos electrónicos es el gap entre la identidad digital y la identidad real. Con muchas medidas de seguridad y buena voluntad puedo intentar demostrar que un usuario ha hecho algo, pero muchas veces el problema es imputárselo a una persona física. Donde acaba la técnica empiezan las presunciones legales, que no son palabra de Dios ya que permiten prueba en contrario que las desvirtúen. Iré contando lo que se vaya pudiendo.
Julio
Enero 29th, 2007 at 15:58
Excelente iniciativa. Como bien sabes el e-correo es casi vetusto y por muchas vueltas que le demos ‘no garantiza’ nada de nada.
Existen mecanismos mas o menos estandarizados (S/MIME, PGP, etc.) que permiten añadir algun que otro servicio de seguridad al correo, pero, siempre bajo al optica de la solucion tecnologia y no como un servicio a la sociedad; esta que llamamos ’sociedad de la información’
Paloma LLaneza
Enero 31st, 2007 at 12:34
Julio, en mi opinión la técnica necesita de la ley para rellenar los huecos que deja, que no son pocos…
deincognito
Febrero 22nd, 2007 at 10:14
Paloma,
A ver qué te parece esto aunque seguro que ya lo conoces:
https://www.certimail.es/
No lo he probado ni tengo relación con ellos, pero me parece una buena aproximación aunque aplicable sólo a los correos de enjundia porque si no nos va a salir un congo el dichoso correo.
Le veo el problema de que carece de procesos de identificación, registro y autenticación presenciales (¿lo resolverán integrándose con el dni electrónico?) a lo que se suman los posibles “spoofing” de correo electrónico ¿junto con cracqueo de contraseñas? (imagino que la confirmación de envío se hace con usuario+contraseña) o el robo de identidad (envío desde portal Certimail suplantando identidad). Y que además para la confirmación de recepción sería necesario que el destinatario responsa a través de Certimail.
Salu2
Roger
Febrero 26th, 2007 at 15:20
El gap es de índole técnico. Existe una ley de firma digital (aplicable también al e-correo) y existe una tecnología de e-correo base pero que no ofrece muchas garantías para ser usado como medio de comunicación feasible (certificado, por ejemplo).
Las ISOs, que indica Carlos, y otras yerbas son suficientes para dar una solución de e-correo feasible (con garantías de entrega, acuse de recibo, notificaciones de entrega pero no de lectura, etc…).
Obviamente, algún ‘ingrediente’ más que permita garantizar la perfecta digestión del Cebiche evitando el anisakis o atragantarse con pe-ka-ies, pe-ge-pes, etc.. existentes desde hace muchos añosssss…
Recordar que el e-correo es la herramienta más usada en el mundo mundial… con lo cual debéis cuidar que mi abuela también pueda usarlo
Bon profit!
-roger
palomallaneza.com - » LISI no es nombre de mujer
Abril 24th, 2007 at 9:11
[…] un entorno en donde las comunicaciones electrónicas no tienen acuse de recepción, ya me dirán cómo les van a dar fehaciencia. Y sin ella, como van a ser válidos los bloqueos […]
Guro
Mayo 3rd, 2007 at 3:40
Me gustaría saber, de alguno de ustedes expertos, qué tan útil es finalmente un servicio como Certimail si es, por lo que entiendo de vuetra discusión, imposible asegurar que el usario y la persona física son la misma…
abogado
Junio 13th, 2007 at 17:12
¿Qué valor probatorio tiene la confirmación de lectura de un e-mail?
¿Puede remitirse una confirmación de lectura firmada digitalmente?
gildaro
Octubre 8th, 2007 at 18:06
envié un links a todos lso trabajadores de mi empresa, cómo puedo hacer para que exista la seguridad de que estos lo han recibido?
Alberto
Octubre 13th, 2007 at 20:55
Pues, … a veces pienso que le pedimos al mundo digital muchísimo mas que al mundo real. Si elreceptor de un correo electrónico firma con su certificado un acuse de recibo (el típico enlace que cuando pinchas te pilla la firma y entonces te entrega el correo)yo creo que es una prueba bastante solida; ahora, si le pedimos al sistema que nos garantice que el destinatario ha leído el correo … pues apaga que nos vamos. Igual, después, hemos de pedir que el destinatario haya entendido su contenido … a una carta con acuse de recibo, o al burofax con todos sus peregiles (AR, CT…), no le pedimos tanto.
veo bastante coge saber si efctivamente un destinatario ha leido o no un correo electronico
palomallaneza.com - » Normalizando el correo electrónico certificado
Octubre 28th, 2007 at 17:30
[…] que os comenté que ETSI estaba valorando la posibilidad de normalizar la arquitectura y servicios de evidencia del […]