SEGURIDAD

EN EL COMERCIO ELECTRNICO

PONTIFICIA UNIVERSIDAD JAVERIANA

FACULTAD DE DERECHO

Proyecto: Tesis de grado

Presentado por: Hctor Jos Garca Santiago

Dirigido por: Alvaro Andrs Motta Navas

Bogot, D.C., Marzo de 2004

 CONTENIDO

Pgina

INTRODUCCIN 8

PRIMERA PARTE
INTRODUCCIN AL COMERCIO ELECTRNICO

Captulo I.

1. La Seguridad en el Comercio Electrnico 12

1.1 Introduccin al Comercio Electrnico 13

1.2 Marco Jurdico del Comercio Electrnico en Colombia

35

2
 SEGUNDA PARTE
LOS RIESGOS Y LA SEGURIDAD

Captulo II.

2. Los Riesgos y la Seguridad 38

1. A qu riesgos est expuesto

al conectarse a la red Internet?
43

2. Los atacantes 45

2.1 Atacantes internos 46

2.2 Atacantes externos 47

3. Los formas de ataque 48

3.1 Los virus 48

3.2 Gusanos 52
3.3 Caballo de Troya
52
3.4 Bombas de Relojera 52
3.5 Introduccin de datos falsos 52
3.6 Tcnica de Salami 52

3
 4. Las vas de ataque
53

4.1 Software bugs 53

4.2 Privilegios 54
4.3 Instalacin del Sistema Operativo 54
4.4 Managment Remoto 54
4.5 Transmisiones 54
4.6 Cokies 55

5. Los daos 55

5.1 Interrupcin 55
5.2 Interceptacin 56
5.3 Modificacin 56
5.4 Fabricacin 56

6. La importancia de la seguridad y la confianza

57

6.1 La confianza 58
6.2 Confianza on line 60
6.3 La Seguridad 63

6.3.1 Seguridad en la empresa 64

a) Informacin 66

4
 b) Actividad 66
c) Acceso 67

6.3.2 Mecanismos de Seguridad 68

a) Seguridad de Trnsito 69
b) Seguridad de Usuario 69

6.3.3 Tipos de Seguridad 70

a) Secure Electronic Transaction 70

b) Secure Sokets Layer 71
c) Seguridad de el Host y en el Network 72

6.4 Cmo acceder a una pgina web segura 75

6.5 Transaccin segura 79
6.6 Seguridad Jurdica de Tipo Penal: Delito Informtico
80

TERCERA PARTE
LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA

Captulo III.

5
3. Los mensajes de datos, un efectivo medio de prueba
86

1. Documento escrito 92

2. Autenticidad 95

3. Conservacin y consulta
98

4. Documento Electrnico 103

5. Jurisprudencia 104

CUARTA PARTE
ENTIDADES DE CERTIFICACIN Y FIRMAS DIGITALES

Captulo IV.

4. Entidades de Certificacin 114

6
1. Concepto 114

2. Naturaleza Jurdica de las Entidades de Certificacin

119

3. La actividad Certificadora de las Entidades de

Certificacin frente a la actividad notarial 119

4. La Actividad de las Entidades de Certificacin

- un servicio pblico - 122

5. Tipos de Entidades de Certificacin 125

1. Pblicas o Privadas 125

2. Nacionales o Extranjeras
126
3. Cmaras de Comercio 127
4. Notarios y Cnsules 128
5. Abiertas y Cerradas 128

6. Responsabilidad de las Entidades de Certificacin 137

7. Funciones y deberes de las Entidades de Certificacin

139

8. Certificados Digitales 143

8.1 Certicmara 145

7
 8.2 Validez de Certificados Extranjeros 158

9. Firmas Digitales 152

9.1 Creacin de una firma digital 159

9.2 Caractersticas de las firmas digitales
160

10. El Sistema PKI 160

10.1 Tipos de Sistemas PKI

160

a) Sistema simtrico
161
b) Sistema asimtrico 163

10.2 Funcionamiento del Sistema

164 10.3 Objetivos de la PKI
165 10.4 Las Funciones de la PKI desde

una Triple Perspectiva 166

10.5 Estructura de la PKI 167
10.6 Modelos de PKI
168
a) Abierto 168
b) Cerrado 169

8
 QUINTAPARTE
LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIN

Captulo V.

5. Los Medios de Pago y Procedimientos de Certificacin 172

1. Breve resea de las tarjetas de crdito

175

2. Principales Instrumentos de Seguridad SSL y SET

177

CONCLUSIONES 186

BIBLIOGRAFA 196

9
 INTRODUCCIN

La unin entre los medios de comunicacin y la informtica, conocida como telemtica,

ha generado un cambio sin precedentes en el mbito comercial1. El Comercio

Electrnico, es el ejemplo ms sobresaliente de esta relacin, representando un

instrumento de comunicacin2 tan significativo, como la televisin, la radiodifusin

1 Al respecto vase OLIVER. CUELLO, Rafael. Tributacin del Comercio Electrnico. Espaa - Valencia. Tirant Lo
Blanch. 1999. P. 11.
La utilizacin de la interconexin de ordenadores a travs de las redes de telecomunicacin para
llevar a cabo las actividades comerciales de empresas y profesionales ha supuesto un cambio
importante en el escenario comercial. Como ha sealado DAVARA, la simbiosis que se ha
producido entre la informtica y las comunicaciones ha cambiado, en buena medida, la
mentalidad empresarial al propiciar un amplio abanico de posibilidades a las relaciones
comerciales, ofreciendo una expectativa de prestaciones que hasta hace pocos aos poda
considerarse de ciencia-ficcin.
2 La clasificacin de los servicios de telecomunicaciones cuyo antecedente es la Ley 72 de 1989 (por medio de la
cual se otorgaron facultades extraordinarias al Presidente de la Repblica para reorganizar el sector) -, utiliza la
metodologa tcnica empleada por la UIT - Unin Internacional de Telecomunicaciones -. La finalidad de dicha
metodologa fue unificar las condiciones de estandarizacin tcnica, operativa y de tarifacin de nivel mundial. Ahora
bien, teniendo en cuenta la metodologa de la UIT y las reglas jurdicas para la prestacin, habilitacin y explotacin
de los servicios pblicos de telecomunicaciones, estos se clasificaron as: (Decreto Ley 1900 de 1990)

1. Servicios bsicos.
2. Servicios de difusin.
3. Servicios telemticos y de valor agregado.
4. Servicios auxiliares y de ayuda.
5. Servicios especiales.

10
El servicio telemtico y de valor agregado Artculo 31 Decreto Ley 1900 de 1990 que es el que nos interesa para
efectos de este estudio es definido como:

[...] aquellos que utilizan como soporte servicios bsicos, telemticos, de difusin, o cualquier
combinacin de estos, y con ellos proporcionan la capacidad completa para el envo o
intercambio de informacin, agregando otras facilidades al servicio soporte o satisfaciendo
nuevas necesidades especificas de telecomunicaciones.

Forman parte de estos servicios, entre otros, el acceso, envi, tratamiento, depsito y
recuperacin de informacin almacenada, la transferencia electrnica de fondos, el vdeo texto,
el teletexto y el correo electrnico [...].

El Decreto 3055 de 2003, por medio del cual se modific el Decreto 600 de 2000 en su artculo segundo defini los
servicios de valor agregado de la siguiente manera:

Son aquellos que utilizan como soporte servicios bsicos, telemticos, de difusin o cualquier
combinacin de estos, prestados a travs de una red de telecomunicaciones autorizada, y con
ellos proporcionan al usuario la capacidad completa para el envo o intercambio de informacin,
agregando otras facilidades al servicio soporte o satisfaciendo necesidades especficas de
telecomunicaciones.

Para que el servicio de valor agregado se diferencie del servicio bsico, es necesario que el
usuario de aquel reciba de manera directa alguna facilidad agregada a dicho servicio, que le
proporcione beneficios adicionales, independientemente de la tecnologa o el terminal utilizado; o
que el operador de servicios de valor agregado efecte procesos lgicos sobre la informacin
que posibiliten una mejora, adicin o cambio al contenido de la informacin de manera tal que
genere un cambio neto de la misma independientemente del terminal utilizado. Este cambio a su
vez, debe generar un beneficio inmediato y directo, que debe ser recibido por el usuario del
servicio.

Para ampliar esta informacin puede consultarse a MICHELSEN, Jaramillo Sergio. Internet Comercio
Electrnico & Telecomunicaciones. Universidad de los Andes. Primera Edicin. Bogot 2002. Legis
Editores S.A. p. 591 a 639.

11
sonora, la telefona fija, mvil, mvil celular, el telefax, etc. En la actual sociedad de la

informacin3, la capacidad de realizar acuerdos con soporte jurdico de manera fcil,

rpida y econmica, representa una verdadera revolucin en el rea de las

comunicaciones. Las barreras entre los pases - distancia, costos, idioma etc. -, es

historia gracias a las redes de comunicacin, en especial a la red Internet. El gran

avance en los medios de comunicacin de los ltimos 20 aos, est marcado, sin lugar

a duda, por las redes de informacin: contacto en tiempo real con establecimientos de

comercio de todo el mundo, intercambio de imgenes, mensajes escritos y de voz en

tiempo real, son entre otros, los servicios que diferentes Entidades - privadas o

3 Al respecto, resulta de trascendental importancia observar fenmenos jurdicos como el Espaol, donde se gest la
Ley 34 de Julio 11 de 2002 sobre Servicios de la Sociedad de la Informacin y Comercio Electrnico, cuyo objetivo
fue la incorporacin al ordenamiento jurdico espaol de la Directiva 2000/31/CE, del Parlamento Europeo y del
Consejo, de 8 de junio, relativa a determinados aspectos de los servicios de la sociedad de la informacin, en
particular, el comercio electrnico en el mercado interior. Con relacin a la denominada sociedad de la informacin
la Directiva 2000/31/CE consagr:

Lo que la Directiva 2000/31/CE denomina sociedad de la informacin viene determinado por

la extraordinaria expansin de las redes de telecomunicaciones y, en especial, de Internet como
vehculo de transmisin e intercambio de todo tipo de informacin. Su incorporacin a la vida
econmica y social ofrece innumerables ventajas, como la mejora de la eficiencia empresarial, el
incremento de las posibilidades de eleccin de los usuarios y la aparicin de nuevas fuentes de
empleo. Pero la implantacin de Internet y las nuevas tecnologas tropieza con algunas
incertidumbres jurdicas, que es preciso aclarar con el establecimiento de un marco jurdico
adecuado, que genere en todos los actores intervinientes la confianza necesaria para el empleo
de este nuevo medio. Al respecto, puede consultar las siguientes pginas web, donde
encontrara el texto completo de la Ley 34 de Julio 11 de 2002, as como la Exposicin de
Motivos: http://www.ati.es/gt/informatica-sociedad/informacin y http://www.setsi.mcyt.es.

12
pblicas -, ofrecen a los usuarios - servicio telemtico y de valor agregado -, que gracias

a las redes de transmisin de informacin, permite conectar dos puntos, sin importar la

distancia entre estos, en tiempo rcord, sin embargo, ste servicio afronta un gran

inconveniente: la inseguridad, razn por la cual, se proporciona al lector una visin

tcnica, jurdica y prctica, sobre los aspectos ms relevantes del comercio electrnico

y la seguridad. ste ltimo elemento, es el pilar de la eficacia en el desarrollo del

intercambio de informacin a travs de redes de valor agregado como el Internet; lograr

entornos seguros genera confianza en el sistema y ambientes propicios para el

intercambio de informacin. De este modo, como primera medida, se introduce al lector

al comercio electrnico, dejando al descubierto la falta de confianza en el sistema, tanto

nacional como internacionalmente. As, se dispone la senda en busca de la seguridad

en el comercio electrnico.

La normatividad que regula el comercio electrnico, se gest en la Comisin de las

Naciones Unidas para el Derecho Mercantil Internacional (en ingls UNCITRAL),

promoviendo un proyecto de ley - Ley Modelo sobre Comercio Electrnico - que fue

aprobado mediante Resolucin 51/162 de 1996. La Asamblea General de la ONU,

recomend su incorporacin en los ordenamientos internos de cada pas, como un

instrumento til para agilizar las relaciones jurdicas entre particulares.

13
Este gran paso - incorporacin normativa interna -, abri las puertas jurdicas al

comercio electrnico, sin embargo, no fue suficiente dicho esfuerzo; el comercio

electrnico est amenazado, los riesgos son potencialmente peligrosos y nefastos. De

esta suerte, conocer los diferentes tipos de riesgos, sus denominaciones y sus vas de

ataque, as como los daos que ocasionan, es necesario para entender qu sistemas

de seguridad deben implementarse, qu responsabilidades surgen y, sobre todo, qu

normatividad debe implementarse, ajustarse o modificarse, en la bsqueda de un

comercio seguro. Todo este entorno de seguridad, debe partir, sin duda alguna, de la

bsqueda de conciencia y de la generacin de confianza en el sistema.

La capacidad probatoria de los mensajes de datos, es una caracterstica de especial

trascendencia jurdica, razn por la cual, la Corte Constitucional se pronunci al

respecto, manifestando la constitucionalidad del mensaje de datos como medio de

prueba4, este fallo, por su especial trascendencia, se estudia con detalle en el desarrollo

del estudio.

4 Corte Constitucional. Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morn Daz1. Expediente D-2693.

14
Institucionalmente, como ncleo de seguridad, se crearon las Entidades de

Certificacin, las cuales utilizan un sistema PKI para la creacin de firmas digitales con

base en la criptografa. Su creacin, funcionamiento y regulacin jurdica sern objeto

de estudio detenido.

Los medios de pago, constituyen una herramienta necesaria en el engranaje informtico

comercial. A pesar de su gran desarrollo tecnolgico, no han alcanzado el nivel ptimo

esperado. Los proveedores luchan por ganar terreno y convertirse en la empresa lder.

Sin duda, veremos importantes e ingeniosos avances en este mbito. En este orden de

ideas, ste tema ser, el cierre del presente estudio.

Solo resta, darle la bienvenida a esta nueva perspectiva de intercambio de informacin

y mercaderas - comercio electrnico -.

15
 1. LA SEGURIDAD EN EL COMERCIO ELECTRNICO

Cuando se trata de la seguridad digital,

no existe una defensa impenetrable.
Robert D. Austin

La seguridad connota la viabilidad del comercio electrnico. El transmitir informacin a

travs de medios informticos implica innumerables riesgos. La situacin actual de

desarrollo, computacional y de redes de informacin, ha puesto de manifiesto la

importancia de detectar, prevenir y detener las violaciones a la seguridad5 informtica.

5 La actual realidad de los sistemas computacionales, en cuanto a la seguridad se refiere, es preocupante, con ms
frecuencia se ver en los medios de comunicacin noticias de ataques informticos como el que report la sociedad
Hispasec Sistemas - empresa de seguridad y tecnologas de la informacin -, que puede consultarse en la pgina
web http://www.hispusec.com. quien inform:

[...] se est propagando con rapidez un gusano que ataca los ordenadores que utilizan los
sistemas operativos Windows (las versiones Windows NT 4.0, Windows 2000, Windows XP y
Windows Server 2003).Este gusano se aprovecha de una vulnerabilidad recientemente
descubierta en la interfaz de peticiones a procedimientos remotos (Remote Procedure Call, RPC)
de Windows. El verano del 2003 ser recordado por dos hechos en los que la velocidad de
propagacin ha sido un factor clave: la oleada de incendios forestales y el gran nmero de
usuarios que se ven forzados a reiniciar sus PC debido a la distribucin alcanzada por el gusano
W32/Blaster.

16
Los usuarios deben conocer los ataques que rondan la red, para tomar las medidas de

seguridad pertinentes y, prevenir as, que su computadora o el sistema de

computadoras de su empresa se vea afectado. Las violaciones de seguridad pueden

tener diversos efectos, desde la inoperabilidad del sistema hasta la prdida de

reputacin de una empresa. Esta peligrosa realidad tiene importantes efectos tcnicos y

jurdicos. La bsqueda de responsables, ser tema de discusin en varios escenarios,

sin embargo, la pesquisa que debe primar es la difusin de la condicin de inseguridad,

con el objetivo de crear conciencia.

1.1 Introduccin al Comercio Electrnico

Entender el comercio electrnico, requiere a priori, concebir qu es el comercio. Sin

lugar a duda la negociacin, entendida como la accin o efecto de negociar6, es la

gnesis del comercio. La necesidad de satisfacer necesidades, primarias o no,

desemboc en el intercambio de mercaderas; lo cual es en esencia un acto de

comercio. Por su puesto, las normas no se hicieron esperar. Ahora bien, el acto o la

6 La palabra negociar viene del Latn negotiari que significa comprar, vender o cambiar gneros mercadera o valores
para aumentar el caudal. Diccionario de la Lengua Espaola. Vigsima Primera Edicin. Madrid: 1994.

17
operacin de comercio, es considerado una actividad especializada, definida

expresamente por el legislador7. As la adquisicin de bienes a ttulo oneroso con

destino a enajenarlos o a arrendarlos, el recibo de dinero en mutuo, la intervencin

como asociado en la constitucin de sociedades comerciales, las operaciones

bancarias, etc., son entre otras actividades, actos u operaciones de comercio. El sujeto

del comercio es el comerciante, quien de acuerdo con nuestra legislacin es aquella

persona que profesionalmente se ocupa de alguna de las actividades que la misma ley

considera como mercantiles8. La gran mayora de las actividades definidas como actos

u operaciones de comercio, a lo largo de la historia, han estado sujetas a una condicin:

la interaccin fsica de las partes contratantes - aspecto fundamental del negocio

jurdico -. La manifestacin de voluntad, en una parte importante de dichos actos, se

expresaba a travs de un documento fsico - papel -, donde la firma manuscrita daba fe

del comn acuerdo. Hoy en da, esta concepcin est siendo revalidada, bsicamente,

por las diferentes opciones que ofrece el mercado, en particular, por el comercio

electrnico.

7 Cdigo de Comercio Artculo 20.

8 Cdigo de Comercio. Artculo 10.

18
Otro aspecto fundamental en el comercio, es su formacin consuetudinaria, que marca

el destino del comercio. Como lo expresa el Dr. Paul Rehme en su libro Historia

Universal del Derecho Mercantil citado por el Dr. Madrian de la Torre9 al enunciar lo

siguiente:

Dondequiera que floreci la costumbre, fueron desarrollndose, relativamente pronto,

usos mercantiles comunes, los cuales por concentracin, pasaron con facilidad a ser

derecho. As surge desde un principio el derecho consuetudinario mercantil, que es

donde encuentra justamente el comercio su norma especial, como derecho de

contenido anlogo.

As mismo, el comercio siempre ha tendido hacia la internacionalizacin, que no es otra

cosa que el uso de prcticas comunes entre comerciantes nacionales y extranjeros. El

comercio electrnico no ha sido ajeno a estas caractersticas, por el contrario es un fiel

ejemplo de su aplicabilidad terica y prctica.

El ordenamiento jurdico en el comercio, nace precisamente, como respuesta a esos

usos y prcticas comunes, llenando as, el vaco que dejaba el derecho civil comn; lo

MADRIAN DE LA TORRE, Ramn E. Principios de Derecho Comercial. Sptima Edicin. Bogot: Editorial Temis
9

S.A. 1997. p 25 a 32.

19
que lleva a otorgar al comerciante el carcter de profesional por desarrollar una

actividad especializada y con regulacin propia.

En este orden de ideas, y con un breve panorama del comercio, resulta necesario fijar

la atencin en el estado actual de las computadoras10 y, en particular el ingreso de

Internet11 al mercado como instrumento comercial.

10 La primer computadora fue diseada con fines militares para calcular la trayectoria de los misiles obs. EL
ENIAC, poda sumar 5000 mil nmeros en un segundo, media 30 metros de largo, 2,5 metros de alto, pesaba 30
toneladas y consuma 25.000 mil vatios de energa. Posteriormente, en 1952 J PRESPER ECKER y JOHN
MUCHLY, sacaron al mercado el UNIVERSAL AUTOMATIC COMPUTER UNIVAC 1, utilizado para fines cientficos y
militares. En 1960 salieron al mercado computadoras cuyo precio oscilaba entre U$20.000 y U$100.000. Fue slo
hasta 1975 cuando ED ROBERTS, diseo el denominado ALTAIR 8800, cuyo costo era de US$400, por primera vez
en la historia era posible que una persona del comn accediera a una computadora. Al respecto puede consultarse a
DIAZ, GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer. 2002. p. 18 a 23.
11 Existen varias teoras sobre el origen del INTERNET, bsicamente se sugieren dos momentos iniciales:

1) Conexin de redes con fines acadmicos.

2) Conexin de redes con fines militares.

El origen de las comunicaciones a travs de redes tiene su inicio en las aulas universitarias, posteriormente el
sistema operativo sirvi para fines blicos. A continuacin dos importantes citas sobre este origen:

- El origen de INTERNET se remonta a la dcada de los sesenta, fecha en que nace una red
formada con la interconexin de cuatro computadores estadounidenses, del Instituto de
Investigaciones de Standford (SRI), de la Universidad de California en los Angeles (UCLA), de
la Universidad de California en Santa Brbara (UCSB) y de la Universidad de Utath, cuyo
objetivo bsico era compartir recursos. A mediados de la poca de los sesenta, Estados
Unidos de Amrica necesitaba disponer de una red nacional interconectada capaz de soportar
un ataque nuclear de la entonces Unin Sovitica. As, en caso de ataques desastrosos con
una alta siniestralidad, la red deba ser capaz de restablecerse, buscando la ruta ms
apropiada para efectuar comunicaciones de defensa y contraataque. Este proyecto se llam

20
Las computadoras han tenido un constante desarrollo desde sus inicios. Bill Gates y

Paul Allen fundaron MICROSOFT en 1975. La empresa se dedicaba a la fabricacin de

sistemas operativos - software -. Un ao despus, se termin de construir el APPLE I,

por uno de los ingenieros de Hewlett Packard, quien fundara APPLE COMPUTER. Otro

importante avance en los sistemas operativos, que termin con las maquinas de

escribir, fueron los procesadores de palabras, que salieron al mercado en el siguiente

orden: WORDSTAR, WORDPERFECT, WORD. Para 1981, se lanz al mercado el IBM

PERSONAL COMPUTER (IBM PC). La primera hoja de clculo - LOTUS - apareci en

1982. La sociedad APPLE COMPUTER revolucion el mercado con el MACINTOSH en

1984, su valor agregado fue el sistema operativo, que utilizaba iconos y ventanas

controladas con un ratn. En 1991 se lanz la world wide web (www). Desde entonces,

se vienen desarrollando diversos navegadores; NETSCAPE COMUNICATIONS,

ARPANET y fue la conexin de las computadoras de las instituciones antes mencionadas la

que marc la pauta para su aparicin. Debido a que esta red nunca se utiliz para su fin
primario, al poco tiempo los grupos acadmicos de ese pas la vieron como una buena
posibilidad para intercambiar informacin de todo tipo, por lo que, en los setenta, ARPANET,
es utilizada para fines acadmicos. TRUJILLO SNCHEZ, Guillermo. Internet para abogados.
Medelln: Seal Editora. 2001. p 28.
- Lo que hoy conocemos como Internet tuvo sus comienzos en el proyecto experimental
diseado, a instancia de la National Advanced Research Proyect Agency, abreviatura de
NARPA o ARPA. Por ello la red digital que surgi se denomin ARPANET, salido de las
discusiones entre VINTON GRAY CERF y ROBERT KAHN a altas horas de la noche en un
hotel de San Franciso y donde se les ocurri la idea clave de conmutar redes de paquetes de

21
fundado en 1994 cre el Netscape Navigator. Despus, Internet Explorer en 1995,

desplaz el navegador de Netscape. Los sistemas operativos han sido desarrollados

para ofrecer sistemas ntegros y giles, tecnolgicamente hablando, facilitando la labor

del usuario.12 A pesar de las grandes ventajas que ofrecen los sistemas operativos, la

inseguridad en las redes de informacin, ha generado desconfianza en el sistema, sin

embargo, ha generado conciencia en los empresarios que desarrollan los sistemas

operativos; la bsqueda se concentra cada vez ms en el desarrollo de sistemas

seguros. La inseguridad constituye, indiscutiblemente, en muro de contencin para el

progreso del comercio electrnico. De esta suerte, las transacciones no presenciales,

han tenido una evolucin lenta, contrario a lo que se esperaba, toda vez que no existe

en el usuario comn un sentimiento de seguridad y confianza en los sistemas

operativos. Esta forma de pensar, debe disiparse y, por el contrario propagar el

conocimiento de la seguridad en los medios electrnicos; el mecanismo ms adecuado

para difundir el sentimiento de confianza, es sin duda, la transmisin de la informacin y

del conocimiento, ya que si bien es cierto que la inseguridad est presente, as mismo

informacin. [...]. DIAZ GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer.
2002. p 13.
Para ms informacin acerca del desarrollo de los computadores y sistemas operacionales vase a DAZ,
12

GARCA. Ibid. p. 17 a 23.

22
existen mecanismos para contrarrestarla, el obstculo es que no se conocen estos

mecanismos.

El siguiente extracto del artculo, Inseguridad en la Red Aumentar Intervencin de

Gobiernos, publicado por la pgina web http://www.delitosinformaticos.com, es una

clara muestra del impacto de la inseguridad en el comercio electrnico:

La falta de seguridad en Internet dominar el debate y aumentar la intervencin de

gobiernos en la "red de redes" en los prximos aos, ante la nula privacidad a de los
usuarios, cuyos datos personales estn al alcance de cualquiera. Expertos de firmas
especializadas consideraron que la actual falta de privacidad de los cibernautas, que
amenaza incluso su seguridad, ha originado una creciente preocupacin y podra
causar prdidas millonarias a las empresas dedicadas al comercio electrnico. De
acuerdo con una encuesta de la firma de investigacin de mercados Forrester
Research, 65 por ciento de ms de 10 mil consumidores consultados se mostraron
"muy preocupados" o "extremadamente preocupados" sobre su privacidad al navegar
en Internet. Esta falta de confianza caus que en 1999 los consumidores en lnea de
Estados Unidos se abstuvieran de hacer negocios por unos cuatro mil doscientos
millones de dlares y que 54 por ciento de las empresas disminuyeran o frenaran
completamente su comercio electrnico. La encuesta mostr que mientras ms
aumenta la popularidad de Internet, los usuarios se muestran ms temerosos de la
seguridad de los datos que proporcionan a los sitios que visitan. Cada vez que alguien
se conecta a la red, es vulnerable de compartir sus datos con firmas que buscan
informacin con fines comerciales o con verdaderos delincuentes que pretenden por
ejemplo apropiarse de nmeros de tarjetas de crdito.

23
La cadena de noticias CNN realiz una encuesta, que se difundi a travs de la pgina

web, www.cnnenespanol.com, el 27 de enero de 2003, la pregunta fue la siguiente:

Usted cree que Internet es demasiado vulnerable?

S 91% 509 votos
No 9% 52 votos
Total: 561 votos
Tabla No. 1. Fuente: CNN EN ESPAOL

Ahora bien, resulta esencial entender el contexto dentro del cual se est desarrollando

la actividad comercial que est revolucionando el comercio del siglo XXI, la red Internet.

El Dr. Daniel Pea Valenzuela13, expresa una idea clara del concepto de Internet: [...]

red14 compuesta de diversas redes electrnicas. Las redes estn conformadas por

13 PEA VALENZUELA, Daniel. Aspectos Legales de Internet y del Comercio Electrnico. Bogot: Dupr Editores
Ltda. 2001. p 29.
14 La red puede definirse como la conexin de computadoras para compartir recursos e intercambiar informacin.
Una red de ordenadores permite que los nodos puedan comunicarse uno con otro. Los nodos son hardware como
por ejemplo impresoras, fax, sistemas operativos etc.

Para comprender qu es una red de ordenadores, debe entenderse el concepto de tamao, forma y aspecto fsico.

El tamao se refiere a dos conceptos:

24
computadores y servidores, conectados a su vez a travs de redes pblicas o privadas

de telecomunicaciones.

El Dr. Daz Garca15, expresa en los siguientes trminos el concepto de la red Internet:

1. LAN (Local Area Network - Red de Area Local). Si todo est a una distancia razonable que se pueda cubrir
caminando, se le suele llamar LAN, da igual cuntas mquinas estn conectadas, y de qu manera est hecha la
red.

2. WAN (Wide Area Network - Red de Area Amplia). Si se tienen ordenadores en sitios fsicos en Lahore, Pakistn,
otro en Birmingham, Reino Unido y otro en Santiago de Chile, e intenta conectarlos, tendr una WAN.
Vea ms informacin de redes en la nota pie de pgina 50.

La Forma:

Este concepto se refiere a la manera como se interconectan los nodos (crculos). Los enlaces de red (lneas), son el
hilo conductor de los nodos. Hay dos formas de conexin:

Donde hay un nodo central y muchos enlaces de red, que puede representarse de dos formas:

o o o
\_ | _/ o------o------o-------o--------o
\|/
o-----o-----o
_/|\_
/ | \
o o o

O puede que tenga tres subredes conectadas a travs de un nodo:

o
o | o--o--o
| | |
o--o--o--o--o o
\ |
o------o
/ |
o--o--o--o--o o
| | |
o | o--o

25
 [...]un conjunto de computadores unidos entre s que cumplen tres funciones
principales:

Permitir que se puedan enviar mensajes desde un computador hacia otro ubicado en

cualquier lugar del mundo.

Almacenar archivos para que puedan ser ledos por una persona en otro lugar del

mundo.

Permitir que los usuarios se puedan conectar con computadores ubicados en sitios

remotos, tal y como si estuviesen en el mismo lugar.

Internet, es sin duda, la red de redes, que permite comunicacin en tiempo real,

intercambio de informacin, celebracin de contratos, almacenamiento de datos, entre

otros. Es una herramienta inherente al comercio electrnico.

Aspecto fsico:

El aspecto fsico se refiere a la estructura de la red. El dispositivo ms usado es el mdem que puede utilizar una
lnea telefnica, fibra ptica (un delgado filamento de cristal) o seal satelital (telfonos celulares) para crear
enlaces de red.

Protocolo:

La forma de codificar y descodificar los sistemas operativos de las computadoras para poder intercambiar
informacin. Este concepto se ampliara ms adelante.
Vase ms al respecto en la pgina web http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-
redes.

26
En este orden de ideas y, ubicados en el contexto del comercio y de la red Internet, es

procedente continuar con la concepcin de comercio electrnico. Sea lo primero,

manifestar que la Ley Modelo de la CNUDMI16 sobre Comercio Electrnico no defini la

15 DAZ GARCA, Op. Cit., p. 63 y 64.

16 La Comisin de las Naciones Unidas para el Derecho Mercantil Internacional, (UNCITRAL o CNUDMI) promovi la
elaboracin de un proyecto de ley tipo en materia de comercio electrnico. La Asamblea General de la ONU,
mediante Resolucin 51/162 de 1996 aprob la Ley Modelo sobre Comercio Electrnico y recomend su
incorporacin en los ordenamientos internos, como un instrumento til para agilizar las relaciones jurdicas entre
particulares.

El rgimen legal modelo, formulado por la Comisin de Naciones Unidas para el Desarrollo del Derecho Mercantil
Internacional, segn lo expone la Corte Constitucional busca ofrecer:

[...]al legislador nacional un conjunto de reglas aceptables en el mbito internacional que le permitieran eliminar
algunos de esos obstculos jurdicos con miras a crear un marco jurdico que permitiera un desarrollo ms seguro de
las vas electrnicas de negociacin designadas por el nombre de comercio electrnico.

[...] La ley modelo tiene la finalidad de servir de referencia a los pases en la evaluacin y modernizacin de ciertos
aspectos de sus leyes y prcticas en las comunicaciones con medios computarizados y otras tcnicas modernas y en
la promulgacin de la legislacin pertinente cuando no exista legislacin de este tipo. CORTE CONSTITUCIONAL.
Sentencia C 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morn Daz. Bogot: 2000.

El Dr. Ernesto Garca Rengifo, en su libro: Comercio Electrnico. Documento Electrnico y Seguridad Jurdica.
Bogot: Universidad Externado de Colombia. 2000. p. 25 y 26. Manifest:

La ley modelo fue aprobada por la Comisin el 16 de diciembre de 1996 en cumplimiento de su

mandato de fomentar la armonizacin y unificacin del derecho mercantil internacional, con
miras a eliminar los obstculos innecesarios ocasionados al comercio electrnico internacional
por las insuficiencias y divergencias del derecho interno que afecten a ese comercio. Fue
preparada a raz del cambio fundamental registrado en los medios de comunicacin entre las
partes. Tiene la finalidad de servir de referencia a los pases en la evaluacin y modernizacin
de ciertos aspectos de sus leyes y prcticas en las comunicaciones con medios computarizados

27
concepcin de comercio electrnico, sin embargo, la utiliz como punto de explicacin

para referirse al empleo de tcnicas electrnicas modernas como el EDI17 y el correo

electrnico, as como para otras tcnicas de comunicacin menos avanzadas como el

tlex, la telecopia o el fax.

Ahora bien, segn lo expresa el Dr. Ernesto Garca Rengifo, el comercio electrnico,

puede entenderse de la siguiente manera:

[...] el intercambio de informacin entre personas que da lugar a una relacin

comercial, consistente en la entrega en lnea de bienes intangibles o en un pedido

electrnico de bienes tangibles. Este intercambio de datos o informacin puede ser

multimedia o consistir en imagines, textos y sonidos.18.

y otras tcnicas modernas y en la promulgacin de legislacin pertinente cuando no exista

legislacin de este tipo.

Los principios generales de la ley pueden resumirse en estos cinco puntos, como lo expresa el Dr. Rengifo, Ibdem.
P. 26.
1. Facilitar el comercio entre los pases y dentro de ellos;
2. Validar las operaciones efectuadas por medio de las nuevas tecnologas de la informacin;
3. Fomentar y estimular la aplicacin de nuevas tecnologas de la informacin;
4. Promover la uniformidad del derecho; y
5. Apoyar las prcticas comerciales.

17 El EDI - Intercambio Electrnico de Datos: es toda aquella transmisin de mensaje de datos a travs de medios
telemticos.
18 Ibid. p. 16.

28
La legislacin colombiana - Ley 527 de 1999 - en su Artculo Segundo (2), define el

Comercio Electrnico de la siguiente manera:

Abarca las cuestiones suscitadas por toda relacin de ndole comercial, sea o no

contractual, estructurada a partir de la utilizacin de uno o ms mensajes de datos o de

cualquier medio similar. Las relaciones de ndole comercial comprenden, sin limitarse a

ellas, las siguientes operaciones: toda operacin comercial de suministro o intercambio

de bienes o servicios; todo acuerdo de distribucin; toda representacin o de mandato

comercial (Titulo XIII. Artculo 1262 y s.s. del Cdigo de Comercio); todo tipo de

operaciones financieras, burstiles y de seguros; de construccin de obras; de

consultora; de ingeniera; de concesin de licencias; todo acuerdo de concesin o

explotacin de un servicio pblico; de empresa conjunta y otras formas de cooperacin

industrial o comercial; de transporte de mercancas o de pasajeros por va area,

martima y frrea, o por carretera.

As las cosas, se podra decir que el comercio electrnico debe entenderse como toda

forma de transaccin comercial (compra - venta, pago - cobro) a travs de medios

electrnicos.

Grficamente el comercio electrnico se desarrolla de la siguiente manera:

29
 Grfica 2. Fuente: Diseo Universidad Tecnolgica Equinoccial (info@ute.edu.ec)

Los usuarios, potenciales compradores, se conectan a la red Internet desde su

computadora, para lo cual necesitan de un tercero que provea el servicio de conexin

de

redes, a travs de servidores19. Una vez en lnea, a travs de los buscadores20 acceden

a la pgina web que quieren, encuentran el vendedor que ofrece los servicios o

19 Los servidores, como su nombre lo indica, se utilizan para dar servicios a las dems computadoras que se
encuentran interconectadas entre s. Un servidor puede tener servicios de archivos, de correo, de impresin, de
pginas WEB, de programas, etc., todo en un mismo equipo o en diferentes servidores, dependiendo del volumen de
usuarios. Las funciones principales del Servidor son: a) Centralizar y concentrar la informacin; b) Centralizar las
aplicaciones (correo, archivos, Web, programas, etc.). c) Estandarizar la operacin de la empresa.

20 Sistemas operativos a partir de los cuales se renen una serie de pginas web en varias ventanas segn el
nmero de registros encontrados por el buscador mediante el suministro de cierrta informacin. Existen diversos
buscadores en la red Internet dentro de los cuales pueden destacarse Google, Alta Vista, Yahoo, Lycos, Savy
Search, Info Seek entre otros. El objetivo de los buscadores es encontrar los documentos que contengan las
palabras claves introducidas. Generalmente localiza las pginas web que ms se acomoden a las palabras
introducidas. Vase ms sobre buscadores en la pgina web http://sensei.lsi.uned.es:8000/cea-
iw/curso/2k3/m2/buscadores.html y en Derecho Informtico. Elementos de la Informtica Jurdica. DAZ GARCA,

30
productos deseados a travs de la llamada Intranet21 y, finalmente se intercambian

mensajes de datos para concretar el acuerdo.

Las expectativas con relacin al comercio electrnico son muy grandes. Justamente, el

beneficio de este medio es inobjetable, pero se requiere la implementacin de medidas

y mecanismos de seguridad - tcnico jurdicos - que faciliten y hagan posible lo

conectividad mundial a travs de medios electrnicos.

El vicepresidente ejecutivo de la Cmara de Comercio de Bogot, expres su opinin

respecto a la evolucin de los medios de comunicacin y el comercio electrnico y su

valor agregado para el comercio mundial en los siguientes trminos:

La posibilidad de transmitir digitalmente de manera descentralizada, el desarrollo de

Internet a finales de los aos sesenta y el perfeccionamiento de sus servicios desde

la aparicin de la red de redes en los aos ochenta, se constituyeron en los pilares

bsicos para el despegue del comercio electrnico.

En la actualidad el desarrollo del comercio electrnico a nivel mundial es un hecho

innegable e irreversible. No slo es as, sino que se prev, seguir en crecimiento en

Alexander. Bogot: Editorial Leyer. 2002. p. 108 a 113.

31
 los prximos aos generando grandes ingresos a travs de la red, el cual

innegablemente causa un impacto sobre la actividad econmica, sociales y jurdicas

en donde stas tienen lugar.

A pesar de no haber madurado an, el comercio electrnico crece a gran velocidad e

incorpora nuevos logros dentro del ciclo de produccin. A nivel general, todo parece

indicar que este nuevo medio de intercambio de informacin, al eliminar las barreras

y permitir un contacto en tiempo real entre consumidores y vendedores, producir

mayor eficiencia en el ciclo de produccin aparejado a un sinnmero de beneficios

como la reduccin de costos, eliminacin de intermediarios en la cadena de

comercializacin, etc. trayendo importantes e invaluables beneficios a los

empresarios que estn dotados de estas herramientas.

En Colombia, las ventas por Internet son una realidad. Los centros comerciales

virtuales y las transferencias electrnicas, entre otro, ya pueden encontrarse en la

red. En 1995 existan en nuestro pas 50.000 usuarios de Internet, hoy, segn

estudios especializados, llegan a los 600.000 y en el ao 2000 sobrepasarn el

milln de suscriptores. As las cosas Colombia se perfila como uno de los pases de

mayor crecimiento en Amrica Latina en utilizacin de recursos informticos y

tecnolgicos para tener acceso a Internet y podra utilizar estos recursos para

competir activa y efectivamente en el comercio internacional [...] 22

21 Normalmente las empresas poseen lo que se llama una Intranet - red de computadoras interconectadas con un
Servidor central -, que les permite intercambiar informacin, enviar mensajes a otros usuarios del sistema, compartir
archivos, etc. As las cosas, Internet tambin se podra definir como una red de redes, una red de Intranet's.
22 Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000. Magistrado Ponente: Dr. Fabio
Morn Daz. Expediente: D-2693.

32
El crecimiento del comercio electrnico es una realidad, y los usuarios crecen

exponencialmente23. Se han realizado varias estadsticas reflejan en cifras, el nmero

de usuarios que frecuentan el Internet. Ahora bien, sin perjuicio del auge del Internet, el

comercio electrnico, entendido como la negociacin de mercaderas a travs de

medios electrnicos, no ha tenido el impacto que se esperaba, como qued antedicho,

por razones de inseguridad. Las siguientes cifras, reflejan el inmenso potencial en el

mbito mundial para el comercio electrnico. Todos y cada uno de los internautas

representan, en mayor o menor medida, potenciales agentes del comercio electrnico:

Nmero de usuarios de Internet por pases

Nmero de Usuarios de Internet (en millones de personas)

Audiencia total % Poblacin Fuente

EE.UU, Mayo 2002 165,00 59,85 Nielsen

Japn, Mayo 2002 60,44 47,59 Nielsen

Reino Unido, Junio 2002 28,99 48,59 Nielsen

Alemania, Junio 2002 31,92 49,80 SevenOne Interactive

23 En el peridico EL TIEMPO en su publicacin del 26 de enero de 2000, segn datos de Global Emerging Markets,
se afirm que el comercio electrnico as como los gastos de publicidad en la red tendrn un aumento anual del 140
por ciento.
Segn un estudio realizado por la Universidad de Texas publicado en el peridico EL TIEMPO el 8 de noviembre de
1999 se estimaba que las personas conectadas a Internet ascendan a 171 millones de personas.

33
Canad, Marzo 2002 16,84 57,58 Nielsen

Italia, Mayo 2002* 8,01 NetValue

Australia, Junio 2002 10,62 54,32 Nielsen

Holanda, Junio 2002 9,73 60,87 Nielsen

Francia, Diciembre 2001 15,65 26,28 Mediametrie

Espaa, Marzo 2002 7,89 22,65 AIMC

Suecia, Junio 2002 6,02 67,83 Nielsen

Blgica, Junio 2002 3,30 45,00 GfK Web-gauge

Suiza, Mayo 2002 3,85 52,85 Nielsen

Dinamarca, Junio 2002 3,37 62,99 Nielsen

Noruega, Abril 2002 2,46 56,84 Nielsen

Austria, Diciembre 2001 3,55 43,45 Media Research

Singapur, Abril 2002 0,97 23,36 Nielsen

Hong Kong (China), Junio 2002 4,35 59,55 Nielsen

Taiwn, Abril 2002* 6,30 NetValue

Finlandia, Abril 2002 2,07 40,05 Nielsen

Nueva Zelanda, Junio 2002 2,06 51,70 Nielsen

Irlanda, Junio 2002 1,31 34,11 Nielsen

Mxico, Diciembre 2001 3,5 3,43 ITU

Brasil, Junio 2002 13,98 7,99 Nielsen

China, Julio 2002 45,80 3,60 CNNIC

India, Diciembre 2001 7 0,70 ITU

Korea Network Information

Corea del Sur, Junio 2002 25,65 53,53
Center

Nigeria, Diciembre 2001 0,2 0,16 ITU

34
 Surfrica, Diciembre 2001 3,06 7,05 ITU

Tabla 2. Fuente: http://www.aui.es/estadi/internacional/internacional.htm

En Colombia existen 2,7 millones de Internautas24. La Comisin de Regulacin de

Telecomunicaciones - CTR - revel un estudio que arroj una cifra de dos millones

setecientos treinta y dos mil doscientos un (2,732,201) usuarios en el primer semestre

de 200325. De acuerdo con dicho estudio un internauta en Colombia navega un

promedio de 25,4 horas al mes. El nmero de adeptos a la red Internet ha tenido en los

ltimos aos una curva creciente en nuestro pas, sin embargo, la concentracin se da

en las grandes ciudades del pas. La siguiente grfica indica el resultado del estudio de

la CRT:

24 La Repblica. Diario Econmico, Empresarial y Financiero de Colombia. Publicacin Martes 25 de Noviembre de

2003. p. 5B.
25 Comisin de Regulacin de Telecomunicaciones www.crt.gov.co.

35
 Penetracin Internet (%)

Municipios
Armenia Municipios
Armenia
Manizales
Manizales
Cartagena
Cartagena
Otras capitales Otras capitales
Pereira Pereira
Bucaramanga Bucaramanga
Barranquilla
Barranquilla
Cali
Cali
Medelln
Medelln Bogot
Bogot

0 5 10 15 20 25 30 35 40 45 50 55

Grfica 3. Fuente: CRT. La Repblica. Edicin Martes 25 de Noviembre de 2003.

Diseo: Autor

La grfica muestra la concentracin de usuarios en las grandes ciudades. Puede

apreciarse que en la Capital del pas, Bogot D.C., el nmero de usuarios supera por

ms del doble, en el mejor de los casos, al nmero de usuarios de las dems ciudades.

Numerosos municipios no tienen acceso ni siquiera a un computador, siendo ste, el

principal inconveniente que afrontan los colombianos a la hora de conectarse a la red.

Sin perjuicio de lo anterior, gracias al programa COMPARTEL, se ha logrado ingresar a

36
las comunidades apartadas del pas. De esta suerte, las estadsticas muestran que los

servicios, en estos municipios, son solicitados en promedio 850 veces al mes, lo que

equivale a 20 solicitudes diarias.

El comercio electrnico, en el mbito mercantil, puede verse desde varios puntos de

vista. Se tomar la clasificacin que hace el Profesor Pea Valenzuela para explicar

cada uno de estos perfiles26:

Comercio electrnico negocio a negocio: este tipo de comercio es aquel en que

se intercambian bienes y servicios entre empresas a travs de la red Internet. La

principal implicacin consiste en la tecnificacin de las empresas, toda vez que

para llevar a cabo dicho intercambio se requiere, como es de suponerse,

sistemas operativos que hagan lo posible, significando un costo de operacin

importante. El intercambio consiste, en formalizar el acto de comercio, es decir,

la propuesta u oferta y aceptacin. El pago puede efectuarse a travs de

transferencias bancarias o a travs de la red bancaria del banco pagador y

receptor. La obligacin de dar - intercambio de bienes - implica un

desplazamiento fsico que se cumple en un segundo momento a travs de una

26 VALENZUELA, PEA, Daniel. Op. cit. p. 25.

37
 empresas de transporte etc. Este tipo de comercio es usual entre sociedades

matrices y sus subordinadas27 - empresas asociadas que intercambian

recursos con frecuencia -. El cumplimiento de los requisitos de forma puede

realizarse a travs de la red - on line -, y el intercambio fsico se hace posterior al

acuerdo. La tecnificacin de la empresa se traduce en mayor productividad y

menores costes de transaccin.

Comercio electrnico de empresa a consumidor: este tipo comercio consiste en

la aplicacin de procesos informticos que le permiten a las empresas poner su

producto a disposicin del navegante - consumidor -. Hoy en da existen diversos

negocios en lnea, que ofrecen una gran variedad de productos. La confiabilidad,

representa en este tipo de comercio el punto clave para el productor. Una vez

alcanzada la confianza del consumidor, el negocio es viable; entran a jugar, a

posteriori, variables como calidad, imagen, precios etc., que hagan atractivo el

producto. Acceder a este comercio es relativamente sencillo, lo complejo es

mantenerse en el mercado, ofrecer productos y servicios que atraigan al

consumidor y que lo induzcan a comprar. En el mercado existen un sin nmero

27 Cdigo de Comercio. Artculo 260. Matrices, subordinadas y sucursales. Una sociedad ser subordinada o
controlada cuando su poder de decisin se encuentre sometido a la voluntad de una u otras personas que sern su

38
 de libros de marketing, que plantean estrategias para maximizar las ventas y

mantenerse activo en la red Internet28.

Comercio electrnico de consumidor a empresa: este comercio le permite a los

consumidores acceder a los diferentes productos que se ofrecen en la red, que

pueden llegar a ser adquiridos a travs de mecanismos informticos29.

Comercio electrnico entre consumidores: el ejemplo perfecto que explica este

comercio es el de los remates, o el de las bolsas de empleo, los cuales funcionan

a travs de un intermediario que pone en contacto a dos personas quienes

eventualmente pueden llegar a contratar. En derecho esta figura por analoga

debera regularse por el Corretaje regulado en el artculo 1340 del Cdigo de

Comercio que establece:

matriz o controlante, bien sea directamente, caso en el cual aqulla se denominar filial o con el concurso o por
intermedio de las subordinadas de la matriz, en cuyo caso se llamar subsidiaria.
28 Al respecto puede verse por ejemplo el libro Fundamentos del Comercio Electrnico. Barcelona: Editorial Gedisa
S.A. 2001.
29 Frente al concepto informtico el Dr. Ernesto Rengifo Garca Op. cit. p. 10 y 11 manifiesta:

(...) la informtica es la rama de la tecnologa moderna que se ocupa del proceso y

almacenamiento de informaciones mediante soportes automatizados...la exigencia de transmitir
a distancia esas informaciones mediante redes interconectadas ha determinado la aparicin de
la telemtica, que consiste en la tecnologa de las comunicaciones para el intercambio de
informacin entre equipos informticos.

39
 Se llama corredor a la persona que, por su especial conocimiento de los mercados,

se ocupa como agente intermediario en la tarea de poner en relacin a dos o ms

personas, con el fin de que celebren un negocio comercial, sin estar vinculados a las

partes por relaciones de colaboracin, dependencia, mandato o representacin.

La anterior clasificacin revela la importancia de la seguridad fsica y jurdica en el

comercio electrnico, la necesidad de regulacin con normas claras y precisas que

protejan tanto al consumidor como al productor o vendedor. Sin embargo, como se

pudo observar cada negocio en particular celebrado en la red puede tener una

regulacin en la legislacin colombiana, y de ser as dicho negocio en particular se

regulara por tales normas, sin dejar de lado la regulacin sobre comercio - Ley 527 de

1999 y sus reglamentaciones -, la cual de igual forma tendra aplicacin. En Internet,

como lo expone el Dr. Rodrguez30 la distincin de la jurisdiccin, genera un problema

adicional, razn por la cual, debe acudirse al Derecho Internacional Privado y aplicar la

normatividad del Estado que tenga un grado de intervencin mayor en el negocio. Con

respecto a la ubicacin geogrfica el Dr. Rodrguez expone:

En el Internet la determinacin de la jurisdiccin incluye un elemento adicional: la

ubicacin geogrfica de los intervinientes. El mundo virtual impide que con facilidad se

30 RODGUEZ. TURRIAGO, Omar. Internet Comercio Electrnico & Comunicaciones. Universidad de Los Andes
Facultad de Derecho. Bogot: Editorial Legis S.A. 2002. p. 326 y 327.

40
 le impute a un actor un domicilio. Es fcil ubicar a los proveedores de servicio de

Internet e inclusive a los operadores de los portales con gran reconocimiento, pero no

a los usuarios particulares. Las direcciones en el Internet, por no tener un carcter

fsico, son movibles en la red. La direccin puede estar localizada con un servidor en

Nueva York y posteriormente en Japn, sin que el usuario haya cambiado su domicilio.

La jurisprudencia norteamericana ha precisado que cuando un portal se dirige a una

audiencia en un pas, y es catalogado como activo en esa regin, sus Cortes tendrn

jurisdiccin sobre este [...].

Resulta de trascendental importancia que el legislador defina la jurisdiccin a aplicar a

travs de tratados internacionales, no slo de derecho privado sino pblico. Es claro,

que cualquier contrato celebrado, independientemente de su contexto geogrfico, se

rige por sus normas especiales, sin embargo, qu jurisdiccin es competente para

conocer en un determinado momento una controversia, es un mbito que no est

plenamente definido.

Ahora bien, es inminente la necesidad de implementacin de medios tecnolgicos

seguros que faciliten el intercambio de bienes y servicios a travs de la red Internet. Un

Software que haga posible la comunicacin y, medios de pago que permitan el

intercambio de recursos.

41
La siguiente grfica nos muestra el porcentaje de incursin del Comercio Electrnico a

Marzo 2002 en Europa:

Grfica 4. Fuente: Jupiter MMXI Europe

En este punto, es claro que la inseguridad es sin duda alguna el gran obstculo para el

desarrollo del comercio en las redes de informacin. La pregunta inmediata es: cmo

superar el elemento presencial y la formalidad escrita para brindar seguridad a las

transacciones electrnicas?. La seguridad en todos los mbitos, gubernamental,

empresarial, familiar etc., es un aspecto complejo y de difcil solucin. Con el fin de

abarcar el estudio de la seguridad en las redes informticas, objeto de este estudio, se

analizaran los tipos de seguridad en este contexto. Los ataques a las redes informticas

- desde el punto de vista de la prevencin - son similares a prevenir ataques terroristas

42
de los grupos insurgentes31. Objetivamente cualquier sujeto con acceso a la red es un

potencial agresor, los delincuentes se infiltran cmo un usuario comn y su ubicacin,

como se mencion, es difcil de detectar. La prevencin resulta, ante esta desventaja,

sumamente necesaria. Sin embargo, el costo poltico y social de implementar medidas

de prevencin, que coarten la libertad32, privacidad e intimidad33, resulta sumamente

alto, sin embargo, es una necesidad comn, que garantizar la seguridad y la paz. Por

ahora no debemos preocuparnos de este aspecto, por lo menos en Colombia, sin

perjuicio, de que debemos estar preparados para este tipo de intervencionismo estatal.

Sin perjuicio de analizar ms adelante los mecanismos de seguridad, puede decirse

que sta, tiene dos reas de accin - lgica y fsica -. La primera consiste en

implementar mecanismos a nivel hardware y software, que impidan la entrada ilegal de

31 No debe olvidarse que el terrorismo es un delito tipificado por la legislacin penal colombiana y que puede
desarrollarse en medios informticos. Cdigo Penal Colombiano. Artculo 195.
32 Constitucin Poltica de Colombia. Artculo 13: Todas las personas nacen libres e iguales ante la ley [...].
33 Constitucin Poltica de Colombia. Artculo 15: Todas las personas tienen derecho a su intimidad personal y
familiar y su buen nombre, y el Estado debe respetarlos y hacerlos respetar.
Al respecto el Dr. Rodrguez Turriago, Op. Cit., p. 329 comenta:
El Parlamento de la Comunidad de la Unin Europea profiri, en 1995, una normatividad - European Union Directive
95/46 -, para proteger el derecho a la intimidad de las personas con respecto al procesamiento de informacin
personal. En la misma, se establece la prohibicin de transferir informacin personal de ciudadanos europeos a
pases donde no exista una proteccin similar.

43
usuarios a las redes IT de la empresa. Estos dispositivos deben ser implementados

luego de un anlisis de vulnerabilidad de la compaa. La segunda consiste en

garantizar la integridad de los centros de cmputo, ante cualquier riesgo, como por

ejemplo movimientos telricos, incendios, sobrecargas de energa etc. La complejidad

de la seguridad tiene un sin nmero de explicaciones entre las cuales puede

mencionarse: - el tiempo que demanda realizar una efectiva proteccin de dichas

actividades; - los costes de operacin en sistemas seguros; - la vulnerabilidad de los

sistemas de seguridad ms comunes y econmicos. Sin embargo, implementar

medidas preventivas siempre ser menos costoso que reparar los daos. Una

alternativa interesante, es la intervencin de terceros con capacidad tcnica y

econmica que garanticen la seguridad - lgica y fsica - a precios accesibles.

La siguiente grfica refleja la relacin entre, complejidad en la proteccin, contra el

tiempo que demanda implementar un sistema seguro.

44
 Grfica 5. Fuente: http://ute.edu.ec

La seguridad se ha convertido hoy en da en un elemento imprescindible para el

desarrollo positivo de las redes de informacin. Las transacciones de nivel mundial por

medios informticos - comercio electrnico - dependen en gran medida de la

potencializacin de los mecanismos de seguridad.

Ahora bien, qu ventajas puede generar la seguridad?. A continuacin se mencionan

las ventajas segn la Universidad Tecnolgica Equinoccial Centro de Excelencia

Investigacin y Transferencia de Tecnologa quienes hacen una compilacin de las

ventajas:

Desaparecer los lmites geogrficos para los negocios en general.

45
 Estar disponibles las 24 horas del da.

Reduccin de un porcentaje importante en los costos de la transaccin.

Se facilita la labor de los negocios entre empresario y cliente.

Reduccin considerable de inventarios.

Agiliza las operaciones del negocio.

Proporcionar nuevos medios para encontrar y servir a los clientes.

Incorporar estrategias de nivel internacional para optimizar las relaciones

empresa - cliente.

Reducir el tamao del personal y consecuentemente los costos de nmina.

Reduccin de costos de publicidad, generando mayor competitividad.

Cercana a los clientes y mayor interactividad y personalizacin de la oferta.

Desarrollo de ventas electrnicas.

Globalizacin y acceso a mercados potenciales de millones de clientes.

Implantar tcticas en la venta de productos para crear fidelidad en los

clientes.

Bajo riesgo de inversin.

Rpida actualizacin en informacin de productos y servicios de la empresa

(promociones, ofertas, etc.).

46
La seguridad se traduce en confianza. Los usuarios quieren confidencialidad en la

transmisin electrnica de sus mensajes de datos - que de lograrse - incrementar el

comercio a travs de medios electrnicos, representando un valor agregado muy

importante para las economas mundiales.

Sin perjuicio de lo anterior, y pese a la desconfianza que existe en el comercio

electrnico, hoy en da existen herramientas tcnicas soportadas en normas jurdicas

Ley 527 de 1999, Decreto 1741 de 2000, Resolucin 26930 de 2000 -, que

proporcionan seguridad en el intercambio de datos a travs de medios electrnicos.

Este estudio, tiene como objetivo y fin principal mostrarle al lector los diferentes matices

del comercio electrnico, con un especial nfasis en la seguridad, en los elementos

tcnicos y la normalizacin que los soporta.

1.2 Marco Jurdico del Comercio Electrnico en Colombia

El marco jurdico del comercio electrnico en nuestro pas est conformado de la

siguiente manera:

47
- Ley 527 de 199934;

- Decreto 1747 de 200035;

34 La Ley 527 de 1999 contiene 47 artculos, distribuidos en cuatro Partes, a saber:

Parte I. PARTE GENERAL:

Captulo I. Disposiciones Generales;

Captulo II. Aplicacin de los Requisitos Jurdicos de los mensajes de datos;
Captulo III. Comunicacin de los mensajes de datos;

Parte II. COMERCIO ELECTRNICO EN MATERIA DE COMERCIO DE TRANSPORTE DE MERCANCAS.

Parte III. FIRMAS DIGITALES, CERTIFICADOS Y ENTIDADES DE CERTIFICACIN.

Captulo I. Firmas Digitales;

Captulo II. Entidades de Certificacin;
Captulo III. Certificados;
Captulo IV. Suscriptores de Firmas Digitales;
Captulo V. Superintendencia de Industria y Comercio;
Captulo VI. Disposiciones varias.

Parte IV. REGLAMENTACIN Y VIGENCIA.

35 El Decreto 1747 de 2000 contiene 29 artculos, se encuentra dividido por tres captulos que a su vez se subdividen
en secciones.

Captulo I: Aspectos Generales.

Definiciones: Suscriptor, repositorio, clave privada, clave pblica, certificado en relacin con firmas digitales,
estampado cronolgico, entidad de certificacin cerrada, entidad de certificacin abierta, declaracin de prcticas de
certificacin.

Captulo II: De las entidades de certificacin y certificados digitales.

Seccin I: Entidades de certificacin cerrada
Seccin II: Entidades de certificacin abierta

48
- Resolucin 26930 de 200036;

- Jurisprudencia;

- Doctrina y;

- Conceptos de la Superintendencia de Industria y Comercio (SIC) -.

La Ley 527 de 1999 es el resultado de una ardua labor de estudio en temas de derecho

mercantil internacional; una comisin redactora de la que formaron parte tanto el sector

privado como el pblico, cuyo liderazgo se gest a iniciativa del Ministerio de Justicia y

del Derecho, con la participacin de los Ministerios de Comercio Exterior, Transporte y

Seccin III: De la decisin y las responsabilidades

Seccin IV: De los certificados digitales

Captulo III: Facultades de la Superintendencia de Industria y Comercio.

36 La Resolucin 26930 de 2000 contiene 26 artculos, se encuentra dividido por tres captulos que a su vez se
subdividen en secciones.

CAPTULO I: Entidades de Certificacin Cerradas

CAPTULO II: Entidades de Certificacin Abiertas

Seccin I: Autorizacin
Seccin II: Cumplimiento requisitos permanentes
Seccin III: Firmas Auditoras de Entidades de Certificacin
Seccin IV: Cesacin de Actividades
Seccin V: Estndares, Planes y Procedimientos de Seguridad

CAPTULO III: Certificados

49
Desarrollo, se vieron en la tarea de regular el comercio electrnico y el manejo de los

mensajes de datos en Colombia.

La razn de ser obedeci a la necesidad de implementar en la legislacin colombiana,

un rgimen jurdico consecuente con las nuevas realidades en el rea de las

comunicaciones y en el comercio, de modo que las herramientas jurdicas y tcnicas,

dieran un fundamento slido y seguro a las relaciones y transacciones que se llevan a

cabo por va electrnica y telemtica, al hacer confiable, seguro y vlido el intercambio

electrnico de informaciones.

En este orden de ideas, gracias a la Ley 527 de 1999 Colombia se pone a tono con las

modernas tendencias del derecho internacional privado, una de cuyas principales

manifestaciones ha sido la adopcin de legislaciones que llenen los vacos normativos

que dificultan el uso de los medios de comunicacin modernos, pues, ciertamente, la

falta de un rgimen especfico que avale y regule el intercambio electrnico de

informaciones y otros medios conexos de comunicacin de datos, origina incertidumbre

y dudas sobre la validez jurdica de la informacin cuyo soporte es informtico, a

diferencia del soporte documental que es el tradicional.

50
De ah que la Ley facilite el uso del Intercambio Electrnico de Datos (EDI) y de medios

conexos de comunicacin de datos, otorgando igual trato a los usuarios de

documentacin con soporte de papel y a los usuarios de informacin con soporte

informtico.

51
 2. LOS RIESGOS Y LA SEGURIDAD

Cuando nos referimos a los riesgos, lo primero que se nos viene a la mente es la

eventualidad de ocurrencia de un dao. El Dr. Sarmiento37 expone el significado

etimolgico del trmino riesgo de la siguiente manera:

Por riesgo se entiende la contingencia de un dao, o sea, la posibilidad de que al

obrar se produzca un dao, lo cual significa que el riesgo envuelve una nocin de

potencialidad referida esencialmente al dao, elemento ste que estructura todo el

derecho de la responsabilidad y le otorga a la teora que lleva su nombre un

contenido esencialmente objetivo en el anlisis de los hechos y las conductas que

traen como consecuencia un perjuicio [...]

La concepcin del riesgo38 bajo el esquema del dao, desconoce la teora de la culpa

de la responsabilidad civil, como claramente lo expresa el Dr. Sarmiento39:

37 SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de Colombia. 2002. P.
180 y 181.
38 Los Antecedentes Histricos de la teora del riesgo son: [...] la publicacin en Paris, en 1897, de las obras de
Saleilles Les accidentes de travail et la responsabilit civile, y de Josserand, De la responsabilit du Fait des choses
inanimes. La sentencia de la Corte de Casacin Francesa de 16 de junio de 1897, referente al caso del remolcador
La Marie y la expedicin de la ley francesa de 9 de abril de 1898 sobre la responsabilidad en los accidentes de
trabajo. SARMIENTO GARCIA, Op. Cit. p. 187.

52
 La idea de riesgo se presenta entonces sustitutiva de la idea de culpa como

fundamento de la responsabilidad civil, lo cual implica el desconocimiento total del

dogma milenario heredado del derecho romano, segn el cual no hay

responsabilidad sin culpa comprobada, en el que se basa toda la teora tradicional

de la responsabilidad y donde el elemento culpa se constituye en presupuesto de

existencia de la obligacin de indemnizar

De esta suerte, en la teora del riesgo, el dao connota el elemento forzoso para la

generacin de responsabilidad civil40, lo cual es empricamente concordante con la

sucesin de los hechos; a diferencia de lo que sucede con la teora de la culpa, donde

el dao pasa a una segunda lnea y la culpa adquiere toda significacin, a tal punto, que

sin su demostracin, no hay obligacin de resarcir el dao que efectivamente se ha

producido. Al respecto, refirindose a la teora de la culpa, el Dr. Sarmiento

acertadamente expone:

39 SARMIENTO. GARCIA. Ibid. p. 182.

40 Definicin de Responsabilidad Civil: [...] es la consecuencia jurdica en virtud de la cual, quien se ha comportado en
forma ilcita debe indemnizar los daos, que con su conducta ilcita ha producido a terceros. [...] ese comportamiento
ilcito consiste en el incumplimiento de las obligaciones derivadas de un contrato, el incumplimiento de las
obligaciones legales o cuasicontractuales, el delito, el cuasidelito, o la violacin del deber general de prudencia.
JARAMILLO, TAMAYO. Javier. De la Responsabilidad Civil. Bogot: Editorial Temis. Tomo I. 1999. P. 12.

53
 [...] nada ms ajeno a la realidad que esta concepcin y nada ms injusto y

desestabilizador del orden social, que condicionar la obligacin de indemnizar los

daos, cada vez ms frecuentes y voluminosos en nuestro mundo altamente

tecnificado e industrial a consideraciones estrictamente subjetivas, por esta razn la

teora del riesgo reacciona desplazando el estudio y el anlisis de la responsabilidad

civil del campo subjetivo donde la tena sumida la nocin de culpa, al campo objetivo,

colocando al dao como causa nica y primaria de la obligacin de indemnizar [...]

La concepcin de la teora del riesgo conlleva, necesariamente, al estudio de las

diferentes variantes que han expuesto la doctrina y jurisprudencia nacional y extranjera.

Para tal fin se seguir, la exposicin del Dr. Sarmiento41 quien ejemplifica cada una de

las siguientes tesis:

- Riesgo Provecho

- Riesgo Creado

- Riesgo Profesional

Riesgo - Provecho: esta tesis cuantifica la obligacin de resarcir, con fundamento en el

beneficio obtenido del dao causado, estableciendo una relacin directamente

41 SARMIENTO, GARCIA. Ibid. p. 183 a 186.

54
proporcional entre el beneficio y el dao. [...] si una persona ejerce una actividad que le

reporta beneficios econmicos, debe indemnizar todos los perjuicios que sean

consecuencia de es actividad [...]42.

Riesgo - Creado: la responsabilidad, en esta tesis, recae en quien desarrolla una

actividad que crea riesgos. El profesor Antonio Rocha43 explica este riesgo de la

siguiente manera: [...] toda actividad que crea para otro un riesgo hace a su autor

responsable del dao que pueda causar sin que haya lugar a investigar si hubo culpa o

no de su parte.

Riesgo - Profesional: la legislacin francesa, consagr este tipo de riesgo como el

fundamento indemnizatorio del accidente de trabajo, razn por al cual, este riesgo se

circunscribe para los daos soportados por el trabajador. Sin embargo, como lo

manifiesta el Dr. Sarmiento, este riesgo connota la calidad de profesional, por lo cual su

rbita hoy en da, no puede reducirse a las relaciones laborales, debe, entonces,

aplicarse a todas aquellas actividades profesionales como una subespecie del riesgo

42 El Dr. Sarmiento sostiene que la teora del riesgo provecho, tiene aplicacin para todas aquellas actividades
econmicas que reportan un beneficio y, no slo, como sostiene los defensores de la teora de la culpa, aplicable a la
responsabilidad por accidentes de trabajo. SARMIENTO, GARCIA. Ibid. p. 183.
43 Citado por el Dr. SARMIENTO, GARCIA. Op. Cit. P. 185.

55
provecho con una condicin adicional: su carcter especializado y tcnico. De esta

suerte, todo aqul que ejerza una actividad profesional y que reporte un provecho de la

misma, deber resarcir los perjuicios que dicha actividad ocasione a terceros.

En nuestro ordenamiento jurdico, el riesgo ha generado diversas discusiones y teoras

encaminadas a dilucidar en cabeza de quin debe radicarse. La titularidad del riesgo,

en el contrato de seguro, por ejemplo, es clara, el contrato en s mismo tiene su esencia

en la asuncin de un riesgo por un tercero; el asegurador, asume los riesgos y, el

tomador traslada los riesgos - Artculo 1037 Cdigo de Comercio -, en este contrato es

tan importante la nocin de riesgo, que ste forma parta de los elementos esenciales

del contrato - el riesgo asegurable -. Es de tal importancia la nocin de riesgo para el

contrato de seguro, que legislador defini el riesgo en el artculo 1054 del Cdigo de

Comercio de la siguiente manera:

Denominase riesgo el suceso incierto que no depende exclusivamente de la

voluntad del tomador, del asegurado o del beneficiario, y cuya realizacin da origen

a la obligacin del asegurador. Los hechos ciertos, salvo la muerte, y los fsicamente

imposibles, no constituyen riesgos y son, por lo tanto, extraos al contrato de seguro.

Tampoco constituye riesgo la incertidumbre subjetiva respecto de determinado

hecho que haya tenido o no - cumplimiento.

56
Con esta introduccin, debe preguntarse dnde se ubica el riesgo en materia de

comercio electrnico?.

En materia de intercambio de bienes por medios telemticos, no existe una regulacin

expresa con relacin al sujeto que debe soportar el riesgo, sin embargo, tienen cabida

las diferentes tesis del riesgo, sin perjuicio de la inminente necesidad, de establecer, en

el ordenamiento legal, una regulacin especfica para este tipo de negocios jurdicos.

La normatividad actual en materia de comercio electrnico, establece que las entidades

que certifican el intercambio de mensajes de datos, deben responder por los perjuicios

que el desarrollo de la actividad genere. Responsabilidad que se encuentra

garantizada a travs de compaas aseguradoras. Para este caso, la tesis del riesgo -

profesional, tiene plena cabida y concordancia, sin embargo en la prctica los contratos

que celebran los establecimientos de comercio con los emisores de tarjetas de crdito,

contienen clusulas redactadas de forma tal, que los perjuicios que se causen con

ocasin de la actividad negocial por la red Internet, recaen exclusivamente en el

comerciante, salvo que el perjuicio se haya causado como consecuencia de la culpa

grave o leve del profesional que presta el servicio. As por ejemplo, los contratos que

57
celebra VISA - Reglamento del Servicio Electrnico de Pagos -, establecen en la

clusula vigsima quinta se la responsabilidad del banco en los siguientes trminos:

El Banco se obliga a responder ante el cliente por las fallas, deficiencias,

incumplimientos o demoras en que incurra, en la verificacin de los datos y

documentos suministrados o en la realizacin de las operaciones autorizadas u

ordenadas siempre que se determine que tales circunstancias son imputables a ella.

La causa del perjuicio es difcil de probar, los riesgos son muchos y la inseguridad

siempre es asumida por el usuario, el Banco, como se observ, slo responde por

conductas negligentes derivadas de su labor pero no por los perjuicios derivados de la

inseguridad alteracin, modificacin, uso fraudulento etc. -. En el Captulo, Los

Medios de Pago, se expondrn otras clusulas de este tipo de contratos, con el fin de

evidenciar, las clusulas que estn regulando los negocios jurdicos por la red Internet ,

que utilizan como medio de pago la tarjeta de crdito.

Es manifiesto, como se mencion, que deben forjarse en el mbito de las transacciones

por medios electrnicos, normas claras y equitativas, en cuanto a la asuncin de

riesgos. Los organismos dedicados a la seguridad de redes, sociedades que presten

servicios de seguridad como las entidades de certificacin, deben ser los llamados, en

58
primera instancia, a asumir los riesgos derivados de las transacciones electrnicas, sin

perjuicio, que las diferentes empresas que presten servicios a travs de la red, asuman,

segn su rango de profesionalidad, los riesgos que cause su el desarrollo de su objeto.

Si bien es cierto, que la celebracin de contratos por va electrnica, se regula, en

primera medida, por la normatividad aplicable a ese contrato en particular, los daos

ciertos, efectivamente causados, deben seguir el lineamiento de las diferentes tesis del

riesgo. Adicionalmente, debe regularse la responsabilidad por la prdida de informacin

- claves privadas, documentos, nmeros secretos de los diferentes medios de pago etc.

-, alteracin y/o modificacin, transferencias no autorizadas etc. Este tipo de

responsabilidad, debe fundamentarse en el aspecto tcnico y, apoyarse en las tesis

tradicionales del riesgo44.

Entremos, entonces, a examinar los riesgos a los que est expuesta una transaccin

comercial por medios electrnicos.

1. A qu riesgos est expuesto al conectarse a la red Internet?

44
En el Captulo los medios de pago se analiza ms detalladamente el tema de la responsabilidad de las empresas
que prestan servicios a travs de la red Internet.

59
Para repeler un ataque hay que conocer al enemigo, razn por la cual, resulta de vital

importancia introducir los riesgos a que est expuesto el comercio electrnico y,

presentar as los mecanismos que los contrarresten.

Cuando Usted se conecta a travs del Network45 a Internet, se estn corriendo varios

riesgos, entre los cuales pueden mencionarse los siguientes:

1. Se crean vas de acceso para los miles de virus que se encuentran en la red.

2. Cuando un virus penetra un sistema puede afectar todos los archivos de las

unidades de disco duros y programas en general, dandolos y afectando su

funcionamiento, lo que genera prdida de tiempo, de dinero y en el peor de los

casos el dao total del equipo.

3. La informacin que se almacena en el computador, tambin se ve expuesta y

puede llegar a ser conocida, borrada o modificada.

4. Para una empresa puede significar la prdida de reputacin, de miles o millones

de pesos, o la parlisis de actividades, prdida de informacin reservada etc.

45 Sistema operativo utilizado para la interconexin de redes.

60
Las amenazas a la seguridad digital pueden ser de diversa ndole, sin embargo, pueden

agruparse en tres categoras46:

- Ataques de red: son aquellos que se efectan a travs de la red Internet.

Ocasionan un lento desempeo en el sistema operativo de cada uno de los

computadores de la empresa, afectan el correo electrnico y las redes internas,

sin que necesariamente se afecten o daen los sistemas operativos. Un ejemplo

de este tipo de ataques es el DOS -Denial of Service -, que consiste en remitir

una gran cantidad de correos electrnicos que producen el agotamiento de los

sistemas. En febrero de 2000, los ataque DOS que se dirigieron contra blancos

de alto perfil tales como Yahoo, eBay, CNN y el FBI, causaron daos por ms de

US$100 millones47.

- Las infiltraciones: se dirigen al interior de los sistemas operativos, el modus

operandi consiste en descifrar las contraseas de los usuarios para acceder al

escritorio del computador, donde se podr acceder a cualquier sistema operativo

e inclusive a los dems equipos que se encuentren conectados a travs de red

46 Las tres categoras que se mencionan son expuestas por Robert D. Austin y Crhristopher A.R. Darby en el artculo
EL MITO DE LOS SISTEMAS DE IT SEGUROS. Harvard Business Review. Junio de 2003.

61
 interna, que en la gran mayora se divide por reas. En este aspecto, es

importante que las claves que utilice no sean: nombre, apellido, direccin,

telfono, fecha cumpleaos etc., lo cual genera una exposicin mayor del

sistema. Es claro que no existe conciencia sobre la vulnerabilidad de los

sistemas y, mayor an sobre el grado de compromiso que deben tener cada uno

de los empleados para reducir al mximo los ataques de red y las infiltraciones.

- El cdigo maligno: abarca los virus y los gusanos.

2. Los Atacantes

Como introduccin al tema de los atacantes, se referir al ms comn y famoso de

ellos - el hacker -. Trmino proveniente del ingls hack - recortar. Tradicionalmente se

considera hacker al aficionado a la informtica que busca defectos y puertas traseras

en los sistemas operativos. Para los especialistas, la definicin correcta sera: experto

que puede conseguir de un sistema informtico cosas que sus creadores no imaginan.

Se dice que el trmino hacker naci por los programadores del Massachusetts Institute

47 Ibid, p. 89.

62
of Technology (MIT), que en los 60's se llamaron a s mismos hackers, para hacer

alusin a su capacidad como programadores. Sin embargo, su uso ms extendido (e

incorrecto, segn los propios hackers) es el de delincuente informtico, o cracker.

Uno de los primeros piratas informticos - Kevin Mitnik - escribi: The Art of Deception

(El arte de la decepcin), que lleg a las libreras, en diciembre de 2003. Mitnik fue

acusado por robo de software y alteracin de datos de Motorola, Novell, Nokia, Sun

Microsystems y de la Universidad de California durante los aos ochenta y noventa.

Mitnik es conocido por ser unos de los hombres ms buscados por el FBI durante tres

aos. En 1995 fue capturado en un apartamento en Raleigh, gracias a la ayuda de un

experto acadmico en seguridad. Pese a su condicin de delincuente informtico, es

considerado un hroe en la comunidad hacker. Si bien es cierto que los hacker son los

atacantes ms conocidos y peligrosos, no son los nicos; como se ver, cualquier

empleado, por ejemplo, es un potencial atacante y, representa un riesgo para el sistema

computacional de la compaa.

2.1 Atacantes Internos

63
Las vas de acceso pueden ser internas o externas. Los ataques internos son aquellos

que se encuentran dentro de la misma empresa - empleados directos -. Este factor ha

sido atribuido entre otros o la inestabilidad laboral; hoy en da la gran mayora de

contratos que celebran las empresas son a trmino fijo, las empresas evitan al mximo

compromisos laborales de largo tiempo que le signifiquen una carga prestacional alta y

una liquidacin costosa, en caso de retiro voluntario o forzado. La prdida de lealtad, es

un factor que, sin duda alguna, contribuye a que los empleados no tengan

remordimiento en causar dao a su empresa y generarle prdidas. Un empleado

bancario descontento, lanz un ataque DOS contra el sistema operativo de su

compaa, el cual se interconectaba con todas las oficinas. Previendo que el personal

de sistemas estara preocupado por interconectar el sistema entre el computador

central y las oficinas, inici un segundo ataque, que fue muy efectivo, gracias a que

conoca el software con el que operaba el banco. Para iniciar su ataque investig en

Internet y baj un programa hacker, que pueden bajarse en diez minutos desde

cualquier computador conectado a la red a travs de fibra ptica. No aplacado, creo una

ruta para que los usuarios al entrar en la pgina web del banco fueran remitidos a una

direccin de pginas pornogrficas48. Los ataques internos son difciles de prevenir y,

dependen del nivel de lealtad y confianza entre empleador y trabajador; un empleado

48 Este hecho fue narrado en Harvard Business Review. Volumen 81. Nmero 6. Junio 2003. p. 89.

64
que quiera su empresa y respete la organizacin seguramente no intentar ste tipo de

maniobras. Por esta razn, el tema de la inseguridad debe abarcar polticas

empresariales que vayan desde la creacin de niveles de acceso al sistema operativo a

travs de claves, como tambin, programas - cursos, conferencias y entornos de trabajo

cordiales -.

2.2 Atacantes Externos:

Los ataques externos, tienden a ser ms peligrosos aunque menos frecuentes. La

prevencin, depende en gran medida de los sistemas de seguridad que utilice la

empresa y, de los mecanismos de seguridad que emplee en sus transacciones y

actividades en general.

Los atacantes externos pueden ser de diversa ndole, as como, los motivos que los

impulsan. A continuacin se mencionan los atacantes ms relevantes de las redes:

- Los hacker su denominacin es inglesa y su nombre se generaliz a nivel

mundial, la intencin de estos personajes es demostrar su habilidad ingresando a

sistemas y programas de forma ilegal, alterndolos y dandolos. Tcnicamente

65
 estn muy bien dotados y no siempre su intencin es demostrar su habilidad,

pueden estar detrs de informacin confidencial o buscando beneficios

econmicos ilcitos. Ubicarlos es una tarea bastante difcil y por lo general

buscan sistemas operativos can falencias de seguridad.

- Los vndalos: es la denominacin que se utiliza para aquellas personas que slo

tiene fines destructivos. Como se mencion anteriormente en la mayora de los

casos estas personas suelen ser ex empleados que buscan venganza, o sujetos

que estn en contra del sistema y simplemente buscan desestabilizarlo generar

caos y daos importantes, en las empresas estatales o privadas de alto perfil.

3. Las formas de ataque

Las formas de ataque, pueden definirse como los instrumentos de ataque que

penetran en los sistemas alterndolos, modificndolos, o borrndolos; en trminos ms

comunes, infectndolos. Entre las formas de ataque ms importantes pueden

mencionarse49:

66
3.1 Los virus son programas informticos que se activan cuando un archivo es

ejecutado, es decir, slo afectan a aquellos archivos con la extensin .exe, .com, .bat y

.sys de los sistemas operativos de MS_DOS/Windows. Los virus tienen gran capacidad

de clonacin lo cual genera su expansin exponencial afectando en poco tiempo todos

los programas. Los e-mails son la entrada ms comn de los virus.

No es un misterio, lo vemos todos los das en las empresas y en nuestras casas; los

virus son los ataques ms frecuentes que tenemos que afrontar, conforman parte de

nuestro mundo digital, quin no ha tenido un virus en su computador?. La red Internet,

est infestada de virus. Todas las semanas los departamentos de sistemas de las

grandes compaas, tienen dentro de sus funciones, detectar y prevenir la expansin de

virus.

Ahora bien, la aparicin de los primeros virus se remonta a 1986. Los disquetes, fueron

el punto de partida, el sector boot50 contiene un cdigo ejecutable, cada vez que se

reinicia el computador con el disquete inserto en la unidad A, el cdigo reproduce el

programa y guarda una copia en la memoria residente del computador, es decir, en el

49 Vea ms informacin: Ibid. p. 25 a 29.

50 El boot es el maletero de un disquete, es decir, el sitio que permite el almacenamiento de datos.

67
disco duro. As mismo, se poda instalar una copia del programa en cualquier disquete,

accesible desde cualquier dispositivo. Ha este fenmeno le dieron el nombre de virus,

por su similitud de reproduccin con los virus biolgicos. Este ao experimental, sirvi

de plataforma para concienciar a los expertos sobre los virus. Se desarrollaron virus

experimentales y se dimension su capacidad destructiva. En 1988, comenz el

denominado baile,51 as mismo, aparecieron los fabricantes de anti - virus. La IBM, tom

conciencia de la importancia de los virus al sufrir el ataque del virus Cascade, desde

entonces, tiene un laboratorio dedicado a detectar y prevenir los virus. Los ataques

continuaron, Brain, Italian, Stoned, Cascade y Jerusalem, se dispersaron por cientos de

computadores. Jerusalem, fue sin lugar a duda el ms violento y complejo, infect a

miles de computadores en Estados Unidos, Espaa y Reino Unido, apareca todos los

viernes y los das 13 del mes. Por su parte los anti - virus seguan tomando fuerza,

gracias, en parte, a los medios de comunicacin que alarmaron a los usuarios, que

comenzaron a demandar anti - virus. En 1989, la situacin se complic con Datacrime,

el cual infectaba el computador y borraba toda la informacin almacenada en el disco

duro. En Estados Unidos se le llam el virus del Descubrimiento, de origen noruego,

fue creado, segn una de las hiptesis sobre su origen, como voz de protesta por

51 Los expertos en la materia: ingenieros de sistemas, se refieren al ao 1988, como el ao en que comenz el baile,
por la aparicin de varios virus, que infectaron a miles de computadores.

68
atribuirle a Coln y no a Eric el Rojo el Descubrimiento de Amrica. Posteriormente

apareci el cdigo maligno - Aids Information Disquette -. Consista en un documento

que contena instrucciones especficas para la creacin de archivos y directorios. El

modus operandi consista en introducirse en el motor de arranque del sistema operativo

encriptando los archivos del disco duro y descargando en ellos todo lo que se hubiese

alojado en el disquete. En 1990, aparecieron los virus polimrficos52 -, a diferencia del

cdigo maligno, este tipo de virus cada vez que infectaba un sistema se encriptaba, lo

cual haca difcil su eliminacin. Los creadores de anti - virus tuvieron que desarrollar

algoritmos capaces de descencriptar los virus con el fin de constatar si stos eran

malignos o no, es decir, haban virus cuyo fin no era destructivo sino simplemente

archivos que se multiplicaban con cada arranque del sistema sin ocasionar dao

alguno. Este mismo ao se presenci un virus procedente de Bulgaria cuyo autor se

hacia llamar Dark Avenger; este virus introdujo dos nuevos conceptos: la infeccin

rpida y el ataque remoto. El primero se instalaba en la memoria e infectaba el disco

duro, el segundo se reproduca cada cierto perodo de tiempo, daba la apariencia de

haber desaparecido pero reapareca cuando haba aparente calma en el sistema.

Posteriormente, apareci The whale el cual represent un reto para los expertos, ms

que ser un virus devastador. Estaba compuesto de un algoritmo largo y complejo, lo

52 Polimorfo: cualidad de los que tiene o puede tener varias formas. Diccionario de la Real Academia Espaola.

69
cual haca muy lento y complicada su eliminacin. A finales de este ao - 1990 - se cre

la EICAR European Institue for Computer Anti Virus Research -, con sede en

Hamburgo. Para esta fecha ya se haban definido alrededor de 150 virus. Para 1991 la

sociedad Symantec lanz al mercado el producto Norton Anti Virus. Varios pases

aportaron su cuota en la creacin de virus, todos muy similares, lo que dificultaba su

definicin, individualizacin y destruccin. De Alemania proceda Gonorrea, de Suecia

Demoralised Youth, de Estados Unidos Hellpit, de Reino Unido Dead on Arrival. Sin

lugar a duda uno de los ms recordados es Tequila que apareci en 1991 y se

expandi por los computadores del mundo. En 1992 el virus ms significativo fue el

denominado Michelangelo, que gener pnico en las empresas. Se estimaban daos

en cerca de cinco millones de computadoras, finalmente la alarma fue ms grande que

el dao real, sin embargo, la prevencin siempre evitar que el desastre sea mayor. Si

bien, se sorte un estrago de grandes dimensiones, la vulnerabilidad de las compaas

qued manifiesta. A finales del 92 aparecieron los paquetes de virus de autor, los

cuales permitieron que cualquier usuario consiguiera generar su propio virus. As

mismo, se creo la Asociacin de Virus Autnticamente Crueles (ARCV) en el Reino

Unido, sin mucho xito, toda vez que la Unidad de Crimen Computacional acab con

sus proyectos al arrestar a sus miembros. Un nuevo grupo de creadores de virus -

70
Trident - apareci en Holanda en 1993. En los ltimos aos, la historia se repite53. En el

2004, el virus Mydoom, se convirti en el mayor virus informtico de la historia por su

amplia difusin, infect ms de 100 millones de mensajes electrnicos54, este virus

bautizado Mydomm o Novarg, acta como un gusano. Se ha difundido a travs de

Kazaa, que es un programa en red que permite intercambiar msica, videos, juegos etc.

3.2 Otra forma de ataque son los gusanos, que estn diseados para infiltrarse en los

programas de tratamiento de texto y destruir la informacin, a diferencia de los virus no

poseen la capacidad de reproducirse, lo que los hace fciles de destruir.

3.3 Los caballos de Troya, son programas que estn camuflados dentro de programas

en s mismo inofensivos. Consiste en introducir rutinas en un programa para que acte

en forma distinta a como estaba previsto55. Los virus y los gusanos pueden esconderse

dentro de los trojan horses.

53 La historia de los virus que se expuso puede encontrarse con ms detalles en la pgina web
www.virusport.com/Historia.html
54 Vase ms informacin en la pgina web http://iblnews.com/news/noticia.php3?id=99098.
55 GARCA DAZ., Op. cit. p. 156.

71
3.4 Las bombas de relojera son muy parecidos a los caballos de troya, pero su forma

de ataque est regulada en el tiempo, de manera que se activan en el momento preciso

en el cual pueden causar un mayor dao.

3.5 La introduccin de datos falsos, es otra de las formas de ataque, consiste en la

manipulacin de datos de entrada o salida de los sistemas operativos generando error

en la transmisin o recepcin de mensajes de datos, con el fin de inducir a error con

fines econmicos o no.

3.6 La Tcnica de Salami es utilizada en el sistema financiero en particular en las

transferencias de cuentas corrientes, cuentas de ahorro y productos de ahorro,

consistente en la transferencia automtica de los centavos de las transacciones

realizadas a una cuenta determinada.

Los atacantes y los medios que utilizan requieren vas de acceso para introducirse en el

sistema y producir el dao esperado. Existen diversas vas de penetracin las cuales se

exponen a continuacin:

72
Ahora bien, para entender el procedimiento que utilizan los atacantes deben conocerse

las rutas de acceso que utilizan para penetran en los sistemas, con lo cual se tendr un

panorama amplio sobre el modus operandi de los delincuentes informticos.

4. Las vas de ataque

Para que un ataque sea efectivo es necesario contar con una va de acceso, lo cual se

produce en la mayora de los casos por las deficiencias y puntos vulnerables de un

Network.

El desarrollo de los sistemas operativos y sus deficiencias en particular suscitan a los

atacantes para exhibir sus habilidades y demostrar que no hay sistema impenetrable e

invulnerable. Las formas ms conocidas de vas de ataque son las siguientes:

4.1 Software Bugs: Estos se introducen en el software, permitiendo al intruso atacar

la estructura o columna vertebral de los ordenadores de los Network. Esta es la

va comn de los hackers y de los vndalos. Esta va de ataque, pone en

73
 evidencia las deficiencias de seguridad de los softwares. Cada deficiencia es

potencialmente una va de acceso.

4.2 Privilegios: La gran mayora de los sistemas operativos de computacin, utilizan

un sistema de seguridad denominado privilegios, el cual consiste en proveer al

usuario una identificacin, generalmente una clave, que le permite ser

identificado. Este sistema es muy vulnerable y al ser conocido por los atacantes,

estos pueden hacerse pasar por el usuario dueo del privilegio y afectar tanto la

legalidad de la comunicacin como las transacciones efectuadas. En la

actualidad se utiliza el correo electrnico como medio para obtener contraseas

y nombres de usuarios, los pescadores, como se les conoce, envan un mensaje

de una entidad oficial ofreciendo promociones o enviando informacin

importante, con el fin que el usuario proporcione su user name y su password.

4.3 Instalacin del sistema operativo: La gran expansin del mercado de

computadores, ha generado la necesidad de un mercado de fcil acceso, tanto

en el acceso como en la manipulacin. Esta accesibilidad hace que los sistemas

operativos sean vulnerables.

74
4.4 Management remoto: Para poder conectarse a Internet es necesario contratar

un servidor que sirva de puente. Esta gestin puede hacerse de varias maneras,

desde el mismo sitio del servidor, desde otro ordenador e incluso desde Internet,

lo cual evidencia claros riesgos.

4.5 Transmisiones: Toda informacin que sea transmitida por Internet esta

potencialmente en riesgo de ser interceptada, con las consecuencias que esto

acarrea; inclusin de virus, bombas de tiempo etc., o modificacin, alteracin o

sustraccin de informacin.

4.6 Cookies: Los websites utilizan un sistema operativo (cookies) que recogen y

almacenan informacin del usuario, con el fin de definir su perfil. Estos sistemas

son exclusivamente para desarrollar un marketing apropiado de acuerdo con los

diferentes gustos del usuario. Este sistema de almacenamiento de informacin

es potencialmente riesgoso. La utilizacin y manejo de dicha informacin

determinar el nivel de riesgo. Cuando entramos en la red y aparecen ventanas

ofreciendo productos, no es al azar, en la mayora de los casos, son productos,

bienes o servicios, que en alguna oportunidad, escogimos como favoritos al

llenar una encuesta.

75
Una vez definidos los ataques y las vas que se utilizan para penetrar los sistemas

operativos, la pregunta consecuente es qu hacen estos ataques en el sistema

operativo?.

5. Los daos

Los formas de ataque pueden producir significativos daos, que pueden

enmarcarse como lo dice el Dr. Font56 en cuatro clases genricas:

5.1 Interrupcin: Una vez se ha producido el ataque uno de los inconvenientes y

consecuencias que se produce es la interrupcin de los programas, lo cual puede

reflejarse en la denegacin del acceso al mismo, la lentitud del sistema,

procesamiento errado de las ordenes, bloqueo del sistema.

5.2 Interceptacin: Esta se produce cuando el atacante accede sin autorizacin al

network y obtiene informacin confidencial y privilegiada. En la mayora de los

casos el acceso se produce en informacin que est siendo transmitida.

56 FONT, Andrs. Seguridad y Certificacin en el Comercio Electrnico. Madrid : Editorial Fundacin Retevisin.
2002. p. 27 y 28.

76
 5.3 Modificacin: Est ligada a la interceptacin en la medida en que cuando se

produce la interceptacin en la mayora de los casos se produce la modificacin de l

informacin que ha sido interceptada. En este caso la interceptacin tiene como

nico fin la modificacin de la informacin.

5.4 Fabricacin: Consiste en la introduccin de nuevos elementos que son dainos y

afectan el network.

Una gran dificultad que afronta la seguridad es la falta de decisin de los gerentes de

sistemas. Dedicar recursos para implementar mecanismos seguros es una decisin

difcil. Si la competencia no implementa medidas de seguridad y durante varios aos no

ocurre ningn siniestro, la decisin de inversin puede verse como una prdida de

utilidad, lo cual, en un entorno competitivo, desdibuja la capacidad de decisin y de

establecer prioridades de ese ejecutivo; sin embargo, un dao puede generar millones

de pesos en prdidas. Precisamente, los daos producen dos efectos: crean

conciencia sobre el riesgo y su potencialidad y, muestra las debilidades del sistema. Si

bien un dao evidentemente es un hecho negativo, trae consigo aspectos positivos -

generan conciencia -. En nuestro entorno cultural, empresarial y familiar, no hay

conciencia sobre la prevencin, toda vez que esta implica la destinacin de recursos

fsicos y tcnicos que comprometen recursos, sin embargo, la prevencin - accin y

77
efecto de prevenir - que consiste en la preparacin y disposicin que se hace

anticipadamente para evitar un riesgo, debe ser una constante en el diario vivir, tanto a

nivel profesional como personal. Implementar a tiempo sistemas de seguridad -

certificacin, autenticacin, autorizacin, claves, encriptacin, corta fuegos etc. -,

ayudara a prevenir siniestros. Est demostrado que los costos de implementar sistemas

de prevencin, reducen los costos de reparacin en ms de un 50% e incluso hasta en

un 100%. Otra opcin interesante es complementar los sistemas de prevencin, con

plizas de seguro, y de esta forma asegurarse por todos los flancos. Las compaas de

seguros ofrecen plizas que cubren los equipos electrnicos contra cualquier tipo de

riesgo - virus, sobre carga de energa, incendio, terremoto etc. -,

sin embargo, las plizas de seguros son mecanismos de respaldo dirigidos a soportar la

ocurrencia del siniestro y no, a la prevencin del mismo, por lo tanto, un entorno

altamente seguro debe contar, tanto con mecanismos de proteccin como con plizas

de seguro.

78
 6. La importancia de la seguridad y la confianza

La seguridad puede enfocarse desde varios escenarios. El jurdico, entendido como la

cualidad del ordenamiento jurdico, que envuelve, entre otras, tanto la certeza de sus

normas como la no - ambigedad de sus significados y, consecuentemente, la fcil

aplicacin. El social, que implica dos mbitos: pblico o privado; en el primero interviene

la organizacin estatal, que dedica sus esfuerzos a evitar la violencia, el terrorismo, a

atender necesidades econmicas y sanitarias con miras a mejorar la calidad de vida de

sus asociados y proveer un orden social revestido de legitimidad. El segundo se divide

en el empresarial o de las personas jurdicas y, el familiar y de las personas naturales;

el primero dedica sus esfuerzos en dispositivos de seguridad - empresas de vigilancia,

cmaras de seguridad, puertas de acceso restringidas, capacitacin en prevencin de

riesgos catastrficos de carcter natural, seguridad computacional: claves, cortafuegos,

restricciones etc.; el segundo, consiste en la implementacin de mecanismos

domsticos con apoyo estatal, para evitar daos a los miembros del grupo familiar y sus

bienes - cerraduras de seguridad, cinturn de seguridad, rutas alternas con el fin de

evitar persecuciones; a nivel computacional, anti virus, claves etc. -. El presente estudio

refiere la seguridad de los sistemas operativos de las computadoras, que hoy es una

79
preocupacin, tanto del sector pblico o estatal como del privado o empresarial y/o

familiar.

6.1 La Confianza

La confianza es el elemento esencial de toda relacin jurdico comercial, ha jugado

un papel fundamental en la historia mercantil, poltica, militar y espiritual de la

humanidad.

Se puede afirmar, sin ninguna duda, que la solidez de cualquier relacin o proceso

comercial ha sido el resultado del equilibrio siempre inestable de tres elementos: la

seguridad jurdica del contexto en donde se realiza, el nivel de riesgo que se est

dispuesto a asumir y la confianza existente entre las partes que intervienen en una

transaccin57.

La Corte Constitucional en Sentencia C- 662 de 200058 se expres as de la confianza

en el comercio electrnico:

57 Ibid., p. 35 y 36.

80
 [...] la confianza es la variable crtica para incentivar el desarrollo progresivo de las

vas electrnicas de comunicacin conocidas como correo electrnico y comercio

electrnico, pues es el elemento que permite acreditarlos como un medio seguro,

confiable y, de consiguiente, apto para facilitar las relaciones entre los coasociados.

La adquisicin de productos de diferentes pases del mundo, la celebracin de

negocios, la transferencia de fondos, la consulta de saldos etc., es una idea atractiva

para los usuarios de los sistemas de redes, sin embargo, el sentimiento de adquisicin

se ve frustrado por la incertidumbre y la falta de confianza en el sistema.

En una encuesta realizada por la firma Merryl Linch, se pregunt: Estara dispuesto a

dar el nmero de su tarjeta de crdito por Internet?. El resultado fue el siguiente:

1. No sabe / no responde: 9%

2. S: 3%

3. No: 88%

58 CORTE CONSTITUCIONAL. Sentencia C 662. Expediente D-2693. Magistrado Ponente: Dr. Fabio Morn Daz.
Bogot: 2000.

81
Ofrecer bienes y/o servicios en cualquier mercado, implica un gran reto; ms an si no

se tiene la confianza y el respaldo jurdico. Posicionarse en el mercado, generar

confianza en los consumidores y forjar una buena imagen59 es una tarea que deben

emprender los establecimientos de comercio que buscan ofertar sus bienes y servicios

en la red Internet. En el comercio electrnico la confianza est directamente relacionada

con la seguridad.

Ahora bien, teniendo en cuenta que la confianza es un componente imprescindible para

las transacciones por medios electrnicos, es necesario, concienciar al usuario sobre la

existencia de mecanismos seguros que le permiten realizar una transaccin con la

completa tranquilidad y respaldo.

6.2 Confianza On Line

59 Las marcas y su desarrollo son un factor muy influyente en el concepto de confianza, y son claves en el
comercio del siglo XX, por esta razn las marcas deben ser sinnimo de identidad, seguridad, privacidad y
credibilidad en las transacciones.
El Comercio Electrnico en Internet debe hacer uso de las marcas como efectivamente lo est haciendo y generar
zonas de comercio seguro, donde la seguridad y la confianza sean las caractersticas fundamentales.

82
A continuacin se enunciarn los resultados de una serie de estudios realizados en

E.E.U.U, comentados por el Dr. Andrs Font60 con relacin con los elementos bsicos

que generan confianza en la red:

- Generar confianza requiere tiempo: generar confianza en las redes informticas es

una labor que comienza con la manipulacin de los elementos del sistema. El fcil

acceso, sumado a los diferentes valores agregados que se ofrezcan y a la

seguridad, conducirn al usuario a tener credibilidad en el negocio. Identificar una

pgina segura es fcil, existen determinados signos que le indican al internauta si se

encuentra en un sitio seguro tal y como lo veamos anteriormente. Tanto para el

comprador como para vendedor es indispensable que los signos de seguridad

aparezcan en la pgina web que se visita, lo que generara confianza en la misma y

en el mejor de los casos la compra on line.

- La experiencia de la navegacin por Internet es ambivalente: La experiencia en la

navegacin del internauta es indiferente en trminos de confianza. Un experto o

inexperto internauta indiferentemente, necesitan elementos y mecanismos de

60 FONT, Op. cit., p. 40, 41 y 42.

83
 seguridad que le brinden tranquilidad, tener la certeza que el sitio que visita es

seguro.

- Una navegacin fcil es una condicin necesaria para generar confianza: El diseo

de la pgina web es muy importante a la hora de generar confianza. Tener un fcil

acceso y un manejo sencillo, son elementos que generan seguridad y confianza en

los usuarios. Es muy importante que el sistema operativo utilizado para desarrollar

comercio electrnico a travs de la red, brinde fiabilidad, escalabilidad,

interoperatividad y seguridad61.

Fiabilidad: La fiabilidad consiste en un sistema operativo gil y confiable.

Una programacin fuerte y una red62 con tecnologa de avanzada

dependiendo de las necesidades del usuario.

61 ELSENPETER, Robert. VELTE, Joby. Fundamentos de Comercio Electrnico. Estados Unidos: MC Graw Hill.
2002. p 65 y 66.
62 Como se defini en el pie de pgina nmero 14, la red es la conexin de computadores cuyo fin es compartir
recursos e intercambiar informacin. Las redes pueden dividirse en dos tipos:
1. Redes de rea local: aquellas que conectan todos los componentes de las computadoras dentro de un rea
centralizada. Es la red que enlaza el Departamento Jurdico con el Departamento de Sistema, es la red que
enlaza al Departamento de Mercadeo con la Vicepresidencia de Recursos Humanos o la red que conecta
todos los computadores del Departamento de Diseo con la impresora a color. Pueden existir dentro de una
misma empresa varias redes de rea local que a su vez estn conectadas con una red matriz de rea local
que se convierte en la columna vertebral de las redes de rea local de la empresa.

84
 Escalabilidad: Consiste en la posibilidad de ampliar el sistema operativo

por razones de saturacin, agregando ms procesadores para fortalecer el

sistema. Agregar ms procesadores se denomina escalar, y es una

consideracin muy importante a la hora de elegir el sistema operativo para

realizar comercio electrnico, en particular en la calidad de oferente.

Interoperatividad: Consiste en la posibilidad de vinculacin con otros

sistemas operativos para comunicarse con otras computadoras e

intercambiar informacin. Siendo de vital importancia la aceptacin de

estndares63 y la capacidad de utilizar directorios habilitados64.

2. Redes de rea amplia: En esencia las redes de rea amplia son dos redes de rea local unidas a gran
distancia. La red de rea amplia ms grande que existe es Internet. Las computadoras conectadas a una
red de rea amplia se enlazan en la mayora de los casos a travs de redes pblicas, como la lnea
telefnica. Dependiendo de nuestras necesidades puede configurarse una red de rea amplia en cualquier
rango de tamao y velocidad.
Vase ms sobre estructura de redes. Ibid., p. 82 a 249.
63 Los estndares son un conjunto de parmetros para las aplicaciones de la computadora que aseguran que podr
operar en una multitud de sistemas. El ejemplo que permite visualizar qu son los estndares, son los
procesadores de palabras. Antiguamente un documento elaborado en un procesador de palabras de un determinado
computador no poda leerse en un computador de diferente marca e incluso de la misma marca. Un estndar que
permiti solucionar este problema es el ASCII, que es un procesador de palabras estndar. Internet posee
estndares que permiten que las personas compartan informacin (HTML).
64 Los directorios habilitados son bases de datos gigantescas, agendas personales que permiten tener un
conocimiento ms cercano de los usuarios. El sistema operativo de los directorios habilitados consiste en una
segregacin de informacin esencial, de acuerdo con la configuracin que se le haya dado al directorio. De esta
forma podr saber el pas de origen del usuario, sus datos personales, sus gustos y en general todo cuanto sea
posible dependiendo de la configuracin del sistema.
Vea ms informacin al respecto. Ibid., p 66 a 70.

85
 Seguridad: El aspecto ms importante para el comercio electrnico es la

seguridad, sistemas confiables harn del sistema operativo (hardware65 y

software) un sistema que garantizar credibilidad.

- Determinados signos aumentan la credibilidad de un website: Est demostrado que

los smbolos ejercen una influencia positiva en los usuarios, lo que paralelamente

genera confianza.

- Hay una relacin directa entre ser conocido y generar confianza: Los sitios ms

visitados son los sitios ms conocidos. Los sitios ms conocidos son los sitios que

ms generan confianza.

- La mencin explcita en el website de la poltica de seguridad de la empresa

aumenta la percepcin de confianza: El hecho que el website haga referencia

explcita e implcita a la seguridad del usuario, y contenga polticas de seguridad

soportadas con normas legales, y en el mejor de los casos con certificados y

65 El hardware engloba lo que se refiere a componentes fsicos de un equipo informtico, el ordenador y sus
componentes: memoria, microprocesadores etc.; y los perifricos como el teclado, monitor, impresoras, mdems etc.

86
 sistemas de encriptacin, hacen del website un sitio seguro y confiable para el

usuario.

6.3 La Seguridad

La seguridad informtica tiene diferentes campos de accin: claves de acceso para

acceder a los diferentes software del sistema operativo, mecanismos de seguridad para

el intercambio de informacin a travs de las diferentes redes de comunicacin, acceso

restringido a la informacin de bases de datos etc. Ahora bien, la movilidad es uno de

los aspectos de ms relevancia y utilidad en cuento a redes se refiere. Sin embargo,

dicha movilidad representa un riesgo significativo en la medida que implica la

posibilidad de ser interceptada y utilizada de modo fraudulento. Imaginemos redes de

transporte de crudo - petrleo -, estos sistemas de transporte consisten en la

distribucin de crudo a travs de oleoductos - tubos de acero que recorren los

diferentes Departamentos y Municipios del pas transportando el recurso a sus

diferentes destinos -: refinera o puertos, para su procesamiento o exportacin. Durante

este recorrido, ocurren innumerables siniestros: bombas en las redes de distribucin

para colapsar la estructura, robo de la materia prima para uso personal o con fines

comerciales etc. Esto mismo pasa con la informacin que viaja a travs de las redes de

87
comunicacin informtica. Para prevenir estos ataques hay que identificar los puntos

ms vulnerables y reforzar la seguridad.

Es importante resaltar que existe la intencin por parte de los agentes del comercio

electrnico, en desarrollar e implementar mecanismos de seguridad. Ahora bien, para

adelantar un programa de seguridad informtica, deben conocerse las debilidades del

sistema y las implicaciones que puede generar un ataque o un fraude electrnico.

6.3.1 Seguridad en la empresa

Confidencialidad, integridad, confianza, credibilidad, reputacin, buen nombre, xito,

prevencin, son entre otros los conceptos que encierran un ambiente de seguridad en

la red.

Prdida de informacin, prdida de tiempo, costos elevados, parlisis operacional,

desconfianza, mala imagen, caos, son entre otros los conceptos que envuelven un

sistema operacional de red que no cuenta con una seguridad adecuada.

88
Cuando se trata de la seguridad digital, no existe una defensa impenetrable. Pero se

puede reducir el riesgo implementando prcticas operativas seguras66.

Si bien los ejemplos de vandalismo en la red no son mltiples, los pocos que se

presentan ocasionan innumerables prdidas y parlisis en los sistemas operativos, lo

cual ha afectando a la gran mayora de las reas de la empresa.

Los virus, que hoy en da son la forma ms comn de sabotaje empresarial, ocasionan

todos los das prdidas incalculables67, sin embargo, estos ataques no son dirigidos en

el 95 % de los casos, lo que evidencia, la vulnerabilidad de los sistemas de seguridad y,

el riesgo que est presente. Esta realidad, debe ser vista como un llamado de alerta

para los Departamento de Seguridad de las empresas, con el fin que adapten las

medidas de seguridad necesarias, segn las necesidades de la empresa, para

salvaguardar la integridad de su sistema operativo, software - hardware, pgina web,

imagen etc.

66 AUSTIN, Robert. Darby, Christopher. Harvard Business Review. Volumen 81. Nmero 6. Junio 2003. p. 87.
67 Segn estimaciones del sector, cada ao 90% de las empresas se ve afectada por violaciones de seguridad, que
tiene un costo aproximado de US$ 17.000 mil millones. Ibid. p. 37.

89
Los ataques externos, ya mencionados, tiene su inicio en las redes de rea amplia. Si la

red de la empresa est conectada a Internet, cualquier persona est en capacidad de

entrar a la red de la empresa, irrumpir la seguridad del sistema y causar daos. La

seguridad en la red es uno de los elementos ms importantes en la seguridad de los

sistemas operacionales de la empresa. La potencialidad de este tipo de ataques es

evidente si se tiene en cuenta que cualquier computador conectado a la red externa

Internet y que se encuentre interconectado con la red interna de la empresa, puede

infectar o transportar el ataque a travs de todos los computadores que se encuentren

conetactados por la red interna.

La seguridad en la red busca mantener el equilibrio entre Internet y la red de la

empresa. El equilibrio se conseguir si se tiene un sistema de seguridad que dificulte la

irrupcin de las formas de ataque en el sistema operativo. Si la seguridad de red, que

posee la empresa, no garantiza la invulnerabilidad, mi conexin a Internet ser

insegura, poniendo en riesgo la red de la empresa y en general los sistemas

operacionales.

90
Lo primero que hay que definir en un sistema de seguridad de redes es cuales son las

necesidades de seguridad que requiero, dependiendo del tipo de negocio que

desarrolle.

Son tres, entonces, los elementos claves en los cuales debe centrarse la seguridad de

la empresa en sus actividades en lnea68:

1. Informacin

2. Actividad

3. Acceso

a) La informacin es definitivamente uno de los aspectos ms relevantes y de mayor

importancia en el mundo, tanto a nivel privado como pblico. Hoy en da la gran

mayora, por no decir que la totalidad de las empresas manejan sus negocios a travs

de sistemas de computacin. Perder la informacin o perder control sobre la

informacin y, que est sea conocida por la competencia, genera prdidas

inimaginables.

91
Deben generarse mecanismos que protejan la informacin, para lo cual, es

indispensable hacer uso de los dispositivos de seguridad con los que cuente la empresa

y, reducir el flujo innecesario de informacin as como las fugas y prdida de la misma.

Para llevar a buen trmino estas intenciones debe capacitarse a los empleados en el

buen uso de los sistemas.

b) Dependiendo del tipo de actividad que se desarrolle, se generan diversos niveles de

riesgo. La primera fase para prevenir los riegos consiste en identificarlos. Una vez

identificados deben implementarse las medidas necesarias de prevencin que impidan

que el riesgo se ejecute. As, la actividad de la empresa consistir no slo en el

desarrollo de su objeto social sino tambin en la puesta en marcha de actividades de

prevencin que permitan el normal y adecuado desarrollo del objeto social. De esta

suerte, el acceso a Internet en una empresa, debe estar regulado y controlado por

Departamentos, luego por actividades de trabajo, y finalmente por cargos. El sistema

operativo de acceso a Internet debe poseer niveles de acceso a la red, as como, contar

con contraseas personales de acceso.

68 FONT, Op Cit. p 23 y 24.

92
c) El acceso se refiere tanto a la persona que accede al network, que quien acceda es

quien dice ser. En conclusin, el acceso consiste en que slo tengan acceso a la

informacin quien est autorizado, y que al acceder slo se realice la actividad que le

es permitida. Controlar este aspecto, genera confianza y prestigio. Se crea un

sentimiento interno, de control y vigilancia, lo que es altamente positivo como

mecanismo de prevencin de ataques internos.

Los ataques internos, son en su mayora iniciados por empleados descontentos que

conocen los sistemas operativos de la empresa y la vulnerabilidad de los mismos, como

se menciono anteriormente. Pueden valerse de cualquier forma de ataque. Utilizan la

red interna para la expansin del ataque y, su deteccin es muy complicada. Para

contrarrestar este tipo de ataques es muy importante que se tenga control y acceso a

cada equipo de la empresa, se definan perfiles y, se creen niveles de acceso y

restricciones. Los elementos mencionados anteriormente - informacin, actividad y

acceso -, sirven para detectar y prevenir los ataques internos. Sin embargo, la

prevencin en este tipo de ataques debe centrarse particularmente en los niveles de

acceso, con permanentes chequeos sobre las actividades del usuario.

Los empresarios, y en general los internautas, deben adoptar medidas de seguridad que reduzcan
los riesgos y hagan de su sistema operativo un sistema confiable.

93
La siguiente grfica ilustra la vulnerabilidad y la importancia de la seguridad en la

empresa:

INTERNET RED DE LA EMPRESA

SEGURIDAD EN LA RED

Grafica 6. Diseo Robert C. Elsenpeter y Toby J. Velte

La red interna de la empresa se mantendr en equilibrio si la seguridad de la red

externa es estable y se mantiene actualizada. La gran mayora de los daos de red

interna provienen de infiltraciones que penetran a travs de la red externa, por esta

razn, la seguridad debe estar enfocada en filtros que analicen la informacin que

proviene de la red externa, haciendo varios chequeos sobre su contenido. Para tal fin,

existen varios mecanismos de seguridad, que deben implementarse de acuerdo con los

requerimientos de la empresa.

6.3.2 Mecanismos de Seguridad

94
La seguridad que implemente la empresa, debe proteger todos los flancos, con un

especial nfasis en los focos vulnerables. Existen diversos mecanismos de seguridad,

su implementacin, implica un estudio de riesgos y su aplicacin debe hacerse de

acuerdo con los requerimientos que arroje el estudio. Lo importante es detectar las

debilidades del sistema, de lo contrario, se estaran situando los mecanismos de

seguridad en un lugares no requeridos.

Seguridad de Trnsito y de Usuario:

Una vez se hayan definido los riesgos, el paso a seguir, es disponer los recursos para

implementar la seguridad requerida. Las opciones son dos: la seguridad de trnsito y la

seguridad de usuario. La seguridad en el host y la seguridad en el network son

ejemplos concretos de seguridad de trnsito y de seguridad de usuario69.

a) Seguridad de trnsito: La seguridad de trnsito regula el flujo de trnsito en la red.

La funcin ms importante de este nivel de seguridad, es detener a los atacantes

externos para que no penetren la red interna. La seguridad de trnsito cumple la funcin

69 ELSENPETER, Robert. VELTE, Joby. Op. cit., p. 354 a 371.

95
de alarma, avisa a los operadores y tcnicos de la red, cuando hay algo fuera de lo

comn a nivel de aplicaciones. Este tipo de seguridad, se ubica en el fondo de la red, es

decir, son sistemas operativos de software o hardware que han sido instalados como

seguridad de la red. Ejemplos de estos seran los Proxy Server, los Pocket Filtering o

los cortafuegos o firewalls.

b) Seguridad de usuario: Este tipo de seguridad utiliza un software que obliga al usuario

a identificarse para poder acceder a los diferentes programas operativos del

computador. El ejemplo ms conocido de este tipo de seguridad son las claves.

La seguridad de usuario brinda la posibilidad de establecer niveles de acceso, limitando

el campo operativo del usuario, a travs de claves. Este tipo de seguridad es conocida

como sistema de autenticacin, autorizacin y contabilidad.

La autenticacin permite identificar al usuario. La autorizacin es la lista de permisos y

de accesos a que tiene derecho ese usuario que ha sido previamente identificado. La

contabilidad es la parte que lleva los registros de la seguridad del usuario. Se sigue los

pasos del usuario durante su estada en la red lo que le permite al empleador saber en

que gasta el tiempo su trabajador.

96
Una vez determinada la clase de seguridad que se requiere implementar, debe

escogerse el dispositivo. En trminos cotidianos es decidir si en las puertas de acceso

se van a ubicar perros, alarmas de fuego o detector de metales. En sistemas

computacionales, existen diversos tipos o mecanismos de seguridad que permiten que

el sistema sea seguro, como en la seguridad fsica de un edificio, cada uno de los

dispositivos cumple una funcin determinada.

6.3.3 Tipos de seguridad

Existen varios mecanismos de seguridad entre los cuales destacamos los siguientes:

A nivel de comercio electrnico, es decir, seguridad implementada para llevar a cabo

comercio en red, los mecanismos desarrollados y de mayor importancia son:

97
 a) Secure Electronic Transactions: Una de las formas ms utilizadas hoy en da en

cuanto a la seguridad se refiere, es el Protocolo SET70 - Secure Electronic

Transactions -. SET fue fomentado por Visa y Masterd Card. Proporciona

seguridad en las comunicaciones a travs de Internet entre el emisor de una

tarjeta de crdito, su titular, el banco e institucin financiera del comerciante.

Las entidades financieras emisoras de tarjetas de crdito, han formado un comunidad

para generar comercio electrnico seguro. SET puede entenderse como un conjunto de

especificaciones que proporcionan una forma segura de realizar transacciones

electrnicas. SET hace uso de todos los mecanismos de seguridad disponibles para

asegurar las transacciones. En la actualidad, la mayora de las entidades financieras

internacionales estn implementando el protocolo SET para garantizar la seguridad en

el sistema. Sin embargo en nuestro pas las instituciones financieras estn utilizando el

protocolo SSL.

70 FONT, Op Cit., p. 158.

98
b) Secure Sockets Layer (SSL)71: El estndar desarrollado por Netscape que utiliza

tecnologa de encriptacin para las comunicaciones entre los navegadores y los

servidores.

El SET a diferencia del SSL, adems de asegurar la integridad de las comunicaciones

identifica a las partes contratantes, lo cual evita el repudio de la transaccin. La

desventaja del SET es que se requiere que tanto vendedor como comprador estn

registrados y tengan instalado el sistema.

Indiscutiblemente, el protocolo SET es el sistema de seguridad adecuado para las

instituciones financieras, teniendo en cuenta que el servicio que prestan es pblico72,

71 ORFEI, Stephen W. El Comercio Electrnico. Citado por AZUERO, RODRGUEZ, Sergio, Contratos Bancarios.
Quinta Edicin. Bogot 2002. Editorial: Legis S.A. p. 245. El SLL es poco costoso, est disponible en la mayora de
los browser net tipo Explorer que existen en el mercado, por lo cual es fcil de conseguir. Los mensajes van
infiltrados, lo cual es mucho mejor que hacer negocio sin proteccin alguna, pero SLL no autentica la identificacin de
las partes. Cualquier tarjetahabiente puede ser suplantado desde cualquier terminal, porque SSL encripta el canal
entre el cliente y el comercio, pero sin verificar si es un tarjetahabiente, o ms bien un delincuente. Por ello, el SLL no
est respaldado por los bancos, ni est garantizando la transaccin. Si algo no funciona, es bsicamente problema
del comerciante. Por su parte SET utiliza una encriptacin de fortaleza industrial, identificacin digital, con claves
pblicas y privadas de infiltracin hechas con algoritmos basados en frmulas matemticas; adems valida toda la
transaccin desde el punto de vista del tarjetahabiente, el comerciante y la entidad bancaria. Cualquier comerciante
puede entregarle las llaves pblicas a su cliente, quien remitir datos encriptados, de manera que el mensaje slo
podr leerse utilizando las claves privadas, equivalentes a una identificacin digital, a una firma digital
personalizada.

99
pero como se mencion, el protocolo utilizado, por lo menos en nuestro pas es el SSL.

Ahora bien, cualquier perjuicio o fraude que se ocasione como consecuencia del hurto

de las claves secretas del usuario: clave web y clave privada, es atribuida al

tarjetahabiente, con el argumento que stas son de conocimiento exclusivo del titular

del producto. Argumento que desconoce la inseguridad del protocolo SSL, y la falta de

autenticidad de la informacin, es decir, abre las puertas para el repudio de la

operacin.

Actualmente, la responsabilidad de este tipo de eventualidades no se ha definido en

nuestro pas, y ser misin de las Defensoras del Cliente Financiero73, de la

Superintendencia Bancaria de Colombia o del Legislativo, imponer las condiciones

mnimas de seguridad con que deben contar este tipo de entidades, ms an si

manejan recursos de terceros.

72 Pude definirse el servicio pblico como: [...] toda actividad organizada que tiende a satisfacer necesidades de
inters general en forma regular y continua, de acuerdo con un rgimen jurdico especial, bien que se realice por el
Estado directamente o por personas privadas. YOUNES MORENO, Diego. Curso de Derecho Administrativo.
Bogot: Ed. Temis. 1997.
73 Las Defensoras del Cliente se establecieron por virtud de la Ley 795 de 2003 y su reglamentacin est dada por el
Decreto 690 de 2003.

100
A un nivel no comercial, con el fin de asegurar las computadoras y sus sistemas

operativos, a continuacin se enuncian las herramientas de seguridad ms

significativas.

c) Seguridad en el Host y en el Network:

Existen dos modelos de proteccin que pueden utilizarse separadamente o

conjuntamente:

1. Seguridad en el host

2. Seguridad en el network

1. La seguridad en el host es la forma de seguridad ms comn, se aplica

individualmente a cada ordenador y tiene gran acogida en empresas pequeas.

Este sistema utiliza tres programas de seguridad:

101
 - Firewalls74 individuales: Controlan la remisin y recepcin de informacin.

- Sandbox: Es un rea segura no conectada al network cuya funcin es probar

los programas antes de su incorporacin.

- Scanning: Este programa se encarga de comprobar que los programas y los

discos duros no tengan virus.

2. Este sistema controla desde el network el acceso a los host, para lo cual utiliza

diversos mecanismos entre los cuales pueden mencionarse:

- Firewalls75: A travs de programas de software y hardware76 se crea un

sistema de puertas que controlan la entrada y salida al network.

74 Superintendencia de Industria y Comercio. Resolucin 26930 de Octubre 26 de 2000. Estndares para

Autorizacin y Funcionamiento de Entidades de Certificacin y sus Autoridades. Artculo 22: Corta fuegos (Firewall).
La entidad de certificacin debe aislar los servidores de la red interna y externa mediante la instalacin de un corta
fuegos o firewall, en el cual deben ser configuradas las polticas de acceso y alertas pertinentes. La red del centro de
cmputo debe estar ubicada en segmentos de red fsicos independientes de la red interna del sistema, garantizando
que el corta fuegos sea el nico elemento que permita el acceso lgico a los sistemas de certificacin.

La Resolucin 26930 en el Artculo 22 impone la obligacin de usar cortafuegos sin especificar cual de ellos debe
implementarse.

75 Hay cuatro tipos diferentes de firewalls:

1. Guardafuego filtro de paquetes: Examina el trnsito de la red en la capa de paquetes. Cuando se enva un
paquete por Internet, este es examinado detenidamente, y se le permite el paso o se rechaza de acuerdo

102
 - Passwords: Consiste en un sistema de claves de identificacin que slo son

conocidas por las personas autorizadas para ello, generando seguridad al

acceso de programas confidenciales y al network en general.

- Encriptacin: Es un sistema que sirve para convertir un texto legible en

indescifrable a travs de la criptografa.

- Proxy Server: Es un sistema de bloqueo que controla la entrada de los virus a

travs de hacer las veces de intermediario entre las peticiones que se realicen

desde el network hacia Internet. Una vez reconocida la peticin y si el programa

acepta la peticin se establece la transmisin y se hace efectiva la peticin.

- Packet Filtering: Este es un sistema de filtros que analiza los packets77.

con el tipo de configuracin (reglas) con que se ha programado el guardafuegos. Estas calificaciones
programadas de antemano se conocen con el nombre de rdenes de permiso o negacin.
2. Guardafuegos para el nivel de circuitos: Identifica cada paquete como una solicitud de conexin o como un
paquete que pertenece a una conexin ya establecida. La seguridad se centra en la solicitud de conexin. Si
la conexin concuerda con el criterio vlido para conectar, el guardafuegos permite que pase el paquete.
3. Guardafuegos de la capa de aplicacin: Valoran los paquetes en la capa de aplicaciones. Rastrea todo la
informacin acerca de la conexin y tiene a diferencia de los dos guardafuegos anteriores la capacidad de
manipular los datos que contiene el paquete, y de esta forma otorgar o no el permiso de entrada a la red o
network.
4. Filtros dinmicos de paquetes: El administrador de la red en este guardafuegos tiene la facultad de alterar
las reglas de entrada y salida de paquetes, aceptando y rechazando en cualquier momento.
ELSENPETER, VELTE. Op Cit. p 363 a 366.
76 Existe una discusin sobre los guardafuegos, ya que hay personas que argumentan que estos son tanto software
como hardware. En la prctica lo que sucede es que todos los guardafuegos son software pero que para poder
operar necesitan hardware adicionales.
77 Packets: Es la unidad de comunicacin fundamental de comunicacin en Internet.

103
La siguiente grfica muestra los mecanismos de seguridad ms utilizados en la

actualidad y que se prev sern utilizados en el futuro.

MECANISMOS DE SEGURIDADA MS UTILIZADOS

ACTUALIDAD FUTURO

Otros 2% Tokens 2%

Tarjetas Inteligentes 4% Otros 20%

Tokens 8% Contraseas 26%

Contraseas 86% Certificados 52%

Tabla 3. Fuente: Forrester Research. Citado por Andres Font78

Como puede observarse existen diferentes mecanismos de seguridad que pueden y

deben utilizarse para crear entornos seguros. La implementacin de uno u otro depende

de las necesidades de seguridad y la potencialidad del riesgo asegurable. En el

mercado e incluso a travs de la red pueden adquirirse estos mecanismos de

seguridad.

6.4 Cmo acceder a una pgina web segura?

78 FONT, Andrs. Op Cit. Pg 30.

104
En la prctica si se desea realizar una compra o intercambiar mensajes de datos en

general, debe asegurarse de que est conectado con un servidor seguro.

Es importante tener en cuenta que el comercio electrnico seguro a travs de Internet

solamente se admite con los navegadores Netscape Navigator (versin 4.06 o

superiores) o Internet Explorer (versin 4 y posteriores).

Para saber cuando se est frente a un servidor seguro debe observar los siguientes

comentarios:

Usted se puede conectar a la red a travs de Interner Explorer o de Netscape, si lo

hace con Internet Explorer, una vez escriba la direccin del sitio al que desea ingresar,

en la pantalla encontrar la opcin de entrada, y al hacer clic sobre sta aparecer un

cuadro alerta de seguridad (ver grfica 7).

105
 Grfica 7. Fuente: Sistema Operativo Microsoft Internet Explorer.

Al hacer un clic sobre la celda Ms informacin aparecer un nuevo cuadro (ver

grfica 8) el cual indica que se est ingresando a un sitio seguro.

106
 Grfica 8. Fuente: Sistema Operativo Microsoft Internet Explorer.

Si hace clic sobre la celda Aceptar (grfica 7) puede observar que la direccin de la

pgina a la que entr tiene una s al final del http79 y en el monitor de su computador

en la parte inferior izquierda de la barra de controles aparecer un candado. Al hacer

clic sobre el candado, Internet Explorer muestra un nuevo cuadro con las propiedades

del certificado digital. Este cuadro (grfica 9) nos muestra por un lado el Campo,

donde aparecen todas las especificaciones de la forma en como se realiz el certificado

(tipo de encriptacin, tipo de hash, intercambio de claves, emisor, fecha de creacin,

fecha de caducidad, etc.) y por otro lado nos da toda la informacin sobre la autoridad

emisora del certificado.

Este tipo de pginas, que cuentan con certificados de seguridad, garantizan al

internauta que est ingresando a una pgina protegida, cuyo contenido no puede ser

alterado ni modificado y, que la pgina web no ha sido suplantada. En este orden de

79 El Internet and Hipertext Transport Protocol (http) fue diseado para que los usuarios pudieran intercambiar
informacin, lo cual permite que la informacin sea fcilmente accesible y transportable de un sitio a otro, funcin
indispensable para el xito del Internet, sin embargo, genera puntos de debilidad e inseguridad en la red.

107
ideas, este tipo de seguridad que brindan los sistemas operativos de Microsoft o

Netscape permiten al usuario tener la certeza que est navegando en una pgina

protegida. La implicacin de tipo jurdico es muy importante; a nivel comercial, si se

lleva a cabo algn tipo de contrato va on line entre el comerciante y el usuario, ste es

perfectamente vlido y, generalmente las condiciones del mismo estn contenidas en

la pgina web y deben ser aceptadas por el usuario comprador. Se tiene la plena

certeza que las condiciones acordadas deben cumplirse y, en caso de incumplimiento

podr demandarse el contrato por incumplimiento, lo que evidencia inconvenientes

logsticos, que deben encontrar refugio en acuerdos o tratados internacionales. Por otro

lado, si se generan perjuicios, por ejemplo, por que la pgina aparentemente se

encontraba protegida por un certificado emitido por autoridad competente, pero la

realidad era otra y, se suministraron datos bancarios y personales generndose

perjuicios, se evidencia una responsabilidad civil de carcter extracontractual en cabeza

del sistema operativo Microsoft o Netscape, ya que la seguridad del sistema fue

vulnerada, riesgo que no tiene porqu asumir el usuario. Ahora bien, interponer una

demanda por responsabilidad civil extracontractual contra una sociedad cuyo domicilio

se encuentre por fuera del territorio nacional, evidencia inconvenientes, sin embargo,

existen oficinas de abogados que adelantan este tipo de procesos en el exterior. Sin

embargo, la solucin a estos inconvenientes no est al alcance de un usuario comn y

108
corriente, ya que los costos de intermediacin y representacin para demandar son

altos. Todava se requieren mecanismos, como se mencion, pactos o tratados

internacionales, que hagan ms fcil el manejo de los inconvenientes en la red.

Grfica 9. Fuente: Sistema Operativo Microsoft Internet Explorer.

Si utiliza el navegador Netscape, el proceso es similar, y lo importante es cerciorarse

de que la pantalla le muestre la informacin de seguridad y verificarla.

6.5 Transaccin segura

109
Adems de acceder a un sitio seguro hay que asegurarse que se garantice la

confidencialidad, integridad, autenticacin y no repudio del mensaje de datos:

1. Confidencialidad: para mantener la informacin privada.

2. Integridad: para probar que la informacin no ha sido manipulada.

3. Autenticacin: para probar la identidad de un individuo o aplicacin.

4. No repudio: para asegurar que no se pueda negar el origen de la informacin PKI

combina estas cuatro funciones de seguridad.

Ahora bien, qu debe tenerse en cuenta para realizar una transaccin segura?, al

respecto el Dr. Guillermo Snchez Trujillo afirma que deben verificarse los siguientes

elementos80:

Garantizar, mediante el cifrado, la confidencialidad de las transacciones

electrnicas, de manera que los datos contenidos en dichas transacciones slo

sean accesibles a las partes que intervinieron en la misma.

80 TRUJILLO, Snchez Gullermo. Ob cit Pg 119.

110
 Garantizar mediante el uso de firmas digitales, la integridad de las transacciones,

de tal manera que su contenido no pueda ser alterado por terceros ajenos, sin

ser descubiertos.

Garantizar, mediante la certificacin, la autenticidad tanto del titular del medio de

pago, como del proveedor. La certificacin por parte de un tercero (notario

electrnico) garantiza adems la identidad de las partes que intervienen en la

transaccin.

Otro mecanismo de seguridad, que se estudiar en detalle, es la llamada infraestructura

de clave pblica (PKI, Public Key Infraesctructure), que utiliza la encriptacin como

herramienta de seguridad para hacer indescifrables mensajes de datos y hacer del

comercio electrnico un campo de transacciones tan seguros como lo fueron alguna

vez las interacciones cara a cara.

Puede afirmarse que la seguridad posee varias armas para contrarrestar los ataques, la

primera que se analiz fue la seguridad tcnica, la segunda arma es la seguridad

jurdica, la cual a su vez tiene dos tpicos: comercial y penal. A continuacin se

estudiar l segundo de ellos y posteriormente se analizar la seguridad jurdica

comercial.

111
6.6 Seguridad Jurdica de Tipo Penal: Delito informtico

Resulta procedente manifestar que los ataques que afectan el comercio electrnico

pueden ser contrarrestados desde dos pticas diferentes: jurdica y tcnica. La primera

tiene dos mbitos, el comercial y el penal, el primero es el que refiere a la Entidades de

Certificacin, Certificados Digitales y Firmas Digitales - Ley 527 de 1999, Decreto 1747

de 2000 y Resolucin 26930 de 2000; el segundo, se precisa de la siguiente manera,

con el propsito de tener una visin global sobre el tema. Puede decirse que el uso

indebido del software, la apropiacin indebida de datos, las interferencias de datos

ajenos, la manipulacin indebida de datos, la introduccin de datos falsos, entre otras,

son conductas que se enmarcan dentro del tipo penal del Delito Informtico. ste

puede definirse de la siguiente manera:

[...] todas aquellas acciones u omisiones tpicas - antijurdicas y dolosas - cometidos

contra personas naturales o jurdicas, realizadas mediante el uso de sistemas

electrnicos de transmisin de informacin y, destinadas a producir un perjuicio en la

vctima a travs de atentados a la sana tcnica informtica, lo cual, generalmente

producir de manera colateral lesiones a distintos valores jurdicos, reportndose,

112
 muchas veces, un beneficio ilcito en el agente, sea o no de carcter patrimonial, actu

con o sin nimo de lucro. (Claudio Libano Manssur)81.

Para Rafael Fernndez Calvo el delito informtico es [...] la realizacin de una accin

que reuniendo las caractersticas que delimitan el concepto de delito, se ha llevado a

cabo, utilizando un elemento informtico o telemtico contra los derechos y libertades

de los ciudadanos82.

Nidia Callegari lo define como [...] aquel que se da con la ayuda de la informtica o de

tcnicas anexas83.

Existe una diferencia entre delito computacional y delito informtico, el primero consiste

en la realizacin del tipo punible mediante el uso de medios computacionales, es decir,

la utilizacin de herramientas tcnicas para la comisin del delito; el segundo consiste

en la ejecucin de la conducta tpica que por su particularidad consiste en la afectacin

o indebida utilizacin de medios electrnicos84.

81 Citado por DAZ GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer. 2002. p. 155.
82 Citado por CUBILLOS y RINCN. Op. cit. p. 331.
83 Ibid., p. 331.

113
Entre los delitos informticos ms destacados pueden mencionarse los siguientes85:

Acceso no Autorizado: Consiste en el uso ilegtimo de claves o contraseas de

acceso.

Alteracin, modificacin o destruccin de datos: Consiste en el dao que se

ocasiona a la red mediante la utilizacin de alguna de las formas de ataque,

alterando, modificando o destruyendo informacin o sistemas operativos.

Infraccin de los derechos de autor: Consiste en la reproduccin, cesin,

distribucin o utilizacin en general sin la debida autorizacin expresa y escrita

del titular de los derechos patrimoniales e intelectuales de algn escrito protegido

por los derechos de autor.

Estafas electrnicas: Consiste en las maquinaciones fraudulentas que llevan al

engao cuando se realiza una transaccin electrnica como la compra venta on

line.

Transferencia de fondos: Consiste en el engao que se produce en un sistema

para la transferencia de fondos a diferentes cuentas.

84 Ibid., p. 332.
85 Ibid., p 336 a 338.

114
Entre los delitos computacionales pueden mencionarse los siguientes:

Espionaje: Puede ser de dos clases:

- Espionaje gubernamental: Consiste en el acceso no autorizado a bases de datos

gubernamentales, por personas, organizaciones o gobiernos extranjeros, con el fin

de interceptar y acceder a informacin con carcter de reserva.

- Espionaje industrial: El objetivo es acceder e interceptar informacin con carcter

de reserva pero entre personas de derecho privado.

Terrorismo: Consiste en la utilizacin de la red con el fin de llevar a cabo actos

que alteren el orden pblico y la convivencia pacfica.

Otro tipo de delitos: Consiste en la utilizacin de la red con el fin de planear, y

llevar a cabo conductas tpicas.

En nuestra legislacin el Delito Informtico est consagrado en el Artculo 195 del

Cdigo Penal, el cual establece como pena una sancin pecuniaria para el que

115
abusivamente se introduzca en un sistema informtico protegido con mecanismos de

seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo.

La introduccin de este tipo penal, en la legislacin colombiana, es bastante limitada, en

la medida que es el nico tipo que penaliza aquellas conductas que atentan contra el

comercio electrnico, las transacciones electrnicas y la transmisin de mensajes de

datos.

Es muy importante que se plante la inclusin en el cdigo penal de normas con

carcter autnomo diferenciadas entre s que condenen las diferentes modalidades de

delito informtico. Este tipo delitos deben enmarcarse dentro de los Ttulos contra la Fe

Pblica, el Patrimonio Econmico, la Seguridad Estatal etc., segn el bien jurdico

tutelado que se vea vulnerado.

As mismo, la pena debe ser directamente proporcional al dao causado, y debe

contemplar la pena privativa de la libertad. A raz de los hechos ocurridos el 11 de

116
Septiembre de 2001, se implementaron una serie de normas que afectan a la

comunidad internacional. Como lo menciona claramente la Dra. Guerrero86:

Con el consenso unnime del Senado de los Estados unidos el Presidente Bush firm

la Patriot Act - Provide Appropriate Tools Required to Intercept and Obstruct Terrorism

la cual con efectos mundiales marca un hito en la lucha contra la criminalidad

globalizada. Se trata de una legislacin de emergencia, cuidadosamente redactada y

considerada en palabras del Presidente Bush, que entrar en vigor hasta el 31 de

diciembre de 2005. En general, el gobierno de estados Unidos despus de los hechos

ha endurecido totalmente su arsenal normativo con importantes consecuencias para

ese pas y el resto de la humanidad.

Precisa terminar este tema, con la nocin expresada por la Dra. Guerreo de Global

crime.

La concepcin de global crime, parte de la correlacin existente entre globalizacin y

criminalidad. As, el acercamiento de los mercados ha implicado el acercamiento de la

delincuencia, razn por la cual las medidas a adoptar deben gestarse en el mbito del

derecho internacional. Puede decirse, entonces, que el global crime, es aquel que es

86 GUERRERO, Mara Fernanda. Derecho de Internet & Telecomunicaciones. Universidad de los Andes. 2003. P. 74

117
ejecutado en un mbito que compete al derecho internacional y que afecta la seguridad

de los pases en general.

[...] el proceso de globalizacin, pese a sus detractores, debe continuar su curso en

circunstancias especialmente tranquilas. Esa tranquilidad est determinada por una

actitud claramente consciente y decidida de orientar la accin de contraste mediante

procedimientos acordes con la dimensin del fenmeno que se busca enfrentar. El hilo

conductor de cualquier argumento dirigido a es propsito est en entender que la

criminalidad global se contrarresta nicamente mediante una respuesta igualmente

global87.

Ciertamente, la criminalidad ejercida sobre medios telemticos, es en definitiva un

problema global, que requiere de una accin global. As como se incorpor la Ley

modelo sobre comercio electrnico elaborada por la CNUDMI, deber incorporarse una

reglamentacin de aplicacin global que permita integrar conceptos penales y juzgar a

los delincuentes en tribunales internacionales si es del caso.

y 75.
87 GUERRERO, Mara Fernanda. Op. cit., p. 89.

118
La seguridad, entonces, debe abarcar dos tpicos: la seguridad tcnica, que es

proporcionada por las Entidades de Certificacin, las firmas digitales, la criptografa, los

protocolos de seguridad, los firewells etc., y, la seguridad jurdica comercial y penal;

tanto la primera como la segunda, especialmente la primera, tiene un nuestra

legislacin un marco normativo bsico, que debe complementarse y desarrollarse de

acuerdo con las necesidades del mercado; el segundo, que es muy pobre

jurdicamente, debe partir de la nocin del global crime, y promover acuerdos

internacionales que permitan un consenso global para hacer frente a este nuevo delito.

119
 3. LOS MENSAJES DE DATOS, UN EFECTIVO MEDIO DE PRUEBA

En toda actuacin administrativa o judicial,

no se negar eficacia validez o fuerza
obligatoria y probatoria a todo tipo de
informacin en forma de un mensaje datos
[...] (Ley 527 de 1999)

La Ley 527 de 1999 incorpor el Artculo Segundo (2) de la Resolucin 51/162 de la

Asamblea General donde se define el mensaje de datos de la siguiente manera:

La informacin generada, enviada, recibida, almacenada o comunicada por medios electrnicos,

pticos o similares, como pudieran ser, entre otros, el Intercambio Electrnico de Datos (EDI),

Internet, el correo electrnico, el telegrama, el tlex o el telefax.

Ahora bien, las nuevas tecnologas de la comunicacin, a pesar de sus grandes y

evidentes ventajas, no tenan el aval como medio de prueba, lo cual haca que su uso

en negocios y contratos fuera muy limitado. Como solucin, el legislador se dio a la

tarea de regular y dotar de fuerza jurdica y probatoria este tipo de medios. Fue as

como se gest la teora del equivalente funcional, que no es otra cosa, que dotar al

documento electrnico de las mismas caractersticas que posee el documento fsico.

120
La Ley Modelo de la Comisin de las Naciones Unidas para el Derecho Mercantil

Internacional - CNUDMI88 -, dirigi sus esfuerzos en fundamentar los equivalentes

funcionales89. Al respecto, resulta importante conocer el razonamiento de la Asamblea

General de la CNUDMI, en la elaboracin de la Ley Modelo y los lineamientos que

plasm en la Gua para la Incorporacin de la Ley en los ordenamientos Internos:

Una de las caractersticas principales de la nueva Ley Modelo es la de aumentar la

seguridad del funcionamiento de los criterios de flexibilidad que se establecen en el

artculo 7 de la Ley Modelo de la CNUDMI sobre Comercio Electrnico para el

reconocimiento de una firma electrnica como equivalente funcional a una firma

manuscrita

El artculo 7 se centra en las dos funciones bsicas de la firma: la identificacin del

autor y la confirmacin de que el autor aprueba el contenido del documento. En el

apartado a) del prrafo 1) se enuncia el principio de que, en las comunicaciones

88 La Comisin de las Naciones Unidas para el Derecho Mercantil Internacional, inspirada en la conviccin de que al
dotarse - al mensaje de datos - de fundamentacin y respaldo jurdico, se estimulara su uso al hacerlos confiables y
seguros, generando expansin del comercio internacional, dadas las enormes ventajas comparativas de su rapidez,
incluy el valor probatorio de estos medios como herramienta en las relaciones de ndole comercial.

89 La Ley Modelo sigue un nuevo criterio, denominado a veces "criterio del equivalente funcional", basado en un
anlisis de los objetivos y funciones del requisito tradicional de la presentacin de un escrito consignado sobre papel
con miras a determinar la manera de satisfacer sus objetivos y funciones con tcnicas del llamado comercio

121
 electrnicas, esas dos funciones jurdicas bsicas de la firma se cumplen al utilizarse

un mtodo que identifique al iniciador de un mensaje de datos y confirme que el

iniciadora prueba la informacin en l consignada.

El apartado b) del prrafo 1) establece un criterio flexible respecto del grado de

seguridad que se ha de alcanzar con la utilizacin del mtodo de identificacin

mencionado en el apartado a). El mtodo seleccionado conforme al apartado a) del

prrafo 1) deber ser tan fiable como sea apropiado para los fines para los que se

consign o comunic el mensaje de datos, a la luz de las circunstancias del caso, as

como del acuerdo entre el iniciador y el destinatario del mensaje.

Con respecto a la bsqueda de soluciones, que hicieran posible que un documento

electrnico pueda servir como medio de prueba el Dr. Angarita90manifest lo siguiente:

Para solucionar esas dificultades el legislador colombiano, reconociendo los efectos

legales que se le han dado en muchos casos a conceptos como escrito, firma y original

y las consecuencias jurdicas de su omisin en una actividad en la que legalmente

son imprescindibles, estableci un criterio a fin de adecuar los mismos a un contexto

basado en el empleo de la informtica. Este principio ha sido denominado el

equivalente funcional, el cual se basa en un anlisis de los objetivos y funciones del

electrnico [...] Gua para la Incorporacin de la Ley Modelo de la CNUDMI para las Firmas Electrnicas (2001) al
derecho interno. Vase: http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf
90 ANGARITA, Remolina Nelson. Internet Comercio Electrnico & Telecomunicaciones. Desmaterializacin,
Documento y Centrales de Registro. Bogot: Editorial Legis S.A. 2002. p. 13.

122
 requisito tradicional con miras a determinar la manera de satisfacer sus objetivos y

funciones en un contexto tecnolgico91.

La exposicin de motivos del proyecto de Ley 227 del 21 de abril de 1998 de la

Cmara de Representantes refiri que la Legislacin Colombiana se acogi el principio

del equivalente funcional, en los siguiente trminos:

[...] Se adopt el criterio flexible de equivalente funcional que tuviera en cuenta los

requisitos de forma, fiabilidad, inalterabilidad y rastreabilidad que son aplicables a la

documentacin consignada sobre papel, ya que los mensajes de datos por su

naturaleza, no equivalen en estricto sentido a un documento consignado en papel.

Para lograr este objetivo - mensaje de datos como medio de prueba -, resulta necesario

conocer el significado y caractersticas del documento, as como sus funciones. El

mensaje de datos, debe cumplir, bajo este supuesto, en el mismo sentido - propsito y

funcin - las caractersticas del documento92 fsico.

91 Ibid., p. 13.
92 El documento segn el diccionario de la Real Academia Espaola es entre otras definiciones El escrito en que
constan datos fidedignos o susceptibles de ser empleados como tales para probar algo.

123
En este orden de ideas, es importante mencionar, como seala Gustavo Rodrguez,

cuales son las caractersticas del documento fsico, que pueden sintetizarse de la

siguiente manera:

I. Legible por todos;

II. Inalterabilidad a lo largo del tiempo;
III. Permitir su reproduccin para que cada una de las partes tuviera un ejemplar
del mismo;
IV. Autenticacin de los datos consignados mediante una firma;
V. Presentacin formal y aceptable de un escrito ante las autoridades pblicas y
los Tribunales.

El Artculo 251 del Cdigo de Procedimiento Civil define la nocin de documento en los

siguientes trminos:

Son documentos los escritos impresos, planos, dibujos, cuadros, fotografas, cintas

magneto grficas, discos, grabaciones magnetofnicas, radiografas, talones,

contraseas, cupones, etiquetas, sellos y, en general, todo objeto mueble que tenga

carcter representativo o declarativo, y las inscripciones en lpidas, monumentos,

edificios o similares.

124
Carnelutti93 refirindose a los medios de prueba explica:

[...] a diferencia del testimonio, el documento no es un acto sino una cosa [...]. En el

testimonio, el acto es el propio hecho representativo y, por tanto, la representacin es el

efecto inmediato del mismo, mientras que en el documento el acto no es, en manera

alguna el hecho representativo, sino que crea un objeto capaz de representar [...]. El

documento no solo es un cosa, sino una cosa representativa, o sea capaz de

representar un hecho.

En nuestra legislacin, se distingui entre documentos privados y pblicos. El artculo

251 del Cdigo de Procedimiento Civil establece:

Los documentos son pblicos o privados. Documento pblico es el otorgado por

funcionario pblico en ejercicio de su cargo o con su intervencin. Cuando consiste en

un escrito autorizado o suscrito por el respectivo funcionario, es un instrumento pblico;

cuando es otorgado por un Notario o quien haga sus veces y ha sido incorporado en el

respectivo protocolo, se denomina escritura pblica. Documento privado es el que no

rene los requisitos para ser documento pblico.

93 CARNELUTTI, Francisco. La Prueba Civil. Buenos Aires, 1947. p. 40. Citado por RODRGUEZ, Gustavo
Humberto. Derecho Probatorio Colombiano. Bogot: Ediciones de Cultura latinoamericana Ltda. EDICULCO: 1979. p

125
Ahora bien, Qu diferencia existe entre documento pblico y documento privado?;

para tal efecto y, con el fin de entender dicha diferencia, se trae a colacin, al Dr.

Rodrguez94, quien explica la diferencia de la siguiente manera:

a) Es la publicidad la que distingue a los documentos, en pblicos y privados;

b) Tanto los documentos pblicos como los privados pueden estar contenidos en

escritos, o en otras formas grficas;

c) El documento pblico puede utilizar la forma grfica u otra diferente, pero cuando

es escrito y autorizado por el respectivo funcionario, se denomina instrumento

pblico. Este es, pues, una especie del documento pblico;

d) El documento pblico, que a la vez sea instrumento pblico, cuando es otorgado

por un Notario e incorporado en el protocolo, toma la denominacin de escritura

pblica. Esta es, pues, una especie del instrumento pblico, y una subespecie

del documento pblico;

224.
94 RODRIGUEZ. Op. cit., p. 228.

126
 e) Los dems son documentos privados.

Es importante, aclarar y diferenciar, como lo expresa FRAMARINO95, la diferencia entre

publicidad y autenticidad: la publicidad, pretende dar fe ante todos de la autenticidad: el

funcionario pblico da fe ante las partes contratantes y, con efectos erga omnes, que

las firmas de los intervinientes, que aparecen suscritas, son las de los autores que se

enuncian en el documento. Por eso resulta correcto decir que, documento pblico es el

que hace fe pblica de su autenticidad.

El mensaje de datos cumple las caractersticas del documento escrito y en algunos

casos, inclusive, supera las expectativas que en un principio se tuvo de l, an ms, el

mensaje de datos, por su especial condicin tcnica es ms seguro que el documento

consignado en un papel. As, lo expres la Comisin de las Naciones Unidas para el

Derecho Mercantil Internacional96. Otro aspecto de trascendental importancia en la

bsqueda de este objetivo, es la verificacin de la autenticidad, la conservacin y la

95 FRAMARINO DEI MALATESTA, Incola. Lgica de las pruebas. Bogot: 1964. p. 11. Citado por RODRGUEZ. Ibid.
p. 231.
96Ley Modelo de la CNUDMI sobre Firmas Electrnicas. Gua para su Incorporacin al Derecho interno 2001.
NACIONES UNIDAS Nueva York, 2002 Publicacin de las Naciones Unidas Nmero de venta: S.02.V.8ISBN 92-1-
333321-8.

127
consulta, como requisitos que debe cumplir el mensaje de datos para lograr su

cometido.

1. Documento escrito

La Ley 527 de 1999 en el Captulo Segundo Aplicacin de los requisitos jurdicos de

los

mensajes de datos, Artculo Sexto97, plantea que s el documento electrnico es

accesible para su posterior consulta, la exigencia de la forma escrita, para formalizar

ese acto o contrato, queda verificada. Por ejemplo, en el contrato de seguro, regulado

por el Artculo 104698 del Cdigo de Comercio, se exige como prueba de su existencia

la pliza de seguro. En este caso, al igual que en todo contrato, el perfeccionamiento

97 Ley 527 de 1999. Artculo 6. Escrito. Cuando cualquier norma requiera que la informacin conste por escrito, ese
requisito quedar satisfecho con un mensaje de datos, si la informacin que ste contiene es accesible para su
posterior consulta.

Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una
obligacin, como si las normas prevn consecuencias en el caso de que la informacin no conste por escrito.

98 Cdigo de Comercio. Artculo 46: [...] Con fines exclusivamente probatorios, el asegurador est obligado a entregar
en su original, al tomador, dentro de los quince das siguientes a la fecha de su celebracin el documento contentivo

128
se verifica al reunirse los elementos esenciales99, para el ejemplo en mencin, deben

cumplirse los elementos que menciona el artculo 1045100 del Cdigo de Comercio. En

el contrato de seguro celebrado a travs de la red, el perfeccionamiento, al ser un

contrato consensual, se dara de la siguiente manera:

1. El tomador del seguro ingresa a la pgina web de la aseguradora;

2. Ubica el seguro que necesita tomar;

3. Enva sus datos personales de acuerdo con el cuestionario que para tal

efecto disee la aseguradora;

4. La aseguradora realiza una investigacin de los datos personales del

solicitante. Para llevar a cabo dicha investigacin puede valerse de la

Autoridad de Certificacin, o verificar con la Entidad de Certificacin, que

cumpla las funciones de Autoridad de Certificacin, s el solicitante se

encuentra registrado en la base de datos de la entidad. Si se encuentra

del contrato de seguro, el cul se denomina pliza, el que deber redactarse en castellano y firmarse por el
asegurador [...].
99 Cdigo Civil Artculo 1502:
100 Cdigo de Comercio. Artculo 1045: Son elementos esenciales del contrato de seguro:
El inters asegurable;
El riesgo asegurable;
La prima o precio del seguro, y
La obligacin condicional de asegurador.

129
 registrada en la AC, se procede a la expedicin en lnea del seguro, de lo

contrario ser necesaria la corroboracin de los datos personales a travs de

medios idneos que garanticen o certifiquen la veracidad de los datos.

5. Despus de realizado el estudio del tomador y del estado del riesgo, la

aseguradora manifiesta su aceptacin y da va libre a la expedicin del

seguro. A partir de este momento el contrato existe, y la prueba de este, o

sea la pliza, debe ser entregada por la aseguradora dentro de los quince

das siguientes al perfeccionamiento del contrato, y una vez efectuada la

entrega comienza el trmino para pagar la prima del seguro. La entrega de la

pliza es un paso que puede obviarse si se contrata a travs de la red; una

vez perfeccionado el contrato el tomador podr imprimir la pliza y tener la

prueba de la existencia del contrato.

Lo importante en estos eventos es que exista la plena seguridad que el contrato no ha

sido alterado ni modificado, lo que se logra si se cumplen las exigencias de

confiabilidad que exige la ley. Sin perjuicio de lo anterior, an si el acuerdo de

voluntades se gener en un ambiente inseguro, sin el respaldo de un tercero de

confianza, no por ello se pierde el valor probatorio del mensaje de datos, en virtud de la

En defecto de cualquiera de estos elementos, el contrato de seguro no producir efecto alguno.

130
Ley 527 de 1999. En conclusin, si se celebra a travs de la red Internet un contrato, el

cual, por expresa disposicin legal o contractual exija la formalidad escrita como prueba

de su existencia, es necesario, que dicho documento pueda transformarse a fsico o

que sea accesible para su posterior consulta. Ahora bien, el valor probatorio

depender del entorno de seguridad que rode el acuerdo de voluntades.

En este orden de ideas, cualquier mensaje de datos tiene valor probatorio por

consagracin legal, independientemente del tipo de seguridad que lo proteja. La

calificacin y/o valor probatorio de la prueba, por parte del juez, bajo las reglas de la

sana crtica, en lo que refiere a los mensajes de datos, debe centrarse en la idoneidad

del negocio o acto celebrado, lo cual es directamente proporcional a la seguridad

utilizada. Entre mayor seguridad mayor idoneidad, entre mayor idoneidad, mayor valor

probatorio.

Ahora bien, si el contrato est protegido por una firma digital, es incluso, mucho ms

confiable que un documento fsico, ya que est de por medio y como garante del acto o

negocio, una Entidad que responde civilmente por la autenticidad del documento.

131
As las cosas, la promesa de compra - venta de inmueble, o el contrato de seguro entre

otros, podrn realizarse por medios electrnicos siempre y cuando el sistema empleado

- software -, permita la reproduccin o posterior consulta del documento y garantice la

idoneidad del documento. Los documentos electrnicos son documentos que sirven

como medio de prueba en cualquier proceso judicial y, tendrn el ms alto valor

probatorio, si est de por medio una Entidad de Certificacin, o, mecanismos idneos

de seguridad que garanticen la integridad del documento.

Al respecto, el Dr. Hermann Zubieta Uribe afirma:

En efecto hoy en da no se puede negar el valor de documento escrito a un fax en la

medida en que se logre su posterior consulta. Lo mismo ocurre con los mensajes de

datos netamente virtuales, como un correo electrnico, una pgina WEB o en general

cualquier documento que circula por Internet, siempre y cuando se logre su posterior

consulta101.

101 URIBE, ZUBIETA, Hermann. Internet Comercio Electrnico& Telecomunicaciones. Universidad de los Andes.
Bogot: Editorial Legis S.A. 2002. p. 53.

132
El Dr. Ernesto Garca Rengifo102 cita la doctrina Italiana quienes hacen una

interpretacin funcional y teleolgica del Artculo 2712 del Codice Civile, afirmando que

la forma electrnica debe ser asimilada a la forma escrita y que el artculo 2712 se

aplica al documento electrnico.

Artculo 2712: Reproducciones mecnicas: las reproducciones fotogrficas o

cinematogrficas, los registros fonogrficos y, en general cualquier otra representacin

mecnica de hecho o de cosas constituyen plena prueba de los hechos y de las cosas

representadas, si aquel contra el cual estn producidas no convierte la conformidad con

los hechos o con las cosas mismas.

Definitivamente, la formalidad escrita puede suplirse mediante el uso de sistemas

electrnicos, que permitan su posterior consulta, sin embargo, esa posibilidad, desde el

punto de vista probatorio, no garantiza la autenticidad del documento.

102 GARCIA, RENGIFO. Op. Cit., p. 24. No se menciona traductor del Codice Civil.

133
2. Autenticidad

El artculo sptimo103 de la Ley 527 de 1999, refiere el tema de la autenticacin104 del

mensaje de datos. La autenticidad es la verdad de la indicacin del autor, es decir, la

103Ley 527 de 1999. Artculo 7. Firma. Cuando cualquier norma exija la presencia de una firma o establezca ciertas
consecuencias en ausencia de la misma, en relacin con un mensaje de datos, se entender satisfecho dicho
requerimiento s:

a) Se ha utilizado un mtodo que permita identificar al iniciador de un mensaje de datos y para indicar que el
contenido cuenta con su aprobacin.

b) Que el mtodo sea tanto confiable como apropiado para el propsito por el cual el mensaje fue generado o
comunicado.

Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una
obligacin, como si las normas simplemente prevn consecuencias en el caso de que no exista una firma.

104 Los documentos escritos deben ir firmados, para indicar su autor. Cuando se puede atribuir un documento a
determinado autor, puede decirse que dicho documento es autntico.
El Artculo 252 del Cdigo de Procedimiento Civil establece:

Es autntico un documento cuando existe certeza sobre la persona que lo ha firmado o elaborado.

Por su parte el documento pblico se presume autntico, mientras no se compruebe lo contrario mediante la tacha de
falsedad. Lo cual significa que los documentos pblicos gozan de una presuncin de autenticidad, presuncin que es
de hecho, es decir, que admite prueba en contrario. Ahora bien, para tachar de falso un documento, esto es, afirmar
que tiene un autor diferente al aparente, la ley prev el trmino procesal dentro del cual puede intentarse la tacha de
falsedad. Artculo 289 del C. de P. C.: a) En la contestacin de la demanda; b) Al da siguiente al que haya sido
aportado en audiencia o diligencia; c) En los dems casos, dentro de los cinco (5) das siguientes a la notificacin del
auto que ordene tenerlo como prueba.

134
correspondencia entre el documento y su autor. La autenticidad es el elemento ms

relevante del documento para su eficacia105 probatoria.

La autenticidad del mensaje de datos, de acuerdo con el artculo sptimo de la Ley 527

de 1999, se da en aquellos casos en donde para la creacin del mensaje de datos se

En el escrito por medio del cual se pretenda tachar un documento, debe expresarse en que consiste la falsedad y
solicitar las pruebas que sustenten tal afirmacin.

Los documento privados tambin pueden adquirir autenticidad en los casos sealados en el Artculo 252 del Cdigo
de Procedimiento Civil:

1) Cuando es reconocido expresamente ante Juez o ante Notario, o judicialmente se orden tenerlo por
reconocido;
2) Cuando es reconocido implcitamente (se aporta al proceso y se afirma estar suscrito por la contraparte, y
esta no lo tacha en el trmino legal previsto para ello).
3) Cuando se inscribe en un registro pblico a peticin de quin lo firma;
4) Cuando se trata de libros de comercio debidamente registrados y llevados en legal forma, o de firmas
estampadas en plizas de seguro, ttulos de inversin en fondos mutuos, acciones en sociedades
comerciales, bonos de stas, efectos negociables, certificados y ttulos de almacenes generales de
depsito, y los dems a los que la ley les d autenticidad.

105 La eficacia de una prueba es su valor, su fuerza. La eficacia es, por lo tanto, la importancia que le da el juzgador
al evaluarla, el resultado de la calificacin. Como la apreciacin probatoria se obtiene mediante el sistema de la sana
crtica, precisa decir, entonces, que aquel valor, fuerza o mrito de la prueba resulta de la aplicacin de la lgica y
de la experiencia; de su anlisis individual, de su cotejo o relaciones con las dems pruebas, de las inferencias
lgicas que haga el juez en relacin con el tema controvertido [...]. Para que la prueba vlida tenga eficacia, debe
tener valor probatorio, mrito probatorio en el proceso de que se trata. La ley suele sealar expresamente los
requisitos para ese mrito que se exigen en cada medio probatorio. Por ejemplo, en la confesin que el confesante
tenga disponibilidad, que no este prohibida o no se exija otro medio [...] La eficacia tiene grados, y el juez los valora
segn como se presenten estos requisitos. RODRGUEZ, Op. Cit., p. 104 - 106.

135
utiliz un mtodo confiable y a su vez dicho mtodo permite identificar al iniciador106 del

mensaje. Un sistema confiable es aquel que satisface los estndares establecidos por

la Superintendencia de Industria y Comercio (Artculo 2 Decreto 1747 de 2000). El

Superintendente de Industria y Comercio, en uso de sus facultades legales, en especial

las conferidas en los artculos 29, 34, 41 y 42 de la Ley 527 de 1999 y los Decretos

2153 de 1992, 2269 de 1993 y 1747 de 2000, expidi la Resolucin 26930, que en su

artculo 20 nos habla de un Sistema Confiable: Para los efectos del artculo 2 del

Decreto 1747 de 2000 un sistema ser confiable cuando cumpla con lo sealado en los

artculos 21, 22 y 23 de la presente Resolucin107.

106 Decreto 1747. Artculo 1 Iniciador: Persona que actuando por su cuenta, o en cuyo nombre se ha actuado,
enve o genere un mensaje de datos.
107 ARTICULO 21. Polticas, planes y procedimientos de seguridad. La entidad debe definir y poner en prctica
despus de autorizada las polticas, planes y procedimientos de seguridad tendientes a garantizar la prestacin
continua de los servicios de certificacin, que deben ser revisados y actualizados peridicamente. Estos deben incluir
al menos:
- Polticas y procedimientos de seguridad de las instalaciones fsicas y los equipos.
- Polticas de acceso a los sistemas e instalaciones de la entidad, monitoreo constante.
- Procedimientos de actualizacin de hardware y software, utilizados para la operacin de entidades de
certificacin.
- Procedimientos de contingencia en cada uno de los riesgos potenciales que atenten en contra del
funcionamiento de la entidad, segn estudio que se actualizar peridicamente.
- Plan de manejo, control y prevencin de virus informtico.
- Procedimiento de generacin de claves de la entidad de certificacin que garantice que:
Solo se hace ante la presencia de los administradores de la entidad.
Los algoritmos utilizados y la longitud de las claves utilizadas son tales que garanticen la unicidad de las
firmas generadas en los certificados, por el tiempo de vigencia mximo que duren los mensajes de datos
firmados por sus suscriptores.

136
 3. Conservacin y consulta

ARTICULO 22. Corta fuegos (Firewall). La entidad de certificacin debe aislar los servidores de la red interna y
externa mediante la instalacin de un corta fuegos o firewall, en el cual deben ser configuradas las polticas de
acceso y alertas pertinentes.
La red del centro de cmputo debe estar ubicada en segmentos de red fsicos independientes de la red interna del
sistema, garantizando que el corta fuegos sea el nico elemento que permita el acceso lgico a los sistemas de
certificacin.
ARTICULO 23. Sistemas de emisin y administracin de certificados. Los sistemas de emisin y administracin de
certificados deben prestar en forma segura y continua el servicio. En todo caso las entidades debern cumplir al
menos con una de las siguientes condiciones:

1. Cumplir el Certificate Issuing and Management Components Protection Profile

nivel 2 desarrollado por el National Institute of Standards and Technologies; o

2. Cumplir con requerimientos tcnicos que correspondan por lo menos con los
objetivos del nivel de proteccin 2 (Evaluation Assurance Level 2) definido por Common Criteria for Information
Technology Security Evaluation (CC 2.1) CCIMB-99-031 desarrollado por el Common Criteria Project
Sponsoring Organization en su parte 3 o su equivalente en la norma ISO/IEC 15408, de:

a) Sistema de registro de auditora de todas las operaciones relativas al funcionamiento y administracin de los
elementos de emisin y administracin de certificados, que permita reconstruir en todo momento cualquier
actividad de la entidad;
b) Sistema de almacenamiento secundario de toda la informacin de la entidad, en un segundo dispositivo que
cuente por lo menos con la misma seguridad que el dispositivo original, para poder reconstruir la informacin
de forma segura en caso necesario;
c) Dispositivo de generacin y almacenamiento de la clave privada, tal que se garantice su privacidad y
destruccin en caso de cualquier intento de violacin. El dispositivo y los procedimientos deben garantizar
que la generacin de la clave privada de la entidad solo puede ser generada en presencia de los
representantes legales de la misma; y
d) Sistema de chequeo de integridad de la informacin sistema, los datos y en particular de sus claves.

137
Sobre el particular, nuestra legislacin ha definido los parmetros que deben

observarse. El artculo octavo (8)108 de la Ley 527 de 1999, prev la posibilidad de

conservar un mensaje de datos en su forma original, si existe una garanta para que el

mensaje de datos no sea alterado y pueda ser presentado - exhibido - en el tiempo

que se requiera. La garanta, consiste en la creacin del mensaje de datos a travs de

un sistema confiable y su almacenamiento en un sistema que garantice la no -

alteracin y, su posterior consulta y exhibicin a la autoridad que lo requiera. El artculo

12109 de la Ley 527 de 1999 establece las condiciones para la Conservacin de los

108 Ley 527 de 1999. Artculo 8. Original. Cuando cualquier norma requiera que la informacin sea presentada y
conservada en su forma original, ese requisito quedar satisfecho con un mensaje de datos, si:

a) Existe alguna garanta confiable de que se ha conservado la integridad de la informacin, a partir del momento en
que se gener por primera vez en su forma definitiva, como mensaje de datos o en alguna otra forma;

b) De requerirse que la informacin sea presentada, si dicha informacin puede ser mostrada a la persona que se
deba presentar.

Lo dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una
obligacin, como si las normas simplemente prevn consecuencias en el caso de que la informacin no sea
presentada o conservada en su forma original.

109Ley 527 de 1999. Artculo 12. Conservacin de los mensajes de datos y documentos. Cuando la Ley requiera que
ciertos documentos, registros o informaciones sean conservados, ese requisito quedar satisfecho, siempre que se
cumplan las siguientes condiciones:

1. Que la informacin que contengan sea accesible para su posterior consulta;

138
mensajes de datos y documentos permitiendo que la conservacin se pueda hacer

directamente o travs de terceros siempre y cuando se cumplan con las exigencias del

artculo 12 en mencin.

En aquellos casos en que los mensajes de datos sean creados por intermedio de

entidades de Certificacin, el Artculo 38 de la Ley 527 de 1999 establece que los

registros de certificados deben ser conservados por el trmino exigido en la ley que

regule el acto o negocio jurdico en particular.

Entre los deberes de las Entidades de Certificacin abierta110 pueden rescatarse dos

deberes que refieren el tema del almacenamiento de datos y que garantizan la

inalterabilidad del mensaje de datos. Artculo 13 Decreto 1747 de 2000:

2. Que el mensaje de datos o el documento sea conservado en el formato en que se haya generado, enviado o
recibido o en algn formato que permita demostrar que reproduce con exactitud la informacin generada,
enviada o recibida, y
3. Que se conserve, de haber alguna, toda informacin que permita determinar el origen, el destino del
mensaje, la fecha y la hora en que fue enviado o recibido el mensaje o producido el documento.

No estar sujeta a la obligacin de conservacin, la informacin que tenga por nica finalidad facilitar el envo o
recepcin de los mensajes de datos.
Los libros y papeles del comerciante podrn ser conservados en cualquier medio tcnico que garantice su
reproduccin exacta.

139
 9. Garantizar el acceso permanente y eficiente de los suscriptores y de

terceros al repositorio111 de la entidad.

12. Conservar la documentacin que respalda los certificados emitidos,

por el trmino previsto en la ley para los papeles de los comerciantes y

tomar las medidas necesarias para garantizar la integridad y la

confidencialidad que le sean propias.

En consecuencia, el mensaje de datos al ser creado, debe permitir su posterior consulta

y garantizar su conservacin en el tiempo. Si se cumplen estas exigencias el mensaje

de datos tendr valor probatorio. Ahora bien, cuando el mensaje de datos es creado en

un entorno confiable, esto es, con la intervencin de un tercero de confianza -

Entidades de Certificacin - se garantiza: la inalterabilidad del mensaje de datos a lo

largo del tiempo y, su posterior consulta, con un elemento adicional muy importante,

perfectas condiciones de calidad an con el transcurso del tiempo. Es muy importante

que el juzgador tenga en cuenta que la eficacia probatoria del mensaje de datos

depende directamente de su confiabilidad, es decir, la garanta de inalterabilidad y no

repudio.

110 En el siguiente captulo se estudiar el tema de las Entidades de Certificacin abiertas y cerradas.

140
La Corte Constitucional en la Sentencia C - 662 de Junio 08 de 2000 frente a este punto

afirma:

A diferencia de los documentos en papel, los mensajes de datos deben ser certificados

tcnicamente para que satisfagan los equivalentes funcionales de un documento

tradicional o en papel y, es all en donde las entidades de certificacin juegan un papel

importante112.

A travs de los diferentes mecanismos de seguridad, y en especial el ofrecido por las

Entidades de Certificacin, se garantiza en forma integra todas y cada una de las

caractersticas del documento escrito y se genera ms seguridad por el contexto

tecnolgico.

Los mensajes de datos pueden garantizar la misma confiabilidad que un documento

escrito, cumpliendo la misma funcin, lo que jurdicamente se traduce en que el

111 Decreto 1747 de 2000. Artculo 1 numeral 3. Repositorio: Sistema de informacin utilizado para almacenar y
recuperar certificados y otra informacin relacionada con los mismos.
112 Sentencia C-662 de 2000. Magistrado Ponente: Dr. Fabio Morn Daz. Expediente D-2693.

141
documento electrnico al igual que el documento fsico son medios de prueba, en si

mismos considerados.

A nivel normativo, el Artculo 5 de la Ley 527 de 1999 contempla que no se negarn

efectos jurdicos, validez o fuerza obligatoria a todo tipo de informacin por el hecho de

constar en forma de mensaje de datos. La norma no se refiri a la seguridad que debe

enmarcar al mensaje de datos, de lo cual se colige que, cualquier mensaje de datos

tiene validez probatoria independientemente del entorno de seguridad en el cual fue

creado. Ahora bien, un mensaje de datos que est respaldado por una Entidad de

Certificacin tendr, adems, el ms alto valor probatorio, toda vez que, sta garantiza

su inalterabilidad y compromete su responsabilidad en dicha garanta, dentro del

proceso que adelanta el juez bajo las reglas de la sana crtica.

As mismo, en las relaciones entre el iniciador y el destinatario de un mensaje de datos,

no se negarn efectos jurdicos, validez o fuerza obligatoria a una manifestacin de

voluntad u otra declaracin por la sola razn de haberse hecho en forma de mensaje de

datos (Artculo 15 de la Ley 527 de 1999).

142
Ahora bien, en la formacin de cualquier tipo de contrato, de acuerdo con lo establecido

en el Artculo 14 de la Ley 527 de 1999, la oferta y la aceptacin, podrn ser

expresadas por medio de un mensaje de datos. No se negar validez o fuerza

obligatoria a un contrato por la sola razn de haberse celebrado en forma de mensaje

de datos. Los Artculos 10113 y 11114 de la Ley 527 de 1999 establecen la admisibilidad y

fuerza probatoria de los mensajes de datos, as como, el criterio de valoracin que debe

tener en cuenta el juzgador cuando este frente a un mensaje de datos.

Ahora bien, el juez al valorar probatoriamente un mensaje de datos debe tener en

cuenta, como se mencion, primordialmente, la confiabilidad de dicho mensaje, esto

es, que exista la absoluta certeza sobre la identidad del iniciador del mensaje, que el

mensaje de datos haya conservado su integridad y, que no ha sido modificado ni

113 Artculo 10. Admisibilidad y fuerza probatoria de los mensajes de datos. Los mensajes de datos sern admisibles
como medios de prueba y su fuerza probatoria es la otorgada en las disposiciones del Captulo VIII del Ttulo XIII,
Seccin Tercera, Libro Segundo del Cdigo de Procedimiento Civil.
En toda actuacin administrativa o judicial, no se negar eficacia, validez o fuerza obligatoria y probatoria a todo tipo
de informacin en forma de un mensaje de datos, por el slo hecho que se trate de un mensaje de datos o en razn
de no haber sido presentado en su forma original.
114 Artculo 11. Criterio para valorar probatoriamente un mensaje de datos. Para la valoracin de la fuerza probatoria
de los mensajes de datos a que se refiere esta ley, se tendrn en cuenta las reglas de la sana crtica y dems
criterios reconocidos legalmente para la apreciacin de las pruebas. Por consiguiente habrn de tenerse en cuenta:
la confiabilidad en la forma en la que se haya generado, archivado o comunicado el mensaje, la confiabilidad en la
forma en que se haya conservado la integridad de la informacin, la forma en la que se identifique a su iniciador y
cualquier otro factor pertinente.

143
alterado - Artculo 11 de la Ley 527 de 1999 -; lo cual es posible si el mensaje es

creado bajo medidas de seguridad que as lo garanticen, en su mayor expresin:

criptografa, firmas digitales, Certificados y Entidades de Certificacin.

Finalmente puede decirse que el mensaje de datos se asimila al documento escrito

para efectos probatorios, cumpliendo cabalmente todas las exigencias requeridas para

tal fin. De esta suerte, El documento fsico y el documento electrnico son documentos

en si mismo considerados, pero su creacin es diferente. El documento electrnico es

un mensaje de datos con caractersticas particulares.

4. Documento Electrnico

Una vez superada la eficacia probatoria de los mensajes de datos puede definirse el

documento115 electrnico.

115 El documento electrnico, segn el Dr. Daniel Pea Valenzuela, no es tangible, a diferencia del documento con
base de papel , sin embargo, es visible y accesible para su posterior consulta. El documento electrnico est
soportado por bases de datos, archivos electrnicos centros de proceso informticos operados electrnicamente
para el almacenamiento y transmisin de los mensajes de datos. PEA, VALENZUELA, Op. Cit., p. 121, 122.

144
Gallizia116 define el documento electrnico de la siguiente manera:

Es un objeto fsico dirigido a conservar y transmitir informaciones mediante mensajes

en lenguaje natural, realizado con la intermediacin de funciones electrnicas.

Frente a esta definicin y para no generar confusin frente a la nocin de lo fsico en

el documento electrnico, puede afirmarse que ste es un objeto intangible con

capacidad de transformarse a fsico, perceptible por los sentidos, que contiene

informacin que puede ser o no jurdicamente relevante y expresa la voluntad del

agente creador; es construido con la intermediacin de funciones electrnicas que

pueden garantizar su confiabilidad.

El Dr. Nelson Remolina define el documento electrnico de la siguiente manera:

[...] aquellos documentos cuyo soporte se encuentra en medios electrnicos, llmese

mensaje de datos, registro contable electrnico o el texto electrnico de un contrato117.

116 Citado por el Dr. Ernesto Garca Rengifo. Op. Cit., p. 33

117 ANGARITA, REMOLINA, Nelson. Internet Comercio Electrnico & Telecomunicaciones. Bogot: Editorial Legis
S.A. 2000. p. 18.

145
Mara Fernanda Guerrero, citada por el Dr. Angarita define el documento electrnico

como: Cualquier representacin en forma electrnica de hechos jurdicamente

relevantes, susceptibles de ser asimilados en forma humanamente comprensibles.

Ahora bien, una vez expuesta la posicin de la legislacin y la doctrina colombiana

respecto al mensaje de datos como medio de prueba, es importante conocer la posicin

de la Jurisprudencia como fuente de derecho en nuestra legislacin.

5. Jurisprudencia

La Corte Constitucional atendiendo la demanda de inconstitucionalidad contra los

Artculos 10, 11, 12, 13, 14, 15, 27, 28, 29, 30, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42,

43, 44, 45 de la Ley 527 de 2001, por estimar que violan los artculos 131 152 y 153118

118 CAPITULO II (DE LA FUNCIN PBLICA)

Artculo 131: Compete a la ley la reglamentacin del servicio pblico que prestan los notarios y registradores, la
definicin del rgimen laboral para sus empleados y lo relativo a los aportes como tributacin especial de las
notaras, con destino a la administracin de justicia.
El nombramiento de los notarios en propiedad se har mediante concurso.
Corresponde al Gobierno la creacin, supresin y fusin de los crculos de notariado y registro y la determinacin
del nmero de notarios y oficinas de registro.
CAPTULO III (DE LAS LEYES)

146
de la Constitucin Poltica, tuvo la oportunidad de pronunciarse con respecto a la Ley

527 de 1999 y en particular frente a los mensajes de datos y su capacidad probatoria.

A continuacin se analiza la providencia ms importante que hasta el momento ha

promulgado la Corte Constitucional en materia de comercio electrnico y, en particular,

como fuente jurisprudencial para la validez de los mensajes de datos como medio de

prueba.

Sentencia C-662 de Junio 08 de 2000

Artculo 152: Mediante las leyes estatutarias, el Congreso de la Repblica regular las siguientes materias
a) Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su proteccin;
b) Administracin de la justicia;
c) Organizacin y rgimen de los partidos y movimientos polticos; estatuto de la oposicin y funciones
electorales;
d) Instituciones y mecanismos de participacin ciudadana;
e) Estados de excepcin.

Artculo 153: La aprobacin, modificacin o derogacin de las leyes estatutarias exigir la mayora absoluta de los
miembros del Congreso y deber efectuarse dentro de una sola legislatura. Dicho trmite comprender la revisin
previa por parte de la Corte Constitucional, de la exequibilidad del proyecto. Cualquier ciudadano podr intervenir
para defenderla o impugnarla.

147
Con respecto a los Artculos 152 y 153 de la Carta Magna, el actor considera que no se

respet la reserva estatutaria ni el trmite especial contemplado en el Artculo 153. Los

Artculos demandados son: 9, 10, 11, 12, 13, 14, 15 y 28 de la Ley 527 de 1999.

Segn el actor los Artculos cuestionados modificaron y adicionaron el Cdigo de

Procedimiento Civil - Captulo VIII del ttulo XIII, Seccin Tercera del Libro Segundo, lo

que en su concepto equivale a administrar justicia al atribuir a los mensajes de datos

fuerza probatoria.

En defensa de la Constitucionalidad de la Ley 527 de 1999 intervinieron119 dirigentes de

diferentes entes corporativos pblicos y privados, cuyas intervenciones se resumen y

se destacan por su precisin y claridad.

119 De manera conjunta intervinieron representantes de la Superintendencia de Industria y Comercio, del Ministerio
de Comercio Exterior, del Ministerio de Justicia, del Ministerio de Comunicaciones, del Ministerio de Desarrollo
Econmico, as como el Presidente Ejecutivo de la Cmara de Comercio de Bogot, y de la Fundacin Foro Alta
Tecnologa. Los puntos expuestos de mayor relevancia son los siguientes:

- La Ley 527 de 1999 fue un esfuerzo de los sectores pblico y privado, los Ministros de Justicia y del
Derecho, Transporte, Desarrollo Econmico y Comercio Exterior.
- El Comercio Electrnico enmarca la buena fe comercial y la libertad contractual.
- Ni el comercio electrnico ni la actividad de las entidades de certificacin son un servicio pblico domiciliario,
las partes no necesitan ni estn obligadas a solicitar los servicios de una entidad de certificacin. Es un
tema de derecho privado, que requiere control estatal a cargo de la Superintendencia de Industria y
Comercio.

148
As mismo debe tenerse en cuenta la apreciacin de la Corte con relacin a la

trascendencia que implica para los gobiernos la incorporacin de la Ley Modelo sobre

Comercio Electrnico, que como lo expresa la Corte, conlleva la ampliacin de las

fronteras comerciales del pas:

[...] El examen de constitucionalidad de la Ley debe tener en cuenta la trascendencia

que el comercio electrnico tiene en la globalizacin de las relaciones econmicas, el

impacto de su evolucin, las consecuencias que genera en el desarrollo de los actos y

- La Ley 527 de 1999 provee a los mensajes de datos y al comercio electrnico de la integridad, confiabilidad
y seguridad que este tipo de prcticas requiere, para la eficaz y efectiva interaccin a travs de redes
telemticas, sin haber contacto directo o fsico.
- Las firmas digitales, y los certificados digitales buscan dotar de seguridad tcnica y jurdica a los mensajes
de datos y al comercio electrnico.
- Las entidades de certificacin no dan fe pblica. Las entidades de certificacin no son notaras electrnicas.
- La actividad de certificacin es un servicio de ndole eminentemente tcnico que tiene que ver con la
confianza y la credibilidad, y que propende por la seguridad en los mensajes de datos.
- La certificacin busca primordialmente, garantizar la persona del iniciador, dar integridad de contenido,
hacindolo inalterable, garantizar el no repudio.
- Ni la Constitucin ni las leyes han establecido que las funciones pblicas o los servicios pblicos slo
puedan ser prestados por entidades o servidores pblicos. De acuerdo con los artculos 2, 210 y 365 de la
Carta Poltica, el Estado, para el debido cumplimiento de sus fines, tiene la facultad de asignar, delegar o
conferir transitoriamente ciertas y precisas responsabilidades pblicas a los particulares.
- Las eventuales modificaciones que la Ley 527 de 1999 hizo a algunas disposiciones contenidas en cdigos,
no afectaron la estructura general de la administracin de justicia o los principios sustanciales y procesales
de la materia, por lo cual, mal podra sostenerse que han debido ser objeto de una ley estatutaria, cuando
su materia es propia de la ley ordinaria, por medio de la cual pueden modificarse normas anteriores de
igual o inferior jerarqua, incluyendo los cdigos.

149
 negocios jurdicos celebrados, no solamente por los particulares, sino tambin por el

mismo Estado, as como la importancia de regular y reglamentar jurdicamente su

utilizacin [...].

Es importante resaltar, que si bien el anlisis se centra en el aspecto comercial, el

mbito cultural, que no es comentado ni analizado, juega, tambin, un papel

trascendental en la incorporacin de la normativa sobre comercio electrnico, presencia

que tiene especial importancia en un pas en va de desarrollo como el nuestro.

En la parte considerativa, el Alto Tribunal, comienza su anlisis describiendo las

caractersticas del mensaje de datos en los siguientes trminos:

1. Es una prueba de la existencia y naturaleza de la voluntad de las partes de

comprometerse. Es importante aclarar que no todo mensaje de datos contiene una

intencin de obligarse y de generar efectos jurdicos.

2. La segunda caracterstica es que dicho documento es legible y puede ser presentado

ante las autoridades pblicas y los tribunales.

3. Facilita la revisin y posterior auditoria para los fines contables, impositivos y

reglamentarios.

4. Admite su almacenamiento e inalterabilidad en el tiempo.

150
 Efectivamente el mensaje de datos al encontrarse en un sistema electrnico puede ser

almacenado por largos perodos de tiempo, lo que no garantiza que no pueda ser

alterado, de hecho, est expuesto a un sin nmero de riesgos, que van desde la

alteracin, modificacin e interceptacin del mensaje, hasta su destruccin, razn por la

cual no puede decirse que un mensaje de datos como tal es inalterable. Para que sea

difcilmente alterable se requiere que est protegido, por ejemplo, por una Entidad de

Certificacin o con claves y cdigos complejos, sin embargo, an as est expuesto.

5. Afirma derechos y obligaciones jurdicas entre los intervinientes y es ulterior para su

posterior consulta, es decir que la informacin en forma de datos computarizados es

susceptible de leerse e interpretarse.

Como se mencion, es importante tener en cuenta que los mensajes de datos no

siempre conllevan en s mismos un contenido de carcter jurdico; un e-mail es un

mensaje de datos y en la mayora de los casos no incorpora o no tiene como fin

establecer una relacin de tipo jurdico, muchas veces son cartas de amor, fotos o

ancdotas de viajes etc.; un fax es un mensaje de datos y generalmente tiene una

funcin informativa, generalmente no busca generar derechos y obligaciones.

El actor considera que todo aspecto sustantivo o procesal relacionado con la

administracin de justicia est reservado al mbito de la ley estatutaria de acuerdo con

151
el Artculo 152 constitucional. Al respecto, la Corte considera que el demandante parte

de una premisa equivocada, como quiera que la accionante parte de un errneo

entendimiento acerca del mbito material que constituye la reserva de la ley

estatutaria120 sobre la administracin de justicia.

En conclusin la reserva de la ley estatutaria no significa que cualquier asunto y

regulacin relacionada con los temas previstos en el Artculo 152 requieran el trmite

especial ah previsto121.

120 La Corte ha establecido en varias ocasiones:

[...] nicamente aquellas disposiciones que de una forma y otra se ocupen de afectar la
estructura de la administracin de justicia, o de sentar principios sustanciales o generales sobre
la materia, deben observar los requerimientos especiales para ese tipo de leyes. Las dems y en
particular los cdigos, deben seguir el trmite ordinario previsto en la Carta Poltica, pues se
trata de leyes ordinarias dictadas por el Congreso de la repblica en virtud de lo dispuesto en el
numeral 2 del artculo 150 superior.

Por ejemplo vase la Sentencia C- 037 de febrero 5 de 1996. Magistrado Ponente: Dr. Vladimiro Naranjo Mesa:

Para la Corte, una ley estatutaria encargada de regular, la administracin de justicia, como lo
dispone el literal b) del artculo 152 superior, debe ocuparse esencialmente sobre la estructura
general de la administracin de justicia y sobre los principios sustanciales y procesales que
deben guiar a los jueces en su funcin de dirimir los diferentes conflictos o asuntos que se
someten a su conocimiento.

121 En palabras de la Corte:

[...] el aceptar los argumentos de la demandante conducira al absurdo extremo de que toda
norma relacionada con cualquier aspecto de la administracin de justicia, tendra que aprobarse

152
Con respecto a la condicin del mensaje de datos, como medio probatorio, la Corte

expres:

[...] al hacer referencia a la definicin de documentos del Cdigo de Procedimiento Civil,

le otorga al mensaje de datos la calidad de prueba, permitiendo coordinar el sistema

telemtico con el sistema manual o documentario, encontrndose en igualdad de

condiciones en un litigio o discusin jurdica, teniendo en cuenta para su valoracin

algunos criterios como: confiabilidad, integridad de la informacin e identificacin del

autor.

De otra parte, la Corte encuentra que el Artculo 4 del Decreto 266 del 2000, expedido

por el Presidente de la Repblica en ejercicio de las facultades extraordinarias

conferidas por el Numeral 5 del Artculo 1122 de la Ley 573 del 7 de febrero del 2000,

bajo los estrictos requisitos de las leyes estatutarias, lo cual entrabara gravemente la funcin
legislativa y hara inane la funcin de expedir cdigos en todos los ramos de la legislacin y la de
reformar las leyes preexistentes que el constituyente tambin atribuye al Congreso, y que este
desarrolla por medio de la ley ordinaria.

La Honorable Corte ha establecido en varias oportunidades que los asuntos sometidos a reserva de la ley estatutaria
debe ser restrictiva a fin de garantizar, entre otras cosas, la integridad de la competencia del legislador ordinario.

122 Ley 573 de 2000. Artculo 1 : Facultades extraordinarias. De conformidad con lo dispuesto en el numeral 10 del
artculo 150 de la Constitucin Poltica, revstase al Presidente de la Repblica de precisas facultades extraordinarias

153
Mediante el cual se reviste al Presidente de la Repblica de precisas facultades

extraordinarias en aplicacin del numeral 10123 del Artculo 150 de la Constitucin,

conforma unidad normativa con el Artculo 10 de la acusada Ley 527 de 1999, dada su

identidad de contenido.

para que, en el trmino de quince (15) das contados a partir de la publicacin de la presente ley, expida normas con
fuerza de ley para:

1. (Inexequible) Suprimir o reformar las regulaciones, procedimientos y trmites sobre los que vers el Decreto
1122 de 1999, sin incluir ningn tema adicional. El mbito de aplicacin de las normas expedidas en
desarrollo de las presentes facultades cobijar a los organismos pblicos de cualquier nivel, as como
aquellos que teniendo naturaleza privada ejerzan por atribucin legal funciones pblicas de carcter
administrativo, pero slo en relacin con estas ltimas.

(Este numeral fue declarado inexequible, a partir de la fecha de su promulgacin, por parte de la Corte
Constitucional en Sentencia C 1316 de 2000).

123 Constitucin Poltica de Colombia. Artculo 150 numeral 10: Revestir, hasta por seis meses, al Presidente de la
Repblica de precisas facultades extraordinarias, para expedir normas con fuerza de ley cuando la necesidad lo exija
o la conveniencia pblica lo aconseje. Tales facultades debern ser solicitadas expresamente por el Gobierno y su
aprobacin requerir la mayora absoluta de los miembros de una y otra cmara.
El Congreso podr, en todo tiempo y por iniciativa propia, modificar los decretos leyes dictados por el Gobierno en
uso de facultades extraordinarias.
Estas facultades no se podrn conferir para expedir cdigos, leyes estatutarias, orgnicas, ni las previstas en el
numeral 20 del presente artculo, ni para decretar impuestos.

154
Afirma la Corte que en vista de que se presenta el fenmeno jurdico de unidad de

materia entre el Artculo 10 de la Ley 527 de 1999 acusado y el Artculo 4124 del Decreto

266 del 2000 Por el cual se dictan normas para suprimir y reformar las regulaciones,

trmites y procedimientos, dictado con base en las facultades extraordinarias

establecidas en la Ley 573 del 2000, pues regulan un mismo aspecto, esto es, el valor

124 Decreto 266 de 2000. Presidencia de la Repblica. Artculo 4. Medios tecnolgicos. Modificase el artculo 26 del
Decreto 2150 de 1995, el cual quedar as:

Se autoriza a la administracin pblica en el empleo de cualquier medio tecnolgico o documento electrnico, que
permita la realizacin de los principios de igualdad, economa, celeridad, imparcialidad, publicidad, moralidad y
eficacia en la funcin administrativa, as como el establecimiento de condiciones y requisitos de seguridad que para
cada caso sean procedentes, sin perjuicio, de la competencia que en la materia tengan algunas entidades
especializadas.
Toda persona podr en su relacin con la administracin hacer uso de cualquier medio tcnico o electrnico, para
presentar peticiones, quejas o reclamaciones ante las autoridades. Las entidades harn pblicos los medios de que
dispongan para permitir esta utilizacin.
Los mensajes electrnicos de datos sern admisibles como medios de prueba y su fuerza probatoria ser la otorgada
en las disposiciones del Captulo VIII del Ttulo XIII Libro Segundo del Cdigo de Procedimiento Civil, siempre que
sea posible verificar la identidad del remitente, as como la fecha de recibo del documento.
PARGRAFO: En todo caso el uso de los medios tecnolgicos y electrnicos deber garantizar la identificacin del
emisor, del receptor, la transferencia del mensaje, su recepcin y la integridad del mismo.

(Este artculo fue declarado exequible por la Corte Constitucional conforme a la parte motiva de la Sentencia C- 662
de 2000, pero a su vez fue declarado inexequible, a partir de su promulgacin, por la Corte Constitucional en
Sentencia C-1316 de 2000).

Como conclusin se tiene que la Sentencia C-1316 de 2000 es posterior a la Sentencia C- 662 de 2000, razn por la
cual y acogindonos a uno de los principios generales del derecho una norma posterior deroga en todo lo que le sea
contrario la norma anterior, lo cual tambin aplica a nivel jurisprudencial. Debe entenderse que el artculo cuarto (4)
del Decreto 266 de 2000 es inexequible al igual que el numeral quinto de la Ley 573 de 2000, por lo que la
constitucionalidad del artculo 10 de la Ley 527 no se hace extensivo a las dems normas en mencin puesto que
son inconstitucionales.

155
probatorio de los mensajes electrnicos, la Corte estima que la declaratoria de

constitucionalidad comprender tambin al Artculo 4 del Decreto 266 del 2000 por las

razones atrs referidas.

Otra Sentencia de trascendental importancia para el comercio electrnico es la C-831

de 2001125, la cual se expone a continuacin:

El Dr. Daniel Pea Valenzuela en ejercicio de la accin pblica de inconstitucionalidad

interpuso demanda contra el Artculo Sexto126 (6) de la Ley 527 de 1999 por considerar

que ste vulnera los Artculos 28127 y 152128 de la Constitucin Poltica de Colombia, al

125 Corte Constitucional. Sentencia C-831 de Agosto 8 2001. Expediente D-3371. Magistrado Ponente: Dr. lvaro
Tafur Galvis.
126 Artculo 6: Escrito. Cuando cualquier norma requiera que la informacin conste por escrito, ese requisito quedar
satisfecho con un mensaje de datos, si la informacin que ste contiene es accesible para su posterior consulta. Lo
dispuesto en este artculo se aplicar tanto si el requisito establecido en cualquier norma constituye una obligacin,
como si las normas prevn consecuencias en el caso de que la informacin no conste por escrito.
127Constitucin Poltica de Colombia. Artculo 28: Toda persona es libre. Nadie puede ser molestado en su persona o
familia, ni reducido a prisin o arresto, ni detenido, ni su domicilio registrado, sino en virtud de mandamiento escrito
de autoridad judicial competente, con las formalidades legales y por motivo previamente definido en la ley. La
persona detenida preventivamente ser puesta a disposicin del juez competente dentro de las treinta y seis (36)
horas siguientes, para que ste adopte la decisin correspondiente en el trmino que establezca la ley. En ningn
caso podr haber detencin, prisin ni arresto por deudas, ni penas y medidas de seguridad imprescriptibles.

128 Constitucin Poltica de Colombia. Artculo 152: Mediante las leyes estatutarias, el Congreso de la Repblica
regular las siguientes materias:
a) Derechos y deberes fundamentales de las personas y los procedimientos y recursos para su proteccin;

156
establecer que cuando cualquier norma exija que la informacin conste por escrito, ese

requisito quedar satisfecho con un mensaje de datos si la informacin es accesible

para su posterior consulta. A su juicio, se entendera que el requisito exigido en el

Artculo 28 de la Constitucin Poltica, relacionado con mandamiento escrito para

proceder a un arresto o allanamiento estara satisfecho con un mensaje de datos en los

trminos del artculo atacado.

El Dr. Pea afirma que la Ley 527 ha debido tramitarse como una ley estatutaria en la

medida que sta regula una parte esencial del Artculo 28 de la Constitucin Poltica,

toda vez que regular procedimientos y recursos para su proteccin, mediante los

requisitos especiales.

Segn el actor, tratndose en este caso de la regulacin de un derecho fundamental

consagrado en el Artculo 28 de la Constitucin Poltica - la libertad personal -, la

norma ha debido ser objeto de ley estatutaria y no de una simple ley ordinaria como

sucede con la Ley 527 de 1999.

b) Administracin de justicia;
c) Organizacin y rgimen de los partidos polticos y movimientos polticos; estatuto de la oposicin y
funciones electorales;
d) Instituciones y mecanismos de participacin ciudadana, y

157
Los intervinientes en el escrito de la demanda, de forma unnime, defendieron la

constitucionalidad de la norma acusada129.

Finalmente, la Corte consider que las leyes estatutarias sobre derechos

fundamentales tienen por objeto desarrollarlos y complementarlos. Esto no supone que

toda regulacin en la cual se toquen aspectos relativos a un derecho fundamental deba

hacerse por va de ley estatutaria. La norma atacada (Artculo Sexto de la ley 527 de

1999), ni en su finalidad ni en su contenido est dirigida a afectar el ncleo esencial del

derecho a la libertad personal y la inviolabilidad del domicilio. El actor no tiene razn

e) Estados de excepcin.
129

- Los apoderados del Ministerio de Justicia y de Desarrollo Econmico sostienen que el campo de aplicacin
de la Ley 527 de 1999 se restringe al comercio electrnico de bienes y servicios, razn por la cual no existe
conexin temtica con el derecho fundamental a la libertad, ni mucho menos con el mandamiento escrito
para afectarlo. Adems sostienen que la Corte no podra entrar en el examen del cargo sobre supuesta
violacin de la reserva de ley estatutaria en relacin con el Artculo 28 Constitucional pues sobre este
aspecto ya se habra pronunciado la misma corporacin en la Sentencia C-662 de 2000.
- Los representantes del Ministerio de Comercio Exterior y de Transporte sustentan su respuesta
argumentando que el artculo sexto de la Ley 527 no es desarrollo del artculo 28 de la Constitucin, por lo
tanto, su fin no es afectar o alterar el derecho a la libertad personal o la inviolabilidad del domicilio. La
referencia que hace la Ley 527 de 1999 de materias especficas sealadas en el artculo 152 de la Carta no
obligaba a que su expedicin se hiciera mediante una ley estatutaria.
- El vocero del Ministerio de Comunicaciones sostiene que la norma demandada no afecta ningn aspecto
sustancial del procedimiento colombiano con el reconocimiento jurdico de los mensajes de datos.
- El Procurador General de la Nacin afirma que el demandante se equivoca al plantear una relacin entre
una norma que regula el valor jurdico y probatorio de los mensajes de datos con una norma constitucional
que regula actuaciones judiciales, como son las contenidas en el artculo 28 superior. En su concepto es
claro que el mandamiento escrito exigido para una captura o allanamiento no puede ser suplido con un
mensaje de datos electrnico.

158
cuando pretende dar a la norma el alcance de regular el Artculo 28 de la Carta, por lo

que la supuesta violacin del Artculo 152 no tiene no tiene fundamento al no aplicarse

en este caso la reserva de la ley estatutaria a que alude el demandante.

Finalmente, para el bien del comercio y para el desarrollo de los medios de informacin

a travs de redes telemticas, la Ley 527 sali adelante a pesar de las criticas recibidas

en materia procesal. - STULTA VIDETUR PAPIENTIA QUAE LEGE VULT SAPIENTOR

VIDERI130 -.

130 BLANCO, Luis Antonio. LATIN TERMINOLOGA JURDICA. Bogot: ISNB: 950-9431-00-3. 1995. p. 149. Necia
es la sabidura que pretende saber ms que la Ley.

159
 5. ENTIDADES DE CERTIFICACIN: FIRMAS DIGITALES Y CERTIFICADOS

Las Certificaciones131 en nuestro medio, representan el soporte necesario para generar confianza
y fuerza vinculante en los actos y operaciones que no han cumplido con una formalidad que los
valide, garantizando la infalibilidad de los hechos. Esta concepcin se ha mantenido a lo largo de
su existencia, a tal punto que se deleg la funcin fedataria en cabeza de las Notaras Pblicas,
encargadas de dar fe pblica a travs de certificaciones.

En el comercio electrnico, los Certificados siguen teniendo especial trascendencia, sin que esto
signifique que las Entidades emisoras de los certificados estn otorgando fe pblica, facultad que
no les ha sido delegada por el Legislador. As, surgieron las Entidades de Certificacin como los
entes encargados de soportar y avalar los hechos y actos celebrados por medios telemticos. De
esta suerte, la seguridad en las redes informticas, se encuentra garantizada, a travs de estas

Entidades, sin que, por supuesto, sean el nico medio de seguridad disponible en el mercado. El

objetivo y fin primordial de dichas Entidades es generar confianza a travs de un respaldo

econmico y jurdico. Las Entidades de Certificacin estn reguladas en la Parte III del

CAPTULO II de la Ley 527 de 1999.

1. Concepto

160
La Ley 527 de 1999 en su Artculo Segundo (2) define las Entidades de Certificacin

de la siguiente manera:

Es aquella persona que, autorizada conforme a la presente Ley, est facultada para

emitir certificados en relacin con las firmas digitales de las personas, ofrecer o facilitar

los servicios de registro y estampado cronolgico de la transmisin y recepcin de

mensajes de datos, as como cumplir otras funciones relativas a las comunicaciones

basadas en las firmas digitales.

La Superintendencia de Industria y Comercio, como ente regulador, defini las

Entidades de Certificacin; descripcin que ha sido repetida en varios de sus

conceptos:

1. Marzo 28 de 2001 Concepto 01018465:

Entidad de Certificacin es la persona que previa autorizacin de la Superintendencia de

Industria y Comercio, est facultada para emitir certificados en relacin con las firmas

131 Los organismos de certificacin de conformidad con lo sealado en el Decreto 2269 de 1993 son entidades
imparciales, pblicas o privadas, nacional, extranjera o internacional, que posee la competencia y la confiabilidad
necesarias para administrar un sistema de certificacin, consultando los intereses generales.

161
 digitales de las personas, ofrecer o facilitar los servicios de registro y estampado

cronolgico de la transmisin y recepcin de mensajes de datos, as como cumplir otras

funciones relativas a las comunicaciones basadas en las firmas digitales. Afirma la

superintendencia que la ley seala que las Entidades de Certificacin pueden ser las

personas jurdicas de naturaleza pblica o privada, nacionales o extranjeras, as como

las cmaras de comercio.

2. Concepto 0147224:

Las Entidades de Certificacin son aquellas personas jurdicas y privadas, incluidas

las cmaras de comercio, que poseen el hardware y software necesarios para la

generacin de firmas digitales, la emisin de certificaciones sobre la autenticidad de

las mismas y la conservacin y archivo de documentos soportados en mensajes de

datos.

Tal y como qued consignado en la exposicin de motivos de la Ley 527 de 1999, la

ley se bas en la ley modelo de comercio electrnico elaborada por la CNUDMI, la

cual defini al prestador de servicios de certificacin como la persona que expide

certificados y puede prestar otros servicios relacionados con las firmas electrnicas.

La actividad de certificacin dentro del marco de la Ley 527 de 1999 tiene como

sustento una firma digital. En consecuencia, para que una persona, natural o jurdica

pueda ser autorizada por la Superintendencia de Industria y Comercio como entidad

certificadora, debe tener como finalidad esencial la generacin de certificados

162
 digitales en relacin con firmas digitales, sin perjuicio, de que adicionalmente puedan

prestar otro tipo de servicios relacionados con el archivo y conservacin de mensajes

de datos.

Los doctores Ramiro Cubillos Velandia y Erick Rincn Cardenas132 definen las

Entidades de Certificacin de la siguiente manera:

Son aquellas personas jurdicas, que una vez autorizadas, estn facultadas para emitir

certificados en relacin con claves criptogrficas de todas las personas; ofrecer o

facilitar los servicios de registro y estampado cronolgico de la transmisin y recepcin

de mensajes de datos, as como cumplir otras funciones relativas a las comunicaciones

basadas en las firmas digitales. La entidad de certificacin expide actos denominados

certificados, los cuales son manifestaciones hechas como resultado de la verificacin

que efecta sobre la autenticidad, veracidad y legitimidad de las claves criptogrficas y

la integridad de un mensaje de datos [...] las entidades de certificacin son las

encargadas entre otras cosas, de facilitar y garantizar las transacciones comerciales por

medios electrnicos o medios diferentes a los estipulados en papel e implican un alto

grado de confiabilidad, lo que las hace importantes y merecedoras de un control ejercido

por un ente pblico, control que redunda en beneficio de la seguridad jurdica del

comercio electrnico.

132 CUBILLOS. VELANDIA, Ramiro y RINCN. CRDENAS, Erick. Introduccin Jurdica al Comercio Electrnica.
Medelln: Ediciones Jurdicas Gustavo Ibez Ltda. 2002. p. 258.

163
El Dr. Hermann Zubieta Uribe133 hace el siguiente comentario frente a la definicin de

las Entidades de Certificacin:

En general, la entidad de certificacin va a ser el ente encargado de proveer de

herramientas a los usuarios para verificar las firmas digitales de las personas, tambin

se nota que al ser autorizados, estn subordinados dentro del modelo de confianza a

una autorizacin que, como se desprende del artculo 42 de la misma ley, es otorgada

por la Superintendencia de Industria y Comercio.

En conclusin podemos decir que las Entidades de Certificacin son personas jurdicas,

publicas o privadas, nacionales o extranjeras, que autorizadas por la Superintendencia

de Industria y Comercio, emiten certificados digitales en relacin con firmas digitales,

que garantizan la fiabilidad, inalterabilidad y rastreabilidad de un mensaje de datos,

proporcionando seguridad jurdica a travs una infraestructura de clave pblica.

Por mandato de la Ley 527 de 1999 - Artculo 42 -, las Entidades de Certificacin,

requieren, para su funcionamiento, aprobacin previa, por parte de la Superintendencia

de Industria y Comercio. Una vez obtenido el permiso, podrn realizar actividades tales

164
como: emitir certificados en relacin con las firmas digitales; ofrecer o facilitar los

servicios de creacin de firmas digitales certificadas; servicios de registro y estampado

cronolgico en la transmisin y recepcin de mensajes de datos; servicios de archivo y

conservacin de mensajes de datos, entre otras.

2. Naturaleza Jurdica de las Entidades de Certificacin

Con fundamento en la Ley Modelo de la CNUDMI, el legislador inici su incorporacin

en el derecho interno, quien en un uso de sus facultades expidi la Ley 527 de 1999.

Una vez expedida la ley y definidas las reglas de juego de las Entidades de

Certificacin, la doctrina inici su papel - OMNES CASUS LEGIBUS COMPREHENDI

NON POSSUNT134 -; como primera medida, se crearon dos bandos: los que defienden

la exequibilidad y utilidad de la ley y, por el otro, quienes demandan la

inconstitucionalidad de la misma y reprochan la ligereza e inconsistencias de la misma.

Una vez agotas las discusiones debatidas en el seno de la Corte Constitucional, resulta

consecuente comenzar la discusin sobre la naturaleza jurdica de la ley.

133 ZUBIETA. Op. Cit., p. 67.

134 BLANCO, Luis Antonio. Op. cit. p. 134. La ley no puede abarcar todos los casos.

165
 El profesor Alemn WILHELM SCHMIDT THOME, al entrar el tema de los tabeliones

romanos, dice que eran personas privadas que por una especial autorizacin del estado

haban adquirido facultad para extender y legalizar documentos sobre determinados

negocios jurdicos contra el pago de derechos. Estos tabeliones no ejercan, sin

embargo, ningn oficio pblico y sus documentos no tenan fe pblica. Pero si estaban

bajo inspeccin estatal y tenan, sobre todo ante autoridades y tribunales fuerza legal.135

Esta definicin de los tabeliones ofrece una clara introduccin al tema de las Entidades

de Certificacin. Si bien es cierto que hasta la fecha las certificaciones que emiten las

Entidades, no gozan de fe pblica, en un futuro no muy lejano podrn tener dicha

caracterstica si el legislador les atribuye dicha facultad, que hoy en da, recae

exclusivamente en las Notaras Pblicas. Al respecto, es imperioso entrar a profundizar

las diferentes posiciones con el fin de clarificar las diferentes acepciones.

3. La actividad certificadora de las Entidades de Certificacin frente a la actividad

notarial

135 RINCN y CUBILLOS. Op. cit., p. 255 y 256.

166
La discusin se centr en la fe pblica. Existen dos posiciones: a) Entidades de

Certificacin otorgando fe pblica; b) Entidades certificadoras que no cumplen

funciones de fedatarias. La discusin se abord tanto por la Doctrina como por la

Jurisprudencia. Al respecto se menciona una de las posiciones de la Doctrina:

[...] para la tradicin notarial latina, el notario es una persona elegida por el Estado, a

quien se le delega, el ejercicio de la actividad y se le da un valor especial a sus

consideraciones respecto ciertos documentos, puesto que estos quedan investidos de

un carcter especial, el de estar salvaguardados por la fe pblica o fe notarial, con base

en la cual se considera como cierto ante la sociedad el contenido y los signatarios de un

documento presentado ante este, ora por la escritura pblica, ora por una acta

notarial136.

Los doctores Cubillos y Rincn hacen un anlisis del sistema notarial anglosajn137 y el

sistema notarial latino. Para concluir que las Entidades de Certificacin se asemejan

ms a la actividad notarial anglosajona.

136 CUBILLOS y RINCN. Op. cit., p. 256.

137 El sistema notarial anglosajn tiene como caractersticas esenciales las siguientes:
a) El notario es un profesional privado;
b) El documento es slo un principio de prueba que necesita la convalidacin judicial y por ende, como obra
de funcionario fedatario, carece de valor especfico en el orden procesal.

167
Por su parte la Jurisprudencia a travs de la Corte Constitucional mediante Sentencia

C-662 de 2000, abord el tema, el cual se expuso de la siguiente manera:

Son dos los reparos que generan el cuestionamiento de constitucionalidad que plantea

la demandante a saber: que las entidades certificadoras, estaran dando fe pblica en

Colombia, cuando esta funcin est reservada constitucionalmente de manera

exclusiva a los notarios [...]

As las cosas, la Corte Constitucional entr a determinar si constitucionalmente la fe

pblica es una funcin privativa de los Notarios, concluyendo lo siguente:

La Corte afirma que independientemente de las caractersticas tcnicas de las

entidades de certificacin, es eminente que las mismas participan de un importante

componente de la tradicional funcin fedante. La proteccin y la confianza que la

comunidad deposita en el empleo de los medios electrnicos de comunicacin, as

como, en su valor probatorio - dice -, son lo realmente relevante para el derecho, pues

ciertamente es el marco jurdico, el que crea el elemento de confianza.

168
De acuerdo con la exposicin de la Corte Constitucional, las Entidades de Certificacin

certifican tcnicamente que un mensaje de datos cumple con los elementos esenciales

para considerarlo como tal, a saber, la confidencialidad, la autenticidad, la integridad y

la no - repudiacin de la informacin, lo que en ltimas permite inequvocamente tenerlo

como autntico.

Si bien el legislador goza de una amplia libertad para regular el servicio notarial, no

puede confundirse la competencia que el legislador tiene para reglamentar el servicio

pblico que prestan los notarios y registradores, al tenor de lo conceptuado por el

Artculo 131 Constitucional, con la asignacin a estos de la funcin fedante como una

atribucin constitucional privativa y excluyente.

Seala la Corte que los Artculos 2, 210 y 365 de la Carta Poltica, le otorgan al

legislador la facultad para conferir transitoriamente el ejercicio de funciones pblicas a

los particulares, lo cual, permite concluir que las entidades de certificacin al prestar el

servicio pblico de certificacin, tienen pleno sustento constitucional.

La Corte, frente al particular concluy:

169
 [...] an cuando las funciones de las entidades certificadoras de que trata la Ley 527 de

1999 se asociaran con la fe pblica, no por ello seran inconstitucionales, pues, como

ya se dijo, el legislador bien puede atribuirle a dichas entidades, en su condicin de

entes privados, la caracterstica de entes fedatarios, sin que ello comporte violacin del

artculo 131 de la Carta.

Como lo estableci la Corte Constitucional138, la funcin pblica, puede ser

desempeada por un particular o por un servidor pblico, al respecto se recuerda la

Sentencia C-741 de 1998:

[...] En efecto, independientemente del debate doctrinal y jurisprudencial sobre la

naturaleza jurdica de los notarios en el ordenamiento legal colombiano, es claro que

constitucionalmente estas personas ejercen una funcin pblica. Adems, no es cierto que

la Constitucin ordene, como equivocadamente lo indica el actor, que este servicio debe

ser prestado por particulares, por cuanto la ley puede radicar la funcin fedante en

determinadas instituciones estatales y conferir por ende a los notarios la calidad de

servidores pblicos. Nada en la Carta se opone a esa posible regulacin, puesto que la

Constitucin en manera alguna ordena que los notarios deban ser particulares y que este

servicio deba ser prestado obligatoriamente mediante una forma de descentralizacin por

colaboracin, puesto que es tambin posible que la ley regule de manera diversa el

servicio notarial y establezca que los notarios y sus subalternos adquieren la calidad de

170
 servidores pblicos. La Constitucin confiere entonces una amplia libertad al Legislador

para regular de diversas maneras el servicio notarial, puesto que el texto superior se limita

a sealar que compete a la ley la reglamentacin del servicio que prestan los notarios y

registradores, as como la definicin del rgimen laboral para sus empleados (CP art. 131).

Por consiguiente, bien puede la ley atribuir la prestacin de esa funcin a particulares,

siempre y cuando establezca los correspondientes controles disciplinarios y

administrativos para garantizar el cumplimiento idneo de la funcin; sin embargo, tambin

puede el Legislador optar por otro rgimen y atribuir la prestacin de ese servicio a

funcionarios pblicos vinculados formalmente a determinadas entidades estatales [...]

De acuerdo con las anteriores apreciaciones, puede afirmarse que las Entidades de

Certificacin en la actualidad no otorgan fe pblica, toda vez que el legislador no les ha

atribuido dicha calidad, sin embargo, no por eso, se encuentran impedidas para hacerlo.

De esta suerte, la funcin fedante, que hoy radica en los Notarios Pblicos, no es

excluyente y privativa, toda vez que es jurdicamente viable revestir a las Entidades de

Certificacin con dicha funcin fedante.

138 Sentencia C-741 de 1998, Magistrado Ponente: Dr. Alejandro Martnez Caballero.

171
4. La actividad de las entidades de certificacin - un servicio pblico -

Las Entidades de Certificacin, en virtud del Artculo 29 de la Ley 527 de 1999 pueden

ser personas jurdicas, nacionales o extranjeras, de carcter pblico o privado, con

autonoma administrativa y financiera, prestadoras de un servicio pblico, bajo la

vigilancia y control de la Superintendencia de Industria y Comercio.

El servicio pblico, como gnero139, puede entenderse de la siguiente manera: [...] toda

actividad organizada que tiende a satisfacer necesidades de inters general en forma

regular y continua, de acuerdo con un rgimen jurdico especial, bien que se realice por

el Estado directamente o por personas privadas140.

Ahora bien, la Constitucin Poltica de Colombia en su Artculo 365 establece:

Los servicios pblicos son inherentes a la finalidad social del Estado. Es deber del

Estado asegurar su prestacin eficiente a todos los habitantes del territorio nacional.

Los servicios pblicos estarn sometidos al rgimen jurdico que fije la ley, podrn ser

prestados por el Estado, directa o indirectamente, por comunidades organizadas, o por

particulares. En todo caso, el Estado mantendr la regulacin, el control y la vigilancia

de dichos servicios [...]

139 La especie es el servicio pblico domiciliario regulado por la Ley 142 de 1994.

172
El Artculo 430 Cdigo Sustantivo del Trabajo: define el servicio pblico as:

Como servicio pblico toda actividad organizada que tienda a satisfacer necesidades

de inters general en forma regular y continua, de acuerdo con un rgimen jurdico

especial, bien que se realice por el Estado, directamente o indirectamente, o por

personas privadas.

Ahora bien, es importante distinguir entre servicio pblico domiciliario y servicio pblico

no domiciliario. El primero se encuentra regulado por la Ley 142 de 1994 y se define

como el servicio destinado a cubrir las necesidades bsicas del ser humano

convirtindose en una necesidad de vida141. Esta ley se aplica a los servicios pblicos

de acueducto, alcantarillado, aseo, energa elctrica, distribucin de gas combustible,

telefona fija pblica bsica conmutada y la telefona local mvil en el sector rural; a las

actividades que realicen las personas prestadoras de servicios pblicos, a las

actividades complementarias y a los otros servicios previstos en normas especiales -

Artculo 1 -.

140 YOUNES, MORENO, Diego. Op. cit.

141 Al respecto la Corte Constitucional expres: El contenido filosfico - poltico de la nocin de servicio pblico
trasciende las diversas posiciones ideolgicas abstencionistas, intervencionistas o neoliberales. Dicho contenido
refleja una conquista democrtica que se traduce en una teora del Estado cuyo cometido esencial es el cubrimiento
de las necesidades bsicas insatisfechas de toda la poblacin y el aseguramiento de un mnimo material para la
existencia digna de la persona. Los servicios pblicos son el medio por el cual el estado realiza los fines esenciales

173
Ahora bien, los doctores Velandia y Crdenas, afirman que la naturaleza de las

entidades de certificacin se considera como la prestacin de un servicio pblico142.

Indudablemente, la actividad de certificacin es un servicio pblico, que puede ser

prestado por entidades pblicas o privadas o conjuntamente entre estas. En respaldo

de dicha afirmacin, la Corte Constitucional expres que las Entidades de Certificacin

en desarrollo de sus funciones ejercen un servicio pblico: La naturaleza de la funcin

de las entidades de certificacin se considera como la prestacin de un servicio pblico

[...]143

Las entidades de certificacin en desarrollo de sus fines primordiales - facilitar y

garantizar las transacciones comerciales por medios electrnicos -, y al considerar que

este es un servicio pblico, necesariamente, requera, un control, por parte de una

entidad de orden estatal. Fue as, que la comisin redactora del proyecto, consider

que la Superintendencia de Industria y Comercio, era el rgano apropiado que deba

de servir a la comunidad, promover la prosperidad general y garantizar la efectividad de los principios derechos y
deberes constitucionales. Sentencia T 540. Sep. 24/92. M.P. Eduardo Cifuentes Muoz.
142 Velandia y Crdenas. Op. cit. p. 235
143 Corte Constitucional. Sentencia C-831. Expediente D 3371.

174
ejercer el control y la vigilancia sobre la actividad certificadora de las entidades de

certificacin.

Al respecto la Corte Constitucional asinti sobre la decisin del legislador:

En razn a que la naturaleza de la funciones de las entidades de certificacin se

considera como la prestacin de un servicio pblico, la inspeccin y vigilancia de los

servicios pblicos que tiene que ver con la certificacin, actividades que ejercern las

entidades de certificacin, debe radicarse en cabeza de una Superintendencia como la

de Industria y Comercio144.

La actividad certificadora puede ser prestada por diversos personas jurdicas pblicas o

privadas, lo cual es una garanta de la libre competencia, en beneficio del cliente.

5. Tipos de Entidades de Certificacin

144 Corte Constitucional Sentencia C-831. Expediente D-3371.

175
El Artculo 29145 de la Ley 527 de 1999 indica quienes pueden ejercer como Entidades

de Certificacin, expresando la posibilidad de que stas puedan ser pblicas o privadas:

1. Pblicas o privadas: Las Entidades de Certificacin podrn ser personas

jurdicas privadas o pblicas, dependiendo del origen del capital con que sean

constituidas.

Con respecto a este punto la CNUDMI, en la Gua para la Incorporacin de la Ley

Modelo manifest:

145 Artculo 29. Caractersticas y requerimientos de las entidades de certificacin. Podrn ser entidades de
certificacin, las personas jurdicas, tanto pblicas como privadas, de origen nacional o extranjero y las cmaras de
comercio, que previa solicitud sean autorizadas por la Superintendencia de Industria y Comercio y que cumplan con
los requerimientos establecidos por el Gobierno Nacional, con base en las siguientes condiciones:

a) Contar con la capacidad econmica y financiera suficiente para prestar los servicios autorizados como entidad de
certificacin.
b) Contar con la capacidad y elementos tcnicos necesarios para la generacin de firmas digitales, la emisin de
certificados sobre la autenticidad de las mismas y la conservacin de mensajes de datos en los trminos establecidos
en esta ley.
c) Los representantes legales y administradores no podrn ser personas que hayan sido condenadas a pena
privativa de la libertad, excepto por delitos polticos o culposos; o que hayan sido suspendidas en el ejercicio de su
profesin por falta grave contra la tica o hayan sido excluidas de aqulla. Esta inhabilidad estar vigente por el
mismo perodo que la ley penal o administrativa seale para el efecto.

176
 [...] Las entidades certificadoras podrn ser entidades pblicas o privadas. En algunos

pases, por razones de orden pblico, se prev que slo las entidades pblicas estn

autorizadas para actuar como entidades certificadoras. En otros pases, se considera

que los servicios de certificacin deben quedar abiertos a la competencia del sector

privado [...].

2. Nacionales o Extranjeras: El legislador previ la posibilidad de entidades de

certificacin extranjeras, consecuente con el mbito de globalizacin que rodea

la Ley. Lo importante es que se cumplan los requisitos legales y tcnicos

establecidos en la ley para ser una Entidad de Certificacin. En la prctica, para

que los efectos jurdicos de la certificacin extranjera estn ajustados a la ley

colombiana, es necesario el cumplimiento de las obligaciones de inscripcin para

sociedades extranjeras.

3. Cmaras de Comercio: Las cmaras de comercio de acuerdo con el Decreto

Reglamentario 1520 de 1978146 slo pueden ejercer las funciones sealadas en

el Artculo 86 del Cdigo de Comercio, lo que les impide competir con las

actividades propias del sector privado. Esto genera un inconveniente normativo

146 Decreto Reglamentario 1520 de 1978. Artculo 7. Limitaciones de funciones: Las cmaras de comercio slo
podrn ejercer las funciones sealadas en el Artculo 86 del Cdigo de Comercio y en el artculo 5 de ste decreto.

177
 en el sentido que las Cmaras de Comercio estaran impedidas para realizar la

actividad de certificacin a que se refiere la Ley 527 de 1999, sin embargo, por

virtud de sta Ley fueron expresamente facultadas.

Cuando existan dos normas contradictorias de diferente poca se entender que la

posterior modifica tcitamente la anterior. Por esta razn debe entenderse que la Ley

527 de 1999 derog tcitamente el Decreto Reglamentario 1520 de 1978 en la parte

relativa a la prohibicin de las Cmaras de Comercio de constituir competencia contra

instituciones del sector privado s lo hace como una Entidad de Certificacin.

Otra interpretacin al respecto sera la siguiente: La Ley 527 de 1999, otorg a las

Cmaras de Comercio la posibilidad de ejercer la Actividad Certificadora, con lo cual,

de acuerdo con el Numeral 12 del Artculo 86 del Cdigo de Comercio: Las dems que

les atribuyan las leyes y el Gobierno Nacional, se estara dotando con una nueva

funcin a las Cmaras de Comercio y, permitindoles competir contra el sector privado

en este especial ramo. As, el Artculo 86 del Cdigo de Comercio no se estara

derogando sido complementando.

En consecuencia les est prohibido realizar cualquier acto u operacin que no est encaminado al exclusivo
cumplimiento de las mismas, o que constituya competencia comercial con las actividades propias del sector privado.

178
 4. Notarios y Cnsules: De acuerdo con la Ley 527 de 1999 los notarios y los

cnsules no estaban previstos como entidades de certificacin. A raz de su

no inclusin, se suscitaron una serie de confusiones que encontraron respuesta

en la Ley 588 de julio 5 de 2000147, que las facult para ser Entidades de

Certificacin, previa autorizacin de la Superintendencia de Industria y Comercio.

5. Entidades de Certificacin Abiertas y Cerradas: El Decreto Reglamentario 1747

de 2000 en desarrollo de lo previsto por la Ley 527 de 1999 (Captulo II), clasific

las Entidades de Certificacin de la siguiente manera:

Artculo 1:

147 Ley 588 de 2000. Artculo 1. Notariado y competencias adicionales. El Notariado es un servicio pblico que se
presta por los notarios e implica el ejercicio de la fe pblica notarial.
PAR 1 . Las notaras y consulados podrn ser autorizados por la Superintendencia de Industria y Comercio como
entidades de certificacin, de conformidad con la Ley 527 de 1999.
PAR 2. Las notaras y consulados podrn transmitir como mensajes de datos, por los medios electrnicos, pticos y
similares a los que se refiere el literal a) del artculo 2 de la Ley 527 de 1999, a otros notarios o cnsules, copias,
certificados, constancias de los documentos que tengan en sus archivos, as como de los documentos privados que
los particulares quieran transmitir con destino a otros notarios y cnsules o personas naturales o jurdicas. Dichos
documentos sern autnticos cuando renan los requisitos tcnicos de seguridad que para la transmisin de
mensajes de datos establece la Ley 527 de 1999.

179
 Entidad de Certificacin Cerrada: Entidad que ofrece servicios propios de las entidades

de certificacin slo para el intercambio de mensajes entre la entidad y el suscriptor148,

sin exigir remuneracin por ello.

Sin perjuicio del contenido normativo del Artculo 1 del Decreto 1747 de 2000, la

no - remuneracin deber revaluarse y, sobre la marcha del ejercicio, se advertir la

necesidad de retribucin, que compense no slo la asuncin de responsabilidades, sino

el desgaste administrativo y el tiempo que se invierte en la emisin de certificados -

despliegue tcnico y humano -.

La entidad de certificacin cerrada es aquella que certifica el intercambio de mensajes

de datos entre la entidad y el suscriptor, con la particular caracterstica de que su

servicio es gratuito149.

148 Decreto 1747 de 2000. Artculo 1. Suscriptor: Persona a cuyo nombre ese expide un certificado.
149 Superintendencia de Industria y Comercio. Concepto No. 01062749 del 17 de septiembre de 2001:
Decreto 1747 de 2001. Artculo 1 numeral 8: Entidad que ofrece servicios propios de las entidades de certificacin
slo para el intercambio de mensajes entre la entidad y el suscriptor, sin exigir remuneracin por ello.

180
Para su funcionamiento necesita la autorizacin de la Superintendencia de Industria y

Comercio. Para obtener dicha autorizacin es necesario el cumplimiento de los

siguientes requisitos150:

1. Cumplir las condiciones establecidas en el artculo 29 de la Ley 527 de 2001, esto es:

a) Ser persona jurdica pblicas o privadas, de origen nacional o extranjero, una Cmaras

de Comercio o una Notara;

b) Contar con la capacidad econmica y financiera suficiente para prestar los servicios

autorizados como entidad de certificacin.

c) Contar con la capacidad y elementos tcnicos necesarios para la generacin de firmas

digitales, la emisin de certificados sobre la autenticidad de las mismas y la conservacin

de mensajes de datos en los trminos establecidos en esta ley.

2. Que los administradores y representantes legales no estn incursos en las causales de

inhabilidad previstas en el literal c) del artculo 29 de la ley 527 de 1999151;

150 Decreto 1747 de 2000 artculo 3.

151 Ley 527 de 1999. Artculo 29: c) Los representantes legales y administradores no podrn ser personas que hayan
sido condenadas a pena privativa de la libertad, excepto por delitos polticos o culposos; o que hayan sido
suspendidas en el ejercicio de su profesin por falta grave contra la tica o hayan sido excluidas de aqulla. Esta
inhabilidad estar vigente por el mismo perodo que la ley penal o administrativa seale para el efecto.

181
 3. Estar en capacidad de cumplir los estndares mnimos que fije la Superintendencia de

Industria y Comercio de acuerdo a los servicios ofrecidos.

4. Frente a la emisin de certificados, se deber indicar expresamente que slo podrn ser

usados entre la entidad emisora y el suscriptor152. Las entidades debern informar al

suscriptor de manera clara y expresa, previa expedicin de los certificados, que stos no

cumplen los requisitos del artculo 15153 del Decreto 1747 de 2000.

5. Diligenciar el Anexo No. 1 de la Resolucin 26930 de 2000 anexando la siguiente

informacin:

152 Vase artculo cuatro Decreto 1747 de 2000.

153 Decreto 1747 de 2000. Artculo 15. Uso del Certificado Digital. Cuando quiera que un suscriptor firme digitalmente
un mensaje de datos con su clave privada, y la respalde mediante un certificado digital, se darn por satisfechos los
atributos exigidos para una firma digital en el pargrafo del Artculo 28 de la ley 527 de 1999, s:

1. El certificado fue emitido por una entidad de certificacin abierta autorizada para ello por la Superintendencia de
Industria y Comercio.

2. Dicha firma se puede verificar con la clave pblica que se encuentra en el certificado con relacin a firmas
digitales, emitido por la entidad de certificacin.

3. La firma fue emitida dentro del tiempo de validez del certificado, sin que ste haya sido revocado.

4. El mensaje de datos firmado se encuentra dentro de los usos aceptados en la DPC, de acuerdo al tipo de
certificado.

182
 a) Certificado de Existencia y Representacin Legal de una entidad pblica, de notario o

cnsul.

Un formato diligenciando en Anexo 2 de la Resolucin 26930 de 2000 por cada uno

de los administradores o representantes legales.

1. Entidad de Certificacin Abierta: La que ofrece servicios propios de las entidades

de certificacin, tales como:

a) Su uso no se limita al intercambio de mensajes entre la entidad y el suscriptor; o

b) Recibe remuneracin por stos.

Son aquellas entidades de carcter oneroso que ofrece servicios de emisin de

certificados, en relacin con las firmas digitales, facilita el servicio de registro y

estampado cronolgico de transmisin y recepcin de mensajes de datos entre el

suscriptor del mensaje y un tercero cualquiera.

El artculo quinto del Decreto 1747 de 2000, establece que quienes pretendan realizar

las actividades propias de las entidades de certificacin abiertas debern

183
particularizarlas y acreditar ante la Superintendencia de Industria y Comercio lo

siguiente:

1. Personera jurdica o condicin de notario o cnsul;

Cuando se trate de una entidad extranjera, se deber acreditar el cumplimiento de los

requisitos contemplados en el Libro Segundo, Ttulo VIII del Cdigo de Comercio para

las sociedades extranjeras que pretendan ejecutar negocios permanentes en territorio

colombiano. Igualmente deber observarse lo establecido en el artculo 48 del Cdigo

de Procedimiento Civil154.

154 Cdigo de Comercio. Artculo 469: Son extranjeras las sociedades constituidas conforme a la ley de otro pas y
con domicilio principal en el exterior.

El artculo 471 del Cdigo de Comercio se establece los requisitos que debe cumplir una sociedad extranjera para
desarrollar su actividad en el pas:

1. Se distingue si la sociedad operara de forma permanente o transitoria; si la sociedad

operar de forma permanente, esto es, desarrollar una de las actividades descritas en el artculo 474 del
mismo cdigo, deber cumplir los siguientes requisitos:

a) Protocolizar en una notara del lugar elegido para su domicilio en el pas, copias autnticas del
documento de su fundacin, de sus estatutos, la resolucin o acto que acord su establecimiento
en Colombia y de los que acrediten la existencia de la sociedad y la personera de sus
representantes, y
b) Obtener de la Superintendencia de Sociedades o de la Bancaria, segn sea el caso, permiso para
funcionar en el pas.

184
 2. Que los administradores y representantes legales no estn incursos en las causales de

inhabilidad previstas en el literal c) del Artculo 29 de la Ley 527 de 1999155.

3. Declaracin de Prcticas de Certificacin (DPC) satisfactoria, de acuerdo con los requisitos

establecidos por la Superintendencia de Industria y Comercio156.

El Artculo Sexto del Decreto 1747 establece el contenido de la DPC en lo siguientes

trminos:

Es importante aclarar que las sociedades extranjeras se encuentran sujetas a la vigilancia del Estado Colombiano en
cabeza de la Superintendencia de Sociedades o de la Superintendencia Bancaria, segn su objeto social, de acuerdo
con lo establecido en el artculo 470 del Cdigo de Comercio. Sin embargo por disposicin del Decreto 2155 de 1992,
el permiso de funcionamiento en cabeza de la Superintendencia de Sociedades fue abolido, quien slo ejercer la
vigilancia de las mismas.

Artculo 48 del C.P.C. Representacin de personas jurdicas extranjeras. Las personas jurdicas de derecho privado
con domicilio en el exterior, que establezcan negocios permanentes en Colombia, debern constituir en el lugar
donde tengan tales negocios, apoderados con capacidad de representarlos judicialmente. Con tal fin se protocolizar
en la notara del respectivo circuito, prueba idnea de al existencia y representacin de dichas personas jurdicas y
del correspondiente poder. Un extracto de los documentos protocolizados se inscribir en el registro de comercio del
lugar, si se tratare de un sociedad, y en los dems casos en el Ministerio de Justicia.
Las personas jurdicas extranjeras que no tengan negocios permanentes en Colombia, estarn representados en los
procesos por el apoderado que constituyan con las formalidades prescritas en este cdigo.
155 Vase nota pie de pgina nmero 131.
156 Artculo 1 numeral 10. Decreto 1747 de 2000. Declaracin de Prcticas de Certificacin (DPC): Manifestacin de
la entidad de certificacin sobre las polticas y procedimientos que aplica para la prestacin de sus servicios.

185
La Superintendencia de Industria y Comercio definir el contenido de la Declaracin de

Prcticas de Certificacin DPC, la cual deber incluir, al menos lo siguiente:

1. Identificacin de la entidad de certificacin.

2. Poltica de manejo de los certificados.

3. Obligaciones de la entidad y de los suscriptores del certificado y precauciones que deben observar

los terceros.

4. Manejo de la informacin suministrada por los suscriptores.

5. Garantas que ofrece para el cumplimiento de las obligaciones que se deriven de sus actividades.

6. Lmites de responsabilidad por el ejercicio de su actividad.

7. Tarifas de expedicin y revocacin de certificados.

8. Procedimientos de seguridad para el manejo de los siguientes eventos:

a. Cuando la seguridad de la clave privada de la entidad de certificacin se ha visto

comprometida.

b. Cuando el sistema de seguridad de la entidad de certificacin ha sido vulnerado

c. Cuando se presenten fallas en el sistema de la entidad de certificacin que comprometan

la prestacin del servicio.

d. Cuando los sistemas de cifrado pierdan vigencia por no ofrecer el nivel de seguridad

contratados por el suscriptor.

186
9. El plan de contingencia encaminado a garantizar la continuidad del servicio de certificacin.

10. Modelos y minutas de los contratos que utilizarn con los usuarios.

11. Poltica de manejo de otros servicios que fuere a prestar, detallando sus condiciones.

4. Patrimonio mnimo de 400 salarios mnimos mensuales legales vigentes al momento de la

autorizacin.

El Artculo Sptimo (7) del Decreto 1747 de 2000 establece que el patrimonio mnimo

se establecer con base en lo siguiente:

1. Las cuentas patrimoniales de capital suscrito y pagado;

2. La Reserva legal;

3. El supervit por prima en colocacin de acciones y se deducirn las prdidas acumuladas y las

del ejercicio en curso.

El patrimonio mnimo deber acreditarse:

- En el caso de personas jurdicas, por medio de estados financieros, con una

antigedad no superior a 6 meses, certificados por el representante legal y el revisor

fiscal si lo hubiere.

187
- Tratndose de entidades pblicas, por medio del proyecto de gastos y de inversin

que generar la actividad de certificacin, conjuntamente con los certificados de

disponibilidad presupuestal que acrediten la apropiacin de recursos para dicho fin.

- Para las sucursales de entidades extranjeras, por medio del capital asignado.

- En el caso de los notarios y cnsules, por medio de los recursos dedicados

exclusivamente a la actividad de entidad de certificacin.

5. Constitucin de las garantas previstas en el Decreto 1747 de 2000.

Las garantas requeridas para el funcionamiento de una entidad de Certificacin abierta

estn contenidas en el artculo 8 del Decreto 1747 de 2000. De acuerdo con el

artculo en mencin slo se requiere el cumplimiento de una de las siguientes garantas:

- Seguros vigentes que cumplan con ciertos requisitos157;

157

188
 - Contrato de fiducia con patrimonio autnomo que cumpla con ciertas caractersticas158;

a) Ser expedidos por una entidad aseguradora autorizada para operar en Colombia. En caso de no ser posible
lo anterior, por una entidad aseguradora del exterior que cuente con la autorizacin previa de la
Superintendencia Bancaria.
b) Cubrir todos los perjuicios contractuales y extracontractuales de los suscriptores y terceros de buena fe
exenta de culpa derivados de errores y omisiones, o de actos de mala fe de los administradores,
representantes legales o empleados de la certificadora en el desarrollo de las actividades para las cuales
solicita autorizacin o cuenta con autorizacin.
c) Cubrir los anteriores riesgos por una cuanta asegurada por evento igual o superior al mayor entre:
i. 7.500 salarios mnimos mensuales legales por evento; o
ii. El lmite de responsabilidad definido en las prcticas de certificacin
d) Incluir clusula de restitucin automtica del valor asegurado;
e) Incluir una clusula que obligue a la entidad aseguradora a informar previamente a la Superintendencia de
Industria y Comercio la terminacin del contrato o las modificaciones que reduzcan el alcance o monto de la
cobertura.

158

a) Tener como objeto exclusivo el cubrimiento de las prdidas sufridas por los suscriptores y terceros
de buena fe exentos de culpa, que se deriven de los errores y omisiones o de actos de mala fe de los
administradores, representantes legales o empleados de la certificadora en el desarrollo de las actividades
para las cuales solicita o cuenta con autorizacin.
b) Contar con recursos suficientes para cubrir prdidas por una cuanta por evento igual o superior al
mayor entre:
i. 7.500 salarios mnimos mensuales legales por evento; o
ii. El lmite de responsabilidad definido en las prcticas de certificacin.
c) Que los fideicomitentes se obliguen a restituir los recursos de la fiducia en caso de una
reclamacin, por lo menos hasta el monto mnimo exigido en el punto anterior.

d) Que la fiduciaria se obligue a obtener permiso de la Superintendencia de Industria y Comercio,

previamente a cualquier cambio en los reglamentos, disminucin en el monto o alcance de la
cobertura, as como para el retiro de fideicomitentes y para la terminacin del contrato.

189
 6. Infraestructura y recursos por lo menos en la forma exigida en el Artculo 9 del Decreto 1747 de

2000159.

e) Que las inversiones estn representadas en ttulos de renta fija, alta seguridad y liquidez emitidos o
garantizados por la Nacin, el Banco de la Repblica o calificados como de mnimo riesgo por las
sociedades calificadoras de riesgo.

159 De acuerdo con el artculo noveno del Decreto 1747 de 2000, las Entidades de Certificacin debern contar con
un equipo de personas, una infraestructura fsica, tecnolgica, procedimientos y sistemas de seguridad, que
permitan a las Entidades:

1. Generar las firmas digitales propias y todos los servicios para los que soliciten autorizacin.
2. Garantizar el cumplimiento de lo previsto en la declaracin de prcticas de certificacin (DPC).
3. Calificar el sistema como confiable de acuerdo con lo sealado en el artculo 2 del Decreto 1747 de 2000.
4. Expedir certificados que cumplan los siguientes requisitos:
a. Lo previsto en el artculo 35 de la ley 527 de 1999; y
b. Alguno de los estndares de certificados que admita de manera general la Superintendencia de
Industria y Comercio.
5. Garantizar la existencia de sistemas de seguridad fsica en sus instalaciones, un monitoreo permanente de
toda su planta fsica, y acceso restringido a los equipos que manejan los sistemas de operacin de la
entidad.
6. Garantizar que el manejo de la clave privada de la entidad est sometido a un procedimiento propio de
seguridad que evite el acceso fsico o de otra ndole, a personal no autorizado.
7. Contar con un registro de todas las transacciones realizadas, que permita identificar el autor de cada una de
las operaciones.
8. Que los sistemas que cumplan las funciones de certificacin slo sean utilizados con ese propsito y por lo
tanto no puedan realizar ninguna otra funcin.
9. Que todos los sistemas que participen directa o indirectamente en la funcin de certificacin estn
protegidos por sistemas y procedimientos de autenticacin y seguridad de alto nivel de proteccin, que
deben ser actualizados de acuerdo a los avances tecnolgicos para garantizar la correcta prestacin del
servicio.

Ahora bien, de acuerdo con el artculo 10 del Decreto 1747 de 2000, cuando la entidad de certificacin requiera o
utilice infraestructura o servicios tecnolgicos prestados por un tercero, los contratos debern prever que la

190
 7. Informe inicial de auditoria satisfactorio a juicio de la misma Superintendencia.

8. Un mecanismo de ejecucin inmediata para revocar los certificados digitales expedidos a los

suscriptores, a peticin de estos o cuando se tenga indicios de que ha ocurrido alguno de los

eventos previstos en el Artculo 37 de la Ley 527 de 1999.

La Superintendencia de Industria y Comercio tendr la facultad de solicitar ampliacin o

aclaracin sobre el cumplimiento de cualquiera de los requisitos que estime

conveniente.

Si se cumplen los anteriores requerimientos se debe solicitar directamente ante la

Superintendencia de Industria y Comercio la autorizacin para funcionar como Entidad

de Certificacin.

En la actualidad la nica Entidad de Certificacin que ha obtenido autorizacin para

funcionar como Entidad de Certificacin Abierta es Certicamara, que pertenece a la

Cmara de Comercio de Bogot.

terminacin de los mismos est condicionada a que la entidad haya implementado o contratado una infraestructura o
servicio tecnolgico que le permita continuar prestando sus servicios sin ningn perjuicio para los suscriptores.

191
6. Responsabilidad de las entidades de certificacin:

La actividad de las entidades de certificacin, como se mencion, es la prestacin de un

servicio pblico, y como tal, su responsabilidad se extiende a la de un hombre de

negocios respecto a la ejecucin de su actividad, de modo tal, que cualquier

incumplimiento y/ o dao que se cause como consecuencia directa o indirecta de su

actividad debe ser resarcido de acuerdo con las normas sobre responsabilidad civil

contractual y extracontractual160.

La actividad certificadora debe ser desarrollada dentro de un marco de garantas y

responsabilidad altsimas, a tal punto, que las fallas humanas o tcnicas en el servicio

son responsabilidad de la entidad como ente prestador de un servicio pblico.

160 Al respecto el Dr. Javier Tamayo Jaramillo expres: La responsabilidad contractual y extracontractual suponen
que exista un comportamiento activo u omisivo del demandado; que el demandante haya sufrido perjuicio; y que
finalmente, haya un nexo de causalidad entre el comportamiento y el dao. TAMAYO JARAMILLO, Op. Cit. p. 41.

192
Las clusulas exonerativas de responsabilidad161 no tienen cabida cuando se contrata

con una entidad de certificacin para la expedicin de certificados digitales; los

perjuicios que se causen por una operacin de comercio electrnico que est

respaldada por una entidad certificadora estn garantizados. La Entidad debe escoger

una de las garantas que menciona el Artculo 8 Decreto 1747 de 2000. Precisamente,

las garantas que menciona el Artculo 8 del Decreto 1747, deben suplir las

necesidades econmicas en caso que haya lugar a indemnizar un perjuicio. De este

modo, no es viable jurdicamente hablando, establecer clusulas que exoneren a la

Entidad Certificadora de responsabilidad por los perjuicios que se deriven del desarrollo

de sus funciones, toda vez que el riesgo - profesional, debe soportarlo el prestador del

servicio.

La responsabilidad de la entidad es contractual y se regular por las normas del cdigo

civil y por las normas propias del negocio celebrado, sin perjuicio de la aplicacin de las

normas propias sobre comercio electrnico y la aplicacin de la teora del riesgo.

161 [...] la responsabilidad civil engloba todos estos comportamientos ilcitos que por generar dao a terceros hacen
surgir en cabeza de quien lo caus, la obligacin de indemnizar. Ibid., p. 12.

193
Sin perjuicio de lo anteriormente mencionado es importante aclarar que proceden para

la entidad de certificacin, como formas de exoneracin de responsabilidad: demostrar

diligencia y cuidado y/o culpa exclusiva de la vctima, es decir, inadecuado manejo de

las herramientas de seguridad.

La pgina de Internet www.onet.es, toca el tema de la responsabilidad de las entidades

de certificacin y afirma que sta comprende:

La informacin que contenga el certificado es exacta y confiable; desde la fecha de

emisin del certificado hasta su vencimiento o revocacin;

El certificado cumple con todas las garantas tcnicas mnimas de seguridad;

La entidad de certificacin es responsable por los perjuicios econmicos que se

causen como consecuencia de la expedicin de un certificado digital;

La entidad de certificacin podr exonerarse de su responsabilidad en cuanto

demuestre que tom todas las medidas razonablemente aplicables en la expedicin

del certificado;

La entidad de certificacin no ser responsable por perjuicios derivados de un uso

diferente al estipulado en el certificado digital;

194
7. Funciones y deberes de las Entidades de Certificacin:

Las funciones de las Entidades de Certificacin han sido definidas por el legislador y

jurisprudencialmente. La Corte Constitucional en Sentencia C-662 de 2000, al respecto

manifest:

[...] el servicio de certificacin a cargo de las entidades certificadoras propende por

proporcionar seguridad jurdica a las transacciones comerciales por va informtica,

actuando la entidad de certificacin como tercero de absoluta confianza, para lo cual la

ley le atribuye importantes prerrogativas de certificacin tcnica, entendiendo por tal, la

que versa, no sobre el contenido mismo del mensaje de datos, sino sobre las

caractersticas tcnicas en las que este fue emitido y sobre la comprobacin de la

identidad, tanto de la persona que lo ha generado, como la de quien lo ha recibido.

Los deberes de las entidades de certificacin se encuentran regulados en el Artculo 32

de la Ley 527 de 1999, los cuales pueden sintetizarse en una frase de la siguiente

manera:

195
La funcin y deber principal de las entidades de certificacin es la expedicin de

certificados digitales, de acuerdo con lo establecido en la Declaracin de Prcticas de

Certificacin, bajo las garantas mnimas que avalen la seguridad, confiabilidad

proteccin, debido uso de la informacin y conservacin de los mensajes de datos en

archivos digitales del sistema, permitiendo que el usuario o suscriptor tenga acceso

permanente al sistema y pronta resolucin de sus inquietudes y quejas, bajo la

permanente realizacin de auditorias e inspeccin y vigilancia por parte de la

Superintendencia de Industria y Comercio.

Por su parte el Artculo 13 del Decreto 1741 de 2000 complementa el Artculo 32 en los

siguientes aspectos:

Para la expedicin de certificados la entidad de certificacin debe cumplir una tarea

muy importante que en diferentes pases como Espaa, Estados Unidos o Inglaterra, la

cumple la denominada Autoridad de Registro162. En Colombia es una funcin y deber

162 Las Autoridades de Registro, son Entidades pblicas o privadas, encargadas de identificar y registrar a los
solicitantes de un certificado digital. Su funcin bsica es informar a las Entidades de Certificacin, sobre la calidad
personal y profesional de las personas naturales o jurdicas que soliciten el servicio de las Entidades de Certificacin,
quienes pretendan obtener un certificado digital. Las Autoridades de Registro, deben funcionar como organismos
adscritos a las entidades de certificacin, actualmente seran como las Superintendencia para los ministerios o los
intermediarios de seguros para las compaas Aseguradoras. Con autonoma patrimonial y administrativa, pero con

196
propio de las Entidades de Certificacin, lo cual consiste en la verificacin de la

identidad del suscriptor y su historial, comprobando que sea un sujeto de derecho

calificado para la realizacin de transacciones electrnicas. As mismo, la entidad debe

tener a disposicin de sus clientes la Declaracin de Prcticas de Certificacin,

debiendo explicarles de la forma ms clara posible el tipo de certificado que se est se

expidiendo, su grado de confiabilidad y la responsabilidad de la entidad en caso de

perjuicios derivados de dicha certificacin.

Como complemento, se impone la necesidad de disponer de una lnea exclusiva de

atencin al cliente y la obligacin de informar sobre la revocacin de los certificados o la

suspensin del servicio.

Se resalta la importancia en la conservacin de la documentacin que respalda los

certificados emitidos. El Artculo 12 de la Ley 527 de 1999 impone la obligacin de

la gran diferencia que sus actos comprometen su propia responsabilidad y la responsabilidad de las entidades de
certificacin.
El funcionamiento del sistema sera de la siguiente manera:
1. El usuario solicita la expedicin de un certificado a la Autoridad de Registro, acreditando toda la informacin
que le sea solicitada;
2. La Autoridad de Registro analiza la idoneidad del solicitante, lo ingresa a su base de datos y hace la
solicitud a la Entidad de Certificacin;

197
conservar los libros y papeles del comerciante en cualquier medio tcnico que garantice

su reproduccin exacta, sin establecer condiciones adicionales. De este modo, podra

pensarse que los mensajes de datos a que se refiere la Ley 527 de 1999, no deben

cumplir con la exigencia establecida en el Artculo 60163del Cdigo de Comercio, esto

es, ser conservados 10 aos fsicamente -, sin embargo, debern ser conservados en

medios que garanticen su reproduccin.

Las entidades de certificacin, deben conservar el uso exclusivo de las claves privadas,

implementando las seguridades necesarias que garanticen su privacidad.

Finalmente, las entidades de certificacin deben informar a la Superintendencia de

Industria y Comercio cualquier evento que comprometa la eficaz prestacin del servicio,

as como, informar y cumplir las instrucciones y requerimientos que imponga sta

Superintendencia.

3. La Entidad de Certificacin emite el Certificado, el cual se ajustar a los parmetros establecidos en la DPC
y de acuerdo con las necesidades del usuario.
163 Artculo 60 Cdigo de Comercio. Conservacin de Libros y Papeles de Comercio. Los libros y papeles a que se
refiere este captulo (Captulo I Ttulo IV) debern ser conservados cuando menos por diez aos, contados desde el
cierre de aquellos o a la fecha del ltimo asiento, documento o comprobante. Transcurrido este lapso, podrn ser
destruidos por el comerciante, siempre que por cualquier medio tcnico adecuado garantice su reproduccin exacta.
Adems, ante la Cmara de Comercio donde fueron registrados los libros se verificar la exactitud de la reproduccin

198
Las Entidades de Certificacin le brindan al mensaje de datos las siguientes

caractersticas: confidencialidad, autenticidad, integridad y no - repudiacin164.

La confidencialidad connota aquellos requisitos tcnicos mnimos para garantizar la

privacidad.

La autenticidad es la certificacin tcnica que identifica a la persona iniciadora o

receptora de un mensaje de datos.

La integridad es el cumplimiento de los procedimientos tcnicos necesarios que

garanticen que la informacin enviada por el iniciador de un mensaje de datos es la

misma del que lo recibi.

La no repudiacin es el procedimiento tcnico que garantiza que el iniciador de un

mensaje de datos no puede desconocer el envo de determinada informacin. 165

La confiabilidad va de la mano con la integridad, si un mensaje es integro, es decir, no

ha sido alterado, es confiable, agregando as el elemento de privacidad.

de la copia, y el secretario de la misma firmar acta en el que anotar los libros y papeles que se destruyeron y el
procedimiento utilizado para su reproduccin [...].
164 Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morn Daz.
165 Ibid., 3. Cargos Globales.

199
Un sistema confiable, es el que se desarrolla dentro de la rbita que brinda una Entidad

de Certificacin, a travs de la expedicin de Certificados Digitales, mediante el uso de

firmas digitales que se cifran con criptografa. La Corte Constitucional as lo entiende y

expres claramente166:

Por otra parte, en el proyecto de ley se hace hincapi como condicin de singular

trascendencia, en la integridad de la informacin para su originalidad y establece

reglas que debern tenerse en cuenta al apreciar esa integridad, en otras palabras que

los mensajes no sean alterados y esta condicin la satisfacen los sistemas de

proteccin

de la informacin, como la criptografa y las firmas digitales, al igual que la actividad de

las entidades de certificacin, encargadas de proteger la informacin en diversas

etapas de la transaccin, dentro del marco de la autonoma de la voluntad167.

Las Entidades de Certificacin, actuando como entes pblicos o privados, con poderes

de certificar, proporcionan a las relaciones comerciales por va informtica, la seguridad

166 Sentencia C-831 de 2011. Expediente D- 3371. Magistrado Ponente: Dr. lvaro Tafur Galvis.

200
jurdica que requieren para tener validez en el mundo comercial. Las Entidades de

Certificacin, en desarrollo de sus funciones, emiten un Certificado, el cual avala el

mensaje de datos, al dotarlo de la ms alta seguridad.

8. Certificados Digitales

El sistema PKI tiene su apoyo fundamental en la fiabilidad y, esta slo la puede

proporcionar un tercero neutral frente a las partes (emisor y receptor del mensaje).

Los certificados168 digitales son emitidos, gestionados, administrados y revocados por

las Autoridades de Certificacin.

El siguiente grfico ilustra la forma y el contenido169 de un certificado digital:

167 Sentencia C-662 de 2000. Expediente D- 2693. Magistrado Ponente: Dr. Fabio Morn Daz.
168 La palabra certificado de acuerdo con el Diccionario de la Lengua Espaola es la carta o paquete que se certifica.
En trminos jurdicos la certificacin implica que dicho documento est avalado por el emisor.

201
 CERTIFICADO DIGITAL

Tipo de Certificado
Nmero del Certificado
Algoritmo de la Firma Digital
Perodo de Validez
Nombre del titular
Titular:
Clave Pblica:
Autoridad de Certificacin
Identificador del Titular
Firma Digital de la Autoridad de Certificacin

El certificado digital cumple dos funciones bsicas:

1. Garantiza que la transaccin sea segura, proporcionando confiabilidad,

integridad, autenticidad y no repudio.

2. Permite que el receptor del mensaje de datos pueda acceder a la clave pblica

del remitente, para poder desencriptar el mensaje.

169 FONT, Andrs. Op. cit., p.

202
Los elementos bsicos de un Certificado de acuerdo con el Dr. Andrs Font170, son los

siguientes:

Identidad del usuario;

Nmero de serie del certificado;

Fecha de expiracin del certificado;

Copia de la clave pblica del usuario;

Identidad de la Entidad de Certificacin.

El Dr. Zubieta171, resalta la importancia de que no todos los mensajes de datos firmados

digitalmente son certificados digitales, para tener la calidad de certificado digital debe

cumplirse con los requisitos mnimos de contenido y seguridad, as como garantizar la

confidencialidad, autenticacin, integridad y no - repudiacin.

Como se mencion, a la fecha la nica Entidad de Certificacin autorizada por la

Superintendencia de Industria y Comercio es Certicamara.

170 Ibid. p. 74

171 ZUBIETA, Hermann. Op. cit., p. 66 y 67.

203
8.1 Certicamara

La actividad de expedir certificados en nuestro pas, es hoy en da bastante limitada, sin

embargo, a pesar del desconocimiento del tema, se han adelantado diversos proyectos,

impulsados por la necesidad de implementar mecanismos de seguridad que agilicen los

trmites y que generen una mejor calidad de vida. Como se ha venido mencionando,

slo existe una Entidad de Certificacin, abierta, autorizada por la Superintendencia de

Industria y Comercio para expedir Certificados Digitales. A continuacin se explica su

funcionamiento y sus servicios, para entender as, en la prctica, cmo hacer uso de

este servicio:

Certicmara172, nica Entidad de Certificacin abierta en funcionamiento, pertenece

como su nombre lo sugiere a las Cmaras de Comercio del pas.

172 Sociedad Cmara de Certificacin Digital Certicmara S.A., es una sociedad annima constituida por las
Cmaras de Comercio del pas, con el objetivo de prestar los servicios de certificacin digital que se regulan por la
Ley 527 de 1999 y sus Decretos Reglamentarios. Certicmara es una entidad de certificacin abierta, y de carcter

204
Certicmara ofrece tres tipos de certificados173:

Certificados de Representacin;

De pertenencia;

Certificados de Servidor Seguro.

- Certificados de Representacin de Empresa: Consiste en la expedicin de

certificados digitales en donde se relaciona una clave pblica con una

persona, indicando que dicha persona ostenta la calidad de representante

legal de una persona jurdica determinada al momento de expedicin del

certificado. Siendo responsable la entidad de informar oportunamente sobre

la revocacin del mismo. El representante legal tendr bajo su custodia la

clave privada. De forma tal que, cuando el representante legal quiera otorgar

poderes, celebrar contratos, votar en una asamblea etc., y se encuentre fuera

de su domicilio, bien sea dentro del mismo pas o fuera de l, podr firmar

digitalmente el documento que se requiera, el cual quedar avalado con su

firma digital y tendr, plena validez jurdica. El receptor recibir la clave

empresarial, que tiene como propsito fundamental crear comercio electrnico seguro. Es un tercero neutral que
brinda confianza en la transaccin.

205
 pblica a travs de Certicmara, para que pueda desencriptar el mensaje y

corroborar la representacin legal de dicha sociedad.

- Certificados de Pertenencia a Empresa: Consiste en la expedicin de

certificados donde se relaciona una clave pblica con una persona natural,

indicando que dicha persona ostenta un cargo especfico en una empresa

determinada al momento de la expedicin del certificado. Su funcionamiento

es igual al anterior. Este tipo de certificados es ideal para empresas

multinacionales o nacionales con varias sedes en el pas. Se ahorrar tiempo

y costos de traslado, entre muchos otros beneficios.

- Certificados de Servidor Seguro: Consiste en la expedicin de certificados

digitales en los que se relaciona una clave pblica con una direccin URL,

indicando que una persona determinada tiene el control y el derecho a ser

asociado a dicha direccin. Su funcionamiento es igual a los dos anteriores

certificados.

173 Vase ms informacin al respecto en la pgina web de Certicmara www.certicamara.com.co

206
Es destacable que una Entidad de Certificacin al hacer parte de una Cmara de

Comercio, como es el caso de Certicmara, suple las funciones de registro y de control

de idoneidad de los usuarios con un elemento de confianza adicional, por su especial

connotacin dentro del gremio.

Ahora bien, para acceder a estos servicios de certificacin digital, es necesario estar

inscrito en cualquiera de las Cmaras de Comercio a nivel Nacional174. Lo que supone

que slo se tiene implementado el sistema para la expedicin de certificados a

personas jurdicas. Posteriormente se debe abrir un proceso de solicitud llenando el

Formulario de Peticin del Certificado, que puede obtenerse en cualquiera de las

Cmaras de Comercio a nivel Nacional, al cual se deben adjuntar los documentos de

identificacin requeridos. Este formulario contiene las exigencias documentales

necesarias para la emisin del certificado. Una vez establecida la idoneidad del usuario,

el proceso termina con la expedicin del certificado, la cual debe estar enmarcada

dentro de los parmetros establecidos en la DPC.

174 Con este requisito, Certicmara se cura en salud y suple el paso investigativo de las Autoridades de Registro, ya
que por el slo hecho de estar inscrito, se avala por la misma Cmara la idoneidad del aspirante a obtener el
certificado como comerciante, lo que lo hace un candidato sin tacha para la expedicin de certificados digitales.

207
Es muy importante el reconocimiento fsico de la persona que solicita la expedicin del

certificado digital, para lo cual debe acudir a la cmara de comercio donde se encuentra

ubicado su domicilio social.

Una vez verificados los documentos presentados, Certicmara emite un certificado

digital, se almacena en una tarjeta inteligente la identidad del usuario, y su capacidad

de firma. Slo el propietario del certificado digital puede hacer uso de l al introducir su

nmero de identificacin personal, similar a la clave de una tarjeta dbito. Todos los

clientes reciben un kit de instalacin, el cual contiene un lector y una tarjeta inteligente

para que pueda firmarse digitalmente el documento que se quiera proteger. Los

Certificados que expide Certicmara tienen una vigencia de un ao, al cabo del cual

pierden su vigencia.

Certicamara175 utiliza como soporte de almacenamiento de Certificados una tarjeta

inteligente Smart Card, en la cual se almacena la identidad del usurario al igual que

su capacidad de firma. La tarjeta a su vez, contiene una clave o PIN que slo conoce su

propietario.

208
8.2 Validez de las certificaciones que expidan compaas extranjeras176

Al respecto la Superintendencia de Industria y Comercio en el concepto No. 00050766

del 23 de agosto de 2000 manifest que slo las Entidades Autorizadas por la

Superintendencia, conforme a la ley, podrn autorizar y dar fe de las Certificaciones de

Entidades extranjeras.

Se obvia el requisito, segn el cual, para que un documento creado o emitido en el

extranjero sea vlido en nuestro pas, debe estar avalado por el Cnsul de Colombia en

el pas de creacin y ratificado por el Ministerio de Relaciones Exteriores177.

La Superintendencia de Industria y Comercio emite un listado de las Entidades de

Certificacin de nivel mundial, consideradas idneas para su ejercicio en Colombia,

175 Vea ms informacin sobre Certicmara en la direccin electrnica www.certicamara.com.co

176 Ley 527 de 1999. Artculo 43: Los certificados de firmas digitales emitidos por entidades de certificacin
extranjeras, podrn ser reconocidos en los mismos trminos y condiciones exigidos en la ley para la emisin de
certificados por parte de las entidades de certificacin nacionales, siempre y cuando tales certificados sean
reconocidos por una entidad de certificacin autorizada que garantice en la misma forma que lo hace con sus propios
certificados, la regularidad de los detalles del certificado, as como su validez y vigencia.

209
cuya gestin y emisin de certificados es vlido por el hecho de estar admitida y

reconocida por la Superintendencia de Industria y Comercio178. De esta forma, la

Superintendencia de Industria y Comercio tiene un mayor control y establece lasos

comerciales de intermediacin importantes para el futuro, en cuanto se refiere al

comercio electrnico por Internet.

La Comisin de las naciones Unidas para el Desarrollo Mercantil Internacional

manifest la solidaridad en el riesgo, entre entidades de Certificacin de la siguiente

manera:

La Segunda parte: Gua para la incorporacin de la Ley Modelo de la CNUDMI 33

reconocimiento de certificados extranjeros se realiza generalmente mediante un

mtodo denominado certificacin cruzada. En tales casos es necesario que

entidades certificadoras sustancialmente equivalentes (o entidades certificadoras

dispuestas a asumir ciertos riesgos con respecto a los certificados emitidos por otras

entidades certificadoras) reconozcan mutuamente los servicios prestados, de forma

que los respectivos usuarios puedan comunicarse entre ellos de manera ms eficaz

y con mayor confianza en la fiabilidad de los certificados que se emitan.

177 CPC

210
En la actualidad, las Entidades Financieras y Aseguradoras, poseen certificados

emitidos por Compaas extranjeras, en particular el certificado que emite Verising, sin

embargo, Certicmara no ha entablado acuerdos de certificacin recproca con ninguna

entidad de certificacin digital del exterior. Esto por cuanto la ley requiere que las

entidades de certificacin acreditadas en el exterior cumplan requisitos equivalentes a

los exigidos a las locales. La normatividad colombiana es mucho ms estricta que la de

otros pases, como por ejemplo, E.U., donde el proceso de identificacin y emisin de

los certificados digitales es libre y por tanto no obedece a los estndares de seguridad

requeridos en Colombia. En este orden de ideas, puede afirmarse que jurdicamente,

estas compaas no ofrecen a sus usuarios una seguridad apta en cuanto a

negociaciones por medio telemticos se refiere, razn por la cual, es funcin de la

Superintendencia de Industria y Comercio pronunciarce frente al particular y someter a

dichas compaas para que adopten certificados vlidos y con respaldo jurdico en la

ley colombiana.

178 Al respecto vase la Circular Externa No. 054 de 2001.

211
9. Firmas digitales

El concepto de firma179 ha sido entendido como un signo que representa a una persona

natural o jurdica, con la cual se identifica y manifiesta su voluntad en una relacin

jurdica.

El diccionario de la Real Academia Espaola define la firma de la siguiente manera:

Nombre y apellido, o ttulo de una persona, que esta pone con rbrica al pie de un

documento escrito de mano propia o ajena, para darle autenticidad, y para expresar

que se aprueba su contenido, o para obligarse a lo que es l se dice.

Como es evidente, la Real Academia tiene una labor pendiente en actualizar el

concepto de firma e incluir sus nuevas acepciones.

La firma digital no se aleja del concepto bsico de firma, pero si es una especie

particular con caractersticas propias.

179 Slo nos referiremos a la firma digital dentro del contexto de las entidades de certificacin. Sobre las diferentes
nociones de firma dentro del contexto de los mensajes de datos vase el libro Introduccin jurdica al comercio
electrnico de los doctores Velandia y Crdenas. Op. cit., p. 215 a 218.

212
El Estado de UTA, en el ao de 1996, primer estado en legislar en los Estados Unidos

de Norteamrica, sobre el uso comercial de la firma digital, regul el tema de la

creacin de certificados digitales en relacin con firmas digitales de clave pblica, y

defini la firma digital de la siguiente manera:

Transformacin de un mensaje empleando un criptosistema asimtrico tal, que una

persona que posea el mensaje inicial y la clave pblica del firmante pueda

determinar con certeza:

1. Si la transformacin se cre usando la clave privada que corresponde a la clave pblica del

firmante, y;

2. Si el mensaje ha sido o no modificado desde que se efectu la transformacin.

La Ley 527180 de 1999 en su artculo segundo define la firma digital como:

180 El doctor MAURICIO CARVAJAL CRDOBA, en su artculo Marco jurdico de la firma digital: Hacia donde
vamos? Publicado en mbito Jurdico (Legis S.A) publicacin agosto 21 a septiembre 3 de 2001, hace un recuento
de la normativa sobre firma digital en el mundo, as:

Espaa: Real Decreto 14 de septiembre 17 1999;

Unin Europea: Directiva 1999/93, por medio de la cual se establece un marco comunitario para la firma
electrnica; pueden mencionarse a dems de esta Directiva las siguientes: Directiva sobre proteccin de
datos (aprobada en octubre de 1998); Directiva sobre Copyright: pretende reforzar los derechos de autor y

213
 Un valor numrico que se adhiere a un mensaje de datos y que, utilizando un

procedimiento matemtico conocido vinculado a la clave criptogrfica privada del

iniciado, permite determinar que este valor numrico se ha obtenido exclusivamente

con la clave criptogrfica privada del iniciador y que el mensaje inicial no ha sido

modificado despus de efectuada la transformacin.

El Dr. Font181 define la firma digital as:

Tcnicamente, una firma digital es un mecanismo de clave pblica que vincula la

identidad de una parte (en una relacin o transaccin) a un determinado mensaje. De

forma similar a como una firma escrita vincula el documento firmado con el autor de la

firma.

proteger su obra de las copias digitales; Directivas sobre comercio electrnico: establece el principio de que
los medios electrnicos pueden ser utilizados para celebrar contratos; Directiva sobre Dinero Electrnico:
establece regulaciones supremamente estrictas para los emisores de dinero electrnico con el nico
propsito de enmarcar dentro de la ms alta credibilidad a estas formas de pago; Directiva sobre firma
digital: esta directiva se produce en medio de fuertes enfrentamientos conceptuales entre quienes
defendan la postura bajo la cual se debera establecer el sistema de software y hardware para la
elaboracin de la firma digital, y quienes sostenan que deba ser el mercado el que estableciera estos
mecanismos segn las necesidades del mismo.
Estados Unidos: durante los ltimos aos todos los estados excepto Montana han adoptado medidas en
relacin con la firma electrnica. Se han desarrollado tres tipos de nociones en torno a esta: la firma
electrnica bsica, la firma electrnica limitada y la firma digital.
181 FONT, Andrs. Op. cit. p.

214
A travs de la firma digital se pretende garantizar que un determinado mensaje de datos

procede de una persona determinada; que el mensaje no ha sido modificado desde su

creacin y transmisin y, que el receptor no puede modificar el mensaje recibido.

La Ley 527 reconoci adems, la equivalencia entre la firma manuscrita y la firma

digital. Para tal efecto la firma digital debe cumplir con ciertos requisitos que expone el

Artculo 28:

Artculo 28. Atributos de una firma digital. Cuando una firma digital haya sido fijada en

un mensaje de datos se presume que el suscriptor de aquella tena la intencin de

acreditar ese mensaje de datos y de ser vinculado con el contendido del mismo.

PARAGRAFO: El uso de una firma digital tendr la misma fuerza y efectos que el uso

de una firma manuscrita, si aquella incorpora los siguientes atributos:

1. Es nica a la persona que la usa.

2. Es susceptible de ser verificada.

3. Est bajo el control exclusivo de la persona que la usa.

4. Est ligada a la informacin o mensaje, de tal manera que si stos son

cambiados, la firma digital es invalidada.

5. Est conforme a las reglamentaciones adoptadas por el Gobierno

215
 Nacional.

La CNUDMI, en el Artculo 6 de la Ley Modelo incluy dos aspectos que no fueron

incluidos por el Legislador:

c) es posible detectar cualquier alteracin de la firma electrnica hecha despus del

momento de la firma; y

d) cuando uno de los objetivos del requisito legal de firma consista en dar seguridades

en cuanto a la integridad de la informacin a que corresponde, es posible detectar

cualquier alteracin de esa informacin hecha despus del momento de la firma.

La CNUDMI defini la firma electrnica de la siguiente forma:

Artculo Segundo. Definiciones: a) Por firma electrnica se entendern los datos en

forma electrnica consignados en un mensaje de datos, o adjuntados o lgicamente

asociados al mismo, que puedan ser utilizados para identificar al firmante en relacin

con el mensaje de datos e indicar que el firmante aprueba la informacin recogida en el

mensaje de datos;

Es importante en este punto, hacer la siguiente diferenciacin entre los conceptos de

firma electrnica182, firma digital y firma certificada. La firma electrnica es aquella cuya

182 El Decreto Ley 14 de Espaa En su Artculo 2 define las firmas electrnicas:

216
creacin implica el uso de medios informticos, independientemente de cual sea ste,

es decir, que cualquier firma que implique el uso de la informtica puede considerarse

como firma electrnica; as la firma digital y la firma certificada son firmas electrnicas,

aquellas son especie y esta es el gnero. Por su parte, la firma digital es aquella que se

vale del proceso de clave pblica y, la firma certificada es aquella que adems de

utilizar el proceso de clave pblica es avalada por un tercero de confianza Entidad de

Certificacin por medio de la expedicin de un Certificado Digital183 -.

Precisamente, una de las formas de dar seguridad a la validez en la creacin y

verificacin de una firma digital es la criptografa. La cual es una rama de las

matemticas aplicadas que se ocupa de transformar, mediante un procedimiento

sencillo, mensajes en formas aparentemente ininteligibles y devolverlas luego a su

forma original184.

En Grecia, siglo VI antes de Cristo, se utiliz el primer cifrado, llamado escitalo". El

escitalo era un bastn. El emisor enrollaba una tira de cuero alrededor del bastn y

Es el conjunto, en forma electrnica, anejos a otros datos electrnicos asociados funcionalmente

con ellos, utilizados como medio para identificar formalmente al autor o a los autores del
documentos que la recoge.
183 Al respecto puede consultarse al Dr. ZUBIETA, Hermann. Op. cit. p. 70 a 72.
184 FONT, Andrs. Op. cit. p. 156.

217
escriba longitudinalmente sobre el bastn. Despus desenrollaba la tira y la enviaba

con un mensajero - que desconoca el contenido -, al destinatario. Sin conocer el

dimetro del bastn - que haba jugado el papel de clave -, era imposible descifrar el

mensaje. Ms adelante el ejercito romano utiliz el cifrado de Cesar - para la

transmisin y planeacin de estrategias militares - consistente en desplazar el alfabeto

tres letras hacia delante o atrs.

Durante 19 siglos, se asiste al desarrollo de tcnicas de cifrado experimentales donde

la seguridad resida esencialmente en la confianza que el usuario depositaba en dichos

sistemas. En el siglo XIX, Kerchoffs estableci los principios de la criptografa moderna,

cuyas mximas establecen que la seguridad de un sistema de cifrado reside en la

clave y no en el procedimiento de cifrado. As las cosas, concebir sistemas

criptogrficos deba responder a ese criterio. Sin embargo, estos sistemas carecan de

cimientos matemticos suficientes para medir y cuantificar su resistencia a eventuales

ataques. En 1948 y 1949 dos artculos de Claude Shannon, Teora Matemtica de la

Comunicacin y sobre todo Teora de la Comunicacin de los Sistemas Secretos,

dieron los cimientos cientficos a la criptografa. Shannon prob que el cifrado de

Vernam introducido algunas decenas de aos antes - todava llamado one time pad -

era el nico sistema incondicionalmente seguro. Sin embargo, el sistema era

218
impracticable. Razn por la cual hoy en da la verificacin de la seguridad de un

sistema, se centra en la seguridad computacional. En la medida que un sistema de

cifrado de clave secreta sea seguro, ningn ataque conocido debe vulnerar el sistema.

En 1975 Diffie y Hellman publicaron un artculo llamado New Directions in Cryptography

(Nuevas direcciones en Criptografa) que cambi la concepcin de los criptgrafos,

introduciendo el concepto de criptografa de clave pblica185. Los algoritmos de cifrado

185 La solucin completamente revolucionaria que propusieron fue introducir la nocin de funcin de una sola va con
trampa, o trapdoor one-way function (tambin conocida como funcin de un sentido irreversible). Es una funcin que
se calcula fcilmente en un sentido, pero que es computacionalmente imposible de invertir si no se conoce un
secreto llamado trampa, aunque la funcin sea conocida por todos. Entonces la clave pblica es la funcin, mientras
que la trampa, conocida por un nmero restringido de usuarios se denomina clave privada. Para descifrar el mensaje
el receptor invierte la funcin utilizando la trampa. El ejemplo ms perfecto de criptosistema de clave pblica y, sin
lugar a dudas, el ms simple aparece justo dos aos despus, en 1978. Se debe a Rivest, Shamir y Adleman de
donde toma el nombre RSA. Se basa en la dificultad de factorizar dos nmeros enteros. La clave privada est
formada por la tripleta (p,q,d) donde p y q son dos nmeros primos de aproximadamente el mismo tamao, d es un
nmero entero primo con p-1 y con q-1. La clave pblica se compone del par (n,e). Donde n=pq y e es el inverso de d
mdulo (p-1)(q-1), i.e.
ed = 1 mod(p-1)(q-1).

Supongamos que Alvaro desea enviar un mensaje cifrado con la clave pblica de Julian (n,e). Primero transforma el
mensaje en un nmero m inferior a n. Despus calcula:

c = me mod n, y enva el resultado c a Bob. ste, cuya clave pblica es (p,q,d), calcula:

cd mod n = med mod n = m.

En el caso de RSA, la funcin de una sola va con trampa que se considera es la funcin que asocia a un nmero
x<n el valor xe mod n. (Informacin obtenida de la pgina web www.

219
con clave secreta (o clave privada), los nicos conocidos hasta entonces, ya no

satisfacan las nuevas necesidades que aparecan paralelamente a la explosin de

nuevos medios de comunicacin muy impersonales, como por ejemplo, el desarrollo de

las redes de comunicaciones.

Mediante el uso de un equipo fsico especial, los operadores crean un par de cdigos

matemticos, a saber: una clave secreta o privada, conocida nicamente por su autor, y

una clave pblica, conocida como del pblico. La firma digital es el resultado de la

combinacin de un cdigo matemtico creado por el iniciador para garantizar la

singularidad de un mensaje en particular, que separa el mensaje de la firma digital y la

integridad del mismo con la identidad de su autor.

La criptografa puede definirse como el mecanismo de algoritmos que hace un mensaje

de datos indescifrable.

Los componentes bsicos de un sistema criptogrfico son los algoritmos y las claves.

220
Los algoritmos son ecuaciones matemticas que contienen una variable, y que pueden

ser adaptados a cada uso, insertando una secuencia de bits186 segn el uso que se

requiera. La secuencia variable de bits es lo que se conoce como clave.

El Diccionario de la Real Academia Espaola define la criptografa como el Arte de

escribir con clave secreta o de un modo enigmtico.

La firma digital debe cumplir idnticas funciones que una firma manuscrita, consignada

en papel. En tal virtud, se toman en consideracin las siguientes funciones de esta

ltima:

Identificar a una persona como el autor, lo que le da autenticidad al documento.

Las firmas digitales no slo vinculan a una persona con un contenido sino que

eliminan la posibilidad del repudio, situacin que se presenta frecuentemente en

el caso de la firma manuscrita, lo que se traduce en mayor eficacia jurdica de la

firma digital sobre la firma manuscrita. Para dar autenticidad a un documento

186 Los bits pueden definirse como la unidad mnima de informacin. Toda la informacin que manipula y guarda un
ordenador est codificada en bits.

221
 firmado manualmente, se suele firmar cada una de sus hojas, sin embargo, esto

no garantiza la alteracin o modificacin del contendido.

Dar certeza de la participacin exclusiva de esa persona en el acto de firmar. La

firma digital en su forma operativa garantiza que slo la persona que conoce la

clave privada o que tiene acceso a ella puede firmar digitalmente un documento,

cumpliendo la misma funcin que la firma manuscrita, sometida a los mismo

riesgos, en cuanto tiene que ver con la fuerza o violencia que se puede ejercer

sobre su titular para obtener su firma, pero con la gran ventaja que la firma digital

no se puede reproducir y es slo aplicable a un documento en particular. Nunca

se repite la misma firma, lo que representa una gran ventaja frente a la firma

manuscrita en trminos de seguridad. A diferencia de la firma electrnica, que es

siempre la misma y que es utilizada para firmar electrnicamente los

documentos, como por ejemplo, la firma del representante legal en las plizas de

seguro.

Asociar a esa persona con el contenido del documento. La firma digital, como se

mencion, cumple con la garanta jurdica del no repudio, y garantiza adems

que un documento firmado digitalmente no puede ser alterado. Lo que garantiza

por un lado la vinculacin del firmante con el contenido - autenticidad y, por

otro la fiabilidad del documento. En el supuesto caso de que el documento

222
 firmado digitalmente fuese alterado, dicho cambio se detectara en forma

inmediata por parte del receptor del mensaje, lo que hara inhbil dicho

documento frente al mundo jurdico.

9.1 Creacin de una firma digital

La firma digital se crea a travs del mecanismo de funcin hash. ste es una funcin

criptogrfica que se aplica a un texto y lo reduce a un tamao fijo. El texto reducido es

conocido como message digest. Una vez el texto es reducido se encripta con la clave

pblica en los sistemas asimtricos o con la clave privada en los sistemas simtricos. El

producto final de esta operacin es la firma digital.

Ejemplo de una firma digital:

Owr67iuydfgibruyw++frfvds+++dfdsl0987fanasliubiuedsbieuwhbewiufhcbiuexnbgre

iruchiunaefxuygewauygdsbiewj7u6ytbcq987eyfq087eyf0q98efucq098eufq98ey982

3r74cbjhdsgbfsduygfcow8uer7nyftco837r983yrc34+`3qr9fcu09pqinpoiepofunq+`f

p++qrfucreoifq``..-dfhuer5/(.

223
Cuando el receptor recibe el mensaje encriptado utiliza su clave privada o pblica para

desencriptarlo, la clave contiene la misma funcin hash con que se encript el mensaje,

y lo convierte en el message digest inicial, el cual debe ser idntico al generado por el

suscriptor, caso en el cual hay plena garanta de que el mensaje no ha sido alterado ni

modificado.

9.2 Caractersticas de las firmas digitales

Son nicas;

Estn bajo el control exclusivo del emisor y receptor, aunque en el sistema de

clave pblica una de las claves es de acceso pblico y puede ser conocida por

cualquier persona;

Cada transaccin que se realice debe utilizar una clave nueva, creada para un

nico mensaje de datos;

Son susceptibles de ser verificadas por la entidad de certificacin que las cre;

Van adjuntas al documento de forma tal que pueda verificarse si el mensaje ha

sido alterado despus de ser encriptado;

224
 Para que tengan garanta legal deben ser creadas por entidades autorizadas

para tal fin.

10. El Sistema PKI

La infraestructura de clave pblica es un mecanismo de seguridad creado y utilizado

para generar confianza en el comercio electrnico, con el fin que las transacciones por

la red sean tan confiables como lo es la interaccin cara a cara.

10.1 Tipos de sistemas PKI

El Dr. Font187 explica claramente los dos tipos de sistemas criptogrficos: simtricos y

asimtricos

a) Sistema simtrico: Existe una sola clave que es utilizada por el remitente y el

receptor. Esta clave es utilizada tanto para encriptar como para desencriptar o descifrar

el mensaje. Este sistema se denomina de clave compartida.

225
Este sistema presenta un problema de seguridad. Cuando se ha encriptado el mensaje,

la clave debe ser remitida al destinatario del mensaje para que pueda descifrarlo. La

remisin de la clave es insegura, y hace vulnerable el sistema. La inseguridad consiste

en que los sistemas de transporte utilizados para enviar la clave, son vulnerables ya

que no poseen sistema de proteccin avanzados. Es un sistema de encriptacin ideal,

para empresas que ejecutan espordicamente negocios jurdicos por Internet, pero que

su negocio no est basado en estos. As por ejemplo, las Entidades Financieras, que

prestan servicios a travs de la red Internet, como trasferencia de fondos, consulta de

saldos, pagos etc., deben implementar mecanismos de seguridad basados en clave

pblica asimtrica, toda vez que el envo de claves no se encuentra protegido. As,

cuando el usuario se conecta a la pgina web de la Entidad y desea llevar a cabo

cualquiera de los servicios que sta ofrece, debe digitar desde su computador las

claves secretas tanto de acceso a la pgina web de la Entidad como, la clave secreta

de su cuenta de ahorros o corriente; las claves viajan a travs de la red por fibra ptica

o por redes telefnicas o, cualquiera otra utilizada para acceder a la red Internet, lo cual

no tiene proteccin alguna y puede ser interceptado por los piratas informticos. Para

ms claridad, el fenmeno podra explicarse como la interceptacin de una

comunicacin telefnica y saber lo que dicen los interlocutores, para nuestro caso sera

187 FONT, Andrs. Op. cit., p. 127 a 129.

226
interceptar la comunicacin y obtener las claves secretas, lo que representa un atractivo

para los delincuentes informticos que estn al asecho para obtener las claves privadas

del usuario.

La siguiente grfica ilustra este sistema:

EMISOR

MENSAJE
MENSAJE ENCRIPTACIN
ENCRIPTADO

CLAVE PRIVADA

La clave debe ser transmitida al receptor para

descencriptar el mensaje. Esta transmisin es

insegura, lo cual genera un riesgo.

RECEPTOR

MENSAJE DESENCRIPTACI
MENSAJE
ENCRIPTADO N

CLAVE PRIVADA

227
 Grfica No. 10. Sistema de Encriptacin Simtrica. Fuente: Andrs Font. Op. cit., p. 54.

El sistema simtrico, es apropiado cuando se transfiere informacin que no tiene

importancia para terceros y que no implica el manejo de recursos, donde las partes

intervinientes quieren dotar de cierta seguridad la informacin.

b) Sistema asimtrico188: este sistema utiliza dos claves; una pblica la cual es de libre

acceso y puede ser conocida por cualquier persona; y una privada, que es de uso

exclusivo y privativo del usuario. La clave pblica es transmitida a travs de medios

inseguros - del emisor al receptor o de la entidad al receptor - o simplemente est

disponible en la pgina web de la entidad certificadora. Esta transferencia no necesita

de seguridad alguna, ya que la clave puede ser conocida por cualquier persona sin que

se afecte la seguridad del sistema. La clave privada del emisor es entregada

personalmente al emisor de manera que se garantiza la privacidad de la clave privada y

consecuentemente la seguridad del mensaje de datos transmitido. De esta manera el

188 "[...]Claude Shannon en el ao de 1948 con su obra A mathematical Theory of Communication quien ofrece el
soporte cientfico a las bases para una teora de la informacin y posteriormente, por su parte el paso decisivo lo
dieron Whitfield Diffie y Martn Hellman en el ao de 1976 con su libro titulado New direction in Criptography,
quienes establecieron un sistema denominado de Clave Pblica [...]. Citado por Velandia y Rincn. Op. cit., p. 210.

228
sistema es altamente seguro y confiere a las transacciones electrnicas la seguridad

que requieren.

La siguiente grfica ilustra este sistema:

EMISOR

MENSAJE
MENSAJE ENCRIPTACIN
ENCRIPTADO

CLAVE PBLICA DEL

RECEPTOR

La clave debe ser transmitida al receptor para

desencriptar el mensaje. Esta transmisin es

insegura, lo cual genera un riesgo.

RECEPTOR

MENSAJE DESENCRIPTACI
MENSAJE
ENCRIPTADO N

CLAVE PRIVADA
DEL RECEPTOR

229
 Grfica No. 11. Sistema de Encriptacin Asimtrica. Fuente: Andrs Font. Op. cit., p. 55.

10.2 Funcionamiento del sistema

1. El emisor y el receptor acuerdan un negocio jurdico, que se realizar a travs de

la red INTERNET;

2. Las dos claves; tanto la pblica como la privada se encuentran en poder del

receptor del mensaje;

3. El emisor del mensaje utiliza la clave pblica que le entrega el receptor, para

que encripte el mensaje de datos;

4. El mensaje es enviado y recibido por el receptor;

5. El receptor toma su clave privada y desencripta el mensaje.

Sin embargo, pese a la indudable seguridad que implica el sistema asimtrico, surge un

inconveniente con respecto a la autenticidad del iniciador del mensaje de datos, toda

230
vez que si bien se garantiza que el mensaje de datos viaja seguro y, que no es alterado

ni modificado, no se tiene la certeza de que quien envi el mensaje sea quien dice ser,

razn por la cual, cabra la opcin del repudio en dicha comunicacin. Las soluciones

que se presentan son dos: la primera, estara relacionada con el tercero de confianza,

es decir, que si el mensaje de datos es avalado no slo por la firma digital sino por una

Entidad de Certificacin, abra total respaldo jurdico y no cabra la opcin de repudio.

La segunda sera utilizar cuatro claves, dos privadas y dos pblicas. Tanto el iniciador

del mensaje como el receptor tienen dos claves: pblica y privada. El iniciador, con su

clave privada encripta el mensaje de datos y con la clave pblica del receptor lo vuelve

a encriptar, una vez recibido, el receptor con la clave pblica del iniciador lo desencripta

y con su clave privada lo vuelve a desencriptar para obtener el mensaje original,

garantizando as la autenticidad y el no repudio.

10.3 Objetivos de la PKI

El sistema de clave pblica o PKI (key public infraestructure) busca generar confianza

en el comercio electrnico en las transacciones electrnicas de todo tipo, comerciales,

legales, oficiales, personales, etc. Las transacciones y comunicaciones de todo tipo,

que utilizan el sistema de encriptacin son hoy en da seguras gracias a este sistema.

231
La criptografa de clave secreta, al igual que la criptografa de clave pblica permite

elaborar sistemas de cifrado, asegurando la confidencialidad de las comunicaciones.

Sin embargo, el debate sobre la criptografa est centrado en la capacidad

computacional de los chips y su actual - bajo costo -. Sobre el particular el Dr. Font189

afirm:

Esta capacidad de computacin es la que sirve para generar las claves criptogrficas.

Pero tambin es la que se utiliza, ilegalmente, para descifrarlas, utilizando para ello lo

que se conoce como ataques de fuerza bruta (bruce force attacks), que

bsicamente consisten en utilizar esta capacidad para tratar de encontrar, mediante

millones de combinaciones aleatorias, la verdadera.

As, entre mayor nmero de bits en una clave, ms compleja es descifrarla y viceversa.

Los sistemas de encriptacin fuerte son aquellos que utilizan 128 bits o ms. El Artculo

18 de la Resolucin 26930 de Octubre 26 de 2000, por medio del cual se definieron los

estndares, planes y procedimientos de seguridad, estableci que los algoritmos y la

longitud de la clave seleccionados deben ser superiores o iguales a 1024 bits en el

189 FONT, Andrs, Op. cit., p. 56.

232
algoritmo de RSA o su equivalente. Longitudes inferiores sern admitidas, pero no

menores de 512 bits.

10.4 Las funciones de las PKI desde una triple perspectiva190

a) Tecnolgica: Sistema compuesto por software y hardware, sistemas criptogrficos y

tecnologa interface que permite la generacin de claves pblicas y privadas; el efecto

prctico de ste sistema es que proporciona seguridad mxima, a travs de algoritmos

y claves casi imposibles de descifrar.

b) Negocial: Promociona el comercio, hacindolo rpido, con garanta plenas, seguro,

legal, eficaz, y muy rentable.

c) Legal: Es amparado por la legislacin, y por tratados internacionales.

10.5 Estructura del Sistema de Infraestructura de Clave Pblica (PKI)

190 Ibid. p. 59 a 61.

233
La infraestructura de clave pblica, para que tenga pleno respaldo jurdico, debe ser

montada por una Entidad de Certificacin. Es importante aclarar que el sistema de

cifrado con base en la criptografa y las claves secretas, puede ser ejecutado por todo

aquel que tenga la infraestructura computacional para hacerlo, sin embargo, bajo la

rbita de la normatividad nacional e internacional, si bien el mensaje de datos cifrado a

travs de clave pblica por un tercero diferente a una Entidad de Certificacin, tiene

validez probatoria, la autenticidad del mensaje no puede garantizarse, as como

tampoco habr un tercero de confianza que asuma la responsabilidad por los perjuicios

que se llegaren a causar. La Autoridad de Certificacin tiene a su cargo la emisin de

certificados digitales, los cuales contienen una informacin general acerca del mensaje

de datos que se ha encriptado, y respaldan jurdicamente la operacin.

Los sistemas operativos de la PKI son los siguientes191:

Servidor de certificados o emisin de certificados;

Sistema de revocacin de certificados, cuando se de alguno de los presupuestos

del artculo 37 del Decreto 1747 de 2000.

191 Ibid. p. 63.

234
 Sistema automtico de renovacin de certificados cuando se cumpla su vigencia

y el contrato de prestacin servicios de certificacin sea renovado por el

suscriptor.

Sistema de almacenamiento de claves y certificados emitidos.

Sistema de validacin.

Software del usuario que le permita acceder a los servicios ofrecidos.

Time stamping: que sirve para autenticar la fecha y hora en que se realiza una

determinada transaccin o comunicacin.

10.6 Modelos de PKI

Bsicamente existen dos modelos de PKI:

a) Abierto: Es el prestado por las entidades de certificacin abierta; utiliza

una estructura operacional de seguridad cuadrangular; que se explica con

el siguiente grfico:

Emisor Directorio
Publicacin de certificados

235
 Solicitud de Envo del

Certificado Certificado Certificado

Suscriptor Usuario

Mensaje Encriptado

Grfica 12. Modelo Abierto. Fuente. Andrs Font. Op. cit., p. 88.

El suscriptor solicita directamente al emisor - Entidad de Certificacin - la expedicin de

un certificado digital para transmitir un mensaje seguro a un usuario determinado. Para

llevar a cabo la transmisin el usuario se dirige al directorio y le pide que le enve el

Certificado del suscriptor. Como se vio anteriormente el Certificado contiene la firma

digital, que no es otra cosa que el mensaje encriptado.

b) Cerrado: Es el prestado por las entidades de certificacin cerradas; utiliza

una estructura operacional de seguridad triangular, que se explica con el

siguiente grfico:

Emisor

Envo

236
 Certificados certificado

Solicitud

certificado

Suscriptor Usuario

Mensaje encriptado

Grfica 13. Modelo Cerrado. Fuente. Andrs Font. Op. cit., p. 89.

Esta estructura a diferencia de la cuadrangular, consiste en que el emisor desarrolla un

doble funcin - la propia de emisor y la de directorio - el emisor expide el certificado al

suscriptor y a su vez lo enva al usurario.

Si se pregunta cul de las dos estructuras es la ideal, sin lugar a duda debe

responderse que el sistema cuadrangular genera ms garantas que el sistema

triangular. El desarrollo de las funciones en el primero, el sistema es ms organizado y

tanto la responsabilidad como el riego son asumidos segn el grado de participacin; la

especialidad de cada una de las Entidades - emisor y directorio -, genera, en teora,

eficiencia calidad. Sin embargo, esto no significa que una Entidad de Certificacin

operando con un sistema triangular no pueda llevar a cabo transmisiones altamente

seguras y, con un servicio al cliente ptimo; todo depende de la estructura

237
organizacional de la Entidad. Por ejemplo, la actividad de certificacin desarrollada por

las Cmaras de Comercio, como es el caso colombiano, por su misma naturaleza

directorio de comerciantes es altamente segura y eficaz.

Ahora bien, la estructura que utiliza el sistema triangular es ms sencilla que la

cuadrangular, en nuestro pas existe un sistema triangular, con caractersticas propias

del sistema cuadrangular. Si bien no existe un tercero diferente a la Entidad de

Certificacin que cumpla las funciones de directorio, Certicmara al ser una Cmara de

Comercio y establecer como uno de los requisitos para acceder a la expedicin de un

certificado digital la inscripcin como comerciante, dicha inscripcin cumple de cierta

forma, aunque no de forma ideal, la funcin de la Autoridad de Registro, que es en

ltimas garantizar la idoneidad de las personas que pretendan obtener certificados

digitales.

En el futuro prximo la estructura triangular ser la ms utilizada en nuestro medio,

siendo explcita la necesidad de crear, si las necesidades del mercado as lo exigen,

una Autoridad de Registro. Mientras no sea una necesidad, estar a cargo de las

Entidades de Certificacin, verificar la aptitud de los usuarios para acceder a la

expedicin de certificados digitales.

238
Ahora bien, aunque en la teora las estructuras cuadrangular o triangular de que pueden

valerse las Entidades de Certificacin para desarrollar su objeto social son importantes

tanto a nivel comercial como a nivel de garantas, la verdad es que slo en la medida en

que el mercado lo requiera, debe pensarse en la figura del directorio - Autoridad de

Registro -. En Colombia el volumen de transacciones va Internet es bastante limitado, y

en esa medida la implementacin de figuras estructurales complejas - sistema

cuadrangular -, que requieren una inversin importante en tecnologa e infraestructura,

lo cual no tiene cabida en el mercado Colombiano y en general en el Suramericano.

239
 6. LOS MEDIOS DE PAGO Y PROCEDIMIENTOS DE CERTIFICACIN

Ha sido necesario un siglo para pasar de la moneda

de cobre a la moneda de papel. Ha sido necesario
medio siglo para pasar de la moneda de papel al
cheque. Ser necesario un cuarto de siglo para pasar
del cheque a la tarjeta de pago. Y probablemente
ser necesario otro cuarto de siglo para pasar de la
tarjeta de plstico con banda magntica a la tarjeta
con microprocesador.
Juan Carlos Carbonel Pintanel.

Las tarjetas de pago tienen diversas funciones como lo expresa la Dra. Gmez

Mendoza192:

[...] instrumento o medio de pago; instrumento de crdito; instrumento de garanta y

como medio para obtener dinero, bien en oficinas bancarias, bien en cajeros. Como

medio de pago, las tarjetas permiten el pago, de bienes y servicios sin necesidad de

desembolsar dinero efectivo. Esta es la funcin bsica y la que autoriza a denominar a

todas las tarjetas como tarjetas de pago.

192 GMEZ MENDOZA, Mara. Consideraciones Generales en torno a la Tarjeta de Crdito. Estudios en Homenaje a
Joaqun Garriges. Madrid: 1971. Tomo II. P. 393. Citado por CARBONEL. Op. cit., p. 169.

240
Para que el comercio electrnico tenga un desarrollo sostenible, deben existir medios

de pago electrnicos que permitan la transferencia de fondos de manera segura, que

garanticen la autenticacin, autorizacin, no - repudiacin, integridad de la informacin

y la privacidad de la misma193.

En la medida que existan medios de pago seguros a precios accesibles y, de

aceptacin internacional, el porvenir del comercio electrnico estar garantizado.

Como se mencion, los medios de pago, tienen hoy en da un gran obstculo: la

inseguridad. Bsicamente se presentan dos grandes problemas; la verificacin de la

autenticidad y, la interceptacin de claves. Generalmente, los mecanismos de

seguridad implementados por los establecimientos de comercio y por las entidades

financieras no garantizan la autenticidad del mensaje de datos, es decir, es incierto si

quien est comprando a travs de la tarjeta de crdito es el verdadero titular o un

delincuente. La razn principal, como se a reiterado a lo largo del presente estudio, es

el sistema de seguridad, como por ejemplo el protocolo SSL, que si bien es un

mecanismo ptimo para ciertos entornos comerciales, no lo es cuando a manejo de

fondos se refiere.

193 Al respecto puede consultarse Colegio de Abogados de Medelln. Derecho del Comercio Electrnico. Medelln:
Ed. Biblioteca Jurdica Dike. 2002. p 163 a 178.

241
Ahora bien, en la actualidad cuando la Entidad emisora del medio de pago verifica que

los datos suministrados - nmeros y claves -, son los asignados, autoriza la transaccin

eximindose de todo tipo de responsabilidad con fundamento en que de acuerdo con el

Reglamento de Uso del medio de pago, las claves secretas son privadas y de uso

exclusivo del titular, as, cualquier fraude que se ocasione ser asumido por el titular del

producto. Es evidente, entonces, que las Entidades Financieras estn desconociendo

que la falla, en la mayora de los casos, se presenta en su sistema de seguridad y no

por el mal manejo de las claves asignadas al cliente. En nuestro pas, las

autorizaciones para transacciones electrnicas por Internet no estn reguladas ni existe

un mecanismo confiable que le permita al usuario comprador, ni al usuario vendedor,

tener la plena certeza de que las transacciones que realizan son completamente

seguras y respaldadas. Por ejemplo, CREDIBANCO VISA celebra con sus usuarios

vendedores un Convenio Especial Para Las Ventas no Presenciales, por medio del

cual, el establecimiento de comercio a travs de su pgina web puede vender sus

productos en cualquier parte del mundo. Sin embargo, dicho convenio establece

clusulas de responsabilidad en cabeza exclusiva del establecimiento de comercio por

cualquier inconveniente o perjuicio que se produzca como consecuencia de llevar a

cabo una transaccin on line. Ahora bien, sin perjuicio de estos convenios de adhesin,

242
que celebran las entidades dueas de los medios de pago con sus usuarios, donde la

responsabilidad recae en este ltimo, la autorizacin - como uno de los elementos de

ms trascendencia en la transaccin - en todos los casos, proviene del Banco emisor,

lo que compromete la responsabilidad del Banco frente a la autorizacin, es decir, que

si se presenta algn tipo de perjuicio, como consecuencia de la autorizacin emitida por

el Banco, ste no se puede eximir de su responsabilidad y deber responder por su

accin u omisin segn sea el caso.

La no - repudiacin, como se vio en el captulo anterior, se logra en la medida en que el

mecanismo utilizado para llevar a cabo la transaccin est asegurado o, se valga del

sistema de clave pblica, en esta medida no podr haber repudiacin y la privacidad

estar garantizada por un tercero de confianza.

Existen diversos medios de pago en el mercado, y las compaas emisoras de stos,

como aquellas que buscan ampliar su campo de accin, buscan, constantemente,

opciones seguras de pago. De este modo, la estrategia se debe centrar en el desarrollo

de medios de pago seguros, como cimiento de las transacciones por medios

telemticos. As, quien desarrolle medios de pago seguros, de fcil acceso y a costes

accesibles, tendr el mercado en sus manos.

243
1. Breve Resea de las Tarjetas de Crdito

Sobre las tarjetas de crdito se ha hecho popular como lo expresa el Dr. Manuel E.

Cifuentes Muoz194, la historia segn la cual FranK Mcnamara en una noche de 1949,

avergonzado por no tener como pagar la cuenta del restaurante, se le ocurri la idea de

crear una tarjeta parecida a la de los grandes almacenes, para pagar las cuentas de los

restaurantes. De ah surgi Diners Club. De acuerdo con Cifuentes [...] la historia de la

tarjeta de crdito propiamente dicha se inicia en realidad a finales del siglo XIX en el

seno de la industria hotelera [...], posteriormente y segn lo relata Cifuentes la historia

continua con las llamadas cartas de prestigio que emitieron las compaas petroleras

Esso y Texaco hacia 1920, ergo surgen en 1936 las tarjetas de pago para servicios

areos y ferroviarios. Definitivamente el boom de la tarjeta de crdito se inicia con la

aparicin de Diners Club, y subsiguientemente en el ao de 1958 con la creacin de la

tarjeta American Express. Ulteriormente en el ao 1959 el Bank of America lanza al

244
mercado la Bank Americard con ms de 3.000 bancos adheridos, que se convertira en

la conocida marca Visa International. Siguiendo esta misma tendencia aparece la

California Bank Card que hoy en da es la marca Master Card.

Jos Carlos Carbonel Pintanel195 afirma que las tarjetas de pago - dbito y crdito -,

tuvieron origen en los viajes de placer.

A finales del siglo XIX algunos hoteles crearon, en Estados unidos, las Tarjetas de

buenos clientes cuyas caractersticas ms relevantes eran identificar al cliente y

eximirle de pago inmediato de las prestaciones realizadas. Posteriormente, en la

segunda dcada de este siglo XX, parecieron en Estados Unidos unas tarjetas de

buenos clientes (Shoppers plates) emitidas por comerciantes (grandes almacenes,

hoteles), y tambin unas tarjetas de caractersticas similares, emitidas por empresas

petrolferas americanas a favor de camioneros y automovilistas que aunque, en

principio, tuvieron gran difusin no resultaron rentables para las compaas petrolferas

que se vieron obligadas a restringir su uso a finales de los aos 30.

194 Op. cit, p. 86 a 100.

195 CARBONEL. PINATEL, Jos Carlos. La Proteccin del Consumidor Titular de Tarjetas de Pago en la Comunidad
Europea. Madrid: Ediciones Beramar, S.L. EUROLEX. 1994. p. 28.

245
La depresin de los aos treinta, ocasion una parlisis en las tarjetas de pago,

principalmente, por la cartera morosa que se increment a niveles insostenibles. En

1932 con la presidencia de Franklin D. Roosevelt, varias compaas promocionaron sus

ventas y se cre el sistema de tarjeta de crdito Bell, implementado por le American

Telephone and Telegraph. Posteriormente, con el inicio de la segunda guerra mundial,

los sistemas econmicos del mundo, incluyendo las tarjetas de pago, tuvieron un

repliegue hasta 1948, donde Diners Club logr posicionarse en el mercado con tanta

popularidad que se produjo la pelcula El hombre de Diners Club196. En 1958 aparece

la tarjeta de American Express, lo que coincide con la historia del Dr. Cifuentes, que

para 1982 haba sobrepasado en ventas a Diners Club con un total de 15 millones de

tarjetas y 25 millones en 1987, lograron una expansin en 1958 sacaron al mercado sus

tarjetas que tuvieron gran acogida. Para la dcada de los aos 60 los bancos crearon

asociaciones con el fin de colocar un gran nmero de tarjetas, de donde sali la tarjeta

Master Card en los aos 80. A principio de 1991 circulaban un promedio de 257

millones de tarjetas de Visa con una facturacin que estaba cercana a los 350.000.oo

millones de dlares197.

196 SIMON, Julio A. Tarjetas de Crdito. Buenos Aires: Abedelo Perrot. Captulo II. p. 43. Citado por CARBONEL. Op.
cit., p. 29.

246
En la actualidad, sin duda alguna, las tarjetas de crdito constituyen el medio de pago

ms usual198. Por su parte el Dr. Andrs Font199, quien corrobora esta afirmacin,

explica las razones por las cuales las tarjetas de crdito son el medio de pago ms

utilizado:

La gran mayora de las personas la poseen;

No se necesita ningn conocimiento tcnico para su utilizacin;

Existe una amplia regulacin proteccionista al propietario de la tarjeta de crdito.

Los fraudes son difcilmente repetidos;

El riesgo por utilizacin fraudulenta recae en el vendedor.

2. Principales instrumentos de seguridad SSL y SET

El SSL (Secure Sockets Layer), es el estndar desarrollado por Netscape

Communications Corporation, que utiliza tecnologa de encriptacin para las

197 Vea ms detalles Ibid. p. 27 y siguientes.

198 El Dr. Manuel E. Cifuentes Muoz, en su artculo cita algunas estadsticas tomadas del peridico EL TIEMPO,
suplemento El mundo de las tarjetas Edicin septiembre 11 de 1998.
En Amrica Latina el nmero de plsticos llegaba a los 50 millones y en el mundo a los 900 millones de tarjetas,
que facturaron para el mismo perodo de 1998 compras por cerca de 700.000 millones de dlares.
199 FONT, Andrs. Op. cit., p. 66.

247
comunicaciones entre los servidores y los navegadores. Este sistema proporciona un

canal seguro para la transmisin de los detalles de la tarjeta. Para su utilizacin es

necesario que el usuario comprador tenga instalado un programa que le permita

seleccionar el algoritmo de encriptacin de sus datos personales, as como escoger la

magnitud de las claves, esto es, que tamao va a tener la firma digital que se utilizar

durante la transaccin. Como se sabe, la instalacin del programa no es ningn

problema en la medida que la pgina web del vendedor le permite al usuario comprador

descargar el programa gratis. As finalmente, las transacciones mediante SSL slo

requieren el diligenciamiento de un formulario, datos personales y bancarios del

usuario, que son cifrados mediante criptografa simtrica. El receptor del mensaje al

recibir los datos los desencripta y hace efectiva la transaccin.

El SSL proporciona una seguridad razonable - integridad y confidencialidad - pero no

lleva a cabo ningn proceso de autenticacin, razn por la cual se le denomina

operacin de tarjeta no presentada.200 As mismo, este tipo de transacciones implica

un riego adicional, tanto para el usuario vendedor, en la medida en que se haga una

utilizacin fraudulenta de la tarjeta de crdito, como para el usuario comprador, en la

200 LVAREZ LVAREZ, Julio Leonzo. Colegio de Abogados de Medelln. Derecho del Comercio Electrnico.
Medelln: Ed. Biblioteca Jurdica Dike. 2002. p 166 y 167.

248
medida en que el comerciante haga un uso indebido de su tarjeta al poseer los datos

bancarios y personales de ste201. Sin embargo, las entidades financieras en Colombia

tienen implementado este sistema, lo cual representa riesgos inminentes.

Por su parte el SET (Secure Electronic Transaction), desarrollado por Visa y Master

Card con el apoyo de GTE, IBM, SAIC, Terisa, Verising, Microsoft y Netscape,

proporciona seguridad entre el emisor de una tarjeta de crdito su titular y los bancos

involucrados en la transaccin. Adems de asegurar la integridad de las

comunicaciones, tiene la ventaja que identifica a las partes contratantes, lo cual evita el

repudio por una de ellas, es decir que a diferencia del SSL involucra a todas las partes

interesadas en el proceso de pago, que son: el banco emisor de la tarjeta, el banco

receptor - banco del comerciante que recibe el dinero -, el usuario comprador dueo de

la tarjeta y el comerciante. A diferencia del SSL el SET se vale de la criptografa para

impedir al comerciante conocer los datos personales y bancarios del comprador

evitando de esta manera el uso fraudulento de stos, generalmente empleados con

fines publicitarios sin la autorizacin del usuario. El sistema de pago SET es por tanto

seguro y garantiza la autenticacin, integridad y confidencialidad de la operacin. Como

201 Al respecto puede verse a RINCN RIOS, Jarvey, BOHADA VILA, Lubn, SUAREZ, Miguel Angel. Transferencia
Electrnico de Fondos. Ed: Universidad Santiago de Cali. Cali. 2002. p. 115.

249
aspecto negativo de esta forma de pago puede mencionarse la lentitud de la operacin

y su alto costo, en la medida en que tanto comprador como vendedor requieren instalar

un software compatible que permita el intercambio de datos.

Como respuesta a las tradicionales formas de pago, y a la desconfianza que generan

las mismas aparecen los denominados digital cash. Existen bsicamente dos formas:

las smart cards y los software wallets.

Las tarjetas inteligentes son aquellas que tiene incorporado un microprocesador que

contiene la informacin sobre el titular y su crdito. Las tarjetas inteligentes tiene varias

de nominaciones.

Como lo expresa el Dr. CARBONEL202, las denominaciones pueden ser las siguientes:

La tarjeta inteligente es denominada de diversas maneras: tarjeta con

microprocesador, tarjeta con microchip, tarjeta con memoria, tarjeta a puce, en francs

y smart card en ingls [...].

Los bancos franceses han sido los primeros en adoptar la tarjeta con memoria (ao

1986 en Rennes, Francia) con el fin de aumentar la seguridad en las transacciones

250
 electrnicas y abrir la va a nuevos servicios [...]. Otros pases como Noruega, Nueva

Zelanda, estados Unidos y Gran Bretaa, estn siguiendo este camino.

Las tarjetas inteligentes poseen grandes ventajas, entre las cuales la ms sobresaliente

es la seguridad, y los grandes obstculos a superar, entre los cuales el ms

trascendental es la reduccin de costos operacionales y la capacidad de memoria, toda

vez que entre mayor memoria, mayor seguridad, sin embargo, los piratas informticos

prefieren sistemas complejos con gran memoria para poner en funcionamiento sus

sistemas, igualmente complejos, razn por la cual, una memoria reducida puede ser un

punto a favor de la seguridad.

a) Smart Card:

Los Smart Cards son una tarjeta de plstico del tamao de una tarjeta de crdito, que

en lugar de utilizar una banda magntica utiliza un microchip con capacidad de

encriptacin y memoria. Para poder hacer uso de la smart card es necesario conocer el

PIN o clave secreta para acceder a ella. La smart card contiene dos claves

criptogrficas; una que es guardada en el ordenador del Banco o de la Entidad de

202 CARBONEL. Op. cit. p. 70.

251
Certificacin, la otra est almacenada en la tarjeta, sta es privada y ni siquiera la

conoce su titular. Cuando la smart card pasa a travs de un lector y se digita

correctamente el PIN, la clave privada encripta la informacin requerida y la enva a su

destinatario quien con la clave del Banco o de la Entidad desencripta el mensaje.

Un punto a favor de las smart card est relacionado con la seguridad, gracias a su

limitada capacidad de memoria impide posibles ataques de hackers, toda vez que el

sistema rechaza el programa del hacker, que de acuerdo con los estudios de seguridad

son sistemas operativos complejos, al no poder operar en un campo con tan poca

memoria.

b) Software Wallets:

El Software Wallets es un software localizado en un ordenador, que consiste en el

almacenamiento de dinero virtual. Su funcionamiento se basa en el pago virtual. El

software a travs de una cuenta bancaria permite transferir recursos del Banco del

comprador al Banco del vendedor. En la prctica este sistema afronta importantes

barreras pese a las ventajas de seguridad que ofrece. Dentro de stas pueden

252
mencionarse: la nula aceptacin en el mercado y la necesidad de instalacin de

software adicionales, entre otros. Este sistema es tambin conocido como las tarjetas

monederas, que incorporan un chip en el cual puede almacenarse un valor monetario,

el cual ha sido cancelado previamente por el titular de la tarjeta al Banco emisor. Sin

embargo, y pese a su poca aceptacin y difusin este medio de pago se constituye

como una alternativa importante.

En el futuro prximo, lo ms probable es que las tarjetas de crdito sean reemplazadas

por las smart cards, sobre todo con la nueva tendencia del comercio electrnico a

travs de telefona mvil. La explicacin de este cambio es sencilla; los usuarios buscan

satisfacer sus necesidad a travs de la adquisicin de bienes y servicios, en lo posible

reduciendo costos, es decir, buscan una relacin costo beneficio favorable a sus

intereses. As las cosas, las smart card, brindan confianza en las transacciones

electrnicas, lo que le proporciona al usuario la posibilidad de adquirir cualquier bien

que se ofrezca en la red con la ms alta tecnologa de seguridad a precios accesibles.

Por un lado, estara satisfaciendo sus expectativas y, obtendra un beneficio a un costo

muy razonable, garantizando la seguridad de la operacin gracias a la seguridad del

sistema, as mismo, podr acceder a cualquier bien o servicio independientemente del

sitio geogrfico en donde se encuentre la empresa, sin la necesidad de trasladarse. El

253
gran inconveniente de las tarjetas de crdito, es que los riesgos y los perjuicios son

asumidos por el establecimiento de comercio o por el usuario comprador, a diferencia

de este sistema, las nuevas formas de pago - smart card o monederos - gracias a su

seguridad de cifrado, garantizan la inalterabilidad de la operacin y los riesgos se

trasladan a un tercero, generalmente una compaa aseguradora. De esta suerte, la

responsabilidad derivada del desarrollo de la actividad - pago con tarjetas inteligentes -,

es ms clara, y las entidades emisoras de este medio de pago no podrn exhonerarse

de responsabilidad, como actualmente lo vienen haciendo las entidades emisoras de

tarjetas de crdito.

El pago a travs de los telfonos celulares203 puede hacerse de varias maneras: con las

smart card, con tarjetas prepago y con tarjetas de crdito. Las tarjetas prepago,

funcionan de manera idntica a como estn operando las tarjetas para llamadas

nacionales, locales, internacionales y llamadas a celular que se encuentran hoy en el

mercado - tarjeta ETB o tarjeta TELEPSA -. Estas tarjetas tienen un PIN o clave secreta

que permite garantizar la validez de la tarjeta en el sistema, as el usuario comprador al

realizar una compra en los establecimientos que cuenten con el software para tal fin,

203 La generalizacin del telfono mvil en estos ltimos cuatro aos ha llevado a algunas empresas telefnicas a
generar soluciones de seguros y rpidos. En Espaa los Bancos BBVA y BSCH y las operadoras TEEFNICA Y
AIRTEL, uniendo esfuerzos estn lanzando al mercado un sistema de pago mvil, con el cual procuran ganar ms
de cinco y medio millones de usuarios, entre comerciantes y clientes. RINCN. BOHADA, SUAREZ. Op. cit., p. 119.

254
debe digitar los nmeros de su clave, el sistema verifica la capacidad de pago de la

misma y autoriza electrnicamente el pago. Este sistema es, sin lugar a duda, prctico

seguro y confidencial, sin embargo presenta el problema de su difusin toda vez que no

es generalizado, en gran medida, por los altos costos que implica acceder a los

mercados. Para tener una idea de su costo puede mencionarse el sitio Internet

Cash204, en los Estados Unidos, quien comercializa las tarjetas prepago entre 10 y 100

dlares.

Otra forma de pago es la billetera virtual. Este sistema creado por Microsoft y Yahoo,

consiste en la compra con tarjeta de crdito, pero a diferencia del tradicional mtodo de

pago, esta forma de pago funciona remitiendo los datos personales y bancarios por una

sola vez, los datos son almacenados y asegurados mediante la criptografa y para llevar

a cabo una compra slo se requiere la identificacin del usuario y hacer clic en el icono

billetera virtual. Este sistema tiene como fin primario evitar la transmisin continua de

204 Vase ms informacin al respecto en TORO, Jos. Colegio de Abogados de Medelln. Derecho del Comercio
Electrnico. Medelln: Ed. Biblioteca Jurdica Dike. 2002. p. 188. http://www.internetcash.com/. Como lo expresa el
Dr. Toro la empresa BEENZ.COM (http//:www.beenz.com) desarroll su propia moneda virtual. Para hacer uso de
este servicio debe ingresarse a la pgina web de la empresa, diligenciar un formulario y una vez verificados los datos
se puede hacer uso del medio de pago. Sin embargo, estas sociedades enfrentan serios problemas de mercadeo y
de pagos de acreencias financieras, razn por la cual, varias de ellas, incluso BEENZ.COM, han tenido que cerrar
sus negocios y replantear sus estrategias de mercadeo.

255
datos personales y bancarios, para impedir la interceptacin y uso fraudulento de los

datos.

El dinero electrnico busca las mismas ventajas que el dinero fsico, con mayores

comodidades, como lo expone el Dr. Martnez Nedal205:

[...] se intenta ofrecer las mismas ventajas que con el dinero fsico, que son

bsicamente las siguientes: a) Aceptacin universal como medio de pago. b) Pago

garantizado que no depende de la existencia de fondos en una cuenta ni la

concesin de crdito de un tercer. c) Inexistencia de costos para el usuario. d)

Anonimato: No queda ni rastro de las personas que lo utilizan (problema asociado a

los protocolos de pago mediante tarjeta, pues al entregar el nmero de tarjeta en

cada compra se deja un rastro fcil de seguir que permite constituir un perfil del

titular.

Las implicaciones jurdicas de los medios de pago recaen necesariamente en el campo

de la responsabilidad contractual, es muy importante tener en cuenta el tipo de contrato

que se celebra con los proveedores de servicios de pagos on line, para determinar las

205 Citado por RINCN, BOHADA, SUAREZ. Ibid., p.117.

256
obligaciones de las partes y tener muy claro hasta donde llega la responsabilidad de

estos proveedores.

Ahora bien, resulta necesario que los usuarios conozcan sus derechos y obligaciones,

frente a los medios de pago, toda vez que, frecuentemente, el emisor no le proporciona

la informacin suficiente al cliente, generndose una publicidad engaosa. De esta

suerte, la Superintendencia Bancaria mediante Circular Externa 002 de 2004 manifest

la obligatoriedad de brindar una informacin veraz, a los clientes con relacin a las

tarjetas de crdito y dbito, en los siguientes trminos:

Obligacin general de prestacin de servicios en condiciones de seguridad,

transparencia y eficiencia

Corresponde a los establecimientos de crdito adoptar e implementar tecnologas

mediante las cuales se presten adecuadamente los servicios a travs de tarjetas

dbito o crdito o mediante el empleo de terminales, cajeros automticos y puntos de

servicio en oficinas y establecimientos comerciales, de forma que los mismos se

realicen en condiciones de seguridad, transparencia y eficiencia (artculo 325, literal

c. EOSF).

Reglas de informacin en materia de tarjetas dbito o crdito

257
 Las entidades que expidan tarjetas dbito o crdito deben disear y aplicar

mecanismos adecuados y permanentes de divulgacin, que permita a sus tarjeta

habientes conocer el funcionamiento de las mismas.

A travs de los citados mecanismos debe ponerse a disposicin de los clientes y

usuarios como mnimo la siguiente informacin:

Al momento de la entrega de la tarjeta, de manera clara, sencilla y completa, acerca

de, entre otros aspectos, los beneficios, cuidados fsicos, seguridades en el uso de

cajeros automticos y en los puntos de servicios de establecimientos comerciales,

procedimientos a seguir ante prdida, robo, retenciones no autorizadas de las

tarjetas y advertir acerca de los posibles fraudes que se puedan cometer.

La descripcin de los mecanismos y procedimientos establecidos para brindar

seguridad en las operaciones, precisando el nivel de proteccin que ofrecen.

La enunciacin de las obligaciones del cliente o usuario en la ejecucin de las

operaciones y la advertencia de los riesgos que supone el incumplimiento de las

mismas.

De acuerdo con lo anterior, so pena de incurrir en responsabilidad por omisin, las

Entidades emisoras de medios de pago, deben suministrar al cliente informacin

completa, precisa y veraz, que le permita al usuario tener la suficiente capacidad de

258
decisin sobre el producto. As mismo, debe informarse apropiadamente sobre las

clusulas contractuales y su alcance. La Comisin Europea en la recomendacin

88/590/CEE seala que el consumidor debe recibir informacin apropiada sobre las

clusulas contractuales, incluidos los cnones y otros gastos [...] y sobre sus derechos

y obligaciones con arreglo al contrato206.

206 Citado por CRBONEL. Op. cit., p. 247.

259
 CONCLUSIONES

Las fronteras nacionales sern lneas dibujadas

en los mapas, mientras que el flujo de negocios y
el comercio correr libremente en una economa
digitalizada sin fronteras.
John Naisbitt

- La materializacin es consecuencia directa del fenmeno del conocimiento a

travs de los sentidos, es un ejemplo claro de la teora emprica207. El derecho ha

sido durante todos los tiempos netamente emprico, la legislacin se ha formado

y redactado con base en negocios cara - cara, donde la formalidad escrita

representa la prueba reina del negocio celebrado. Hoy se est forjando una

nueva forma de pensar. El comercio electrnico ha generado que nuestra

estructura de pensamiento se adapte al mundo digital. Las tradicionales formas

de hacer negocios cuyo soporte se encuentra en un documento escrito, estn

siendo revalidadas en la medida que la gran mayora de los negocios pueden

realizarse a travs de medios electrnicos y la prueba de su ejecucin se soporta

en bases de datos computacionales que no requieren del documento fsico.

260
El Dr. Ernesto Garca Rengifo208 consciente de este cambio comercial de finales del

siglo XX, manifest:

Toda esa necesidad de cambio y adaptacin que va implicar para el derecho el

desarrollo de la telemtica responde, en mi criterio, a un concepto filosfico- antes que

jurdico - generalizante y que se conoce con el nombre de desmaterializacin. En

efecto, es fsicamente palpable por nuestros sentidos una gradual e ineludible

desmaterializacin de la realidad. Se observa con nostalgia, o satisfaccin para

algunos, el derrumbe de lo fsico (el alto grado de obsolescencia de lo material, la

poca permanencia y duracin de los objetos y la prdida de su individualidad) y de lo

tico a lo valorativo, lo cual hace recordar la frase del pensador decimonnico: todo

lo slido se desvanece en el aire.

- Como en todo proceso de transformacin, las debilidades de la nueva estructura

de negocio a travs de medios electrnicos, se ponen de presente. Pese a las

grandes ventajas, los inconvenientes deben ser enfrentados para el xito de la

metamorfosis. La seguridad es sin duda alguna el taln de Aquiles del comercio

en redes informticas, as como el pilar sobre el cual debe apoyarse el mundo

207 El empirismo es la teora del conocimiento segn la cual el saber procede de la experiencia, y las ideas, de los
sentidos.
208 GARCA. RENGIFO, Ernesto. Op. cit., p. 58.

261
 digital. La vulnerabilidad en los sistemas operativos genera inseguridad de tipo

jurdico, que debe ser afrontada por el derecho interno de cada pas soportado

por tratados internacionales. Efectivamente los lineamientos fijados por la

Comisin de las Naciones Unidas para el Derecho Mercantil Internacional - Ley

Modelo sobre Comercio Electrnico por parte de La Asamblea General de la

ONU, mediante Resolucin 51/162 de 1996 que culmin con la puesta en

marcha de la Ley 527 de 1999, es una muestra tangible de los procesos de

globalizacin que deben enmarcar el comercio electrnico. Concomitante con la

vigencia de la Ley 527 de 1999, apareci Certicmara: Entidad de Certificacin

que permite al usuario portador de un certificado digital, intercambiar bienes y

servicios a travs de las redes de comunicacin con un respaldo tcnico, jurdico

y econmico, garantizado a travs de los Certificados Digitales, la Ley y las

compaas aseguradoras. Dichas Entidades, utilizando tecnologa de clave

pblica, permiten el intercambio de datos en forma segura y gil a travs de la

seguridad basada en la criptografa.

- Dentro del contexto empresarial, es importante destacar que en el entorno

competitivo, que caracteriza al comercio, los gastos en seguridad digital no

tienen mucha cabida. El ndice de siniestralidad es bajo comparado con los

262
 diversos riesgos que debe afrontar una empresa, sin embargo, el ndice de

ataques viene en ascenso, con lo cual, la seguridad gana terreno en el campo de

la planeacin estratgica. La decisin de invertir en seguridad implica un costo

alto. Si la empresa que invirti en seguridad no experimenta una violacin grave

de su sistema de red, la inversin no habr producido ningn retorno y las

utilidades de la empresa sern menores que las de la competencia, por este

motivo buscar un equilibrio financiero entre riesgos de seguridad informtica y

rentabilidad no es tarea fcil. Ahora bien, como elemento de juicio para los

empresarios que tomen este tipo de decisiones, debe tenerse en cuenta que la

inversin en prevencin, cualquiera que sea el ramo de seguridad, reduce el

costo de reparacin. En este orden de ideas, la inversin en prevencin puede

incluso orientarse hacia plizas de seguro, sin embargo, la conciencia del gasto

injustificado, para algunos, mantendr expuesta a la empresa frente a

innumerables riesgos.

De acuerdo con lo anterior, es importante tener en cuenta las siguientes observaciones:

1. Identificar los activos digitales con el fin de asegurarlos de acuerdo a

su valor y servicio;

263
2. Con base en el campo de accin, interno y externo, establezca los

posibles riesgos a que est expuesta su empresa (Ver Captulo 2).

3. Asegurar el permetro209 y utilizar los mecanismos de seguridad

adecuados: cortafuegos, antivirus, certificados digitales etc., reduce costos y

previene ataques. Para llevar a cabo estas funciones se requiere de personal

idneo. Una alternativa es contratar un proveedor externo de servicios de seguridad.

Establecidas las medidas preventivas, resulta importante realizar un monitoreo y

simulacros de ataques con el fin de probar la eficacia de los sistemas

implantados.

4. Difundir mensajes de seguridad entre los empleados es una

estrategia importante con el fin de concienciar sobre la importancia de prevenir. As

mismo, restringir el acceso a pginas inseguras y monitorear las pginas web que

frecuentan los empleados es una labor de prevencin necesaria.

5. La actualizacin en servicios de seguridad, es una constante que

deben tener las gerencias o departamentos de seguridad y tecnologa.

6. Desactivar y cambiar las contraseas de los equipos cada vez que un

empleado se retira de la compaa previene ataques de sujetos que conocen los

sistemas de la empresa.

264
Las anteriores medidas son necesarias para tener un entorno seguro. Ahora bien, las

empresas no pueden ni tienen los medios para reaccionar con una campaa agresiva a

cada ataque que se presente, razn por la cual, deben identificar los riesgos ms

probables y los riesgos ms significativos y, asignar as, los recursos correspondientes

a fin de evitarlos y/o contrarrestarlos, para tal fin las empresas deben contar con

personal idneo que permanezca actualizado.

- Otro aspecto relevante del comercio electrnico es el respaldo jurdico con el que

dot la Ley 527 de 1999 a los mensajes de datos. La capacidad probatoria

equivalente al documento escrito, es la principal garanta para los usuarios de la

red. Ahora bien, en este punto es de trascendental importancia la tarea de jueces

y magistrados en cuanto a la interpretacin y valoracin de la prueba informtica,

por esta razn y teniendo en cuenta los pocos casos que se han presentado en

nuestros estrados judiciales, se hace necesario que la rama judicial capacite en

estos aspectos a los intrpretes de la norma, quienes deben ser muy

disciplinados para obtener as, fallos justos en derecho, acordes y consecuentes

con los nuevos medios de prueba, donde la sana crtica del juzgador, para la

209 Asegurar el permetro es la primera medida que toman las autoridades cuando hay un riesgo inminente. Para el
caso de la seguridad digital el modus operandi es igual.

265
 valoracin de la fuerza probatoria, est acompaada del elemento

conocimiento, para lo cual se requerir del apoyo de los auxiliares de la justicia.

- Por su parte, los diferentes Centros de Conciliacin, deben ir pensando en

adiestrar alumnos o profesionales para afrontar las contingencias que se

presentarn en esta rama. Personas idneas y conocedoras de la materia que

sean verdaderos conciliadores.

- Debe explotarse la iniciativa de las Legislaciones, que como la nuestra,

implementan nuevas alternativas para el desarrollo de las nuevas tecnologas en

diversos campos: tributario, financiero, comercio exterior, servicio pblicos etc.

Un ejemplo lo constituye la Directiva 02 de agosto 28 de 2000, por la cual se

establecieron instrucciones para las entidades pblicas del orden nacional

relacionadas con la adecuacin y promocin de tecnologas que hicieran posible

el aumento de la productividad de las Entidades estatales y la interaccin de los

ciudadanos con las Entidades, con el fin mejorar los servicios y la calidad de

vida de los usuarios. Definitivamente, un entorno digital, brinda una mejor

calidad de vida, tanto el sector privado como el sector pblico. Los beneficios, en

uno y otro sector son diversos. En cuanto a la relacin entre particulares se

266
 refiere, entornos digitales, generan importantes ventajas: se ampla el campo de

accin de los comerciantes, se rompe la barrera de las fronteras, aumenta la

produccin y se optimiza la productividad gracias a las ventajas de ampliacin de

mercado y reduccin de costos operativos, lo que se traduce en mayores

ingresos para el empresario. Por su parte, las Entidades del Orden Nacional

pueden hacer uso de las ventajas a travs de la red Internet210 y, cumplir con sus

objetivos reduciendo sus costos operacionales, reduciendo los trmites y

acabando con la burocracia, ofreciendo un mejor y ms eficaz servicio. El ahorro

en los costos de transporte y de tiempo, son sin duda dos factores que mejoran

la calidad de vida de una colectividad, el comercio electrnico hace que esto sea

posible.

210 Artculo 4. Medios tecnolgicos. Modificase el Artculo 26 del decreto 2150 de 1995, el cual quedar as:
"Artculo 26. Medios tecnolgicos Se autoriza a la Administracin Pblica el empleo de cualquier
medio tecnolgico o documento electrnico, que permita la realizacin de los principios de
igualdad, economa, celeridad, imparcialidad, publicidad, moralidad y eficacia en la funcin
administrativa, as como el establecimiento de condiciones y requisitos de seguridad que cada
caso sean procedentes, sin perjuicio de las competencias que en la materia tengan algunas
entidades especializadas.
Toda persona podr en su relacin con la administracin hacer uso de cualquier medio tcnico o electrnico, para
presentar peticiones, quejas o reclamaciones ante las autoridades. Las entidades harn pblicos los medios de que
dispongan para permitir esta utilizacin

267
- Uno de los grandes inconvenientes que han tenido los servicios

gubernamentales - servicio pblicos domiciliarios, rama judicial, entidades

financieras etc., es el difcil acceso a la informacin y el deficiente mecanismo de

sistemas de pago. Hoy en da, por ejemplo, las entidades financieras ofrecen

servicios de consulta, pago y transferencias a travs de medios electrnicos, lo

que representa un gran avance en el servicio bancario, sin embargo, resulta

necesario que los sistemas de seguridad se ajusten a la realidad de inseguridad

que afrontan los sistemas telemticos. De esta suerte, las Entidades

gubernamentales, debern implementar protocolos de seguridad que garanticen

el uso de servicios por redes informticas en forma segura, sin que el usuario

tenga que soportar los perjuicios derivados de las falencias de seguridad de las

Entidades.

- Es muy importante incentivar los programas de educacin superior en el rea de

la telemtica y del comercio electrnico, con el fin que los futuros profesionales

se adapten a los nuevos cambios y retos que representa el comercio mundial a

travs de redes informticas. Deben crearse ms Entidades de Certificacin que

garanticen la sana competencia, as mismo, debe ampliarse el campo de accin

de stas, permitiendo el uso de certificados a personas naturales sin la

268
 intervencin de personas jurdicas, lo que necesariamente llevar a la creacin

de Autoridades de certificacin y a grandes bases de datos que seguramente

estarn interconectadas.

- A pesar de los grandes pasos, los esfuerzos no son suficientes, se requiere de

un trabajo conjunto entre entidades gubernamentales y privadas en pro del

desarrollo del comercio digital. Ofrecer, en la medida de lo posible, incentivos

para fomentar el uso de las redes de comunicacin, invertir en seguridad y

generar confianza en el sistema.

- La confianza es el eje y cimiento del comercio electrnico, la cual se adquiere

implementando mecanismos de seguridad ptimos. En la medida que aumente la

confianza aumentar el comercio por las redes de comunicacin. As, las

actuales herramientas de seguridad deben ser utilizadas por los organismos de

control y por las entidades pblicas y privadas que prestan servicios pblicos, as

como por los empresarios. As mismo, la asuncin clara de responsabilidades

por parte de los prestadores del servicio generar confianza.

- Desde el punto de vista de la naturaleza jurdica de las Entidades de Certificacin, puede

concluirse que stas no pueden ser consideradas como notarias. Si bien su objeto y fin

269
 son similares, la fe pblica que caracteriza la actividad notarial, es hoy, exclusiva.
Jurdicamente es viable que las Entidades de Certificacin sean envestidas de la funcin
fedante. Por ahora, dicha facultad es privativa de las Notaras. Los documentos avalados
por las Entidades de Certificacin no se encuentran, en nuestra actual normalizacin,
salvaguardados por la fe pblica o la fe notarial. Cabe aclarar, que las notarias estn

facultados para ser entidades de certificacin. Ahora bien, es importante resaltar que

con el paso del tiempo y con el asentamiento de las Entidades de Certificacin,

el legislador podr delegar la facultad de ejercer funciones pblicas asociadas a

la fe pblica a estas entidades.

Sin perjuicio de lo anterior, puede afirmarse que las Entidades de Certificacin y las

Notarias tienen aspectos en comn:

1. Permiten identificar al iniciador del mensaje o autor del documento, evitando el

repudio del mismo.

2. Prestan un servicio pblico;

3. Generan confianza y seguridad en las personas que reciben sus servicios;

4. Pueden ser pblicas o privadas.

- Frente a la normatividad aplicar en negocios realizados a travs de redes

informticas, la regla general es que el contrato celebrado se rige por sus propias

270
 normas y por las clusulas que las partes hayan acordado, as mismo, se

aplicarn las normas sobre comercio electrnico y los acuerdos internacionales

que se hayan celebrado con anterioridad a la celebracin del contrato.

- La teora del riesgo, tiene plena cabida en el comercio electrnico y deber

aplicarse siempre que se est frente a una responsabilidad contractual o

extracontractual.

- Una de las grandes expectativas del comercio electrnico era acabar con la

figura del intermediario, sin embargo, la inseguridad requiere de alguien que la

provea - Entidades de Certificacin -, sin embargo la figura de la Entidad difiere

de la finalidad del intermediario comercial.

- Si el auge del comercio electrnico sigue en crecimiento, ser necesario la

creacin de Autoridades de Registro que posean una gran base de datos y

hagan an ms seguro y confiable el sistema. Autoridades que deben ser

creadas por todos los pases, para que a travs de pactos internacionales se

establezcan canales de comunicacin mundial, ampliando el concepto de

globalizacin y haciendo del comercio electrnico su ejemplo ms destacado.

271
- Finalmente, puede afirmarse que es posible realizar comercio electrnico seguro gracias a
las diferentes herramientas de seguridad que ofrece el mercado. El desarrollo deber estar
orientado a la cobertura y a la reduccin de costos.

272
 BIBLIOGRAFA

DOCTRINA

- ANGARITA, Remolina Nelson. Internet Comercio Electrnico &

Telecomuniciones. Desmaterializacin, Documento y Centrales de Registro.
Bogot: Editorial Legis S.A. 2002.

- CARBONEL. PINATEL, Jos Carlos. La Proteccin del Consumidor Titular de

Tarjetas de Pago en la Comunidad Europea. Madrid: Ediciones Beramar, S.L.
EUROLEX. 1994.

- CARNELUTTI, Francisco. La Prueba Civil. Buenos Aires. Citado por

RODRGUEZ, Gustavo Humberto. Derecho Probatorio Colombiano. Bogot:
Ediciones de Cultura latinoamericana Ltda. EDICULCO. 1979.

- CUBILLOS y RINCN. Introduccin Jurdica al Comercio Electrnica .Medelln:

Ediciones Jurdicas Gustavo Ibez Ltda. 2002.

- DIAZ GARCA, Alexander. Derecho Informtico. Bogot: Editorial Leyer. 2002.

- ELSENPETER, Robert. VELTE, Joby. Fundamentos de Comercio Electrnico.

Estados Unidos: MC Graw Hill. 2002.

273
- FONT, Andrs. Seguridad y Certificacin en el Comercio Electrnico. Aspectos
Generales y Consideraciones Estratgicas. Madrid: Fundacin Retevisin. 2000.

- GARCA RENGIFO, Ernesto. Memorias: Comercio Electrnico. Bogot.

Universidad Externado de Colombia. 2000.

- MADRIAN DE LA TORRE, Ramn. Principios de Derecho Comercial. Sptima

Edicin. Bogot: Editorial Temis S.A. 1997.

- MICHELSEN, Jaramillo, Sergio. Internet Comercio Electrnico &

Telecomunicaciones. Universidad de los Andes. Primera Edicin. Bogot 2002.
Legis Editores S.A. 2002.

- OLIVER. CUELLO, Rafael. Tributacin del Comercio Electrnico. Espaa -

Valencia. Tirant Lo Blanch. 1999.

- PEA VALENZUELA, Daniel. Aspectos Legales de Internet y del Comercio

Electrnico. Bogot: Dupre Editores Ltda. 2001.

- RODGUEZ. TURRIAGO, Omar. Internet Comercio Electrnico &

Comunicaciones. Universidad de Los Andes Facultad de Derecho. Bogot:
Editorial Legis S.A. 2002.

- SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad

Externado de Colombia. 2002.

- TRUJILLO SNCHEZ, Guillermo. Internet para Abogados. Medelln: Seal

Editora. 2001.

274
- TAMAYO JARAMILLO, Javier. De la Responsabilidad Civil. Tomo I. Bogot:
Editorial Temis S.A. 1999.

- URIBE, ZUBIETA, Hermann. Internet Comercio Electrnico &

Telecomunicaciones. Bogot: Editorial Legis S.A. 2002.

- YOUNES MORENO, Diego. Curso de Derecho Administrativo. Bogot: Ed.

Temis. 1997.

JURISPRUDENCIA

- Corte Constitucional
Sentencia C- 037 de febrero 5 de 1996.
Magistrado Ponente: Dr. Vladimiro Naranjo Mesa.
- Corte Constitucional
Sentencia C-741 de 1998
Magistrado Ponente: Dr. Alejandro Martnez Caballero

- Corte Constitucional
Sentencia C- 662 de junio 8 de 2000.
Expediente: D-2693
Magistrado Ponente: Dr. Fabio Morn Daz.

- Corte Constitucional

275
 Sentencia C 1316 de 2000
Magistrado Ponente:

- Corte Constitucional
Sentencia C-831 de Agosto 8 2001.
Expediente D-3371.
Magistrado Ponente: Dr. lvaro Tafur Galvis.

INTERNET

- http://www.aui.es/estadi/internacional/internacional.htm

- http://www.insflug.org/COMOs/conceptos-de-redes-COMO/conceptos-de-redes-
COMO-2.html

- info@ute.edu.ec

- malito:info@ute.edu.ec

- http://es.mmxieurope.com/home.jps

- www.firmasdigitales.com

- www.onet.es

- www.certicamara.com.co

276
- www.crt.gov.co

- http://iblnews.com/news/noticia.php3?id=99098

- http://www.arkhaios.com/ecommerce/guia.htm

- http://www.uncitral.org/spanish/texts/electcom/ML-ELECSIGNnew.pdf

- www.setsi.mcyt.es

LEGISLACIN

- Decreto Reglamentario 1520 de 1978.

- Decreto 2269 de 1993.

- Decreto 2150 de 1995.

- Decreto 1122 de 1999.

- Ley 527 de 1999.

- Ley 588 de 2000.

- Ley 573 de 2000.

277
- Resolucin 26930.

- Decreto 1747 de 2000.

- Decreto 266 de 2000.

- Constitucin Poltica de Colombia.

- Cdigo Penal Colombiano.

- Cdigo de Comercio.

- Cdigo de Procedimiento Civil.

- Cdigo Sustantivo del Trabajo.

- Asamblea General de la ONU. Resolucin 51/162 de 1996.

- Superintendencia Bancaria Circular Externa No. 054 de 2001.

- Superintendencia Bancaria Circular Externa No. 002 de 2004.

- Superintendencia de Industria y Comercio:

Concepto 01018465
Concepto 0147224
Concepto No. 01062749

278
 Concepto No. 00050766

I. REVISTAS Y PERODICOS

- El Tiempo.

- mbito Jurdico.

- La Repblica.

- Harvard Business Review.

II. OTROS

Diccionario de la Real Academia Espaola

279