Otros Columnistas
columnista

¿Un paso atrás en seguridad?

La Dian ha desarrollado un nuevo método de autenticación para los contribuyentes, se trata de un sistema de firma electrónica a través de un código que es enviado por correo electrónico con una vigencia de dos horas y de uso por una sola vez, (one time password).

Otros Columnistas
POR:
Otros Columnistas
noviembre 08 de 2017
2017-11-08 08:29 p.m.
http://www.portafolio.co/files/opinion_author_image/uploads/2016/04/05/5703e5663d293.png

La Dian ha desarrollado un nuevo método de autenticación para los contribuyentes, se trata de un sistema de firma electrónica a través de un código que es enviado por correo electrónico con una vigencia de dos horas y de uso por una sola vez, (one time password). Este código debe entenderse como una firma electrónica, a la luz del Decreto 2364 de 2012, y como aquellos códigos, datos biométricos, claves criptográficas, entre otros, que permiten identificar a una persona en relación con un mensaje de datos, siempre y cuando el mecanismo usado sea confiable y apropiado respecto de los fines para los que se utiliza la firma.

Para lo anterior es necesario contar con un acuerdo de voluntades previo, en virtud del cual se estipulan las condiciones legales y técnicas a las cuales se sujetarán las partes para realizar comunicaciones y efectuar transacciones.

Dado lo anterior, es claro que el procedimiento de códigos utilizado por la Dian a título de firma electrónica para acceder al sistema y firmar los documentos electrónicos no consulta los estándares de seguridad idóneos para validar la identidad de los contribuyentes y para firmar documentos electrónicos.

Estas son varias de las críticas al sistema de firma electrónica adoptado por la Dian:

1.No es un modelo que esté sustentado sobre un acuerdo de voluntades que permitan al usuario determinar las condiciones técnicas y legales del mecanismo de firma.

2.El envío de los códigos no es seguro, pues no se realiza a través de un correo electrónico certificado.

3.Se pasa de un modelo de firma digital, que goza de presunción de no repudio, a un modelo en el cual la integridad y la autenticidad deben probarse en un juicio.

4.Se van al traste los esfuerzos por cumplir con el estándar PKI como CEA Cerrada, estándar recomendado por la Comisión de las Naciones Unidas para el Desarrollo Mercantil Internacional, con los miles de millones en inversiones realizadas.

5.No es claro cómo dicho mecanismo de firma garantiza la integridad de la declaración firmada, por lo que no hay certeza sobre la fiabilidad de dicho mecanismo de firma.

6.No es un mecanismo que sea auditado por un organismo que avale la calidad en el servicio y garantice al usuario la idoneidad del mismo, como sí sucede con la firma digital que es acreditada y auditada por el Organismo Nacional de Acreditación de Colombia (Onac).

En un país donde el fraude de suplantación de identidad genera más de 100 mil denuncias al año, la buena noticia es que el Ministro de las TIC y el Presidente de la República, firmaron el decreto que define y regula el modelo de autenticación electrónica para Colombia, que nada tiene que ver con la autenticación notarial de documentos, conceptos claramente opuestos, en los que se impone la obligatoriedad para todas las entidades públicas, incluyendo la Dian, de hacer uso de los mecanismos de autenticación con altos estándares de seguridad y no se deje al arbitrio e ingenio de cada entidad diseñar su propio modelo, lo cual, a la postre, es incontrolable e inseguro.


Héctor José García Santiago
​Presidente de Certicámara

Nuestros columnistas

día a día
Lunes
martes
Miércoles
jueves
viernes
sábado