Ciberseguridad | Artículos | 20 DIC 2017

Blockchain y la Asamblea de Majaras

Tags: Blockchain
Blockchain ha entrado en este año 2017 como una de las palabras de moda en el sector tecnológico, prometiendo cambiar el mundo con una seguridad irrompible
blockchain 2017
Tomás García-Merás

La asamblea de majaras se ha reunido,
la asamblea de majaras ha decidido:
Mañana sol y buen tiempo

Kortatu,– Don Vito y la revuelta en el frenopático (1985)

Blockchain ha entrado en este año 2017 que termina (si bien la tecnología tiene ya su tiempo) como una de las palabras más de moda en el sector tecnológico, prometiendo cambiar el mundo con una seguridad irrompible y un modelo de confianza descentralizado, en el que los individuos toman el control prescindiendo de órganos centrales en los que se delega el control o la auditoría.

Este modelo entra a jugar en un campo donde ya operan las tecnologías de certificados digitales de identidad o firma, que se sustentan justamente sobre un modelo centralizado de confianza, donde la autoridad viene de una serie de prestadores autorizados que son los que certifican la autenticidad y validez de las operaciones.

Ambos sistemas se asientan sobre casi los mismos conceptos criptográficos (cifrados simétricos y asimétricos, huellas digitales, etc.) y tienen fuertes nexos funcionales de unión ¿son entonces competidores o complementarios?

Como es de esperar, cada tecnología tiene su uso; en ocasiones una de ellas es la mejor opción, en otras son ambas alternativas viables y hay que decantarse por una de ellas y en muchas otras lo mejor es combinarla.

¿Qué factores nos llevan a cada una de estas opciones? El primero, sin duda, nos viene marcado por el derecho y el ecosistema de negocios jurídicos de cada país, ya que esto marca en gran medida si estamos en un modelo de confianza centralizada (certificados digitales) o, por el contrario, en un modelo de confianza distribuida. Pongamos un par de ejemplos para clarificarlo.

Yo tengo un título de Ingeniero Superior en Informática por la Universidad Pontificia de Salamanca, lo cual me otorga ciertos derechos según nuestra legislación (por ejemplo, presentarme a una oposición al grupo TIC A1 de la Administración General del Estado). Tradicionalmente el título era una cartulina impresa con filigranas con un sello y un par de firmas ¿Cómo trasladaríamos esa cartulina al mundo digital?

Podríamos optar por Blockchain, tal y como está anunciando el MIT para sus diplomas (http://news.mit.edu/2017/mit-debuts-secure-digital-diploma-using-bitcoin-blockchain-technology-1017), pero… ¿Quién certifica realmente que he terminado esta carrera? Según nuestra normativa, el Ministerio de Educación Cultura y Deporte (MECD), que recibe la información de mi titulación de mi universidad, en base a un convenio de homologación de estudios que la habilita.

Así, un simple PDF firmado por el MECD es suficiente. Contiene la información necesaria, está criptográficamente protegido y se reconoce legalmente en España (Ley 59/2003) y en Europa (gracias a las listas de confianza europeas, Regulación 910/2014/EU). Si la firma es longeva (normativa ETSI-PAdES-TLV) el documento preservará su confianza por mucho tiempo, y su simple apertura con Adobe Reader me dirá si la firma es válida y el documento íntegro (Adobe Reader lo comprueba usando las listas de confianza europeas).

¿Qué me aporta el uso de Blockchain en este caso? Prácticamente nada, yo soy Ingeniero porque lo dice el MECD (confianza centralizada). Aunque todo Internet consensuase que yo sé medicina (confianza distribuida), no podría ejercer de médico en España con la legislación actual (y tampoco parecen especialmente necesarios cambios en este sentido).

Otro ejemplo interesante es el de la identidad. Yo soy Tomás García-Merás, pero… ¿Por qué no soy Juan Pérez Estévez? (la pregunta parece de Perogrullo, pero es pertinente). Pues, básicamente, porque tengo una tarjetita plástica (el DNI) o una libretita de papel (un pasaporte) que dice claramente quien soy, me asigna un nombre y un número, ligándolos indisolublemente a mi persona mediante una foto, una firma y un conjunto de huellas dactilares (que no coinciden con absolutamente nadie más).

Estos documentos de identidad los expide únicamente (confianza centralizada) un gobierno reconocido (en este caso, un organismo de este gobierno, el Cuerpo Nacional de Policía, CNP).

Además, en España tenemos la ventaja de que, en el caso del DNIe (aunque no en el NIE o el pasaporte), tenemos también en él un certificado digital que convierte esta prueba física en un medio de identidad utilizable electrónicamente.

Si no tuviese este DNI (o pasaporte, NIE o equivalente), no podría ejercer mis derechos como individuo en España (por ejemplo, obtener un permiso de conducir), por mucho que 50.000 personas afirmasen conocerme y firmasen que soy español y mi nombre es Tomás García-Merás.

Como hemos visto, la firma electrónica y los certificados digitales, apoyándose en los modelos de confianza centralizados, encajan perfectamente en nuestra tradición jurídica; pero lo que es casi más importante, tienen un importante respaldo legal y normativo en España y en Europa. Un contrato firmado electrónicamente con un DNIe tiene una validez prácticamente equivalente a la firma ante notario, mientras que si es firmado por otros medios (por ejemplo, con Blockchain), descenderá a la categoría de “firma simple” (Ley 59/2003), por lo que en caso de conflicto o repudio debemos aportar pruebas e informes periciales que apoyen nuestras reclamaciones.

Por supuesto, no todas las operaciones o relaciones se encuadran en un marco con una confianza central, hay multitudes en las que varios actores operan entre sí en condiciones de igualdad, no teniendo ninguna de las partes mayor confianza que el resto.

Pongamos un ejemplo: Una cadena de venta y distribución.

En este ejemplo tenemos por una parte el comprador, que emite pedidos de artículos, recibe las facturas por ellos, emite los pagos relacionados con esos artículos y firma los albaranes de entrega cuando los recibe.

El vendedor recibe los pedidos del comprador, le emite la factura correspondiente, lo entrega al distribuidor, recibe el pago de la factura del comprador y recibe la factura del distribuidor, que abona posteriormente.

El distribuidor (simple mensajero en este caso) recibe el artículo del vendedor (devolviéndole un albarán), lo entrega al comprador (recibiendo un albarán de entrega), emite la factura al vendedor y más tarde recibe el pago.

Cada uno de estos tres actores, pese a estar actuando en una misma transacción comercial, mantiene su propio registro de operaciones ¿Qué ocurre en caso de conflicto? Como nadie tiene presunción de veracidad sobre los otros, deben comprobarse los datos de los tres libros de operaciones, que todo cuadra (importes, números, etc.), que no falta nada (un albarán que no se entregó, por ejemplo) y que todo esté adecuadamente firmado.

Una falsificación quedaría detectada por el descuadre que produciría, pero no siempre es posible o fácil determinar quién tiene la información auténtica y quién la falsificada.

Es aquí donde Blockchain hace su entrada triunfal. Blockchain nos va a permitir que estos tres actores compartan un mismo libro de operaciones, infalsificable e inalterable. Incluso mejor, Blockchain, mediante su tecnología de “Contratos Inteligentes”, permite incluir dentro de este “libro compartido de operaciones” las clausulas lógicas por las que estas se rigen, por lo que obligatoriamente cada operación cuadra perfectamente con las anteriores, porque no se permiten operaciones que violen las reglas de este “contrato inteligente”.

Vamos a rizar el rizo: Es difícil encontrar una situación en las que los individuos operen en un marco carente de autoridades centrales. En nuestro ejemplo, las tres partes estarían probablemente ligadas a contratos mercantiles, a unas normas tributarias y a unas obligaciones de auditoría… Vamos, que responden ante autoridades centrales.

Bien, pues demos el respaldo legal que ese libro compartido necesita de cara a las autoridades:

  • Podemos certificar la hora de las transacciones son un sello de tiempo emitido por una Autoridad de Sellado de Tiempo (TSA) reconocida (que no deja de ser una firma electrónica con certificado).
    • Legalmente, es de mayor valor que la certificación de que los relojes de los participantes marcaban aproximadamente la misma hora.
  • Identifiquemos a las personas que participan en las transacciones con sus certificados emitidos por un Prestador de Servicios de Certificación (PSC) reconocido (por ejemplo, usando su DNIe o su certificado de Fábrica Nacional de Moneda y Timbre – Real Casa de la Moneda [FNMT-RCM]).
  • Identifiquemos a las empresas usando certificados de representante (emitidos también por un PSC).
  • Usemos firmas avanzadas/reconocidas/cualificadas (según leyes y normas españolas y europeas) para los pasos que necesiten firma, obteniendo así una protección automática contra el repudio.
    • Usemos además firmas longevas, para cumplir las obligaciones legales de preservar estos documentos por mucho tiempo sin que pierdan validez o seguridad.

¿Qué tenemos ahora? Unas transacciones protegidas por Blockchain, que en caso de conflicto pueden ser presentadas a las autoridades con plenas garantías legales al incorporar elementos de certificación y firma acordes a la ley certificados por autoridades reconocidas a nivel nacional y europeo.

Lo que he querido ilustrar con estos ejemplos en esta larga redacción es que Blockchain no es ni mucho menos la solución a todas nuestras necesidades de seguridad en transacciones y documentación, y que tenemos desde hace más de una década una tecnología que cubre de forma robusta buena parte de estos requerimientos: Los certificados digitales para firma e identidad.

Pero, por supuesto, hay casos de uso en los que Blockchain nos va dar una mejor respuesta, en escenarios a priori complejos donde actúan distintas partes y las operaciones se suceden como parte del negocio.

Y lo que es mejor, que podemos combinar ambas tecnologías inteligentemente para tener lo mejor de cada mundo, robustez, seguridad, distintos modelos de confianza, cumplimiento legal… Solo es cuestión de conocer bien las tecnologías, aún mejor el negocio, tener presente el marco legal e imaginar, sobre todo imaginar.

 

Tomás García-Merás

Tomás García-Merás

Ingeniero Superior Informático,
Especialista en firma y administración electrónica

Gerente en atSistemas, S.A.

 



Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios