Decir “en casa de herrero, cuchillo de palo” es casi revelar el final de este informe antes de empezar. La Auditoría General de la Nación (AGN) observó que “los trámites de habilitación de una firma digital se hacen en formato papel y no se digitaliza cuando el origen de este tipo de rúbrica tiene por objetivo la despapelización del Estado”.

El objetivo del organismo de control fue evaluar las tecnologías de información en el ámbito de la Oficina Nacional de Tecnologías de la Información (ONTI) en relación a la firma digital. Para ello, evaluó al organismo entre julio de 2014 y julio de 2015.

La firma digital es el reemplazo de la firma holográfica en los documentos en papel, es lo que le otorga validez al documento. Se hace mediante un proceso matemático que requiere información exclusiva del firmante.

A nivel informático, “es un pequeño archivo que tiene un doble proceso de encriptación, con una clave privada que solo conoce el firmante, y una desencriptación que realiza el destinatario del documento para constatar la validez de la firma recibida” explica el informe.

A su vez, para asegurar que el firmante sea quien dice que ser se emiten Certificados Digitales expedidos por Autoridades Certificantes o Certificadores Licenciados. Estos últimos, a su vez, deben ser previamente autorizados o certificados por una Autoridad Certificante Raíz o un Ente Licenciante.

Sobre este punto, la Auditoría observó que “la ONTI realiza ambas tareas”, es Ente Licenciante y Certificador Licenciado. Es decir, que está de ambos lados del mostrador y “vulnera el principio del control por oposición”.  Esta situación “se arrastra desde 2003 cuando el Ente Administrador se disolvió y se le dieron esas facultades a la ONTI, quien ya era Autoridad Certificante”.

A ello se suma que “el Ente Licenciante no realiza con la periodicidad estipulada las auditorías de seguimiento sobre las Autoridades Certificantes”.

En cuanto a seguridad, la Oficina de Tecnologías de la Información tiene algunos puntos débiles. Uno de ellos está relacionado con la oficina física donde opera la Autoridad del Registro y se entregan los certificados de firma digital”.

Es que el ingreso “no es controlado ni registrado en un libro de visitas” por lo cual  “no hay forma de saber quién visita el área donde se maneja información sensible”.

Por otro lado, la política de back up de Infraestructura de Clave Pública “tiene debilidades en sus procedimientos que podrían afectar la disponibilidad de la información y sus respectivos servicios”. Los auditores observaron que “no se especifica cómo deben ser guardadas las bases de datos y aplicativos y que no hay copias de back up fuera del edificio”.

En caso de un corte de luz, “la dependencia no cuenta con soporte energético alternativo que garantice la continuidad del servicio” por lo cual si alguien quisiera cotejar una firma revocada con los listados no podría hacerse y “existiría la posibilidad tomar como válidas firmas bloqueadas”. 

Por último el informe, aprobado en noviembre de 2016, alertó sobre “la dependencia que se genera con personal clave en el Organismo ante la desactualización de la plataforma de firma digital que se utiliza”.