INFRAESTRUCTURA DE CLAVES PUBLICAS

1. INFRAESTRUCTURA DE CLAVES PUBLICAS

1.1 DEFINCION

La infraestructura de clave pública (PKI) es un conjunto de roles, políticas, hardware, software y

procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar
certificados digitales y administrar el cifrado de clave pública. El propósito de una PKI es facilitar
la transferencia electrónica segura de información para diversas actividades de la red, como
comercio electrónico, banca por Internet y correo electrónico confidencial. Se utiliza en
actividades en las que las contraseñas simples son un método de autenticación inadecuado y se
requieren pruebas más rigurosas para confirmar la identidad de las partes involucradas en la
comunicación, así como para validar la información que se transfiere.

1.2 PROPOSITO Y FUNCIONALIDAD

La tecnología PKI permite a los usuarios autenticarse frente a otros usuarios y usar la información
de los certificados de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y
descifrar mensajes, firmar digitalmente información y garantizar el no repudio de un envío, entre
otros usos.

En una operación criptográfica que use PKI intervienen conceptualmente como mínimo las
siguientes partes:

• Un usuario iniciador de la operación.

• Unos sistemas servidores que dan fe de la ocurrencia de la operación y garantizan la
validez de los certificados implicados en la operación (autoridad de certificación,
Autoridad de registro y sistema de Sellado de tiempo).
• Un destinatario de los datos cifrados/firmados/enviados garantizados por parte del
usuario iniciador de la operación (puede ser él mismo).

Las operaciones criptográficas de clave pública son procesos en los que se utilizan unos
algoritmos de cifrado conocidos y accesibles para todos. Por este motivo la seguridad que puede
aportar la tecnología PKI está fuertemente ligada a la privacidad de la llamada clave privada y
los procedimientos operacionales o Políticas de seguridad aplicados.

Es de destacar la importancia de las políticas de seguridad en esta tecnología, puesto que ni los
dispositivos más seguros ni los algoritmos de cifrado más fuerte sirven de nada si, por ejemplo,
una copia de la clave privada protegida por una tarjeta criptográfica —del inglés 'smart card'—
se guarda en un disco duro convencional de un PC conectado a Internet.

1.3 COMPONENTES

Los componentes más habituales de una infraestructura de clave pública son:

• La autoridad de certificación (o, en inglés, CA, Certificate Authority): es la encargada de

emitir y revocar certificados. Es la entidad de confianza que da legitimidad a la relación
de una clave pública con la identidad de un usuario o servicio.
• La autoridad de registro (o, en inglés, RA, Registration Authority): es la responsable de
verificar el enlace entre los certificados (concretamente, entre la clave pública del
certificado) y la identidad de sus titulares.
• Los repositorios: son las estructuras encargadas de almacenar la información relativa a
la PKI. Los dos repositorios más importantes son el repositorio de certificados y el
repositorio de listas de revocación de certificados. En una lista de revocación de
certificados (o, en inglés, CRL, Certificate Revocation List) se incluyen todos aquellos
certificados que por algún motivo han dejado de ser válidos antes de la fecha establecida
dentro del mismo certificado.
• La autoridad de validación (o, en inglés, VA, Validation Authority): es la encargada de
comprobar la validez de los certificados digitales.
• La autoridad de sellado de tiempo (o, en inglés, TSA, TimeStamp Authority): es la
encargada de firmar documentos con la finalidad de probar que existían antes de un
determinado instante de tiempo.
• Los usuarios y entidades finales son aquellos que poseen un par de claves (pública y
privada) y un certificado asociado a su clave pública. Utilizan un conjunto de aplicaciones
que hacen uso de la tecnología PKI (para validar firmas digitales, cifrar documentos para
otros usuarios, etc.)

1.4 CONSIDERACIONES SOBRE PKI

• Todo certificado válido ha de ser emitido por una autoridad de certificación reconocida,
que garantiza la validez de la asociación entre el poseedor del certificado y el certificado
en sí.
• El poseedor de un certificado es responsable de la conservación y custodia de la clave
privada asociada al certificado para evitar el conocimiento de la misma por terceros.
 • Las entidades de registro se encargan de la verificación de la validez y veracidad de los
datos del que pide un certificado, y gestionan el ciclo de vida de las peticiones hacia las
autoridades de certificación.
• El poseedor de un certificado válido puede usar dicho certificado para los usos para los
que ha sido creado según las políticas de seguridad.
• Toda operación que realice el poseedor de un certificado ha de realizarse de forma
presencial por parte del poseedor del certificado y dentro del hardware de cliente (ya sea
la tarjeta criptográfica o PKCS#11 u otro dispositivo seguro, como el fichero seguro o
PKCS#12, etc).
• Las comunicaciones con seguridad PKI no requieren del intercambio de ningún tipo de
clave secreta para su establecimiento, por lo que se consideran muy seguras si se siguen
las políticas de seguridad pertinentes.

1.5 EJEMPLOS DE USO

Los sistemas de PKI, de distintos tipos y proveedores, tienen muchos usos, incluyendo la
asociación de una llave pública con una identidad para:

• Cifrado y/o autenticación de mensajes de correo electrónico (ej., utilizando OpenPGP o

S/MIME).
• Cifrado y/o autenticación de documentos (ej., la firma XML1 o el cifrado XML2 si los
documentos son codificados como XML).
• Autenticación de usuarios o aplicaciones (ej., logon por tarjeta inteligente, autenticación
de cliente por SSL).
• Bootstrapping de protocolos seguros de comunicación, como IKE y SSL.
• Garantía de no repudio (negar que cierta transacción tuvo lugar)

2 FIRMA DIGITAL ELECTRONICA Y DIGITALIZADA

2.1 FIRMA DIGITAL

2.2 FIRMA ELECTRONICA

2.3 DIFERENCIAS ENTRE FIRMA DIGITAL Y FIRMA
ELECTRONICA

Muchas personas usan la expresión firma digital o firma electrónica para la misma idea. No obstante,
existen diferencias entre ellas.

Antes de explicar la diferencia entre estos términos, es prudente señalar que ambos sirven para
agilizar de una vez por todas el tiempo de la firma de documentos dentro de una empresa.

Ahora bien, entre las diferencias más destacables se encuentran:

Niveles de seguridad
Como se ha mencionado con anterioridad, tanto la firma digital como electrónica son conceptos que
se relacionan pero no se confunden.

Cada una de estas tecnologías tienen sus aplicaciones, además de reflejar diferentes niveles de
fiabilidad y seguridad.

Así pues, seleccionar entre la firma digital y otros tipos de firma electrónica dependerá principalmente
del nivel de seguridad que se requiera para el acto que se desee practicar.

Por ejemplo, en actividades más básicas, como el acceso a los comercios electrónicos, el reenvío de
documentos por correo electrónico y sitios bancarios, existen firmas electrónicas que no requieren de
un certificado digital, pero que aún necesitan de cierta autenticidad en dichas acciones.

Por otra parte, si un individuo desea firmar un contrato de alquiler, cuya manifestación de voluntad
debe ser declarada con cierta exactitud - es decir, siguiendo los dictados legales- la firma digital es la
más indicada.

Propósitos
Una firma digital es un proceso automatizado para la validación de la firma de un suscriptor basado
en algoritmos y criptografía. El propósito de esta es basarse en los principios de integridad,
puntualidad (la autoridad de certificación para comprobar la fecha y la hora de la firma del documento)
y el no repudio (cuando no hay dudas sobre su remitente).

Además, para la validación de su autenticidad, la firma digital requiere un Certificado Digital Público,
que no es más que la identidad digital de una persona física o jurídica en medios electrónicos.
En cambio, la firma electrónica, es solo un género o categoría, el cual se refiere a todos los métodos
para firmar (o validar) un documento electrónico o identificar a una persona. Puede ser, por ejemplo,
el escaneo de la firma hecha de su propia letra, el uso de una huella digital o una contraseña.

Criptografía
Una firma digital se diferencia de otros tipos de firmas por el uso de la criptografía y su vinculación al
documento electrónico; de modo que, si este se altera, la firma se torna inválida.

Por lo tanto, requiere de un certificado digital, el cual debe estar emitido por una autoridad de
certificación.

Forma y medio
Aunque los términos firma electrónica y firma digital parezcan similares, no deben ni pueden ser
manipulados como sinónimos, pues la diferencia está básicamente en la forma y el medio en que se
realizan.

La firma electrónica se refiere, en general, a todo proceso electrónico que indica la aceptación de un
documento, mientras que la firma digital es un tipo específico de firma electrónica.

Como resultado, la firma digital podría ser la mejor alternativa para firmar documentos. Sin embargo,
el hecho de que requiera un certificado digital implica un costo en la adquisición de dicho certificado.

En términos generales, existen una serie de distinciones entre las firmas electrónicas y digitales. Por
lo tanto, conocer mejor sus verdaderos conceptos y funciones, permite a las compañías aplicar ambos
términos de manera más adecuada, ajustando mejor el nivel de autenticidad, validez y seguridad con
el tipo de transacción previa a realizar.
2.3 DIFERENCIAS ENTRE CERTIFICADO DIGITAL Y FIRMA
DIGITAL
Sintetizando todo lo que hemos visto hasta el momento, podemos decir que la diferencia
entre firma digital y certificado digital se podría condensar del modo siguiente:

Certificado digital Firma digital

¿Cómo se genera? Se emite por una autoridad Al firmar, se realiza un

de certificación (La ADSIB, cifrado del documento,
entidad pública de descifrándose en destino
servicios tecnológicos, con la clave
designada como única correspondiente
Entidad Certificadora
Autorizada Pública
encargada de emitir
Certificados para Firma
Digital verificando la
 autoridad del titular y
asociándola
electrónicamente al
certificado. Implica un
proceso de generación,
registro, verificación y
creación de claves

¿Cuál es su principal Identifica a la persona Según el tipo de firma,

objetivo o funcionalidad? titular, sobre la base de la identifica al firmante,
confianza que proporciona acreditando su
la autoridad de conformidad o declaración
certificación de voluntad respecto de un
documento específico

¿Qué extremos acredita? Autentica la identidad del Según los casos, permite
titular del certificado asegurar la autenticación
del firmante, el no repudio
y la integridad del
documento

En definitiva, las diferencias entre certificado digital y firma digital se resumen en las
siguientes:
• El certificado digital se genera a través de una autoridad de certificación que
asocia la identidad de una persona al certificado. El proceso requiere un proceso
de identificación, autenticación y validación. Por su parte, la firma digital es un
código que se crea al firmar el documento, que permite cifrarlo en origen y
descifrarlo en destino.
• El certificado digital identifica a su titular, mientras que la firma digital solo identifica
al firmante de un documento o archivo concreto.
Como vemos, la diferencia entre firma digital y certificado digital puede ser difícil de
explicar y comprender en primera instancia. La clave es el alcance: mientras la firma
digital se refiere a documentos o ficheros concretos, el certificado digital permite
identificar a una persona en internet y realizar trámites en la Agencia Tributaria, en la
sede de la S. Social, en la DGT, en el padrón municipal, en el Registro Mercantil y un
largo etcétera.

2.5 CIFRADO DE FIRMAS DIGITALES

Criptografía asimétrica: El cifrado asimétrico, también conocido como criptografía
asimétrica o de clave pública, se utiliza para proteger archivos, carpetas y unidades
completas contra el acceso no autorizado e intercambiar mensajes confidenciales. Para
este propósito, se emplean unas claves que sirven para cifrar y descifrar los datos.

A diferencia de la criptografía simétrica, con este método los usuarios no comparten una
clave secreta común (clave privada), sino que cada usuario crea su propio par de
claves, que consiste en una clave secreta o privada y una clave pública. Cualquier
persona que tenga la clave pública puede enviar datos cifrados al propietario de la clave
privada, verificar su firma digital o autenticar su identidad. A su vez, la clave privada
permite descifrar los datos cifrados, generar firmas digitales o autenticar la identidad del
usuario.

¿Cómo funciona el cifrado asimétrico?

Para iniciar el procedimiento de la criptografía asimétrica, el destinatario genera su par

de claves y comunica la clave pública a la otra parte, guardándose la clave privada para
sí. El proceso de transmisión es sencillo y se lleva a cabo a través de organismos de
certificación o mediante los llamados servidores de claves, en los que se puede
almacenar la clave. El remitente codifica su mensaje con esta clave pública y puede
enviarlo al destinatario como “texto secreto”. Desde el momento del cifrado, el
destinatario solo podrá descifrar este mensaje con su clave privada. Por esta razón, en
principio, el canal del mensaje puede elegirse libremente: si el mensaje cifrado es
interceptado, su contenido permanece oculto para el atacante.

Este principio de unidireccionalidad conforma todo el criptosistema asimétrico. Las dos

claves son completamente independientes una de otra: incluso si un atacante conociera
la clave pública, no le serviría para averiguar la clave privada. Para garantizarlo, la clave
pública emplea números primos bien definidos que se multiplican y dan un resultado
concreto.

La clave privada, por su parte, emplea exclusivamente el resultado de este cálculo (en el
ejemplo, el número 4577). Resulta casi imposible averiguar los números anteriores solo
con este valor, porque la combinatoria es muy compleja. Hasta la fecha, no existen
métodos o algoritmos matemáticos que faciliten el cálculo anterior.

Ventajas e inconvenientes del cifrado asimétrico

El principal inconveniente de la criptografía de clave pública es la lentitud del proceso de

cifrado. Además, se requiere considerablemente más rendimiento informático. Por lo
tanto, como en el ejemplo del cifrado SSL mencionado anteriormente, se ha desarrollado
un sistema híbrido que combina el sistema simétrico y el asimétrico. Los antiguos
problemas de este método, como la autenticación insegura y la alta vulnerabilidad al
malware, ya se han resuelto mediante certificados y firmas digitales, así como
criptosistemas basados en ID.

Se recomienda el cifrado híbrido para sacar partido a lo mejor de ambos mundos. El

cifrado asimétrico asume la tarea de distribuir las claves, lo que evita el engorroso
procedimiento de transferencia de claves privadas de los criptosistemas simétricos. El
resultado es un proceso de cifrado seguro, rápido y práctico.

Algoritmos usados para cifrar la firma digital

• Diffie-Hellman
• RSA
• DSA
• Cifrado ElGamal
• Criptografía de curva elíptica
• Criptosistema de Merkle-Hellman

¿Cómo trabaja?
2.0 CERTIFICADOS DIGITALES
2.1 QUE ES UN CERTIFICADO DIGITAL

El Certificado Digital es el único medio que permite garantizar técnica y legalmente la

identidad de una persona en Internet. Se trata de un requisito indispensable para que las
instituciones puedan ofrecer servicios seguros a través de Internet.

El certificado digital permite la firma electrónica de documentos El receptor de un

documento firmado puede tener la seguridad de que éste es el original y no ha sido
manipulado y el autor de la firma electrónica no podrá negar la autoría de esta firma.

Un Certificado Digital consta de una pareja de claves criptográficas, una pública y una
privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una
de las claves sólo se puede descifrar con su clave pareja.

El titular del certificado debe mantener bajo su poder la clave privada, ya que si ésta es
sustraída, el sustractor podría suplantar la identidad del titular en la red. En este caso el
titular debe revocar el certificado lo antes posible, igual que se anula una tarjeta de crédito
sustraída.

La clave pública forma parte de lo que se denomina Certificado Digital en sí, que es un
documento digital que contiene la clave pública junto con los datos del titular, todo ello
firmado electrónicamente por una Autoridad de Certificación, que es una tercera entidad
de confianza que asegura que la clave pública se corresponde con los datos del titular.

2.2 DEFINICION BRINDADA POR ADSIB

El certificado debe haber sido reconocido por la Autoridad de Fiscalización y Regulación

de Telecomunicaciones y Transportes - ATT como autorizado para crear firmas
reconocidas y debe estar listado en su página web. Se pueden ver todos los certificados
reconocidos por la ATT en la dirección:

https://att.gob.bo/content/firma-digital

Son certificados reconocidos porque tanto la entidad que los emite como el contenido
mismo del certificado, cumplen con los requisitos declarados en la Resolución
Administrativa Regulatoria ATT-DJ-RAR-TL LP 202/2019 que aprueba los “Estándares
Técnicos y otros Lineamientos establecidos para el funcionamiento de las Entidades
Certificadoras”.

“Ser generada con un dispositivo seguro de creación de firma”

Las características de un dispositivo seguro de creación de firma están recogidas en el

parágrafo II del Artículo N° 3 (INCORPORACIONES) del Decreto Supremo N° 3527 de
fecha 11 de abril de 2018 que establece: “Se incorpora el inciso l) en el Parágrafo I del
Artículo 27 del Reglamento para el Desarrollo de Tecnologías de Información y
Comunicación, aprobado por Decreto Supremo N° 1793, de 13 de noviembre de 2013,
con el siguiente texto: ‘l) Identificar su nivel de seguridad, en caso que el par de claves
sea generado por dispositivo éste tendrá nivel de seguridad alto, en caso que el par de
claves sea generado por software éste tendrá nivel de seguridad normal’”.

Principalmente, el dispositivo seguro debe garantizar que las claves sean únicas y
secretas, que la clave privada no se puede deducir de la pública y viceversa, que el
firmante pueda proteger de forma fiable las claves, que no se altere el contenido del
documento original y que el firmante pueda ver qué es lo que va a firmar.

ADSIB EMITE CERTIFICADOS DIGITALES EN BOLIVIA

La ADSIB es la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia,
entidad pública de servicios tecnológicos, designada como única Entidad Certificadora
Autorizada Pública encargada de emitir Certificados para Firma Digital

2.3 NO TE CONFUNDAS

La firma digital se realiza a través de un CERTIFICADO DIGITAL emitido por una entidad
certificadora autorizada.

Un CERTIFICADO DIGITAL es un conjunto de elementos digitales que identifican a una

persona en el mundo digital.

2.4 TIPOS DE CERTIFICADOS DIGITALES

Los tipos de perfiles de Certificados Digitales que podrán emitir las Entidades
Certificadoras Autorizadas, conforme a estándares internacionales, son los siguientes:

• Certificado de Persona Natural: Documento digital que pertenece y contiene

los datos de una persona (nombre, número de CI y correo electrónico).

• Certificado de Persona Jurídica: Documento digital que pertenece y contiene

los datos de una persona que figura en representación de una entidad pública o
privada (nombre, número de CI, correo electrónico, cargo y nombre de la institución).

El formato para los tipos de Certificados Digitales está basado en el RFC 5280 y están
definidos en el Anexo 1 del documento “Estándares Técnicos y otros Lineamientos
establecidos para el funcionamiento de las Entidades Certificadoras” aprobados según
Resolución Administrativa Regulatoria ATT-DJ-RAR-TL LP 202/2019.

2.5 NIVELES DE SEGURIDAD

Nivel de seguridad de los Certificados Desde un punto de vista técnico, según el Artículo
N° 6 del documento “Estándar Técnico para la Emisión de Certificados Digitales”,
aprobado mediante Resolución Administrativa Regulatoria ATT-DJ-RAR-TL LP 209/2019,
se establecen dos alternativas para el resguardo de las claves según su nivel de
seguridad:

• NIVEL DE SEGURIDAD NORMAL: Certificados Digitales emitidos por

dispositivo criptográfico basado en Software. El solicitante deberá generar el par
de claves (público y privada) por software, en un dispositivo seguro que cumpla
con el estándar FIPS 140-2 nivel 1 mínimamente, posteriormente debe
proporcionar a la Entidad Certificadora Pública ADSIB la solicitud de firma de
Certificado – CSR en un archivo electrónico que contiene el requerimiento de firma
de certificado. El certificado digital, así como su par de claves, serán resguardados
por el usuario titular en un contenedor PKCS#12 (archivo con la extensión .p12) .

• NIVEL DE SEGURIDAD ALTO: Certificados Digitales emitidos por dispositivo

criptográfico basado en hardware. El solicitante deberá generar el par de claves
(pública y privada) en un dispositivo que cumpla con el estándar FIPS 140-2 nivel
2 mínimamente, posteriormente debe proporcionar a la Entidad Certificadora
Pública la solicitud de firma de Certificado – CSR en un archivo electrónico que
contiene el requerimiento de firma de certificado.

Dependiendo del tipo del nivel de seguridad que se vaya a utilizar, se deberá contar con
lo siguiente:

• Nivel de seguridad NORMAL: Archivo p12 donde sea almacenado el

Certificado digital que permita firmar uno o varios documentos y que cumpla con
sistemas de seguridad reconocidos internacionalmente garantizando la
confiabilidad del mismo (inciso g) art. 33 del D.S. 1793).

• Nivel de seguridad ALTO: Dispositivo que permita firmar un documento al

signatario, donde sean almacenados y custodiados el Certificado Digital y su clave
 privada (Token o tarjetas inteligentes – Smart cards) que cumpla con el estándar
FIPS 140-2 (inciso g) art. 33 del D.S. 1793 y sus modificaciones descritas en el
D.S. 3527), homologado por la ATT.

Los certificados digitales emitidos a través de dispositivos criptográficos basados en

software solo podrán ser utilizados por Personas Jurídicas, siempre y cuando sean
administrados en condiciones técnicamente seguras y confiables, que eviten su uso por
terceros no autorizados.

2.6 FORMA DE USO DE LA FIRMA

La forma de uso del Certificado Digital está definida por cómo el usuario titular firma los
documentos:

• Firma Digital Automática: Firma digital generada por un sistema informático,

donde el titular del certificado digital delega su uso para tareas definidas en éste.

• Firma Digital Simple: Firma digital generada con intervención DIRECTA del
usuario titular (normalmente representada por el ingreso del PIN en cada proceso
de firmado).

Los certificados digitales con seguridad Alta o Normal podrán ser usados para realizar
Firma Digital Automática, siempre y cuando el firmado se realice en condiciones
técnicamente seguras y confiables, que eviten su uso por terceros no autorizados.

Para la realización de la firma digital de forma automática, se debe comprobar que los
datos con los que se creare sean controlados por medios que permitan evitar de forma
técnicamente segura y confiable su uso por terceros no autorizados, para otros fines que
no se encuentren descritos en el certificado digital.

3.0 USOS EN BOLIVIA

3.1 LA ADUANA

La Aduana Nacional es una entidad pionera en el uso de la Firma digital como una herramienta para
modernizar los trámites aduaneros a partir del Sistema Único de Modernización Aduanera (SUMA).

Su uso está amparado en la Ley Nro 164 de 08/08/2011 - Ley General de Telecomunicaciones,
Tecnologías de Información y Comunicación, en su Reglamento aprobado mediante D.S. Nro 1793
de 13/11/2013 y en la Resolución de Directorio emitida por la Aduana Nacional Nro RD 01-003016 de
15/02/2016 - Reglamento para uso de la Firma Digital.

A través de sus representantes o titulares, los Operadores de Comercio Exterior deberán utilizar la
Firma Digital para la suscripción y presentación de Declaraciones de mercancías, manifiestos de
carga y otros documentos aduaneros que así lo requieran. Para firmar digitalmente, las personas
interesadas deberán solicitar la emisión de sus Certificados Digitales y descargar los mismos en un
dispositivo Token que será provisto por la Aduana Nacional.

La firma digital es un instrumento con características técnicas y normativas, esto significa que existen
procedimientos técnicos que permiten la creación y verificación de firmas digitales y existen
documentos normativos que respaldan el valor legal que dichas firmas poseen.

3.2 ASFI

La ASFI es una entidad que realiza la aplicación de las Firmas Digitales como una herramienta
para su Gestion Documental.

El uso se basa con su “Reglamento de Gestion Documental” sustentado en el marco normativo

que establecen las siguientes leyes y reglamentos.

Ley General de Telecomunicaciones, Tecnologías de Información y Comunicación, Reglamento para

uso de la Firma Digital,Reglamentos de Firmas Asfi,

3.0 ESTANDARES
ADSIB es la Agencia para el Desarrollo de la Sociedad de la Información en Bolivia,

ESTÁNDARES CRIPTOGRÁFICOS

En el ámbito de la criptografía, los estándares criptográficos se definen como modelos, normas

o referencias que aseguran la transmisión de información privada. Esta estandarización se
consigue por la revisión continua que realizan ciertos organismos y laboratorios a los diferentes
algoritmos de cifrado, a la seguridad de las claves y a su durabilidad, con el objetivo de contar
con procedimientos seguros, confiables y resistentes ante diferentes tipos de ataques. La
certificación del sistema de cifrado debe estar otorgada por un Organismo de Certificación
competente en materia de seguridad (Rodríguez Cabrero, 2007). Prueba de ello es el Instituto
Nacional de Normas y Tecnologías (National Institute of Standars and Technology) ubicado en
los Estados Unidos, que constantemente realiza un proceso de prueba y filtrado de los nuevos
algoritmos, y los incorpora a una lista de nuevos métodos criptográficos aprobados.

FIPS 140-2

Estándar de Procesamiento de Información Federal es un conjunto de normas que especifican

los requerimientos de seguridad para módulos criptográficos; el cual es aplicable a las agencias
federales que utilizan sistemas de seguridad basados en criptografía para proteger la información
sensible en los sistemas informáticos y de telecomunicaciones. De la misma forma, este estándar
proporciona protección a la información asegurando la confidencialidad e integridad de los datos.
FIPS 140-2 reemplazó a FIPS 140-1 debido a los cambios en lo que ha tecnología y prácticas se
refiere (Kenworthy, 2002). Además, esta norma proporciona cuatro niveles de seguridad: Nivel
1, Nivel 2, Nivel 3 y Nivel 4; éstos incluyen la especificación de módulos criptográficos, puertos e
interfaces de módulos criptográficos, funciones, servicios y autenticación, seguridad física y
gestión de claves criptográficas. Los cuatro niveles de seguridad se especifican a continuación
(National Institute of Standards and Technology, 2001).

NIVEL 1 Es el nivel de menor exigencia, y en él se definen requisitos de seguridad básicos para

un módulo criptográfico. No se requieren mecanismos específicos de seguridad física, por lo que
esta implementación es apropiada cuando los niveles de seguridad física no existen o son
inapropiados.

NIVEL 2 Mejora mecanismos de seguridad física en un nivel criptográfico. Requiere

autentificación basada en roles y el módulo criptográfico debe verificar la autorización de un
operador para tener acceso a un conjunto específico de servicios. Por lo tanto, en este nivel los
componentes de software y firmware de un sistema operativo deben haber sido evaluados con
un nivel EAL2 o superior de Common Criteria.

NIVEL 3 Incorpora mecanismos de detección de intrusos, evitando el acceso no autorizado, uso

o modificación de los módulos criptográficos. Además, se incluye protección criptográfica eficaz
y administración de claves que se requieren para la autenticación. También, el software y
firmware de un sistema operativo debe haber sido evaluado con un nivel EAL3 o superior.
NIVEL 4 Contiene las mayores exigencias de seguridad y protección alrededor de un módulo
criptográfico. Este nivel de seguridad es útil para el funcionamiento en entornos físicamente sin
protección.

ESTÁNDAR PKCS

Son estándares de criptografía de clave pública, ofrecidos por los laboratorios de RSA1 cuyo
objetivo es facilitar el uso de tecnologías de clave pública (Ortiz Figueroa, 2010). Según Wang
(2012), este estándar tiene el propósito de acelerar el despliegue de la criptografía de clave
pública. Además, PKCS define también una sintaxis de algoritmo independiente para firmas
digitales, sobres digitales y certificados extendidos. La tabla 1 muestra el detalle del estándar
criptográfico de clave pública (RSA Laboratories, 2015).
ESTÁNDARES APLICADOS A MÓDULOS CRIPTOGRÁFICOS EN FIRMA Y
CERTIFICADOS DIGITALES EN BOLIVIA

BOLIVIA

De acuerdo a Red Iberoamericana de Protección de datos (2013), en Bolivia la firma digital se

encuentra reglamentada en la Ley Nro. 164 del 8 de agosto de 2011 que corresponde a la Ley
general de Telecomunicaciones, Tecnologías de Información y Comunicación sobre desarrollo,
contenidos y aplicaciones de tecnología de información y comunicación; en la que se establece
la normativa que deberán cumplir las entidades certificadoras autorizadas para la emisión de
certificados digitales, mismos que deberán responder a los formatos y estándares internacionales
reconocidos por la Autoridad de Regulación y Fiscalización de Telecomunicaciones y
Transportes (ATT). Las entidades certificadoras deberán establecer los formatos y
procedimientos necesarios para la aplicación de la firma digital y los certificados digitales, los
cuales se basarán en el estándar internacional RFC5280 en el cual se definen los formatos de
certificados X.509 versión 3 (González Cruz, 2005) y los CRL (lista de certificados revocados)
X.509 versión2. Además, el estándar FIPS 140-2 para el almacenamiento y custodio del
certificado digital y su clave privada (Autoridad de regulación y fiscalización de
telecomunicaciones y transportes, 2014).

RESOLUCION ADMINISTRATIVA REGULATORIA ATT-DJ-RAR-TL LP 209/2019

4.0 Decreto
Se refiere una autoridad sobre la materia en que tiene competencia. Es un tipo de acto
administrativo emanado por el poder ejecutivo y legislativo que, generalmente, posee un
contenido normativo reglamentario, por lo que su rango es jerárquicamente inferior a las leyes.

4.1 Ley164 ley general de telecomunicaciones, tecnologías de información y

comunicación

Bolivia, ingresa a la era de la Firma Digital, con la promulgación de la Ley 164 en fecha 8 de
agosto del 2011, ya que se crea el marco jurídico que brinda validez de la firma digital

Articulo 6.- (DEFINICIONES)

Es la firma electrónica que identifica únicamente a su titular, creada por métodos que se
encuentren bajo el absoluto y exclusivo control de su titular, susceptible de verificación y está
vinculada a los datos del documento digital de modo tal que cualquier modificación de los mismos
ponga en evidencia su alteración.

4.1.1 CAPITULO TERCERO DOCUMENTOS Y FIRMAS DIGITALES

Articulo 78. (VALIDEZ JURÍDICA).

Tienen validez jurídica y probatoria:

1. El acto o negocio jurídico realizado por persona natural o jurídica en documento digital y
aprobado por las partes a través de firma digital, celebrado por medio electrónico u otro de
mayor avance tecnológico.

2. El mensaje electrónico de datos.

3. La firma digital.

4.1.2 CAPITULO CUARTO COMERCIO ELECTRONICO

Articulo 86. (VALIDEZ DE LOS CONTRATOS ELECTRONICOS).

I. Las partes podrán realizar transacciones comerciales mediante documento digital.

II. Lo dispuesto en el presente capitulo no será aplicable a aquellos contratos en los cuales la
Ley o el mismo contrato excluya expresamente la validez de los documentos digitales

Articulo 87. (VALORACIÓN).

I. Los documentos digitales carentes de firma digital, serán admisibles como principio de prueba
o indicios.

II. Se tomará en cuenta la confiabilidad de la forma en que se haya generado, archivado y

comunicado el documento digital, la forma en que se haya conservado la integridad de la
información, y la forma en la que se identifique a su iniciador y cualquier otro factor pertinente.

Articulo 88. (CONTROVERSIAS).

En caso de controversias las partes se someterán a la jurisdicción estipulada en el contrato, a

falta de ésta, se sujetarán a la autoridad administrativa boliviana si corresponde y en su caso a
la jurisdicción ordinaria.

4.1.3 DECRETO SUPREMO N°1793

Articulo 4. (PRINCIPIOS)

Los Documentos Digitales se regirán por los siguientes principios:

I. Autenticidad: El autor queda acreditado, se permite verificar la identidad del emisor

II. Integridad: El documento digital no ha sido adulterado o modificado

III. No repudio: No puede ser negado en su autoría y contenido

Articulo 34. (VALIDEZ DE LA FIRMA DIGITAL)

II. Los documentos digitales con firma digital adquieren plena validez jurídica probatoria
bajo las siguientes condiciones:
a) Ser individual y estar vinculada a su titular.
b) Que permita verificar inequívocamente la autoría del signatario.
c) Que su método de creación y verificación sea confiable
d) Los datos al momento de la creación se hallen bajo control del signatario
e) Que la firma sea controlada por la persona a quien pertenece
RESOLUCIÓN MINISTERIAL MDPYEP N°0072.2020 13 de abril del 2020
SEGUNDO. - Autorizar la implementación del uso de la firma digital o electrónica, para los
trámites del Manual de Procedimientos de Trámites del Registro de Comercio de Bolivia,
según su aplicación y pertinencia Tecnológica.
Los comerciantes podrán emplear la firma digital para la suscripción de Actas y cualquier
otro documento social que emerja de reuniones, Asambleas o cualquier instancia de
deliberación de la empresa. En los cuales la tecnología mencionada pueda ser aplicada.
Estos documentos, serán plenamente válidos para la realización de cualquier trámite
mencionado, en el Anexo de la presente Resolución
DECRETO SUPREMO N°4218 14 de abril del 2020
ARTİCULO 1.- (OBJETO). El presente Decreto Supremo tiene por objeto regular el
Teletrabajo como una modalidad especial de prestación de servicios caracterizada por la
utilización de Tecnologías de la Información y Comunicación en los sectores público y
privado.
ARTÍCULO 13.- (PUNTOS DE CONTACTO OFICIAL).
II. Para la comunicación y correspondencia entre entidades públicas, cada entidad deberá
establecer un correo electrónico oficial, mismo que será publicado y actualizado en el portal
gob.bo apoyen el portal web de cada entidad. Los documentos adjuntos en esta
comunicación deben incorporar firma digital.

BIBLIOGRAFIA:

https://blog.signaturit.com/es/firma-electronica-versus-firma-digital-que-se-diferencian
HTTPS://ADSIB.GOB.BO/PORTAL_FRONTEND/CONTENIDOS/ESTANDARES-Y-
LINEAMIENTOS-DE-FIRMA-DIGITAL-MEDIANTE-SOFTWARE-Y-HSM

HTTPS://WWW.3CIENCIAS.COM/WP-CONTENT/UPLOADS/2017/09/ART-2-2.PDF

RESOLUCION ADMINISTRATIVA REGULATORIA ATT-DJ-RAR-TL LP 209/2019