Conclusiones de los servicios de “Terceros de confianza” o “Notarios Digitales”
Se han analizado los aspectos técnicos y legales referente a los prestadores de servicios de “terceros de confianza”. En la certificación de capturas de portales web y de mensajes de correos electrónicos.
Antes se presentaban como notarios digitales y es una de las quejas que he visto que hacen los notarios. En la actualidad no he visto muchos proveedores que se presenten como tal. Estos servicios indican que sus pruebas tienen validez legal , y suelen contar con una serie de certificaciones institucionales que avalan sus procedimientos.
Si que se presentan como terceros de confianza y certifican comunicaciones (visitar una página web es una comunicación) y emails pero por lo general no son aceptados por las dos partes interesadas, únicamente unilateralmente, ser aceptado por las dos partes es un requisito necesario para ser un tercero de confianza.
Por lo general, cuando se certifica una captura web, el propietario de esa web no ha aceptado la captura. Lo mismo se puede decir de la certificación de correos electrónicos. Por tanto venden servicios de terceros de confianza sin que lo sean. Lo correcto es decir que hacen un servicio de certificación electrónica.
Safestamper, a pesar de asegurar e incluir en su apartado de solidez técnica y legal, de contar con auditorias externas y los certificados de instituciones, no cumplen los requisitos legales ni técnicos suficientes. Por tanto, contrariamente a lo que indican pericialmente y legislativamente es cuestionable.
En esta herramienta se permite crear pruebas falsas y no funcionan con los requisitos legales del tercero de confianza, al menos en lo que a la certificación de portales web se refiere, al menos con la opción de Navegación Web que permite al usuario modificar la navegacion del servidor. (esto no para en certificacion de páginas sin navegacion web)
En la certificación de emails de forma unilateral, pero el registrar una dirección IP es un dato personal que puede llegar a identificar a una persona. Recogerlo sin su consentimiento puede conllevar el incumplimiento del RPDG entre otros aspectos legales.
Referente a este servicio de Safestamper, no cumplen todo lo que se indican ni lo que se promete. Teniendo otros problemas de funcionalidad como que las capturas de pantalla no siempre se muestran como el cliente solicita.
Certificador de evidencias digitales
Safetheproof.com ha sido analizado y no se presenta como tercero de confianza. He intentado crear una captura manipulada como se ha realizado con SAfestamper y no se ha conseguido. Además, tiene funcionalidades que permiten hacer justo la captura de pantalla que se necesita.
En su apartado de validez legal (https://www.savetheproof.com/validez-legal/ ) explican su marco de actuación tanto legal como la admisión de prueba, es transparente y instructivo. En mi opinión este servicio es excelente. Tienen una mejor herramienta y no realizan publicidad engañosa.
(Cabe destacar que tengo independencia de ambas plataformas, y que la que he usado hasta ahora ha sido safestamper).
Tercero de confianza No , certificador de evidencias digitales Si
Al menos en lo que se refiere a la certificación de evidencias electrónicas en las que no haya un procedimiento que garantice la comunicación desde el origen y la finalización del documento. Como sería el caso de los formularios que se tramitan en línea de las plataformas institucionales (hacienda, ayuntamientos…).
¿Se recomiendan los Tercero de confianza?
La utilidad de este tipo de servicios está fuera de duda. Las evidencias digitales son volátiles y una publicación de una red social puede borrarse en cualquier momento. El uso de una herramienta securizada que certifique una evidencia digital es muy útil, y facilita garantizar la salvaguarda de dicha prueba que de otros procedimientos pueden perderse.
Respondiendo a la pregunta de compañeros y abogados. Si, recomiendo utilizar este tipo de herramientas de captura de evidencias. Pero huiría de aquellos que se autodenominan terceros de confianza pese a contar con diferentes sellos institucionales.
Legislación y posibilidades técnicas
La legislación limita las posibilidades técnicas, y no se contemplan todas las facetas de sus artículos por parte de los desarrolladores y empresas, prestando servicios y vendiéndolos como tal.
Por tanto, la adquisición de prueba puede llegar a considerarse ilícita, pudiendo ser invalida en un procedimiento judicial.
No todas las herramientas tienen esta facilidad de manipulación
Para certificar capturas de páginas web, lo que realiza la herramienta a nivel técnico es visitar la página web a certificar, a continuación realiza una captura de pantalla desde el navegador de la máquina del tercero de confianza. La captura se guarda como PDF, y en dicho documento puede añadirse información adicional que varía según el proveedor.
Acto seguido utiliza una firma digital junto con un sellado de tiempo y el documento resultante lo almacena en su servidor. El cliente podrá descargar el archivo, e incluso enviarlo a un tercero.
En este caso, el tercero de confianza no recibe el documento del cliente, si no que crea un documento propio y lo almacena. Según la herramienta podrá añadir datos, como por ejemplo la solicitud de la certificación, el origen de la página web. Los navegadores utilizados para dicha certificación. Etc.
Ya sea de una forma u otra, en los dos casos para la certificación se carga la página web en el servidor del certificador digital. Se crea un documento (hecho por el tercero de confianza) lo firma digitalmente y lo almacena.
En este proceso, en mi opinión lo que se realiza es una certificación de evidencias digitales. Por tanto lo correcto sería decir que es un certificador digital. No un “tercero de confianza” o una “Notario digital”. En el caso de las certificaciones de páginas web, es el certificador el que crea el documento.
Certificación de páginas web que necesitan contraseña
Cuando el cliente solicita certificar una página web, y le indica la url a certificar. Lo que hace el “tercero de confianza” es cargar la página web en el servidor y realizar la captura de pantalla. Crear un PDF y firmarlo.
El problema está cuando se quiere certificar una página a la que se necesita acceder con contraseña. Por ejemplo, Facebook, una cuenta de correo, extractos de bancos etc.
Para solucionar este problema, el servidor de la certificadora necesita acceder y tener las credenciales de usuario para acceder al contenido a certificar. Para ello, lo que hace es crear una máquina virtual en su servidor que es gestionado por el cliente por la App de la web de la empresa certificadora.
El cliente introduce sus credenciales y accede desde el servidor a la página, y una vez visualizada se realiza la captura de pantalla. Para a continuación generar el PDF y firmarlo digitalmente. Es aquí donde falla la herramienta que hemos usado habitualmente.
No por ello significa que los certificados digitales no sean validos, pero tienen una vulnerabilidad a corregir.