En la sociedad, es común encontrarnos con dilemas que involucren dos o más versiones en hechos varios, estos pueden ser desde los más inocentes, como en una discusión de hermanos, donde cada uno se defiende ante su madre para evitar ser castigados ante una travesura, o hasta en un caso judicial, donde las versiones de los involucrados son críticas para su libertad y desenvolvimiento en su vida diaria.
Las disputas de este tipo generalmente se resuelven a través de la demostración de los hechos ocurridos, ante un tercero (como puede ser el veredicto de la madre o un juez, tomando los ejemplos anteriores) basándose en los hechos verificables que le sea presentado.
Ya que nos adentramos en lo importante que puede ser el poder demostrar que la versión que tenemos ante una situación es “real no fake”, se puede extrapolar a la seguridad informática, con lo que entraremos a definir un concepto nuevo, este es el “No repudio”.
En palabras simples, el no repudio es la capacidad de demostrar o probar una transacción entre las partes y con esto, proporcionar protección contra la negación por parte de alguna de las entidades implicadas, o bien, se traduce como un método para asegurar que algo sea realmente válido y que no pueda ser rechazado o negado.
Para poner en práctica el no repudio se necesita contar con ciertas pautas para así, poder disputar o defender reclamaciones de una identidad, organización, etc., en caso de que niegue ser autor de algún mensaje, como se cita a continuación:
- Una identidad
- Autenticación de dicha identidad
- Evidencia que conecte inequívocamente la parte identificada con el mensaje o acción.
Al igual que con las pautas, se tienen algunas características del no repudio:
- Verificación de creación y origen de los contenidos
- Disponer de pruebas que justifiquen el envío o recepción de mensajes
Existen 2 tipos de no repudio:
No Repudio origen: Este protege al receptor, ya que el emisor no puede negar que envió el mensaje, esto porque el destinatario tiene una prueba infalsificable del origen, prueba creada por el mismo emisor.
No Repudio destino: Este protege al emisor, ya que el receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción, evitando que el receptor lo niegue posteriormente, para este caso, la prueba la crea el receptor.
El no repudio prueba que el autor envió la comunicación (no repudio origen) y el destinatario la recibió (no repudio destino).
Esto es sumamente importante, ya que en los últimos años hemos vivido un cambio significativo en nuestro día a día, este digitalizándose cada vez más, por ende, poder garantizar la legitimidad los datos compartidos es una necesidad.
Algunos de los ejemplos de mecanismos que se usan para identificarnos son los siguientes:
Cifrado de llave privada y pública: En el cifrado de la llave privada (simétrica), utiliza la misma llave para cifrar y descifrar un mensaje, que tienen que conocer previamente le emisor y receptor.
El cifrado de llave pública (asimétrica) se basa en 2 llaves una pública y otra privada, donde la primera se puede difundir sin ningún inconveniente por canales no seguros y la segunda no debe revelarse nunca como bien su nombre lo describe, es privada.
Certificados digitales: Son tarjetas de identificación emitidas por compañías de confianza. Los certificados contienen fragmentos de información acerca de la identidad del propietario del certificado y acerca de la autoridad de certificación.
Los certificados permiten al usuario verificar a quién se ha emitido un certificado, así como al emisor certificado, con lo cual permiten la identificación exclusiva de una entidad.
Firma digital: Sello de autenticación electrónico cifrado en información digital, como mensajes de correo, macros o documentos electrónicos. La firma constata que la información proviene del firmante y no se ha modificado en la trasmisión, ya que está vinculado exclusivamente a la persona que firma.
En síntesis, el uso de certificados digitales y de la criptografía de claves públicas para firmar transacciones, mensajes y documentos es la base del no repudio. El remitente y el destinatario están ambos de acuerdo en que el intercambio tiene lugar. La firma digital de los datos es una prueba suficiente.