Derecho y Nuevas Tecnologías

Derecho y nuevas
tecnologas
Miquel Peguera Poch (coordinador)
Albert Agustinoy Guilayn
Ramn Casas Valls
Agust Cerrillo i Martnez
Ana M. Delgado Garca
Jordi Herrera Joancomart
Mark Jeffery
scar Morales Garca
Rafael Oliver Cuello
Guillermo Ormazbal Snchez
Mnica Vilasau Solana
Raquel Xalabarder Plantada
Coordinador
Miquel Peguera Poch
Profesor de Derecho mercantil y de Derecho y nuevas tecnologas en la Universitat Oberta de Cata-
lunya. Codirector acadmico del Posgrado de la Universitat Oberta de Catalunya y la Universitat
de les Illes Balears en Derecho del Comercio Electrnico. Profesor del programa de especializacin
de Derecho de las Nuevas Tecnologas de ESADE. Ha publicado diferentes trabajos de investigacin
en materia de aspectos jurdicos de la convergencia tecnolgica, prestacin de servicios de la sociedad
de la informacin, y responsabilidad por daos de los ISP. Coautor del volumen Legislacin de Internet
y Comercio Electrnico (Tecnos, 2003).
Autores
Abogado asociado de Cuatrecasas. Miembro de la lista de expertos en resolucin de disputas relati-
vas a nombres de dominio de la Organizacin Mundial de la Propiedad Intelectual (OMPI). Con-
sultor de Derecho y nuevas tecnologas en la Universitat Oberta de Catalunya. Profesor en diversos
cursos de posgrado y mster en ESADE (Universitat Ramon Llull), la Universidad de Navarra, la
Universidad del Pas Vasco o la Universitat Internacional de Catalunya. Autor del libro Rgimen
jurdico de los nombres de dominio (Tirant lo Blanch, 2002).
Ramn Casas Valls

Titular de Derecho civil y profesor de Propiedad intelectual en la Universidad de Barcelona.

Doctor en Derecho y licenciado en Ciencias Polticas y de la Administracin. Profesor de Derecho
administrativo en la Universitat Oberta de Catalunya. Ha investigado y publicado sobre la coope-
racin al desarrollo, la transparencia administrativa, el acceso a la informacin y la participacin
de los ciudadanos en las administraciones pblicas. En la actualidad investiga sobre las repercusio-
nes de las TIC en las administraciones pblicas y el Derecho administrativo.

Doctora en Derecho. Profesora de Derecho financiero y tributario de la Universitat Oberta de Cata-
lunya. Autora de diversas obras relacionadas con el uso de las tecnologas de la informacin en
materia tributaria, en especial en el mbito de los procedimientos tributarios.

Licenciado en Matemticas por la Universidad Autnoma de Barcelona y doctor por la Universidad
Politcnica de Catalua. Profesor de los Estudios de Informtica y Multimedia de la Universitat
Oberta de Catalunya. Su mbito de investigacin es la seguridad de la informacin. Es autor de
diversos artculos nacionales e internacionales e investigador principal de proyectos de investiga-
cin nacionales e internacionales.
Editorial UOC 6
Mark Jeffery
Doctor en Derecho por el Instituto Universitario Europeo (Florencia) y profesor de Derecho en la
Universitat Oberta de Catalunya. Autor de diversos trabajos sobre la incidencia de las nuevas tec-
nologas en el mbito laboral. Coordinador de la obra colectiva Tecnologa Informtica y Privacidad
de los Trabajadores (Aranzadi, 2003).
scar Morales Garca

Doctor en Derecho. Profesor de Derecho penal en la Univeristat Oberta de Catalunya. Director del
Proyecto I+D, del Ministerio de Ciencia y Tecnologa, sobre "Las transformaciones del Derecho en
la Sociedad de la Informacin y el Conocimiento". Ha publicado diversos trabajos sobre la interac-
cin entre derecho penal y sociedad de la informacin, y coordinado varias obras colectivas, entre
ellas, los libros Contenidos ilcitos y responsabilidad de los prestadores de servicios de Internet (Aranzadi,
2001) y Criminalidad Informtica. Problemas de responsabilidad (CGPJ, 2002).

Doctor en Derecho. Profesor de Derecho financiero y tributario de la Universidad Pompeu Fabra.
Autor de diversas obras relacionadas con los aspectos tributarios de las tecnologas de la informa-
cin, entre otras, el libro Tributacin del comercio electrnico (Tirant lo Blanch, 1999).

Doctor en Derecho. Profesor titular de Derecho procesal de la Universitat de Girona y consultor de
Derecho procesal en los Estudios de Derecho de la Universitat Oberta de Catalunya. Es autor de
diferentes trabajos de investigacin sobre la incidencia de las nuevas tecnologas en los procesos
judiciales.

Profesora de Derecho civil en la Universitat Oberta de Catalunya. Ha publicado diversos trabajos
acerca de las responsabilidades en la construccin y acerca de la proteccin de datos de carcter
personal. En la actualidad investiga sobre la proteccin del derecho a la intimidad en relacin con
el uso de las tecnologas de la informacin y comunicacin. Ha colaborado tambin como consul-
tora de la asignatura Derecho y nuevas tecnologas de la UOC.

Doctora en Derecho por la Universidad de Barcelona (1997), con la tesis "La proteccin internacio-
nal de la obra audiovisual. Cuestiones relacionadas con la autora". Master of Laws (1993) y Visi-
ting Scholar (2000-2001) en la Columbia University Law School de Nueva York, con un proyecto
de investigacin financiado por la Generalitat de Catalunya y la Comisin Fulbright. Ha publicado
diversos artculos en materia de propiedad intelectual y de derecho internacional privado en Inter-
net. Actualmente, es profesora de los Estudios de Derecho y Ciencia Poltica de la Universitat
Oberta de Catalunya.
Editorial UOC 9 ndice
ndice
Nota ................................................................................................................ 17
Presentacin.................................................................................................... 19
Captulo I. Nociones tcnicas de Internet ............................................ 21

1. Un poco de historia .................................................................................. 21

2. El funcionamiento de la red .................................................................... 24
2.1. El modelo cliente-servidor ................................................................. 24
2.2. La arquitectura de Internet ................................................................ 25
3. Servicios y aplicaciones de Internet ....................................................... 29
3.1. Sistema de nombres de dominio ........................................................ 29
3.2. El servicio WWW ............................................................................... 30
3.3. El correo electrnico ........................................................................... 31
4. La seguridad en Internet .......................................................................... 32
4.1. Fundamentos de criptografa ............................................................. 34
4.2. Firmas digitales ................................................................................... 38
Captulo II. El valor probatorio de la firma electrnica ................. 45

1. Los soportes informticos como medio de prueba.

Admisibilidad y valor probatorio ........................................................... 46
2. La relevancia jurdica de la firma manuscrita ....................................... 52
3. La firma electrnica ................................................................................. 54
3.1. Firma electrnica y firma digital ........................................................ 54
Editorial UOC 10 Derecho y nuevas tecnologas
3.2. La Ley de Firma Electrnica, el derogado Decreto-Ley 14/1999

y la Directiva 1999/93/CE, de 13 de diciembre de 1999.
Exposicin de sus nociones centrales ................................................ 58
3.3. El reglamento de acreditacin de prestadores de servicios
de certificacin ................................................................................... 68
3.4. El valor probatorio de los soportes informticos
electrnicamente firmados ................................................................. 71
4. La Ley 24/2001, de 27 de diciembre, de Medidas Fiscales,
Administrativas y del Orden Social: la firma electrnica
en las funciones notarial y registral y, en particular,
el documento pblico notarial en soporte electrnico ........................ 83
5. La prueba de las condiciones generales en la contratacin
electrnica y la firma electrnica. El Real Decreto 1906/1999 ............ 89
Captulo III. Derecho de intimidad y proteccin de datos

personales ................................................................................................ 93
1. Nuevas tecnologas, nuevas amenazas al derecho a la intimidad ....... 93

2. Preocupacin del legislador, evolucin normativa
sobre proteccin de datos ........................................................................ 96
2.1. Marco internacional ........................................................................... 96
2.2. Regulacin en el Estado espaol ........................................................ 98
3. La Ley Orgnica 15/1999, de Proteccin de Datos de Carcter
personal ................................................................................................... 103
3.1. mbito de aplicacin (artculo 2 LOPD) .......................................... 103
3.2. Obtencin de los datos ..................................................................... 111
3.3. Creacin de los ficheros ................................................................... 122
3.4. Tratamiento de los datos, acceso de los interesados
a los datos (artculos 14 y 15 LOPD) y ejercicio del derecho
de rectificacin y cancelacin (artculo 16 LOPD) .......................... 128
3.5. Movimiento internacional de datos ................................................ 133
3.6. La responsabilidad administrativa y la responsabilidad civil .......... 136
Captulo IV. Servicios de la sociedad de la informacin ................ 141

Miquel Peguera Poch
1. Los servicios de la sociedad de la informacin ................................... 142

1.1. El origen del concepto en el derecho comunitario .......................... 142
1.2. La nocin de servicios de la sociedad de la informacin
en la LSSICE ...................................................................................... 145
2. El principio de control en origen .......................................................... 147
2.1. El mbito normativo coordinado ..................................................... 147
2.2. El control en el Estado de origen ..................................................... 148
2.3. Determinacin del lugar de establecimiento del prestador ............. 150
3. Rgimen jurdico de los servicios de la sociedad
de la informacin ................................................................................... 151
3.1. Acceso a la actividad ........................................................................ 153
3.2. Obligaciones de informacin y deberes de colaboracin
de los prestadores de servicios .......................................................... 154
3.3. Deber de retencin de datos de trfico ............................................ 155
4. Responsabilidad de los intermediarios ................................................. 156
4.1. Naturaleza y alcance de las exenciones de responsabilidad ............ 159
4.2. Los servicios de transmisin de datos y provisin de acceso
(artculo 14 LSSICE) .......................................................................... 161
4.3. El denominado caching (artculo 15 LSSICE) ................................... 163
4.4. El hosting (artculo 16 LSSICE) .......................................................... 165
4.5. La provisin de enlaces o de instrumentos de bsqueda
(artculo 17 LSSICE) .......................................................................... 169
4.6. Obligaciones de supervisin y de comunicacin ............................. 170
5. Rgimen del envo de comunicaciones comerciales ........................... 171
6. Contratacin electrnica ....................................................................... 174
6.1. El contrato electrnico ..................................................................... 176
6.2. Requisitos especficos establecidos por la LSSICE para las fases
previa y posterior a la celebracin del contrato electrnico ............ 178
6.3. Momento y lugar de celebracin del contrato ................................. 181
6.4. Breve referencia a otras normas aplicables al comercio
electrnico ........................................................................................ 183
6.5. El desistimiento ................................................................................ 185
7. Solucin de conflictos ............................................................................ 188

7.1. Accin de cesacin ........................................................................... 188
7.2. Sistemas extrajudiciales de solucin de conflictos .......................... 189
Captulo V. Derecho del trabajo en la sociedad

de la informacin ................................................................................ 191
Mark Jeffery
1. Nuevas tecnologas e intimidad en el mbito laboral ........................ 192

1.1. Control y tratamiento de los datos personales en el lugar de trabajo ...... 192
1.2. Una cuestin de principios y equilibrio ........................................... 198
1.3. La Ley de Proteccin de Datos de Carcter Personal ........................ 202
2. Teletrabajo ............................................................................................... 209
2.1. Qu es el teletrabajo? ...................................................................... 209
2.2. Teletrabajo y derecho laboral ........................................................... 216
Captulo VI. Administracin electrnica ........................................... 231

1. La Administracin electrnica .............................................................. 233

2. Las estrategias para la implantacin de la Administracin
electrnica ............................................................................................... 240
2.1. Europa .............................................................................................. 241
2.2. Espaa ............................................................................................... 243
2.3. Comunidades autnomas. En particular, el proyecto
Administraci Oberta de Catalua .................................................. 244
2.4. El impulso de la Administracin electrnica
en el mbito local ............................................................................. 246
3. Las relaciones telemticas entre los ciudadanos y la Administracin
Pblica. Una aproximacin a su rgimen jurdico ............................. 247
3.1. La informacin a los ciudadanos mediante Internet ....................... 254
3.2. La participacin electrnica ............................................................. 265
3.3. El procedimento administrativo electrnico ................................... 269
Captulo VII. Propiedad intelectual .................................................... 287

Ramn Casas Valls
1. Introduccin ............................................................................................ 287

2. Propiedad intelectual y desarrollo tecnolgico:
una relacin dialctica............................................................................ 289
3. Revoluciones sectoriales en el mundo analgico ................................. 292
4. Un cambio cualitativo de alcance global.............................................. 296
5. Los efectos de la revolucin digital en la legislacin
de propiedad intelectual......................................................................... 300
5.1. Ampliacin del mbito objetivo: nuevos tipos de obra.................... 301
5.2. Tecnologa digital y autora .............................................................. 311
5.3. El nuevo contenido de la propiedad intelectual ................................ 313
5.4. La proteccin de la tecnologa .......................................................... 330
5.5. Contratacin y gestin de derechos ................................................. 336
Captulo VIII. Introduccin al rgimen jurdico

de los nombres de dominio ............................................................... 339
1. Introduccin al sistema de nombres de dominio ............................... 340

1.1. La Internet Corporation for Assigned Names and Numbers
(ICANN) ............................................................................................ 342
1.2. Tipos de nombres de dominio ......................................................... 345
2. Principales aspectos jurdicos referentes a los nombres
de dominio .............................................................................................. 356
2.1. El registro del nombre de dominio y su gestin .............................. 359
2.2. La (mal llamada) compraventa del nombre de dominio ................. 362
3. Los conflictos vinculados a los nombres de dominio ......................... 364
3.1. El registro de mala fe de los nombres de dominio.
El cybersquatting ................................................................................ 364
3.2. Los nombres de dominio y los remedios jurdicos tradicionales.
Principales inconvenientes .............................................................. 365
3.3. La solucin judicial de disputas. El cybersquatting en el derecho
espaol ............................................................................................. 367
3.4. La solucin extrajudicial de disputas. La poltica uniforme (UDRP)

de la ICANN y las polticas especficas ............................................. 370
3.5. Disputas referentes a las nuevas categoras de nombres
de dominio genricos ....................................................................... 383
3.6. Perspectivas de futuro ...................................................................... 385
Captulo IX. Derecho penal y sociedad de la informacin ............ 387

scar Morales Garca
1. Introduccin ........................................................................................... 387

2. Delimitacin conceptual ....................................................................... 393
3. Contexto normativo ............................................................................... 397
3.1. Acciones internacionales .................................................................. 398
3.2. La situacin en Espaa ..................................................................... 405
3.3. Acceso ilegal a sistemas .................................................................... 406
3.4. Defraudaciones ................................................................................. 411
3.5. Daos informticos .......................................................................... 421
3.6. Contenidos ilcitos ........................................................................... 426
3.7. Responsabilidad jurdico penal de los ISP ........................................ 451
Captulo X. Cuestiones de derecho internacional privado:

jurisdiccin competente y ley aplicable ........................................ 471
1. Jurisdiccin competente ........................................................................ 475

1.1. El Reglamento de la UE, el Convenio de Bruselas
y la LOPJ ........................................................................................... 476
1.2. La Convencin del Consejo de Europa
sobre cibercrimen ............................................................................. 491
1.3. Proyecto de Convenio de la Haya .................................................... 492
1.4. Jurisdiccin competente en los Estados Unidos
de Amrica ........................................................................................ 493
2. Ley aplicable ........................................................................................... 497
2.1. Contratos .......................................................................................... 497
2.2. Responsabilidad civil y penal ........................................................... 503
2.3. Propiedad intelectual ....................................................................... 513

3. Algunos ejemplos .................................................................................... 521
3.1. Yahoo! ............................................................................................... 521
3.2. iCrave TV .......................................................................................... 524
Captulo XI. Los tributos en Internet ................................................. 527

1. La imposicin directa sobre la contratacin electrnica ................... 528

1.1. La calificacin de las rentas obtenidas ............................................. 528
1.2. La determinacin de la residencia de los sujetos
que intervienen ................................................................................ 536
1.3. La aplicacin del concepto de establecimiento permanente ........... 538
2. La imposicin indirecta sobre la contratacin electrnica ................ 543
2.1. La localizacin de las operaciones comerciales electrnicas ........... 543
2.2. El rgimen especial del comercio electrnico .................................. 548
2.3. La facturacin telemtica ................................................................. 550
3. La tributacin del pago por medios electrnicos ................................ 556
3.1. El gravamen del documento electrnico ......................................... 556
3.2. Fiscalidad de los diversos pagos electrnicos ................................... 558
4. El control tributario sobre el comercio electrnico ............................ 561
4.1. Los deberes de informacin por suministro de terceros .................. 562
4.2. La asistencia mutua entre administraciones tributarias .................. 563
5. Las relaciones informatizadas entre Administracin
y obligado tributario .............................................................................. 565
5.1. La aplicacin de los tributos y la va telemtica .............................. 566
5.2. La informacin y asistencia a los obligados tributarios
por medios telemticos .................................................................... 568
5.3. Las declaraciones tributarias telemticas ......................................... 569
5.4. Las notificaciones tributarias telemticas ........................................ 577
Bibliografa ................................................................................................... 580
Abreviaturas ................................................................................................. 591

Editorial UOC 17 Nota
Nota
La presente obra tiene una historia particular que no me corresponde a m

glosar. S debe subrayarse que las primeras reflexiones nacieron con la vocacin
de analizar los problemas que la sociedad de la informacin y la eclosin de las
tecnologas iban suscitando a los juristas. El profesor Miquel Peguera ha ejerci-
do, desde hace aos, de paciente y eficiente coordinador de la asignatura en la
que aquellas reflexiones se trasladaban al estudiante. Poco despus, la mayora
de profesores que hemos ido participando en ella nos hemos convertido en Gru-
po de Investigacin en el Programa de I+D 2003-2006, para desarrollar stas y
otras cuestiones que no han podido incluirse, de momento, en esta edicin,
pero que estamos seguros de que en cursos sucesivos, en paralelo a la evolucin
tecnolgica, sern estudiadas. Este es el primer fruto conjunto del Proyecto I+D
SEC2003-08529-C02-01 y el resultado de la primera fase del mismo. A partir de
ahora, debe afrontarse el reto de unificar criterios con mayor ambicin interdis-
ciplinar, pero las bases comienzan a asentarse.
Dr. scar Morales

Profesor de Derecho penal (UOC)
Director del Proyecto I+D SEC2003-08529-C02-01, sobre Las transformacio-
nes del derecho en la Sociedad de la Informacin y el Conocimiento
Julio de 2004
Editorial UOC 19 Presentacin
Presentacin
Miquel Peguera Poch (coordinador)
El empleo cada vez ms extenso e intenso de la tecnologa digital ha venido

propiciando en estos ltimos aos notorias transformaciones en mltiples m-
bitos. Su incidencia sobre las relaciones sociales, sobre las formas de organiza-
cin econmica, sobre el modo de obtencin, disfrute y transmisin de los
bienes, y, en suma, sobre las formas de establecer la comunicacin interpersonal
en todas sus facetas, reclama inevitablemente la atencin de los juristas. El uni-
verso de las comunicaciones electrnicas es tambin un universo de relaciones
jurdicas, que como tales pueden y deben ser analizadas por y desde el Derecho.
Las nuevas tecnologas han planteado retos tanto al intrprete como al legis-
lador. En ocasiones han motivado la propuesta y la adopcin de reformas lega-
les para reformular un equilibrio de intereses que se ha visto alterado por las
posibilidades que la tecnologa ofrece a las partes. En otros casos el legislador ha
intervenido para eliminar obstculos jurdicos al desarrollo de actividades como
el comercio electrnico, para facilitar la prueba de las comunicaciones telem-
ticas, para potenciar la participacin ciudadana o para intensificar la defensa de
una intimidad que la tecnologa convierte a menudo en excesivamente vulne-
rable. Son muchos los problemas que pueden resolverse por medio de una ade-
cuada interpretacin de las normas vigentes y a la vez no son pocos los desafos
que exigen la revisin de algunos puntos del ordenamiento positivo, tanto en
el plano interno como en el mbito internacional.
El estudio y anlisis de estas transformaciones del Derecho deben abordarse
necesariamente desde una perspectiva interdisciplinar y transversal. A esta pre-
tensin responde el presente manual. Su gnesis se halla en el proceso de cons-
tante reelaboracin de materiales docentes, actualizados y reformulados
semestre a semestre, para el estudio de estas materias en la UOC. Con esta obra
se quiere ofrecer una presentacin rigurosa y asequible a la vez de los mbitos
del Derecho en los que las nuevas tecnologas han presentado una mayor inci-
dencia. As, en captulos redactados por profesores expertos en cada uno de los
campos, se analizan, entre otros, aspectos de Derecho procesal, Derecho civil,
Derecho mercantil, Derecho administrativo, Derecho laboral, Derecho penal,
Derecho internacional privado y Derecho tributario.
El volumen se inicia con una breve exposicin de las principales nociones
tcnicas sobre el funcionamiento de las redes y comunicaciones electrnicas,
con especial atencin a la criptografa. A continuacin se analizan, en captulos
especficos, el rgimen de la firma electrnica y en particular su eficacia proba-
toria en nuestro sistema procesal; la tutela de la intimidad y el rgimen de pro-
teccin de los datos de carcter personal; la disciplina de los servicios de la
sociedad de la informacin, donde se incluye el estudio del comercio electrni-
co y del sistema de responsabilidad de los proveedores de servicios; la protec-
cin de la intimidad de los trabajadores y los problemas planteados por el
teletrabajo; el rgimen de las relaciones telemticas con la Administracin p-
blica; el cambio radical de coordenadas que la revolucin tecnolgica comporta
en el campo de la propiedad intelectual; el rgimen jurdico de los nombres de
dominio y los sistemas de resolucin de conflictos en este mbito; la criminali-
dad informtica; los problemas de jurisdiccin competente y ley aplicable deri-
vados de la naturaleza global de la red; y por ltimo, los aspectos tributarios del
comercio electrnico.
Son muchas las cuestiones abiertas y los problemas por resolver. En este ma-
nual, que constituye una obra colectiva en la que cada autor ha expuesto sus jui-
cios y valoraciones personales, no necesariamente coincidentes con las de los
dems, se ha buscado ofrecer una visin panormica de los principales desafos
que las nuevas tecnologas plantean al jurista, as como una exposicin clara y
sucinta de las nuevas normas que, con mayor o menor fortuna, han tratado de
dar solucin a algunos de los problemas suscitados. Confiamos en que resulte
un instrumento til para la docencia de este apasionante campo del Derecho.
Editorial UOC 21 Captulo I. Nociones tcnicas de Internet
Captulo I
Nociones tcnicas de Internet
1. Un poco de historia
Los orgenes de Internet se remontan al ao 1962, cuando dentro de la Ad-

vanced Research Projects Agency (ARPA) se empez a hablar de conectar dife-
rentes ordenadores de manera que todo el mundo pudiera tener un acceso
rpido a la informacin. En aquella misma poca, en el ao 1964, de la mano
de investigadores del Massachusetts Institute of Technology (MIT), aparece el
primer artculo cientfico de la teora de la conmutacin de paquetes. Esta teora
establece un sistema de transmisin de la informacin basado en la fragmenta-
cin de esta informacin en partes ms pequeas, los paquetes, y el envo pos-
terior de estos paquetes de manera independiente. Esta independencia en el
envo de los paquetes hace que el camino que toma cada uno para ir desde el
emisor hasta el receptor pueda ser diferente. La teora de conmutacin de pa-
quetes represent un cambio con respecto a los sistemas de comunicacin que
haba hasta aquel momento, que utilizaban la conmutacin de circuitos, en la
que se establece un circuito o camino fijo entre emisor y receptor por donde cir-
cula ordenadamente toda la informacin.
Para entender de manera clara la diferencia entre la conmutacin de paquetes y la

conmutacin de circuitos, se puede establecer el siguiente smil de comunicacin. Su-
pngase que un autor quiere enviar desde su casa el libro que ha escrito a la editorial
donde trabaja su editor. Para enviar el libro, puede hacer dos cosas: telefonear a un
taxi para que recoja el libro en su casa y lo lleve a la editorial o telefonear a cinco men-
sajeros diferentes para que cada uno de ellos lleve un captulo distinto del libro hasta
la editorial.
En el primer caso, toda la informacin circular por un mismo camino (el que decida
el taxista) y llegar al mismo tiempo y por orden (todos los captulos del libro, uno
tras otro). Esto es lo que ocurre con una conmutacin de circuitos. En el segundo ca-
so, cada captulo del libro circular por un camino diferente (el que cada mensajero
elija) y, por lo tanto, quiz lleguen en diferente orden de aqul en el que el autor los
ha enviado, segn el recorrido y el trfico que haya encontrado cada mensajero. ste
sera un ejemplo de conmutacin de paquetes, en el que cada paquete representa un
captulo del libro.
Las principales ventajas de la conmutacin de paquetes con respecto a la de

circuitos son la mejora del rendimiento de la red, ya que no se necesita tener
una conexin continua entre dos ordenadores, sino que slo es necesario esta-
blecer las conexiones precisas para transmitir cada uno de los paquetes de forma
independiente. A pesar de esta ventaja, la conmutacin de paquetes tiene algn
inconveniente, como por ejemplo el hecho de que se incluyan pequeos retra-
sos en la comunicacin. Estos retrasos estn generados por el hecho de que cada
paquete puede tomar un camino distinto y, por lo tanto, quiz no lleguen en el
mismo orden en que han sido enviados. En este caso ser necesario un proceso
de ordenacin de los paquetes para que la informacin pueda ser entregada
exactamente tal y como ha sido enviada. As, para las comunicaciones en tiem-
po real, es decir, aqullas en las que se necesita inmediatez, como la telefona o
la videoconferencia, la conmutacin de paquetes puede no ser la mejor opcin.
Basndose en esta nueva tcnica de conmutacin de paquetes, al final de los
aos sesenta se cre la red ARPANET, que en sus orgenes interconectaba cuatro
centros universitarios (UCLA, Stanford, Santa Barbara y Utah). Al principio de
los aos setenta se hicieron las primeras demostraciones pblicas de ARPANET
junto con una de sus aplicaciones estrella, el correo electrnico.
Otra propiedad de la conmutacin de paquetes es la robustez que representa
el hecho de que la eliminacin de un nodo de la red no detiene una comunica-
cin, sino que simplemente la redirecciona y pasa por otro camino. Curiosa-
mente, se haba credo que ARPANET fue una red diseada para resistir ataques
nucleares, aunque la realidad es que esta resistencia a los ataques nucleares pro-
vena de la robustez de la conmutacin de paquetes, pero no era uno de los ob-
jetivos del diseo de la red.
La transformacin de ARPANET en la red Internet que se conoce hoy da
empez con el intento de superacin de sus limitaciones, en tanto que era
una red con un diseo arbitrario. Para crear una red de redes, como pretenda
ser Internet, haba que establecer la idea de interconexin de mltiples redes
independientes, cada una posiblemente con caractersticas de diseo y desa-

rrollo diferentes. De acuerdo con estas ideas, se empez a trabajar en el ao
1972 para modificar el protocolo NCP (Network Control Protocol) que se utili-
zaba en ARPANET, y as surgieron los protocolos TCP/IP (Transfer Control Pro-
tocol / Internet Protocol). Estos protocolos tenan que seguir cuatro principios
bsicos:
Cada red debe funcionar por s sola y no tiene que hacerse ningn cambio
interno para conectarla a Internet.
Las comunicaciones se llevarn a cabo basndose en la tcnica de mximo
esfuerzo (en ingls, best effort), es decir, si un paquete no llega a su destino,
se volver a enviar.
Se utilizarn cajas negras, direccionadores (en ingls, routers), para conec-
tar las redes. El funcionamiento de estas cajas ser lo ms simple posible,
y no se almacenar informacin que circule por ellas.
No podr haber un control global de las operaciones.
En septiembre de 1973, V. Cerf y R.E. Kahn presentaron los protocolos TCP/

IP al International Network Working Group. Una de las filosofas seguidas para
su desarrollo era la de disearlos de forma que su utilizacin no interfiriese ex-
cesivamente en el funcionamiento de las aplicaciones o programas informti-
cos. Este hecho tiene ventajas e inconvenientes. La ventaja principal consiste en
que han podido desarrollarse nuevas aplicaciones sobre los protocolos, como es
el caso de la WWW, creada por T. Berners-Lee en el CERN de Ginebra a finales
de los aos ochenta. Sin embargo, por otra parte, algunas decisiones concretas
tomadas en el diseo del TCP/IP implican que haya aplicaciones que funcionan
mejor que otras.
Finalmente, vale la pena hacer notar que la filosofa inicial de Internet y,
en concreto, la de los protocolos TCP/IP iba encaminada a la comparticin y
libre circulacin de informacin entre los usuarios de la red. Por lo tanto, en
este entorno no tena sentido poner ningn tipo de restricciones por lo que
respecta a accesos y seguridad. Por este motivo se argumenta que Internet, tal
como se la conoce hoy da, tiene una carencia estructural en lo concerniente
a temas de seguridad.
2. El funcionamiento de la red
Internet est formada por muchos ordenadores de diferentes plataformas y

sistemas y con diferentes funciones y utilizaciones. En este apartado se hablar
de la arquitectura cliente-servidor, en qu consiste y qu propiedades aporta.
Por otra parte, se analizar la arquitectura de Internet y se vern los protocolos
TCP/IP, sobre los que funciona Internet, para entender mejor las especificida-
des de las aplicaciones y la estructuracin y circulacin de la informacin por
la red.
2.1. El modelo cliente-servidor
No hace mucho tiempo los sistemas informticos se basaban en un ordena-

dor central al que se conectaba una serie de terminales. Dichos terminales ac-
tuaban como terminales simples, ya que toda la carga computacional del
sistema recaa sobre el ordenador central y aqullos slo cumplan la funcin de
dispositivos de salida de informacin (por medio de una pantalla) y de entrada
(por medio de un teclado). Estos sistemas presentan una serie de inconvenien-
tes. Por ejemplo, el dimensionamiento de los sistemas centralizados es delicado,
ya que el incremento de terminales que trabajan sobre el ordenador central im-
plica un aumento de carga de trabajo sobre el mismo y, por lo tanto, para man-
tener el rendimiento hay que ampliar sus capacidades. Por otra parte, la
centralizacin de los procesos implica, igualmente, una concentracin de masa
crtica, lo que supone que el mal funcionamiento del ordenador central reper-
cute en todos los terminales que estn conectados a ste. Sin embargo, los siste-
mas centralizados, desde un punto de vista de seguridad, son, a priori, ms
seguros que los distribuidos, ya que tienen el control de toda la informacin y
de todos los procesos para tratarla.
La aparicin de los ordenadores personales con capacidad de proceso y al-
macenamiento de datos hizo que los sistemas centralizados fueran perdiendo
peso. Haba que aprovechar las capacidades de los nuevos terminales, por lo
que los ordenadores centrales se liberaban de trabajo y dejaban que lo hicieran
los terminales. De este modo, los ordenadores centrales se fueron transforman-

do en ordenadores que servan informacin al resto para que la procesaran
como les conviniera. Este tipo de arquitectura es la que se conoce como modelo
cliente-servidor.
Internet se basa en una arquitectura cliente-servidor, ya que la mayora de las
aplicaciones y servicios que se pueden encontrar siguen este modelo. La parte
servidor espera permanentemente a recibir peticiones del cliente. Cuando el
cliente genera una peticin, el servidor sirve la informacin o servicio que el
cliente ha solicitado.
Un ejemplo de aplicacin cliente-servidor es el correo electrnico. Un servidor de

correo electrnico es el encargado de recibir y enviar los mensajes de los usuarios,
mientras que el cliente de correo electrnico (el programa que utilizan los usuarios
finales de la aplicacin, como por ejemplo Microsoft Outlook, Netscape Communi-
cator o Eudora, entre otros) es el encargado de pedir al servidor que se entreguen los
mensajes que han llegado al usuario, y permite leerlos, escribir otros nuevos y en-
viar al servidor los nuevos mensajes que el usuario ha escrito para que los haga lle-
gar al destinatario.
Es importante mencionar que, aunque en la explicacin que se acaba de ha-

cer se ha distinguido entre ordenadores cliente y ordenadores servidor, la di-
ferencia entre servidor y cliente la determina el software concreto de la
aplicacin. As, un mismo ordenador puede actuar como servidor en ciertas
aplicaciones y como cliente en otras. Depender en cada caso de las tareas que
lleve a cabo.
2.2. La arquitectura de Internet
Las redes de ordenadores se separan conceptualmente en niveles, para esta-

blecer as un cierto orden en las diferentes aplicaciones y servicios que ofrecen.
Cada accin que se hace dentro de un mismo ordenador queda incluida en al-
guno de los niveles definidos, y cada uno de los niveles intercambia informa-
cin con el mismo nivel de otro ordenador de la red por medio de lo que se
conoce como protocolo. Dentro de un mismo ordenador, cada nivel da servicio

al nivel superior.
Figura 1.1. Esquema de la arquitectura de Internet
La arquitectura de Internet se estructura en cuatro niveles: nivel fsico, nivel IP, nivel de transporte y nivel de aplicacin.
El nivel fsico agrupa las funcionalidades de los elementos que conectan fsi-
camente la red. Este nivel es el que se encarga de transmitir la informacin me-
diante los dispositivos fsicos correspondientes.
Por lo que respecta al nivel de aplicacin, es el que interacta con el usuario
final y permite ejecutar los programas que se utilizan habitualmente, como los
navegadores o los gestores de correo electrnico. Un ejemplo de los protocolos
que hay en este nivel son el HTTP (HyperText Transfer Protocol) o el SMTP (Simple
Mail Transfer Protocol).
En los subapartados siguientes se describen los dos niveles intermedios, que
son el nivel IP y el nivel de transporte.
2.2.1. El nivel IP
El nivel IP es el encargado de transportar la informacin mediante las redes.

El protocolo que ejecuta esta tarea es el protocolo de Internet (en ingls, Internet
Protocol - IP), que sabe identificar cul es la mquina a la que se tiene que hacer
llegar la informacin. El protocolo IP trabaja con unidades de datos, los paque-
tes IP. Cada paquete IP tiene dos partes: la cabecera y los datos. La cabecera con-
tiene, entre otra informacin, la direccin del ordenador al que se quiere hacer
llegar la informacin, mientras que los datos son propiamente la informacin
que se quiere transmitir.
Tal y como se ha visto en el primer apartado, Internet basa sus comunicacio-
nes en la conmutacin de paquetes. Por este motivo el protocolo IP est orien-
tado a la conmutacin de paquetes y no a la conmutacin de circuitos. El
protocolo IP es un protocolo muy bsico que slo se encarga de enviar los datos
desde el emisor hasta el receptor, pero no se ocupa ni de gestionar la prdida de
paquetes ni la sincrona entre la emisin y la recepcin. Es decir, no controla
que el orden con que se emiten los paquetes sea el mismo con que se reciben.
Como se ver posteriormente, el protocolo TCP se encarga de estos problemas.
Como se acaba de mencionar, los paquetes IP pueden llegar a su destino gra-
cias a que la cabecera del paquete IP contiene la direccin del ordenador de des-
tino. Por lo tanto, es preciso que cada ordenador que est conectado a Internet
tenga una direccin, lo que se conoce como direccin IP.
Una direccin IP no es ms que un identificador nico de treinta y dos bits
(cuatro bytes) que identifica a una mquina conectada a Internet.
El bit
Recurdese que un bit es la unidad mnima de informacin, y se trata de un valor que

nicamente puede ser 0 1. As, para almacenar dos valores se tiene suficiente con
un solo bit. Si se quiere almacenar cuatro, se necesitan dos bits y los cuatro valores
almacenados sern 00, 01, 10 y 11. En general, con n bits se pueden representar 2 ele-
vado a n valores. Por otra parte, es bueno recordar que un byte est formado por ocho
bits. Por lo tanto, en un byte se pueden almacenar 28 = 256 valores diferentes.
Dicho de modo ms informal, una direccin IP la forman cuatro nmeros

entre 0 y 255 (ambos incluidos) separados por un punto, como por ejemplo
213.73.40.217. La estructura de las direcciones IP indica la direccin del orde-

nador y, al mismo tiempo, tambin proporciona informacin sobre en qu red
y subred est el ordenador. De este modo el direccionamiento de los paquetes
por medio de Internet sigue una lgica jerrquica, ya que en primer lugar se en-
va hacia la red de la que forma parte el ordenador destinatario del paquete y,
posteriormente, se afina el envo hasta llegar al ordenador de destino. Los direc-
cionadores (en ingls, routers) son los encargados de conectar dos o ms subredes
IP y de redireccionar de forma conveniente los paquetes IP segn la direccin IP
de destino de cada paquete.
2.2.2. El nivel de transporte
Como se acaba de ver, el protocolo IP es un protocolo muy simple encargado

especficamente de guiar la transmisin de paquetes entre el ordenador de ori-
gen y el ordenador de destino. Sin embargo, no se encarga ni de velar para que
todos los paquetes lleguen ni para que lo hagan en el orden necesario.
El Transfer Control Protocol (TCP) se encarga de proporcionar fiabilidad al
transporte de los datos. As, este protocolo es el responsable de que los paquetes
lleguen a su destino con el orden y la frecuencia precisos.
Se puede sintetizar la fiabilidad que aporta el protocolo TCP al transporte de
los datos en las propiedades siguientes:
Correccin de errores. El TCP es el encargado de llevar a cabo el control

de errores que pueden producirse durante la transmisin para asegurar
que el valor de los paquetes es el mismo en el destino y en el origen.
Entrega de los paquetes. El TCP garantiza que todos y cada uno de los pa-
quetes que se envan llegan correctamente a su destino
Control de secuencia. El TCP asegura que la secuencia de los paquetes lle-
ga al destino con el mismo orden en que ha sido enviada.
Control de duplicados. El TCP valida que no llegan paquetes por duplicado.
As, por ejemplo, el TCP asegura que la informacin que se haba fragmenta-
do en paquetes para ser transportada vuelve a reagruparse de forma correcta en
el ordenador de destino.
3. Servicios y aplicaciones de Internet
En estos apartados se describe el funcionamiento de los servicios y las aplica-

ciones ms utilizados en Internet. Su descripcin ayudar al lector a entender
tanto su uso como su problemtica.
3.1. Sistema de nombres de dominio
Como ya se ha indicado anteriormente, todo ordenador en la red est iden-

tificado con una direccin IP de treinta y dos bits que normalmente se represen-
ta por medio de cuatro grupos de tres cifras decimales (siendo 255 el nmero
ms alto posible), separadas por puntos. Ya que esta numeracin es difcil de
memorizar, a cada direccin IP, y por lo tanto a cada mquina, se le asigna un
nombre que sea ms fcil de recordar.
El servidor de nombres de dominio (en ingls, Domain Name System -
DNS) es el servicio encargado de traducir las direcciones con nombre de los
ordenadores (por ejemplo, www.uoc.edu) a direcciones numricas de treinta
y dos bits (por ejemplo, 213.73.40.217). El sistema de nombres tiene una es-
tructura jerrquica de rbol, y la base de datos, que contiene las equivalen-
cias entre los nombres y las direcciones numricas, est distribuida y
descentralizada.
Los nombres que se asocian a los ordenadores tienen una estructura concre-
ta. Pueden estar formados por letras, dgitos decimales y el smbolo -. En la
estructura sintctica de un nombre de ordenador los puntos separan los diferen-
tes dominios.
Los dominios de nivel ms elevado de la jerarqua figuran a la derecha del
nombre. Son los denominados TLD (Top Level Domain). Estos dominios repre-
sentan bien pases, bien reas funcionales. As, dominios como .ad, .tv, .ch, .jp
corresponden a pases como Andorra, Tuvalu, Suiza y Japn, respectivamente,
mientras que dominios del tipo .edu, .com, .org corresponden a ordenadores de
instituciones educativas, organizaciones comerciales y organizaciones institu-
cionales, respectivamente.
Dentro de estos dominios generales puede haber subdominios que corres-

ponden a empresas o instituciones. Estos subdominios estn inmediatamente a
la izquierda del dominio de nivel superior, separados por puntos. Pueden divi-
dirse en ms subdominios, dependiendo de la utilizacin de cada recurso. As,
por ejemplo, se puede encontrar uoc.edu o bien correo.uoc.edu.
Dado que las direcciones IP tienen que ser nicas, tambin es necesario que
los nombres de los ordenadores lo sean (ya que estn asociados a una direccin).
Ahora bien, el hecho de que las direcciones IP y los nombres de los ordenadores
sean nicos no significa que nombres diferentes no puedan estar asignados a
una misma direccin IP. De hecho, las direcciones www.uoc.edu y www.uoc.es
estn asociadas a una misma direccin, 213.73.40.217.
Para controlar y asignar los nombres a las direcciones IP existe la Internet
Corporation for Assigned Names and Numbers (ICANN) que es una organiza-
cin sin finalidad de lucro.
3.2. El servicio WWW
Uno de los servicios ms extendidos de Internet, junto con el correo elec-

trnico, es el servicio web, conocido por las siglas WWW (World Wide Web).
La base de este servicio es el protocolo HTTP (HyperText Transfer Protocol). Este
servicio fue diseado a finales de la dcada de los aos ochenta por investiga-
dores del CERN, con el fin de acceder fcilmente a la informacin distribuida
por las diferentes sedes del centro. El servicio web permite el acceso a la infor-
macin por medio de documentos de hipertexto (pginas web) que incluyen
informacin en cualquier tipo de formato (texto, fotos, vdeos, audio) y que
estn referenciados entre s.
El servicio web sigue el modelo cliente-servidor. Los servidores web conec-
tados a Internet contienen las pginas web y esperan permanentemente las
peticiones de los clientes. Los clientes web, que son los navegadores, se encar-
gan de llevar a cabo estas peticiones. Se trata, pues, de una tecnologa pull, en
la que el usuario final tiene que solicitar la informacin para recibirla. Se ac-
cede a cada servidor mediante su nombre. Cuando se escribe una direccin
web en un navegador, por ejemplo http://www.uoc.edu/web/cast/index.html,

lo que se hace es:
Indicar el nombre del ordenador al que se quiere acceder (por medio del
protocolo HTTP), en este caso http://www.uoc.edu/. El sistema se encar-
gar de traducir esta direccin a su direccin IP correspondiente, por me-
dio del servidor DNS.
Especificar el directorio y la pgina web que se solicita. En este caso, se re-
quiere la pgina index.html del subdirectorio web/cast/.
Los servidores web van enviando las pginas web que se les solicita. Los na-
vegadores, por otra parte, tienen un sistema de almacenamiento de las pginas
que reciben para reducir el nmero de transmisiones en caso de acceso conti-
nuado a una misma pgina. Esta informacin se almacena en lo que se conoce
como memoria cach.
De hecho, el protocolo HTTP va ms all y permite establecer intermediarios,
denominados servidores intermediarios (proxys), entre los servidores web y los na-
vegadores, para almacenar las pginas web ms visitadas. As, una organizacin
entera puede disponer de un servidor intermediario (proxy) que actuar como
memoria cach y permitir optimizar recursos. Si dos usuarios de la organiza-
cin visitan una misma pgina web, slo en la primera conexin habr que bus-
car la informacin en Internet, mientras que en la conexin del segundo
usuario podr servirse la informacin que ya se ha almacenado en el servidor
intermediario. Aparte de estas funciones, los servidores intermediarios tambin
se utilizan para filtrar la informacin y obtener cierta seguridad.
3.3. El correo electrnico
Como ya se ha destacado anteriormente, el correo electrnico es una de las

aplicaciones ms antiguas de Internet. Fue diseado en 1972 sobre ARPANET,
la red predecesora de Internet.
El correo electrnico es una aplicacin que permite enviar mensajes entre usua-
rios de una red. Estos mensajes pueden contener cualquier tipo de informacin
en formato digital: texto, imgenes, vdeos o audio. Del mismo modo que la
WWW, el correo electrnico es una aplicacin cliente-servidor y, como tal, el ser-
vicio que ofrece est diferenciado en una parte cliente y una parte servidor. La
parte servidor es la que se encarga de recibir y enviar los mensajes de cada usuario,
y la parte cliente permite escribir y leer los mensajes y, en ltimo trmino, alma-
cenarlos. El funcionamiento general del correo electrnico es muy parecido al del
correo postal. De hecho, los correos electrnicos tienen una estructura parecida a
la de las cartas convencionales. Constan, por una parte, de una cabecera, que sera
el equivalente al sobre postal y que contiene una serie de datos, como la direccin
del destinatario o destinatarios y el asunto; y por otra parte, de lo que se conoce
como cuerpo del mensaje, que sera el equivalente a la misma carta postal, ya que
es donde se incluye la informacin del mensaje.
El protocolo que se utiliza para transferir los mensajes es el SMTP (Simple Mail
Transfer Protocol). Este protocolo utiliza direcciones del tipo usuario@uoc.edu,
donde la parte que hay a la derecha de @ indica el dominio que gestiona el servi-
dor de mensajera, mientras que la que est a la izquierda identifica al usuario de
la direccin del correo dentro del dominio en cuestin. El protocolo SMTP, como
el sistema de correos tradicional, est basado en el almacenamiento y reenvo de
los mensajes. Cada mensaje es almacenado y reenviado a diferentes servidores in-
termedios hasta llegar al destino final, del mismo modo que las cartas van pasan-
do por las distintas sucursales de correos. En la aplicacin de correo electrnico,
aparte del protocolo SMTP que permite hacer la transferencia de mensajes, se en-
cuentran tambin los protocolos que posibilitan el acceso al buzn de correo, es
decir, los protocolos que transfieren el mensaje de la parte servidora de la aplica-
cin a la parte cliente. Los dos protocolos que regulan este acceso son el POP3
(Post Office Protocol v.3) y el IMAP (Internet Message Access Protocol).
4. La seguridad en Internet
La seguridad en Internet es un tema muy controvertido, ya que, por una par-

te, es necesaria para que diferentes aplicaciones, como el comercio electrnico,
puedan hacerse sin tropiezos. Por otra parte, en algunos casos puede limitar las
libertades de los usuarios de la red.
El problema principal de la seguridad en Internet es que su base tecnolgica,
es decir, el protocolo TCP/IP, no fue diseada para ofrecer las propiedades de se-
guridad necesarias en muchas aplicaciones. Por este motivo se han ido desarro-
llando diferentes mecanismos para dotar de seguridad algunas de las aplicaciones
que utilizan Internet. Para entender qu papel tiene la seguridad en las redes de
comunicaciones, como por ejemplo Internet, es necesario establecer en primer
lugar diferentes conceptos que fijan distintos niveles de seguridad de la infor-
macin.
Si se toma como ejemplo la compra de un libro en una tienda en lnea, que
se paga con tarjeta de crdito convencional, se pueden identificar los cuatro
conceptos clave de seguridad de la informacin: confidencialidad, autentica-
cin, integridad y no repudio.
Confidencialidad. No debe existir la posibilidad de que ningn otro indi-

viduo que no sea la tienda pueda ver los datos de la tarjeta de crdito.
Autenticacin. Es necesario que la identidad de la tienda en lnea no
pueda ser suplantada, o sea, no debe ser posible que alguien cree una p-
gina web igual que la de una tienda conocida para hacer creer que se com-
pra en ella.
Integridad. Es necesario que la informacin de la transaccin de la com-
pra que viaje por la red no se pueda modificar ni alterar sin que se detecte.
No repudio. La parte que haya hecho una determinada declaracin, acep-
tacin, pedido, etc. no puede negar haberla hecho.
Para detallar an ms, se pueden definir estos conceptos de la forma siguien-

te: la confidencialidad es la propiedad que asegura que slo aquellos que estn
autorizados tendrn acceso a la informacin. A menudo esta propiedad se co-
noce tambin con el nombre de privacidad. La integridad es la propiedad que
asegura la no alteracin de la informacin. Esta alteracin puede ser, por ejem-
plo, insertar, borrar o sustituir informacin. La autenticacin es la propiedad
que hace referencia a la identificacin. Se trata del nexo de unin entre la in-
formacin y el emisor de esta informacin. El no repudio es la propiedad que
impide que alguna de las partes niegue algn compromiso o accin adoptados
con anterioridad.
Para obtener estas propiedades fundamentales de la seguridad de la informa-
cin la herramienta bsica que se utiliza es la criptografa. En los apartados si-
guientes se introducen algunos conceptos de la misma.
4.1. Fundamentos de criptografa
Antiguamente la criptografa se defina como el arte de la escritura secreta,

tal y como su etimologa indica (del griego krypto, secreto, y grapho, escritura).
En la actualidad una de las definiciones ms esmeradas de este trmino es la si-
guiente: la criptografa es la ciencia que estudia las tcnicas matemticas rela-
cionadas con los diferentes aspectos de la seguridad de la informacin.
La criptologa es la ciencia que engloba la criptografa y el criptoanlisis. El
criptoanlisis es el estudio de las tcnicas que permiten romper los criptosiste-
mas diseados por la criptografa.
Desde un punto de vista histrico, la criptografa se utiliza desde hace mu-
chos aos, pero experiment su mayor evolucin durante las guerras mundiales
y con la introduccin de los ordenadores. Un criptosistema es un mtodo secre-
to de escritura por medio del cual un texto en claro se transforma en un texto
cifrado. El proceso que transforma el texto en claro en texto cifrado se denomi-
na cifrado, y el paso inverso que transforma el texto cifrado en claro, descifrado.
Ambos procesos son controlados por una clave secreta. Uno de los principios
bsicos que rigen la criptografa es el principio de KERCKHOFFS. Este principio se
fundamenta en el hecho de que la seguridad de un criptosistema se basa nica-
mente en su clave secreta. Es decir, un criptosistema es bueno cuando se puede
describir todo su funcionamiento y, a pesar de ello, un adversario nunca podr
descifrar el texto cifrado del criptosistema sin saber la clave.
Ejemplo del principio de Kerckhoffs
Supngase un criptosistema que, a partir de un texto en claro, devuelve el texto cifra-

do siguiente:
OD FULSWRJUDILD SUHVHUYD OD FRQILGHQFLDOLGDG

Con esto resulta prcticamente imposible saber cul es el texto en claro que le corres-
ponde. Sin embargo, no indica que sea un buen criptosistema, porque aqu lo secreto
no es slo la clave, sino tambin el mismo mtodo de cifrado. La descripcin del m-
todo de cifrado consiste en que, dada una letra del texto en claro, para obtener el tex-
to cifrado se le suma un valor secreto k, en este caso k = 3. Con estos datos se puede
descifrar el texto anterior, y se obtiene:
LA CRIPTOGRAFA PRESERVA LA CONFIDENCIALIDAD
Aunque la frase cifrada poda parecer muy complicada, la dificultad resida en el m-

todo de cifrado, no en la clave. Una vez descrito el mtodo de cifrado, aunque no se
hubiera dado el valor k = 3 se podra haber descrifrado la frase. En este caso, se puede
ver que este criptosistema no es tan seguro porque es fcil de romper siguiendo la su-
posicin de Kerckhoffs.
Teniendo presente el principio de KERCKHOFFS que se acaba de enunciar, que-

da clara la importancia de las claves de cifrado en la criptografa. Estas claves son
las que encapsulan toda la seguridad de los algoritmos. Dado que uno de los po-
sibles ataques que pueden darse en un criptosistema es el de intentar probar to-
das las claves (ataque por fuerza bruta), el nmero de claves posibles es un factor
importante a la hora de trabajar con un criptosistema. Ahora bien, teniendo en
cuenta que la clave acostumbra a ser un nmero, el nmero de claves posibles
se encuentra estrechamente vinculado a la longitud de la clave. As, en una lon-
gitud de la clave de cuatro dgitos, con 104 = 10.000 pruebas ya se habrn pro-
bado todas las claves, mientras que si se toman claves de ocho dgitos se
precisan 108 = 100.000.000 de pruebas para verificar todas las claves.
Longitud de la clave en bits
Normalmente, se hace referencia a la longitud de la clave en bits. As, una clave de 40

bits de longitud indica que son necesarias 240 = 1.099.511.627.776 pruebas para en-
contrarla por fuerza bruta.
Esto hace que se hable de criptografa fuerte o de criptografa dbil segn la

longitud de la clave que se utiliza. La exportacin de criptografa fuerte haba
estado prohibida en EE.UU., ya que se consideraba armamento militar.
Los sistemas criptogrficos pueden dividirse en dos grandes grupos: la criptogra-
fa de clave simtrica (tambin denominada criptografa de clave compartida o secreta)
y la criptografa de clave pblica (o criptografa asimtrica). La criptografa de clave
simtrica (secreta o compartida) incluye aquellos criptosistemas en los que el emi-

sor y el receptor comparten una misma clave para cifrar y descifrar los mensajes.
La figura 1.2 muestra el esquema general de cifrado y descifrado:
Figura 1.2. Esquema general de un criptosistema simtrico
En este caso, A quiere enviar un mensaje m a B. Para hacerlo, cifra el mensaje

m con la clave secreta K y el algoritmo de cifrado. As, enva el texto cifrado m
a B. B aplica a m el algoritmo de descifrado con la clave K y obtiene el mensaje
en claro m.
Los criptosistemas ms antiguos que se conocen estn dentro de este grupo. Un
ejemplo es el que se ha descrito anteriormente sobre el principio de KERCKHOFFS
que se suele denominar cifra de Csar, porque este emperador la utilizaba para
comunicarse con Cicern. Como criptosistemas de clave simtrica ms impor-
tantes, se encuentra el Data Encryption Standard (DES), que el NIST (National
Institute of Standards and Technology) de EE.UU. tiene definido como estndar
desde el ao 1977, y el Advanced Encryption Standard (AES) diseado por los crip-
tgrafos belgas V. RIJMEN y J. DAEMEN y que es el nuevo estndar del NIST desde
el 2002 .
Los criptosistemas de clave pblica o asimtrica nacen en el ao 1976 de la
mano de W. DIFFIE y M. HELLMAN. La idea es totalmente diferente de lo que se
haba hecho hasta aquel momento para los criptosistemas de clave simtrica. En
la criptografa de clave pblica cada usuario tiene un par de claves: una pblica
(PK) y una privada o secreta (SK). Ambas claves son inversas, es decir, lo que
hace una lo deshace la otra, aunque no puede obtenerse una clave a partir del
conocimiento de la otra. Una de las dos claves se da a conocer pblicamente, y
la otra se mantiene en secreto.
Figura 1.3. Esquema general de un criptosistema de clave pblica
m = mensaje en claro; m = mensaje cifrado

PK = clave pblica (public key); PKB = clave pblica de B
PKB (m) = aplicacin de la clave pblica de B al mensaje en claro m SK = clave privada o secreta (secret key);
SKB = clave privada de B
SKB (m) = aplicacin de la clave privada de B al mensaje cifrado m
El grfico de la figura 1.3 muestra cmo se utilizan los esquemas de clave p-

blica para cifrar. Cuando Ana, A, quiere enviar un mensaje cifrado a Bernardo,
B, obtiene la clave pblica de Bernardo (PKB), la utiliza para cifrar el mensaje m
y obtiene el mensaje cifrado m. Este mensaje slo puede ser descifrado con la
clave privada correspondiente, que slo conoce Bernardo (SKB).
El criptosistema de clave pblica que ms se utiliza en la prctica es el RSA.
Este criptosistema debe el nombre a sus creadores: RIVEST, SHAMIR y ADLEMAN;
fue propuesto en el ao 1978.
La criptografa de clave simtrica y la criptografa de clave pblica tienen una
serie de ventajas complementarias que hacen que la combinacin de los dos es-
quemas sea lo que ms se utiliza en la prctica. En concreto, lo que se conoce
como sobre digital es lo que se utiliza en las comunicaciones cifradas con ms
frecuencia. Se usa un criptosistema de clave simtrica para cifrar la informacin.
Posteriormente, la clave que se ha utilizado para cifrar la informacin vuelve a

cifrarse y se utiliza un criptosistema de clave pblica. De este modo se puede en-
viar la informacin cifrada con el sobre digital (que contiene la clave simtrica
cifrada con la clave pblica), con lo que se consigue sacar partido de las ventajas
de los dos sistemas.
4.2. Firmas digitales
Una firma digital es el equivalente electrnico de la firma convencional. En

un esquema de firma digital, el signatario utiliza su clave privada para firmar di-
gitalmente. As pues, la firma digital est vinculada a un criptosistema de clave
pblica y, por lo tanto, se puede firmar digitalmente utilizando, por ejemplo, el
RSA u otros esquemas de criptografa de clave pblica.
El esquema general de una firma digital puede considerarse como el inverso
de un esquema de cifrado de clave pblica, tal y como se muestra en la figura 1.4:
Figura 1.4. Esquema general de firma digital
Significado de las expresiones:

m = mensaje en claro
Fir = firma
SK = clave privada o secreta (secret key); SKA = clave privada de A
SKA (m) = aplicacin de la clave privada de A al mensaje m, y se obtiene la firma del mensaje (Fir)
PK = clave pblica (public key); PKA = clave pblica de A
PKA (SKA (m)) = aplicacin de la clave pblica de A a la firma, es decir, al mensaje que se haba cifrado
con la clave privada de A (SKA)
El signatario A que quiere firmar un mensaje m toma su clave privada SKA y

la aplica al mensaje. La pareja m y fir formar la firma digital del documento m
(de hecho, la firma digital propiamente dicha ser fir). Un verificador obtendr
la clave pblica de A, PKA, y la aplicar al valor fir. Dado que las acciones de PKA
y SKA son inversas, el verificador podr comprobar que el resultado es exacta-
mente el mensaje firmado m.
La firma digital ofrece propiedades diferentes, algunas de las cuales no pre-
sentan la firma convencional:
Autenticidad. Dado que la clave privada que se utiliza para firmar slo la
conoce A, la firma hace autntico el documento.
No repudio. De nuevo, gracias al hecho de que slo A conoce su clave pri-
vada, A no puede negar haber firmado un documento que verifica el pro-
ceso de firma digital y utiliza la clave pblica de A.
Integridad. Esta propiedad, que no ofrece la firma convencional, se despren-
de del hecho de que el contenido del mensaje se utiliza (junto con la clave
privada) para crear la firma. En caso de que se modifique el mensaje, la veri-
ficacin de la firma con el nuevo mensaje modificado no ser correcta.
Es importante destacar que en un proceso de firma digital se enva el mensaje

en claro (junto con la firma). Es decir, el contenido del mensaje m es totalmente
pblico y, por lo tanto, el proceso de firma por s mismo no aporta la propiedad
de confidencialidad, porque si un tercero intercepta el mensaje, podr leerlo.
Aparte de las propiedades mencionadas anteriormente, la seguridad que
aporta la firma digital es muy superior (a priori) a la que aporta la firma conven-
cional, ya que esta ltima puede ser falsificada de forma ms o menos eficaz uti-
lizando fotocopiadoras, escneres, impresoras, etc. Por el contrario, para
falsificar una firma digital (sin tener su clave privada, claro) es necesario romper
el criptosistema de la firma, hecho que, para los buenos criptosistemas, es com-
putacionalmente inviable.
4.2.1. Certificados digitales e infraestructuras de clave pblica
Por lo que se ha descrito hasta ahora puede parecer que la criptografa de cla-
ve pblica resuelve todos los problemas, ya que la firma digital ofrece las pro-
piedades de integridad, autenticacin y no repudio y, adems, si se cifra la

informacin tambin se obtiene la propiedad de confidencialidad. A pesar de
todo, existen ciertos problemas de fondo a la hora de implementar los esquemas
de criptografa de clave pblica que hacen que su utilizacin todava no est tan
extendida como podra imaginarse.
La criptografa de clave pblica permite comprobar tcnicamente que la cla-
ve que se utiliza para descifrar o verificar la firma es la complementaria de la que
se ha utilizado para cifrar o firmar, respectivamente. Sin embargo, este hecho,
por s solo, no ofrece ninguna informacin sobre la identidad del propietario de
las claves. Por lo tanto, se necesita un mecanismo que permita asociar una clave
pblica a la identidad de su propietario.
Un certificado digital es un documento digital que vincula una determinada
clave pblica a un individuo. Es importante, pues, no confundir el certificado
digital con la clave privada ni la clave pblica. En algunos casos se habla in-
distintamente de la clave pblica o del certificado digital, pero no porque sea
lo mismo, sino porque un certificado digital, por definicin, incluye la clave
pblica.
La informacin bsica que contiene un certificado digital es la siguiente:
El nmero de serie del certificado.

La identificacin del algoritmo criptogrfico de firma.
El nombre de la entidad emisora del certificado.
El periodo de validez del certificado
La clave pblica.
La identidad y los datos ms relevantes de la persona o entidad propieta-
ria de la clave pblica.
La firma digital del certificado por la entidad emisora del certificado.
El certificado tambin puede contener detalles sobre los servicios que cer-
tifica, cundo puede ser utilizado, posibles restricciones sobre certificaciones
cruzadas con otras autoridades de certificacin, etc. Como se ha mencionado,
los certificados incorporan la firma digital de la entidad emisora del certifica-
do, lo cual hace que se designe como entidad certificadora o, en ingls, Certi-
fication Authority (CA). Esta firma es, precisamente, la que confiere validez a
los certificados, segn el grado de confianza que se tenga en la CA firmante.
As, la validez de un certificado digital depender de quin ha expedido dicho

certificado, es decir, de quin lo ha firmado digitalmente y qu mecanismos
se tienen para validarlo.
Desde un punto de vista general, este proceso de certificacin puede ser cen-
tralizado o descentralizado. Las estructuras en los sistemas de certificacin cen-
tralizados son jerrquicas: por encima de todo hay una CA, cuya clave pblica
es conocida por todo el mundo sin ningn tipo de duda y en la que todo el
mundo confa. Una pequea variante de este tipo de certificacin es la utilizada
en la gran mayora de las aplicaciones comerciales. Dicho sistema centralizado
de certificaciones se rige por el estndar X.509.
Pretty Good Privacy (PGP) es un software criptogrfico que permite cifrar y
firmar ficheros electrnicos con criptografa de clave pblica. Dicho software,
es un ejemplo de modelo de certificacin descentralizado, y se basa en la con-
fianza que tienen los usuarios entre ellos. Cada usuario genera su certificado,
y este certificado lo firman las personas ms prximas, que pueden verificar el
vnculo de clave pblica-usuario. De este modo el certificado personal puede
incluir todas las firmas que se quiera y, segn los usuarios que lo hayan firma-
do, tendr validez ante ciertas personas y no ante otras. Los sistemas descen-
tralizados como el PGP eliminan la vulnerabilidad del ataque al sistema
central, as como el abuso de poder que puede presentar. El problema de este
sistema es que cada usuario tiene que gestionar los certificados por s mismo
(revocacin, modificacin, etc.), pues no hay una autoridad comn. Esto, para
un nmero de usuarios elevado, es costoso y hace que tales esquemas no pue-
dan aplicarse a gran escala.
Volviendo a los esquemas de certificacin centralizados, es evidente que la
CA tiene que ser una entidad de confianza. Para simplificar el discurso, se ha-
blar indistintamente de confiar en la autoridad o tener la clave de la auto-
ridad, porque se asume que si se tiene la clave es porque se ha validado que
proviene de una fuente en la que se confa.
A continuacin, una vez identificada la necesidad de los certificados digita-
les, se describe cules son los pasos necesarios para una verificacin correcta de
una firma digital. Esta visin detallada de cada paso debe permitir conocer el
resto de los mecanismos necesarios para que la criptografa de clave pblica pue-
da ofrecer las propiedades de seguridad que se han mencionado.
Las acciones que hay que llevar a cabo para verificar correctamente una firma
digital son las siguientes:
1) Leer el certificado digital que acompaa la firma.

2) Verificar la firma del certificado realizada por la CA.
3) Verificar la validez del certificado.
4) Extraer del certificado, la clave pblica del emisor.
5) Verificar la firma del mensaje hecha por el emisor.
A continuacin se describen ms detalladamente cada uno de estos pasos.
1) Leer el certificado digital que acompaa la firma. La verificacin de una firma

digital tiene que empezar por el procesamiento del certificado digital para co-
nocer los datos bsicos del propietario de la clave pblica.
2) Verificar la firma del certificado realizada por la CA. Para probar la autenti-
cidad del certificado se debe verificar la firma, y para ello es preciso la clave p-
blica de la autoridad que ha emitido el certificado. Si el certificado ha sido
emitido por una CA cuya clave pblica se posee, la validacin de la firma del
certificado ser directa utilizando la tcnica de verificacin de firma digital, es-
pecificada en el apartado anterior. La obtencin de la clave pblica de la CA, en
caso de que no se posea, puede llevar a una recurrencia de tareas, ya que se debe
obtener junto con otro certificado emitido por una tercera CA de cuya clave se
disponga. As, se debe establecer un camino de certificacin entre la CA del cer-
tificado que se valida y la CA cuya clave se posee.
Figura 1.5. Ejemplo de rbol de certificacin

En la figura 1.5 se muestra un posible rbol de certificacin. Los usuarios A y B

comparten directamente la misma CA y, por lo tanto, podrn validar sus certifi-
cados directamente, puesto que ambos tienen la clave pblica de D. Sin embar-
go, para que C pueda validar el certificado de A tendr que obtener la clave
pblica de E y, posteriormente, el certificado de la clave pblica de D debidamen-
te firmado por E.
3) Verificar la validez del certificado. Una vez verificada la firma digital del cer-
tificado, la siguiente tarea que se debe llevar a cabo es asegurarse de que el cer-
tificado, aun estando correctamente firmado, es vlido. Hay dos aspectos
bsicos de validez del certificado. Lo primero es simplemente asegurarse de que
el certificado no ha caducado, es decir, que se est dentro del periodo de validez
que especifica. Es importante destacar que, si se valida una firma digital, el pe-
riodo de validez tiene que hacer referencia a la fecha en que se firm el docu-
mento, y no a la fecha en que se comprueba la firma. Lo mismo ocurre con la
fecha de revocacin del certificado.
El segundo aspecto de la validez de un certificado hace referencia a su revoca-
cin. Un certificado ha sido revocado por su autoridad de certificacin si, a pesar
de estar firmado correctamente por la autoridad y encontrarse dentro del periodo
de validez especificado, la autoridad de certificacin no lo reconoce como vlido.
Este proceso puede parecer contradictorio, pero hay situaciones en las que la re-
vocacin de certificados es necesaria. Por ejemplo, si el propietario de un par de
claves pblica-privada pierde su clave privada o sospecha que alguien la conoce,
debe tener un mecanismo para evitar que alguien firme en su nombre. Este me-
canismo es lo que se conoce como revocacin del certificado. El propietario de las
claves avisar a la autoridad de certificacin, que revocar el certificado. La revo-
cacin del certificado se hace por medio de su inclusin en las denominadas listas
de revocacin de certificados (Certification Revocation List, CRL). Por lo tanto, antes
de aceptar como bueno un certificado, aunque la validacin de la firma haya sido
correcta, se debe confirmar que no ha sido revocado y comprobar que no est in-
cluido en la CRL de la autoridad de certificacin.
4) Extraer del certificado la clave pblica del emisor del mensaje. Una vez se han
hecho todas las verificaciones y los resultados han sido satisfactorios, ser pre-
ciso extraer del certificado la clave pblica del emisor. Tambin habr que saber
qu algoritmo de firma corresponde a aquella clave.
5) Verificar la firma del mensaje hecha por el emisor. En este punto ya se est
en posesin de la clave pblica del emisor, y se tiene la certeza de que pertenece
a l. As, slo queda llevar a cabo la verificacin de la firma digital, tal y como
se ha descrito en el apartado anterior.
Resumiendo, cuando el receptor de un mensaje quiere comprobar la validez

de una firma digital, es necesario que est seguro de que la clave pblica que uti-
liza para verificarla pertenece al emisor del mensaje. Esta verificacin recae en
el certificado digital que ha firmado una autoridad de certificacin. Por lo tanto,
los certificados digitales y las autoridades de certificacin son la pieza clave para
el uso de la criptografa de clave pblica y, en concreto, para las firmas digitales.
Toda la estructura (certificados, CA, CRL, estructuras jerrquicas, etc.) que ro-
dea la criptografa de clave pblica y que sirve para obtener en la prctica las
propiedades tericas de la criptografa de clave pblica es lo que se conoce como
infraestructura de clave pblica, en ingls, Public Key Infrastructure, PKI. A me-
nudo, sin embargo, el concepto de PKI tambin se extiende al conjunto de pro-
tocolos, sistemas de cifrado y servicios en general que permiten desarrollar
aplicaciones de criptografa de clave pblica.

Derecho y Nuevas Tecnologías

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Derecho y Nuevas Tecnologías

Uploaded by

Copyright:

Available Formats

Derecho y nuevas

Ramn Casas Valls

Agust Cerrillo i Martnez

Ana M. Delgado Garca

Jordi Herrera Joancomart

scar Morales Garca

Rafael Oliver Cuello

Guillermo Ormazbal Snchez

Mnica Vilasau Solana

Raquel Xalabarder Plantada

Captulo I. Nociones tcnicas de Internet ............................................ 21

1. Un poco de historia .................................................................................. 21

Captulo II. El valor probatorio de la firma electrnica ................. 45

1. Los soportes informticos como medio de prueba.

3.2. La Ley de Firma Electrnica, el derogado Decreto-Ley 14/1999

Captulo III. Derecho de intimidad y proteccin de datos

1. Nuevas tecnologas, nuevas amenazas al derecho a la intimidad ....... 93

Captulo IV. Servicios de la sociedad de la informacin ................ 141

1. Los servicios de la sociedad de la informacin ................................... 142

7. Solucin de conflictos ............................................................................ 188

Captulo V. Derecho del trabajo en la sociedad

1. Nuevas tecnologas e intimidad en el mbito laboral ........................ 192

Captulo VI. Administracin electrnica ........................................... 231

1. La Administracin electrnica .............................................................. 233

Captulo VII. Propiedad intelectual .................................................... 287

1. Introduccin ............................................................................................ 287

Captulo VIII. Introduccin al rgimen jurdico

1. Introduccin al sistema de nombres de dominio ............................... 340

3.4. La solucin extrajudicial de disputas. La poltica uniforme (UDRP)

Captulo IX. Derecho penal y sociedad de la informacin ............ 387

1. Introduccin ........................................................................................... 387

Captulo X. Cuestiones de derecho internacional privado:

1. Jurisdiccin competente ........................................................................ 475

2.3. Propiedad intelectual ....................................................................... 513

Captulo XI. Los tributos en Internet ................................................. 527

1. La imposicin directa sobre la contratacin electrnica ................... 528

Bibliografa ................................................................................................... 580

Abreviaturas ................................................................................................. 591

La presente obra tiene una historia particular que no me corresponde a m

Dr. scar Morales

El empleo cada vez ms extenso e intenso de la tecnologa digital ha venido

Los orgenes de Internet se remontan al ao 1962, cuando dentro de la Ad-

Para entender de manera clara la diferencia entre la conmutacin de paquetes y la

Las principales ventajas de la conmutacin de paquetes con respecto a la de

independientes, cada una posiblemente con caractersticas de diseo y desa-

En septiembre de 1973, V. Cerf y R.E. Kahn presentaron los protocolos TCP/

Internet est formada por muchos ordenadores de diferentes plataformas y

2.1. El modelo cliente-servidor

No hace mucho tiempo los sistemas informticos se basaban en un ordena-

los terminales. De este modo, los ordenadores centrales se fueron transforman-

Un ejemplo de aplicacin cliente-servidor es el correo electrnico. Un servidor de

Es importante mencionar que, aunque en la explicacin que se acaba de ha-

2.2. La arquitectura de Internet

Las redes de ordenadores se separan conceptualmente en niveles, para esta-

conoce como protocolo. Dentro de un mismo ordenador, cada nivel da servicio

Figura 1.1. Esquema de la arquitectura de Internet

El nivel IP es el encargado de transportar la informacin mediante las redes.

Recurdese que un bit es la unidad mnima de informacin, y se trata de un valor que

Dicho de modo ms informal, una direccin IP la forman cuatro nmeros

213.73.40.217. La estructura de las direcciones IP indica la direccin del orde-

2.2.2. El nivel de transporte

Como se acaba de ver, el protocolo IP es un protocolo muy simple encargado

Correccin de errores. El TCP es el encargado de llevar a cabo el control

3. Servicios y aplicaciones de Internet