18 - Probando la autoría de un documento - 22/10/2005


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

Nota 1: Este artículo está inspirado en un post de freekodedo en barrapunto

Hace un tiempo un miembro de la lista me consultó sobre que hacer en el caso de publicar un trabajo y que alguien, no demasiado ético, decidiera adjudicarse la autoría del mismo.

Si bien no es algo que sucede a menudo, si ocurre, debemos atenernos a las leyes para comprobar que el plagio realmente sucedió.

La seguridad se basa en un modelo en donde la tecnología juega un papel importante, pero debemos tener en cuenta que la legislación y las personas son tan o mas importantes en ese proceso de securización.

Por lo tanto, si alguien decide atribuirse la autoría de un trabajo, la tecnología pasa a segundo plano para dejar lugar a las personas y a las leyes.

En Argentina, nuestra obra puede ser declarada en el Registro Nacional de la Propiedad Intelectual bajo la ley 11723, para asegurar nuestra autoría pero ¿qué sucede si el plagiador registra nuestra obra antes que nosotros?.

Utilizando la tecnología, podemos basar nuestra "defensa" en un modelo pro-activo, antes que el plagio suceda, incluso antes que el trabajo salga de nuestra computadora.

Si bien el riesgo nunca se elimina totalmente, al realizar estas acciones, disminuimos el tiempo disponible para que se realice el plagio.

A continuación expondré dos formas de verificar que el trabajo estaba en nuestra tutela en una fecha determinada. Ambas se basan en un sello digital aplicando criptografía y realizado por un tercero de confianza en donde consta la fecha de sellado (timestamp) del trabajo.

El primer procedimiento es el mas sencillo y se realiza "confiando" en RedIRIS, una entidad dependiente del Ministerio de Industria, Turismo y Comercio de España.

En este caso se ingresa un solo documento PDF pero el procedimiento se puede llevar a cabo con muchos documentos.

  1. Ingresar al servicio experimental de sellado de RedIris. Esta página nos informa el procedimiento a realizar (Img_01).
  2. Enviar un mail a la dirección citada en la página anterior con el o los documentos a verificar (Img_02).
  3. Recibiremos un mail en donde se nos informa el número de trámite realizado, el Hash (función de resumen utilizando MD5) obtenido para el o los documentos enviados, la fecha en la que el documento fue recibido en el servidor y la dirección de comprobación (Img_03).
  4. Llegado el momento de que debamos comprobar a alguien (ante la ley por ejemplo) que el documento realmente fue enviado por nosotros , debemos entrar a la dirección provista anteriormente y se nos informará los datos grabados (Img_04 y Img_05).

Si además queremos proteger el trabajo de miradas indiscretas podemos encriptarlo previo al envío, "asegurando" con esto que solo nosotros seremos capaces de obtener el texto en claro.


El segundo procedimiento, si bien es más complicado, no requiere el envío de nuestro trabajo para que sea protegido por alguna entidad, por lo que desde el comienzo esto puede significar una ventaja con respecto al procedimiento anterior o incluso con el registro en un ente público.


En este caso debemos contar con un servidor web donde poder publicar el trabajo.


Suponiendo que deseamos publicar el primer capítulo de la tesis que figura en la página, el procedimiento sería el siguiente:

  1. Obtener el Hash MD5, SHA1 o cualquier otro que se desee del documento a publicar. Si se desea este documento puede ser encriptado previamente.
  2. Publicar el documento y el Hash obtenido.
  3. Dirigirse a http://www.firmpage.com/ y en la parte inferior indicar la página en donde figura el documento a proteger (Img_06).
    En este momento firmpage obtendrá una "fotografía" exacta de la página y agregará en ella una estampa de la fecha y hora. Es decir ue tenemos una prueba de lo que había en ese momento en el servidor. Además como el Hash del documento es único y asegura la integridad del mismo, podemos concluir que el mismo no ha sido modificado desde su publicación (Img_07).
  4. A continuación se obtendrán todos los datos asociados a la imagen: el hash, el timestamp y el certificado asociado a la entidad (Img_08).
  5. Para finalizar debemos descargar un archivo comprimido con todos los archivos y las instrucciones para la verificación para, en caso de ser necesario, probar la autoría o la fecha del trabajo (Img_09).

Si bien, ambos pueden considerarse procedimientos engorrosos, pueden ser preferibles al del Registro de Propiedad Intelectual cuando se trate de proteger muchas cosas pequeñas, evitando la dificultad y el costo del trámite.


Desconozco si ante la ley estos datos sean una prueba contundente, pero darán una presunción de autoría que quizás pueda ser una ventaja legal.


Agradezco cualquier comentario respecto a este punto.


Más información:

Buenos Aires, 22 de octubre de 2005

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto