Si bien los siguientes términos y definiciones de los acrónimos están disponibles a través de Wikipedia, la ley ESIGN o el eIDAS, leer los artículos de forma independiente no siempre resulta útil o esclarecedor siquiera. Por otro lado, comprender los detalles de un proceso de firma electrónica permite identificar mejor su valor. Este blog examinará algunos de los aspectos clave de la firma electrónica y cómo encontrar el sistema más adecuado para el caso de uso de su negocio.

Cómo se garantiza la identidad del firmante con la firma electrónica:

La clasificación de un sistema de firma electrónica depende de su grado de autenticación con respecto a la identidad del firmante electrónico, si bien otros factores importantes a considerar son el valor de la transacción que se aprobará, así como todos los requisitos técnicos relevantes.


Antes de seguir adelante, identifiquemos las dos categorías principales de firma electrónica:

Una firma electrónica básica confirma la intención efectiva del firmante a la hora de estampar su firma en el documento haciendo que este reconozca y apruebe fehacientemente la solicitud recibida, registrando su consentimiento en el documento completo en forma de una suerte de rúbrica. Por otro lado, una firma digital(1) utiliza un certificado digital(2) para identificar al firmante. Una firma digital es un tipo de firma electrónica por defecto, ya que comprende la intención de firmar. Sin embargo, a la inversa no es cierto.

(1) La firma digital se basa en un certificado digital. Cuando se aplica, el PDF firmado electrónicamente pasa a contener información viable con la que identificar al firmante, así como datos cifrados que garantizan la integridad del documento. La firma digital se puede mostrar en la propia interfaz de Acrobat Reader. Al abrir el PDF, la firma se aprobará automáticamente, siempre que esté en la lista de confianza aprobada por Adobe (Adobe Approved Trust List o AATL, por sus siglas en inglés).

(2) Este archivo incluye la identidad del firmante, el nombre de la autoridad que entrega el certificado y la clave utilizada para el cifrado. El certificado puede almacenarse en un archivo (p. ej. pfx), un almacén de certificados, un HSM o una unidad USB, principalmente.

“¿Mi firma electrónica utiliza un certificado digital?”

Esta sencilla pregunta ayuda a diferenciar las dos categorías principales. Veamos más de cerca lo que su respuesta podría decirle sobre su proceso de firma:

“No, mi firma electrónica no utiliza un certificado digital”: La identificación del firmante electrónico se basa en procesar una serie de criterios con el fin de autenticar la firma electrónica. La precisión a la hora de identificar a un firmante electrónico depende del número y la relevancia de dichos criterios, entre los que se pueden incluir la dirección de correo electrónico del propietario que recibirá la URL del documento, el número de teléfono móvil al que se envió la OTP, la dirección IP del dispositivo que accede al documento y las coordenadas GPS del firmante electrónico. Estos elementos se introducen en un archivo de prueba con objeto de demostrar el consentimiento del firmante. Luego, este archivo se adjunta al documento firmado electrónicamente, que queda bloqueado con un sello numérico y una marca de tiempo. De este modo se establece la identidad del firmante.

“Sí, mi firma electrónica utiliza un certificado digital”: Esto se consideraría una firma digital. Como resultado, la identidad del firmante depende de la calidad del certificado. Más concretamente, depende de si se trata de un certificado autofirmado(3) o un certificado cualificado(4).

(3) Cualquiera puede crear su propio certificado con información individual, pero este tipo de certificado no puede garantizar la identidad de un firmante.


(4) Esto significa que el documento lo entrega un tercero de confianza que se encarga de la verificación de identidad del firmante. Para que sea válido, un certificado digital cualificado debe permanecer en una unidad USB, una tarjeta o un módulo de seguridad de hardware (HSM). Los HSM se utilizan para gestionar varios certificados digitales en el mismo espacio seguro.

¿Qué define el nivel de seguridad del proceso de firma electrónica?

Resumamos las cuatro clases principales de firmas. Tenga en cuenta que el nivel de seguridad se incrementa con el enriquecimiento del proceso de firma electrónica, de modo que el flujo de trabajo de un sistema de firma electrónica puede marcar la diferencia.

firma electrónica estandar

La “firma estándar“, lo que sería el nivel más básico, consiste simplemente en registrar la intención de firmar. Tanto si la firma electrónica consiste en un dibujo, un nombre mecanografiado o una imagen, esta se considerará válida siempre que se registre claramente la intención del firmante.

firma electrónica  estandar reforzada

Se considera una “firma estándar reforzada” cuando el proceso de firma electrónica recopila información adicional(5) para verificar la identidad del firmante. Estos datos se registran para garantizar la integridad del documento(6) . Juntos, constituyen la prueba necesaria de la identidad de un firmante electrónico.

firma electrónica avanzada

La “firma avanzada” utiliza un certificado digital. A este nivel ya no existen requisitos con respecto a la calidad del certificado. Aunque el firmante electrónico puede utilizar un certificado autofirmado, este no puede garantizar la identidad del firmante.

firma electrónica cualificada

Finalmente, una “firma cualificada” almacenada en su dispositivo cualificado garantiza la identidad del firmante electrónico mediante el uso de un sistema de terceros fiable para verificar el certificado(7) . Este tipo de firma proporciona el mayor nivel de seguridad de identidad de firmante electrónico y es el equivalente legal a una firma manuscrita.

(5) Algunos ejemplos podrían ser la dirección de correo electrónico del firmante electrónico, el número de teléfono móvil que recibe la OTP, la dirección IP y las coordenadas GPS. Todos estos detalles se registran secuencialmente para los sucesivos firmantes electrónicos del mismo documento.

(6) Por lo general, todos los pasos y detalles de la firma electrónica se registran y se adjuntan al documento, que luego se sella con un certificado digital y una marca de tiempo.

(7) Un tercero de confianza o una autoridad gubernamental puede realizar una grabación de vídeo en directo que incluya al firmante y su documento de identidad o pasaporte para la verificación.


Referencias:


• La clasificación anterior se refiere a la establecida por el sistema europeo de reconocimiento de identidades electrónicas (eIDAS).
• Algunas explicaciones mencionan términos de la Ley de Firmas Electrónicas en el Comercio Global y Nacional de los Estados Unidos (ley ESIGN).