La Firma digital es una de las herramientas esenciales que debes manejar en internet para tu completa seguridad y que garantiza la autenticidad de los documentos electrónicos y todas las transacciones en línea que se realizan.
A menudo se confunde la firma digital con la firma electrónica. La firma digital tiene validez legal, pero no jurídica, mientras que la segunda tiene plena validez jurídica. El objetivo de la firma digital es cifrar un documento para que sea seguro y no se pueda modificar.
La Firma digital es un método de seguridad que permite verificar la autenticidad e integridad de un documento electrónico. Su funcionamiento se basa en dos operaciones distintas: una clave privada, que se guarda en secreto, como las contraseñas de los servicios online, y otra que es pública. La clave privada se utiliza para cifrar el documento, y la clave pública, para descifrarlo. Es así como se asegura que el propietario de la clave privada sea quien cree una firma digital válida, y una persona con la clave pública pueda verificar su autenticidad.
Imagina que quieres enviar un documento importante en un correo electrónico. La clave privada es tu llave personal e intransferible: solo la tienes tú y la usas para cifrar el documento. La clave pública es una copia de la clave privada que tú le das a las personas de confianza, que usan luego para ‘abrir’ el documento y comprobar que viene de ti y que no se ha manipulado.
Índice de temas
¿Cómo se crea la Firma digital?
La base de la Firma digital es el Certificado Electrónico. Para poder firmar un documento en internet es necesario disponer de Certificado Electrónico o un DNI electrónico. Este certificado identifica a su poseedor de manera inequívoca y lo expiden los Proveedores de Servicios de Certificación.
Es decir: la firma digital debe ir junto con un certificado y clave pública que garantice su veracidad. Este es el proceso que se sigue para obtener la firma digital:
- Tienes un documento electrónico y un certificado que te identifica como usuario único. Este documento puede ser un pdf, una imagen, un documento de texto o el formulario descargado de una página web.
- La aplicación o el dispositivo digital que se usa para la firma hace un resumen del documento. El documento puede ser muy extenso, por lo que la aplicación de firma digital crea un resumen único y representativo del contenido. Si alguien cambia algo en ese documento, el resumen también debería cambiar.
- Tras crear el resumen (denominado hash) del documento, se aplica la clave privada. Esta clave se ha podido generar junto con un certificado digital. Este certificado digital es un documento electrónico que vincula tu identidad a tu clave pública y que emite una autoridad de certificación.
- La aplicación de firma digital utiliza la clave privada para codificar el resumen.
- Al aplicar la firma digital, el documento original se modifica, añadiendo datos que garantizan su autenticidad. La firma puede ser visible (imagen, sello), invisible o en código QR.
Algunas aplicaciones de firma digital de la actualidad que podemos nombrar son:
- Autofirma: app gratuita del Gobierno de España.
- Adobe Acrobat Sign: solución de firma digital en la nube.
- DocuSign: popular aplicación de firma digital para particulares y empresas.
- Signaturit: empresa española que ofrece soluciones de firma digital.
Programas de ofimática de uso común, como Microsoft Word o LibreOffice, así como gestores de correo electrónico como Outlook o Gmail, también incorporan funciones de firma digital.
Requisitos de la firma digital
Una firma digital debe cumplir los siguientes requisitos:
- Autenticidad: la firma identifica al usuario firmante.
- Integridad: la firma debe asegurar que el documento no ha sido alterado
- No repudio: el firmante no puede negar su firma tras haberla realizado. Dicha firma está vinculada de forma única a su identidad como individuo.
En nuestro país, la legislación que regula la firma digital es la Ley 59/2003 del 19 de diciembre. Es esta ley la que regula los requisitos técnicos y legales que deben cumplir las firmas digitales para ser consideradas válidas.
Tipos de firma digital
En realidad, no existen como tal distintos tipos de firma digital. Es más: la firma digital es un tipo de firma electrónica. El Reglamento eIDAS (Reglamento (UE) N.º 910/2014) de la Unión Europea establece tres tipos de firma electrónica:
Firma electrónica simple
Es el tipo de firma electrónica más simple, como su nombre indica. Consiste en datos electrónicos asociados a un documento y que permiten identificar a la persona firmante. Un nombre escrito al final del correo electrónico, una imagen escaneada de una firma manuscrita o, incluso, clicar en el botón ‘aceptar’ de una web es una firma electrónica simple.
Firma electrónica avanzada
Este tipo de firma ofrece un nivel mayor de seguridad frente a la firma electrónica simple y debe cumplir una serie de requisitos:
- Estar vinculada al firmante de manera única
- Permitir la identificación del firmante
- Haber sido creada utilizando datos que el firmante puede utilizar, con un alto nivel de confianza, y que esté bajo su control exclusivo, como una clave privada.
- Estar vinculada con los datos firmados de tal manera que cualquier modificación del documento original, por pequeña que sea, se pueda detectar fácilmente.
Firma electrónica cualificada
Este es el tipo de firma electrónica más segura y con mayor validez legal. Debe cumplir con los requisitos de la firma avanzada anteriormente descritos y, además:
- Debe estar basada en un certificado cualificado de la firma electrónica.
- Debe haber sido creada con un dispositivo seguro de creación de firmas.
Un ejemplo de este tipo de firma son las realizadas con tarjetas inteligentes o tokens criptográficos, usando para ello certificados cualificados emitidos por un Prestador de Servicios de Confianza cualificado. Este enlace proporcionado por el Gobierno de España lista este tipo de prestadores.
La firma digital puede ser avanzada o cualificada, dependiendo de si se basa en un certificado cualificado o no.
La firma digital y los certificados electrónicos
Tanto la firma digital como los certificados electrónicos son dos herramientas fundamentales para garantizar tu seguridad en las transacciones digitales. A menudo, estos dos términos suelen ir acompañados, pero cada uno desempeña un rol distinto, aunque se complementen.
Ya hemos hablado largo y tendido acerca de lo que es una firma digital. Ahora le toca el turno a los certificados electrónicos. Estos son documentos digitales que emite una Autoridad de Certificación (AC) de confianza. Estos certificados vinculan una clave pública a la identidad de una persona o una entidad, actuando como un DNI digital.
Antes decíamos que la firma digital usa un par de claves criptográficas: una privada y secreta y otra pública que se comparte. La clave privada se utiliza como crear la firma digital y la pública para verificar que es auténtica.
En este momento es donde entran en acción los certificados electrónicos. Al incluir el certificado electrónico en la firma digital, se garantiza plenamente que la clave pública usada para verificar dicha firma pertenece a la persona o entidad que dice ser la firmante. Esto se debe a que la AC anteriormente mencionada ha revisado con anterioridad la identidad del titular del certificado.
Ventajas de la firma digital
El uso de firmas digitales proporciona múltiples beneficios tanto a organizaciones como a particulares. Algunas de las principales ventajas de la firma digital incluyen:
Mayor rapidez en los contratos
Las firmas digitales aceleran de forma natural el proceso de contratación al eliminar la necesidad de firmas físicas y documentación en papel. A su vez, las partes experimentan tiempos de entrega más rápidos y una mayor eficiencia.
Mayor control
Todos los documentos están centralizados en la plataforma del proveedor elegido y/o en la nube, facilitando el acceso a los departamentos que los utilizan: marketing, finanzas, cuentas, etc.
Mayor seguridad
Las firmas digitales proporcionan seguridad adicional a través de la encriptación avanzada, el descifrado y un registro de auditoría imposible de falsificar que describe todos los cambios realizados en el documento.
Más sostenible
Este método de autenticación colabora claramente con el ahorro de papel y de la electricidad de manera considerable, puesto que ya no es necesario imprimir y escanear documentos.
Menores costes de transacción
Al sustituir a los procesos anteriores en papel, las firmas digitales reducen los costes de transacción al eliminar la necesidad de imprimir, escanear y enviar documentos por correo.
Mayor transparencia en los procesos
La firma digital ayuda a mejorar la transparencia en los procesos por la seguridad implícita de la propia firma.
Independencia de la ubicación
Con las firmas digitales, los documentos pueden firmarse desde cualquier lugar, lo que las vuelve útiles, especialmente cuando varias partes deben firmar el mismo documento.
Rentabilidad
Las firmas digitales son rentables, ya que eliminan la necesidad de imprimir, escanear y enviar papel por correo.
Tiempo de procesamiento de documentos más rápido:
Las firmas digitales pueden acelerar el tiempo de procesamiento de los documentos al eliminar la necesidad de firmas físicas, documentación en papel y métodos de envío por correo.
Las firmas digitales han revolucionado la forma de autenticar documentos y transacciones, ayudando a acelerar y proteger un sinnúmero de funciones de las que muchas empresas y profesionales dependen para sus operaciones diarias.
Riesgos y seguridad de la firma digital
Aunque la firma digital sea una herramienta que garantiza la seguridad y la integridad de los documentos electrónicos, no está exenta de ciertos riesgos que se han de tener en cuenta, como por ejemplo:
- Pérdida o robo de la clave privada. Este es el elemento más crítico de la firma digital y si cae en manos equivocadas se puede utilizar para firmar documentos no deseados en nuestro nombre.
- Vulnerabilidades en el software: el software que usamos para crear y verificar la firma digital no está exenta de fallos o errores que pueden aprovechar los ciberdelincuentes.
- Phishing: los atacantes pueden intentar averiguar la clave privada a través de ingeniería social, como la suplantación de servicios fiables en correos electrónicos.
¿Qué medidas de seguridad son las más adecuadas para proteger tu firma digital?
- Utiliza dispositivos seguros como tarjetas inteligentes o tokens USB para guardar tu clave privada. No la compartas con nadie ni la guardes en dispositivos accesibles.
- Protege la clave privada con una contraseña larga y que contenga letras, en mayúsculas y minúsculas, números y caracteres especiales.
- Actualiza siempre el software de firma digital a la última versión
- Cuidado con los enlaces y los archivos adjuntos en correos electrónicos o enviados por WhatsApp. Nunca jamás cliques en uno.
- Asegúrate de que el certificado electrónico ha sido emitido por una Autoridad de Certificación de confianza.