La Firma digital es una de las herramientas esenciales que debes manejar en internet para tu completa seguridad y que garantiza la autenticidad de los documentos electrónicos y todas las transacciones en línea que se realizan.
A menudo se confunde la firma digital con la firma electrónica. La firma digital tiene validez legal, pero no jurídica, mientras que la segunda tiene plena validez jurídica. El objetivo de la firma digital es cifrar un documento para que sea seguro y no se pueda modificar.
Índice de temas
Definición de firma digital
Pero, ¿qué es una firma digital? Es un método de seguridad que permite verificar la autenticidad e integridad de un documento electrónico. Su funcionamiento se basa en dos operaciones distintas: una clave privada, que se guarda en secreto, como las contraseñas de los servicios online, y otra que es pública. La clave privada se utiliza para cifrar el documento, y la clave pública, para descifrarlo. Es así como se asegura que el propietario de la clave privada sea quien cree una firma digital válida, y una persona con la clave pública pueda verificar su autenticidad.
Imagina que quieres enviar un documento importante en un correo electrónico. La clave privada es tu llave personal e intransferible: solo la tienes tú y la usas para cifrar el documento. La clave pública es una copia de la clave privada que tú le das a las personas de confianza, que usan luego para ‘abrir’ el documento y comprobar que viene de ti y no se ha manipulado.
¿Cómo se crea la Firma digital?
La base de la Firma digital es el Certificado Electrónico. Para poder firmar un documento en internet es necesario disponer de Certificado Electrónico o un DNI electrónico. Este certificado identifica a su poseedor de manera inequívoca y lo expiden los Proveedores de Servicios de Certificación.
Es decir: la firma digital debe ir junto con un certificado y clave pública que garantice su veracidad. Este es el proceso que se sigue para obtener la firma digital y saber cómo funciona:
- Tienes un documento electrónico y un certificado que te identifica como usuario único. Este documento puede ser un pdf, una imagen, un documento de texto o el formulario descargado de una página web.
- La aplicación o el dispositivo digital que se usa para la firma hace un resumen del documento. El documento puede ser muy extenso, por lo que la aplicación de firma digital crea un resumen único y representativo del contenido. Si alguien cambia algo en ese documento, el resumen también debería cambiar.
- Tras crear el resumen (denominado hash) del documento, se aplica la clave privada. Esta clave se ha podido generar junto con un certificado digital. Este certificado digital es un documento electrónico que vincula tu identidad a tu clave pública y que emite una autoridad de certificación.
- La aplicación de firma digital utiliza la clave privada para codificar el resumen.
- Al aplicar la firma digital, el documento original se modifica, añadiendo datos que garantizan su autenticidad. La firma puede ser visible (imagen, sello), invisible o en código QR.
Algunas aplicaciones de firma digital de la actualidad que podemos nombrar son:
- Autofirma: app gratuita del Gobierno de España.
- Adobe Acrobat Sign: solución de firma digital en la nube.
- DocuSign: popular aplicación de firma digital para particulares y empresas.
- Signaturit: empresa española que ofrece soluciones de firma digital.
Programas de ofimática de uso común, como Microsoft Word o LibreOffice, así como gestores de correo electrónico como Outlook o Gmail, también incorporan funciones de firma digital.
Cómo funciona la firma digital
La firma digital emplea algoritmos criptográficos para generar un código o hash único, vinculado al documento firmado.
Algoritmos criptográficos y clave pública
El proceso comienza cuando un algoritmo genera un código o hash a partir del contenido del documento. A continuación, este código o hash se cifra utilizando una infraestructura de clave pública (PKI). La PKI emplea dos claves distintas para autenticar: una pública y otra privada. El firmante utiliza su clave privada para cifrar, o firmar, el código o hash, creando una firma digital que los asocia de forma segura al mensaje o archivo correspondiente.
Esta información firmada digitalmente puede enviarse con los documentos originales sin comprometer la seguridad durante la transmisión.
Proceso de verificación
Al llegar a su destino, se inician una serie de procesos para verificar la autenticidad. En primer lugar, el software del destinatario descifra el hash o código cifrado recibido utilizando la clave pública disponible del remitente, creada en el lado del remitente. A continuación, un nuevo cálculo genera nuevos códigos o valores hash para los mensajes entrantes utilizando el mismo método hash del remitente.
Las soluciones de software desempeñan aquí un papel crucial, ya que proporcionan robustos protocolos de verificación que garantizan la integridad cotejando estos códigos o hashes recalculados con los hashes descifrados del remitente. Esto confirma que no se haya producido ninguna manipulación durante el tránsito, lo que valida la integridad de la transacción.
Estándares de firma digital
Las transacciones deben cumplir las normas definidas por la ley de firmas electrónicas de la UE y otras normativas similares en todo el mundo. El cumplimiento de estas normas garantiza la validez legal de las firmas digitales en las distintas jurisdicciones mundiales, incluidos los contratos firmados electrónicamente. Estas normas definen cómo deben funcionar determinados tipos de firmas electrónicas y estipulan directrices en torno a los métodos de cifrado.
Por ejemplo, el uso de firmas electrónicas avanzadas (AES) añade procedimientos de verificación de la identidad, como las técnicas de verificación de la identidad facial, que en conjunto contribuyen a que las transacciones en línea sean seguras y fiables.
Requisitos de la firma digital
Una firma digital debe cumplir los siguientes requisitos:
- Autenticidad: la firma identifica al usuario firmante.
- Integridad: la firma debe asegurar que el documento no ha sido alterado
- No repudio: el firmante no puede negar su firma tras haberla realizado. Dicha firma está vinculada de forma única a su identidad como individuo.
En nuestro país, la legislación que regula la firma digital es la Ley 59/2003 del 19 de diciembre. Es esta ley la que regula los requisitos técnicos y legales que deben cumplir las firmas digitales para ser consideradas válidas.
Tipos de firma digital
En realidad, no existen como tal distintos tipos de firma digital. Es más: la firma digital es un tipo de firma electrónica. El Reglamento eIDAS (Reglamento (UE) N.º 910/2014) de la Unión Europea establece tres tipos de firma electrónica:
Firma electrónica simple
Es el tipo de firma electrónica más simple, como su nombre indica. Consiste en datos electrónicos asociados a un documento y que permiten identificar a la persona firmante. Un nombre escrito al final del correo electrónico, una imagen escaneada de una firma manuscrita o, incluso, clicar en el botón ‘aceptar’ de una web es una firma electrónica simple.
Firma electrónica avanzada
Este tipo de firma ofrece un nivel mayor de seguridad frente a la firma electrónica simple y debe cumplir una serie de requisitos:
- Estar vinculada al firmante de manera única
- Permitir la identificación del firmante
- Haber sido creada utilizando datos que el firmante puede utilizar, con un alto nivel de confianza, y que esté bajo su control exclusivo, como una clave privada.
- Estar vinculada con los datos firmados de tal manera que cualquier modificación del documento original, por pequeña que sea, se pueda detectar fácilmente.
Firma electrónica cualificada
Este es el tipo de firma electrónica más segura y con mayor validez legal. Debe cumplir con los requisitos de la firma avanzada anteriormente descritos y, además:
- Debe estar basada en un certificado cualificado de la firma electrónica.
- Debe haber sido creada con un dispositivo seguro de creación de firmas.
Un ejemplo de este tipo de firma son las realizadas con tarjetas inteligentes o tokens criptográficos, usando para ello certificados cualificados emitidos por un Prestador de Servicios de Confianza cualificado. Este enlace proporcionado por el Gobierno de España lista este tipo de prestadores.
La firma digital puede ser avanzada o cualificada, dependiendo de si se basa en un certificado cualificado o no.
Firma digital vs. firma electrónica
La principal es que mientras que la firma digital hace referencia a una serie de métodos criptográficos, el concepto de firma electrónica es de naturaleza fundamentalmente legal y tiene como objetivo dar fe de un acto de voluntad por parte del firmante. Por ejemplo, cuando aceptamos las condiciones de un servicio contratado a través de Internet, estamos usando una firma electrónica.
La firma digital NO tiene como objetivo dar fe de un acto de voluntad por parte del firmante, sino únicamente encriptar los datos para conferir mayor seguridad. Un documento donde almacenamos nuestras contraseñas puede estar encriptado con una firma digital, para que solo pueda acceder a él uno mismo. Pero con esta firma digital no estamos manifestando la voluntad de ningún acto. Simplemente actúa como una llave o como un sello.
La firma digital y los certificados electrónicos
¿Y para qué sirve la firma digital? Tanto la firma digital como los certificados electrónicos son dos herramientas fundamentales para garantizar tu seguridad en las transacciones digitales. A menudo, estos dos términos suelen ir acompañados, pero cada uno desempeña un rol distinto, aunque se complementen.
Ya hemos hablado largo y tendido acerca de lo que es una firma digital. Ahora le toca el turno a los certificados electrónicos. Estos son documentos digitales que emite una Autoridad de Certificación (AC) de confianza. Estos certificados vinculan una clave pública a la identidad de una persona o una entidad, actuando como un DNI digital.
Antes decíamos que la firma digital usa un par de claves criptográficas: una privada y secreta y otra pública que se comparte. La clave privada se utiliza como crear la firma digital y la pública para verificar que es auténtica.
En este momento es donde entran en acción los certificados electrónicos. Al incluir el certificado electrónico en la firma digital, se garantiza plenamente que la clave pública usada para verificar dicha firma pertenece a la persona o entidad que dice ser la firmante. Esto se debe a que la AC anteriormente mencionada ha revisado con anterioridad la identidad del titular del certificado.
¿Cómo se crea la firma digital?
Lo primero a tener en cuenta es que para que la firma digital sea veraz, tiene que ir acompañado de un certificado y una clave pública que garantice su veracidad. Por lo que el primer paso sería contactar con una de las autoridades competentes que emitan los certificados digitales.
Una vez contactado con ellos, habrá que desplazarse a sus oficinas para corroborar la veracidad de los documentos entregados y entregarte el certificado en mano. Uno de los certificado más conocidos sería el DNI electrónico, el cuál también te puede ayudar a firmar de manera digital algún documento.
Una vez con esa certificación, es el momento de pasar a capturar la firma. Existen multitud de programas en el mercado que ayudan a digitalizar la firma (es posible que incluso la autoridad que dispense el certificado digital te proporcione un listado).
Para añadir seguridad al proceso, cabe mencionar que estos programas crean y reproducen la firma utilizando la técnica de criptografía asimétrica, permitiendo la identificación de la persona que firma, de esta forma se permite garantizar la integridad del contenido y detectar cualquier modificación posterior.
Con esto ya estaría completo el proceso de crear una firma digital. Ahora, dependiendo de si trabajas en word, en excel o en PDF tendrás que añadir la firma al documento de una manera u otra.
Ventajas de la firma digital
El uso de firmas digitales proporciona múltiples beneficios tanto a organizaciones como a particulares. Algunas de las principales ventajas de la firma digital incluyen:
Mayor rapidez en los contratos
Las firmas digitales aceleran de forma natural el proceso de contratación al eliminar la necesidad de firmas físicas y documentación en papel. A su vez, las partes experimentan tiempos de entrega más rápidos y una mayor eficiencia.
Mayor control
Todos los documentos están centralizados en la plataforma del proveedor elegido y/o en la nube, facilitando el acceso a los departamentos que los utilizan: marketing, finanzas, cuentas, etc.
Mayor seguridad
Las firmas digitales proporcionan seguridad adicional a través de la encriptación avanzada, el descifrado y un registro de auditoría imposible de falsificar que describe todos los cambios realizados en el documento.
Más sostenible
Este método de autenticación colabora claramente con el ahorro de papel y de la electricidad de manera considerable, puesto que ya no es necesario imprimir y escanear documentos.
Menores costes de transacción
Al sustituir a los procesos anteriores en papel, las firmas digitales reducen los costes de transacción al eliminar la necesidad de imprimir, escanear y enviar documentos por correo.
Mayor transparencia en los procesos
La firma digital ayuda a mejorar la transparencia en los procesos por la seguridad implícita de la propia firma.
Independencia de la ubicación
Con las firmas digitales, los documentos pueden firmarse desde cualquier lugar, lo que las vuelve útiles, especialmente cuando varias partes deben firmar el mismo documento.
Rentabilidad
Las firmas digitales son rentables, ya que eliminan la necesidad de imprimir, escanear y enviar papel por correo.
Tiempo de procesamiento de documentos más rápido:
Las firmas digitales pueden acelerar el tiempo de procesamiento de los documentos al eliminar la necesidad de firmas físicas, documentación en papel y métodos de envío por correo.
Las firmas digitales han revolucionado la forma de autenticar documentos y transacciones, ayudando a acelerar y proteger un sinnúmero de funciones de las que muchas empresas y profesionales dependen para sus operaciones diarias.
Riesgos y seguridad de la firma digital
Aunque la firma digital sea una herramienta que garantiza la seguridad y la integridad de los documentos electrónicos, no está exenta de ciertos riesgos que se han de tener en cuenta, como por ejemplo:
- Pérdida o robo de la clave privada. Este es el elemento más crítico de la firma digital y si cae en manos equivocadas se puede utilizar para firmar documentos no deseados en nuestro nombre.
- Vulnerabilidades en el software: el software que usamos para crear y verificar la firma digital no está exenta de fallos o errores que pueden aprovechar los ciberdelincuentes.
- Phishing: los atacantes pueden intentar averiguar la clave privada a través de ingeniería social, como la suplantación de servicios fiables en correos electrónicos.
¿Qué medidas de seguridad son las más adecuadas para proteger tu firma digital?
- Utiliza dispositivos seguros como tarjetas inteligentes o tokens USB para guardar tu clave privada. No la compartas con nadie ni la guardes en dispositivos accesibles.
- Protege la clave privada con una contraseña larga y que contenga letras, en mayúsculas y minúsculas, números y caracteres especiales.
- Actualiza siempre el software de firma digital a la última versión
- Cuidado con los enlaces y los archivos adjuntos en correos electrónicos o enviados por WhatsApp. Nunca jamás cliques en uno.
- Asegúrate de que el certificado electrónico ha sido emitido por una Autoridad de Certificación de confianza.
