¿Qué es la firma electrónica?
Con la firma electrónica es posible asegurar la integridad de los documentos y la autenticidad del origen.
¿Para qué sirve la firma electrónica?
La firma electrónica nos permite realizar con seguridad y confianza todo tipo de transacciones electrónicas que realizamos con clientes, bancos, proveedores o administraciones públicas que suponen millones de comunicaciones diarias con interlocutores de todo el mundo.
En un contexto comercial, las órdenes de compra, facturas, avisos de expedición, contratos, etc., son transacciones a menudo sensibles y de gran importancia, que requieren la puesta en servicio de diferentes tecnologías para la adecuada creación de los mensajes, su envío y recepción.
Es precisamente la sensibilidad e importancia que rodea a estas comunicaciones, la que hace necesaria la adopción de sistemas que además garanticen su seguridad, confidencialidad e integridad.
Características de la firma electrónica
Confidencialidad: Se refiere a la capacidad de mantener un documento electrónico inaccesible a todos, excepto a los destinatarios a los que se dirige el mensaje.
Integridad: Garantiza que el documento recibido coincide con el documento emitido sin posibilidad alguna de cambio.
Autenticidad: Se refiere a la capacidad de determinar si una persona ha establecido su reconocimiento y compromiso sobre el contenido del documento electrónico.
¿Qué es un certificado electrónico?
Un certificado electrónico es un documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. El firmante es la persona que posee un dispositivo de creación de firma y que actúa en nombre propio o en nombre de una persona física o moral a la que representa.
Para ello el solicitante es acreditado de forma rigurosa por la Entidad de Certificación quedando vinculado unívocamente al Certificado y por tanto dotándole de un identificador electrónico único, lo que le permitirá realizar todo tipo de transacciones electrónicas que requieran de autenticación.
Los certificados deben ser emitidos por una Autoridad de Certificación Acreditada, integrada en una PKI (Public Key Infraestructure) o infraestructura de clave pública.
Utilidades de los certificados electrónicos
1. Firma electrónica
El certificado se utiliza para firmar todo tipo de documentos digitales, desde simples e-mails hasta los más complejos contratos mercantiles. Esto implica garantía de no repudio, de conocimiento inequívoco de quien es el emisor del documento y de la integridad del documento.
2. Seguridad en la comunicación
El certificado sirve para codificar una comunicación entre dos personas, haciendo que toda la información transmitida sea confidencial. Con ello se garantiza que cualquier documento enviado por una persona a otra estará cerrado y sólo podrá ser abierto por su legítimo destinatario.
3. Digitalización certificada
En algunos países, la legislación permite sustituir un original en papel por su equivalente digital, conservando idénticas garantías jurídicas siempre que se observen determinados procedimientos, por lo general, vinculados a firma electrónica.
4. Identificación personal
Permite conocer la identidad en el momento de entrar en un espacio físico o digital, permitiendo o denegando accesos y dejando constancia de los mismos.
5. Firma de software
El certificado digital es utilizado para firmar software. Esto permite a la entidad que va a utilizar el software garantizar que este es el original, conocer quién lo ha creado, y muy importante, que con posterioridad a su firma, nadie lo ha modificado.
¿Cómo funciona la firma electrónica?
En un contexto analógico, el problema de la autenticidad se soluciona mediante la firma manuscrita. Con ella, un individuo o varios manifiestan su voluntad de reconocer el contenido de un documento, y en su caso, el compromiso de cumplimiento de las obligaciones y acuerdos establecidos en él.
En el contexto de los mensajes electrónicos, a los problemas de confidencialidad, integridad y autenticidad se les da respuesta a través de la criptografía a través de los certificados electrónicos y los procesos de firma electrónica. Un certificado electrónico es una pieza de software que identifica unívocamente a una persona o a través de una clave pública que es conocida y contiene los datos del propietario del certificado, y una clave privada sólo conocida por el titular con datos propios del certificado.
A partir de aquí, y poniendo en servicio estos certificados, se obtendría una firma electrónica en base a un proceso como éste:
1. Emisión de certificado
El emisor obtiene un resumen o HASH del documento que establece una huella única del mensaje. Si el mensaje se modifica mínimamente esta huella cambia.
2. Encriptación:
Este HASH es encriptado con la clave privada del emisor.
3. Recepción
El receptor recepciona el mensaje y el HASH encriptado.
4. Descifrado
Con la llave pública del emisor lo desencripta. Si el proceso se realiza con éxito se puede garantizar el origen del mensaje (el mensaje es auténtico).
5. Aplicación del HASH
Paralelamente el receptor aplica al mensaje el mismo algoritmo de HASH que el emisor. La huella obtenida se compara con la huella “desencriptada” y si son iguales, se verifica que el mensaje no ha sido modificado (el mensaje es íntegro).
La firma electrónica en México
En México, existe legislación relativa a la firma electrónica que aporta un marco de certeza legal y mayores cotas de seguridad y privacidad a la aplicación de servicios de firma. Para la prestación de estos servicios, es necesario que una Autoridad de Certificación expida certificados que se ajusten a las Disposiciones establecidas en el Código de Comercio en materia de Firma Electrónica y goce de la correspondiente acreditación por parte de la Secretaría de Economía como Prestador de Servicios de Certificación. Estos certificados podrán generarse bien sobre un “dispositivo seguro de creación de firma” o en soporte software y las firmas así generadas tendrán la consideración de “Firma Electrónica Avanzada o Fiable” con arreglo a la definición del Artículo 89 del Código de Comercio.
Certificados expedidos por un Prestador de Servicios de Certificación
Certificados reconocidos sobre dispositivo seguro centralizado
Se generan en el mismo dispositivo que se empleará para realizar la firma de documentos electrónicos, por lo que no se entregan físicamente en ningún soporte.
Certificados reconocidos sobre soporte software
Se entregan en ficheros electrónicos que pueden ser descargados en discos duros o memorias USB, no requiriendo el uso de dispositivos externos para la generación de firmas.
Proveedor de Servicios de Confianza
Un proveedor de servicios de confianza cuenta con las acreditaciones pertinentes y la tecnología adecuada para brindar servicios específicos de identificación electrónica como los que permite la firma electrónica.
Los servicios brindados por este tipo de proveedores proporcionan a las personas físicas y morales, los mecanismos de identificación electrónica segura que les permiten realizar actividades en donde la firma electrónica sustituye a la manuscrita con idénticas garantías jurídicas.