Firma digital vs firma electrónica: aclarando la diferencia
•
20 min
Leer
Tiempo de lectura:
Fecha de publicación:
Fecha de actualización:
La firma digital es un tipo especial de firma electrónica que ofrece una autorización avanzada gracias a la tecnología PKI (Infraestructura de Clave Pública), verificando la identidad del firmante y emitiendo certificados digitales por entidades de confianza certificadas.
Aunque el nombre simplificado de "firmas digitales" pueda sugerir una acción tan simple como firmar un documento en papel, las firmas digitales van más allá de ese concepto para garantizar que la identidad del firmante esté correctamente verificada y que el documento no pueda ser manipulado en ningún momento de su trayecto digital.
Dos tipos de firma electrónica se encuentran dentro de la categoría de firma digital: la AES (Firma Electrónica Avanzada) y la QES (Firma Electrónica Cualificada).
En este artículo:
- profundizaremos en cómo funcionan exactamente las firmas digitales,
- abordaremos la historia legal de las firmas digitales,
- descifraremos las complejidades de las tecnologías criptográficas que utilizan,
- explicaremos las firmas AES y QES junto con casos de uso ejemplares,
- y finalmente repasaremos Autenti como ejemplo de Prestador Cualificado de Servicios de Confianza.
Tabla de contenido
1. ¿Cómo funcionan realmente las firmas digitales?
2. Certificados digitales, integridad documental y Autoridades de Certificación
3. Sellos de tiempo para seguridad adicional
4. Firmas digitales: historia legal y regulaciones
5. Firma digital: AES
6. Firma digital: QES
7. Autenti como Prestador Cualificado de Servicios de Confianza
8. Preguntas frecuentes
¿Cómo funcionan realmente las firmas digitales?
Aunque entender las firmas digitales puede parecer difícil dado que operan en términos altamente técnicos, cuando se explica de manera simple, todo el concepto puede ser fácil de comprender.
En resumen, las firmas digitales funcionan basándose en algoritmos matemáticos, la tecnología PKI (Infraestructura de Clave Pública), certificados digitales y Autoridades de Certificación.
Tecnología de Infraestructura de Clave Pública
Primero, al firmar digitalmente un documento, el proveedor de firma digital emite una clave privada asociada directamente con la persona que firma el documento y el documento que se está firmando.
Luego, para garantizar la seguridad adecuada, la clave privada se utiliza para cifrar los datos hash—una cadena generada de números asociada con el documento.
Ahora bien, la clave privada solo puede ser accedida por la persona que firma el documento. Para verificar si la firma no ha sido manipulada después de la firma, los verificadores utilizan un segundo conjunto de claves emitidas de acuerdo con PKI—las claves públicas.
Las claves públicas descifran el documento firmado digitalmente, básicamente comprobando si las cadenas únicas de números (códigos hash) del documento coinciden. Si no coinciden, la firma en el documento se considera inválida.
Debido a que la tecnología PKI genera códigos únicos para cada firma que pueden ser verificados de manera segura, podemos incluso compararlos con las huellas dactilares—únicas para cada firmante.
Como comparación, las firmas electrónicas más simples, como marcar una casilla "Acepto" o la firma que tienes en el pie de tu correo electrónico, no ofrecen estos métodos de verificación avanzados.
Pero esto no significa que todas las soluciones de firma electrónica simple, como las SES (Firmas Electrónicas Simples) no sean seguras. Por el contrario, las firmas SES son legalmente vinculantes y seguras, siendo las más universales de las firmas electrónicas—permitiéndote firmar el 90% de los documentos en transacciones comerciales.
Certificados digitales, integridad documental y Autoridades de Certificación
La parte conectada a la tecnología PKI de las firmas digitales son los certificados digitales.
El certificado digital es un documento electrónico, un archivo real que contiene la clave pública generada a través de la tecnología de Infraestructura de Clave Pública (PKI), que luego se utiliza para verificar la identidad del firmante.
Sin embargo, los certificados digitales no se emiten por sí solos. Aquí es donde entran en juego las Autoridades de Certificación.
Las Autoridades de Certificación son las entidades u organizaciones de confianza que emiten certificados digitales y los almacenan de forma segura. Verifican la identidad de la persona que firma el documento y vinculan esa identidad verificada al documento mediante las claves de las que hablamos anteriormente.
La vinculación de la identidad al certificado digital garantiza una integridad documental inquebrantable y la seguridad frente a cualquier suplantación o manipulación durante su trayecto digital.
Sellos de tiempo para seguridad adicional
Una parte adicional, aunque no obligatoria, de una firma digital es también el sello de fecha y hora—específicamente los sellos de tiempo electrónicos cualificados.
Se recomienda añadir un sello de tiempo a la firma electrónica para garantizar aún más que no se ha producido ninguna manipulación.
Esto se debe a que un sello de tiempo electrónico funciona como un sello digital que confirma que un documento existía en un momento específico y no ha sido alterado desde entonces. Se puede aplicar a cualquier tipo de datos electrónicos, ya sea un archivo o un documento.
Un sello de tiempo electrónico cualificado vincula el documento con el momento exacto en que fue creado basándose en el número hash generado anteriormente con la tecnología PKI, pero no necesariamente tiene acceso al contenido del documento firmado o a la identidad del firmante.
Cualquier cambio en el documento o en el tiempo registrado será fácilmente detectado gracias al tiempo marcado, lo que se conoce como protección de integridad.
Los sellos de tiempo electrónicos cualificados están definidos por regulaciones y vienen con una fuerte presunción de que la fecha y hora son precisas y que se ha preservado la integridad del documento. Estos sellos de tiempo son reconocidos universalmente en todos los Estados miembros de la UE, lo que los hace fiables e interoperables.
Firmas digitales: historia legal y regulaciones
Conociendo cómo funcionan las firmas digitales, podemos adentrarnos en los antecedentes de su historia legal, centrándonos en las regulaciones de la Unión Europea.
Ambos tipos de firmas digitales, AES y QES, fueron oficialmente reconocidos por la Unión Europea en 2014 con la aprobación del reglamento eIDAS en los Estados miembros.
eIDAS significa identificación electrónica, Autenticación y Servicios de Confianza, y esta es la regulación que estableció los estándares para la firma segura de documentos electrónicos y digitales.
La adición más reciente al reglamento eIDAS fue eIDAS 2.0, que entró oficialmente en vigor legal en mayo de 2024.
Un resumen rápido de eIDAS 2.0 es que trae actualizaciones significativas, incluyendo nuevos requisitos para los prestadores de servicios de confianza no cualificados, lo que en última instancia impulsa su reconocimiento y credibilidad. Además, para hacer frente a las crecientes amenazas cibernéticas, también impone estándares de seguridad y procesos de certificación más estrictos, y ahora los prestadores de servicios de confianza deben cumplir con los requisitos de la Directiva NIS2.
Pero las firmas electrónicas y digitales no solo están reguladas en la Unión Europea. Equivalente a eIDAS, tenemos la Ley E-Sign en Estados Unidos, la ley federal ZertES en Suiza o la Ley de Transacciones Electrónicas en Australia.
Firma digital: AES
Las Firmas Electrónicas Avanzadas son un excelente ejemplo de firmas digitales ya que validan la identidad del firmante de una manera un poco más avanzada que las Firmas Electrónicas Simples (SES).
Con AES, puedes estar seguro de que el firmante probará su identidad verificando su documento de identidad en línea.
Para darte un ejemplo: supongamos que tienes una empresa que trabaja principalmente en remoto, por lo tanto, firmas los contratos laborales o contratos de cooperación con tus contratistas completamente a distancia.
Claro, podrías enviar la documentación por correo a cada empleado, esperar a que firmen los papeles y los devuelvan o escaneen su firma. Pero una opción mucho más rápida y segura sería optar por la firma AES.
Al elegir Autenti, obtienes una plataforma para recopilar fácilmente firmas AES de tus empleados mientras tienes la certeza al 100% de que sus identidades han sido verificadas.
En ese caso, cada nuevo empleado recibiría un correo electrónico solicitándole que firme la documentación. Pero antes de firmar, tendría que confirmar su identidad utilizando su DNI. Una vez realizada la verificación, el firmante recibe un código de confirmación por SMS y puede completar el proceso de firma.
Casos de uso comunes para firmas AES
Los casos de uso comunes para las firmas AES incluyen:
- contratos de mandato y contratos de obra específica que no transfieren derechos de propiedad intelectual,
- acuerdos de cooperación,
- contrato de venta de bienes muebles,
- acuerdo de intercambio,
- contrato de arrendamiento (siempre que sea por un período de hasta un año).
Firma digital: QES
Pero supongamos que tus contratos de trabajo firmados a distancia son un poco más complejos, por ejemplo, implican la transferencia de derechos de propiedad intelectual.
En ese caso, las firmas AES no serán suficientes, y surge la necesidad de utilizar Firmas Electrónicas Cualificadas.
Según lo establecido por eIDAS, las firmas QES son equivalentes a las firmas manuscritas reales, lo que las hace sumamente seguras.
Las Firmas Electrónicas Cualificadas es donde los certificados digitales entran en pleno funcionamiento, garantizando la integridad adecuada del documento.
Ahora, dado que utilizas el servicio QES de Autenti, tienes acceso a más de 170 proveedores de firmas QES en toda la Unión Europea, eligiendo el que mejor se adapte a tu localización o preferencia.
En cuanto al proceso en sí, para crear una firma digital como QES, se requiere una verificación de identidad adicional realizada por un tercero de confianza. Esta verificación puede incluir confirmar tu identidad a través de la banca electrónica o completar un proceso de verificación por video de forma remota.
Casos de uso comunes para firmas QES
Los casos de uso comunes para las firmas QES incluyen:
- Contrato laboral con transferencia de derechos de propiedad intelectual
- Acuerdo de no competencia
- Otorgamiento de poder notarial para un empleado
- Finalización de contrato laboral
- Contrato de seguro
- Contrato de cuenta bancaria
Autenti como Prestador Cualificado de Servicios de Confianza
Para estar absolutamente seguros de que las firmas digitales se realizan de manera segura y cumplen con las regulaciones establecidas por el gobierno, las personas y entidades regulares no completan las firmas por su cuenta. Utilizan Prestadores de Servicios de Confianza (TSP).
Según la normativa, los Prestadores de Servicios de Confianza deben implementar medidas técnicas y organizativas para gestionar riesgos y garantizar la seguridad de sus servicios, previniendo y minimizando el impacto de los incidentes de seguridad.
Los proveedores están obligados a notificar a las autoridades supervisoras dentro de las 24 horas siguientes a las infracciones significativas o pérdidas de integridad, informar a las personas afectadas cuando sea necesario y cooperar en incidentes transfronterizos.
Además, los organismos de supervisión deben informar resúmenes anuales de infracciones a ENISA, y la Comisión Europea puede establecer medidas y procedimientos específicos a través de actos de implementación.
Autenti está inscrito en el registro de Prestadores de Servicios de Confianza, garantizando seguridad y reconocimiento legal. Además de esto, la seguridad está garantizada por el pleno cumplimiento de las regulaciones eIDAS, el cumplimiento del RGPD, el archivo adecuado de los documentos firmados electrónicamente y el cumplimiento del estándar PDF.
La plataforma Autenti está enfocada en una experiencia fácil de usar para hacer que las firmas electrónicas y digitales sean verdaderamente sencillas.
Philippe Enjalbal, Vicepresidente de Credit Agricole, dice esto sobre su asociación con Autenti:
"El proceso de apertura de una cuenta en nuestro banco completamente a distancia es una respuesta a las necesidades de nuestros clientes y el siguiente paso en el desarrollo de nuestros servicios de banca electrónica [...]. Estas nuevas soluciones son bien recibidas por los clientes, que las utilizan con entusiasmo."
Preguntas frecuentes
¿Qué es una firma digital?
Una firma digital es un tipo especial de firma electrónica que proporciona un nivel elevado de autorización con técnicas criptográficas adicionales utilizadas para proteger el documento firmado contra manipulaciones. Las firmas digitales se basan en la tecnología PKI con algoritmos matemáticos, códigos hash, claves privadas y públicas, así como certificados digitales que actúan como una verdadera huella digital para cada documento firmado.
¿Cómo se realiza la verificación de identidad para las firmas AES?
La verificación de identidad para las firmas AES se realiza completamente en línea mediante la verificación de la documentación de identidad del firmante. Una vez que se ha verificado el documento de identidad, el firmante recibe un código SMS para completar el proceso de firma.
¿Cómo se realiza la verificación de identidad para las firmas QES?
La verificación de identidad para las firmas QES se realiza de varias formas, dependiendo del proveedor de Firma Electrónica Cualificada. Puede ser tan simple como iniciar sesión en tu cuenta bancaria electrónicamente o un poco más complejo, requiriendo una sesión de video cara a cara con una Autoridad de Certificación.
¿En qué se diferencian las firmas AES y QES de las firmas SES?
Las firmas AES y QES se diferencian de las firmas SES principalmente en términos del proceso que requieren para firmar documentos. Por ejemplo, las firmas SES verifican la identidad del firmante mediante un simple código de verificación enviado por correo electrónico, mientras que AES verifica la documentación de identidad del firmante en línea, y QES puede incluso requerir una sesión de video para confirmar la identidad del firmante.
¿Cómo verifico la validez de una firma digital en un documento?
La forma más segura de verificar la validez de una firma digital en un documento es utilizar una herramienta dedicada para ello, como el validador de Autenti. El Validador de Autenti asegura que tu documento es completamente auténtico y no ha sido manipulado. Además, puedes descargar una Atestación de Validación—un informe detallado de la verificación—perfecto para usar como evidencia en asuntos legales.
