Mapa de tecnologías de firma electrónica
Introducción
Una de las cuestiones que genera mayor controversia en el ámbito de la firma electrónica es su valor legal.
Si tomamos como referencia el marco legislativo europeo eIDAS, así como la vigente Ley 59/2003 de firma electrónica, existen dos grandes niveles de firma, que este marco regulatorio trata de forma sustancialmente diferente.
- Cualificada o Reconocida (en lo sucesivo nos referiremos como “Firma Electrónica Cualificada”)
- No Cualificada o No Reconocida (en lo sucesivo nos referiremos como “Firma Electrónica No Cualificada”)
En cualquier litigio, quien impugne una firma Electrónica cualificada deberá poner los medios para demostrar su NO VALIDEZ. Las condiciones de seguridad de la tecnología utilizada, hacen improbable que se consiga invalidar la firma.
Sin embargo, si se impugna una Firma Electrónica No Cualificada, será el productor de la firma quien deberá demostrar su validez. Para ello, el sistema que la crea, debe capturar y custodiar convenientemente las evidencias necesarias para poder demostrar quién firmó el documento en cuestión.
Por tanto, vemos que el hecho de ser Firma Electrónica Cualificada o No Cualificada, hace diferente el proceso de gestión del litigio.
Firma Electrónica Cualificada
De acuerdo con el reglamento 910/2014, se entiende por firma electrónica cualificada:
«firma electrónica cualificada», una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica;
Vemos que introduce dos conceptos no sujetos a interpretación, que son “Dispositivo cualificado” y “Certificado cualificado”. Esto implica que la única forma de crear una firma electrónica cualificada es usando un Certificado Digital Cualificado, es decir emitido por un Prestador de Servicios de Certificación Cualificado, usando un dispositivo cualificado, es decir homologado porque cumple con unas condiciones de seguridad específicas. Este dispositivo puede ser un Token o tarjeta criptográficos o un HSM para firma centralizada, si se complementa con un segundo factor de autenticación.
Firma Electrónica No Cualificada
Cuando hablamos de Firma Electrónica No Cualificada, el valor legal depende de la capacidad de los sistemas para capturar evidencias que impliquen al firmante en “la escena de firma”. Cuantas más evidencias mejor.
Dentro de esta categoría de firmas, tiene especial consideración la Firma Electrónica Avanzada.
Firma Electrónica Avanzada
De acuerdo con el Reglamento 910/2014, estos son los requisitos de la Firma Electrónica Avanzada:
Una firma electrónica avanzada cumplirá los requisitos siguientes:
- a) estar vinculada al firmante de manera única;
- b) permitir la identificación del firmante;
- c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo, y
- d) estar vinculada con los datos firmados por la misma de modo tal que cualquier modificación ulterior de los mismos sea detectable.
Un caso particular de la Firma Electrónica Avanzada es la del uso de certificados digitales cualificados, sin uso de un dispositivo cualificado. Sin embargo, la definición no hace referencia explícita al concepto de Cualificación, con lo que cualquier sistema de Firma Electrónica No Cualificada que cumpla con los requisitos anteriores, encajará dentro de la categoría de Firma Electrónica Avanzada. Una tecnología de firma electrónica puede considerarse Avanzada si es capaz de proporcionar evidencias que permitan dar respuesta a los requisitos a), b), c) y d).
En consecuencia, esta categorización está sujeta a interpretación y por tanto, en este estudio vamos a limitarnos a la calidad de las evidencias capturadas, no a su clasificación como “Firma electrónica avanzada”.
Seguridad jurídica vs Facilidad de uso
Ya hemos visto que la seguridad jurídica de un sistema de firma electrónica es directamente proporcional a la capacidad de generar evidencias sustanciales en los procesos de firma electrónica, sin embargo hay un segundo vector que impacta en el éxito de las soluciones, que es la facilidad de uso. Una solución que introduzca un exceso de elementos de seguridad empeorará la experiencia de uso del firmante, y en consecuencia, generará un mayor número de incidencias técnicas.
La siguiente gráfica refleja la tendencia anterior:
Establecido el contexto, vamos a enumerar algunas de las tecnologías de firma ya disponibles en el mercado, y ubicarlas en una gráfica como la anterior.
Tecnologías de firma electrónica objeto de análisis
En el estudio se han contemplado las siguientes tecnologías de firma electrónica, presentes actualmente en el mercado:
Firma electrónica con Certificado Cualificado en Tarjeta Criptográfica
El firmante es poseedor de una tarjeta criptográfica en la que se han creado los datos de firma, entregada por un Prestador de Servicios de Certificación Cualificado. Para poder realizar una firma electrónica con esta tecnología se requiere:
- Identificación presencial del firmante por parte de un Prestador de Servicios de Certificación Cualificado, que incluye algo de tramitación, requisito para la emisión del certificado cualificado
- Un PC o móvil con interfaz NFC con conexión a internet
- Disponer de un lector de tarjetas conectado a un PC, aunque en el caso del DNI electrónico, también es posible establecer la relación con un móvil vía NFC
- El PC debe tener instalados todos los drivers necesarios para que el sistema funcione correctamente
- Conocer el PIN que protege el uso de la clave privada
Firma electrónica con Certificado Cualificado en Token Criptográfico
El firmante es poseedor de un Token criptográfico en el que se han creado los datos de firma, entregado por un Prestador de Servicios de Certificación Cualificado. Para poder realizar una firma electrónica con esta tecnología se requiere:
- Identificación presencial del firmante por parte de un Prestador de Servicios de Certificación Cualificado, que incluye algo de tramitación, requisito para la emisión del certificado cualificado
- Un PC con conexión a internet
- El PC debe tener instalados todos los drivers necesarios para que el sistema funcione correctamente
- Conocer el PIN que protege el uso de la clave privada
Firma electrónica centralizada usando certificado digital cualificado en HSM
Un Prestador de Servicios de Certificación Cualificado genera los datos de firma en un repositorio centralizado. Se requiere un primer factor de autenticación para el acceso y un segundo para la utilización.
- Un dispositivo (PC o móvil) con navegador web y acceso a internet
- Identificación presencial del firmante por parte de un Prestador de Servicios de Certificación Cualificado, lo que incluye algo de tramitación, requisito para la emisión del certificado cualificado
- Disponer de un mecanismo que permita establecer un segundo factor de autenticación, como por ejemplo un móvil para recibir un SMS con un código de un solo uso
Firma electrónica biométrica
En el proceso de firma, se capturan atributos biométricos del firmante, y se vinculan a la transacción de firma. Para poder realizar una firma electrónica con esta tecnología se requiere:
- El uso de un dispositivo con los sensores biométricos oportunos (los sensores dependerán del tipo de biometría utilizada).
- Ejecución presencial de la firma, puesto que no se puede contar con que los dispositivos de los firmantes dispongan de los sensores biométricos requeridos para una captura fiable
Firma electrónica simple basada en evidencias de contexto
Al crear, enviar y presentar el documento a firmar, se capturan evidencias técnicas de todos los eventos que se producen desde que se crea el documento a firmar hasta que el destinatario lo firma.
El uso de esta tecnología de firma requiere:
- Disponer de un PC o teléfono móvil con conexión a internet
Firma electrónica basada en evidencias de contexto con Segundo Factor de Autenticación
Se trata de la tecnología anterior con un único complemento. Para confirmar la firma del documento , el firmante recibe un código de un solo uso (One-Time-Password / OTP). Este código se envía por un canal de comunicación diferente al del circuito de firma, como por ejemplo un SMS. Se trata de una tecnología que permite ejecución remota, y con aceptación por los usuarios, que llevan tiempo usándola en Home Banking
El único requisito es:
- Que el firmante disponga de un teléfono móvil al que enviar el SMS (con el móvil todo puede llevarse a cabo con el mismo dispositivo)
Atributos considerados en la calificación de las tecnologías de firma electrónica
Con el objetivo de posicionar las tecnologías de firma electrónica en el mapa, vamos a enumerar los atributos que vamos a evaluar, atribuyendo un valor a cada uno de ellos.
Puesto que no hay unos criterios de valoración universal, usaremos criterios subjetivos, por lo que proporcionaremos nuestros argumentos para justificar las puntuaciones asignadas.
Atributos que determinan la seguridad jurídica
| Atributo | Justificación | Valor |
| Cualificación de la firma electrónica | Muy relevante ya que es el único tipo con un trato especial en la gestión de litigios | +10 |
| Calidad de las evidencias capturadas | Seguridad jurídica fuera de cualquiera de los ámbitos anteriores, la puntuación variará según la calidad de las evidencias | [0-10] |
Atributos que determinan la facilidad de uso
En este caso, vamos a partir de un valor ideal de 10, aplicando un valor negativo para cada barrera que presente al usuario el sistema de firma. Un sistema de firma puede incorporar más de uno de los siguientes atributos negativos.
| Atributo | Justificación | Valor |
| Requiere certificado digital cualificado | Implica personación y tramitación | -5 |
| Requiere lector de tarjetas instalado | El firmante debe contar con un dispositivo adicional conectado al PC | -1 |
| Requiere drivers instalados | La instalación de drivers para usar un dispositivo conectado al PC es un foco de incidencias | -2 |
| Requiere firma presencial | Implícito al hecho de requerir dispositivos especiales para la firma. Requiere el desplazamiento del firmante, o el propietario del dispositivo de firma Como beneficio, la firma presencial proporciona un valor añadido a la calidad de las evidencias | -3 |
| Requiere segundo factor de autenticación | Es un facilitador para la interpretación de firma electrónica avanzada, cuando la solución no se apoya en certificados cualificados. El impacto para el usuario es mínimo | -1 |
| Únicamente requiere un PC o un móvil con conexión | Infraestructura mínima necesaria para cualquier comunicación para llevar a cabo una firma electrónica | 0 |
Calificación de las tecnologías de firma electrónica
Firma electrónica con Certificado Cualificado en Tarjeta Criptográfica
| Seguridad Jurídica | Facilidad de uso | |
| Firma electrónica cualificada | +10 | -5 (personación) |
| Requiere lector de tarjetas | -1 | |
| Requiere instalación de drivers | -2 | |
| TOTAL | 10 | 10 – 8 = 2 |
Firma electrónica con Certificado Cualificado en Token Criptográfico
| Seguridad Jurídica | Facilidad de uso | |
| Firma electrónica cualificada | +10 | -5 |
| Requiere instalación de drivers | -2 | |
| TOTAL | 10 | 10 – 7 = 3 |
Firma electrónica centralizada usando certificado cualificado en HSM
| Seguridad Jurídica | Facilidad de uso | |
| Firma electrónica cualificada | +10 | -5 (personación) |
| Requiere segundo factor de autenticación | -1 | |
| TOTAL | 10 | 10 – 6 = 4 |
Firma electrónica biométrica
| Seguridad Jurídica | Facilidad de uso | |
| Requiere firma presencial | -4 | |
| Calidad de las evidencias | +6 | |
| TOTAL | 7 | 10 – 4 = 6 |
Firma electrónica simple basada en evidencias de contexto (Contexto básico)
| Seguridad Jurídica | Facilidad de uso | |
| Sin requisitos particulares para el usuario | 0 | |
| Calidad de las evidencias | +3 | |
| TOTAL | 3 | 10 – 0 = 10 |
Firma electrónica basada en evidencias de contexto con Segundo Factor de Autenticación (Contexto avanzado)
| Seguridad Jurídica | Facilidad de uso | |
| Requiere segundo factor de autenticación | +9 | |
| Calidad de las evidencias | +5 | |
| TOTAL | 5 | 9 |
Con los datos obtenidos en el estudio anterior, podemos ver el posicionamiento de las diferentes tecnologías de firma electrónica en el siguiente mapa:
Conclusiones y criterios de decisión
El objetivo de este estudio no es determinar que hay soluciones de firma electrónica buenas o malas, sino las condiciones que genera cada una, para proporcionar criterios de decisión. Cada tecnología de firma electrónica tiene su escenario de uso más adecuado.
La tecnología de firma que proporciona el máximo nivel de seguridad jurídica posible es la Firma Electrónica Cualificada. De entre las tres alternativas de Firma Electrónica Cualificada, la que proporciona una mejor experiencia de uso es la Firma Electrónica Centralizada con segundo factor de autenticación. La obtención de un certificado digital cualificado requiere una tramitación que solo tiene sentido si la firma electrónica va a ser recurrente, así que es importante valorar en qué escenarios es imprescindible dicha seguridad jurídica.
Entre las soluciones de Firma Electrónica No Cualificada, la que proporciona una mayor calidad de evidencias es la firma electrónica biométrica, en la que se capturan datos de atributos físicos del firmante. Por otra parte, la necesidad de utilizar dispositivos especiales hace prácticamente imprescindible la realización presencial de la firma. Esta barrera de usabilidad, es la que proporciona un complemento de evidencia a través del testimonio del propietario del dispositivo de captura.
Finalmente, cuando se requiere la realización remota de las firmas, la solución pasa por evidencias de contexto. En este caso, consideramos que la penalización en la facilidad de uso del segundo factor de autenticación es mínima, por lo que recomendamos su uso cuando busquemos un nivel de seguridad jurídica razonable.
Esperamos que este estudio sea de utilidad en la toma de decisiones acerca de la implantación de sistemas de firma electrónica. En un futuro post pondremos ejemplos de uso de las diferentes tecnologías de firma electrónica.
