Seleccionar página

Cómo certificar que una firma electrónica es válida

Cómo certificar que una firma electrónica es válida

Puede que a estas alturas todavía tengas dudas sobre por qué una firma electrónica avanzada tiene validez legal y qué sistemas utilizan las empresas para garantizar esta validez.

Hace unos días publicamos una entrada en la que explicamos qué requisitos contempla la autoridad europea a través de su reglamento de firma digital eIDAS para que un servicio pueda acreditar que su firma electrónica cuenta con todas las garantías legales.

Para que una firma electrónica sea válida, la característica fundamental es que el documento que se ha formado no pueda ser alterado una vez firmado. Lo que se conoce como integridad del documento.

Por tanto, es fundamental certificar que el documento no puede ser alterado una vez firmado. La propia normativa eIDAS acepta varios métodos, pero probablemente los más populares sean los siguientes:

La empresa contrata a un tercero que es el que garantiza que el documento no ha sido alterado

Este es el método más tradicional y ha sido el más utilizado hasta no hace demasiado tiempo. Es tan simple y analógico que apenas puede considerarse una firma verdaderamente electrónica.

Consiste en que la empresa certificadora de firma electrónica toma los documentos firmados a través de medios digitales y los lleva físicamente a una autoridad con capacidad de elevarlo a público, como un notario por ejemplo.

Es decir, ejercen básicamente de gestoría, ahorrandonos el tiempo que nos costaría a nosotros acudir al notario a firmar por nosotros mismos y repercutiendo en el cliente los costes.

La propia empresa certifica que el documento no ha sido alterado

La empresa que proporciona las herramientas para la firma digital almacena los documentos firmados en su servidor o, idealmente, almacena varias copias en servidores diferentes que se consideran inviolables.

Expresado como una analogía, lo que hace una empresa que certifica la integridad de los documentos firmados electrónicamente de este modo es meter los documentos en una caja fuerte que solo ellos pueden abrir.

Este método es tan seguro como las medidas de seguridad de las que disponga la empresa. Es decir, al tratarse de un sistema informático privado, es tan seguro como haya sido capaz de fortificarlo el equipo de programadores de la compañía.

Por supuesto, probablemente pasen regularmente auditorias de seguridad y tenemos una seguridad razonable de que los documentos allí almacenados están bien protegidos, pero es también probable que existan brechas de seguridad. ¿Sabías que casi todos los días se encuentran vulnerabilidades en el software algún banco? Y probablemente nadie invierta más en seguridad informática que los bancos…

Utilizar blockchain para garantizar que el documento no es alterado

Es un sistema relativamente novedoso basado en estándares de código abierto. Sabemos que las palabras código abierto y blockchain, por el contexto que se les puede haber dado, pueden resultar confusas cuando hablamos de seguridad para certificar una firma digital, pero vamos a explicar por qué es el sistema que utilizamos para la firma electrónica de Tramitapp.

Por un lado, que sea un estándar de código abierto significa que hay decenas de miles de personas velando porque el software funcione correctamente sin brechas de seguridad. Todos los que participamos del desarrollo de un código abierto queremos que funcione bien para nosotros, y eso implica necesariamente que funcione bien para toda la comunidad. Por muy grande que sea el equipo informático de una empresa privada, cientos de miles de ojos ven más que unas decenas…

Por otro lado, la prueba de la integridad del documento no se realiza sobre el propio documento, sino sobre un resumen codificado mediante complejos algoritmos llamado hash. El hash funciona simplemente como una llave para certificar que un documento no ha sido modificado, ya que documentos diferentes, aunque solo sea por una coma, generan salidas hash completamente diferentes. Es imposible reconstruir un documento a partir de un hash, pero es posible comprobar si un documento no ha sido modificado en cualquier momento obteniendo el hash y comparándolo con el que está almacenado.

Por último, está la tecnología blockchain. Es posible que te suene asociada a cryptomonedas porque es el uso más popular que se la ha dado hasta el momento, pero no es su única función. Blockchain es una forma de almacenar información basada en bloques, que se copian en varios equipos informáticos. La distribución de la información es lo que hace que resulte tan seguro.

Resumido, nuestro sistema de certificación basado en blockchain funciona de la siguiente manera:

  1. Se firma un documento online a través de la plataforma de Tramitapp
  2. Este documento queda almacenado en servidores de Tramitapp
  3. Creamos un hash del documento, que no contienen información sobre el mismo, solo es una llave que nos permitirá comprobar que el documento no ha sido alterado
  4. Este hash se lleva a la blockchain de Bitcoin. Se inserta en un bloque de datos y este bloque se replica por toda la red de equipos que colaboran en este blockchain
  5. En el caso de que alguien quisiera modificar el hash, tendría que modificarlo en cientos de miles de ordenadores (posiblemente millones) simultáneamente.
  6. Además, modificar un bloque de blockchain tiene un coste, por lo que tendría que invertir cientos de miles de euros (quizás millones)

Como ves, aunque existen varios sistemas algunos son más seguros y rápidos que otros. Nuestra apuesta es siempre por la tecnología y la seguridad. La mitad de los socios fundadores de Tramitapp son informáticos experimentados expertos en seguridad y nuestra herramienta de firma digital ha pasado varias auditorías de hacking ético, incluyendo una realizada por JTI.

 

Si todavía tienes dudas sobre cómo certificar que una firma electrónica es válida, estaremos encantados de contestar a tus comentarios.

Sobre el autor

Daniel Grifol

Más de 10 años escribiendo sobre el mundo de la productividad en empresas y los recursos humanos.