1.- Definición de Firma electrónica
La firma electrónica es un conjunto de datos electrónicos que acompañan o que están asociados a un documento electrónico y cuyas funciones básicas son:
- Identificar al firmante de manera inequívoca
- Asegurar la integridad del documento firmado. Asegura que el documento firmado es exactamente el mismo que el original y que no ha sufrido alteración o manipulación
- No repudio del firmante. Los datos que utiliza el firmante para realizar la firma son únicos y exclusivos y, por tanto, posteriormente, no puede decir que no ha firmado el documento.
> Aclarando algunos conceptos en materia de Firma:
Firma Electrónica y Firma Digital son a menudo conceptos que se usan indistintamente, pero desde el punto de vista fáctico y de validez legal se trata de cosas totalmente diferentes. Veamos las diferencias y cual es el concepto aterrizado de firma electrónica
> Firma Electrónica VS Firma Digital
La firma electrónica implica que una persona verifica una determinada acción a través de cualquier medio electrónico (tips en una caja específica, introducción de un determinado código, etc.) Se crea un registro o historial en el que consta la fecha y los datos de quien lo ha introducido.
La firma digital es un mecanismo criptográfico que permite al receptor de un mensaje firmado digitalmente determinar la entidad originadora de dicho mensaje (autenticación de origen y no repudio), y confirmar que el mensaje no ha sido alterado desde que fue firmado por el originador (integridad). La firma digital se aplica en aquellas áreas donde es importante poder verificar la autenticidad y la integridad de ciertos datos, por ejemplo documentos electrónicos o software, ya que proporciona una herramienta para detectar la falsificación y la manipulación del contenido
«Toda firma digital será firma electrónica, pero no toda firma electrónica será firma digital.»
> Firma Digital VS Firma Digitalizada
- La firma digital es un proceso de cifrado matemático.
- La firma digitalizada, sin embargo, es la imagen del trazado de la firma manuscrita convertida en un archivo de imagen, es decir, que se ha escaneado o que, mediante algún hardware como pueden ser pads de firma, digitalizadores o tabletas de firma, se ha registrado y guardado directamente en un ordenador.
Recuerda qué la firma digitalizada no constituye por sí misma firma avanzada y mucho menos reconocida (conceptos de los cuales hablamos en el siguiente punto). Para ello, haría falta un proceso más complejo como por ejemplo la captura de datos biométricos asociados al proceso.
> El Certificado electrónico, base de la firma electrónica
En España, para firmar un documento es necesario disponer de un certificado digital o de un DNI electrónico. El certificado electrónico o el DNI electrónico (DNIe) contiene unas claves criptográficas que son los elementos necesarios para firmar. Los certificados electrónicos tienen el objetivo de identificar inequívocamente a su poseedor y son emitidos por Proveedores de Servicios de Certificación.
Puedes saber más sobre certificados en nuestra sección Certificado electrónico>>
2.- Proceso básico de Firma Electrónica
Podríamos describir el proceso básico de firma electrónica de la siguiente forma:
- El usuario dispone de un documento electrónico (una hoja de cálculo, un pdf, una imagen, incluso un formulario en una página web) y de un certificado que le pertenece y le identifica.
- La aplicación o dispositivo digital utilizados para la firma realiza un resumen del documento. El resumen de un documento de gran tamaño puede llegar a ser tan solo de unas líneas. Este resumen es único y cualquier modificación del documento implica también una modificación del resumen.
- La aplicación utiliza la clave privada contenida en el certificado para codificar el resumen.
- La aplicación crea otro documento electrónico que contiene ese resumen codificado. Este nuevo documento es la firma electrónica.
El resultado por lo tanto se traduce en obtener un documento electrónico a partir del documento original y de las claves del firmante. La firma electrónica, por tanto, es el mismo documento electrónico resultante.
Recuerda qué la firma electrónica es el archivo o documento electrónico resultante. Este es el documento válido a efectos legales y el que debes conservar. Cualquier impresión o representación gráfica que se haga de él solo es válido en los términos que determine el destinatario de la firma. En general, en este caso, la firma impresa dbeeará contener un CSV o Código Seguro de Verificación que permite contrastar la copia impresa con la original electrónica.
3.- Tipos de Firma electrónica según su validez legal
Según el presente reglamento aprovado en el Parlamento Europeo (REGLAMENTO Nº 910-2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO)
- Firma electrónica: los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
- Firma electrónica avanzada: la firma electrónica que cumple los requisitos contemplados en el artículo 26.
- Firma electrónica cualificada: una firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica.
Con lo que, básicamente, podemos mantener la definición que ha venido existiendo en los últimos años sobre los tres tipos de firma:
- Firma electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
- Firma electrónica avanzada: es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
- Firma electrónica reconocida o cualificada: es la firma electrónica avanzada que se crea mediante un dispositivo cualificado de creación de firmas electrónicas y que se basa en un certificado cualificado de firma electrónica
4.- Tipos de Firma electrónica según su implementación
Existe una amplia variedad en cuanto a la forma de llevar a cabo la firma electrónica. No obstante, no todas son adecuada para según que casos ya sea por usabilidad, validez legal, etc. Veamos unas cuantas:
– Firma biométrica
La biometría es la aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, para su autentificación, es decir, “verificar” su identidad.
Las huellas dactilares, la retina, el iris, los patrones faciales, de venas de la mano o la geometría de la palma de la mano, representan ejemplos de características físicas (estáticas), mientras que entre los ejemplos de características del comportamiento se incluye la firma, el paso y el tecleo (dinámicas). La voz se considera una mezcla de características físicas y del comportamiento, pero todos los rasgos biométricos comparten aspectos físicos y del comportamiento.
- Firma biométrica manuscrita
- Firma biométrica por huella dactilar
No todos los rasgos biométricos presentan los mismos niveles de fiabilidad en la autenticación, y no todos son adecuados para poder firmar electrónicamente. Veamos comparativamente algunos sistemas biométricos:
| Ojo (Iris) | Ojo (Retina) | Huellas dactilares | Vascular dedo | Vascular mano | Geometría de la mano | Escritura y firma | Voz | Cara 2D | Cara 3D | |
| Fiabilidad | Muy alta | Muy Alta | Muy Alta | Muy Alta | Muy Alta | Alta | Media | Alta | Media | Alta |
| Facilidad de uso | Media | Baja | Alta | Muy Alta | Muy Alta | Alta | Alta | Alta | Alta | Alta |
| Prevención de ataques | Muy alta | Muy Alta | Alta | Muy Alta | Muy Alta | Alta | Media | Media | Media | Alta |
| Aceptación | Media | Baja | Alta | Alta | Alta | Alta | Muy Alta | Alta | Muy alta | Muy alta |
| Estabilidad | Alta | Alta | Alta | Alta | Alta | Media | Baja | Media | Media | Alta |
> Firma DNIe (España)
El DNI electrónico, además de la capacidad de identificación física de su titular, posee la capacidad de identificación en medios telemáticos y de firmar electrónicamente como si de una forma manuscrita se tratase. De esta forma garantiza que la personalidad del firmante no es suplantada.
El propósito de la tarjeta soporte del DNIe es contener los datos de filiación del ciudadano, los datos biométricos (modelo dactilar, foto y firma manuscrita) y los dos pares de claves RSA con sus respectivos certificados (autenticación y firma). Esta tarjeta está compuesta de 2 partes:
1. Tarjeta física del DNI electrónico.
- La tarjeta física del DNI electrónico sigue el estándar ISO-7816-1.
- Está fabricada en policarbonato, que es un material que permite su uso continuado y frecuente sin sufrir deterioro, durante el tiempo de vigencia del DNI, es decir, 10 años.
- La personalización de la tarjeta se realiza mediante la grabación en el cuerpo de la tarjeta con láser de los datos de filiación, fotografía y firma manuscrita. Este sistema de personalización garantiza la imposibilidad de manipulación de estos datos.
- Cuenta con las más modernas medidas de seguridad ante la manipulación y falsificación del documento, muchas de ellas fácilmente identificables por cualquier persona sin ningún procedimiento especial. El conjunto de todas las medidas hace del DNI electrónico un documento altamente seguro, tanto desde el punto de vista físico, como electrónico.
2. El chip del DNI electrónico, cuyas características son
- Chip ST19WL34.
- Sistema operativo DNIe v1.1.
- Capacidad de 32K.
Para entender mejor el documento, se recomienda leer la Guía de referencia básica de DNIe.
A día de hoy, es la única forma de firma electrónica cualificada junto con la firma con certificado de FNMT. Para saber más acerca del DNIe España no tienes más que visitar el portal del Cuerpo Nacional de Policía en donde encontrarás todo lo necesario para estar al tanto de todas las características que rodean a esta solución de autenticación y firma cualificada.
5.- Marco legal y jurídico actual en materia de firma electrónica
Nota: información válida a Octubre 2014. Trataremos de mantener la información actualizada, no obstante el marco legal existente es aún susceptible de sufrir cambios.
La entrada en vigor del Reglamento Europeo se produjo el 17 de septiembre de 2014, para aquellos nuevos servicios que se inicien a partir de esa fecha y que convivirá con la Directiva 1999/93/CE hasta el 01 de julio de 2016, fecha en la que la Directiva 1999/93/CE quedará derogada y el Reglamento será aplicable en su totalidad.
Por otra parte, tenemos la Ley 59/2003 Española de firma electrónica cuyo texto original fue publicado el 20/12/2003 y que entró en vigor el 20/03/2004, habiéndose modificado el 29/12/2007, y una segunda y última el 10/05/2014 (última actualización que se encuentra en vigor)
- LEY ESPAÑOLA 59-2003 de 19 de diciembre de firma electrónica
- REGLAMENTO Nº 910-2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO
6.- ¿Qué utilidad práctica tiene la firma electrónica?
Aporta tres características en la comunicación por Internet: identificación del firmante, integridad de los datos y no repudio. Pero a parte de eso, las aplicaciones prácticas de la misma son muchas y variadas. En general están orientadas a realizar operaciones por Internet que en la vida cotidiana requieren de una firma para validarlas. Algunos ejemplos de operaciones que se pueden realizar actualmente haciendo uso de la firma digital son:
- Realización de la Declaración de la Renta a través de Internet.
- Solicitudes en los registros electrónicos administrativos
- Petición de la vida laboral.
- Recepción de notificaciones electrónicas.
- Firma de correos electrónicos.
- Firma de facturas electrónicas.
Fuentes & Enlaces de interés
Secur-IT @C.R.S. 