La firma digital es una de las herramientas esenciales que debes manejar en Internet para tu completa seguridad, garantiza la autenticidad de los documentos electrónicos y todas las transacciones en línea que se realizan.
A menudo se confunde la firma digital con la firma electrónica.
La firma digital tiene validez legal, pero no jurídica, mientras que la segunda tiene plena validez jurídica. El objetivo de la firma digital es cifrar un documento para que sea seguro y no se pueda modificar.
La Firma digital es un método de seguridad que te permite verificar la autenticidad e integridad de un documento electrónico.
El objetivo de la firma digital es cifrar un documento para que sea seguro y no se pueda modificar
Su funcionamiento se basa en dos operaciones distintas: una clave privada, que guardas en secreto, como las contraseñas de tus servicios online, y otra que es pública.
La clave privada se utiliza para cifrar el documento, y la clave pública, para descifrarlo.
Es así como te aseguras que el propietario de la clave privada sea quien cree una firma digital válida, y una persona con la clave pública pueda verificar su autenticidad.
Imagina que quieres enviar un documento importante en un correo electrónico.
La clave privada es tu llave personal e intransferible: solo la tienes tú y la usas para cifrar el documento.
La clave pública es una copia de la clave privada que tú le das a las personas de confianza, que se usa luego para ‘abrir’ el documento y comprobar que viene de ti y que no se ha manipulado.
Índice de temas
¿Cómo se crea la Firma digital?
La base de la Firma digital es el Certificado Electrónico. Para poder firmar un documento en Internet es necesario disponer de Certificado Electrónico o un DNI electrónico.
Para poder firmar un documento en Internet es necesario disponer de Certificado Electrónico o un DNI electrónico
Este certificado identifica a su poseedor de manera inequívoca y lo expiden los Proveedores de Servicios de Certificación.
Es decir: la firma digital debe ir junto con un certificado y clave pública que garantice su veracidad. Este es el proceso que se sigue para obtener la firma digital:
- Tienes un documento electrónico y un certificado que te identifica como usuario único. Este documento puede ser un pdf, una imagen, un documento de texto o el formulario descargado de una página web.
- La aplicación o el dispositivo digital que se usa para la firma hace un resumen del documento.
El documento puede ser muy extenso, por lo que la aplicación de firma digital crea un resumen único y representativo del contenido.
Si alguien cambia algo en ese documento, el resumen también debería cambiar.
- Tras crear el resumen (denominado hash) del documento, se aplica la clave privada. Esta clave se ha podido generar junto con un certificado digital.
Este certificado digital es un documento electrónico que vincula tu identidad a tu clave pública y que emite una autoridad de certificación.
- La aplicación de firma digital utiliza la clave privada para codificar el resumen.
- Al aplicar la firma digital, el documento original se modifica, añadiendo datos que garantizan su autenticidad. La firma puede ser visible (imagen, sello), invisible o en código QR.
Algunas aplicaciones de firma digital de la actualidad que podemos nombrar son:
- Autofirma: app gratuita del Gobierno de España.
- Adobe Acrobat Sign: solución de firma digital en la nube.
- DocuSign: popular aplicación de firma digital para particulares y empresas.
- Signaturit: empresa española que ofrece soluciones de firma digital.
Este certificado digital es un documento electrónico que vincula tu identidad a tu clave pública y que emite una autoridad de certificación
Programas de ofimática de uso común, como Microsoft Word o LibreOffice, así como gestores de correo electrónico como Outlook o Gmail, también incorporan funciones de firma digital.
Requisitos de la firma digital
Una firma digital debe cumplir los siguientes requisitos:
- Autenticidad: la firma digital identifica al usuario firmante.
- Integridad: la firma debe asegurar que el documento no ha sido alterado
- No repudio: el firmante no puede negar su firma tras haberla realizado. Dicha firma está vinculada de forma única a su identidad como individuo.
En nuestro país, la legislación que regula la firma digital es la Ley 59/2003 del 19 de diciembre.
Es esta ley la que regula los requisitos técnicos y legales que deben cumplir las firmas digitales para ser consideradas válidas.
Tipos de firma digital
En realidad, no existen como tal distintos tipos de firma digital.
Es más: la firma digital es un tipo de firma electrónica. El Reglamento eIDAS (Reglamento (UE) N.º 910/2014) de la Unión Europea establece tres tipos de firma electrónica:
Firma electrónica simple
Es el tipo de firma electrónica más simple, como su nombre indica. Consiste en datos electrónicos asociados a un documento y que permiten identificar a la persona firmante.
Un nombre escrito al final del correo electrónico, una imagen escaneada de una firma manuscrita o, incluso, clicar en el botón ‘aceptar’ de una web es una firma electrónica simple.
Firma electrónica avanzada
Este tipo de firma ofrece un nivel mayor de seguridad frente a la firma electrónica simple y debe cumplir una serie de requisitos:
- Estar vinculada al firmante de manera única
- Permitir la identificación del firmante
- Haber sido creada utilizando datos que el firmante puede utilizar, con un alto nivel de confianza, y que esté bajo su control exclusivo, como una clave privada.
- Estar vinculada con los datos firmados de tal manera que cualquier modificación del documento original, por pequeña que sea, se pueda detectar fácilmente.
Firma electrónica cualificada
Este es el tipo de firma electrónica más segura y con mayor validez legal. Debe cumplir con los requisitos de la firma avanzada anteriormente descritos y, además:
- Debe estar basada en un certificado cualificado de la firma electrónica.
- Debe haber sido creada con un dispositivo seguro de creación de firmas.
Un ejemplo de este tipo de firma son las realizadas con tarjetas inteligentes o tokens criptográficos, usando para ello certificados cualificados emitidos por un Prestador de Servicios de Confianza cualificado.
La firma digital puede ser avanzada o cualificada, dependiendo de si se basa en un certificado cualificado o no.
La firma digital y los certificados electrónicos
Tanto la firma digital como los certificados electrónicos son dos herramientas fundamentales para garantizar la seguridad en las transacciones digitales.
A menudo, estos dos términos suelen ir acompañados, pero cada uno desempeña un rol distinto, aunque se complementen.
Ya hemos hablado largo y tendido acerca de lo que es una firma digital. Ahora les toca el turno a los certificados electrónicos.
Los certificados electrónicos son documentos digitales que emite una Autoridad de Certificación (AC) de confianza y que vinculan una clave pública a la identidad de una persona o una entidad
Estos son documentos digitales que emite una Autoridad de Certificación (AC) de confianza.
Estos certificados vinculan una clave pública a la identidad de una persona o una entidad, actuando como un DNI digital.
Antes decíamos que la firma digital usa un par de claves criptográficas: una privada y secreta y otra pública que se comparte.
La clave privada se utiliza como crear la firma digital y la pública para verificar que es auténtica.
En este momento es donde entran en acción los certificados electrónicos.
Al incluir el certificado electrónico en la firma digital, se garantiza plenamente que la clave pública usada para verificar dicha firma pertenece a la persona o entidad que dice ser la firmante.
Esto se debe a que la AC anteriormente mencionada ha revisado con anterioridad la identidad del titular del certificado.
Riesgos y seguridad de la firma digital
Aunque la firma digital sea una herramienta que garantiza la seguridad y la integridad de los documentos electrónicos, no está exenta de ciertos riesgos que se han de tener en cuenta, como, por ejemplo:
- Pérdida o robo de la clave privada. Este es el elemento más crítico de la firma digital y si cae en manos equivocadas se puede utilizar para firmar documentos no deseados en nuestro nombre.
- Vulnerabilidades en el software: el software que usamos para crear y verificar la firma digital no está exenta de fallos o errores que pueden aprovechar los ciberdelincuentes.
- Phishing: los atacantes pueden intentar averiguar la clave privada a través de ingeniería social, como la suplantación de servicios fiables en correos electrónicos.
Medidas de seguridad
¿Qué medidas de seguridad son las más adecuadas para proteger tu firma digital?
- Utiliza dispositivos seguros como tarjetas inteligentes o tokens USB para guardar tu clave privada. No la compartas con nadie ni la guardes en dispositivos accesibles.
- Protege la clave privada con una contraseña larga y que contenga letras, en mayúsculas y minúsculas, números y caracteres especiales.
- Actualiza siempre el software de firma digital a la última versión
- Cuidado con los enlaces y los archivos adjuntos en correos electrónicos o enviados por WhatsApp. Nunca cliques en uno.
- Asegúrate de que el certificado electrónico ha sido emitido por una Autoridad de Certificación de confianza.
