La firma manuscrita tradicional tiene como funciones identificar a una persona, dar seguridad de la participación personal en el acto de una firma y vincular a esa persona con el contenido del documento
En el nuevo escenario tecnológico el papel como soporte es sustituido por el documento electrónico, el cual es imposible firmar de una forma tradicional. Internet es una red abierta donde la información es susceptible de ser inspeccionada o manipulada por terceros. Los riesgos más importantes son que el autor haya sido suplantado, que el mensaje haya sido manipulado, el emisor del mensaje niegue haberlo transmitido o el destinatario haberlo recibido y que el contenido del mensaje sea leído por una persona no autorizada.
Es necesario generar la misma confianza y la misma seguridad jurídica en los equivalentes
electrónicos del papel y la firma manuscrita, de forma que el mensaje y la firma electrónica sean vinculantes para los firmantes e igualmente exigibles ante un Tribunal. Por tanto, han de tomarse medidas jurídicas y técnicas que generen en las transacciones electrónicas las siguientes seguridades:
Autenticación: servicio que asegura la identidad del remitente del mensaje y que éste procede de quien se dice que lo envía.
Integridad: servicio que garantiza que el mensaje no ha sido alterado en el tránsito.
No repudio: servicio que garantiza que cualquiera de las partes intervinientes en una
transacción no puede negar su actuación.
Confidencialidad: servicio que protege los datos de revelaciones y accesos de personas
no autorizadas.
La solución para conseguir esos objetivos es la firma electrónica. La firma electrónica es el conjunto de datos, en forma electrónica, consignados junto a otros o asociados con ellos que pueden ser utilizados como medio de identificación del firmante. Es una cadena de caracteres, generada mediante un algoritmo matemático (hash), que se obtiene utilizando como variables la clave privada del emisor y la huella digital (resumen) del
texto a firmar permitiendo asegurar la identidad del firmante y la integridad del mensaje.
El funcionamiento de la firma electrónica se basa en un algoritmo de criptografía asimétrica. Tanto emisor como receptor utilizan 2 claves: una privada y otra pública. Cada parte mantiene en secreto una de las claves (clave privada) y pone a disposición del público la otra (clave pública) pareja de claves complementaria. Lo que cifra una sólo lo puede descifrar la otra y viceversa, a partir de una clave es imposible deducir la otra.
Pasos a realizar por el emisor:
Obtiene la huella digital o resumen del documento a firmar con una función llamada “hash”. La función hash opera sobre un conjunto de datos, de forma que el resultado obtenido o resumen es otro conjunto de datos de tamaño fijo, independientemente del tamaño original del documento, y que tiene la propiedad de estar asociado unívocamente a los datos iniciales. Es virtualmente imposible encontrar dos documentos distintos
que generen el mismo resumen al aplicar la función hash.
Cifra el resumen del documento con su clave privada. Ésta es la firma electrónica que se añade al documento original.
Envía documento y firma electrónica al receptor.
Pasos a realizar por el receptor:
Al recibir el documento, obtiene su resumen mediante la función hash.
Además descifra la firma electrónica utilizando la clave pública del emisor obteniendo el resumen que el emisor calculó. Si ambos resúmenes (huellas digitales) coinciden la firma es válida por lo que cumple los criterios de autenticidad, integridad y no repudio, ya que el emisor no puede
negar haber enviado el documento que lleva su firma.
La firma electrónica identifica al emisor del documento, asegurando la integridad de éste. No tiene nada que ver con el cifrado del documento (confidencialidad), que sería otro asunto. La firma electrónica asegura que el poseedor de una clave privada ha generado un determinado documento y que éste no ha sido alterado en ningún momento.
Algunos algoritmos de cifrado simétrico (o cifrado de clave pública son) RSA, Diffie-Hellman, Curva Elíptica, etc. Respecto al algoritmo hash empleado, se genera un tamaño u otro de resumen. A continuación, se muestran los algoritmos hash y el tamaño de resumen que generan:
MD5 (Message-Digest Algorithm 5). 128 bits.
SHA-1 (Secure Hash Algoritm 1). 160 bits.
SHA-2. Puede generar distintos tamaños de resumen dependiendo del subtipo: SHA-224, SHA-256, SHA-384 y SHA-512
SHA-3 (Keccak). 512 bits.
Para que todo el proceso anterior sea efectivo es necesario partir de una situación en la que tengamos la certeza de que una clave pública es realmente de quien dice ser. Pero ¿cómo se asocia de una forma segura y fiable el par de claves a una determinada persona? La solución son las autoridades de certificación y los certificados digitales.
Autoridad de Certificación (AC): tercera parte interviniente cuya misión es emitir certificados que, a la vez que sirven para distribuir la clave pública, asocian de forma
segura la identidad de una persona concreta a una clave pública determinada. Es el concepto equivalente al de un notario
Certificado Digital: es un documento electrónico en el que se comprueba la
identidad del firmante, vinculando una clave pública a una persona determinada. Básicamente se compone de una clave pública y los datos personales del dueño de la clave privada y todo firmado por alguien de confianza (una autoridad de certificación).
La AC tiene que comprobar que da cada certificado a la persona adecuada. Hace de notario, dando fe de que el certificado se entrega a la persona indicada y nosotros confiamos en un certificado firmado por una AC. AC son por ejemplo, la FNMT (certificados para la declaración del IRPF y en general,
para la comunicación con la Administración), Verisign, Thawte, etc.
Mientras tanto, los certificados digitales:
Pueden ser Elementos software instalados en el PC (preinstalados o pueden instalarse manualmente).
Pueden ir contenidos en chips criptográficos (DNI electrónico, tarjeta de la FNMT,…).
Tienen una fecha de caducidad a partir de la cual no sirven (hay que renovarlos).
Pueden ser revocados en cualquier momento por la AC emisora (por ejemplo: el poseedor de un certificado es cesado en su puesto de trabajo).
Las AC mantienen listas públicas de certificados revocados para comprobar en cada momento si un certificado sigue siendo válido o no.
Un ejemplo de certificado digital es el DNI electrónico. Es un certificado digital en una tarjeta con chip criptográfico. Desde el año pasado, ya está disponible el DNI-e 3.0 La autoridad de certificación sería la Dirección General de la Policía (Ministerio del Interior). Más información acerca del DNI electrónico aquí.
La Ley 59/2003 de 19 de diciembre de Firma Electrónica (LFE) supuso la transposición de la
directiva 1999/93/CE. Su objetivo era tratar de dar un empujón a la Sociedad de la Información y a la firma
electrónica como un elemento de referencia de la misma, dando eficacia jurídica y seguridad a las comunicaciones telemáticas y en particular a las realizadas por Internet. Entre las novedades más relevantes que introdujo están:
Firma electrónica reconocida (única equivalente a la firma manuscrita).
La regulación de la figura de firma electrónica de las personas jurídicas y la base reguladora del DNI electrónico.
El concepto de fecha electrónica (conjunto de datos en forma electrónica utilizados como medio para constatar el momento en que se efectúa una actuación sobre otros datos electrónicos a los que están asociados).
Las garantías que deben cumplir los dispositivos de creación de firma para que puedan ser considerados como dispositivos seguros.
El Reglamento (UE) 910/2014 (reglamento eIDAS) del Parlamento Europeo y del Consejo, de 23 de
Julio de 2014 (en vigor desde 1 de Julio de 2016 ) relativo a la identificación electrónica y los
servicios de confianza para las transacciones electrónicas en el mercado interior (y por el que se
deroga la Directiva 1999/93/CE) unifica la firma electrónica en toda la UE permitiendo que un
nacional de un país la utilice con seguridad en cualquier país miembro de la Unión.
La Ley 6/2020 de 11 de noviembre, reguladora de determinados aspectos de los
servicios electrónicos de confianza no regula sino que complementa al reglamento eIDAS (y deroga la Ley de Firma Electrónica 59/2003).
La normativa eIDAS establece un marco jurídico común para los servicios de confianza y
los medios de identificación electrónica que afecta a todos los países miembros de la UE,
facilitando cualquier tipo de transacción electrónica entre usuarios dentro del territorio UE.
Según su art.1, la normativa eIDAS establece:
Las condiciones en que los Estados miembros deberán reconocer los medios de
identificación electrónica de las personas físicas y jurídicas pertenecientes a un sistema de
identificación electrónica notificado de otro Estado miembro.
Las normas para los servicios de confianza, en particular para las transacciones electrónicas.
Un marco jurídico para las firmas electrónicas, los sellos electrónicos, los sellos de
tiempo electrónicos, los documentos electrónicos, los servicios de entrega electrónica
certificada y los servicios de certificados para la autenticación de sitios web.
Entre las novedades más relevantes de la Ley 6/2020:
Se elimina la emisión de certificados de firma electrónica de personas jurídicas, aunque se
permite que estas puedan actuar a través de los certificados de firma de aquellas personas
físicas que legalmente les representan.
Introducción de los certificados de sello electrónico y de autenticación de sitio web para
personas jurídicas.
Infracciones (muy graves, graves y leves) y sanciones que pueden llegar hasta los 300.000 €
(Título V, arts. 18-20). La cuantía de las sanciones se graduará atendiendo a criterios como:
grado de culpabilidad o la existencia de intencionalidad, nivel de
reincidencia, volumen de facturación del prestador responsable, el nº de
personas afectadas por la infracción, etc.
El artículo 3 del reglamento eIDAS establece los siguientes tipos de firma:
Firma electrónica: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante.
Firma electrónica avanzada: es la firma electrónica que permite identificar al firmante y detectar cualquier cambio ulterior de los datos firmados, que está vinculada al firmante de manera única y a los datos a que se refiere y que ha sido creada por medios que el firmante puede mantener bajo su exclusivo control.
Firma electrónica cualificada: es la firma electrónica avanzada basada en un
certificado cualificado y generada mediante un dispositivo cualificado de creación
de firma electrónica (como una tarjeta inteligente -smart card-, un token USB o un
servicio de confianza en la nube) por lo que ofrece los niveles más altos de seguridad. La firma electrónica cualificada tendrá respecto de los datos consignados en forma electrónica
el mismo valor legal que la firma manuscrita en relación con los consignados en papel.
Certificado de firma electrónica: Es la declaración electrónica que vincula los datos de validación de una firma con una
persona física y confirma su identidad, según el artículo 3 del eIDAS. El firmante es la persona física que utiliza
un dispositivo de creación de firma para crear una firma electrónica. El período de validez de los certificados electrónicos será adecuado a las características y tecnología
empleadas para generar los datos de creación de firma, sello o autenticación de sitio web.
Este período no podrá ser superior a cinco años para certificados cualificados. Según el artículo 4 de la Ley 6/2020 la vigencia de un certificado electrónico se extingue por:
Expiración del período de validez que figura en el certificado.
Revocación formulada por el firmante, la persona física o jurídica representada por éste, un
tercero autorizado, el creador del sello o el titular del certificado de autenticación de sitio web.
Violación o puesta en peligro del secreto de los datos de creación de firma o de sello, o del
prestador de servicios de confianza, o de autenticación de sitio web o utilización indebida de
dichos datos por un tercero.
Resolución judicial o administrativa que lo ordene.
Fallecimiento del firmante
Certificado cualificado: Es un certificado de firma electrónica que ha sido expedido por un prestador
cualificado de servicios de confianza (Autoridad de Certificación) y que cumple los
requisitos establecidos en el anexo I (eIDAS):
Una indicación, al menos en un formato adecuado para el procesamiento automático, de que
el certificado ha sido expedido como certificado cualificado de firma electrónica.
Un conjunto de datos que represente inequívocamente al prestador cualificado de servicios
de confianza que expide los certificados cualificados, incluyendo como mínimo el Estado
miembro en el que dicho prestador está establecido, en el caso de personas jurídicas, el nombre y, cuando proceda, el número de registro según consten en los registros oficiales. Mientras tanto para las personas físicas, es suficiente con su nombre.
Al menos el nombre del firmante o un seudónimo.
Datos de validación de la firma electrónica que correspondan a los datos de creación de la
firma electrónica.
Los datos relativos al inicio y final del período de validez del certificado.
El código de identidad del certificado, que debe ser único para el prestador cualificado de
servicios de confianza.
Dispositivo cualificado de creación de firma: Es el elemento técnico que amparándose en cierto estándares de calidad,
garantizará como mínimo, por medios técnicos y de procedimiento adecuados, que:
Esté garantizada razonablemente la confidencialidad de los datos de creación de
firma electrónica utilizados para la creación de firmas electrónicas.
Los datos de creación de firma electrónica utilizados para la creación de firma
electrónica solo puedan aparecer una vez en la práctica.
Exista la seguridad razonable de que los datos de creación de firma electrónica
utilizados para la creación de firma electrónica no pueden ser hallados por
deducción y de que la firma está protegida con seguridad contra la falsificación
mediante la tecnología disponible en el momento.
Los datos de creación de la firma electrónica utilizados para la creación de firma
electrónica puedan ser protegidos por el firmante legítimo de forma fiable frente a su utilización por otros.
Los dispositivos cualificados de creación de firmas electrónicas no alterarán los datos
que deben firmarse ni impedirán que dichos datos se muestren al firmante antes de firmar. El DNI-e es un claro ejemplo de dispositivo cualificado de creación de firma.
Sellos electrónicos: Sirven para garantizar la autenticidad e integridad de los documentos
electrónicos a los que estén vinculados, dándoles validez jurídica.
Hay de 3 tipos, que se corresponden aprox. con los 3 tipos de firma ya vistos. El certificado de sello electrónico vincula los datos de validación de un sello con
una persona jurídica. Un ejemplo de uso es para la firma de facturas, dado que las personas jurídicas no disponen de firma electrónica.
Sellos de tiempo electrónicos: Sirven para vincular documentos electrónicos con un instante concreto,
aportando la prueba de que estos documentos existían en ese instante.
Certificados cualificados de autenticación de sitios web: Permiten autenticar un sitio web vinculándolo con la persona física o jurídica a quien
se ha expedido el certificado por un prestador cualificado de servicios de confianza.