Formas de firmar electrónicamente y sellos temporales

En el post Qué es la firma electrónica y por qué la necesitas, vimos las ventajas que supone usar la firma electrónica en la empresa y algunos casos de uso. Aunque ya tratamos los tipos de firma electrónica, a continuación, entraremos en el detalle sobre las distintas formas de firmar electrónicamente de la actualidad y hablaremos de los sellos temporales.

Niveles de seguridad de firma electrónica

El Centro Criptológico Nacional establece distintos niveles de seguridad en las firmas electrónicas mediante medios reconocidos, y para cada nivel, determina qué algoritmos son los necesarios para catalogar el proceso en uno u otro nivel.

• Nivel Bajo: los certificados en los que se base el proceso de firma tendrán clave RSA de al menos 2048 bits. Mientras que en el caso de usar curvas elípticas, se requieren 224-255 bits. Además, no se aceptarán hash generados con MD5, SHA-1, RIPEMD-160 o inferiores.
• Nivel Medio: al usar sistemas de firma avanzada, estarán basados en certificados cualificados. En cuanto al proceso y algoritmos, se requieren las mismas especificaciones que el nivel bajo.
• Nivel Alto: para ser considerado nivel alto, se requiere usar certificados cualificados además de dispositivos cualificados de creación de firma, que estén certificados según lo recogido en el ENS (Esquema Nacional de Seguridad). Por otro lado, se requieren mayores condiciones en los algoritmos criptográficos. Las claves RSA tendrán que tener al menos 3072 bits. Si se usan curvas elípticas, estas deberán tener claves de al menos 256 bits. En cuanto a la función hash, deberá usarse SHA-2 o SHA-3 de al superiores a 256 bits.

Formas de firmar electrónicamente

Como vimos anteriormente, se reconocen tres tipos de firma electrónicas, la simple, la avanzada y la reconocida, siendo esta última la que más garantías judiciales garantiza pero a su vez, la más complicada de obtener debido a sus requisitos.

• Centralización de claves: dependiendo de cómo se hayan generado los certificados, la centralización de claves será considerada como firma avanzada o reconocida. Es decir, si el certificado usado es un certificado electrónico reconocido y la recogida de la firma se realiza mediante un dispositivo seguro de creación de firma, esta firma tendrá el nivel de firma reconocida. Si no se cumple cualquiera de los dos pasos anteriores, se tratará de una firma avanzada.La centralización de claves nos permite almacenar de forma segura todos nuestros certificados en el mismo lugar. La tendencia actualmente es el almacenamiento on cloud de estas claves. Azure, por ejemplo, dispone de su servicio Key Vault, para realizar esta tarea. Podemos limitar y administrar el uso de los certificados a los usuarios, tendremos trazabilidad en el uso de los mismos, flexibilidad en el uso ya que nos aporta independencia en la elección del dispositivo y por tanto del lugar en el que hacemos uso del certificado…
• Firma biométrica: la firma biométrica es una solución muy habitual en situaciones de firma de documentos de forma presencial y se trata de la captura de la firma manuscrita de una persona mediante un dispositivo electrónico. El firmante debe visualizar el documento que se dispone a firmar y firmar sobre el. Para que la firma se considere biométrica, el dispositivo deber ser capaz de capturar ciertos parámetros, como son la velocidad (en X e Y), la presión por puntos, inclinación, aceleración…Estos valores biométricos son encriptados junto con el documento para garantizar la integridad del mismo. Los datos biométricos son una prueba ante un perito calígrafo en caso de algún litigio. Además se recogen otros datos, como por ejemplo el dispositivo desde el cual se firma, la geolocalización, se adjunta un sello temporal…de esta forma garantizar cumplir con los requisitos para hacer de la firma biométrica una firma avanzada.
• Firma con DNI y NFC: el DNI 3.0, disponible desde 2015, es uno de los dispositivos seguros de creación de firma, por tanto, su uso junto con un certificado reconocido, genera una firma reconocida. La novedad del DNI 3.0 con respecto a su predecesor es la inclusión de un chip NFC (Near Field Comunication) que permite la conexión inalámbrica con dispositivos hardware compatibles con NFC (smartphones y tablets). Por tanto, podremos usar nuestro DNI, junto con su PIN asociado, para firmar documentos.
• Firma Remota: se trata de una firma avanzada. Consiste en el envío de documentos a el/los firmantes para su firma desde cualquier dispositivo móvil, tablet, PC. El firmante recibe un correo electrónico con el/los documentos que requieren su firma. Los puede leer y para firmar sobre la pantalla tendrá que introducir un código OTP (One time password) que recibirá por SMS como método de doble verificación de identidad (correo electrónico + número de móvil). A pesar de que suele ser opcional, añadir el envío de un SMS aporta más garantías en el proceso de firma. Posteriormente, se genera el documento probatorio con toda la información del proceso y un sello temporal.

Como podemos observar, estas formas de firmar electrónicamente documentos difieren unas de otras considerablemente. Por tanto, deberemos analizar nuestra situación y elegir cual de ellas es la que mejor cubre nuestras necesidades.

Sellos temporales

En el post se ha hecho referencia en un par de ocasiones a los sellos temporales, por tanto vamos a ver qué son. Un sello temporal es un conjunto de datos electrónicos que se vinculan a un documento en un instante determinado y que garantiza que el documento no ha sido modificado posteriormente. El sello temporal es un valor añadido a la firma electrónica ya que aporta información sobre el momento de firmado, ya que la firma electrónica no aporta este dato por sí misma. Al igual que las firmas, existen los sellos temporales cualificados, que son los emitidos por una entidad certificadora como tercero.

Si te ha parecido interesante este artículo no dejes de visitar el blog de nuestra web TAKTIC donde podrás encontrar otros posts que pueden ser de tu interés.