¿Hasta qué punto es fiable la firma digital?

• La firma digital normal
• La firma digital avanzada
• La firma digital cualificada

Según la ley, las tres formas tienen la misma validez jurídica, pero tienen distinto valor probatorio. Así, por ejemplo, para una firma escaneada, en caso de discrepancia, sigue resultando difícil demostrar que el remitente es la persona que estampó en realidad su firma.

Por el contrario, con una «firma digital avanzada» o una «firma digital cualificada» sí es posible hacerlo. En todos los casos, el valor probatorio depende de la fiabilidad del proceso subyacente.

La fiabilidad del proceso y el valor probatorio vienen dados por los siguientes factores:

• ¿Cómo son de fuertes las características identificativas del signatario y hasta qué punto están bajo su control exclusivo?
• ¿Se han establecido claramente los pasos del proceso por los que ha pasado el usuario hasta firmar?
• ¿En qué momento se ha producido la firma y se puede demostrar posteriormente?
• ¿Se ajusta el documento al formato adecuado para probar de forma permanente que fue firmado digitalmente?
• ¿Cómo de fuerte es el mecanismo empleado para asociar los datos identificativos de manera indisociable al documento (asociación), la seguridad de la criptografía, para que no pueda ser modificado después con facilidad?

Características identificativas fuertes

Entre las características identificativas en Internet se incluye una dirección de correo electrónico, la dirección IP, un número de móvil o un certificado cualificado. También es posible combinar una serie de características identificativas, para garantizar una identificación más segura. Al firmar el mensaje, es importante tener en cuenta que el signatario debe poder acceder a estos medios. Así, el valor probatorio de un certificado cualificado puede ser más alto, pero si los usuarios finales no tienen acceso o si el proceso de solicitud se va a demorar varios días, el usuario final no podrá firmar.

Pasos del proceso de firma

A la hora de enfrentarse al proceso de firma, es importante que el signatario conozca el documento que va a rubricar. ¿Qué documentos se le han mostrado? ¿Hay un momento concreto en que el signatario haya firmado conscientemente (manifestación de voluntad) el documento?

Hora

De cara a la fiabilidad del proceso de firma y al valor probatorio, resulta también esencial determinar la hora de la firma de manera independiente e incluir esta información en la firma. De esta forma se evita que puedan surgir discrepancias sobre el momento de la firma o sobre si esta se produjo en una fecha distinta.

Norma técnica PADES – XADES

En las normas para la firma digital y en los requisitos del eIDAS se menciona el formato XADES o PADES. Se trata en realidad de la norma técnica que estipula cómo se puede introducir una firma digital correcta en el documento en formato PDF o XML. Estas normas garantizan que se puedan verificar las firmas digitales de manera estándar por medio de diferentes programas informáticos, como el lector de Adobe PDF. Por otra parte, la norma garantiza también que en el futuro se puedan verificar las firmas digitales de los documentos de un modo correcto y fiable.

Dotar al documento de características identificativas

Para dotar de características identificativas a un documento se emplea una clave PKI. Esta operación se denomina también asociación. Si el usuario dispone de un certificado cualificado en un medio fiable, puede utilizar esta clave para establecer la asociación. En otros casos es posible realizar la asociación con una clave general. Es importante proteger bien esta clave, en un chip electrónico de una tarjeta inteligente, USB o módulo de seguridad hardware (HSM), por ejemplo. De no hacerlo, es posible que una persona no autorizada también haya llevado a cabo la asociación. Otro factor importante es la longitud de la clave, ya que con una clave sencilla es más fácil romper la asociación y el sello.

Todas las firmas electrónicas pueden tener valor jurídico y servir como comprobante. El hecho de ser electrónicas y no cumplir los requisitos para firmas electrónicas cualificadas no cambia nada. Si no se protege convenientemente la fiabilidad del proceso, existe incluso la posibilidad de que el valor probatorio sea bajo a pesar de haber utilizado un certificado cualificado. Determinar correctamente la fiabilidad del proceso de firma es importante de cara a su verificación por una parte independiente, como puede ser un juez.