Nota del editor: esta entrada se publicó por primera vez en marzo de 2017 y ha sido actualizada por Sebastian Schulz, Encargado de Productos Regional de GlobalSign, para incluir información sobre la aplicación de firmas electrónicas avanzadas mediante el servicio de firma digital basado en la nube de GlobalSign.
En una publicación anterior de nuestro blog, resumimos brevemente el reglamento (UE) N.º 910/2014, denominado eIDAS. También revisamos las firmas electrónicas de forma general y analizamos cómo elegir la más adecuada para cada usuario.
En esta publicación del blog, nos gustaría profundizar en la clasificación que el reglamento eIDAS hace de las firmas electrónicas según el nivel de seguridad que ofrecen. Si está pensando en adoptar firmas digitales, esta publicación le ayudará a determinar el nivel de seguridad que necesita.
¿Qué niveles de seguridad establece el reglamento eIDAS en relación con las firmas electrónicas?
Existen numerosos reglamentos sobre firmas, a menudo muy diferentes en función del país, el sector o el uso previsto. Cada reglamento ha desarrollado su propia clasificación de lo que son las firmas electrónicas en función del nivel de seguridad que reportan. Los distintos niveles de confianza y seguridad aportados por cada tipo de firma dependen fundamentalmente de la configuración técnica y normativa de las firmas en cuestión.
En esta publicación analizaremos los términos recogidos en el reglamento eIDAS. Al fin y al cabo, el reglamento eIDAS se promulgó con el objetivo de crear unos cimientos y un marco de trabajo comunes para proteger las firmas electrónicas. La meta es reforzar la confianza y facilitar la interoperabilidad y el uso y la aceptación transfronterizos.
El reglamento eIDAS también ha creado una acreditación para la provisión de firmas electrónicas observando el nivel de seguridad más alto (las firmas electrónicas cualificadas) y, al hacerlo, ha revolucionado el mercado de las firmas electrónicas en Europa. Sin embargo, antes de adentrarnos en este punto, analizaremos los distintos niveles de seguridad de forma individualizada.
Firmas electrónicas de nivel básico
Según el reglamento eIDAS, las firmas electrónicas de nivel básico se definen como:
los datos en formato electrónico anejos a otros datos electrónicos o asociados de manera lógica con ellos que utiliza el firmante para firmar.
Si interpretamos esta definición literalmente, es posible firmar un documento simplemente escaneando su firma o marcando una casilla en un documento abierto en el dispositivo elegido. Técnicamente, los datos están en formato electrónico y se adjuntan a un archivo. Sin embargo, este modelo presenta algunos problemas que el reglamento eIDAS trata de abordar.
Como probablemente haya adivinado, esta definición no incluye el propósito para el cual se firma el documento. El documento podría ser manipulado y la «firma» podría falsificarse fácilmente (es decir, no es posible garantizar quién marcó la casilla de confirmación de aceptación de los términos y condiciones). Para expresarlo claramente: no se garantizan ni la integridad ni la autenticidad del documento.
Firmas electrónicas avanzadas (AES)
En virtud del Reglamento eIDAS, una AES debe cumplir los siguientes requisitos:
- Vinculación exclusiva con el firmante;
- Capacidad de identificar al firmante;
- Creación a partir de los datos de generación de firma electrónica que el firmante puede, con un alto nivel de confianza, usar bajo su único control;
- Vinculación con los datos firmados de forma que cualquier cambio posterior sea detectable.
Las firmas digitales basadas en Infraestructura de Clave Pública (PKI) cumplen todos los requisitos anteriores. Si desconoce su funcionamiento, a continuación lo explicamos brevemente: las firmas digitales se aplican mediante un certificado digital, que es como una versión electrónica de un pasaporte o un carné de conducir, que solamente se emite una vez que un tercero de confianza (denominado Autoridad de Certificación, o AC) realiza una verificación exhaustiva de su identidad. Los certificados digitales, y las firmas resultantes, son exclusivos del individuo y prácticamente imposibles de falsificar, por lo que se cumplen los dos requisitos enumerados anteriormente.
Puesto que el firmante es el único poseedor de la clave privada que se utiliza para aplicar la firma (puede consultar nuestro artículo sobre Infraestructura de Clave Pública para comprender mejor cómo funciona el par de claves pública y privada), es posible garantizar que el firmante es la persona que afirma ser. Por último, el proceso de verificación de la firma, que se produce automáticamente cuando el destinatario abre el documento, implica comprobar si el documento ha sido modificado después de haber sido firmado.
Volviendo al ámbito profesional: la integridad y la autenticidad están garantizadas si se cumplen los requisitos que definen una AES. Además, las AES no pueden ser rechazadas legalmente por estar en formato electrónico, por lo que una AES correctamente aplicada es igual de válida (o más) que una firma en tinta tradicional. Sin embargo, si se cuestiona la validez de la AES, es el firmante el responsable de demostrar que se han observado todos los criterios de validez necesarios.
GlobalSign ofrece servicios especializados en PKI y, por ello, muchos de nuestros productos que ya existían antes del reglamento eIDAS cumplen los requisitos de las firmas electrónicas avanzadas (AES). Además de los métodos seguros de aplicación de firmas más tradicionales, basados en dispositivos USB, nuestro Servicio de firma digital (DSS) le ayuda a aplicar firmas digitales que se ajustan a los criterios de AES.
Firmas electrónicas cualificadas (QES)
Una QES es:
Una firma electrónica avanzada generada mediante un dispositivo de creación de firma cualificado, que se basa en un certificado cualificado para firmas electrónicas.
En primer lugar, veamos qué significa un «dispositivo de creación de firma cualificado» (o QSCD). Según los requisitos del reglamento eIDAS, el dispositivo debe garantizar que:
- Los datos de creación de la firma electrónica son confidenciales;
- En la práctica, los datos de creación de la firma electrónica utilizados para la generación de la firma electrónica solo pueden aplicarse una vez;
- Los datos de creación de la firma electrónica utilizados para la generación de la firma no pueden derivarse y la firma está protegida frente a falsificaciones mediante la tecnología actualmente disponible;
- El firmante legítimo puede proteger de forma segura frente a usos indebidos los datos de creación de la firma electrónica utilizados para la generación de la firma;
- El dispositivo no alterará los datos que van a firmarse ni evitará que el firmante pueda visualizar estos datos antes firmar;
- Únicamente un proveedor de servicios de confianza cualificado es capaz de generar o gestionar los datos del firmante en nombre de este último.
- Sin perjuicio del apartado (d) del punto 1, los proveedores de servicios de confianza cualificados que gestionan los datos de creación de firmas electrónicas en nombre de los firmantes pueden duplicar los datos de creación de firmas electrónicas únicamente para obtener copias de seguridad, siempre que se cumplan los siguientes requisitos:
- La seguridad de los datos duplicados debe ser equivalente a la seguridad de los datos originales;
- El número de datos duplicados no debe superar el mínimo necesario para garantizar la continuidad del servicio;
La normativa confirma que, si es necesario utilizar una QES, deberá almacenar los datos de creación y firma en un dispositivo altamente seguro y confiable, como un dispositivo USB criptográfico o módulos de seguridad de hardware (HSM) de conformidad con el Nivel 3 de la FIPS 140-2 como mínimo, que es la norma de seguridad creada para los módulos criptográficos.
La siguiente parte de la definición de una QES afirma que los datos incluidos en el dispositivo deben basarse en un «certificado cualificado para firmas electrónicas». Un certificado cualificado solamente puede adquirirse a través de una Autoridad de Certificación acreditada como Proveedor de Servicios de Confianza Cualificados (QTSP), como GlobalSign. Además, para garantizar el cumplimiento del requisito de contar con un QSCD, GlobalSign suministra un dispositivo USB SafeNet (un QSCD acreditado) junto con la compra de certificados cualificados.
En relación con la «norma de oro» de las firmas digitales en virtud del reglamento eIDAS, la integridad y la autenticidad están totalmente garantizadas por la QES. Los Estados Miembro de la UE están obligados a reconocer la validez de las QES creadas a partir de un certificado cualificado en otro Estado Miembro. Asimismo, las QES pueden considerarse legalmente equivalentes a las firmas en tinta tradicionales, a menos que se sospeche un uso indebido de los certificados subyacentes. La responsabilidad de demostrar esta sospecha es de la parte que pone en duda la validez de la firma cualificada.
Sellos electrónicos
Los sellos electrónicos son similares a las firmas electrónicas y la diferencia radica en la identidad que subyace a la firma. Los sellos electrónicos garantizan la integridad y autenticidad de la misma forma que las firmas electrónicas, con la diferencia de que el firmante es una entidad, y no un individuo.
El reglamento eIDAS estipula su uso por parte de los Estados Miembros de la UE, si bien usted también puede usarlos para su institución u organización. La conveniencia de usar un sello o una firma dependerá de si necesita firmar en calidad de individuo o de entidad jurídica. Los sellos electrónicos suelen ser más adecuados para aquellos casos en los que las firmas se aplican de forma automática o en grandes volúmenes.
¿Qué nivel de garantía debo cumplir?
Según el Artículo 25 del reglamento eIDAS:
No se denegarán efectos jurídicos ni admisibilidad como prueba en procedimientos judiciales a una firma electrónica por el mero hecho de ser una firma electrónica o porque no cumpla los requisitos de la firma electrónica cualificada.
De lo anterior se desprende que, como mínimo, es aconsejable usar una AES para sus flujos de trabajo de firma electrónica, o puede exponerse a que las firmas resulten denegadas por el simple hecho de ser electrónicas. Probablemente, una de las mayores preocupaciones de las empresas durante el proceso de transición es que las firmas electrónicas no sean válidas.
Tanto las firmas electrónicas avanzadas como las cualificadas ofrecen un alto nivel de confianza y garantía. Al pasar de firmas tradicionales a firmas electrónicas, es crucial garantizar que se mantienen las características de firma mencionadas. La diferencia esencial radica en quién tiene la responsabilidad de demostrar la validez.
¿Tiene pensado desarrollar un flujo de trabajo de firma de gran volumen? Para estos casos, nuestro Servicio de firma digital es la mejor opción. Contar con una AES y con una manera de demostrar la seguridad del flujo de trabajo y la autenticación de usuarios garantiza la confianza y la validez de sus firmas basándose en fundamentos legales sólidos.
¿Necesita explícitamente una QES, por ejemplo, para que su Director Ejecutivo firme documentos y los presente en el marco de una licitación europea? La obtención de un certificado cualificado emitido en un QSCD, también suministrado por GlobalSign, permite firmar puntualmente documentos especialmente importantes, sin necesidad de tener que demostrar la seguridad del método en sí.
Por último, merece la pena recordar que, si bien el reglamento eIDAS no especifica el uso de certificados digitales con confianza pública, recomendamos su uso y adquisición a través de una Autoridad de Certificación con confianza pública. La confianza pública es esencial si desea que sus firmas sean verificadas automáticamente y cuenten con la confianza de las plataformas de firma de documentos más populares, como Adobe Acrobat Sign o DocuSign. De esta forma, al firmar documentos, no solo garantizará su cumplimiento normativo, sino que ofrecerá al destinatario del documento una experiencia de usuario fluida.
Si desea obtener información más detallada sobre las soluciones de firma electrónica para cumplir con los requisitos del reglamento eIDAS, no dude en contactar con GlobalSign.
