El uso de firma electrónica es un paso que están dando muchas empresas para entrar de lleno en la transformación digital, pero siempre preocupa la seguridad de la firma electrónica. En este post te contamos qué precauciones debes tener para que no haya brechas de seguridad que supongan pérdidas de datos o uso fraudulento de información a la hora de firmar electrónicamente.
Consideraciones sobre la seguridad de la firma electrónica
Existe diversos aspectos que determinan los aspectos sobre la seguridad de la firma electrónica. Los vemos a continuación:
- Autenticación del firmante. La autenticación se puede definir, siguiendo al Reglamento eIDAS como el proceso electrónico que posibilita la identificación electrónica de una persona física o jurídica, o del origen e integridad de datos en formato electrónico. Por lo tanto, para que la firma electrónica sea segura es fundamental verificar la identidad del firmante. La verificación de la identidad del firmante se realiza de varias formas:
- Mediante biometría. Consiste en el cotejo de rasgos físicos del firmante que son únicos como las huellas dactilares, el iris o la voz. En este sentido, se podría utilizar también una app en el móvil que permita identificar a la persona que firma mediante reconocimiento facial o huella. Habrás visto, por ejemplo, en alguna ocasión que muchos móviles se desbloquean con la huella dactilar del propietario o coches que identifican la voz de su conductor para seguir órdenes.
- Mediante códigos de un solo uso. Los códigos de un solo uso (One Time Password – OTP) se envían al móvil o al correo electrónico del firmante, de manera que queda identificado.
- Uso de preguntas y respuestas. Otra forma de identificar al firmante consiste en el uso de preguntas y respuestas que solo conoce esa persona, por ejemplo, datos personales como el nombre de su padre o una fecha señalada.
- Carga de documentos de identidad. Finalmente, la identidad del firmante se puede verificar mediante la carga de un documento de identidad (DNI, pasaporte o carnet de conducir) y la comparación de la foto con la imagen en vídeo en tiempo real del firmante.
Los métodos anteriores se pueden combinar, de manera que la seguridad de la firma electrónica aumente.
- Trazabilidad y sellado de tiempo. Para que una firma electrónica sea segura es fundamental que exista una forma de verificar todo el proceso de firma y los datos que se hayan recogido durante ese proceso. En el caso de la solución de firma electrónica de Lleida.net se elabora un documento de evidencias digitales que recoge todos los datos del proceso de firma: correos electrónicos utilizados, IPs implicadas, documento firmado, anexos etc. Con todos esos datos se elabora un documento de evidencias que se puede descargar por el usuario. Además, el documento lleva un sellado de tiempo que garantiza que no se ha modificado posteriormente a la firma.
- Tipo de firma. El Reglamento eIDAS regula tres tipos de firma electrónica que se diferencian por el nivel de seguridad que tiene: firma electrónica simple, avanzada y cualificada. En función del nivel de seguridad que necesite el documento a firmar, deberás elegir una u otra.
- Nivel de seguridad del proveedor. El proveedor de servicios de firma electrónica debe aportar seguridad en cuanto a la custodia de documentos en la nube y a la inexistencia de brechas de seguridad. En este sentido, el Reglamento eIDAS establece que un servicio de confianza es un servicio electrónico que se presta a cambio de una remuneración y que consiste, entre otros aspectos, en la creación, verificación y validación de firmas electrónicas.
Para que un proveedor de firma electrónica sea seguro es necesario que tome precauciones como las siguientes:
- Que exista un sistema que permita detectar ataques contra los datos almacenados.
- Que exista una protección frente a malware.
- Que los sistemas de seguridad de la firma electrónica trabajen sin interrupción.
- Que se realice un sistema de cifrado de datos.
- Que se utilicen sistemas de autenticación del usuario múltiples.
¿Se puede falsificar una firma electrónica?
Si se aplican los sistemas de seguridad que hemos visto y son de calidad, es casi imposible falsificar una firma electrónica puesto que la persona que quiera falsificar una firma de otra persona electrónicamente deberá tener acceso a muchos datos del firmante real como su teléfono, su correo o información relevante de su vida privada, así como de su aspecto físico.
Por otra parte, en el caso en que se aporte el documento firmado electrónicamente como prueba en un juicio, puede ocurrir que la otra parte lo impugne y no reconozca su autenticidad. En este supuesto, se deberá solicitar una pericial caligráfica para verificar que la firma electrónica reúne todos los requisitos para considerarse segura y que no ha sido manipulada desde el momento de la firma.
En definitiva, buscar un proveedor de firma electrónica segura requiere un esfuerzo puesto que no basta con comparar precios, sino que es necesario cotejar el nivel de seguridad que aporta el proveedor y tener claro cómo se van a proteger los datos de cada firma.