El hecho de que haya una firma criptográfica en el documento que indique que ha sido firmado no es suficiente, si se puede probar que cuando el usuario vio el documento el contenido era diferente, es decir, el reclamo es que cuando el usuario vio el documento, vio algo más, y lo que se firmó criptográficamente era algo diferente.

Esta es una amenaza compleja de abordar de manera satisfactoria

Respuesta:

La solución de firma electrónica debe ser capaz de probar que el documento que le fue mostrado al usuario lo hizo en un modo seguro.

Esto significa presentar los documentos a firmar en un formato PDF estandar específico llamado PDF/A lo que corresponde a un formato de documento plano, asegurando que el documento no tenga ninguna clase de código corriendo que pueda eventualmente presentar el documento en la pantalla de manera diferente a lo que realmente se está firmando. El estándar PDF/A se desarrolló originalmente para conservar documentos electrónicos para su archivo a largo plazo.

El formato PDF/A también asegura que las fuentes estén embebidas en el documento y no se encuentren linkeadas dinámicamente de manera que no puedan tergiversarse después.

Es común en la industria del diseño gráfico, por ejemplo, que las fuentes se suministren por separado a un gráfico y se vinculen dinámicamente al documento para su impresión, de modo que se utilice la fuente exacta que eligió el diseñador. Esta útil función podría ser mal utilizada al firmar digitalmente documentos electrónicos, de ahí la recomendación de utilizar el formato PDF/A.

El formato PDF/A también prohíbe el uso de JavaScript y otro contenido ejecutable. Esto evita que el código malicioso dentro del documento cambie la vista del usuario del documento al firmar. Esto es esencial para cumplir con lo que ve es lo que firma (What You See Is What You Sign - WYSIWYS), un importante requisito de seguridad para lograr el no repudio.

Al certificar un documento antes de enviarlo para que lo firmen otras partes, el propietario del documento puede asegurarse de que no se realicen cambios en el documento durante el proceso de firma. Esto bloquea la integridad del documento para que el usuario pueda verificar el proveedor de servicios que envió el documento y que no haya sido interceptado o alterado de ninguna manera por nadie antes de llegar al firmante previsto.
Esto puede dar seguridad a los usuarios de que el documento es auténtico y puede ser firmado por ellos.

También se debe alentar a los usuarios a descargar y guardar una copia local del documento (idealmente antes y después de la firma) como prueba adicional de lo que firmaron si lo consideran apropiado.

La importancia de los Estándares

La mejor práctica es usar firmas y sellos digitales de una organización acreditada que cumpla con los estándares reconocidos de la industria, como los de eIDAS, el Cloud Signature Consortium (CSC) y la Ley de Firmas electrónicas de EE. UU. Tal como lo usa Certinet. Es claro que la acreditación actual se orienta sólo al Certificado, pero no a todo el proceso de firma, el que debiera basarse en las mejores prácticas industriales globales.

Revisa nuestra amplia variedad de productos de firma electrónica y si tienes preguntas puedes escribirnos y con gusto las responderemos.

"Este no es el documento que firmé"

Respuesta:

La importancia de los Estándares

Artículos y noticias destacadas

Firmas Electrónicas para Directorios y Juntas de Accionistas

Implementando Firmas Electrónicas: La importancia de la Integración

Validez Legal de las Firmas Digitales

De interés

Soporte

Ventas