Frecuentemente quienes implementan firmas digitales se focalizan en los beneficios que tiene a nivel de reducción de costos, aumento de la eficiencia o mejoras en la experiencia del usuario. Sin embargo muchas veces el driver inicial para este tipo de proyecto es el cumplimiento normativo y regulatorio.

Y aun cuando los requerimientos regulatorios puedan no ser una prioridad, generalmente se requiere que los documentos firmados digitalmente, ya sean por clientes, empleados o partners y, que reflejan un acuerdo, deben ser jurídicamente vinculantes en el caso de alguna disputa.

Algunos requerimientos en este sentido se analizan a continuación.

Requisito 1: No Repudio

"Esa no es mi firma"

Las firmas que implemente deben poder resistir que el usuario no se desdiga de lo aprobado. Muchas veces estas firmas son solo un garabato realizado con un mouse o un clic que supone una probación, más no una firma.

Las firmas digitales basadas en PKI permiten que una persona se encuentre ligada a una única identidad digital que consta en un certificado digital (X.509) emitido por una tercera parte confiable autorizada (habitualmente una Entidad Certificadora o CA) luego de verificar de manera segura la verdadera identidad pública. Entonces la persona puede usar su certificado X.509 para firmar digitalmente el documento. El acto de firmar incrusta criptográficamente la identidad digital en la firma y bloquea la identidad digital de la persona, de manera que no quepa duda alguna de quien firmó.

Requisito 2: Verificación

"El documento ha sido modificado luego de ser firmado"

Otra amenaza es el hecho de que el firmante puede reclamar que el documento ha sido modificado después de haber sido firmado.

Esto se contrarresta si la solución utiliza técnicas criptográficas estándares y robustas como por ejemplo SHA256, algoritmo de hashing con llaves RSA de 2048-bit. Estos algoritmos criptográficos pueden probar con altos niveles de confiabilidad que cualquier cambio a un documento, aun un cambio mínimo a nivel de bits en el documento, puede ser detectado al momento de su verificación.

Requisito 3: Integridad

"Este no es el documento que yo firmé"

En este escenario el firmante reclama que él firmó un documento diferente al que se le está presentando hoy.

Para abordar este requisito se deben presentar los documentos a firmar en un formato PDF/A lo que corresponde a un formato de documento plano, asegurando que el documento no tenga ninguna clase de código corriendo que pueda eventualmente presentar el documento de una manera diferente a como fue impreso en papel. El formato PDF/A también asegura que las fuentes estén embebidas en el documento y no se encuentren linkeadas dinámicamente de manera que no puedan tergiversarse después.

Para contrarrestar las amenazas del tipo Man-In-The-Middle (MITM) o Man-In-The-Browser (MITB), las mejores prácticas de la industria recomiendan que el documento sea firmado previamente por el proveedor de servicios antes de presentarlo al usuario.

Los usuarios son invitados a bajar y salvar localmente una copia del documento, idealmente antes y después de firmar como una prueba adicional de que lo que firmaron es lo que consideraron apropiado previamente.

Una firma con estas características técnicas permite cumplir con los requerimientos de la ley 19.799, su reglamento y las demás regulaciones que rigen en Chile, es decir son plenamente válidas legalmente.

Requisito 4: Autenticación- Control único de claves

"Mis claves de firmas han sido usadas por alguien más para firmar"

Un estafador podría reclamar que la identidad digital utilizada para crear la firma digital ha sido comprometida por un hacker, o incluso,que alguien accedió a la administración central del servicio e hizo una copia de las llaves privadas para vulnerar la firma.

Para superar con éxito esta afirmación, es necesario probar que se emplearon las mejores prácticas de la industria para proteger las claves de firma del usuario y, de hecho, nadie más pudo acceder a la clave de manera razonable. Las mejores prácticas de la industria requieren, entre muchas otras cosas, que las claves de usuario se almacenen en módulos de seguridad de hardware (HSM) resistentes a la manipulación indebida, que sea confiable y no puedan ser pirateados.

Requisito 5: Verificación de la vigencia de Identidad Digital

"He revocado mi Identidad Digital"

El reclamo aquí es que el usuario ha revocado su Certificado Digital (X.509) y que la firma digital se realizó con posterioridad, de manera que debió haber sido hecho por alguien más.

Para contrarrestar este escenario se requiere que la solución de firma digital le permita crear firmas digitales que incluyan un sello de tiempo embebido y el status del certificado digital también debe estar embebido en la firma al momento de firmar. De esta manera será posible probar que la clave del firmante es válida.

Requisito 6: Acto libre, voluntario e informado

"No entendí lo que estaba haciendo"

Esta es una preocupación muy común: el usuario puede fácilmente reclamar que no sabía lo que estaba haciendo al momento de firmar. Por ejemplo, no se dio cuenta que al clickear un particular botón o link estaba firmando un documento, o no estaba consciente que las firmas tienen efectos legales, o incluso que no tuvo opción de leer el documento completamente antes de firmar.

Para contrarrestar esta situación, la solución de firma digital debe asegurar que el acto de firmar es libre, voluntario e informado, lo que constituye una manifestación de voluntad válida legalmente.

Es importante hacer notar que para lograr firmas digitales legalmente vinculantes no sólo se requiere la tecnología adecuada, es necesario tener un enfoque holístico y mirar el proceso completo de revisión y firma de documentos, en orden a asegurar que un observador independiente no tenga dudas razonables acerca de quien firmó y del conocimiento de las implicancias de sus acciones en el tiempo.

Revisa nuestra amplia variedad de productos de firma electrónica y si tienes preguntas puedes escribirnos y con gusto las responderemos.