Este documento introduce el tema de la firma electrónica, explicando su origen y necesidad debido a la transferencia de actividades del mundo físico al electrónico. Describe que la firma electrónica permite firmar documentos de forma válida en el mundo digital y explica los diferentes tipos de firma electrónica, centrándose en la firma electrónica reconocida que es equivalente a la firma manuscrita.
2. Estructura y contenido
Acercamiento a la firma electrónica desde sus orígenes.
Trataremos de entender por qué es necesaria y cuáles son las
bases tecnológicas, organizativas y legales que hacen posible
que la firma electrónica sea una realidad.
La firma electrónica es un término que engloba gran
complejidad, puesto que hace falta un conjunto de elementos
y conceptos cuya comprensión puede resultar difícil. Pero,
afortunadamente, su aplicación práctica resulta cada día más
sencilla y cualquier usuario, empresa u organización puede
hacer uso de esta potente herramienta.
Trataremos de desgranar el funcionamiento de la firma
electrónica y sentaremos las bases que nos permitirán
comprender y entender en qué consiste la firma electrónica.
3. Estructura y contenido
Los contenidos de este módulo se estructuran en los
siguientes bloques formativos:
● Origen de la firma electrónica. Veremos cómo se
origina la necesidad de contar con la firma
electrónica.
● ¿Cómo funciona la firma electrónica?
Comprenderemos cómo es posible la firma
electrónica y cómo funciona, así como cuáles son
los elementos que la componen.
● ¿Qué podemos hacer con la firma electrónica?
Describiremos algunas de las aplicaciones de la
firma electrónica.
5. Introducción
A lo largo de la última década, hemos visto como muchas actividades
que realizamos en el mundo real o físico hemos pasado a
desarrollarlas también en el mundo digital, electrónico o, si lo
preferimos, en Internet.
El traspaso de actividades del mundo físico al mundo electrónico
afecta a todos los ámbitos de nuestra vida. Por ello, necesitamos
herramientas tecnológicas, legislativas, normativas u
organizativas que hagan posible realizar todas esas actividades
que llevamos a cabo habitualmente en el mundo físico al menos
con las mismas garantías, funcionalidades y seguridad que en
6. Introducción
EJEMPLOS
● compra y venta de bienes y servicios
● realización de trámites
● descarga y envío de documentación
● búsqueda de información
● establecimiento de relaciones sociales con otros usuarios,
empresas y organizaciones
● compartir conocimiento y experiencias
● generar nuevos contenidos
Seguramente se nos ocurren muchas más actividades que realizamos
habitualmente y cada vez es más normal que todas ellas, o la gran
mayoría, podamos realizarlas en ambos mundos. Pero algunas de
estas actividades requieren ciertos elementos muy particulares.
7. Actividad
Pon ejemplos de cosas que podemos hacer en la
vida real y nos viene (o vendría) bien hacer
online.
¿Qué problemas nos pueden surgir?
9. Hoy en día es posible realizar muchas de las actividades
habituales del físico también en el mundo electrónico.
Sin embargo, transformar dichas actividades de forma
que sea posible su realización en este último, en
ocasiones requiere de ciertos elementos que lo
dificultan.
La mayoría de los trámites que realizarnos en el mundo
electrónico se pueden hacer de forma relativamente
sencilla, puesto que no es necesario que el usuario
disponga de más herramientas que un navegador, un
editor de textos o un lector de documentos PDF, además
de una cuenta de correo electrónico. Pero no todos los
trámites son iguales, los pasos a realizar pueden ser
distintos y las necesidades también.
10. Ejemplos
Un trámite en el que tenemos que descargar un documento
electrónico, imprimirlo, rellenarlo y a continuación entregarlo a la
administración correspondiente.
Un trámite en el que rellenamos un formulario y, a continuación, lo
enviamos directamente a través de la web.
Un trámite en el que usamos el correo electrónico tanto para
solicitarlo como para enviar información o recibirla.
Un trámite en el que, además de enviar información, hay que enviar
un documento firmado de nuestro puño y letra mediante correo
postal o entrega en persona.
Un trámite en el que estamos adquiriendo un producto o servicio por
un determinado valor y se nos solicita la firma de un contrato.
13. Si lo que pretendemos es precisamente que la mayoría de los trámites sean
realizados electrónicamente debido a la gran cantidad de ventajas que
aporta, debemos eliminar todos aquellos pasos de un trámite que sea
necesario realizar en el mundo físico.
Uno de estos pasos que suele ser causa de que un trámite no pueda
realizarse de forma completamente electrónica es el que nos pide que
enviemos documentos firmados de nuestro puño y letra, lo que
implica necesariamente el uso del correo postal ordinario o el
desplazamiento a las oficinas correspondientes con el documento
debidamente firmado.
Es por ello que es deseable contar con un mecanismo que permita la
realización de este proceso de forma electrónica también y nos
permita firmar documentos u otros elementos de forma
completamente electrónica.
En este punto es donde entra en juego precisamente la firma electrónica,
que permite firmar electrónicamente cualquier documento
facilitando, además, que éste sea enviado y recibido también de
forma electrónica con las garantías y características de seguridad y
validez necesarias para un documento firmado.
15. Hay muchos tipos de firma electrónica y no todos tienen la
misma validez ni se usan en el mismo ámbito ni con los
mismos propósitos. Pero en el caso que nos ocupa, es
fundamental que, si queremos dar la misma validez a un
trámite electrónico que a su equivalente en el mundo
físico, la firma electrónica debe ser equivalente desde el
punto de vista legal y jurídico a la firma manuscrita.
La Ley 59/2003, de 13 de diciembre, de Firma Electrónica,
la define de la siguiente forma:
(Art. 3.1) La firma electrónica es el conjunto de
datos en forma electrónica, consignados junto
a otros o asociados con ellos, que pueden ser
utilizados como medio de identificación del
firmante.
16. Tipos de Firma electrónica
Fuente: Talía Besga, 2010 - IZENPE
17. Así, la Ley distingue entre dos tipos de firma,
avanzada y reconocida, y también nos dice
de forma expresa y tácita que únicamente la
firma reconocida se podrá considerar
equivalente a la firma manuscrita.
Pero, ¿cómo conseguimos, en la práctica, que
una firma electrónica sea reconocida y por
tanto equivalente a la firma manuscrita?
19. Vamos a tratar de explicar cómo es posible firmar
electrónicamente un documento y cómo se
consigue que una firma electrónica sea
reconocida y, por tanto, equivalente a la firma
manuscrita.
Primero estableceremos las propiedades que debe
tener la firma electrónica para que pueda ser una
firma electrónica reconocida. A continuación,
explicaremos de forma general cómo se consigue
en la práctica que sea una firma con dichas
propiedades.
20. Propiedades
Primero establecemos las propiedades o criterios que debería
cumplir la firma electrónica reconocida y, a continuación,
describiremos cómo se ha conseguido implementar cada
una de ellas en la realidad.
Una firma electrónica que sea reconocida debe cumplir las
siguientes propiedades o requisitos:
● identificar al firmante
● verificar la integridad del documento firmado
● garantizar el no repudio en el origen
● contar con la participación de un tercero de confianza
● debe de ser generada con un dispositivo seguro de
creación de firma
21. Identificación firmante:
autenticidad
Nos enfrentamos con el primer reto: conseguir una firma electrónica
en la que podamos conocer el origen de la firma. Para ello,
necesitamos recurrir a la criptografía y a las matemáticas y, más
concretamente, a técnicas de cifrado.
El cifrado no es más que un conjunto de algoritmos y herramientas
matemáticas que nos permiten ocultar o proteger información
que sólo queremos que conozcan aquellos que intervienen en
una comunicación. El procedimiento más habitual de cifrado es
lo que se conoce como cifrado «simétrico».
EJEMPLO DE CIFRADO SIMÉTRICO
Imaginemos una consigna de una estación de tren de la que
únicamente Pedro y Luis disponen de la llave. De esta forma,
pueden dejarse mensajes en la consigna y sólo ellos tienen acceso
a la misma.
22.
23. Autenticidad: cifrado
simétrico
La apertura de la consigna se lleva a cabo con la misma clave. Ahora bien, este tipo de
cifrado plantea algunos problemas:
● Todos aquellos que intervengan en la comunicación deberán conocer la clave. Hay
que hacérsela llegar a todos ellos, con el riesgo de que sea interceptada o
robada.
● Todos los que conocen la clave pueden tanto cifrar como descifrar, es decir,
pueden introducir un mensaje o sacarlo. Como todos poseen la misma llave, no
hay forma de saber quién ha dejado el mensaje o lo ha recogido. Esto implica
que cualquiera puede suplantar fácilmente a otro de los participantes en la
comunicación.
● Si se quiere evitar el problema anterior es necesario usar una clave o llave distinta
por cada par de interlocutores, lo que supone gestionar multitud de claves o
llaves.
● Si alguien ajeno a los interlocutores descubre la clave, todo el sistema se ve
comprometido de inmediato. En este sistema es necesario enviar la llave a
nuestro interlocutor. Si ésta es interceptada, tendremos que usar otra y
transmitírsela de nuevo a todos los interlocutores, lo que a su vez aumenta el
riesgo de que esta sea interceptada de nuevo.
24. Autenticidad: cifrado
Asimétrico
No usamos una única clave sino dos. Una de ellas es privada y la otra es pública, de
forma que la clave privada no se la entregamos a nadie mientras que la clave
pública la dejamos a disposición de todo el mundo.
EJEMPLO DE CIFRADO ASIMÉTRICO
Cuando se alquila una consigna asimétrica, proporcionan dos llaves. Una de ellas es privada
y sólo hay una copia. Nadie debe conocerla y es fundamental guardarla con la mayor
seguridad posible. La otra llave es pública, y queda en la recepción de consignas a
disposición de cualquiera.
Pedro deja un mensaje en la consigna, que introduce con su llave privada, y se marcha. Al
cabo de un rato llega Luis y solicita la llave pública de la consigna de Pedro en el
mostrador. Abre la consigna y extrae el mensaje. Al igual que Luis, cualquiera que
solicite la llave pública podrá abrir la consigna y obtener el mismo mensaje.
Cualquiera que solicite la llave pública puede introducir un mensaje en la consigna pero, una
vez dentro, el mensaje sólo puede ser extraído con la clave privada. Es decir, si Luis ha
dejado un mensaje a Pedro, que es el dueño de la consigna, otra persona que solicite la
llave pública no podrá extraer de la consigna el mensaje que introdujo Luis, pero sí podrá
dejar otro. Sólo Pedro, con la llave privada, podrá extraer un mensaje que ha sido dejado
en la consigna mediante la clave pública.
25. Autenticidad: cifrado
Asimétrico
Lo interesante de este sistema no es usar la
consigna para ocultar un mensaje como ocurría en
el cifrado simétrico sino para asegurarnos de
que, efectivamente, el que deja el mensaje o el
que lo recibe es únicamente el poseedor de la
clave privada.
26. Autenticidad: cifrado
Asimétrico
Pedro firma un documento electrónico (introduce un mensaje en
la consigna), y gracias al cifrado asimétrico tenemos la
garantía de que efectivamente solo él ha podido realizar esa
firma (solo él ha podido dejar ese mensaje, puesto que Pedro
es la única persona que dispone de la clave privada).
Cualquiera puede verificar la firma (cualquiera puede abrir la
consigna, puesto que dispone de la clave publica, mediante la
cual puede recoger dicha firma y verificarla, es decir,
mediante la cual puede abrir la consigna y recoger el mensaje).
Si la verificación es correcta, o sea, si efectivamente puede
recoger el mensaje y éste contiene la información correcta,
tiene la seguridad de que únicamente Pedro ha podido firmar
el documento electrónico (únicamente Pedro ha podido dejar
el mensaje en la consigna).
27. Autenticidad
Mediante el uso del cifrado asimétrico hemos
conseguido uno de los elementos que nos hace
falta para lograr una firma electrónica reconocida:
podemos identificar al firmante o podemos
verificar el origen de la firma.
28. Actividad
Visualizar algunos de los servicios en línea de
navarra.es para ciudadanos.
Entrar en Servicios sanitarios de navarra.es relativo
a servicios a ciudadanos.
Consultar algunos de los servicios online relativos a
empresa.
Tratar de solicitar la vida laboral online en la página
de la Seguridad Social
Pedir cita médica en la página del Gobierno de
Navarra
29. Integridad del documento
Escenario:
Pedro ha sido contratado en la empresa de Luis. Durante el
proceso de contratación, Pedro ha firmado diversos
documentos. Cuando se firma un documento lo normal es
recibir una copia del mismo.
Imaginemos que Luis no es honesto, y después de que Pedro ha
firmado el contrato, altera el documento de forma que obtiene
algún beneficio para su empresa, por ejemplo, alguna
modificación que afecta a la nómina de Pedro.
Cuando Pedro recibe su primera nómina, detecta algo que no es
correcto y revisa su contrato, pues dispone de una copia del
mismo. A partir de ese punto, podrá emprender diversas
acciones.
30. Integridad del documento
En el mundo electrónico, la integridad es uno de los
aspectos más vulnerables de cualquier documento
electrónico puesto que existen muchas técnicas,
herramientas y mecanismos por los que es posible
realizar modificaciones en prácticamente cualquier tipo
de documento electrónico, sin apenas esfuerzo. Acordaos
de Zamzar.
31. Actividad
Acceder al fichero oferta_inteco.pdf en la carpeta
de red.
Nos vamos a Zamzar.com
Convertimos el fichero en un .doc
Abrimos el .doc y modificamos texto e importes.
Lo volvemos a convertir en pdf.
32. Integridad
Debemos buscar un mecanismo que nos permita
detectar en un documento firmado cualquier
cambio posterior a la firma del mismo y, de
esta forma, verificar la integridad del documento.
Para ello, recurrimos de nuevo a las matemáticas
y a un nuevo tipo de concepto, que llamaremos
«generador de resumen».
33. Integridad
Escenario:
Pedro se dispone a usar de nuevo la consigna que tiene
alquilada en la estación y al llegar al mostrador le informan
de que existe una nueva modalidad de servicio denominado
«generador de resumen» que se puede utilizar en
combinación con la «consigna asimétrica». Una vez que le
explican su funcionamiento, decide utilizarlo:
Pedro toma un mensaje y se dirige primeramente al «generador
de resumen», introduce el mensaje y el éste le proporciona un
número. A continuación, toma el mensaje y el número
obtenido del «generador de resumen» y los introduce en la
«consigna asimétrica» con su llave privada y se marcha.
34. Integridad
Escenario:
Al día siguiente, Luis solicita la llave pública de la consigna de Pedro
y extrae el contenido, en este caso el mensaje y el número. Antes
de leer el mensaje lo introduce en el «generador de resumen», y al
igual que antes, le proporciona un número que resulta ser el mismo
que el que se encontraba en la consigna junto con el mensaje. Luis
los compara y, en ese momento, está seguro de dos cosas:
● Gracias a la consigna asimétrica sabe que el contenido que
había en la consigna lo dejó Pedro y que nadie más pudo
hacerlo.
● El mensaje es auténtico, es decir, no ha sido alterado mientras
estuvo almacenado en la consigna. Por tanto, ha podido
verificar la integridad del mensaje. Ésta es precisamente la
función del «generador de resumen».
35. Integridad
El «generador de resumen» es en realidad un algoritmo matemático,
pero para nosotros es como una caja negra (no conocemos lo que
ocurre dentro, pero tampoco hace falta) en la que introducimos un
mensaje y obtenemos un número. En realidad, no obtenemos un
número sino un conjunto de números y letras, tal que
32jhsd9hdhdg3h4j5j38dhd2hsdo924hfkfk5ds7wg9qtw2fccqq5s6f2j53io98o4p
A este conjunto de letras y números se le denomina «resumen» y
opera de la siguiente forma:
● Al introducir un documento en el generador de resumen,
obtenemos siempre un número muy similar al que hemos
mostrado y cuya longitud es siempre la misma.
● Por otro lado, no existen dos documentos que generen el
mismo «resumen». Si en un documento se cambia una
simple coma, el número obtenido será completamente
distinto.
36. Integridad
Así, un «generador de resumen» funciona como una
caja negra que es capaz de generar la «huella
dactilar» de un documento. Si el documento es
alterado o modificado, la «huella dactilar»
cambia.
Esta es la solución para comprobar la integridad
de un documento electrónico. Si unimos este
mecanismo al cifrado asimétrico, ya tenemos lo
básico para crear una firma electrónica.
37. No repudio
El no repudio, también conocido como irrenunciabilidad,
consiste en que el emisor o el receptor no puedan negar
haber participado en la comunicación. Podemos
distinguir dos tipos de de no repudio:
● No repudio en el emisor. Consiste en garantizar que
el emisor no pueda negar haber participado en la
comunicación, es decir, no puede negar que ha
enviado el mensaje o que ha firmado un documento
electrónico.
● No repudio en el receptor. Consiste en garantizar
que el receptor no pueda negar haber participado
en la comunicación, es decir, no puede negar que
ha recibido el mensaje.
38. No repudio
En la firma electrónica lo que buscamos es garantizar el no
repudio en el emisor.
Escenario:
Pedro guarda su clave privada en un pendrive en su casa. Un día
cualquiera, se produce un robo en su apartamento y sustraen
dicho pendrive junto con otras pertenencias. Días después
alguien ha usado la clave privada para realizar una firma
electrónica en su nombre. La firma electrónica incorpora
mecanismos que permiten garantizar el no repudio en una
comunicación, en este caso en la firma, pero en realidad son
mecanismos que garantizan que alguien firmó efectivamente
usando la clave privada de Pedro, pero como vemos, pudo no
ser él.
39. No repudio
La robustez de la firma electrónica depende de que
nadie más la conozca o pueda hacerse con ella.
40. No repudio
Escenario:
Pedro es el dueño de una empresa y dispone de una firma electrónica para
realizar todo tipo de trámites como dueño de la misma, pero no dispone
de mucho tiempo para ello, así es que confía la realización de todos sus
trámites en su secretaria personal, Lucía. Es tal la confianza que deposita
en ella, que incluso conoce la clave privada de Pedro y es la encargada
de firmar los documentos electrónicos que sean necesarios, eso sí,
informando previamente a su jefe.
El cifrado asimétrico incorpora una ventaja fundamental de cara a
garantizar el no repudio: la clave privada, en la que se basa toda la
seguridad del sistema de cifrado asimétrico, no es necesario enviársela
a nadie, solamente tiene que ser conocida por el emisor. Esto supone
una enorme ventaja de seguridad, puesto que reduce dramáticamente el
riesgo de que la clave pueda ser revelada o comprometida durante su
envío, como ocurre en el cifrado simétrico.
41. 3º de confianza
Escenario:
Supongamos que Pedro y Luis desean intercambiarse mensajes de forma
segura. Como hemos visto, la consigna asimétrica de Pedro permitía
que Luis estuviera seguro de que los mensajes provenían de Pedro y,
además, si Luis dejaba un mensaje, también tendría la seguridad de
que Pedro sería el único que lo recibiría.
Pero ahora Luis también desea garantizar esas dos cosas, de forma que
si Luis deja un mensaje a Pedro, este último tenga la seguridad de que
sólo lo ha podido dejar Luis y, al contrario, si Pedro le deja un
mensaje a Luis, Pedro tenga la seguridad de que sólo él podrá
recogerlo. Por tanto, Luis también alquila una consigna asimétrica
idéntica a la de Pedro.
Lo que acabamos de describir es equivalente a decir que tanto Pedro
como Luis disponen de una firma electrónica y, por tanto, pueden
firmar documentos electrónicos y pueden, gracias al cifrado
asimétrico, verificar la identidad del firmante, es decir, verificar que
efectivamente ellos han realizado la firma correspondiente.
42. 3º de confianza
Imaginemos que pudiera existir un punto débil en la
seguridad de lo que hemos planteado hasta ahora.
Ese punto débil podría transformarse en un
problema denominado «Man in the middle», que
se refiere a la posibilidad de que la comunicación
entre Luis y Pedro pueda ser interceptada y, por
tanto, que sea posible suplantar a alguno de los
interlocutores.
43. 3º de confianza
SUPUESTO «Man in the middle»
Con sus respectivas consignas asimétricas, Pedro y Luis se disponen a
intercambiarse mensajes de forma segura. Ahora supongamos que el
empleado de la recepción de las consignas, que además es el responsable
de la entrega de las llaves públicas, es en realidad un ladrón o un farsante
que trata de sacar algún beneficio engañando a los que usan las
consignas.
Cuando Luis le pide al empleado la llave pública de Pedro, en realidad el
empleado le proporciona otra llave falsa y elaborada a propósito.
Asimismo, cuando Pedro solicita la llave pública de Luis, también le
proporciona otra llave distinta y elaborada con ese fin. El problema
radica en que Luis o Pedro no saben si realmente la llave que les están
proporcionando les pertenece realmente o es una llave falsa.
El empleado en este caso se ha interpuesto en la comunicación, es decir,
está realizando un ataque conocido como «Man in the middle». En la
teoría, un ataque de este tipo podría permitir que el atacante
intercepte los mensajes y la identidad de los interlocutores pueda ser
suplantada.
44.
45. 3º de confianza
Es necesario contar con algún mecanismo que posibilite asociar
una identidad de forma robusta a una llave pública, de forma
que además se pueda verificar que efectivamente dicha llave
pública pertenece a la persona u organización en cuestión.
De nuevo la solución proviene del cifrado asimétrico, pero
introduciendo una figura conocida como tercero de confianza. El
tercero de confianza es básicamente una organización que puede
emitir un certificado electrónico, que no es más que un
documento electrónico que incorpora la identidad de una
persona o una organización, junto con su par de claves,
pública y privada.
El tercero de confianza es una organización independiente que
está acreditada y certificada para emitir certificados
electrónicos, tanto a personas, como a organizaciones o
empresas, de forma que mediante éstos pueda verificarse la
identidad del firmante.
46. Certificado electrónico
Luis y Pedro conseguirían su correspondiente certificado
electrónico que incorpora además la clave pública de cada
uno de ellos.
De esta forma, en vez de intercambiarse directamente las claves
públicas, a partir de ese momento se intercambian sus
respectivos certificados electrónicos, que ya incorporan la
clave pública.
Así, Pedro puede verificar que efectivamente la clave pública
pertenece a Luis, puesto que el certificado digital así lo indica
y que, además, dicho certificado ha sido emitido por una
entidad reconocida y de confianza. Con la clave pública del
certificado puede además comprobar quién ha emitido ese
certificado y podrá comprobar que ha sido el tercero de
confianza. Luis podrá realizar el mismo proceso.
47. Por ahora...
Hemos conseguido una firma electrónica que
cumple:
● capacidad de verificar el origen de la firma
● integridad del documento firmado
● garantía del no repudio
● posibilidad de verificar la identidad del firmante
● Contamos con la figura del tercero de confianza, que
emite certificados electrónicos necesarios para que
el proceso de firma sea más seguro y sea posible
asociar una identidad a la firma electrónica.
48. Dispositivo seguro
Volvamos a la Ley de Firma Electrónica, que dice:
● Art. 3.3) Se considera firma electrónica reconocida la
firma electrónica avanzada basada en un certificado
reconocido y generada mediante un dispositivo
seguro de creación de firma.
No basta que los distintos elementos que intervienen sean
seguros por si solos, sino que, además, hace falta que éstos
sean combinados durante el proceso de firma, también de
forma segura.
Podemos afirmar que el DNI electrónico cumple perfectamente
con los requisitos que marca la Ley ya que el DNI electrónico
está certificado como dispositivo seguro de creación de firma.
50. Aplicaciones y usos
La firma electrónica es más versátil y potente que la firma
manuscrita y, desde luego, puede ser utilizada de formas muy
interesantes:
Ejemplo 1:
Pedro tiene una empresa y necesita realizar múltiples trámites
con las distintas administraciones, como las declaraciones de
IVA, altas y bajas de trabajadores, tramitación de
diversos impuestos, etc. Gracias a que Pedro cuenta con un
certificado digital en el que figura su identidad, puede
acceder de forma sencilla y segura a distintos servicios web
donde realizar dichos trámites. Además, gracias al certificado
y a su clave privada puede firmar digitalmente documentos
electrónicos que luego puede enviar a través de correo
electrónico o de la web.
51. Aplicaciones y usos
Ejemplo 2:
Luis es un usuario típico de Internet y utiliza su ordenador
para el día a día puesto que le aporta muchas ventajas.
Realiza diversos trámites con las administraciones, como
obtener su vida laboral, pagar sus impuestos, solicitar
documentos o certificados, etc. Por otro lado, utiliza la
banca online, y suele comprar libros u otros bienes a
través de Internet. Al igual que a Pedro, el uso de los
distintos servicios online le aporta muchas ventajas.
52. Actividad
Escenario 3:
Pedro se ha propuesto hacer un mayor uso de las tecnologías de la
información dentro de su organización. Uno de los mayores
problemas a los que se enfrenta día diario es la gestión y
mantenimiento de todo el archivo en papel que guarda en una de
las salas que hay en las oficinas de su empresa. No hay mucho
sitio y le gustaría eliminar por completo dicho archivo en papel.
Ha oído hablar de una tecnología conocida como escaneo
certificado de documentos que permite convertir un archivo en
papel en un archivo totalmente digital con un conjunto de
garantías y opciones de seguridad muy interesantes, gracias
precisamente a la firma electrónica.
¿Cómo puede ayudarnos la firma electrónica en un escenario como
este?
53.
54. Aplicaciones y usos
Escenario 4:
A Luis le gusta desarrollar programas y aplicaciones en su
tiempo libre. Una de sus preocupaciones, como desarrollador,
es garantizar que el cliente esté totalmente seguro de que ese
programa proviene de Luis y que no ha sufrido ningún tipo
de alteración. Sabe que hoy en día es muy común que los
programas legítimos, como los que él desarrolla, sean usados
por ciber delincuentes para introducir algún tipo de
troyano o (malware y, de esta forma, infectar el ordenador de
un usuario o los ordenadores de una organización. Para Luis
la seguridad de sus clientes y la confianza en sus aplicaciones
es fundamental para su negocio, así que decide usar la firma
electrónica para evitar que sus programas puedan ser usados
de forma ilegitima o para actividades dañinas.
55. Aplicaciones y usos
Hay muchas más pero básicamente debemos pensar que allí
donde exista la necesidad de garantizar la procedencia o la
integridad de un programa, un documento, o cualquier
otro tipo de dato o información electrónica es posible usar
la firma electrónica y ésta cumplirá perfectamente estos dos
cometidos.
Teniendo en cuenta otras propiedades de la firma electrónica,
como el no repudio o el tercero de confianza, ésta puede ser
utilizada en todo tipo de comunicaciones para garantizar el
origen y el no repudio de una comunicación.
56. Aplicaciones y usos de la firma electrónica
● Usos de la firma electrónica, donde
conoceremos los diversos usos y
aplicaciones que tiene la firma electrónica.
● La firma electrónica en la práctica, donde
que realizaremos varios casos prácticos del
uso de la firma electrónica.
57. Usos de la firma electrónica
Nos apoyaremos en un usuario ficticio, a través del
que desarrollaremos un conjunto de ejemplos
que nos ayudarán a entender mejor dónde usar la
firma electrónica y cuáles son las ventajas que
aporta.
Nos apoyaremos en los distintos tipos de
certificados que existen para dar a conocer
algunos de los escenarios donde es posible
utilizar la firma electrónica.
58. Firma y CE
Funciones del CE:
● Incorpora datos relativos a la identidad de un tercero físico
(persona) o de una entidad jurídica (empresa, organización, etc.).
● Permite asociar una identidad durante el proceso de firma, de
forma que podemos asociar los datos de identidad que incorpora
el certificado a la firma electrónica resultante.
● Al ser emitido por un 3º de confianza, permite dotar de mayor
seguridad a la firma electrónica.
● Puede incorporar más información que la relativa a la identidad del
titular, como su cargo, los poderes que le han sido otorgados para
la firma con ese certificado electrónico, etc. Esta información a
mayores permite personalizar y crear distintos tipos de
certificados electrónicos, mediante lo que se conoce como
atributos.
● Es posible también construir certificados para propósitos
específicos, como cifrado o para establecer canales de
59. Tipos CE
Existen distintas formas de clasificar los
certificados electrónicos:
● según el tipo de identidad que incorporan
– aquellos que incorporan la identidad de tercero físico
o ciudadano
– aquellos que incorporan una identidad jurídica
60. Tipos CE
Existen distintas formas de clasificar los certificados electrónicos:
● según el ámbito de aplicación
– certificado de servidor
● Identidad sitio web
● Cifrado de comunicaciones (https)
– certificado de código
– certificado de pertenencia a empresa
– certificado de representante
– certificado de funcionario
– certificado de apoderado
– certificado de factura electrónica
– certificado de cifrado de contenidos
– certificado de sello de empresa
● según el soporte
– certificados software
– certificados hardware
61. Obtener CE
El proceso de obtención varía en función de la autoridad de
certificación emisora, aunque principalemente se compone de
los siguientes pasos:
● Generación de solicitud: se realiza generalmente a través
de una web introduciendo una serie de datos
personales. Obtendremos un código de solicitud.
● Acreditación de la identidad: En una oficina de registro
el usuario debe acreditarse y además identificar la
solicitud realizada de forma telemática.
● Obtención del CE: También varía en función de la
entidad de certificación emisora. Puede ser remitido
telemáticamente o entregado en mano.
62. Revocación CE
Revocar un certificado puede suponer cancelar la validez del
mismo de forma independiente del intervalo de validez.
Los motivos son variados:
● El más habitual es la posibilidad de que se haya visto
comprometida la clave privada.
● Otro posible moivo es que algún dato de los contenidos
en el CE deje de ser válido.
Para revocar un certificado es necesario comunicárselo a la
autoridad de certificación por los medios habilitados
(internet, teléfono...)
Una vez revocado, ninguna firma realizada con él tendrá
validez legal.
63. 3º de confianza
Relación de Prestadores de Servicios de certificación en España
64. Firma nativa Vs no nativa
La firma electrónica es un proceso en el que
interviene un conjunto de elementos encabezado
por un certificado electrónico. En función del
tipo podremos realizar la firma electrónica de
un determinado tipo de documentos o de otro
tipo de archivos electrónicos.
Ahora bien, desde el punto de vista del programa
que usemos para realizar la firma, existen dos
caminos para llevarla a cabo, y son los siguientes:
● firma nativa de documentos electrónicos
● firma NO nativa de documentos electrónicos
65. Firma nativa
La firma nativa consiste en realizar el proceso de firma de
un documento electrónico con el mismo programa o
aplicación con el que fue creado dicho documento.
La firma nativa facilita la labor a la persona que crea el
documento, puesto que no hace falta utilizar otra
herramienta.
66. Firma nativa
Inconvenientes:
● El programa que usamos para generar el documento
ha de soportar la firma electrónica, y no siempre
es así.
● Estamos asociando el proceso de firma a un formato
de documento específico. Pero, ¿qué ocurre
queremos usar otro formato distinto o
necesitamos generar otro tipo de documento?
● Si el receptor quiere comprobar la firma electrónica
deberá disponer del mismo programa con el que
ha sido creado y eso no siempre es posible.
67. Firma NO nativa
Consiste en usar herramientas de firma electrónica
capaces de firmar cualquier tipo de documento
electrónico.
Basta con tomar el documento electrónico y realizar
la firma con una de estas herramientas. A
continuación, podemos enviar el documento
resultante de la firma a través de Internet, pero la
persona que lo reciba tiene que disponer de la
misma herramienta con la que lo hemos
firmado.
68. Firma NO nativa
En este caso lo que se genera es un documento
(recuadro verde) con un formato especial y
específico del programa de firma utilizado, dentro
del cual está incorporado el documento original y
además la firma electrónica del documento.
69. Firma NO nativa
Ventajas:
● Existen herramientas de este tipo, gratuitas, como
eCoFirma, del MITYC.
● No es necesario que nuestro interlocutor disponga de
una herramienta asociada a un formato concreto.
● Muy interesante en el ámbito de la Administración
Pública, puesto que al ciudadano se le proporciona
la propia herramienta de firma electrónica.
71. Lo primero...
Abrimos el firefox
Conseguimos un
certificado de
software “de prueba”
en Albalia, y nos
descargamos tanto el
de la CA como el
PKCS#12
72. Escenario
Con ella vamos a
aprender a utilizar la
firma electrónica en
dos escenarios
básicos:
Lucía dispone de un certificado ● firma nativa de
electrónico correctamente
instalado en su ordenador, lo
documentos
que se conoce como electrónicos
certificado software o un
certificado en soporte
● firma NO nativa de
hardware, como es el caso del documentos
DNI electrónico. electrónicos
73. Firma digital de email
Para firmar correos en MS Outlook debemos
primero agregar la firma y después disponer los
iconos en el compositor de correo. Empezamos
por “Herramientas” > “Opciones” >”Seguridad”,
donde pulsaremos y seleccionaremos las
opciones:
● Cifrar contenido y datos adjuntos para mensajes
salientes
● Agregar firma digital a los mensajes salientes
Pulsamos es “Configuración”...
74. Firma digital de email
Nos mostrará una ventana rotulada “Cambiar la
configuración de seguridad” con los campos en
blanco. Pulsamos “Elegir” en el apartado
Certificados y algoritmos...
75. Firma digital de email
Seleccionamos el certificado
(software o hardware) que
queremos usar para firmar
y/o cifrar los mensajes,
Se rellenan automáticamente
los apartados de
“Certificados y
algoritmos” con la info
predeterminada. Es
aconsejable poner un
nombre a nuestra
configuración de
seguridad, como “Firma
Lucía ciudadana”
76. Firma digital de email
Comprobando la firma de un correo
Cuando recibimos un correo
firmado, aparece con un
pequeño candado azul en
la bandeja de entrada.
Una vez abierto, veremos
que en la parte superior
derecha aparece el botón
para comprobar el
certificado.
Si lo pulsamos, podremos
comprobar su validez.
77. Firma digital de email
Si tuviésemos varias
Configuraciones de
Seguridad podríamos elegir
de la lista la que deseamos
usar como predeterminada.
Pulsamos aplicar y aceptar.
Cada vez que queramos firmar
un mail en la ventana de
redacción tendremos dos
iconos: “firmar” (en rojo) y
“cifrar” (en azul).
Seleccionarlos para ejecutar
la acción que deseamos.
78. Firma nativa pdf
Lucía ha descargado un documento PDF que se ha
generado durante un trámite que estaba llevando a
cabo en uno de los portales web que la
Administración Pública pone a disposición de los
ciudadanos.
Lo guarda en su escritorio y se dispone a abrirlo.
Como es un documento PDF, al pinchar dos
veces sobre él se abre el correspondiente visor de
PDF, por ejemplo, Acrobat Reader.
¿Podría firmarlo electrónicamente con el propio
Acrobat Reader?
79. Actividad
1. Abrimos con el Acrobat el documento pdf de la carpeta de red.
2. Editar>Preferencias>Seguridad>Ver documentos en vista previa al firmar.
3. Documento>Configuración de Seguridad>Digital Ids>Add ID>Mi ID digital desde un fichero>Seleccionamos el .p12
que hemos descargado e introducimos el PIN>Finalizar
4. Opciones de uso>Usarlo para firmar
5. Cerramos la ventana.
6. Rellenamos el pdf
7. Procedemos a la firma: Documento>Firmar>firmar documento
8. Seleccionamos el área con el ratón donde queremos que aparezca la firma.
9. Nos saldrá una ventana emergente, Continuar.
10. En la barra suprior, clicamos en firmar documento, seleccionamos nuestra firma, introducimos el PIN, cerramos el
documento después de la firma y “Firmar”
11. Lo guardamos cambiándole el nombre a blablabla_firmado.pdf
12. Cerramos el documento.
13. Lo volvemos a abrir. Nos dirá que hay algún problema con la firma. Hacemos click en Panel de firmas y desplegamos
el aviso.
14. ¿Por qué hay problemas?¿Cuál es la causa?
Ayuda: Firmar un pdf con Adobe Acrobat 9 estandar
80. Firma nativa MS Word
Lucía ha terminado de escribir un documento en
Microsoft Word y se dispone a firmarlo.
Accede al botón principal del programa y
selecciona el menú «Preparar». En él observa una
opción que dice «Agregar una firma digital».
81. Firma nativa MS Word
El programa busca los certificados electrónicos que hay en su ordenador y, una vez
que los encuentra, los muestra en la pantalla.
Ahora Lucía dispone de un documento firmado electrónicamente que podrá
enviarlo por correo electrónico, por ejemplo, para realizar un trámite que requiera
entregar un documento firmado.
82. Firma no nativa con eCoFirma
Cuando su amiga recibe el correo electrónico, lo
abre y, para su sorpresa, no ve nada distinto. De
hecho, con su versión de Word no puede ver que
el documento está firmado. Lo extraño es que no
puede modificar el documento, pero tampoco
puede ver la firma electrónica que supuestamente
incorpora el documento.
Lucía se descarga eCoFirma (java, multiplataforma)
desde la web del MITyC
83. Firma no nativa con eCoFirma
Una vez que ha creado el documento, inicia el
programa ECOFIRMA pinchando en el icono de
la aplicación.
84. Firma no nativa con eCoFirma
Es posible firmar más de un documento a la vez.
85. Firma no nativa con eCoFirma
Con esta herramienta es posible firmar todo tipo de documentos
electrónicos. El programa no abre el documento que vamos a
firmar, simplemente toma el fichero directamente y lleva a cabo el
proceso de firma electrónica. Por eso, luego debe guardar el
resultado de alguna forma y, para ello, utiliza un formato
específico y propio de esta herramienta.
Este fichero resultante de la firma electrónica, incorpora en su
interior dos cosas:
● el documento original, en este caso el documento de Word
● la firma electrónica del documento
Luego, una vez terminado el proceso de firma, el resultado será
almacenado en este nuevo documento que, por defecto, se llamará
igual que el documento original, pero tendrá la extensión XSIG.
86. Firma no nativa con eCoFirma
Lucía ya tiene el documento firmado, y decide enviárselo a su amiga
por correo electrónico, indicándole en el correo que para ver el
documento necesita el programa ECOFIRMA.
87. Firma no nativa con eCoFirma
Su amiga se descarga e instala el programa ECOFIRMA y procede a abrir el documento
que le ha enviado Lucía. Para ello, primero ejecuta el programa y pincha en la opción de
«Validar firma».
88. Firma no nativa vía web
(Izenpe)
Nos vamos a la web de Izenpe, en concreto a “Gestiona tu
certificado” en “productos y servicios”.
Pulsamos en “Firma de documentos”
Igual nos sale un feo warning de seguridad del applet java. Nos
fiamos (aunque no deberíamos). Le damos a “Run”. Una vez
cargada la página de firma de documentos tenemos un botón para
examinar nuestro disco duro en busca del documento que
queremos firmar.
89. Firma no nativa vía web
(Izenpe)
En la ventana emergente, seleccionamos el archivo a firmar y
pulsamos en “Abrir” y se nos cargará en la web. Comprobamos
que es el que queremos y pulsamos en “Firmar”.
Si usamos un certificado software, necesitaremos el archivo aquel de
claves PKCS#12
90. Firma no nativa vía web
(Izenpe)
Seleccionamos el fichero .p12 que nos descargamos de Albalia
Introducimos nuestro PIN
91. Firma no nativa vía web
(Izenpe)
Seleccionamos el certificado
Como el nuestro es “de juguete”, no lo puede verificar, pero continuamos igualmente. Esto
no pasa con certificados reconocidos (sean software o electrónicos, eDNI, por ejemplo).
Nos pregunta de nuevo si queremos firmar con ese certificado ese archivo.
Comprobamos y aceptamos.
92. Firma no nativa vía web
(Izenpe)
Termina el proceso de firma, el cual genera un archivo en el mismo
directorio del fichero origen y con la palabra”signed” en el nombre.
Si no queremos firmar otro documento, podemos pulsar en “Salir”, o, por el
contrario, pulsar “Firmar otro documento” y repetir el proceso.
93. Firma no nativa vía web
(Izenpe)
Verificar documentos firmados
Volvemos a la “Home” de Izenpe, y esta vez nos vamos a
“Verificación de documentos”.
Seleccionamos el documento firmado (el de antes, por ejemplo) y
pulsamos “verificar”.
Como el documento lo habíamos firmado con un certificado “de
pega”, obviamente no lo valida.
94. Firma no nativa vía web
(Izenpe)
Verificar documentos firmados
Si el fichero hubiera sido firmado con un certificado reconocido, se iniciará
el proceso de verificación, y deberemos esperar a que termine para
continuar.
Cuando el proceso termina, la ventana nos mostrará los datos del firmante,:
Nombre, Tipo de Certificado, Autoridad Emisora y período de validez.
Para poder visualizar el contenido del archivo, se debe descargar el
documentodesde el enlace que provee la página, debajo de los datos del
firmante.
95. Firma no nativa vía web
(Izenpe)
Verificar documentos
firmados
Y elegimos si deseamos
visualizarlo o
descargarlo a nuestro
ordenador.
Sea cual sea, podremos
visualizar el contenido
del documento.
96. Enlaces interesantes
Excelente blog sobre firma y eAdministración
Página para solicitar el certificado de la FNMT
Portal oficial del DNIe