Qué es y cómo tramitar la firma digital de forma gratuita

Cuando se habla de Firma Digital suelen presentarse diversas confusiones ¿Es lo mismo que una firma digitalizada? ¿Tiene la misma validez legal que una firma manuscrita? ¿Qué costo tiene su implementación? ¿Cuáles son los beneficios de utilizarla y qué medidas de seguridad debo tener en cuenta? ¿En qué se diferencia con la firma electrónica? Si alguna vez te hiciste alguna de estas preguntas te invitamos a seguir leyendo este posteo. De una manera simple y resumida te contaremos todo lo que tienes que saber al respecto.

Reglamentación legal en Argentina

La ley 25.506 del año 2001 es la normativa vigente que reconoce y establece las condiciones para la utilización de la Firma Digital y Electrónica en Argentina y determina su eficacia jurídica. En su artículo 2 la regulación conceptualiza a la “Firma Digital” de una manera muy específica, por lo que tenemos que estar muy atentos a cada uno de los requisitos previstos, pues ante la carencia de uno de ellos, la firma será considerada “electrónica” y su valor probatorio será diferente.

“Se entiende por Firma Digital al resultado de aplicar a un documento digital un procedimiento matemático que requiere información de exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma”.

A continuación, se efectuará una explicación breve pero detallada de cada una de las partes de esta definición:

  • La aplicación de esta tecnología sólo tiene sentido en un documento digital, que es una representación digital de actos o hechos con independencia del soporte utilizado para su fijación o almacenamiento (art. 6). Es decir, que pueden ser archivos de “Word”, en formato PDF, correos electrónicos, páginas web, planillas electrónicas de cálculo y toda otra información incluida en un soporte electrónico. En este punto cabe destacar que, si firmamos digitalmente un documento y luego lo imprimimos, este pierde las características consagradas por la ley.

  • Es muy importante no perder de vista que la Firma Digital es el resultado de aplicar un procedimiento matemático: es un algoritmo que está anexado al documento digital. De tal forma, el logo que señala “firmado digitalmente” por sí solo no tiene valor. Debe efectuarse un proceso tecnológico específico para firmar y luego otro para autenticar esa firma.

Para entender técnicamente lo que ocurre en “segundo plano” al aplicar esta tecnología, tenemos que reconocer un par de conceptos previamente:

  A. La seguridad de la técnica abordada en este posteo está garantizada por la “Criptografía Asimétrica”, que es un método criptográfico que se caracteriza por poseer dos claves. Son distintas, pero están relacionadas matemáticamente, de tal modo que lo que se encripta con una sólo se puede desencriptar con la otra (siempre funcionan en conjunto). A este par se lo conoce como “Clave Pública” y “Clave Privada”. Esta última de dominio exclusivo y solo conocida por el firmante.

  B. Por otra parte, nos referiremos a la función “hash”, la cual transforma cadenas de bits de longitudes arbitrarias pero finitas, en otras cadenas de longitud fija de n-bits. En otras palabras, devuelve como resultado una misma longitud fija de caracteres, independientemente del tamaño del documento. Es una especie de resumen y, por lo tanto, dos documentos pueden parecer a simple vista idénticos, pero al poseer distintos hashes no pueden considerarse que son los mismos.

eniendo en cuenta los conceptos desarrollados anteriormente, podemos proceder a explicar como una aplicación firma digitalmente un documento y luego comprueba su autenticidad.

Al efectuar la Firma Digital, se llevan a cabo los siguientes pasos:

  1. El software calcula el hash criptográfico del documento a firmar.   2. Se procede a cifrar el hash recientemente calculado con la clave privada del emisor (se solicitará en este momento la contraseña con la que el usuario la protegió).

  3. Finalmente, el hash cifrado se anexa junto con otros datos al documento (fecha y hora de firma, datos del firmante, etc.).

Para llevar a cabo el procedimiento de autenticación de la Firma Digital, el receptor debe poseer la clave pública del emisor (contenida en su certificado digital). Posteriormente:

  1. El software calcula el hash criptográfico del documento.   2. Luego, descifra el hash incorporado en la firma digital con la clave pública del emisor.

  3. Se comparan los resultados obtenidos en los pasos anteriores.

Si los hashes obtenidos en el apartado 1 y 2 son idénticos, el receptor puede asegurar lo siguiente:

  A. Integridad: el documento no fue modificado desde el momento de la firma.

  B. Autenticación y no repudio: la clave privada con que se firmó concuerda con la clave pública (recordar que ambas están relacionadas matemáticamente y que la clave privada sólo es conocida por el emisor, debido a que es información de su exclusivo conocimiento). Por lo tanto, el firmante queda de este modo autenticado.

Siguiendo con la explicación de la definición anteriormente presentada:

- Este sistema debe ser susceptible de verificación por terceras partes: para otorgar confiabilidad al procedimiento de firma y autenticación, es preciso garantizar que la clave pública pertenece al firmante. Es por ello que toma relevancia el concepto de “Infraestructura de Clave Pública” (PKI, en inglés), que es quién regula la emisión y distribución de las claves.

Los Certificados Digitales son documentos firmados digitalmente por una Autoridad Certificante (CA) que acreditan que una clave pública pertenece a un determinado individuo o entidad. Estos se pueden autenticar de la misma forma que cualquier otro documento con Firma Digital. Para profundizar este punto, recomendamos consultar el capítulo II de la ley 25.506 “de los certificados digitales” y el estándar X.509 que especifica los formatos estándares para certificados digitales y el algoritmo de validación de la ruta de certificación, entre otros aspectos.

Para finalizar con este apartado, retomemos un concepto mencionado anteriormente. La norma indica que, si la firma carece de alguno de los requisitos legales para ser considerada firma digital, entonces se estará en presencia de una firma electrónica ¿Y qué implica eso? Si una persona niega o desconoce una Firma Digital, es ella la que debe probar que es falsa. Caso contrario, si se niega o desconoce una firma electrónica, es la otra parte quién debe probar su veracidad. En todos los casos en que una reglamentación exija la firma digital, no será suficiente con una firma electrónica.

Beneficios de su implementación

Los principales beneficios que presenta su implementación son:

  •Los documentos electrónicos firmados digitalmente tienen la misma validez jurídica que aquellos firmados de forma ológrafa. Cuando la ley requiera una firma manuscrita, la exigencia también queda satisfecha mediante la Firma Digital (art. 3), salvo excepciones del artículo 4 de la ley antes mencionada.

  •Es factible utilizarla para diversos trámites en instituciones públicas y privadas y firmar cualquier tipo de archivo digital.

  •Es posible identificar a la persona que firmó digitalmente y este no puede negar o repudiar su existencia o autoría. Se presume, salvo prueba en contrario, que la Firma Digital pertenece al titular del certificado digital que permite la verificación de la firma (art.7).

  •Si el resultado de la verificación de una Firma Digital es válido, se presume, salvo prueba en contrario, que el documento no ha sido modificado desde el momento de su firma (art. 8).

  •Los documentos electrónicos firmados digitalmente son considerados originales y poseen valor probatorio (art. 11).

  •La exigencia legal de conservar documentos, registros o datos, queda satisfecha si están firmados digitalmente, siempre que sean accesibles para su posterior consulta (art. 12).

  •Permite automatizar procesos, otorga flexibilidad y ubicuidad, ahorro de tiempo y dinero, contribuye al medio ambiente, permite analizar la trazabilidad de los instrumentos electrónicos, entre otros.

Procedimiento para obtener la Firma Digital

Lo primero que hay que hacer es solicitar un turno a través de Internet y luego dirigirse a la “Oficina de Registro” seleccionada, en la fecha y horario asignado. Cabe aclarar que el trámite es gratuito y tiene validez en todo el territorio nacional. Puede generarse a través de dos vías:

  • Remota (con celular): en este caso deberá instalarse el “autenticador de Google” en el teléfono móvil. Este mecanismo sólo puede ser llevado a cabo por personas humanas y sirve únicamente para firmar digitalmente archivos en formato PDF a través del “firmador” al que se accede por la web.

  • Token: se debe asistir con el dispositivo que debe ser adquirido previamente. Luego se podrán firmar y autenticar documentos a través de aplicaciones específicas como ser “XolidoSign” o “Adobe Acrobat Reader”.

Servicios relacionados

Al momento de implementar esta tecnología en una organización, existen servicios que suelen ofrecer consultoras especializadas en relación a la Firma Digital, los cuales incluyen típicamente:

  •Planificación detallada del proyecto.

  •Matriz de riesgo con las principales situaciones vinculadas a la implementación, su probabilidad de ocurrencia e impacto para el negocio. Detección de Fortalezas, Oportunidades, Debilidades y Amenazas.

  •Gestión de los turnos para la obtención del certificado digital.

  •Elaboración de un cronograma en donde se especifica el momento en que los colaboradores deberán dirigirse a la “Oficina de Registro” más cercana a su domicilio.

  •Evaluación de la cantidad de dispositivos token que serán necesarios, teniendo en cuenta los procesos críticos del negocio y los referentes que intervienen.

  •Confección de un Plan de Capacitación sobre aspectos legales y tecnológicos, uso de contraseñas seguras y utilización del software para firmar digitalmente y autenticar firmas.

  •Reingeniería de procesos para la puesta en funcionamiento de esta tecnología.

  •Configuración de la aplicación elegida para firmar digitalmente y confección de la documentación asociada.

  •Realización y aprobación del procedimiento para el almacenamiento de los documentos digitales y sus respectivas copias de seguridad (backup).

  •Instalación de los certificados “raíz” e “intermedios” en todas las estaciones de trabajo.

  •Asesoramiento por parte de profesionales idóneos, calificados y con experiencia.

Desde BASE4 Security SA proveemos dichos servicios, en los cuales aplicamos toda nuestra experiencia en la industria, tanto en el aspecto técnico como en el de gestión.-