¿Cuáles son los requisitos de una firma digital segura?

Tras la actual crisis mundial sanitaria propiciada por el escenario del Covid- 19, la firma digital de documentos ha adquirido mayor protagonismo puesto que el uso de medios electrónicos para la realización de nuestras gestiones se ha convertido en algo imprescindible.

La adopción de determinadas medidas y políticas de ciberseguridad para realizar nuestro trabajo en remoto de un modo confiable es mandatorio en estos momentos. Y es por ello, que tenemos que ser conscientes de qué soluciones de firma digital son verdaderamente confiables y cuáles de éstas tienen, realmente, validez en términos jurídicos y legales.

Una firma digital segura debe ser aquella que vincula, fehacientemente, la identidad del firmante con el documento firmado. A la vez que se identifica y valida al emisor de la firma y se dota de integridad al contenido firmado, no pudiendo ser alterado por parte de los ciberdelincuentes.

No existe el repudio y hay autenticidad tanto del firmante como de lo firmado.

La única manera de cumplir con estos requerimientos, es que nuestra firma se sustente en las claves criptográficas de los certificados digitales, y éstos se almacenen y custodien en un HSM o módulo hardware de seguridad, cuyo hardware será más competitivo si está certificado internacionalmente, como es el caso de FIPS y/o Common Criteria.

¿Pero son seguras todas las opciones a las que llaman firma digital?

Rotundamente no, como ya he mencionado en anteriores post de mi blog, no debemos confundir lo que es la firma digital segura, cuyas claves empleadas no se comprometen al estar protegidas en un HSM. Sin embargo, se observa que todavía hay un gran número de organizaciones que siguen realizando una mala praxis en dicho proceso, emplean la firma electrónica basada únicamente en software, y por ello son más vulnerables al riesgo de ataque por parte de los ciberdelincuentes.

Una gran diferencia entre la firma digital robusta, llamada así por su tecnología criptográfica y la firma electrónica y la firma digitalizada, es que la apropiación indebida de la firma digital podemos decir que es inexistente; mientras que, en los casos de la firma electrónica y digitalizada, la usurpación y suplantación es más fácil de realizar por parte de los avezados hackers (por ejemplo: imitar una firma manuscrita escaneada, perder o ser sustraído un USB con el software de una firma…) En definitiva, una gran diferencia que compromete o no la seguridad y la confianza.

Para profundizar más en este ítem os comparto los post de mi blog,
Firma electrónica y firma digital: ¿sinónimos o conceptos diferentes? Y ¿Por qué llamamos electrónica a la firma digital?

Sólo la firma digital criptográfica aporta robustez tanto en términos legales como técnicos, lo que protege la identidad digital y la veracidad del documento firmado.

En definitiva, si queremos confiabilidad, directamente relacionada con la autenticidad y la integridad, debemos apostar por la implementación y el uso de un modelo de firma digital cuyo valor sea el mismo que si estampáramos nuestra firma manuscrita.

Y, ante todo, no pensar en el uso de la firma digital como algo transitorio por la actual coyuntura, sino ser conscientes del ahorro de costes, efectividad y rapidez que la firma digital aporta a nuestras gestiones corporativas, ya sean de tipo administrativo, comercial…o de cualquier otra índole.

Sin comentarios

Sorry, the comment form is closed at this time.