Todo sobre la firma electrónica: identificación y autenticación
Resulta indiscutible que una de las pequeñas revoluciones a la que hemos asistido en estos últimos años es a la adaptación del mundo de la empresa, autónomos y micropymes a la firma electrónica o digital (certificado digital). Te contamos todo lo que necesitas saber sobre la identificación y autenticación.
El salto definitivo en la popularización de la firma electrónica se produce en los años de la pandemia en los que se hacía necesario continuar tratando con las administraciones públicas pero con los inconvenientes de la dificultad de movimientos debido a las reclusiones, la obligación de cita previa para relacionarse con la burocracia, etc.
Ya son más de 10 millones de certificados digitales emitidos a fecha 2023. Sin duda ha sido la circunstancia que ha motivado la expansión de esta ya generalizada identificación digital para autenticarnos online con las administraciones multinivel (locales, provinciales, autonómicas y estatales, Agencia Tributaria, Seguridad Social) y no vernos obligados a ralentizar nuestra actividad económica.
Para ayudar a identificar los diversos modos que disponemos para dicha identificación legal y autenticación vamos a explicar en qué consiste el certificado digital, autofirma, DNI electrónico, clave o el futuro identificador europeo digital.
Autoridades de certificación
Una Autoridad de Certificación tiene como misión garantizar la validez de los certificados digitales o firma electrónica emitidos por ellas, emitiendo y revocándolos haciendo posible que en todo momento sea posible conocer el estado de dicho certificado.
Legislación
Tanto la Unión Europea como España han regulado diversos aspectos sobre la materia. Para un conocimiento exhaustivo dispones para consultar el marco regulatorio español y europeo sobre el certificado digital o firma electrónica:
Marco español
- Ley 6/2020 de 11 de noviembre, reguladora de determinados aspectos de los servicios electrónicos de confianza.
- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
- Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
- Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Derogada por Ley 39/2015 y 40/2015.
- Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Información.
- Real Decreto 1671/2009, de 6 de noviembre, por el que se desarrolla parcialmente la Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos. Parcialmente derogado por Ley 39/2015 y 40/2015.
Marco Europeo
Reglamento (UE) nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE.
El objetivo del Reglamento es el establecimiento de un marco jurídico claro que garantice el reconocimiento transfronterizo de identidades electrónicas, la interoperabilidad de la firma electrónica y otros servicios de confianza tales como los sellos electrónicos o los sellos de tiempo, posibilitando las comunicaciones electrónicas entre ciudadanos, empresas y Administraciones Públicas y potenciando el comercio y la administración electrónica.
El nuevo reglamento se divide en dos grandes bloques:
- Identificación electrónica: los sistemas (nacionales) de identificación electrónica que sean objeto de notificación y publicación en la lista de la Comisión y posteriormente en el Diario Oficial de la UE, permitirán realizar autenticación transfronteriza para los servicios prestados en línea por organismos del sector público de un Estado miembro.
- Servicios de confianza: los servicios de confianza son servicios electrónicos prestado por un Prestador de Servicios de Confianza consistente en:
- Creación, verificación y validación de firmas electrónicas sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios,
- Creación, verificación y validación de certificados para la autenticación de sitios web,
- Preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.
Identificación y autenticación
Hay dos modelos principales de firma electrónica para identificación y/o autenticación: las firmas basadas en códigos y en certificados. Los códigos se pueden generar de forma gratuita y no requieren de un tercero de confianza, como ocurre con los certificados, pero también se debe ser consciente que los códigos son más fáciles de piratear que los certificados que ofrecen un nivel superior de seguridad.
Autofirma
Una de las herramientas de autenticación e identificación muy relacionado con las gestiones digitales especialmente con las Administraciones Públicas es Autofirma, disponible gratuitamente para todos los ciudadanos.
Implementada por el Ministerio de Hacienda, Autofirma sirve para para presentar telemáticamente documentos firmados electrónicamente con alguno de los certificados digitales que tengas instalados. Dispone de versiones para Windows, macOS y GNU/Linux.
La firma del certificado digital que utilices quedará insertada en los metadatos del documento, sin menoscabo de poder añadir tus datos personales o una imagen con tu rúbrica manuscrita, y tiene el mismo valor que la tradicional a la hora de presentar los documentos telemáticamente en tus gestiones.
Autofirma también puede ser ejecutada desde el navegador. Esto quiere decir que si en una web de la Administración exige tu firma, la aplicación permitirá firmar el documento que sea necesario sin tener que hacer otras acciones.
Cl@ve
Cl@ve es otro de los sistemas de autentificación para gestiones con las Administraciones Públicas que estén adheridas al sistema. Cuenta ya con cerca de 17 millones de usuarios registrados.
Una de las particularidades de Cl@ve, y de las más valoradas por el público, es su disponibilidad sin necesidad de tener instalado un certificado digital en el dispositivo a utilizar, sea ordenador, teléfono móvil o tableta. Una ventaja que aporta sencillez y explica su éxito.
Sus usuarios deben registrarse en el sistema empleando solo el número de su Documento Nacional de Identidad, y una clave. Esta clave puede ser:
- Permanente, muy útil y la aconsejable para quienes deban hacer múltiples trámites con las diferentes Administraciones Públicas.
- Ocasional, que se recibe a través de un SMS al iniciar el proceso y sólo será válida durante unos 10 minutos para trámites concretos. La opción para quienes deben realizar una gestión puntual.
El procedimiento de obtención es sencillo y rápido. Hay que localizar una oficina adherida al sistema (Agencia Tributaria, Seguridad Social y otras) disponer del DNI válido o sin caducar, así como facilitar un número de teléfono móvil y un correo electrónico. Se solicita a continuación una carta de invitación, que recibirá en su domicilio, e incluirá una password que le permitirá realizar el registro en el sistema cl@ve a través de Internet. Es importante saber que tiene una validez de 60 días y después caduca, por lo que no debe demorarse en el registro una vez recibida. Una vez concluido el trámite recibirá una clave de confirmación que le permitirá operar.
DNI
Origen
El Documento Nacional de Identidad es un viejo conocido de los españoles. Su historia se inicia en 1951 y el primero en ser expedido fue en Zaragoza. En 1962 los datos que incluía el DNI eran los de filiación, domicilio, y profesión. Más tarde se incorporó el sexo, estado civil y grupo sanguíneo (que se terminó por excluir al provocar algunos casos de errores médicos). A cada DNI, se le asigna un número único y personal que tiene la consideración de identificador numérico individual y debe ser renovado cada varios años ya que no tiene vigencia permanente. Finalmente señalar que se le añadió una letra al número lo que le confiere también el carácter de NIF o Numero de Identificación Fiscal.
DNI electrónico
Los formatos del DNI convencional han ido cambiando a lo largo de los años, y por su universalidad en España era inevitable que terminase apareciendo un formato electrónico que servirá para la autentificación junto con el resto de herramientas (Certificado digital, Cl@ve, AutoFirma) que hemos ido relatando.
El primer modelo de DNI Electrónico aparece en 2006 al incorporar un chip, posteriormente se presenta el DNI 3.0 con tecnología NFC en 2015. Finalmente en agosto de 2021 se lanza el DNI 4.0 con avances importantes en seguridad.
El DNI electrónico precisa de la clave personal para su uso eficiente. Obviamente se requiere de un ordenador personal y un lector de tarjetas inteligentes. Sobre estos lectores de tarjetas inteligentes señalar que existen varias alternativas, desde las que se integran en los teclados del PC hasta los externos conectados vía USB o a través de tarjeta PCMCIA.
Para que un lector de tarjetas inteligentes sea válido para el uso del DNI electrónico debe ser compatible con la norma ISO 7816. Cumplidos los requerimientos señalados supra será necesario descargar el software que facilita la Dirección General de la Policía en su web de DNI electrónico.
Uno de los aspectos sobre el DNI electrónico que fue atendido por los medios es el de algunas vulnerabilidades que han ido siendo corregidas, destacando la denunciada sobre ciertas amenazas en el acceso de claves privadas que llevó en 2017 a la Dirección General de la Policía a desactivar la funcionalidad de los certificados digitales en los documentos expedidos a partir de abril de 2015.
Esta vulnerabilidad no solo afectó a los certificados del DNI, sino que es una vulnerabilidad genérica detectada en algunas tarjetas criptográficas de algunos fabricantes, entre los que estaban los DNI expedidos después de la fecha indicada.
DNI 4.0
Destacar entre las últimas novedades el DNI 4.0, con una APP para descargar en el móvil que habilitará para diversas gestiones desde el dispositivo más universal.
miDGT
La aplicación de la Dirección General de Tráfico es una de las más desconocidas aunque con una progresión acelerada de uso entre los ciudadanos. Algunas de las disponibilidades a destacar de esta herramienta son el acceso a tu carné de conducir, la documentación de tu vehículo, incidencias administrativas, permiso de circulación, aviso para el pago de multas o sanciones, gestión de tasas, petición de cita en la DGT etc
Puedes encontrar la aplicación para descargar en Google Play o App Store. La app permite elegir entre español u otros idiomas del Estado.
ID EUROPEO DIGITAL
La identificación más reciente de todas las herramientas, aunque todavía no se encuentra a disposición del ciudadano, posiblemente la más controvertida de todas ya que suscita no pocas susceptibilidad y/o desconfianza en numerosos grupos civiles en defensa de la privacidad por el, en teoría, riesgo a la privacidad.
Este servicio de identificación digital contará con un símil a un certificado digital europeo para gestiones en toda la UE, así como el recurso de gestionar un ‘Monedero digital europeo’. La herramienta europea permitirá, entre otras funciones, acceder a datos personales, títulos académicos, historial médico, pasaporte, carne de conducir o tarjetas bancarias, presentar la declaración de la renta, o facilitando desde el alquiler de una vivienda a abrir una cuenta bancaria, o registrase en un hotel.
La voluntad política busca que este ID Digital europeo sea reconocido por todos los Estados miembro de la UE.
Certificado digital
El certificado digital o electrónico tiene su base en las técnicas de encriptación que consisten en la modificación de la información mediante un algoritmo matemático aplicado sobre el mensaje que se desea cifrar utilizando una clave. El cifrado asimétrico dispone de un par de claves, una pública y una privada.
La firma electrónica será por ello una herramienta basada en cifrado asimétrico garantizando la autenticidad e integridad de un mensaje.
Un certificado digital es más que una herramienta que asocia un fichero a tu identidad como persona física.
Proveedores y servicios
En España disponemos de una diversidad de entidades públicas o semipúblicas y/o privadas que emiten el certificado digital, tales como la Fábrica Nacional de Moneda y Timbre (FNMT), como Proveedor de Servicios de Certificación a través de CERES, o CAMERFIRMA. Así como alguna entidades privadas como Signaturi.
En la diversidad de certificados encontramos los siguientes servicios:
- Certificado de persona física
- Certificado de representante
- Representante de administrador único o solidario
- Representante de persona jurídica
- Representante de entidad sin personalidad jurídica
- Certificado sector público
- Certificado de empleado público
- Certificado de Sede Electrónica en el ámbito de la Administración
- Certificado de Sello Electrónico en el ámbito de la Administración
- Certificado cualificado de autenticación de sitio web
- Servicio de sellado de tiempo cualificado
- Certificados de componentes
- Servicio de firma en la nube
- Servicio de notificación electrónica
- Custodia documental
Entre los usos más populares o socorridos del certificado electrónico, destacar los que afectan a la Seguridad Social (podrás darte de alta o de baja en el RETA) así como cambiar tu base de cotización o consultar y modificar tus coberturas sociales, presentar documentación, pagos y cuestiones relacionadas con tu baja de maternidad, y recibir notificaciones telemáticas.
Certificado FNMT
El primer paso para su obtención es acceder a la página web de la FNMT donde podrás obtener información detallada sobre le proceso.
Los certificados emitidos por la FNMT-RCM son tanto universales, de tal modo que el ciudadano puede comunicarse con las diferentes administraciones con un único certificado.
Dentro de los diversos servicios de certificación que emiten se incluyen: certificados de identidad de usuarios, para uso corporativo o particular, certificados de componentes informáticos y certificados de firma de software. Así como servicios avanzados de tercera parte de confianza como sellado de tiempo, servicios de no repudio, certificación y archivo de mensajes, etc.
Es importante generar siempre una copia de seguridad que permita sortear cualquier incidencia, para lo que deberás tener en cuanta las instrucciones técnicos para la importación del certificado.
Finalmente señalar que la gestión se puede abordar desde el teléfono móvil. La web de la FNMT ofrece una guía técnica con un vídeo para poder seguir paso a paso la instalación en tu teléfono. Una opción que amplia la capacidad y autonomía para la gestionar sin limitación de soporte.
CAMERFIRMA
Otra de las entidades con mayor demanda entre Pymes, autónomos y profesionales es CAMERFIRMA, siendo la primera Autoridad de Certificación privada nacida en España en 2001 de la unión de las diferentes cámaras de comercio españolas e integrada con InfoCert desde 2018.
Destacamos entre los que ofrece:
- Certificado digital representante AAPP
- Certificado digital digital corporativo
- Certificado digital representante legal
- Certificado digital de apoderado
Dispones de información completa en su web https://www.camerfirma.com/
OTROS
Sin menoscabo de los anteriores, cabe distinguir otras entidades que ofrecen Certificación digital y Firma Electrónica tales como SIGNATURI. En su web podrás encontrar más info sobre sus servicios y productos. https://www.signaturit.com/es/
Ofrece igualmente una solución de identificación remota por vídeo que te permitirá validar la autenticidad de los documentos de identidad de los firmantes de forma segura y en tiempo real. (DNI, pasaporte y carnet de conducir de 198 países) así como Firma biométrica, que se realiza con un trazo, igual que si firmas en papel.
La Asociación Nacional de Fabricantes (ANF) es igualmente ‘Autoridad de Certificación’ y ofrece una amplia galería de productos y servicios.
Entre las empresas que ofrecen Firma Electrónica también destaca Docusign, muy útil para autenticar contratos a nivel internacional.
Podrás elegir entre la variedad de productos y servicios de las diversas ofertas disponibles consultando la web oficial del Gobierno de España.
Formación ANEI