Firma digital, ¿qué es y para qué sirve?

En el contexto actual en que todo está digitalizado, la firma no podía quedarse atrás. Algo que parecía impensable, como firmar un contrato o documento sin usar un bolígrafo, es posible a través de la firma digital.

La firma digital se incluye un importante conjunto de conceptos, definiciones y términos, algunos de ellos bastante técnicos, que pueden ser bastante confusos para quienes no son expertos o conocedores de la materia.

En este ecosistema, aparecen expresiones como firma digital, firma electrónica, certificado digital, firma biométrica y más términos cuyos significados varían notablemente entre sí.

La principal finalidad de estos métodos de firma es agilizar y hacer más fácil la vida de particulares, empresas y organismos públicos. Cada uno la adecuará de la mejor forma a sus circunstancias personales o de negocio, teniendo para ello de las herramientas más adecuadas para cada una de estas.

Pero aquí vamos a hablar de la firma digital, en qué consiste, cómo se crea y cómo funciona y cuáles son los usos de las firmas digitales.

¿Qué es una firma digital?

Una firma digital es un algoritmo matemático usado normalmente para verificar la autenticidad e integridad de un mensaje (por ejemplo, un correo electrónico, una transacción con tarjeta de crédito o un documento digital). Es un tipo de firma electrónica.

Las firmas digitales establecen una huella digital virtual única para una persona o entidad y se usan para identificar a los usuarios y proteger la información en mensajes o documentos digitales. En los correos electrónicos, el contenido del correo electrónico se convierte en parte de la firma digital. Estas firmas son significativamente más seguras que otras formas de firmas electrónicas.

La firma digital es un proceso que garantiza que el contenido de un mensaje no ha sido alterado en tránsito.

Cuando tú, el servidor, firmas digitalmente un documento, agregas un hash unidireccional (cifrado) del contenido del mensaje utilizando su par de claves pública y privada.

Tu cliente aún puede leerlo, pero el proceso crea una «firma» que solo la clave pública del servidor puede descifrar. El cliente, utilizando la clave pública del servidor, puede validar al remitente, así como la integridad del contenido del mensaje.

Ya sea un correo electrónico, un pedido en línea o una fotografía con marca de agua en eBay, si llega la transmisión pero la firma digital no coincide con la clave pública en el certificado digital, el cliente sabe que el mensaje ha sido alterado.

Clases de firmas digitales

Hay tres clases diferentes de certificados de firma digital:

  • Clase 1: no se puede usar para documentos comerciales legales, ya que se validan solo con un ID de correo electrónico y un nombre de usuario. Las firmas de clase 1 proporcionan un nivel básico de seguridad y se utilizan en entornos con bajo riesgo de comprometer los datos.
  • Clase 2: a menudo se utiliza para la presentación electrónica de documentos fiscales, incluidas las declaraciones de impuestos sobre la renta y las declaraciones de impuestos sobre bienes y servicios. Las firmas digitales de clase 2 autentican la identidad del firmante contra una base de datos previamente verificada. Se utilizan en entornos donde los riesgos y las consecuencias del compromiso de los datos son moderados.
  • Clase 3: El nivel más alto de firmas digitales. Las firmas de clase 3 requieren que una persona u organización presente ante una autoridad de certificación para probar su identidad antes de firmar. Las firmas digitales de clase 3 se utilizan para subastas electrónicas, licitaciones electrónicas, emisión de boletos electrónicos, presentaciones judiciales y en otros entornos donde las amenazas a los datos o las consecuencias de un fallo de seguridad son altas.

¿Cómo funciona una firma digital?

La firma digital se puede considerar como un valor numérico que se representa como una secuencia de caracteres. La creación de una firma digital es un proceso matemático complejo que solo puede ser creado por un ordenador.

Las firmas digitales se basan en la criptografía de clave pública, también conocida como criptografía asimétrica. Usando un algoritmo de clave  pública, como  RSA , uno puede generar dos claves que están matemáticamente vinculadas: una privada y otra pública.

Las firmas digitales funcionan a través de las dos claves criptográficas de autenticación mutua de criptografía de clave pública. La persona que está creando la firma digital usa su propia clave privada para cifrar los datos relacionados con la firma. La única forma de descifrar esos datos es con la clave pública del firmante. Así es como se autentican las firmas digitales.

Considera un escenario en el que María tiene que firmar digitalmente un archivo o un correo electrónico y enviárselo a Carlos.

  • María selecciona el archivo para firmar digitalmente o hace clic en ‘firmar’ en su aplicación de correo electrónico
  • El ordenador de María calcula el valor hash del contenido del archivo o del mensaje
  • Este valor hash se cifra con la clave de firma de María (que es una clave privada) para crear la firma digital.
  • Ahora, el archivo original o el mensaje de correo electrónico junto con su firma digital se envían a Carlos.
  • Después de que Carlos recibe el mensaje firmado, la aplicación asociada (como la aplicación de correo electrónico) identifica que el mensaje ha sido firmado. El ordenador de Carlos luego procede a:
    • Descifrar la firma digital usando la clave pública de María
    • Calcular el hash del mensaje original
    • Comparar el hash que ha calculado a partir del mensaje recibido con el hash descifrado recibido con el mensaje de María.
  • Cualquier diferencia en los valores hash revelaría la manipulación del mensaje.

La tecnología de firma digital exige que todas las partes tengan la confianza en que la clave privada se ha mantenido en secreto por la persona que la creó. Cuando un tercero tiene acceso a la clave privada del firmante, podría crear firmas digitales fraudulentas en nombre del titular de la clave privada.

Cómo crear una firma digital

Para crear una firma digital, el software de firma, como un programa de correo electrónico, crea un hash unidireccional de los datos electrónicos que se firmarán. La clave privada se usa para cifrar el hash. El hash cifrado, junto con otra información, como el algoritmo de hash, es la firma digital.

El motivo para cifrar el hash en vez de todo el mensaje o documento es que una función hash puede convertir una entrada arbitraria en un valor de longitud fija, que generalmente es mucho más corto. Esto ahorra tiempo ya que el hash es mucho más rápido que firmar.

El valor de un hash es exclusivo de los datos hash. Cualquier cambio en los datos, incluso un cambio en un solo carácter, dará como resultado un valor diferente. Esta característica hace posible que otros puedan verificar la integridad de los datos utilizando la clave pública del firmante para descifrar el hash.

Si el hash descifrado es igual a un segundo hash calculado de los mismos datos, significa que los datos no se han modificado desde que se firmaron. Si los dos hashes no coinciden, los datos se han alterado de alguna manera, lo que compromete su integridad, o la firma se creó con una clave privada que no corresponde a la clave pública que le firmante ha presentado.

Es posible utilizar una firma digital con cualquier clase de mensaje, ya sea cifrado o no, simplemente para que el destinatario esté seguro de la identidad del remitente y de que el mensaje llegó intacto. Las firmas digitales impiden que el firmante niegue que ha firmado algún documento, siempre que su clave privada no se haya comprometido, ya que la firma digital es única y une tanto el documento como el firmante. Esta propiedad se llama no repudio .

Las firmas digitales no deben confundirse con los certificados digitales. Un certificado digital, un documento electrónico que contiene la firma digital de la autoridad emisora ​​del certificado, une una clave pública con una identidad y puede usarse para verificar que una clave pública pertenece a una persona o entidad en particular.

La mayoría de los programas modernos de correo electrónico admiten el uso de firmas digitales y certificados digitales, lo que facilita la firma de cualquier correo electrónico saliente y la validación de los mensajes entrantes firmados digitalmente.

Las firmas digitales son usadas también para ofrecer pruebas de autenticidad, integridad de datos y no repudio de las comunicaciones y transacciones efectuadas a través de Internet.

Usos

Las industrias utilizan la tecnología de firma digital para agilizar los procesos y mejorar la integridad de los documentos.

Las industrias que usan firmas digitales incluyen:

Gobierno

Los Gobiernos publican versiones electrónicas de presupuestos, leyes públicas y privadas y proyectos de ley del Congreso con firmas digitales. Los gobiernos de todo el mundo utilizan las firmas digitales para una variedad de usos, incluido el procesamiento de declaraciones de impuestos, la verificación de transacciones de empresa a gobierno, la ratificación de leyes y la gestión de contratos. La mayoría de las entidades gubernamentales deben cumplir con las estrictas leyes, regulaciones y estándares al usar firmas digitales.

Cuidado de la salud

Las firmas digitales se utilizan en la industria del cuidado de la salud para mejorar la eficiencia del tratamiento y los procesos administrativos, para fortalecer la seguridad de los datos, para la prescripción electrónica y los ingresos hospitalarios. El uso de firmas digitales en la atención médica debe cumplir con la legislación correspondiente.

Fabricación

Las empresas de fabricación utilizan firmas digitales para acelerar los procesos, incluido el diseño de productos, el control de calidad, las mejoras de fabricación, el marketing y las ventas. El uso de firmas digitales en la fabricación está regido por la Organización Internacional de Normalización (ISO) y el Certificado de Fabricación Digital (DMC) del Instituto Nacional de Estándares y Tecnología (NIST).

Servicios financieros

El sector financiero utiliza firmas digitales para contratos, banca electrónica, procesamiento de préstamos, documentación de seguros, hipotecas y más. Este sector fuertemente regulado utiliza firmas digitales con especial atención a las reglamentaciones y directrices establecidas.

Firma digital versus firma electrónica

Aunque los dos términos suenan similares, las firmas digitales son diferentes de las firmas electrónicas. Mientras que  la firma digital es un término técnico, que define el resultado de un proceso criptográfico que se puede utilizar para autenticar una secuencia de datos, el término firma electrónica es un término legal que se define legislativamente.

Esto significa que una firma digital, que puede expresarse digitalmente en forma electrónica y asociarse con la representación de un registro, puede ser un tipo de firma electrónica. Sin embargo, de manera más general, una firma electrónica puede ser tan simple como el nombre del firmante ingresado en un formulario en una página web.

Para ser considerados válidos, los esquemas de firma electrónica deben incluir tres cosas:

  • una forma de verificar la identidad de la entidad que lo firma;
  • una manera de verificar que la entidad firmante tenía la intención de afirmar el documento que se está firmando; y
  • una forma de verificar que la firma electrónica está asociada con el documento firmado.

Una firma digital puede, por sí sola, cumplir estos requisitos para servir como firma electrónica:

  • la clave pública de la firma digital está vinculada a la identificación de la entidad firmante;
  • la firma digital solo puede ser colocada por el titular de la clave privada asociada a la clave pública, lo que implica que la entidad tiene la intención de usarla para la firma; y
  • la firma digital solo se autenticará si los datos firmados (documento o representación de un documento) no se modifican. Si un documento se modifica después de ser firmado, la firma digital no podrá autenticarse.

Si bien las firmas digitales autenticadas proporcionan pruebas criptográficas de que un documento fue firmado por la entidad declarada y que el documento no ha sido alterado, no todas las firmas electrónicas pueden proporcionar las mismas garantías.

Características y beneficios de seguridad de firma digital

Las características de seguridad integradas en las firmas digitales aseguran que un documento no se altere y que las firmas sean legítimas. Estas características y métodos de seguridad utilizados en las firmas digitales incluyen:

  • PIN, contraseñas y códigos: se utilizan para autenticar y verificar la identidad del firmante y aprobar su firma. Correo electrónico, nombre de usuario y contraseña son los más comunes.
  • Sellado de tiempo: proporciona la fecha y hora de una firma. El sellado de tiempo es útil cuando el momento de una firma digital es crítico, como las transacciones de acciones, la emisión de boletos de lotería y los procedimientos legales.
  • Criptografía asimétrica: emplea un algoritmo de clave pública que incluye encriptación / autenticación de clave pública y privada.
  • Suma de verificación: una larga cadena de letras y números que representan la suma de los dígitos correctos en una pieza de datos digitales, contra la cual se pueden hacer comparaciones para detectar errores o cambios. La suma de control actúa como una huella dactilar de datos.
  • Comprobación de redundancia cíclica: un código de detección de errores y una función de verificación utilizada en redes digitales y dispositivos de almacenamiento para detectar cambios en los datos sin procesar.
  • Validación de la autoridad de certificación: las autoridades de certificación emiten firmas digitales y actúan como un tercero de confianza al aceptar, autenticar, emitir y mantener certificados digitales. El uso de estas autoridades ayuda a evitar la creación de certificados digitales falsos.
  • Validación del proveedor de servicios de confianza: es una persona o entidad legal que realiza la validación de una firma digital en nombre de una empresa y ofrece informes de validación de firma.