Resumen: La firma electrónica simple abarca desde un checkbox hasta una verificación biométrica facial con prueba de vida. Lo que las diferencia no es su validez sino dónde vive la evidencia de atribución: en el documento mismo, o en los sistemas internos de quien demanda. Cuando esa evidencia vive en sistemas que no pueden peritiarse de forma independiente, se activa la misma lógica que ya resolvió la Suprema Corte para los bancos.
Este artículo es parte de la serie “Firma electrónica en juicio: lo que está pasando del lado del demandado.” Si llegaste directamente aquí, el artículo introductorio te da el marco completo.
La firma electrónica simple es la categoría más amplia y la más heterogénea del panorama de la firma electrónica en México. Bajo el paraguas del artículo 89 del Código de Comercio caben desde un clic en un checkbox hasta una verificación biométrica facial con prueba de vida. Lo que las unifica es que identifican al firmante y tienen validez legal. Lo que las diferencia es algo que no siempre se ve en el documento: dónde vive la evidencia de que esa persona específica firmó ese documento específico.
Esa diferencia es la que determina si la atribución puede someterse a verificación independiente o si depende del acceso a los sistemas internos de quien demanda.
La cadena de atribución
Para que una firma electrónica simple pueda acreditar que una persona determinada firmó un documento determinado, tiene que existir una cadena que conecte tres elementos: la identidad de la persona, el mecanismo de autenticación utilizado, y el documento firmado.
Cómo se construye esa cadena y dónde se almacena es lo que determina si puede verificarse de forma independiente.
Los mecanismos y su problema estructural
Cuando la firma se sustenta en un OTP enviado por SMS, la cadena funciona así: se envía un código a un número de teléfono, alguien lo ingresa, y el sistema registra que ese código fue ingresado en el contexto de ese documento. Cada eslabón de esa cadena vive en los sistemas internos de la plataforma: qué número recibió el código, si ese número estaba verificado como perteneciente al firmante, qué logs existen del evento.
Cuando la firma se sustenta en un enlace enviado por correo electrónico o en un NIP, la cadena es similar y el problema estructural es el mismo: la evidencia de que ese correo o ese número pertenecía a esa persona, de que el mecanismo fue utilizado para ese documento específico, y de los registros del evento vive en sistemas internos.
En todos estos casos, si la parte actora no puede producir esa evidencia en formato auditable para un perito externo, la estructura del problema es idéntica a la de los bancos: la evidencia de autenticación vive en sistemas que solo una de las partes controla, y cuando no puede producirse de forma independiente, el principio de facilidad probatoria opera.
El OTP tiene además una vulnerabilidad sustantiva que va más allá de la estructura probatoria: prueba que alguien con acceso al número de teléfono recibió e ingresó un código en ese momento. No prueba que ese alguien sea la persona cuya identidad se invoca. La diferencia entre acceso a un número e identidad del titular es un argumento independiente que puede plantearse con o sin el problema de verificabilidad.
El contraste: cuando la evidencia viaja con el documento
Hay mecanismos de firma simple donde la evidencia de atribución no vive en sistemas internos sino en el documento mismo.
Cuando la firma se sustenta en verificación biométrica facial con prueba de vida, y esa verificación queda encodeada dentro del propio documento (la selfie, la prueba de vida, la fotografía de la identificación oficial), la evidencia no requiere acceso a ningún sistema externo para ser examinada. Cualquier parte puede ver quién se verificó, con qué identificación, y confirmar que esa evidencia corresponde al documento que se presenta en juicio.
Esta arquitectura resuelve el problema estructural que tienen los mecanismos basados en OTP o correo: la atribución no depende de logs internos sino de evidencia que viaja con el documento y puede ser verificada de forma independiente.
La distinción no es entre firma simple válida e inválida. Es entre firma simple cuya atribución puede verificarse de forma independiente y firma simple cuya atribución depende del acceso a sistemas que solo la plataforma controla.
La conexión con el caso bancario
La jurisprudencia 1a./J. 17/2021 (10a.) de la Suprema Corte no habló de OTP específicamente. Habló de sistemas donde la evidencia de autenticación no puede producirse en formato auditable para verificación independiente. Los bancos perdieron porque sus logs de autenticación vivían en sistemas internos que no podían peritiarse externamente.
La misma lógica aplica cuando una firma simple sustentada en OTP o correo electrónico llega a juicio y la parte actora no puede producir la cadena de atribución en formato que un perito externo pueda verificar. El principio es el mismo. El contexto cambia. El resultado puede ser el mismo.
Lo que estamos viendo
El uso de OTP como mecanismo de firma está extendido en servicios financieros, telecomunicaciones y comercio electrónico. En muchos casos funciona operativamente y los documentos se firman sin controversia. El problema aparece cuando hay una disputa y la parte demandada, sin negar la presunción de atribución, solicita los elementos técnicos necesarios para realizar una pericial que permita verificarla de forma independiente. Si la plataforma no puede producirlos en formato auditable, el principio de facilidad probatoria opera.
La pregunta que todavía no tiene respuesta jurisprudencial consolidada fuera del contexto bancario es la misma que resolvió la Suprema Corte para los bancos: si la plataforma no puede producir la cadena de atribución en formato auditable, ¿quién carga con la prueba?
Los fundamentos para responder esa pregunta de la misma manera que se respondió para los bancos ya están establecidos. El recorrido judicial específico para firma simple con OTP está comenzando.
Los vectores que documenta esta serie no son un catálogo cerrado. Son los patrones que hemos visto operar en tribunales o que tienen bases jurídicas suficientes para operar pronto. El artículo introductorio de la serie ofrece el marco que los conecta y la lógica que los unifica.
