Antes de empezar, hay que aclarar que la e.firma/FIEL no es una firma en sí. La FIEL es una herramienta para generar firmas electrónicas avanzadas. Se compone de dos archivos: un archivo de tipo .cer llamado certificado público y un archivo de tipo .key llamado llave privada.
Por su parte, la firma electrónica simple puede ser generada de diferentes formas. Lo importante es que también conlleva la generación e intercambio de claves privadas, un proceso criptográfico similar al de la firma electrónica avanzada.
¿Técnicamente cómo funciona una firma electrónica? Supongamos que Carolina necesita que Roberto le firme un documento.
En vez de reunirse o mandar el documento firmado por paquetería, Roberto puede usar un sistema que le permita firmar electrónicamente, ya sea con los archivos de una firma electrónica avanzada como la e.firma del SAT, o mediante una firma electrónica simple con intercambio de claves privadas y recabación de evidencia de la firma.
En esencia el proceso de firma electrónica es:
- Calcular el hash (huella digital representada por una serie de caracteres única) del documento y cifrarlo con una llave privada.
- Con una llave pública se descifra y el resultado se compara con el hash obtenido inicialmente.
- Si coinciden exactamente, existe certeza de que el titular de la llave privada firmó el documento.
¿Cuál es el proceso de firma electrónica de un documento para personas como Roberto? Las plataformas de firma electrónica avanzada tienen procedimientos similares. A grandes rasgos, los pasos son los siguientes.
Cómo firmar un documento con la e.firma o FIEL
- Tu contraparte envía el documento a una plataforma de firma digital que calcula su hash o huella digital.
- Visualizas el documento en la plataforma.
- Subes tu certificado público. Su validez y vigencia se verifican ante el SAT.
- Seleccionas tu llave privada.
- Ingresas la contraseña de tu llave privada.
- El documento se firma digitalmente.
Cómo firmar un documento con firma electrónica simple
- Tu contraparte envía el documento a una plataforma de firma digital que calcula su hash o huella digital.
- Visualizas el documento en la plataforma.
- Generas con apoyo y consentimiento de la plataforma tus llaves de firma (pública y privada).
- La plataforma recaba datos para probar que eres tú quien firma el documento. Algunos de estos pueden ser dirección IP, foto de tu cara, foto de tu identificación, localización en el mapa, entre otros.
- Aceptas firmar el documento.
- El documento se firma digitalmente.
¿Qué tipos de firma existen? Descúbrelo con ayuda del experto en Firma Electrónica Avanzada en México, el Dr. Alfredo Reyes Krafft.
Cómo verificar una firma electrónica
Para verificar que una firma es válida al momento de realizarla, las plataformas de firma electrónica realizan el siguiente proceso:
- Tu navegador cifra el hash del documento usando tu llave privada, es decir, firma digitalmente el documento.
- En el servidor de la plataforma se descifra el resultado de firma usando tu llave pública.
- Si el resultado coincide con el hash calculado inicialmente, la firma es válida y se estampa en el documento.
Pero ¿cómo puede verificar la firma una persona? Regresemos al ejemplo de Carolina y Roberto.
Lo primero que Carolina tiene que hacer es obtener la llave pública de Roberto. Como su nombre lo indica, son de carácter público. En el caso de la e.firma, el certificado que incluye la llave pública de cualquier persona puede ser obtenido de la página del SAT.
Usando la llave pública contenida dentro del certificado de Roberto, Carolina decodifica la firma que le envió Roberto. Este proceso le revela a Carolina el número de serie del documento contenido dentro de la firma electrónica de Roberto.
Ahora lo que le resta a Carolina es comparar el número de serie del documento que le envió a Roberto con el número de serie que obtuvo al decodificar la firma que le envió Roberto.
Si al hacer la comparación, los números de serie no coinciden quiere decir que se usó la FIEL de alguna otra persona para firmar o que el documento que se firmó fue otro.
Si coinciden, Carolina puede estar segura que la firma que tiene en su poder fue hecha por Roberto ya que para generarla se usó la llave privada de Roberto a la que sólo tiene acceso él y que además corresponde al documento correcto. Por sus características técnicas, la Ley confiere a la firma electrónica avanzada garantía de no repudio.
Algunas plataformas cuentan con herramientas auditables para facilitar la verificación de firmas electrónicas avanzadas.
¿Es posible falsificar una firma electrónica?
Falsificar una firma electrónica avanzada es matemáticamente imposible. La única manera que alguien puede firmar por nosotros de manera electrónica es si tiene acceso a nuestra llave privada. Por ello el SAT nos indica que no debemos, por ninguna circunstancia, compartir nuestra e.firma con nadie, ni siquiera nuestro contador. Es el equivalente a entregarle a alguien una hoja en blanco firmada por nosotros.
En el caso de la firma electrónica simple, esta es repudiable pero siempre se presume que el firmante es quien realmente la ejecutó (presunción de atribución). Por ello es recomendable sumar todas las pruebas necesarias para demostrar que esa persona en efecto firmó.