Recientemente tuvimos una interacción por el chat de Mifiel que decidimos compartir a manera de cuento con moraleja.
Nos contacta una persona —llamémosla Juan— por el chat de soporte preguntando si es posible saber si alguien ha hecho mal uso de su FIEL/e.firma. Le respondemos que no hay manera y le preguntamos si sospecha que alguien más tiene acceso a su e.firma.
Hasta aquí todo normal. De vez en cuando nos llegan consultas como esta. Pero siempre se trata de alguien que entregó la FIEL a su contador (muy mala práctica) y después leyó por ahí que los archivos de la firma electrónica no se deben compartir con nadie. Así que nos contacta para preguntar si hay manera de saber si alguien le está dando mal uso a su FIEL.
Sin embargo, este caso es diferente. Juan sospecha que la USB que contiene los archivos de su FIEL fue sustraída con el objetivo de hacer mal uso de ella.
Uno de los documentos que tenemos que firmar al tramitar nuestra e.firma es una carta responsiva que explícitamente expone que los actos realizados con nuestra FIEL son imputables a nosotros.
Sugerencia: revocar la FIEL
Le sugerimos que si tiene una copia de los archivos revoque lo más pronto posible su e.firma en la página del SAT. También le explicamos que se trata de un tema muy delicado, ya que la ley otorga presunción jurídica de autoría a la firma electrónica avanzada, lo que implica que si uno de los documentos firmados con su FIEL llega a un proceso judicial, él va a tener que presentar pruebas de que NO firmó.
Probablemente en un estado de incredulidad Juan nos revela que trabaja en un municipio del cual debe firmar los estados financieros con su FIEL. Además agrega que la fecha límite para entregar los estados financieros municipales se aproxima y no le han requerido que los firme. Él sospecha que su USB fue sustraída para firmar estos documentos sin su consentimiento.
Con este comentario nos cae el veinte de que se trata de un asunto grave. Rápidamente le reiteramos que si estos estados financieros derivan en una acción judicial y están firmados con su FIEL, se presumirá que él los firmó y tendrá que probarle al juez que NO firmó. Probar negativos en un juicio es extremadamente difícil.
Con esta reiteración de que la e.firma es irrepudiable, Juan deja de contestar en el chat. Asumimos que probablemente está procesando lo que implica la garantía de no repudio de la firma electrónica en contexto de su situación.
Después de unos minutos regresa y nos contesta —probablemente en un estado de negación y tratando de racionalizar una posible salida a su predicamento— que en la documentación que entrega el SAT no se especifica en ningún lado que “somos los únicos responsables del mal uso que se le pueda dar a la FIEL”.
Le respondemos que lo opuesto es verdad. Uno de los documentos que tenemos que firmar al tramitar nuestra e.firma es una carta responsiva que explícitamente expone que los actos realizados con nuestra FIEL son imputables a nosotros. Además indica que si sospechamos que alguien más tiene acceso a nuestra e.firma, es nuestra responsabilidad revocarla inmediatamente.
Juan nos revira diciendo que el personal del SAT “no nos explica las implicaciones de la FIEL”. En este punto tiene razón, tache para el SAT. Cuando nos entregan los archivos de la e.firma, el funcionario del SAT nos debería advertir que entregarlos a un tercero es mucho peor que darle hojas en blanco firmadas. Hace falta capacitar al personal para que entiendan y comuniquen claramente las implicaciones de la FIEL.
La mayoría tenemos la mala costumbre de usar contraseñas poco seguras y fáciles de adivinar como nuestro RFC, fecha de nacimiento, nombre de nuestra mascota, etc., contraseñas que un atacante con acceso a un mínimo de información sobre nosotros podría adivinar.
Obligado a dar mal uso a su FIEL
Antes de seguir con el relato es importante aclarar un punto que seguramente notaste. Juan menciona que su USB fue sustraída, por lo que los malintencionados perpetradores tienen acceso al archivo .key (la llave privada) de su FIEL. No obstante, para poder firmar se necesita tener acceso a este archivo pero también es indispensable conocer la contraseña correspondiente.
La teoría dice que mientras los ladrones de USBs no tengan la contraseña, no podrán hacer mal uso de la FIEL. Sin embargo, en la práctica, la mayoría tenemos la mala costumbre de usar contraseñas poco seguras y fáciles de adivinar como nuestro RFC, fecha de nacimiento, nombre de nuestra mascota, etc., contraseñas que un atacante con acceso a un mínimo de información sobre nosotros podría adivinar.
Por ello, como regla general en Mifiel en estos casos siempre recomendamos revocar la FIEL de cualquier manera y tramitar una nueva. La revocación es un proceso es muy fácil y se puede hacer en línea.
Regresando al relato, en afán de dar esperanza a Juan, le informamos que si usó una buena contraseña el riesgo está controlado y probablemente haya evitado una desgracia.
“El municipio me solicitó llenar un expediente con todos mis datos, incluyendo la contraseña de mi e.firma y la de mi correo electrónico”, nos contesta.
What?!?!
“Entra al SAT ahora mismo y revoca tu FIEL”, le respondemos inmediatamente.
Mega tache para el municipio y en especial para los abogados que diseñaron este procedimiento de pedir contraseñas. Nadie debe pedirnos que entreguemos el archivo .key de nuestra FIEL y mucho menos la contraseña*. La e.firma es algo muy delicado que se debe cuidar celosamente. Esperamos que Juan pueda solucionar su situación sin que le cause graves problemas.
Moraleja: custodia apropiadamente tu FIEL así como su contraseña correspondiente.
*Si por alguna razón es necesario utilizar una plataforma web que requiere los archivos de la FIEL o e.firma para su funcionamiento es imperativo asegurarse que la llave privada y la contraseña se queden en la computadora y no sean compartidas con los servidores de la plataforma web. Mifiel funciona de tal manera que las firmas de los documentos se ejecutan localmente en el navegador del usuario, impidiendo que las claves privadas de la FIEL sean compartidas con el servicio de Mifiel.
Estoy por adquirir mi FIEL, el Licenciado que me está llevando un asunto en CONAGUA, me pide la FIEL y la contraseña. No se si sea correcto??
Jorge, como mencionamos en el artículo, compartir la FIEL —específicamente el archivo .key y la contraseña que lo protege— es una práctica que te pone en riesgo por la presunción de atribución con que cuenta. Te sugerimos buscar una alternativa que no implique darle tu e.firma al licenciado.
Si ya compartí mi FIEL pero no mi contraseña puedo solamente renovarla o tengo que revocarla y volverla a tramitar? Qué me recomiendan?
Susana: si aún cuentas con tus archivos de la FIEL (.cer, .key) y conoces tu contraseña, la mejor opción es que renueves tu certificado. En el siguiente artículo te explicamos cómo hacerlo: https://blog.mifiel.com/renovar-tu-fiel/
Mmm… yo quería saber el desenlace de la historia de Juan.
Me enteré que alguien renovó mi FIEL, erróneamente ese dato lo conocían dos contadores con los que tenía acuerdos. Pero ahora, resulta que nadie sabe quién renovó, pensé que quizás lo había hecho uber, ya que la contadora de uber en su momento me auxilió con la cuestión de un sello. Mi pregunta es: si no conozco los datos de la nueva fiel, ¿es posible revocarla, tramitar una nueva?
Adrián: Sí puedes revocarla o renovarla pero al no contar con los archivos más nuevos y su contraseña, no podrás hacerlo en línea. Tu única opción es hacer el trámite de manera presencial con cita en las oficinas del SAT. Te sugerimos hacerlo cuanto antes y comunicarte con dicha dependencia para que te orienten.
Como puedo denunciar a una empresa que esta solicitando la fiel para poder contratarme? ya que me dicen que ellos me llevaran mi contabilidad
José: al tratarse de un asunto laboral, podrías acercarte a la Procuraduría Federal de la Defensa del Trabajo, y si esto sucedió en la Ciudad de México, a la Procuraduría de la Defensa del Trabajo de la Ciudad de México.
APARTE DE FACTURACION Y DECLARACIONES QUE OTRO MOVIMIENTO SE PUEDE HACER CON TU FIRMA ELECTRONICA
Angy: la e.firma del SAT puede usarse para diversos trámites ante el gobierno. Además, al ser una herramienta de firma electrónica avanzada, puede utilizarse para firmar cualquier documento con el apoyo de plataformas como Mifiel.
Hola porfavor asesorenme acabo de obtener mi e-firma por primera vez, la persona que me atendió en el SAT, totalmente vio mi contraseña, yo le dije, esta visible y ella dijo si, así la guardo en la memoria. Esta mal no?
Hola buenas tardes solo quisiera saber si alguien puede copiar de la memoria de origen a otra mi e.firma y si se puede usar
cual es el fundamento legal de que la FIEL y CONTRASEÑA son propiedad de la persona y por lo tanto se lo tienen que devolver?
Laura: el Código de Comercio en sus artículos 90, 99 y 107 establece la presunción de atribución y la garantía de no repudio de la firma electrónica avanzada.
Hola, que es lo peor que te puede pasar si tiene los datos de tu FIEL? En ningún trámite, fuera de los del SAT, la he utilizado.
Podrían poner otro beneficiario? otra cuenta de depósito de devolución de impuestos? etc.
Saludos y gracias por la asesoría.
Julio: el uso de la e.firma no se limita a cuestiones fiscales, también otras dependencias del gobierno la requieren para diversos trámites y, en el ámbito privado, puede usarse para suscribir cualquier documento en plataformas como Mifiel. Todo acto realizado mediante tu e.firma es atribuible a ti y no es repudiable. Te compartimos el caso de dos socios de una empresa que por compartir su FIEL con el contador, el cual hizo mal uso de ella, contrajeron una enorme deuda.
Hola buen día es ¿ correcto que mi empresa CUSAEM me pida mi firma electrónica,original y copia de la misma o de lo contrario se verá afectado en mis pagos de quincena? …gracias
Jorge: no es correcto que ningún patrón exija tener tu clave privada (archivo .key) ni la contraseña de la misma.
Ayúdeme por favor, mi contador se quedo con mi firma, contraseñas y todo, tiene familia en el senado y me amenazó para que no lo molestara, temo que este haciendo uso mal de ella
Mariana: para evitar que una persona a quien le otorgaste tu e.firma y su contraseña haga mal uso de ella, debes revocarla como ante el SAT.