Nunca debes compartir tu e.firma o FIEL del SAT con nadie

Nunca deberías compartir tu e.firma o FIEL del SAT, es peor que dar una hoja en blanco.

Recientemente tuvimos una interacción por el chat de Mifiel que decidimos compartir a manera de cuento con moraleja.

Nos contacta una persona —llamémosla Juan— por el chat de soporte preguntando si es posible saber si alguien ha hecho mal uso de su FIEL/e.firma. Le respondemos que no hay manera y le preguntamos si sospecha que alguien más tiene acceso a su e.firma.

Hasta aquí todo normal. De vez en cuando nos llegan consultas como esta pero siempre se trata de alguien que entregó la FIEL a su contador (muy mala práctica) y después leyó por ahí que los archivos de la firma electrónica no se deben compartir con nadie. Así que nos contacta para preguntar si hay manera de saber si alguien le está dando mal uso a su FIEL.

Sin embargo, este caso es diferente. Juan nos menciona que sospecha que la USB que contiene los archivos de su FIEL fue sustraída con el objetivo de hacer mal uso de ella.

Le sugerimos que si tiene una copia de los archivos revoque lo más pronto posible su e.firma en la página del SAT. También le explicamos que se trata de un tema muy delicado, ya que la ley otorga presunción jurídica de autoría a la firma electrónica avanzada, lo que implica que si uno de los documentos firmados con su FIEL llega a un proceso judicial, él va a tener que presentar pruebas de que NO firmó.

Probablemente en un estado de incredulidad Juan nos revela que trabaja en un municipio del cual debe firmar los estados financieros con su FIEL. Además agrega que la fecha límite para entregar los estados financieros municipales se aproxima y no le han requerido que los firme, por lo que sospecha que su USB fue sustraída para firmar estos documentos sin su consentimiento.

Con este comentario nos cae el veinte de que se trata de un asunto grave, por lo que rápidamente le reiteramos que si estos estados financieros derivan en una acción judicial y están firmados con su FIEL, se va a asumir que él los firmó y va a tener que probarle al juez que NO firmó (y probar negativos en un juicio es extremadamente difícil).

Con esta reiteración de que la e.firma es básicamente irrepudiable, Juan deja de contestar en el chat. Asumimos que probablemente está procesando lo que implica la irrepudiabilidad de la firma electrónica en contexto de su situación. Después de unos minutos regresa y nos contesta —probablemente en un estado de negación y tratando de racionalizar una posible salida a su predicamento— que en la documentación que entrega el SAT no se especifica en ningún lado que “somos los únicos responsables del mal uso que se le pueda dar a la FIEL”. Le respondemos que lo opuesto es verdad. Uno de los documentos que tenemos que firmar al tramitar nuestra e.firma es una carta responsiva que explícitamente expone que los actos realizados con nuestra FIEL son imputables a nosotros y que si sospechamos que alguien más tiene acceso a nuestra e.firma es nuestra responsabilidad revocarla inmediatamente.

Juan nos revira diciendo que el personal del SAT “no nos explica las implicaciones de la FIEL”. En este punto tiene razón, tache para el SAT. Cuando nos entregan los archivos de la e.firma, el funcionario del SAT nos debería advertir que entregarlos a un tercero es mucho peor que darle hojas en blanco firmadas. Hace falta capacitar al personal para que entiendan y comuniquen claramente las implicaciones de la FIEL.

Antes de seguir con el relato es importante aclarar un punto que algunos de ustedes (los más familiarizados con la FIEL y su funcionamiento) deben ya haber notado. Juan menciona que su USB fue sustraída, por lo que los mal intencionados perpetradores tienen acceso al archivo .key (la llave privada) de su FIEL. No obstante, para poder firmar se necesita tener acceso a este archivo pero también es indispensable conocer la contraseña correspondiente.

La teoría dice que mientras los ladrones de USBs no tengan la contraseña, no podrán hacer mal uso de la FIEL. Sin embargo, en la práctica, la mayoría tenemos la mala costumbre de usar contraseñas poco seguras y fáciles de adivinar como nuestro RFC, fecha de nacimiento, nombre de nuestra mascota, etc., contraseñas que un atacante con acceso a un mínimo de información sobre nosotros podría adivinar. Es por esto que como regla general en Mifiel siempre recomendamos que si se sospecha que alguien tiene acceso a nuestro .key pero no a la contraseña, es buena práctica revocar la FIEL de cualquier manera y tramitar una nueva. El proceso es muy fácil y se puede hacer en línea.

Regresando al relato, en afán de dar esperanza a Juan, le informamos que si usó una buena contraseña el riesgo está controlado y probablemente haya evitado una desgracia.

“El municipio me solicitó llenar un expediente con todos mis datos, incluyendo la contraseña de mi e.firma y la de mi correo electrónico”, nos contesta.

What?!?!

“Entra al SAT ahora mismo y revoca tu FIEL”, le respondemos inmediatamente.

Mega tache para el municipio y en especial para los abogados que diseñaron este procedimiento de pedir contraseñas. Nadie debe/puede pedirnos que entreguemos el archivo .key de nuestra FIEL y mucho menos la contraseña*. La e.firma es algo muy delicado que se debe cuidar celosamente. Esperamos que Juan pueda solucionar su situación sin que le cause graves problemas y que su historia nos sirva de moraleja para custodiar apropiadamente nuestra FIEL así como su contraseña correspondiente.


*Si por alguna razón es necesario utilizar una plataforma web que requiere los archivos de la FIEL o e.firma para su funcionamiento es imperativo asegurarse que la llave privada y la contraseña se queden en la computadora y no sean compartidas con los servidores de la plataforma web. Mifiel funciona de tal manera que las firmas de los documentos se ejecutan localmente en el navegador del usuario, evitando que la información sensible de la FIEL sea compartida con el servicio de Mifiel.

Image based on illustration by freepik

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Quizá también te interese