Nunca debes compartir tu e.firma o FIEL del SAT con nadie

Recientemente tuvimos una interacción por el chat de Mifiel que decidimos compartir a manera de cuento con moraleja.

Nos contacta una persona —llamémosla Juan— por el chat de soporte preguntando si es posible saber si alguien ha hecho mal uso de su FIEL/e.firma. Le respondemos que no hay manera y le preguntamos si sospecha que alguien más tiene acceso a su e.firma.

Hasta aquí todo normal. De vez en cuando nos llegan consultas como esta. Pero siempre se trata de alguien que entregó la FIEL a su contador (muy mala práctica) y después leyó por ahí que los archivos de la firma electrónica no se deben compartir con nadie. Así que nos contacta para preguntar si hay manera de saber si alguien le está dando mal uso a su FIEL.

Sin embargo, este caso es diferente. Juan sospecha que la USB que contiene los archivos de su FIEL fue sustraída con el objetivo de hacer mal uso de ella.

Uno de los documentos que tenemos que firmar al tramitar nuestra e.firma es una carta responsiva que explícitamente expone que los actos realizados con nuestra FIEL son imputables a nosotros.

Sugerencia: revocar la FIEL

Le sugerimos que si tiene una copia de los archivos revoque lo más pronto posible su e.firma en la página del SAT. También le explicamos que se trata de un tema muy delicado, ya que la ley otorga presunción jurídica de autoría a la firma electrónica avanzada, lo que implica que si uno de los documentos firmados con su FIEL llega a un proceso judicial, él va a tener que presentar pruebas de que NO firmó.

Probablemente en un estado de incredulidad Juan nos revela que trabaja en un municipio del cual debe firmar los estados financieros con su FIEL. Además agrega que la fecha límite para entregar los estados financieros municipales se aproxima y no le han requerido que los firme. Él sospecha que su USB fue sustraída para firmar estos documentos sin su consentimiento.

Con este comentario nos cae el veinte de que se trata de un asunto grave. Rápidamente le reiteramos que si estos estados financieros derivan en una acción judicial y están firmados con su FIEL, se presumirá que él los firmó y tendrá que probarle al juez que NO firmó. Probar negativos en un juicio es extremadamente difícil.

Con esta reiteración de que la e.firma es irrepudiable, Juan deja de contestar en el chat. Asumimos que probablemente está procesando lo que implica la garantía de no repudio de la firma electrónica en contexto de su situación.

Después de unos minutos regresa y nos contesta —probablemente en un estado de negación y tratando de racionalizar una posible salida a su predicamento— que en la documentación que entrega el SAT no se especifica en ningún lado que “somos los únicos responsables del mal uso que se le pueda dar a la FIEL”.

Le respondemos que lo opuesto es verdad. Uno de los documentos que tenemos que firmar al tramitar nuestra e.firma es una carta responsiva que explícitamente expone que los actos realizados con nuestra FIEL son imputables a nosotros. Además indica que si sospechamos que alguien más tiene acceso a nuestra e.firma, es nuestra responsabilidad revocarla inmediatamente.

Juan nos revira diciendo que el personal del SAT “no nos explica las implicaciones de la FIEL”. En este punto tiene razón, tache para el SAT. Cuando nos entregan los archivos de la e.firma, el funcionario del SAT nos debería advertir que entregarlos a un tercero es mucho peor que darle hojas en blanco firmadas. Hace falta capacitar al personal para que entiendan y comuniquen claramente las implicaciones de la FIEL.

La mayoría tenemos la mala costumbre de usar contraseñas poco seguras y fáciles de adivinar como nuestro RFC, fecha de nacimiento, nombre de nuestra mascota, etc., contraseñas que un atacante con acceso a un mínimo de información sobre nosotros podría adivinar.

Obligado a dar mal uso a su FIEL

Antes de seguir con el relato es importante aclarar un punto que seguramente notaste. Juan menciona que su USB fue sustraída, por lo que los malintencionados perpetradores tienen acceso al archivo .key (la llave privada) de su FIEL. No obstante, para poder firmar se necesita tener acceso a este archivo pero también es indispensable conocer la contraseña correspondiente.

La teoría dice que mientras los ladrones de USBs no tengan la contraseña, no podrán hacer mal uso de la FIEL. Sin embargo, en la práctica, la mayoría tenemos la mala costumbre de usar contraseñas poco seguras y fáciles de adivinar como nuestro RFC, fecha de nacimiento, nombre de nuestra mascota, etc., contraseñas que un atacante con acceso a un mínimo de información sobre nosotros podría adivinar.

Por ello, como regla general en Mifiel en estos casos siempre recomendamos revocar la FIEL de cualquier manera y tramitar una nueva. La revocación es un proceso es muy fácil y se puede hacer en línea.

Regresando al relato, en afán de dar esperanza a Juan, le informamos que si usó una buena contraseña el riesgo está controlado y probablemente haya evitado una desgracia.

“El municipio me solicitó llenar un expediente con todos mis datos, incluyendo la contraseña de mi e.firma y la de mi correo electrónico”, nos contesta.

What?!?!

“Entra al SAT ahora mismo y revoca tu FIEL”, le respondemos inmediatamente.

Mega tache para el municipio y en especial para los abogados que diseñaron este procedimiento de pedir contraseñas. Nadie debe pedirnos que entreguemos el archivo .key de nuestra FIEL y mucho menos la contraseña*. La e.firma es algo muy delicado que se debe cuidar celosamente. Esperamos que Juan pueda solucionar su situación sin que le cause graves problemas.

Moraleja: custodia apropiadamente tu FIEL así como su contraseña correspondiente.


*Si por alguna razón es necesario utilizar una plataforma web que requiere los archivos de la FIEL o e.firma para su funcionamiento es imperativo asegurarse que la llave privada y la contraseña se queden en la computadora y no sean compartidas con los servidores de la plataforma web. Mifiel funciona de tal manera que las firmas de los documentos se ejecutan localmente en el navegador del usuario, impidiendo que las claves privadas de la FIEL sean compartidas con el servicio de Mifiel.

Scroll al inicio