Resumen: La pregunta más determinante cuando un documento firmado electrónicamente llega a juicio no es si la firma es válida: es si el documento puede someterse a verificación técnica independiente. Este artículo explica qué requiere una pericial en informática sobre una firma electrónica, por qué esa distinción existe, y cómo la jurisprudencia de la Suprema Corte ya resolvió qué ocurre cuando la respuesta es no.
Este artículo es parte de la serie “Firma electrónica en juicio: lo que está pasando del lado del demandado.” Si llegaste directamente aquí, el artículo introductorio te da el marco completo.
Cuando un documento firmado electrónicamente llega a juicio, la discusión suele comenzar en el lugar equivocado. Las partes debaten si la firma tiene validez legal, si la plataforma es confiable, si el proceso fue correcto. Hay una pregunta más anterior y más determinante: ¿puede ese documento someterse a verificación técnica independiente?
Si la respuesta es sí, el debate tiene sustancia. Si la respuesta es no, el debate termina antes de empezar, pero no como la parte actora espera.
Operación y prueba no son lo mismo
Un sistema puede registrar perfectamente cada evento de una firma electrónica y aun así ser incapaz de producir esa información en un formato que un perito externo pueda verificar. Esto no es una falla de seguridad. Es una falla de diseño: los sistemas se construyeron para operar, no para probar.
La distinción importa porque en juicio no se evalúa cómo funciona el sistema. Se evalúa si los hechos que ese sistema registró pueden acreditarse de manera objetiva, reproducible e independiente ante el juzgador.
Cuando la acreditación depende de que alguien explique cómo funciona su propio sistema, de reportes generados internamente, o de acceso a plataformas que solo la parte actora controla, estamos ante evidencia que no puede verificarse de forma independiente. Y eso, como ya documentó la Suprema Corte, tiene consecuencias procesales específicas.
Qué requiere una pericial en informática sobre una firma electrónica
Para que un perito pueda dictaminar sobre la validez de una firma electrónica necesita, como mínimo, los elementos técnicos que permitan responder tres preguntas.
Integridad. ¿El documento que se presenta en juicio es exactamente el mismo que fue firmado, sin alteraciones posteriores? Esto se verifica mediante el valor hash del documento. Si el hash del documento presentado coincide con el hash declarado al momento de la firma, el documento no fue modificado.
Autenticidad de las firmas. En el caso de la firma electrónica avanzada, la firma es técnicamente el resultado de cifrar el hash del documento con la llave privada del firmante. Si la firma puede verificarse con la llave pública del certificado correspondiente, la firma es auténtica. Este mecanismo es por definición independiente: cualquier parte puede hacer la verificación sin acceder a los sistemas de la plataforma.
Validez del certificado. También en el contexto de la firma avanzada, el certificado utilizado debe haber sido emitido por una autoridad reconocida, estar vigente al momento de la firma y no haber sido revocado. Esto se verifica validando la cadena de certificación hasta una autoridad raíz confiable.
En la firma electrónica simple, la acreditación de autenticidad funciona de manera distinta: depende de la evidencia de atribución disponible (biometría, OTP, correo electrónico). Si esa evidencia vive en los sistemas de la plataforma y no puede producirse en formato auditable para un perito externo, el problema de verificabilidad es exactamente el mismo que con los bancos, solo que sin el respaldo criptográfico de la firma avanzada. Ese es el tema del quinto artículo de esta serie.
El argumento que ya operó en la banca
La Suprema Corte resolvió en 2021, mediante la jurisprudencia 1a./J. 17/2021 (10a.), que no puede presumirse la fiabilidad de un sistema de firma electrónica a partir de la mera acreditación de que se usaron credenciales. La resolución surgió de disputas bancarias por transferencias supuestamente no autorizadas, pero el criterio está formulado en términos de firma electrónica en general.
Lo que ocurrió en esos casos tiene una estructura precisa. El cliente negaba haber autorizado la operación y solicitaba que el banco entregara los elementos técnicos necesarios para que un perito externo pudiera verificar cómo se generó la firma. El banco no podía hacerlo en formato auditable. Ante esa imposibilidad, el juzgador aplicó el principio de facilidad probatoria: quien tiene el control del sistema y puede acreditar los hechos con mayor facilidad, debe hacerlo. Si no puede, la presunción de que el cliente autorizó la operación se desactiva y la carga probatoria se invierte.
La aplicación de este mismo esquema a documentos firmados electrónicamente fuera del contexto bancario tiene bases jurídicas establecidas. La pregunta ya no es si el principio aplica, sino si la plataforma específica que se usó puede o no producir los elementos técnicos que la pericial requiere.
Por qué el formato no es lo que importa
Un error frecuente es pensar que la discusión es de formato: que un XML es válido y un PDF no. No es así. Un PDF puede contener firmas digitales embebidas con elementos criptográficos completos, y herramientas estándar como Adobe Reader permiten verificarlas. El formato por sí solo no determina si el documento es verificable.
Lo que determina la verificabilidad es si la comprobación puede realizarse sobre el documento mismo, con herramientas públicas y auditables, sin requerir acceso a sistemas internos. Una herramienta de verificación de código abierto que corre sobre el propio documento, aunque la provea quien lo generó, permite que cualquier perito corra las mismas verificaciones y llegue al mismo resultado de forma independiente.
El problema ocurre cuando verificar requiere que un perito externo acceda a bases de datos internas, logs de servidor o sistemas propietarios que solo la plataforma controla. Eso fue exactamente lo que ocurrió con los bancos: la evidencia de autenticación vivía en sus sistemas internos, y cuando los peritos externos solicitaron acceso para verificarla, los bancos se negaron. Esa negativa, combinada con la imposibilidad de producir la evidencia en otro formato, fue lo que activó el principio de facilidad probatoria.
Qué tiene que poder entregarse
Un documento firmado electrónicamente que puede someterse a pericial permite que cualquier parte verifique su integridad y la autenticidad de sus firmas corriendo verificaciones sobre el documento mismo, con herramientas auditables.
Esto generalmente implica la existencia de un mensaje de datos en formato técnicamente auditable que contiene los valores hash del documento, las firmas electrónicas en formato verificable, los certificados de los firmantes y, si existe, la constancia de conservación NOM-151. Cuando ese archivo existe y hay herramientas públicas para verificarlo, cualquier parte puede tomar el documento, correr las verificaciones y obtener el mismo resultado. La prueba no depende de la palabra de nadie.
Cuando ese archivo no existe, cuando la plataforma no puede producirlo, o cuando verificarlo requiere acceso a sistemas internos que la plataforma controla y puede negar, la cadena de custodia de la evidencia vive fuera del alcance de quien necesita verificarla. En ese escenario, el principio de facilidad probatoria empieza a operar.
Lo que estamos viendo
En el contexto bancario, este argumento tiene jurisprudencia. En el contexto de plataformas de firma electrónica comercial, los fundamentos jurídicos son los mismos pero el recorrido judicial está comenzando.
Lo que sí hemos documentado, y que es consistente con la lógica de la Suprema Corte, es que los juzgadores no aceptan explicaciones sobre cómo funciona un sistema como sustituto de la verificación técnica del documento. Un representante de la plataforma que explica en estrado que “el sistema registra todo correctamente” no produce el mismo efecto probatorio que un perito que verifica criptográficamente que la firma es auténtica y el documento es íntegro.
La diferencia entre estos dos escenarios no es de credibilidad. Es de verificabilidad.
La verificabilidad es el primer filtro. Cuando el documento lo pasa, la siguiente pregunta es sobre la constancia de conservación: si existe, y si cubre lo que debería cubrir. Eso es lo que analiza el siguiente artículo de la serie.
