Firmas digitales vs firmas electrónicas: lo que necesita saber

Las firmas digitales en documentos PDF siguen un proceso definido en la especificación PDF y el estándar PAdES (Firmas Electrónicas Avanzadas para PDF). Cuando un firmante aplica una firma digital, el software PDF calcula un hash (una huella digital de tamaño fijo) del contenido del documento. Este hash se cifra luego usando la clave privada del firmante, creando la firma digital. La firma, junto con el certificado del firmante (que contiene su clave pública e información de identidad), se incrusta en el PDF.

Cuando un destinatario abre el PDF firmado, el proceso de verificación invierte estos pasos. El lector de PDF extrae el certificado del firmante y usa la clave pública para descifrar la firma, recuperando el hash original. Luego calcula independientemente el hash del contenido del documento. Si los dos hashes coinciden, el documento no ha sido modificado desde la firma. El lector también valida la cadena de certificados del firmante, verificando que el certificado fue emitido por una CA de confianza, no ha expirado y no ha sido revocado.

PDF admite múltiples firmas en un solo documento. Cada firma subsiguiente cubre todo el documento incluyendo las firmas anteriores, creando una cadena que preserva la integridad de las contribuciones de todos los firmantes. Los guardados incrementales permiten que se añada contenido después de una firma sin invalidarla, aunque el lector de PDF indicará que el documento ha sido modificado desde que se aplicó la firma. Este mecanismo admite flujos de trabajo donde múltiples partes firman un documento en secuencia.

La validez legal de las firmas electrónicas y digitales varía según la jurisdicción y el caso de uso. En Estados Unidos, la Ley ESIGN (2000) y la UETA (Ley Uniforme de Transacciones Electrónicas) otorgan a las firmas electrónicas la misma validez legal que las firmas manuscritas para la mayoría de las transacciones. Las excepciones incluyen testamentos, ciertos documentos de derecho de familia, órdenes judiciales y documentos regidos por regulaciones específicas que requieren firmas húmedas.

El reglamento eIDAS de la Unión Europea (2014) establece tres niveles de firmas electrónicas. Una firma electrónica simple no tiene requisitos técnicos específicos y tiene la menor presunción de validez. Una firma electrónica avanzada debe estar vinculada de forma única al firmante, ser capaz de identificar al firmante, crearse usando datos bajo el control exclusivo del firmante y estar vinculada a los datos firmados de manera que detecte cambios posteriores. Una firma electrónica cualificada es una firma electrónica avanzada creada por un dispositivo cualificado de creación de firmas y basada en un certificado cualificado. Solo las firmas electrónicas cualificadas tienen la equivalencia legal automática de las firmas manuscritas en todos los estados miembros de la UE.

Otras jurisdicciones tienen sus propios marcos. La Ley de Firmas Electrónicas de China reconoce firmas electrónicas fiables que cumplen criterios específicos similares a la firma electrónica avanzada de la UE. La Ley de Tecnología de la Información de India reconoce firmas digitales que utilizan estándares criptográficos específicos. Muchos países de América Latina, Asia y África han adoptado leyes de firmas electrónicas, a menudo basadas en la Ley Modelo de CNUDMI sobre Firmas Electrónicas. Antes de confiar en firmas electrónicas o digitales para documentos legalmente significativos, consulte los requisitos específicos de la jurisdicción relevante.

La confiabilidad de una firma digital depende del certificado utilizado para crearla. Los certificados son emitidos por Autoridades de Certificación (CA), organizaciones de confianza que verifican la identidad de los titulares de certificados. Cuando una CA emite un certificado, garantiza que la clave pública del certificado pertenece a la persona u organización nombrada. Esto crea una cadena de confianza: usted confía en la firma porque confía en el certificado, y confía en el certificado porque confía en la CA.

Los lectores de PDF mantienen una lista de CA raíz de confianza. Adobe Acrobat utiliza la Lista de Confianza Aprobada por Adobe (AATL) y la Lista de Confianza de la Unión Europea (EUTL). Al verificar una firma, el lector de PDF comprueba si el certificado del firmante se encadena hasta una CA raíz de confianza. Si es así, la firma se muestra como válida. Si la CA no es de confianza, el lector advertirá que no se puede confirmar la validez de la firma, incluso si la verificación criptográfica tiene éxito.

Para las organizaciones, elegir la CA y el tipo de certificado correctos es importante. Los certificados de firma de documentos de CA listadas en AATL aseguran que las firmas sean automáticamente confiables en los productos de Adobe. Los certificados cualificados de los Proveedores de Servicios de Confianza de la UE proporcionan la mayor validez legal bajo eIDAS. Los certificados autofirmados pueden usarse dentro de una organización pero no serán confiables para partes externas sin configuración manual de confianza. El costo varía desde gratuito (Let's Encrypt para certificados básicos) hasta varios cientos de dólares por año para certificados cualificados o de firma de documentos validados por organización.

La validez de una firma digital está normalmente ligada al período de validez del certificado de firma. Los certificados generalmente expiran después de uno a tres años. Sin medidas adicionales, un documento firmado podría mostrar la firma como inválida después de que el certificado expire, aunque la firma era válida cuando se aplicó. Las marcas de tiempo y la validación a largo plazo (LTV) resuelven este problema.

Una marca de tiempo es una afirmación firmada de una Autoridad de Sellado de Tiempo (TSA) de confianza de que la firma existía en un punto específico del tiempo. Cuando se aplica una marca de tiempo a una firma digital, demuestra que la firma se creó antes de que el certificado expirara o fuera revocado. PDF admite marcas de tiempo incrustadas usando el protocolo RFC 3161. La marca de tiempo se incluye en el diccionario de firma y cubre el valor de la firma.

La validación a largo plazo extiende este concepto al incrustar toda la información necesaria para validar la firma en cualquier punto futuro. Una firma habilitada para LTV incluye el certificado de firma y todos los certificados de la cadena, la respuesta del Protocolo de Estado de Certificado en Línea (OCSP) o la Lista de Revocación de Certificados (CRL) que prueba que los certificados eran válidos en el momento de la firma, y la marca de tiempo. Con toda esta información incrustada, la firma puede validarse incluso si la CA deja de existir, el respondedor OCSP se desconecta o los puntos de distribución de CRL dejan de estar disponibles. PAdES define perfiles específicos (PAdES-LTV) para la validación a largo plazo en documentos PDF.

Implementar firmas electrónicas o digitales en la práctica requiere elegir las herramientas y el flujo de trabajo adecuados para sus necesidades. Para firmas electrónicas simples (una firma dibujada o escrita que indica acuerdo), las plataformas de firma en la nube como DocuSign, Adobe Sign y HelloSign proporcionan flujos de trabajo completos que incluyen preparación de documentos, enrutamiento a firmantes, notificaciones y registros de auditoría. Estas plataformas generalmente utilizan firmas digitales del lado del servidor para sellar el documento firmado, aunque la firma visible es una firma electrónica (no criptográfica).

Para firmas digitales donde necesita una prueba criptográfica basada en certificados, Adobe Acrobat proporciona capacidades de firma integradas. Puede usar un certificado almacenado en su computadora, una tarjeta inteligente o un servicio de firma basado en la nube. El proceso de firma implica seleccionar el campo de firma, elegir el certificado y opcionalmente añadir una apariencia de firma visible. Acrobat maneja las operaciones criptográficas y puede aplicar marcas de tiempo de TSA configuradas.

Para los desarrolladores que incorporan firmas en aplicaciones, bibliotecas como pdf-lib (JavaScript), iText (Java/.NET) y PyPDF (Python) admiten añadir firmas digitales programáticamente. La biblioteca pdf-lib utilizada en herramientas de PDF basadas en navegador puede añadir apariencias de firma visual (imágenes o firmas dibujadas), aunque las firmas digitales criptográficas requieren procesamiento del lado del servidor con acceso a la clave privada. Al diseñar flujos de trabajo de firma, considere todo el ciclo de vida: preparación del documento, aplicación de la firma, verificación y validación a largo plazo. Cada paso debe ser fiable para que el documento firmado mantenga su valor probatorio.

La elección entre firmas electrónicas y digitales depende de sus requisitos específicos de seguridad, cumplimiento legal y simplicidad del flujo de trabajo. Para aprobaciones internas, acuerdos informales y transacciones de bajo riesgo, las firmas electrónicas simples suelen ser suficientes. Son más fáciles de implementar, no requieren gestión de certificados y son familiares para la mayoría de los usuarios. El registro de auditoría proporcionado por las plataformas de firma (dirección IP, marca de tiempo, confirmación por correo electrónico) proporciona evidencia adecuada para la mayoría de los propósitos empresariales.

Las firmas digitales están justificadas cuando necesita una prueba criptográfica de la integridad del documento (asegurando que el documento no ha sido alterado), autenticación fuerte del firmante (prueba de la identidad del firmante más allá de solo una dirección de correo electrónico), cumplimiento de regulaciones que requieren estándares de firma específicos (como las firmas cualificadas de eIDAS), o no repudio (haciendo difícil que el firmante niegue haber firmado). Los contratos legales, las presentaciones regulatorias, los documentos financieros y las presentaciones gubernamentales a menudo entran en esta categoría.

En algunos casos, un enfoque híbrido funciona mejor. Use firmas electrónicas para la ceremonia de firma orientada al usuario (recopilando la firma dibujada del firmante y su intención de firmar) y aplique una firma digital para sellar criptográficamente el documento completado. Esto proporciona tanto una firma fácil de usar como protección técnica de integridad. Muchas plataformas de firma empresarial utilizan este enfoque, combinando un flujo de trabajo de firma basado en la nube con sellado basado en certificados. Cualquiera que sea el método que elija, mantenga prácticas de firma consistentes y documente la política de firmas de su organización para asegurar que los documentos firmados sean tratados adecuadamente por todas las partes.