Los retos y beneficios de la firma electrónica en tiempos de cuarentena

Utilizar la firma electrónica avanzada reduce costos e incrementa la seguridad de procesos en las compañías mediante el uso de medios electrónicos, pero sobre todo ofrece un respaldo legal al documento signado. La contingencia por el Covid-19, sin embargo, está transformando a esta rúbrica en una elemento más importante que nunca.

Ivonne Muñoz, abogada especializada en ciberseguridad y directora de IT Lawyers, despacho especializado en temas de derecho informático, privacidad, pruebas digitales, propiedad intelectual y seguridad de la información, dijo que en la legislación mexicana existe la figura de firma electrónica desde el año 2000; cuatro años después se ajustaron algunos elementos técnicos en la Ley y se empezó a hablar de firma electrónica avanzada. Aunque su uso legal fue aprobado hasta 2012 mediante la LFEA.

Con el paso del tiempo se ha adoptado paulatinamente, pero el coronavirus vino a destacar su importancia para agilizar procesos y disminuir tiempos en la firma de documentos oficiales. Gracias a las semanas de confinamiento y aislamiento social hay empresas que finalmente están optando por esta herramienta para rubricar documentos oficiales. Después de una reunión —realizada a través de video llamada o conferencia remota— de los órganos de gobierno de las compañías, los accionistas y socios pueden poner su firma de esta manera en las actas del Consejo sin que haya que esperar que los mensajeros lleven y traigan dichos documentos.

La firma electrónica se forma con un conjunto de datos asociados a un mensaje o documento electrónico que permite garantizar la identidad del firmante y la integridad del texto o mensaje enviado. Ejemplo de estos últimos son documentos oficiales —como las mencionadas actas de Consejo—. La firma electrónica puede utilizarse para signar decisiones judiciales, aprobación de cotizaciones, contratos de prestación de servicios, documentos de compra-venta, contratos de trabajo, notificaciones comerciales o de cambio de términos y condiciones de uso.

En el caso de los contratos, quienes acuerdan algo legalmente mediante este tipo de documentos deben tener sus certificados digitales y contar una plataforma para subir los documentos, firmarlos electrónicamente y devolverlos. Varias herramientas del mercado para generar documentos en PDF, como Acrobat Reader o Foxit tienen la opción para ingresar certificados digitales. Muñoz dijo que si el contrato que va a firmarse entre las dos partes establece que se le dará valor a las firmas electrónicas que se utilicen en el intercambio de información para su formalización tiene valor legal, ya están del otro lado.

Cynthia Peña, directora jurídica en Seguridata, empresa mexicana prestadora de servicios de certificación acreditado por la Secretaría de Economía, señaló en entrevista que, actualmente, no solo el Código de Comercio, el Código Civil y la propia Ley de Firma Electrónica reconocen el uso de medios electrónicos para este tipo de firma; también lo hacen la Ley Federal del Trabajo, la Ley de Instituciones de Seguros y Finanzas, así como la Ley General de Organizaciones y Actividades Auxiliares de Crédito.

Cómo obtenerla

En esta época de Covid-19 se ha identificado que muchas personas utilizan la tecnología pero no estaban preparadas para usarla en el trabajo, a distancia. “Hoy, muchas empresas que no habían migrado a la firma electrónica avanzada se encuentran con la necesidad de firmar contratos, sin poder hacerlo. En esta situación no puedo imprimirlo, enviarlo con el mensajero para que la otra parte lo firme y lo regrese. En muchos casos, si no hay contrato firmado no se puede prestar el servicio”, indica Muñoz.

Para tener una firma electrónica avanzada se requieren certificados digitales *.cer y *.key. Normalmente, quienes reciben ingresos acuden al SAT para hacer este trámite de manera gratuita. La directora de IT Lawyers describió que solicitar la generación de certificados digitales en el SAT es un trámite que debe hacerse de manera presencial. Ahí, identifican al usuario con documentos oficiales, le toman biométricos, llena una solicitud con su RFC y su contraseña. Luego, le piden que “la firme” con el mouse, que haga un movimiento circular con él mientras en la pantalla va girando una flecha. Esto desconcierta a muchos usuarios. Muñoz explica que ese movimiento, es individual, único e irrepetible, como cuando se firma algo en papel: “Nadie va a mover la muñeca igual que tú. Cuando haces ese movimiento, la aplicación identifica las coordenadas por las que va pasando el mouse y genera una firma única, que es la que se graba en el certificado. Esa es la unicidad que tiene”.

Para la generación de los certificados digitales, el SAT utiliza la infraestructura extendida de seguridad (IES) de Banxico. Los certificados digitales autentican la identidad del firmante no solamente, por supuesto, cuando se trata de hacer trámites ante el SAT. Muñoz recordó que en junio de 2016, dicha institución generó un convenio de interoperabilidad con todas las dependencias federales del país, lo que facilita comprobar que los usuarios son quienes dicen ser al utilizar los certificados del SAT. Algunas de las entidades que mencionó Muñoz son el INE, el IMPI y Compranet, pero son varias más.

No solo está el SAT, también los PSC

El SAT no es el único que puede generar certificados digitales para tener una firma electrónica avanzada. En México también existen prestadores de servicios de certificación, PSC, para firmas electrónicas que se pueden contratar en cualquier momento.

La generación de los certificados pasa por los mismos procesos de identificación y autenticación que en el SAT. De entrada, el PSC debe estar acreditado por la Secretaría de Economía, SE. Además de emitir certificados digitales para fines de comercio electrónico, un PSC puede ser acreditado por la SE para prestar los servicios de emisión de “constancias de conservación de mensajes de datos” y “sellos digitales de tiempo”.

Peña explicó que cuando una compañía decide implementar la plataforma de firma se hace un dimensionamiento para saber qué se va a utilizar, cuántos representantes legales tendrán certificado de firma para interactuar con clientes, inquilinos o proveedores. Dependiendo del tipo de documento que se requiera, se hace una configuración en los servidores del cliente o en la nube,  después se usa un sistema para el enrolamiento con contraseña y accesos para entrar a la plataforma. Con eso se emiten los certificados de firma y puede comenzar a utilizar la rúbrica sin más contratiempos.

La directora jurídica de Seguridata destacó que, para efectos de la emisión del certificado digital, es muy importante comprobar que el solicitante sea la persona que dice ser. Debe acreditarse la identidad, tal como se hace en el SAT, donde se presenta la persona, se verifican huellas digitales y algunos otros datos biométricos.

Seguridad en los procesos

La SE es la responsable de la aplicación del marco normativo en materia de comercio electrónico. La Dirección General de Normatividad Mercantil acredita a las Personas Jurídicas —previo cumplimiento de los requisitos establecidos en la Ley— como prestador de servicios de certificación, PSC, y supervisa sus funciones.

En octubre de 2016, se publicaron en el Diario Oficial las disposiciones generales de la LFEA. Por ejemplo, en la quinta de ellas se detallaron los requerimientos técnicos mínimos de los sistemas informáticos con que deben contar dependencias y entidades que requieran utilizar la Firma Electrónica Avanzada. Entre ellos está la infraestructura de comunicación, algoritmos de seguridad, y el software para validar los certificados a través de un servicio de consulta basado en el protocolo de comunicación para certificar status en línea (OCSP por sus siglas en inglés).

Peña considera que es mucho más seguro firmar con una firma electrónica avanzada que en un papel: “En caso de presentar estos documentos en juicio, la carga de la prueba se le revierte a la contraparte porque la firma electrónica tiene las presunciones de atribución e integridad, muestra quién es el firmante”. La directora indicó que emplear una combinación de llave pública (PKI, por sus siglas en inglés) y llave privada, hace que el método de creación sea muy fiable: “No es un intercambio de contraseñas, ni es solo un número secreto, es toda una infraestructura de llave pública que es completamente segura porque no puede ser modificada. En eso consiste su seguridad, tanto a nivel técnico, como a nivel legal”.

¿Qué dice la Ley acerca de la firma electrónica avanzada?

El Artículo 7 de la Ley de Firma Electrónica Avanzada señala que esta podrá utilizarse en documentos electrónicos y en mensajes de datos con los mismos efectos que los presentados con firma autógrafa y tendrán el mismo valor probatorio que las disposiciones aplicables les otorgan a éstos. Mientras que el Artículo 8 indica que la firma electrónica avanzada deberá cumplir con estos principios rectores:

  1. Equivalencia funcional: Consiste en que la firma electrónica avanzada en un documento electrónico o en un mensaje de datos satisface el requisito de firma del mismo modo que la firma autógrafa en los documentos impresos.
  2. Autenticidad: La firma electrónica avanzada en un documento electrónico o, en su caso, en un mensaje de datos, permite dar certeza de que el mismo ha sido emitido por el firmante de manera tal que su contenido le es atribuible al igual que las consecuencias jurídicas que de él deriven.
  3. Integridad: La firma electrónica avanzada en un documento electrónico o, en su caso, en un mensaje de datos, permite dar certeza de que éste ha permanecido completo e inalterado desde su firma, con independencia de los cambios que hubiere podido sufrir el medio que lo contiene como resultado del proceso de comunicación, archivo o presentación.
  4. Neutralidad tecnológica: Consiste en que la tecnología utilizada para la emisión de certificados digitales y para la prestación de los servicios relacionados con la firma electrónica avanzada será aplicada de modo tal que no excluya, restrinja o favorezca alguna tecnología en particular.
  5. No repudio: La firma electrónica avanzada contenida en documentos electrónicos garantiza la autoría e integridad del documento y que dicha firma corresponde exclusivamente al firmante.
  6. Confidencialidad: La firma electrónica avanzada en un documento electrónico o, en su caso, en un mensaje de datos, garantiza que sólo pueda ser cifrado por el firmante y el receptor.

En resumen

Peña indicó que actualmente, grandes cadenas de supermercados y tiendas, compañías cerveceras, empresas de telefonía y prestadores de servicio ya firman todos sus contratos de arrendamiento, de prestación de servicio y sus órdenes de compra, mediante firma electrónica avanzada. Su uso reduce de días a horas el tiempo que antes llevaba esa firma, así, se rompe con distancias y con la necesidad de la presencia física. “Si todos los contratos que se firman en este país se pudieran rubricarse de manera electrónica, se daría gran agilidad a muchos procesos en esta contingencia y una parte de la economía no estaría tan estancada”, puntualizó Muñoz.  

Una última consideración, hoy, en México hay otros tres tipos de firmas electrónicas legales: Firma electrónica simple, cuya verificación requiere un usuario y contraseña Firma autógrafa digital, que reúne datos en forma digital, que se transfieren en un mensaje de datos, adjuntados o asociados para identificar al firmante e indicar que se aprueba la información recogida. Biométrica, el firmante la realiza de puño y letra en dispositivos digitales como tabletas o teléfonos inteligentes. Depende de parámetros mecánicos, físicos o biológicos, como la huella dactilar.

Maricela Ochoa

Reportera de tecnología. Suele buscar temas de innovación, nuevas aplicaciones IT y seguridad de la información. Periodista por la UNAM; estudió Marketing en el ITAM y Branding en la Universidad de Bogotá Jorge Tadeo Lozano. Storyteller apasionada por la astronomía.

Related posts

Deja un comentario