Certificado de firma electrónica: ¿Qué es y para qué sirve?

Un certificado de firma electrónica, o certificado digital, es un archivo que contiene la información de criptografía para autenticar un acuerdo - qué es lo que hace las soluciones de firma electrónica. En este post te explicaremos a detalle todo sobre su concepto y su utilidad en el mundo empresarial.

Para contextualizarlo correctamente tenemos que entender bien qué es una firma electrónica: una herramienta digital que permite firmar un documento en línea en lugar de los métodos tradicionales en papel con firma manuscrita y que conlleva la misma validez legal.

Teniendo esto en cuenta, podrás entender mucho mejor este elemento.

¿Qué es el certificado de firma electrónica?

Se trata de un esquema de firma o identidad digital que cuenta con tecnología criptográfica de llave pública y privada —con las cuales puedes enviar mensajes "cerrados" con la llave privada y entregarles la llave pública a personas para abrirlos, además de enviar mensajes "cerrados" con la llave pública y ser el único con acceso a ellos a través de la llave privada.

En este ámbito es que los certificados de firma electrónica funcionan: ya que contienen los datos de identificación del individuo junto con una llave pública (PKI) y quien tenga acceso a dicho certificado puede asumir que conlleva la llave pública para intercambiar mensajes de manera segura y protegida.

Según la Regulación eIDAS de la Unión Europea con respecto a las firmas electrónicas, un certificado de firma electrónica se define como:

Una certificación digital que permite asociar los datos de validación inherentes de la firma electrónica con un individuo y auténtica el nombre o seudónimo de esta persona.

De acuerdo a esta regulación, el certificado de firma electrónica debe ser emitido por un proveedor de confianza para que cuente con validez, además de los siguientes requisitos:

• Declaración que indique que el certificado fue emitido como un certificado de firma electrónica calificado.
• Los datos de la firma electrónica usados para crear el certificado de firma electrónica solo se pueden establecer una vez.
• Existen garantías que los datos utilizados para crear la firma electrónica no pueden ser encontrados a través de deducción y que se encuentran protegidos contra la manipulación por algún medio.
• Los datos de creación de la firma electrónica usados para generar el certificado de firma electrónica están protegidos por el firmante contra el uso por parte de otras personas u organizaciones.
• Los dispositivos usados para crear las firmas electrónicas no modifican los documentos a firmar y no se impide la presentación de estos ante el firmante.
• La gestión de datos de la creación de la firma electrónica solo se encuentra en manos del proveedor.

¿Cuándo debe usarse un certificado de firma electrónica?

No todos los documentos o contratos necesitan el uso de certificados de firma electrónica, dado que muchos se pueden firmar usando la firma electrónica simple. Sin embargo, sí existen ocasiones en las que las condiciones legales demandan su uso.

El principal motivo para hacer uso de un certificado de firma electrónica es la presencia de claves criptográficas que adicionan una capa extra de seguridad a la autenticación de los firmantes. Esta decisión puede originarse de la necesidad de obtener firmas electrónicas protegidas con base en la legalidad vigente y las necesidades específicas del acuerdo.

En ese sentido, para cada persona que requiera su uso debe obtener su propio certificado de firma electrónica a través de algunos de los Prestadores de Servicios de Certificación Acreditados por la Secretaría de Economía de México.

¿Cuáles son las diferencias entre la firma electrónica y el certificado de firma electrónica?

La firma electrónica representa el tipo de autenticación utilizada para validar un acuerdo en línea. Hay múltiples formas de autenticación (dirección de IP, email, biometría, token), incluído el certificado de firma electrónica/ certificado digital. Para hacerlo, existen las soluciones digitales, como DocuSign eSignature, que le permite a personas y organizaciones firmar documentos a través de medios online con solo una conexión a Internet y un dispositivo.

El certificado está incluido en el conjunto de autenticaciones que se puede requerir para validar la firma del documento. En México, el certificado es expedido por una Autoridad de Certificación que vincula a un individuo con una PKI y confirma su identidad.

Asimismo, el certificado de firma electrónica puede ser instalado en el navegador o usado a través de un dispositivo móvil que se encuentre cualificado para la creación de firma.

Una vez que se cuenta con ello, se obtiene la firma electrónica cualificada, que cuenta con mayores niveles de protección legal y métodos de seguridad.

¿Es necesario un certificado de firma electrónica para firmar electrónicamente?

Algo es muy importante de aclarar: un certificado de firma electrónica no es estrictamente necesario para firmar electrónicamente. Hay que revisar los casos que requieren que se lo use.

Según las definiciones que acabamos de mostrar del Reglamento eIDAS existen tres tipos de firma electrónica: firma electrónica simple, firma electrónica avanzada y firma electrónica cualificada.

De estas tres, solo la firma cualificada requiere un certificado de firma electrónica, dado que la simple no tiene requisitos con respecto a la identificación del individuo. Asimismo, la firma electrónica avanzada aunque sí requiere autenticar la identidad del firmante, no necesariamente se realiza a través de un certificado de firma electrónica.

Tipos de certificados

Así como las firmas electrónicas cuentan con tipos, también existen diferentes prestadores de servicios de certificación que emiten los certificados de firma electrónica, dentro de las cuales están autorizadas en México:

• Certificado de e.firma SAT
• Certificado de Advantage Security 
• Certificado de Edicom
• Certificado de PSC World
• Certificado de Seguridata Privada

Una vez que se obtiene el certificado de firma electrónica, se debe instalar en la computadora a través del archivo llamado "certificado.p12" que es emitido por el proveedor. El resto será seguir las instrucciones que recomiende el proceso de instalación.

¿Cómo se genera un certificado de firma electrónica?

Los pasos para que una persona tramite su certificado de firma electrónica son:

• Generar un par de llaves públicas y una privada a través del sitio del SAT (Servicio de Administración Tributaria).
• Guardar la llave pública en un dispositivo electrónico como memoria USB.
• Presentarse en un módulo del SAT donde se verifican los datos y se valida la identidad.
• Luego, se genera el certificado de firma electrónica, se pide la llave pública y se inserta en el certificado.
• Se "cierra" con la llave privada del propio SAT.

¡Ya tienes tu certificado de firma electrónica a través del SAT!

¿Te interesa conocer más sobre nuestra herramienta de firma electrónica o cualquier otra solución de nuestro catálogo? ¡Contáctanos!