Firma electrónica biométrica vs Firma electrónica con certificado

Tanto la firma biométrica de documentos sobre la pantalla de teléfonos móviles o táblet, como la firma basada en certificados son firmas electrónicas, y por lo tanto, poseen la eficacia jurídica y admisibilidad en procesos judiciales que derivan principalmente del Reglamento (UE) No 910/2014 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 23 de julio de 2014. En este artículo, os relatamos algunas similitudes y diferencias entre ellas.

  

Firma electrónica biométrica

La firma electrónica biométrica de documentos consiste en el conjunto de técnicas que permite recoger los datos biométricos de la firma de un firmante, y vincularlos de modo único al documento, cualquier que sea su naturaleza, de modo que se permita, principalmente:

  1. Detectar cualquier cambio en los datos firmados. En este caso, el documento a firmar.
  2. Identificar de modo único al firmante. En este caso, mediante la extracción tanto de la representación gráfica de su firma, como sobre todo de su patrón de firma.
  3. Evitar la reutilización de la firma biométrica del firmante, garantizando por lo tanto su privacidad.


Firma electrónica con certificado

La firma electrónica de documentos con certificado digital es un proceso por el cual, el firmante dispone de dos elementos, que se le han sido otorgados por un Prestador de Servicios de Certificación. Estos elementos son:

  1. Certificado digital, que contendrá, entre otros elementos, una clave pública, que será empleada durante el proceso de verificación, e información que permite comprobar que el certificado digital ha sido emitido por un Prestador de Servicios de Certificación determinado, y que incluso permitirá verificar su estado de revocación.
  2. Clave privada, que deberá ser mantenida en secreto por el firmante, y que será la empleada en el proceso de firma para encriptar los datos a firmar.

La firma electrónica de documentos, basada en certificado, consiste en:

  1. Calcular un hash del documento a firmar, empleando algoritmos de hashing seguros, tales como SHA-512.
  2. Encriptar (cifrar) el hash con la clave privada del firmante.
  3. Encapsular todo lo anterior en un formato determinado: Pades para firmas en formato PDF, Xades o Cades para documentos genéricos.

El proceso de verificación de un documento firmado electrónicamente con certificado digital consiste en:

  1. Obtener de nuevo el hash del documento firmado, empleando exactamente el mismo algoritmo que se empleó durante la firma.
  2. Descifrar el hash encriptado durante la firma, con la clave pública del firmante. Esta clave pública está contenida en el certificado digital del firmante, que habitualmente viaja con los datos firmados, para permitir su verificación.
  3. Se compara el hash del documento que se acaba de calcular, con el hash desencriptado con la clave pública. Si son iguales, se ha podido verificar la firma del documento, y si no son iguales, o bien el documento ha sido modificado tras su firma, o no ha sido firmado por el firmante.

 

Similitudes entre firma biométrica y firma con certificado

La primera similitud es que ambos son procesos que permiten la firma de cualquier documento, ya sean contratos (laborales, préstamos, alquiler, …), presupuestos, albaranes, inscripciones, matriculaciones, etc.

La segunda similitud es que ambos son procesos de firma electrónicos, donde se firman documentos electrónicos.

La tercera similitud es que los datos de firma están vinculados al firmante de manera única. En el caso de la firma biométrica, se trata de la propia firma manuscrita del firmante, de su puño y letra, por lo que la vinculación es obvia. En el caso de la firma electrónica basada en certificado, la vinculación la establece el proceso de obtención del certificado digital y la clave privada que emplea en las firmas, puesto que deben ser expedidos por un Prestador de Servicios de Certificación, que obligatoriamente debe comprobar la identidad del firmante antes de expedirle tales elementos.

La cuarta similitud es que tanto en la firma biométrica de documentos como en la firma electrónica basada en certificado, se permite la identificación del firmante.

La quinta similitud es que tanto en el caso de la firma biométrica como en la firma electrónica basada en certificado, los datos de creación de la firma electrónica están bajo el control exclusivo de los firmantes con un alto nivel de confianza.

 

Diferencias entre firma biométrica y firma con certificado

Existen multitud de diferencias entre la firma biométrica manuscrita de documentos, y la firma basada en certificado. De hecho, son tantas que mencionaremos únicamente unas pocas en el presente artículo.

En primer lugar, los procesos de firma son diferentes. Aunque en ambos casos, el firmante debe poder tener acceso a leer el documento a firmar, y de expresar su deseo de firmar el documento en cuestión, el acto de firma es diferente. En el caso de la firma biométrica, el firmante escribe su firma de su puño y letra sobre la pantalla del teléfono móvil, táblet o pad gráfico, del mismo modo que lo haría sobre el papel. En el caso de la firma con certificado, el firmante, de modo general, introducirá el pin o contraseña de acceso a su clave privada de firma.

Del proceso de firma anterior, se extrae la segunda diferencia, relacionada con el control de los datos de firma por parte del firmante. En el caso de la firma biométrica, los datos de creación de firma son inherentes al firmante, es su capacidad de escribir su firma de su puño y letra. En el caso de la firma basada en certificado, se trata del control que el firmante posee sobre el acceso a su clave privada de firma.

Si su certificado es un certificado software, como el certificado de la Fábrica Nacional de Moneda y Timbre que nos descargamos en el navegador web, de modo general, el control radica en la capacidad del firmante de mantener control sobre el acceso a su ordenador personal o dispositivo en el que haya instalado su certificado. 

Si su certificado almacenado en un dispositivo seguro de firma, como puede ser el caso del DNI electrónico, el control se basa en no permitir el acceso al dispositivo, y en mantener secreto el PIN o contraseña de acceso.

Otra diferencia relevante existe en la verificación de los documentos firmados electrónicamente. En el caso de la firma biométrica, en general, se debe verificar en primer lugar la firma electrónica del documento, la cual debe contener la firma biométrica del firmante, para determinar la vinculación de la firma con el documento firmado. Posteriormente, debe verificarse la vinculación de la firma y el firmante, para lo cual se cuenta con los datos biométricos de la firma y con toda la información de trazabilidad que la plataforma de firma biométrica Sinatura proporciona.

En el caso de la firma electrónica basada en certificado, debe realizarse la verificación mediante la comparación de hash, tal y como se describe más arriba en el presente artículo, posteriormente determinar si el titular del certificado es efectivamente la persona física o jurídica (mediante presentación) que en teoría a firmado el documento, y posteriormente reconstruir la cadena de confianza del certificado de firma hasta llegar al certificado raíz del Prestador de Servicios de Certificación que ha emitido el certificado digital del firmante. Una vez llegados a este punto, debe determinarse si se confía en este Prestador de Servicios de Certificación o no. Un punto adicional, sería determinar si el certificado se encontraba en vigor en el momento de la firma.

Otras diferencias importantes son la facilidad de firma y la gestión de los datos de firma. En el caso de firma con certificados, necesitamos un ordenador personal propio en el que tener almacenado nuestro certificado con seguridad de que ningún otro usuario pueda usarlo. En el caso de certificados en tarjeta criptográfica, necesitamos un lector de tarjetas correctamente instalado y configurado. No es sencillo usar certificados digitales en nuestros teléfonos móviles. Debemos recordar la contraseña de acceso a la clave privada, y esta contraseña debe ser de alta seguridad, puesto que otorga acceso a firmar documento y otras actuaciones ante terceros en nuestro nombre. Si se importa el certificado en nuestro sistema operativo (Windows típicamente) ha de importarse de modo que pida permiso para su uso. Los certificados caducan, por lo que tengo que estar pendiente de su renovación.

En cambio, la firma biométrica de documentos viaja con nosotros, es inherente a nosotros mismos, y es la extensión al mundo electrónico de lo que hemos hecho siempre, firmar manuscritamente nuestros documentos.