CERTIFICADO Y FIRMA DIGITAL

5. La firma electrónica
1. TIPOS DE FIRMA

Antes de avanzar en el desarrollo de este tema es necesario diferenciar entre los distintos
tipos de firma que existen en la actualidad que son: firma digital, firma electrónica, firma
electrónica avanzada y firma electrónica reconocida. Todas ellas tienen la denominación de
“firma”, todas ellas recogen, igualmente, atributos del firmante y de los medios necesarios
para crearla. Pero todas ellas difieren en quién tiene capacidad para generarlas, qué es lo
que garantizan y cuáles son las medidas de seguridad que se atribuyen (Integridad,
confidencialidad y no repudio).

1. Firma digital

Es un código informático que permite determinar la autenticidad de un documento

electrónico y su integridad. Está constituida por un algoritmo de cifrado y encriptado que
puede hacer legible o ilegible un documento.

FIRMA DIGITAL NO ES LO MISMO QUE FIRMA ELECTRÓNICA

Firma digital es un concepto técnico.

Firma electrónica es un concepto jurídico. La ley 59/2003 de firma

electrónica reconoce en su Art. 3, tres tipos de firma: Electrónica simple,
electrónica avanzada y electrónica reconocida.

2. Firma electrónica simple

Es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con

ellos, que pueden ser utilizados como medio de la identificación del firmante. Ejemplo:
usuario y password.

3. Firma electrónica simple

Es la firma electrónica que permite identificar al firmante y detectar cualquier cambio

ulterior de los datos firmados. Está vinculada al firmante de manera única y a los datos a
 CERTIFICADO Y FIRMA DIGITAL

que se refiere. Además, ha sido creada por medios que el firmante puede mantener bajo su
exclusivo control.

4. Firma electrónica reconocida

Es una firma electrónica avanzada basada en un certificado reconocido y generada

mediante un dispositivo seguro de creación de firma. Tendrá respecto de los datos
consignados en forma electrónica el mismo valor que la firma manuscrita en relación con
los consignados en papel.

2. GARANTÍAS DE IDENTIFICACIÓN DE LA FIRMA MANUSCRITA, DE LA FIRMA

DIGITALIZADA Y DE LA FIRMA BIOMÉTRICA

Las garantías de identificación que ofrecen estas firmas son:

1. La firma manuscrita produce efectos

La firma manuscrita es el método tradicional de identificación. La firma manuscrita no es

más que un símbolo que cada individuo se crea para ser identificado. La firma se utiliza para
asumir como propio un determinado pensamiento o un determinado acto de la voluntad. La
firma, por su carácter de identificador personal permite establecer una correspondencia
directa con el autor del pensamiento o del acto de la voluntad. La identificación se puede
realizar o bien por reconocimiento o, en caso de duda por su cotejo pericial.

2. La firma digitalizada no produce ningún efecto

La firma digital electrónica simple permite identificar al firmante. Recoge datos, pero no
ofrece ninguna garantía en términos de autenticación, integridad y no repudio.

3. La firma electrónica produce efectos

Las garantías que ofrece la firma electrónica reconocida son:

• Autentificación: identifica al usuario que ha enviado el mensaje.

• Integridad. Garantiza que no se ha alterado el mensaje.
• No repudio: nadie excepto el emisor puede haber firmado el documento.
 CERTIFICADO Y FIRMA DIGITAL

4. La firma electrónica avanzada produce efectos

Sabemos que no se basa en un certificado reconocido, pero siempre que seamos capaces
de atribuir medidas de seguridad en su creación y custodia podremos garantizar la
autenticación, integridad y no repudio y producir los efectos legales que solo se atribuyen a
la firma reconocida.

5. La firma biométrica

Es un método de reconocimiento de personas basado en sus características fisiológicas o

de comportamiento. Se trata de un proceso similar al que habitualmente realiza el ser
humano reconociendo e identificando a sus congéneres por su aspecto físico, su voz, su
forma de andar, etc.

Las tecnologías biométricas se definen como métodos automáticos utilizados para

reconocer personas sobre la base del análisis de sus características físicas o de
comportamiento.

Las características que más se emplean en este método de reconocimiento son:

• La huella dactilar.
• El reconocimiento de la voz.
• El reconocimiento facial.
• El reconocimiento del iris.
• El reconocimiento de la retina.
• Reconocimiento de la geometría de la mano.
• Reconocimiento de firma.
• Reconocimiento de escritura de teclado.

De estos parámetros se extrae un patrón único para cada persona que será utilizado para
posteriores comparaciones.

Es necesario para que la firma biométrica produzca efectos que la recogida, tratamiento y
custodia de los parámetros que hemos detallado sea realizado en términos de seguridad
(integridad y confidencialidad). En caso contrario estos parámetros no garantizaran la
identidad del firmante y el no repudio.
 CERTIFICADO Y FIRMA DIGITAL

Existen dos grupos de tecnologías biométricas: las que analizan características fisiológicas
y las que analizan el comportamiento.

• Tecnologías biométricas fisiológicas: Son las que consideran parámetros derivados

de la medición de algún rasgo estrictamente físico del cuerpo humano: huella
dactilar, reconocimiento facial, reconocimiento del iris, reconocimiento de la
geometría de la mano, reconocimiento de la retina, líneas de la palma de la mano.
• Tecnologías biométricas de comportamiento: Las tecnologías biométricas de
comportamiento se caracterizan por considerar en el proceso de autenticación
rasgos derivados de una acción realizada por una persona. Por tanto, incluyen la
variable tiempo, ya que toda acción tiene un comienzo, un desarrollo y un final, por
ejemplo: reconocimiento de la voz, verificación dinámica de la firma, reconocimiento
de escritura de teclado, reconocimiento de la forma de andar.

El desarrollo de este tipo de tecnologías ha supuesto el paso de la identificación unimodal a

sistemas de autenticación de doble factor. Estos combinan el uso de la biometría con otros
sistemas, -como tarjetas de identificación o contraseñas- o incorporan más de una
tecnología biométrica, biometría bimodal.

La autenticación de doble factor es la combinación de dos técnicas de identificación

diferentes. El principal objetivo de esta combinación es aumentar la seguridad y reducir la
posibilidad de fraude.

Ambos procesos de autenticación de doble factor que incluyen la biometría suponen una
evolución respecto a los sistemas unimodales existentes.
 CERTIFICADO Y FIRMA DIGITAL

3. CERTIFICADOS ELECTRÓNICOS

1. Certificado de Firma

El propósito de este certificado es permitir al ciudadano firmar trámites o documentos. Este

certificado (certificado cualificado según ETSI, la RFC3739 y la Directiva Europea 99/93/EC,
y reconocido según la ley de Firma Electrónica) permite sustituir la firma manuscrita por la
electrónica en las relaciones del ciudadano con terceros (LFE 59/2003 Art. 3.4 y 15.2).

Los certificados de firma son certificados reconocidos de acuerdo con lo que se establece
en el artículo 11.1, con el contenido prescrito por el artículo 11.2, y emitidos cumpliendo las
obligaciones de los artículo 12, 13, y 17 a 20 de la Ley 59/2003, de 19 de diciembre, de
firma electrónica, que dan cumplimiento a aquello dispuesto por la normativa técnica del
Instituto Europeo de Normas de Telecomunicaciones, identificada con la referencia TS 101
456.

2. Certificados electrónicos de firma reconocida

Son aquellos certificados que son expedidos por un prestador de servicios de certificación.
Estos, funcionan con un dispositivo seguro de creación de firma electrónica, de acuerdo con
el artículo 24.3, de la Ley 59/2003, de 19 de diciembre que dice:

”Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que

ofrece al menos las siguientes garantías:

• Que los datos utilizados para la generación de firma pueden producirse sólo una vez
y asegura razonablemente su secreto.
• Que existe una seguridad razonable de que los datos utilizados para la generación de
firma no pueden ser derivados de los de verificación de firma o de la propia firma y
de que la firma está protegida contra la falsificación con la tecnología existen en
cada momento.
• Que los datos de creación de firma pueden se protegidos de forma fiable por el
firmante contra su utilización por terceros.
• Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni
impide que éste se muestre al firmante antes del proceso de firma.”
 CERTIFICADO Y FIRMA DIGITAL

Por este motivo, garantizan la identidad del suscriptor y del poseedor de la clave privada de
identificación y firma. Así mismo permiten la generación de la “firma electrónica
reconocida”.

3. Certificados electrónicos de firma avanzada

Estos certificados no son expedidos por un prestador de servicios de certificación.

• Los requisitos que debe cumplir este tipo de firma son:

• Estar vinculada al firmante de manera única.
• Permitir la identificación del firmante.
• Haber sido creada utilizando medios que el firmante puede mantener bajo su
exclusivo control.
• Estar enlazada con los datos a que se refiere, de modo que cualquier cambio de los
mismos de manera posterior a la firma sea detectable.

La firma electrónica avanzada aporta un plus de seguridad, basándose en las herramientas

técnicas descritas en capítulos anteriores: función hash y sistema criptográfico asimétrico.

A todo este procedimiento se puede añadir una tercera parte de confianza que relaciona
una clave pública con una identidad personal concreta que permitirá identificar al firmante
del mensaje. Un certificado de firma electrónica avanzada vincula unos datos de
verificación de firma con una persona firmante y confirma la identidad de esta. Los
certificados contienen un código identificativo, la identidad del firmante, la clave pública de
verificación de firma, el periodo de validez y sus límites de uso y de valor de transacciones
que pueden efectuarse con el certificado. El prestador del servicio que emite el certificado
aplica su firma electrónica avanzada sobre el mismo (utilizando su clave privada), con lo que
se añade a aquel la característica de integridad de la información contenida en el mismo y
puede ser verificado usando su clave pública del prestador.

4 EL DNI ELECTRÓNICO

El Documento nacional de identidad emitido por la Dirección General de la Policía

(Ministerio del Interior) es el documento que acredita la identidad, los datos que en él
aparecen y la nacionalidad española.
 CERTIFICADO Y FIRMA DIGITAL

Con la llegada de la sociedad de la información y la generalización del uso de Internet, este

documento ha sufrido su más importante transformación.

Así, el documento actual se ha convertido en un instrumento ideal para trasladar al mundo

digital las mismas garantías con las que opera este documento en el mundo físico y que
podemos resumir en:

• Acreditar electrónicamente y de forma indubitada la identidad de la persona.

• Firmar documentos electrónicos digitalmente, otorgándoles una validez jurídica
equivalente a la de la firma manuscrita.

Para poder realizar las anteriores funcionalidades el nuevo DNI incorpora un chip capaz de
guardar de forma segura información y procesarla internamente. El nuevo documento
ampliará nuestras capacidades de actuar a distancia con las administraciones públicas y
con otros ciudadanos.

El DNI electrónico se podrá utilizar para:

• Hacer trámites con las Administración Publicas a cualquier hora, sin tener que
desplazarse.
• Realizar compras firmadas a través de Internet.
• Realizar transacciones seguras con entidades bancarias.
• Utilizar de forma segura nuestro ordenador.
• Participar en conversaciones seguras por internet.

En el chip electrónico se encuentran almacenados los siguientes datos:

• Datos de filiación del titular.

• Imagen digitalizada de la fotografía.
• Imagen digitalizada de la firma manuscrita.
• Plantilla de la impresión dactilar.
• Certificado reconocido de autentificación de la firma.
• Certificado electrónico de la autoridad emisora.
• Par de claves de cada certificado electrónico.
 CERTIFICADO Y FIRMA DIGITAL

1. Funciones de seguridad del DNI

• Autenticación: posee varios métodos de autenticación, mediante los que una

entidad externa demuestra su identidad, o el conocimiento de algún dato secreto
almacenado en la tarjeta. La correcta realización de cada uno de estos métodos
permite obtener unas condiciones de seguridad que podrán ser requeridos para el
acceso a los distintos recursos de la tarjeta.
o Autenticación de usuario mediante PIN
o Autenticación de usuario mediante datos biométricos. Siempre y cuando se
realice desde puntos de acceso controlados.
o Autenticación de aplicación: El propósito de este método es que la entidad
externa demuestre tener conocimiento del nombre y valor de un código
secreto.
Para la realización de esta aplicación se utiliza el método desafío-
respuesta:
1. La aplicación pide un desafío a la tarjeta.
2. La aplicación debe aplicar un algoritmo a este desafío junto con el
correspondiente código secreto y nombre de la clave.
3. La tarjeta realiza la misma operación y compara el resultado con los
datos transmitidos por la aplicación. En caso de coincidir, considera
correcta la presentación para posteriores operaciones.
o Autenticación mutua: este procedimiento permite que cada una de las partes
confíe en la otra mediante la presentación mutua de certificados y su
verificación.
• Securización de mensajes: Permite la posibilidad de establecer un canal seguro
entre el terminal (necesario para hacer uso del DNI) y la tarjeta que securice los
mensajes transmitidos. Para poder optar a esta funcionalidad es necesario que
previamente autentifique el terminal y la tarjeta mediante el uso de certificados.
• Desbloqueo y cambio de PIN: Se permite el cambio de PIN, mediante la
presentación del valor antiguo. También previo a una verificación biométrica (huella
dactilar).
• Funcionalidad criptográfica:Permite crear y gestionar claves criptográficas. Puede
realizar función hash de datos. Igualmente puede realizar firmas electrónicas.
 CERTIFICADO Y FIRMA DIGITAL

• Intercambio de claves: puede compartir claves simétricas entre dos entidades.

• Cifrado: puede realizar operaciones de cifrado.

2. Diferencias entre Certificado digital y DNI electrónicos

La principal diferencia es que unos cuantos certificados digitales (claves privadas y públicas)
se alojan en el Chip del DNI, facilitando así la identificación de quiénes somos.

El DNI tiene dos números de DNI, el físico 111111111-X y el certificado digital, que
contiene la clave pública que nos acredita en Internet.

3. Qué elementos de hardware se necesitan para utilizar el DNI

• Un lector de tarjetas inteligentes (con chip), con sus correspondientes drivers.

• Una conexión a Internet para realizar las transacciones telemáticas.

4. Impacto en el ciudadano

El DNI ofrece la posibilidad de poder realizar una transacción de forma segura y con ahorro
de tiempo y costes. Permite consultar datos de carácter personal y realizar contrataciones a
distancia de manera fiable. Con estas utilidades ayudará a que se incrementen las cifras del
comercio electrónico.

5. Impacto en las empresas

Las empresas, al poder realizar parte de sus procesos mediante la firma electrónica,
ganarán en eficiencia.

6. Impacto en las Administraciones

El DNI electrónico es una herramienta imprescindible para el desarrollo de la Sociedad de la

Información. Más de 200 procesos on-line de la Administración Pública pueden ser
utilizados de forma segura. Esto permite reducir tiempos y costes, lo que redunda en una
Administración más eficaz en su relación con los administrados.