Módulo 2. Curso Introducción Firma Electrónica
Módulo 2. Curso Introducción Firma Electrónica
Módulo 2. Curso Introducción Firma Electrónica
de Tecnologías
de la Comunicación
FIRMA ELECTRÓNICA
INTECO-CERT
Instituto Nacional
de Tecnologías
de la Comunicación
Copyright (C) 2008 INTECO. Reservados todos los derechos (reproducción, distribución, comunicación pública, de
transformación, o cualesquiera otros reconocidos por la normativa vigente).
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format).
Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de
idioma y orden de lectura adecuado.
Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la
sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.
ÍNDICE
A pesar de su evidente complejidad, la firma electrónica, desde el punto de vista del usuario,
es relativamente sencilla de utilizar pero, sobre todo, la firma electrónica es una herramienta
con un potencial enorme, puesto que permite dotar de mayor seguridad, integridad y de un
mecanismo que asocia una identidad, a todo tipo de procesos y actividades telemáticas.
Podemos afirmar que la firma electrónica es una herramienta universal y, como veremos a lo
largo de los contenidos de este módulo, la firma electrónica puede ser utilizada en todo tipo
de escenarios y actividades en los que estén presentes las tecnologías de la información.
Introducción
Uno de los elementos que hacen posible la firma electrónica es el certificado electrónico y,
cómo vamos a ver, es posible clasificar los distintos escenarios donde se puede utilizar la
firma electrónica en función del tipo de certificado utilizado. Por ello, nos apoyaremos en los
distintos tipos de certificados que existen para dar a conocer algunos de los escenarios
donde es posible utilizar la firma electrónica.
Los certificados electrónicos cumplen muchas y variadas funciones y son una herramienta
fundamental, no sólo de la firma electrónica, sino también, por ejemplo, de la identificación
electrónica, uso que se ha comentado y explicado en otros cursos.
En los dos últimos puntos del apartado anterior hemos comentado que los certificados
electrónicos pueden ser adaptados modificando su estructura y contenido. No siempre han
existido los mismos tipos de certificados electrónicos sino que, en realidad, el certificado
electrónico ha ido evolucionando con el tiempo para adaptarse a las necesidades que se
han ido planteando.
Veamos en qué se basan estas clasificaciones y qué aporta cada una de ellas en relación
con los distintos escenarios en los que es posible hacer uso de los certificados y también de
la firma electrónica.
El primer tipo de certificados está orientado a ciudadanos, es decir, a terceros físicos y están
fundamentalmente pensados para trámites personales aunque, en determinadas
circunstancias, pueden ser usados en el ámbito profesional.
EJEMPLO
En el caso de los certificados para entidad jurídica es claro que su uso está pensado para
todo tipo de organizaciones, ya sean empresas, administraciones u otro tipo de
organizaciones, todas ellas con una identidad de tipo jurídico.
EJEMPLO
• certificado de servidor
• certificado de código
• certificado de pertenencia a empresa
• certificado de representante
• certificado de funcionario
• certificado de apoderado
• certificado de factura electrónica
• certificado de cifrado de contenidos
• certificado de sello de empresa
Certificado de servidor
Los certificados de servidor están diseñados para cumplir dos funciones básicas:
• Por un lado, permiten conocer la identidad de un sitio web. Es decir, quién o qué
organización es la responsable jurídica de la página en cuestión. De esta forma,
también podemos saber si realmente estamos accediendo a un sitio legítimo, es
decir, que no estamos siendo víctimas de un engaño.
• Por otro lado, permiten cifrar las comunicaciones (protocolo https) de forma que se
crea un canal seguro de comunicación entre nuestro navegador y el sitio web al cual
nos estamos conectado.
Los certificados de servidor, afortunadamente, se utilizan cada vez más y su uso está
aportando mayor seguridad a la navegación web. De hecho, cada vez más servicios web
hacen uso de conexiones a través del protocolo seguro web o https y, por tanto, se utilizan
certificados tanto para la identificación de la página como para proteger las comunicaciones.
EJEMPLO
Certificado de código
Son certificados electrónicos cuyo uso o ámbito de aplicación es la firma electrónica de
código. Para comprender qué queremos decir, veámoslo con un ejemplo.
EJEMPLO
Certificado de cifrado
EJEMPLO
Por tanto, mediante este tipo de certificados es posible llevar a cabo el cifrado de
información, bien esté ésta almacenada en un ordenador o servidor, un disco duro, etc. o
bien sea información que va a ser enviada a través de una red de comunicaciones como,
por ejemplo, un documento a través de correo electrónico.
Además de éstos, también hay otros certificados en los que la diferencia fundamental, o
elemento que los diferencia de un certificado electrónico de propósito general, son los
atributos que incorporan, como es el caso de los siguientes:
Este tipo de certificados incorporan información sobre el ámbito o privilegios del certificado.
Son muy indicados cuando se pretende disponer de un certificado para un perfil de la
organización específico como, por ejemplo, los certificados de funcionario, de representante
o de apoderado.
Según el soporte
Según este criterio, podemos clasificar los certificados electrónicos en dos categorías:
• certificados software
• certificados hardware
Además de esto, seguramente más de uno ya se haya dado cuenta de que con los
certificados electrónicos es posible hacer más cosas que llevar a cabo la firma electrónica.
Como ya sabíamos, gracias a los certificados electrónicos podemos identificarnos
electrónicamente. Además, ahora hemos visto otras aplicaciones, como por ejemplo su uso
para establecer un canal seguro de comunicación (certificado de servidor) o para el cifrado
de información (certificado de cifrado).
Dejando a un lado estas aplicaciones que podemos considerar fuera del ámbito de la firma
electrónica propiamente dicha, vamos a describir cómo realizar, de forma general, el
proceso de firma electrónica de un documento.
Ahora bien, desde el punto de vista del programa que usemos para realizar la firma, existen
dos caminos para llevarla a cabo, y son los siguientes:
Firma nativa
La firma nativa consiste en realizar el proceso de firma de un documento electrónico con el
mismo programa o aplicación con el que fue creado dicho documento.
Esto quiere decir que si estamos elaborando un documento electrónico con Microsoft Word,
una vez terminado el documento lo firmaremos electrónicamente también con Microsoft
Word. El proceso está representado en el diagrama que podemos ver a continuación, de
forma que al final del proceso de firma, obtendremos otro documento de Microsoft Word
pero que llevará incorporada la firma electrónica del documento.
Otro ejemplo podría ser Adobe Acrobat. Imaginemos que estamos creando un documento
en PDF con esta herramienta y, una vez terminado, lo firmamos electrónicamente también
con Adobe Acrobat.
La firma nativa de los documentos electrónicos facilita la labor a la persona que crea el
documento, puesto que no hace falta utilizar otra herramienta. Sin embargo, esto tiene
varios inconvenientes.
Uno de ellos es que el programa que usemos para generar el documento ha de soportar la
firma electrónica, y no siempre es así (aunque cada vez más programas soportan la firma
electrónica). Otro inconveniente es que estamos asociando el proceso de firma a un formato
de documento específico; es decir, firmamos con el programa con el que creamos el
documento. Pero, ¿qué ocurre queremos usar otro formato distinto o necesitamos generar
otro tipo de documento?
Por otro lado, esta filosofía genera un problema añadido ya que, una vez firmado un
documento electrónico, generalmente se lo enviaremos a otra persona mediante correo
electrónico u otro medio. Si esa persona quiere comprobar la firma electrónica deberá
disponer del mismo programa con el que ha sido creado y eso no siempre es posible. No
podemos obligar a que otro usuario tenga la misma versión de Microsoft Word que nosotros,
o que haya adquirido el programa.
Firma no nativa
Para solucionar los problemas que podemos encontrarnos con la firma nativa, podemos
recurrir a una solución más universal que consiste en usar herramientas de firma electrónica
capaces de firmar cualquier tipo de documento electrónico y que, afortunadamente,
podemos encontrarlas de descarga gratuita.
El proceso es muy sencillo. Basta con tomar el documento electrónico y realizar la firma con
una de estas herramientas. A continuación, podemos enviar el documento resultante de la
firma a través de Internet, pero la persona que lo reciba tiene que disponer de la misma
herramienta con la que lo hemos firmado.
Trabajar con la firma NO nativa tiene varias ventajas. La primera es que existen
herramientas de este tipo, que son gratuitas, como la que ofrece el Ministerio de Industria,
Turismo y Comercio (MITYC) a través de su página web, donde se puede descargar una
aplicación de firma no nativa, eCoFirma.
La segunda ventaja es que no es necesario que nuestro interlocutor -la persona a la que
enviamos el documento firmado electrónicamente- disponga de una herramienta asociada a
un formato concreto, como el caso de la firma nativa. Es posible que disponga de una
herramienta gratuita con la que puede firmar y validar todo tipo de documentos electrónicos,
independientemente del formato del documento a firmar.
Introducción
Para que nos resulte más sencilla la demostración sobre firma electrónica que vamos a
llevar a cabo en los siguientes apartados, nos vamos a apoyar en nuestra internauta
inventada, Lucía. Con ella vamos a aprender a utilizar la firma electrónica en dos escenarios
básicos que, cómo veremos, dependen del tipo de aplicación o herramienta que vamos a
utilizar para firmar. Los indicamos a continuación:
Cada uno de estos escenarios nos va a permitir comprender las distintas formas de llevar a
cabo la firma electrónica. El proceso en ambos casos es muy similar y lo que los diferencia
es, básicamente, la herramienta utilizada y el formato final del documento electrónico
obtenido.
Primeramente vamos a establecer un escenario a partir del cual desarrollaremos los casos
prácticos que vamos a ver a continuación.
Lucía quiere sacar el máximo partido a Internet. Desde que se enteró que
era posible realizar muchos trámites on-line no ha dejado de aprender. Ahora
se está informando sobre tramitación electrónica y, más concretamente,
sobre firma electrónica.
Pero, para poder realizar firma electrónica, Lucía necesita contar con, al
menos, un certificado electrónico. Hace poco que ha sabido que el DNI
electrónico incorpora un certificado electrónico para firma. Puesto que ya
tiene su DNI electrónico, puede usarlo para realizar la firma electrónica.
la empresa para la que trabaja y para que pueda firmar ciertos documentos
electrónicos en nombre de su empresa, como son facturas electrónicas.
Así es que, una vez que Lucía dispone de su certificado, ya sea en el ámbito
doméstico o profesional, ya puede comenzar a firmar documentos
electrónicos.
Para los ejemplos que se describen a continuación, vamos a suponer que Lucía dispone de
un certificado electrónico correctamente instalado en su ordenador, lo que se conoce como
certificado software o un certificado en soporte hardware, como es el caso del DNI
electrónico.
Lucía comienza a indagar sobre cómo firmar documentos electrónicos y descubre que para
realizar la firma electrónica de un documento electrónico necesita un programa o aplicación
pero, ¿dónde consigue ese programa?, ¿es gratuito? Veamos un ejemplo.
Lucía usa habitualmente Microsoft Word en su casa para crear todo tipo de documentos
electrónicos. Mientras crea un documento, piensa en si sería posible firmarlo con el propio
Microsoft Word, así que busca en la ayuda del programa y descubre que puede hacerlo.
Veamos qué pasos sigue.
La firma nativa evidentemente es muy cómoda, pero no todos los programas que generan
documentos electrónicos permiten firmar esos documentos. Por ello, en ocasiones no queda
otro remedio que utilizar herramientas externas o que permiten firmar todo tipo de
documentos electrónicos, es decir, aplicaciones de firma NO nativa.
Por otro lado, debemos tener en cuenta que en un trámite o comunicación electrónica
intervienen como mínimo dos interlocutores. Esto significa que la persona a la que enviamos
un documento firmado electrónicamente tiene que ser capaz de verificar la firma electrónica
que incorpora, de forma que pueda comprobar la procedencia del documento
Éste es uno de los mayores inconvenientes de utilizar firma nativa: aquellas personas que
reciban un documento electrónico firmado con una aplicación nativa deberán disponer de
una versión del mismo programa con el que fue creado el documento que soporte la firma
electrónica y, si es posible, la misma versión del programa para evitar posibles
incompatibilidades.
Si todos utilizásemos la firma nativa deberíamos disponer del programa con el que fue
generado y posteriormente firmado el documento. Pero, en la realidad, esto no es posible. Al
final, cada usuario utiliza unas herramientas concretas con sus correspondientes versiones y
no podemos pretender que todos los usuarios utilicen las mismas aplicaciones y todavía
menos las mismas versiones. Aún más, no podemos obligar a que todos los usuarios utilicen
el mismo formato, no al menos durante la creación del documento.
Por ello, si lo que pretendemos es posibilitar que cualquier persona pueda enviar
documentos firmados electrónicamente a cualquier otro, sin importar el tipo de documento y
la herramienta utilizada para crear el documento, necesitamos un concepto de firma distinto
con el que podamos firmar cualquier tipo de documento electrónico.
La firma NO nativa consiste en utilizar una herramienta genérica para llevar a cabo la firma
electrónica. Es decir, no utilizamos la misma herramienta con la que creamos el documento
sino otra que es independiente de ésta.
Por otro lado, las aplicaciones de firma NO nativa son capaces, en principio, de firmar
cualquier tipo de documento electrónico, de manera que son independientes del tipo o
formato del documento a firmar.
Finalmente, y una de las mayores ventajas, es que existen aplicaciones de este tipo que son
gratuitas y en el caso de la eAdministración, el propio Ministerio de Industria, Turismo y
Comercio (MITYC), pone a disposición de los ciudadanos y de las empresas una
herramienta de firma NO nativa, denominada ECOFIRMA, totalmente gratuita y disponible
en la Oficina Virtual del MITYC.
Para entender cómo funciona la firma NO nativa, nos apoyaremos en Lucía, nuestra
internauta imaginaria, que va a aprender a firmar con la aplicación ECOFIRMA cualquier tipo
de documento electrónico, como vamos a ver en el ejemplo que describimos a continuación.
Firma NO nativa
Como Lucía ha podido ver, en esta pantalla es posible añadir más documentos. La razón es
que con esta herramienta es posible firmar más de un documento a la vez. Por ello, la
herramienta nos deja añadir a esta lista cuantos documentos queramos firmar mediante el
botón «agregar documento».
Antes de continuar, vamos a hacer un inciso sobre este punto. Si nos fijamos en la imagen
anterior, vemos que en la parte superior de la ventana se nos indica «Seleccione donde
guardar el fichero XML generado».
Para comprender lo que está ocurriendo tenemos que recordar que con esta herramienta es
posible firmar todo tipo de documentos electrónicos. Esto quiere decir que el programa no
abre el documento que vamos a firmar, no es necesario, simplemente toma el fichero
directamente y lleva a cabo el proceso de firma electrónica. Por ese motivo, luego debe
guardar el resultado de alguna forma y, para ello, utiliza un formato específico y propio de
esta herramienta.
Luego, una vez terminado el proceso de firma, el resultado será almacenado en este nuevo
documento que, por defecto, se llamará igual que el documento original, pero tendrá la
extensión XSIG.
Ahora Lucía ya puede ver el resultado de la operación de firma, que es otro documento que
se llama igual que el original, pero que tiene una nueva extensión, tal y como podemos ver
en la imagen.
Ahora Lucía cuenta con un medio para poder firmar documentos electrónicos que luego
pueden ser verificados por cualquiera persona mediante una aplicación gratuita.
Apuntes finales
La firma electrónica está tomando poco a poco el relevo de la firma manuscrita y, como
hemos visto a lo largo de este breve curso, sus ventajas son evidentes tanto para el
ciudadano que evita esperas como para la Administración o empresa que se beneficia de la
utilización de las tecnologías de la información en todos sus procesos de negocio y de la
aplicación de la firma electrónica.
• Uno de los elementos más importantes para poder llevar a cabo la firma electrónica
es el certificado electrónico.
o según el soporte
• Los certificados, según el tipo de identidad que incorporan, pueden ser de dos tipos:
de identidad de persona física o de persona jurídica.
• La firma no nativa se lleva a cabo con una aplicación independiente del programa
con el que fue creado un documento.
En la firma no nativa el documento final resultante del proceso de firma es otro tipo de
documento que, en su interior, incorpora el documento original y la firma electrónica del
documento.