Comienza Contenido
  • Lo lees en 28 min
  • Archivado en Usar Internet
  • Escrito por Cesáreo hace 9 años y 6 meses (26 Jun 2015 06:13)

Aunque lo había hecho antes, en los últimos meses he tenido que firmar algunos documentos a distancia. Muchas veces (¿porqué no siempre?) necesitamos firmar un documento sin estar ahí (presencialmente). Y lo hice con mi certificado digital (o firma electrónica avanzada, es lo mismo). Y se me ocurrió contártelo para animarte a probarlo. Cuesta al principio pero si usas la firma electrónica, tu vida será más fácil.

Yo le encuentro tres grandes ventajas:

  1. Ahorras tiempo[1]
  2. Ahorras dinero[2]
  3. Es más flexible[3]

Y no es tan difícil hacerlo. Dale un tiempito para probar y aprender[4] que a la larga lo vas a ahorrar.

Lo que puedes obviar (lo técnico)

La firma electrónica es un tema bastante complejo. Y si a eso le añades la infraestructura que lo hace posible (Infraestructura PKI) pues ya se te ponen los ojos para atrás. Esto de la criptografía y la seguridad informática es un mundo fascinante pero mejor dejarlo en manos de gente que sepa.

Si tu trabajo es algo de seguridad nacional ya te imaginarás que mejor consultar a un experto. Y hay muchos pero no todos los que dicen que son, suelen ser otros. De los que me gustan a mí, puedes leer a la gente de Kriptópolis[5] o comprar algún libro del genial Schneier (inglés) o hasta revisar los aspectos legales con el Bufet Almeida. Mi criterio es leer de gente independiente y sin interés en manipular (ni comerciales ni políticos). Pero solo si tu caso necesita opiniones expertas.

Para un uso común, o sea el tuyo, puedes confiar en que esto de la firma electrónica no es una idea loca ni para las películas sino algo muy utilizado y muy bien pensado. Y, aunque son sistemas complejos, se busca que sea fácil de utilizar y seguro. Y cada día, se utilizan más.

Eppur si Muove

Yendo a la práctica

La forma más sencilla de firmar es el uso de usuario y contraseña. Pero hay que añadirle algo más, con eso sólo no sirve. Lo habitual es añadirle un código y ya es otra cosa. Cuando usas numeritos de una tarjeta para hacer una transferencia bancaria, como se hace habitualmente en banca electrónica, eso ya es una firma electrónica. Al poner el numerito y con tu identificación (usuario/contraseña) se sabe que, en ese instante, sólo lo tienes tú, y no lo puede hacer nadie más por tí. Y si en vez de numerito, pones el código SMS que llega a tu móvil, pues lo mismo. Esa es la idea:

  1. dice quien eres (identificación)
  2. lo firmas y nadie puede cambiarlo (integridad)
  3. y luego no me digas que no lo hiciste (no repudio)

Esa es la utilidad de la firma de toda la vida: identificación, integridad y no repudio. Y todo con tu usuario/contraseña, tu móvil y tu tarjeta de numeritos (coordenadas). Lo mismo que para la firma manuscrita, la persona y el sistema garantizan lo que ha firmado.

¿Y quien dice quien soy yo?

El problema es que, en el caso del banco, él se lo guisa, él se lo come. Es decir, te identifica él mismo. El banco dice, y se asegura, que tú eres el que has firmado. Si se equivoca, es su problema. Eso está muy bien dentro de su sistema pero si, por ejemplo, otro banco quisiera utilizar tu firma (usuario/contraseña + numeritos) pues ya la cosa se complica. Hace falta alguien que garantice que el sistema sirva para varios bancos.

Porque en el día a día, ¿quien dice que yo soy yo? Lo habitual es que lo haga el gobierno, porque tienes un documento de identificación (la cédula o un dni [6]). Sería un peligro que lo hiciera el banco (que técnicamente podría hacerlo) o Google o Facebook ( que ya saben mucho de mí ). La identificación de la persona ha de estar en manos del estado y ser una garantía (un derecho). Por lo tanto, la idea es utilizar una firma electrónica reconocida por el Estado (aunque valen otros). Esa firma electrónica reconocida es lo que se suele llamar el certificado digital. Y para gestionarlos se necesitan terceros de confianza (se llamanAutoridad de Certificación, AC) que reconozcan esa firma electrónica. Y así tenemos la pata que nos faltaba, no sólo nos identificamos sino que hay un tercero (de confianza) que asegura que esa identificación está bien. Y eso es lo que hacen, sobre todo, las agencias públicas de certificación.

Y es gratis (generalmente). Y sí, vale para personas físicas o jurídicas.

Técnicamente existen multitud de entidades certificadoras (que prestan servicios de certificación) y, de hecho, hasta yo mismo podría montar en mi web mi propio servicio de firmas (de hecho no es tan difícil). El problema es ese tercero de confianza, ese que dice que yo soy yo, o bueno, mejor dicho que esa firma es la mía. Pero calma, todo es mucho más sencillo, que sólo necesitas un archivito

Puente Golden Gate

¿Solo eso? ¿Un archivo?

Pues sí, para firmar necesitas simplemente un archivo (el certificado digital). Y se encarga la autoridad certificadora. Y sí, puedes tener más de una firma electrónica, es decir, más de un archivo. Pero no nos liemos, vamos a por uno.

Y sí, es totalmente legal. Ojo a la confusión entre:

  • Firma digitalizada (o sea un archivo con la firma escaneada)
  • Firma electrónica, o sea un archivo con letras y numeritos

Ni es lo mismo ni tiene validez jurídica diferente. Es cierto que se suele convertir la digital en electrónica. Pero olvídate de eso, que es un paso atrás[7]. De lo que hablamos aquí es del certificado digital o, legalmente, un sistema de firma electrónica reconocida. Cada país, y cada vez hay más, tienen legislación que da validez a los sistemas de firma electrónica (por ejemplo España). La legislación busca dar la misma validez que la firma manuscrita (específicamente la firma electrónica reconocida). Si no hay legislación que la ampare, no sirve de nada.

Un certificado digital es simplemente un archivo y lo habitual es que tenga la extension .p12 o .pfx. Por eso, lo primero es tener localizado este archivo (p.ej. mi_firma.p12). ¡Ah! ¿que no lo tienes?. Pues consigue uno.

1. Conseguir un Certificado digital

Es más fácil de lo que parece. Lo primero tienes que ver, en tu país, que entidades cumplen con la legislación [8]. Por ejemplo en España hay muchas. Pero lo mejor es conseguir el certificado de la FNMT (a pesar del problema de la comprobación OSCP, que cuesta dinerito). La obtención es siempre, más o menos, el mismo proceso:

  1. Define Equipo y Navegador: tienes que ser el mismo de inicio a fin del proceso
  2. Solicitas el Certificado (1 min) y te dan un código (5min)
  3. Acreditas tu Identidad: con tu código y tu identificación oficial (DNI) vas a una oficina (en el extranjero a un consulado). Es un trámite presencial.
  4. Hay un proceso de revisión. En menos de 48h te dirán que está todo listo (al email).
  5. Y descargas el Certificado

El proceso se hace desde un navegador en un ordenador concreto y, por lo tanto, el certificado digital quedará almacenado en el mismo navegador (en su administrador de certificados) y ya funciona. Pero hay que añadir un último paso: hacer una copia de seguridad (exportar el archivo y almacenarlo). Por eso necesitas exportarlo a un archivo externo. Y te lo recomiendo porque:

  • Así tienes una copia de seguridad
  • Lo puedes usar en otros navegadores

Y mucho ojito con ese archivo (el .p12 o .pfx). Tiene que estar protegido con contraseña (segura y fácil de recordar).

Una vez exportado guarda el archivo en un lugar seguro, como para cualquier archivo valioso. Y si el problema es grave (perdiste el archivo, no está instalado o no te sabes la contraseña) no te preocupes que siempre se puede revocar y vuelves a empezar. El sistema ya está muy pensado. Simplemente ten en cuenta que necesitas el archivo y la contraseña.

Y sí, es totalmente seguro. De hecho es más difícil de copiar que una firma manuscrita pero ojo, porque la seguridad depende del archivo y su contraseña (o sea, depende de ti). Porque si yo tengo tu archivo y tu contraseña, puedo firmar por tí[9]

¿Y cómo lo uso?

Para usarlo, necesitas dos cosas:

  1. Instalarlo. Una sola vez
  2. y firmar. Cada vez

Ponle un poco de atención a la instalación del certificado en tu software porque luego el proceso de firma es rapidísimo (se hace casi automáticamente, solo tendrás que poner tu contraseña). Estos son tres casos de uso (que he utilizado) y el orden en el que lo prefiero. Supongamos que me envías un contrato (o un pedido, o una factura, o una carta o ...) para firmar, estas son mis opciones

  1. Lo más utilizado (web)
  2. Lo más fácil (el correo)
  3. Lo más flexible (firmar el documento, y enviarlo)

2.1 Lo más utilizado

Si el certificado no está instalado, necesitas importar tu certificado al almacen de certificados (con la contraseña de tu certificado y la contraseña del propio almacén). Es el proceso inverso a la exportación. Pero si obtuviste el certificado desde ese navegador, lo habitual es que ya lo tengas instalado. Pero yo te recomiendo volver a importarlo (sólo la primera vez), es decir, borrarlo e importarlo. ¿Porqué? Pues porque así lo entiendes mejor. Tu certificado digital es ese archivo (y su contraseña) que simplemente importas (instalas) donde te interesa (puede ser en otro ordenador o en otro navegador de ese mismo equipo).

Una vez instalado, simplemente necesitas que la aplicación web lo soporte y para eso se ocupa el programador. Por ejemplo, si tienes un certificado FNMT español puedes verificar tu Certificado. Así de simple, haz la prueba, el servicio web te solicitará que uses el certificado (y pongas tu contraseña).

2.2 Lo más fácil (y muy desconocido)

Aunque no se utiliza tanto, su uso es muy fácil si utilizas un cliente de correo electrónico. Ojo que no vale para el webmail[10]. Lo primero, si aún no está, es importar el certificado a tu cliente de correo (p.ej. Thunderbird o incluso Outlook) para que puedas firmar cualquier mensaje.

Y para cada mensaje tendrás la opción de firmar, y ya está. Saldrá firmado. Ojo que se firma el mensaje, no el documento. Su utilidad es porque el correo es lo más rápido y lo más utilizado (de hecho el email hasta puede valer sin firma electrónica). Y sin confidencialidad, es decir, me refiero a firmar el correo. Encriptar es otra cosa[11].

2.3 Firmar un Documento

El tercer caso es el más potente pero que da más problemitas. El primer problema es el formato, técnicamente se puede firmar cualquier documento (un texto, una imagen, un video, una hoja de cálculo ...). Para simplificar esto, lo mejor es pasar el archivo a pdf y después firmar el archivo pdf. Mejor usar un archivo pdf para firmar.

El segundo problema es el tipo de firma electrónica. ¿Dentro del documento o fuera?

Para incrustrarlo en el documento, lo mejor es usar Adobe Reader, ya que inventaron el PDF. Como siempre, primero lo instalas (le llaman identificador digital):

  1. Vas a la configuración / En mi caso Adobe .. Preferencias .. Firmas .. Identidades y Certificados de Confianza .. Más ..
  2. Vas a Certificados de Confianza y Añades Certificado Raíz de la FNMT[12] (o la que sea)
  3. En Adobe .. Preferencias .. Firmas .. Identidades y Certificados de Confianza .. Más .. Archivos de ID Digitales .. Importar Certificado. Importas tu certificado digital

Y ya está configurado para firmar documentos pdf. Lo habitual es hacer doble click en un campo en las firmas que aparece resaltado y ahí seleccionar tu firma. Y guardas el archivo. Pero este esquema necesita que la firma esté incrustada en el documento y es específico de ese software (no es estándar). Es necesario que el documento que te envían tenga un campo para que lo firmes. Y no es lo habitual.

La segunda opción es crear un fichero extra de firma. Me parece más claro, aunque no es tan práctico. Es decir, en vez de enviar el archivo firmado (contrato.pdf firmado) envías el original (contrato.pdf) y el de firma (firma.pdf). Eso es mucho más fácil y hay muchas aplicaciones que lo hacen. Una que me gustó mucho (por el concepto de firma universal) es el servicio viafirma, o también puedes revisar Sinadura. Pero yo uso (poco) la oficial eCoFirma.

Y la tercera opción, y que recomiendo, es abrir el pdf y firmarlo. Aunque no tenga un campo específico de firma lo puedes colocar tú. La mejor opción software es utilizar Acrobat Reader (Ver ... Rellenar y Firmar ... Trabajar con Certificados ... Firmar con Certificado)

Lo de firmar documentos desde el cliente de escritorio es un poco engorroso y lo ideal sería servicios vía web (por ejemplo el de via firma). Pero firmar documentos pdf es fácil.

¿Y es seguro? ¿Seguro?

Pues sí, es muy seguro aunque depende de tí y es un equilibri. Simplemente ten en cuenta tres cositas:

  1. El archivo (y su contraseña). Ha de estar controlado. Una copia y todo bien instalado y no un desorden con los archivos y las firmas electrónicas.
  2. Usarlo Mucho. Si lo usas mucho es fácil detectar cualquier problema. Es mejor un sólo certificado para múltiples servicios (como el de la FNMT) y no tener más certificados (salvo que sea estrictamente necesario).
  3. Entender el equilibrio de la seguridad: riesgo vs facilidad. No hay sistema perfecto ni inviolable, pero la clave es que esta tecnología facilitaría mucho la vida y es razonablemente seguro. Pero perfecto, no hay casi nada.

Y lo más seguro es que si tienes algún problema, lo revocas

En resumen

Pues ...

  1. Consigue un certificado digital
  2. Lo instalas donde te interese (correo, navegador o aplicación de escritorio)
  3. Y firma lo que necesites

Porque vale como la firma manuscrita. Sólo necesitas dedicarle un tiempito a instalarlo y luego es muy fácil firmar. Prueba, que es gratis. Yo sólo firmo en digital, si me dejan, claro.

¿Quieres practicar? Lo primero instalar el certificado. Tres ejercicios:

    1. Si no lo tienes, consigue un certificado digital
    2. Expórtalo, por ejemplo a tu disco duro
    3. Borralo e Impórtalo de Nuevo

      Y lo segundo, usar la firma. Por ejemplo

      • Verifica el estado del certificado (en la web donde lo conseguiste)
      • Envía un correo firmado (a quien quieras)
      • Firma un documento PDF

      Actualizado del Original

      Notas

      [1]. No tengo que ir, y volver, a firmar. Una vez instalado y probado, tardo menos de 1 minuto en firmar un documento. Sí, menos de 1 minuto.

      [2]. Además del obvio del papel y el bolígrafo está, por ejemplo, el coste asociado al transporte. Por ejemplo, en mi caso, viajar de Uruguay a España a firmar un contrato (Ya sé que hay alternativas en el consulado, pero entonces tengo que viajar al consulado). Es como el coste de una reunión presencial: no es sólo el coste del tiempo invertido , también hay costes ocultos, como el transporte.

      [3]. O sea, que lo hago cuando quiero, cuando a mí me viene bien. Siempre que tenga internet y un equipo informático, claro.

      [4]. Tampoco es fácil pero merece la pena el intento. El gran problema es que depende del hardware, del software, el estándar, la entidad de certificación ... En fin, todavía falta que se simplifique y facilite su uso. Pero, es un esfuerzo que merece la pena. En el caso del Certificado Digital FNMT español hay mucha información y, salvo acreditar tu identidad, todos los pasos son casi inmediatos. Hazlo con calma y sin prisa porque mucha gente se estresa y no es para tanto. Si algo sale mal, se puede revocar y no pasa nada.

      [5]. Sí, el antiguo porque tiene material más divulgativo. El nuevo kriptopolis es mucho más técnico (y hay que saber mucho más). A mí se me queda ya grande

      [6]. Yo tengo el eDNI pero no lo uso, creo que no sirve para nada (al menos a mí). Lo que a mí me funciona es el certificado digital (que para el caso es lo mismo). El problema del eDNI es no hacerlo abierto (estándar), complejidad hardware (necesitas un cacharrito) y que no está muy implantado (no me extraña)

      [7]. En realidad se usa porque es lo habitual (lo que estamos acostumbrados a ver) y por darle validez estética. Pero, técnicamente, la firma escaneada no aporta nada (de hecho es muy fácil de copiar), salvo que a su vez esté firmada ditigalmente (y ya es complicarlo).

      [8]. Por ejemplo puedes obtener un certicado gratuito (free certificate) para tu email y servidor de dominio. Ya tendría validez (es electrónico y es reconocido). Al menos en España (si te lo coges con papel de fumar, creo que no pero en caso de problemas probablemente valdría en el 99.99% de los casos).

      [9]. Esto, de hecho es una ventaja. Un ejemplo habitual es tener el certificado digital de una persona mayor y ayudarle con los trámites con la administración (por ejemplo declaraciones de impuestos). Y tiene validez total, en realidad la firma ya no la tiene que escribir esa persona. Escribir ahora (firmar) es usar el certificado

      [10]. Un servicio Webmail (tipo gmail, hotmail y similar) es una aplicación web y estás usando un navegador. A efectos prácticos es lo mismo que usar un servicios web (el caso anterior). Otra cosa es utilizar un cliente de correo, que es un software especializado en enviar y recibir correo (que es lo que yo recomiento utilizar)

      [11]. En realidad para encriptar necesitas un paso más (obtener la clave pública de tu destinatario). Y eso, con este tipo de certificados es un poco más rollo. Para eso necesitas entender la diferentes entre clave pública y privada (y los archivos asociados). Pero, ¿para qué complicarse? Sólo queremos firmar.

      [12]. Esto suele ser lo más confuso. Este archivo es, digamos, la firma de la entidad certificadora (su clave pública o certificado raíz). Habitualmente está ya instalado (p.ej. en algunos navegadores) pero lo habitual es que tengas que importarlo. Como es una firma reconocida, el sistema tiene que tener la firma de quien te reconoce. Por eso necesitas instalar dos archivos: tu certificado y el certificado público en la entidad certificadora (ese tercero de confianza)

      Sección del Artículo
      Blog 1 de 1.000
      Sección » Usar Internet
      Sección del Artículo
      El Calendario Google de la Eurocopa (Uefa Euro 2012)
      Se acerca la Eurocopa [1] y quería saber *el horario y días de los partidos* (especialmente los de España). Aunque no te guste el fútbol, es un buen ejercicio para aprender a usar calendarios on-line [2]. Y si quieres probar, el ejercicio es...

      ¿Te gustó el artículo?