¿Qué es la firma electrónica reconocida? Definición de QES

La firma electrónica reconocida (FER) es la forma más avanzada y segura de firma digital disponible en la actualidad.

Según la normativa europea eIDAS (electronic IDentification, Authentication and trust Services), una firma digital reconocida es una firma electrónica avanzada respaldada por un certificado reconocido. Sólo pueden expedir este certificado los proveedores de servicios de confianza (TSP) a los que las autoridades competentes (por ejemplo, la ANSSI en Francia) hayan concedido el estatus de«cualificados».

La FER difiere de los otros 3 tipos de firma electrónica en 2 aspectos:

  • La identidad se verifica antes de expedir el certificado
  • Su creación requiere el uso de un Dispositivo Cualificado de Creación de Firma (QSCD).

Estas 2 características específicas garantizan una autenticación irrefutable de la identidad del firmante, así como la integridad y el no repudio de la firma. Una vez colocado, es prácticamente imposible impugnarlo o alterarlo sin dejar huellas evidentes. Es tan fiable que tiene el mismo valor jurídico que una firma manuscrita. Esto significa que, en caso de litigio, su firma electrónica reconocida tendrá el mismo valor probatorio ante los tribunales que una firma tradicional con bolígrafo.

Cuestiones relativas al EQS

Como puede imaginar, la necesidad de seguridad y autenticidad está en el centro de sus preocupaciones a la hora de verificar la identidad a distancia. Para satisfacer estas necesidades, las firmas electrónicas cualificadas ofrecen una solución fiable y sólida. Gracias a los estrictos mecanismos de control y a la tecnología avanzada, puede estar seguro de que el firmante es quien dice ser.

En la era digital, en la que la verificación a distancia de la identidad se está convirtiendo en algo esencial, la firma electrónica reconocida destaca por su capacidad para proteger las transacciones y los documentos contra la falsificación. Utilizado en un contexto profesional o personal, confirma su compromiso con una validez jurídica incuestionable.

¿Tiene alguna pregunta?

Concierte una cita con uno de nuestros expertos para explorar cómo las soluciones de Netheos le permiten verificar la identidad de sus usuarios, de forma segura y sin perder conversión.

Cómo funciona la firma electrónica reconocida

Logotipo de eIDAS

La firma electrónica es la firma más segura del reglamento eIDAS porque tiene 2 características distintivas:

  • El certificado electrónico reconocido, componente esencial del EQS, sólo puede expedirse una vez verificada la identidad del firmante.
  • La firma electrónica reconocida sólo puede crearse utilizando un QSCD, validado por la ANSSI, que contenga el certificado reconocido.

¿Qué es un certificado electrónico reconocido?

Un certificado electrónico reconocido es, por utilizar una metáfora, el sello digital que vincula irrevocablemente su identidad a sus firmas electrónicas. Este certificado, emitido por una Autoridad de Certificación (AC) cualificada, establece un vínculo inequívoco entre sus datos de identificación personal y la firma electrónica que estampa en los documentos digitales. La integridad de su firma se basa en la falta de ambigüedad de su identidad, indiscutiblemente atestiguada por este acto de certificación. El certificado electrónico reconocido es una especie de carné de identidad digital del firmante, que acredita la veracidad de sus datos personales.

Este documento de certificación es el resultado de un riguroso proceso. Su presencia, ya sea virtual o física, es necesaria para su expedición, asegurando un vínculo directo y verificable con usted mismo y garantizando el máximo nivel de seguridad.

¿Qué es un QSCD?

El QSCD, o Dispositivo Cualificado de Creación de Firma, es el hardware o software homologado por una autoridad europea de seguridad y defensa de los sistemas de información (por ejemplo, la ANSSI en Francia) que crea y protege la clave criptográfica privada utilizada para generar la firma electrónica cualificada. Las proporcionan los proveedores de servicios de confianza cualificados (QTSP) durante la fase de verificación de la identidad. Los QSCD se encarnan físicamente en«tokens»: llaves USB, tarjetas inteligentes o insignias. Actualmente, la ANSSI autoriza a algunos QTSP, como Netheos, a utilizarlos a distancia, en la Nube.

Thales QSCD Llave USB
Llave USB de Thales

Su función es almacenar de forma segura la clave criptográfica privada del usuario y garantizar que nunca salga del token. Están diseñados para ser robustos frente a cualquier intento de pirateo o extracción forzosa de los datos de los tokens.

Por tanto, los QSCD son vitales porque garantizan que su firma digital es válida y legalmente equivalente a una firma presencial. También protege su identidad garantizando que la firma no pueda falsificarse ni reutilizarse.

¿Qué es una clave criptográfica?

Es el componente técnico central de la firma electrónica. Técnicamente, se basa en el cifrado RSA, un algoritmo criptográfico asimétrico muy utilizado para intercambiar datos confidenciales en Internet. ¡Pero podrías preguntar! Este término matemático significa que se utilizan 2 claves diferentes para crear y luego leer una firma digital: una clave pública para cifrar datos confidenciales y una clave privada asociada para descifrarlos. En el caso de la firma electrónica, el uso es inverso: sólo el firmante puede cifrar su firma con su clave privada, y cualquiera que esté en posesión de la clave pública asociada podrá descifrarla.

Criptografía asimétrica - Fuente Wikipedia

A continuación se indican los pasos necesarios para crear una firma electrónica reconocida utilizando criptografía asimétrica:

  1. Preparar y proteger el documento que se va a firmar : Cuando un usuario quiere firmar digitalmente un documento, primero crea una huella, también conocida como condensado, del documento a firmar utilizando una función hash. La huella digital es una secuencia alfanumérica única (números + letras) utilizada para condensar y codificar los datos textuales del documento. Incluso un cambio mínimo en el documento inicial dará lugar a una impresión completamente distinta.
  2. Cifrado de la huella dactilar con la clave privada: La clave privada del firmante, generada por el QSCD y validada por el tercero de confianza, se utiliza a continuación para «cifrar» la huella dactilar, creando una firma digital (en formato alfanumérico). Esta técnica permite certificar que la firma ha sido efectivamente creada por el firmante verificado, que es el único titular de la clave privada.
  3. Firma reconocida: Paralelamente, el certificado reconocido del firmante se asociará a la firma electrónica para generar el documento firmado digitalmente, cumpliendo los requisitos del reglamento eIDAS (QES = certificado reconocido + firma avanzada). Como recordatorio, el certificado vincula su clave pública, también creada por QSCD, a su identidad. Esto permite a cualquiera que posea esta clave confirmar que la huella digital ha sido cifrada (firmada) con su clave privada.
  4. Verificación de huellas dactilares : El remitente creará a su vez una huella del documento firmado recibido utilizando la misma función hash. A continuación, utilizará la clave pública que ha recibido para descifrar la firma y recuperar la huella dactilar original. Si estas 2 huellas generadas son idénticas, la firma es válida: el documento nunca ha sido alterado después de la firma.

Este sistema permite proteger el documento contra cualquier alteración y demostrar que el firmante es la persona que posee la clave privada asociada a la clave pública.

Certificado electrónico cualificado físico o a distancia

Históricamente, la fase preliminar de verificación de la identidad se llevaba a cabo durante un encuentro físico entre el firmante y la autoridad de certificación. En esta fase, el QTSP valida su identidad y le entrega eltoken hardware que contiene su clave criptográfica privada. El firmante puede entonces firmar documentos tras desbloquearlo introduciendo un código PIN.

Con la llegada de las tecnologías en la nube, ahora tiene la opción de obtener un certificado electrónico a distancia. Aquí, en lugar de tener un objeto físico, su clave criptográfica está asegurada en un servidor en la nube a través de un Módulo de Seguridad de Hardware (HSM ) remoto. Este sistema basado en la nube, gestionado por un proveedor de servicios de confianza (TSP), ofrece más flexibilidad que un dispositivo físico, ya que puedes acceder a tu firma electrónica estés donde estés, siempre que dispongas de conexión a Internet. Esto simplifica el proceso de firma electrónica al eliminar la necesidad de transportar y mantener hardware específico. Esta facilidad de acceso no compromete, sin embargo, la seguridad, ya que los proveedores de servicios de confianza que gestionan estos sistemas deben cumplir los requisitos de seguridad extremadamente estrictos que establece la normativa eIDAS.

Valor jurídico de la firma electrónica reconocida

QES: el único equivalente legal de una firma manuscrita

En términos de valor jurídico, la firma electrónica cualificada difiere significativamente de otras formas de firma electrónica. En virtud del reglamento europeo eIDAS, la EQS se reconoce explícitamente como equivalente legal de la firma manuscrita en todos los Estados miembros de la UE.

He aquí por qué su estatus legal la hace tan especial:

  • Reconocimiento jurídico: De conformidad con el artículo 25 del Reglamento eIDAS, una firma electrónica reconocida tiene el mismo valor jurídico que una firma manuscrita. Esto significa que, en un procedimiento judicial, una firma reconocida no puede rechazarse como prueba por el mero hecho de estar en formato electrónico.
  • Autenticidad e integridad: El EQS garantiza la autenticidad de la identidad del firmante mediante rigurosos procedimientos de verificación establecidos por las Autoridades de Certificación. También garantiza la integridad del documento, ya que cualquier cambio en el contenido después de la firma es técnicamente detectable, lo que invalida la firma en caso de litigio.
  • Aceptación europea: el reglamento eIDAS define el marco jurídico para el uso y reconocimiento de los 3 tipos de firma electrónica, entre los que se encuentra la FER, en todos los Estados miembros de la Unión Europea, incluida Francia. Sólo los proveedores de servicios de confianza cualificados (QTSP) reconocidos y certificados por eIDAS están autorizados a expedir certificados cualificados.

Validez de la EQS en caso de litigio e inversión de la carga de la prueba

En caso de litigio, su firma electrónica reconocida tiene el mismo valor jurídico que una firma manuscrita tradicional. En la práctica, esto significa que los tribunales la reconocen del mismo modo que las pruebas escritas. Este nivel de reconocimiento es posible gracias al estricto cumplimiento de una normativa que exige a los Proveedores Cualificados de Servicios de Confianza (QTSP) seguir rigurosos procedimientos para verificar la identidad y expedir el certificado cualificado asociado.

Sin embargo, con una firma electrónica reconocida, esta dinámica se invierte.

El reglamento eIDAS establece una presunción de validez, lo que significa que un documento firmado con una firma electrónica reconocida se considera automáticamente auténtico y de integridad garantizada, salvo prueba en contrario. Por tanto, si alguien impugna la validez de su firma reconocida ante un tribunal, le corresponde a él aportar la prueba de que no es válida: es lo que se conoce como el principio de inversión de la carga de la prueba. En otras palabras, la carga de la prueba se invierte en comparación con una firma electrónica de nivel inferior, en la que corresponde al firmante demostrar la fiabilidad de su firma.

Webinar

¿Le interesa este tema?

Para más información, descargue nuestro libro blanco gratuito titulado «Firma electrónica reconocida: combinar conformidad y experiencia de usuario»

¿Cómo puedo obtener una firma electrónica reconocida?

Para obtener su propia Firma Electrónica Reconocida, debe seguir un procedimiento bien definido que cumpla los estrictos requisitos establecidos en el reglamento eIDAS. He aquí los pasos esenciales para llevar a cabo una ESQ:

  1. Elección de un proveedor cualificado de servicios de confianza (QTSP): Debe utilizar un QTSP reconocido, es decir, una entidad que haya sido evaluada y disponga de la certificación necesaria para prestar servicios cualificados de creación de firma electrónica. La lista de proveedores de servicios cualificados está disponible en el sitio web de eIDAS.
  2. Verifique su identidad: La normativa eIDAS exige una verificación exhaustiva de la identidad para garantizar la autenticidad de la firma. Este paso lo lleva a cabo el QTSP que haya elegido e incluye el uso de una solución segura de verificación remota de identidad como Netheos ID FAST. Además de presentar una prueba de identidad válida, las herramientas de reconocimiento facial por IA compararán la foto de su documento de identidad con su cara, garantizando que usted es realmente la persona que tiene el documento.
  3. Obtención del Certificado Reconocido: Una vez confirmada su identidad, el proveedor de servicios le expedirá un certificado reconocido de firma electrónica, que depositará en un QSCD: el dispositivo de creación del QES. Este documento digital vincula sus datos de identificación con los de creación de la firma y confirma el origen y la integridad de los documentos firmados.
  4. Firmar: Ya puede firmar su contrato. Esta etapa varía de un proveedor de servicios a otro, pero generalmente funciona mediante un código de 6 dígitos llamado OTP (One Time Password) que se recibe por SMS o correo electrónico.

Firmas electrónicas reconocidas para los trámites del INPI

El Institut National de la Propriété Industrielle (INPI), organismo oficial francés responsable del registro de la propiedad intelectual, como patentes, marcas y diseños, permite ahora realizar muchos trámites en línea. Para garantizar la seguridad y veracidad de estos procedimientos, la Firma Electrónica Reconocida es una herramienta valiosa y, en ocasiones, necesaria.

La utilización del QES responde a un doble desafío para sus trámites ante el INPI: asegurar la integridad del documento transmitido y garantizar la identificación cierta del firmante, que puede ser el inventor, el creador o cualquier agente que actúe en su nombre.

La aplicación del EQS para los trámites del INPI sigue el marco jurídico impuesto por el Reglamento eIDAS y requiere los siguientes pasos:

  1. Obtención de un certificado reconocido : Como se ha mencionado anteriormente, debe adquirir un certificado reconocido de un proveedor de servicios de confianza reconocido (QTSP) certificado por la ANSSI, que verificará su identidad.
  2. Prepare su trámite: Prepare el documento relativo a su trámite ante el INPI (solicitud, oposición, renovación, etc.) siguiendo las directrices facilitadas por el INPI para el cumplimiento de los formatos y condiciones de presentación.
  3. Firma: Firme su documento electrónicamente utilizando el QSCD (físico o remoto) suministrado por el Proveedor de Servicios de Confianza de su elección.
  4. Transmisión en formato electrónico: Una vez firmado el documento, transmítalo electrónicamente a través de la plataforma en línea del INPI.
Nota importante

Netheos no ofrece firmas electrónicas cualificadas por unidad, como se exige para los trámites del INPI. Nuestra solución, basada en una plataforma API, puede procesar grandes volúmenes de firmas cualificadas, lo que la hace más adecuada para empresas muy reguladas que para particulares.

Obtener una firma electrónica reconocida gratuita

No existe ninguna solución gratuita para las firmas electrónicas reconocidas. Aunque la mayoría de los operadores franceses e internacionales (Yousign, Docusign, Universign, Eversign y PandaDoc) ofrecen varios días de prueba gratuita, esto sólo se aplica a las firmas electrónicas simples, es decir, el primer nivel de seguridad y reconocimiento legal en virtud del reglamento eIDAS. Sin embargo, este procedimiento sigue siendo, con diferencia, el más utilizado en la actualidad.

La razón es lógica: la firma simple no tiene restricciones legales ni técnicas. Esto significa que puede firmar sin tener que comprobar su identidad, y no se expide ningún certificado. En caso de litigio, el firmante puede negar haber firmado.

En cambio, la versión cualificada corresponde al nivel eIDAS más regulado y técnicamente exigente, que requiere el uso de soluciones tecnológicas avanzadas y ultraseguras. Los costes adicionales que soportan los proveedores de servicios de confianza les impiden ofrecer soluciones gratuitas.

¿Cuáles son los criterios para elegir un Proveedor de Servicios de Confianza Cualificado (PSCQ)?

Elegir al proveedor de servicios adecuado es crucial para garantizar la integridad, la seguridad y el reconocimiento legal de sus firmas electrónicas. Estos son los factores que hay que tener en cuenta:

  • Cumplimiento de eIDAS: asegúrese de que el QTSP figura en la lista de confianza de la Unión Europea. Esta lista le permite comprobar que el proveedor de servicios cumple los estrictos requisitos del reglamento eIDAS y que está autorizado a prestar servicios cualificados de firma electrónica. El grupo Namirial, del que forma parte Netheos, es un QTSP certificado por eIDAD. Nuestras firmas son legalmente válidas en Francia y en toda la Unión Europea.
  • Fiabilidad y reputación: Un QTSP fiable suele ser reconocido por su trayectoria y reputación en el ámbito de la seguridad digital. Los comentarios de los clientes, los estudios de casos y las certificaciones son indicadores de confianza que no deben pasarse por alto. Namirial y su producto Netheos figuran entre los líderes europeos , con clientes prestigiosos como La Banque Postale, Floa Banque, CDC Habitat, Préfon, Xpollens, Yves Rocher y muchos otros.
  • Facilidad de integración: su QTSP debe poder ofrecerle soluciones que se integren fácilmente con su sistema informático actual. La interoperabilidad con sus aplicaciones y herramientas actuales es un aspecto práctico a tener en cuenta para evitar costes adicionales asociados a las adaptaciones de software. En Netheos, nuestras soluciones se conectan a su sistema a través de una plataforma API. La verificación de la identidad se realiza totalmente a distancia y nuestro QSCD está en la nube.
  • Disponibilidad del servicio: Asegúrese de que los servicios ofrecidos por el proveedor de servicios tienen una alta disponibilidad. Su empresa no debería verse afectada por ninguna interrupción del servicio. En 2022, la disponibilidad del servicio de Netheos alcanzará el 99,985%, garantizándole el acceso en todo momento.
  • Un proceso fluido: Dado que la firma reconocida está muy regulada por eIDAS, su obtención requiere necesariamente una serie de pasos, lo que puede hacer que el proceso resulte tedioso. Asegúrese de que la experiencia del usuario esté en el centro de las prioridades del QTSP. En Netheos, estamos orgullosos de anunciar que nuestra solución es la más rápida y fluida del mercado. Gracias a ella, sus tasas de abandono disminuyen drásticamente, al tiempo que caen sus tasas de conversión.
¿Lo sabías?

En 2023, el grupo Namirial es nombrado líder en la categoría de proveedores de software de firma electrónica en el informe IDC MarketScape Worldwide 2023, junto con Adobe y Docusign.

Solución de firma electrónica cualificada de Netheos

La solución Netheos es :

¿Tiene alguna pregunta?

Concierte una cita con uno de nuestros expertos para explorar cómo las soluciones de Netheos le permiten verificar la identidad de sus usuarios, de forma segura y sin perder conversión.

Nuestra solución es accesible a través de todos los medios (ordenadores, móviles, tabletas). Todo el proceso se realiza en línea, en 5 pasos rápidos y sencillos:

  1. Captura de vídeo del documento de identidad

    La captura es en directo: el usuario encuadra su documento, que debe tener en su poder.

  2. Reconocimiento facial pasivo

    En esta fase, la detección de organismos vivos es pasiva y transparente para el usuario: no requiere ninguna acción. Este paso garantiza que el usuario es el titular legítimo del documento de identidad.

  3. Enviado para análisis

    Para garantizar el máximo nivel de seguridad, la verificación final corre a cargo de nuestro experto departamento antifraude. Con sede en Francia y disponible 24 horas al día, 7 días a la semana, nuestro equipo complementa los resultados obtenidos por la Inteligencia Artificial.

Firma electrónica reconocida Netheos
  1. El usuario consulta su contrato

    Tras leer el contrato en su totalidad, el firmante puede aceptar sus cláusulas y proceder a firmarlo recibiendo un código secreto por SMS OTP en su teléfono móvil.

  2. El usuario firma el contrato

    El código de 6 dígitos recibido por SMS OTP permite al usuario firmar el contrato electrónicamente, con lo que la firma tiene validez legal en toda la Unión Europea.

Póngase en contacto con nosotros

Rellene el formulario y nos pondremos en contacto con usted lo antes posible.

Puede descubrir :

  • Cómo podemos satisfacer sus expectativas, sus problemas y sus necesidades específicas
  • Una demostración personalizada, que le permitirá apreciar la fluida experiencia que ofrecemos
  • Opiniones de clientes y estudios de casos de empresas similares que han integrado nuestras soluciones
  • Ventajas, beneficios y valor según su caso de uso