El auge de la firma electrónica y el certificado digital [1/2]

TPB320 feb22. La pandemia ha obligado a muchos gerentes y apoderados a quedarse en casa a esperar que amaine la crisis sanitaria, pero no por ello han cesado los negocios y todo el aparataje jurídico que conllevan. El simple acto de una firma manuscrita estampada en un papel no ha sido posible ejecutarlo en numerosas ocasiones, y algo que ya estaba inventado como la firma electrónica ha cogido una gran ola que la ha convertido en un negocio nuevo y boyante.

HOY DÍA, la movilidad y la imparable evolución de la identidad digital han reforzado la posición del certificado digital y su uso en la operativa diaria para acreditar la identidad en Internet. Pero con un panorama donde los datos corporativos pueden ser muy críticos a la hora de ser compartidos, impedir un empleo fraudulento y evitar su uso como vector de ataque o medio para suplantar la identidad de los usuarios se hace imprescindible.

Además, debido a la situación actual de la covid-19, los procesos de transformación digital en las empresas se están acelerando y el número de transacciones en los canales online se está incrementando. Esto ha derivado en la necesidad de dotar a las transacciones de las debidas garantías en términos de confianza y ciberseguridad, sin generar fricciones y facilitando la digitalización de las organizaciones.

En este contexto, cualquier compañía se ve obligada a delegar en el uso de los certificados para las acciones del día a día de la empresa, como la autenticación, la firma documental o masiva de contratos, o hasta el cifrado de emails o generación de códigos. Perder su control conllevaría importantes riesgos de seguridad, sobre todo en lo que a la suplantación de identidad se refiere, algo de vital importancia en empresas con cientos de empleados donde es imposible conocer a todos ni de vista ni de nombre. Clément Savoie, Head of Customer Success de Connective, declaraba que “en el contexto sanitario actual, es importante poder ofrecer a las empresas soluciones de desmaterialización o de transición del papel a lo digital, y la combinación de las soluciones de Connective y otros aplicativos lo hace posible”.

En este momento en el que proteger el certificado digital es más necesario que nunca, han surgido numerosas empresas que han encontrado un filón. Muchas vienen de lejos de campos aledaños de la abogacía, la auditoría, la notaría, la jurisprudencia y el registro civil. Pero las que se están llevando el gato al agua son las que han nacido al amparo de la informática, la ciberseguridad y la nube. Organismos como la Fábrica Nacional de Moneda y Timbre o Camerfirma (perteneciente a las Cámaras de Comercio e Industria) entre las procedentes del mundo analógico, como Logalty, Redtrust o Connective del digital, están hallando un rápido desarrollo, al que se han sumado otras compañías que vienen de la gestión documental como Adobe, Talentia, Fujitsu o Kyocera.

Gestionando el ciclo completo

La compañía española Redtrust, perteneciente a Keyfactor especializada en custodia y centralización de certificados digitales, se ha convertido en referente en su mercado a través de su tecnología con la que asegura la identidad de los usuarios en cualquier transacción. La innovación que propone Redtrust lo hace posible, acompañando además a sus partners para adoptar la solución más idónea para lograr una gestión eficiente de la identidad digital, su control y garantizando la seguridad en cualquier lugar de trabajo.

Tal como señaló Gartner a principios de 2021, “las previsiones que rigen el futuro de la ciberseguridad giran alrededor de la gestión de la identidad digital”. En este sentido, el certificado digital se ha convertido en el mecanismo de autenticación más robusto para verificar la identidad del usuario, y su uso no dejará de crecer. Así, desde principios de 2021 se está produciendo un aumento de más de un 30% en el empleo de la firma digital como elemento para verificar la identidad del usuario, sobre todo en los sectores de banca y servicios financieros, y comienza a ser importante su implementación como mecanismo de cifrado.

Efectivamente, el certificado es una pieza vital para la identidad digital, por lo que aislarlo de las consecuencias derivadas de una brecha de seguridad resulta imprescindible. Sin embargo, ejercer una gestión eficiente de los mismos a veces no es tan sencillo, ya que muchos empleados no conocen la casuística de los certificados de la empresa ni los riesgos que supone que caigan en manos equivocadas. Por ello, y además de trabajar en una concienciación sobre los peligros que supone una gestión ineficiente de la identidad digital, las compañías deben optar por implementar una solución que asegure una gestión integral del ciclo de vida de los certificados digitales todo su almacenamiento, control y seguridad.

“La tendencia creciente del mercado por adaptarse a oficinas sin papel es una de las demandas para el uso de Redtrust, ya que el certificado digital permite llevar a cabo las mismas operaciones sin necesidad de imprimir”, asegura Daniel Rodríguez, director general de Redtrust. “Así como la autenticación telemática obligatoria con la Administración Pública para las empresas, hace que se requiera un control del certificado digital mucho mayor debido al aumento de ataques de suplantación de identidad y otros riesgos en los últimos años”.

A diferencia de otras herramientas, Redtrust se caracteriza por su usabilidad y facilidad de implementación. Al tratarse de una solución autocontenida, las empresas se ahorran la tediosa tarea de tener que ir dispositivo por dispositivo instalando sus certificados, lo que además evita la fuga e imposibilita el robo. Basta con el despliegue del agente, para que los usuarios hagan uso de los certificados de manera completamente transparente y segura, tal y como si estuvieran instalados en su ordenador. Un proceso sencillo que concede a los administradores el acceso a la consola de certificados inmediatamente después de la configuración del servicio.

En la actualidad, Redtrust custodia los certificados digitales de las principales compañías españolas y gran parte de las empresas del Ibex-35 reduciendo drásticamente el coste y esfuerzo requeridos para su correcta gestión. Asimismo, y al asegurar la total custodia y no romper nunca la cadena de confianza de los certificados es una de las constantes para seguir creciendo, la compañía trabaja tanto con Autoridades de Certificación privadas y públicas como la FNMT, para garantizar la seguridad y continuidad del negocio en todo momento.

Tres casos de uso

Pongamos un primer ejemplo de caso de uso muy común: Vozitel, empresa experta en soluciones y servicios para contact centers, ha contratado el servicio de firma digital de Camerfirma, GoSign, considerándolo “un activo de gran valor y en línea con la actualización de su plataforma CRM a una versión más actual e intuitiva”. Vozitel ha decidido adoptar este sistema con la intención de ofrecer a sus clientes una experiencia completa, fluida, cómoda y accesible en el proceso de firma de contratos, presupuestos y cualquier documento que sus operaciones necesiten.

Mediante las herramientas incluidas en GoSign, Vozitel ha podido ofrecer a clientes como Abanca, Asisa, Sanitas o Terránea, entre otros, un servicio de firma completamente digital, cómodo, seguro y con total validez jurídica. Gracias a esta tecnología, las empresas podrán además reducir los costes que acarrean estos procesos en papel, minimizando el impacto medioambiental, y avanzando un paso más allá hacia la digitalización inteligente de la compañía.

La última actualización de la plataforma de Camerfirma, la versión 5, permite a los usuarios gestionar varios tipos de firma en un único proceso, hacer envíos masivos personalizados y que los firmantes puedan adjuntar archivos para poder completar transacciones o usar plantillas reutilizables, ahorrando tiempo en los procesos que requieran de varios firmantes. Estas funciones han sido determinantes en la decisión de adquirir la herramienta de firma por parte de Vozitel, al estar en un momento en el que resulta vital que los flujos de trabajo sigan avanzando con normalidad en situaciones de confinamiento y teletrabajo.

Con el trasfondo de la crisis económica ocasionada por la pandemia de la covid-19, la digitalización ha vivido un gran impulso, y ha sido la diferencia entre aquellos negocios que han logrado transformarse y conseguir una mayor eficiencia o aquellos que apenas han podido sobrevivir. En consecuencia, las empresas necesitan repensar cómo optimizan sus procesos y hacia qué herramientas dirigen sus inversiones. Estas nuevas dinámicas de trabajo que han traído la digitalización y la reciente generalización del teletrabajo han sacado a la luz la importancia de mantener la seguridad y transparencia jurídica de todos los procesos digitales que proporcionan soluciones como las de Camerfirma. creada en el año 2000 por las Cámaras de Comercio de España. Desde 2018, está participada en 51% por Infocert, la mayor autoridad de certificación de Europa, y en un 49% por las 81 cámaras españolas.

Otro caso de uso sería para la firma de contratos laborales, y más en un momento como el que hemos vivido donde se ha estado trabajando en remoto. Así, el fabricante de software de RRHH Talentia ha incorporado a su plataforma la firma electrónica adaptada a la normativa eIDAS con varios niveles de seguridad. La automatización de los procesos documentales y la necesidad de ofrecer a los empleados una gestión optimizada se está convirtiendo en algo imprescindible, lo que ha motivado que los departamentos de RRHH aceleren la digitalización de sus procesos.

Basándose en esta observación, Talentia ha decidido ofrecer, además de la solución de firma electrónica simple que ya incluía su plataforma, una solución de firma electrónica adaptada a la normativa eIDAS con varios niveles de seguridad. Para ello, se ha asociado con la mencionada compañía Connective, especializada en soluciones para la digitalización de procesos basados en documentos y firma digital, evitando cada vez más los procesos manuales y en papel. Los procesos de contratación, onboarding y outboarding, gestión por objetivos, desempeño y compensación se ven optimizados para conseguir una mayor satisfacción de los empleados y una mejora de la productividad de RRHH.

La mecánica es sencilla. Los documentos electrónicos están a disposición de RRHH en el portal del empleado. Una vez allí, el empleado puede firmarlos fácilmente con valor probatorio. A continuación, el expediente sigue un proceso de validación a través de un flujo de trabajo definido y, una vez validado, queda automáticamente disponible en la caja fuerte electrónica del empleado y de la empresa. Béatrice Piquer, CMO de Talentia Software, comentó: “la búsqueda de la optimización de los procesos de RRHH se está acelerando. La firma electrónica de los documentos de RRHH, y más concretamente de los contratos de trabajo, está cada vez más extendida y la asociación entre Connective y Talentia se inscribe en este enfoque. Ofrecer una gestión documental sin fisuras en nuestra plataforma de RRHH, integrada en los procesos y que incluya la firma electrónica con valor probatorio, es esencial para optimizar la experiencia del empleado”.

Piquer continúa comentando que “elegimos Connective porque buscábamos una solución de firma electrónica que cumpliera con la normativa nacional e internacional (eIDAS, GDPR, UETA, eSIGN Act, …), que fuera fácil de implementar, de marca blanca e intuitiva para los usuarios. Connective era la única solución que cumplía todos estos criterios. Ya ofrecíamos una firma simple en nuestro portal de RRHH, pero cada vez más responsables de RRHH nos pedían una firma electrónica con valor legal. El valor de la firma electrónica para agilizar la firma de los contratos, dar más seguridad a los candidatos y mejorar la imagen del empleador ya no se cuestiona, pero muchas empresas aún no han dado este paso”.

Estos acuerdos suponen una combinación perfecta de inteligencia tecnológica, permitiendo a las organizaciones beneficiarse de un partnership entre dos compañías, con una profunda experiencia y éxito en el mercado nacional. Y no es la única, tenemos el tercer ejemplo de Fujitsu y Logalty uniendo también fuerzas para una transformación digital segura. Este acuerdo tiene como objetivo el desarrollo y comercialización conjunto de soluciones personalizadas según las necesidades de los clientes, con servicios de Contratación Electrónica, Comunicación Electrónica e Identificación Digital.

En palabras de Ángeles Delgado, presidenta de Fujitsu, “este acuerdo supone un nuevo paso adelante para Fujitsu en España en la estrategia de acompañar a nuestros clientes en sus procesos de transformación digital, a través de la innovación y la co-creación, como generadores de confianza. Con esta alianza, pretendemos dotarles de las debidas garantías de ciberseguridad en los procesos y transacciones online”.

Logalty interviene en las transacciones digitales realizadas entre dos partes, como un tercero por interposición para construir y custodiar la prueba electrónica de la contratación, notificación e identificación electrónica. Asegura la trazabilidad e integridad del contenido con sustento jurídico probatorio para mitigar los riesgos operacionales y de cumplimiento en los nuevos canales y modelos de negocio.

José Ignacio Arribas, consejero delegado de Logalty destacaba: “Fujitsu es un partner esencial para Logalty y este acuerdo permite reforzar -más si cabe- la creación de valor conjunta para el mercado. Nuestros clientes presiden nuestra estrategia y queremos que nuestras Soluciones, junto con Fujitsu, les sigan dando plena confianza y seguridad al desarrollo del negocio digital. Fujitsu nos ayuda a ser más seguros, innovadores, escalables y sostenibles en el tiempo”.

Tipos de firmas electrónicas y cómo elegir la adecuada

A diferencia del papel, hay muchas maneras distintas de firmar transacciones digitales. Cada tipo tiene un nivel distinto de poder y legalidad probatorios, y cada tipo aporta su propia experiencia de usuario. Los especialistas de Connective explican los diferentes tipos de firma electrónica disponibles en el mercado y cómo seleccionar el tipo de firma adecuado para cada empresa, con el objetivo de encontrar el equilibrio perfecto entre seguridad y experiencia de usuario.

En primer lugar, echemos un vistazo a los distintos tipos de firmas existentes. La distinción se basa en el reglamento relativo a la Identificación electrónica y los servicios de Confianza para las Transacciones Electrónicas (eIDAS), creado en 2016. Este reglamento establece la estructura legal para la identificación electrónica, las firmas, los sellos y los documentos en toda la UE.

También clasifica el nivel de seguridad para los distintos tipos. Este nivel está determinado por múltiples factores, que resumiremos aquí. Sobre la base de la seguridad que ofrece, eIDAS reconoce tres tipos: firma electrónica simple o básica (SES); firma electrónica o digital avanzada (AES); y firma digital cualificada (QES).

• Diferencia entre firma digital y electrónica

Hay una diferencia entre una firma digital y una electrónica, aunque muchos usamos los dos términos indistintamente. La diferencia tiene que ver principalmente con la tecnología: una firma digital siempre se basa en una tecnología basada en criptografía. Esto significa que el contenido del documento siempre estará bloqueado y protegido al poner una firma digital; tú siempre tienes la garantía de que el contenido del documento no se podrá cambiar tras la firma.

Esto no es necesariamente válido para una firma electrónica. Por ejemplo: una firma electrónica también puede ser la imagen de una firma dibujada manualmente pegada, por ejemplo, en un documento de Word. Donde ya no tiene la seguridad de que el documento de Word no se haya modificado tras la firma. En realidad, el término firma electrónica es un sustantivo colectivo. Por lo tanto, una firma digital puede ser una firma electrónica, pero una firma electrónica no siempre es una firma digital. Como un perro es un animal, pero un animal no necesariamente es un perro.

• Preguntas clave para seleccionar el tipo de firma correcta

Ahora, veamos cómo se puede determinar el nivel de seguridad para una firma electrónica. Para simplificarlo, se pueden hacer estas cuatro preguntas clave:

• ¿Es necesario que la firma se vincule únicamente con el firmante? (Autenticidad)
• ¿Queremos estar absolutamente seguros de que podemos identificar al firmante? (Identidad)
• ¿Queremos detectar algún cambio en el documento tras la firma? (Integridad)
• ¿Queremos estar seguros al 100% de que la firma se crea bajo el control exclusivo del firmante? (Autenticación)

Si la respuesta es un «sí definitivo» en los cuatro puntos, se necesita el nivel más alto de seguridad, el QES (cualificada). Si la respuesta es «deseable» o no un «sí definitivo» en las cuatro preguntas, podría optarse por el AES (avanzada). Si la situación es menos complicada, o hay otras circunstancias de identificación cara a cara, o si solo necesitas una confirmación de lectura para las actas de una reunión, por ejemplo, la solución más fácil es el SES (simple).

• Algunos ejemplos de firma electrónica

Tras leer esto, podríamos pensar: “Quiero estar seguro en todos los casos”. Por supuesto, esto tiene sentido, pero echemos un vistazo a algunos ejemplos para explicar mejor cuándo se necesita qué tipo de seguridad. Ya hemos mencionado el ejemplo del acta de una reunión. En este caso, el nivel SES será suficiente. Sin embargo, cuando se trata de una hipoteca o de un acuerdo de 100.000 euros, es necesario asegurarse de que el firmante tiene el mandato legal y es quien dice ser. En las transacciones cara a cara o dentro de un entorno de cliente autentificado, se podría aplicar una SES. Sin embargo, tanto AES como QES son aconsejables cuando estas transacciones se realizan, por ejemplo, en línea. Todo dependerá de las circunstancias del proceso completo.