3 noticias sobre firma digital que tu empresa debería evitar

Muchas personas son reticentes a la tecnología por falta de confianza en la seguridad que otorgan algunas soluciones. Si te preocupa la legalidad de una solución de firma digital para firmar documentos importantes en comparación con firmar en papel, este artículo es para ti. 

Hemos hecho una pequeña recopilación de noticias sobre casos en los que la firma digital ha supuesto un problema a la hora de cerrar un acuerdo. Con ello, no queremos que tu confianza en la firma digital online se vea perjudicada, nada más lejos de la realidad. Queremos mostrarte la importancia de contar con un proveedor de confianza, y qué debes tener en cuenta para evitar caer en los siguientes errores.

Confiar en el proveedor de firma digital online adecuado, que ofrezca una solución legal y que cumpla con los estándares más altos de seguridad, te permitirá firmar todo tipo de documentos sin inconvenientes.

Te contamos tres casos en los que la firma de documentos de forma digital ha fallado, cómo tu empresa puede evitarlo y cómo Docuten puede ayudarte a prevenirlo:

Asegúrate de que estás confiando en un Prestador Cualificado de Servicios de Confianza que cumple la legalidad de la UE

El mes pasado, el fabricante suizo de trenes Stadler anunció que había perdido un contrato de 3.000 millones de euros con los Ferrocarriles Federales de Austria ÖBB como resultado de «una firma electrónica legalmente inadmisible en el acuerdo de compra».

Puedes ver la noticia al completo aquí.

Según la ley austriaca, el contrato debe firmarse con una firma electrónica cualificada (Qualified Electronic Signature o QES). Esta ley deriva del Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014 sobre identificación electrónica y servicios de confianza para transacciones electrónicas en el mercado interior (conocida como eIDAS). El Reglamento europeo eIDAS establece que una firma electrónica cualificada proporciona el más alto nivel de garantía, tiene presunción de validez legal y es el equivalente legal a la firma manuscrita.

El problema fue que Stadler utilizó un proveedor de servicios de confianza suizo (TSP) para realizar la firma. Aunque esta firma está cualificada bajo la Ley de Firma Suiza (ZertES), que es muy similar a eIDAS, existe una diferencia en «la responsabilidad de los servicios prestados». El marco eIDAS ofrece interoperabilidad transfronteriza para los países de la UE y el EEE, pero eso no incluye a Suiza. “Las normativas eIDAS y ZertES permiten la posibilidad de establecer un acuerdo de reconocimiento con terceros países, pero, en este caso, no se ha negociado ninguno”. Incluso si se entiende que los estándares son los mismos, la interoperabilidad no es automática. Por ello, el Tribunal Administrativo Federal de Austria concluyó que «Suiza no es parte de la UE y que las jurisdicciones no están alineadas». Como resultado, el contrato no fue válido.

¿Cómo se podría haber evitado?

Si para realizar la firma electrónica cualificada Stadler hubiese contado con un Prestador Cualificado de Servicios de Confianza perteneciente a la UE y registrado en el listado de servicios de confianza de la UE, como Docuten, esto no hubiese ocurrido.

En lo referente a este tema, un servicio de confianza supone un servicio electrónico que consiste en:

• la creación, verificación y validación de firmas electrónicas, sellos electrónicos o sellos de tiempo electrónicos, servicios de entrega electrónica certificada y certificados relativos a estos servicios, o
• la creación, verificación y validación de certificados para la autenticación de sitios web, o
• la preservación de firmas, sellos o certificados electrónicos relativos a estos servicios.

Un servicio de confianza se considera cualificado cuando, además de lo anterior, cumple con los requisitos aplicables establecidos en el Reglamento eIDAS. Por tanto, “un prestador cualificado de servicios de confianza es un prestador de servicios de confianza que presta uno o varios servicios de confianza cualificados y al que el organismo de supervisión ha concedido la cualificación.”

Actualmente Docuten está reconocido como Prestador Cualificado de Servicios de Confianza. Todas nuestras soluciones de firma digital de documentos están reconocidas en el Reglamento eIDAS. La validez de la firma digital es plenamente legal en toda la Unión Europea.

Verifica que la firma digital está respaldada por un certificado digital cuando sea necesario

Este caso es más común de lo que pueda parecer. Un juez ha rechazado la validez de un contrato de crédito firmado a través de una solución de firma digital, al no considerar probado quién lo firmó. Esto se debe a que la firma no estaba basada en un certificado digital.

Puedes leer la noticia completa aquí.

Una entidad financiera reclamaba el pago del saldo deudor derivado de un contrato de préstamo que se firmó a través de un sistema de firma digital. La contraparte, sin embargo, afirmó que la firma era falsa. Aunque el tribunal primero se puso del lado de la entidad financiera, en la apelación se encontró que el demandado no era responsable del pago del contrato de préstamo, ya que no se demostró adecuadamente que la firma que aparece en el contrato sea real.

Como señala el tribunal en la sentencia, la firma se realizó a través de una plataforma de firma electrónica a través de la cual se envía el documento a un correo electrónico y se devuelve firmado manualmente. No hay ninguna acreditación de que la persona que lo firmó sea quien dice ser ni autenticación de la cuenta.

Por lo tanto, la firma no se consideró una firma electrónica adecuada basada en un certificado reconocido y creada por una entidad legalmente reconocida que proporciona certificación de firma digital, y el tribunal estimó el recurso de apelación, dándole la razón al demandado.

¿Qué podría haber hecho diferente la empresa?

La compañía debería haber escogido una firma digital online más apropiada para su caso particular. En este caso, podrían haber empleado una firma digital basada en un certificado digital.

Un certificado digital es una certificación o documento electrónico expedido por una Autoridad de Certificación, como puede ser la FNMT, que vincula a una persona con una clave pública y confirma su identidad. Este le permitirá realizar trámites por internet, entre ellos, firmar documentos digitalmente.

Con un certificado de firma digital puedes realizar firmas digitales a través de internet. Sin embargo, no necesitas contar con un certificado digital emitido por una Autoridad de Certificación para poder firmar un documento electrónicamente de forma segura y legal.

Existen diferentes herramientas que te permitirán firmar documentos de forma segura y legal. En Docuten, ofrecemos distintos tipos de firma digital completamente válidos. Estos se adaptan a las necesidades de tu empresa para que puedas tener toda tu documentación firmada electrónicamente. Para mayor seguridad, todos los tipos de firma de documentos de Docuten están basados en un certificado digital. Este puede ser un sello de empresa o un certificado cualificado.

Por ejemplo, en este último caso, con Docuten puedes firmar electrónicamente tus documentos con un certificado cualificado. Nuestro servicio te permite firmar electrónicamente con un certificado cualificado de dos formas: con un certificado alojado en tu ordenador (firma en local) o con un certificado en la nube (firma centralizada) con el que firmar desde cualquier dispositivo. Confiar en un certificado cualificado para los documentos más importantes asegurará que no haya problemas en caso de litigio.

¿Qué tipo de firma es mejor?

En Docuten recomendamos a nuestros clientes usar el principio de proporcionalidad cuando escojan un tipo de firma u otro. Todos nuestros tipos de firma son legales y seguros. Sin embargo, para documentos especialmente importantes, debemos usar el mayor nivel de seguridad posible, que sería la firma cualificada (con un certificado cualificado). No todos los documentos son iguales: no es lo mismo firmar un contrato comercial (documentación mercantil) que una solicitud de vacaciones (documentación laboral). En este último caso, la usabilidad puede ser más relevante que la seguridad. Es esencial contar con un proveedor de firma digital que pueda explicarte todo lo que necesitas saber al implementar una solución de firma digital.

Asegúrate de que tu proveedor de firma digital cumple con las más altas garantías de seguridad

A medida que la firma digital se vuelve más común, los intentos de hackeo o ciberataque se incrementan. Existen tres formas principales de hackear un PDF. Estos tres métodos “manipulan el PDF entre el creador y el firmante para que ambos vean el documento de forma correcta”.

Puedes saber más sobre la noticia aquí.

Estos métodos son conocidos en inglés como “hide” (esconder), “replace” (reemplazar) y “hide and replace” (esconder y reemplazar). El primero implica esconder contenido malicioso detrás de otro contenido. Cuando el receptor firma el documento y lo envía de vuelta, “el atacante puede revelar el contenido escondido y acceder a la información”. Un ciberataque por “reemplazo”, en cambio, implica “cambiar o reemplazar ciertos aspectos menores de un formulario legítimo”, pero importando código malicioso con los cambios. Finalmente, el método de “esconder y reemplazar” permite a los hackers reemplazar el contenido completo de un PDF, al esconder y reemplazar ciertos objetos.

¿Qué pueden hacer las empresas para prevenirlo?

Primero, tu equipo debería tener formaciones para identificar estafas, puesto que los errores humanos son “uno de los puntos débiles en ciberseguridad.” En Docuten, esto se pone en práctica como parte del proceso de obtención del Certificado de Seguridad de la Información basado en los requerimientos establecidos por el estándar internacional ISO 27001. Este aporta las mayores garantías de seguridad y acredita la implementación de un sistema de gestión que protege la información dentro de nuestra compañía.

Después de haber pasado con éxito una auditoría externa (llevada a cabo por la Entidad de Certificación, Inspección y Verificación EQA), está demostrado que Docuten tiene un Sistema de Gestión de Seguridad de la Información certificado acorde al estándar UNE-ISO/IEC 27001:2014.

¿Qué es la ISO?

ISO 27001 es un estándar internacional emitido por la Organización Internacional de Estandarización (International Organization for Standardization o ISO). Este describe cómo gestionar la seguridad de la información en una compañía. El objetivo principal de la ISO 27001 es proteger la confidencialidad, integridad y disponibilidad de la información en una compañía.

Para alcanzar esto, se evalúan problemas potenciales que podrían afectar a la información (evaluación de riesgos). Después se define qué debe hacerse para evitar estos problemas (mitigación o tratamiento de riesgos). Parte del proceso supone implementar formación regular para los empleados, así como asegurar que todos los equipos están actualizados con las medidas de seguridad necesarias.

Confiar en un proveedor de firma digital que ofrece las más estrictas garantías de seguridad como Docuten. Esto permitirá a tu empresa tener la seguridad de que todos tus documentos están protegidos.

¿Te gustaría hablar con una persona de nuestro equipo para conocer más sobre estos temas o sobre nuestras soluciones de firma digital? No dudes en contactar con nosotros. Te asesoramos y buscaremos la solución más adecuada para las necesidades de tu empresa. También puedes descargarte de forma gratuita alguno de nuestros whitepapers.