Sellado de tiempo: qué es el sello o timestamp y sus usos

Los sellos de tiempo o timestamps son uno de los mecanismos más utilizados en la actualidad para asegurar las transacciones digitales y garantizar su originalidad. Tanto como método criptográfico como modelo para sellar documentos sensibles, los certificados de sellado de tiempo se han convertido en una herramienta crucial en la economía actual.

El mundo digital ha traído consigo grandes cambios en la forma y los métodos en que manejamos la información y los documentos, así como otro tipo de operaciones que necesiten ser registradas. En este contexto, el sellado de tiempo se ha erigido como una herramienta esencial para garantizar la integridad y autenticidad de los datos en formato electrónico. 

En este artículo, exploramos a fondo el concepto de sellado de tiempo, sus diversos tipos, aplicaciones y su base legal con el objetivo de arrojar luz sobre esta técnica esencial en la economía digital actual donde los servicios de confianza son imprescindibles y obligatorios.

Qué es un sello de tiempo

Un sello de tiempo es una marca temporal que se entrelaza con un conjunto de datos para certificar cuándo se crearon o modificaron por última vez (o como registro total de las interacciones previas al sellado de tiempo). Es una especie de "sello electrónico" con contenido digital y criptográfico que actúa como un testigo independiente del momento en que ocurrió un evento específico relacionado con la información en cuestión. El sistema o proveedor de sellado de tiempo que realiza el proceso es determinante como autoridad mediadora e independiente.

Los sellos de tiempo desempeñan un papel fundamental para garantizar la integridad y autenticidad de datos en línea o contenidos en un archivo digital estático aunque es especialmente relevante en transacciones críticas donde se requiere un registro preciso de la fecha y hora de eventos tal y como las transacciones bancarias o la firma de un contrato.

Qué significa el sellado de tiempo

El sellado de tiempo o timestamping es un proceso mediante el cual se cifran los datos de la marca temporal (el sello de tiempo) junto con los de una información en formato digital. Tras esto, se emite un certificado que avala, comunica y respalda este proceso. El sellado de tiempo se genera mediante algoritmos criptográficos que aseguran su inmutabilidad.

El sellado de tiempo tiene un significado concreto en el ámbito de la seguridad y la autenticidad de los datos, especialmente en lo que conocemos como servicios de confianza cualificados o técnicas RegTech. Significa que, en un mundo donde la información puede ser fácilmente manipulada, es posible tener una evidencia irrefutable de cuándo se creó o modificó un archivo digital. Esto es especialmente valioso en situaciones legales, financieras o empresariales donde se necesita un registro preciso del tiempo.

El sellado de tiempo se basa en principios criptográficos sólidos (con tecnologías blockchain avanzadas) y se utiliza para prevenir la manipulación de documentos digitales, lo que lo convierte en una herramienta esencial para la confianza en línea.

Autoridades de Sellado de Tiempo (TSA) y los protocolos

También conocido como timestamping, el sellado de tiempo es un estándar descrito por el Network Working Group en el RFC 3161 (con un algoritmo hash de 256 bits) y completamente reconocido a nivel mundial tanto en la economía más “analógica” como en los nuevos procesos y estándares digitales de transacciones electrónicas seguras de confianza.

Las autoridades de sellado de tiempo TSA (Timestamping Authority) actúan como prestadores de servicios de confianza y certificación electrónica dando fé a través de un hash en un documento o información digital cuya huella verifica la fecha y hora de la creación o última modificación de estos.

Cuando el proceso es realizado con medios cualificados de sellado de tiempo hablamos de QTSA (Qualified Time Stamp Authority) y sellos de tiempo cualificados con terceras partes de confianza.

Tipos de sellado de tiempo y timestamping

Como autoridades imparciales, los proveedores de sellados de tiempo garantizan que la información contenida en esos archivos digitales no puede ser alterada y que en caso de realizarse duplicidades o modificaciones habrá constancia de estas. De esta forma, el sellado de tiempo es un gran aliado de la firma electrónica al integrarse en más de un aspecto de esta.

Los sellados de tiempo se realizan mediante la aplicación de tecnologías de infraestructura de clave pública (PKI, public key infrastructure) con cifrado y descifrado. Se aplican las reglas E2E cuando esto se modifica o está disponible para partes legítimas y propietarias de la información presentes en distintos lugares (o con sesiones diferentes en dispositivos conectados a través de internet).

También es muy importante entender la diferencia entre sellado de tiempo y marca de tiempo (o marca temporal). Con técnicas diferentes y garantía legal complementaria, son sistemas que impactan sobre los datos de una forma distinta:

• Marca de tiempo: No necesariamente la marca de tiempo tiene que estar sellada con un proceso criptográfico que funcione conforme a los estándares tanto legales como técnicos. Es decir, la referencia temporal se genera pero no se sella conforme a unos requisitos concretos.
• Sellado de tiempo: El sellado de tiempo es el proceso que asigna la referencia temporal según el proveedor como tercero de confianza y sus políticas de sellado consensuadas con los organismos que le dan la condición de autoridad, dando imparcialidad.
• Token (TST): Un time stamp token es un componente que genera el indicador del sellado para devolverse al cliente solicitante. Es el mecanismo que realiza la firma de criptografía para los datos y que indica un número base para identificar el sellado.

De esta forma vemos cómo los sellados de tiempo crean grandes garantías legales en todo tipo de operaciones y gestiones tanto públicas como privadas, también administrativas. Esto da fiabilidad total a una ejecución, firma online u operación ya sea a través de internet o presencialmente (aunque deban utilizarse dispositivos digitales para hacer este sello, ya que en un documento en papel se utilizan otro tipo de medidas para garantizar este tipo de marcas de tiempo, menos fiables y más vulnerables).

Aunque como hemos visto el sellado de tiempo se basa en una fuente de información temporal enlazada con un tiempo universal coordinado como define el estándar del NWG, existen distintos tipos de sellado de tiempo. Cada uno con sus características específicas y creado con métodos ligeramente diferentes (o con variaciones de los mismos según el caso de uso) aunque respondan a los estándares de eIDAS y otras regulaciones internacionales. Los principales tipos incluyen:

• Sellado de Tiempo Simple: El sellado de tiempo simple utiliza una fuente de tiempo confiable, como un servidor de tiempo, para generar una marca temporal en un método simple y directo con técnicas sencillas.
• Sellado de Tiempo Cualificado: Los sellos de tiempo cualificados son el tipo más seguro y confiable. Se basa en un certificado digital emitido por una Autoridad de Sellado de Tiempo Cualificada (QTSA por sus siglas en inglés) reconocida por instituciones públicas que le dan la condición de prestador de servicios de confianza. Esto garantiza la autenticidad y la integridad del sello de tiempo con el respaldo de la norma vigente a nivel legal.
• Sellado de Tiempo Basado en Blockchain: Este enfoque utiliza la tecnología de blockchain más avanzada (las hay configuradas para utilizar algoritmos criptográficos superiores entrenados por ML) para registrar las marcas temporales. Es altamente resistente a la manipulación y es adecuado para aplicaciones donde se requiere un alto nivel de seguridad.
• Sellado de Tiempo Distribuido: En lugar de depender de una fuente de tiempo centralizada, el sellado de tiempo distribuido se basa en múltiples fuentes de tiempo dispersas en la red, lo que lo hace más resistente a fallos y ataques. Sin embargo, es mucho más difícil de crear y su uso no está muy extendido.
• Sellado de Tiempo Electrónico: Este tipo se refiere al uso de sellos de tiempo en el ámbito de la firma electrónica y es esencial para garantizar la autenticidad de los documentos firmados digitalmente. Es más una nomenclatura que un tipo aunque esta denominación es muy utilizada en la actualidad debido al auge de la imprescindible firma digital.

Sellado de tiempo cualificado

Un sello de tiempo cualificado es aquel que cumple con los estándares y requisitos establecidos por la regulación más exigente en la región que aplica el proceso, como el Reglamento eIDAS de la Unión Europea. Esto implica que el sello de tiempo ha sido emitido por una Autoridad de Sellado de Tiempo (TSA) debidamente acreditada y se ha generado utilizando algoritmos criptográficos seguros definidos en los estándares.

La cualificación de un sello de tiempo asegura su reconocimiento legal en mercados como la UE y su utilidad en situaciones críticas, como la presentación de pruebas en un juzgado frente a disputas importantes.

Pasos para sellar un documento con marca de tiempo

Sellar un documento implica adjuntar un sello de tiempo a ese documento digital o conjunto de datos electrónicos (puede realizarse con cualquier tipo de archivo, incluyendo vídeos y fotografías) para certificar su existencia en un momento específico en fecha y hora. Esto se consigue siguiendo estos pasos:

1. Preparación del Documento: El documento que se desea sellar debe estar listo en formato digital. En caso de datos u otro tipo de información, debería paquetizarse para entenderse como un conjunto.
2. Selección de la TSA: Elección de una Autoridad de Sellado de Tiempo (TSA) cualificada y confiable o un proveedor de servicios de confianza cualificado que ofrezca este mismo servicio de forma propia o a través de partners. 
3. Captura de Información: La TSA o el sistema de firma electrónica toma la información que se va a sellar, como un documento digital o un conjunto de datos.
4. Generación del Sello de Tiempo: Se envía el documento a la TSA o lo hace su servicio en línea de firma electrónica. La TSA generará un sello de tiempo cualificado y lo devolverá junto con el certificado correspondiente al proveedor de firma y servicios de confianza.
5. Hashing: Se aplica una función criptográfica hash a la información para crear un valor único y fijo que representa los datos originales. Este valor se conoce como "resumen hash."
6. Adjuntar el Sello: El sistema incrusta el sello de tiempo en el documento digital conectando de forma extremo-a-extremo con la TSA. Esto se puede hacer automáticamente (con conectores RPA) o de forma manual, dependiendo de la herramienta que se utilice.
7. Verificación Opcional: Puede ser útil verificar el sello de tiempo para garantizar su autenticidad utilizando la clave pública de la TSA. Muchos proveedores de servicios de confianza realizan esto para sus clientes en el sistema antes de firmar.
8. Firma Digital: El resumen hash se firma digitalmente con la clave privada de la TSA, creando así el sello de tiempo. Este proceso se vincula con la firma electrónica de documentos en el caso de las plataformas de firma online.
9. Certificación: El sello de tiempo se adjunta a un certificado digital que contiene información sobre la TSA y su clave pública. Este certificado es lo que hace que el sello sea cualificado. Esto puede verse reflejado en el informe de auditoría de algunas aplicaciones y plataformas de firma electrónica.
10. Almacenamiento Seguro: El sello de tiempo y el certificado se almacenan de forma segura conforme a los estándares del RGPD, y la información resultante se proporciona al solicitante o a las partes firmantes de un acuerdo.

Los sellos de tiempo en la firma electrónica

La firma electrónica ha reinventado la forma en que realizamos transacciones y acuerdos tanto de modo presencial como en remoto. Sin embargo, la confiabilidad de una firma electrónica depende en gran medida de la integridad de los documentos firmados. Los sellos de tiempo desempeñan un papel fundamental en este contexto.

Un sello de tiempo se utiliza en la firma electrónica para garantizar que un documento firmado sea inmutable y no haya sido modificado desde el momento de la firma. Lo mismo para las transacciones y operaciones ocurridas desde que el email o mensaje con la solicitud de firma digital es enviado hasta que este vuelve al solicitante con la firma del destinatario, todo debe ir registrado con trazabilidad completa, lo que implica marcas de tiempo secuenciales según las fases del proceso de firma electrónica. Esto es crucial para validar la autenticidad de la firma en el futuro, especialmente en situaciones legales.

En Europa existen normas como las TS 101 733 y TS 101 903 que están vinculadas con las variantes ES-T y ES-C para añadir sellados de tiempo e información a través de consulta en listas de revocación de certificados y modelos OCSP. Esto exime a la persona receptora de comprobar la validez de un certificado que puede transicionar del prestador de servicios de certificación. 

Así, el sellado de tiempo en la firma digital asegura que las partes involucradas puedan confiar en la integridad de los documentos y las transacciones en línea, lo que es esencial para la adopción generalizada de soluciones electrónicas en el ámbito empresarial y legal. Las normativas de firma electrónica y transacciones digitales definen cómo deben interactuar los sellos de tiempo y las firmas digitales entre sí.

Los sellos y certificados

Un certificado de sellado de tiempo es una pieza esencial en el proceso de sellado de tiempo cualificado. Es un medio digital que contiene información vital sobre la Autoridad de Sellado de Tiempo (TSA) y su clave pública. Puede ir enlazado al informe de auditoría de un proceso de firma electrónica o de forma independiente como documento probatorio. Este certificado desempeña un papel fundamental en la verificación de la autenticidad de un sello de tiempo cualificado.

Un certificado de sellado de tiempo generalmente contiene los siguientes elementos:

• Nombre de la TSA: El nombre y la identificación de la Autoridad de Sellado de Tiempo que emitió el certificado. En algunos casos se incluyen datos probatorios más allá del nombre.
• Clave Pública de la TSA: La clave pública de la TSA, que se utiliza para verificar la firma digital de los sellos de tiempo emitidos por la TSA.
• Período de Validez: La fecha de inicio y finalización de la validez del certificado.
• Número de Serie: Un número único que identifica de manera exclusiva el certificado.
• Política de Sellado de Tiempo: Las políticas y procedimientos que la TSA sigue al emitir sellos de tiempo así como su adaptación al marco regulatorio del mercado donde se ha realizado el sellado.

La verificación de un certificado de sellado de tiempo es esencial para confirmar la autenticidad de un sello de tiempo cualificado. Para hacer esto, hay que asegurarse de tener acceso al certificado de sellado de tiempo que corresponde al sello que se desea verificar.

Puede realizarse una verificación en línea: a través de los servicios en línea que ofrecen las TSA y que permiten verificar la autenticidad de un sello de tiempo utilizando su certificado. Simplemente debe meterse el sello y el certificado en la herramienta de verificación en línea de la TSA y comprobar los datos.

Si se opta por una verificación más manual, puede utilizarse un software de verificación de certificados digitales de algún proveedor de tecnologías criptográficas asociadas. Se puede importar el certificado y el sello de tiempo en la herramienta y verificar que la firma digital del sello corresponda a la clave pública de la TSA. No es una confirmación oficial pero es muy complicado que si coincide no se trate de un sellado de tiempo realizado de forma correcta y segura, especialmente tratándose de firmas electrónicas conformes con estándares eIDAS. La verificación exitosa del certificado de sellado de tiempo garantiza que el sello de tiempo es genuino y cumple con los estándares de seguridad.

Casos de uso y aplicaciones del sellado de tiempo

El sellado de tiempo tiene una amplia variedad de aplicaciones en diversas industrias y entornos para todas las áreas de negocio y en operaciones comerciales de todo tipo, así como en el ámbito de las administraciones públicas. Algunos de los casos de uso más comunes incluyen:

• Contratos Legales Electrónicos: En el área legal, los contratos electrónicos son ya un estándar que goza de mayor validez ante sede judicial que la mayoría de métodos de firma tradicional. El sellado de tiempo se utiliza para garantizar que los contratos firmados digitalmente sean inmutables y no hayan sido modificados desde la firma. Ocurre lo mismo con la factura electrónica así como para las trazas de login y acceso seguro conforme a estándares PSD2/SCA.
• Registro de Propiedad Intelectual: Para proteger los derechos de autor y las invenciones, el sellado de tiempo se aplica para certificar cuándo se creó por primera vez una obra, una marca o un invento.
• Archivado de Documentos: En el ámbito empresarial y gubernamental, el sellado de tiempo se utiliza para archivar información importante, como registros (libros) financieros y médicos, garantizando su integridad a lo largo del tiempo. Esto se extiende a las apuestas tanto para el gambling como los brokers en el mercado de acciones así como para registros electrónicos o pedidos.
• Pruebas en Litigios: En casos judiciales, el sellado de tiempo puede utilizarse como evidencia para demostrar la autenticidad de documentos y registros digitales en caso de disputa. En esta situación siempre va vinculado al ejercicio de la firma electrónica. Es un caso de uso relacionado con los visados electrónicos o el voto digital, ya aplicado en muchas ciudades por los gobiernos locales.
• Seguridad en Cadenas de Suministro: En la industria manufacturera y logística, el sellado de tiempo se utiliza para rastrear y verificar la autenticidad de productos y componentes a lo largo de la cadena de suministro.

Base legal del sellado de tiempo: eIDAS, la UE y los servicios de confianza

La regulación desempeña un papel indiscutible en la validación y aceptación de los sellos de tiempo en el ámbito legal y comercial. En la Unión Europea, el Reglamento eIDAS (Identificación Electrónica y Servicios de Confianza para las Transacciones Electrónicas en el Mercado Interior) establece un marco legal sólido para los servicios de confianza, incluyendo al sellado de tiempo entre ellos y definiendo cómo debe aplicarse junto con la firma electrónica.

De esta manera se proporciona un marco armonizado para los sellos de tiempo cualificados estableciendo los estándares y los requisitos que deben cumplir las Autoridades de Sellado de Tiempo (TSA) y los proveedores para aplicarlos. Por ejemplo, el sellado de tiempo debe ser, como mínimo, firmado con una firma electrónica avanzada o con un sello electrónico avanzado. Esto se describe en el artículo 42 de la norma europea y da a las organizaciones oficiales la capacidad de ofrecer los servicios de forma conjunta o diferenciada a la firma digital.

La misma norma reconoce que los sellos de tiempo cualificados en formato electrónico son una prueba legal ante un procedimiento judicial en cualquiera de los países de la Unión Europea y todos aquellos que elijan regular sus estándares de transacciones electrónicas utilizando fijándose en la pionera eIDAS. Una protección jurídica perfecta a nivel regional e internacional.

Etiquetas