Tipos de firma electrónica: cuáles son y casos de uso

Sin duda, la firma electrónica se ha convertido en una herramienta imprescindible para cualquier compañía, negocio o profesional. Conocer cuáles son los distintos tipos de firma electrónica es fundamental para poder utilizar correctamente las aplicaciones y sistemas con las que realizar solicitudes de firma de documentos a través de medios electrónicos. 

Gracias a estos sistemas, las empresas han obtenido grandes ventajas competitivas y se han aprovechado de todos los beneficios que aporta dar el salto desde un modelo anticuado hacia uno paperless, ágil y mucho más seguro y garantista. A continuación, desgranamos cuántos tipos de firma electrónica existen, entraremos en detalle sobre cada uno de ellos y exploraremos los casos de uso donde deben aplicarse.

Cuántos tipos de firma electrónica hay

La firma electrónica y sus distintos estándares están definidos por normativas nacionales e internacionales que regulan tanto sus características técnicas como su uso. Cada tipo de firma electrónica está diseñado para cumplir con requisitos específicos de seguridad, validez legal y niveles de confianza en diferentes contextos, casos de uso y jurisdicciones.

Los diferentes tipos de firma electrónica son las formas en que se puede implementar la identificación del firmante, la seguridad informática y la capacidad probatoria en la firma digital de documentos. 

Las herramientas informáticas que ofrecen la posibilidad de utilizar estos estándares implementan métodos para confirmar que la persona que recibe y firma el documento es quien dice ser, incluyen técnicas criptográficas para sellar evidencias de todo el proceso (dispositivo, métodos, fechas…) y garantiza el no repudio con técnicas informáticas de envíos a través de canales digitales de todo tipo.

Los tipos de firma electrónica brindan niveles variables de seguridad. Algunos tipos, como la firma electrónica simple, ofrecen una autenticación básica, mientras que otros, como la firma electrónica cualificada, brindan un nivel de seguridad más alto respaldado por organismos oficiales y certificados digitales emitidos por autoridades de certificación confiables y respaldadas por instituciones públicas.

La validez legal de una firma digital puede variar según la jurisdicción y las leyes específicas de cada país. Algunos tipos de firma electrónica, como la firma electrónica cualificada, están respaldados por regulaciones y marcos legales específicos que les otorgan una validez legal más sólida de cara a gestiones con la administración pública. En contraste, las firmas electrónicas simples pueden tener un reconocimiento legal limitado o no estar respaldadas por regulaciones concretas.

La confianza en la autenticidad y la integridad de una firma electrónica varía según el tipo de firma utilizado. Las firmas electrónicas avanzadas brindan un mayor nivel de confianza debido a la utilización de algoritmos de criptografía avanzada, lo que hace que sea más difícil falsificar o modificar la firma.

Según el tipo de firmas electrónicas se pueden necesitar diferentes tecnologías y sistemas para su implementación. Algunos tipos pueden requerir dispositivos biométricos o infraestructuras de clave pública (PKI) para garantizar la autenticación y seguridad adecuadas. Estos requisitos de implementación pueden influir en la elección del tipo de firma electrónica según las capacidades y recursos disponibles así como por el tipo de operación y su nivel de riesgo.

Cada tipo de firma electrónica está diseñado para ajustarse a las necesidades de una serie de operaciones y casos de uso específicos. Por ejemplo, la firma electrónica simple puede ser suficiente para acuerdos informales o documentos personales, mientras que la firma electrónica avanzada biométrica se utiliza en transacciones legales y documentos notariales donde se requiere una validez legal total.

En resumen, los diferentes tipos de firma electrónica existen para adaptarse a diversos niveles de seguridad, validez legal, confianza y requisitos de implementación. Estos varían según el mercado o país donde nos encontremos y debe consultarse con nuestro partner RegTech de firma electrónica si la solución que nos están facilitando cumple con la normativa del sector y es correcta para las operaciones y condiciones en las que va a ser utilizada.

Al elegir el tipo adecuado de firma electrónica, se puede garantizar la autenticidad, integridad y validez de los documentos firmados, proporcionando confianza tanto a las partes involucradas como a las autoridades reguladoras y contando con capacidad probatoria ante un tribunal en caso de disputa.

Tipos de firmas electrónicas según eIDAS

El reglamento eIDAS (electronic IDentification, Authentication and trust Services) es la normativa europea que marca los estándares bajo los que el ejercicio de la firma electrónica tiene validez en territorio comunitario (los 27 estados miembros de la Unión Europea). Esta regulación supuso un antes y un después ya no sólo en la UE sino también en todo el mundo por su propuesta pionera en cuanto a la identificación de usuarios en remoto y las garantías de unas transacciones electrónicas seguras.

Todos los estados miembros de la Unión Europea han traspuesto la regulación a sus jurisdicciones nacionales con normas de mínimos sobre lo que eIDAS marca. De esta forma, se ha creado un marco común europeo en el que operar bajo las mismas normas y poder ofrecer servicios y operar en un mercado de 500 millones de personas.

Pese al carácter europeo de este reglamento, esta norma es seguida por las autoridades de Reino Unido, Suiza y Noruega, donde se ha tomado eIDAS como referencia para elaborar sus propias leyes en las que abordar los tipos de firma electrónica y sus características formales. Es más, gracias a su carácter pionero y al ser una de las primeras regulaciones del mundo en este sentido (y la más completa y detallada hasta la fecha), eIDAS es utilizada como la referencia por todos los países del mundo para orientar la regulación de la firma electrónica.

Al otro lado del charco, en Estados Unidos debemos fijarnos en UETA (Uniform Electronic Transactions Act) y E-Sign Act (Electronic Signatures in Global and National Commerce Act). En países latinoamericanos como México los tipos de firma electrónica están regulados por el Código de Comercio Federal (que indica unos estándares prácticamente homólogos a los de eIDAS: Simple, Avanzada y Biométrica) mientras que en Argentina encontramos leyes específicas de Firma Digital. Perú también añade la especificación eIDAS de vincular de forma inequívoca al documento la firma del usuario y define como firma digital la anterior tipología pero incluyendo técnicas criptográficas simétricas.

eIDAS marca tres tipos de firma electrónica: Simple, Avanza y Cualificada. Estos tipos de firma digital están definidos en el reglamento y en las leyes y regulaciones que lo han traspuesto bajo una serie de mínimos para considerarse como tal y cada uno tiene una implicación legal, capacidad probatoria y objetivo formal distinto.

Por su parte, los mejores prestadores de servicios electrónicos de confianza cualificados QTSP y partners RegTech, han decidido ofrecer una amplia variedad de tipos de firma digital para no sólo cumplir con estos estándares sino ampliar sus capacidades y ser útiles en circunstancias de todo tipo según la naturaleza y necesidades de las operaciones y actividad de negocios de todas las industrias. A continuación, indicamos y explicamos en detalle todos los tipos de firma electrónica:

Firma electrónica simple

La firma electrónica simple (SES) es un tipo de firma digital que puede ser utilizada para firmar documentos electrónicos. Es el tipo más básico de firma electrónica reconocido por eIDAS y se utiliza para verificar la identidad del firmante y garantizar la integridad del documento. La SES se basa en la autenticidad del signatario, que se puede verificar mediante la comparación de la firma con los datos básicos de identificación del firmante.

Se utiliza comúnmente en casos de bajo riesgo, como la firma de contratos de servicios, acuerdos de no divulgación, o en la aceptación de términos y condiciones de los sitios web. Es considerada como una forma de firmar digitalmente que no es tan segura como otros formatos de firma electrónica, pero que es adecuada para documentos de menor importancia.

Un ejemplo de uso del tipo de firma electrónica simple se encuentra en el sector de servicios de instalaciones (facility services). Puede utilizarse para solicitar y aprobar días de vacaciones, aceptar condiciones del RGPD o enviar notas simples o invitaciones a eventos. Es importante destacar que la firma electrónica simple está regulada por leyes específicas en cada país que definen su uso y validez legal aunque no da respaldo jurídico para operaciones de nivel medio o alto de riesgo. En algunos países, la SES puede ser utilizada en procesos legales, mientras que en otros sólo puede ser utilizada en casos de menor importancia, siendo este último el caso de Europa y América.

Firma simple con doble factor

La firma simple con doble factor es un tipo de firma digital que incluye opciones de autenticación del firmante a través de contraseñas OTP con sello de tiempo. Está basada en el estándar anterior (la firma electrónica simple), pero aplica una serie de herramientas adicionales para garantizar una mayor confianza en determinadas transacciones.

Su utilización está indicada en operaciones de muy bajo nivel de riesgo pero donde la identificación del firmante puede ser clave en caso de una disputa. Sirve para firmar emails o documentos de bajo nivel notarial, realizar login en apps o plataformas webs, como pin de control de acceso a instalaciones delicadas o para validar el inventario de un apartamento vacacional cuando un agente inmobiliario no está presente.

Firma electrónica simple certificada

Al igual que el anterior tipo de firma digital, este formato adapta la firma electrónica simple e incluye la inserción de sellos de tiempo en varias partes del proceso de firma además de un certificado digital utilizable. La principal diferencia con el tipo de doble factor es que utiliza un certificado digital en lugar de la clave OTP para añadir ese plus de garantía de verificación de identidad del firmante.

Como todos los tipos de firma electrónica basados en certificados digitales, es especialmente útil para trámites con las administraciones públicas o instituciones homólogas. Destacan casos de uso como la presentación de la matrícula universitaria, realizar donaciones a una ONG o firmar un consentimiento informado médico en la sanidad pública.

Firma SMS OTP

Esta variante de la firma simple con doble factor se apoya en una línea telefónica registrada a nombre del firmante. Es sencilla y rastreable por las autoridades, incluyendo controles basados en las comprobaciones del operador de telefonía. En este tipo de firma digital se envía de forma certificada un código OTP al dispositivo MSISDN del firmante.

La seguridad de este formato de firma electrónica se considera alta, por lo que habilita transacciones bancarias de bajo riesgo normalizadas bajo estándares PSD2 y también en esta misma línea permite acceso seguro conforme a las normas SCA (Strong Customer Authentication). En una app bancaria, se utilizaría para cambiar datos personales como la dirección u otros sencillos, y en plataformas SaaS sirve para dar de alta y registrar nuevos usuarios de forma segura cuando no se va a realizar un proceso de contratación, donde en tal circunstancia ya sí se recomiendan formatos más garantistas como los que veremos a continuación.

Firma Electrónica Avanzada

La firma electrónica avanzada (AES, por sus siglas en inglés: Advanced Electronic Signature) es un método de firma electrónica que cumple con los requisitos legales establecidos en el Reglamento eIDAS en la Unión Europea. Es un mecanismo confiable y versátil para garantizar la autenticidad e integridad de los documentos y mensajes electrónicos.

La firma electrónica avanzada se vincula a la identidad del firmante y permite verificar su autenticidad. Aunque no se requiere la intervención de una Autoridad de Certificación (AC) para emitir los certificados digitales, aún es necesario contar con medios confiables para asegurar la identidad del firmante.

Este tipo de firma electrónica asegura la integridad del documento o mensaje firmado, lo que significa que cualquier cambio realizado en el contenido después de la firma se detectará. Además, proporciona un nivel de no repudio que dificulta que el firmante niegue haber recibido y/o firmado el documento. Es imprescindible para casos de uso como:

• Contratos y acuerdos comerciales: La firma electrónica avanzada se utiliza en la firma de contratos y acuerdos comerciales, tanto en transacciones entre empresas como en interacciones con clientes. Permite la agilización de los procesos, la reducción de la necesidad de documentos en papel y la mejora de la eficiencia.
• Transacciones financieras: Este tipo de firma digital es utilizado en el ámbito financiero para la firma de documentos relacionados con préstamos, acuerdos de inversión y transacciones bancarias. Facilita la realización segura y eficiente de transacciones electrónicas, ahorrando tiempo y recursos.
• Administración pública: La AES se aplica en interacciones entre ciudadanos y organismos gubernamentales, permitiendo la presentación electrónica de documentos, trámites y declaraciones. Simplifica los procedimientos administrativos y mejora la eficiencia del sector público.

Firma Avanzada Biométrica

La firma avanzada biométrica es una solución versátil y garantista que incluye la identificación fehaciente del firmante bajo unos estándares técnicos muy exhaustivos definidos por normativas eIDAS. Es una variante del anterior tipo de firma electrónica que implementa carga de patrones e información biométrica del usuario de forma local para encriptar claves privadas con custodia en sede oficial.

Incluye huella digital completa y trazabilidad end-to-end de todo el proceso. Al utilizar técnicas de identificación biométricas para respaldar la identificación de las partes, genera una vinculación de la identidad del firmante inequívoca al documento dando unas garantías probatorias realmente superiores.

Sirve para casos de uso como la contratación de seguros de viajes, la realización de determinados trámites burocráticos tanto en instituciones públicas como con empresas privadas así como la compraventa de bienes inmuebles. En numerosas ocasiones, ha sido utilizada con gran éxito para la aprobación de proyectos entre empresas.

SMS OTP Certificado

Esta variante de la firma con certificado y el método de autenticación a través de SMS OTP es una opción perfecta para firmar contratos en procesos comerciales que cuentan con implicaciones operativas. Tiene un respaldo jurídico completo al trabajar con certificados digitales reconocidos oficialmente y avalados en más de 50 países.

Un caso de uso muy útil es el de la contratación de servicios (telco, utilities, BFSI…) en remoto a través del canal telefónico (venta call-center). Permite solicitar pagos rápidamente y enviar formularios para solicitar el alquiler de vehículos (incluyendo seguros que acompañan a este servicio). Es altamente sencilla y de las mejores relación respaldo-agilidad.

Firma Avanzada Biométrica Certificada

En lo que a firma electrónica exclusivamente se refiere, este es el método más completo que se puede ofrecer. Con identificación fehaciente e inequívoca del firmante y con el respaldo de las normativas vigentes más exigentes, es la opción preferida por instituciones bancarias. Indicada en los niveles más altos de riesgo incluye características clave como sellos de tiempo en todas las fases, patrones biométricos avanzados, encriptación y el uso de certificados digitales.

Los certificados pueden ser electrónicos oficiales o de un sólo uso, con el máximo valor probatorio y reconocido por tribunales de jurisdicciones de todos los continentes al superar por mucho los mínimos exigidos por las normativas más exigentes. 

Es utilizada para contratar un seguro de hogar a distancia o de forma presencial, para procedimientos de postulación y arbitraje o la firma de mandatos SEPA.

Avanzada Biométrica Certificada con KYC

Este procedimiento no es realmente un tipo de firma electrónica, es la fusión de la firma electrónica junto con el estándar Know Your Customer. Se realiza un proceso de verificación de identidad KYC bajo normas AML6 y eIDAS validado por Tecalis como QTSP (Tercero de Confianza), con prueba de vida activa y pasiva y validación fehaciente de documentación (se pueden incluir técnicas KYB de validación de documentación no sólo de identidad, sino documentos oficiales de la administración pública u otros mercantiles con validez probatoria). 

Todo esto, se realiza de forma absolutamente ágil y sencilla, no llevando más de 2 minutos al usuario y se integra y sella de forma conjunta en el informe de auditoría final junto a la firma electrónica avanzada biométrica. Un único paquete certificado por un Qualified Trust Services Provider que incluye la más alta capacidad de verificación de identidad y documentación junto con la firma electrónica más garantista.

El estándar KYC es ampliamente reconocido en todo el mundo y es el recomendado por instituciones como el GAFI-FATF. Este proceso es el indicado para las aperturas de cuentas bancarias en remoto, para acuerdos internacionales de alto nivel, adquisiciones y operaciones B2B de cualquier nivel de riesgo y el alta de cliente instantánea online con activación inmediata de servicios gracias a las decenas de controles anti-fraude y AML realizados. Con total respaldo legal y sin correr riesgo para ninguna de las partes involucradas.

Firma Electrónica Cualificada

La firma electrónica cualificada (QES, por sus siglas en inglés: Qualified Electronic Signature) es el nivel más alto de firma electrónica reconocido y regulado por el Reglamento eIDAS de la UE. La firma electrónica cualificada es la indicada para los trámites con la administración pública.

Está vinculada de forma única a la identidad del firmante con un certificado cualificado expedido por medios electrónicos oficiales y una autoridad de certificación y se utiliza para verificar su autenticidad. La firma electrónica cualificada se basa en una infraestructura de clave pública (PKI) confiable. Esta infraestructura incluye la emisión y gestión de certificados cualificados, que son generados y almacenados de forma segura.

La firma electrónica cualificada utiliza técnicas criptográficas avanzadas para garantizar la integridad y confidencialidad de los documentos firmados. La identidad del firmante se establece a través de un certificado cualificado emitido por una Autoridad de Certificación acreditada por las instituciones. La privacidad de las claves y la autenticidad de las firmas están protegidas mediante el uso de certificados cualificados y algoritmos de criptografía fuertes.

La firma electrónica cualificada se aplica en interacciones entre ciudadanos y organismos gubernamentales en la presentación de solicitudes, trámites y declaraciones electrónicas. Facilita la interoperabilidad y la eficiencia en los procesos administrativos tales como la solicitud de plaza en puestos de trabajo públicos que salen a concurso, el pago de impuestos o la presentación de informes gubernamentales a distintas administraciones estatales y regionales.

Según un informe de la Comisión Europea, el uso de la firma electrónica cualificada en Europa ha aumentado significativamente en los últimos años, con más de 68 millones de transacciones electrónicas realizadas utilizando firmas electrónicas cualificadas en 2019.

En el ámbito de la salud, la firma electrónica cualificada se utiliza para garantizar la autenticidad y la integridad de los datos médicos electrónicos, y se estima que puede ahorrar hasta 1,4 millones de horas de trabajo en el sector sanitario europeo al año, según un estudio de la Comisión Europea.

Qué tipos de firma digital utilizar

Un estudio de mercado realizado por Allied Market Research pronostica que el mercado global de firmas electrónicas crecerá a una tasa compuesta anual del 24.6% entre 2021 y 2028, impulsado por la adopción de firmas electrónicas cualificadas en diversos sectores.

En el sector financiero, se estima que la adopción de la firma electrónica cualificada puede reducir los costos de procesamiento en un 80% y disminuir los tiempos de respuesta de días a minutos, según un informe de PwC.

Los tipos de firmas electrónicas a utilizar dependerán de la operación a realizar, de las necesidades de la industria a la que pertenece el negocio y del mercado y el marco legal de la ubicación o ubicaciones donde se realizan estas operaciones.

Eligiendo una solución de firma electrónica con todos los tipos

Hay que tener en cuenta que muchas de las soluciones de firma online que se presentan en webs de internet no cumplen con ninguno de los tipos de firma digital previos que hemos desgranado. Son herramientas web que únicamente insertan la firma como una imagen en un documento de diversos formatos, algo que ni realiza controles criptográficos para evitar la alteración de la información del documento y que tampoco vincula de ningún modo la identidad del firmante al mismo.

A la hora de tomar la decisión de elegir una solución de firma electrónica adecuada debemos tener en cuenta:

1. Seguridad: Asegúrate de que la herramienta de firma electrónica garantice altos niveles de seguridad informática y de los datos, además de aquellos aspectos relativos al propio ejercicio formal de los formatos y tipos de firma digital. Verifica si utiliza algoritmos criptográficos robustos, como RSA o ECC, para proteger la integridad de los documentos firmados. Además, verifica cómo se manejan y protegen las claves privadas de los usuarios durante el proceso de firma.
2. Cumplimiento normativo: Verifica si la herramienta cumple con las regulaciones y estándares legales relevantes en tu jurisdicción o en aquellas en las que prestas servicio. Confirma que la herramienta esté alineada con las directrices establecidas por organismos reguladores, como el Reglamento eIDAS en la Unión Europea o las leyes locales de firma electrónica.
3. Integraciones y compatibilidad: Evalúa la capacidad de la herramienta para integrarse con tus sistemas existentes. Comprueba si ofrece compatibilidad con una amplia gama de formatos de documentos, como PDF, Word o cualquier otro formato utilizado en tu flujo de trabajo.
4. Experiencia del usuario y funcionalidades: Considera la facilidad de uso tanto para los firmantes como para los administradores. Verifica si la herramienta proporciona una interfaz intuitiva y personalizable, y si incluye guías claras para facilitar el proceso de firma electrónica. Ten en cuenta que debe actualizarse y crecer con tu negocio así como incorporar funciones básicas como sobres, plantillas y demás herramientas imprescindibles para el trabajo diario con herramientas de tipos de firma electrónica como estas.
5. Verificación y auditoría: Asegúrate de que la herramienta proporciona mecanismos de verificación de firmas electrónicas, de identidad fehaciente con validación de documentos y opciones de auditoría para rastrear y auditar las transacciones. Esto es especialmente relevante cuando se requiere un seguimiento detallado de las actividades de firma electrónica o en sectores altamente regulados como las BFSI, las telecomunicaciones o las utilities.
6. Soporte técnico y servicio al cliente: Evalúa la calidad y disponibilidad del soporte técnico y el servicio al cliente ofrecidos por el proveedor de la herramienta de firma electrónica. Comprueba si están disponibles para resolver problemas técnicos o dudas relacionadas con la implementación y uso de la herramienta preguntando por los niveles de SLA ofrecidos según el plan contratado.
7. Precio: Considera el modelo de precios de la herramienta, incluyendo los costes asociados con el número de usuarios, el volumen de transacciones o cualquier característica adicional requerida. Asegúrate de evaluar el precio en relación con el valor y los beneficios que la herramienta proporciona frente a otras similares.

Etiquetas