Cuando hablamos de firmas digitales, pueden surgir algunas dudas: ¿Qué son? ¿Para qué sirven? ¿Son seguras? A continuación detallaremos las respuestas para estas y otras preguntas, pero primero es necesario entender su concepto.
¿Qué es una firma digital?
Es básicamente una firma que no es física, hecha con códigos matemáticos cifrados, respaldados por un certificado digital, que digitalmente permite al receptor de un documento saber que el originador es quien clama serlo y que el mensaje no ha sido alterado desde su envío.
Muchas veces se tiende a confundirlas con certificados digitales, pero no son lo mismo; igualmente, las firmas digitales normalmente tienen su integridad garantizada por certificados digitales.
La razón de su existencia es simple: en nuestras vidas cada vez más “digitalizadas”, no es factible tener que depender de firmas manuscritas para validar documentos, estos ya raramente son impresos y existe la necesidad de enviar y recibirlos en minutos. El envío de correo con firmas manuscritas tarda horas o días, dependiendo de la distancia entre las partes interesadas, por lo que una firma digital se convierte en una solución eficaz.
De acuerdo a un estudio realizado por el Banco de Desarrollo de América Latina, se presenta un estado bastante avanzado en la adopción por parte de muchos países de la región de mecanismos para instrumentar sistemas que permitan el uso de la firma electrónica como parte de los contratos mercantiles que se celebran al interior de cada país.
Principalmente el sector financiero utiliza este tipo de sistemas, buscando entregar seguridad en las transacciones de información con el objetivo de garantizar la integridad de los datos intercambiados.
¿Cómo se adquieren?
Para conseguir una, cualquier persona o empresa debe acceder al sitio web de una autoridad certificadora, solicitar claves públicas y privadas, y además el certificado digital correspondiente a las mismas. Las claves deben ser presentadas en una oficina de acreditación. Por ejemplo, en Argentina este trámite se puede hacer a través de entidades como la AFIP, mientras que México tiene un listado de prestadores certificados habilitados.
Una vez que los requisitos (varían dependiendo del país en que se tramita la firma) son satisfechos, el interesado puede descargar la firma y el certificado correspondiente para su PC, y además copias que pueden ser guardadas en dispositivos móviles.
Las firmas digitales son seguras conceptualmente hablando, pero como con todo lo que tiene que ver con la seguridad digital, pueden ser comprometidas si su propietario no toma las medidas necesarias para proteger las anteriormente mencionadas claves privadas.
¿Podrían ser falsificadas?
Debido a su naturaleza segura, no se escucha hablar de muchos intentos exitosos de robo de firmas digitales o mal uso de las mismas. Como se basan en mecanismos y algoritmos de cifrado bastante robustos, para ser vulneradas se necesitan de capacidades de cómputo muy grandes que llevan a que sea matemáticamente imposible hacerlo.
La seguridad de una firma electrónica va a estar relacionada con las características que ofrezca para identificar unívocamente al usuario que hace la firma y con la posibilidad de generar una trazabilidad de las transacciones, de tal forma que a través de una auditoría se pueda verificar el usuario y el momento de la transacción.
Por lo tanto, el factor humano se convierte en la principal amenaza para poner en riesgo la información protegida con este tipo de mecanismos. Sin embargo, como sucede con cualquier mecanismo de seguridad, dependiendo del uso que le den los usuarios, podría ser vulnerada, pero no es lo más frecuente.
En 2012, atacantes lograron acceder a uno de los servidores centrales de una importante empresa de tecnología, logrando de esta forma robar una cantidad importante de firmas y certificados digitales que tuvieron que ser invalidados por la empresa atacada.
Garantizando la seguridad
La seguridad de una firma digital se da de la siguiente forma:
- Se calcula el hash de un documento a través de una función hash
- El documento es cifrado utilizando un algoritmo de clave asimétrica con nuestra clave privada
- Enviamos el mensaje original y el hash cifrado
- El recipiente de nuestro mensaje la recibe, calcula su hash y sabe que no hubo adulteración del mensaje, de lo contrario el hash calculado por él no puede ser igual al incluido en el mensaje original
Con todo esto, el mensaje al que se ha añadido el hash cifrado está firmado digitalmente, su autenticidad está comprobada, el mismo no ha sido alterado y el autor del mismo es reconocido. Esta es una forma bastante segura y utilizada en larga escala globalmente.
3 mecanismos de seguridad necesarios
- Que la firma pueda ser generada solamente por un usuario
- Que pueda ser fácilmente verificable por quien la recibe
- Permitir un fácil uso de la misma para quien las genera y recibe
Para evitar el acceso no autorizado de terceros, es importante contar con software de seguridad que impida el mismo. Además es importante mantener nuestros datos cifrados y agregar una capa adicional mediante la doble autenticación a nuestras redes, sitios y aplicaciones para evitar que un atacante pueda acceder los mismos.