Firmas electrónicas

Declaración

Todas la pruebas han sido hechas en mi computador con archivos residentes, igual, en mi computador. he utilizado el software de FirmaEC solo para tres acciones:

• Firmar documentos
• Validar documentos
• Validar mi certificado

Estimo que este tema de la Firma Electrónica debe ser ampliamente difundido para que la población que trabaje como emisora/receptora o ambos sepa tomar las respectivas seguridades. A medida que aparezcan novedades relativas actualizaré el blog.

Un resumen rápido

Puede bajar el resumen haciendo clic aquí.

0. Tipos de firmas

Trazo de la firma en papel

Se hace del puño y letra directamente sobre el papel

Trazo de la firma en pantalla digital

Firma electrónica 

Conjunto de datos electrónicos que están asociados a un documento electrónico. Su validación solo se hace con base a un archivo digital y nunca sobre el contenido impreso.

1. ¿Qué es firma electrónica?

Para Ecuador

Todo tomado de https://www.firmadigital.gob.ec/que-es-firmaec/ 

La firma electrónica es el equivalente de la firma manuscrita, con la diferencia que la primera se realiza por medios electrónicos, y la segunda proviene de nuestro “puño y letra”. Con el estampado de la firma -sea electrónica o manuscrita- queda registrada la responsabilidad que tenemos como remitentes del documento que suscribimos o firmamos, damos cuenta de nuestra autoría y nos identificamos plenamente.

La firma electrónica permite la transacción de documentos y la operación en sistemas informáticos garantizando los siguientes aspectos:

Con la firma electrónica pueden realizarse diferentes tipos de transacciones a través de internet sin necesidad de desplazarse ni hacer filas, de esta forma los trámites se agilitan y aumenta la transparencia, lo que se traduce en ahorros significativos de tiempo y dinero, reducción del impacto ambiental, se impulsa el teletrabajo.

La firma electrónica garantiza la identidad del firmante manteniendo altos niveles de seguridad, puede ser usada en múltiples sistemas y ámbitos, por citar algunos:

• Compras públicas
• Gestión documental
• Operaciones bancarias
• Pagos electrónicos
• Trámites judiciales y notariales
• Comercio electrónico
• Facturación electrónica

2. ¿Qué es FirmaEC?

Para Ecuador

Todo tomado de https://www.firmadigital.gob.ec/que-es-firmaec/ 

FirmaEC es un sistema transversal desarrollado para la Subsecretaría de Gobierno Electrónico del Ministerio de Telecomunicaciones y Sociedad de la Información (MINTEL).

FirmaEC incorpora los elementos tecnológicos para:

• Firmar documentos a través de certificados digitales.
• Verificar la información de documentos firmados electrónicamente.
• Validar certificados digitales.
• Establecer servicios web consumidos por varios sistemas gubernamentales para que los ciudadanos o servidores públicos firmen electrónicamente.

    

3. ¿Quiénes están autorizados para brindar el servicio de firma electrónica?

Entidades autorizadas por la ARCOTEL para brindar el servicio de firma electrónica:

• BANCO CENTRAL DEL ECUADOR (https://www.eci.bce.ec/firma-electronica)
• REGISTRO CIVIL (https://www.registrocivil.gob.ec/certificado-de-firma-electronica/) DIGERCIC
• CONSEJO DE LA JUDICATURA (https://www.icert.fje.gob.ec/)
• ANFAC AUTORIDAD DE CERTIFICACIÓN ECUADOR C.A. ((https://www.anf.es/autoridad-de-certificacion/))
• UANATACA ECUADOR S.A. (https://web.uanataca.com/ec/servicios/firma-electronica-acreditada)
• SECURITY DATA SEGURIDAD EN DATOS Y FIRMA DIGITAL S.A. (https://registro.securitydata.net.ec/index_pe_na.php)
• ECLIPSOFT (https://www.eclipsoft.com/) 

Es importante señalar que el Banco Central del Ecuador es la entidad encargada de otorgar los derechos mientras que las otras entidades son intermediarias o terceras vinculadas en el proceso. La lista no es fija y en ella pueden aumentar o disminuir las entidades autorizadas y/o los terceros. 

¿Qué es un tercero vinculado?

Existen empresas vinculadas o subordinadas a las anteriores, que igual pueden brindar el servicio de firma electrónica, por ejemplo Proinvestec (https://proinvestec.com.ec/) es un tercero vinculado a ANFAC AUTORIDAD DE CERTIFICACIÓN ECUADOR C.A.

4. ¿Qué tipos de archivos pueden ser firmados electrónicamente en Ecuador?

Archivos PDF (siglas en inglés de Portable Document Format, 'formato de documento portátil'); por supuesto se entiende que, al ser PDF, son archivos digitales.

5. ¿Dónde se obtiene el software para firmar electrónicamente un archivo PDF una vez adquirido el certificado?

Puede descargarlo de la página: https://www.firmadigital.gob.ec/ 

5. ¿Cómo se muestra el software en la pantalla del computador y cuáles son sus funciones?

Nota 1:

Este software FirmaEC es el único autorizado, verificado, comprobado, seguro, etc. para:

• Firmar electrónicamente un archivo PDF (se requieren certificado y contraseña)
• Verificar si un documento firmado electrónicamente es válido (no hacen falta certificado y contraseña) 
• Validar un certificado (se requieren certificado y contraseña)

Nota 2:

Otras formas, inclusive ofrecidas por páginas públicas, son inseguras y en casos hackeables

Nota 3:

La validación solo se hace con base a archivos digitales, nunca en impresiones.

6. Un ejemplo de producto final y validación a groso modo

Una de mis cartas con firma electrónica, usando el software vigente de aquel entonces, termina así:

Por la atención a la presente le doy mis gracias

El contenido del código QR es el siguiente:

FIRMADO POR: BOLIVAR ENRIQUE LOJAN FIERRO

RAZON: 

FECHA: 2021-08-29T16:49:59.166-05:00

VALIDAR CON: www.firmadigital.gob.ec

2.5.

Nota: 

Ya están disponibles versiones superiores a la 2.5.0 con la cual firmé en aquel entonces. Por contrato, de adquisición del servicio de firma electrónica, estoy obligado a tener la versión, del software, más actualizada.

Lo que se debe resaltar del código QR

El código QR cumple su labor informativa y, más, no imperativa. La página https://www.firmadigital.gob.ec, de donde se descarga la aplicación para validar firmas, es una página segura y su nombre me lo dieron anotado en un papelito (que en realidad fue el contrato firmado; más seguro imposible). Cuando requiera acceder a la página https://www.firmadigital.gob.ec debe tipear su nombre en el navegador o tenerla guardada como favorita; en todo caso debo acceder de modo correcto a la página segura https://www.firmadigital.gob.ec/ y no haciendo clics en mails, mensajes o QRs.

¿Y a grosso modo cómo se valida una firma electrónica?

• Bajar, de https://www.firmadigital.gob.ec, e instalar el software (renovar solo si hay nuevas versiones)

• Verificar la carta (clic en verificar documentos) con el software instalado

Verificado!!!

Pero no olvide esto

Debo cumplir con mis obligaciones; una de ellas es tener actualizado el aplicativo de FirmaEC

 

Nota:

En un posterior ejemplo se entregará el link para descargar un documento con firma electrónica y validarlo así mismo se harán ejercicios más avanzados.

7. ¿Entre otras cosas qué manifiesta la ley de Comercio Electrónico?

Art. 15.- Requisitos de la firma electrónica.- Para su validez, la firma electrónica reunirá los siguientes requisitos, sin perjuicio de los que puedan establecerse por acuerdo entre las partes: 

a) Ser individual y estar vinculada exclusivamente a su titular; 

b) Que permita verificar inequívocamente la autoría e identidad del signatario, mediante dispositivos técnicos de comprobación establecidos por esta Ley y sus reglamentos; 

c) Que su método de creación y verificación sea confiable, seguro e inalterable para el propósito para el cual el mensaje fue generado o comunicado. 

d) Que al momento de creación de la firma electrónica, los datos con los que se creare se hallen bajo control exclusivo del signatario; y, 

e) Que la firma sea controlada por la persona a quien pertenece.

Puede bajar la ley, actualizada al 31/08/2021, haciendo clic aquí.

8. ¿De cuántas maneras se puede obtener el certificado de firma electrónica?

a.- e-token

• Es un dispositivo similar a un pendrive (flash usb) con la información debidamente protegida (criptografiada) y donde dentro de él, se almacena la firma (no se puede extraer la firma que se coloque en su interior) por ende siempre que desee firmar algo,el mismo debe estar conectado al computador;  para firmar un documento se requiere el e-token y la clave o contraseña. Al ser el e-token elemento físico debe ser repuesto, con su respectivo costo, en caso de pérdida. El e-token se recibe cuando se firma el contrato y es individual. La firma electrónica en token es exigido, en Ecuador por ejemplo, por la Aduana (importación / exportación) o la VUE (Registros sanitarios) para interactuar con ellos.

b.- Archivo

• Elemento lógico que puede ser almacenado en computadores, pendrive, CD y hasta en la nube (DropBox, OneDrive por ejemplo), tantas copias como desee; para firmar un documento se requiere el archivo y la clave o contraseña. El archivo se recibe cuando se firma el contrato y es individual. Para facturación electrónica solo funciona la firma electrónica contratada en archivo. 

c.- Cédula

• Apenas tenga el algoritmo entregado por el Registro Civil lo publicaré.

El factor de doble autenticación es como tener doble cerrojo en la puerta de su casa para evitar que entren a robar. Aunque le sustraigan o pierda el e-token, archivo o cédula no podrán firmar documentos electrónicos si no tienen la contraseña; recuerde miles de delincuentes acechan sobre todo a los más débiles y por tanto su contraseña es el mayor tesoro que no debe ser compartido.

7. Ejemplos completos de validaciones

PRIMERO

Verificar si el documento "documento_de_prueba-signed.pdf" está correctamente firmado. 

Nota:

Para la validación o verificación es requisito tener en el computador, bandeja de mail, pendrive, etc. el archivo digital con firma electrónica; no se permiten impresiones o copias de ellas. Siempre debe ser un archivo digital.

Debe bajar el documento haciendo clic aquí

Resultado

SEGUNDO

¿El documento tiene validez en otros países ante autoridades extranjeras?

No.

La alternativa es materializar (validarlo digitalmente luego imprimirlo) en una notaría, en territorio ecuatoriano, y finalmente apostillar, en el ministerio de Relaciones Exteriores, la fe del notario. El documento apostillado tendrá validez en todos los países extranjeros que estén adscritos al convenio de apostilla de La Haya.

TERCERO

¿Puede validar ese documento firmado electrónicamente en Ecuador en una página validadora de Costa Rica a la cual puede acceder haciendo clic aquí? 

Como era de esperarse el documento de prueba firmado electrónicamente en Ecuador en una página autorizada ecuatoriana no se puede validar en una página validadora de otro país.

8. ¿Y cómo hace un ecuatoriano o extranjero para obtener el certificado ecuatoriano de firma electrónica lejos de las fronteras ecuatorianas?

Basta que se dirija o llame al consulado ecuatoriano más cerca de su domicilio y pida información; seguramente le enviarán algo parecido, a lo mostrado, para iniciar los trámites. 

También puede acceder a las páginas web, mostradas en el punto 3, de los entes autorizados. Ejemplo de planilla a llenar

9. El primer gran peligro: suplantación de identidad

¿Este documento ecuatoriano "documento_de_prueba_alarma_signed.pdf" está correctamente firmado? Debe bajar el archivo digital haciendo clic aquí.

Lo correcto ir directamente a FirmaEC para la validación sin importar el contenido del código QR

El documento a firmar no era más que un montaje con un código QR que contiene lo siguiente: 

"Se debe tener mucho cuidado, tal como se ha explicado en este blog, de acceder a páginas falsas. Siempres debe estar seguro de acceder a la página correcta ya que puede ser direccionado incorrectamente. Lo más seguro es conociendo el nombre de la página tipearla en el navegador."

¿Cuáles son sus conclusiones?*

• Este archivo es producto de un montaje. Se hizo un dibujo que luego fue guardado como archivo PDF; un trabajo elemental.
• Que la presencia del código QR es irrelevante ya que hay documentos que ni siquiera lo tiene.

* Puede dejar más conclusiones como comentarios

10. ¿Firma electrónica inválida, cómo?

¿Este documento ecuatoriano "Tus hijos no son tus hijos-signed_original_GM_P - otro nombre.pdf" está correctamente firmado?

Puede bajar el documento haciendo clic aquí.

  

Hasta el momento quizá poco importe el "cómo" sino el que todo documento que se reciba debe estar correctamente firmado y luego validado por el software oficial.

11. ¿Ya todo está dicho en firmas electrónicas? 

Yo sigo en mi trabajo investigando sobre este tema y paso a paso se debe conocer de:

• Hash (que puede acceder haciendo clic aquí)
• Cifrados (que puede acceder haciendo clic aquí)
• Relación de la firma con los anteriores (clic aquí)

12. ¿Un ejercicio interesante? 

Asumiendo que de un archivo digital PDF obtiene la impresión siguiente:

¿Qué escenarios son posibles?

13. Combinaciones de hash y cifrados 

¿Significa esto que se puede eliminar de los metadatos de un archivo firmado electrónicamente elementos que permitan identificar o validar archivos en FirmaEC? 

Así es, pero esto no significa que se puedan hacer alteraciones en el repositorio de FirmaEC

Para visualizar los metadatos de un archivo puede usar la herramienta https://www.metadata2go.com/ 

14. ¿Se ha hecho academia social al respecto?

Sí. El 13 de enero del 2022 se hizo un evento en el Colegio de Abogados de Loja.

Para descargas:

PDF, haciendo clic aquí.

PowerPoint haciendo clic aquí.

MP4 haciendo click aquí.

Para visualizaciones:

En Youtube: https://youtu.be/cgBjDde3UGw

En FaceBook: https://fb.watch/azUgt-HpCO/ 

En Twitter: https://twitter.com/bolivar_lojan/status/1482703949081853953?s=20

15 Una particular experiencia

Puede bajar el documento haciendo clic aquí

16. ¿Dónde obtener ayuda legal sobre este tema?

Abogada (Postgrado en derecho procesal) en Loja Ecuador: Fátima Alves Naranjo

fmalves7@gmail.com

Desde el exterior: 00593 994404122

Desde Ecuador:    0994404122