Actores y Herramientas
Esta es la quinta entrega de la serie explicativa sobre la Ley de Firma Electrónica Avanzada, pensada para ayudarte a entender, sin complicaciones, cómo funcionan las distintas formas de firmar un documento en México.
En esta ocasión vamos a hablar de unos actores poco conocidos pero fundamentales para que una firma electrónica avanzada funcione correctamente y tenga validez legal: los Prestadores de Servicios de Certificación, mejor conocidos como PSC.
¿Qué son los PSC?
Imagina que quieres firmar un documento digital importante —por ejemplo, un contrato de arrendamiento o un poder notarial— y deseas que tenga el mismo peso legal que si lo hubieras firmado en papel, con pluma, frente a un notario. Para eso existe la firma electrónica avanzada, pero no puede generarse sola ni de cualquier manera. Ahí entran los PSC.
Un Prestador de Servicios de Certificación es una persona física o moral (una empresa, por ejemplo) que está autorizada por el gobierno —específicamente, por la Secretaría de Economía— para emitir y gestionar los certificados digitales que hacen posible que una firma electrónica avanzada sea segura, confiable y legalmente válida.
Actualmente, solo existen doce empresas que cuentan con la condición oficial de PSC autorizadas por el gobierno federal en México. Esto garantiza que cumplen con estrictos requisitos legales y técnicos para operar.
¿Qué requisitos debe cumplir un PSC?
Para ser autorizado como PSC, una empresa debe cumplir, entre otros, con la Norma Oficial Mexicana NOM-151-SCFI-2016. Esta norma establece los lineamientos para el manejo, conservación y transmisión de mensajes de datos, incluyendo aspectos sobre cómo se deben proteger los documentos electrónicos para asegurar su integridad y autenticidad.
La NOM-151 es fundamental porque garantiza que los procesos y sistemas utilizados por los PSC cumplen con estándares de seguridad reconocidos y que los documentos firmados electrónicamente se mantendrán válidos y confiables a lo largo del tiempo.
Tareas claves:
Los Prestadores de Servicios de Certificación (PSC) deben cumplir con estrictos lineamientos para garantizar la seguridad, integridad y validez jurídica de las firmas electrónicas avanzadas. Entre sus principales responsabilidades están:
-
Verificación de identidad: Confirmar la identidad del solicitante antes de emitir un certificado digital, utilizando procesos rigurosos que pueden incluir la validación presencial o remota de documentos oficiales.
-
Emisión y gestión de certificados digitales: Generar y entregar certificados digitales que acrediten la identidad del firmante, asegurando que las claves privadas asociadas estén bajo control exclusivo del titular.
-
Conservación y custodia: Implementar sistemas que permitan conservar de forma segura los mensajes de datos y las constancias de conservación, conforme a lo establecido en la NOM-151-SCFI-2016, para garantizar la integridad y disponibilidad de la información.
-
Revocación de certificados: Administrar la revocación de certificados digitales cuando se detecte pérdida, robo, mal uso o cualquier circunstancia que comprometa la validez del certificado.
-
Proveer servicios de verificación: Mantener mecanismos públicos y accesibles, como el servicio OCSP (Online Certificate Status Protocol), que permiten verificar en tiempo real si un certificado digital está vigente o ha sido revocado.
¿Quién firma realmente los documentos?
Cuando firmas un documento usando un certificado emitido por un PSC, la firma digital la haces tú, con tu propia clave privada. El PSC no firma el documento por ti. Lo que hace el PSC es emitir el certificado que respalda tu identidad. Ese certificado se adjunta al documento firmado, y permite verificar que:
-
El documento no ha sido alterado.
-
Tú eres la persona que firmó.
-
El certificado que usaste fue emitido por un PSC confiable.
Este mismo principio aplica cuando usas la e.firma del SAT: tú eres quien firma, y el certificado (en ese caso, emitido por el SAT) es lo que da validez a la firma. En resumen: el firmante siempre eres tú, y la función del PSC o del SAT es emitir el certificado que permite verificar tu firma.
¿Qué pasa con otras herramientas?
Es importante aclarar que ser un PSC registrado ante la Secretaría de Economía es una forma oficial de operar, pero no es la única manera legal de firmar electrónicamente. Existen empresas que, sin estar registradas como PSC, ofrecen plataformas de firmado electrónico.
Nuestra empresa, Kitsunedata Integral Solution, ha desarrollado una herramienta de firmado electrónico que utiliza la e.firma del SAT para firmar documentos digitalmente. Esta firma cumple con los requisitos legales y técnicos establecidos por la Ley de Firma Electrónica Avanzada, ya que usa la e.firma oficial del SAT como método de autenticación.
Ahora bien, cuando la firma se realiza con la e.firma del SAT y se cumplen los requerimientos técnicos establecidos por la ley, esta firma está amparada legalmente como válida y tiene pleno respaldo jurídico. En otros casos, para trámites ante autoridades públicas o procedimientos judiciales, algunas instituciones pueden otorgar mayor peso o presunción de validez a las firmas electrónicas respaldadas por un PSC autorizado o por el SAT como entidad certificadora. Esto no significa que las demás firmas no sean legales, sino que su valor probatorio podría ser analizado con mayor detalle si se llegara a disputar su autenticidad.
¿Cómo se verifica si un certificado está revocado?
Una de las funciones más importantes de los PSC (y también del SAT, en el caso de la e.firma) es permitir la verificación en tiempo real del estatus de los certificados digitales. Para esto se utiliza un sistema llamado OCSP (Online Certificate Status Protocol), que permite consultar si un certificado sigue vigente o ya fue revocado.
Este servicio es público y abierto, lo cual significa que cualquier persona o entidad puede verificar la validez de un certificado sin necesidad de permisos especiales. Esto aporta transparencia y fortalece la confianza en los documentos firmados electrónicamente.
¿Se puede revocar?
Sí. Si pierdes tu USB, te hackean la computadora o simplemente sientes que tu firma digital ya no está segura, puedes revocar tu e.firma. Esto se puede hacer en línea o presencialmente, según tu caso.
Revocar la firma significa que ya no se podrá usar, ni siquiera por ti. Es como dar de baja una tarjeta de banco que ya no consideras segura.
¿Y qué pasa con el SAT?
El SAT (Servicio de Administración Tributaria) actúa como Entidad Certificadora Raíz del Estado mexicano. Es decir, está en la cúspide del sistema de certificación digital y emite la famosa e.firma (antes FIEL), que usamos para trámites fiscales y otros actos oficiales.
Aunque el SAT proporciona medios para firmar electrónicamente y verificar certificados, no está obligado por ley a publicar el código fuente ni los algoritmos que utiliza para estas funciones. Esto significa que, si bien se puede usar la e.firma para firmar documentos digitalmente, desarrollar herramientas independientes que interactúen con ella puede ser difícil, ya que parte del conocimiento técnico es cerrado.
Un ejemplo sencillo
Supongamos que María quiere firmar un contrato de prestación de servicios con una empresa. Ambos acuerdan hacerlo mediante firma electrónica avanzada. María puede usar su e.firma emitida por el SAT, una herramienta privada como la de nuestra empresa, KitsuneSigner, o acudir a un PSC autorizado. Si se cumplen los requisitos de la ley, cualquiera de estas opciones puede darle validez jurídica al documento.
Concluyendo
Los Prestadores de Servicios de Certificación son figuras clave que le dan respaldo legal y técnico a las firmas electrónicas avanzadas, pero no son los únicos capaces de ofrecer medios válidos para firmar digitalmente. Existen herramientas privadas que también pueden cumplir con la ley, siempre que respeten los principios de identificación del firmante, integridad del documento y control exclusivo sobre la clave usada para firmar.
El valor legal de una firma electrónica depende más de cómo se firma que de quién provee la herramienta, aunque en ciertos contextos —como ante el gobierno o en tribunales— puede haber diferencias prácticas importantes en la carga de la prueba.
Si tienes preguntas o deseas profundizar en el tema, no dudes en dejar tus comentarios en nuestra página oficial de LinkedIn: KitsuneData Integral Solutions.
".. La firma electrónica avanzada no es solo una herramienta tecnológica, sino una extensión jurídica de nuestra identidad en el mundo digital.."