Por Fdo. Ángel de Inés, Director de Desarrollo de Negocio Argentina, Paraguay y Uruguay REALSEC.

El objetivo de este este artículo es tratar de identificar cual es el soporte o dispositivo físico más adecuado, confiable y seguro para realizar el proceso de Firma digital. El que tiene que ser capaz de almacenar y salvaguardar las claves privadas de los certificados utilizados en el proceso de la firma, cubriendo además la necesidad de poder auditar, en todo momento, la usabilidad de un certificado.

Por todos es sabido que los certificados permiten identificarse frente a terceros; pero además es importante saber que podemos dividirlos en dos grupos: los de persona física o natural y los de persona jurídica, también denominados certificados de empresa.



Hasta aquí, todo claro; sin embargo el asunto se complica cuando empezamos a hablar de los diferentes tipos de certificados, atendiendo al hecho que se certifique.

• El más básico y fundamental es, sin duda, el certificado personal de identidad, que se encuentra ubicado en el chip de nuestro documento o tarjeta nacional de identidad.
• Existen certificados que permiten identificarnos como titulares o profesionales colegiados; es decir, sirven para identificar a colectivos tales como son médicos, abogados, etc. Este tipo de certificados nos vincula con un colectivo profesional específico.
• Los empleados públicos, pueden, a su vez, identificarse como personas al servicio de las administraciones públicas utilizando también certificados que los relacionan con la entidad donde realizan su rol o función. Esta misma tipología de certificados que esto también puede aplicarse a las empresas privadas.
• También existen Certificados que identifican a su titular como representante legal o apoderado de una organización, un departamento, una responsabilidad funcional dentro de la entidad, etc.

Tanto en el ámbito empresarial como en el ámbito público se utilizan, en función del propósito, diferentes tipos de certificados, citemos algunos ejemplos:

• Corporativo de persona jurídica, según poderes y variantes.
• De sello de órgano en AAPP.
• De sello empresarial.
• De factura electrónica.
• De autenticación de sede electrónica para las AAPP.
• De servicio de sellado de tiempo.
• De servidor seguro (SSL)
• De firma de código ejecutable, para desarrolladores de software.
• Etc.

Actualmente, los certificados y sus claves privadas se están almacenando en cuatro tipos de dispositivos diferentes:

1. Token-USB: es un dispositivo electrónico, portátil, personal y seguro que almacena el certificado para la autenticación de su propietario.
2. Smart-card: tarjeta inteligente que incluye un procesador criptográfico seguro. Los ejemplos más conocidos son nuestra Tarjeta o Documento Nacional de Identidad y nuestra Tarjeta de Crédito (si ésta es EMV, ya que la de banda magnética carece de chip).
3. Almacenado en el disco del PC. Es un tipo de almacenamiento que conlleva múltiples riesgos. No resulta difícil para un experto acceder al PC, hacerse con las claves privadas de un certificado y usarlas para suplantar la identidad del titular.
4. HSM (Hardware Security Module): hardware que almacena y protege de una manera totalmente segura las claves criptográficas. Este dispositivo funciona y está normalmente bajo la custodia de una entidad, administración, colegio profesional…, es decir, dispone de una ubicación y control centralizado.

De acuerdo con lo anteriormente expuesto, es evidente que la opción de almacenar los certificados en el disco de nuestro ordenador debería ser descartada, ya que no contribuye a evitar ser suplantados.

Asimismo y en base a requerimientos legales, siempre deberíamos llevar con nosotros nuestro certificado de Identidad Personal y esto es así, con el objeto de poder identificarnos ante cualquier situación. Tal y como sucede con nuestra tarjeta bancaria que nos autentica ante la entidad financiera que la emitió.

En este caso, ambos certificados se complementan. Cuando pagamos en un establecimiento nos piden las dos tarjetas... la primera nos identifica y la segunda nos autentica ante el banco.

Por lo que respecta a los Tokens-USB nadie puede cuestionar que se trata de un dispositivo portátil y seguro, aunque, precisamente, su característica de portabilidad, supone en sí una debilidad de seguridad frente otros dispositivos, como el HSM (Hardware Security Module)

Citemos algunas debilidades de los Tokens:

• Olvido del dispositivo, lo que implica que no podamos ejercer la función o el proceso para el cual nos es necesario.
• Pérdida o sustracción del dispositivo. El usuario ha de solicitar la generación de un nuevo certificado y un nuevo Token. El tiempo requerido para realizar este trámite constituye un problema en caso de urgencia, lo que conlleva falta de productividad, además del coste de un nuevo dispositivo y otros gastos asociados a la propia gestión y administración de los Tokens por parte de la entidad.

Posibles situaciones como las citadas en los dos puntos anteriores, generan malestar en los usuarios y condicionan su trabajo en caso de olvido o pérdida del dispositivo. Preguntemos a médicos, abogados, o en casos como... no puedo pagar la nómina porque he olvidado el Token…

Adicionalmente, una limitación que tienen los Tokens es que no son una herramienta idónea para la firma masiva de documentos. Pensemos, por ejemplo, en procesos como: la firma masiva de facturas, recibos de salario, extractos de cuenta, etc.

En definitiva, un HSM Hardware Security Module (que como símil es un gran Token compartido) logra, con su integración en una Plataforma de Firma Digital adecuada, solventar los riesgos e inconvenientes comentados, aportando a su vez las siguientes ventajas:

• La Gestión centralizada y segura de claves y certificados.
• El Control de Caducidades.
• La Generación automática de solicitudes de certificación.
• La Importación y exportación segura de certificados.
• La Firma y/o verificación de firma de cualquier documento.
• La Integración con otros procesos o sistemas.
• La Auditoria y seguimiento de quién, cuándo y qué se firmó.

En resumen, solo una solución como CryptoSign Server, que integra firma, hardware y software, facilita a los usuarios el acceso seguro a las claves privadas de los certificados, sin utilizar dispositivos externos de almacenamiento y proporcionando un alto rendimiento. Todo lo que contribuirá a que podamos realizar, de forma más eficiente y segura, todos nuestros procesos de firma digital de documentos y facturas electrónicas.

Asimismo, CryptoSign Server controla las fechas de caducidad y genera automáticamente claves y solicitudes de certificación.

Cabe destacar, la opción de firma y verificación de la firma de cualquier documento, con elección de formato y certificado a emplear (texto, gráfico, office, voz, etc., y PDF, XAdES o PKCS#7).

Además, dispone de un cliente compatible con cualquier lenguaje de programación y sistema operativo, lo que permite ser invocado tanto  desde las aplicaciones web como de cualquier aplicación de gestión.

Su Administración vía Web, sencilla y amigable, autoriza la creación y el almacenamiento seguro de la clave privada en tiempo real; a la vez que, facilita  la importación segura de los certificados, firmados por cualquier Entidad de Certificación acreditada.
 
Para más información sobre nuestro servidor de firma digital, haga click aquí.