Autenticación del firmante: métodos y desafíos

Por qué la autenticación es crítica

La autenticación del firmante es el eslabón más débil de la cadena de prueba. Sin ella, es imposible probar quién firmó realmente. Una plataforma de firma moderna debe ofrecer varios mecanismos escalonados.

Los métodos disponibles

Email de confianza

El firmante recibe un enlace único en su dirección de correo electrónico. Solo el titular de la casilla puede hacer clic. Simple y eficaz para la FES.

Riesgo residual: robo de cuenta de correo. Aceptable para documentos de bajo riesgo.

OTP por SMS

Código de uso único enviado al número de teléfono. Combinado con correo = FEA.

Riesgo residual: intercambio de SIM (raro pero conocido para objetivos de alto valor).

OTP por aplicación

Código generado por una app (Google Authenticator, Authy, Twilio Authy). Más seguro que SMS para riesgos elevados.

Biometría

Huella digital, reconocimiento facial. Utilizado en dispositivos móviles para fluidificar la experiencia. No se almacena en el servidor (cumplimiento RGPD).

Certificado personal

Certificado criptográfico emitido por un PCTC, almacenado en un dispositivo (YubiKey, tarjeta inteligente). Obligatorio para la FEC.

Video KYC

Verificación de identidad por videoconferencia o grabación. Utilizado en sectores regulados (banca, seguros).

Identidad digital nacional

FranceConnect+, itsme (Bélgica), SPID (Italia). Reconocida nivel "sustancial" por eIDAS.

Niveles de seguridad (LoA)

eIDAS define tres niveles:

Nivel | Exigencia | Ejemplo

Bajo | Correo o equivalente | FES

Sustancial | Doble factor | FEA (correo + OTP)

Elevado | Verificación de identidad estricta | FEC, KYC video

Alineación con el riesgo

• Documento interno, nota de pedido: LoA bajo (FES) es suficiente

• Contrato de trabajo, alquiler, NDA: LoA sustancial (FEA)

• Acta notarial, contrato público: LoA elevado (FEC)

Errores frecuentes

• Usar FES para todo (subdimensionado)

• Apilar autenticaciones innecesariamente (fricción)

• No registrar los métodos utilizados (prueba debilitada)

• Recopilar demasiados datos biométricos (RGPD)

Protección contra ataques

• Phishing: entrenar a los firmantes a verificar el remitente

• Ataque de intermediario: TLS 1.3 obligatorio

• Intercambio de SIM: OTP por app para riesgos muy elevados

• Video KYC deepfake: controles de vivacidad + validación cruzada

Caso concreto: neobanco

Flujo de apertura de cuenta:

• Correo de confianza

• OTP SMS

• Carga de documento de identidad

• Prueba de vivacidad (selfie)

• Verificación en listas de sanciones

• Firma FEA

LoA: sustancial. Cumple normativa ACPR. Proceso en 10 minutos.

Cómo Certyneo te ayuda

Certyneo ofrece todos los mecanismos comunes: correo, OTP SMS (vía Twilio Verify), integración de certificados calificados para FEC, video KYC opcional, FranceConnect+ en integración. Cada método se registra en la pista de auditoría.

Descubre la solución de firma electrónica Certyneo

FAQ

¿Es SMS lo suficientemente seguro?

Para FEA sí. Para riesgos muy elevados, preferir OTP por app o biometría.

¿Se almacena la biometría?

En el servidor no (cumplimiento RGPD). Las plantillas permanecen en el dispositivo.

¿Se pueden combinar varios métodos?

Sí, para reforzar la prueba.

¿Es FranceConnect+ reconocido?

Sí, nivel sustancial. Puede desencadenar FEA y FEC.

¿Qué ocurre si el OTP caduca?

El firmante puede solicitar uno nuevo. Límites anti-fuerza bruta en lugar.

Conclusión

Una buena autenticación es escalonada, registrada y adaptada al riesgo. Sobre-autenticar crea fricción; sub-autenticar debilita la prueba. El equilibrio se encuentra documento por documento.

Prueba Certyneo para enviar, firmar y hacer seguimiento de tus documentos en línea de forma simple, rápida y segura.