¿Cómo funciona una firma electrónica?
Mecanismo criptográfico, autenticación, marca de tiempo, registro de auditoría: el funcionamiento de una firma electrónica explicado paso a paso.
Equipo Certyneo
Redactor — Certyneo · Acerca de Certyneo
El principio general
Una firma electrónica no es una imagen. Es un proceso criptográfico que vincula cuatro elementos indisociables: el documento, la identidad del firmante, el momento de la firma y una prueba técnica de que nada ha sido modificado después.
Este proceso se basa en dos pilares: la autenticación del firmante y la integridad del documento.
Paso 1: autenticar al firmante
La autenticación consiste en establecer un vínculo entre la persona que apone su firma y una identidad verificable. Existen varias técnicas, que pueden combinarse:
- Dirección de correo electrónico de confianza: se envía un enlace único. Solo el titular del correo puede hacer clic y firmar.
- Código OTP (One-Time Password): se envía un código de uso único por SMS. El firmante lo ingresa para demostrar que posee el número de teléfono asociado.
- Certificado personal: para la firma cualificada, un certificado emitido por un proveedor calificado comprueba la identidad del firmante.
El nivel de exigencia varía según el nivel de firma buscado — ver las diferencias entre niveles.
Paso 2: calcular la huella criptográfica
Antes de firmar, la plataforma calcula una huella (hash) del documento. Es una secuencia de caracteres única que representa el contenido del archivo. Cualquier modificación, incluso de un solo carácter, produce una huella completamente diferente.
La huella es como una firma digital del archivo: es pequeña (algunos decenas de bytes) pero garantiza la integridad. Si alguien modifica el documento después de la firma, la huella no coincide — la firma se invalida.
Paso 3: asociar identidad y huella
La plataforma cifra la huella con una clave criptográfica vinculada a la identidad del firmante (vía PKI para QES, o vía plataforma para SES/AES). El resultado es el token de firma: un objeto digital que contiene:
- la huella del documento
- el identificador del firmante
- la marca de tiempo precisa
- la firma criptográfica en sí
Este token se integra en el PDF final según el formato PAdES (PDF Advanced Electronic Signatures), un estándar europeo. En concreto, cuando abre un PDF firmado en Adobe Acrobat Reader, el lector verifica automáticamente el token y muestra "Firma válida" si todo coincide.
Paso 4: marcar con fecha y hora
La marca de tiempo vincula la firma a un instante preciso y verificable. Una marca de tiempo cualificada emitida por un proveedor de confianza proporciona una prueba legal de que el documento existía en esa fecha — argumento decisivo en caso de disputa sobre la fecha de compromiso.
Ver marca de tiempo electrónica para comprender el rol y los niveles de marca de tiempo.
Paso 5: registrar en la pista de auditoría
En cada etapa del ciclo de firma, la plataforma registra un evento con marca de tiempo:
- envío de la envoltura
- apertura por el firmante (con IP y user-agent)
- ingreso del OTP
- firma efectiva
- rechazo eventual
- expiración
El conjunto constituye la pista de auditoría (audit trail). Es la prueba operativa del proceso. Se integra en el PDF final y se conserva 10 años. Ver prueba de firma electrónica.
Lo que sucede en la práctica del lado del firmante
Desde el punto de vista del firmante, la experiencia es minimalista:
- Recibe un correo electrónico con un enlace.
- Hace clic y abre el documento en su navegador.
- Lee y luego hace clic en "Firmar".
- Para AES: ingresa un código SMS recibido en su teléfono.
- Listo. Recibe una copia del PDF firmado.
Sin cuenta que crear, sin aplicación que instalar, sin certificado que generar (excepto para QES). Todo se realiza en 1 a 3 minutos.
Lo que sucede del lado del emisor
El emisor pilota el proceso desde su panel de control:
- depósito del documento (PDF, conversión automática si Word)
- adición de destinatarios y ubicación de campos de firma
- elección del nivel de firma y del orden (paralelo o secuencial)
- configuración de recordatorios automáticos y fecha de expiración
- envío
En tiempo real, ve cada envoltura pasar del estado "enviada" a "abierta" a "firmada". Los webhooks o notificaciones push pueden reportar estos eventos en un CRM o RRHH.
Por qué la firma electrónica es difícil de falsificar
- Huella criptográfica: cualquier modificación invalida la firma
- Autenticación fuerte: sin acceso al correo electrónico Y al teléfono (para AES), es imposible hacerse pasar por el firmante
- Pista de auditoría con marca de tiempo: cada etapa se registra con IP y user-agent
- Claves criptográficas: la clave privada del firmante (QES) nunca abandona su dispositivo hardware
- Archivado 10 años: la prueba sigue siendo movilizable mucho tiempo después de la firma
Cómo Certyneo lo ayuda
En Certyneo, todo el pipeline criptográfico se ejecuta en backend en servidores europeos (Alemania, IONOS): depósito del PDF, cálculo de hash SHA-256, integración del token PAdES, marca de tiempo, almacenamiento de la pista de auditoría en una base de datos PostgreSQL cifrada. Usted se beneficia de un proceso conforme a eIDAS sin tener que comprender el detalle técnico.
Descubra la solución de firma electrónica Certyneo
Preguntas frecuentes
¿Puedo verificar una firma sin la plataforma que la emitió?
Sí. Un PDF firmado en formato PAdES es verificable por cualquier lector PDF compatible (Adobe Reader, pdfsig, etc.). Incluso si la plataforma emisora desaparece, la firma sigue siendo verificable.
¿Qué sucede si modifico el PDF después de firmar?
La firma se vuelve inválida. El lector PDF muestra una advertencia "El documento ha sido modificado desde la firma" y la huella ya no coincide.
¿Cuál es la vida útil de una firma electrónica?
La firma sigue siendo válida mientras los algoritmos criptográficos utilizados lo sean. Para garantizar una validez a largo plazo, se utilizan formatos PAdES-LTA (Long Term Archive) que integran marcas de tiempo cualificadas regeneradas periódicamente.
¿Puedo firmar varios documentos de una sola vez?
Sí. Una envoltura Certyneo puede contener varios documentos que se firman todos en un solo clic. Cada documento mantiene su propia huella pero la pista de auditoría es común.
¿La huella revela el contenido del documento?
No. La huella es un sentido único: puede calcular la huella a partir del documento, pero no puede recuperar el documento a partir de la huella. Esta es una de las propiedades fundamentales de las funciones de hachaje criptográfico.
Conclusión
Una firma electrónica es un proceso criptográfico que vincula de manera verificable a un firmante, un documento, una fecha y un consentimiento. El firmante no tiene nada que entender de todo esto — para él, es un clic y un código SMS. Para usted, es una prueba sólida, archivada, movilizable.
Pruebe Certyneo para enviar, firmar y realizar un seguimiento de sus documentos en línea de manera simple, rápida y segura.
Pruebe Certyneo gratis
Envíe su primer sobre de firma en menos de 5 minutos. 5 sobres gratuitos por mes, sin tarjeta bancaria.
Profundizar en el tema
Artículos de referencia sobre este tema.
Profundizar en el tema
Nuestras guías completas para dominar la firma electrónica.
Artículos recomendados
Amplíe sus conocimientos con estos artículos relacionados.
Firma electrónica en el sector público: guía 2026
Desde 2020, la firma electrónica es obligatoria en las licitaciones públicas por encima de ciertos umbrales. Descubre las normas, los niveles requeridos y cómo poner tu administración en conformidad.
Firma electrónica para colectividades territoriales en Argentina
Las colectividades territoriales aceleran su desmaterialización. Descubrí cómo la firma electrónica asegura tus contratos, reduce plazos y respeta el marco legal europeo.
Firma electrónica para despachos de abogados en 2026
La firma digital transforma el ejercicio del derecho en 2026. Descubra las obligaciones legales, los niveles eIDAS requeridos y las buenas prácticas para abogados.