PKI: la infraestructura de clave pública explicada

Introducción: por qué la PKI es el núcleo de la confianza digital

En un mundo donde millones de contratos se firman cada día en línea, surge una pregunta fundamental: ¿cómo estar seguro de que la persona que firma es realmente quien dice ser, y que el documento no ha sido alterado después de la firma? La respuesta se resume en tres letras: PKI (Public Key Infrastructure, o infraestructura de clave pública). Este dispositivo criptográfico constituye el fundamento técnico de toda firma electrónica calificada conforme a la regulación eIDAS. En este artículo, explicamos en detalle el funcionamiento de la PKI, sus componentes esenciales — incluidos los certificados X.509 — y la manera en que garantiza la autenticidad, integridad y no repudio de tus actos jurídicos digitales.

---

¿Qué es la PKI? Definición y principios fundamentales

La PKI (Public Key Infrastructure) designa el conjunto de políticas, procedimientos, equipos, software y personas necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales. Se basa en la criptografía asimétrica, es decir, el uso de un par de claves matemáticamente vinculadas: una clave privada (secreta) y una clave pública (compartible libremente).

El principio del par de claves asimétricas

Cuando un firmante apone su firma electrónica en un documento, utiliza su clave privada para generar una huella criptográfica única del archivo (un hash). Esta huella, cifrada con la clave privada, constituye la firma digital. Cualquier tercero puede luego verificar la autenticidad de esta firma usando la clave pública correspondiente del firmante. Si la verificación es exitosa, se establecen dos garantías:

• La autenticidad: solo el poseedor de la clave privada pudo producir esta firma.
• La integridad: el documento no ha sido modificado desde la firma.

El algoritmo RSA (Rivest-Shamir-Adleman) sigue siendo el más difundido, con claves de 2048 o 4096 bits. Los algoritmos de curvas elípticas (ECDSA) ganan terreno por su desempeño a nivel de seguridad equivalente.

El problema de confianza y la respuesta de la PKI

La criptografía asimétrica resuelve el problema de la integridad pero plantea inmediatamente otra cuestión: ¿cómo saber que la clave pública pertenece realmente a la persona que pretende representar? Es precisamente donde interviene la PKI. Introduce un tercero confiable — la Autoridad de Certificación (AC) — que verifica la identidad del poseedor de la clave pública y emite un certificado digital garantizando esta asociación.

---

Los componentes esenciales de una PKI

Una infraestructura de clave pública operativa se articula alrededor de varios componentes interdependientes. Comprender su función respectiva es indispensable para evaluar la robustez de una solución de firma electrónica.

La Autoridad de Certificación (AC o CA)

La Autoridad de Certificación es la entidad central de la PKI. Firma digitalmente los certificados que emite, vinculando así una identidad verificada a una clave pública. En Europa, las AC calificadas figuran en las listas de confianza nacionales (Trusted Lists), publicadas conforme al artículo 22 de la regulación eIDAS. En Francia, es la ANSSI quien mantiene esta lista. Prestadores como CertEurope, Certinomis o Certigna figuran en ella.

La jerarquía de certificación forma una cadena de confianza: una AC raíz (Root CA) firma AC intermedias, las cuales firman los certificados de usuarios finales. Esta arquitectura permite limitar la exposición de la clave raíz (almacenada fuera de línea en un HSM) y gestionar las revocaciones de manera granular.

La Autoridad de Registro (AE o RA)

La Autoridad de Registro es responsable de verificar la identidad de los solicitantes antes de que la AC emita un certificado. Esta verificación puede ser:

• Presencial (requerida para certificados calificados según eIDAS).
• A distancia mediante una videoidenticación conforme a las normas ETSI EN 319 401.
• Vía un proceso eKYC (Verificación de Cliente electrónica) para niveles de confianza intermedios.

Los certificados digitales X.509

El formato X.509 es el estándar internacional que define la estructura de los certificados digitales en una PKI. Definido por la UIT-T y adoptado por la IETF vía la RFC 5280, un certificado X.509 contiene, en particular:

• La identidad del titular (nombre, organización, correo electrónico).
• La clave pública del titular.
• La identidad y firma de la AC emisora.
• El período de validez del certificado.
• El número de serie único.
• Las extensiones: usos autorizados (firma de código, autenticación, firma de documento), puntos de distribución CRL, URL OCSP.

En el contexto de la firma electrónica calificada eIDAS, los certificados X.509 calificados deben ser emitidos en un dispositivo de creación de firma calificado (QSCD), típicamente una tarjeta inteligente o un HSM (Hardware Security Module).

El mecanismo de revocación: CRL y OCSP

Un certificado puede volverse inválido antes de su expiración: pérdida de la clave privada, compromiso, cambio de estado del titular. Dos mecanismos permiten verificar la validez en tiempo real:

• CRL (Certificate Revocation List): lista publicada periódicamente por la AC que enumera los certificados revocados.
• OCSP (Online Certificate Status Protocol, RFC 6960): protocolo que permite una verificación instantánea del estado de un certificado. Preferido en entornos de alta frecuencia de transacciones.

Las soluciones de firma electrónica serias, como las descritas en nuestro comparativo de soluciones de firma electrónica, integran sistemáticamente estas verificaciones en su flujo de firma.

---

Cómo la PKI asegura concretamente la firma electrónica

Comprender el recorrido técnico de una firma electrónica apoyada en una PKI permite medir el nivel de garantía ofrecido.

El proceso de firma paso a paso

1. Hashing del documento: un algoritmo de hash (SHA-256 o SHA-3 según las recomendaciones ANSSI 2026) produce una huella digital única del documento.
2. Cifrado de la huella: el firmante cifra esta huella con su clave privada (almacenada en su QSCD). Esta operación nunca sale del dispositivo seguro.
3. Creación del paquete de firma: la firma cifrada se asocia al documento, acompañada del certificado X.509 del firmante y de una marca de tiempo calificada.
4. Verificación por parte del destinatario: el receptor (o su solución de software) descifra la huella con la clave pública del firmante, recalcula el hash del documento recibido y compara. Si las dos huellas son idénticas, la firma es válida.

Los tres niveles de firma eIDAS y su relación con la PKI

La regulación eIDAS distingue tres niveles de firma electrónica, cada uno implicando un recurso más o menos profundo a la PKI:

• Firma electrónica simple (SES): no necesariamente apoyada en una PKI. Valor probatorio limitado.
• Firma electrónica avanzada (AdES): se basa obligatoriamente en un par de claves y un certificado vinculado al firmante. Formatos técnicos normalizados por la ETSI: XAdES, PAdES, CAdES.
• Firma electrónica calificada (QES): nivel más elevado, equivalente legal de la firma manuscrita en toda la UE. Requiere un certificado calificado emitido por una AC de confianza inscrita en la Trusted List y un QSCD. Es el despliegue completo de la PKI calificada.

Para las empresas que desean desplegar la firma calificada a gran escala, nuestra guía sobre la firma electrónica en empresas detalla los pasos de implementación operativa.

La marca de tiempo calificada: la dimensión temporal de la PKI

La PKI no se limita a la identidad: también garantiza la dimensión temporal de los actos mediante la marca de tiempo calificada (RFC 3161). Un servicio de marcado de tiempo de confianza (TSA) emite un token criptográfico certificando que un documento existía en su forma actual en un instante preciso. Esto es crucial para la preservación a largo plazo de las pruebas y el cumplimiento de las obligaciones legales de conservación documental (art. L.110-4 Código de Comercio: 5 años para actos comerciales; art. 2224 Código Civil: 5 años para obligaciones contractuales de derecho común).

---

PKI y confianza a largo plazo: el desafío de la conservación de pruebas

Una firma válida hoy puede volverse inverificable en 10 años si los algoritmos criptográficos utilizados se han vuelto obsoletos o si los certificados han expirado. La PKI aborda este desafío mediante formatos de firma con valor probatorio a largo plazo.

Los formatos AdES de larga duración

La ETSI ha definido perfiles de firma extendidos — XAdES-LTA, PAdES-LTA, CAdES-LTA — que encapsulan en el archivo firmado todas las pruebas necesarias para la verificación futura: cadenas de certificados completas, respuestas OCSP archivadas, marcas de tiempo múltiples. Estos formatos son conformes a la norma ETSI EN 319 132 (XAdES) y ETSI EN 319 122 (CAdES).

La migración criptográfica frente a la computación cuántica

El surgimiento de la computación cuántica representa una amenaza a mediano plazo para los algoritmos RSA y ECDSA actuales. El NIST estadounidense finalizó en 2024 sus primeros estándares de criptografía post-cuántica (CRYSTALS-Dilithium para firmas). La ANSSI y la ENISA trabajan en hojas de ruta de migración que deberían concretarse en las revisiones de la norma eIDAS a horizonte 2028-2030. Las empresas que se apoyan en una PKI bien gestionada estarán mejor posicionadas para esta transición, ya que la actualización de las autoridades de certificación es más sencilla que la remodelación de sistemas criptográficos ad hoc.

Para quienes evalúan su solución actual, el calculador ROI firma electrónica de Certyneo permite objetivar los beneficios vinculados a una infraestructura PKI industrializada.

Marco legal aplicable a la PKI y a la firma electrónica

La infraestructura de clave pública no es solo un dispositivo técnico: se inscribe en un marco legal europeo y nacional denso, cuyo dominio es indispensable para toda organización que desee apoyarse en la firma electrónica en sus actos jurídicos.

La regulación eIDAS nº910/2014 y su evolución

Adoptada el 23 de julio de 2014 y aplicable desde el 1 de julio de 2016, la regulación (UE) nº910/2014 (eIDAS) constituye el texto fundador de la confianza digital en Europa. Define las exigencias aplicables a los prestadores de servicios de confianza calificados (PSCQ), los certificados calificados y los dispositivos QSCD. Su artículo 26 fija las condiciones de la firma avanzada; su artículo 28 define los certificados calificados para firma electrónica; su anexo I detalla las exigencias de estos certificados — derivadas directamente del formato X.509.

La regulación eIDAS 2.0 (regulación UE nº1183/2024, publicada en el DOUE el 30 de abril de 2024) refuerza este marco imponiendo notablemente a los Estados miembros reconocer la Cartera de identidad digital europea (EUDIW) y extendiendo las obligaciones de reconocimiento a los prestadores de servicios privados en sectores determinados.

El Código Civil francés: valor probatorio de la firma electrónica

En derecho francés, los artículos 1366 y 1367 del Código Civil (derivados de la ordenanza nº2016-131 de 10 de febrero de 2016) confieren a la firma electrónica el mismo valor que la firma manuscrita, bajo la condición de que satisfaga las exigencias de identificación del firmante e integridad del documento. La presunción de fiabilidad se aplica cuando la firma se crea conforme a un procedimiento calificado en el sentido de eIDAS — es decir, apoyado en una PKI calificada.

El artículo 1368 prevé que las modalidades de establecimiento de esta fiabilidad se fijen por decreto en Consejo de Estado, a saber el decreto nº2017-1416 de 28 de septiembre de 2017 relativo a la firma electrónica.

Normas ETSI aplicables a la PKI

• ETSI EN 319 401: exigencias generales para los prestadores de servicios de confianza.
• ETSI EN 319 411-1 y -2: exigencias para las AC que emiten certificados calificados.
• ETSI EN 319 132: especificaciones XAdES para firmas avanzadas XML.
• ETSI EN 319 122: especificaciones CAdES.
• ETSI EN 319 162: servicios de preservación y marca de tiempo.

RGPD y datos personales en la PKI

Los certificados X.509 contienen datos de carácter personal (nombre, apellido, correo electrónico, en ocasiones número de registro nacional). Su tratamiento está sujeto a la regulación (UE) nº2016/679 (RGPD). Las AC deben, notablemente, definir una duración de conservación conforme, informar a los titulares y garantizar el ejercicio de sus derechos. La revocación de un certificado a solicitud del titular constituye una modalidad práctica del ejercicio del derecho al olvido (dentro de los límites de la obligación de conservación de pruebas).

Responsabilidad y riesgos jurídicos

Una PKI mal gestionada expone a la empresa a riesgos serios: impugnación del valor probatorio de las firmas en caso de certificados expirados o revocados, imposibilidad de verificar una firma a largo plazo en ausencia de formatos LTA, y potencial responsabilidad civil en caso de compromiso de claves privadas. El artículo 13 de eIDAS precisa que la responsabilidad de los PSCQ calificados se establece, salvo prueba contraria, en caso de incumplimiento de sus obligaciones.

Escenarios de uso: la PKI en acción en las empresas

Escenario 1 — Un despacho de abogados de negocios de 25 colaboradores

Un despacho especializado en fusiones y adquisiciones gestiona en promedio 150 operaciones estructuradas por año, cada una requiriendo la firma de varias decenas de documentos (protocolos, pactos de socios, garantías de activos y pasivos). Anteriormente, los plazos de recopilación de firmas físicas alargaban los cierres de 5 a 8 días hábiles en promedio.

Al desplegar una solución de firma calificada apoyada en una PKI calificada, el despacho asigna a cada socio y colaborador autorizado un certificado X.509 calificado en QSCD. Cada firma se verifica automáticamente (OCSP), se marca con hora y se archiva en formato PAdES-LTA. Resultado: el plazo de cierre cae a menos de 24 horas para la fase de firma, y el valor probatorio máximo se asegura sin trámite adicional. Los despachos jurídicos de este tamaño reportan en promedio una reducción del 70% del tiempo administrativo relacionado con firmas, según los puntos de referencia sectoriales (Federación Nacional de Abogados de Negocios, 2025).

Escenario 2 — Una PYME industrial que gestiona 300 contratos con proveedores al año

Una empresa manufacturera de tamaño intermedio (aproximadamente 250 empleados) celebra contratos marco, enmiendas y órdenes de compra vinculantes con unos cien proveedores europeos. La dispersión geográfica y las barreras lingüísticas hacían la gestión documental particularmente pesada.

Al integrar un flujo de trabajo de firma electrónica avanzada (AdES) vía una API conectada a su ERP, la PKI gestiona automáticamente la verificación de los certificados de los firmantes del lado del proveedor (mediante las Trusted Lists eIDAS de cada Estado miembro), la marca de tiempo y la constitución de expedientes de pruebas. El servicio jurídico constata una reducción del 60% de los recordatorios para recopilación de firmas y una disminución de los litigios contractuales relacionados con desacuerdos sobre la versión firmada del documento. El costo por firma pasa de 12 € (impresión, envío, archivo físico) a menos de 1,50 € en flujo digital, conforme a los rangos publicados por Markess by Exaegis en su panorama 2025 de gestión documental.

Escenario 3 — Un agrupamiento hospitalario público de aproximadamente 1.200 camas

En el sector de la salud pública, los actos administrativos y los contratos públicos deben responder a las exigencias del Código de Compras Públicas y a las recomendaciones de la ANSSI en materia de seguridad de los SI sensibles. Un agrupamiento hospitalario que gestiona varios establecimientos debe firmar cientos de contratos, enmiendas y contratos laborales cada año.

La adopción de una PKI interna (CA dedicada a los agentes, certificados en tarjetas CPS para el personal médico) combinada con una solución SaaS de firma para actos administrativos permite responder a las exigencias de la directiva NIS2 (transpuesta a derecho francés por la ley nº2024-449 de 21 de mayo de 2024) que impone medidas de gestión del riesgo de ciberseguridad. La trazabilidad completa de las firmas, la verificación en tiempo real de los certificados y la conservación LTA de los documentos firmados reducen el riesgo de impugnación de los actos administrativos y facilitan los auditorías de la Cámara Regional de Cuentas. Los establecimientos del sector constatan generalmente una reducción del 40 a 50% del volumen de papel tratado solo en RR.HH., según datos de la ANAP (Agencia Nacional de Apoyo al Desempeño, informe 2024).

Conclusión

La PKI — infraestructura de clave pública — es mucho más que un dispositivo técnico: es el garante criptográfico y jurídico de la confianza en tus intercambios digitales. Sus componentes (AC, certificados X.509, OCSP, marca de tiempo calificada) forman un ecosistema coherente que asegura la autenticidad, integridad y no repudio de tus firmas electrónicas, en perfecta conformidad con la regulación eIDAS y el Código Civil francés. Ya seas una PYME, un despacho jurídico o un establecimiento público, dominar los fundamentos de la PKI te permite elegir la solución de firma adaptada a tus desafíos reales — y defender su valor probatorio en caso de litigio.

Certyneo se apoya en una PKI calificada conforme a eIDAS para entregar firmas electrónicas avanzadas y calificadas dirigidas a empresas. Crea tu cuenta gratuitamente o descubre nuestras tarifas para comenzar tu transformación documental hoy mismo.