Las 7 capas de seguridad de una firma electrónica conforme eIDAS
Comprenda qué sucede bajo el capó cuando firma un documento: 7 capas criptográficas apiladas, cada una con su estándar de referencia (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criterios Comunes EAL4+). Sin una sola, la firma no es oponible.
Las 7 capas de la pila de seguridad
Cada capa proporciona una garantía específica. Para que una firma sea conforme a eIDAS y oponible, las 7 deben estar presentes e implementadas correctamente. Certyneo está certificado en cada una.
Identificación del firmante
Certyneo certificadoAntes de cualquier firma, el firmante se identifica mediante código SMS, escaneo de ID o certificado cualificado (QES). Es la capa que responde a « ¿quién firmó? ».
📜 eIDAS Annexe II §1.b
Sin identificación confiable, la firma no tiene valor probatorio (Código Civil 1367).
Seguridad del transporte
Certyneo certificadoTLS 1.3 en todas las comunicaciones cliente ↔ servidor. No se permite degradación a TLS 1.0/1.1. Certificados EV con rotación trimestral.
📜 TLS 1.3 (RFC 8446)
Previene la interceptación del documento entre el emisor y el firmante (ataque MITM).
Firma criptográfica (PAdES)
Certyneo certificadoAplicación de la firma en formato PAdES (PDF Advanced Electronic Signature) según ETSI EN 319 142. Firma vinculada al documento, no a un contenedor externo.
📜 ETSI EN 319 142 (PAdES)
Garantiza que la firma no pueda ser desprendida y pegada en otro documento.
Sellado de tiempo cualificado
Certyneo certificadoIntegración de un sellado de tiempo RFC 3161 emitido por una autoridad cualificada (TSA) inscrita en la EU LOTL. Precisión al milisegundo.
📜 RFC 3161 + ETSI EN 319 421
Prueba que la firma existe en un momento T preciso, no reconstruida posteriormente.
Módulo HSM (Hardware Security Module)
Certyneo certificadoLas claves privadas de firma se almacenan en un HSM certificado Criterios Comunes EAL4+ y FIPS 140-2 nivel 3. Las claves nunca salen del HSM en texto plano.
📜 Critères Communs EAL4+ / FIPS 140-2
Previene el robo de clave incluso en caso de compromiso del servidor de aplicaciones.
Registro de auditoría eIDAS
Certyneo certificadoRegistro inmutable de cada evento del ciclo de firma (creación, envío, firma, sellado) con IP, sellado de tiempo, identidad. Formato conforme a ETSI EN 319 102-1.
📜 ETSI EN 319 102-1
Proporciona la prueba probatoria completa requerida por un tribunal en caso de litigio.
Archivo probatorio
Certyneo certificadoAlmacenamiento del documento firmado + audit trail + certificado durante 10 años mínimo en un sistema conforme AFNOR NF Z42-013. Re-marcaje de tiempo periódico para contrarrestar la obsolescencia criptográfica.
📜 AFNOR NF Z42-013
Preserva el valor probatorio del documento a lo largo de la prescripción civil.
Las 4 amenazas principales y su mitigación
Una arquitectura de firma sólida está diseñada para resistir 4 ataques clásicos. Aquí están cuáles son y qué capa los neutraliza.
Usurpación de identidad — "otro ha firmado en mi lugar"
Autenticación SMS / escaneo de ID + registro de IP y geolocalización. Para actos de alto valor, certificado QES emitido por un PSCo calificado.
Capa 1 (Identificación)
Alteración del documento — "el contenido firmado ha sido modificado"
Hash SHA-256 del documento firmado por la clave HSM. Cualquier modificación posterior invalida el hash y la firma.
Capas 3 y 5 (Firma + HSM)
Ataque de intermediario — "un tercero ha interceptado"
TLS 1.3 obligatorio con certificados EV + HSTS preload en todos los dominios.
Capa 2 (Transporte)
Rechazo — "nunca firmé / no a esta fecha"
Audit trail inmutable + marcaje de tiempo calificado RFC 3161 + archivo probatorio AFNOR. La carga de la prueba pasa al firmante.
Capas 4, 6 y 7 (Marcaje de tiempo + Auditoría + Archivo)
Metodología
Las 7 capas descritas corresponden a la arquitectura de seguridad Certyneo, conforme al Reglamento eIDAS de 2014 (UE 910/2014), a las normas ETSI EN 319 (series Firma y Sellos), al Referencial General de Seguridad (RGS**) de la ANSSI, y a la norma AFNOR NF Z42-013 para archivo probatorio. Cada capa es auditada anualmente por un tercero independiente.
Para ir más allá
Una firma electrónica criptográficamente sellada
Las 7 capas anteriores se implementan de forma predeterminada en todos los planes de Certyneo, incluido el plan gratuito.