Autenticación del firmante: métodos y desafíos

Por qué la autenticación es crítica

La autenticación del firmante es el eslabón más débil de la cadena de prueba. Sin ella, es imposible probar quién firmó realmente. Una plataforma de firma moderna debe ofrecer varios mecanismos graduados.

Los métodos disponibles

Email de confianza

El firmante recibe un enlace único en su dirección de correo electrónico. Solo el titular de la cuenta puede hacer clic. Simple, efectivo para SES.

Riesgo residual: robo de cuenta de correo. Aceptable para documentos de bajo riesgo.

OTP por SMS

Código de un solo uso enviado al número de teléfono. Combinado con email = AES.

Riesgo residual: cambio de SIM (raro pero conocido para objetivos de alto valor).

OTP por aplicación

Código generado por una aplicación (Google Authenticator, Authy, Twilio Authy). Más seguro que SMS para riesgos elevados.

Biometría

Huella digital, reconocimiento facial. Utilizado en dispositivos móviles para fluidificar la experiencia. No almacenado en el servidor (cumplimiento RGPD).

Certificado personal

Certificado criptográfico emitido por un QTSP, almacenado en un dispositivo (YubiKey, tarjeta inteligente). Obligatorio para QES.

Vídeo KYC

Verificación de identidad por videoconferencia o grabación. Utilizado en sectores regulados (banca, seguros).

Identidad digital nacional

FranceConnect+, itsme (Bélgica), SPID (Italia). Reconocido nivel "sustancial" por eIDAS.

Niveles de garantía (LoA)

eIDAS define tres niveles:

Nivel | Requisito | Ejemplo

Bajo | Email o equivalente | SES

Sustancial | Doble factor | AES (email + OTP)

Elevado | Verificación de identidad estricta | QES, KYC vídeo

Alineación con el riesgo

• Documento interno, orden de compra: LoA bajo (SES) suficiente

• Contrato laboral, arrendamiento, NDA: LoA sustancial (AES)

• Acta notarial, licitación pública: LoA elevado (QES)

Errores frecuentes

• Usar SES para todo (infradimensionado)

• Acumular autenticaciones innecesariamente (fricción)

• No registrar los métodos utilizados (prueba debilitada)

• Recopilar demasiados datos biométricos (RGPD)

Protección contra ataques

• Phishing: capacitar a los firmantes para verificar el remitente

• Hombre en el medio: TLS 1.3 obligatorio

• Cambio de SIM: OTP por aplicación para riesgos muy elevados

• Vídeo KYC deepfake: controles de vivacidad + verificación cruzada

Caso concreto: neobancos

Proceso de apertura de cuenta:

• Email de confianza

• OTP SMS

• Carga de documento de identidad

• Prueba de vivacidad (selfie)

• Verificación cruzada de bases de sanciones

• Firma AES

LoA: sustancial. Conforme ACPR. Proceso en 10 minutos.

Cómo Certyneo le ayuda

Certyneo ofrece todos los mecanismos comunes: email, OTP SMS (vía Twilio Verify), integración de certificados cualificados para QES, vídeo KYC opcional, FranceConnect+ integrado. Cada método se registra en la pista de auditoría.

Descubrir la solución de firma electrónica Certyneo

Preguntas frecuentes

¿Es el SMS lo suficientemente seguro?

Para AES sí. Para riesgos muy elevados, preferir OTP por aplicación o biometría.

¿Se almacena la biometría?

En el servidor no (cumplimiento RGPD). Las plantillas permanecen en el dispositivo.

¿Se pueden combinar varios métodos?

Sí, para reforzar la prueba.

¿FranceConnect+ es reconocido?

Sí, nivel sustancial. Puede activar AES y QES.

¿Qué sucede si el OTP expira?

El firmante puede solicitar uno nuevo. Límites anti-fuerza bruta en su lugar.

Conclusión

Una buena autenticación es graduada, registrada y adaptada al riesgo. Sobre-autenticar crea fricción; infra-autenticar debilita la prueba. El equilibrio se encuentra documento por documento.

Pruebe Certyneo para enviar, firmar y dar seguimiento a sus documentos en línea de manera simple, rápida y segura.