PKI: la infraestructura de clave pública explicada

Introducción: por qué la PKI está en el corazón de la confianza digital

En un mundo donde millones de contratos se firman en línea cada día, surge una pregunta fundamental: ¿cómo estar seguro de que la persona que firma es realmente quien dice ser, y de que el documento no ha sido alterado después de la firma? La respuesta está en tres letras: PKI (Public Key Infrastructure, o infraestructura de clave pública en español). Este dispositivo criptográfico constituye el fundamento técnico de toda firma electrónica calificada conforme a la regulación eIDAS. En este artículo, explicamos en detalle el funcionamiento de la PKI, sus componentes esenciales — entre ellos los certificados X.509 — y la forma en que garantiza la autenticidad, la integridad y el no repudio de tus actos jurídicos digitales.

---

¿Qué es la PKI? Definición y principios fundamentales

La PKI (Public Key Infrastructure) designa un conjunto de políticas, procedimientos, equipos, software y personas necesarios para crear, gestionar, distribuir, usar, almacenar y revocar certificados digitales. Se basa en la criptografía asimétrica, es decir, el uso de un par de claves matemáticamente vinculadas: una clave privada (secreta) y una clave pública (compartible libremente).

El principio del par de claves asimétricas

Cuando un firmante apone su firma electrónica en un documento, utiliza su clave privada para generar una huella criptográfica única del archivo (un hash). Esta huella, cifrada con la clave privada, constituye la firma numérica. Cualquier tercero puede verificar posteriormente la autenticidad de esta firma utilizando la clave pública correspondiente del firmante. Si la verificación tiene éxito, se establecen dos garantías:

• La autenticidad: solo el titular de la clave privada pudo haber producido esta firma.
• La integridad: el documento no ha sido modificado desde la firma.

El algoritmo RSA (Rivest-Shamir-Adleman) sigue siendo el más extendido, con claves de 2 048 o 4 096 bits. Los algoritmos de curvas elípticas (ECDSA) ganan terreno por su rendimiento a nivel de seguridad equivalente.

El problema de confianza y la respuesta de la PKI

La criptografía asimétrica resuelve el problema de la integridad pero plantea inmediatamente otra pregunta: ¿cómo saber que la clave pública pertenece realmente a la persona que dice representar? Es precisamente aquí donde interviene la PKI. Introduce un tercero de confianza — la Autoridad de Certificación (AC) — que verifica la identidad del titular de la clave pública y emite un certificado digital garantizando esta asociación.

---

Los componentes esenciales de una PKI

Una infraestructura de clave pública operacional se articula alrededor de varios componentes interdependientes. Entender su rol respectivo es indispensable para evaluar la robustez de una solución de firma electrónica.

La Autoridad de Certificación (AC o CA)

La Autoridad de Certificación es la entidad central de la PKI. Firma digitalmente los certificados que emite, vinculando así una identidad verificada a una clave pública. En Europa, las AC calificadas figuran en las listas de confianza nacionales (Trusted Lists), publicadas conforme al artículo 22 de la regulación eIDAS. En Francia, es la ANSSI la que mantiene esta lista. Proveedores como CertEurope, Certinomis o Certigna figuran en ella.

La jerarquía de certificación forma una cadena de confianza: una AC raíz (Root CA) firma AC intermedias, que a su vez firman certificados de usuarios finales. Esta arquitectura permite limitar la exposición de la clave raíz (almacenada fuera de línea en un HSM) y gestionar las revocaciones de forma granular.

La Autoridad de Registro (AR o RA)

La Autoridad de Registro se encarga de verificar la identidad de los solicitantes antes de que la AC emita un certificado. Esta verificación puede ser:

• Presencial (requerida para certificados calificados conforme a eIDAS).
• A distancia mediante videoidenticación conforme a las normas ETSI EN 319 401.
• Mediante un proceso eKYC (Know Your Customer electrónico) para niveles de confianza intermedios.

Los certificados digitales X.509

El formato X.509 es el estándar internacional que define la estructura de los certificados digitales en una PKI. Definido por la UIT-T y adoptado por la IETF mediante la RFC 5280, un certificado X.509 contiene especialmente:

• La identidad del titular (nombre, organización, correo electrónico).
• La clave pública del titular.
• La identidad y firma de la AC emisora.
• El período de validez del certificado.
• El número de serie único.
• Las extensiones: usos autorizados (firma de código, autenticación, firma de documento), puntos de distribución CRL, URL OCSP.

En el contexto de la firma electrónica calificada eIDAS, los certificados X.509 calificados deben ser emitidos en un dispositivo calificado de creación de firma (QSCD), típicamente una tarjeta inteligente o un HSM (Hardware Security Module).

El mecanismo de revocación: CRL y OCSP

Un certificado puede perder validez antes de su expiración: pérdida de la clave privada, compromiso, cambio de estatus del titular. Dos mecanismos permiten verificar la validez en tiempo real:

• CRL (Certificate Revocation List): lista publicada periódicamente por la AC que enumera los certificados revocados.
• OCSP (Online Certificate Status Protocol, RFC 6960): protocolo que permite una verificación instantánea del estatus de un certificado. Preferido en entornos de alta frecuencia de transacciones.

Las soluciones de firma electrónica serias, como las descritas en nuestro comparativo de soluciones de firma electrónica, integran sistemáticamente estas verificaciones en su flujo de firma.

---

Cómo la PKI asegura concretamente la firma electrónica

Entender el recorrido técnico de una firma electrónica apoyada en una PKI permite medir el nivel de garantía ofrecido.

El proceso de firma paso a paso

1. Hachado del documento: un algoritmo de hachado (SHA-256 o SHA-3 conforme a las recomendaciones ANSSI 2026) produce una huella digital única del documento.
2. Cifrado de la huella: el firmante cifra esta huella con su clave privada (almacenada en su QSCD). Esta operación nunca sale del dispositivo seguro.
3. Creación del paquete de firma: la firma cifrada se asocia al documento, acompañada del certificado X.509 del firmante y una marca de tiempo calificada.
4. Verificación en el lado del destinatario: el receptor (o su solución de software) descifra la huella con la clave pública del firmante, recalcula el hash del documento recibido y compara. Si las dos huellas son idénticas, la firma es válida.

Los tres niveles de firma eIDAS y su relación con la PKI

La regulación eIDAS distingue tres niveles de firma electrónica, cada uno implicando un recurso más o menos profundo a la PKI:

• Firma electrónica simple (SES): no necesariamente apoyada en una PKI. Valor probatorio limitado.
• Firma electrónica avanzada (AdES): necesariamente apoyada en un par de claves y un certificado vinculado al firmante. Formatos técnicos normalizados por ETSI: XAdES, PAdES, CAdES.
• Firma electrónica calificada (QES): nivel más elevado, equivalente legal de la firma manuscrita en toda la UE. Requiere un certificado calificado emitido por una AC de confianza inscrita en la Trusted List y un QSCD. Es el despliegue completo de la PKI calificada.

Para las empresas que deseen desplegar la firma calificada a gran escala, nuestra guía sobre la firma electrónica en empresas detalla los pasos de implementación operacional.

La marca de tiempo calificada: la dimensión temporal de la PKI

La PKI no se limita a la identidad: también garantiza la dimensión temporal de los actos mediante la marca de tiempo calificada (RFC 3161). Un servicio de marca de tiempo de confianza (TSA) emite un token criptográfico que certifica que un documento existía bajo su forma actual en un instante preciso. Esto es crucial para la conservación a largo plazo de pruebas y la conformidad con obligaciones legales de conservación documental (art. L.110-4 Código de Comercio: 5 años para actos comerciales; art. 2224 Código Civil: 5 años para obligaciones contractuales de derecho común).

---

PKI y confianza a largo plazo: el desafío de la conservación de pruebas

Una firma válida hoy puede volverse inverificable en 10 años si los algoritmos criptográficos utilizados se han vuelto obsoletos o si los certificados han expirado. La PKI aborda este desafío mediante formatos de firma con valor probatorio a largo plazo.

Los formatos AdES de larga duración

ETSI ha definido perfiles de firma extendidos — XAdES-LTA, PAdES-LTA, CAdES-LTA — que encapsulan en el archivo firmado todas las pruebas necesarias para la verificación futura: cadenas de certificados completas, respuestas OCSP archivadas, marcas de tiempo múltiples. Estos formatos cumplen con la norma ETSI EN 319 132 (XAdES) y ETSI EN 319 122 (CAdES).

La migración criptográfica frente a la computación cuántica

La emergencia de la computación cuántica representa una amenaza a medio plazo para los algoritmos RSA y ECDSA actuales. El NIST estadounidense finalizó en 2024 sus primeros estándares de criptografía post-cuántica (CRYSTALS-Dilithium para firmas). ANSSI y ENISA trabajan en hojas de ruta de migración que deberían concretarse en las revisiones de la norma eIDAS hacia 2028-2030. Las empresas que se apoyen en una PKI bien gestionada estarán mejor posicionadas para esta transición, ya que la actualización de autoridades de certificación es más fácil que la reformulación de sistemas criptográficos ad hoc.

Para quienes evalúan su solución actual, la calculadora ROI firma electrónica de Certyneo permite objetivar los beneficios vinculados a una infraestructura PKI industrializada.

Marco legal aplicable a la PKI y la firma electrónica

La infraestructura de clave pública no es solo un dispositivo técnico: se inscribe en un marco legal europeo y nacional denso, cuya comprensión es indispensable para cualquier organización que desee apoyarse en la firma electrónica en sus actos jurídicos.

La regulación eIDAS n°910/2014 y su evolución

Adoptada el 23 de julio de 2014 y aplicable desde el 1 de julio de 2016, la regulación (UE) n°910/2014 (eIDAS) constituye el texto fundacional de la confianza digital en Europa. Define las exigencias aplicables a los proveedores de servicios de confianza calificados (PSCQ), a los certificados calificados y a los dispositivos QSCD. Su artículo 26 fija las condiciones de la firma avanzada; su artículo 28 define los certificados calificados para firma electrónica; su anexo I detalla las exigencias de estos certificados — directamente derivadas del formato X.509.

La regulación eIDAS 2.0 (regulación UE n°1183/2024, publicada en DOUE el 30 de abril de 2024) refuerza este marco imponiendo especialmente a los Estados miembros que reconozcan la Cartera de Identidad Digital Europea (EUDIW) y ampliando las obligaciones de reconocimiento a proveedores de servicios privados en sectores determinados.

El Código Civil francés: valor probatorio de la firma electrónica

En derecho francés, los artículos 1366 y 1367 del Código Civil (provenientes de la ordenanza n°2016-131 del 10 de febrero de 2016) confieren a la firma electrónica el mismo valor que la firma manuscrita, bajo la condición de que satisfaga las exigencias de identificación del firmante e integridad del documento. La presunción de fiabilidad se aplica cuando la firma se crea según un procedimiento calificado en el sentido de eIDAS — es decir, apoyado en una PKI calificada.

El artículo 1368 prevé que las modalidades de establecimiento de esta fiabilidad se fijen por decreto en Consejo de Estado, a saber el decreto n°2017-1416 del 28 de septiembre de 2017 relativo a la firma electrónica.

Normas ETSI aplicables a la PKI

• ETSI EN 319 401: exigencias generales para proveedores de servicios de confianza.
• ETSI EN 319 411-1 y -2: exigencias para AC que emiten certificados calificados.
• ETSI EN 319 132: especificaciones XAdES para firmas avanzadas XML.
• ETSI EN 319 122: especificaciones CAdES.
• ETSI EN 319 162: servicios de preservación y marca de tiempo.

RGPD y datos personales en la PKI

Los certificados X.509 contienen datos de carácter personal (nombre, apellido, correo electrónico, a veces número de registro nacional). Su tratamiento está sujeto a la regulación (UE) n°2016/679 (RGPD). Las AC deben especialmente definir un período de conservación conforme, informar a los titulares y garantizar el ejercicio de sus derechos. La revocación de un certificado a solicitud del titular constituye una modalidad práctica del ejercicio del derecho al olvido (dentro de los límites de la obligación de conservación de pruebas).

Responsabilidad y riesgos jurídicos

Una PKI mal gestionada expone a la empresa a riesgos serios: cuestionamiento del valor probatorio de firmas en caso de certificados expirados o revocados, imposibilidad de verificar una firma a largo plazo en ausencia de formatos LTA, y potencial responsabilidad civil en caso de compromiso de claves privadas. El artículo 13 de eIDAS precisa que la responsabilidad de los PSCQ calificados está comprometida salvo prueba en contrario en caso de incumplimiento de sus obligaciones.

Escenarios de uso: la PKI en acción en las empresas

Escenario 1 — Un bufete jurídico de negocios de 25 colaboradores

Un bufete especializado en fusiones y adquisiciones gestiona en promedio 150 operaciones estructuradas por año, cada una requiriendo la firma de varias decenas de documentos (protocolos, pactos de accionistas, garantías de activos y pasivos). Anteriormente, los plazos de recopilación de firmas físicas alargaban los cierres de 5 a 8 días laborales en promedio.

Al desplegar una solución de firma calificada apoyada en una PKI calificada, el bufete asigna a cada socio y colaborador autorizado un certificado X.509 calificado en QSCD. Cada firma es automáticamente verificada (OCSP), marcada con hora y archivada en formato PAdES-LTA. Resultado: el plazo de cierre cae a menos de 24 horas para la fase de firma, y el valor probatorio máximo se asegura sin tramitación adicional. Los bufetes jurídicos de esta talla reportan en promedio una reducción del 70% del tiempo administrativo vinculado a firmas, según los benchmarks sectoriales (Federación Nacional de Abogados de Negocios, 2025).

Escenario 2 — Una PYME industrial que gestiona 300 contratos con proveedores por año

Una empresa manufacturera de tamaño intermedio (aproximadamente 250 empleados) celebra contratos marco, enmiendas y órdenes de compra vinculantes con alrededor de cien proveedores europeos. La dispersión geográfica y las barreras idiomáticas hacían la gestión documental particularmente pesada.

Al integrar un flujo de trabajo de firma electrónica avanzada (AdES) a través de una API conectada a su ERP, la PKI gestiona automáticamente la verificación de certificados de firmantes del lado del proveedor (mediante las Trusted Lists eIDAS de cada Estado miembro), la marca de tiempo y la constitución de dossiers de pruebas. El departamento legal constata una reducción del 60% de las reiteraciones para recopilación de firmas y una disminución de litigios contractuales derivados de desacuerdos sobre la versión firmada del documento. El costo por firma pasa de 12 € (impresión, envío, archivo físico) a menos de 1,50 € en flujo digital, conforme a los rangos publicados por Markess by Exaegis en su panorama 2025 de gestión documental.

Escenario 3 — Un agrupamiento hospitalario público de aproximadamente 1 200 camas

En el sector de la salud pública, los actos administrativos y los procedimientos abiertos deben responder a las exigencias del Código de Contratación Pública y a las recomendaciones de ANSSI en materia de seguridad de sistemas de información sensibles. Un agrupamiento hospitalario que gestiona varios establecimientos debe firmar cientos de procedimientos, enmiendas y contratos de trabajo cada año.

La adopción de una PKI interna (AC dedicada a agentes, certificados en tarjetas CPS para personal médico) acoplada a una solución SaaS de firma para actos administrativos permite responder a las exigencias de la directiva NIS2 (transpuesta a derecho francés por la ley n°2024-449 del 21 de mayo de 2024) que impone medidas de gestión del riesgo ciberseguridad. La trazabilidad completa de firmas, la verificación en tiempo real de certificados y la conservación LTA de documentos firmados reducen el riesgo de impugnación de actos administrativos y facilitan auditorías de la Cámara Regional de Cuentas. Los establecimientos del sector constatan generalmente una reducción del 40 a 50% del volumen de papel procesado solo en RR.HH., según datos de ANAP (Agencia Nacional de Apoyo al Desempeño, informe 2024).

Conclusión

La PKI — infraestructura de clave pública — es mucho más que un dispositivo técnico: es el garante criptográfico y jurídico de la confianza en tus intercambios digitales. Sus componentes (AC, certificados X.509, OCSP, marca de tiempo calificada) forman un ecosistema coherente que asegura la autenticidad, la integridad y el no repudio de tus firmas electrónicas, en perfecta conformidad con la regulación eIDAS y el Código Civil francés. Ya seas una PYME, un bufete jurídico o un establecimiento público, dominar los fundamentos de la PKI te permite elegir la solución de firma adecuada a tus desafíos reales — y defender su valor probatorio en caso de litigio.

Certyneo se apoya en una PKI calificada conforme a eIDAS para entregar firmas electrónicas avanzadas y calificadas destinadas a empresas. Crea tu cuenta gratuitamente o descubre nuestras tarifas para comenzar tu transformación documental hoy.