¿Cómo funciona una firma electrónica?
Mecanismo criptográfico, autenticación, marca de tiempo, pista de auditoría: el funcionamiento de una firma electrónica explicado paso a paso.
Equipo Certyneo
Redactor — Certyneo · Acerca de Certyneo
El principio general
Una firma electrónica no es una imagen. Es un proceso criptográfico que vincula cuatro elementos inseparables: el documento, la identidad del firmante, el momento de la firma y una prueba técnica de que nada ha sido modificado después.
Este proceso se basa en dos pilares: la autenticación del firmante y la integridad del documento.
Paso 1: autenticar al firmante
La autenticación consiste en establecer un vínculo entre la persona que apone su firma y una identidad verificable. Existen varias técnicas, combinables:
- Dirección de correo electrónico de confianza: se envía un enlace único. Solo el titular del correo electrónico puede hacer clic y firmar.
- Código OTP (Contraseña de un solo uso): se envía un código único por SMS. El firmante lo ingresa para probar que posee el número de teléfono asociado.
- Certificado personal: para la firma calificada, un certificado emitido por un proveedor calificado prueba la identidad del firmante.
El nivel de exigencia varía según el nivel de firma objetivo — ver las diferencias entre niveles.
Paso 2: calcular la huella criptográfica
Antes de firmar, la plataforma calcula una huella (hash) del documento. Es una secuencia de caracteres única que representa el contenido del archivo. Cualquier modificación, incluso de un solo carácter, produce una huella completamente diferente.
La huella es como una firma digital del archivo: es pequeña (algunos centenares de bytes) pero garantiza la integridad. Si alguien modifica el documento después de la firma, la huella ya no coincide — la firma se invalida.
Paso 3: asociar identidad e huella
La plataforma cifra la huella con una clave criptográfica vinculada a la identidad del firmante (a través de PKI para QES, o a través de la plataforma para SES/AES). El resultado es el token de firma: un objeto digital que contiene:
- la huella del documento
- el identificador del firmante
- la marca de tiempo precisa
- la firma criptográfica misma
Este token se integra en el PDF final según el formato PAdES (Firmas Electrónicas Avanzadas en PDF), un estándar europeo. Concretamente, cuando abre un PDF firmado en Adobe Acrobat Reader, el lector verifica automáticamente el token y muestra "Firma válida" si todo corresponde.
Paso 4: marca de tiempo
La marca de tiempo vincula la firma a un instante preciso y verificable. Una marca de tiempo calificada emitida por un proveedor de confianza proporciona prueba legal de que el documento existía en esa fecha — argumento decisivo en caso de disputa sobre la fecha de compromiso.
Ver marca de tiempo electrónica para comprender el rol y los niveles de marca de tiempo.
Paso 5: registrar en la pista de auditoría
En cada etapa del ciclo de firma, la plataforma registra un evento marcado con fecha y hora:
- envío de la envoltura
- apertura por el firmante (con IP y user-agent)
- ingreso del OTP
- firma efectiva
- rechazo eventual
- expiración
El conjunto constituye la pista de auditoría (audit trail). Es la prueba operacional del proceso. Se integra en el PDF final y se conserva durante 10 años. Ver prueba de firma electrónica.
Qué sucede concretamente del lado del firmante
Desde el punto de vista del firmante, la experiencia es minimalista:
- Recibe un correo electrónico con un enlace.
- Hace clic y abre el documento en su navegador.
- Lee, luego hace clic en "Firmar".
- Para AES: ingresa un código SMS recibido en su teléfono.
- Listo. Recibe una copia del PDF firmado.
Sin cuenta que crear, sin aplicación que instalar, sin certificado que generar (excepto para QES). Todo se realiza en 1 a 3 minutos.
Qué sucede del lado del emisor
El emisor dirige el proceso desde su panel de control:
- depósito del documento (PDF, conversión automática si es Word)
- adición de destinatarios y colocación de campos de firma
- elección del nivel de firma y del orden (paralelo o secuencial)
- configuración de recordatorios automáticos y fecha de expiración
- envío
En tiempo real, ve cada envoltura pasar del estado "enviada" a "abierta" a "firmada". Los webhooks o notificaciones push pueden enviar estos eventos a un CRM o SIRH.
Por qué la firma electrónica es difícil de falsificar
- Huella criptográfica: cualquier modificación invalida la firma
- Autenticación fuerte: sin acceso al correo electrónico Y al teléfono (para AES), es imposible hacerse pasar por el firmante
- Pista de auditoría marcada con fecha y hora: cada paso está rastreado con IP y user-agent
- Claves criptográficas: la clave privada del firmante (QES) nunca sale de su dispositivo de hardware
- Archivado 10 años: la prueba sigue siendo disponible mucho tiempo después de la firma
Cómo Certyneo le ayuda
En Certyneo, todo el proceso criptográfico se ejecuta en backend en servidores europeos (Alemania, IONOS): depósito del PDF, cálculo de hash SHA-256, integración del token PAdES, marca de tiempo, almacenamiento de la pista de auditoría en una base de datos PostgreSQL cifrada. Usted se beneficia de un proceso conforme con eIDAS sin tener que comprender los detalles técnicos.
Descubrir la solución de firma electrónica Certyneo
Preguntas frecuentes
¿Puedo verificar una firma sin la plataforma que la emitió?
Sí. Un PDF firmado en formato PAdES es verificable por cualquier lector PDF compatible (Adobe Reader, pdfsig, etc.). Incluso si la plataforma emisora desaparece, la firma sigue siendo verificable.
¿Qué sucede si modifico el PDF después de firmar?
La firma se vuelve inválida. El lector PDF muestra una advertencia "El documento ha sido modificado desde la firma" y la huella ya no coincide.
¿Cuál es la vida útil de una firma electrónica?
La firma sigue siendo válida mientras los algoritmos criptográficos utilizados lo sean. Para garantizar una validez a largo plazo, se utilizan formatos PAdES-LTA (Archivo a largo plazo) que integran marcas de tiempo calificadas regeneradas periódicamente.
¿Se pueden firmar varios documentos a la vez?
Sí. Una envoltura Certyneo puede contener varios documentos que se firman todos en un solo clic. Cada documento conserva su propia huella pero la pista de auditoría es común.
¿Revela la huella el contenido del documento?
No. La huella es de sentido único: puede calcular la huella a partir del documento, pero no puede recuperar el documento a partir de la huella. Esta es una de las propiedades fundamentales de las funciones hash criptográficas.
Conclusión
Una firma electrónica es un proceso criptográfico que vincula de manera verificable a un firmante, un documento, una fecha y un consentimiento. El firmante no tiene que entender nada de esto — para él, es un clic y un código SMS. Para usted, es una prueba sólida, archivada, disponible.
Pruebe Certyneo para enviar, firmar y seguir sus documentos en línea de forma simple, rápida y segura.
Pruebe Certyneo gratis
Envíe su primer sobre de firma en menos de 5 minutos. 5 sobres gratis al mes, sin tarjeta de crédito.
Profundizar en el tema
Artículos de referencia sobre este tema.
Profundizar en el tema
Nuestras guías completas para dominar la firma electrónica.
Artículos recomendados
Profundice sus conocimientos con estos artículos relacionados con el tema.
Firma electrónica en el sector público: guía 2026
Desde 2020, la firma electrónica es obligatoria en las contrataciones públicas por encima de ciertos umbrales. Descubra las normas, los niveles requeridos y cómo poner su administración en conformidad.
Firma electrónica para las colectividades territoriales en Colombia
Las colectividades territoriales aceleran su desmaterialización. Descubra cómo la firma electrónica asegura sus contratos, reduce los plazos y respeta el marco legal europeo.
Firma electrónica para despachos de abogados en 2026
La firma digital transforma el ejercicio del derecho en 2026. Descubre las obligaciones legales, los niveles eIDAS requeridos y las buenas prácticas para abogados.