Autenticación del firmante: métodos y desafíos

Por qué la autenticación es crítica

La autenticación del firmante es el eslabón más débil de la cadena de prueba. Sin ella, es imposible demostrar quién firmó realmente. Una plataforma de firma moderna debe ofrecer varios mecanismos graduados.

Los métodos disponibles

Email de confianza

El firmante recibe un enlace único en su dirección de correo electrónico. Solo el titular de la cuenta puede hacer clic. Simple y efectivo para SES.

Riesgo residual: robo de cuenta de correo electrónico. Aceptable para documentos de bajo riesgo.

OTP por SMS

Código de un solo uso enviado al número de teléfono. Combinado con correo electrónico = AES.

Riesgo residual: intercambio de SIM (raro pero conocido para objetivos de alto valor).

OTP por aplicación

Código generado por una aplicación (Google Authenticator, Authy, Twilio Authy). Más seguro que SMS para riesgos elevados.

Biometría

Huella dactilar, reconocimiento facial. Utilizado en dispositivos móviles para mejorar la experiencia. No se almacena en el servidor (cumplimiento RGPD).

Certificado personal

Certificado criptográfico emitido por un QTSP, almacenado en un dispositivo (YubiKey, tarjeta inteligente). Obligatorio para QES.

Video KYC

Verificación de identidad por videoconferencia o grabación. Utilizada en sectores regulados (banca, seguros).

Identidad digital nacional

FranceConnect+, itsme (Bélgica), SPID (Italia). Reconocida como nivel "sustancial" por eIDAS.

Niveles de aseguramiento (LoA)

eIDAS define tres niveles:

Nivel | Requisito | Ejemplo

Bajo | Correo electrónico o equivalente | SES

Sustancial | Doble factor | AES (correo + OTP)

Elevado | Verificación de identidad estricta | QES, KYC por video

Alineación con el riesgo

• Documento interno, orden de compra: LoA bajo (SES) es suficiente

• Contrato de trabajo, arrendamiento, NDA: LoA sustancial (AES)

• Acta notarial, contrato público: LoA elevado (QES)

Errores frecuentes

• Utilizar SES para todo (subdimensionado)

• Apilar autenticaciones innecesariamente (fricción)

• No registrar los métodos utilizados (prueba debilitada)

• Recopilar demasiados datos biométricos (RGPD)

Protección contra ataques

• Phishing: capacitar a los firmantes para verificar el remitente

• Ataque de intermediario: TLS 1.3 obligatorio

• Intercambio de SIM: OTP por aplicación para riesgos muy elevados

• Deepfake KYC por video: controles de vivacidad + verificación cruzada

Caso concreto: neobancos

Proceso de apertura de cuenta:

• Correo electrónico de confianza

• OTP SMS

• Carga de documento de identidad

• Prueba de vivacidad (selfie)

• Verificación cruzada en bases de sanciones

• Firma AES

LoA: sustancial. Conforme a ACPR. Proceso en 10 minutos.

Cómo Certyneo te ayuda

Certyneo ofrece todos los mecanismos comunes: correo electrónico, OTP SMS (vía Twilio Verify), integración de certificados cualificados para QES, video KYC opcional, FranceConnect+ en integración. Cada método se registra en el registro de auditoría.

Descubre la solución de firma electrónica Certyneo

Preguntas frecuentes

¿Es el SMS lo suficientemente seguro?

Para AES sí. Para riesgos muy elevados, prefiere OTP por aplicación o biometría.

¿Se almacena la biometría?

No en el servidor (cumplimiento RGPD). Las plantillas permanecen en el dispositivo.

¿Se pueden combinar varios métodos?

Sí, para reforzar la prueba.

¿FranceConnect+ es reconocido?

Sí, nivel sustancial. Puede activar AES y QES.

¿Qué sucede si el OTP expira?

El firmante puede solicitar uno nuevo. Los límites anti-fuerza bruta están en vigor.

Conclusión

Una buena autenticación es graduada, registrada y adaptada al riesgo. Sobre-autenticar crea fricción; sub-autenticar debilita la prueba. El equilibrio se encuentra documento por documento.

Prueba Certyneo para enviar, firmar y hacer seguimiento de tus documentos en línea de forma simple, rápida y segura.