Autenticación de firmantes: métodos y problemas

Por qué la autenticación es fundamental

La autenticación del firmante es laeslabón más débilde la cadena de evidencia. Sin él, es imposible demostrar quién firmó realmente. Una plataforma de firma moderna debe ofrecer varios mecanismos graduados.

Métodos disponibles

Correo electrónico de confianza

El firmante recibe un enlace único a su dirección de correo electrónico. Sólo el titular de la caja puede hacer clic. Sencillo, eficaz para el SES.

Riesgo residual: robo de cuentas de correo electrónico. Aceptable para documentos de bajo riesgo.

OTP por SMS

Código de un solo uso enviado al número de teléfono. Combinado con correo electrónico = AES.

Riesgo residual: Intercambio de SIM (raro pero conocido por objetivos de alto valor).

OTP por aplicación

Código generado por una aplicación (Google Authenticator, Authy, Twilio Authy). Más seguro que los SMS para apuestas altas.

Biometría

Huella dactilar, reconocimiento facial. Se utiliza en dispositivos móviles para optimizar la experiencia. No almacenado en el lado del servidor (cumplimiento de GDPR).

certificado personal

Certificado criptográfico emitido por un QTSP, almacenado en un dispositivo (YubiKey, tarjeta inteligente). Obligatorio para QES.

Vídeo KYC

Verificación de identidad mediante videoconferencia o grabación. Utilizado para sectores regulados (banca, seguros).

identidad digital nacional

FranceConnect+, itsme (Bélgica), SPID (Italia). Reconocido como nivel “sustancial” por eIDAS.

Niveles de Garantía (LoA)

eIDAS define tres niveles:

Nivel | Requisito | Ejemplo

Bajo | Correo electrónico o equivalente | SU

Sustancial | Doble factor | AES (correo electrónico + OTP)

Alto | Estricta verificación de identidad | QES, vídeo KYC

Alineación con el tema

• Documento interno, orden de compra.: LoA bajo (SES) es suficiente
• Contrato de trabajo, arrendamiento, NDA: LoA sustancial (AES)
• Escritura notarial, mercado público: Alta LoA (QES)

Errores comunes

• Utilice SES para todo (de tamaño insuficiente)
• Apilar autenticaciones innecesariamente (fricción)
• No registrar los métodos utilizados (evidencia debilitada)
• Recopilar demasiados datos biométricos (GDPR)

Protección contra ataques

• Phishing: capacitar a los firmantes para verificar al remitente
• Hombre en el medio: Se requiere TLS 1.3
• intercambio de SIM: OTP por aplicación para apuestas muy altas
• Vídeo deepfake KYC: controles de vida + verificación cruzada

Caso concreto: neobanco

Proceso de apertura de cuenta:

1. Correo electrónico de confianza
2. SMS OTP
3. Subir documento de identidad
4. Prueba de vivacidad (selfie)
5. Verificación cruzada de las bases de las sanciones
6. Firma AES

LoA: sustancial. Cumple con ACPR. Procesar en 10 minutos.

Cómo te ayuda Certyneo

Certyneo ofrece todos los mecanismos habituales: correo electrónico, SMS OTP (a través de Twilio Verify), integración de certificados cualificados para QES, vídeo KYC opcional, integración FranceConnect+. Cada método se registra en el registro de auditoría.

Descubra la solución de firma electrónica Certyneo

Preguntas frecuentes

¿Los SMS son lo suficientemente seguros?

Para AES si. Para apuestas muy altas, prefiera la aplicación OTP o la biometría.

¿Se almacenan los datos biométricos?

Lado del servidor no (cumplimiento de GDPR). Las plantillas permanecen en el dispositivo.

¿Podemos combinar varios métodos?

Sí, para fortalecer la evidencia.

¿Se reconoce FranceConnect+?

Sí, nivel sustancial. Puede activar AES y QES.

¿Qué pasa si la OTP caduca?

El firmante puede solicitar uno nuevo. Se han implementado límites contra la fuerza bruta.

Conclusión

Una buena autenticación se califica, rastrea y adapta al problema. La autenticación excesiva crea fricción; la subautenticación debilita la prueba. El saldo se encuentra documento por documento.

Pruebe Certyneo para enviar, firmar y rastrear sus documentos en línea de manera simple, rápida y segura.