Ir al contenido principal
Certyneo
Infografía arquitectura

Las 7 capas de seguridad de una firma electrónica conforme eIDAS

Comprenda qué sucede bajo el capó cuando firma un documento: 7 capas criptográficas apiladas, cada una con su estándar de referencia (ETSI EN 319, RFC 3161, AFNOR NF Z42-013, Criterios Comunes EAL4+). Sin una sola, la firma no es oponible.

Las 7 capas de la pila de seguridad

Cada capa proporciona una garantía específica. Para que una firma sea conforme a eIDAS y oponible, las 7 deben estar presentes e implementadas correctamente. Certyneo está certificado en cada una.

Capa 1

Identificación del firmante

Certyneo certificado

Antes de cualquier firma, el firmante se identifica mediante código SMS, escaneo de ID o certificado cualificado (QES). Es la capa que responde a « ¿quién firmó? ».

📜 eIDAS Annexe II §1.b

Sin identificación confiable, la firma no tiene valor probatorio (Código Civil 1367).

Capa 2

Seguridad del transporte

Certyneo certificado

TLS 1.3 en todas las comunicaciones cliente ↔ servidor. No se permite degradación a TLS 1.0/1.1. Certificados EV con rotación trimestral.

📜 TLS 1.3 (RFC 8446)

Previene la interceptación del documento entre el emisor y el firmante (ataque MITM).

Capa 3

Firma criptográfica (PAdES)

Certyneo certificado

Aplicación de la firma en formato PAdES (PDF Advanced Electronic Signature) según ETSI EN 319 142. Firma vinculada al documento, no a un contenedor externo.

📜 ETSI EN 319 142 (PAdES)

Garantiza que la firma no pueda ser desprendida y pegada en otro documento.

Capa 4

Sellado de tiempo cualificado

Certyneo certificado

Integración de un sellado de tiempo RFC 3161 emitido por una autoridad cualificada (TSA) inscrita en la EU LOTL. Precisión al milisegundo.

📜 RFC 3161 + ETSI EN 319 421

Prueba que la firma existe en un momento T preciso, no reconstruida posteriormente.

Capa 5

Módulo HSM (Hardware Security Module)

Certyneo certificado

Las claves privadas de firma se almacenan en un HSM certificado Criterios Comunes EAL4+ y FIPS 140-2 nivel 3. Las claves nunca salen del HSM en texto plano.

📜 Critères Communs EAL4+ / FIPS 140-2

Previene el robo de clave incluso en caso de compromiso del servidor de aplicaciones.

Capa 6

Registro de auditoría eIDAS

Certyneo certificado

Registro inmutable de cada evento del ciclo de firma (creación, envío, firma, sellado) con IP, sellado de tiempo, identidad. Formato conforme a ETSI EN 319 102-1.

📜 ETSI EN 319 102-1

Proporciona la prueba probatoria completa requerida por un tribunal en caso de litigio.

Capa 7

Archivo probatorio

Certyneo certificado

Almacenamiento del documento firmado + audit trail + certificado durante 10 años mínimo en un sistema conforme AFNOR NF Z42-013. Re-marcaje de tiempo periódico para contrarrestar la obsolescencia criptográfica.

📜 AFNOR NF Z42-013

Preserva el valor probatorio del documento a lo largo de la prescripción civil.

Las 4 amenazas principales y su mitigación

Una arquitectura de firma sólida está diseñada para resistir 4 ataques clásicos. Aquí están cuáles son y qué capa los neutraliza.

  • Usurpación de identidad — "otro ha firmado en mi lugar"

    Autenticación SMS / escaneo de ID + registro de IP y geolocalización. Para actos de alto valor, certificado QES emitido por un PSCo calificado.

    Capa 1 (Identificación)

  • Alteración del documento — "el contenido firmado ha sido modificado"

    Hash SHA-256 del documento firmado por la clave HSM. Cualquier modificación posterior invalida el hash y la firma.

    Capas 3 y 5 (Firma + HSM)

  • Ataque de intermediario — "un tercero ha interceptado"

    TLS 1.3 obligatorio con certificados EV + HSTS preload en todos los dominios.

    Capa 2 (Transporte)

  • Rechazo — "nunca firmé / no a esta fecha"

    Audit trail inmutable + marcaje de tiempo calificado RFC 3161 + archivo probatorio AFNOR. La carga de la prueba pasa al firmante.

    Capas 4, 6 y 7 (Marcaje de tiempo + Auditoría + Archivo)

Metodología

Las 7 capas descritas corresponden a la arquitectura de seguridad Certyneo, conforme al Reglamento eIDAS de 2014 (UE 910/2014), a las normas ETSI EN 319 (series Firma y Sellos), al Referencial General de Seguridad (RGS**) de la ANSSI, y a la norma AFNOR NF Z42-013 para archivo probatorio. Cada capa es auditada anualmente por un tercero independiente.

Para ir más allá

Una firma electrónica criptográficamente sellada

Las 7 capas anteriores se implementan de forma predeterminada en todos los planes de Certyneo, incluido el plan gratuito.