{"id":30481,"date":"2021-03-18T09:07:30","date_gmt":"2021-03-18T08:07:30","guid":{"rendered":"https:\/\/www.viafirma.com\/?post_type=faq&p=30481"},"modified":"2024-11-19T14:53:10","modified_gmt":"2024-11-19T13:53:10","slug":"legalidad-firma-otp-sms","status":"publish","type":"faq","link":"https:\/\/www.viafirma.com\/es\/faqs\/legalidad-firma-otp-sms\/","title":{"rendered":"\u00bfEs legal la firma con un c\u00f3digo de un solo uso (OTP SMS)?"},"content":{"rendered":"

El proceso para firmar v\u00eda SMS<\/strong> (OTP SMS<\/strong>) es el siguiente:<\/p>\n

    \n
  1. El usuario es dirigido a una p\u00e1gina de firma<\/strong>.<\/li>\n
  2. El usuario lee el documento<\/strong>.<\/li>\n
  3. El usuario pulsa en un bot\u00f3n \u00abVerificar<\/strong>\u00ab.<\/li>\n
  4. El sistema calcula un c\u00f3digo pseudoaleatorio <\/span><\/strong>(OTP<\/strong> = One Time Password) basado en el contenido del documento a firmar.<\/li>\n
  5. El sistema env\u00eda por SMS ese c\u00f3digo <\/strong>al n\u00famero de tel\u00e9fono m\u00f3vil asociado a ese usuario y le pide dicho c\u00f3digo al usuario.<\/li>\n
  6. El usuario introduce el c\u00f3digo<\/strong> recibido.<\/li>\n
  7. Si es correcto, el sistema procede a incorporar evidencias electr\u00f3nicas de esta operaci\u00f3n en el documento a firmar y posteriormente realiza una firma electr\u00f3nica <\/strong>con certificado digital para garantizar la integridad del documento resultante.<\/li>\n<\/ol>\n

    Descripci\u00f3n del proceso de c\u00e1lculo del OTP<\/h2>\n

    El c\u00f3digo OTP<\/strong> (One Time Password)<\/em> no es esencialmente aleatorio<\/strong>. El sistema utiliza el resumen hash<\/em> de cada p\u00e1gina<\/strong> del documento para, posteriormente, obtener un c\u00f3digo aleatorio basado en \u00e9l<\/strong>. El sistema almacena el c\u00f3digo que va a enviar al dispositivo m\u00f3vil del usuario y las posiciones de los hashes que ha utilizado (que son aleatorias).<\/p>\n

    Por ello, se puede realizar una vinculaci\u00f3n entre el contenido del documento y el OTP calculado<\/strong> y, con posterioridad, realizar una validaci\u00f3n del documento firmado<\/strong>. Resulta estad\u00edsticamente imposible que dos documentos distintos den el mismo short code con las mismas posiciones de c\u00e1lculo de hash. De esta forma, con el OTP SMS se puede vincular el contenido a firmar con la operaci\u00f3n de firma<\/strong>.<\/p>\n

    Argumentaci\u00f3n legal<\/h2>\n

    En muchos pa\u00edses desde hace muchos a\u00f1os no se puede obtener un n\u00famero de tel\u00e9fono m\u00f3vil sin que exista un proceso de verificaci\u00f3n de la identidad del usuario similar al de la emisi\u00f3n de un certificado digital. Por ejemplo, en Espa\u00f1a la emisi\u00f3n de una SIM m\u00f3vil requiere esta identificaci\u00f3n por parte de la operadora, as\u00ed como la firma de un contrato. Por ello, una l\u00ednea m\u00f3vil est\u00e1 necesariamente vinculada a una persona f\u00edsica o jur\u00eddica<\/strong>.<\/p>\n

    Durante el proceso de firma OTP SMS, el n\u00famero de tel\u00e9fono enlaza la operaci\u00f3n de firma con el firmante y el contenido se vincula adem\u00e1s con el OTP creado.<\/p>\n

    Por ello, se cumplen los requisitos establecidos para que una firma electr\u00f3nica sea considerada de tipo avanzada<\/strong> seg\u00fan la normativa m\u00e1s exigente, el Reglamento (UE) N.\u00ba 910\/2014 del Parlamento Europeo y del Consejo de 23 de julio de 2014<\/a> relativo a la identificaci\u00f3n electr\u00f3nica y los servicios de confianza para las transacciones electr\u00f3nicas en el mercado interior y por la que se deroga la Directiva 1999\/93\/CE, m\u00e1s com\u00fanmente conocido como eIDAS .<\/p>\n

    Seg\u00fan esta regulaci\u00f3n, son cuatro los requisitos que se deben cumplir para que sea considerada firma electr\u00f3nica avanzada<\/strong>. Vamos a verlos para el caso que nos ocupa de firma con OTP SMS:<\/p>\n

      \n
    1. \"\"Estar vinculada al firmante de manera \u00fanica.<\/strong> El firmante posee un tel\u00e9fono m\u00f3vil con un n\u00famero de tel\u00e9fono\"viafirma.com\"<\/a><\/li>\n
    2. \"\"Permite identificar al firmante.<\/strong> El n\u00famero de tel\u00e9fono es personal y pertenece, exclusivamente, al firmante.<\/li>\n
    3. \"\"La firma debe haber sido creada utilizando medios de creaci\u00f3n de la firma que el firmante pueda utilizar<\/strong> con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petici\u00f3n de firma (enviado al email del firmante), como el c\u00f3digo SMS (enviado al tel\u00e9fono m\u00f3vil del firmante), est\u00e1n bajo el control exclusivo de la persona firmante.<\/li>\n
    4. \"\"Est\u00e1 vinculada con los datos firmados<\/strong> de forma que cualquier alteraci\u00f3n posterior pueda ser detectada.<\/strong>\u00a0El documento firmado, junto con otras evidencias si as\u00ed se establecen, quedan asociados permitiendo comprobar cualquier modificaci\u00f3n posterior del mismo.<\/li>\n<\/ol>\n

      Esto no ocurrir\u00eda en aquellos pa\u00edses donde se puedan obtener tarjetas SIM de forma an\u00f3nima<\/strong>.<\/p>\n

      En el proceso de firma OTP tambi\u00e9n se obtienen evidencias adicionales<\/strong>, tales como la constancia de haberse pulsado un enlace en un email<\/strong>(por tanto, el control por parte del firmante no solo del tel\u00e9fono m\u00f3vil, sino tambi\u00e9n del email del usuario) o la trazabilidad del mensaje<\/strong> (cu\u00e1ndo se env\u00eda, cu\u00e1ndo se recepciona en el dispositivo m\u00f3vil, etc.).<\/p>\n","protected":false},"featured_media":0,"template":"","meta":{"_acf_changed":false,"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"default","adv-header-id-meta":"","stick-header-meta":"default","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[77],"class_list":["post-30481","faq","type-faq","status-publish","hentry","category-legal-y-seguridad"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.viafirma.com\/es\/wp-json\/wp\/v2\/faq\/30481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.viafirma.com\/es\/wp-json\/wp\/v2\/faq"}],"about":[{"href":"https:\/\/www.viafirma.com\/es\/wp-json\/wp\/v2\/types\/faq"}],"version-history":[{"count":0,"href":"https:\/\/www.viafirma.com\/es\/wp-json\/wp\/v2\/faq\/30481\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.viafirma.com\/es\/wp-json\/wp\/v2\/media?parent=30481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.viafirma.com\/es\/wp-json\/wp\/v2\/categories?post=30481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}