¿Es legal la firma con un código de un solo uso (OTP SMS)?

El proceso para firmar que consiste en el envío de un código de un solo uso vía SMS (OTP SMS), es el siguiente:

  1. El usuario es dirigido a una pantalla de firma.
  2. El usuario puede leer el documento.
  3. El usuario pulsa en un botón «Verificar».
  4. El sistema calcula un código pseudo-aleatorio (OTP = One Time Password) basado en el contenido del documento a firmar.
  5. El sistema envía por SMS ese código al número de teléfono móvil asociado a ese usuario y le pide dicho código al usuario.
  6. El usuario introduce el código recibido.
  7. Si es correcto, el sistema procede a incorporar evidencias electrónicas de esta operación en el documento a firmar, y posteriormente realiza una firma electrónica con certificado digital para garantizar la integridad del documento resultante.

Fundamentación técnica y legal de la firma electrónica con OTP SMS

Descripción del proceso de cálculo del OTP

El código OTP (One Time Password) no es esencialmente aleatorio. El sistema utiliza el resumen hash de cada página del documento para, posteriormente, obtener un código aleatorio basado en esos hashes. El sistema almacena el código que va a enviar al dispositivo móvil del usuario, y las posiciones de los hashes que ha utilizado (que son aleatorias).

Por ello, se puede realizar una vinculación entre el contenido del documento y el OTP calculado, y con posterioridad, realizar una validación del documento firmado. Resulta estadísticamente imposible que dos documentos distintos den el mismo código OTP con las mismas posiciones de cálculo de hash. De esta forma, con la firma OTP SMS se puede vincular el contenido de lo firmado a la operación de firma.

Argumentación legal de la firma OTP SMS

En muchos países desde hace muchos años no se puede obtener un número de teléfono móvil sin que exista un proceso de verificación de la identidad del usuario del mismo similar al de la emisión de un certificado digital. Por ejemplo, en España la emisión de una SIM móvil requiere esta identificación por parte de la operadora, así como la firma de un contrato. Por ello, una línea móvil está necesariamente vinculada a una persona física o jurídica.

Durante el proceso de firma OTP SMS, se vincula por tanto la operación de firma con el firmante a través de ese número de teléfono móvil, y con el contenido a través del algoritmo de cálculo del OTP descrito con anterioridad. Por ello, puede llegar a cumplir los requisitos establecidos para una firma electrónica avanzada según la normativa más exigente, el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de Julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, más comúnmente conocido como eIDAS .

Según esta normativa, son cuatro los requisitos que se deben cumplir para que una firma sea considerada firma electrónica avanzada. Vamos a verlos para el caso que nos ocupa de firma con OTP SMS:

  1. Está vinculada al firmante de manera única. El firmante posee un teléfono móvil con un número de teléfono.
  2. Permite identificar al firmante. El número de teléfono es personal y pertenece, exclusivamente, al firmante. 
  3. La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de firma (enviado al email del firmante), como el código SMS (enviado al teléfono móvil del firmante), están bajo el control exclusivo de la persona firmante.
  4. Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.

Esto no ocurriría en aquellos países donde se puedan obtener tarjetas SIM de forma anónima. En el proceso de firma OTP SMS también se obtienen evidencias adicionales, tales como la constancia de haberse pulsado un enlace en un email (por tanto, el control por parte del firmante no solo del teléfono móvil, sino también del email del usuario) o la trazabilidad del SMS (cuándo se envía, cuándo se recepciona en el dispositivo móvil, etc.).

¿Te ha sido útil el contenido?

¿Buscas una solución de firma digital para tu empresa?

En Viafirma nos adaptamos al 100% a tus necesidades

reserva tu cita