El proceso para firmar vía SMS (OTP SMS) es el siguiente:
- El usuario es dirigido a una página de firma.
- El usuario lee el documento.
- El usuario pulsa en un botón «Verificar«.
- El sistema calcula un código pseudo-aleatorio (OTP = One Time Password) basado en el contenido del documento a firmar.
- El sistema envía por SMS ese código al número de teléfono móvil asociado a ese usuario y le pide dicho código al usuario.
- El usuario introduce el código recibido.
- Si es correcto, el sistema procede a incorporar evidencias electrónicas de esta operación en el documento a firmar y posteriormente realiza una firma electrónica con certificado digital para garantizar la integridad del documento resultante.
Descripción del proceso de cálculo del OTP
El código OTP (One Time Password) no es esencialmente aleatorio. El sistema utiliza el resumen hash de cada página del documento para, posteriormente, obtener un código aleatorio basado en él. El sistema almacena el código que va a enviar al dispositivo móvil del usuario y las posiciones de los hashes que ha utilizado (que son aleatorias).
Por ello, se puede realizar una vinculación entre el contenido del documento y el OTP calculado y, con posterioridad, realizar una validación del documento firmado. Resulta estadísticamente imposible que dos documentos distintos den el mismo short code con las mismas posiciones de cálculo de hash. De esta forma, con el OTP SMS se puede vincular el contenido a firmar con la operación de firma.
Argumentación legal
En muchos países desde hace muchos años no se puede obtener un número de teléfono móvil sin que exista un proceso de verificación de la identidad del usuario similar al de la emisión de un certificado digital. Por ejemplo, en España la emisión de una SIM móvil requiere esta identificación por parte de la operadora, así como la firma de un contrato. Por ello, una línea móvil está necesariamente vinculada a una persona física o jurídica.
Durante el proceso de firma OTP SMS, el número de teléfono enlaza la operación de firma con el firmante y el contenido se vincula además con el OTP creado.
Por ello, se cumplen los requisitos establecidos para que una firma electrónica sea considerada de tipo avanzada según la normativa más exigente, el Reglamento (UE) Nº 910/2014 del Parlamento Europeo y del Consejo de 23 de Julio de 2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE, más comúnmente conocido como eIDAS .
Según esta regulación, son cuatro los requisitos que se deben cumplir para que sea considerada firma electrónica avanzada. Vamos a verlos para el caso que nos ocupa de firma con OTP SMS:
Estar vinculada al firmante de manera única. El firmante posee un teléfono móvil con un número de teléfono
Permite identificar al firmante. El número de teléfono es personal y pertenece, exclusivamente, al firmante.
La firma debe haber sido creada utilizando medios de creación de la firma que el firmante pueda utilizar con alto nivel de confianza y bajo su control exclusivo. Tanto el acceso a la petición de firma (enviado al email del firmante), como el código SMS (enviado al teléfono móvil del firmante), están bajo el control exclusivo de la persona firmante.
Está vinculada con los datos firmados de forma que cualquier alteración posterior pueda ser detectada. El documento firmado, junto con otras evidencias si así se establecen, quedan asociados permitiendo comprobar cualquier modificación posterior del mismo.
Esto no ocurriría en aquellos países donde se puedan obtener tarjetas SIM de forma anónima.
En el proceso de firma OTP también se obtienen evidencias adicionales, tales como la constancia de haberse pulsado un enlace en un email(por tanto, el control por parte del firmante no solo del teléfono móvil, sino también del email del usuario) o la trazabilidad del mensaje (cuándo se envía, cuándo se recepciona en el dispositivo móvil, etc.).