Fundamentación técnica y adecuación legal de la firma electrónica con OTP SMS

Introducción

Viafirma Inbox encaja en lo que habitualmente se describe como una herramienta de Portafirmas. Mediante una vista web, el usuario interno puede consultar los documentos que tiene pendientes de firmar, revisarlos, firmarlos individualmente o en bloque o rechazarlos. La herramienta permite firmar mediante certificados electrónicos de todo tipo (en dispositivo criptográfico, en software o mediante certificados cualificados centralizados alojados en un HSM), y también permite la firma mediante otros medios de identificación, como contraseñas de un solo uso enviadas a un dispositivo registrado previamente, o identificación mediante usuario y contraseña.

Viafirma inbox ofrece la posibilidad de diseñar e implementar flujos de firma, y permite crear las firmas mediante su propio motor de firma o conectándose con un motor corporativo.

Los documentos firmados se pueden generar en una multitud de formatos, en particular en todos los niveles estándar de firma XAdES y PAdES. Viafirma está preparado para utilizar también formatos de firma longeva.

La firma electrónica con OTP SMS

Como se ha comentado en apartados previos, Viafirma Inbox permite realizar firmas electrónicas de documentos mediante el mecanismo de OTP SMS, principalmente utilizado en condiciones donde los usuarios no tienen acceso a un certificado cualificado admitido por la plataforma.

El proceso en este caso sigue los siguientes pasos:

  1. El usuario es dirigido a una pantalla de firma de uno o varios documentos.
  2. El usuario puede leer el documento o documentos.
  3. El usuario pulsa en un botón “Firmar”.
  4. El sistema calcula un código pseudo-aleatorio (OTP = One Time Password) basado en el contenido del documento o documentos a firmar*
  5. El sistema envía por SMS ese código al número de teléfono móvil asociado a ese usuario y le pide dicho código al usuario.
  6. El usuario introduce el código recibido.
  7. Si es correcto, el sistema procede a incorporar evidencias electrónicas de esta operación en el documento o documentos a firmar, y posteriormente a realizar una firma electrónica longeva con certificado digital para garantizar la integridad del documento resultante.

*Descripción del proceso de cálculo del OTP

El código OTP (One Time Password) no es esencialmente aleatorio. El sistema utiliza el resumen hash de cada página del documento para, posteriormente, obtener un código aleatorio basado en esos hashes. El sistema almacena el código que va a enviar al dispositivo móvil del usuario, y las posiciones de los hashes que ha utilizado (que son aleatorias). Por ello, se puede realizar una vinculación entre el contenido del documento y el OTP calculado, y con posterioridad, realizar una validación del documento firmado. Resulta estadísticamente imposible que dos documentos distintos den el mismo código OTP con las mismas posiciones de cálculo de hash. De esta forma, con la firma OTP SMS se puede vincular el contenido de lo firmado a la operación de firma.

Argumentación legal de la firma OTP SMS

En muchos países desde hace muchos años no se puede obtener un número de teléfono móvil sin que exista un proceso de verificación de la identidad del usuario del mismo similar al de la emisión de un certificado digital. Por ejemplo, en España la emisión de una SIM móvil requiere esta identificación por parte de la operadora, así como la firma de un contrato. Por ello, una línea móvil está necesariamente vinculada a una persona física o jurídica.

Durante el proceso de firma OTP SMS, se vincula por tanto la operación de firma con el firmante a través de ese número de teléfono móvil, y con el contenido a través del algoritmo de cálculo del OTP descrito con anterioridad. Por ello, puede llegar a cumplir los requisitos establecidos para una firma electrónica avanzada. Esto no ocurriría en aquellos países donde se puedan obtener tarjetas SIM de forma anónima.

Dentro del proceso de firma por esta vía, se realiza además un refuerzo jurídico en el procedimiento, dado que se incluye en el contrato a firmar el número de teléfono móvil que se va a utilizar para la firma, y que es aportado por el propio firmante, almacenándose además las conversaciones electrónicas (emails) que existen para la obtención de este número de teléfono móvil y responsabilizando al firmante de la veracidad del teléfono y de su titularidad.

En el proceso de firma OTP SMS también se obtienen evidencias adicionales, tales como la constancia de haberse pulsado un enlace en un email (por tanto, el control por parte del firmante no solo del teléfono móvil, sino también del email del usuario) o la trazabilidad del SMS (cuándo se envía, cuándo se recepciona en el dispositivo móvil, etc.).

reserva tu cita