En días pasados tuvimos la oportunidad de platicar con Luis Vega, CTO de Signatech, sobre los diferentes usos que podemos darle a la Firma Electrónica, así como su experiencia en otros procesos sensibles para agilizar el modelo de negocio o la transacción con cualquier cliente o proveedor donde esta tecnología ha servido de apoyo.

La siguiente entrada es parte de la información recabada en la entrevista y expresan los puntos de vista de los participantes. Escucha el audio de la entrevista haciendo clic aquí

Las principales implementaciones de Firma Electrónica se han dado a nivel Gobierno y el ejemplo perfecto de su uso para la simplificación de procesos, es justamente el proceso de constitución de una empresa, siendo más específicos podemos mencionar las Sociedades por Acciones Simplificadas (SAS).

Una SAS es básicamente una empresa que creas tú mismo y que, a diferencia de todas las demás, no se requiere ir ante un notario o corredor ya que el único prerrequisito es contar con una Firma Electrónica Avanzada. En contraste con un proceso tradicional, donde podemos demorar alrededor de un mes o mes y medio entre que se realiza la solicitud de la denominación hasta que contamos con la inscripción del Registro Público de Comercio, haciendo uso de la Firma Electrónica Avanzada se reducen los tiempos considerablemente pudiendo realizar el trámite hasta en 40 minutos, brindándonos la oportunidad de operar casi inmediatamente.

Ciertamente existen algunas consideraciones y argumentos en contra. Primero nos encontramos con que, cuando empezaron a surgir este tipo de sociedades, muchos pensaban que no se tenía la certeza de quiénes las creaban, pudiendo convertirse en empresas fantasma. Si lo analizas, este argumento era realizado más bien por desconocimiento, porque al final del día ¿cuántas empresas fantasmas se han constituido ante un fedatario?,¿cuántos prestanombres tienen estas empresas? Son cuestiones complicadas de manejar cuando lo haces a nivel de validación de una credencial de elector, por ejemplo, ya que un fedatario no es necesariamente un experto en identificación de credenciales falsificadas, lo que hace que el proceso tradicional ponga en riesgo la propia operación de la empresa, así como la seguridad jurídica alrededor de la misma.

¿Qué pasa si utilizamos la Firma Electrónica?

Al usar la Firma Electrónica tenemos pleno conocimiento de quiénes están interviniendo en el proceso, ya que al final del día, cuando te entregan tu firma, es tu responsabilidad resguardar tu .CER, tu .KEY y tu contraseña nueva. No es necesario entregarla a nadie (ni a tu contador), lo que evita la pérdida de seguridad y la posibilidad de que puedan alterarla.

Recuerda que el entregar tu Firma Electrónica a un tercero es igual a que si le dieras un cheque en blanco, ya que como comentamos, tu identidad verificada está ligada a ese archivo y contraseña.

Si requieres que tu contador realice, por ejemplo, tus declaraciones fiscales, puedes entregarle tu Clave CIEC, ya que ésta otorgará acceso a diferentes servicios del SAT sin poner en riesgo la seguridad de tu Firma Electrónica Avanzada.

Con la Firma Electrónica obtienes muchas ventajas, como por ejemplo, puedes contar con procesos más sencillos, más rápidos, puedes identificar inmediatamente quién lo está haciendo al momento de firmar, puedes saber si la firma está revocada o si tiene algún estatus por la cuál no debiera generarse el acto jurídico como tal, lo que implica que se encuentra en un ecosistema de confianza, donde tienes la plena identificación de la persona, conoces el momento exacto en el que está sucediendo y si a eso le sumas por ejemplo un sello digital de tiempo, empiezas a contar con muchos elementos que van madurando tu proceso y que permiten simplificarlo.

Es por eso que el tema de Sociedades por Acciones Simplificadas es el ejemplo perfecto de la transición de un proceso tradicional a medios digitales, donde de 30 o 40 días te vas a 40 minutos, a través de la Firma Electrónica Avanzada.

Otro caso ligado con el ejemplo anterior, es el de la Secretaría de Economía, que se vuelve el funcionario de Registro Público de Comercio que tiene que firmar la inscripción de esta sociedad a través de la implementación de la Firma Electrónica Avanzada del director general de Normatividad Mercantil. Esto es importante en procesos sistematizados, en este caso no se utiliza la Firma Electrónica personal ya que tiene otras constituciones, pero la Secretaría de Economía como Autoridad Certificadora emite una Firma Electrónica de propósito específico, que, en este caso sería el de inscribir Sociedades por Acciones Simplificadas.

Una de las ventajas de la versión 3 de los certificados es que te permite asignar propósitos específicos a las firmas.

Para poder automatizar estos procesos, la Secretaría de Economía cuenta con equipos Hardware Security Module (HSM). Para el proceso de automatizado, se requiere la firma y se manda el documento o mensaje de datos que se tiene que firmar al HSM, en donde con todas las medidas de seguridad se realiza la firma y sale el documento ya firmado.

¿Aún no conoces los HSM?

Te explicamos brevemente. Un Hardware Security Module es un módulo criptográfico cuya finalidad es resguardar las llaves o la Firma Electrónica de las personas. Entre las características por las cuáles lo utiliza la Secretaría de Economía, encontramos que estos equipos cumplen con estándares de seguridad como la Certificación FIPS 140-2 nivel 3, que protege la información de cualquier intento de vulneración del dispositivo o llaves criptográficas, provocando que estas se borren y no puedan acceder a la información.

De esta manera, se empieza a contar con procesos electrónicos sustentados por dos elementos importantes, el primero siendo la Firma Electrónica como tal y el segundo el HSM que, para efectos prácticos, se vuelve un medio de confianza para poder garantizar que se está firmando con una firma que no está vulnerada. Puedes generar N cantidad de operaciones sin que tenga que intervenir una persona ingresando su contraseña en cada momento, porque tienes la seguridad de que esa firma se generó dentro de un módulo seguro, que, de haber sido vulnerado, hubiera destruido todo su contenido.

Hoy en día, son pocas las organizaciones que utilizan los HSM y la realidad es que la mayoría debería estarlos implementando no sólo para resguardar las firmas de documentos sino también por el tema de protección de datos personales y seguridad de la información, sobre todo en una época donde los hackeos están a la orden del día. Todos deberíamos tener nuestras bases de datos cifradas y las llaves de cifrado y descifrado deberían estar en un módulo criptográfico. Aun cuando el costo de procesamiento pudiera demorar la velocidad de la operación, es importante poner por encima la seguridad de nuestros datos a la velocidad de respuesta.

Actualmente se cuenta en el mercado con diferentes opciones en cuanto a equipos HSM físicos, así como los más innovadores HSM Cloud, que significan una oportunidad más accesible para las distintas empresas. Los hardware criptográficos tienen la reputación de ser exclusivamente de los grandes bancos y grandes procesadores, pero hoy día, mientras vamos evolucionando en el mundo digital, en nuestra digitalización como empresas y procesos electrónicos, nos vemos en la necesidad del uso de firmas ya no sólo para declarar impuestos o para toda la parte del seguro social, sino también para dar fe sobre lo que nosotros firmamos o autorizamos.

En la segunda parte de este artículo ahondaremos sobre el uso HSM Cloud y las ventajas que representan para la firma electrónica y sus casos de uso.

Si tienes alguna duda sobre los Casos de uso de la Firma Electrónica - Parte 1 no dudes en contactarnos

Asunto:

Para poder continuar es necesario que aceptes el Aviso de Privacidad

Suscríbete a nuestro boletín 

Suscríbete a nuestro boletín 

Recibe en tu correo novedades y artículos sobre ciberseguridad y HSM

You have Successfully Subscribed!