¿Firma digital en la nube?


Cuando los ciudadanos firmamos trámites en Internet con certificado electrónico la realidad es que existe una excesiva dependencia tecnológica del dispositivo cliente que hace que la configuración pueda llegar a ser ciertamente compleja y que requiera de ciertos conocimientos técnicos (Por ejemplo con el certificado de firma del DNI electrónico). Personalmente me ha ocurrido varias veces, en el momento de firmar un trámite electrónico, que la mayor parte del tiempo lo he dedicado a asuntos informáticos actualizando la última versión de Java, verificando la configuración y versión del navegador, los permisos de seguridad, que reconozca el lector de tarjetas etc.

Habitualmente los problemas están relacionados con:

a) Gestión e instalación correcta del software (y/o hardware en algunas situaciones) necesario para firmar: desde la versión del navegador, la máquina virtual de Java, drivers para el certificado o para la tarjeta criptográfica, el dnie, el software de firma etc. Es especialmente problemático en equipos obsoletos o con sistemas operativos de versiones anteriores que suelen tener problemas con la capacidad de recursos para poder disponer todo lo necesario.

b) La firma electrónica con terminales móviles, como smartphones o tablets, a fecha de hoy no es muy usada o la tecnología está poco madura y especialmente con la gestión e instalación de los certificados electrónicos o encontrar lectores de tarjeta criptográficas que sean compatibles con estos dispositivos. (Con la versión 3.0 del DNIe, que soporta tecnología inalámbrica de proximidad NFC,  se ha intentado minimizar evitando la necesidad del lector en terminales compatibles, sin embargo no es suficiente y la realidad es que el uso de firma electrónica en terminales móviles no está demasiado extendido y no todos los terminales soportan NFC).

Firma digital

Si bien la identificación electrónica parece que está relativamente resuelta, sin embargo, la firma digital supone una barrera en el uso de muchos procedimientos electrónicos que están a disposición para los ciudadanos.


“En cuanto a las causas por las que los usuarios de Internet con necesidad de enviar algún formulario cumplimentado a las Administraciones Públicas NO lo hicieron a través de Internet en el último año, el 49,0% declaró que fue porque lo tramitó por Internet otra persona en su nombre -un gestor, un asesor fiscal, un familiar o un conocido-, el 19,0% por falta de habilidades o conocimientos, el 13,6% por estar preocupado por la protección y seguridad de los datos personales y el 13,0% por no disponer de firma o certificado electrónico o por tener problemas con los mismos.“ – Instituto Nacional Estadística 2016.


Con el objetivo de simplificar la firma al interesado (aislando de las dependencias tecnológicas de su equipo) y manteniendo las suficientes garantías requeridas existen diferentes enfoques para intentar paliar los problemas anteriores:

1.- Sistemas de firma sin certificado electrónico, es decir, se prescinde del documento firmado por el prestador de servicios de certificación que garantiza el vínculo de los datos de firma con el firmante confirmando su identidad.  Normalmente se tratan de sistemas de firma basados en claves dinámicas en tarjetas, OTP (One-Time Password) enviadas a terminales móviles etc.

Estos sistemas son muy comunes en el ámbito privado y sobre todo en la banca online, sin embargo, en las administraciones públicas (al menos en España) normalmente no son lo suficientemente garantistas para cumplir la normativa y en la mayoría de los procedimientos administrativos precisan de mecanismos de firma con certificado electrónico.

Certificado electrónico


2.- Delegar la firma en la comparecencia electrónica: se trata de firmar solo cuando sea estrictamente necesario y considerar,  que para determinados servicios, si el interesado ha comparecido electrónicamente con las suficientes garantías en la autenticación y las acciones han sido auditadas por el sistema,  el propio sistema informático da fe y firma con un sello electrónico (certificado electrónico del organismo). Por ejemplo, si nos identificamos y accedemos a la apertura de una notificación, el sistema puede garantizar que el ciudadano autenticado ha realizado la apertura correspondiente en una determinada fecha y hora sin necesidad de que esta sea firmada electrónicamente por el ciudadano.

Esta opción no siempre es válida, sin embargo, es muy importante analizar el nivel de garantía requerido que permita la normativa para cada procedimiento y solicitar la firma al ciudadano solo cuando sea necesario.


3.- Firmar en la nube: el proveedor de servicio (o recomendablemente un tercer actor) será el responsable de la gestión y custodia de los certificados de firma.  Al realizar la firma el interesado expresará su voluntad (por ejemplo con una contraseña y un código OTP generado en el momento y enviado a un dispositivo móvil). En ese momento se desencadenará la firma del documento  en el servidor (“nube”) de tal forma que el certificado electrónico nunca saldrá del servidor custodio. El responsable de la custodia de los certificados debe ser una entidad de confianza y cumplir con las garantías de seguridad necesarias.

Un ejemplo de este enfoque en la administración española es la plataforma cl@ve y del dni en la nube (DNI-Nb) que se resume a continuación.


Cl@ve: Firma centralizada en la nube

Se trata de una plataforma que permite, para aquellos portales de administraciones públicas que se adhieran, autenticación (mediante certificado electrónico, una cl@ve permanente o un pin de 24 h de duración) y servicio de firma electrónica centralizada.

Centrándonos en la firma, el ciudadano podrá registrarse en el servicio presencialmente o con certificado electrónico y en este momento se generará su “certificado en la nube” (o dni-NB) en una infraestructura de servidores HSM (Hardware Security Module) donde estará doblemente encriptado y custodiado. (También se podrá elegir que la generación del certificado se produzca en la primera firma realizada).

Cada vez que firme un documento introducirá una clave  y recibirá un código OTP en su móvil. Cuando se haya realizado esta doble confirmación (“voluntad de firma”) se desencadenará el proceso de firma en el servidor (Básicamente se enviará una función resumen o hash al servidor donde se efectuará la firma y se devolverá un justificante). El certificado nunca sale del servidor que lo custodia.

La gran ventaja es que el ciudadano no tendrá que tener instalado un certificado y ningún dispositivo en su equipo y además se pretende que sea un sistema unificado para poder firmar digitalmente en los portales de internet de las administraciones públicas (quizá a futuro también se ofrezca para la adhesión de compañías en el ámbito privado).


Reseñar que el gestor de la plataforma y el responsable del fichero de los datos personales es la Secretaría General de la Administración Digital del Ministerio de Hacienda y Función Pública. Los certificados son generados y custodiados por la Dirección General de Policía (autoridad de certificación y prestador de Servicios de confianza), las firmas se realizarán en los servidores de la Seguridad Social (que dispondrá de un clon del servidor HSM con los certificados), y el registro o alta en el servicio será gestionado por la Agencia Tributaria.

Referente a los aspectos legales es importante comentar que se trata de un sistema de firma electrónica cualificado conforme la legislación europea (Reglamento UE 910/2014) y tiene la misma validez jurídica que la firma manuscrita (equivalente a la firma reconocida de la ley 59/2003 en España que trasponía la directiva 1999/93/CE derogada).

Se podría concluir que con el sistema cl@ve de firma centralizada en la nube se aportan las mismas garantías que con una firma digital en cliente con certificado electrónico, se facilita el proceso de firma al ciudadano y se amplía el uso de dispositivos para su relación electrónica con las administraciones. Por otro lado,  también se aprovechan las ventajas de tener un sistema unificado de firma para los portales de las administraciones públicas así como usar y compartir una plataforma común con la consecuente eficiencia y ahorro de costes.


HSM: Hardware Security Module, dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas.

NFC: Near Field Communication, Tecnología de comunicación inalámbrica, de corto alcance y alta frecuencia que permite el intercambio de datos entre dispositivos.

OTP: One-Time Password,  Contraseña o pin temporal es válida en solo una transacción o sesión y habitualmente es recibida en otro terminal asociado al interesado (por ejemplo su móvil).

Certificado electrónico: documento firmado electrónicamente por un prestador de servicios de certificación que vincula unos datos de verificación de firma a un firmante y confirma su identidad. (El prestador de servicios de certificación debe seguir una regulación: Ley 59/2003 en España).


DNI-nb - Cl@ve

Emisión y uso del dni - Cl@ve

Realización de la Firma - - Cl@ve

REGLAMENTO (UE) No 910/2014 relativo a la identificación electrónica y los servicios de confianza para las transacciones electrónicas en el mercado interior y por la que se deroga la Directiva 1999/93/CE

Encuesta sobre Equipamiento y Uso de TIC en los hogares - Nota de prensa Ine (Octubre 2016)
¿Firma digital en la nube? ¿Firma digital en la nube? Reviewed by Bloginnova on junio 01, 2017 Rating: 5
Con la tecnología de Blogger.