Published
- 6 min read
¿Cómo funciona la Firma Electrónica del SAT?
En México se habla mucho sobre firma electrónica después de que el Servicio de Administración Tributaria (SAT) comenzara a emitir certificados de Firma Electrónica Avanzada alrededor del 2005.
No obstante, y a pesar de existir alrededor de 22 millones de contribuyentes con su certificado de e.firma, su uso se ha limitado a operaciones tributarias para la mayoría de los mexicanos, quienes desconocen de sus alcances y efectos.
¿Qué es la e.firma del SAT?
En concreto, la e.firma es un conjunto de archivos que permite representar la voluntad del sujeto certificado a través de una operación computacional. Sin embargo, esta descripción ignora diferentes conceptos que son necesarios para entender el concepto de firma digital.
Sorprendentemente, el SAT ha logrado simplificar conceptos técnicos complejos tal como lo hizo con el Timbrado, que es una especie de “protocolo multi firma” y que es ampliamente conocido por contadores y empresarios sin conocer su funcionamiento técnico.
Por el contrario, en el caso de la e.firma, el término resultó contraproducente y confuso para los contribuyentes, retrasando la adopción de esta tecnología en otras áreas no gubernamentales. La razón es que los términos e.firma y firma electrónica presentan una dicotomía:
¿mi firma son los archivos? ¿o es cuando yo uso esos archivos?
En realidad, los archivos de tu e.firma funcionan como la tinta de una pluma. En el mundo real una firma se produce de tu puño y letra a través de un bolígrafo, mientras que en el mundo digital, tu firma se “traza” con los archivos de tu e.firma.
El trazo de tu e.firma es un mensaje de datos que está ligado al documento que firmaste y a ti a través del certificado
¿Cómo funciona esta la creación del trazo?
El SAT le entra a cada usuario varios documentos en su e.firma, de los que destacan principalmente dos:
- El certificado (.cer): Este es un documento electrónico que contiene los datos del firmante (RFC, CURP, entre otros), y además incluye el trazo de firma de la autoridad certificadora.
- La llave privada (.key): Este es un número secreto protegido por contraseña con el que puedes generar trazos de firmas.
El trazo es un producto de utilizar tu llave privada sobre un documento cuya integridad se garantiza por una función de resumen. Es por esta razón que el certificado es público y se puede compartir con cualquiera, ya que es el que vincula tus trazos con tu identidad.
De acuerdo al código de comercio y la Ley de Firma Electrónica
En términos simples, una firma digital es un procedimiento técnico que identifica la autorización de un sujeto firmante sobre el contenido de un documento. Esto es similar a los términos que utiliza el código de comercio para definir a la Firma Electrónica:
Los datos en forma electrónica consignados en un Mensaje de Datos, […], que son utilizados para identificar al Firmante en relación con el Mensaje de Datos e indicar que el Firmante aprueba la información contenida en el Mensaje de Datos
Nótese que el mismo código de comercio determina 2 diferentes mensajes de datos; uno de estos es el que identifica al firmante y su autorización, mientras que el otro es el que contiene la información que firmó. Desafortunadamente, esta definición no corresponde a tu e.firma, si no al resultado de utilizarla.
El problema con esta concepción es que mezcla dos artefactos distintos: la firma per sé, siendo los datos que representan un trazo individual de la pluma, y los datos de creación de firma electrónica, siendo los archivos que te entregó el SAT en una memoria USB, y para efectos del ejemplo: la pluma.
💡Una implicación de la separación entre pluma y tinta es que el trazo de la firma se puede separar del documento sin perder sus propiedades probatorias.
El mexicano tarjetahabiente promedio hace uso de una especie firma electrónica cuando inserta su PIN al realizar pagos con su tarjeta, por lo que te será más familiar el siguiente modelo mental:
- Datos de Creación de Firma: Tu NIP
- Firma Electrónica: Todos aquellos datos que produce la terminal bancaria para determinar que fuiste tú.
El principal problema con este esquema de firma electrónica es que requiere que el usuario y el banco acuerden por contrato el intercambio de claves (NIP). Este esquema de firma es, sin embargo, poco robusto y requiere fuertes garantías tecnológicas en punto de venta para garantizar identidad del tarjetahabiente.
¿Y lo de avanzada?
La Ley de Firma Electrónica Avanzada se publicó en 2012, e introdujo una amplia cantidad de conceptos que son bien conocidos para investigadores en seguridad computacional, entre ellos Clave Pública, Clave Privada y Certificado.
La principal razón por la que estos términos bien conocidos es porque utilizan el mismo procedimiento que usan los sitios web para mostrarte el candadito verde.
.zJcJsfjU_1VnjkC.webp "El famoso candadito verde aparece cuando una autoridad de confianza (e.g. Google) firma digitalmente un certificado que acredita al sitio para intercambiar información con el usuario.")
Es decir, la Ley de Firma Electrónica Avanzada introdujo los procedimientos más avanzados en técnicas de seguridad en el mundo para efectos de firma electrónica, permitiendo la identificación inequívoca del firmante.
Además, la ley le dió facultad a autoridades certificadas por el Banco de México para anclarse a su Infraestructura Extendida de Seguridad (IES), donde están registrados:
- Los certificados que identifican a Banxico
- Los certificados que identifican a las autoridades certificadoras (como el SAT) y firmados por Banxico
Estos últimos siendo aquellas entidades que pueden emitir un certificado de firma electrónica avanzada para personas físicas y morales, como el SAT.
Ventajas operativas de la Firma Electrónica Avanzada
Las características de la Firma Electrónica Avanzada confieren una serie de ventajas operativas para sus usuarios y aquellos negocios que permitan a sus usuarios firmar a través de este mecanismo:
- Integridad: Es imposible falsificar una firma electrónica siempre y cuando sea avanzada.
- No Repudio: Existe certeza total de que el firmante es quien dice ser siempre y cuando el firmante permanezca en control de sus datos de creación.
Estas características abren las puertas a la implementación de sistemas que pueden procesar datos firmados, lo que enriquece el marco operativo para empresas de base tecnológica.
En conclusión
La e.firma del SAT es una herramienta poco entendida en el contexto mexicano, pero que tiene implicaciones que pueden ser utilizadas para el desarrollo de productos y servicios novedosos en materia financiera y legal.
Contrario a las firmas electrónicas simples, los trazos producidos por la e.firma están vinculados al firmante a través de un certificado firmado por una autoridad certificadora autorizada, quien a su vez es identificada a través de otro certificado firmado por la Secretaría de Economía.
Esta firma electrónica avanzada además funciona siguiendo estándares avanzados de criptografía y seguridad informática, lo que le confiere una serie de ventajas operativas que se pueden explotar para el desarrollo de nueva oferta en servicios legales y financieros.