Saltar al contenido principal
swipesign

Firmas electrónicas simples: Teatro digital al precio de un correo electrónico.

Un contrato se firmó con lo que el proveedor llamó una «firma electrónica simple». Sin verificación de identidad. Sin cifrado. Sin protección contra manipulaciones. Más tarde, alguien afirmó que nunca lo había visto. Nadie pudo demostrar lo contrario.

Nuevo12 min de lecturaeIDAS · Compliance
Conclusiones clave
  • La SES tiene validez legal según eIDAS, pero no ofrece cifrado, ni verificación de identidad, ni protección contra manipulaciones.
  • La diferencia de precio entre SES y AES es mínima. La diferencia en seguridad es enorme.
  • La SES sirve para aprobaciones internas. No sirve para contratos que algún día puedan ser disputados.
  • swipesign no vende SES de forma deliberada: genera problemas posteriores para los clientes.

La firma electrónica simple (SES) es el teatro de seguridad de la era digital. Parece oficial porque es electrónica y está firmada. Resulta legítima porque utilizas una herramienta de firma digital. Pero técnicamente, solo es la prueba de que alguien probablemente hizo clic en algo, quizá. Eso es todo. Esa es toda la garantía.

Capítulo 01

Qué es realmente la firma electrónica simple

La SES es el mínimo absoluto. Bajo el Reglamento eIDAS, técnicamente tiene validez legal. Pero validez legal y seguridad real no son lo mismo.

Esto es lo que obtienes: un nombre, probablemente. Una marca de tiempo, quizá. Algún tipo de prueba de que el documento existe en un determinado estado en un momento concreto. Ese es todo el paquete.

Lo que NO obtienes con la SES
  • • Sin verificación de identidad: el firmante podría ser cualquiera.
  • • Sin cifrado: el documento viaja en texto plano.
  • • Sin protección contra manipulaciones: el contrato puede cambiar y la firma permanece.
  • • Sin autenticación significativa: normalmente solo un nombre escrito o un clic en «Acepto».

Compáralo con la firma electrónica avanzada (AES), que requiere certificados cualificados, cifrado, verificación de identidad y protección contra manipulaciones; o con la firma electrónica cualificada (QES), que exige verificación con documento de identidad oficial y opera bajo supervisión regulatoria.

La SES no es una versión ligera de la seguridad. Es la ausencia de seguridad disfrazada con el lenguaje de la firma digital.
Capítulo 02

El problema del cifrado

Seamos concretos sobre por qué la SES es básicamente correo electrónico.

Cuando envías un contrato por correo electrónico, viaja a través de una infraestructura de internet que podría ser inspeccionada, copiada o alterada en múltiples puntos. El destinatario no tiene forma de confirmar que no fue modificado durante el trayecto. Solo le queda confiar en que llegó tal cual.

La SES ofrece la misma garantía. Es decir, ninguna. El documento no está cifrado. No está vinculado criptográficamente al firmante. Simplemente está ahí, y cualquiera con acceso para interceptarlo puede leerlo o cambiarlo.

Las matemáticas lo cambian todo
AES y QES utilizan cifrado. La firma queda matemáticamente vinculada al contenido del documento. Cambia un solo carácter y la firma se rompe. Esto no es teoría: cualquier sistema de verificación competente lo detectará. La SES no ofrece tal garantía: puedes cambiar todas las cláusulas del contrato y la firma SES seguirá ahí, con exactamente el mismo aspecto.
Capítulo 03

El problema de la verificación de identidad

El correo electrónico tiene el mismo problema de identidad. Recibes un mensaje de alguien@empresa.com. Pero ¿realmente lo recibiste de alguien de esa empresa? ¿O alguien suplantó la dirección?

La SES funciona igual. Alguien escribe un nombre o un correo. ¿Es realmente esa persona? Nadie lo verificó. Ningún sistema comprobó nada.

SES
Alguien dice ser una persona. Esperas que lo sea.
AES
Comprobación telefónica, preguntas de seguridad, verificación por terceros.
QES
Documento oficial verificado por un prestador cualificado de servicios de confianza.
Capítulo 04

Cuándo la SES es casi aceptable

Hay situaciones en las que la SES está bien, porque en realidad no estás dependiendo de la firma para la seguridad. La estás usando con fines de flujo de trabajo o documentación.

  1. 1
    Aprobaciones internas dentro de tu propia organización

    Todos son tus empleados o contratistas. La firma es la documentación de que alguien hizo clic en "Apruebo". Puedes contrastarla con los registros del navegador, la IP o, simplemente, llamarles.

  2. 2
    Validaciones administrativas triviales

    Confirmar una política. Acusar recibo de un documento. Cambios de procesos internos. Si no hay nada en juego, la SES está bien.

  3. 3
    Partes con un historial de confianza establecido

    Un proveedor de larga relación que firma una renovación rutinaria. Si el fraude ya es improbable de por sí, la SES añade documentación sin añadir mucho riesgo.

Eso es todo. Cualquier otro caso necesita AES, o debería resolverse con firmas físicas ante testigos.

Capítulo 05

La trampa del coste

La mayoría de proveedores de SES cobra por firma. No es nada, pero tampoco mucho. Unos céntimos, quizá unos pocos euros como máximo. Los proveedores lo presentan como la opción económica.

Pero estas son las cuentas que se ignoran: pagas el mismo precio, o casi el mismo, que por una AES. La AES puede ser entre cinco y diez veces más segura, pero solo cuesta un diez o veinte por ciento más por firma. La diferencia de coste se mide en céntimos.

Estás pagando teatro de seguridad en lugar de seguridad real, y por casi el mismo dinero. Eso no es optimizar el presupuesto. Eso es comprar el producto equivocado.
Capítulo 06

Por qué swipesign omite la SES de forma deliberada

Omitimos la SES por completo y a propósito. No la vendemos. No la ofrecemos como opción. No la posicionamos como «el plan económico».

Porque la SES genera problemas más adelante. Alguien firma algo con SES creyendo que tiene una firma legalmente vinculante. No la tiene. Tiene la documentación de que alguien hizo clic en algo, probablemente. Si en algún momento necesita hacerla valer, está en apuros.

Cómo lo planteamos nosotros
Ofrecemos AES porque es la opción razonable para los contratos empresariales: verificación real de identidad, cifrado real, protección real contra manipulaciones. El coste es casi idéntico al de la SES; la seguridad es órdenes de magnitud mejor. Y ofrecemos QES cuando la situación lo exige: verificación con documento oficial, supervisión regulatoria y presunción de validez en disputas.
Capítulo 07

La valoración honesta

Si pagas por firmas digitales y alguien te ofrece SES, te están vendiendo algo diseñado para parecer seguro mientras apenas aporta seguridad real. Es como pagar por una alarma que solo enciende una luz cuando pulsas el botón. Técnicamente es una señal, funcionalmente es inútil.

La mayoría de los contratos empresariales necesitan, como mínimo, AES. Algunos necesitan QES. Nadie necesita realmente SES, salvo en situaciones en las que una firma física o un correo electrónico funcionarían igual de bien.

No seas la empresa a la que demandan por un contrato firmado con SES y descubre que la firma que creía legalmente vinculante es, en esencia, la prueba de que recibió un correo electrónico. Hazte al menos con AES. Hazte con seguridad real. La diferencia de coste es insignificante. La diferencia en el resultado, cuando las cosas se tuercen, es enorme.

¿Listo para firmar como es debido?

Olvida el teatro. Usa AES o QES desde el primer día.

swipesign te ofrece verificación real de identidad, firmas cifradas y registros de auditoría a prueba de manipulaciones, a un precio que hace parecer ridícula a la SES.

Empezar gratisVer precios

Sigue leyendo

Todos los artículos →
Guía
Los tres tipos de firma electrónica explicados
Leer artículo →
Guía
Firmas electrónicas legalmente vinculantes: tu guía
Leer artículo →