Por qué las firmas electrónicas simples no deben acercarse a tus documentos legales.

Una firma electrónica simple (SES) es básicamente un nombre digital garabateado en un documento. Demuestra que firmaste algo. Eso es todo. No demuestra quién eres. No demuestra que el documento no haya sido modificado. No demuestra que entendieras lo que firmabas. Es el equivalente legal de una promesa de meñique.

Lo que una SES hace realmente: demuestra que se produjo una firma. Alguien hizo clic en un botón en este documento concreto. Nada más.

• No verifica la identidad. Podrías ser tú. Podría ser alguien usando tu correo. Al sistema le da igual.
• No demuestra que el documento esté inalterado. Un contrato puede modificarse tras la firma y la firma sigue apareciendo en la versión final.
• No se sostiene en documentos sensibles. Los tribunales han considerado la SES insuficiente para contratos, documentos financieros, registros sanitarios y transacciones inmobiliarias.
• No aporta rastro de auditoría. ¿Cuándo firmaste? ¿Desde dónde? ¿Con qué dispositivo? A la SES le da igual.

Usar una SES para un documento legal es como cerrar la puerta de casa y dejar todas las ventanas abiertas. Has hecho algo que parece seguridad. No has asegurado nada en realidad.

Un escenario real que ocurre más a menudo de lo que nadie quiere admitir. Eres consultor. Firmas un documento de alcance de trabajo con un cliente usando una plataforma que solo ofrece SES. Recibes un pago parcial. Tres meses después, el cliente impugna los términos. Afirma que la versión que firmó tiene condiciones de pago distintas a la que firmaste tú. Modifica el documento en sus archivos y afirma que aceptaste esa versión.

Tu SES no te ayuda. Demuestra que firmaste algo. No demuestra qué versión firmaste ni que no haya sido modificada. El contrato es vulnerable. Tienes una firma en un documento pero ninguna prueba de lo que el documento realmente decía cuando lo firmaste.

Si hubieras usado una firma electrónica avanzada (AES), el documento estaría sellado criptográficamente. Cualquier modificación tras la firma rompe el sello y es inmediatamente visible. Tendrías prueba con sello de tiempo de qué versión firmaste exactamente y cuándo. La disputa se resuelve trivialmente.

No es un caso raro. Es una vulnerabilidad legal real que existe cada vez que usas SES para algo que importa.

Con una SES, la firma no prueba nada sobre quién firmó realmente el documento. Cierras un contrato con un nuevo proveedor. La SES parece venir de su CFO, john@vendor.com. Excepto que no es su CFO. Es su persona de TI usando el correo del CFO (pasa), o alguien suplantando la dirección, o alguien con acceso a la cuenta.

¿Lo autorizó realmente la empresa? No lo sabes. La SES no verifica nada. Solo significa que alguien con acceso a ese correo firmó un documento. Para un contrato legal, eso ni de lejos basta.

Por eso los tribunales rechazan cada vez más la SES en contratos. No prueba autorización. Prueba que apareció una firma.

Una firma electrónica avanzada exige una autenticación razonable. Verificas la identidad del firmante. El documento queda sellado criptográficamente tras la firma. Cualquier modificación es inmediatamente visible. Obtienes un rastro de auditoría con sello de tiempo de quién firmó qué y cuándo.

En prácticamente cualquier jurisdicción es legalmente suficiente para la mayoría de contratos, documentos financieros y acuerdos comerciales.

Una firma electrónica cualificada exige identidad verificada por un prestador cualificado de servicios de confianza. Piénsalo como una firma electrónica notarial — el máximo nivel de garantía.

Usa QES cuando:

• Firmas algo que podría terminar en los tribunales con partes internacionales.
• Manejas propiedad intelectual sensible.
• Comprometes recursos financieros importantes.
• Trabajas a través de fronteras y quieres cero ambigüedad sobre quién firmó qué.

La QES lleva más tiempo y cuesta más. Pero para documentos de alto riesgo, es un seguro que vale la pena pagar.

Seamos concretos.

Escenario 1: SES para un contrato laboral. El empleado trabaja tres meses y luego afirma que nunca aceptó los términos. Presenta pruebas de que alguien con acceso al correo de RR. HH. podría haber firmado. Va a juicio. Tu SES no prueba nada. Pierdes el caso o pagas un acuerdo caro.

Escenario 2: SES para un contrato con proveedor. El proveedor afirma que firmó una versión distinta a la que tú haces cumplir. La SES no demuestra que el documento no haya sido modificado. Estás en una disputa que la SES no puede resolver.

Escenario 3: SES para un compromiso financiero. Alguien firma algo que dice no haber autorizado. La SES demuestra que alguien con su correo firmó. No demuestra que esa persona hiciera clic en el botón. Te defiendes de una reclamación que la SES no puede refutar de forma definitiva.

No son hipótesis. Son escenarios de litigio que ocurren cuando las empresas eligen mal el nivel de firma.

Algunos proveedores de firma electrónica ofrecen SES porque es barato y fácil. Ganan dinero por volumen. swipesign deliberadamente no ofrece SES para documentos legales — porque la plataforma respeta a sus usuarios más de lo que respeta el volumen de transacciones.

Consulta las opciones de firma de swipesign para ver qué niveles de firma están realmente disponibles. Si un proveedor te ofrece SES para contratos, pregúntate por qué quiere venderte algo que no aguantará una disputa real.

El coste real de usar el nivel de firma equivocado no es la firma en sí. Es la disputa que sigue cuando la firma no prueba lo que creías que probaba.

Si tus documentos legales están firmados con SES, no tienes un contrato. Tienes un garabato digital que alguien dice haber hecho. La diferencia importa más de lo que crees.