Guía Esencial de Seguridad para tu Firma Electrónica

1. ¿Qué es un certificado de firma electrónica?

Un certificado de firma electrónica, o simplemente firma electrónica, es un archivo digital que permite identificar a una persona física, cuya identidad ha sido previamente validada por una Autoridad de Registro Certificada. Funciona como tu cédula de identidad en el mundo digital, garantizando quién eres al realizar trámites y firmar documentos.

2. ¿Quién está autorizado a emitir certificados en Ecuador?

Las autoridades de registro son empresas u organizaciones que han obtenido un título habilitante en la ARCOTEL (Agencia de Regulación y Control de las Telecomunicaciones) para poder validar la identidad de una persona y emitir un certificado de firma electrónica.

Puedes consultar la lista oficial de entidades acreditadas en el siguiente enlace:
Listado oficial de ARCOTEL

3. ¿Es legal el uso de la firma electrónica?

Sí. En Ecuador, por ley, la firma electrónica tiene exactamente el mismo peso legal y validez que una firma manuscrita. Su uso es recomendado para dinamizar la economía digital y acelerar los procesos de transformación digital tanto en empresas como en el Gobierno.

4. ¿Qué se puede firmar con firma electrónica?

Se puede firmar prácticamente cualquier documento público o privado. Sin embargo, existen excepciones específicas dispuestas por la ley notarial que requieren presencialidad obligatoria. Estas son:

1. Celebración de testamento cerrado.
2. Autorización de salida del país de menores de edad.
3. Apertura y publicación de testamento cerrado.
4. Notificación de traspaso de créditos y cesiones de derechos.
5. Sorteos, apertura de casilleros u otra constatación física por parte de notarías.
6. Autenticación de firmas puestas ante notario en documentos que no sean escrituras públicas.
7. Registro de firma física de servidores o representantes legales de personas jurídicas.
8. Dar fe de la supervivencia de las personas naturales.

5. Aspectos Fundamentales de Seguridad

La seguridad de tu firma electrónica se basa en dos pilares: cómo la obtienes y cómo la usas.

🔒 Seguridad en el Proceso de Obtención

Las autoridades de registro deben ofrecer procesos (presenciales o remotos) que garanticen la correcta validación de tu identidad. En los procesos remotos, es crucial que utilicen tecnologías robustas como:

• Pruebas de vida (liveness detection): Para asegurar que eres tú en tiempo real y no una foto o video.
• Consulta de datos al Registro Civil: Para verificar que tu información es correcta.
• Validaciones biométricas: Como el reconocimiento facial.

🔑 Seguridad en el Uso de la Firma

Con tu firma electrónica puedes firmar desde documentos PDF hasta facturas electrónicas. El titular del certificado es el único responsable legal de su uso. Si compartes tu archivo de firma y tu clave con un tercero, serás legalmente responsable de todo lo que esa persona firme en tu nombre.

6. Ataques Comunes a la Seguridad

Existen varios escenarios donde la seguridad de una firma puede ser vulnerada.

Obtener una firma de manera fraudulenta

Algunos proveedores sacrifican la seguridad por la comodidad, pidiendo solo una selfie y una foto de la cédula. Esto crea un riesgo de "replay de evidencias", donde un actor malicioso podría usar esas mismas fotos para solicitar una segunda firma a tu nombre sin tu consentimiento.

Usar una firma fraudulenta en actividades delictivas

Una firma obtenida fraudulentamente puede ser usada para:

• Crear empresas fantasma (SAS) para actividades ilícitas.
• Abrir cuentas bancarias para lavado de activos.
• Obtener créditos sin intención de pago.

Abuso de la firma de una persona de confianza

Compartir tu firma y clave con contadores, abogados o asistentes, aunque sean de confianza, abre la puerta a posibles abusos. Un mal uso puede ir desde firmar documentos sin autorización hasta transferir bienes o adquirir deudas a tu nombre.

Ataques a la infraestructura de prestadores de servicios

Al subir tu certificado y clave a plataformas en la nube (facturación electrónica, gestión documental), confías en su seguridad. Si estas empresas sufren un ciberataque, tus credenciales pueden ser robadas y utilizadas masivamente de forma indebida.

7. ¿Cómo Proteger tu Identidad Digital y tu Firma?

Sigue estos lineamientos para mantener tu firma electrónica segura y bajo tu control.

1. Usa procesos de obtención seguros: Si obtuviste tu firma con un método de baja seguridad (como una simple selfie), considera revocarla y obtener una nueva con un proveedor que ofrezca validación robusta (ej. prueba de vida). Es una pequeña inversión que previene grandes problemas.
2. No compartas tu firma ni tu clave: Si ya lo hiciste, revoca ese certificado y obtén uno nuevo. Nadie, ni siquiera tu personal de máxima confianza, debería tener una copia. Ellos también pueden ser víctimas de robos.
3. Revisa los términos de las plataformas en la nube: Si usas un servicio de facturación o firma automática, lee sus términos y condiciones. Entiende qué garantías te ofrecen en caso de una brecha de seguridad.
4. Considera tener una firma solo para facturación: Si facturas electrónicamente y además firmas otros documentos, es ideal tener dos certificados distintos. Como cada uno tiene un número de serie único, si tu firma de facturación es usada indebidamente, será más fácil demostrar que la brecha ocurrió a través de ese proveedor.
5. Usa firmas transaccionales de un solo uso: Si firmas documentos de manera esporádica, esta es la mejor opción. Al ser de un solo uso, se elimina el riesgo de pérdida de control a largo plazo.
6. Utiliza plataformas seguras de firmado: El aplicativo gratuito FirmaEC del gobierno es seguro, ya que no requiere subir tu certificado a la nube. Si prefieres un firmador online, usa el que te provee tu propia autoridad de registro, si lo ofrece.
7. Obtén una firma de uno o máximo dos años de vigencia: Una firma de larga vigencia (tres o más años) supone un gasto mayor. En caso de que tengas que revocar tu firma por seguridad, habrás perdido esa inversión.