001 Como funciona la Firma Electrónica Avanzada en México

 https://www.youtube.com/watch?v=WyqPMEPH0dA

Cómo Funciona la Firma Electrónica Avanzada (FEA) en México

La Firma Electrónica Avanzada (FEA) es un mecanismo legal y tecnológico que permite identificar al firmante de un documento digital, asegurando la integridad del mismo y la no repudiación (que no pueda negar su autoría). En México, es equivalente a una firma autógrafa y está regulada por la ley.

¿Qué es y para qué sirve?

  • Definición: Es un conjunto de datos electrónicos (un archivo digital con extensión .key o .cer) que asocia la identidad de una persona física o moral con un documento digital, garantizando:

    • Identidad: Quién firmó.

    • Integridad: Que el documento no ha sido alterado después de ser firmado.

    • No repudiación: Que el firmante no puede negar haberlo firmado.

  • Validez Legal: Tiene la misma validez jurídica que una firma manuscrita, según lo establecido en el Código de Comercio de México y la Ley de Firmas Electrónicas Avanzadas.

  • Usos Comunes:

    • Presentar declaraciones y trámites ante el SAT.

    • Firmar contratos, facturas electrónicas (CFDI) y órdenes de compra.

    • Realizar trámites ante el IMSS, INFONAVIT, Secretaría de Economía (e.firma para empresas).

    • Intercambiar documentos legales con socios, clientes o proveedores.

¿Quién la Emite? El PAC (Prestador de Servicios de Certificación)

La FEA no la genera el usuario, sino una entidad autorizada y supervisada por el gobierno mexicano. Estas entidades se llaman Prestadores de Servicios de Certificación (PAC).

  • Función del PAC: Actúan como un "notario digital". Verifican tu identidad de manera fehaciente y, una vez comprobada, te emiten tu Firma Electrónica Avanzada (también conocida comúnmente como e.firma o FIEL - Firma Electrónica Avanzada).

  • Ejemplos de PAC: El SAT es un PAC para fines fiscales. También existen PACs privados autorizados, como:

    • I.D.C.A. (Indentificación Certificada Avanzada)

    • CAMERFIRMA

    • FIELSUR

    • SERFILEC

    • Entre otros.

Componentes Técnicos Clave (Cómo Funciona por Dentro)

Para entenderlo, imagina una caja fuerte con dos llaves:

  1. Llave Privada (archivo.key):

    • Es un archivo cifrado y protegido por una contraseña (o frase de seguridad) que solo tú conoces.

    • NUNCA se debe compartir. Es la parte más crítica de tu firma. Quien tenga este archivo y su contraseña, podrá firmar en tu nombre.

    • Se usa para "cifrar" o crear la firma única del documento.

  2. Certificado Digital (archivo.cer):

    • Es el documento que contiene tus datos de identificación (RFC, nombre, etc.) y tu Llave Pública.

    • SÍ se puede compartir. Su función es permitirle a cualquier persona "verificar" que la firma de un documento fue hecha con tu Llave Privada correspondiente, sin revelar la llave privada misma.

    • Está avalado y firmado digitalmente por el PAC, lo que le da autenticidad.

  3. Contraseña (Frase de Seguridad):

    • La clave que desbloquea y permite usar tu Llave Privada. Sin ella, el archivo .key es inútil.

El Proceso de Firma en 4 Pasos:

  1. Obtención: Obtienes tu FEA (archivos .cer y .key) de un PAC, tras un proceso de presencial o en línea de verificación de identidad.

  2. Hash (Resumen): El software de firma (ej. el del SAT, o un programa especializado) toma el documento digital y, usando un algoritmo matemático, genera un "resumen digital" único llamado hash. Si se cambia incluso una coma en el documento, el hash cambia por completo.

  3. Cifrado con Llave Privada: Este hash es cifrado con tu Llave Privada (protegida por tu contraseña). El resultado de esta operación es la Firma Electrónica propiamente dicha.

  4. Adjuntar: La firma generada y una copia de tu Certificado Digital (Llave Pública) se adjuntan al documento original. El documento ahora está firmado (ej. un archivo .pdf con firma visible, o un .xml firmado).

El Proceso de Verificación en 3 Pasos:

  1. Extraer: La persona que recibe el documento firmado extrae la firma electrónica y el certificado adjunto.

  2. Descifrar: Usa la Llave Pública (del certificado) para descifrar la firma y obtener el hash original que tú enviaste.

  3. Comparar: El software calcula de nuevo el hash del documento recibido. Si este nuevo hash coincide exactamente con el hash descifrado con tu llave pública, significa que:

    • El documento no ha sido alterado (integridad).

    • Fue firmado con la Llave Privada que corresponde a esa Llave Pública (autenticidad e identidad).

https://i.imgur.com/5KjK2Vl.png

Guía Prática: Cómo Obtener y Usar tu e.firma (Para Personas Físicas ante el SAT)

El PAC más común para trámites fiscales es el SAT.

Requisitos:

  • CURP.

  • Identificación oficial vigente (INE, pasaporte).

  • Comprobante de domicilio (no mayor a 3 meses).

  • Correo electrónico.

  • Cita previa en el portal del SAT.

Proceso de Solicitud:

  1. Agenda tu cita en el portal del SAT (https://citas.sat.gob.mx).

  2. Asiste a tu cita en el módulo del SAT con tus documentos originales.

  3. Un funcionario verificará tu identidad.

  4. Te instalarán tu FEA (archivos .cer y .key) en una computadora del módulo y te pedirán que establezcas tu contraseña.

  5. ¡Haz una copia de seguridad inmediatamente! Guárdala en un USB y/o en un lugar muy seguro. No la pierdas.

Cómo Usarla:

  • En el Portal del SAT: Al ingresar al portal, seleccionarás la opción "Acceso con FIEL / e.firma". El sistema te pedirá que cargues tu archivo .cer y luego te pedirá la contraseña de tu llave privada (.key).

  • Para Firmar un CFDI: Tu software de facturación te guiará para seleccionar los archivos .cer y .key e ingresar la contraseña para firmar las facturas.

  • Para Firmar un PDF (ej. un contrato): Necesitarás un programa como Adobe Acrobat Reader DC. En la opción "Rellenar y firmar" -> "Certificar con firma digital", te pedirá seleccionar tu certificado (.cer) y luego la contraseña de tu llave privada.

Diferencias Clave: FEA vs. Firma Digital SAT (e.firma) vs. Sello Digital (CSD)

CaracterísticaFirma Electrónica Avanzada (FEA) / e.firma / FIELSello Digital del CFDI (CSD)
TitularPersona Física o Moral (ej. un contribuyente)Persona Moral (la empresa) o Persona Física con actividad empresarial
Uso PrincipalIdentificar al individuo. Trámites personales (declaraciones, solicitudes) y para firmar como representante legal.Identificar al emisor de un Comprobante Fiscal Digital (CFDI). Asegura que la factura viene de ese RFC.
VigenciaAprox. 4 años (debe renovarse)Aprox. 4 años (debe renovarse)
EmisorPAC (SAT u otros autorizados)PAC (SAT exclusivamente para fines fiscales)
Archivos.cer (Certificado) y .key (Llave privada).cer (Certificado) y .key (Llave privada)

Consejos de Seguridad CRÍTICOS

  • Nunca compartas tu Llave Privada (.key) ni su contraseña.

  • Guarda tus archivos .cer y .key en un lugar seguro, preferentemente encriptado y en múltiples copias (USB, nube segura con 2FA).

  • No la guardes solo en tu computadora. Si falla el disco duro, la perderás.

  • Usa contraseñas robustas (mayúsculas, minúsculas, números, símbolos) para proteger tu .key.

  • Revoca tu firma inmediatamente si crees que ha sido comprometida (contactando a tu PAC).

Descargo de responsabilidad: Este tutorial es una guía informativa. Los procedimientos y requisitos pueden cambiar. Siempre consulta los portales oficiales (SAT, PACs) para la información más actualizada y precisa.

¿Cómo Funciona la Firma Electrónica en México?

Introducción: ¿Qué es la Firma Electrónica Avanzada?

La Firma Electrónica Avanzada (FEA) es un conjunto de datos electrónicos que se adjuntan a un mensaje o documento digital. Su propósito es identificar al emisor del mensaje como su autor legítimo, otorgándole el mismo valor legal que una firma autógrafa tradicional. En esencia, es el equivalente digital de su firma manuscrita y su sello personal.

Bases Legales

En México, la Firma Electrónica Avanzada está respaldada por un robusto marco jurídico que le confiere plena validez legal:

  • Ley de Firma Electrónica Avanzada: Regula específicamente el uso y los requisitos de la FEA.

  • Código de Comercio: Establece su equivalencia con la firma autógrafa en operaciones mercantiles.

  • Código Federal de Procedimientos Civiles: Le otorga el mismo valor probatorio en un juicio que un documento físico firmado.

  • Norma Oficial Mexiana NOM-151-SCFI-2016: Define los requisitos de conservación de mensajes de datos (constancia de conservación), crucial para la validez a largo plazo.

Los 3 Pilares Fundamentales para Firmar

Para realizar una firma electrónica válida se requieren tres elementos esenciales:

  1. El Documento a Firmar:

    • Se puede firmar cualquier tipo de archivo digital: PDF, Word, Excel, imágenes, videos, etc.

    • El formato PDF es el estándar de la industria por su amplia aceptación y capacidad para mantener la integridad del documento.

  2. El Certificado de Identidad Digital (FIEL):

    • Es su identificación oficial en el mundo digital, emitida por una Autoridad Certificadora autorizada (como el SAT para trámites fiscales).

    • Para obtenerla, debe acreditar su identidad de manera presencial con documentación (acta de nacimiento, comprobante de domicilio, INE) y biométricos (foto, huellas dactilares, escáner de iris).

    • El certificado se entrega en un archivo que contiene una Llave Pública (para verificar su identidad) y una Llave Privada (para firmar, protegida por una contraseña que solo usted conoce). Usted es el único responsable de su custodia.

  3. El Prestador de Servicios de Certificación (PSC):

    • Es una empresa autorizada por la Secretaría de Economía que actúa como un "notario digital". Su función es:

      • Emitir sellos de tiempo (Timestamp) que certifican la fecha y hora exacta de cada firma.

      • Proporcionar la Constancia de Conservación NOM-151, que da fe de la integridad y validez legal del documento firmado a lo largo del tiempo.

El Proceso de Firma, Paso a Paso

Paso 1: Generación de la Huella Digital (Hash)

  • Usted sube el documento (ej. un PDF) a la plataforma de firma (como Digita Firma).

  • El sistema procesa el archivo mediante un algoritmo matemático (SHA-256).

  • Este algoritmo genera un "hash" o huella digital único: una cadena fija de 64 caracteres que actúa como el ADN del documento.

  • ¿Por qué es importante? Cualquier modificación mínima en el documento (cambiar una coma, un pixel) resultará en un hash completamente diferente, alertando sobre una alteración.

Paso 2: Invitación a los Firmantes

  • Usted ingresa los correos electrónicos de hasta 10 firmantes y/o testigos (personas que solo reciben notificaciones del proceso).

  • Cada firmante recibe un correo con una copia exacta del documento para su revisión previa.

Paso 3: Generación de la Firma y Sello de Tiempo

  • Cuando un firmante da su consentimiento, se produce la firma electrónica.

  • Esto sucede al unir matemáticamente el hash del documento con el certificado de identidad digital (FIEL) del firmante.

  • Inmediatamente, la plataforma solicita automáticamente al PSC un sello de tiempo (Timestamp), que certifica la fecha y hora exactas de la firma de manera irrevocable.

  • Este proceso se repite por cada firmante, generando una firma única para cada uno.

Paso 4: Obtención de la Constancia de Conservación NOM-151

  • Una vez que todos han firmado, la plataforma solicita la Constancia de Conservación al PSC.

  • Nota crucial: Solo se envía al PSC el hash del documento (la huella digital de 64 caracteres), nunca el contenido del documento mismo. Esto garantiza la máxima privacidad y confidencialidad de su información, ya que es imposible reconstruir el documento original a partir del hash.

Resultado Final: Los Documentos Descargables

Al concluir el proceso, usted puede descargar:

  1. El PDF Firmado: Disponible en dos versiones:

    • Con hoja de firmas: Muestra las firmas de forma visual.

    • PDF/A: Un formato de archivo estándar para la preservación a largo plazo.

  2. Un Archivo XML: Contiene:

    • Una copia del documento original.

    • El PDF con las firmas incrustadas.

    • Las firmas electrónicas de cada participante.

    • La Constancia de Conservación NOM-151, que es el comprobante definitivo de la validez legal del proceso.

¿Tiene dudas?

Estamos para ayudarle. Puede contactarnos a través de:

Este tutorial fue creado con información proporcionada por Digita Firma para educar sobre el funcionamiento de la Firma Electrónica Avanzada en México



Comentarios

Publicar un comentario

Entradas más populares de este blog

firma digitales PKI utilizando solo javascript y node,

Puedes hacerme una aplicacion de firma digitales PKI utilizando solo javascript y node,   Crear una aplicación de firma digital basada en Infraestructura de Clave Pública (PKI) utilizando JavaScript y Node.js implica varios pasos importantes. A continuación, te proporcionaré una guía básica para implementar una solución simple de firma digital utilizando Node.js. Esta aplicación incluirá la generación de claves, la creación de una firma digital y la verificación de dicha firma. Requisitos Previos Node.js instalado en tu máquina. Familiaridad básica con JavaScript y Node.js. Paquete crypto de Node.js para operaciones criptográficas. Paso 1: Configuración del Proyecto Crea un nuevo directorio para tu proyecto y navega a él: mkdir digital-signature-app cd digital-signature-app Inicializa un nuevo proyecto de Node.js: npm init -y Instala las dependencias necesarias: Aunque el paquete crypto es parte de Node.js, necesitaremos algunas utilidades adicionales para manejar archivos ...
Leer más

convertir un certificado .key a formato PEM utilizando solo la Web Crypto API

 es posible convertir un certificado .key a formato PEM utilizando solo la Web Crypto API, sin la necesidad de utilizar una biblioteca adicional como Forge. Aquí te dejo un ejemplo completo de cómo hacerlo: html Copiar Editar <!DOCTYPE html > < html > < head > < title >Convertir certificado .key a formato PEM </ title > < meta charset = "utf-8" > </ head > < body > < h1 >Convertir certificado .key a formato PEM </ h1 > < input type = "file" id = "fileInput" > < br > < textarea id = "output" rows = "10" cols = "80" > </ textarea > < script > const fileInput = document . querySelector ( '#fileInput' ); const outputTextarea = document . querySelector ( '#output' ); fileInput. addEventListener ( 'change' , () => { const file = fileInput. files [ 0 ]; const reader = n...
Leer más

Pilares de la firma electronica-pki-RSA

pilares de la firma electronica 1. Autenticidad (o Identificación del Firmante) Este pilar asegura que se puede identificar de manera inequívoca a la persona que realiza la firma. ¿Cómo se logra?  Generalmente mediante la vinculación del acto de firma con un certificado digital emitido por un Prestador de Servicios de Confianza Cualificado (PSCCo). Este certificado acredita la identidad del firmante tras un proceso de verificación presencial o equivalente. Objetivo:  Responder a la pregunta:  "¿Quién firmó el documento?" . Impide que alguien pueda suplantar la identidad del firmante. 2. Integridad Garantiza que el documento firmado no ha sido alterado o modificado de ninguna manera después del momento de la firma. ¿Cómo se logra?  A través de algoritmos criptográficos (como el Hash o resumen digital). Cuando se firma un documento, se genera un "resumen único" del mismo. Cualquier cambio mínimo en el documento original resultaría en un resumen completamente diferente...
Leer más