¿Alguna vez has enviado un correo ele­c­tró­ni­co uti­li­za­n­do un remitente falso? Este es el día a día de los es­ta­fa­do­res en Internet. Este tipo de acciones cri­mi­na­les son posibles gracias a que muchas empresas renuncian a una instancia de seguridad adicional al enviar facturas y otros do­cu­me­n­tos sensibles a sus clientes. El llamado phishing resulta es­pe­cia­l­me­n­te peligroso y se ha extendido mucho en los últimos años. Con él, personas sin es­crú­pu­los envían correos ele­c­tró­ni­cos, su­pue­s­ta­me­n­te, en nombre de empresas o re­mi­te­n­tes de confianza para acceder a los datos pe­r­so­na­les o in­fo­r­ma­ción de pago del de­s­ti­na­ta­rio.

La solución para este tipo de fraudes es el uso de firmas digitales. Con el envío de correos firmados ele­c­tró­ni­ca­me­n­te, el de­s­ti­na­ta­rio puede estar seguro de que el contenido del mensaje que ha recibido no ha sido ma­ni­pu­la­do y el remitente es, realmente, quien dice ser.

¿Cuál es la razón de ser de la firma digital?

Una firma ele­c­tró­ni­ca garantiza la in­te­gri­dad de los datos y del remitente de un correo ele­c­tró­ni­co. Ge­ne­ra­l­me­n­te, estas son uti­li­za­das para au­te­n­ti­car el origen de la in­fo­r­ma­ción digital, no solamente de correos o mensajes ele­c­tró­ni­cos, sino también de do­cu­me­n­tos y macros. Así, la firma digital cumple un propósito similar al de la firma sobre papel y es el de asegurar la au­te­n­ti­ci­dad de la persona o empresa ide­n­ti­fi­ca­da como remitente.

Con una signatura digital, también se está ga­ra­n­ti­za­n­do la seguridad de los datos tra­n­s­mi­ti­dos. Al crear una firma digital, el receptor impide que el contenido enviado sea mo­di­fi­ca­do o ma­ni­pu­la­do. En caso de di­fe­re­n­cias legales o litigios, la firma digital es, sin duda, el mejor mecanismo para ide­n­ti­fi­car el origen del correo ele­c­tró­ni­co. De esta forma es posible demostrar la conexión entre el firmante y los co­n­te­ni­dos enviados.

Di­fe­re­n­cias entre la firma digital y la firma de correo ele­c­tró­ni­co

La firma digital no debe co­n­fu­n­di­r­se con la firma co­n­fi­gu­ra­da pe­r­so­na­l­me­n­te en los programas de correo ele­c­tró­ni­co. La firma de un correo ele­c­tró­ni­co es el texto añadido al final del mensaje de un correo e incluye, por lo general, la in­fo­r­ma­ción de contacto del remitente, de la misma forma que para las cartas co­me­r­cia­les. De acuerdo con la directiva 1999/93/CE de la Unión Europea, recogida en la Ley 59/2003, la firma ele­c­tró­ni­ca dispone tres tipos de si­g­na­tu­ras ele­c­tró­ni­cas:

  • Simple: incluye un método de ide­n­ti­fi­ca­ción del firmante
  • Avanzada: ide­n­ti­fi­ca al remitente y garantiza la in­te­gri­dad del contenido
  • Re­co­no­ci­da: se ejecuta con un DSCF (Di­s­po­si­ti­vo Seguro de Creación de Firma) y cuenta con un ce­r­ti­fi­ca­do de seguridad en Internet

Así, estos di­fe­re­n­tes tipos de firmas se di­fe­re­n­cian en cuanto a su ejecución técnica y legal. La firma digital re­co­no­ci­da es la que ofrece el nivel más alto de seguridad y es, por lo tanto, la de mayor demanda.

Cómo crear una firma digital

Quien quiera firmar sus correos ele­c­tró­ni­ca­me­n­te, tiene a su di­s­po­si­ción dos es­tá­n­da­res di­fe­re­n­tes: S/MIME y OpenPGP. Ambos operan bajo el mismo principio, pero utilizan di­fe­re­n­tes formatos de datos. Solo algunas so­lu­cio­nes de software soportan, si­mu­l­tá­nea­me­n­te, ambos formatos. El principio básico para crear una firma digital es el llamado cifrado asi­mé­tri­co, donde el remitente cuenta con dos claves: una privada y una pública. El programa de correo ele­c­tró­ni­co del remitente genera au­to­má­ti­ca­me­n­te una suma de co­m­pro­ba­ción del contenido del mensaje, cifra la suma de co­m­pro­ba­ción con la clave privada y la añade al correo ele­c­tró­ni­co. La clave pública es enviada de forma adjunta o por el receptor a través de un di­re­c­to­rio público. El programa de correo del de­s­ti­na­ta­rio descifra la suma de co­m­pro­ba­ción, la calcula de nuevo y comprueba los re­su­l­ta­dos. Si los re­su­l­ta­dos coinciden, quiere decir que el mensaje ha sido firmado con la clave privada y que esta se co­rre­s­po­n­de con la clave pública. Así, la au­te­n­ti­ca­ción se habrá realizado de forma exitosa y, por lo tanto, el mensaje no habrá sido ma­ni­pu­la­do. El único requisito para el uso de firmas digitales es que el cliente de correo haya sido co­n­fi­gu­ra­do pre­via­me­n­te para ello. Una vez co­n­fi­gu­ra­do, el proceso an­te­rio­r­me­n­te me­n­cio­na­do se ejecutará au­to­má­ti­ca­me­n­te en el fondo. Si deseas una ex­pli­ca­ción más detallada al respecto, visita la página de ayuda de Microsoft Outlook y Mozilla Thu­n­de­r­bi­rd.   Ahora bien, ¿cómo asigna el remitente la clave pública? Este pro­ce­di­mie­n­to solo tiene sentido si la clave pública del de­s­ti­na­ta­rio concuerda ine­quí­vo­ca­me­n­te con la del remitente. Es por esto que el organismo de ce­r­ti­fi­ca­ción oficial (Ce­r­ti­fi­ca­tion Autority) solo genera la clave después de la ide­n­ti­fi­ca­ción del remitente. De esta forma, la clave solo es válida cuando es ce­r­ti­fi­ca­da por la CA. Debido a que el equipo del de­s­ti­na­ta­rio debe reconocer la clave para ga­ra­n­ti­zar la au­te­n­ti­ci­dad del ce­r­ti­fi­ca­do, este debe ser de­s­ca­r­ga­do e instalado desde la autoridad de ce­r­ti­fi­ca­ción co­rre­s­po­n­die­n­te. Una vez instalado, el programa de correo lo re­co­no­ce­rá au­to­má­ti­ca­me­n­te.

Los niveles de confianza de los ce­r­ti­fi­ca­dos

El par de claves que se utiliza para firmar di­gi­ta­l­me­n­te los mensajes debe ser ve­ri­fi­ca­do por un organismo oficial de ce­r­ti­fi­ca­ción. Este se encarga de comprobar y confirmar la identidad del so­li­ci­ta­n­te. Existen di­fe­re­n­tes grados de ce­r­ti­fi­ca­ción y de­pe­n­die­n­do de lo estricto que sea el proceso de co­m­pro­ba­ción de identidad, se recibirán ce­r­ti­fi­ca­dos en las clases 1, 2 y 3:

  • Ce­r­ti­fi­ca­do de clase 1: en un ce­r­ti­fi­ca­do de esta clase, el so­li­ci­ta­n­te solo recibe un correo ele­c­tró­ni­co de la autoridad de ce­r­ti­fi­ca­ción cuya recepción debe confirmar.
  • Ce­r­ti­fi­ca­do de clase 2: para los ce­r­ti­fi­ca­dos de segunda clase, el so­li­ci­ta­n­te deberá presentar una copia de su ide­n­ti­fi­ca­ción personal ante la autoridad co­rre­s­po­n­die­n­te.
  • Ce­r­ti­fi­ca­do de clase 3: estos ce­r­ti­fi­ca­dos reúnen los pro­ce­di­mie­n­tos más estrictos de ide­n­ti­fi­ca­ción. En este caso, el so­li­ci­ta­n­te estará obligado a pre­se­n­tar­se pe­r­so­na­l­me­n­te. A menudo, aquí se utiliza el llamado método POSTIDENT, en el que el so­li­ci­ta­n­te debe pre­se­n­tar­se en una oficina de correos con su documento de identidad.

Ce­r­ti­fi­ca­dos es­pe­cia­les: Gateway o ce­r­ti­fi­ca­do de equipo

Los ce­r­ti­fi­ca­dos descritos an­te­rio­r­me­n­te se emiten, por lo general, para una dirección de correo ele­c­tró­ni­co, más es­pe­cí­fi­ca­me­n­te, para un remitente. En teoría, en una empresa, se necesita un ce­r­ti­fi­ca­do in­di­vi­dual para cada persona.

Los ce­r­ti­fi­ca­dos Gateway o de dominio son pa­r­ti­cu­la­r­me­n­te in­te­re­sa­n­tes. Estos ce­r­ti­fi­ca­dos son válidos para todas las di­re­c­cio­nes de correo ele­c­tró­ni­co de un mismo dominio (@tuempresa.es). El problema reside en que, a pesar de que el uso de este tipo de ce­r­ti­fi­ca­do ha sido es­ta­n­da­ri­za­do a nivel in­te­r­na­cio­nal, algunos clientes de correo no pueden manejarlo como antes. Outlook Express, por ejemplo, no permite enviar o recibir correos con este tipo de ce­r­ti­fi­ca­dos, y Microsoft Outlook lo considera como inválido y muestra un mensaje de error cuando recibe el mensaje.

Los llamados ce­r­ti­fi­ca­dos de equipo se utilizan para di­re­c­cio­nes de correo ele­c­tró­ni­co que no son ad­mi­ni­s­tra­das por personas in­di­vi­dua­les, como por ejemplo info@miempresa.es o apli­ca­cio­nes@miempresa.es. En este modelo no se presentan problemas de recepción o entrega, pues las co­n­di­cio­nes técnicas son las mismas para todos. La di­fe­re­n­cia radica, pri­n­ci­pa­l­me­n­te, en el pro­ce­sa­mie­n­to por parte del organismo de ce­r­ti­fi­ca­ción.

Re­qui­si­tos para crear una firma digital

Para disfrutar de los be­ne­fi­cios an­te­rio­r­me­n­te me­n­cio­na­dos, la firma digital debe cumplir con ciertas co­n­di­cio­nes. La mayoría de programas, in­clu­ye­n­do a Outlook, ponen en co­n­si­de­ra­ción estos re­qui­si­tos de forma au­to­má­ti­ca al enviar o recibir un correo con firma ele­c­tró­ni­ca y notifican cuando no se cumplen todas las co­n­di­cio­nes y, por lo tanto, no se puede asegurar la in­te­gri­dad de la firma.  Dado que toda firma digital siempre está asociada a un ce­r­ti­fi­ca­do, nunca está de más verificar que el ce­r­ti­fi­ca­do utilizado sea válido y actual. Es decir, que haya sido emitido por una autoridad de ce­r­ti­fi­ca­ción de confianza. Algunas de las entidades oficiales donde co­n­se­gui­rás más in­fo­r­ma­ción al respecto, son:

Firma digital vs. cifrado de correos ele­c­tró­ni­cos

A menudo, las firmas digitales se emplean en co­m­bi­na­ción con el cifrado de correo ele­c­tró­ni­co, pero sin embargo, son in­de­pe­n­die­n­tes. Firmar un correo ele­c­tró­ni­ca­me­n­te quiere decir que su autoría ha sido ce­r­ti­fi­ca­da por medio de una firma digital. Con esto, el correo está protegido de cualquier ma­ni­pu­la­ción, pero aún corre el riesgo de ser leído por terceros en su camino al de­s­ti­na­ta­rio. Con ello, es como si se estuviera enviando una postal en un sobre tra­n­s­pa­re­n­te, que se puede leer pero no so­bre­s­cri­bir.

El cifrado de mensajes, por su parte, va un paso más allá. Retomando el ejemplo de la postal, una postal cifrada se enviaría en un sobre opaco. Así, durante el envío, el contenido no es visible, y solo su de­s­ti­na­ta­rio (en este caso quien tiene la llave co­rre­s­po­n­die­n­te) puede abrir el sobre. De este modo, el mensaje es co­n­fi­de­n­cial y el proceso de envío está protegido co­m­ple­ta­me­n­te. Visita nuestra guía para más detalles sobre PGP o el cifrado de correos ele­c­tró­ni­cos.

Ir al menú principal