El papel de la firma digital para la seguridad en Internet

¿Alguna vez has enviado un correo electrónico utilizando un remitente falso? Este es el día a día de los estafadores en Internet. Este tipo de acciones criminales son posibles gracias a que muchas empresas renuncian a una instancia de seguridad adicional al enviar facturas y otros documentos sensibles a sus clientes. El llamado phishing resulta especialmente peligroso y se ha extendido mucho en los últimos años. Con él, personas sin escrúpulos envían correos electrónicos, supuestamente, en nombre de empresas o remitentes de confianza para acceder a los datos personales o información de pago del destinatario.

La solución para este tipo de fraudes es el uso de firmas digitales. Con el envío de correos firmados electrónicamente, el destinatario puede estar seguro de que el contenido del mensaje que ha recibido no ha sido manipulado y el remitente es, realmente, quien dice ser.

La firma digital no debe confundirse con la firma configurada personalmente en los programas de correo electrónico. La firma de un correo electrónico es el texto añadido al final del mensaje de un correo e incluye, por lo general, la información de contacto del remitente, de la misma forma que para las cartas comerciales. De acuerdo con la directiva 1999/93/CE de la Unión Europea, recogida en la Ley 59/2003, la firma electrónica dispone tres tipos de signaturas electrónicas:

• Simple: incluye un método de identificación del firmante

• Avanzada: identifica al remitente y garantiza la integridad del contenido

• Reconocida: se ejecuta con un DSCF (Dispositivo Seguro de Creación de Firma) y cuenta con un certificado de seguridad en Internet

Así, estos diferentes tipos de firmas se diferencian en cuanto a su ejecución técnica y legal. La firma digital reconocida es la que ofrece el nivel más alto de seguridad y es, por lo tanto, la de mayor demanda.

Quien quiera firmar sus correos electrónicamente, tiene a su disposición dos estándares diferentes: S/MIME y OpenPGP. Ambos operan bajo el mismo principio, pero utilizan diferentes formatos de datos. Solo algunas soluciones de software soportan, simultáneamente, ambos formatos.

El principio básico para crear una firma digital es el llamado cifrado asimétrico, donde el remitente cuenta con dos claves: una privada y una pública. El programa de correo electrónico del remitente genera automáticamente una suma de comprobación del contenido del mensaje, cifra la suma de comprobación con la clave privada y la añade al correo electrónico.

La clave pública es enviada de forma adjunta o por el receptor a través de un directorio público. El programa de correo del destinatario descifra la suma de comprobación, la calcula de nuevo y comprueba los resultados. Si los resultados coinciden, quiere decir que el mensaje ha sido firmado con la clave privada y que esta se corresponde con la clave pública. Así, la autenticación se habrá realizado de forma exitosa y, por lo tanto, el mensaje no habrá sido manipulado.

El único requisito para el uso de firmas digitales es que el cliente de correo haya sido configurado previamente para ello. Una vez configurado, el proceso anteriormente mencionado se ejecutará automáticamente en el fondo. Si deseas una explicación más detallada al respecto, visita la página de ayuda de Microsoft Outlook y Mozilla Thunderbird.  

Ahora bien, ¿cómo asigna el remitente la clave pública? Este procedimiento solo tiene sentido si la clave pública del destinatario concuerda inequívocamente con la del remitente. Es por esto que el organismo de certificación oficial (Certification Autority) solo genera la clave después de la identificación del remitente. De esta forma, la clave solo es válida cuando es certificada por la CA. Debido a que el equipo del destinatario debe reconocer la clave para garantizar la autenticidad del certificado, este debe ser descargado e instalado desde la autoridad de certificación correspondiente. Una vez instalado, el programa de correo lo reconocerá automáticamente.

El par de claves que se utiliza para firmar digitalmente los mensajes debe ser verificado por un organismo oficial de certificación. Este se encarga de comprobar y confirmar la identidad del solicitante. Existen diferentes grados de certificación y dependiendo de lo estricto que sea el proceso de comprobación de identidad, se recibirán certificados en las clases 1, 2 y 3:

• Certificado de clase 1: en un certificado de esta clase, el solicitante solo recibe un correo electrónico de la autoridad de certificación cuya recepción debe confirmar.

• Certificado de clase 2: para los certificados de segunda clase, el solicitante deberá presentar una copia de su identificación personal ante la autoridad correspondiente.

• Certificado de clase 3: estos certificados reúnen los procedimientos más estrictos de identificación. En este caso, el solicitante estará obligado a presentarse personalmente. A menudo, aquí se utiliza el llamado método POSTIDENT, en el que el solicitante debe presentarse en una oficina de correos con su documento de identidad.

Los certificados descritos anteriormente se emiten, por lo general, para una dirección de correo electrónico, más específicamente, para un remitente. En teoría, en una empresa, se necesita un certificado individual para cada persona.

Los certificados Gateway o de dominio son particularmente interesantes. Estos certificados son válidos para todas las direcciones de correo electrónico de un mismo dominio (@tuempresa.es). El problema reside en que, a pesar de que el uso de este tipo de certificado ha sido estandarizado a nivel internacional, algunos clientes de correo no pueden manejarlo como antes. Outlook Express, por ejemplo, no permite enviar o recibir correos con este tipo de certificados, y Microsoft Outlook lo considera como inválido y muestra un mensaje de error cuando recibe el mensaje.

Los llamados certificados de equipo se utilizan para direcciones de correo electrónico que no son administradas por personas individuales, como por ejemplo info@miempresa.es o aplicaciones@miempresa.es. En este modelo no se presentan problemas de recepción o entrega, pues las condiciones técnicas son las mismas para todos. La diferencia radica, principalmente, en el procesamiento por parte del organismo de certificación.

Para disfrutar de los beneficios anteriormente mencionados, la firma digital debe cumplir con ciertas condiciones. La mayoría de programas, incluyendo a Outlook, ponen en consideración estos requisitos de forma automática al enviar o recibir un correo con firma electrónica y notifican cuando no se cumplen todas las condiciones y, por lo tanto, no se puede asegurar la integridad de la firma. 

Dado que toda firma digital siempre está asociada a un certificado, nunca está de más verificar que el certificado utilizado sea válido y actual. Es decir, que haya sido emitido por una autoridad de certificación de confianza. Algunas de las entidades oficiales donde conseguirás más información al respecto, son:

• Portal de administración electrónica
• Real Casa de la Moneda
• Banco de España
• StartSSL

A menudo, las firmas digitales se emplean en combinación con el cifrado de correo electrónico, pero sin embargo, son independientes. Firmar un correo electrónicamente quiere decir que su autoría ha sido certificada por medio de una firma digital. Con esto, el correo está protegido de cualquier manipulación, pero aún corre el riesgo de ser leído por terceros en su camino al destinatario. Con ello, es como si se estuviera enviando una postal en un sobre transparente, que se puede leer pero no sobrescribir.

El cifrado de mensajes, por su parte, va un paso más allá. Retomando el ejemplo de la postal, una postal cifrada se enviaría en un sobre opaco. Así, durante el envío, el contenido no es visible, y solo su destinatario (en este caso quien tiene la llave correspondiente) puede abrir el sobre. De este modo, el mensaje es confidencial y el proceso de envío está protegido completamente. Visita nuestra guía para más detalles sobre PGP o el cifrado de correos electrónicos.