Una firma digitalizada no es una firma electrónica

Es ya habitual que a la hora de pagar con tarjeta de crédito, en todo tipo de comercios, supermercados, o grandes superficies, nos sorprendan con un nuevo aparato, en forma de tarjeta digitalizadora, que nos ofrecen amablemente para que garabateemos nuestra firma manuscrita. Seguro que se han encontrado con ellos, pero a continuación pueden ver tres ejemplos de este tipo de instrumentos:

fdigital.jpg

Pues bien, no sé si debo de ser la única persona desconfiada en este mundo, pero me parece que este tipo de artilugios no ofrecen ninguna garantía, teniendo en cuenta que lo que estas firmando y tu firma no están unidos mas que virtualmente por la aplicación del comercio. Cabría por tanto la posibilidad de que tu firma digitalizada fuera adjuntada a cualquier otro recibo, sin que hubiera realmente ninguna prueba física auditable de ello.

Llevando lo anterior a un caso real, imagínese usted que está en desacuerdo con un cargo pasado a su tarjeta, y solicita a través de su banco el comprobante firmado por usted; lo único que recibirá sera una fotocomposición con el recibo y su firma, sin que pueda ser verificada realmente la integridad del documento, ni desde luego, si de verdad firmó ese supuesto recibo. Póngase ahora en el peor caso, y piense qué podría pasar si una persona malintencionada llegara a entrar en la BBDD y se llevara los números de las tarjetas y las firmas digitalizadas…

Entiendo que gestionar los recibos firmados tiene problemas logísticos para las cadenas de comercios, y su digitalización aporta muchas ventajas, pero no entiendo que este documento se acepte como prueba por parte de las entidades bancarias, si bien es cierto que se asemeja a las ventas que se realizan por tarjeta por Internet, sin que medie en la transacción ninguna firma.

Expuestos mis recelos, ahora se preguntaran que hago yo cuando firmo en el supermercado y me sacan la tableta digitalizadora. Según me pilla el día y dependiendo de cómo se ponga la cajera hago una de las tres siguientes cosas:

1. No firmo con mi firma.
2. No firmo con mi firma y ademas añado en el campo de la firma la fecha y el importe (de este modo, si hubiera que comprobar el recibo estaría manuscrito en el campo firma).
3. Le pido a la cajera un papel físico indicándole que no quiero que digitalicen mi firma. En este caso siempre me lo han sacado, aunque con el añadido de complejidad por ser una operación que no siempre la cajera sabe cómo se hace; aunque también es cierto que en alguna ocasión al verme hacer cosas raras (véase 1 y 2), la propia cajera me ha ofrecido el papel.

Quizás me vean como un paranoico, pero creo que este es un ejemplo sencillo en el que las medidas de seguridad no protegen al usuario sino que le dejan en la indefensión, indefinición o debilidad técnica/jurídica. Sin olvidar que esta debilidad probatoria también entorpece el desarrollo de negocios provechosos.

Aproximaciones como esta a temas como el voto electrónico y la firma digital hacen que debamos de estar atentos. Para acabar, indicar que ya está entre nosotros la nueva generación de tarjetas de crédito, basadas en hardware criptográfico, que sí que se asemeja bastante a una firma electrónica. Pero de esta tecnología EMV hablaremos otro día.

N.d.E.: Esta mañana he encontrado a un indeseable “marraneando” con el blog, por lo que si me disculpan, y teniendo en cuenta el escaso uso (y utilidad) que en realidad tiene el registro de usuarios, de modo indefinido voy a deshabilitarlo. Por otro lado, mañana es festivo en Valencia, por lo que si no hay novedad, pasen todos un buen fin de semana.

Comments

  1. Julián Inza comentó el tema en relación a una sanción de la AEPD sobre un comercio por digitalizar la firma y no cumplir con el deber de informar al afectado.
    http://inza.wordpress.com/2007/03/24/digitalizacion-de-firma-manuscrita/

    Como comentas, esto no es firma digital ni avanzada ni reconocida aunque si una firma digital (por lo genérica de su definición según la Ley 59/2003) pero sin validez legal alguna.

  2. Gracias por este interesante punto de vista. No había pensado en todo esto hasta ahora, y no creo que seas paranoico. ¿Sabes de qué normativa depende este asunto de la firma digitalizada, o si hay jurisprudencia al respecto?

    Feliç 9 d’octubre.

  3. Damià Soler says:

    Existen algunos standares procedentes de los medios de pago bancarios, aunque no he logrado ver lo relativo a la firma de los tickets, sin duda son estas entidades (VISA, Mastercard, etc.) las que deben aprobar las medidas de seguridad ya que son los que garantizan los pagos.

    https://www.pcisecuritystandards.org/

  4. Muy interesante la analogía, quiero poner un caso en concreto.

    Que sucede si alguien se roban tu tarjeta de crédito, el ladrón paga con ella y realiza la firma en uno de estos aparatos electrónicos, es obvio que no va a ser tu firma y en el momento de denunciar el hecho se van a encontrar de que tampoco las anteriores firmas coinciden con la autentica, ya que tu mismo has escrito caracteres extraños que tampoco son coincidentes con tu firma, la unica diferencia es que has denunciado el robo pero como has estado usando distintas firmas como puedes demostrar que la firma del ladrón no es la tuya?

    Saludos

  5. Damià Soler says:

    La unica firma que vale es la del DNI y con esa deben comparar, es mas el DNI siempre lo piden.
    Echale un vistazo a https://www.securityartwork.es/2007/05/21/firmas/

    El asunto es si aceptas que tu firma sea digitalizada y forme parte en forma “agregada” de manera digital a un “contrato de pago”. Si aceptas eso luego nunca podras distinguir si te agregan tu firma a algo que no hayas firmado. La manera operativa de negarte a eso, es si no quieres dar explicaciones y para la cola, no haces tu firma, si quieres les pides el papel.

  6. Efectivamente, es una firma simple según como la define la Ley 53/203, pero con el agravante de que quien capta la firma te puede suplantar,

  7. Alex hermida says:

    En Kriptópolis hay un comentario sobre este tema que ofrece otro punto de vista…y desde el mio personal es mucho más acertado

    http://www.kriptopolis.org/firma-digitalizada-en-mercadona

    Creo que no nos debemos quedar anclados en el mismo punto que se queda la mayor parte de la gente por “miedo”, se deben implementar soluciones seguras y garantizadas como pueda ser la firma digitalizada, lo importante es conocer las entidades que “garantizan” la seguridad esas soluciones.

  8. Hola Alex, imagino que te refieres al comentario de Fernando Acero, ya que la entrada va en la misma línea que esta.

    En cualquier caso, no conozco personalmente los detalles de la firma electrónica, a pesar de que al parecer tiene más controles de los que aparenta a primera vista. De cualquier modo, y saliendo un poco del ámbito de la entrada, mi opinión respecto a la utilidad y validez de la firma manuscrita es algo diferente: que en la práctica mayoría de situaciones no sirve para absolutamente nada; yo mismo firmo a la semana un buen puñado de recibos de supermercados y tiendas, de pie, inclinado, sobre mostradores, sobre libretas, con bolsas en una mano, mirando el móvil, etc. Tengo serias dudas de que alguien esté controlando en algún sitio de la cadena de pago y a partir de la firma que yo efectivamente soy el firmante, o de que alguno de esos garabatos ilegibles puedan utilizarse como refutación o prueba de algo. Al respecto, hace un tiempo escribí lo siguiente: https://www.securityartwork.es/2007/05/21/firmas/

    Un saludo, y gracias por el comentario.

  9. De nuevo está en boga este tema. Años atrás, en los inicios de la firma electrónica, teníamos que insistir en que na firma digitalizada (es decir, una firma manuscrita escaneada) pegada a un un documento (p.e. un Word) NO ERA firma electrónica.
    Sigo insistiento en los talleres técnicos del DNIe del INTECO.

    Ahora, además, hay que insistir en este otro interesante tema que Damià ha sacado a relucir: la captura de la firma manuscrita…

  10. Aunque hace ya tiempo de este post, como responsable comercial de StepOver, proveedor de pads o tabletas de firmas y de software para la firma electrónica, me gustaría compartir mi opinión al respecto.

    A la hora de analizar la seguridad de las tabletas de firma, es necesario diferenciar entre las que sólo captan una imagen de la firma (se emplean en algunas tiendas) y las que además tienen la capacidad de obtener los datos biométricos (presión, velocidad, coordenadas de la firma). Estas últimas, con la calidad suficiente, permiten la posterior identificación del firmante con las mismas garantías que una firma sobre papel.

    Estas soluciones de firma pueden utilizarse para captar una imagen de firma o, acompañadas del software adecuado, firmar y almacenar un documento PDF protegiendo su integridad y garantizando que se detecte cualquier manipulación posterior del mismo. La seguridad a aplicar dependerá del tipo de documento que se deba firmar y la seguridad que cada empresa decida aplicar al proceso.

    Por ejemplo, si se requiere la máxima seguridad, los datos biométricos deben transmitirse encriptados al PC. Las tabletas más avanzadas ya incorporan esta característica, fundamental para impedir que en ningún momento los datos biométricos puedan ser capturados en un entorno inseguro: el ordenador.

    Se trata de una solución que, correctamente aplicada, presenta ventajas frente a la firma mediante smartcard/DNI electrónico en ciertos aspectos, por ejemplo por su universalidad de uso. No requiere que el firmante disponga de un certificado, lo tenga actualizado y además, lo lleve consigo en el momento de efectuar la firma.

    En resumen, la firma electrónica escrita o manuscrita es un sistema perfectamente seguro y que puede ser complementario a la firma reconocida mediante smartcard o DNI electrónico, por lo que no necesariamente sustituye o dificulta el uso de ésta. En cambio su sencillez para el usuario puede contribuir y complementar este sistema ayudando a lograr una auténtica oficina sin papel.

  11. He estado echando un vistazo la pagina donde explican funcionalidades de las tabletas y ciertamente tienen algunas funcionalidades interesantes pero sigo echando algunas de menos, se habla mucho de cifrado pero no veo que se hable de “firmado digital” (se puede medio entender pero no queda claro). Una cosa que no queda clara es que el documento este unido e indivisible de la firma, tanto en el propio documento digital, como en como muestra lo que esta firmando el cliente, la id única de la tableta y el reloj no falseable no deja claro que vengan firmados con una clave privada del dispositivo, ademas un certificación FIPS estaría bien.
    Como anécdota voy a comentar una técnica manual que utilizo en ocasiones cuando me presentan estas tabletas, meto mi firma y encima de la firma escribo a modo de marca de agua, el nombre del establecimiento (para que no puedan usar mi firma en otro negocio/documento) y ademas escribo la fecha y el importe (para que el negocio no pueda cambiar la fecha de la compra o el importe).
    Respecto a que se grabe como hago el trazado y la fuerza que hago no me tranquiliza, me parece parte de mi “clave privada”, y que puede guiar a otro a que aprenda a copiarla.
    En todo caso el camino creo que esta siendo el EMV, y tampoco creo que es muy transparente para el cliente.

  12. Hola Damià,
    Creo que en lo esencial estamos de acuerdo, para que la firma tenga mayor validez legal se deben cumplir esos requisitos. Actualmente ya hay dispositivos que permiten cumplir con esto y pueden ser considerados firma electrónica avanzada según la Ley y la Directiva europea sobre firma electrónica.
    Para garantizar la integridad del documento: la suma de verificación creada a partir del documento y los componentes de la firma (datos biométricos e imagen) se encripta mediante una clave privada del dispositivo y se inserta en el doc. y nunca podrá ser desvinculada. Si se intenta modificar el documento firmado se romperá el sellado, por lo que no puede ser alterado sin eliminar la firma.
    Además, si se firma con un pad de StepOver la empresa puede garantizar que no tiene accceso a datos biométricos del firmante(presión, velocidad.. de la firma). Estos datos se transmiten cifrados al documento, ya que se encriptan en el interior de la tableta mediante un cifrado asimétrico, cuya clave privada está depositada ante notario.
    Tampoco veo perjuicio para el usuario en la utilización de tabletas de firma para la obtención de una simple imagen. Entiendo que si firmas un documento en papel y la empresa digitaliza el documento puede tener acceso a tu firma del mismo modo que si utilizas la imagen que devuelve una tableta de firmas. No veo perjuicio para el usuario, ya que, en caso de litigio, es la empresa quién debe poder demostrar que se ha firmado ese documento y no otro.
    Saludos