D. Fernando Pino

Cofundador de Validated ID

Firma biométrica Tecnología al servicio

de la seguridad jurídica

Irailak 26 – 2013 – 26 de septiembre / Centro de conocimiento Bake Eder - Getxo

I Jornada

“La firma biométrica”

Asociación Vasca de Privacidad

y Seguridad de la información

Pribatutasun eta informazio

Segurtasuneko Euskal Elkartea

¿Qué es la firma biométrica?

Firma biométrica, firma digitalizada, firma electrónica manuscrita

son diferentes denominaciones dadas a aquella firma que se

sirve como medio de identificación del firmante de

determinados rasgos de identificación física únicos (en este

caso la firma manuscrita)

Por tanto …

La firma debe ser dinámica

2

Igual que pasa con el papel, capturando los

datos biométricos suficientes, un perito calígrafo

puede atribuir una firma a una persona.

• Coordenada espacial x(t)

• Coordenada espacial y(t)

• Presión p(t)

• Azimuth az(t)

• Inclinación in(t)

Elemento fundamental para la seguridad jurídica del sistema

Firma basada en Biometría

3

¿Es una firma electrónica? ¿De qué tipo?

Ley 59/203 de Firma Electrónica

Artículo 3 Firma electrónica, y documentos firmados electrónicamente

1. La firma electrónica es el conjunto de datos en forma electrónica, consignados

junto a otros o asociados con ellos, que pueden ser utilizados como medio de

identificación del firmante.

2. La firma electrónica avanzada es la firma electrónica que permite identificar al

firmante y detectar cualquier cambio ulterior de los datos firmados, que está

vinculada al firmante de manera única y a los datos a que se refiere y que ha sido

creada por medios que el firmante puede mantener bajo su exclusivo control.

3. Se considera firma electrónica reconocida la firma electrónica avanzada basada en

un certificado reconocido y generada mediante un dispositivo seguro de creación

de firma.

4. La firma electrónica reconocida tendrá respecto de los datos consignados en forma

electrónica el mismo valor que la firma manuscrita en relación con los consignados en

papel.

SIMPLE

AVANZADA

RECONOCIDA

4

Según la ley de firma electrónica

No se negarán efectos jurídicos a una

firma electrónica que no reúna los

requisitos de firma electrónica reconocida

en relación a los datos a los que esté

asociada por el mero hecho de

presentarse en forma electrónica.

Ley 59/2003 de firma electrónica

Artículo 3. Apartado 9

5

¿Importa?

Si se impugnare la autenticidad de la firma electrónica reconocida con la que se

hayan firmado los datos incorporados al documento electrónico se procederá a

comprobar que se trata de una firma electrónica avanzada basada en un certificado

reconocido, que cumple todos los requisitos y condiciones establecidos en esta Ley para

este tipo de certificados, así como que la firma se ha generado mediante un

dispositivo seguro de creación de firma electrónica.

La carga de realizar las citadas comprobaciones corresponderá a quien haya presentado

el documento electrónico firmado con firma electrónica reconocida. Si dichas

comprobaciones obtienen un resultado positivo, se presumirá la autenticidad de la

firma electrónica reconocida con la que se haya firmado dicho documento electrónico

siendo las costas, gastos y derechos que origine la comprobación exclusivamente a

cargo de quien hubiese formulado la impugnación. Si, a juicio del tribunal, la impugnación

hubiese sido temeraria, podrá imponerle, además, una multa de 120 a 600 euros.

Si se impugna la autenticidad de la firma electrónica avanzada, con la que se hayan

firmado los datos incorporados al documento electrónico, se estará a lo

establecido en el apartado 2 del artículo 326 de la Ley de Enjuiciamiento Civil.

6

¿Importa?

La firma electrónica reconocida ofrece un medio de prueba «a

priori» (con matices), es decir, si se cumplen ciertos requisitos

técnicos la firma se considera válida

El resto de las firmas, incluyendo la manuscrita sobre papel, la

avanzada y la simple ofrecen pruebas «a posteriori», es decir,

en el marco de un litigio si ésta se pone en duda se deberá

demostrar su validez o invalidez en caso de controversia

aportando evidencias suficientes: informe de un perito

calígrafo, información de contexto, …

La firma electrónica manuscrita no deja de ser una firma

manuscrita y los medios de prueba están más cerca de la firma

tradicional que de los electrónicos.

7

Validez de la firma

Se requiere, la presentación de una

prueba robusta que no permita

albergar la más mínima duda

respecto a su autoría y autenticidad.

Aspectos como el momento en el que

se realizó la firma, el lugar de

realización, la tecnología empleada, el

contenido del documento firmado o la

participación de terceros

independientes reforzarán en gran

medida las evidencias electrónicas

obtenidas.

La finalidad última es la posibilidad de demostrar en un proceso litigioso la validez de

las firmas presentadas, lo que supone a su vez que estas lleven asociados unos datos

biométricos, que estos sean susceptibles de una valoración caligráfica digital, que

estén asociados de forma única al documento, que se garantice la integridad del

documento, la identidad de su autor, …

8

Riesgos

Reutilización Falsificación Engaño

9

Riesgos

Contrato A Contrato B

Duplicación de firmas

Alteración de firmas

Protección de datos

personales

…

Integridad – Autenticidad - Confidencialidad

10

Riesgos

¿WYSIWYS (lo que ves es lo que firmas)?

11

Entonces … ¿la biometría es suficiente?

SI (no se negarán

efectos jurídicos)

Pero NO (es una prueba

muy poco robusta)

12

Elementos de confianza

Los dispositivos El software El servicio

Los dispositivos empleados deben

cumplir con unas premisas obligatorias

de captura de elementos biométricos

necesarios para la formación de

evidencias (velocidad de traza, presión,

…). No todos los dispositivos

proporcionan información de presión,

siendo este dato fundamental para hacer

una valoración caligráfica fiable.

El uso de tabletas de firma y dispositivos

de captura por sí mismos y de forma

aislada no son capaces de garantizar la

integridad y autenticidad del

documento firmado.

Se debe emplear una combinación de

varios elementos tecnológicos:

La biometría, (la información

recogida del dispositivo).

La criptografía, mediante el uso de

certificados digitales y diversos

algoritmos de cifrado.

• Evidencias de contexto, que

permiten complementar las

evidencias biométricas y

criptográficas.

Se debe garantizar que ninguno de

los intervinientes en la firma puede

realizar modificaciones ni sobre el

documento que se va a firmar ni sobre

los datos que se generan en el propio

proceso.

El servicio y toda la seguridad asociada

al mismo está garantizada por la figura

del tercero de confianza que presta el

servicio.

13

El tercero de confianza

Es importante contar con un

tercero independiente sin

interés en la operativa de firma

que garantice que todo el

proceso es correcto

El tercero debe velar porque no

se manipule la información y

que el firmante sepa lo que está

firmando (WYSIWYS)

La formación y control de las evidencias puede

restar credibilidad a los documentos firmados

14

El resultado

Firmas electrónicas manuscritas tecnológicamente equivalentes a

las avanzadas y compatibles con las reconocidas

15

Garantías

INVIOLABILIDAD DEL

SISTEMA

La firma se realiza en dispositivos dedicados o aislados

tecnológicamente de la aplicación que solicita la firma.

TERCERO DE

CONFIANZA

El tercero de confianza asegura que el documento que se muestra coincide

con el documento que se va a firmar (WYSIWYS - What You See Is What

You Sign).

EVIDENCIAS

ADICIONALES

Adicionalmente se pueden recoger otras evidencias como el dispositivo

con el que se realizó la firma, el momento exacto de generación, el lugar

(coordenadas GPS), huella dactilar, fotografía del firmante, validación de

documentos oficiales

INTEGRIDAD

ViDSigner realiza una firma electrónica avanzada sobre el documento

más sus metadatos mediante un certificado de un solo uso generado

con los datos del firmante expresamente para esa transacción, dotando así

de integridad al documento.

AUTENTICIDAD ViDSigner garantiza la autenticidad del documento mediante la inclusión

de las evidencias de firma tales como los datos biométricos de la firma.

CONFIDENCIALIDAD

Los datos biométricos están protegidos ya que se encuentran cifrados en

el documento y la clave que los protege se encuentra custodiada por un

notario

VINCULACIÓN ÚNICA

Los datos biométricos no pueden ser trasladados a otro documento

ya que se encuentran vinculados a través de su hash con el documento

original, por tanto el documento y el firmante quedan vinculados

biunívocamente

16

¡Muchas gracias por su atención! Mila esker zuen arretagatik!

“La firma biométrica”

I Jornada Asociación Vasca de Privacidad

y Seguridad de la información

Pribatutasun eta informazio

Segurtasuneko Euskal Elkartea

Irailak 26 – 2013 – 26 de septiembre / Centro de conocimiento Bake Eder - Getxo