Social Icons

twitter facebookgoogle pluslinkedinrss feedemail

miércoles, 25 de septiembre de 2013

3 modelos de firma electrónica en el móvil que funcionarán (o no)

El mundo es móvil. Y no sólo por sus movimientos de rotación y traslación que, al fin y al cabo, dependen de la referencia que uno tome, sino en un un sentido figurado.

NFC, biometría digital, todo tipo de sensores (acelerómetro, giroscopio, etc ...), gps, cámaras delante, detrás, megapíxeles crecientes y pantallas más crecientes todavía. Todo orientado a que no despeguemos los ojos de nuestro móvil.

La firma electrónica no iba a ser menos y lleva tiempo queriéndose hacer un sitio en el móvil. Pero no vale implantarla de cualquier manera. Si queremos tener éxito tendríamos que fijarnos en la evolución de estos tres modelos:

  • Firma con claves en el propio SO del móvil.
  • Firma con claves en la nube.
  • Firma con captura de dinámica de firma manuscrita.
Ya hablé de tres modelos de implantación de firma electrónica que fracasarán, según mi opinión, y en los que no pondría un duro. Como eso fue antes de vacaciones, te recomiendo echarle un ojo a la entrada.

Pero a lo largo de estos años, y sobre todo, recientemente, estoy identificando 3 modelos que, si la autoridad tiene a bien, pueden tener éxito, porque no tienen las limitaciones o inconvenientes de los modelos condenados al fracaso.

Firma con claves en el propio Sistema Operativo del móvil

Las ventajas de este modelo, alguna de las cuales comparte con el resto, son:
  1. No tiene prácticamente limitación en cuanto al tamaño de certificados, ni al número ni a la complejidad de cálculo requerida.
  2. Toda la solución puede basarse en estándares consolidados y comúnmente aceptados.
  3. Su punto más fuerte es que el par de claves está en el propio móvil, con lo que garantizar que la firma ha sido producida por  "medios que el firmante puede mantener bajo su exclusivo control" (parte de la definición de firma electrónica avanza, e implícitamente, de la reconocida - artículo 3.2 de la Ley 59/2003, de 19 de diciembre, de firma electrónica) es, aparentemente, más sencillo. 
Se puede intuir la dificultad potencial de que necesito tantos desarrollos como SO de móvil haya en el mercado, pero siendo realistas, en la actualidad, con un 90% del mercado norteamericano copado por Android y iOS y con un 86% del Europeo, es una barrera puramente teórica.

La otra gran desventaja, de la que adolecen los tres modelos y no es baladí. Con la ley (española) en la mano, ninguno de ellos puede producir firmas electrónicas reconocidas (qualified electronic signatures). Para llegar a producir firmas electrónicas reconocidas, deberían certificarse como Dispositivos Seguro de Creación de Firma (LFE, artículo 24.3), todas las parejas hardware-SO que se puedan dar, lo que me parece inviable, por la tanto este modelo no creo que jamás pueda producir firmas electrónicas reconocidas. Otra cosa es que hagan falta.

Este es el modelo escogido por +Viafirma en su solución Viafirma Mobile.

Firma con claves en la nube

Éste es mi favorito, no lo negaré (en esta entrada se me ve el plumero), y soluciones como PortaSigma, de isigma, se basan en él. Básicamente, se trata de un modelo en el que la clave privada está en "la nube": en un servidor o en varios, en HSM (Hardware Security Module) o sin HSM. Todo esto depende del nivel de seguridad y de la calidad de las firmas que queramos producir.

Sus ventajas principales:
  1. No tiene limitación alguna en cuanto al tamaño de certificados, ni al número ni a la complejidad de cálculo requerida.
  2. Puede ser realmente ubicuo, es decir, no tiene por qué estar ligado sólo a mi móvil, sino que podría permitirme realizar firmas desde cualquier dispositivo, siempre y cuando me autentique adecuadamente (a ver quién se atreve a definir "adecuadamente" en este contexto.) Esto depende de cómo se implemente la autenticación del firmante.
  3. Si me roban el móvil, no me roban las claves de firma.
  4. Puede ser independiente del SO del móvil.
La mayor desventaja, de nuevo, es que, con la ley española en la mano, no puede producir firmas electrónicas reconocidas (qualified electronic signatures). Digo, la ley española, por que con la italiana o con la austriaca, sí. Y con la legislación europea que viene (PDF), quizá y sólo quizá, también, aunque los últimos comentarios no son muy halagüeños.

Firmas con captura dinámica de firma manuscrita

Está muy de moda porque se basa en que para que una nueva tecnología tenga éxito entre el gran público, su uso no debe ser muy diferente al de otras tecnologías ya establecidas. En mi opinión esto sólo es necesario cuando la nueva tecnología no aporta un valor claro y contundente y es necesario que, al menos, entre suave.

Sus grandes ventajas son:
  1. Que, como hemos comentado antes, todo el mundo sabe firmar a mano, con lo que eliminamos una barrera de entrada.
  2. En general, no hay claves que guardar, así que nadie me las puede robar. Pueden diseñarse soluciones que requieran el uso de claves para dotar de integridad al documento firmado, que es por lo que han optado en +Validated ID, con su solución, ViDSigner Mobile.
  3. Es una solución comúnmente aceptada en algunos mercados, como el estadounidenses, con matices.
Comparte con el primer modelo la dificultad teórica de que necesito tantos desarrollos como SO de móvil haya en el mercado. Pero ya hemos visto que no es una barrera real.

Comparte con los otros dos modelos que no puede producir firmas electrónicas reconocidas y, desde mi punto de vista, es el que más alejado está de poder lograrlo, por las definiciones actuales y venideras de Firma Electrónica Reconocida. 

Para resumir, creo que estos tres modelos de firma electrónica en el móvil funcionarán, que además no son excluyentes y cada uno puede tener sus usos, en concreto, veo el modelo de captura de firma manuscrita muy útil para trámites presenciales, y el modelo de firma nube para todo lo demás, con su potencial de producir firmas electrónicas reconocidas.

--
Si este artículo te ha parecido interesante, por favor, compártelo usando cualquiera de los botones de debajo.