Tipos y usos de los certificados digitales para las empresas

ANEL ha organizado una Mesa de Trabajo digital para profundizar en el uso adecuado del certificado digital. A cargo de Pedro Latasa, de Atecna, SAL, las empresas asociadas pudieron resolver las dudas sobre qué tipos de certificados hay, cómo obtenerlos, dónde guardarlos o para qué utilizarlos.

Atecna está conformada por diferentes áreas de trabajo cuyo objetivo es construir un proceso consolidado y eficiente para la gestión documental. En la mesa de trabajo Latasa hizo referencia al área trust o firma avanzada, es decir, a los aspectos de la confianza digital, para explicar las características de un certificado digital, “mecanismo que se ha hecho más relevante con el confinamiento”.

El certificado digital es un documento acreditativo de la identidad, como el DNI o el carnet de conducir, que sirve para identificar a una persona o empresa. Hay diferentes tipos. Existe el certificado personal, que se otorga a una persona física y que puede tener dos variantes. El certificado de persona física, que identifica a una persona individual; y el certificado de representante de persona jurídica, que se expide a una persona física como representante de una empresa o asociación. Después está el certificado profesional, que acredita a una persona como trabajador de una empresa y que “no tiene vinculación con los trabajos que desarrolla en ella”.

Por último encontramos el certificado empresarial -por ejemplo, en una página web sería el certificado de seguridad SSL-. Latasa matizó que tener uno de estos certificados “no significa que valga para todo” ya que tienen diferentes capacidades. “Todos identifican un elemento (persona o empresa) y según el proyecto o gestión que hagamos, usaremos uno u otro”.

¿Cómo obtenemos un certificado?

Hay diferentes maneras de obtener los certificados. En primer lugar, a través de una autoridad de certificación como la Fábrica Nacional de Moneda y Timbre (FNMT) o el Ministerio del Interior. Estas entidades disponen de agencias de registro físicas en las que poder completar el proceso de obtención del certificado (por ejemplo, para tramitar el certificado personal a través de la web de la FNMT, necesitas un código que te facilitan en las oficinas de Hacienda o del INSS) o gestionarlo directamente (por ejemplo, en el caso del DNI, que lo emite el Ministerio del Interior, se acude a las oficinas del DNI).

En segundo lugar, a través de agencias homologadas para emitir todo tipo de certificados como firmaprofesional o camerfirma, entidades con las que trabajan desde Atecna y que le permiten ser “una agencia de registro acreditada para la emisión de certificados digitales”.

Con un certificado digital se puede autenticar una identidad, firmar digitalmente y cifrar un documento, un uso poco habitual del certificado digital “pero más seguro que una contraseña”. Si solemos firmar digitalmente los documentos dirigidos a la Administración porque nos obligan a ello, ¿por qué no firmamos cualquier proyecto, presupuesto…? reflexionó Latasa. El certificado digital, añadió, aporta autenticación de quien firma y permite que ese documento no se modifique, le da una protección y nos asegura una autoría.

Cuando solicitamos un certificado digital, la autoridad emisora nos da unas instrucciones para exportar el fichero que lo contiene. Al descargarlo, se instala automáticamente en el almacén de Windows (cryptoapi), pero además desde Atecna recomiendan hacer una copia. Algunas de las opciones para ello son un fichero software, una tarjeta criptográfica “que todo el mundo tiene porque el DNI contiene un chip electrónico” o la nube, en sistemas como HSM cloud. Este es un dispositivo especial muy fácil de utilizar que hace imposible extraer el certificado. “Es como si estuviera custodiado en una caja fuerte”, indicó Latasa. También se podría guardar en sistemas de sincronización como Google Drive o Dropbox pero desde Atecna no lo recomiendan porque “si no tenemos una contraseña segura, alguien puede acceder al certificado y usurpar mi personalidad”.

Por ello, Latasa aconsejó a las empresas asociadas guardare el certificado digital siempre con clave, con la opción de no exportar -porque si alguien lo copia podría utilizarlo en cualquier ordenador, aún más si no tiene clave- y en dispositivos en los que se tenga un control, como un USB cifrado.

Por último, repasó algunos sistemas de certificado que no necesitan firma certificada con los que también trabajan. Uno de ellos es el código OTP (One Time Password). Uno de sus usos más comunes es para las compras por el móvil, cuando te envían un código numérico para verificar la compra y poder continuar. Otro es la biométrica, muy usado en las tabletas de los bancos para la firma de documentos.