Ceder un certificado digital a una tercera persona es ilegal en España. Así lo dejó claro el Ministerio de Economía y Empresa en una nota informativa en el año 2019 ante la confusión generalizada entorno a las responsabilidades que se pueden derivar de esta práctica. Como alternativa pueden emitirse otra tipología de certificados y apoderamientos digitales con los que minimizar los riesgos de un uso fraudulento de una identidad digital ajena.
Una de las conclusiones de la información hecha pública por el citado Ministerio reside en que los certificados electrónicos son de uso personal e intransferible. En consecuencia, el hecho de que el titular/firmante de un certificado electrónico expedido a su nombre transfiera su posesión y revele sus claves de acceso a un tercero, no es conforme con la legislación vigente, nacional y comunitaria.
¿El motivo? El titular puede poner en riesgo de padecer posibles fraudes. De hecho, el Reglamento UE 910/2014 y la Ley 59/2003 de firma electrónica recogen que “los datos de creación de firma son los datos únicos, como códigos o claves criptográficas privadas, que el firmante utiliza para crear la firma electrónica”.
No sólo eso. Es obligatorio que el propio titular adopte las precauciones necesarias para evitar el uso indebido del certificado, dado que es el responsable de su custodia y sería el único culpable en caso de un uso indebido. Lo que está en juego es su propia identidad digital.
Uno de los resultados a tener en cuenta de esta mala práctica reside en que el certificado queda instalado físicamente en el ordenador de una tercera persona, por lo que el titular pierde absolutamente el control sobre él. Por lo tanto, la identidad digital del usuario puede ser usado de manera fraudulenta y no habrá manera de demostrar que no ha sido él el autor de un acto delictivo o de determinadas operaciones online.
En el caso de despachos, gestorías o asesorías tampoco debe cederse el certificado digital e, incluso, no es necesario que adopten la identidad digital de un usuario. Recordemos que esta tipología de empresas prestadoras de servicios ya cuentan con un certificado digital propio mediante el cual pueden llevar a cabo multitud de gestiones en nombre de una persona física como, por ejemplo, presentar la declaración de la renta.
En este caso, como vemos, si se cede el control del certificado digital no sólo es constitutivo de delito, sino que es más peligroso dado que automáticamente estas empresas pasan a ser representantes legales ante la Administración Pública y cualquier otra entidad.
Alternativas
Entonces, ¿cuál es la alternativa? Emitir el certificado digital de representante o en función de las necesidades de cada usuario y validar un apoderamiento digital para una gestión concreta y de una validez determinada. Recordemos que es la Autoridad de Certificación (CA) la encargada de emitir los certificados para los titulares tras comprobar su identidad.
Los tipos de certificados básicos se clasifican de la siguiente manera:
- Según el tipo de identidad
- Según el ámbito de aplicación
- Certificados software y certificados hardware
- Certificados de la Ley 11/2007
Fijémonos en el caso de los certificados en función del ámbito de aplicación que incluye el certificado de representante o de apoderado, entre otras tipologías.
El apoderamiento electrónico
No obstante, existe otra alternativa distinta. El apoderamiento electrónico, que en la mayoría de los casos es la opción preferible. Según informa la Sede Electrónica de la Administración un apoderamiento es una habilitación que los ciudadanos pueden otorgar a terceros para actuar en su nombre en determinados trámites o actuaciones por medios electrónicos ante la Administración General del Estado y/o sus organismos públicos vinculados o dependientes.
Dichos apoderamientos entran en vigor en un plazo de máximo de 48 horas después de la fecha de su incorporación al Registro Electrónico de Apoderamientos. Para ello es requisito imprescindible acreditar la identidad con DNI electrónico o certificado digital reconocido en vigor.
Se pueden otorgar apoderamientos a cualquier persona física o empresa, aportando en este último caso la razón social y el NIF de la misma y de su representante legal.
En concreto, lo que se puede apoderar son todos los trámites y actuaciones por medios electrónicos que con carácter previo hayan comunicado al Registro los departamentos ministeriales y organismos públicos competentes para su tramitación.
Por tanto, los trámites que se pueden apoderar dependen de las diferentes Administraciones Públicas.
Pasos a seguir y requisitos técnicos
Para dar de alta un apoderamiento en el Registro Electrónico de Apoderamientos se deben seguir tres pasos sencillos:
- Seleccionar el trámite/trámites que se desea apoderar, que están agrupados por categorías
- Introducir los datos de la persona física o representante de la empresa a la que se va a apoderar, e indicando la vigencia del apoderamiento
- Firmar mediante certificado digital el formulario de apoderamiento
Desde el punto de vista técnico, para poder utilizar este servicio, es necesario que el ordenador cuente con:
- Sistema operativo: Windows 2000, XP, Vista, 7, Server 2003, Server 2007, Linux (Guadalinex, Ubuntu), MacOS X 10.5, Sun Solaris / OpenSoLaris 10
- Máquina virtual de Java: 1.5 update22 o superior.
- Navegador: Firefox 3.x, Internet Explorer 5.5 o superior, Chrome 3.0 o superior, Apple Safari 10 o superior.
Por ejemplo, la propia sede electrónica de la Agencia Tributaria nos explica el procedimiento a seguir en caso de proceder al apoderamiento para la realización de trámites y actuaciones en materia tributaria por Internet.
Los trámites están formados por los siguientes pasos:
- Otorgamiento de poder mediante identificación electrónica: Alta de poder mediante identificación electrónica
- Solicitud de alta de poder mediante documento público: Se debe aportar la documentación complementaria y contestar a los requerimientos o presentar la documentación relacionada con un documento recibido de la AEAT.
- Consulta: Durante esta fase pueden realizarse consultas sobre el estado del trámite y llevar a cabo la revocación de apoderamientos otorgados, así como la consulta, confirmación y renuncia de apoderamientos recibidos.
Formatos
Un certificado digital consta de una pareja de claves criptográficas, una pública y una privada, creadas con un algoritmo matemático, de forma que aquello que se cifra con una de las claves sólo se puede descifrar con su clave pareja.
El estándar internacional ITU-T X.509 para infraestructuras de claves públicas define el formato de los certificados digitales para que puedan ser leídos o escritos por cualquier aplicación que cumpla con dicho estándar. Además de especificar los formatos estándar para certificados de claves públicas, X.509 establece el algoritmo de validación de la ruta de certificación, su sintaxis utiliza el lenguaje ASN.1 y los formatos de codificación más comunes son DER o PEM.
Otro de los formatos más importantes existentes en cuanto a los certificados digitales es PGP (Pretty Good Privacy). Desarrollado por Phil Zimmermann, su objetivo principal es proteger la información que se distribuye por Internet utilizando criptografía de clave pública. Así mismo, facilita la autenticación de documentos gracias a firmas digitales.
Usos
¿Qué podemos hacer exactamente con un certificado digital? Básicamente, permite la firma electrónica de documentos. De esta manera el receptor de un documento firmado tiene la seguridad de que es original y no ha sido manipulado, de tal manera que el autor de la firma electrónica no podrá negar la autoría de esta firma.
Además, el certificado digital permite cifrar las comunicaciones con lo que únicamente el destinatario concreto de la información podrá acceder a su contenido.
Otra utilidad clara de los certificados digitales es el envío de mensajes cifrados utilizando la clave pública. Así, el titular del certificado que recibe el mensaje cifrado será la única persona que podrá descifrarlo mediante su clave privada.
Un ejemplo de ciberataque mediante certificados digitales
Nadie escapa a los intentos de estafa mediante los certificados digitales. Es relevante el caso del año 2019 en el que Tomislav Pericin, cofundador y arquitecto jefe de ReversingLabs, descubrió un fraude. Una persona se hacía pasar por ejecutivo de compañías de la industria del software con el objetivo final de engañar a las Autoridades de Certificación para que emitieran certificados de firma de código. Posteriormente los revendía en el mercado negro a los cibercriminales que buscan usarlos para propagar malware.
Recordemos que la ciberseguridad y la identidad digital es un tema serio. El ciberdelito es la modalidad delictiva con mayor crecimiento hasta el extremo de que movilizan más dinero que el narcotráfico. Concretamente, 600.000 millones de dólares, el 0,8% del PIB mundial.
Otro dato concluyente. El 86% de las empresas españolas carecen de cultura de ciberseguridad según el Informe del Estado de Cultura de Ciberseguridad en el Entorno Empresarial, elaborado por el área de Cyber Risk Culture (CRC) de PwC España.