MENÚ
MALDITA TECNOLOGÍA

Validez y tipos de firmas electrónicas y los peligros de utilizar memorias USB en tu empresa: todo en el 40º consultorio de Maldita Tecnología

Publicado martes, 16 marzo 2021
Comparte
Categorías
Ciberseguridad
Recursos utilizados
Expertos
Superpoderes
Material producción propia

¡Buenos días, malditas y malditos! Otro martes más de consultorio en el que daremos respuesta a algunas de vuestras inquietudes relacionadas con el mundo tecnológico. En esta ocasión abordaremos las posibilidades que ofrece la firma electrónica y los potenciales peligros de utilizar memorias USB en tu oficina.

Como siempre, os recordamos que podéis seguir mandando preguntas a través de cualquier canal: Twitter, Facebook, al correo electrónico [email protected] o a través de este formulario. Ahora sí, ¡comenzamos!

¿Es legal utilizar una imagen escaneada de mi firma para rubricar documentos oficiales en un PDF? ¿O solo es posible a través de un medio autorizado?

Sí, es legal utilizar tu firma escaneada para dar rúbrica a documentos oficiales como un contrato laboral o uno de alquiler. La ley vigente, eso sí, establece distintos tipos de firma para interactuar con administraciones, empresas y otros ciudadanos. Echamos un vistazo al barullo legal para ver a qué atenernos en cada caso.

Según nos resume Samuel Parra, abogado especializado en protección de datos y asuntos digitales en ePrivacidad.es, este tipo de firmas están reguladas por un Reglamento europeo, en concreto el número 910/2014 del Parlamento Europeo y del Consejo, de 23 de julio de 2014. Ahí te dejamos el link por si quieres echarle un vistazo en profundidad por tu cuenta.

En esta normativa sobre la firma electrónica, según aclara Parra, estaría contemplada “esa imagen escaneada de la firma” en cualquiera de sus variantes. Por tanto, si tienes que rubricar un documento y se da la situación de que las dos partes se encuentran en localidades diferentes, no te preocupes: puedes escanear tu firma con todas las garantías legales.

Ahora bien, el Reglamento europeo que regula este proceso también contempla la firma electrónica avanzada. Para entendernos, este trámite supone ir un paso más allá en la seguridad de la firma y su autoría. Debe cumplir los siguientes requisitos:

  • Estar vinculada al firmante de manera única: es decir, que exista un control que asegure la autoría de la firma como datos biométricos de la cara del firmante o un sistema de contraseñas de un solo uso, por citar dos ejemplos.
  • Permitir la identificación del firmante, algo que en la firma electrónica simple no pasa (ya que solo escaneando la firma existe la posibilidad de que el garabato no aclare de manera precisa quién ha elaborado la rúbrica).
  • Que los datos de creación de la firma electrónica ofrezcan “un alto nivel de confianza” a la persona que firma y garanticen su “su control exclusivo” sobre el proceso.
  • Que el proceso cuente con la seguridad suficiente como para que cualquier modificación posterior del documento pueda ser detectable.

Según aclara el portal especializado Electronic IDentification, este tipo de firmas suelen ser habituales en gestiones como la apertura de cuentas bancarias o contrataciones de hipotecas, trámites relacionados con el turismo o la movilidad entre países o procesos de participación ciudadana en políticas públicas.

Una vez analizadas las firmas electrónicas simple y avanzada, hay que aclarar que todavía existe una tercera vía para firmar los documentos a distancia: la firma electrónica cualificada. 

¿Y qué diferencia a esta última de las dos primeras? Básicamente, la cualificada debe respetar los cuatro mismos requisitos que la avanzada, añadiendo un matiz a la hora de realizarla. Citando de nuevo al portal Electronic IDentification, para hacer este tercer tipo de rúbrica “se utiliza un dispositivo cualificado de firmas electrónicas, un hardware específico y regulado por la legislación que debe tener el firmante”.

El ejemplo más claro de este dispositivo cualificado es el DNI electrónico, un documento necesario para firmar multitud de trámites en la Sede Electrónica de la Administración.

A modo de resumen, Parra explica que pese a la existencia de las firmas avanzada y cualificada, la simple (que puede ser la manuscrita escaneada de toda la vida) tiene los mismos efectos legales que si estuvieras rubricando presencialmente el papel.

“A la firma electrónica simple se le reconoce una presunción de veracidad y si alguien considera que está falsificada o impugna ese documento, se procederá conforme a lo establecido en el artículo 326 de la Ley de Enjuiciamiento Civil. Esto es, se deberá peritar o cotejar la firma para comprobar si efectivamente fue falsificada o no. Por tanto, aunque solo la firma electrónica cualificada equivale a la ‘manuscrita’ de puño y letra, las otras dos también despliegan efectos jurídicos y por tanto serían válidos”, concluye.

En mi trabajo nos han prohibido el uso memorias USB porque dicen que es muy probable que la mayoría lleven virus. ¿Es para tanto? ¿Qué alternativas tengo para trasladar documentos?

Debes saber que si tu empresa se ha puesto restrictiva con el uso de memorias USB en el puesto de trabajo, no es para nada un movimiento extraño: muchas han seguido el mismo camino. Grandes multinacionales como IBM o administraciones públicas como la Comisión Europea han vetado o regulado de manera estricta el uso de este tipo de memorias.

¿A qué se debe este veto? Pues estas extensiones de memoria pueden servir como vía de transmisión de virus de todo tipo. Un ejemplo: en casa descargamos contenido de una forma más libre que en el puesto de trabajo, así que las posibilidades de alojar un malware en los equipos personales aumentan. Si utilizamos un lápiz de memoria para mover documentos entre casa y la empresa estaríamos poniendo en peligro no solo el equipo que utilizamos para trabajar, sino a toda la red de la oficina.

Según detalla la compañía de antivirus Panda Security, “cualquier dispositivo de almacenamiento USB que entre en una oficina puede poner en riesgo la seguridad de toda la organización. Vulnerabilidades de los propios pendrives, malware transmitido a través de ellos o el simple robo de datos son solo algunos de los riesgos a los que nos enfrentamos”.

Para nuestro maldito Jorge Louzao, hacker ético y experto en ciberseguridad, el veto a las memorias USB en las empresas “es una medida totalmente justificada”. El peligro se puede manifestar en varios supuestos: como decíamos, que el ordenador personal esté infectado y el virus se propague por la empresa a través del USB; que el firmware (las órdenes básicas con las que funciona el dispositivo) haya sido alterado “para convertirlo en un dispositivo de ataque” hacia otros ordenadores o, simplemente, que pierdas la memoria con información sensible dentro.

En caso de pérdida, y contando que la empresa no tenga una política para cifrar los datos que estás moviendo de un lugar a otro, esto “puede llevar a una filtración de información y en caso de que sean datos personales puede suponer un quebranto económico importante para la empresa”.

Vale, queda claro que pasar documentos de casa al trabajo en un USB no es la opción más segura. ¿Entonces, qué alternativas tenemos?

La opción más evidente es utilizar servicios en la nube. Aquí te explicamos de qué va la cosa, pero se trata de un sistema muy utilizado que te da acceso a los archivos que tú decidas dejándolos en los servidores de Google Drive, Dropbox, OneDrive o pCloud, por citar algunos ejemplos. 

Pese a no tener acceso físico a esta ‘caja’ en la que almacenamos archivos, resulta muy cómodo poder acceder a tu carpeta desde cualquier dispositivo sin necesidad de contar con un soporte físico. La seguridad, por tanto, es mucho mayor que con una memoria USB.

En caso de querer seguir utilizando un lápiz de memoria, Louzao apuesta por usar una “aduana de datos”. “Es un dispositivo no conectado a la red en el que insertar nuestra memoria para que copie los datos en un segundo USB que nunca saldría de la empresa”, explica. En otras palabras, es una máquina que actúa de intermediaria ‘depurando’ archivos dañinos para el ordenador de nuestra empresa.

Como última alternativa, el experto subraya su opción favorita, “que la empresa ponga a disposición de los trabajadores dispositivos portátiles” que puedan mover entre su puesto de trabajo y su casa. Así ya no sería necesario el uso de memorias extraíbles de cualquier tipo.

No somos técnicos o ingenieros pero contamos con mucha ayuda de personas que son expertas en su campo para resolver vuestras dudas. Tampoco podemos deciros qué servicio usar o dejar de usar, solo os informamos para que luego decidáis cuál queréis usar y cómo. Porque definitivamente, juntos y juntas es más difícil que nos la cuelen.

Si tenéis cualquier duda sobre esta información o cualquier otra relacionada con la manera de la que te relacionas con todo lo digital, háznosla llegar:

En este artículo han colaborado con sus superpoderes el maldito Jorge Louzao.

Gracias a vuestros superpoderes, conocimientos y experiencia podemos luchar más y mejor contra la mentira. La comunidad de Maldita.es sois imprescindibles para parar la desinformación. Ayúdanos en esta batalla: mándanos los bulos que te lleguen a nuestro servicio de Whatsapp, préstanos tus superpoderes, difunde nuestros desmentidos y hazte Embajador.

Hazte maldito, Hazte maldita
Te necesitamos para combatir los bulos y la mentira: sólo juntos podemos pararla. En Maldita.es queremos darte herramientas para protegerte contra la desinformación, pero sólo con tu apoyo será posible.

Eres muy importante en esta batalla para que no nos la cuelen. Seguro que tienes conocimientos útiles para nuestra batalla contra los bulos. ¿Tienes conocimientos de idiomas? ¿Lo tuyo es la historia? ¿Sabes mucho sobre leyes? ¡Préstanos tu Superpoder y acabemos juntos con los bulos!

También puedes apoyarnos económicamente. Maldita.es una entidad sin ánimo de lucro y que sea sostenible e independiente, libre de publicidad y con profesionales bien remunerados dedicados a luchar, contigo, contra la desinformación depende de tu ayuda. Cada aportación cuenta, cualquier cantidad es importante.