top of page
Buscar

LA HOMOLOGACIÓN DE LA FIRMA ELECTRÓNICA EN MÉXICO.

  • Foto del escritor: Valentino Asperó
    Valentino Asperó
  • 18 ago
  • 29 Min. de lectura
Introducción. 

A manera introductoria de la problemática a analizar, es dable decir que, en la actualidad, la digitalización de trámites y procesos legales es una realidad cada vez más creciente, sin embargo, y a pesar del dinamismo que caracteriza al derecho mexicano, la legislación no se ha comportado a la velocidad de las necesidades propias de los procedimientos actuales. 

Esto es, a pesar de que cada vez más las autoridades incluyen dentro de su funcionamiento, los procedimientos digitales, existe una falta de homogeneización de criterios que, en dado momento es contrario a los principios rectores de las tecnologías a nivel internacional como lo es la neutralidad, lo cual burocratiza y complica la actividad administrativa.

Ejemplo de ello es la utilización de la firma electrónica, pues en la actualidad, y de conformidad con cifras otorgadas por la Secretaría de Hacienda y Crédito Público existen 137 dependencias del Administración Pública Federal, 32 Entidades Federativas, 13 Instituciones Estatales, 18 Municipios, 7 Instituciones Educativas y 18 Terceros (Bancos), que conforman la infraestructura de clave pública de firma electrónica, sumando un total de 540 trámites que requieren la tecnología. 

Esta regulación actual tan dispersa de la firma electrónica avanzada en México ocasiona la coexistencia de varias autoridades y, por ende, distintos prestadores de servicios de certificación que emiten certificados digitales bajo diversa regulación, proceso, vigencia, ámbito de validez, etc. 

Lo que de principio genera un alto costo al duplicar procesos y al no permitir compartir o centralizar infraestructura, y dificulta su uso a los ciudadanos, ya que, para cada gestión con autoridad distinta, se requiere de un certificado diferente, complicando su operación, toda vez que se debe de administrar múltiples certificados, con el consecuente riesgo que ello implica. 

Es por ello particularmente importante el establecimiento de reglas para el reconocimiento de certificados digitales entre los distintos estados de la república y las distintas dependencias y entidades federales, de tal forma que permitan su homologación para eficientar procesos de derecho público y privado. 

La forma idónea de realizar esta homologación es mediante el establecimiento en la normativa general de criterios de homologación de certificados digitales entre la norma federal y estatal, así como de manera transversal entre las distintas secretarías que ofrecen o requieren la firma como manifestación de la voluntad y medio de identificación, e incluso reconocer a los agentes certificadores de firma electrónica para darle valor a actos de derecho público.

Lo anterior, dará como consecuencia el reconocimiento implícito de certificados, de tal suerte que, con un solo certificado sea posible realizar todos los trámites contemplados en el catálogo digital nacional.

Esto dará mucho mayor cobertura al proceso de enrolamiento y certificación digital, pues en lugar de que pocos ciudadanos cuenten con muchos certificados podemos mejor dar un solo certificado digital que le sirva para muchas cosas a muchos ciudadanos.

Una vez dicho lo anterior, esta investigación tiene por objeto analizar la razonabilidad técnica y jurídica de homologar la firma electrónica en México, mediante la adopción de una legislación marco que disponga los lineamientos, elementos y parámetros técnicos y jurídicos que sirvan como eje para la operación de infraestructura y reconocimiento de firma electrónica. 

Es por tanto que, para la prosecución de dicho objetivo, se estructura el presente trabajo en 3 rubros, a saber: 

El primero analiza, tanto la estructura de quienes participan en el proceso de certificación y emisión de firma electrónica, así como la infraestructura de clave pública necesaria para traer a la vida las firmas electrónicas como se conocen en la actualidad. 

Como segundo punto, se analiza el marco jurídico actual, con la finalidad de evidenciar la dispersión de conceptos y preceptos por todo el sistema jurídico mexicano, los cuales contemplan diversos ámbitos de aplicación, procesos, vigencia, etc. sin que exista una correlación activa entre ellos, lo cual complica la operación tecnológica y causan confusión jurídica en cuanto a su aplicación. 

Por último, se analizarán los retos a los que se enfrenta el implementar al sistema jurídico mexicano la adopción de una legislación homologada.

Ahora bien, al analizar y proponer un sistema legal que va de lo general a lo particular, así como al ser la firma electrónica una materia interdisciplinaria se empleará una metodología deductiva, así como una técnica documental descriptiva. 

Se tiene como sustento académico a Niklas Luhmann y su teoría de sistemas. 


La Infraestructura técnica de firma electrónica en México.

Con el desarrollo de las nuevas tecnologías de telecomunicaciones y transmisión de datos por vía electrónica, se ha generalizado el uso de los sistemas de intercambio electrónico de información, en virtud, de que permiten mejorar la productividad y reducir costos, además de que brindan amplias posibilidades de nuevos servicios en línea. 

En tal sentido, resulta necesario dejar sentado la manera en la que funciona la infraestructura técnica para que pueda existir tanto el certificado digital como la firma electrónica como la conocemos hoy en día. 

Por principio de cuentas es necesario establecer que la Infraestructura Extendida de Seguridad (IES) es un sistema diseñado y administrado por Banco de México con el propósito de fortalecer la seguridad de la información que se transmite tanto en los sistemas de pagos como entre el sistema financiero mexicano y el Banco Central.

Cabe señalar que, si bien, las facultades del Banco de México descansan en su conocimiento y capacidad dentro de la infraestructura técnica del sistema de pagos, la legislación no le otorga expresamente el “monopolio” sobre la administración y uso de esta Infraestructura Extendida de Seguridad. 

Esto puede resultar en una problemática jurídica si algún gobernado se ve vulnerado en sus derechos derivado de un mal uso y administración técnica de los recursos físicos administrador por la referida autoridad, pues no existe en la actualidad una “Autoridad responsable”.

Si bien es cierto, el Banco se auto reconoce como administradora de la Infraestructura, las facultades no existen expresas en la legislación actual. 

No obstante lo anteriormente planteado, el Banco de México ideó un sistema seguro y eficiente tanto en los sistemas de pagos como en la comunicación a través de mensajes electrónicos protegidos mediante algoritmos de criptografía asimétrica (clave pública y privada).

La IES tiene diversas aplicaciones, entre las que destacan:

  • Sector financiero: Para la realización de transferencias electrónicas, operaciones bancarias en línea y otras transacciones financieras.

  • Gobierno electrónico: Para la firma de documentos oficiales y la prestación de servicios en línea.

  • Comercio electrónico: Para garantizar la seguridad en las transacciones comerciales en línea.

Para la consecución de tal objetivo, la IES tiene como función principal mantener el control sobre las claves públicas que se utilicen en la verificación de las firmas electrónicas, mediante la expedición y administración de certificados digitales.


1.1 Estructura de Organización 

La estructura de organización de la Infraestructura Extendida de Seguridad (IES) establecida y administrada por Banco de México es flexible en el sentido de que es totalmente independiente del sistema criptográfico que se use. 

En el modelo general de organización para la administración de las claves públicas y los certificados digitales los participantes de la IES son:

  • Agencia Registradora Central ARC. 

El Banco de México, quien, por sus facultades, emite el certificado digital principal (código madre), del que se derivan todos los certificados digitales de firma electrónica que detenta cada gobernado. 

  • Agencias Registradoras AR’s y Agencias Certificadoras AC’s.

Ambas pueden recaer en la misma agencia o no. Son los agentes públicos que emiten el certificado digital y la firma electrónica (Servicio de Administración Tributaria, Poder Judicial, Secretaría de Función Pública, etc.)

  • Agentes Certificadores AgC’s. 

Son agentes que auxilian a la Agencias Registradoras y Certificadoras, dándole validez a los certificados, generalmente se utilizan en procesos de derecho privado para certificar que la firma electrónica en operaciones de derecho privado, es fiel. 

  • Usuarios

La IES se basa en la utilización de firmas electrónicas y en estándares internacionales de infraestructura de claves públicas (PKI). Su funcionamiento se resume en los siguientes puntos:

Certificados digitales: Cada entidad que participa en el sistema (bancos, empresas, etc.) cuenta con un certificado digital, que es como una identificación electrónica. Este certificado está respaldado por una autoridad de certificación, que garantiza la autenticidad de la identidad de cada entidad.

Claves criptográficas: Cada certificado digital está asociado a un par de claves criptográficas: una pública y otra privada. La clave pública es conocida por todos y se utiliza para verificar la firma electrónica, mientras que la clave privada es conocida solo por el propietario del certificado y se utiliza para generar la firma.

Firma electrónica: Cuando una entidad desea enviar un documento de forma segura, lo firma digitalmente utilizando su clave privada. Al recibir el documento, el destinatario utiliza la clave pública del remitente para verificar la firma y así autenticar la identidad del remitente y la integridad del documento.

De acuerdo con la definición de firma electrónica, el signatario es una persona física que suscribe documentos utilizando un dispositivo y sus datos de creación de firma, y el destinatario del documento es la persona física que verifica la firma utilizando un dispositivo y los datos de verificación de firma del signatario. 

Dicho en otras palabras y a manera de resumen, el proceso en la obtención de una firma electrónica es: 

El Banco de México emite un certificado digital raíz, las agencias registradoras y certificadoras, compran anualmente al Banco los derechos de uso de ese certificado; los usuarios le solicitan a la Agencia Registradora y Certificadora una firma electrónica y esta les otorga un certificado digital personal y una firma electrónica de conformidad con sus datos y documentos presentados, para que sea un código único e intransferible. 

Esto resulta de utilidad para el presente artículo, toda vez que, se expondrán a lo largo de este los retos, tanto jurídicos como técnicos a los que se tiene que enfrentar el estado mexicano para eficientar, tanto la infraestructura física, como la legislación para lograr una firma electrónica eficiente en el país. 


Marco normativo sobre firma electrónica en México

Con la finalidad de evidenciar la problemática planteada en el presente ensayo, resulta importante revisar la legislación positiva en materia de firma electrónica, para así poder estudiar y evidenciar la falta de correspondencia entre legislaciones, y las consecuencias que esto supone. 

Para efectos prácticos, me daré a la tarea de realizar la distinción entre normas de derecho privado y las de derecho público, con la finalidad de poder destacar las diferencias entre uno y otro, su utilización y los retos que supondría el homologar la firma electrónica entre estos dos ámbitos de validez y aplicación. 

Antes de entrar al estudio de las normas especiales y específicas que regulan la firma electrónica en México, resulta necesario dejar constancia del fundamento Constitucional de donde se deriva la actividad digital en el país. 

El artículo 6o. de la Constitución Política de los Estados Unidos Mexicanos establece que el Estado garantizará el derecho de acceso a las tecnologías de la información y comunicación, así como a los servicios de radiodifusión y telecomunicaciones, incluido el de banda ancha e Internet;

Este artículo resulta fundamental, pues garantiza el derecho de acceso a las tecnologías de la información y comunicación, lo cual es la base de donde debe partir, tanto que todas las personas tengan acceso a las tecnologías que permitan acceder al catálogo nacional de trámites, así como la neutralidad tecnológica, para que se pueda garantizar una transición imparcial hacia una digitalización de procesos de derecho público y privado y dar paso a una homologación de firma como se propone. 

Este no sólo garantiza el derecho al acceso a las TIC, sino que también abre la conversación a temas de derecho digital como lo es la neutralidad tecnológica, la identidad digital, la ciberseguridad, etc. 

En cuanto a las normas de derecho privado, encontramos como más relevantes, las siguientes: 


2.1 Código Civil Federal

Iniciando de lo general a lo particular, es necesario analizar las disposiciones del Código Civil Federal, el cual en su artículo 1803 dispone que el consentimiento será expreso cuando la voluntad se manifiesta verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos. 

El referido dispositivo introduce legalmente el concepto de voluntad, la cual no es otra cosa más que el consentimiento expreso se manifestará mediante algún medio físico como lo puede ser un signo distintivo como la firma autógrafa o electrónica. 

Esto resulta importante dado que la voluntad es un requisito de existencia y validez de cualquier forma de firma, por lo que, a pesar de no ser una porción normativa relacionada directamente con un aplicativo tecnológico, si consiste en un fundamento importante a nivel jurídico. 

Esto, en cierta medida cobra relevancia en la presente investigación, pues si bien es cierto que la misma versa sobre las firmas electrónicas, no se debe perder de vista que, antes de abordar la factibilidad técnica y jurídica de homologar la firma digital, es necesario abordar el tema desde los principios ontológicos que le den legitimidad a la modernidad. 

Es decir, son las circunstancias de actualización tecnológica las que hacen que los individuos busquen nuevas formas para establecer vínculos jurídicos a distancia y darles legitimidad jurídica, aun cuando se trate de medios electrónicos. 

En ese sentido, el derecho privado protege y da forma a la libertad contractual. En dicho ámbito, la voluntad es la norma principal que rige las relaciones entre particulares, sin embargo, como es bien sabido, dicha libertad no es ilimitada, en tanto que está sujeta a diversas formalidades, principios y límites. 

Una de las formalidades esenciales de todo contrato es el consentimiento, que es la declaración de voluntad que implica la adhesión de una de las partes a la propuesta realizada por la otra y que, cuando se refieren a un mismo objeto, origina un acto jurídico. Al intercambio de consentimientos se le denomina el acuerdo de voluntades y es vinculatorio para las partes. 

Actualmente, nuestro derecho civil establece que el consentimiento se manifiesta de dos formas: tácita o expresa. El consentimiento tácito “…resultará de hechos o de actos que lo presupongan o que autoricen a presumirlo, excepto en los casos en que por ley o por convenio la voluntad deba manifestarse expresamente”.  

Por su parte, el consentimiento expreso se actualiza “…cuando la voluntad se manifiesta verbalmente, por escrito, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos”. En nuestro sistema jurídico el consentimiento expreso se configura usualmente con la firma autógrafa.


2.2 Código Federal de Procedimientos Civiles. 

Una vez analizado lo anterior, también es de estudiarse la parte adjetiva que rige los procedimientos derivados del Código Civil Federal, para lo cual se analizará el artículo 210-A del Código Federal de Procedimientos Civiles el cual dispone lo siguiente: 

“Se reconoce como prueba la información generada o comunicada que conste en medios electrónicos o tecnológicos, además para valorar la fuerza probatoria de la información se estimará primordialmente la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada y, en su caso, si es posible atribuir a las personas obligadas el contenido de la información relativa y ser accesible para su ulterior consulta.” 

Para ello existen diversas tecnologías aplicables, tal como el valor Hash que es un elemento esencial en el ámbito de la criptografía, siendo una pieza fundamental en las tecnologías blockchain y, por supuesto, en las aplicaciones de firma electrónica.

De hecho, todas las herramientas que permiten generar y verificar firmas digitales, así como comprobar la integridad y no alteración de los documentos firmados, dependen directamente de la utilización de estos códigos hash.

De forma muy sencilla, podemos decir que el código hash es una sucesión alfanumérica (letras y números) de longitud fija, que identifica o representa a un conjunto de datos determinados. 

Dicho código identifica de manera inequívoca el documento o conjunto de datos que representan. Por tanto, nunca se van a generar dos hashes idénticos si los datos de entrada son diferentes o si se produce alguna alteración del input, es decir, si se modifica el documento en lo más mínimo, el valor hash no será el mismo. 

Con lo anterior, es posible asegurar la fiabilidad del método en que haya sido generada, comunicada, recibida o archivada la información, tal y como lo refiere el artículo referido. 

Cabe destacar que la tecnología antes descrita, se utiliza para garantizar la inviolabilidad de la información que se encripta de manera tecnológica y no es exclusivo su uso en el derecho procesal civil.


2.3 Firma Electrónica en el Código de Comercio

Se menciona que las disposiciones del Código de Comercio serán aplicadas de modo que no excluyan, restrinjan o priven de efecto jurídico cualquier método para crear una Firma Electrónica. (Artículo 96)

El código menciona que la firma electrónica se considerará fiable cuando cumpla por lo menos con los siguientes requisitos: 

  • Los datos de creación de firma corresponden exclusivamente al firmante. 

  • Los datos de creación de firma bajo control exclusivo del firmante. 

  • Es posible detectar cualquier alteración después del momento de la firma. 

En esa línea de pensamiento, la obligación de informar a los usuarios que las firmas electrónicas cumplen los requisitos antes apuntados recae en los certificadores de servicios, lo cual deberá ser compatible con las normas y criterios internacionales reconocidos, lo cual se encuentra regulado en el artículo 98. 

Por su parte, el artículo 99 establece que el firmante deberá de cumplir las obligaciones derivadas del uso de la Firma Electrónica. Actuar con diligencia y establecer los medios razonables para evitar la utilización no autorizada de los datos de creación de firma. 

Actuar con diligencia en el caso en que se emplee un certificado de firma y que los datos sean exactos, responder por las obligaciones derivadas del uso no autorizado de su firma. 

En otro orden de ideas, el artículo 100 autoriza, previa acreditación de la Secretaría, a los notarios, corredores públicos, personas morales de carácter privado y a las instituciones públicas para ser prestadores de servicios, ya que la facultad de expedir certificados no conlleva fe pública. 

Cabe destaca que existen más cuerpos normativos que hacen referencia a la expedición y uso de la firma electrónica, sin embrago, no resultan de utilidad para efectos de esta investigación, toda vez que no aportan en cuanto a conceptos utilizables en la búsqueda de la homologación jurídica necesaria para tener una única firma electrónica eficiente. 

Ahora bien, las leyes de derecho público que contemplan el uso de firma electrónica son la siguientes:

 

2.4 Ley de Firma Electrónica Avanzada (LFEA)

Esta ley establece los requisitos, efectos jurídicos y procedimientos para el uso de la firma electrónica avanzada en México. Define conceptos clave como firma electrónica, certificado digital y autoridad certificadora, y establece los principios generales para garantizar la seguridad jurídica de las transacciones electrónicas.

No obstante, esta legislación debería de ser el cuerpo normativo principal, que establezca a nivel general, los elementos mediante los cuales se fundamentará la expedición de firma electrónica, los procedimientos para su integración, su interoperabilidad, la vigencia generalizada, etc. lo que permita tener una legislación que englobe las características generales aplicables a todas y cada una de las dependencias, agencias de certificación y ámbitos de validez y aplicación. 

Esto garantizaría pasar de lo general a lo particular como se ha podido observar en las mejores prácticas internacionales, en donde mediante la convención de la UNCITRAL de las naciones unidas se realizó una Ley Modelo que serviría como guía para que las legislaciones locales incorporaran las términos y procedimientos previstos en ella. 

Del mismo modo, en la transición tecnológica que demanda una homologación de una tecnología como lo es la firma electrónica, podríamos partir de lo general, siendo esta la Ley de Firma Electrónica como modelo para que todas las demás legislaciones puedan observar las generalidades a observar en la correcta implementación de la tecnología en comento. 


2.5 Código Fiscal de la Federación. 

Una vez dicho lo anterior, resulta clave el Código Fiscal de la Federación, no sólo para la presente investigación, sino para la concepción de la firma electrónica en México, dada la amplitud de terminología especializada, así como las reglas de operación técnica contempladas en sus disposiciones. 

El capítulo II del Código en estudio es amplio, sin embargo, traeré de manera lacónica las disposiciones más relevantes para los efectos de este artículo: 

Firma electrónica: Se establece que la firma electrónica es equivalente a la firma autógrafa siempre que cumpla con los requisitos establecidos en la ley.

Artículo 17-D, Tercer párrafo: 

“En los documentos digitales, una firma electrónica avanzada amparada por un certificado vigente sustituirá a la firma autógrafa del firmante, garantizará la integridad del documento y producirá los mismos efectos que las leyes otorgan a los documentos con firma autógrafa, teniendo el mismo valor probatorio”.

Del mismo modo, el dispositivo define lo que es una firma electrónica avanzada, refiriendo que es un conjunto de datos en forma electrónica vinculados a otros datos electrónicos, utilizados como método de autenticación. Para ser considerada avanzada, debe cumplir con los siguientes requisitos:

  • Única para el firmante: Debe estar vinculada de manera única al firmante.

  • Creada bajo el control exclusivo del firmante: Solo el firmante debe tener los medios para crearla.

  • Vinculada a los datos a los que se refiere: Debe estar vinculada a los datos a los que se refiere de tal manera que cualquier cambio posterior a los datos sea detectable.

  • Verificable: Debe existir un método para verificar la firma y la vinculación con los datos.


2.5.1 Usos de la firma electrónica en materia fiscal

La firma electrónica se utiliza en una amplia variedad de trámites fiscales, como:

  • Presentación de declaraciones: Los contribuyentes pueden presentar sus declaraciones fiscales de manera electrónica, utilizando su firma electrónica avanzada.

  • Solicitud de devolución de impuestos: Las solicitudes de devolución de impuestos también pueden presentarse de manera electrónica, con la firma electrónica del contribuyente.

  • Autorización de trámites: La firma electrónica se utiliza para autorizar diversos trámites ante las autoridades fiscales, como la modificación de datos fiscales o la obtención de certificados.

Este capítulo del Código Fiscal de la Federación es el que abre la puerta para que diferentes organismos fiscales regulen sobre sus aspectos electrónicos. 

En alguno de los actuales reglamentos de estos organismos ya se hace mención de una firma electrónica, aunque no está regulada, es por esto que el artículo transcrito es de suma importancia. 


2.5.2 Requisitos de los certificadores en el Código Fiscal 

El Código Fiscal de la Federación en su artículo 17-G dispone los requisitos con los que deben contar los certificados para ser válidos tanto de los emitidos por el SAT como para los emitidos por el Banco de México mediante los denominados prestadores de servicios. 

  • Tratándose de sellos digitales, se deberán especificar las limitantes que tengan para su uso.  

  • El código de identificación único del certificado

  • La mención de que fue emitido por el SAT y una dirección electrónica 

  • Nombre del Titular del certificado y su clave del RFC

  • Periodo de vigencia del certificado, especificando el día de inicio de su vigencia y la fecha de su terminación

  • La mención de la tecnología empleada en la creación de la firma electrónica avanzada contenida en el certificado

  • La clave pública del titular del certificado 


2.5.3 Facultades del SAT.

El Código Fiscal de la Federación establece la facultad del Servicio de Administración Tributaria para que, en conjunto con el Banco de México, establezcan los sistemas de coordinación necesarios para el aprovechamiento de la infraestructura de clave pública, para el control de los certificados. Se faculta al SAT como Agencia Registradora y Certificadora en caso de ser necesario.

Resulta importante destacar que actualmente las leyes fiscales, específicamente el Código Fiscal de la Federación es la legislación más robusta en cuanto a firma electrónica se refiere, esto dado que la firma electrónica expedida por el Servicio de Administración Tributaria es la más ampliamente utilizada por la población en general. 

Lo anterior, en virtud de que, la autoridad antes mencionada es la que más se ha interesado por ampliar su catálogo de servicios relacionados con la tecnología en estudio, además de realizar campañas de actualización y concientización entre los contribuyentes, siendo un referente en el país, tecnológicamente hablando. 

Esto resulta de relevancia para el este trabajo investigativo dado que el Servicio de Administración Tributaria puede fungir como un ejemplo y precedente de actuación para todos los ámbitos en los que se pretende utilizar la tecnología y así hacer la transición más amigable con la interfaz de uso a nivel técnico, así como con los usuarios finales. 

Por otra parte, existen pluralidad de instituciones, tales como la Secretaría de la Función Pública, el Instituto Mexicano de la Propiedad Industrial y el Instituto Mexicano del Seguro Social, que han celebrado convenios de colaboración administrativa que buscan la operación e integración de certificados de firma electrónica.

Dicho con otras palabras, buscan establecer los mecanismos para el uso e implementación de la Firma electrónica expedida por el SAT, para la presentación y tramitación de las solicitudes ante distintas autoridades, evitando con ello el ampliar el catálogo de disposiciones y las acciones inherentes a la expedición de firmas electrónicas. 

Esto constituye una ventaja, dado que simplifica el reconocimiento de los certificados de firma interinstitucionalmente, sin embargo, resulta muy limitado para los efectos para los que puede ser utilizada la tecnología de firma electrónica. 

Por otro lado, abre la cuestión de si debería ser el Servicio de Administración Tributaria, la encargada de generar los códigos raíz y administrar la Infraestructura Extendida de Seguridad, dada la experiencia y especialidad en la materia, aunado a la concurrencia entre la administración pública para verificar y reconocer el certificado emitido por esta autoridad.

Si bien, lo anterior constituye los pininos hacia una digitalización gubernamental mejor organizada y simplificada, hace falta profundizar en los ámbitos materiales de aplicación, de especialización, de territorialidad y de soporte, para que esto sea una realidad en el país.  

Ahora bien, existen otros ordenamientos en materia fiscal que contemplan el uso de la firma electrónica, los cuales simplemente se mencionan al no trascender al sentido de la problemática que se analiza, y son:

  • Ley del Impuesto sobre la Renta (ISR): Permite la presentación de declaraciones y pagos de impuestos a través de medios electrónicos, incluyendo la firma electrónica.

  • Ley del Seguro Social: Facilita la realización de trámites ante el IMSS mediante la firma electrónica.

  • Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público: Permite la celebración de contratos electrónicos en el sector público.

  • Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados: Establece los requisitos para el tratamiento de datos personales en el contexto de la firma electrónica.


2.6 Ley del Banco de México

Cómo se ha venido estudiando a lo largo de la presente investigación, el Banco de México es la autoridad que detenta la administración de la Infraestructura Extendida de Seguridad, que, en términos simples, es la infraestructura que otorga los certificados digitales y las claves públicas en el proceso de creación de la firma electrónica. 

Sin embargo, tales facultades de administración de la infraestructura referida o sus facultades como Agencia Registradora Centra, no se encuentran reguladas en la Ley del Banco de México o en ninguna otra disposición con carácter de Ley. 

Esto no supone una incapacidad técnica del Banco, sino simplemente un vacío legal que bien podría ser de utilidad, no sólo para reconocerle las facultades que debe ostentar, sino para delimitar los alcances, la centralización de la infraestructura y el desarrollo tecnológico necesario para la expedición, almacenamiento y seguridad de los datos que respaldan la firma electrónica y su operación. 


2.7 Circular-Telfax 6/2005 

Esta circular emitida por el Banco de México el 15 de Marzo de 2005 establece, entre otras cosas las reglas para operar como agencia registradora y/o agencia certificadora en la infraestructura extendida de seguridad y aporta las siguientes definiciones: 

Se entenderá por: 

Agencia Certificadora (AC) A la institución o empresa autorizada por Banco de México para prestar servicios de certificación en la IES mediante la expedición de Certificados Digitales. 

Agencia Registradora (AR) A la institución o empresa autorizada por Banco de México para llevar el registro electrónico de los Certificados Digitales expedidos por las AC’s. 

Agencia Registradora Central (ARC) Al Banco de México en su carácter de administrador de la IES que, entre otras funciones, establece las normas de operación de dicha infraestructura, emite, registra y en su caso, revoca los Certificados Digitales de AC y AR, y lleva el registro de las claves públicas. 

Agentes Certificadores A las personas físicas que designe la AC para auxiliarla en el cumplimiento de sus obligaciones en los términos de las presentes Reglas.


2.8 Normativas Estatales:

Varios estados mexicanos han emitido leyes específicas sobre el uso de la firma electrónica, adaptando la legislación federal a sus particularidades. Algunos ejemplos incluyen:

  • Ley sobre el uso de medios electrónicos y firma electrónica del estado de Yucatán

  • Ley sobre el uso de firma electrónica avanzada para el estado de Sonora


2.9 Acuerdo Interinstitucional por el que se establecen los Lineamientos para la homologación, implantación y uso de la firma electrónica avanzada en la Administración Pública Federal.

Resulta importante hacer una mención especial a la disposición antes anotada, toda vez que la misma tiene por objeto establecer los Lineamientos para la homologación, implantación y uso de la Firma Electrónica Avanzada en la Administración Pública Federal que deberán observar y promover la Secretaría de Economía, la Secretaría de la Función Pública y el Servicio de Administración Tributaria para el reconocimiento de Certificados Digitales de Firma Electrónica Avanzada de personas físicas, entre otras cosas como: 

  • La creación de la Infraestructura Tecnológica que permite la interoperabilidad y el reconocimiento de Certificados Digitales de Firma Electrónica Avanzada entre las Autoridades o Agencias Certificadoras que la integran (ITFEA)

  • La creación de la Subcomisión de Firma Electrónica Avanzada, integrada por la Secretaría de la Función Pública, la Secretaría de Economía y el Servicio de Administración Tributaria, en términos del artículo vigésimo del Acuerdo por el cual se crea la Comisión Intersecretarial para el Desarrollo del Gobierno Electrónico, a que se refiere el considerando tercero de este instrumento, y

Cabe destacar que, a pesar de la publicación del acuerdo en el Diario Oficial de la Federación el 24 de agosto de 2006, nunca se creo la Subcomisión y la ITFEA no se encuentra en operación y por tanto, el acuerdo se encuentra en desuso como legislación positiva en el sistema jurídico. 

Por tanto, dicho acuerdo, a pesar de hablar de homologación de firma, el mismo contempló únicamente a 3 autoridades y únicamente en un ámbito de derecho público, lo cual no es el objetivo de este trabajo de investigación.

En ese sentido, además de las leyes mencionadas, existen diversas normas técnicas y reglamentos que complementan el marco regulatorio de la firma electrónica en México, como las emitidas por la Secretaría de Economía. 

De todas las disposiciones analizadas, se puede advertir la dispersión que existe en cuanto a terminología, aplicación, vigencia, ámbitos de materialidad, entre otros, sin que sean consistentes unos con otros. 

Esto no solo complica la operación técnica de la firma electrónica en México, sino que se aleja de los estándares tecnológicos reconocidos como mejores prácticas internacionales, debilitando el sistema jurídico y causando afectaciones a las esferas jurídicas de los usuarios en cuanto a la seguridad jurídica que ello conlleva. 

No obstante, existe una disposición que puede resultar como un punto de partida y se encuentra en el Acuerdo por el que se emiten las políticas y disposiciones para impulsar el uso y aprovechamiento de la informática, el gobierno digital, las tecnologías de la información y comunicación, y la seguridad de la información en la Administración Pública Federal: 

“Artículo 66.- Las Instituciones deberán observar en sus procesos de desarrollo y mantenimiento de aplicativos de cómputo, los estándares técnicos en materia de datos abiertos, con el propósito de homologar sus características y facilitar su acceso, uso, reutilización y distribución para cualquier fin, conforme con los ordenamientos jurídicos aplicables.”

Como se aprecia, el espíritu de la porción normativa es la de facilitar el acceso y uso de aplicativos y estándares técnicos en materia de datos abiertos, mencionando la homologación como una vía para esa facilitación.

Es por tanto, que se considera necesario homologar la legislación para garantizar, no sólo el uso efectivo de las tecnologías de la información, sino para garantizar que dicha tecnología se encuentre dentro de, los estándares abiertos, fomentar el desarrollo de aplicaciones institucionales con utilidad pública, lograr la autonomía, soberanía e independencia tecnológicas dentro de la Administración Pública Federal, consolidar una base tecnológica robusta y homogénea en las Instituciones del Estado, así como lograr una mayor eficiencia basada en la reducción de tiempos y costos en los procesos de contratación en materia de tecnologías de la información y comunicación. 

Para lograr dichos objetivos, es necesario que todos los mexicanos tengan acceso a las mismas tecnologías y se usen bajo las mismas condiciones, lo cual se traduce en una neutralidad tecnológica. 

El concepto de neutralidad tecnológica a nivel de usuario es que cualquier producto o servicio sea accesible a través de cualquier medio, plataforma o sistema operativo, es decir, que una compañía no te obligue a comprar determinado dispositivo móvil para poder hacer uso de su servicio. Esto es algo esencial en una sociedad que aboga siempre por el mayor grado de libertad posible para sus ciudadanos y consumidores.

Es por lo anterior que la tecnología utilizada en certificados digitales de firma electrónica está íntimamente relacionada con la neutralidad tecnológica, pues para ser eficaz en su uso debe de tener el mayor grado de compatibilidad, funcionando en cualquier sistema operativo, navegador y dispositivo móvil.

Actualmente, existen muchos usuarios que necesitan hacer uso de la firma electrónica en su día a día, y lo ideal es que todos ellos puedan llevar a cabo su trabajo, da igual que tengan un dispositivo iPhone o Android o que estén utilizando un ordenador Windows, Apple o Linux. Por no hablar de la enorme ventaja que otorga esta herramienta gracias a la movilidad.

Esta facilidad y disponibilidad de uso permitiría al usuario firmar desde cualquier lugar, lo cual demuestra que es verdaderamente una firma universal. Esto ayudaría a la autoridad y en general al Gobierno a ahorrar en costos y a romper las barreras geográficas de su actividad, ya que no es necesario que los firmantes se encuentren en la misma habitación al mismo tiempo.

La adopción de la firma digital es un paso casi inevitable en la actualidad debido al proceso de transformación digital que se está viviendo.

Además, otra de las características definitorias de la neutralidad tecnológica es su flexibilidad para los cambios futuros, algo lógico y necesario en este mercado donde se producen actualizaciones y mejoras cada muy poco tiempo. 

  • Retos de la homologación de la Firma Electrónica. 

Hasta ahora hemos analizado la problemática consistente en la falta de legislación homogeneizada en materia de firma electrónica, y se ha criticado la ya existente. 

Ahora bien, una posible solución sería la de crear una Ley Modelo, tal y como se realiza en el ámbito internacional que disponga las reglas generales, tanto técnicas cómo jurídicas que generen certidumbre jurídica y simplifiquen los proceso en la obtención y uso de la firma electrónica en el país. 

Esto, si bien parece simple como una simple promulgación de un compendio de disposiciones prexistentes que armonicen la actividad digital en el país, supone retos y complicaciones de carácter técnico y jurídico. 


3.1 Competencias

Por principio de cuentas, uno de los retos más importantes puede ser el de definir las competencias necesarias para generar los códigos algorítmicos necesarios para la creación de certificados digitales y llaves públicas. 

Se podría centralizar como hasta ahora en el Banco de México como un administrador de la Infraestructura, o bien se puede otorgar a cada Agente Registrador la facultad suficiente para ser autosuficiente en cuanto a la programación y emisión de los mencionados certificados. 


3.2 Datos personales recabados en el proceso de emisión de firma electrónica 

Otra de las vicisitudes por las que tiene que atravesar esta propuesta es la de homogeneizar la documentación e información personal sobre la que descansaría cada firma. 

Esto es, la firma electrónica goza de validez precisamente por que al momento de solicitarla, se establece que la misma debe estar intrínsecamente ligada a documentos oficiales, datos biométricos, personales y la firma autógrafa que garantice que la electrónica es personal e intransferible. 

Como se mencionó esto puede variar dependiendo de ante quien se esté tramitando, pero para efetos prácticos se mencionan los datos, documentos y el procedimiento para la obtención de la misma: 

Documentación Generalmente Requerida:

  • Identificación oficial vigente: INE (Credencial para votar), pasaporte, cédula profesional, etc.

  • Comprobante de domicilio: Reciente y a nombre del solicitante (recibo de servicios, estado de cuenta bancario, etc.).

  • CURP: Clave Única de Registro de Población.

  • Dispositivo de almacenamiento: Una memoria USB para guardar el certificado de firma electrónica.

  • Forma de solicitud: El formulario correspondiente, que puedes obtener en la página web de la entidad emisora o en sus oficinas.

Datos Personales a Proporcionar:

  • Nombre completo: Como aparece en tu identificación oficial.

  • Fecha de nacimiento:

  • Nacionalidad:

  • Estado civil:

  • Ocupación:

  • Correo electrónico: Una dirección de correo electrónico activa a la que tengas acceso.

  • Firma autógrafa: Para cotejar con la firma digitalizada.

  • Huellas dactilares: En algunos casos, se pueden solicitar huellas dactilares para mayor seguridad.

  • Fotografía: Una fotografía reciente.

Proceso General para Obtener una Firma Electrónica:

  • Generación del archivo de solicitud: En algunos casos, deberás generar un archivo de solicitud en línea o mediante un software específico proporcionado por la entidad emisora.

  • Agendamiento de cita: Se te asignará una cita para acudir a las oficinas de la entidad emisora y presentar la documentación requerida.

  • Verificación de datos: Se verificará tu identidad y la autenticidad de los documentos presentados.

  • Toma de datos biométricos: En algunos casos, se tomarán datos biométricos como huellas dactilares o fotografía facial.

  • Entrega del certificado: Se te entregará el certificado de firma electrónica en la memoria USB que llevaste.

Como se puede observar, actualmente se solicitan 4 documentos oficiales, así como 6 datos personales, más los datos biométricos y una fotografía. 

Esto de entrada puede parecer bastante robusto para soportar la firma electrónica, sin embargo, también puede suponer una problemática en cuanto a la seguridad que se discutirá más adelante, además de que el procedimiento puede simplificarse. 

Por ejemplo, en España, quienes ya han implementado una forma electrónica interoperable, con reconocimiento en ámbitos de derecho público y privado han ligado la expedición de la firma electrónica al Documento Nacional de Identidad (DNI), el cual es homónimo del INE. 

Para ello, los españoles han digitalizado el DNI, lo cual evita que se soliciten datos personales ociosos y documentación innecesaria, es decir, en México, nuestra identificación oficial expedida por el INE contiene Nombre, fecha de nacimiento, nacionalidad, fotografía y firma electrónica. 

Si México adoptara un sistema similar, podría simplificar la expedición de la firma electrónica, reducir los riesgos de manejo de datos personales, reducir la infraestructura de almacenamiento, digitalizar el INE (lo cual supone otros beneficios en distintos ámbitos), agilizaría las citas, podría haber mayor fiscalización, entre otros beneficios. 

Es por ello relevante, analizar las disposiciones jurídicas orientadas a los procedimientos de expedición de firma electrónica para garantizar que las mismas sean amables tanto con la actividad pública, como privada, garantizando con ello el uso de las tecnologías sin necesidad de disposiciones ininteligibles y procesos engorrosos. 


3.3 Seguridad informática en el almacenamiento de datos personales

La seguridad informática en el almacenamiento de datos personales es un tema de vital importancia en la era digital, donde la información personal es un activo valioso y vulnerable a múltiples amenazas.

Es tan importante dado que asegurar una correcta seguridad de los daros personales garantiza que la información personal no sea accesible a personas no autorizadas y evita el uso indebido de datos personales para cometer delitos y genera confianza en los usuarios al demostrar que sus datos están protegidos.

Los principales riesgos y amenazas que se deben de atender, de conformidad con los estándares internacionales y las mejores prácticas cibernéticas:

  • Ataques cibernéticos: Hackers, malware y ransomware son las principales amenazas que buscan robar, modificar o destruir datos.

  • Errores humanos: Acciones involuntarias como pérdida de dispositivos, contraseñas débiles o configuración incorrecta de sistemas pueden comprometer la seguridad.

  • Desastres naturales: Incendios, inundaciones y otros desastres pueden dañar los equipos de almacenamiento y causar la pérdida de datos.

Por otra parte, citaré las medidas de seguridad más adecuadas para garantizar la protección de los datos personales a nivel informático:

  • Cifrado: Codificar los datos para que solo puedan ser leídos por personas autorizadas.

  • Contraseñas fuertes: Utilizar contraseñas únicas y complejas para proteger el acceso a los sistemas.

  • Autenticación de dos factores: Requerir una segunda forma de verificación, como un código enviado al teléfono móvil, para acceder a los sistemas.

  • Respaldos regulares: Realizar copias de seguridad de los datos y almacenarlos en un lugar seguro.

  • Control de acceso: Limitar el acceso a los datos solo a las personas autorizadas. Esto se puede dar a nivel informático pero también a nivel físico, como automatizar entradas a los lugares más vulnerables con tarjetas de acceso, etc. 

  • Firewall: Instalar un firewall para proteger la red de ataques externos.

  • Actualizaciones de software: Mantener los sistemas operativos y aplicaciones actualizados para corregir vulnerabilidades.

  • Concientización de los empleados: Capacitar a los empleados sobre las mejores prácticas de seguridad.

  • Planes de respuesta a incidentes: Tener un plan definido para responder a posibles brechas de seguridad y en general, crear políticas internas robustas que busquen mitigar una posible eventualidad. 

Por último, las tecnologías para asegurar el almacenamiento de datos más comunes e importantes son:

  • Almacenamiento en la nube: Ofrece alta disponibilidad y escalabilidad, pero es importante elegir proveedores confiables con sólidas medidas de seguridad.

  • Almacenamiento encriptado: Permite cifrar los datos tanto en reposo como en tránsito.

  • Tokenización de datos: Reemplaza datos sensibles por tokens aleatorios para proteger la información original.

  • Análisis de comportamiento: Detecta anomalías en el comportamiento de los sistemas para identificar posibles amenazas.

A lo largo de los años se han investigado y desarrollado aplicativos eficaces para garantizar los datos personales a nivel informático, sin embargo, resulta necesario también que estos mecanismos estén alineados con garantías legales y mecanismos de protección a nivel jurídico, para que la seguridad informática sea mas robusta y completa y pueda otorgar certeza jurídica. 

Del mismo modo, el sistema jurídico alrededor del mundo informático debe de contemplar sanciones a distintos niveles, no sólo como delitos informáticos, sino también dentro del ámbito público en responsab9ilidad de funcionarios públicos, a nivel comercial, fiscal, notarial, judicial y en todos aquellos ámbitos en donde se pueda hacer mal uso y manejo de los datos personales.

Es por tanto que la seguridad informática, es un tema importante a abordar, no sólo desde la perspectiva digital, sino también desde aspectos jurídicos y físicos, observando en todo momento que los sistemas estén funcionando de manera óptima, que existan las políticas internas necesarias para evitar y remediar eventualidades, contar con infraestructura física que permita, tanto el volumen como la disponibilidad de los datos y con ello garantizar el manejo correcto de los datos personales al momento de emitir firmas electrónicas. 

Bajo esa perspectiva, resulta importante que se robustezca la figura del Administrador de la Infraestructura (Banco de México) para que se reconozca en las disposiciones legales que será quien lleve la administración de los recursos físicos, técnicos y jurídicos, a efecto, no solo de garantizar el manejo de la información, sino también para tener grado de responsabilidad en caso de un eventual control de derechos en caso de vulneración de los mismos. 

Otra alternativa es pasar esta responsabilidad a la Secretaría de Gobernación, quien es el que lleva el Registro Nacional de Población y quien ya cuenta con experiencia probada en el manejo de registros nacionales de gran volumen, para que, en coordinación con los agentes digitales de registro y certificación, se garantice que la expedición de firma es consistente con la ley marco que se propone y con los mejores estándares de seguridad. 


CONCLUSIONES 

Actualmente, México atraviesa por un despegue tecnológico como el resto del mundo, cada día llegan al país nuevas tecnologías, lo cual expande ciertos mercados y ámbitos de la vida cotidiana, al grado de explorar y explotar las inteligencias artificiales como un aspecto cotidiano de la vida de los mexicanos. 

No obstante, la legislación se encuentra muy rezagada en cuanto a los retos y peligros que supone lo anterior, toda vez que diariamente se escucha una nueva estafa o brecha de seguridad relacionada con la tecnología. 

En materia de firma electrónica es preocupante como la legislación se encuentra especialmente dispersa en diversos ordenamientos que no son consistentes en cuanto a su uso ni su nivel de actualización. 

Por tanto, resulta imperativo entrar a una conversación mas profunda en los distintos ámbitos de aplicación y niveles de utilización. 

Por una parte, en el ámbito del derecho privado, resulta imperativo analizar la legislación internacional y en ese sentido armonizarla con la nacional para garantizar los estándares actuales de uso y seguridad, garantizando con ello una ley efectiva que protege el comercio y las relaciones entre particulares. 

Por la otra, el derecho público ha adoptado múltiples tramites y servicios que involucran la tecnología para su presentación por lo que, además de garantizar el acceso a las comunicaciones y tecnologías de la información, el estado mexicano debe de crear la normativa específica para los agentes especializados en expedición y certificación en forma electrónica. 

Para ello, la creación de una Ley Marco, que contemple todos los estándares tecnológicos actuales, los niveles de servicio y calidad y las garantías de seguridad se vuelve indispensable, tanto como para tener claridad en a la hora de expedir y operar firmas electrónicas, como para darles validez y certeza jurídica en el ordenamiento nacional, así como generar la confianza necesaria en los usuarios. 

Partiendo de esa premisa, se podrán emitir leyes secundarias que contemplen, en el ámbito de quien desee utilizar la tecnología, los puntos finos de su utilización en el marco de su respectiva competencia, sin que con ello se complique o se enrede su uso. 

Una de las estrategias digitales más utilizadas en el ámbito internacional y que ha demostrado éxito es ligar el documento de identidad electrónico a la firma electrónica para que esta sea valida tanto para la celebración de un contrato, arrendamientos, temas fiscales y administrativos, etc. pues no solo autentica al usuario, sino que da validez jurídica a los actos celebrados. 

Por lo que, a lo que parece un camino largo, es en realidad un camino viable en la digitalización del país en una sociedad que se lo exige cada día. 

 
 
 

Comentarios

© 2025 para Asperó Lextech Creado por Limón y Clavo

  • LinkedIn
bottom of page