Firmas electrónicas con soporte físico o en la nube, nuevos modelos de seguridad.

La firma digital en entornos de escritorio mediante aplicaciones web se ha realizado históricamente utilizando tokens físicos, los cuales contienen el certificado digital con los datos del usuario que permiten generar la firma electrónica. Este modelo ha sido ampliamente utilizado en portales bancarios, servicios gubernamentales, aplicaciones empresariales y software de escritorio.

Sin embargo, la evolución de los ataques de fraude ha cambiado de forma significativa el panorama de seguridad. Ya no se trata únicamente de ingeniería social o ataques a dispositivos móviles: hoy los navegadores web modernos en desktop se han convertido en un nuevo vector de ataque. Estos navegadores interactúan con dispositivos locales —como tokens de firma electrónica— y con aplicaciones instaladas en el equipo del usuario, ampliando la superficie de riesgo.

El crecimiento de los ataques zero-day, el malware y el robo de credenciales, junto con la aparición de nuevas leyes y regulaciones en materia de ciberseguridad, ha llevado a fabricantes como Google y Microsoft a reforzar de manera estructural la seguridad de sus navegadores.

Como resultado, las versiones más recientes de estos navegadores exigen que el usuario o el administrador de la empresa autoricen de forma explícita la conexión entre una aplicación web y los recursos locales del equipo.

Este cambio, materializado en Chrome 142 y Edge 143, limita el acceso de las aplicaciones web a dispositivos y servicios locales del usuario. Se trata de una tendencia que probablemente será adoptada por otros navegadores en el corto y mediano plazo.

Si bien estas medidas mejoran la seguridad global del ecosistema digital, también impactan directamente en el modelo tradicional de firma con token físico, ya que el acceso al dispositivo queda condicionado a autorizaciones explícitas por parte del usuario.

Este nuevo escenario introduce una mayor complejidad en el proceso de firma digital:

• El usuario debe autorizar cambios en su entorno de escritorio, lo que implica riesgos adicionales, ya que debe decidir cuándo es seguro otorgar dichos permisos.

• Aumenta la dependencia de las configuraciones y actualizaciones del navegador, ya sea por nuevas versiones, cambios de políticas o migraciones entre navegadores.

• La experiencia de usuario se ve afectada, generando mayor fricción durante el proceso de firma.

• Se incrementa la probabilidad de errores operativos en la firma mediante token físico.

Desde el punto de vista normativo, nada de esto invalida la firma digital. La legislación es tecnológicamente neutral: lo relevante sigue siendo la identificación del firmante, el control exclusivo del proceso, la integridad del documento y la posibilidad de verificación, no el dispositivo físico utilizado

No obstante, muchas organizaciones ya están evaluando alternativas más robustas y alineadas con este nuevo contexto, entre ellas:

• Restringir llamadas directas desde las páginas web a tokens o middleware local.

• Externalizar la validación de identidad y la firma mediante API's seguras firmas remotas.

• Centralizar la custodia de certificados y la operación criptográfica en HSM certificados, gestionados por un proveedor especializado como Certinet.

El modelo de firma digital basado en HSM elimina la dependencia directa del navegador con dispositivos locales, mejora la trazabilidad y la auditoría, reduce los riesgos operativos y se alinea con los estándares actuales de ciberseguridad.

Por tanto el token físico sigue siendo válido, pero ya no es el único modelo adecuado para todos los casos de uso. La tendencia del mercado y de los navegadores es clara: menos dependencias locales y más servicios centralizados, remotos y gobernables.

La firma digital basada en APIs, HSM y autenticación multi factor, representa una evolución natural hacia un modelo más seguro, robusto, moderno y alineado con el futuro digital.