¿Qué es la infraestructura de clave pública o PKI cuál es su relación con la firma electrónica?
Descubre de manera simple qué es la PKI, para qué sirve y cómo puedes agregar esta tecnología de autenticación en las transacciones con la firma electrónica.
En la realidad en la que vivimos, donde los datos informáticos han cobrado tanta importancia en casi todos los aspectos de nuestra vida, el surgimiento de herramientas y mecanismos para preservarlos y protegerlos fue el paso natural dentro de nuestra dinámica. En este contexto, la PKI o Infraestructura de Clave Pública tiene gran protagonismo y en este artículo te contamos lo que debes saber sobre ella.
Protegerse contra robo de datos digitales es vital para poder tener participación en las actividades rutinarias de la sociedad moderna, por ejemplo, el tener aplicaciones y plataformas que cifre la información para que solo pueda ser manipulada por aquellos que la posean es crucial y, la PKI es la manera de cifrado de los datos más popular que existe.
Ahora bien, nuestra intención será explicarte de la manera más simplificada y práctica posible lo que es la PKI, para qué sirve y cómo puedes agregar esta tecnología de autenticación en las transacciones con la firma electrónica.
¡Créenos que esta información le interesa a cualquier persona!
¿Qué es la PKI o Infraestructura de Clave Pública?
La Public Key Infrastructure, por sus siglas en inglés, son un grupo de componentes y servicios informáticos que permiten gestionar, controlar y administrar la tarea de generar, brindar, revocar y validar toda clase de certificados digitales.
En síntesis, es una combinación de hardware y software aplicada en políticas y tareas de seguridad digital. Lo que hace especial a la PKI sobre otros métodos de cifrado, es que puede integrar los certificados digitales junto a la criptografía de la clave pública y las diferentes autoridades de certificación dentro de una misma plataforma.
Su arquitectura está conformada por una infraestructura de confianza que abarca los siguientes actores o componentes:
Autoridad de certificación
La PKI permite que las instituciones o autoridades que se encargan de emitir y determinar la validez de los certificados estén incluidos en su estructura.
Autoridad de registro
Es en resumen el intermediario entre el usuario final de los certificados y la autoridad de certificación en la tarea de expedir y/o renovar los certificados.
Autoridad de validación
Son aquellos actores que se encargan de centralizar, organizar y controlar la lista de todos los certificados digitales emitidos, vencidos o revocados. Asimismo, permitiendo que toda esta información sea visible para los usuarios.
Autoridad de repositorio
El “lugar” donde se almacenan todos los certificados emitidos, los caducados o revocados por cualquier razón.
Software y políticas
Por último, la PKI integra a todos los productos de software que están destinados para usar los certificados digitales y, por supuesto, aquellas reglas o políticas definidas para la comunicación de la información en este aspecto.
Sin embargo, las PKI tienen un propósito mucho más extenso que el solo cifrar información para certificados digitales, si quieres saber cuál es ¡sigue leyendo!
¿Para qué sirve la PKI?
La confidencialidad de la información es factor fundamental de las transacciones comerciales y la PKI se encarga de garantizar la protección y seguridad de todos los mensajes, su integridad, autenticación y el no repudio. De hecho, la Infraestructura de Clave Pública está presente en varias áreas o herramientas comerciales, por ejemplo:
Firma Electrónica Avanzada
En el caso de esta tecnología, cuando una persona u organización obtiene un certificado digital para una firma electrónica avanzada, los proveedores certificados (ya sea público o privado en el caso de México) que emiten dicho proceso cuentan con una infraestructura PKI para hacerlo.
Mediante los documentos oficiales y datos biométricos se crea el certificado que, a su vez, es realizado bajo el esquema de PKI para garantizar y proteger la información que se contiene en él.
Ahora bien, la PKI no solo cifra la información para asegurar la identidad del firmante, también:
Garantiza el certificado único: Es decir, evita la creación de más de una llave pública por persona (física o moral). Si se intenta crear otra, teniendo una vigente, este reconocerá que ya existe y no podrá ejecutar el proceso.
Valida el certificado: A través del protocolo OCSP, verifican que el certificado digital no haya sido revocado o esté caducado.
Como ves, el PKI brinda seguridad a las transacciones y ayuda a agilizar los procesos que tienen que ver con las firmas electrónicas. Pero, como ya debes saber, cada país cuenta con diferentes procedimientos para manejar este tipo de componentes. Descubre cómo es el caso en México a continuación.
Funcionamiento de la PKI en México
En el momento que una persona física o moral quiera obtener su certificado digital, tiene dos opciones: sacarlo a través del Servicio de Administración Tributario o SAT, el cual está apoyado en base a una infraestructura extendida de seguridad o IES.
La otra opción es hacerlo con organizaciones privadas conocidas como Prestadoras de Servicios de Certificación o PSC, las cuales están acreditadas por la Secretaria de Economía para esta tarea y que cuentan con su propia infraestructura PKI para ello. Actualmente, existen 5 PSCs acreditados en México, y todos son aceptados para firmar documentos en Docusign eSignature.
En síntesis, los que participan en las PKI en México son las agencias registradoras, las agencias certificadoras y los usuarios finales o tenedores.
Por último, veamos un ejemplo práctico de cómo funciona la PKI.
Breve ejemplo del funcionamiento de la PKI
Supongamos que Luis quiere enviar un mensaje cifrado a varios contactos que tiene. Para ello, este genera unas claves y envía la clave pública a los destinatarios para que puedan ver la información cifrada.
Cuando el mensaje les llegue a sus contactos, ellos usarán la clave pública de Luis para visualizar la información y podrán responderle bajo el mismo esquema, donde Luis tendrá que usar su clave privada para poder verlos.
Entonces, cuando un destinatario descifre un mensaje con la clave pública de Luis, se entiende que el mensaje fue enviado por Luis y no por nadie más, ya que es su clave privada la que encripta el mensaje. Lo que haría imposible abrir este mensaje con la clave pública si fuese modificado antes de llegar a su destinatario, lo que garantiza su completa seguridad.
¿Lo ves?
En síntesis, la PKI es un mecanismo que combina el software y el hardware disponible por una persona o empresa para blindar su información a través de un proceso de cifrado súper hermético. Este concepto te ayudará a entender mucho mejor el funcionamiento de herramientas como la firma electrónica y, el por qué son plataformas tan seguras para tus transacciones.
Si quieres empezar a digitalizar tus procesos, queremos ofrecerte la posibilidad de hablar con nuestros expertos para que descubras todas las ventajas de firmar documentos de manera electrónica y segura.