¿Cómo auditar la seguridad de tu proceso de firma electrónica?

¿Cómo auditar la seguridad de tu proceso de firma electrónica?
Respuesta rápida: Auditar la seguridad de un proceso de firma electrónica significa evaluar si ese proceso puede defender un contrato en los tres escenarios que importan: un litigio judicial, una auditoría regulatoria y un intento de fraude. La auditoría se organiza en seis áreas: identidad del firmante, integridad del documento, valor probatorio, seguridad tecnológica, cumplimiento regulatorio y continuidad del expediente. Para cada área existe un conjunto de preguntas concretas que un CTO o director jurídico puede responder con su proveedor actual. Si la respuesta a cualquiera de las preguntas críticas es negativa o incierta, el proceso tiene una vulnerabilidad que puede costar un contrato en juicio o una observación en una auditoría de la CNBV.
¿Por qué auditar tu proceso de firma electrónica ahora?
Miles de empresas en México adoptaron herramientas de firma electrónica durante la pandemia priorizando la velocidad sobre la seguridad. Cuatro años después, muchas operan con procesos que tienen vulnerabilidades que no conocen, porque nunca los evaluaron con criterios técnicos y legales rigurosos.
El momento para descubrirlo no es cuando un deudor impugna un contrato ante un juez, ni cuando la CNBV solicita el expediente de un cliente en una inspección. El momento es ahora, con tiempo para corregir.
Esta guía es un checklist de auditoría estructurado en seis áreas. Cada pregunta tiene una respuesta binaria: sí o no. Cualquier "no" o "no sé" es una vulnerabilidad que merece atención.
Área 1: Identidad del firmante
Esta área evalúa si el proceso puede acreditar que quien firmó es quien dice ser. Hay dos niveles válidos con distinta solidez probatoria: un proceso de identificación con revisión humana, y un proceso con KYC automatizado. Ambos son legalmente válidos; lo que cambia es la carga de la prueba en caso de impugnación y el nivel de protección contra fraude sofisticado.
Nivel base: identificación con revisión humana
¿El firmante captura su identificación oficial por ambos lados (anverso y reverso)? La captura de INE por ambos lados permite verificar los elementos de seguridad del documento y extraer los datos del titular. Es el punto de partida de cualquier proceso de identificación remota válido.
¿El firmante captura una selfie en tiempo real durante el proceso? La selfie en tiempo real acredita que había una persona presente al momento de firmar, no que alguien completó el proceso desde un dispositivo sin control. Es el elemento que permite a un validador humano o a un sistema cotejar el rostro contra la identificación.
¿Un validador humano revisa y aprueba la documentación antes de que la firma tenga efecto? La validación manual por el solicitante o su equipo es un mecanismo legítimo y válido de verificación de identidad. El validador coteja visualmente la selfie con la fotografía de la INE y determina si los documentos son consistentes.
¿El proceso registra geolocalización e IP al momento de la firma? Estos metadatos forman parte de la pista de auditoría y son evidencia técnica que un juez puede evaluar conforme al artículo 210-A del CFPC. Refuerzan la atribución de la firma al firmante.
✅ Resultado nivel base: Un proceso con estos cuatro elementos es legalmente válido y genera evidencia suficiente para la mayoría de los contratos. Su limitación es que la validación de identidad es humana, lo que introduce el factor de error o negligencia del validador, y que no detecta automáticamente identidades sintéticas ni deepfakes.
Nivel KYC: identificación automatizada con fuentes oficiales
El KYC automatizado añade una capa de verificación que elimina el factor humano y eleva significativamente la solidez probatoria, especialmente para contratos de alto valor, sectores regulados o procesos masivos donde la revisión manual no es escalable.
¿La biometría facial se coteja automáticamente contra los registros del INE con una coincidencia mínima del 98%? Este cotejo automatizado confirma que el firmante es el titular de la identificación presentada, no solo que "parece" serlo. Es el estándar que exige la CNBV para identificación no presencial en entidades financieras.
¿El proceso incluye prueba de vida certificada con detección de deepfakes y ataques de inyección? La prueba de vida básica detecta fotos y videos simples. En 2026, los deepfakes generados por IA y los ataques de inyección requieren mecanismos adicionales. Si el proveedor no puede describir cómo los detecta, el proceso es vulnerable a fraude sofisticado.
¿Se valida la CURP contra RENAPO en tiempo real (validación real, no solo sintáctica)? La validación real contra la BDNCURP confirma que la CURP existe y que los datos del solicitante coinciden exactamente. Protege contra identidades sintéticas parciales que usan CURPs reales de otras personas.
¿Se verifica la identificación oficial contra la lista nominal del INE? Confirma que la credencial presentada está activa y no ha sido reportada como robada o cancelada.
✅ Resultado nivel KYC: Un proceso con estos elementos adicionales invierte la carga de la prueba en caso de repudio, reduce significativamente el riesgo de fraude por suplantación e identidad sintética, y cumple con los estándares de identificación no presencial de la CNBV para entidades financieras reguladas.
Área 2: Integridad del documento
Esta área evalúa si el proceso puede acreditar que el contenido del documento no fue alterado después de la firma.
¿El proceso genera un hash criptográfico del documento al momento de la firma? El hash es la huella digital del documento. Cualquier cambio posterior genera un hash diferente y hace detectable la alteración. Sin hash, no hay forma objetiva de demostrar que el documento es el mismo que se firmó.
¿La constancia de conservación NOM-151 es emitida por un PSC autorizado por la Secretaría de Economía? Esta es la pregunta más importante del área. Una constancia emitida por una plataforma que no es PSC, o por un PSC no autorizado en México, no tiene validez legal. Verifica el directorio oficial en psc.economia.gob.mx.
¿La constancia NOM-151 está vinculada criptográficamente al contenido exacto del documento? No basta con que exista una constancia. Debe estar vinculada al hash del documento específico que se firmó. Sin ese vínculo, la constancia no acredita la integridad de ese documento en particular.
¿El sistema puede detectar y alertar sobre cualquier modificación posterior al documento firmado? Si alguien intenta modificar el archivo después de firmado, ¿el sistema lo detecta automáticamente? Esta capacidad es la que hace a la constancia NOM-151 útil como evidencia en juicio.
✅ Resultado del área 2: Si alguna respuesta es negativa, el proceso es vulnerable a alteración de documentos.
Área 3: Valor probatorio
Esta área evalúa si el proceso genera evidencia suficiente para defender el contrato ante un juez conforme al artículo 210-A del Código Federal de Procedimientos Civiles.
¿El proceso genera una pista de auditoría completa y exportable? La pista de auditoría debe registrar: quién firmó, desde qué dispositivo, con qué dirección IP, en qué ubicación geográfica y a qué hora exacta. Debe ser exportable en un formato que pueda presentarse ante un juez.
¿El documento se conserva en su formato electrónico original con todos sus metadatos? Presentar la impresión en papel de un contrato digital hace perder los mecanismos criptográficos que acreditan la firma. El expediente debe conservar el archivo electrónico original, no solo una representación visual.
¿El proceso registra el consentimiento explícito del firmante sobre el contenido del documento? Debe quedar evidencia de que el firmante leyó y aceptó expresamente el contenido antes de firmar, no solo que "completó el proceso de firma". Este registro es lo que previene el argumento de que "firmé sin saber qué firmaba".
¿La firma electrónica es avanzada o puede acreditarse como tal conforme al artículo 97 del Código de Comercio? La firma avanzada invierte la carga de la prueba en caso de repudio: el firmante debe probar que no firmó, no la empresa que sí lo hizo. Si el proceso usa firma simple, la empresa carga con esa prueba.
¿Los documentos pueden presentarse ante un juez en formato electrónico con verificación en línea de la constancia? En un litigio de cobranza, el juez debe poder verificar la autenticidad de la constancia NOM-151 en tiempo real. Si el proveedor no ofrece un mecanismo de verificación pública, la cadena probatoria se debilita.
✅ Resultado del área 3: Si alguna respuesta es negativa, el proceso puede perder un litigio de cobranza por insuficiencia probatoria.
Área 4: Seguridad tecnológica
Esta área evalúa si la plataforma tiene los controles técnicos que protegen el proceso contra ataques externos.
¿El proceso usa canales seguros (HTTPS/TLS) en todas las comunicaciones? Cualquier transmisión de datos de identidad o documentos en canales no cifrados es un punto de interceptación potencial.
¿El proveedor tiene certificaciones de seguridad verificables (ISO 27001, SOC 2)? Las certificaciones acreditan que el proveedor somete sus controles de seguridad a auditorías externas periódicas. Un proveedor sin certificaciones solo garantiza su propia palabra.
¿Existe un proceso definido de respuesta a incidentes de seguridad? Si la plataforma es comprometida, ¿qué pasa con los documentos firmados? ¿El proveedor tiene un plan documentado de respuesta y notificación?
¿Los datos biométricos se procesan y almacenan conforme a la LFPDPPP? La Ley Federal de Protección de Datos Personales en Posesión de los Particulares regula cómo deben tratarse los datos biométricos. El proveedor debe poder describir su tratamiento de datos personales sensibles.
✅ Resultado del área 4: Si alguna respuesta es negativa, el proceso tiene vulnerabilidades tecnológicas que pueden afectar la integridad de los documentos.
Área 5: Cumplimiento regulatorio
Esta área evalúa si el proceso cumple con el marco regulatorio específico del sector de la empresa.
¿El expediente generado cumple con los requisitos del artículo 95 Bis de la LGOAAC (para SOFOMes) o el equivalente de tu sector? Cada tipo de entidad financiera tiene requisitos específicos para el expediente de identificación. El proceso de firma debe generar evidencia que satisfaga esos requisitos, no solo evidencia genérica.
¿El cotejo de listas de personas bloqueadas y PEPs ocurre dentro del mismo flujo de firma? Para entidades financieras, el cotejo de listas es una obligación que debe ejecutarse antes de cualquier operación. Si ocurre en un sistema separado al de firma, el expediente queda fragmentado.
¿El plazo de conservación de los documentos es de al menos 10 años? El artículo 49 del Código de Comercio exige 10 años. Si el proveedor tiene un plazo menor o no lo especifica en el contrato de servicio, la empresa puede quedar en incumplimiento.
¿Qué pasa con los documentos si el proveedor cambia de condiciones, es adquirido o cierra? Esta es la pregunta que más frecuentemente se omite y que más problemas causa. El contrato con el proveedor debe especificar cómo se entregan o migran los documentos si la relación termina.
✅ Resultado del área 5: Si alguna respuesta es negativa o incierta, el proceso tiene riesgos de cumplimiento regulatorio.
Área 6: Continuidad del expediente
Esta área evalúa si el expediente generado es coherente, completo y accesible en el largo plazo.
¿El KYC del firmante y el contrato firmado forman un expediente único y coherente? Un expediente fragmentado, donde la evidencia de identidad está en un sistema y el contrato en otro, es más difícil de defender en una auditoría y puede generar inconsistencias que un abogado contrario puede explotar.
¿El expediente puede exportarse completo en caso de migración de proveedor? Si el día de mañana decides cambiar de plataforma, ¿puedes llevarte todos los expedientes en un formato que conserve su valor probatorio? La dependencia de formatos propietarios es un riesgo de largo plazo.
¿Existe un mecanismo de acceso al expediente 10 años después de la firma? Los documentos deben estar accesibles durante el plazo de conservación. Si el sistema de almacenamiento del proveedor cambia o el formato queda obsoleto, la empresa puede perder acceso a expedientes que necesita para responder ante una autoridad.
✅ Resultado del área 6: Si alguna respuesta es negativa, el proceso tiene riesgos de continuidad que pueden afectar la disponibilidad del expediente cuando más se necesita.
Resumen: el checklist completo
Área | Preguntas críticas | Vulnerabilidad si falla |
|---|---|---|
Identidad del firmante (nivel base) | INE anverso/reverso, selfie en tiempo real, validación humana, geolocalización e IP | Error del validador humano, fraude de baja sofisticación |
Identidad del firmante (nivel KYC) | Biometría automatizada contra INE, prueba de vida, RENAPO, lista nominal | Suplantación sofisticada e identidad sintética |
Integridad del documento | Hash, NOM-151 con PSC autorizado, vínculo criptográfico | Alteración posterior al documento |
Valor probatorio | Pista de auditoría, formato original, consentimiento, firma avanzada | Pérdida del litigio de cobranza |
Seguridad tecnológica | TLS, certificaciones, incidentes, LFPDPPP | Compromiso de la plataforma |
Cumplimiento regulatorio | Expediente sectorial, listas, 10 años, portabilidad | Observación regulatoria o sanción |
Continuidad del expediente | Expediente único, exportación, acceso a 10 años | Pérdida de evidencia en el largo plazo |
¿Qué hacer si tu proceso tiene vulnerabilidades?
Lo primero es no entrar en pánico: la mayoría de las vulnerabilidades son corregibles. El riesgo real está en no conocerlas.
Las vulnerabilidades en las áreas de identidad del firmante e integridad del documento son las más urgentes porque afectan contratos que ya se están firmando hoy. Las de cumplimiento regulatorio y continuidad del expediente pueden tener consecuencias en el mediano y largo plazo.
En DIGID ofrecemos una revisión del proceso de firma actual de tu organización, evaluando cada punto de este checklist y recomendando las acciones específicas para cerrar los huecos detectados. El proceso de originación de crédito de punta a punta que implementamos cubre las seis áreas en un solo flujo: identidad verificada con biometría, integridad con NOM-151, valor probatorio con pista de auditoría completa, seguridad certificada, cumplimiento regulatorio por sector y expediente único exportable. Si quieres revisar tu proceso actual, escríbenos.
Preguntas frecuentes
¿Cada cuánto debería auditar mi proceso de firma electrónica? Al menos una vez al año, o cuando cambies de proveedor, cuando modifiques el flujo de firma, o cuando el marco regulatorio de tu sector sufra cambios relevantes.
¿Quién debe hacer la auditoría internamente? Idealmente, una revisión conjunta entre el área jurídica (que evalúa el valor probatorio y el cumplimiento regulatorio) y el área de tecnología (que evalúa la seguridad tecnológica y la integridad del documento).
¿La constancia NOM-151 de cualquier proveedor es igual? No. La constancia solo tiene validez legal cuando la emite un PSC autorizado por la Secretaría de Economía. Verifica el directorio oficial en psc.economia.gob.mx antes de asumir que tu proveedor cumple.
¿Qué pasa con los contratos ya firmados si encuentro vulnerabilidades? Los contratos ya firmados no pueden "re-firmarse" retroactivamente. Lo que sí puedes hacer es evaluar la robustez de la evidencia existente y preparar argumentos para defender esos documentos si fueran impugnados. Para contratos futuros, corrige el proceso antes de seguir firmando.
¿La firma simple es suficiente para contratos de bajo valor? Depende del riesgo de litigio, no solo del valor. Un contrato de bajo monto con un cliente recurrente de bajo riesgo puede manejarse con firma simple. Un contrato con un cliente nuevo, de alto riesgo o en un sector regulado merece los controles completos independientemente del monto.
Última actualización: julio de 2026. Fuentes: Artículo 210-A del Código Federal de Procedimientos Civiles, artículos 89 y 97 del Código de Comercio, NOM-151-SCFI-2016, directorio de PSC de la Secretaría de Economía (psc.economia.gob.mx), artículo 49 del Código de Comercio, Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), y artículo 95 Bis de la LGOAAC.
