¿Cómo se puede falsificar o repudiar una firma electrónica y cómo prevenirlo?

¿Cómo se puede falsificar o repudiar una firma electrónica y cómo prevenirlo?

Respuesta rápida: Una firma electrónica puede ser atacada de tres formas: suplantación de identidad (alguien firma haciéndose pasar por otra persona), repudio posterior (el firmante legítimo niega haber firmado) y alteración del documento (el contenido se modifica después de la firma). Cada uno de estos vectores tiene mecanismos de prevención específicos: la suplantación se previene con verificación biométrica y validación contra fuentes oficiales; el repudio se previene con firma electrónica avanzada y pista de auditoría robusta; la alteración se previene con constancia de conservación NOM-151. Una firma que no cubre los tres vectores tiene vulnerabilidades reales, independientemente de lo que diga su proveedor sobre su seguridad.

Por qué la seguridad de la firma electrónica importa más que nunca en 2026

México es hoy el segundo país más atacado del mundo por fraudes digitales, según el reporte Cibercrimen 2026, solo detrás de Suiza. La Condusef proyecta que cerca de 16 millones de mexicanos corren riesgo de ser víctimas de algún fraude digital en 2026, un incremento del 18% respecto al año anterior. Y dentro de ese ecosistema de fraude, la firma electrónica se ha convertido en un vector de ataque específico: los defraudadores ya no solo roban dinero, sino que falsifican consentimientos y alteran contratos.

El problema central no es la tecnología de firma electrónica en sí misma, que es robusta cuando está bien implementada. El problema es que miles de empresas en México adoptaron herramientas de firma priorizando la inmediatez sobre la seguridad, y ahora operan con procesos que tienen vulnerabilidades reales que no conocen.

Esta guía explica cuáles son esas vulnerabilidades, cómo se explotan y qué mecanismos técnicos y legales las previenen.

Vector 1: Suplantación de identidad

¿En qué consiste?

La suplantación de identidad ocurre cuando alguien firma un documento haciéndose pasar por otra persona. En el mundo digital, esto puede ocurrir de varias formas:

Uso de credenciales robadas: el atacante obtiene la identificación oficial de la víctima (por robo, compra en mercados ilegales o filtración de datos) y la presenta en un proceso de firma que no verifica biométricamente al firmante.

Phishing de credenciales de firma: el atacante replica notificaciones legítimas de plataformas de firma, clona el portal y captura las credenciales de acceso del firmante legítimo para usarlas después.

Deepfake en tiempo real: el atacante usa inteligencia artificial para sustituir su rostro por el del firmante legítimo durante un proceso de verificación biométrica remota, engañando al sistema con un video generado en tiempo real.

Ataque de inyección: en lugar de engañar a la cámara, el atacante inyecta directamente un video sintético en la tubería de datos de la aplicación, evitando por completo la captura biométrica real.

¿Cómo se previene?

La suplantación de identidad se previene en la capa de verificación de identidad previa a la firma, no en la firma misma. Los mecanismos necesarios son:

Verificación biométrica con prueba de vida certificada. El firmante debe capturar su rostro en tiempo real con un sistema que detecte que es una persona real y presente, no una foto, video, máscara o deepfake. La prueba de vida básica detecta fotos y videos simples. Para 2026, se necesitan además mecanismos específicos de detección de deepfakes y ataques de inyección.

Validación contra fuentes oficiales. El rostro capturado debe cotejar contra los registros biométricos del INE, con una coincidencia mínima del 98% como exige la CNBV. Esto confirma no solo que la persona es real, sino que es quien dice ser.

Validación de la identificación oficial. La credencial presentada debe validarse contra la lista nominal del INE para confirmar que está activa y no ha sido reportada como robada.

Autenticación multifactor. Combinar algo que el firmante sabe (contraseña o PIN), algo que tiene (dispositivo registrado) y algo que es (biometría) hace exponencialmente más difícil la suplantación.

Vector 2: Repudio de firma

¿En qué consiste?

El repudio es la posibilidad de que el firmante legítimo niegue posteriormente haber firmado un documento. No implica que la firma haya sido falsificada: la persona sí firmó, pero después alega que no lo hizo. Es la forma más frecuente de impugnar contratos digitales en México y la que más daño causa en procesos de cobranza.

El repudio es especialmente relevante para empresas que usan la firma digital en contratos de alto valor, créditos, acuerdos comerciales o compromisos de pago. Si el firmante niega su firma ante un juez, la empresa debe probar que sí firmó. Sin los elementos técnicos correctos, esa prueba puede ser difícil o imposible.

En términos del Código de Comercio, la carga de la prueba depende del tipo de firma:

  • Firma simple: quien presenta el documento debe probar que el firmante sí firmó.

  • Firma avanzada: quien niega haber firmado debe probar que no lo hizo.

Esa inversión de la carga de la prueba es la diferencia entre ganar y perder un litigio de cobranza.

¿Cómo se previene?

Firma electrónica avanzada con certificado PSC. La firma avanzada genera no repudio por sus mecanismos criptográficos: los datos de creación de la firma son exclusivos del firmante y estaban bajo su control al momento de firmar. El firmante no puede negar técnicamente que fueron usados sin comprometer su propio certificado.

Pista de auditoría completa. El sistema debe registrar cada acción del proceso de firma: quién firmó, desde qué dispositivo, con qué dirección IP, en qué ubicación geográfica, a qué hora exacta y mediante qué mecanismo. Esta evidencia es lo que un juez puede evaluar directamente si el firmante niega su participación.

Registro del consentimiento explícito. El proceso debe capturar el momento en que el firmante manifiesta su consentimiento de forma activa: un paso donde acepta expresamente el contenido del documento antes de firmarlo, con registro de esa aceptación.

Constancia NOM-151. Acredita la fecha cierta del documento e integridad desde el momento de la firma, lo que impide alegar que el documento fue alterado después de que el firmante "supuestamente" lo firmó.

Vector 3: Alteración del documento

¿En qué consiste?

La alteración del documento ocurre cuando el contenido de un contrato o acuerdo se modifica después de que fue firmado. En el mundo físico, esto requiere falsificar un documento en papel, lo que es relativamente difícil. En el mundo digital, modificar un archivo PDF o Word sin los controles correctos puede ser sorprendentemente sencillo.

Los escenarios más frecuentes en la práctica mexicana son:

Modificación del monto o condiciones: cambiar el monto del crédito, la tasa de interés o las condiciones de pago después de que el deudor firmó el contrato original.

Sustitución de páginas: reemplazar páginas interiores del contrato manteniendo las páginas con la firma intactas.

Alteración de metadatos: cambiar la fecha de creación o modificación del archivo para alterar la línea de tiempo del documento.

Versiones paralelas: mantener dos versiones del contrato, presentando la modificada como la original en un litigio.

¿Cómo se previene?

Constancia de conservación NOM-151. Es el mecanismo principal contra la alteración. La constancia emitida por un PSC autorizado contiene sellos digitales de tiempo criptográficos que capturan una "huella digital" del documento en el momento de la firma. Si cualquier byte del archivo cambia después de emitida la constancia, los mecanismos criptográficos lo detectan automáticamente. Es técnicamente imposible alterar el documento sin que la constancia lo revele.

Hash criptográfico del documento. La plataforma debe generar y registrar el hash (huella digital) del documento al momento de la firma. Cualquier modificación posterior genera un hash diferente, lo que hace detectable la alteración.

Cierre criptográfico de la firma. La firma debe estar vinculada criptográficamente al contenido exacto del documento. Si el contenido cambia, la firma deja de ser válida técnicamente.

Los tres vectores y sus controles: resumen

Vector de ataque

Cómo se ejecuta

Control que lo previene

Suplantación de identidad

Credenciales robadas, deepfake, ataque de inyección

Biometría + prueba de vida + validación INE/RENAPO

Repudio de firma

El firmante niega haber firmado

Firma avanzada + pista de auditoría + NOM-151

Alteración del documento

Modificación del archivo después de la firma

Constancia NOM-151 + hash criptográfico

¿Qué vulnerabilidades tiene una firma simple sin estos controles?

Una firma electrónica simple sin verificación biométrica, sin pista de auditoría robusta y sin constancia NOM-151 deja los tres vectores abiertos:

  • Cualquiera con acceso a las credenciales del firmante puede suplantar su identidad.

  • El firmante puede negar su firma y la empresa tendrá que probarla sin evidencia técnica sólida.

  • El documento puede alterarse y no habrá forma objetiva de demostrar cuál era el contenido original.

Esto no significa que la firma simple sea inútil: para documentos de bajo riesgo probatorio, puede ser suficiente. Pero para contratos de crédito, acuerdos comerciales de valor significativo, pagarés o cualquier documento que pueda terminar en un litigio, los tres controles son necesarios.

¿Qué dice la ley sobre la responsabilidad de prevenir el fraude en firma electrónica?

El artículo 89 del Código de Comercio establece que la firma electrónica es atribuible al firmante cuando fue creada usando medios que el firmante tenía bajo su control. Esa atribución puede desvirtuarse si el firmante demuestra que sus credenciales fueron comprometidas sin su conocimiento o negligencia.

Esto tiene una implicación práctica importante: si una empresa usa un proceso de firma que no verifica biométricamente al firmante y un defraudador suplanta su identidad, la empresa puede enfrentar dificultades para demostrar que el firmante realmente consintió, porque no tomó las medidas razonables para verificar su identidad.

La due diligence en firma electrónica ya no es opcional: es lo que distingue a una empresa que puede defender sus contratos en juicio de una que no puede.

Cómo DIGID cubre los tres vectores en un solo flujo

En DIGID los tres vectores de ataque están cubiertos dentro del mismo proceso:

Para la suplantación de identidad: verificación biométrica con prueba de vida y detección de deepfakes y ataques de inyección, más validación contra fuentes oficiales (INE, RENAPO, SAT) con coincidencia mínima del 98%.

Para el repudio de firma: firma electrónica con pista de auditoría completa (dispositivo, IP, geolocalización, hora exacta) y registro del consentimiento explícito del firmante.

Para la alteración del documento: constancia de conservación NOM-151 emitida por un PSC autorizado por la Secretaría de Economía, con hash criptográfico vinculado al contenido exacto del documento al momento de la firma.

El resultado es un proceso de firma que genera evidencia suficiente para defender el contrato en los tres escenarios que importan: un litigio judicial, una auditoría regulatoria y una impugnación por fraude. Si quieres ver cómo se integra en tu operación, escríbenos.

Preguntas frecuentes

¿Se puede falsificar una firma electrónica? Sí, si el proceso de firma no tiene los controles correctos. Los tres principales vectores de ataque son la suplantación de identidad, el repudio posterior y la alteración del documento. Cada uno tiene mecanismos de prevención específicos.

¿Qué es el repudio de una firma electrónica? Es cuando el firmante legítimo niega haber firmado un documento después de haberlo hecho. Con firma simple, la empresa debe probar que sí firmó. Con firma avanzada, el firmante debe probar que no lo hizo.

¿La constancia NOM-151 previene la alteración de documentos? Sí. La constancia emite sellos criptográficos que capturan una huella digital del documento al momento de la firma. Cualquier modificación posterior es detectable automáticamente.

¿Un deepfake puede engañar a un sistema de firma electrónica? Puede engañar a sistemas sin detección de deepfakes. Los sistemas robustos incluyen mecanismos específicos para detectar video sintético generado por IA y ataques de inyección, que son los vectores más sofisticados en 2026.

¿Qué diferencia hace el tipo de firma en caso de repudio? Con firma simple, quien presenta el documento debe probar su validez. Con firma avanzada, quien la niega debe probar lo contrario. Esa inversión de la carga de la prueba es determinante en litigios.

¿Una firma electrónica simple es insegura? No necesariamente insegura, pero deja vulnerabilidades abiertas en los tres vectores. Para contratos de alto valor o que puedan terminar en litigio, se recomiendan los tres controles: biometría, firma avanzada con pista de auditoría y constancia NOM-151.

Última actualización: julio de 2026. Fuentes: Código de Comercio (artículos 89, 89 bis y 97), artículo 210-A del Código Federal de Procedimientos Civiles, NOM-151-SCFI-2016, Reporte Cibercrimen 2026 y proyecciones Condusef 2026.

digid banner bg

Firma y protege tus contratos digitales con DIGID

Gestiona contratos digitales de forma inteligente

digid banner bg

Firma y protege tus contratos digitales con DIGID

Gestiona contratos digitales de forma inteligente