Firmar documentos digitalmente ya no es una opción opcional: es una necesidad. Sin embargo, no todos los sistemas de firma ofrecen el mismo nivel de seguridad, confiabilidad y validez jurídica. En Kuenta implementamos un modelo de firma electrónica avanzada diseñado para ser comprensible para cualquier persona —incluso sin conocimientos técnicos— y, al mismo tiempo, lo suficientemente riguroso para cumplir con estándares internacionales.

Este artículo explica, en términos simples y técnicos, cómo funciona nuestro proceso, cuál es su respaldo legal en Colombia y en estándares globales, y por qué los documentos firmados en Kuenta son inviolables, verificables y autosuficientes, es decir, contienen toda la evidencia necesaria sin depender de Kuenta posteriormente.

1. ¿Cómo funciona la firma electrónica avanzada de Kuenta?

El propósito central del proceso es garantizar tres elementos:
(1) quién firma, (2) qué firmó, y (3) que el documento no cambió después de la firma.

Para lograrlo, Kuenta utiliza una arquitectura moderna, segura y altamente auditable.

1.1 Componentes principales

  • Backend en Go: motor que organiza el proceso de firma, validación e identidad.
  • Componentes Java: responsables de empaquetar la evidencia y proteger el PDF con un contenedor criptográfico.
  • Certificado digital institucional de Kuenta: usado para proteger la integridad del contenedor. No se usa para “representar la identidad del firmante”, sino para garantizar que nadie pueda alterar la evidencia.
  • Autenticación dinámica TOTP: código de un solo uso que demuestra la intención inequívoca del usuario.
  • Sistemas biométricos: validan que la persona es quien dice ser mediante reconocimiento facial, prueba de vida y análisis documentológico.

Estos componentes combinados permiten un proceso sólido, comprensible y verificable.

1.2 Verificación de identidad: la base del valor probatorio

Antes de firmar, Kuenta identifica al usuario mediante:

  • Lectura automatizada del documento de identidad.
  • Validación contra bases oficiales.
  • Biometría facial y verificación de vida.
  • Autenticación multifactor (TOTP + SMS/email/llamada).

De forma simple:
Es como presentar la cédula, tomarse una foto frente al funcionario y confirmar verbalmente “sí, quiero firmar”. Excepto que todo está automatizado, encriptado y registrado con precisión de milisegundos.

1.3 Firma del documento: lo técnico explicado claramente

En Kuenta:

  • No se crean certificados digitales para cada usuario.
  • Los usuarios no tienen claves privadas individuales.
  • Esto cumple 100% la regulación de firma electrónica avanzada.

El proceso funciona así:

  1. Se genera un hash SHA-256, que es como una “huella digital” única del PDF.
  2. Se construye un contenedor PKCS#7/CMS, que actúa como una caja fuerte donde se guardan:
    • Evidencia biométrica,
    • Eventos de autenticación,
    • Metadatos de la transacción,
    • Huella digital del documento.
  3. Kuenta firma este contenedor usando su certificado institucional.
  4. Si el documento cambia aunque sea un solo byte, la firma se rompe automáticamente.

1.4 Envío del PDF a todas las partes

Cuando el proceso termina, cada firmante recibe su copia del PDF firmado.

Cada PDF incluye:

  • El documento original.
  • Toda la evidencia técnica encapsulada.
  • El contenedor criptográfico verificable.

Esto significa que:
No necesitas volver a Kuenta para demostrar nada.
El PDF es autosuficiente y verificable de forma independiente.

2. ¿Por qué es inviolable una firma electrónica avanzada hecha en Kuenta?

2.1 En términos prácticos:

Imagina que:

  • haces una fotocopia del documento exacto que firmaste,
  • se coloca dentro de una caja fuerte,
  • la caja se sella con un candado especial que se rompe si alguien intenta abrirla o cambiar el contenido.

Eso es exactamente el contenedor PKCS#7.

2.2 Detalle técnico

El contenedor incluye:

  • Hash SHA-256 del PDF.
  • Firma criptográfica institucional.
  • Estructura CMS estandarizada internacionalmente.
  • Trazabilidad de usuario, dispositivo, IP, fecha y hora.

Cualquier alteración:

  • modifica el hash,
  • invalida la firma,
  • y alerta a cualquier sistema de validación.

3. Marco legal colombiano

El proceso cumple con:

  • Ley 527 de 1999 — Reconoce firma electrónica, firma digital y mensajes de datos.
  • Decreto 2364 de 2012 — Define firma electrónica y establece requisitos de confiabilidad.
  • Decreto 1074 de 2015 — Marco compilatorio del sector comercio.

3.1 Requisitos legales cumplidos

Una firma es válida si:

  • identifica al firmante,
  • es confiable para el propósito,
  • se invalida si el documento cambia,
  • permite detectar alteraciones.

Kuenta cumple todo.

3.2 Postura de la SIC

La Superintendencia de Industria y Comercio señala:
“No se requiere certificación de entidad certificadora para que la firma electrónica sea válida.”

Esto respalda exactamente el modelo de Kuenta.

4. Legislación internacional compatible

Kuenta también es consistente con estándares globales:

4.1 eIDAS (Unión Europea)

La legislación europea divide las firmas en:

  • Firma Electrónica Simple,
  • Firma Electrónica Avanzada (FEA),
  • Firma Electrónica Cualificada.

La firma electrónica avanzada en Kuenta cumple los criterios eIDAS para FEA:

  • vínculo único al firmante,
  • control exclusivo del proceso de autenticación,
  • detección de cambios,
  • integridad del documento.

4.2 ESIGN Act (Estados Unidos)

Establece:

  • Validez jurídica de firmas electrónicas.
  • No se requiere certificado digital.
  • El consentimiento y la intención son esenciales.

Kuenta cumple estos principios mediante TOTP + biometría.

4.3 UETA (Uniform Electronic Transactions Act – EE.UU.)

Fortalece:

  • equivalencia de firmas electrónicas con firmas manuscritas,
  • integridad del registro,
  • confiabilidad del método.

4.4 Ley Modelo UNCITRAL

Base internacional para leyes de comercio electrónico en múltiples países:

  • mensajes de datos válidos,
  • equivalentes funcionales,
  • firmas electrónicas confiables.

Kuenta opera en plena armonía con estos estándares.

5. Evidencia autosuficiente: por qué los PDFs firmados en Kuenta no requieren verificación externa

Cada archivo PDF firmado contiene:

  • el documento original,
  • todas las pruebas técnicas de identidad,
  • trazabilidad del proceso,
  • evento de intención de firma,
  • biometría analizada,
  • contenedor PKCS#7 firmado.

Esto permite que:
un juez,
un auditor,
una contraparte contractual,
o incluso un perito informático,
podan validar independientemente la integridad y autenticidad del documento.

No depende de Kuenta ni requiere conectarse a nuestros servidores.

Esto ofrece independencia probatoria y elimina el riesgo de “dependencia de tercero” (single point of trust).

6. Beneficios prácticos para empresas y usuarios

6.1 Seguridad superior al papel

  • El papel puede falsificarse.
  • Una firma manuscrita puede imitarse.
  • Un contrato físico puede perderse o manipularse.

La firma electrónica avanzada no sufre ninguno de esos riesgos.

6.2 Evidencia reforzada y automática

El “paquete probatorio” generado por Kuenta es más robusto que una firma manuscrita:

  • Biometría facial.
  • Intención explícita mediante TOTP.
  • Auditoría detallada del proceso.
  • Metadatos completos.
  • Contenedor criptográfico PKCS#7.

6.3 Independencia probatoria del PDF

Cada documento firmado incluye toda la evidencia técnica necesaria, lo que permite que cualquier parte —un juez, auditor, contraparte o perito— pueda validar la autenticidad sin depender de Kuenta.

6.4 Reducción de riesgos operativos

  • Menor probabilidad de fraude o suplantación.
  • Eliminación de pérdida o manipulación de documentos.
  • Eliminación de reprocesos.

6.5 Cumplimiento normativo y auditorías

La evidencia generada es ideal para:

  • Auditorías internas.
  • Cumplimiento regulatorio.
  • Procesos legales.
  • Requerimientos de entes de control.

Conclusiones

La firma electrónica avanzada de Kuenta ofrece un nivel de seguridad superior al de cualquier proceso en papel y es plenamente válida bajo la legislación colombiana e internacional. Kuenta garantiza:

  • Identificación inequívoca del firmante.
  • Integridad absoluta del documento.
  • Independencia probatoria del PDF.
  • Conformidad con estándares globales (eIDAS, ESIGN, UETA, UNCITRAL).
  • Evidencia completa contenida dentro del propio documento.

Kuenta se consolida así como la alternativa más confiable para empresas que requieren procesos contractuales seguros, verificables y legalmente sólidos en entornos digitales.