Cluster · Tipos de firma

Firma electrónica avanzada (AES): casos de uso y ventajas

AES es el default recomendado para 95% de B2B con riesgo medio-alto: vinculación criptográfica única, identificación robusta, detección automática de modificaciones. Equivale a manuscrita.

Equipo Estipula· Especialistas en firma electrónica B2B9 min de lectura

Definición técnica de AES#

El Reglamento eIDAS define AES como una firma electrónica simple que cumple cuatro requisitos adicionales (Art. 26):

Una firma electrónica avanzada cumplirá los requisitos siguientes: a) estar vinculada al firmante de manera única; b) permitir la identificación del firmante; c) haber sido creada utilizando datos de creación de la firma electrónica que el firmante puede utilizar, con un alto nivel de confianza, bajo su control exclusivo; d) estar vinculada con los datos firmados por ella de modo que cualquier modificación ulterior de los datos sea detectable.
Reglamento UE 910/2014, Art. 26

Vamos requisito por requisito:

1. Vinculación única al firmante#

La firma debe identificar inequívocamente quién firmó. No vale «alguien en esta empresa» — tiene que ser una persona concreta identificable.

En la práctica: certificado X.509 con identidad del firmante, o combinación de factores fuertes (DNI escaneado + email validado + OTP por SMS al teléfono del firmante).

2. Identificación del firmante#

El método de identificación es robusto. Email + clic «Acepto» no identifica al firmante con certeza — cualquiera con acceso al buzón puede clicar.

Para AES: certificado digital, biometría capturada, o doble factor robusto (algo que sabes + algo que tienes + algo que eres).

3. Control exclusivo del firmante#

Los medios para crear la firma están bajo el control exclusivo del firmante. El certificado privado o las claves criptográficas no las tiene la plataforma — las tiene el firmante (o son generadas para esa firma específica de forma vinculada solo a él).

4. Detección de modificaciones#

El requisito más distintivo de AES: la firma vincula criptográficamente al documento de tal forma que cualquier modificación posterior es detectable automáticamente. Si alguien cambia un solo byte del PDF tras firmarlo, la firma queda inválida en cualquier visor (Adobe Acrobat, Foxit, navegador).

Esto se logra con:

  1. Hash SHA-256 del documento al momento de firma.
  2. Cifrado del hash con la clave privada vinculada al firmante.
  3. Embedding de la firma resultante en el PDF (formato PAdES típicamente).
  4. Verificación pública con la clave pública del certificado.

Equivalencia con firma manuscrita#

La Ley 6/2020 Art. 3 establece:

«La firma electrónica avanzada vinculada a un certificado tendrá el mismo valor probatorio que la firma manuscrita.»

Esto significa que AES + certificado tiene fuerza probatoria plena en juicio civil, mercantil y laboral — equivalente a firma a mano sobre papel.

Carga de la prueba#

Si alguien impugna una AES, debe probarlo él aportando evidencias técnicas que demuestren falsificación, suplantación o modificación. Sin pruebas concretas en contrario, el tribunal acepta la firma electrónica como auténtica.

Esto contrasta con SES, donde la carga probatoria es más equilibrada y el firmante puede tener más facilidades para impugnar.

Doctrina jurisprudencial#

El Tribunal Supremo ha confirmado en múltiples sentencias (Sala I civil, Sala IV social) que AES + audit trail eIDAS es prueba plena. La impugnación rara vez prospera cuando:

  • El audit trail incluye timestamp, IP, dispositivo, hash SHA-256.
  • Hay evidencia de información previa (envío del email + apertura).
  • La plataforma de firma es eIDAS conforme con datos en UE.

Cuándo usar AES#

El default para B2B con riesgo medio-alto#

1. Contratos laborales

Aunque el ET no exija explícitamente AES, la jurisprudencia tiende a esperarla. Para alta de empleado, anexos, finiquitos, comunicaciones de baja, certificados de empresa, AES es el estándar.

2. Consentimientos sanitarios invasivos

Ley 41/2002 Art. 8.2 exige forma escrita reforzada. AES con OTP por SMS cumple operativa y legalmente. Lee consentimiento informado digital.

3. Contratos B2B con counterparty desconocida

Cliente nuevo, importes significativos, alta probabilidad de impugnación. AES da solidez probatoria.

4. NDAs con counterparty desconocida

NDA mutuo donde la otra parte no es cliente recurrente. AES protege ambos.

5. Autorizaciones de imagen y RGPD

Consentimiento para uso de imagen en RRSS, web, formación. AES con timestamp y log de información previa.

6. Documentos comerciales de importe alto

Acuerdos comerciales por encima de €10.000 o con cláusulas penales. Mejor AES con audit trail completo.

7. Mandatos SEPA

Domiciliación bancaria. La banca exige AES por norma sectorial.

Cuándo NO usar AES#

1. Trámites con AAPP que exijan QES expresamente

Recetas médicas privadas (RD 1718/2010), trámites con AEAT, Seguridad Social, sede electrónica. Aquí necesitas QES.

2. Notariado y escrituras públicas

Requieren QES + Notario en muchos casos. AES no sustituye la intervención notarial.

3. Flujos donde la fricción mata conversión y el riesgo es bajo

Aceptación de términos de servicio web, marketing, formularios B2C. Aquí SES reforzada es lo apropiado.

Estipula

Estipula plan Basic incluye AES nativa

AES con OTP por SMS, audit trail eIDAS completo, plantillas reutilizables ilimitadas y firma masiva hasta 50 docs/lote. €79/mes (€69 anual).

Probar gratis primero Ver planes

AES vs QES: cuándo subir el escalón#

La diferencia operativa:

AspectoAESQES
Validez legalEquivale a manuscritaEquivale a manuscrita (presunción)
Carga probatoriaReparte (favorable firmado)Inversa (al impugnante)
CertificadoPlataforma lo gestionaCualificado del firmante (FNMT)
DispositivoNo requiere especialRequiere QSCD
Fricción firmanteMedia-bajaAlta
Coste por firmaBajoAlto (5-15€)
B2B comercialDefault recomendadoExcesivo
Trámites AAPP, recetas, notariadoNo válidaObligatoria

Lee firma electrónica cualificada (QES).

Cómo funciona técnicamente AES#

Paso a paso#

  1. Hash del documento original: la plataforma calcula SHA-256 del PDF.
  2. Identificación del firmante: certificado digital + verificación adicional (OTP, biometría, DNI).
  3. Firma criptográfica: cifra el hash con la clave privada vinculada al firmante.
  4. Embedding en PDF: incrusta la firma en el archivo (formato PAdES).
  5. Sellado de tiempo: añade timestamp criptográfico (TSA RFC 3161 ideal).
  6. Audit trail: registra timestamp, IP, dispositivo, hash, evidencia de información previa.
  7. Cifrado en reposo: archiva con cifrado AES-256 en bucket privado en UE.

Verificación posterior#

Cualquiera puede verificar la AES abriendo el PDF firmado en Adobe Acrobat:

  • Si el documento NO ha sido modificado: muestra «Signature is valid».
  • Si fue modificado tras firma: muestra «Signature is invalid» o «Document has been modified».

Esa verificación pública es el corazón de la integridad criptográfica de AES.

Casos de uso por sector#

SectorDocumento típico AESVolumen mensual
Sanidad privadaConsentimiento informado50-300/mes/clínica
Sanidad privadaAutorización imagen + RGPD30-100/mes/clínica
RRHHContrato laboral1-50/mes/empresa
RRHHAnexo nómina, finiquito5-200/mes/empresa
InmobiliariaContrato alquiler5-30/mes/inmobiliaria
InmobiliariaAnexo IPC anual50-500/año/inmobiliaria
InmobiliariaMandato SEPA5-30/mes
DespachosEncargo profesional10-50/mes
DespachosNDA cliente nuevo5-20/mes
B2B comercialContrato cliente nuevo5-50/mes
B2B comercialMandato comercial5-20/mes

Errores frecuentes con AES#

  1. Pedir QES «por si acaso»: añade fricción que destruye conversión sin ganancia legal. AES ya equivale a manuscrita.
  2. Confundir biometría con AES: biometría es UN factor de identificación. AES requiere los 4 elementos del Art. 26 eIDAS.
  3. AES sin audit trail: defendible pero menos. Audit trail completo es lo que la blinda en juicio.
  4. AES sin sellado de tiempo cualificado: aceptable pero ideal añadir TSA RFC 3161 para timestamps con efectos legales.
  5. No conservar la cadena de certificados: la AES depende del certificado del firmante; conservar la cadena permite verificar la firma años después.
  6. Datos fuera de UE para sectores sensibles: AES + datos en EE.UU. sin garantías RGPD documentadas → riesgo sanción AEPD.

Preguntas frecuentes#

¿La AES es legalmente equivalente a la firma manuscrita?#

Sí en la mayoría de casos. La Ley 6/2020 Art. 3 lo establece cuando AES se vincula a un certificado. La doctrina del Tribunal Supremo lo confirma desde 2018.

¿Necesito un certificado FNMT para firmar con AES?#

No. La AES NO requiere certificado FNMT propio del firmante. La plataforma de firma electrónica gestiona el certificado por su cuenta — típicamente certificado del proveedor (firma con cert. de Estipula) o del tenant (firma con cert. de la clínica).

¿AES detecta modificaciones del PDF tras firma?#

Sí, automáticamente. Si alguien modifica un solo byte del documento firmado, la firma criptográfica deja de validar en cualquier visor PDF. Es el requisito d) del Art. 26 eIDAS.

¿Cuánto cuesta una firma AES vs SES?#

Depende de la plataforma. En Estipula, plan Basic (€79/mes) incluye AES nativa sin coste por firma. En otras plataformas, AES puede ser add-on que sube el coste por firma 0,30-1€.

¿Puedo verificar una AES años después?#

Sí, mientras se conserve el archivo PDF firmado. La verificación criptográfica es pública — cualquier visor PDF puede confirmar la integridad. Lo que sí caduca es el certificado del firmante (típicamente 1-3 años); para verificar tras esa fecha, se necesita el certificado en el archivo o en una autoridad de validación.

¿AES funciona si el firmante no tiene ordenador?#

Sí, perfectamente. AES con OTP por SMS funciona desde cualquier móvil. La identificación robusta no requiere ordenador del firmante.

¿AES tiene plazo de validez?#

La firma en sí no caduca. Lo que caduca es el certificado utilizado (1-3 años típicamente). Para conservar la verificabilidad a largo plazo (10+ años), las plataformas serias usan formato PAdES-LT o PAdES-LTA que embebe la cadena de certificados y validación cualificada en el archivo.

¿Estipula soporta AES?#

Sí, nativamente en plan Basic. AES con OTP por SMS, audit trail eIDAS completo (timestamp, IP, dispositivo, hash SHA-256, evidencia consentimiento), formato PAdES, cifrado AES-256 en reposo, datos en UE.

Conclusión#

La firma electrónica avanzada (AES) es el default recomendado para B2B con riesgo medio-alto. Equivale legalmente a la firma manuscrita, cumple los 4 requisitos del Art. 26 eIDAS y no añade la fricción de la QES.

Sube a QES solo cuando la ley lo exige expresamente (AAPP, recetas médicas, notariado). Baja a SES reforzada solo en flujos rutinarios B2B con relación previa.

Probar Estipula gratis con AES (10 firmas/mes en plan Free; AES completa en plan Basic) o ver planes y precios.

Recursos relacionados: