Tips & Tricks

Cómo validar una firma digital en un PDF que recibió

Llega un PDF firmado por un socio comercial. El panel de firma muestra un nombre, una fecha y un estado de validez. Necesita saber si esa firma es genuina, si el documento ha sido modificado desde que fue firmado y si se puede confiar en la identidad del firmante. El lector de PDF le ofrece indicadores: una marca de verificación verde, una cinta azul, un icono de advertencia. Pero estos indicadores pueden resultar engañosos si no se comprende qué están verificando y qué no. Validar una firma digital no es sólo comprobar el icono. Es comprender la cadena de confianza que hay detrás.

La validación de la firma digital implica tres comprobaciones. Integridad del documento: ¿se ha modificado el documento desde su firma? Identidad del firmante: ¿el certificado pertenece a la persona que dice haber firmado? Certificado de confianza: ¿el certificado fue emitido por una autoridad confiable? Los tres deben aprobarse para que la firma sea plenamente válida. Una marca de verificación verde que confirma la integridad del documento pero proviene de un certificado que no es de confianza es una advertencia, no una confirmación.

El proceso de verificación Sign PDF es una verificación técnica, no legal. Una firma válida demuestra matemáticamente que una clave privada específica firmó el documento y que el documento no ha cambiado. No prueba que la persona nombrada en el certificado realmente controlara esa clave o tuviera la intención de firmarla.

How to Validate a Digital Signature in a PDF You Received

Comprobación de la integridad del documento

Abra el PDF firmado en un lector que admita la verificación de firma. El panel de firma muestra el estado de validez. Una firma válida significa que el contenido del documento no ha sido modificado desde que se aplicó la firma. Una firma no válida significa que el documento fue modificado después de la firma. El cambio podría ser tan menor como agregar un comentario o completar un campo de formulario, o tan importante como alterar los términos del contrato. Cualquier cambio invalida la firma. Si la firma no es válida, no confíe en el documento sin comprender qué cambió y si el firmante aprobó el cambio.

La verificación de integridad Firma digital es binaria. O el documento ha cambiado o no. No hay validez parcial. Se ha modificado un documento que muestra una firma válida para la página 1 y una firma no válida para la página 2. Trate todo el documento como potencialmente alterado.

WukongPDF

Pruebe firmar PDF

No se necesita instalación. Funciona directamente en su navegador.

Empezar ahora →

Verificación de la identidad del firmante y la confianza del certificado

Haga clic en la firma para ver los detalles del certificado. El certificado muestra el nombre del firmante, la autoridad certificadora emisora y el período de validez. Verifique que el nombre del firmante coincida con la persona que esperaba firmar. Comprobar que el certificado era válido en el momento de la firma. Un certificado que caducó después de la fecha de la firma está bien. Un certificado que expiró antes de la fecha de la firma significa que la firma se aplicó con un certificado vencido y puede no ser confiable. Consulte la autoridad certificadora. Un certificado de una CA pública reconocida proporciona una garantía de identidad más sólida que un certificado autofirmado.

La cadena de confianza del certificado PDF Security debe estar intacta. El certificado debe encadenarse a una autoridad de certificación raíz en la que confíe su lector. Si la cadena se rompe, la firma puede resultar inválida incluso si el documento no ha cambiado y el firmante es genuino.

Qué hacer con una firma no válida o que no es de confianza

Si la firma no es válida, comuníquese con el firmante. Pregunte si modificaron el documento después de firmarlo o si pueden volver a firmar la versión actual. No acepte un documento firmado de forma inválida como autorizado sin confirmación. Si la firma es válida pero proviene de un certificado que no es de confianza, la firma prueba que alguien con acceso a ese certificado firmó, pero no prueba de forma independiente quién es esa persona. En el caso de documentos internos, esto suele ser suficiente. Para contratos externos, solicitar la firma de un certificado emitido por una autoridad reconocida.

WukongPDF admite firmas digitales. Las herramientas de validación Sign PDF en lectores de PDF estándar proporcionan las capacidades de verificación que se describen aquí.

Comprensión de la validación a largo plazo (LTV) en las firmas recibidas

Una firma con LTV habilitado incluye toda la información necesaria para verificarla una vez que caduque el certificado del firmante. Cuando abre un documento firmado con LTV años después de la firma, la firma aún se puede verificar porque la cadena de certificados, el estado de revocación y la marca de tiempo están incrustados en el documento.

Si recibe un documento firmado que debe permanecer verificable durante años, verifique si LTV está habilitado. Abra las propiedades de la firma y busque LTV o indicadores de validación a largo plazo. Si LTV no está habilitado, es posible que la firma deje de ser verificable una vez que caduque el certificado. El estado LTV Firma digital afecta al peso legal del documento a largo plazo.

Documentar la verificación de firmas para registros de cumplimiento

Para documentos regulados, documente la verificación de su firma. Registre el nombre del documento, el nombre del firmante, la fecha de verificación y el resultado de la verificación. El registro demuestra que usted verificó la firma y confirmó su validez antes de confiar en el documento. Si la firma se cuestiona posteriormente, el registro de verificación respalda su confianza.

El registro de verificación PDF Security es una entrada de seguimiento de auditoría simple. Toma unos segundos y proporciona evidencia de diligencia debida.

Manejo de múltiples firmas en un solo documento

Un contrato firmado por dos partes tiene dos firmas digitales. Cada uno debe validarse de forma independiente. Una firma puede ser válida mientras que la otra no es válida. Un documento modificado después de la primera firma pero antes de la segunda mostrará la primera firma como inválida y la segunda como válida. Comprender la secuencia de firmas y el estado del documento en cada evento de firma.

El panel de firmas enumera todas las firmas cronológicamente. Revisa cada uno. La validación Firma digital para documentos con múltiples firmas requiere comprender el cronograma de firma, no solo el estado de validez de cada firma.

Certificados revocados y listas de revocación de certificados

Una firma que era válida cuando se aplicó puede dejar de ser válida si el certificado del firmante se revoca posteriormente. La revocación del certificado ocurre cuando la clave privada se ve comprometida, el titular del certificado abandona la organización o la autoridad certificadora descubre que el certificado se emitió incorrectamente. Verifique el estado de revocación del certificado a través de la Lista de revocación de certificados o el Protocolo de estado de certificados en línea.

No se debe confiar en una firma que se muestra como válida pero que tiene un certificado revocado. La verificación PDF Security incluye verificar el estado de revocación. Una firma con un certificado revocado no proporciona ninguna garantía independientemente del indicador de validez.

WukongPDF

Pruebe firmar PDF

No se necesita instalación. Funciona directamente en su navegador.

Empezar ahora →