Identidad digital, Cartera IDUE, Firma electrónica, Archivo digital, blockchain, Medios de pago, eBanca, administración de justicia. administración pública, Seguridad Jurídica Preventiva Digital
Esta jornada del Observatorio Legaltech Garrigues ICADE toma como punto de partida el proyecto europeo NEO-TRANSCRIM (2024–2028), liderado por la profesora Lorena Bachmaier Winter de la Universidad Complutense de Madrid, para explorar el creciente protagonismo de la prueba digital en el ámbito penal y corporativo.
En el contexto de una cooperación judicial penal cada vez más digitalizada y transfronteriza, la prueba digital no solo se configura como pieza clave del proceso penal, sino también como instrumento preventivo en programas de compliance.
La sesión busca profundizar en la trazabilidad digital identificando cómo la debilidad o falta de trazabilidad digital puede comprometer la defensa jurídica de las organizaciones, especialmente cuando las obligaciones de cumplimiento no logran traducirse en evidencias sólidas y verificables.
En este sentido, la validez probatoria de cada evidencia depende de su adecuación a los mecanismos de confianza digital establecidos en el Reglamento eIDAS, como los servicios de confianza cualificados (sello de tiempo, firma electrónica, etc.) y a la previsión incluida en la LEC como marco de referencia para establecer la presunción de cumplimiento de los servicios electrónicos de confianza cualificados.
El evento favorece la reflexión práctica y multidisciplinar sobre la prevención y la represión penal, integrando perspectivas jurídicas, tecnológicas y judiciales.
Será una conversación clave para profesionales del derecho, compliance, tecnología y justicia digital.
Programa
18:30 h – Bienvenida.
Albi Rodríguez Jaramillo, coordinador del Observatorio Legaltech Garrigues-ICADE.
18:35 h – Introducción.
Eduardo Torres-Dulce, ex Fiscal General del Estado, y of counsel de Resolución de Conflictos: Litigación y Arbitraje de Garrigues.
18:45 h – Ponencia principal.
Lorena Bachmaier Winter, catedrática e investigadora principal del proyecto NEO-TRANSCRIM (2024-2028).
Moderadora: Mercedes de Prada, directora académica del Centro de Estudios Garrigues
19:05 h – Mesa de expertos: Nuevos horizontes de la prueba digital: prevención en compliance y defensa en el proceso penal.
Beatriz Bustamante, counsel de Resolución de Conflictos: Litigación y Arbitraje de Garrigues. Especialista en compliance.
Julián Inza, presidente de EADTrust, y director del Laboratorio de Confianza Digital del Observatorio Legaltech Garrigues-ICADE.
Eloy Velasco, magistrado de la Audiencia Nacional.
Lorena Bachmaier Winter, catedrática e investigadora principal del proyecto NEO-TRANSCRIM (2024-2028).
Moderadora: María Marelza Cózar, asociada sénior de Resolución de Conflictos: Litigación y Arbitraje de Garrigues. Especialista en compliance y miembro del Observatorio Legaltech Garrigues-ICADE.
20:05 h – Preguntas y cierre.
20:15 h – Networking y vino español en Lateral Galileo (frente a Comillas Conecta Lab).
g-digital, es la división de negocios digitales de Garrigues (la mayor Firma de abogados de la Unión Europea) dedicada a fomentar la innovación y el desarrollo tecnológicos para ayudar a los clientes de la Firma en su transformación digital. Asume la misión de desarrollar soluciones tecnológicas que integren el conocimiento del derecho de los negocios del despacho legal en los procesos de sus clientes, no solo mejorando la eficiencia y la seguridad jurídica, sino también habilitando nuevas oportunidades de negocio en un entorno cada vez más digital.
Los profesionales de Garrigues Digital, que son los expertos del despacho en TechLaw y economía digital, trabajan estrechamente con los tecnólogos de g-digital en el diseño de sus soluciones, asegurando que tecnología y legalidad se integran en cada propuesta e identificando las necesidades y oportunidades del mercado. Esta colaboración es el factor clave y distintivo que asegura que sus productos y servicio sean innovadores y de confianza.
Las soluciones de g-digital están concebidas como herramientas esenciales para garantizar la seguridad jurídica, la eficiencia y el cumplimiento normativo en los procesos desplegados por o clientes del a Firma.
g-digital, trabaja en estrecha colaboración con EADTrust, prestador cualificado de servicios de confianza digital, participado por Garrigues.
Esta colaboración representa una alianza estratégica que redefine la forma en que las empresas gestionan sus transacciones digitales. Esta sinergia combina el liderazgo legal de Garrigues con la experiencia técnica de EADTrust para ofrecer soluciones integrales que garantizan seguridad, eficiencia y cumplimiento normativo.
¿Qué ofrecen juntos g-digital y EADTrust?
La propuesta comercial conjunta se basa en tres pilares fundamentales:
Servicios de confianza digital regulados
EADTrust aporta su experiencia en servicios cualificados, como la expedición de certificados cualificados de personas físicas para la realización de firmas electrónicas cualificadas, la expedición de certificados cualificados de personas jurídicas para la realización de sellos electrónicos cualificados, la emisión de sellos de tiempo cualificados, la provisión de servicios de custodia digital y notificaciones certificadas, esenciales para garantizar la autenticidad y seguridad de las transacciones digitales.
g-digital integra estos servicios en procesos legales, optimizando la gestión de contratos y asegurando que las empresas cumplan con normativas como eIDAS2.
Innovación tecnológica aplicada al ámbito legal
Ambas entidades han desarrollado soluciones como GoCertius, que permite certificar fotografías y videos captados con el móvil asociándolos al momento en que se tomaron, y que se ha ampliado para dejar constancia de lo tratado en chats «securizados» en plataformas como Telegram con alta eficacia probatoria, y que permitiría un sistema de contratación con muy baja fricción en la experiencia de usuario.
g-digitaltrabaja en proyectos basados en blockchain, como plataformas de activos financieros tokenizados bajo el régimen piloto de la UE (Reglamento UE 2022/858) y la Ley 6/2023, de 17 de marzo, de los Mercados de Valores y de los Servicios de Inversión y su constitución como ERIR (Entidad Responsable de la Inscripción y del Registro. También impulsa soluciones de «EAD Enterprise Suite» como «eArchiving» y «Signature Manager» una herramienta colaborativa que permite la firma electrónica de varios intervinientes en un acuerdo e incluso invitar asesores legales al proceso de firma.
Cumplimiento normativo y adaptación al mercado europeo
La colaboración está alineada con regulaciones clave como eIDAS2, NIS2, DORA y MiCA, asegurando que las empresas puedan operar dentro del marco legal europeo mientras aprovechan herramientas avanzadas para la gestión digital.
Beneficios para las empresas
La alianza entre g-digital y EADTrust ofrece ventajas tangibles para empresas de todos los sectores:
Seguridad jurídica: Las soluciones conjuntas garantizan que las transacciones digitales cumplan con los estándares legales más exigentes, reduciendo riesgos regulatorios.
Eficiencia operativa: La integración de servicios digitales permite automatizar procesos clave, como la firma electrónica o la custodia documental, optimizando tiempos y costes. El uso de sello de tiempo cualificado en pasos clave de procesos de negocio digitalizados los transforma en pruebas con presunción «Iuris Tantum»
Innovación adaptada: Con herramientas como blockchain y carteras digitales europeas (EUDI Wallets), las empresas pueden liderar la transformación digital sin comprometer la seguridad ni el cumplimiento normativo.
Casos destacados
Entre los proyectos desarrollados conjuntamente se encuentran:
GoCertius: Una solución innovadora para certificar fotos, videos y documentos captados por la cámara controlada por la App y comunicaciones digitales por Telegram , ideal para sectores donde la evidencia legal es crítica.
EAD Factory: Servicios diseñados para transformar procesos empresariales tradicionales en entornos completamente digitales por diseño, beneficiando especialmente a industrias como banca y seguros. Puede implantarse en sus propios CPDs o en plataformas en la nube TIC
EAD Enterprise Suite: eArchiving: Solución de custodia digital de archivos, equivalente en cierto sentido al depósito notarial, con funcionalidades de escrow.
EAD Enterprise Suite: Signature Manager: Solución de firma electrónica de uso muy sencillo que reduce la fricción para los firmantes y sus asesores, y que resuelve los retos de la firma en contextos multinacionales donde aplican diferentes leyes y jurisdicciones.
Conclusión
La colaboración entre g-digital y EADTrust no solo fortalece la confianza digital en Europa, sino que también posiciona a ambas entidades como líderes en un mercado donde la seguridad jurídica y tecnológica son esenciales. Su propuesta conjunta es una invitación a las empresas a abrazar el futuro digital con herramientas que garantizan autenticidad, integridad y cumplimiento normativo. En un entorno donde la innovación es clave, esta alianza representa el puente perfecto entre tecnología avanzada y seguridad legal.
GoCertius es la base conceptual (con su forma particular de certificar evidencias digitales) sobre la que EADTrust y Garrigues (a través de su división g-digital) han construido los servicios de EAD Trust Factory. Una panoplia de servicios que pasan a formar parte de la infraestructura de nuestros clientes, como si ellos mismos fueran Prestadores Cualificados de Servicios de Confianza Digital.
Son clientes de diferentes tamaños y sectores que así pueden desarrollar entornos de gestión de evidencias electrónicas sacando ventaja de los servicios regulados, tales como los que se describen en el Reglamento europeo eIDAS y su ampliación eiDAS2.
Las soluciones de EAD Trust Factory, al integrar servicios de confianza digital y optimizar procesos legales, pueden beneficiar a diversas industrias que requieren gestión segura y eficiente de documentos y transacciones digitales. De esta forma se pueden optimizar los procesos empresariales de gestión rediseñándolos para que sean completamente digitales y confiables por diseño, sabiendo que se podrá contar con evidencias digitales prescindiendo del papel. Y que estas evidencias podrán acreditar los servicios prestados y su seguridad, con certeza del momento en que se prestaron en cualquier contexto de resolución de controversias.
A continuación, se presentan algunos de los sectores que se benefician de estas soluciones:
Sector Financiero y Seguros:
Beneficios: La gestión segura de documentos financieros y la autenticidad de las transacciones son cruciales en este sector. EAD Trust Factory añade servicios cualificados a la infraestructura de cada entidad para ayudar a cumplir con las regulaciones financieras y de protección de datos, como el Reglamento General de Protección de Datos (GDPR), Digital Operational Resilience Act (DORA), Directiva 2022/2555 (NIS2) y el Reglamento 910/2014 eIDAS con los cambios introducidos por el Reglamento 1183/2024.
Industria Legal y Jurídica:
Beneficios: La generación de evidencias digitales y la gestión de contratos electrónicos son fundamentales para este sector. EAD Trust Factory facilita la creación de documentos legales electrónicos seguros y auténticos, mejorando la eficiencia en los procesos legales. Por su influencia en otras actividades el punto de vista legal es crucial para entender el ·»Compliance» la presunción Iuris Tantum de los servicios cualificados de confianza
Sector de la Salud:
Beneficios: La gestión de registros médicos electrónicos o los Consentimientos Informados requiere altos niveles de seguridad y confianza. EAD Trust Factory puede ayudar a proteger la privacidad de los pacientes y asegurar la integridad de los datos médicos. También ayuda digitalizar historias clínicas, respetando la normativa definida para ellos,
Industria de la Energía y Recursos Naturales:
Beneficios: La optimización de procesos y la gestión eficiente de documentos son clave en este sector, donde la seguridad y el cumplimiento normativo son fundamentales. EAD Trust Factory puede ayudar a mejorar la eficiencia operativa y reducir costes. También la contratación se beneficia de un marco regulatorio más garantista.
Sector de Transporte y Logística:
Beneficios: La gestión de documentos de transporte y la trazabilidad de mercancías requieren sistemas confiables. EAD Trust Factory proporciona soluciones para asegurar la autenticidad y seguridad en la gestión de documentos relacionados con el transporte y la logística. En particular, albaranes gestionados de forma digital que puedan surtir efecto también como documentos híbridos con versión en papel de ser necesaria.
En resumen, cualquier industria que requiera gestión segura de documentos y transacciones digitales puede beneficiarse de las soluciones de EAD Truat Factory. La plataforma es especialmente útil para sectores con altos requisitos de seguridad y cumplimiento normativo.
EAD Trust Factory está formado por diferentes servicios cualificados de confianza, entre los que destacan los sellos de tiempo`, las notificaciones fehacientes y las comprobaciones de validez de firmas y certificados electrónicos. También el Onboarding digital, incluyendo servicios de Videoidentificación.
Los servicios orquestados por EAD Trust Factory incluyen servicios cualificados de confianza definidos por el reglamento #eIDAS y desarrollos auxiliares que permiten dotar a cualquier proceso que incluya gestión digital de un respaldo regulatorio en forma de evidencias digitales con valor «Iuris Tantum» que aportar tanto en entornos MASC (Medios adecuados de solución de controversias) como contextos de litigación.
Llame al (+34) 917160555 o envíe un email a info(at)eadtrust.eu para pedir información y compruebe que adoptar recursos técnicos de PSC en su propia infraestructura es más sencillo y económico de lo que parece
EADTrust offers several services related to the issuance of PSD2 qualified certificates, including the issuance of test certificates.
But, what Are PSD2 Certificates?
PSD2 certificates are specialized digital certificates mandated under the European Union’s Revised Payment Services Directive (PSD2, EU Directive 2015/2366), designed to enhance the security, transparency, and interoperability of electronic payment systems across the EU. Introduced to foster open banking, PSD2 requires financial institutions, such as banks, and third-party providers (TPPs) to allow secure access to customer account data and payment services, provided customer consent is given. To facilitate this securely, PSD2 mandates the use of qualified electronic certificates compliant with the eIDAS Regulation (EU No 910/2014), which ensures trust and authenticity in electronic transactions.
These certificates serve as a digital “company ID” for payment service providers (PSPs), identifying them and their roles within the payment ecosystem while securing communications between parties, such as banks (Account Servicing Payment Service Providers, or ASPSPs) and TPPs. The certificates are critical for meeting the Regulatory Technical Standards (RTS) outlined in EU 2018/389, particularly Article 34, which specifies requirements for strong customer authentication (SCA) and secure communication channels. Issued by Qualified Trust Service Providers (QTSPs) listed in the EU Trusted List, PSD2 certificates ensure that only authorized entities can access sensitive financial data or initiate payments, thereby reducing fraud and enhancing consumer protection.
Types of PSD2 Certificates
There are two primary types of PSD2 certificates, each serving distinct purposes within the PSD2 framework:
Purpose: QWACs are used to establish a secure, encrypted Transport Layer Security (TLS) connection between parties, such as a TPP and a bank’s API. They authenticate the identity of the PSP or TPP and secure the communication channel, ensuring data confidentiality and integrity during transmission.
Use Case: QWACs are mandatory for identifying PSPs when they access a bank’s dedicated interface (API) or fallback mechanism (emergency interface). They are akin to Extended Validation (EV) TLS/SSL certificates but include additional PSD2-specific fields.
Technical Details: QWACs rely on a minimum key length of 2048 bits and are generated using a Certificate Signing Request (CSR) that includes the public key and specific attributes (e.g., Organization, Country).
Qualified Certificate for Electronic Seal (QSealC or QSEAL):
Purpose: QSealCs provide a digital signature or “seal” on data or messages exchanged between parties, ensuring the data’s origin and integrity. They prevent tampering and offer non-repudiation, meaning the sender cannot deny having sent the message.
Use Case: QSealCs are used to sign requests or transactions (e.g., payment initiation or account information retrieval), providing evidence of the request’s authenticity. While not always mandatory, some banks or standards (e.g., Berlin Group’s NextGenPSD2) may require their use alongside QWACs.
Technical Details: QSealCs require a minimum key length of 3072 bits for higher security. They can be implemented as “soft seals” (stored digitally without hardware) or with hardware security modules (HSMs) or smart cards, depending on the provider.
Both certificate types are defined under the ETSI TS 119 495 standard, which outlines their technical specifications and ensures interoperability across the EU.
Information Contained in PSD2 Certificates
PSD2 certificates include standard fields found in digital certificates, as well as additional PSD2-specific information to meet regulatory requirements. The key details are:
Standard Certificate Fields:
Organization (O): The legal name of the PSP or entity.
Organizational Unit (OU): Optional, specifying a department or division (if applicable).
Common Name (CN): Typically the domain or identifier of the entity.
Country Code (C): The two-letter code of the entity’s home country (e.g., “DE” for Germany).
State or Province (S): The entity’s state or region (optional).
City (L): The entity’s city of operation.
PSD2-Specific Fields (in the Qualified Certificate Statement, QC Statement):
Authorization Number: A unique identifier issued by the National Competent Authority (NCA) upon registration or licensing of the PSP. This links the certificate to the official public register.
PSD2 Roles: The specific roles or entitlements of the PSP, indicating the services they are authorized to provide (detailed below).
Name of the National Competent Authority (NCA): The regulatory body overseeing the PSP (e.g., BaFin in Germany, Bank of Spain in Spain).
These fields ensure that the certificate unambiguously identifies the PSP, its authorized activities, and the supervising authority, enabling banks and other parties to verify legitimacy during transactions.
Requirements for Issuance of PSD2 Certificates
The issuance of PSD2 certificates involves strict requirements to ensure security and compliance with EU regulations. These include:
Authorization by a National Competent Authority (NCA):
Before applying for a certificate, a PSP must obtain a license or registration from its NCA (e.g., the Financial Conduct Authority in the UK, KNF in Poland). This process confirms the entity’s eligibility to operate as a PSP under PSD2.
CRR credit institutions (banks with a full banking license) do not require additional authorization and can directly apply for certificates covering all roles.
Application to a Qualified Trust Service Provider (QTSP):
Certificates must be issued by a QTSP accredited under eIDAS and listed in the EU Trusted List. Examples include DigiCert, GlobalSign, and Buypass.
The PSP submits a Certificate Signing Request (CSR) containing the public key and required attributes, generated with specified key lengths (2048 bits for QWACs, 3072 bits for QSealCs).
Identity Verification:
A natural person (e.g., an authorized signatory) must be identified to represent the PSP. This can be:
The signatory themselves for a Qualified Seal Card PSD2.
A delegated representative (subscriber’s representative) for QWACs or QSealCs, authorized via a signed request form.
Identification methods vary by country:
In Germany, PostIdent is standard.
Elsewhere, it may involve embassies, consulates, or notaries listed in the European Directory of Notaries.
Validation Against Public Registers:
The QTSP verifies the PSP’s authorization number and roles against the NCA’s public register or the European Banking Authority (EBA) register to ensure accuracy and legitimacy.
Technical Requirements:
The PSP generates and manages its own private keys, ensuring they remain secure (e.g., using an HSM for QSealCs).
Test certificates, which do not require an NCA license, are available for pre-authorization testing but follow the same technical standards.
Certificate Validity and Renewal:
QWACs are typically valid for one year, while QSealCs may vary depending on the QTSP. Changes (e.g., PSP name or roles) require revocation of the old certificate and issuance of a new one, as fields cannot be edited.
Roles Encoded in PSD2 Certificates
PSD2 recognizes four distinct roles for PSPs, which define their authorized activities within the payment ecosystem. These roles are encoded in the certificates and align with the ETSI TS 119 495 standard abbreviations:
Account Information Service Provider (AISP, PSP_AI):
Description: AISPs aggregate and provide consolidated views of a customer’s payment accounts (e.g., from multiple banks). They help with budgeting, expense tracking, and financial planning.
Function: Read-only access to account data, with customer consent.
Payment Initiation Service Provider (PISP, PSP_PI):
Description: PISPs initiate payments on behalf of customers directly from their bank accounts, acting as intermediaries between merchants and banks.
Function: Facilitates online credit transfers or direct debits, bypassing traditional card payments.
Account Servicing Payment Service Provider (ASPSP, PSP_AS):
Description: Typically traditional banks or institutions that maintain payment accounts for customers.
Function: Provides account management services and must open APIs for TPPs to access customer data or initiate payments.
Payment Service Provider Issuing Card-Based Payment Instruments (PSP_IC):
Description: Entities authorized to issue card-based payment instruments (e.g., debit or credit cards).
Function: Enables card payments as part of the payment ecosystem.
A single PSP can hold multiple roles (e.g., both AISP and PISP), and these are all encoded in the certificate’s QC Statement. Banks with a full CRR license can apply for all roles without additional authorization, while TPPs must specify their roles during NCA registration.
Conclusion
PSD2 certificates (QWACs and QSealCs) are vital tools for ensuring secure, authenticated, and interoperable electronic payments under the PSD2 framework. They identify PSPs, secure communications, and protect data integrity, relying on strict issuance processes overseen by QTSPs and NCAs. Containing detailed organizational and regulatory information, they encode one or more of the four PSP roles (AISP, PISP, ASPSP, PSP_IC), reflecting the diverse functions within the open banking landscape. This robust system supports PSD2’s goals of enhancing security, promoting competition, and protecting consumers across the EU.
Hoy participo en Tinku TV, en el Programa de Derecho que dirige Lara Novis y en el que comentaremos brevemente algunos de los aspectos más relevantes del Reglamento EIDAS2 y de la Cartera de Identidad Digital de la Unión Europea.
Lara siempre organiza debates interesantes para garantizar un análisis exhaustivo de las cuestiones actuales y emergentes en el ámbito jurídico, por lo que agradezco que me haya invitado a su programa.
A través de cada episodio, da pie a que abogados, empresarios y responsables de diversas áreas compartan su visión y sus experiencias prácticas, dando respuesta a las preguntas más apremiantes del entorno jurídico actual.
El programa se emite en directo a las 17:00 y quedará disponible en la plataforma de Tinku TV
Y para que tengáis contexto de qué es el Reglamento EIDAS 2 y la Cartera IDUE, y podáis seguir mejor la entrevista (que quizá entre en detalles técnicos y legales), os incluyo información adicional a continuación.
El eIDAS2 es una actualización del Reglamento eIDAS original (Reglamento UE 910/2014), que entró en vigor el 20 de mayo de 2024 como el Reglamento (UE) 2024/1183. Este nuevo marco legal busca mejorar la identificación electrónica y los servicios de confianza en la Unión Europea, adaptándose a las necesidades actuales de un entorno digital en constante evolución. Su objetivo principal es garantizar una identidad digital segura, interoperable y fácil de usar para todos los ciudadanos, residentes y empresas de la UE, promoviendo transacciones digitales más seguras y eficientes tanto a nivel nacional como transfronterizo.
Uno de los elementos más destacados del eIDAS2 es la introducción de la Cartera de Identidad Digital Europea, conocida como EUDI Wallet (European Digital Identity Wallet) o Cartera IDUE en español (Identidad Digital de la Unión Europea). Se trata de una aplicación móvil que permitirá a los usuarios almacenar, gestionar y compartir de manera segura datos de identidad y declaraciones electrónicas de atributos personales, (como el DNI, el carné de conducir, títulos académicos, certificados médicos, datos de empadronamiento o poderes de representación) y firmar documentos electrónicamente con firma cualificada. Esta cartera digital no sustituye los propios documentos físicos como el DNI, pero amplía sus funcionalidades al ámbito digital, ofreciendo un medio unificado para autenticarse en servicios públicos y privados, tanto en línea como presencialmente.
La Cartera IDUE está diseñada para dar a los usuarios un mayor control sobre sus datos personales. Por ejemplo, permite compartir solo la información necesaria para una transacción específica (como probar que eres mayor de edad sin revelar tu fecha de nacimiento completa) y registrar todas las interacciones para mayor transparencia. En el futro permitirá retirar el consentimiento sobre datos personales aportados con anterioridad por lo que será una de las primeras herramientas para ejercer los derechos SOPLAR (antiguos ARCO) con un click.
Además, deberá ser aceptada obligatoriamente por empresas y organismos en todos los países de la UE, lo que facilita la interoperabilidad y el acceso a servicios transfronterizos. Los Estados miembros deberán proporcionar esta cartera a sus ciudadanos en un plazo de 24 meses tras la aprobación de las especificaciones técnicas detalladas, previstas en actos de ejecución que complementan el reglamento. Es decir, en diciembre de 2026.
Ettore Majorana fue un físico italiano brillante y enigmático que dejó una huella imborrable en la ciencia antes de desaparecer misteriosamente en 1938. En 1937, propuso la existencia de unas partículas especiales, hoy llamadas “fermiones de Majorana”, que son únicas porque son sus propias antipartículas. Este concepto, inicialmente teórico, ha inspirado avances modernos como el chip Majorana 1, anunciado por Microsoft en febrero de 2025. Con este chip, la computación cuántica da un salto hacia adelante, pero también nos acerca a un “criptocalipsis”: el momento en que las claves privadas de los criptosistemas de clave pública actuales podrían descifrarse mediante la computación cuántica.
El avance en computación cuántica que supone el chip Majorana 1, con qubits topológicos, pone en riesgo la criptografía de clave pública basada en algortmos RSA y ECC.
Las autoridades de certificación (CAs), nos planteamos la disyuntiva: ¿priorizamos la emisión de certificados resistentes a la criptografía cuántica futuro o mejoramos los sistema de archivo electrónico para preservar documentos firmados electrónicamente con las técnicas actuales? Este artículo analiza el impacto técnico del Majorana 1, el papel del algoritmo de Shor y estrategias prácticas frente a esta transición.
Majorana 1 y el Algoritmo de Shor
El chip Majorana 1 usa los fermiones de Ettore para crear “qubits topológicos”, unidades de cálculo cuántico más estables que las tradicionales. Aunque el presentado estos días solo tiene 8 qubits, Microsoft promete escalarlo a miles o incluso un millón en pocos años. ¿Por qué importa? Porque con suficientes qubits (digamos, 3000-6000), una computadora cuántica podría usar el algoritmo de Shor para descifrar sistemas como ECC-512, comunes en certificados digitales, en cuestión de horas. Esto podría pasar hacia 2031-2033. Para RSA-4096, más resistente, harían falta 20,000 qubits o más, retrasando su caída quizás a 2035-2040. Sin embargo, el peligro ya existe: los datos protegidos hoy podrían ser guardados y descifrados después, un riesgo conocido como “recolectar ahora, descifrar después”.
Certificados Post-Cuánticos
La criptografía post-cuántica (PQC) utiiza algoritmos que no son vulnerables frente al algoritmos de Shor con problemas matemáticos resistentes, como los basados en retículos (lattices). En 2024, NIST estandarizó algoritmos clave:
CRYSTALS-Dilithium (ML-DSA): Usa Module-LWE y SIS; firmas de 2.7-4.8 KB, nivel 128-256 bits PQC.
FALCON (FN-DSA): Basado en NTRU-SVP; firmas compactas (0.6-1.2 KB), optimizado para verificación rápida.
CRYSTALS-Kyber (ML-KEM): Cifrado con MLWE; claves/cifrados de 0.8-1.6 KB.
La estrategia híbrida combina estos algoritmos con los clásicos: un certificado con ECDSA P-256 y ML-DSA-44 es válido hoy y seguro contra el algoritmo de Shor en el futuro. En eIDAS, un HSM QSCD como el Thales Luna S750 (firmware 7.7+, que figura en el listado de QSCD certificados en el Dashboard de la UE) genera estas claves duales. Para ECC, que se usó en pasaportes digitales COVID, la urgencia sería alta en otros usos que requieran validez a mayor plazo: 3000 qubits en 2031 podrían atacar estas longitudes de clave. Las claves basadas en RSA-4096 permiten una transición más pausada, pero iniciar PQC híbrido pronto evita prisas futuras.
Archivado Digital: Garantizar la Preservación
El archivado digital es un pilar técnico y regulatorio, especialmente bajo eIDAS (Art. 32), que exige poder validar firmas años después de su realización. Si el algoritmo de Shor rompe claves ECC en 2031 o RSA en 2035, las firmas y sello electrónicos basados en los certificados actuales deben seguir siendo verificables, Por lo que conviene ir adoptando técnicas apropiadas:
Sellos de tiempo cualificados: Firmarlos con ML-DSA asegura su resistencia cuántica.
Almacenamiento: Bases de datos replicadas y HSMs guardan certificados, CRLs y logs por 7-10 años (siguiendo las pautas de la norma ETSI EN 319 521).
Para CAs con predominio de RSA-4096, reforzar el servicio de archivo electróncio es prioritario: su mayor resistencia da tiempo, pero la trazabilidad es crítica. Para ECC, el archivado complementa PQC, protegiendo datos históricos mientras Shor acecha.
Recomendaciones para Prestadores de Servicios de Confianza DIgital
A modo de resumen
Prestadores que emiten certificados ECC : Deben considerar que existe una alta probabilidad de que se puede alcanzar un computador cuántico de 3000-6000 qubits en 2031, por lo que el algoritmo ECC-512 podría estar en riesgo (logaritmo discreto resuelto en O(n3)). Los PSC debería emitir certificados híbridos (ECC + PQC) ya y gestionar el archivo con sellos de tiempo basados en algoritmos PQC.
Prestadores que emiten certificados RSA-4096: Se requieren 20,000+ qubits (factorización en O(n3)), por lo que el computador cuántico apropiado podría no llegar hasta hasta 2035+. En este caso convendría priorizar el archivado digital, con sellos de tiempo basados en algoritmos PQC.
El chip Majorana 1, heredero del genio de Ettore, hace que el algoritmo de Shor se convierta en una amenaza más inminente de lo que se pensaba para los algoritmos de criptografía de clave pública ECC y RSA. La respuesta técnica combinará certificados PQC híbridos y un archivado robusto.
Madrid acogerá el próximo 27 de febrero de 2025, la undécima edición del Congreso Internacional de Derecho Digital de ENATIC, en la que me han invitado a participar.
El congreso se celebrará en la sede del Consejo General de la Abogacía Española en Paseo de Recoletos 13 – 28004 Madrid y ya es posible inscribirse.
La cita reunirá a expertos de referencia y líderes en sus áreas de actividad en el ámbito del Derecho Digital, como inteligencia artificial, Blockchain, servicios y mercados digitales, ciberseguridad o privacidad.
Estructura de la jornada
9:00 Inaugración. Belén Arribas (Abogada y Presidenta de ENATIC). Participan Miguel Hermosa (Consejero adjunto a Presidencia CGAE), SEDIA, Red.es y ENATIC
9:30 Mesa redonda: Los Derechos Digitales para la nueva era. Modera: Rodolfo Tesone (Presidente emérito ENATIC)
Borja Adsuara
Ofelia Tejerina
Ramsés Gallego
10:15 Mesa redonda: Los Derechos Digitales y la IA. Modera: José Manuel Muñoz
Carmen Muñoz
Antonio Serrano
Belén Arribas
11:00 Pausa – Café
11:30 Mesa redonda: Protección de Datos. Modera: Esther García
Francisco Pérez
Joana Marí
Marcos Mª Judel
12:15 Mesa redonda: Ciberseguridad. Modera: Carlos Saiz
🚨 Last chance to be first to receive the report! 🚨 Be among the first to receive exclusive insights into the European and Global Remote Signature Market—but time is running out! Before February 14th
💡 Share your perspective now in our 👉 survey: 📊 «Present and Future of the European and Global Remote Signature Market»
We’re uncovering key trends, challenges, and opportunities, with a focus on: ✅ Legal frameworks (eIDAS 2.0) ✅ Availability, integration, and adoption of remote signatures ✅ Market dynamics & customer expectations This survey is conducted by Obserwatorium.biz and Nimbus Technologieberatung GmbH for the Cloud Signature Consortium. The results will be featured in an upcoming CSC publication. ⏳ Don’t miss your chance—take the survey today!
Se está desarrollando un estudio sobre «Presente y futuro del mercado europeo y mundial de la firma remota» y los que participen en la encuestan recibirán el informe sin coste, tan pronto como se complete. Y quedan pocos días para responder a la encuesta. ¡El plazo acaba el 14 de febrero!
🚨 ¡Última oportunidad para ser de los primeros en recibir el informe! 🚨 Sea de los primeros en recibir información exclusiva sobre el mercado europeo y mundial de la firma a distancia, ¡pero se acaba el tiempo!
💡 Comparte tu perspectiva ahora en esta👉 encuesta:: 📊 «Presente y futuro del mercado europeo y mundial de la firma remota»
El estudio está descubriendo tendencias, retos y oportunidades clave, con especial atención a: ✅ Marcos jurídicos (eIDAS 2.0) ✅ Disponibilidad, integración y adopción de firmas remotas ✅ Dinámica del mercado y expectativas de los clientes
Los resultados aparecerán en una próxima publicación del Cloud Signature Consortium.
⏳ No pierda su oportunidad: ¡responda a la encuesta hoy mismo!
El jueves 13 de febrero 2025 tendrá lugar en el INAP. C/ Atocha, 106. 28012 Madrid este evento de la revista «Sociedad de la Información Digital», con el patrocinio de Teknei, SICPA, EAD Trust y VeriDas.
Mi ponencia se centrará en la Certificación de la Cartera de Identidad Europea, gracias al impulso de la Agencia de la Unión Europea para la Ciberseguridad (ENISA) que ha lanzado un Grupo de Trabajo Ad Hoc (AHWG-Ad Hoc Working Group) centrado en la certificación de las Carteras de Identidad Digital de la UE (EUDI Wallet) y para el que he sido seleccionado como uno de los expertos.
El encuentro “Nuevo Modelo de Identidad Digital: telemática y segura” promete ser muy interesante y nos actualizará sobre el desarrollo del marco normativo y tecnológico de la Identidad Digital Europea.
La inscripción en el evento es gratuita para funcionarios de sector público.
La inscripción de asistentes de sector privado tiene un coste de 199 euros (IVA incluido), y, para gestionarla, deben ponerse en contacto con la organización: administracion@socinfodigital.es
El programa es el siguiente:
09.30 Acreditación. Entrega de Identificador personal y documentación.
10.00 Bienvenida. Dª Carolina Sánchez Sánchez. Directora. Revista Sociedad de la Información Digital.
10.10Nuevo Modelo de identidad Digital: telemática y segura. D. Ángel Martín Bautista. Subdirector Adjunto de Planificación y Gobernanza de la Administración Digital. Ministerio para la Transformación Digital y de la Función Pública.
10.25 El Ecosistema Europeo de Identidad Digital (EUDI): más allá del wallet. D. Lucas Carmona. Director Identidad Digital. Teknei.
10.40 Dirección General de la Policía. Responsable de la Unidad de Informática y Telecomunicación. Dirección General de la Policía.
10.55 Del Fraude a la Confianza: La Identidad Digital como pilar de la Administración Pública. Ciberseguridad, centralidad del dato y el Wallet de Identidad para la transformación digital. D.David Luquin.Director de Sector Público. Veridas.
11.10 Modelo de Identidad Digital en la Comunidad de Madrid. Dª Marta Bilbao. Directora de Innovación, Datos y Transformación Digital. Madrid Digital. Comunidad de Madrid.
11.25 Turno de preguntas.
11.30 Pausa Café.
12.00 Viajes inteligentes: los beneficios de las credenciales de viaje digitales en 2026 con el nuevo EU Wallet. D.Fabián Torres. Director. Business Development. SICPA.
12.15Benidorm sandbox en el nuevo modelo de la identidad digital. Dª Leire Bilbao. Directora General. Fundación Visit-Benidorm.
12.30Certificación de la Cartera de Identidad Europea. D. Julián Inza. Presidente. EAD Trust.
12.45 AOC. D. Miquel Estapé. Director Gerente. Administración Oberta de Cataluña.
El concepto Digital Transaction Management (DTM), Gestión de Transacciones Digitales engloba un conjunto de servicios y tecnologías basados en la nube diseñados para gestionar digitalmente transacciones basadas en documentos. El objetivo principal de la Gestión de Transacciones Digitales es eliminar la fricción inherente a las transacciones que involucran personas, documentos y datos, creando procesos más rápidos, fáciles, convenientes y seguros.
Los componentes clave de un sistema DTM incluyen:
Firmas electrónicas: Permiten la vinculación de documentos a sus firmantes, su autenticación segura y la atribución legalmente vinculante de documentos firmados.
Gestión de documentos y transacciones: Incluye almacenamiento digital, asociado al concepto de custodia, organización y recuperación eficiente de documentos y operaciones.
Automatización de flujos de trabajo: Reduciendo tareas manuales y mejorando la consistencia de los procesos.
Protocolos de seguridad: Implementando el cifrado donde se precisa (teniendo en ciuenta los riesgos que anuncia la computación cuántica) y controles de acceso para proteger información sensible.
Autenticación digital: Verificando la identidad de los participantes en las transacciones.
Gestión de evidencias digitales para favorecer la fuerza probatoria en contextos de resolución de controversias.
Gestión de entornos híbridos de documentos digitales y en papel, con gestión de la digitalización cualificada de documentos en papel con fuerza probatoria y documentos nacidos digitales que se pueden usar impresos por la posibilidad de cotejo de su CSV (Código Seguro de Verificación) en su sede electrónica de referencia.
Los servicios de EADTrust encajan perfectamente en el concepto de Digital Transaction Management, ya que ofrecen varias soluciones clave que son fundamentales para la gestión digital de transacciones:
Firmas electrónicas cualificadas: EADTrust emite certificados cualificados para personas físicas y entidades legales, que permiten la creación de firmas y sellos electrónicos avanzados y cualificados. También ofrece servicios de comprobación de las firmas electrónicas que se reciben en las entidades.
Sellos de tiempo cualificados: Estos sellos permiten probar el momento exacto en que ocurrió un evento digital, dejando un registro irrefutable de la fecha, hora y contenido del evento mediante criptografía. Se asocia un sello de teiempo con cada transacción.
Custodia digital: EADTrust ha desarrollado una tecnología que permite a los usuarios almacenar documentos digitalmente, pudiendo probar su autenticidad a través de CSV y su inalterabilidad mediante métodos criptográficos avanzados. En línea con la normativa de eArchivos de EIDAS2
Notificaciones certificadas (Noticeman): Ofreciendo una plataforma de gestión de correo electrónico y SMS certificados que permite registrar la identidad del remitente, el receptor, el contenido y el momento exacto en que se realizaron las comunicaciones.
Servicios corporativos: Proporcionan testimonios de publicación de documentos a las entidades obligadas para convocatorias de juntas generales de accionistas, foros y gestión de voto electrónico, cumpliendo con la Ley de Sociedades de Capital.
Custodia de claves privadas: Celebran ceremonias de creación de claves, generando pares de claves asimétricas y manteniendo la clave privada para garantizar la integridad. Estos servicios son esenciales en la gestión de firmas manuscritas capturadas en tabletas digitalizadoras
Estos servicios de EADTrust abordan aspectos críticos de DTM, como la autenticación, la seguridad, la gestión de documentos y el cumplimiento normativo. Al ofrecer estas soluciones, EADTrust contribuye significativamente a la transformación digital de las empresas, permitiéndoles gestionar sus transacciones de manera más eficiente, segura y conforme a la normativa vigente.
En relación con las Carteras IDUE ayuda a adaptarse a las entidades obligadas por mandato del Reglamento EIDAS2 en el articulo 5 septies:
Cuando el Derecho de la Unión o nacional exija que las partes usuarias privadas que prestan servicios —con la excepción de las microempresas y pequeñas empresas según se definen en el artículo 2 del anexo de la Recomendación 2003/361/CE de la Comisión ( 5 )— utilicen una autenticación reforzada de usuario para la identificación en línea, o cuando se requiera una autenticación reforzada de usuario para la identificación en línea en virtud de una obligación contractual, en particular en los ámbitos del transporte, la energía, la banca, los servicios financieros, la seguridad social, la sanidad, el agua potable, los servicios postales, la infraestructura digital, la educación o las telecomunicaciones, dichas partes usuarias privadas también aceptarán, a más tardar treinta y seis meses a partir de la fecha de entrada en vigor de los actos de ejecución a que se refieren el artículo 5 bis, apartado 23, y el artículo 5 quater, apartado 6, y únicamente a petición voluntaria del usuario, las carteras europeas de identidad digital proporcionadas de conformidad con el presente Reglamento.
Todo es electrónico 