Seguridad

Cómo verificar que un documento firmado con Hardfes es auténtico

Volver al blog

Cuando alguien te presenta un documento firmado electrónicamente y afirma que es auténtico, ¿cómo lo verificas? ¿Cómo sabes que no fue modificado después de la firma? ¿Que la fecha de firma es real? ¿Que el proceso de identidad efectivamente ocurrió?

Hardfes genera dos elementos verificables de forma independiente: el PDF firmado con marca de tiempo RFC 3161 y el log del proceso. Cada uno se valida de manera distinta y ofrece una dimensión diferente de la autenticidad.


Parte 1 — Validar el PDF firmado y la marca de tiempo

El PDF firmado contiene embebida una firma digital y un token de marca de tiempo RFC 3161. Ambos pueden verificarse con herramientas estándar, sin necesidad de acceso a los servidores de Hardfes. La verificación es completamente autónoma.

Qué confirma esta validación:

Herramientas online gratuitas

DSS Demonstration — Comisión Europea
ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation
GratisOnline

La herramienta de validación oficial de la Comisión Europea para firmas digitales y marcas de tiempo. Soporta estándares PAdES, CAdES, XAdES y ASIC, incluyendo tokens RFC 3161. Es la referencia más robusta disponible en la web.

Cómo usarla: sube el PDF firmado, selecciona el tipo de firma (PAdES para PDFs) y ejecuta la validación. El resultado muestra el estado de la firma, la cadena de certificados y el detalle del token de marca de tiempo.

Verificador de firmas PDF — Adobe
acrobat.adobe.com / Adobe Acrobat Reader (escritorio)
GratisOnlineEscritorio

Adobe Acrobat Reader muestra el panel de firmas al abrir un PDF firmado. Indica si la firma es válida, si el documento fue modificado después de la firma y los detalles del certificado. Para marcas de tiempo RFC 3161, muestra la autoridad emisora y la fecha certificada.

Cómo usarla: abre el PDF en Acrobat Reader → panel "Firmas" en el lado izquierdo → haz clic en cada firma para ver sus detalles → verifica que diga "La firma es válida" y que la fecha coincida.

PDF Validator — PDF Association
pdfa.org/pdf-validator
GratisOnline

Validador técnico enfocado en la conformidad del PDF y las firmas embebidas. Útil como segunda opinión cuando se necesita verificar la integridad estructural del archivo además de las firmas.

Qué buscar en el resultado

✓ Documento auténtico

  • Firma: válida
  • Documento: no modificado
  • Marca de tiempo: verificada
  • Certificado: vigente al momento de la firma
  • Autoridad TSA: reconocida

✗ Señales de alerta

  • Firma: inválida o no verificable
  • Documento: modificado tras la firma
  • Marca de tiempo: ausente o inválida
  • Certificado: revocado o desconocido
  • Autoridad TSA: no reconocida

Importante: si el resultado indica que el documento fue modificado después de la firma, la firma sigue siendo válida para el contenido original pero el documento actual no coincide con lo que se firmó. Eso es una señal de alteración.


Parte 2 — Cruzar el documento con el log del proceso

El log del proceso registra el hash SHA-256 del documento original y del documento firmado en el momento en que fueron procesados. Comparar ese hash con el del archivo que tienes en tu poder confirma que es exactamente el mismo archivo — no una copia modificada.

Qué confirma esta validación:

Paso a paso: obtener el hash de tu archivo

Ubica el PDF firmado que quieres verificar y el log del proceso correspondiente. Ambos te los entregó Hardfes al completarse la firma.

Calcula el hash SHA-256 del PDF. En Windows abre PowerShell y ejecuta:
Get-FileHash "ruta\al\documento_firmado.pdf" -Algorithm SHA256

En Mac o Linux abre la terminal y ejecuta:
shasum -a 256 /ruta/al/documento_firmado.pdf

Abre el log del proceso y busca el campo hash_documento_firmado. Compara ese valor con el hash que acabas de calcular. Deben ser idénticos carácter por carácter.

Repite el proceso con el documento original comparando contra el campo hash_documento_original del log.

Ejemplo de comparación

Hash calculado de tu archivo (SHA-256)
a3f8c2d1e9b47f2c8d3e1a9b4c7f2e8d3a1b9c4e7f2d8c3e1b9a4c7f2e8d3a1

Hash registrado en el log de Hardfes
a3f8c2d1e9b47f2c8d3e1a9b4c7f2e8d3a1b9c4e7f2d8c3e1b9a4c7f2e8d3a1

✓ Los hashes son idénticos — el documento es auténtico
Hash calculado de tu archivo (SHA-256)
b7d2e9f1a4c8e3b2d9f1a4c8e3b2d9f1a4c8e3b2d9f1a4c8e3b2d9f1a4c8e3b2

Hash registrado en el log de Hardfes
a3f8c2d1e9b47f2c8d3e1a9b4c7f2e8d3a1b9c4e7f2d8c3e1b9a4c7f2e8d3a1

✗ Los hashes no coinciden — el archivo fue modificado o es incorrecto

También verifica en el log

Además del hash, el log te permite confirmar:


Validación combinada: el escenario más sólido

La validación más completa combina ambos métodos:

Si los tres checks pasan, tienes un documento cuya autenticidad es prácticamente irrefutable: fue firmado por las personas identificadas en el log, en la fecha certificada por la TSA, y el archivo que tienes en tu poder es exactamente el que se firmó.

Si alguno falla, hay que investigar por qué antes de dar el documento por válido.