Glosario de la Firma Electrónica: Todos los Términos Explicados
QES, AES, eIDAS, QTSP, PAdES, sello de tiempo… El mundo de la firma electrónica está lleno de términos técnicos. Este glosario los explica de forma sencilla, de una vez por todas.
Ya sea usted empresario, jurista, responsable informático o simplemente curioso, este glosario cubre todo el vocabulario de la firma electrónica — desde los niveles de firma hasta el marco regulatorio, desde los métodos de autenticación hasta los formatos técnicos. Cada término se explica en lenguaje claro, sin jerga innecesaria.
1. Los niveles de firma electrónica
El reglamento eIDAS define tres niveles de firma electrónica, jerarquizados según su solidez jurídica y técnica. Comprender esta jerarquía es fundamental para elegir el método adecuado a su necesidad.
| Nivel | Sigla | Valor jurídico | Método e-Signature.eu | Coste |
|---|---|---|---|---|
| Cualificada | QES | = firma manuscrita | itsme® / Evrotrust | 1 crédito |
| Avanzada | AES | Fuerte presunción | Veriff | 0,7 crédito |
| Simple | SES | Prueba básica | OTP email | 0,4 crédito |
QES
Nivel más alto
La firma electrónica cualificada es el nivel de firma más sólido definido por el reglamento eIDAS. Es jurídicamente equivalente a una firma manuscrita en todos los Estados miembros de la Unión Europea — el único nivel para el que esta equivalencia está establecida por ley.
Para ser cualificada, una firma debe basarse en un certificado cualificado emitido por un prestador de servicios de confianza cualificado (QTSP), y crearse mediante un dispositivo de creación de firma cualificado (QSCD). Garantiza la identidad del firmante, la integridad del documento y el no repudio: el firmante no puede negar haber firmado.
La QES es exigida por ciertas administraciones — en particular el INPI francés para los registros de marcas — y recomendada para todos los actos con gran trascendencia jurídica (contratos laborales, escrituras notariales, contratación pública).
Las empresas que utilizan Odoo como ERP pueden ahora enviar presupuestos, contratos y documentos de RR. HH. para firma cualificada directamente desde sus registros de Odoo, gracias al módulo nativo de e-Signature.eu para Odoo.
→ Descubrir la integración con Odoo
AES
Nivel intermedio
La firma electrónica avanzada es el nivel intermedio del reglamento eIDAS. Debe cumplir cuatro condiciones: estar vinculada de manera única al firmante, permitir identificarlo, haber sido creada con datos bajo su control exclusivo, y permitir detectar cualquier modificación posterior del documento firmado.
La AES ofrece un fuerte valor probatorio pero no es legalmente equivalente a la firma manuscrita — a diferencia de la QES. Es adecuada para la mayoría de los contratos comerciales entre empresas, acuerdos de confidencialidad, presupuestos y pedidos, cuando ninguna ley exige explícitamente la QES.
En e-Signature.eu, el método Veriff proporciona firmas AES con cobertura en 198 países.
SES
Nivel básico
La firma electrónica simple es el nivel básico definido por eIDAS. Comprende cualquier dato en forma electrónica adjunto o asociado lógicamente a otros datos electrónicos, utilizado como firma. Un código OTP enviado por email, una casilla marcada o un escaneo de una firma manuscrita son ejemplos de SES.
Su valor jurídico es limitado: puede servir como principio de prueba, pero no garantiza formalmente la identidad del firmante. Es adecuada para actos sin gran trascendencia — pedidos internos, validaciones ligeras, acuerdos informales.
Atención: una SES nunca es equivalente a una firma manuscrita según el derecho europeo.
⚠️ Confusión frecuente
Muchas plataformas de firma presentan sus servicios como “conformes con eIDAS” sin precisar el nivel. Una firma puede ser conforme con eIDAS y seguir siendo una SES — por tanto, sin valor jurídico equivalente a la firma manuscrita. Verifique siempre el nivel (QES, AES o SES) antes de elegir.
2. El marco regulatorio eIDAS
Reglamento UE
El reglamento eIDAS (Electronic IDentification, Authentication and trust Services) es el reglamento europeo n.º 910/2014 que establece el marco jurídico común para las firmas electrónicas, los sellos electrónicos, los sellos de tiempo y los servicios de confianza en la Unión Europea.
Define los tres niveles de firma (SES, AES, QES), impone el reconocimiento mutuo de las firmas cualificadas entre los Estados miembros, y establece la lista de prestadores de servicios de confianza cualificados (QTSP) a través de la lista de confianza europea (EU Trusted List).
Una QES emitida en un Estado miembro de la UE es automáticamente reconocida en todos los demás Estados miembros: este es el principio de interoperabilidad de eIDAS, uno de los pilares del mercado único digital europeo.
Reglamento UE — Evolución
eIDAS 2.0 es la revisión del reglamento eIDAS, en vigor desde 2024 y cuyo despliegue continúa hasta 2026-2027. Su principal novedad es la introducción de la Cartera Europea de Identidad Digital (EUDIW), que permitirá a cada ciudadano europeo disponer de una identidad digital certificada e interoperable a escala de la UE.
Para la firma electrónica, eIDAS 2.0 refuerza los requisitos sobre los prestadores cualificados, amplía la lista de servicios de confianza reconocidos y prepara la integración de la cartera de identidad como medio de autenticación para la QES. Se trata de una evolución estructural para todo el ecosistema de la firma en Europa.
QTSP
Reglamento UE
Un QTSP (Qualified Trust Service Provider) es un organismo acreditado por una autoridad nacional de supervisión para prestar servicios de confianza cualificados — en particular certificados cualificados que permiten emitir firmas QES. En Francia, la ANSSI (Agencia Nacional de Seguridad de los Sistemas de Información) es la autoridad de supervisión.
La lista completa de QTSP europeos se publica en la EU Trusted List, accesible a través de la Comisión Europea. Solo las firmas respaldadas por un certificado cualificado emitido por un QTSP que figure en esta lista pueden reclamar el estatus de QES.
e-Signature.eu se apoya en QTSP acreditados para todos sus métodos de firma cualificada (itsme® y Evrotrust).
Reglamento UE
Un certificado cualificado es un certificado digital emitido por un QTSP, que acredita formalmente la identidad de una persona física o jurídica. Constituye la base técnica de una firma cualificada (QES): sin certificado cualificado, no hay QES.
Contiene los datos de identidad del titular (nombre, apellido, y en su caso un número de identificación), información sobre el QTSP emisor, el período de validez y una clave criptográfica. Está asociado a una clave privada que solo el titular controla, lo que garantiza que la firma solo pueda aplicarse con su consentimiento activo.
Administración francesa
El Instituto Nacional de la Propiedad Industrial (INPI) francés es el organismo público encargado del registro de marcas, patentes, dibujos y modelos, así como de los trámites relacionados con las empresas. Es uno de los pocos organismos que exige explícitamente una firma cualificada (QES) para los trámites y presentaciones en línea.
Para firmar un documento destinado al INPI a través de e-Signature.eu, se requieren los métodos itsme® o Evrotrust (ambos QES). La firma simple (OTP) o avanzada (Veriff) no se aceptan para estos trámites.
Reglamento UE
La lista de confianza europea es un registro oficial, mantenido por cada Estado miembro bajo la supervisión de la Comisión Europea, que recoge todos los prestadores de servicios de confianza cualificados (QTSP) acreditados en la UE. Es la referencia para comprobar si un servicio de firma está realmente cualificado según eIDAS.
Cualquier solución de firma que se reclame de nivel QES debe apoyarse en un QTSP incluido en esta lista. Es una garantía fundamental para los usuarios.
3. Los métodos de autenticación
QES — 32 países
itsme® es una aplicación de identidad digital desarrollada por Belgian Mobile ID, que permite identificarse y firmar documentos electrónicamente desde el smartphone. Está reconocida como medio de autenticación para la firma cualificada (QES) en 32 países europeos.
Para utilizar itsme® como método de firma en e-Signature.eu, el firmante debe tener la aplicación instalada en su smartphone y haber verificado previamente su identidad (mediante su documento de identidad y un selfie). La firma se realiza en cuestión de segundos: el firmante recibe una notificación, la aprueba en su teléfono, y se aplica la firma cualificada.
itsme® es el método de firma cualificada más utilizado en el Benelux y constituye el método insignia de e-Signature.eu.
Desde 2026, itsme® también está disponible como método de firma directamente en el módulo de integración con Odoo de e-Signature.eu: los usuarios de Odoo pueden enviar un presupuesto o contrato para firma cualificada vía itsme® sin salir de su ERP.
→ Descubrir la integración con Odoo
QES — 62 países
Evrotrust es un prestador de servicios de confianza cualificado (QTSP) búlgaro, incluido en la EU Trusted List, que ofrece una solución de firma cualificada (QES) mediante aplicación móvil. Su cobertura geográfica es una de las más amplias del mercado: 62 países, que cubren Europa, América del Norte, Oceanía y parte de Oriente Medio.
Disponible en e-Signature.eu desde 2026, Evrotrust permite emitir firmas QES conformes con eIDAS para firmantes situados fuera de la zona de itsme®. El proceso es similar: descarga de la aplicación, verificación de identidad, y luego firma en unos pocos clics desde el smartphone.
Evrotrust es complementario a itsme®: donde itsme® se detiene, Evrotrust toma el relevo — permitiendo a e-Signature.eu cubrir prácticamente todas las necesidades de firma cualificada en Europa y más allá.
AES — 198 países
Veriff es una empresa estonia especializada en la verificación de identidad mediante inteligencia artificial. En e-Signature.eu, Veriff se utiliza como método de autenticación para la firma electrónica avanzada (AES) en 198 países.
El proceso de verificación de Veriff se realiza íntegramente en línea: el firmante fotografía su documento de identidad y realiza un selfie en vídeo, analizados automáticamente para confirmar su identidad. La firma se aplica después con una fuerte trazabilidad biométrica.
Veriff es el método ideal para intercambios contractuales internacionales con socios situados fuera de la cobertura QES (itsme® o Evrotrust). Ofrece un valor probatorio superior a la firma simple (OTP), con cobertura geográfica mundial.
OTP
SES — Mundial
El OTP (One-Time Password, o contraseña de un solo uso) es un código numérico generado automáticamente, enviado por email al firmante, y válido para una única operación. En e-Signature.eu, el OTP por email constituye el método de firma simple (SES).
El OTP demuestra que el firmante tenía acceso a la dirección de email en el momento de la firma. No autentica formalmente su identidad — lo que limita su valor jurídico. No obstante, es suficiente para acuerdos sin gran trascendencia, validaciones internas o casos en los que basta una prueba ligera.
Ventaja: el OTP no requiere ninguna aplicación ni verificación previa de identidad. Es el método más rápido de implementar, disponible en cualquier lugar del mundo.
QSCD
Técnico
Un QSCD (Qualified Signature Creation Device) es el dispositivo seguro — hardware o software — utilizado para crear una firma cualificada. Garantiza que la clave privada del firmante se genera, almacena y utiliza en un entorno seguro, inaccesible para terceros.
Las aplicaciones móviles como itsme® y Evrotrust integran un QSCD software certificado: el smartphone del firmante desempeña este papel, tras un registro seguro de identidad. Es esta certificación QSCD la que permite a estos métodos ofrecer firmas de nivel QES.
4. Prueba y trazabilidad
Proceso
El audit trail es un registro cronológico y automático de todos los eventos ocurridos durante una solicitud de firma: envío de la invitación, consulta del documento, firma, descarga, modificación de datos de contacto, eventual abandono.
En e-Signature.eu, el audit trail se activa automáticamente para todas las solicitudes, cualquiera que sea el nivel de firma elegido. Puede consultarse en tiempo real desde el panel mientras la solicitud está en curso, y luego descargarse en PDF con sello de tiempo una vez finalizada la solicitud.
En caso de litigio, el audit trail constituye una prueba oponible: acredita que el firmante recibió la invitación, consultó el documento y aplicó su firma, con las fechas y horas precisas.
Técnico
El sello de tiempo es un mecanismo criptográfico que certifica que un documento digital existía tal cual en un momento preciso y no ha sido modificado desde entonces. Es emitido por una autoridad de sellado de tiempo (Time Stamping Authority — TSA) y constituye una prueba de anterioridad e integridad.
En e-Signature.eu, el PDF del audit trail está protegido por un sello de tiempo en el momento de su generación. Esto garantiza que el informe de trazabilidad no ha sido alterado tras su creación — reforzando su valor probatorio en caso de disputa.
Jurídico
El no repudio es la propiedad que impide que un firmante niegue haber firmado un documento. Es una de las garantías fundamentales de la firma electrónica cualificada (QES): gracias al certificado cualificado y al dispositivo QSCD, es criptográficamente imposible que el firmante alegue que la firma no fue aplicada por él.
Las firmas simples (SES) solo ofrecen un no repudio parcial, ya que no autentican formalmente la identidad del firmante. La QES ofrece el no repudio más sólido — por eso se exige para actos de gran trascendencia jurídica.
Técnico
La integridad de un documento firmado electrónicamente designa la garantía de que su contenido no ha sido modificado tras la firma. Se asegura mediante un mecanismo criptográfico: en el momento de la firma se calcula una huella digital (hash) del documento y se integra en la firma. Cualquier modificación posterior del documento invalida esta huella — y por tanto la firma misma.
Los lectores de PDF compatibles (en particular Adobe Acrobat Reader) señalan automáticamente si la integridad de un documento firmado se ha visto comprometida. Esta es una de las razones por las que se prefiere el formato PAdES para firmar documentos PDF.
Jurídico
Una prueba se considera oponible cuando puede presentarse y ser admitida ante un tribunal para establecer un hecho. En el contexto de la firma electrónica, el valor oponible de una prueba depende directamente del nivel de firma utilizado:
— La QES se beneficia de una presunción legal de fiabilidad y de un no repudio fuerte. Es la prueba más sólida.
— La AES ofrece un fuerte valor probatorio, pero sin presunción legal automática.
— La SES constituye un principio de prueba, cuyo valor depende del contexto y de elementos complementarios (audit trail, consentimiento explícito, etc.).
5. Los formatos técnicos de firma
Formato técnico
PAdES (PDF Advanced Electronic Signatures) es el formato estándar para las firmas electrónicas aplicadas a documentos PDF. Está definido por la norma ETSI EN 319 132 y reconocido por el reglamento eIDAS.
La firma PAdES está integrada en el propio archivo PDF: es visible en el panel de firmas de Adobe Acrobat Reader y puede verificarse con cualquier software compatible. Puede integrar un sello de tiempo cualificado y la información de revocación del certificado, garantizando la verificabilidad a largo plazo.
Es el formato utilizado por e-Signature.eu para todos los documentos firmados en formato PDF.
Formato técnico
XAdES (XML Advanced Electronic Signatures) es el formato de firma electrónica adaptado a documentos XML. Está definido por la norma ETSI EN 319 132 y reconocido por eIDAS. Se utiliza principalmente en intercambios de datos estructurados entre sistemas (facturas electrónicas, datos administrativos, integraciones API).
Menos visible que PAdES para el usuario final, XAdES es habitual en procesos automatizados e intercambios B2B o B2G (Business to Government).
Formato técnico
CAdES (CMS Advanced Electronic Signatures) es el formato de firma electrónica aplicable a cualquier tipo de archivo (no solo PDF o XML). Envuelve el documento firmado en un contenedor criptográfico. Menos extendido que PAdES en el uso cotidiano, se utiliza en ciertos contextos de archivo o intercambios sistema a sistema.
Técnico
Una huella digital (o hash) es una cadena de caracteres de longitud fija, calculada a partir del contenido de un archivo mediante una función matemática de sentido único. Dos archivos idénticos producen siempre el mismo hash; la más mínima modificación del archivo — incluso un solo carácter — produce un hash totalmente diferente.
En la firma electrónica, el hash del documento se calcula en el momento de la firma, y luego se cifra con la clave privada del firmante. Esto garantiza la integridad del documento: si el documento se modifica después de la firma, el hash ya no corresponde a la firma — invalidándola.
PKI
Técnico
Una PKI (Public Key Infrastructure) es el conjunto de componentes técnicos y organizativos que permiten gestionar pares de claves criptográficas (clave privada / clave pública) y los certificados digitales asociados.
En la firma electrónica, la PKI garantiza que:
— La clave privada pertenece exclusivamente al firmante y se utiliza para firmar.
— La clave pública, incluida en el certificado, permite a cualquiera verificar la firma.
— El certificado, emitido por una autoridad de certificación (CA) reconocida, acredita la identidad del titular de la clave.
6. Los actores del proceso de firma
Proceso
El iniciador es la persona o empresa que crea la solicitud de firma en e-Signature.eu. Es quien elige el documento a firmar, designa a los firmantes, selecciona el método de firma y activa el envío de las invitaciones.
El iniciador utiliza los créditos adquiridos en la plataforma (1 crédito por firmante para una QES). Tiene acceso al panel y al audit trail durante todo el proceso.
Proceso
El firmante es la persona invitada a aplicar su firma electrónica en uno o varios documentos. Recibe un email de invitación con un enlace seguro al documento a firmar.
Según el método elegido, el firmante puede necesitar la aplicación itsme® o Evrotrust (previamente instalada y registrada) para una QES, o simplemente acceso a su email para una SES (OTP). Para Veriff (AES), deberá realizar una verificación de identidad durante la firma.
Se consume un crédito por firmante, independientemente del número de documentos incluidos en la solicitud.
Proceso
La función de grupos de firmantes, introducida en e-Signature.eu en 2026, permite definir un orden de firma secuencial entre varios grupos. Por ejemplo, el grupo 1 (partes interesadas internas) debe firmar antes de que se envíen las invitaciones al grupo 2 (socios externos).
Esta función resulta especialmente útil para procesos de validación jerárquicos — contratos que requieren primero la validación de un responsable, y después la firma del cliente — o actos que implican a varias partes en un orden predefinido.
Proceso
El recordatorio automático es una función disponible en e-Signature.eu que permite reenviar automáticamente un email de invitación a un firmante que aún no ha firmado tras un plazo definido. Esto evita que el iniciador tenga que insistir manualmente a cada firmante y acelera la finalización de las solicitudes con varios firmantes.
Técnico — API
Un webhook es un mecanismo mediante el cual una aplicación envía automáticamente una notificación HTTP a una URL definida cada vez que se produce un evento concreto. En el contexto de la API de e-Signature.eu, los webhooks permiten a su sistema recibir en tiempo real las actualizaciones de las solicitudes de firma: firma realizada, solicitud finalizada, documento disponible para descarga (en formato Base64), etc.
Los webhooks son esenciales para las integraciones que requieren un procesamiento automático sin consultas periódicas (polling) a la API.
7. El modelo tarifario de e-Signature.eu
Modelo tarifario
El pay-as-you-go (literalmente “pagar según se usa”) es un modelo tarifario por consumo: usted solo paga lo que realmente utiliza, sin suscripción mensual ni compromiso de volumen.
En e-Signature.eu, esto significa en concreto: usted compra un paquete de créditos prepagados, y cada firma consume un número de créditos según el método utilizado (1 crédito para una QES, 0,7 para una AES, 0,4 para una SES). Los créditos no utilizados permanecen disponibles sin fecha de caducidad.
Este modelo es especialmente adecuado para pymes, autónomos y profesionales independientes cuyas necesidades de firma son irregulares — a diferencia de las soluciones competidoras (DocuSign, Adobe Sign, Yousign) que cobran una suscripción mensual fija.
Modelo tarifario
En e-Signature.eu, el crédito es la unidad de consumo. 1 crédito = 1 firmante, independientemente del número de documentos incluidos en la solicitud de firma. El coste en créditos varía según el nivel de firma:
— 1 crédito para una firma cualificada QES (itsme® o Evrotrust)
— 0,7 crédito para una firma avanzada AES (Veriff)
— 0,4 crédito para una firma simple SES (OTP email)
Los créditos se adquieren en paquetes prepagados. La tarificación es decreciente: cuanto mayor el paquete, menor el coste por crédito.
Modelo tarifario
La tarificación decreciente designa un modelo en el que el precio unitario disminuye a medida que aumenta el volumen adquirido. En e-Signature.eu, esto significa que el coste por crédito es más bajo para un paquete de 100 créditos que para un paquete de 10 créditos.
Este mecanismo permite a las empresas con volúmenes importantes beneficiarse de una tarifa optimizada, manteniendo la flexibilidad del pay-as-you-go — sin comprometerse a una suscripción mensual.
Resumen: los términos esenciales que hay que recordar
- QES: el único nivel de firma electrónica jurídicamente equivalente a la firma manuscrita (eIDAS). Disponible vía itsme® y Evrotrust en e-Signature.eu.
- AES: firma avanzada con fuerte valor probatorio, sin equivalencia legal automática con la firma manuscrita. Disponible vía Veriff (198 países).
- SES: firma simple, valor jurídico limitado, suficiente para actos sin gran trascendencia. Disponible vía OTP email (mundial).
- eIDAS: reglamento europeo que define el marco jurídico de la firma electrónica e impone la interoperabilidad de la QES en toda la UE.
- QTSP: prestador acreditado que entrega los certificados cualificados necesarios para la QES. e-Signature.eu se apoya en QTSP incluidos en la EU Trusted List.
- Audit trail: registro de trazabilidad automático, consultable en tiempo real, descargable en PDF con sello de tiempo — prueba oponible en caso de litigio.
- Pay-as-you-go: el modelo sin suscripción de e-Signature.eu — usted solo paga las firmas realizadas, mediante créditos prepagados con tarificación decreciente.
¿Listo para firmar sin suscripción?
Firma cualificada QES, avanzada AES o simple SES — elija el nivel adecuado a su necesidad y pague solo lo que utilice.