La e.firma redujo la distancia entre el contribuyente y el SAT. Con ella es posible presentar declaraciones, solicitar devoluciones y completar otros trámites sin acudir a una oficina. Esa ventaja también cambió la forma de resguardar la identidad fiscal: los archivos que antes permanecían en una computadora del despacho ahora viajan en memorias USB, correos y equipos portátiles.

El riesgo no nace por trabajar a distancia, sino por perder el control del proceso. Importa dónde se guardan los archivos, desde qué dispositivo se cargan y qué conexión se utiliza.

La movilidad cambió el riesgo

La e.firma tradicional reúne tres elementos: el certificado .cer, la clave privada .key y la contraseña de esa clave. El certificado identifica al titular; la clave privada y su contraseña autorizan el uso de la firma. Cuando las tres piezas quedan juntas, cualquier copia concentra todo lo necesario para intentar operar con ella.

Por eso, la e.firma no debería circular como una factura o una hoja de cálculo. Compartir el paquete completo con un cliente, una empresa o cualquier tercero reduce la capacidad del contribuyente para saber quién conserva una copia y cuándo la utiliza.

En nuestro reporte sobre altas en RESICO sin consentimiento documentamos casos en los que trabajadores descubrieron movimientos fiscales que no habían solicitado. Estos casos muestran por qué las credenciales fiscales necesitan reglas de acceso estrictas.

El problema no está solo en la USB

Separar los archivos de la contraseña es un buen punto de partida, pero la seguridad también depende del entorno. Una computadora prestada puede conservar descargas o archivos temporales. Una red compartida queda fuera del control del contribuyente. Un enlace falso puede imitar el portal oficial.

Cuando sea necesario ingresar al SAT desde un hotel, aeropuerto, espacio de coworking o una red ajena, una VPN cifra el tráfico entre el dispositivo y el servidor VPN y oculta la dirección IP real. Esto añade una capa de privacidad útil al consultar información fiscal, cargar documentos o descargar un acuse lejos de la conexión habitual.

La protección funciona mejor dentro de un entorno controlado: equipo propio, sistema actualizado, bloqueo de pantalla y acceso directo al dominio oficial del SAT. También conviene evitar que el navegador guarde contraseñas o que los archivos permanezcan en la carpeta de descargas.

Un trámite remoto empieza antes de firmar

La revisión debe comenzar antes de seleccionar el certificado. Es preferible escribir la dirección del SAT en el navegador o utilizar un marcador verificado, en lugar de abrir enlaces recibidos por correo, mensaje o publicidad. Si el dominio no coincide o el navegador muestra una advertencia, no se deben cargar los archivos.

Durante el trámite, solo deberían existir las copias indispensables. Si la e.firma se trasladó en una memoria externa, no hace falta duplicarla en el escritorio. Si se descomprimió una carpeta, hay que eliminarla cuando deje de ser necesaria.

El proceso tampoco termina al presionar “enviar”. El acuse permite confirmar qué operación se realizó y en qué momento. Guardarlo en una ubicación controlada, cerrar la sesión y revisar las descargas ayuda a dejar menos rastros en el equipo.

La opción portable reduce traslados

Para ciertos trámites, las personas físicas pueden utilizar el servicio de e.firma portable del SAT. El mecanismo permite autenticarse mediante la contraseña y una clave dinámica generada en el dispositivo móvil.

Su valor práctico está en reducir la necesidad de transportar los archivos .cer y .key para cada operación compatible. No reemplaza a la e.firma tradicional en todos los servicios, pero ofrece una alternativa cuando el trámite admite este método.

Antes de depender de ella fuera del despacho, conviene comprobar que el servicio requerido sea compatible y que el teléfono permanezca bajo control del titular.

Mantener el control también implica reaccionar

Un incidente no siempre comienza con la pérdida de una memoria USB. También puede surgir después de enviar la contraseña por el canal equivocado, dejar una copia en una computadora compartida o detectar un cambio fiscal no autorizado.

En esos casos, la prioridad es revisar los movimientos recientes, identificar qué información pudo quedar expuesta y buscar orientación para revocar o renovar el certificado cuando corresponda.

La e.firma permite trabajar lejos del despacho, pero no debería volverse itinerante por costumbre. Un proceso bien definido conserva la movilidad sin diluir el control sobre la identidad fiscal.