RFC 3161 explicado de forma simple — Cómo funcionan los sellos de tiempo certificados
RFC 3161 es un estándar internacional que define cómo crear un sello de tiempo de confianza — una prueba criptográfica de que un archivo digital existía en un momento específico. Publicado por la Internet Engineering Task Force (IETF), especifica un protocolo donde una Autoridad de Sellado de Tiempo (Timestamp Authority, TSA) recibe la huella digital de un archivo, adjunta una fecha certificada y lo firma criptográficamente. El resultado es un token a prueba de manipulaciones que cualquiera puede verificar de forma independiente. ProofStamper usa RFC 3161 para generar sellos de tiempo certificados gratuitos.
RFC 3161 suena intimidante — como algo que solo interesa a criptógrafos. En realidad, es un sistema sencillo que resuelve un problema simple: ¿cómo demuestras que un archivo existía antes de cierta fecha, de una manera que nadie pueda disputar? Esta guía explica el estándar en lenguaje llano, paso a paso, sin conocimientos previos.
¿Qué problema resuelve RFC 3161?
Los archivos digitales tienen un problema fundamental de confianza: sus metadatos (fecha de creación, fecha de modificación) pueden ser cambiados por cualquiera en cualquier momento. Si afirmas que un archivo existía el 15 de enero, no hay forma integrada de probarlo.
Esto importa en situaciones reales:
- Un freelancer entrega un trabajo y el cliente dice que fue tarde
- Un fotógrafo descubre que alguien copió su imagen y dice que la creó primero
- Una empresa necesita demostrar que un documento de cumplimiento existía antes de una auditoría
- Un investigador necesita establecer la prioridad de un descubrimiento
En todos estos casos, necesitas un tercero de confianza que confirme la fecha. Exactamente eso es lo que proporciona RFC 3161: un protocolo estandarizado para obtener un sello de tiempo independiente y firmado criptográficamente.
Cómo funciona RFC 3161 — paso a paso
1. Calcular el hash del archivo
Tu dispositivo calcula un hash criptográfico del archivo usando SHA-256. Un hash es una cadena de caracteres de longitud fija (como una huella digital) que es única para el contenido exacto del archivo. Cambiar una sola coma produciría un hash completamente diferente. El hash no revela nada sobre el contenido — es una función matemática unidireccional.
2. Enviar el hash a una Autoridad de Sellado (TSA)
El hash — no el archivo — se envía a una Autoridad de Sellado de Tiempo. La TSA es un servidor independiente operado por una organización de confianza. No conoce el contenido de tu archivo, solo su huella digital.
3. La TSA crea un token de sello de tiempo
La TSA toma el hash, añade la fecha y hora actual de su reloj de confianza y firma digitalmente todo el paquete con su clave criptográfica privada. Esto produce un Token de Sello de Tiempo — un archivo pequeño (.tsr) que contiene el hash original, la fecha y hora UTC exactas, la firma digital y el certificado de la TSA.
4. Recibes la prueba
Ahora tienes una prueba criptográfica de que el hash (y por tanto tu archivo) existía en la fecha certificada. Esta prueba es a prueba de manipulaciones, verificable independientemente y autónoma.
project-proposal-v3.pdf → SHA-256: 7d2f3c8a91b4e6f5... (64 caracteres)
Todo el proceso es zero-knowledge por diseño: la Autoridad de Sellado nunca ve, almacena ni tiene acceso a tu archivo. Solo recibe una huella digital matemática que no revela nada sobre el contenido.
¿Qué contiene un token de sello de tiempo?
Un archivo .tsr (Timestamp Response) es un archivo binario codificado en formato ASN.1/DER. Aquí un desglose simplificado:
- Versión
- La versión del protocolo (usualmente 1)
- Policy OID
- La política de sellado de tiempo de la TSA
- Message Imprint
- El algoritmo de hash usado + el valor hash enviado
- Número de serie
- Un identificador único para este sello de tiempo específico
- Hora de generación
- La fecha y hora UTC exactas de creación del sello
- Precisión
- La precisión del reloj de la TSA (típicamente dentro de 1 segundo)
- Nonce
- Un número aleatorio para prevenir ataques de repetición (opcional)
- Certificado TSA
- El certificado digital de la TSA con la clave pública para verificación
No necesitas entender la codificación ASN.1 para usar RFC 3161. Herramientas como ProofStamper y OpenSSL manejan el análisis por ti. Pero saber qué hay dentro del token ayuda a entender por qué es confiable.
Cómo verificar un sello de tiempo RFC 3161
La verificación es lo que da a RFC 3161 su fuerza legal. Cualquiera puede verificar un sello de tiempo — no necesitas la herramienta original.
Usando ProofStamper (más fácil)
Ve a la página de verificación de ProofStamper. Sube tu archivo original y el token .tsr (o tu Proof Pack ZIP). La herramienta recalcula el hash, lo compara con el del token y verifica la firma digital de la TSA.
Usando OpenSSL (para usuarios técnicos)
Puedes verificar el sello de tiempo completamente offline usando OpenSSL, un toolkit criptográfico gratuito y de código abierto.
Esta independencia es una característica clave: tu prueba sigue siendo válida incluso si ProofStamper o cualquier otro servicio deja de existir.
Por qué los tribunales confían en RFC 3161
Es un estándar internacional
RFC 3161 fue publicado por la IETF, la misma organización que define protocolos fundamentales de internet como HTTP y TCP/IP. No es tecnología propietaria — es un estándar abierto y revisado por pares.
Está reconocido por eIDAS
En la UE, el reglamento eIDAS (Artículo 41) define explícitamente los sellos de tiempo electrónicos y les otorga efecto jurídico. Un sello RFC 3161 no puede ser rechazado como prueba solo por ser electrónico.
La prueba es verificable independientemente
A diferencia de los registros dependientes de plataforma, un sello RFC 3161 puede ser verificado por cualquiera con herramientas de código abierto.
La integridad criptográfica está garantizada matemáticamente
La firma digital se basa en criptografía de clave pública. Falsificar un sello válido requeriría romper la clave privada de la TSA — algo computacionalmente inviable.
RFC 3161 vs otros métodos de sellado de tiempo
| Método | Estándar | Independencia | Verificabilidad | Velocidad | Coste | Privacidad |
|---|---|---|---|---|---|---|
| RFC 3161 (ej. ProofStamper) | Internacional (IETF) | ✅ TSA independiente | ✅ Cualquiera, con herramientas abiertas | Segundos | Gratis a bajo | ✅ Zero-knowledge |
| Sello blockchain | Varía | ✅ Descentralizado | ✅ Vía explorador blockchain | Minutos a horas | 1–10 € | ⚠️ Hash puede ser público |
| Email "autoenvío" | Ninguno | ❌ Mismo proveedor | ❌ Depende del proveedor | Segundos | Gratis | ❌ Proveedor ve contenido |
| Notario / abogado | Ley local | ✅ Profesional colegiado | ✅ Acta notarial | Días a semanas | 50–200+ € | ❌ Ve el documento |
| Fecha de subida a la nube | Ninguno | ❌ Controlado por proveedor | ❌ Proveedor puede modificar | Segundos | Gratis | ❌ Proveedor ve archivo |
RFC 3161 es el único método que es simultáneamente gratuito, instantáneo, estandarizado internacionalmente, verificable independientemente y zero-knowledge.
Glosario de términos clave
- Hash (SHA-256)
- Una función matemática que convierte cualquier archivo en una cadena de caracteres de longitud fija. Es unidireccional y resistente a colisiones. SHA-256 produce una salida de 256 bits (64 caracteres hexadecimales).
- Autoridad de Sellado de Tiempo (Timestamp Authority, TSA)
- Un servidor independiente que emite sellos de tiempo certificados. ProofStamper usa FreeTSA, una TSA gratuita y comunitaria con sede en Alemania.
- Token de Sello de Tiempo (.tsr)
- El archivo de prueba criptográfica producido por la TSA. Contiene el hash, la fecha certificada y la firma digital de la TSA.
- Firma Digital
- Un mecanismo criptográfico que prueba que un mensaje fue creado por una entidad específica y no ha sido alterado.
- eIDAS
- El reglamento de la UE (Nº 910/2014) sobre identificación electrónica y servicios de confianza. El Artículo 41 define los sellos de tiempo electrónicos.
- IETF
- La Internet Engineering Task Force, organización internacional que desarrolla estándares de internet (RFCs). RFC 3161 fue publicado en 2001 y actualizado por RFC 5816.
- Proof Pack
- El término de ProofStamper para el archivo ZIP que contiene tu certificado PDF y el token criptográfico .tsr.
Preguntas frecuentes
- ¿Cuándo se publicó RFC 3161?
- RFC 3161 fue publicado por la IETF en agosto de 2001. Fue actualizado por RFC 5816 en 2010. El estándar lleva más de dos décadas estable y ampliamente adoptado.
- ¿Es gratuito usar RFC 3161?
- El estándar es abierto y gratuito. Si el servicio de sellado es gratuito depende de la TSA. ProofStamper usa FreeTSA, una TSA gratuita y comunitaria.
- ¿Se puede falsificar un sello RFC 3161?
- Falsificar un sello válido requeriría comprometer la clave privada de la TSA o romper los algoritmos criptográficos — ambos computacionalmente inviables con la tecnología actual.
- ¿Cuál es la diferencia entre RFC 3161 y un sello blockchain?
- Ambos prueban que datos existían en un momento. RFC 3161 usa un tercero de confianza (TSA), blockchain usa una red descentralizada. RFC 3161 es más rápido, estandarizado (reconocido por eIDAS) y zero-knowledge.
- ¿RFC 3161 prueba quién creó el archivo?
- No. RFC 3161 prueba que un archivo existía en una fecha específica — no quién lo creó. Establecer autoría requiere pruebas adicionales.
- ¿Qué algoritmos de hash soporta RFC 3161?
- RFC 3161 es agnóstico al algoritmo, pero SHA-256 es el más usado hoy. ProofStamper usa SHA-256 exclusivamente.