← Back to all articles

Validación de PDF a largo plazo: por qué un PDF conforme hoy puede fallar en la verificación en 2035

SealDoc Team · · 8 min read

Un archivo de documentos solo es útil si los documentos que contiene pueden verificarse en el momento en que un auditor los solicita. No cuando los creaste. No cuando tus abogados los necesitan. Cuando alguien fuera de tu organización te pide que pruebes algo.

Para documentos firmados digitalmente y sellados con marca de tiempo, la verificación tiene fecha de caducidad. Los mecanismos criptográficos que hacen que un documento PDF/A-3 sea fiable hoy dependen de certificados, algoritmos y cadenas de confianza que pueden expirar, revocarse u obsoletarse. Construir un archivo de documentos sin planificar esto es construir un archivo que fallará en el peor momento posible.

El problema de la verificación dependiente de certificados

Una firma digital en PDF se verifica usando una cadena de certificados: el certificado del firmante, el certificado de la CA emisora y el certificado de la CA raíz. Cada certificado tiene un período de validez, normalmente de uno a tres años para los certificados de entidad final.

Si verificas una firma después de que el certificado del firmante haya expirado, la verificación fallará a menos que el verificador pueda establecer que el certificado era válido en el momento de la firma. Para establecerlo se necesita:

  1. Saber cuándo se firmó el documento (un sello de tiempo fiable)
  2. Tener el estado de revocación del certificado en el momento de la firma (respuesta OCSP o CRL)
  3. Tener la cadena de certificados completa tal como existía en el momento de la firma

Cinco años después de la firma, el certificado lleva mucho tiempo expirado. La CA puede haber dejado de operar. El respondedor OCSP definitivamente ya no sirve respuestas para ese certificado. El estado de revocación del momento de la firma no existe en ningún sitio en línea.

Sin esta información, un verificador estricto se negará a confirmar la firma, aunque fuera perfectamente válida cuando se aplicó.

Validación a largo plazo (LTV)

La Validación a Largo Plazo (LTV, por sus siglas en inglés) es la técnica para incrustar directamente en el documento la evidencia necesaria para la verificación futura. El estándar para PDF está definido en ETSI EN 319 132 (PAdES) e ISO 32000.

Un documento PDF/A-3 habilitado para LTV contiene:

  • Los tokens de firma y sello de tiempo (como siempre)
  • La cadena de certificados completa de todos los certificados implicados en la firma y el sellado de tiempo
  • La información de revocación (respuestas OCSP o instantáneas CRL) capturada en el momento de la firma, mientras los certificados seguían siendo válidos y los respondedores OCSP seguían operativos

Con esta información incrustada, un verificador en 2035 puede reconstruir la cadena de confianza completa tal como existía en 2026 sin ningún acceso a la red.

Añadir información LTV requiere incrustarla antes de que expiren los certificados implicados. Esto se hace normalmente justo después de la firma, o en una ventana breve, no años más tarde.

Obsolescencia de algoritmos

SHA-1 fue marcado como obsoleto como algoritmo de firma en 2017. Los certificados firmados con SHA-1 ya no son reconocidos por los verificadores principales. Cualquier PDF firmado con un certificado SHA-1 ya no es verificable en modo estricto.

SHA-256 es el estándar actual y se espera que permanezca seguro en el futuro previsible, pero “futuro previsible” en criptografía es un término matizado. El NIST ha estado trabajando en estándares criptográficos post-cuánticos desde 2016, y se espera que la transición a algoritmos resistentes a la computación cuántica se produzca en los próximos 10 a 15 años.

Para un documento que debe seguir siendo verificable hasta 2040, el algoritmo de firma elegido en 2026 puede haber quedado obsoleto antes de que finalice el período de archivo. La mitigación es el sellado de tiempo de archivo: aplicar un nuevo sello de tiempo antes de que el algoritmo del antiguo quede obsoleto, con el nuevo sello de tiempo cubriendo el documento más el antiguo. Esto preserva la cadena de confianza a través de las transiciones de algoritmos.

Sellado de tiempo de archivo

Un sello de tiempo de archivo extiende la validez de un documento sellado temporalmente más allá del punto en que el algoritmo o certificado del sello de tiempo original podría considerarse débil.

El proceso:

  1. El documento tiene un sello de tiempo RFC 3161 existente de 2026
  2. Antes de que SHA-256 quede obsoleto (hipotéticamente, alrededor de 2036), solicitas un nuevo sello de tiempo
  3. El nuevo sello de tiempo cubre el documento más el token del sello de tiempo de 2026 ya existente
  4. El nuevo sello de tiempo usa el algoritmo recomendado actual (resistente a la computación cuántica, circa 2036)
  5. Un verificador en 2040 verifica: el sello de tiempo de 2036 (usando el algoritmo de 2036) cubre el sello de tiempo de 2026, que cubre el documento con su hash original

Esta cadena extiende la confianza: cada nuevo sello de tiempo avala todos los anteriores. No es necesario volver a firmar el documento original; solo hay que añadir un nuevo sello de tiempo antes de que el anterior sea criptográficamente insuficiente.

Para un archivo fiscal de 10 años, un único resellado a mitad del período suele ser suficiente. Para archivos de 20 o 30 años (historiales médicos, inmuebles, contratación pública), debe establecerse un calendario de resellado en el momento del archivo inicial.

Estabilidad de fuentes y perfiles de color

Dejando de lado las preocupaciones criptográficas, PDF/A-3 tiene una ventaja a largo plazo más sencilla sobre el PDF normal: exige que todas las fuentes y los perfiles de color estén incrustados en el fichero. Un PDF que hace referencia a una fuente externa o usa un perfil de color del sistema puede renderizarse de forma diferente en diez años cuando la fuente ya no esté instalada o el perfil de color haya sido actualizado.

PDF/A-3 prohíbe las referencias externas, JavaScript y cualquier contenido que requiera resolución en tiempo de ejecución. Lo que está en el fichero es todo lo necesario para renderizarlo de forma idéntica en cualquier visor conforme, ahora y en el futuro.

Por eso PDF/A-3 es el formato de archivo correcto para cualquier documento que deba ser legible por un auditor humano años después. Un PDF normal que valida hoy puede verse mal o ser ilegible en 2035 no por cuestiones criptográficas, sino porque un renderizador de fuentes cambió.

Validación de archivos a largo plazo

VeraPDF es la implementación de referencia para la validación de PDF/A. Es de código abierto, mantenido por la PDF Association y la Open Preservation Foundation, y es la herramienta utilizada por archivos nacionales y organismos reguladores de toda Europa.

Ejecutar VeraPDF contra un archivo PDF/A-3 confirma:

  • El documento cumple con ISO 19005-3 (PDF/A-3)
  • Todas las fuentes están incrustadas
  • Los perfiles de color son autónomos
  • No hay características prohibidas (JavaScript, contenido externo, cifrado)
  • Los metadatos XMP son válidos e identifican correctamente el nivel de conformidad

VeraPDF no valida firmas criptográficas ni sellos de tiempo. Para eso, usa un verificador compatible con PAdES como la API de Validación de Firma ETSI o DSS (Digital Signature Service), la biblioteca de código abierto mantenida por la Comisión Europea.

Un flujo de trabajo de validación a largo plazo completo ejecuta ambas: VeraPDF para la conformidad con PDF/A y DSS para la verificación de firmas y sellos de tiempo.

Cómo construir archivos que sobrevivan a su período de conservación

La lista de comprobación práctica para un archivo de documentos que seguirá siendo verificable al final de su período de conservación:

  1. Usar PDF/A-3 para todos los documentos archivados (todas las fuentes y perfiles de color incrustados)
  2. Aplicar firmas PAdES con información LTV incrustada en el momento de la firma
  3. Usar sellos de tiempo RFC 3161 de TSAs de la Lista de Confianza de la UE
  4. Incluir la cadena de certificados completa y los datos de revocación en el documento en el momento del archivo
  5. Almacenar documentos en almacenamiento WORM con bloqueos de retención en modo Compliance
  6. Incluir un calendario de resellado en tu política de retención, activado antes de que cualquier certificado o algoritmo incrustado se aproxime a la obsolescencia
  7. Verificar el archivo periódicamente (anualmente para archivos de larga retención) usando VeraPDF y DSS

Los pasos 1 a 4 se ejecutan en el momento del archivo. Los pasos 5 a 7 son compromisos operativos durante toda la vida del archivo.

SealDoc y la validez a largo plazo

SealDoc genera documentos PDF/A-3 con firmas habilitadas para LTV y sellos de tiempo RFC 3161 de TSAs cualificadas de la UE. Las cadenas de certificados y las respuestas OCSP se incrustan en el momento de la creación del documento, no de forma retroactiva.

El paquete de evidencia incluye el material de verificación: la cadena de certificados completa, las instantáneas de revocación y los tokens de sello de tiempo en su codificación CMS original. Un auditor en 2035 puede verificar el paquete usando VeraPDF, DSS u OpenSSL sin ningún acceso a la red ni dependencia de la infraestructura de SealDoc.

El resellado de tiempo para archivos de larga retención está disponible como operación programada a través de la API de SealDoc, lo que permite a las organizaciones mantener la vigencia algorítmica para archivos que se extienden más allá de la vida útil esperada de los estándares criptográficos actuales.

← Back to all articles