¿Qué son las “declaraciones electrónicas de atributos” (CEA)?

Los tres tipos de un vistazo

Dr. Clemens Brunner

Última modificación: febrero 19, 2026
Publicación de conocimiento
Blog de sproof: ¿Qué son las CEA?

Los hechos más importantes en resumen

  • Definición: Las CEA son pruebas digitales legalmente seguras de características (por ejemplo, edad, cualificación profesional, permiso de conducir) autenticadas por fuentes fiables.
  • Ventaja estratégica: Permiten verificar hechos concretos sin tener que revelar toda la identidad (revelación selectiva: por ejemplo, “mayor de edad” en lugar de la fecha exacta de nacimiento).
  • Integración del monedero EUDI: Las CEA son el contenido básico del próximo monedero digital europeo.
  • Interoperabilidad: las CEA funcionan a través de las fronteras de toda la UE, tanto para las autoridades públicas como para las empresas privadas.

_______________________________________________________________

Con la introducción del Reglamento eIDAS 2.0 y la Cartera EUDI (Cartera Europea de Identidad Digital), está cambiando la forma en que demostramos nuestra identidad. Antes, la pregunta principal era: “¿Quién eres?”. En el futuro, se centrará en: “¿Para qué estás autorizado?”, “¿Qué cualificaciones tienes?” o “¿Qué te distingue?”.

Los Certificados Electrónicos de Atributos (CEA) son la respuesta digital a estas preguntas. Son la traducción de nuestros certificados analógicos -desde los permisos de conducir hasta los diplomas- al mundo digital.

¿Qué es un atributo?

Antes de hablar de la tecnología, aclaremos el término: un atributo es una propiedad o característica que describe a una persona u organización (entidad). Puedes considerarlo como una pieza de un puzzle que dibuja una imagen global de una identidad.

Los atributos abarcan una enorme variedad de información:

  • Datos de identificación personal (DIP): Como tu nombre, lugar de nacimiento o nacionalidad.
  • Características profesionales: Títulos académicos, títulos profesionales o licencias oficiales.
  • Derechos y autorizaciones: Autorizaciones específicas, como el poder de firma en una empresa o el permiso de conducir.

El salto al mundo digital

En el contexto de la identidad digital, los atributos se utilizan para probar características en línea más allá de toda duda, sin estar físicamente presente. Se distinguen dos categorías:

  1. Atributos estáticos: Información que (casi) nunca cambia, como tu fecha de nacimiento.
  2. Atributos dinámicos: Características que fluctúan, como tu dirección de registro actual, tu situación profesional actual o tu edad.

Para que estos atributos se consideren fiables en línea, deben proceder de una fuente segura, por ejemplo, de registros gubernamentales, instituciones educativas o autoridades certificadas. Sólo esta confirmación digital convierte un simple atributo en una prueba a prueba de manipulaciones (EAA) que puedes utilizar para identificarte ante los servicios en línea.

¿Qué son los atestados electrónicos de atributos?

Por lo tanto, una CEA es un registro de datos digitales que confirma uno o varios atributos de una persona y que ha sido firmado o sellado electrónicamente por un proveedor de servicios de confianza (TSP) cualificado o no cualificado.

La diferencia clave: mientras que un eID clásico suele transferir todo el registro de datos, un EAA proporciona información específica. Una Atestación Electrónica de Atributos Cualificada (A ECC) tiene el mayor valor probatorio, ya que la emiten proveedores supervisados por el Estado.

Los 3 tipos de atestados según eIDAS 2.0

No todos los certificados digitales tienen la misma fuerza legal. Para garantizar la interoperabilidad en toda Europa, la UE define tres categorías específicas de certificados de atributos. Se diferencian principalmente por el emisor y la validez jurídica:

  1. Atributos emitidos por ti mismo (autoafirmados): Información que introduces tú mismo (por ejemplo, una dirección de entrega). Son prácticos para los formularios, pero no tienen valor probatorio oficial.
  2. Certificados electrónicos (CEA): Los emiten fuentes verificadas. Están firmados digitalmente y son mucho más seguros que los documentos convencionales. (Los EAA incluyen EAA y PuB-EAA).
  3. Certificados electrónicos reconocidos (QEAA): El nivel más alto. Los emiten proveedores de servicios de confianza cualificados (QTSP) supervisados por el Estado. Un QEAA es legalmente equivalente a un documento en papel con sello oficial y está reconocido en toda la UE.
TipoEnfoque y editorialNivel de confianza y valor probatorioFuente de datosEjemplo práctico
Q-EAA (Cualificado)Certificados por el Estado: Emitidos por servicios fiduciarios cualificados (QTSP).Máximo: obligación de reconocimiento en toda la UE y máximo valor probatorio ante un tribunal.Documentos oficiales o datos soberanos.Títulos académicos, licencias médicas o actas notariales.
EAA (no cualificada)Sector privado: Emitido por empresas u organizaciones.Flexible: La aceptación legal depende del contexto (por ejemplo, las condiciones generales).Cualquier fuente (en función de las necesidades de la empresa).Identificaciones digitales de empleados, tarjetas de clientes o entradas para eventos.
PuB-EAA (Público)Oficial: Directamente de organismos del sector público.Muy alto: Se basa en la integridad de los registros estatales; reconocido en toda la UE.Registros estatales oficiales (por ejemplo, registros de población).Certificados de nacimiento, pruebas de residencia o permisos de conducir.

Comprobación del mercado: ¿Qué difusión tendrán estas pruebas?

Es importante comprender que no todos los tipos de CEA inundarán el mercado al mismo tiempo. Basándonos en la hoja de ruta del eIDAS 2.0, la distribución en los monederos puede estimarse de la siguiente manera:

  • Q-EAA y PuB-EAA (muy alto): Formarán la base del Monedero EUDI. Como los Estados miembros están obligados a proporcionar documentos oficiales (como documentos de identidad y permisos de conducir) digitalmente, todos los usuarios del monedero tendrán automáticamente estos atributos de alta seguridad.
  • EAA (medio a creciente): Aquí la pelota está en el tejado del sector privado. La difusión depende de la rapidez con que las empresas (como aerolíneas, cadenas de gimnasios o empleadores) reconozcan el valor añadido y emitan sus propios certificados digitales.

Importancia estratégica para empresas y autoridades

La integración de las CEA es mucho más que un simple truco técnico: es una palanca masiva para los procesos empresariales. Dependiendo del caso de uso y de la fuerza legal requerida, se utilizan distintos tipos de CEA:

  1. Incorporación y CSC sin fisuras (Q-EAA)
    Los sectores muy regulados, como los bancos o las compañías de seguros, pueden comprobar los datos de identidad y las pruebas (por ejemplo, ingresos o cualificaciones profesionales) en tiempo real. En lugar de revisar los documentos manualmente, el sistema valida la Q-EAA inmediatamente, lo que reduce enormemente las tasas de cancelación durante la incorporación.
  2. Gestión de autorizaciones digitales (EAA yQ-EAA)
    En logística o industria, las licencias, afiliaciones a empresas o instrucciones de seguridad pueden verificarse directamente en el Monedero EUDI.
    Ejemplo: Un gimnasio concede descuentos con una simple EAA (identificación del empleado), mientras que un conductor de mercancías peligrosas muestra una Q-EAA para su permiso de conducir.
  3. Automatización de la autoridad (PuB-EAA)
    Gracias al “principio de una sola vez”, las autoridades en línea aceptan los PuB-EAA directamente de otros registros estatales. Ya no es necesario obtener en papel la prueba de residencia o del estado de jubilación, lo que minimiza la burocracia para los ciudadanos y las autoridades.
  4. Protección de datos mediante la “divulgación selectiva”
    Las CEA permiten divulgar sólo lo absolutamente necesario.
    El principio: un sistema sólo confirma “mayor de 18 años” como prueba de la edad sin tener que transmitir la fecha exacta de nacimiento o el nombre.
  5. Interoperabilidad sin fronteras
    Gracias a la norma de ámbito europeo, un atributo expedido en Alemania (por ejemplo, un certificado de maestro artesano) se reconoce digitalmente de inmediato en España o Polonia. Esto facilita enormemente la movilidad transfronteriza de mano de obra cualificada y servicios.

Importante para los usuarios privados

  • Cero seguimiento: A diferencia de los inicios de sesión de las grandes tecnológicas, los emisores no saben dónde ni cuándo utilizas tu atributo. Tu rastro digital permanece invisible.
  • Voluntario: El uso del monedero y de las CEA es totalmente voluntario. Tú decides qué datos almacenas digitalmente y a quién se los muestras.

Conclusión: Por qué las AEE son el futuro de la identidad

Las CEA son mucho más que copias digitales de documentos en papel. Son la clave de una sociedad eficiente en materia de datos. Gracias a funciones como la divulgación selectiva, los usuarios conservan la plena soberanía sobre sus datos, mientras que las empresas se benefician de procesos automatizados y a prueba de manipulaciones.

Ventaja estratégica para tu empresa: Las empresas que se posicionan como partes confiantes o emisores en una fase temprana reducen masivamente sus esfuerzos de verificación manual y aumentan la seguridad jurídica en los canales digitales.

Preguntas frecuentes sobre el tema

  • ¿Es lo mismo una EAA que una firma digital? No. Una firma confirma la declaración de intenciones de un documento. Una CEA confirma una característica o propiedad de una persona.
  • ¿Cuándo se introducirán las CEA de forma generalizada? Con el despliegue de los monederos EUDI nacionales (a partir de 2027/2028), las CEA se convertirán en la norma para los justificantes digitales en la UE.
  • ¿Pueden las empresas emitir las CEA por sí mismas? Sí, las empresas pueden actuar como “emisores” por determinadas características profesionales o empresariales.
  • ¿Es un EAA más seguro que un certificado PDF?
    Sin duda. Un PDF es fácil de falsificar. Un AEE está sellado criptográficamente. Cualquier cambio posterior invalida inmediatamente la prueba. Además, la validez (por ejemplo, en el caso de licencias revocadas) puede comprobarse en tiempo real.
  • ¿Cuál es la diferencia entre EAA y QEAA?
    Una AEA es una confirmación electrónica de un atributo (por ejemplo, edad, educación o autorización) firmada por un emisor. Una QEAA (Qualified Electronic Attestation of Attributes) es una forma especial de esta emitida por un proveedor de servicios de confianza cualificado de conformidad con el Reglamento eIDAS. Los QEAA cumplen requisitos legales y técnicos más estrictos y, por tanto, son más vinculantes y reconocidos en toda Europa.
  • ¿Puede el emisor ver dónde muestro mi atributo?
    No. Los sistemas modernos de CEA están diseñados de tal forma que el emisor no puede rastrear dónde o cuándo presentas tu atributo. La verificación tiene lugar directamente entre tú y el receptor. Esto significa que tu privacidad permanece protegida y no hay un seguimiento centralizado de tu uso.
  • ¿Puedo revocar una AAE?
    Sí, las ACE pueden ser revocadas por el emisor, por ejemplo si un atributo cambia o deja de ser válido. Los destinatarios pueden comprobar el estado de revocación durante la verificación para asegurarse de que el atributo sigue siendo válido.
  • ¿Sustituirán las EAA a la clásica auditoría KYC?
    Las CEA pueden simplificar significativamente o sustituir parcialmente la comprobación de CSC, especialmente si proceden de emisores de confianza o cualificados. En muchos casos, los atributos verificados pueden utilizarse directamente sin tener que volver a pasar por todo el proceso de KYC. Sin embargo, que las EAA sustituyan completamente al KYC depende de los requisitos normativos y del caso de uso respectivo.
  • ¿Se almacenarán mis datos de forma centralizada?
    No. El control lo tienes tú. Las CEA están encriptadas de forma segura en tu monedero EUDI personal de tu smartphone, no en una base de datos gubernamental centralizada en la nube.

Calculadora de ROI

Calcule el impacto ambiental y económico de la firma electrónica en su negocio. Gratis y sin compromiso.

CALCULE EL ROI AHORA

Más publicaciones de blog

  • Firma digitalmente los mandatos SEPA

    4 pasos para una autorización de adeudo directo conforme a la ley

    Agnieszka Grzybek

    sproof Blogbeitrag: SEPA Mandate digital signieren

  • ¿Qué es la Cartera EUDI? El cambio de juego para

    La norma europea de identidad digital

    Agnieszka Grzybek

  • Plataforma de firmas: Qué es, cómo garantiza el cumplimiento y

    ¿Qué es una plataforma de firmas?

    Agnieszka Grzybek

    sproof Blogbeitrag: Was ist eine Signaturplattform?
  • Este sitio está registrado en wpml.org como sitio de desarrollo. Cambia a una clave de sitio de producción en remove this banner.