"Mi sistema tiene firma digital" — esa frase se escucha mucho. Lo que se escucha menos es la pregunta que sigue: ¿qué tipo de firma digital? Porque en el contexto de la NOM-004-SSA3-2012, no todas las firmas son equivalentes, y algunas que se anuncian como "firma digital" en realidad no tienen valor legal para el expediente clínico.
Entender la diferencia puede ser irrelevante en el día a día — hasta que hay una queja ante CONAMED, una auditoría de COFEPRIS o una demanda donde el expediente es el documento central.
Los tres niveles de firma electrónica en México
La Ley de Firma Electrónica Avanzada (LFEA) y el Código de Comercio reconocen tres tipos de firma electrónica:
Firma Electrónica Simple
Un nombre al final de un email. Un PIN numérico. Un checkbox de "acepto". Identifica pero no autentica con certeza criptográfica.
No cumple NOM-004Firma Electrónica Avanzada
Vinculada a un certificado digital emitido por una PSC acreditada. Garantiza integridad y no repudio. Es la mínima exigida para expediente.
Cumple NOM-004e.firma SAT (FIEL)
Firma electrónica avanzada emitida por el SAT. Certificada por el Estado mexicano. Máxima equivalencia a firma autógrafa en documentos legales.
Cumple y excede NOM-004Lo que la NOM-004 dice exactamente sobre la firma
El numeral 5.9.1 de la NOM-004-SSA3-2012 establece que el expediente clínico electrónico debe contar con "dispositivos de identificación electrónica del personal de salud" y que las notas deben estar "autenticadas" por el médico responsable.
El término "autenticado" en el contexto de la norma implica un mecanismo que:
- Identifica con certeza al médico que firma (vinculado a su cédula profesional o registro)
- Es infalsificable — no puede ser replicado por otro usuario del sistema
- Deja registro inmutable — la nota firmada no puede ser modificada sin que quede evidencia en el log de auditoría
- Tiene sello de tiempo — la fecha y hora de la firma quedan registradas y son verificables
Un simple "botón de guardar" en el expediente. Una contraseña de usuario sin certificado criptográfico. Un PDF con imagen de firma escaneada. Un PNG de tu firma subido al sistema. Nada de eso crea la cadena de integridad que la norma implica.
Cómo verificar si tu sistema cumple
Las preguntas que debes hacerle a tu proveedor de expediente electrónico:
| Pregunta | Respuesta que cumple | Respuesta que NO cumple |
|---|---|---|
| ¿Qué tipo de firma electrónica utiliza? | Firma electrónica avanzada con PSC acreditada | PIN de usuario / firma simple |
| ¿Las notas firmadas se pueden modificar? | No — solo se puede agregar addenda | Sí, se pueden editar sin restricción |
| ¿Existe log de auditoría? | Sí — quién accedió, qué hizo, cuándo | No / parcial |
| ¿Las notas tienen sello de tiempo? | Sí — timestamp de servidor verificable | Solo fecha local del equipo |
| ¿El médico puede firmar desde cualquier dispositivo? | Sí — con autenticación de dos factores | Solo desde una computadora registrada |
¿Necesito la e.firma del SAT para el expediente?
No necesariamente. La NOM-004 no exige específicamente la e.firma del SAT — lo que exige es una firma electrónica avanzada con los atributos de integridad, no repudio y sello de tiempo. La e.firma del SAT los cumple por ser emitida por autoridad certificadora reconocida, pero no es la única opción.
Lo que sí es recomendable: que tu sistema de expediente use un PSC (Prestador de Servicios de Certificación) acreditado ante el SAT o el Banco de México para emitir los certificados de firma. Esto garantiza que en cualquier disputa legal, la firma sea irrefutable.
Nexus Med implementa firma electrónica avanzada a través de un PSC acreditado. La firma está vinculada a la cuenta del médico, protegida por autenticación de dos factores, y cada nota firmada queda registrada con hash criptográfico y sello de tiempo en el log de auditoría.
- Hash SHA-256 del contenido — cualquier modificación posterior es detectable
- Timestamp de servidor NTP sincronizado — no depende del reloj del dispositivo
- Vinculación a cédula profesional del médico en el perfil
- Log de auditoría inmutable: quién firmó, qué nota, cuándo
- La nota firmada no puede ser editada — solo se permite addenda con nueva firma
El valor legal en una demanda médica
En un procedimiento ante CONAMED o en un juicio civil por responsabilidad médica, el expediente clínico es el documento central. La pregunta que hace el perito médico no es "¿existe el expediente?" sino "¿es auténtico e íntegro?"
Un expediente con firma electrónica avanzada, log de auditoría y hash de integridad puede probar que:
- La nota fue escrita en el momento que dice haber sido escrita
- Nadie la modificó después del evento que generó la queja
- El médico firmante es quien dice ser
Un expediente sin firma válida, o con un sistema que permite modificaciones retroactivas, no puede probar ninguna de estas tres cosas. Y en medicina legal, lo que no se puede probar no ocurrió.
Tu firma digital importa más de lo que crees
Nexus Med implementa firma electrónica avanzada desde el plan Esencial. Tu mejor defensa legal empieza en cada nota que firmas.
Empezar gratis →