Qué certifica exactamente, cómo funciona la cadena de hash que hace que un certificado no se pueda alterar sin que se note, y qué respaldo legal tiene esto en Chile.
Cada notificación certificada deja registrados tres hechos técnicos verificables — ni uno más:
| Contenido | El hash SHA-256 del asunto y el mensaje queda fijado en el momento de la creación. Si el texto cambiara después, el hash ya no coincidiría — es la prueba de que "esto es exactamente lo que se mandó". |
| Envío | El proveedor de correo (SendGrid) confirma que aceptó el mensaje para transmitirlo, con su propio identificador (Message-ID). |
| Entrega | El servidor de correo del destinatario confirma la recepción por SMTP ("250 OK") — el equivalente electrónico a que una carta certificada llegue al buzón. |
Cada notificación certificada genera una secuencia de eventos (creación, envío, entrega...). Cada evento se guarda con un hash SHA-256 que se calcula sobre sus propios datos + el hash del evento anterior.
Es como una cadena de eslabones: cada eslabón nuevo se fabrica agarrando el anterior y soldándolo. Si alguien intentara cambiar un evento en el medio de la cadena — la fecha, el resultado de una entrega, lo que sea — su hash cambiaría, y como el siguiente evento fue calculado incluyendo el hash original (el de antes de la alteración), la cadena completa a partir de ese punto dejaría de calzar. No hay forma de "arreglar" solo un eslabón sin que se detecte.
Esto no es solo una explicación — cuando escaneas el código QR del
certificado o entras a /verify/<id>, el sistema recalcula los hashes
desde cero a partir de los datos guardados y confirma que coinciden. No es una
comparación visual ni un ícono decorativo: es la verificación criptográfica ejecutándose en ese
momento.
¿Y si el certificado dice "cadena inválida"? Baja al FAQ para esa pregunta.
Es importante aclarar de entrada qué problema legal resuelve NotifiCert: probar que se notificó algo a alguien — el equivalente electrónico de una carta certificada. No es una herramienta de firma electrónica de contratos (ese es un marco legal distinto, con sus propias reglas, y no es lo que este producto hace).
Validez general de las comunicaciones electrónicas. La Ley N° 19.799 (2002) establece que los actos y contratos otorgados por medios electrónicos son válidos de la misma forma y producen los mismos efectos que los otorgados por escrito en papel — el principio de equivalencia funcional. Esto respalda que una comunicación mandada por correo electrónico no es "menos válida" solo por ser electrónica.
Un ejemplo concreto y directamente aplicable: seguros. El Código de Comercio (Título VIII, sobre el contrato de seguro, modificado por la Ley N° 20.667) es la base de las pólizas estandarizadas que regula la CMF (Comisión para el Mercado Financiero). Bajo ese marco, las aseguradoras ya notifican habitualmente por correo electrónico — por ejemplo, un aviso de no pago o de término de vigencia de una póliza — cuando así se pacta en las condiciones de la póliza, exigiéndose carta certificada solo como respaldo si el correo falla, el asegurado no tiene uno registrado, o se opone expresamente a ese canal. Es exactamente el caso de uso que resuelve NotifiCert: si el canal de notificación ya está pactado (en la póliza, en el contrato, en los términos del servicio), lo que hace falta es poder probar que se envió y se entregó — que es justamente lo que certifica la cadena de eventos.
Valor de la evidencia en un eventual juicio. Sin una firma electrónica avanzada (que este producto no usa ni pretende reemplazar), el registro que genera NotifiCert funciona como un instrumento privado según las reglas generales (Código Civil, art. 1702): tiene valor probatorio, pero formalmente puede requerir ser reconocido por la contraparte o corroborarse con otros medios si se disputa. Ahí es donde aporta la cadena de hash verificable y los metadatos técnicos (registro MX, encabezados, respuesta SMTP del servidor destinatario): son corroboración técnica difícil de fabricar, que refuerza el valor de ese instrumento privado como evidencia — no reemplazan una firma avanzada, pero tampoco la necesitan para este propósito.
Ojo si es una notificación hacia el Estado. Todo lo anterior aplica a relaciones privadas (una empresa notificando a un cliente, por ejemplo). Las notificaciones dentro de un procedimiento administrativo del Estado se rigen por la Ley N° 19.880, que exige medios específicos (personal, carta certificada, u otros que la propia ley habilite) — la Contraloría ha señalado que la validez general de la Ley 19.799 no basta por sí sola para reemplazar esas reglas especiales. Si necesitas notificar algo a un organismo público (o que un organismo público te notifique) en el marco de un procedimiento administrativo, ese es un contexto distinto y más restrictivo.
Referencias legales oficiales (Biblioteca del Congreso Nacional):
En la práctica, lo primero que hay que revisar no es la ley general sino el propio contrato, póliza o términos de servicio: si ese documento ya acepta el correo electrónico como canal válido de notificación (como en el ejemplo de seguros), NotifiCert aporta la prueba de que ese canal efectivamente se usó y funcionó. Si el contrato no dice nada al respecto, conviene revisarlo con un abogado antes de depender solo de esto para una notificación legalmente sensible.
| Capacidad | Correo normal | NotifiCert | Carta certificada postal |
|---|---|---|---|
| Prueba de contenido exacto | ❌ | ✅ (hash SHA-256) | ⚠️ Depende del sobre/copia |
| Prueba de envío | ❌ | ✅ | ✅ (timbre de correos) |
| Prueba de entrega | ❌ | ✅ (SMTP) | ✅ (firma de recepción) |
| Verificable por un tercero | ❌ | ✅ (/verify) | ⚠️ Solo con el operador postal |
| Costo y tiempo | Gratis, instantáneo | Bajo costo, instantáneo | Alto costo, días |
No afecta la certificación. NotifiCert certifica entrega (que el servidor de correo del destinatario aceptó el mensaje), no lectura. Es el mismo principio que una carta certificada: si no vas a buscarla al correo, igual quedó constancia de que fue entregada a tu domicilio/casilla.
El certificado seguirá diciendo "entregado", porque técnicamente eso es lo que pasó — el servidor del destinatario aceptó el mensaje. Que el filtro antispam lo mueva de carpeta después es una decisión que toma ese servidor y que nunca se le informa de vuelta al remitente (por diseño de todo el ecosistema de correo, para no ayudar a spammers a evadir filtros). Por eso el certificado incluye una nota aclarando que "entregado" no garantiza bandeja principal.
La causa más común de esto es enviar "desde" un dominio que no controlas (por ejemplo, configurar tu remitente como una dirección @gmail.com sin ser Gmail el que envía). La solución real es autenticar tu propio dominio en el proveedor de envío (SPF/DKIM).
Escanea el código QR del PDF, o entra directamente a /verify/<id>. Esa
página recalcula los hashes de toda la cadena de eventos a partir de los datos guardados
y confirma si coinciden — no es una comparación cosmética. Si alguna vez dice que no pudo
verificar la integridad, significa que los datos guardados no coinciden con lo esperado y
deberías contactar a quien emitió el certificado.
Puede aportarse como evidencia documental de que una comunicación se envió y se entregó. Legalmente funciona como un instrumento privado (Código Civil, art. 1702): tiene valor probatorio, pero formalmente puede requerir ser reconocido por la contraparte o corroborarse con otros medios si se disputa. Ahí es donde ayuda la cadena de hash verificable y los metadatos técnicos (MX, SMTP, encabezados) — son corroboración difícil de fabricar.
Lo más importante para tu caso concreto: revisa si el contrato, póliza o términos de servicio ya aceptan el correo electrónico como canal de notificación (como ocurre, por ejemplo, en pólizas de seguro reguladas por la CMF). Si es así, NotifiCert aporta la prueba de que ese canal se usó correctamente. Si no está contemplado, o es una notificación hacia un organismo público, consulta con un abogado antes de depender solo de esto.
Sí. Cada adjunto se guarda con su propio hash SHA-256, que queda registrado en el evento de creación de la cadena (así que participa de la misma verificación). Además, si es un PDF, se anexa completo al final del certificado — puedes ver exactamente qué archivo se mandó, no solo su nombre.
Sí — cada fila del envío masivo genera una notificación certificada completa e independiente, con su propio PDF personalizado (con las variables ya reemplazadas), su propia cadena de hash y su propio certificado. No es un envío "genérico": cada destinatario tiene evidencia propia y verificable.
El contenido, los eventos y los adjuntos se guardan en la base de datos del servidor que corre NotifiCert. En un despliegue sin volumen persistente (por ejemplo, el plan gratuito de algunos hosts), esos datos pueden perderse si el servidor se reinicia — es una limitación de infraestructura, no del diseño del producto, y se resuelve agregando persistencia real (Postgres + almacenamiento de adjuntos) antes de usarlo en producción.
Técnicamente sí (es solo un envío de correo), pero el respaldo legal descrito en esta página está pensado para Chile. Otros países tienen sus propios marcos (eIDAS en la UE, ESIGN/UETA en EE.UU., etc.) que no hemos evaluado ni adaptado — revisa los requisitos locales si necesitas validez legal en otra jurisdicción.