A partir del 3 de febrero de 2025, Soporte Firma Digital ha publicado una actualización de los controladores de Firma Digital, tras la publicación de nuevas tarjetas (NXP JCOP4). Este nuevo controlador es compatible con las tarjetas existentes (NXP JCOP3) que se venían distribuyendo desde 2019.
Estas nuevas tarjetas no son compatibles con el controlador IDProtectClient, pero al ser compatible el nuevo controlador con las tarjetas anteriores se puede reemplazar IDProtectClient por el nuevo controlador de Idopte. Las tarjetas más antiguas de Athena, que dejaron de distribuirse en 2019, ya no son compatibles con este nuevo controlador, pero es posible que no queden tarjetas con certificados activos, ya que en los últimos años apenas existían kioscos donde renovaran certificados en tarjetas existentes.
Las guías disponibles para instalación de Firma Digital para GNU/Linux que hay en este sitio web se irán actualizando a lo largo de estos días, ya que el procedimiento de actualización cambia sustancialmente. El nuevo controlador proporciona un servicio en memoria que ahorra tiempo al precargar la lectura de objetos (certificados y llaves públicas) del dispositivo al conectarlo. También se muestra más estable al no tener los defectos conocidos que tenía el controlador anterior y que permite simplificar el proceso de instalación que incluía algunos “trucos” para evitar caídas del sistema o de las aplicaciones cuando se ejecutaba por parte dos usuarios diferentes a la vez.
Aunque el nuevo controlador por el momento no tiene versión para Linux ARM ni para Android, al menos la versión para macOS sí se trata de un binario universal, lo que facilitará también a los usuarios de computadoras Mac para poder ejecutar aplicaciones de firma de manera nativa y con mejor rendimiento, al no requerir emulación Intel con Rosetta.
Debido a que las rutas a las librerías del controlador de la tarjeta es diferente al del controlador anterior, los autores de firmadores han tenido que actualizar sus herramientas para que apunten a las nuevas rutas. Las guías para GNU/Linux de este sitio web también se actualizarán para crear enlaces simbólicos para dar compatibilidad a ciertas aplicaciones de sitios web que no hayan actualizado a tiempo, para que quienes tengan con el nuevo controlador, así como para el uso de las nuevas tarjetas JCOP4, puedan seguir utilizando esos servicios si no estuvieran actualizados a tiempo.
Del mismo modo que el Agente GAUDI ya soporta el nuevo controlador y tarjetas JCOP4, el firmador libre también ofrece descargas actualizadas, así como nuevos instaladores para Windows y macOS, como alternativa a firmador.jar, incluyendo además una versión incorporada de Java, eliminando la necesidad de instalar Java de antemano y también evitando así problemas con la licencia de Java de Oracle en los casos donde no se utiliza para uso personal. El firmador libre para Windows y macOS incorpora una copia de Eclipse Temurin, que es libre y no tiene esas restricciones.
En los próximos días se ampliará más detalladamente las mejoras en el firmador libre que se aprovecharon para incluirse en esta nueva actualización requerida por la actualización de los controladores.
Hola Francisco, como estas? Me gustaria ver si de casualidad me puedes ayudar. Tengo un usuario en mi organizacion y hace poco cambio la tarjeta de firma digital y la computadora. Su equipo es windows, tiene instalado java 8 y ya se le instalaron los programas nuevos desde la pagina de hacienda. Pero tenemos un problema al intentar accesar en el sitio de Registrelo, ponemos el pin de la firma y nos da el siguiente error: smartcard exception no pudo instanciar el provider SunPKCS11. Sabes por donde puede ir el problema y como lo podria solucionar ? De ante mando muchas gracias!
Hola Luis, es interesante porque ese error suele ser cuando se utiliza una versión de Java diferente a la 8 para cargarlo. O tal vez el bloque de código que captura excepciones está generando un error distinto que le cae a ese mismo mensaje de error.
¿La tarjeta tiene el número de serie en el frente? Según Soporte Firma Digital, las tarjetas nuevas (JCOP4) tienen el número de serie en el frente. Es posible que la aplicación no sea todavía compatible. Voy a intentar acceder a Registrelo desde Windows con una tarjeta de las nuevas para ver qué error detallado sucede en mi caso, creo que hay una forma de ver la pila de llamadas y errores relacionados, pero podría ser esa la causa si con tarjetas más antiguas no estuviera fallando en esa misma computadora.
Saludos.
Hola Francisco, correcto esta tarjeta tiene el numero de serien en el frente, y estoy utilizando el JCOP4. Tenemos varias computadoras con firmas viejas y todo bien, pero con esta firma nueva no lo logramos hacer funcionar. Si logras hacer que funcione te agradeceria mucho que nos cuentes como lo lograste. Saludos.
Hoy tome el archivo java.security de una computadora vieja con la configuracion de las firmas viejas y ahora ya no me da ese error, pero se queda autenticando mucho rato y luego mas bien dice Expiro tiempo permitido para digitar el PIN
Hola Luis, gracias por la actualización. Gracias por el dato de java.security, aunque la carga de la librería la suele hacer la aplicación directamente buscando asepkcs.dll en el caso del driver antiguo y en el caso de la nueva busca idopkcs.dll, por lo que lo habitual es tener que modificar el código fuente de la aplicación, en caso de que no soporte esa librería. El BCCR hizo un llamado a actualizar todos los firmadores por este motivo pero es posible que los productos entregados por parte de terceros requieran modificarse bajo licitación y eso toma tiempo.
Existen dos posibilidades para intentar hacer que funcione con tarjetas JCOP4 en caso de que la aplicación realmente no lo soporte:
Opción 1: Ingeniería inversa para arreglarlo: descompilar el JAR, parecido al “truco” explicado artículo de cómo usar BAC Firma en Linux, mediante el parcheo del fichero .java que carga la librería y compilarlo de nuevo.
Opción 2: Tratar de realizar un conjunto de enlaces simbólicos en Windows mediante el comando mklink o mediante copias de las librerías de Idopte (SCMiddleware) en las misma ruta que se encuentra el asepkcs.dll y cambiarle el nombre a idopkcs.dll para simular ser la otra. Tenga en cuenta que idopkcs.dll tiene dependencias propias, por lo que puede que requiera estar localizables en la misma carpeta (copiar el resto de dlls a esa misma ubicación).
Esto es parte de lo que quiero investigar para varios firmadores afectados, por si quiere más detalles en caso de que quiera probarlo también de su lado.
Saludos!
TENGO EXACTAMENTE EL MISMO ERROR PARA INGRESAR A REGISTRELO ERROR: No se pudo inicializar la firma digital
(SmartCard Exception. No se pudo Instanciar el Provider SunPKCS11)
No comprendí como solucionarlo, leyendo la explicación acá.
Hola, si es para usar Regístrelo, revise en el artículo https://fran.cr/como-acceder-al-sistema-tramite-ya-de-racsa-desde-gnu-linux/ donde en los comentarios puede haber más información. Hay detalles sobre cómo hacerlo funcionar en Linux y macOS.
A parte de los lectores que venden en los bancos, existen algunas opciones alternativas en las tiendas de cómputo, por ejemplo. He buscado lectores en internet, ningún, dentro de sus especificaciones habla del tal JCOP4. Cómo debería buscar un lector compatible?
Hola Juan Carlos, el lector de tarjetas es estándar (ISO/IEC 7816), los mismos lectores de chip de tarjetas de bancos sirve para tarjetas de firma digital. En culaquier caso, es recomendable que sea compatible con CCID. El estándar CCID utiliza un controlador USB que es común a todos estos lectores y que está soportado en los sistemas operativos Linux, macOS y Windows. De todos modos lo recomendable es utilizar un modelo homologado por el BCCR si fuera posible. La lista de lectores homologados por el BCCR la puede consultar en el sitio web https://www.bccr.fi.cr/firma-digital/certificados-de-personas-f%C3%ADsicas/dispositivos-homologados bajando hasta la tabla de “Lectores de tarjetas”.
Tengo un problema con el lector de la tarjeta. Dice que hay un error del controlador, pero ya he aplicado varias de las posibles soluciones en línea y el sistema dice que tengo el controlador más actual, pero sigue sin detectarlo correctamente. Cuando voy a dispositivos, el error lo da: Lector de tarjeta inteligente Usbccid de Microsoft (UMDF2)
Este dispositivo no funciona correctamente porque Windows no puede cargar los controladores requeridos para dicho dispositivo. (Código 31)
{Operación errónea}
La operación solicitada no se realizó correctamente.
Hola Jorge, el controlador genérico USB CCID forma parte de los controladores del propio sistema operativo y no es necesario instalarlo, por lo que resulta extraño ese error. Sugeriría consultar a Soporte Firma Digital para ver si conocen casos similares. Tal vez es un problema del sistema operativo o algún “antivirus” intrusivo está impidiendo la carga correcta de controladores, o hay algún otro tipo de problema a nivel sistema operativo Windows que podría requerir reinstalación o restaurarlo, aunque no se descarta que el error generado por el driver pueda deberse a un problema de hardware.
En cualquier caso, Microsoft tiene documentado un parche para casos de error 31 en usbccid que podría resolverlo, que reintente el acceso al lector en ciertos casos, está documentado aquí:
https://learn.microsoft.com/en-us/troubleshoot/windows-client/certificates-and-public-key-infrastructure-pki/code-31-device-manager-usbccid-smartcard-reader-problem
Saludos.
ayuda, al tratar de poner la firma desde mi adobe me da este error:
AJcop4
HID Global OMNIKEY 3×21 Smart Card Reader 0
La tarjeta inteligente no puede realizar la operacion
solicitada o la operación requiere otra tarjeta
inteligente
Hola Montserrat, es posible que tenga que actualizar el instalador de Soporte Firma Digital.
Aquí tiene una guía paso a paso:
https://soportefirmadigital.com/guides/Actualizacion/genially.html
no ya hice eso, esque quisiera subir una foto del error pero dice seguridad de windows, luego abajo “seleccionar un dispositivo de tarjeta inteligente” luego abajo hay como un cuadrito, y dice eso de AJcop4
HID Global OMNIKEY 3×21 Smart Card Reader 0
La tarjeta inteligente no puede realizar la operacion solicitada o la operación requiere otra tarjeta inteligente. pero el instalador esta bien porque desde Gaudi dice conectado, ese error me lo da al firmar desde adobe
Tengo el mismo problema desde hace una semana. Solo pasa con Acrobart Reader. Ya reinstalé los drivers y configuré bien el Acrobat. En mi caso solo varía el lector de tarjeta, que es un Athena, en vez del HID Global Omnikey. Sí me sirve la firma desde SICOP o con Gaudi.
Hola Edgar, asumiendo que se trata de Windows pruebe lo siguiente:
– En Configuración, Windows Update, desactive la opción de “Obtén las las últimas actualizaciones en cuanto estén disponibles” (el texto puede ser diferente dependiendo la región e idioma y la versión de Windows), esto evitará que se descarguen actualizaciones preliminares y Windows las instalará mensualmente, ganando un poco de tiempo y evitando actualizaciones potencialmente problemáticas.
– Acceda más abajo a Historial de actualizaciones, en el listado probablemente aparezca “2026-02 actualización de versión preliminar” (entre otras). Esa en particular es una actualización de calidad y es opcional (no es una actualización de seguridad).
– Apunte el número que aparece a la derecha del código KB.
– Baje para abajo hasta donde indica “Desinstalar actualizaciones” y entre ahí.
– Guarde todo lo que está haciendo antes de confirmar la desinstalación, porque el sistema puede no preguntar antes de reiniciar.
– Desinstale la actualización que tenía ese número.
Este proceso tardará bastantes minutos porque tiene que restaurar 4 GB de archivos de componentes del sistema. Tras reiniciar, Acrobat debería volver a firmar nuevamente.
Consulté a Soporte Firma Digital sobre estos casos e indicaron que están trabajando en una solución con el proveedor y se espera que próximamente publiquen una actualización de los instaladores que lo resolvería.
Esta actualización de Windows Update que desinstala probablemente se publique dentro de una semana con la actualización de marzo y si se volviera a instalar y Soporte Firma Digital no tuviera publicada a tiempo una actualización del instalador que remedie el problema, puede utilizar la opción de atrasar las actualizaciones por ejemplo durante una semana, pero trate siempre de instalar las actualizaciones de seguridad que se publican los segundos martes de cada mes, aunque no instale esa actualización de calidad.
Saludos.
Si ya realizó eso, tal vez sea problema de configuración de Acrobat. Esta guía explica cómo configurarlo:
Guía para Windows:
https://soportefirmadigital.com/guides/FD_AcrobatDCWin/genially.html
Guía para macOS:
https://soportefirmadigital.com/guides/FD_FirmadorMAC/genially.html
Como alternativa a Acrobat Reader, puede utilizar el firmador libre, que no requiere configuración específica para que funcione:
https://firmador.libre.cr/
Hola de nuevo, dado que hay más gente afectada reportando el caso, se agregó un comentario con una manera provisional de resolver la situación, publicada en otro comentario:
https://fran.cr/nuevos-controladores-de-tarjetas-de-firma-digital-de-costa-rica/#comment-469
Saludos.
Hola, yo tuve que reinstalar los drivers hoy y no logro firmar en adobe. Mi problema dice: iGOV contact
Athena ASEDrive CCID 0
La tarjeta inteligente no puede realizar la operación solicitada o la
operacion requiere otra tarjeta inteligente.
¿Es el mismo problema que les está dando a todos?
Hola, yo tuve que reinstalar los drivers hoy y no logro firmar en adobe. Mi problema dice: iGOV contact
Athena ASEDrive CCID 0
La tarjeta inteligente no puede realizar la operación solicitada o la
operacion requiere otra tarjeta inteligente.
¿Es el mismo problema que les está dando a todos?
Hola Verónica, sí, ese es el error que devuelve (el nombre de la tarjeta y lector puede variar). La solución provisional es desactivar la opción de Windows update de instalar las actualizaciones de manera temprana y desinstalar una actualización específica, como se explica en el otro comentario enlazado. Alternativamente puede utilizar otros firmadores que no están afectados.
Creo que colocaron otro controlador porque este sí me sirvío:”Usuario Windows JCOP4 – 53 MB”
Hola Alberto, es correcto, la versión actualizada JCOP4 que pusieron hace pocos días lo resuelve. También subieron un instalador JCOP3 para que les funcione con tarjetas de ese tipo en Acrobat.