Buscar
Conoce Alegra
Inicio Impuestos

Llave criptográfica en TRIBU-CR: Qué es, cómo descargarla desde la OVi y cómo renovarla

Resuelva las dudas más comunes sobre la llave criptográfica: qué es, para qué sirve, cómo se genera, cuándo debe renovarse y qué errores pueden afectar la emisión de comprobantes electrónicos o el cumplimiento tributario de sus clientes.

Escrito por:

Dana Becerra

Equipo Siempre Al Día

Contenido revisado por:

favicon alegra

Equipo Alegra

Actualizado el: 25 May 2026

16 min de lectura

Compartir:

Resume esta entrada del blog con:

ChatGPT ChatGPT Perplexity Perplexity Claude Claude Grok Grok
Llave criptográfica TRIBU-CR

La llave criptográfica TRIBU-CR es el archivo digital que Hacienda asigna a cada contribuyente para firmar electrónicamente las facturas, los tiquetes, las notas de crédito, los recibos electrónicos de pago (REP) y todos los demás comprobantes electrónicos versión 4.4 que se envían a TRIBU-CR. Sin una llave criptográfica vigente, ningún sistema de facturación electrónica puede emitir documentos válidos ante la DGT. En esta guía le explicamos qué es, quién debe obtenerla, cómo descargarla desde la OVi, cuánto dura, cómo renovarla y los errores más frecuentes que dejan a sus clientes sin poder facturar.

  • ¿Cuánto tiempo dura la llave criptográfica? La llave criptográfica vigente con TRIBU-CR tiene una vigencia de 4 años desde la fecha de emisión y debe renovarse antes de su vencimiento para no interrumpir la facturación electrónica.
  • ¿Qué pasa si la llave criptográfica vence? Cualquier comprobante electrónico emitido con una llave vencida es rechazado por Hacienda en el momento del envío, lo que deja al contribuyente sin posibilidad de facturar hasta renovar la llave.

¿Qué es la llave criptográfica de Hacienda y para qué se usa?

La llave criptográfica es un archivo en formato P12 (también conocido como PFX) protegido por un PIN numérico que la DGT genera para cada contribuyente inscrito en el sistema de facturación electrónica. Este archivo contiene un certificado digital y una clave privada que permiten firmar criptográficamente los XML de los comprobantes electrónicos antes de enviarlos a Hacienda.

Su función técnica es garantizar tres elementos del comprobante electrónico:

  • Autenticidad del emisor: certifica que el comprobante proviene efectivamente del contribuyente declarante y no de un tercero.
  • Integridad del contenido: garantiza que el XML no fue alterado después de firmarse. Cualquier modificación posterior invalida la firma.
  • No repudio: el contribuyente no puede negar haber emitido un comprobante firmado con su llave criptográfica.

Con TRIBU-CR en operación desde el 6 de octubre de 2025, la llave criptográfica es además el mecanismo que permite autenticar al contribuyente o al despacho contable autorizado para realizar acciones específicas en la Oficina Virtual (OVi), como descargar declaraciones, consultar el expediente tributario y firmar electrónicamente operaciones que requieren validez legal.

Le puede interesar: Firma digital en la facturación electrónica 4.4: ¿En qué consiste?

¿Quién debe obtener una llave criptográfica y desde cuándo?

Todo contribuyente inscrito ante la DGT que esté obligado a emitir comprobantes electrónicos debe contar con una llave criptográfica activa. Esta obligación abarca prácticamente la totalidad de la base productiva del país desde 2018, cuando la facturación electrónica se volvió obligatoria de forma generalizada. Los grupos obligados son:

  • Personas jurídicas inscritas en el régimen tradicional del Impuesto sobre las Utilidades, sin importar el tamaño de la empresa.
  • Personas físicas con actividad lucrativa que emitan facturas por la venta de bienes o servicios.
  • Profesionales independientes (abogados, contadores, médicos, arquitectos, ingenieros, consultores) que prestan servicios profesionales.
  • Contribuyentes del Régimen Simplificado que emiten factura electrónica simplificada al cliente final, aunque su declaración tributaria sea por compras.
  • Sucursales y establecimientos permanentes de empresas extranjeras inscritas ante la DGT.

Con la versión 4.4 obligatoria desde el 1 de septiembre de 2025, además de la llave del emisor habitual, los contribuyentes que importan servicios o emiten Factura Electrónica de Compra (FEC) deben asegurarse de que la llave esté correctamente vigente para firmar también esos comprobantes específicos.

Tip Alegra: Para los despachos contables que gestionan facturación de múltiples clientes, conviene mantener un inventario actualizado de las fechas de vencimiento de cada llave criptográfica por cliente. Un solo vencimiento no detectado a tiempo deja al cliente sin poder facturar y, dependiendo del giro del negocio, puede significar pérdida directa de ingresos en horas.

¿Cómo descargar la llave criptográfica desde la OVi de TRIBU-CR?

El proceso de descarga de la llave criptográfica se realiza directamente desde la Oficina Virtual (OVi) de TRIBU-CR. Antes de iniciar, el contribuyente debe contar con su usuario y contraseña de acceso a TRIBU-CR y tener autorizado el medio de notificación que recibirá el PIN de la llave. El flujo consta de 6 pasos secuenciales:

  1. Ingrese a la OVi de TRIBU-CR con su usuario y contraseña en el portal oficial de Hacienda Digital.
  2. Acceda al módulo de Facturación Electrónica y localice la opción «Llave criptográfica» o «Certificado digital».
  3. Solicite la generación de una nueva llave. El sistema le pedirá confirmar sus datos de identificación y el medio de notificación.
  4. Reciba el PIN por el medio autorizado. La DGT envía el PIN al correo electrónico o número de teléfono registrado como contacto oficial del contribuyente. Anote o copie este PIN inmediatamente: lo necesitará para usar el archivo P12.
  5. Descargue el archivo P12 desde la OVi. El archivo se descarga directamente al equipo desde el que accedió a TRIBU-CR. Guárdelo en una ubicación segura.
  6. Verifique la fecha de vigencia que aparece en el certificado y agéndela. La llave criptográfica tiene 4 años de vigencia desde la emisión.

El archivo P12 descargado contiene tanto el certificado como la clave privada. El PIN recibido por separado es la única forma de abrir el archivo. Sin PIN, el archivo es inutilizable. Sin archivo, el PIN no tiene función. Por eso es crítico conservar ambos elementos en condiciones de seguridad razonables.

Profundice sobre este tema en nuestro editorial: Plataforma TRIBU-CR: qué es, cómo ingresar y trámites paso a paso desde la Oficina Virtual

¿Cuánto dura la llave criptográfica y cómo renovarla?

La vigencia oficial de la llave criptográfica emitida por Hacienda es de 4 años contados desde la fecha de emisión. Pasado ese plazo, la llave queda invalidada de forma automática en el sistema de TRIBU-CR y cualquier comprobante firmado con ella es rechazado en el momento del envío.

El proceso de renovación es muy similar al de descarga inicial, con 3 diferencias prácticas que conviene tener presentes:

  • La renovación se puede solicitar antes del vencimiento. La recomendación operativa es iniciar el proceso al menos 30 días antes de la fecha de caducidad para evitar interrupciones por demoras en la notificación del PIN o por problemas técnicos al cambiar la llave en el sistema de facturación.
  • La nueva llave reemplaza completamente a la anterior. Una vez activada la nueva llave, la antigua queda inactiva. No es posible mantener ambas operativas simultáneamente para un mismo contribuyente.
  • El PIN cambia con cada nueva llave. El PIN recibido al renovar no es el mismo que el de la llave anterior. Es obligatorio actualizar el PIN en todos los sistemas de facturación que usen la llave del contribuyente.

Si por cualquier motivo la llave criptográfica se pierde, se compromete (sospecha de acceso indebido) o el equipo donde estaba almacenada falla irrecuperablemente, el contribuyente puede solicitar su revocación y la emisión de una nueva sin necesidad de esperar al vencimiento natural.

¿Cómo se instala la llave criptográfica en el sistema de facturación electrónica?

Una vez descargado el archivo P12 desde la OVi, el siguiente paso es configurarlo en el sistema de facturación electrónica que utilice el contribuyente. Los sistemas autorizados por Hacienda (incluido el propio TicoFactura y todos los proveedores de facturación electrónica privada) tienen un módulo específico para cargar la llave. El proceso general consta de 4 pasos:

  1. Acceda a la configuración del sistema de facturación con un usuario administrador. La carga de la llave criptográfica es una operación sensible que normalmente requiere permisos elevados.
  2. Localice la sección «Firma digital» o «Llave criptográfica» dentro del perfil del emisor. Si gestiona múltiples empresas, asegúrese de estar en el perfil correcto.
  3. Cargue el archivo P12 desde su ubicación local y digite el PIN proporcionado por Hacienda. El sistema validará la integridad del archivo y la correspondencia entre archivo y PIN.
  4. Confirme la activación. El sistema debería mostrar la fecha de vigencia, el número de serie y los datos del titular extraídos del certificado. Verifique que estos coincidan con el contribuyente correcto.

Tras la activación, cada comprobante electrónico emitido firmará automáticamente con esa llave. No es necesario digitar el PIN cada vez que se emite una factura; el PIN solo se solicita al momento de cargar la llave en el sistema.

Tip Alegra: Antes de cargar una nueva llave criptográfica en su sistema de facturación, emita una factura de prueba en ambiente de pruebas (sandbox) cuando esté disponible. Esto verifica que la llave funciona correctamente antes de usarla en producción y evita rechazos masivos por configuración incorrecta del PIN o del archivo P12.

¿Qué pasa si la llave criptográfica vence o se compromete?

El vencimiento o compromiso de la llave criptográfica tiene consecuencias inmediatas y severas sobre la operación del contribuyente. Los escenarios típicos y la respuesta correcta para cada uno son:

EscenarioConsecuenciaAcción recomendada
Llave vencida sin renovarTodos los comprobantes emitidos son rechazados por Hacienda. La empresa no puede facturar.Renovar de inmediato desde la OVi. Coordinar con el sistema de facturación para cargar la nueva llave en el menor tiempo posible.
Pérdida del archivo P12Imposibilidad de firmar comprobantes. El PIN solo no permite firmar.Solicitar revocación de la llave perdida y emisión de una nueva desde la OVi.
Olvido del PINEl archivo P12 queda inutilizable. No se puede recuperar el PIN original.Solicitar revocación y emisión de nueva llave. El PIN se entrega de nuevo por el medio de notificación autorizado.
Sospecha de acceso indebido a la llave o al PINRiesgo de que un tercero emita comprobantes falsos a nombre del contribuyente.Revocar inmediatamente la llave comprometida, emitir nueva y notificar a la DGT si se detectan comprobantes emitidos sin autorización.
Falla del equipo donde estaba almacenada la llavePérdida del archivo si no había respaldo. Imposibilidad de firmar.Solicitar nueva llave desde la OVi e implementar política de respaldo en ubicación segura.

En todos los escenarios, el principio común es el mismo: la facturación electrónica queda detenida hasta que la nueva llave esté activa. Para un negocio de alto volumen de ventas, esto se traduce en pérdida directa de ingresos por las horas que dure la interrupción.

¿Cuáles son los errores más frecuentes al gestionar la llave criptográfica?

La revisión de incidentes registrados durante el primer año de operación de TRIBU-CR mostró un patrón consistente de errores en el manejo de la llave criptográfica. Estos son los 7 más frecuentes y cómo prevenirlos:

  1. No agendar la fecha de vencimiento. 4 años pasan más rápido de lo que parece. Sin recordatorio agendado, el vencimiento sorprende al contribuyente y lo deja sin facturar hasta renovar. Cree una alerta calendario con 60 y 30 días de antelación al vencimiento.
  2. Guardar el archivo P12 en el escritorio sin respaldo. Una falla del disco duro o un mal borrado deja al contribuyente sin posibilidad de firmar. Mantenga el archivo en al menos 2 ubicaciones seguras: el equipo de trabajo y un respaldo externo cifrado.
  3. Guardar el PIN en el mismo lugar que el archivo P12. Anular la seguridad combinando ambos elementos en una misma carpeta convierte el sistema en vulnerable a cualquier acceso no autorizado al equipo.
  4. Compartir la llave entre múltiples clientes en el despacho. Cada contribuyente tiene su propia llave criptográfica intransferible. Usar la llave de un cliente para emitir comprobantes de otro es una conducta sancionable bajo el artículo 85 del CNPT y puede generar responsabilidad penal por uso indebido.
  5. No actualizar el PIN en el sistema de facturación tras renovar la llave. Cargar la nueva llave con el PIN antiguo deja al sistema sin poder firmar. Tras renovar, actualice el PIN en todos los sistemas dependientes.
  6. Renovar la llave a último momento. Las renovaciones realizadas el mismo día del vencimiento, o pocas horas antes, son riesgosas: cualquier demora en la notificación del PIN o cualquier problema técnico deja al contribuyente sin facturar.
  7. No notificar a Hacienda cuando se detecta compromiso de la llave. Si se sospecha que un tercero accedió a la llave o al PIN, debe revocarse de inmediato y, dependiendo de la magnitud, notificar a la DGT. Postergar la revocación expone al contribuyente a comprobantes falsos firmados a su nombre.

¿Cómo facilita Alegra la gestión de la llave criptográfica y la facturación electrónica 4.4?

Alegra Facturación Electrónica gestiona la firma criptográfica de los comprobantes 4.4 directamente desde la plataforma. Una vez que el contribuyente carga su archivo P12 y digita el PIN al momento de la configuración inicial, todas las facturas, tiquetes, notas de crédito y recibos electrónicos de pago (REP) se firman automáticamente con la llave activa al momento de emitirse, sin intervención manual.

El sistema notifica con suficiente anticipación cuando la llave se acerca a su fecha de vencimiento para que el contador y el cliente coordinen la renovación antes de que se interrumpa la facturación. Para despachos contables con múltiples clientes, el tablero de gestión multi-empresa de Alegra centraliza el estado de cada llave criptográfica, sus fechas de vigencia y los alertas tempranos en un solo lugar.

Tip Alegra: Cuando configure un nuevo cliente en Alegra, guarde la fecha exacta de emisión de la llave criptográfica en el perfil del cliente. Esto le permite cruzar fácilmente quiénes tienen vencimiento próximo en los próximos 60 días y planificar las renovaciones de manera ordenada en lugar de reactiva.

Profundice sobre este tema en nuestro editorial: Facturación electrónica en Costa Rica 2026: qué es, cómo funciona y versión 4.4 actualizada

¿Cuáles son las preguntas frecuentes del contador sobre la llave criptográfica?

La llave criptográfica es un requisito esencial para emitir comprobantes electrónicos y realizar trámites tributarios en línea. En esta sección encontrará respuestas claras a las preguntas más frecuentes del contador sobre su uso, renovación, vencimiento, recuperación y principales errores al gestionarla ante la autoridad tributaria.

¿La llave criptográfica de Hacienda es lo mismo que la firma digital del banco?

No. La llave criptográfica de Hacienda es un archivo emitido específicamente por la DGT para firmar comprobantes electrónicos. La firma digital del banco es un certificado emitido por entidades certificadoras autorizadas por el BCCR para firmar documentos legales generales. Aunque ambas son tecnologías de firma electrónica, su uso es distinto y no son intercambiables.

¿Puedo usar la misma llave criptográfica para varios sistemas de facturación?

Sí, técnicamente sí. El archivo P12 puede cargarse en múltiples sistemas siempre que sean del mismo contribuyente. Sin embargo, no es recomendable usar varios sistemas en paralelo para emitir comprobantes del mismo contribuyente porque genera riesgos de duplicación de claves numéricas. Lo ideal es operar con un solo sistema autorizado por contribuyente.

¿Mi cliente persona física que recién se inscribe necesita llave criptográfica de inmediato?

Sí. Toda persona física con actividad lucrativa que se inscribe ante la DGT y queda obligada a emitir comprobantes electrónicos debe solicitar su llave criptográfica antes de emitir la primera factura. La obligación de facturación electrónica es independiente del tamaño del negocio y aplica desde el primer día de operación.

¿Qué pasa con los comprobantes emitidos un día antes de que venza la llave?

Los comprobantes emitidos y aceptados por Hacienda antes del vencimiento de la llave conservan su validez tributaria. La firma queda registrada con la llave que estaba vigente al momento de la emisión, no con la del momento de la consulta posterior. Lo que se invalida tras el vencimiento es la posibilidad de emitir nuevos comprobantes con esa llave.

¿Puede el contador descargar la llave criptográfica del cliente desde la OVi?

Solo si el contador está formalmente autorizado por el cliente como tercero autorizado en TRIBU-CR. Sin esa autorización formal, el acceso a la OVi y la descarga de la llave debe hacerla directamente el contribuyente. La autorización se gestiona desde el módulo correspondiente de la propia OVi y queda registrada en el expediente del contribuyente.

¿Hacienda cobra alguna tarifa por emitir o renovar la llave criptográfica?

No. La emisión y renovación de la llave criptográfica son trámites gratuitos para los contribuyentes inscritos. Cualquier cobro por estos conceptos no proviene de la DGT, sino de servicios privados de gestión que algunos despachos o consultores ofrecen como acompañamiento al trámite.

¿La llave criptográfica funciona también para los recibos electrónicos de pago (REP)?

Sí. La misma llave criptográfica firma todos los comprobantes electrónicos versión 4.4 del contribuyente: facturas electrónicas, tiquetes electrónicos, notas de crédito, notas de débito, factura electrónica de compra (FEC) y recibos electrónicos de pago (REP). No hay llaves separadas por tipo de comprobante.

¿Si cambio de proveedor de facturación electrónica, debo descargar una nueva llave?

No. La llave criptográfica es del contribuyente, no del sistema de facturación. Puede usar la misma llave en el nuevo proveedor cargando el archivo P12 con su PIN correspondiente. Lo único que cambia es el sistema donde se almacena y se utiliza para firmar los comprobantes.

Fuentes

Imagen de Dana Becerra
Dana Becerra
Contadora pública y especialista en Gerencia Tributaria y Auditoría de Impuestos, pasantía académica en la Universidad Nacional Autónoma de México (UNAM) y actualmente cursa especialización en Marketing Digital & E-Commerce. Con más de 8 años de experiencia en la creación de contenidos editorial y digital especializado en el sector contable y tributario en LATAM. Líder del Hub Editorial de Siempre Al Día, donde diseña y supervisa contenido técnico y estratégico para contadores, empresarios y emprendedores, garantizando información actualizada y respaldada por normativa oficial.
Imagen de Dana Becerra
Dana Becerra
Contadora pública y especialista en Gerencia Tributaria y Auditoría de Impuestos, pasantía académica en la Universidad Nacional Autónoma de México (UNAM) y actualmente cursa especialización en Marketing Digital & E-Commerce. Con más de 8 años de experiencia en la creación de contenidos editorial y digital especializado en el sector contable y tributario en LATAM. Líder del Hub Editorial de Siempre Al Día, donde diseña y supervisa contenido técnico y estratégico para contadores, empresarios y emprendedores, garantizando información actualizada y respaldada por normativa oficial.

Gracias por llegar hasta aquí,
Equipo Siempre al Día 👋

Compartir

¿Contabilidad Siempre Al Día?

Con Alegra Contabilidad le das poder a tu trabajo, conoce la Contabilidad Inteligente y gestiona más rápido tu día a día.
Descubre Alegra
guest
0 Comentarios
Más antiguo
Más reciente Más votados

Notas relacionadas

validar comprobantes electrónicos con IA en Costa Rica

Comprobantes 4.4: ¿Cómo usar la IA para validar el CAByS y el REP antes de que Hacienda los rechace?

Conozca cómo usar una IA conectada para revisar el CAByS y el REP de sus comprobantes 4.4 en Costa Rica y reducir los rechazos de Hacienda.
04 Jun

8 min de lectura

noticias para contadores, comparte
Comprobantes electrónicos recibidos en TRIBU-CR

Comprobantes electrónicos recibidos en TRIBU-CR: ¿Cómo aceptarlos, qué pasa si vence el plazo y cómo no perder el crédito del IVA?

Los comprobantes electrónicos recibidos deben aceptarse en TRIBU-CR dentro de los 8 días hábiles del mes siguiente. Si el plazo venció, el crédito del IVA se pierde. Guía 2026: flujo de aceptación, qué hacer con facturas vencidas y cómo evitar la pérdida.
04 Jun

14 min de lectura

noticias para contadores, comparte
Código QR en la factura electrónica 4.4 costa rica

Código QR en la factura electrónica 4.4: ¿Por qué está suspendido y qué aplica en 2026?

El código QR en la representación gráfica de los comprobantes electrónicos 4.4 está suspendido desde septiembre 2025. Guía 2026: qué dice la normativa, qué sí es obligatorio y cómo validar una factura sin QR.
03 Jun

13 min de lectura

noticias para contadores, comparte

Recibe información Siempre
Al Día en tu celular

Únete a la comunidad en WhatsApp donde podrás tener novedades y noticias
al momento, ¡y sin tener
que mover un dedo!

Quiero unirme
Descarga: Guía Tributaria 2026
Descarga gratis la Guía Tributaria 2026. Conoce las tarifas, calendarios, cambios normativos y las preguntas más frecuentes en el ámbito tributario.
Gracias por compartirnos tus datos

Haz clic en el botón para descargar el recurso. Si tienes algún problema con la descarga, contáctanos a siemprealdia@alegra.com.

Descarga recurso
0
Me encantaría conocer su opinión.x