Upload
shub-niggurath
View
29
Download
0
Embed Size (px)
DESCRIPTION
Mecanismos de pago enfocado al e-marketing
Citation preview
Página 6
Mecanismos de Pago y Aspectos de Seguridad
1.- Cuestiones Generales sobre el Pago por Internet
Es indudable que uno de los elementos fundamentales en el comercio en general, y en
el comercio electrónico en particular, es la realización del pago correspondiente a los
productos o servicios adquiridos.
En este ámbito el comercio electrónico presenta una problemática propia de un
sistema de compra no presencial, es decir, en aquella en la que las partes no se
reúnen físicamente para realizar la transacción: el comprador debe tener garantía
sobre calidad, cantidad y características de los bienes que adquiere, mientras que el
vendedor debe tener garantía del pago, y la transacción debe tener un aceptable nivel
de confidencialidad. En el comercio electrónico se añade otro requerimiento, que
habitualmente no se tiene en cuenta en otros sistemas de compra no presencial, que
es el hecho de que el cliente tenga garantía de que nadie pueda, como consecuencia
de la transacción que efectúa, suplantar en un futuro su personalidad realizando otras
compras en su nombre y a su cargo.
Por ello los vendedores están desarrollando grandes esfuerzos para garantizar la
confidencialidad del pago y la imposibilidad de suplantación futura mediante la
implantación de métodos que asocien varios sistemas de seguridad entre sí, por
ejemplo, una tarjeta de crédito con el móvil personal, o una tarjeta bancaria con claves
específicas para cada una de las personas.
Página 7
2.- El mecanismo de compra en el comercio electrónico
El comercio electrónico implica una operación de compra enmarcadas en una serie de
etapas que, por lo general, se llevan a cabo: el cliente ingresa a la red mediante su
ordenador, localiza un producto o servicio que quiere adquirir en el nodo B2C en
cuestión (tienda virtual, etc.), crea un carro o cesta de compra de bienes a adquirir a
través de dicha web, la tienda ejecuta la gestión de cobro y, una vez hecho esto,
procede a la entrega del producto / servicio que el cliente haya solicitado. El siguiente
esquema refleja este proceso:
Realmente siempre es el banco de cada una de las partes el que realiza la transacción
económica. Son los TPV respectivos los que se ponen en contacto para realizar la
operación, por dos motivos: seguridad y fiscalidad.
Así, cuando hablamos de los aspectos de seguridad del comercio electrónico debemos
tener en cuenta los elementos esquematizados en el siguiente cuadro:
Protección de comunicaciones Criptografía simétrica
• Sustitución• Permutación• Esteganografía• Mixtos
Funciones Hash. Criptografía asimétrica. Firmas digitales. Certificados electrónicos. Sistemas de encriptación.
• PGP.• SET.
SSL.
Medios de pago Tarjetas. Cajeros virtuales Tarjetas-monedero. Monederos virtuales. Pagos telefónicos. Pagos con Móvil Cheques electrónicos. Cobro por servicios web
Protección de datos Cortafuegos o Firewalls. Antivirus. Reglas de seguridad e Integridad.
Autentificación.
Página 8
3.- Sistemas de pago en Internet
Los comercios on line tienen diferentes estrategias en torno a la forma de pago que
nos permiten realizar. Generalmente nos ofrecen varias alternativas para efectuar el
pago: contra reembolso, transferencia bancaria, e-cash, pago por móvil, etc. Una de
las barreras, tanto tecnológica como psicológica, para el éxito del comercio electrónico
es el mecanismo de pago. Mientras perdure la desconfianza y los internautas teman
al fraude, desconozcan los sistemas de pago empleados y su fiabilidad, el despegue
definitivo del comercio electrónico tardará en llegar.
Para el comercio electrónico los sistemas de pago deben cumplir cinco requisitos
básicos:
a) Autenticación (comprador, vendedor e intermediario deben poder
comprobar mutuamente que son quienes dicen ser).
b) Autorización (los agentes deben poder demostrar la autoridad para
ofrecer, transferir o aceptar el pago).
c) No repudiación (la transacción debe realizarse de forma que
comprometa a todos los agentes para que éstos no puedan negarla o
deshacerla).
d) Integridad de los datos (los documentos de la transacción deben estar
de manera que no puedan ser alterados de forma fraudulenta); y
protección de datos (los agentes deben mantener la confidencialidad
de información en las transacciones, para evitar que ésta pueda ser
utilizada).
e) Atomicidad: la transacción se realiza completa o no se realiza. Si en
cualquier momento cualquiera de los sistemas de comprador o
vendedor detectan cualquier anomalía, la transacción se cierra y no se
realiza.
Página 9
Más adelante analizaremos cada uno de estos aspectos más detenidamente, cuando
estudiemos los aspectos de seguridad en las transacciones. En este sentido las
entidades financieras innovan constantemente y desarrollan medios de pago ad hoc
que permiten llevar a cabo transacciones eficientes y seguras. Los métodos más
extendidos hoy para el intercambio electrónico de dinero son analizados a
continuación.
3.1.- Contra reembolso
Es el único medio de pago utilizado en el comercio electrónico que implica la
utilización de dinero en efectivo, y es un medio que garantiza la entrega de los bienes
antes del pago. Desde el punto de vista del vendedor este medio conlleva dos
inconvenientes: la necesidad de recolectar físicamente el dinero y el retraso en el
pago.
La tienda Agapea contempla el contrarrembolso como forma de pago. Fuente: www.agapea.com
Página 10
3.2.- Transferencia Bancaria
Esta modalidad consiste en que el usuario puede pagar a la tienda efectuándole un
ingreso en su cuenta bancaria, como vemos en la siguiente imagen. No se diferencia
de una transferencia ordinaria realizada en el banco, la ventaja es que hoy en día
cualquier banco ofrece la posibilidad de realizar transferencias electrónicas desde
nuestra cuenta electrónica o, incluso, desde nuestro móvil.
Fuente: www.discoweb.com
3.3.- Monederos electrónicos
Son tarjetas prepago, que contienen un fondo de pago materializado en un chip que
tienen incorporado y en el que se almacenan elementos o unidades de valor
previamente añadidas con cargo a nuestra propia cuenta bancaria. El importe siempre
es determinado, pudiendo su propietario ir gastando hasta que se agota.
Página 11
Las tarjetas monedero son útiles para los micropagos, es decir, pagos de pequeñas
cantidades. Realmente es como si tuviéramos un monedero real, sin necesidad de
llevar dinero físico. No se trata de una tarjeta tradicional de plástico y con banda
magnética, por lo que sólo puede ser usada a través de aquellos canales que no
requieran una presencia física, como Internet. Brinda la posibilidad de recargar el
saldo mediante la red de cajeros automáticos.
Su principal ventaja es su accesibilidad a todos los públicos, y también es relevante
que sea un medio que permita mantener el anonimato. Un ejemplo de este medio es
una iniciativa del Banco Santander Central Hispano, que lanzó la tarjeta virtual y de
prepago e-cash, aceptada en cualquier comercio de Internet al contar con la marca
MasterCard, y puede recargarse a través de la red de cajeros 4B o del servicio de
Banca por Internet.
Las tarjetas monedero pueden ser utilizarse en tiendas, máquinas expendedoras
automáticas, parquímetros, teléfonos públicos y aparatos de televisión interactivos
(entre otros múltiples posibles usos), y esa versatilidad es una de sus grandes
virtudes.
Pero presentan un inconveniente para su uso en Internet: es necesario que los
usuarios dispongan un lector de este tipo de tarjetas en su ordenador. Actualmente
existen estos lectores y tienen un precio muy económico, pero no parece que su uso
este próximo a generalizarse.
El peor inconveniente se presenta en la falta de estándares, ya que las tarjetas
inteligentes son -en general- incompatibles entre ellas. De esta forma debemos tener
una para los teléfonos, otra para la televisión, otra para el aparcamiento, etc. Es por
esta razón que ahora mismo es imposible poner en nuestro ordenador un lector de
tarjetas universal. Ni las tiendas virtuales pueden disponer de todos los sistemas de
lectura que se necesitarían para aceptar las tarjetas inteligentes disponibles en el
mercado. Por eso su futuro se ve más para su uso interno en las empresas, dentro del
ámbito de servicios de comedor, combustible, etc.
Página 12
3.4.- Monederos virtuales
Los monederos virtuales son programas de ordenador que actúan de forma similar a
los monederos electrónicos antes citados. Están asociados a una tarjeta de crédito
(con cargo a la que se recarga) y a un certificado digital, situado en la máquina desde
la que se realiza la compra. La ventaja adicional con respecto a los pagos con tarjeta
es que se adaptan a pagos de muy pequeño importe.
Existen multitud de sistemas diferentes, por lo que al no existir un estándar su uso no
se ha popularizado. En general, todos los sistemas requieren que el comprador haga
un prepago inicial, es decir, que recargue el monedero. La información de la cantidad
disponible para gastos queda almacenada en el ordenador del consumidor, y es por
ello que estos sistemas están usualmente asociados a un banco determinado.
Un caso especial fue el de las monedas electrónicas. En un tiempo fueron muy
populares (CiberCash, CyberCoin, DigiCash, Millicent), y aunque la mayoría de ellas
han dejado de funcionar, no significa que en el futuro no se regrese a su uso.
Veamos cómo es un sistema de funcionamiento básico. Los demás ofrecen pequeñas
diferencias con respecto a éste.
MONEDERO VIRTUAL
Paso 8
Paso 3
Paso 2
Cuenta delcliente
Cuenta delvendedor
Paso 1
InternetInternet
Paso 7
Paso 4
Paso 6
Paso 5
Página 13
a) El comprador adquiere el dinero electrónico del banco o entidad emisora
recargando su monedero desde su cuenta.
b) El dinero electrónico son ficheros que llevan incorporado un número, Y
cada número identificativo representa una cantidad. Estos ficheros quedan
almacenados en nuestro ordenador.
c) El comprador envía una copia del dinero electrónico al vendedor a través de
SSL.
d) El comerciante envía los datos de la transacción al banco emisor.
e) El banco emisor comprueba la validez del dinero electrónico y anota su uso.
f) La cuenta del vendedor es abonada.
g) El banco confirma al vendedor la operación.
h) El vendedor hace el envío de la mercancía.
3.5.- Las tarjetas de crédito y el TPV Virtual
Generalmente es el más problemático en cuanto a confianza, dado que el pago se
realiza mediante tarjeta de crédito. Poco a poco su uso se está consolidando, al
asociarse con otros modos de pago. Un ejemplo del uso de la tarjeta de crédito para
transacciones electrónicas es el TPV virtual: Terminal punto de venta mediante tarjetas
o pasarela de pagos virtual.
Página 14
Imagen del TPV virtual del sitio web del Corte Inglés. Fuente: www.elcorteingles.es
Un Módulo de Pago (TPV Virtual) tramita la autorización de los pagos con tarjetas de
manera on line, utilizando el Servidor Seguro del Banco (SSB), que preserva la
confidencialidad de los datos de la tarjeta. Para dicha autorización de la operación se
tendrán en cuenta los siguientes datos, que se verificarán previamente a la concesión
de la autorización: el número que consta en la Tarjeta (PAN), la fecha de caducidad y
el importe.
El TPV comunica inmediatamente el resultado de la operación tanto al comercio como
al cliente, lo que permite el procesamiento de devolución de operaciones de pagos por
el propio comercio, y se realiza el cierre de las operaciones, periódicamente y de
forma automática, abonando el importe correspondiente a las operaciones autorizadas
en la cuenta que el comercio mantenga abierta en el Banco.
El siguiente esquema muestra el funcionamiento de un TPV virtual:
Página 15
a) El usuario escoge el producto o productos que desea comprar en el
comercio (sitio web de la tienda).
b) Cuando el usuario quiere formalizar el pago, el comercio pasa al banco
los datos de la compra donde tiene contratado el TPV .
c) El banco informa al usuario cómo va a ser su compra, según la tienda
virtual.
d) El usuario acepta la compra y se identifica al banco con los datos
confidenciales.
e) El banco valida al cliente con una autoridad certificadora.
f) En función de la validación el banco informa al cliente y al comercio del
resultado de la transacción.
g) El comercio recoge el resultado y envía el pedido al cliente, siempre y
cuando la transacción se haya efectuado con normalidad.
Para vincular el TPV virtual con el sitio web de la tienda virtual, hay que efectuar unos
pequeños cambios en el website que permitirán el pago de manera segura, explicados
en un documento que se brinda al comercio y que contiene todo tipo de información
relativa tanto a la transacción como al código fuente del programa a situar en el web
del comercio (para los sistemas operativos más comunes), además de contar con el
soporte técnico de personal especializado en la integración del TPV.
Página 16
Para realizar el pago mediante tarjeta de crédito se han implementado algunos
protocolos, que veremos detenidamente más adelante, para que nuestros datos viajen
seguros.
Las ventajas del TPV virtual son, por un lado, posibilitar al comerciante el manejo de
transacciones comerciales con tarjetas en tiempo real, obteniendo la respuesta
(autorización o denegación) para el comercio y para el cliente. Además, brinda al
comercio un mecanismo amplio para aceptar las más importantes tarjetas de crédito
en circulación, así como conocer el estado de las operaciones.
Por otro lado, al usuario final comprador le asegura que nadie pueda usar sus datos de
forma fraudulenta, ya que éste garantiza la información sobre la tarjeta viaja oculta.
3.6.- Pagos a través del teléfono móvil
Teniendo en cuenta, por un lado, la exigencia de incrementar la eficiencia, la
seguridad y la aceptación de los medios de pago actuales en Internet y, por otro lado,
el reconocimiento del importante rol que el teléfono móvil representa en el día a día de
los consumidores, ha surgido la necesidad de fomentar plataformas de pago de las
compras en Internet a través del teléfono móvil.
Un ejemplo de dicha plataforma de pagos en España es Mobipay, sistema constituido
a través de una alianza entre 90 entidades financieras españolas (Bancaja, Banco
Sabadell, Banco Popular, Banesto, Bankinter, Barclays Bank, BBVA, Cajamadrid,
Kutxa, BSCH, Unicaja, etc,), las tres compañías operadoras de telefonía móvil
(Orange, Vodafone y Telefónica Móviles), y las tres sociedades de medios de pago
que operan en nuestro país (EURO6000, SERMEPA Y SISTEMA 4B). Esta plataforma
de pago móvil tiene como objetivo impulsar un mecanismo único de pago seguro
mediante el teléfono móvil en España. La siguiente figura muestra un ejemplo de
proceso de compra en Internet a través de Mobipay.1
1 Mobipay España. Ponencia en SIMO TCI, Madrid, Noviembre de 2002.
Página 17
El teléfono móvil surge, de esta manera, como una solución al pago on-line de
pequeñas cantidades o micropagos, teniendo en cuenta que de otra forma los bancos
aplican una cantidad mínima a cada transacción on line. Además, el usuario no tiene
que introducir ningún dato relativo a sus medios de pago en Internet, autoriza cada
transacción mediante la introducción de su número secreto personal, y no requiere
contar con un software especial en su ordenador.
Veamos un ejemplo de pago por referencia en Internet, con el teléfono móvil, y
mediante la plataforma de Mobipay. En el ejemplo, compraremos unas bolas de golf.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 200
2.
Luego de escoger el producto a comprar y de rellenar los datos de envío (y toda la
información adicional que habitualmente se nos suele pedir), es cuando llegamos a
pagar normalmente: nos metemos en el TPV virtual del banco, donde el usuario puede
introducir su número de tarjeta de crédito (para pagar con tarjeta) o hacer clic en la
opción de pago con Mobipay (una de las dos), como vemos en la siguiente imagen.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.
Haciendo clic en la opción de pagar con Mobipay aparecerá -como vemos en la
siguiente imagen- una referencia, es decir, una ristra de números.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.
Página 19
El usuario entonces teclea en su teléfono la ristra de números que le dan como
referencia del producto en la página web donde está comprando, y lo envía a través de
su móvil.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.
Automáticamente al usuario le llega un mensaje a su teléfono, como el que vemos en
la imagen a continuación, e indica que se trata de una compra por referencia Mobipay,
el nombre del comercio (en este caso Visa Shopping), dice también la cantidad de
euros, además del medio de pago por defecto elegido por el usuario (donde se le hará
el cargo), y se le pide que autorice la transacción introduciendo el NIP (Número de
Identificación Personal elegido), o bien que teclee 99 para elegir otro medio de pago.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.
Página 20
El usuario generalmente utiliza su medio de pago por defecto, con lo cual solamente
introduciendo su NIP, y automáticamente llega la confirmación al teléfono móvil
indicando que la compra se ha realizado en forma correcta, como vemos a
continuación.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002. Así mismo, en la página web del comercio también se confirma la operación, como
puede apreciarse en la siguiente imagen.
Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.
Página 21
3.7.- Pagos mediante Tarjeta + Móvil + TPV
Existe otro formato de pago con móvil que esta siendo implantado por las entidades
financieras, ya que los métodos tipo Mobipay no han tenido demasiado éxito. El
método consiste en asociar nuestra tarjeta con nuestro móvil, de forma que siempre
que realicemos una compra, en cualquier tienda virtual, debamos enviar un mensaje
desde nuestro móvil con la clave de acceso de la tarjeta. El funcionamiento es el
siguiente:
a) Una vez accedemos al sistema de pago TPV insertamos nuestro número de
tarjeta.
b) El TPV nos envía un mensaje a nuestro Móvil solicitándonos que enviemos
nuestra clave como contestación a su mensaje.
c) Si transcurren más de dos minutos desde la recepción del mensaje y no
contestamos, la transacción se elimina.
d) Si enviamos el mensaje con una clave correcta, el sistema confirma la
transacción.
La ventaja de este sistema es que es más confiable: el usuario tiene más confianza en
su banco que en una empresa de la que nunca ha oído hablar y, además, se le exige
una doble confirmación. Este sistema se está extendiendo a cualquier operación que
el usuarios realiza a través de su cuenta electrónica, sea compra o no. Por ejemplo, si
hace una transferencia a un familiar, el importe de la operación, hora y concepto se
envían por SMS al móvil del usuario. De esta forma, con este tipo de servicios, se
intenta en general mejorar la confianza de los usuarios frente a los servicios digitales.
Página 22
3.8.- Pagos por e-mail o Pagos a través de terceros
Este sistema permite al usuario registrarse una sola vez con su cuenta bancaria o su
tarjeta de crédito, para posteriormente realizar anónimamente abonos con cargo a esa
cuenta o tarjeta. Estos abonos se ordenan mediante el suministro de una dirección de
correo electrónico de la empresa o persona que va a recibir el dinero. El intermediario
se encarga de proteger la transacción y avisar al beneficiario, enviándole un mensaje
cifrado y solo para él a través de Internet.
El inconveniente es la necesidad de que vendedor y comprador tengan previamente
una cuenta en el sistema. Bankinter ha preparado un sistema, llamado "epagado"
(http://www.epagado.com/) que realiza estas operaciones.
Fuente:www.epagado.com
Otra forma de pago con email consiste en hacer que un tercero sea el que pague por
nosotros. Existen sistemas, como Paypal, que permiten pagar a través de ellos, y de
esta forma solo tenemos que introducir nuestro número de tarjeta o cuenta en un solo
sitio, ya que Paypal se encarga de pagar a la tienda y de cobrarnos a nosotros. Lo
único que debemos hacer es abrir una cuenta en Paypal, que no es un banco, ya que
no almacena nuestro dinero, pero si actúa como tal a la hora de realizar una compra.
Si decidimos pagar a través de Paypal solo tendremos que suministrar nuestra clave
de usuario e indicar a quien realizamos el pago.
Página 23
Este tipo de mecanismo de pago aporta el valor de vencer el miedo psicológico
habitual de dar el número de tarjeta de crédito en Internet, cosa que muchos usuarios
aún temen. Estos sistemas evitan riesgos, ya que de esta manera el usuario no
introduce ningún dato de su tarjeta en Internet, sino que únicamente tiene que hacer
clic en la opción de comprar con Paypal, Mobipay y/o luego confirmar la compra con
su teléfono móvil.
Desde el punto de vista del comercio estos sistemas conllevan la ventaja de que la
transacción no es repudiable, el cliente no puede decir que no ha hecho la transacción,
puesto que en estos casos el cliente se ha autenticado mediante la introducción de
algún tipo de PIN. Esto es una ventaja con respecto al pago en Internet con tarjeta de
crédito, pues en este último caso una persona que conoce el número de tarjeta y fecha
de caducidad de otra puede llegar a usarla para comprar por Internet, y ese tipo de
fraude repercute, finalmente y de manera negativa, en el comercio electrónico.
www.paypal.es
Página 24
Los procesos de autentificación y autorización que se producen en cada transacción
hacen que el riesgo de fraude se reduzca al mínimo, garantizando el no repudio de la
transacción para el comercio.
Otro modelo de plataforma de pago móvil es Paybox. El mecanismo de pago en
Internet a través de esta plataforma es similar al de Mobipay: haciendo clic en la
opción de pagar con Paybox (normalmente indicado con el logotipo Paybox),
introduciendo el número de móvil y siguiendo las instrucciones cuando el móvil suene,
para confirmar la operación mediante código secreto.
Fuente: www.quesos.com
Fuente: paybox España
Página 25
Así mismo, este mecanismo ha sido pensado para brindar tanto a tiendas como a
consumidores mayor agilidad y seguridad no solamente en los pagos por Internet, sino
también para pagar con móvil en las máquinas de vending y en las tiendas físicas.
El sector de la telefonía móvil es el medio que ha tenido mayor crecimiento por su alta
penetración entre la población como por ofrecer la posibilidad de pagar tanto a
distancia como físicamente. Este sistema de pago se ha implantado como un
mecanismo seguro, ya que identifica al titular de la compra a través del móvil y
confirma cada transacción mediante un número secreto dependiente de su tarjeta y de
su banco, no de la tienda virtual.
3.9.- Cheques electrónicos
Los cheques electrónicos son la trascripción de los cheques tradicionales al
ciberespacio. Normalmente deben ir acompañados de una firma electrónica. El
consumidor envía una orden de pago al vendedor, que la presentará al banco emisor
para autenticarla y cobrarla. Son utilizados para pagos de cantidades importantes y
tienen un coste muy bajo. De momento se están usando en Francia y Estados Unidos
y, sobre todo, en comercio B2B para grandes pagos entre empresas.
3.10.- Cobro de servicios web por acceso
Uno de los modelos de cobro más directo en internet es el de los sistemas de pago de servicios prestados con cargo a cuentas telefónicas. Hay diversas
modalidades:
a) Con cuentas de valor añadido. Son los números de teléfono que generan
un ingreso para el que recibe la llamada, con cargo al que la inicia. En
España son los números que empiezan en 803, 806 y 807. La forma más
sencilla de utilizar esta posibilidad es proteger la página de Internet cuyo
acceso quiere cobrarse mediante una clave. Para conseguir la clave el
usuario tiene que hacer la llamada telefónica de valor añadido.
Página 26
En ocasiones la conexión al servicio de Internet solo será posible mientras
dure la llamada telefónica. Este modelo se ha difundido mucho con la
aparición del ADSL y la banda ancha, que permiten navegar y hablar por
teléfono a la vez.
En la actualidad se están combinando estos servicios con telefonía móvil
3G, para recibir o acceder al mismo tipo de servicios desde cualquier
terminal móvil. La empresa contrata con operadores móviles este servicio
para ofrecérselo a sus clientes como un valor añadido.
Fuente:entumovil.net
b) Mediante modem o dialers. Para acceder a las páginas el cliente debe
conectarse mediante modem a un proveedor de acceso a Internet con un
número de valor añadido. Con este sistema el precio del servicio depende
exactamente de la cantidad de tiempo que lo esté usando. El comerciante
recibe información en tiempo real de las conexiones a sus páginas,
indicando la procedencia y los ingresos que dichas conexiones le reportan.
Página 27
c) Con mensajes SMS. Enviando un determinado mensaje SMS a un número
de teléfono. Por ejemplo, enviando desde nuestro móvil el texto 'juego tetris'
al número 9999, obtendremos como respuesta inmediata una clave con la
que podremos descargar un archivo para jugar o un software. El coste para
el cliente puede estar en torno a un euro. El comerciante recibirá
aproximadamente el 50%. Puede establecerse un límite al tiempo de
validez de la clave obtenida.
Uno de los más graves inconvenientes de estos sistemas es que su coste debe ser
repartido con tres intermediarios: la compañía telefónica, el proveedor del servicio y el
banco. Algunas de las empresas que ofrecen estos servicios son Micropagos, sepomo
y softonic.
Fuente: http://www.sepomo.com/es/bienvenida.php
Se estima que esta tendencia se mantenga hasta finales de la década, no tanto
porque haya algún problema con los sistemas de pago electrónicos, sino hasta que
toda la cadena de suministro no esté incorporada en la red de pagos automáticos, el
pago mediante cheque y transferencia seguirá siendo el único posible.
Página 29
4.- Los sistemas de pago en el Comercio Electrónico B2B
En general los sistemas de pago que se utilizan para las transacciones a través de
Internet con otras compañías que son proveedores, mayoristas o socios (B2B) no son
diferentes a los usados en el entorno off line: Simplemente se adecuan y adaptan a los
sistemas para poder utilizarse en Internet.
Las entidades financieras brindan a los nodos B2B una plataforma de pagos que
soporta el cierre de las transacciones de pago o cobro en línea a través de tarjeta de
crédito, domiciliación, adeudo en cuenta, transferencia, etc. En este tipo de
transacciones B2B, no es imperativo que las partes sean clientes de la entidad
bancaria, sólo es necesario que lo sea el intermediario principal (marketplace o
mercado B2B).
No obstante, y a pesar de que los mecanismos de pago on line ya están dispuestos y
los beneficios de su uso son claros, actualmente en España los pagos en el comercio
electrónico Business to Business son incipientes y la canalización de las transacciones
habituales entre compañías a través de Internet está siendo un proceso más lento de
lo que las perspectivas de los expertos vaticinaban, ya que los marketplaces se utilizan
más para negociar e informar que para concluir operaciones, que siguen cerrándose
económicamente off line.
En términos de volumen de transacciones, el 82% de los más de 9.000 millones de
pagos realizados2 fueron efectuados en cheque ordinario, mientras que solo el 13%
fue pagado a través de las redes electrónicas, el resto 5% se hizo en otros formatos.
Si lo medimos en dólares en el total de las transacciones, el 65% se pago en cheques,
mientras que el 34% fue efectuado a través de las redes de pago electrónicas, en
forma de transferencias.
2 Datos UE y EEUU.
Página 31
5.- Aspectos de seguridad de las transacciones en Internet
Es evidente que la gran utilidad que tiene Internet de conectar unos servidores con
otros y poder así compartir la información a aquellos usuarios que lo deseen, puede
por otra parte convertirse en una gran amenaza en términos de seguridad en la
transferencia de datos. Este es, sin duda, uno de los mayores frenos al despegue del
comercio electrónico entre los usuarios, teniendo en cuenta que de los medios de
comunicación nos llegan noticias que cuentan los ataques de hackers a datos
personales, siendo uno de los más comentados el acceso ilegal a los códigos de las
tarjetas de crédito de Bill Gates, gurú y magnate del imperio Microsoft.
Tales noticias generan gran desconfianza en el internauta, potenciadas por el hecho
de que la premisa fundamental de los vínculos comerciales tradicionales es conocer a
la otra parte y en la Red, en algunos casos, se desconoce con quién se está tratando.
Podemos identificar tres etapas diferenciadas de la seguridad en Internet. Por un lado,
la seguridad en la conexión (asegurarnos que la dirección a la que nos dirigimos
corresponde realmente a la empresa a la que deseamos hacer el pedido); en segundo
lugar, seguridad en la transacción (no debe ser posible interceptar los datos que
estemos transmitiendo durante la comunicación por la Red entre nuestro ordenador y
el servidor de la tienda); y, por último, seguridad permanente (puesto que los datos
personales quedan almacenados en las bases de datos de la tienda, se debe evitar
que se ataquen estas bases de datos).
Internet es una red intrínsecamente insegura, pero esto no significa que no sea factible
realizar transacciones con total seguridad; lo que quiere decir es que es preciso
atender, de manera especial en este entorno, los fallos de seguridad que pudiesen
ocurrir. Para ello actualmente existen tecnologías que posibilitan lograr en Internet el
grado de seguridad esencial para llevar a cabo todo tipo de transacciones.
En las redes abiertas como Internet es preciso prestar atención a la seguridad de
todos los componentes que intervienen en la misma.
Página 32
En el siguiente esquema examinaremos los tres componentes elementales (el cliente,
el servidor y la red de comunicaciones que les pone en contacto entre sí), sobre los
que es necesario centrar el enfoque al hablar de seguridad, y de qué forma son
potencialmente vulnerables.
Componentes básicos de las transacciones en una red abierta
Cliente Comunicaciones Servidor
Factor
de
posible
Inseguridad
Acceso de personas no autorizadas a un puesto de trabajo.
Ejecución de programas malignos, con intención de generar daños.
Interceptar los datos en alguno de los sistemas informáticos a través de los que son transmitidos.
Alteración de los datos en su camino por un servidor intermedio.
Reemplazo del servidor o del cliente por un sistema maligno.
Acceso a datos almacenados en él, por parte de personas no autorizadas.
Ingreso al servidor por parte de diversos tipos de piratas informáticos con el fin de ocasionar daño.
Robo de datos del servidor por parte de algún intruso.
Los fallos de seguridad en la configuración del servidor que posibilitan estas ofensivas.
Página 33
6.- Condiciones necesarias para la seguridad en el Comercio Electrónico
En Internet, para garantizar la seguridad de las transacciones, es preciso tomar
medidas para encarar los siguientes problemas: la confidencialidad o privacidad de los
datos, la integridad de su contenido, la autenticidad de las partes intervinientes, y la
confiabilidad.
En cuanto al primero de los aspectos mencionados, el de la confidencialidad,
diremos que consiste en evitar que un tercero pueda acceder a la información enviada.
Los datos delicados de los clientes y usuarios, tales como datos personales, sobre sus
pedidos, información del pago, etc., sólo deben ser leídos por el comprador y el
vendedor, de manera que si alguien los interceptara en la red no pueda descifrarlos.
Esto se consigue gracias a técnicas de encriptación y cifrado de los datos, que
examinaremos en detalle en este capítulo.
En cuanto a la integridad de la información, implica evitar que un tercero pueda
modificar la información enviada sin que lo advierta el destinatario. Es decir, que ésta
no haya sido alterada ni por errores de transmisión ni por acciones malintencionadas.
Ello se consigue mediante la huella electrónica o digital de los mensajes.
En lo concerniente a la autenticidad, consiste en permitir a cada lado de la
comunicación probar fehacientemente que el otro ha participado en la misma, e
implica la seguridad acerca del autor de cada información, mensaje o documento, para
que éste no pueda repudiar haber sido su autor. En el caso de no repudio de origen, el
remitente del mensaje no puede negar haberlo enviado. En el caso de no repudio de
destino, el destinatario del mensaje no puede negar haberlo recibido. Este
inconveniente se soluciona mediante la firma electrónica del mensaje o documento.
El último aspecto de la seguridad en las transacciones tiene que ver con la
confiabilidad a través de la identificación mutua del cliente y del servidor, que permita
a cada lado de la comunicación asegurarse de que el otro lado sea realmente quien
dice ser.
Página 34
La identificación del cliente generalmente se resuelve a través del uso de claves de usuario y contraseñas, y la del servidor se logra mediante certificados digitales.
Para lograr instaurar un sistema de confianza en la red, es decir, establecer la
confiabilidad, se ha de montar un sistema de fedatarios electrónicos emisores de
dichos certificados, las terceras partes confiables.
La siguiente figura resume los factores problemáticos en el ámbito de la seguridad en
las transacciones:
Aspectos de Seguridad
Solución: Antivirus y copias de seguridad
Solución: Firewalls y otras
Solución: Funciones Hash
Solución: Claves asimétricas
Fedatarios
Cifrado
Firmas Digitales
Seguridad en el almacenamiento de datos
o Frente a destrucción
o Frente a intrusos
Seguridad en la transmisión de los datos
o Integridad
o Privacidad
o No repudio
o Autenticidad
o Confidencialidad
o Confianza
Página 35
7.- ¿Cómo funcionan los métodos de cifrado?
La herramienta básica para cumplir las condiciones anteriores de seguridad, son las
técnicas criptográficas de cifrado, las cuales consisten en unos modelos matemáticos
que posibilitan cifrar los mensajes mediante unas claves. Los métodos de cifrado más
utilizados son:
a) Los métodos de cifrado simétrico: usan una misma clave secreta para
cifrar y descifrar. Son muy poco utilizados por sus inconvenientes.
b) Los métodos de cifrado asimétrico: cada usuario tiene una pareja de
claves, una pública y otra privada, con la propiedad de que lo que se
cifra con una de las claves sólo se puede descifrar con la otra.
La criptografía de clave asimétrica o pública fue creada en 1976 por los
matemáticos Whit Diffie y Martin Hellman, y es la base de toda la criptografía moderna.
Utiliza dos claves complementarias entre sÍ, llamadas clave privada y clave pública.
El principal problema que presentan los sistemas de cifrado simétrico no está ligado a su seguridad, sino al intercambio de claves. Una vez que el remitente y el destinatario hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero ¿Qué canal de comunicación “seguro” han usado para transmitirse la clave entre sí? A un atacante le resultaría mas fácil intentar interceptar una clave que probar las posibles combinaciones del espacio de claves. Otro problema es el número de claves que se necesitan. Si tenemos un número n de personas que necesitan comunicarse entre ellos, entonces se necesitan n(n-1)/2 claves para cada pareja de personas que tengan que comunicarse de modo privado. Esto puede funcionar con un grupo reducido de personas, pero sería imposible llevarlo a cabo con grupos más grandes.
Página 36
La parte codificada con una clave privada necesita su correspondiente clave pública
para ser desencriptada. Al revés, lo que se ha codificado con la clave pública
solamente puede ser desencriptado con la clave privada.
Las claves privadas deben ser conocidas únicamente por su propietario, mientras que
la correspondiente clave pública puede ser dada a todo el mundo. Si queremos enviar
un mensaje de forma que sólo él destinatario pueda entenderlo, debemos codificarlo
con la clave pública del equipo que envía. El receptor utilizará su clave privada, que
solo él tiene, para poder leerlo. Pero otra posible utilidad del sistema es garantizar la
identidad del remitente. Si enviamos un mensaje codificado con la clave privada, el
receptor necesitará la clave pública del remitente para descifrarlo. Es posible combinar
ambos: El remitente puede enviar al receptor un mensaje codificado dos veces, con la
clave privada del remitente y con la clave pública del receptor. Así se consigue
garantizar la identidad del emisor y del receptor.
La criptografía asimétrica está basada en la utilización de números primos muy
grandes. Si multiplicamos entre sí dos primos grandes, el resultado obtenido no puede
descomponerse en factores fácilmente, es decir, utilizando los métodos aritméticos
más avanzados en los ordenadores más modernos sería necesario hacer cálculos
durante miles de millones de años, utilizando tantos ordenadores como átomos existen
en el universo.
Página 37
El proceso será más seguro cuanto mayor sea el tamaño de los números primos
utilizados. Los protocolos modernos de encriptación, tales como SET y PGP, utilizan
claves generadas con números primos de un tamaño tal que los hace completamente
inexpugnables.
El problema de las claves asimétricas es que cuando el texto a tratar es largo el
proceso de codificación es muy lento y, al revés, la descodificación. Los protocolos
modernos codifican el texto base con una clave simétrica tipo DES o IDEA y utilizan
las claves asimétricas para la comunicación de la clave simétrica utilizada. Cuando un
texto se codifica mediante una clave simétrica y se envía esta clave codificada con la
clave pública del receptor, el resultado se llama “sobre digital”.
Estos sistemas, también conocidos como sistemas de clave pública, permiten
además cumplir los requisitos de integridad del mensaje, autenticidad y no repudio del
remitente utilizando firmas digitales. En otro apartado de este capítulo analizaremos
más detenidamente los principales rasgos de este tipo de firmas.
La infraestructura necesaria para el uso de los sistemas de clave pública, incluyendo
las autoridades de certificación, se llama Infraestructura de Clave Pública o PKI (Public Key Infrastructure).
Página 38
Para saber si la conexión es segura y si está siendo cifrada, debemos ver en la página
Web los siguientes elementos:
Debe aparecer un candado cerrado en la barra de estado del navegador.
Debe poner en la barra de direcciones https:// en lugar de http://.
En la figura anterior se muestra como ejemplo una compra en el sitio web de El Corte
Inglés, en la que pueden apreciarse estos dos elementos identificativos de una
conexión segura.3
Haciendo doble clic con el botón izquierdo del ratón sobre el candado que aparece en
la barra de estado podemos consultar el tipo de cifrado que se está empleando así
como la autoridad de certificación que emitió el certificado para esa tienda.
3 Extraído de www.elcorteingles.es.
8.- Mecanismos de certificación y firma digital
8.1.- Certificados digitales
Los certificados digitales se utilizan como medio de identificación tanto de servidores
como de clientes. Un certificado digital establece la relación entre un nombre distintivo
y una clave pública, estando tal relación certificada por un fedatario, denominado
Autoridad Certificadora. En la figura podemos ver un certificado personal.
Los certificados digitales utilizan un formato estándar perfectamente determinado.
Siguiendo el estándar X.509, tienen los siguientes campos:
Página 40
a) Versión.
b) Número de serie.
c) Identificador del algoritmo empleado para la firma digital.
d) Nombre del certificador (el que emite el certificado).
e) Período de validez.
f) Nombre del sujeto.
g) Clave pública del sujeto.
h) Identificador único de certificador.
i) Identificador único de sujeto.
j) Extensiones.
k) Firma digital de todo lo anterior generada por el certificador.
Hay otros tipos estándar de certificado que se están desarrollando y que permiten
incluir más campos. Por ejemplo, las entidades bancarias están trabajando en
certificados para empresas cliente que contenga información sobre su liquidez, nivel
de operativa, rango de riesgo, para que de esta forma un sistema experto pueda
evaluar operaciones sin intervención humana.
Todos estos campos citados aparecen firmados por la Autoridad Certificadora. El
motivo por el cual la identificación es considerada válida radica en la confianza,
depositada por las partes en la transacción, en la entidad emisora de la identificación.
Los certificados emitidos por una Autoridad de Certificación son, de esta manera,
verdaderos elementos cruciales para crear la confianza en Internet.
Página 41
Los clientes y los comercios deben contar con este certificado digital a fin de
manifestar a su posible interlocutor cuál es su identidad. Ante cualquier inquietud se
puede solicitar a la organización emisora del certificado que verifique la información
que aparece en el mismo.
8.2.- Entidades certificadoras
Las Autoridades de Certificación tienen un papel fundamental a la hora de garantizar la
legitimidad de los participantes en el contexto del comercio electrónico seguro, puesto
que son los entes encargados de emitir los correspondientes certificados digitales a
dichos participantes (titulares, comercios y pasarelas de pago).
Página 42
Las funciones de una Autoridad de Certificación deben ser entonces, entre otras, las
siguientes:
a) Generación y Registro de claves.
b) Identificación de peticionarios de certificados.
c) Emisión de certificados.
d) Almacenamiento de claves privadas.
e) Mantenimiento de las claves vigentes y revocadas.
Revocar un certificado es anular su validez antes de su fecha de caducidad (por
ejemplo, cuando el titular del certificado cree que su clave privada ha sido
comprometida y puede ser conocida por otras personas). Cualquier firma posterior a la
fecha de anulación es, por lo tanto, inválida, y tampoco deberá encriptarse con esa
clave pública tras la revocación.
Los números de serie de los certificados revocados (junto a sus respectivas fechas
efectivas de revocación) son publicados (firmados) por la Autoridad de Certificación
emisora, de forma periódica, mediante las denominadas listas de revocación.
Principales Autoridades de Certificación en España
http://www.ace.es
http://www.camerfirma.com
http://www.feste.com
http://www.cert.fnmt.es/certifi.htm
http://www.ipsca.es
http://www.verisign.com
Página 43
8.3.- Tipos de certificados
En la actualidad existen distintos tipos de certificados, aplicables a casos concretos de
empresas o particulares.
Certificado de pertenencia a empresa
El certificado digital de pertenencia a empresa garantiza la identidad de la persona física titular del certificado, así como su vinculación a una determinada entidad en virtud del cargo que ocupa en la misma. Este certificado no otorgará por si mismo mayores facultades a su titular que las que posee por el desempeño de su actividad habitual.
Certificado de representante
El certificado digital de representante es emitido a favor de una persona física representante de un determinada entidad. El titular del certificado se identifica no únicamente como persona física perteneciente a una empresa, sino que añade su cualificación como representante legal ó apoderado general de la misma.
Certificado de persona jurídica
Se trata de un certificado digital emitido a favor de una entidad jurídica, que podrá ser utilizado cuando se admita en las relaciones que mantenga la persona jurídica con las Administraciones públicas o en la contratación de bienes o servicios que sean propios o concernientes a su giro o tráfico ordinario.
Certificado para factura electrónica
Certificado exclusivo para facturación electrónica, básicamente atendiendo la necesidad de las grandes empresas que buscan la seguridad del certificado para la emisión de facturas electrónicas. No permite realizar ningún otro tipo de trámite distinto a la facturación electrónica, ni con la Administración ni entre empresas en nombre de la empresa.
Certificado de servidor
Los certificados de servidor cumplen dos funciones fundamentales. Primero, certifican que un dominio se ha registrado a nombre de la entidad identificada en el certificado (no suplantación). En segundo lugar, debido al empleo del protocolo SSL, garantiza que la comunicación entre el cliente y el servidor es totalmente confidencial y que no podrá ser interceptada ni modificada por un tercero.
Página 44
Certificado de apoderado
El certificado de apoderado para firma electrónica reconocida indica la relación de apoderamiento entre la persona física y la entidad responsable del certificado. Los apoderamientos específicos serán accesibles por referencia dentro del certificado, aunque se ofrecerá un código indicativo del tipo de apoderamiento en el mismo. Este certificado se diferencia del certificado de representante en que el apoderado dispone de una relación de poder de representación total.
Certificado de sello de empresa
Este certificado se asocia a una máquina y ofrece garantías técnicas de autenticidad de origen e integridad, y que el equipo que compramos es autentico y genuino de la marca requerida. Es adecuado para la firma de comprobantes de recepción electrónicos, firma de newsletters o comunicaciones de empresa, firma de blogs y backups, etc.
8.4.- Firma Digital
Un documento firmado manualmente consta de dos elementos que lo hacen único. El
primero es la rúbrica, que es algo que solo nosotros sabemos hacer y que un experto
en grafología puede identificar. Y, en segundo lugar, firmamos en todas las hojas para
impedir que se puedan hacer añadidos al documento original.
Aunque nos parezca que no es cierto, las comunicaciones electrónicas permiten un
sistema de firma mucho más segura que nuestra propia firma manuscrita u ológrafa.
Las firmas digitales consisten en una función resumen del texto codificada con nuestra
clave privada. Este sistema garantiza, a la vez, nuestra identidad y que el texto no ha
sido modificado en ninguna forma tras la firma.
A la firma electrónica de un mensaje se la denomina también huella electrónica del documento (hash en inglés). De esta forma, el mensaje va encriptado con la clave
privada del emisor, y se añade el resumen cifrado al final del mensaje. A continuación,
el mensaje más la firma (el resumen cifrado) se envían encriptados con la clave
pública del destinatario.
Página 45
El algoritmo que se utiliza para obtener el resumen del mensaje debe cumplir la
propiedad de que cualquier modificación del mensaje original, por pequeña que sea,
dé lugar a un resumen diferente. Si el resumen es diferente el mensaje es falso y no
proviene del emisor original.
Por lo tanto, la firma electrónica vincula el texto con su autor, garantizando al mismo
tiempo que no ha sido alterado y que ha sido generado verdaderamente por su autor.
Permite entonces comprobar la identidad del remitente, la integridad del documento, la
autoría y autentificación del mismo, preservando simultáneamente la confidencialidad.
De las anteriores definiciones podemos destacar las siguientes características de la
firma electrónica o digital:
No puede ser generada más que por el emisor del documento, infalsificable
e inimitable.
Debe permitir la identificación del firmante, dando lugar al concepto de
"autoría electrónica", como la manera de determinar que una persona es
quien dice ser.
La firma electrónica va unida indisociablemente al documento a que se
refiere.
Las informaciones que se generen a partir de la firma electrónica deben ser
suficientes para poder validarla, pero insuficientes para falsificarla.
Página 46
9.- El DNI electrónico o eDNI
La Ley 59/2003, de 19 de diciembre, de firma electrónica, convierte a España en un
ejemplo a seguir por otros países. Con esta Ley se persigue alcanzar diversas
ventajas para los ciudadanos.
En primer lugar, se trata de crear un documento que certifique la identidad del
ciudadano no sólo en el mundo real, sino también ante transacciones telemáticas,
permitiendo firmar todo tipo de documentos electrónicos. “…Mediante un dispositivo
seguro de creación de firma, la firma electrónica que se efectúe mediante el DNI
electrónico tendrá efectos equivalentes a los de una firma manuscrita”4. Para ello el
DNI va de un chip que contiene la firma electrónica. Se ha diseñado en coordinación
con los proyectos europeos de identificación digital, para de esta forma fomentar la
confianza en las transacciones electrónicas.
El proyecto finalizará cuando todas las Administraciones Públicas y Entidades de
Derecho Público vinculadas o dependientes de las mismas, sean capaces de
reconocer el DNI electrónico. Algunas gestiones que podremos desarrollar serán las
siguientes:
Preparar la declaración de la renta.
Solicitar de títulos oficiales.
Matrículas online en universidades.
Solicitar un certificado de empadronamiento.
Realizar un registro de nacimientos.
Reclamar el derecho a la pensión.
Compras a través de Internet.
4 Ministerio de Fomento, “Sobre el DNI electrónico”
Página 47
“…El Documento Nacional de Identidad electrónico tiene un aspecto similar al de una
tarjeta de crédito, lo que le dará la capacidad de identificar al ciudadano, así como
ofrecerle la posibilidad de firmar documentos electrónicos, será lo que se ha
denominado Certificado de Identidad Pública. Este certificado irá incorporado en el
DNI, y además de identificar al ciudadano (autenticación), garantizará que la
información no ha sido alterada (integridad) y que el ciudadano ha realizado la
transacción (no repudio)”5.
5 Ministerio de Fomento, “Sobre el DNI electrónico”
Al instalarse el programa por primera vez se generan automáticamente las claves
privada y pública del usuario. La clave pública se distribuye automáticamente por
bases de datos de todo el mundo, y este hecho en sí mismo es su mayor fuente de
seguridad. La clave privada queda almacenada en el ordenador de forma muy segura,
y el programa de correo queda automáticamente transformado para poder enviar y
recibir mensajes codificados.
El usuario tan solo tiene que escribir el mensaje e indicar su(s) destinatario(s) en la
forma habitual. En el momento de enviarlo tendrá la opción de incluir una firma digital o
de enviarlo codificado. En este último caso se necesitará disponer de la clave pública
del destinatario que puede ser buscada en cualquier servidor de claves de PGP, con la
seguridad de que solo lo recibirá esa persona o el ordenador que tiene esa clave
única.
Página 48
10.- Protocolos de seguridad en las transacciones: PGP, SSL y SET
Como hemos visto anteriormente, uno de los puntos críticos de los procesos de pagos
a través de Internet se produce cuando el comprador envía al vendedor su número de
tarjeta de crédito a través de esta red pública potencialmente insegura.
Para asegurar esta transferencia de datos se utilizan algunos estándares o protocolos.
Los más utilizados son el protocolo PGP, el SSL y el protocolo SET, los cuáles
analizaremos a continuación.
10.1.- El protocolo (Pretty Good Privacy)
PGP es un protocolo de seguridad creado en los 90 por Phill Zimmerman. La
exportación del sistema fuera de los Estados Unidos fue para su creador el inicio de un
largo proceso judicial, acusado de exportación de productos de valor estratégico, y le
convirtió en un mártir del ciberespacio. En la actualidad las versiones más avanzadas
del programa PGP siguen sin poder ser exportadas legalmente fuera de los Estados
Unidos, pero su código fuente es considerado un artículo científico que puede ser
divulgado y compilado en el exterior, por lo que en todo el mundo puede disponer de
ellas.
El programa PGP es gratuito para el uso no comercial y accesible en www.pgpi.com.
Es el sistema más utilizado en todo el mundo, tanto por usuarios particulares como por
grandes empresas. Las versiones modernas son extraordinariamente amistosas con el
usuario y se comunican con los programas de correo electrónico más habituales, por
ejemplo Outlook. En la imagen puede verse las opciones de configuración.
Página 50
Fuente:Rediris, Una de las impulsoras de PGP en España
Cuando el usuario recibe un mensaje codificado, el programa PGP lo descifra y
comprueba su integridad, mostrando al usuario un breve informe, y avisando en el
caso de que haya detectado cualquier anomalía. El proceso es normalmente muy
breve, pues dura menos de un segundo.
10.2.- El Protocolo SSL y STP
El protocolo de seguridad SSL (Secure Sockets Layers) fue creado por Marc
Andreessen, el diseñador de Mosaic y Netscape. SHTTP se desarrolló más tarde, con
las mismas características. Actualmente todos los navegadores de Internet están
preparados para comunicarse con estos protocolos y, en especial, con SSL a través
del protocolo https.
El protocolo SSL utiliza el método de cifrado asimétrico RSA, que se ha mencionado
anteriormente en este módulo. Su regla de funcionamiento se fundamenta en encriptar
los datos que el usuario rellena en un formulario de una página web, y transferirlos por
la red hasta el servidor de comercio electrónico, lo que imposibilita interceptarlos por
algún tercero cuando son transmitidos mediante Internet.
Página 51
La tienda virtual que acepte pagos mediante estos sistemas debe tener instalado un
software de servidor seguro SSL. Este software puede obtenerlo en entidades como
VerySing.
El vendedor, además, tiene que disponer de un par asimétrico de claves, certificadas
por una autoridad. El comprador no necesita tener ni claves, ni certificados, ni saber
como funcionan.
Cuando el usuario accede con su navegador a una tienda virtual con SSL se inicia
automáticamente una fase de reconocimiento. El servidor envía su clave pública y
certificación. El navegador cliente recibe estos datos y se prepara para la
comunicación con sistema de seguridad.
El usuario, de una forma totalmente transparente, introduce sus datos y pulsa el botón
para enviarlos. En ningún momento el usuario recibe ninguna indicación diferente a las
habituales.
El navegador codifica estos datos mediante una clave simétrica. La función resumen
de los datos y la clave simétrica son codificadas con la clave pública que acaba de
recibir del vendedor. El resultado de estas operaciones es enviado al vendedor. De
esa forma, los datos introducidos por el usuario viajan a través de Internet encriptados,
de tal forma que únicamente la tienda virtual podría desencriptarlos.
Los sistemas SSL y SHTTP tienen la gran ventaja de la absoluta transparencia para el
usuario, que no necesita ningún tipo de software instalado ni conocimientos previos
sobre el tema. Queda garantizada plenamente la identidad del vendedor y que sólo él
recibirá los datos. En cambio, presentan un grave inconveniente: no se puede
garantizar la identidad del comprador, por lo que puede producirse el repudio de la
transacción.
En la actualidad la mayoría de las empresas que venden en Internet utilizan este
sistema, tanto para la venta como para la seguridad de todas sus transacciones.
Página 52
Se puede encontrar información adicional y software abierto para su instalación en
http://www.openssl.org/
Para instalar el sistema SSL en un servido, podemos acudir a los servicios de
empresas como VerySign. Esas empresas facilitan, además, certificados de seguridad
SSL, lo que permite a los visitantes o clientes de un sitio web acceder a la siguiente
información sobre su empresa:
El dominio al que se ha concedido el certificado de seguridad SSL. A través
de ellos los visitantes de un sitio web pueden comprobar que el dominio
tiene realmente un certificado de seguridad y está en vigor.
Saber quién es el propietario del certificado. Esta comprobación aumenta
notablemente la confianza del usuario en una web, ya que podemos
conocer en cualquier momento qué empresa real está detrás de la
transacción comercial.
Conocer la situación geográfica del propietario del dominio y el sitio web,
factor sumamente importante a la hora de llevar a cabo transacciones
económicas o transmisiones de datos a través de la red.
10.3- El Protocolo SET (Secure Electronic Transaction)
SET es un protocolo elaborado por iniciativa de VISA y MasterCard, al que se
adhirieron inicialmente un gran número de grandes bancos y empresas de software de
todo el mundo. Se preveía que, en poco tiempo, se generalizaría su uso, pero varios
años después de su puesta en marcha observamos que sigue sin generalizarse su
uso, y los expertos no ven probable que sea utilizado en el futuro.
En principio el sistema SET es similar al PGP. La principal diferencia con respecto al
sistema PGP es que en el sistema SET cada clave pública va asociada a un
certificado de autenticidad emitido por una autoridad de certificación (AC).
Página 53
Los certificados de autenticidad, también llamados certificados digitales y
credenciales electrónicas, son documentos digitales que atestiguan la relación entre
una clave pública y un individuo o entidad. Las AC asumen la responsabilidad de
garantizar que los individuos o instituciones acreditadas son de hecho quien dice ser.
Las AC, a su vez, están certificadas por una autoridad superior, formándose así una
jerarquía de autoridades de certificación SET. La jerarquía está formada por la raíz
(SET Root CA) que ha emitido certificados solo a unas pocas autoridades de nivel
superior llamadas SET Brands, entre las que están las siguientes: American Express
Company, Cyber-COMM, JCB Company Limited, Maestro, MasterCard International,
Nippon Shinpan Company Limited, PBS International A/S/Dankort, y Visa International.
Estas autoridades de nivel superior, a su vez, acreditan AC de nivel inferior y
directamente a los comerciantes (merchants) y compradores propietarios de tarjetas.
Obsérvese que estas certificaciones tienen un coste, y que los bancos deben pagar un
precio a esas AC para, a su vez, poder revender certificaciones SET a sus clientes.
Ese complejo sistema de intermediarios certificadores, y el papel secundario de los
bancos, es posiblemente una de las razones del fracaso de SET.