Cap 6 Seguridad Comercio Electrónico

1. Objetivos. 2. Materiales y recursos. 3. Contenidos.

3.1. Comercio electrónico. 3.1.1. Implantación del e-commerce. 3.1.2. Tipos de comercio electrónico. 3.1.3. Beneficios del e-commerce. 3.1.4. Enlaces relacionados.

3.2. Sistemas de seguridad de pago electrónico. 3.2.1. SSL.

3.2.1.1. Funcionamiento de SSL. 3.2.1.2. Uso de SSL en comercio electrónico. 3.2.1.3. Inconvenientes de SSL.

3.2.2. SET. 3.2.2.1. Servicios que ofrece SET. 3.2.2.2. Quiénes participan en SET. 3.2.2.3. Funcionamiento de SET.

3.3. Dinero electrónico. 3.3.1. CyberCash.

3.3.1.1. Cómo pagar con CyberCash en 6 pasos. 3.3.2. eCash.

3.3.2.1. Funcionamiento. 3.3.3. PayPal.

3.3.3.1. Ventajas que ofrece comprar con PayPal. 3.3.3.2. Seguridad y privacidad que ofrece PayPal. 3.3.3.3. Cómo registrarse en PayPal.

3.3.4. Micropagos. 3.3.5. Monederos electrónicos.

3.4. Banca electrónica 3.4.1. Normas de seguridad para acceder a la banca por Internet. 3.4.2. Servicios y ventajas para el internauta. 3.4.3. Seguridad. 3.4.4. Operaciones a través del teléfono. 3.4.5. Banca y telefonía móvil.

3.4.5.1. SMS. 3.4.5.2. Seguridad.

3.5. Bolsa on-line. 4. Resumen.

SEGURIDAD EN EL COMERCIO ELECTRÓNICO Unidad 7

SEGURIDAD EN INTERNET 407

¬ Conocer los fundamentos del comercio electrónico, beneficios y tipos. ¬ Saber identificar los dos sistemas de seguridad empleados en las

transacciones que se realizan a través del comercio electrónico. ¬ Saber distinguir los diferentes tipos de dinero electrónico. ¬ Conocer el funcionamiento de la banca electrónica y los dispositivos

empleados en la realización de transacciones. ¬ Conocer el funcionamiento de la bolsa on line.

Para el estudio de los contenidos de esta unidad y la realización de sus actividades es necesario el siguiente material: ¬ Direcciones de Internet correspondientes a los sitios estudiados en los

contenidos de las unidades. ¬ Manual de SSL.pdf.

El comercio electrónico a través de Internet (e-commerce) surge como consecuencia de la globalización y como alternativa al comercio tradicional. Su aparición presenta una serie de interrogantes:

‚ Qué tipo de mercancía que vender. ‚ Cómo conseguir que los posibles compradores conozcan la existencia

de dicha mercancía. ‚ En caso de producirse la venta cómo aceptar el pago. ‚ Cómo entregar los bienes o servicios adquiridos. ‚ Ofrecer un servicio postventa que garantice el funcionamiento de la

mercancía.

La figura 7.1 ilustra un posible camino de implantación gradual de comercio electrónico, desde el caso más simple de la publicidad no interactiva a través de Internet, hasta el caso completo donde todos los pasos, incluido el pago, se hacen de forma electrónica

Unidad 7 SEGUIRDAD EN EL COMERCIO ELECTRÓNICO

408 SEGURIDAD EN INTERNET

El primer paso seguido por la mayoría de empresas para la implantación del e-comerce fue la creación de sitios Web con un doble objetivo:

‚ Dar a conocer su oferta de productos y servicios. ‚ Atraer nuevos clientes.

Durante este periodo la mayoría de las compras reales se realizaban fuera de la Red que, prácticamente, apenas servía de escaparate virtual de los productos ofertados y para poner en contacto al vendedor y al cliente.

La aparición progresiva de medios de pago digitales comenzó a hacer posible la existencia de transacciones comerciales realizadas completamente a través de Internet. Una vez efectuado el pago, el comerciante envía los artículos adquiridos contratando los servicios de una empresa de paquetería, en el caso de bienes físicos (hardware), o bien directamente vía Web en el caso de bienes digitales, como información o programas (software), abaratando drásticamente en este caso los costes de distribución. El servicio postventa puede ofrecerse igualmente en línea.

Es en el verano de 1995 cuando la empresa Amazon, (ver dirección en el apartado de materiales de la mesa de trabajo), marca el comienzo de la venta al por menor utilizando Internet. Desde entonces el mercado se ha multiplicado considerablemente suponiendo el 5% de las ventas totales minoristas en USA (datos de 2004).

En España, a partir del año 2000 las ventas de las tiendas electrónicas se incrementan a ritmo de dos dígitos cada trimestre pero se detienen en el último trimestre de 2004 donde sólo crecen un 7%. Las diferencias con países de nuestro entorno son alarmantes: sólo el 5% de la población española realiza compras on-line frente al 16% de la media de la UE donde Luxemburgo con el 32% y Gran Bretaña con el 20% son los casos más significativos.

La explicación a esta diferencia parece ser que se debe al porcentaje de internautas en España (el 34%) frente al 50% de la media europea. Según AECE (Asociación Española del Comercio Electrónico, ver dirección en el apartado de materiales de la mesa de trabajo), la oferta on line sigue siendo escasa como consecuencia de la debacle sufrida por las empresas puntocom en 2002, que



alejó, más bien espantó, las expectativas de inversión en este tipo de empresas. En efecto: además del riesgo, las empresas tienen que realizar elevadas inversiones en sistemas y tecnología, logística, protección de datos, pasarelas de pago, comisiones bancarias y un largo etcétera que hace imposible alcanzar rentabilidad en cuatro o cinco años. A Amazon, el líder indiscutible, le ha costado siete años entrar en beneficios a pesar de invertir más de mil millones de dólares en logística, marketing y tecnología.

En España, los tres grandes sectores del comercio electrónico son la alimentación (El Corte Inglés, Carrefour y Mercadona), la venta de billetes de espectáculos (Servicaixa, Entradas.com y El Corte Inglés) y la contratación de viajes (Iberia, EasyJet y RENFE). Como puede observarse, sólo hay una empresa puntocom (Entradas.com) entre las nueve empresas citadas. (Ver direcciones en el apartado de materiales de la mesa de trabajo

Pero el verdadero problema del estancamiento del comercio electrónico en nuestro país se debe principalmente a la evidente falta de interés que los españoles demuestran a la hora de efectuar compras a través de Internet (según AECE, el 72% de los internautas nunca ha comprado por Internet y el 83% no tiene intención alguna de hacerlo en el futuro). Este desinterés se debe a la desconfianza que existe a la hora de facilitar datos a través de Internet y al miedo que genera el posible robo de la tarjeta de crédito.

Nadie duda de que el despegue del comercio electrónico en nuestro país es cuestión de tiempo y hay quien opina que dicho despegue ya se está produciendo en sectores como la venta de billetes de avión, la venta de música y libros, la contratación de viajes y hoteles, etc. No obstante, llevará algún tiempo alcanzar el volumen de ventas del resto de Europa.

Existen diferentes modalidades o ámbitos de aplicación para el comercio electrónico, destacando como principales las siguientes:

‚ (Business to Consumer, B2C). ‚ (Busines to Business, B2B). ‚ (Business to Employee, B2E).

El B2C es la modalidad de comercio electrónico más conocida popularmene, debido a los sectores que involucra: la empresa y sus clientes. Se trata del método más conocido como venta electrónica, que usualmente se realiza a través de Internet.

Navega por las páginas de las empresas citadas y simula la compra de algún artículo. Comprueba los datos que te piden, la garantía que ofrecen, etc.



La empresa suministra un catálogo de productos online sobre el que el cliente puede realizar pedidos, usando medios de pago tradicionales (transferencia, contra reembolso, cheque) o electrónicos (tarjetas de crédito, pago por móvil).

El B2B, comercio electrónico entre empresas, tiene como principal finalidad el aprovisionamiento de bienes o servicios por parte de una de ellas. Esta aplicación del comercio electrónico está establecida desde hace bastante tiempo, utilizando principalmente el intercambio electrónico de datos.

Considerado como el tercer estadio de la revolución de Internet, el B2E trata de rentabilizar al máximo la eficiencia y el rendimiento del empleador, reduciendo al mismo tiempo la complejidad de sus tareas diarias. Los empleados son activos críticos de la empresa, y la mejora en sus relaciones con la empresa es un factor de vital importancia para la productividad global.

Una adecuada implantación de un sistema de comercio electrónico adecuado repercute en importantes beneficios tanto para la empresa que vende sus productos como para los clientes que los compran.

Para la empresa proporciona las siguientes ventajas:

‚ : las fronteras desaparecen, expandiendo la cobertura geográfica, permitiéndole así captar nuevos clientes.

‚ : Internet es un medio económico, por lo que ahorrará ante los medios de comunicación tradicionales (teléfono, fax, correo ordinario, etc.)

‚ : la celeridad en las comunicaciones por Internet hace posible la minimización de tiempos de espera, acelerando el proceso productivo en cualquiera de sus etapas.

‚ : una empresa será capaz de rivalizar con las de su sector ofreciendo mejores servicios.

‚ : la inversión realizada se amortiza rápidamente con los nuevos clientes adquiridos y por la satisfacción de los clientes existentes.

‚ : el cliente adquiere una imagen de empresa dinámica y flexible que se adapta a las nuevas tendencias tecnológicas, proyectando en el cliente la imagen de empresa emprendedora.

Entre las ventajas para los clientes pueden enumerarse las siguientes:

‚ : los clientes podrán establecer comunicación con la empresa sin depender de horarios, pudiendo relacionarse en el momento que consideren oportuno.

‚ : los accesos a los servicios no requieren colas de espera ni tramitaciones especiales, por lo que los clientes obtienen lo que necesitan al instante.



‚ : los clientes no tienen que realizar esfuerzos adicionales para conseguir sus objetivos ya que los pueden llevar a cabo cómodamente sentados frente a su ordenador.

‚ : los clientes pueden realizar cualquier tipo de operaciones y consultas adecuándolas a sus necesidades en todo momento.

‚ : los clientes ahorran tiempo y dinero en las comunicaciones establecidas con la empresa.

‚ : la empresa vendedora podrá adecuar los contenidos ofrecidos a sus clientes, procurándoles los servicios a su medida.

A continuación se muestra una lista de asociaciones y organismos oficiales relacionados con el comercio electrónico. (Ver direcciones de Internet en el apartado de materiales de la mesa de trabajo).

‚ Asociación Española de Comercio Electrónico ‚ Federación Española de Comercio Electrónico y Marketing Directo ‚ Asociación de Agencias de Marketing Directo e Interactivo ‚ CommerceNet España ‚ Oficina de Justificación de la Difusión

‚ Comisión del Mercado de las Telecomunicaciones ‚ Instituto Nacional de Estadística ‚ Ministerio de Ciencia y Tecnología ‚ Agencia de Protección de Datos ‚ Consejo Superior de Cámaras de Comercio, Industria y Navegación

‚ International Chamber of Commerce ‚ Eurochambres ‚ Asociación Iberoamericana de Cámaras de Comercio

Comprueba la información contenida en las páginas web de las asociaciones y organismos citados en esta sección 3.1.4. (Ver direcciones de Internet en el apartado de materiales de la mesa de trabajo



La forma de pago constituye, sin duda, el mayor obstáculo tanto técnico como psicológico que debe ser vencido para que se produzca el despegue definitivo del comercio electrónico en nuestro país. Mientras no exista confianza, mientras los usuarios teman al fraude, mientras se desconozcan los sistemas de pago empleados y su fiabilidad es difícil que se observe un incremento sustancial en esta novedosa forma de comercio.

Los sistemas de pago desarrollados en los últimos años ofrecen suficientes garantías de seguridad e integridad para realizar las compras en línea de una manera fiable y sin sorpresas. Todos ellos se basan en la criptografía, que proporciona los mecanismos necesarios para asegurar la confidencialidad e integridad de las transacciones.

A continuación se expone en qué consisten estos protocolos y cómo proporcionan la seguridad requerida.

SSL (Secure Sockets Layer) es un medio de pago diseñado y propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator. Sin embargo, no fue hasta el lanzamiento de su tercera versión, conocida como SSL v3.0, que alcanzó su madurez, superando los problemas de seguridad y limitaciones de sus predecesores. En su estado actual, proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP.

SSL goza de gran popularidad, por lo que se encuentra ampliamente extendido en Internet. Es soportado por los dos principales navegadores del mercado, Netscape Navigator e Internet Explorer y también por el resto (Ópera, Firefox, etc.).

Para invocar el protocolo SSL no es necesario realizar ninguna acción especial, basta con seguir un enlace o abrir una página cuya dirección empieza por https://. El navegador se encarga del resto siempre y cuando SSL esté habilitado. Las figuras 7.2 y 7.3 muestran esta habilitación en Internet Explorer y en Mozilla Firefox.



La figura 7.4 muestra uno de los servicios disponibles en una página segura (https) que utiliza el protocolo de seguridad SSL.



La principal diferencia entre SSL y otros protocolos para comunicaciones seguras es que se sitúa entre los niveles de transporte (TCP/IP) y de aplicación (donde se encuentran otros protocolos como HTTP, FTP, SMTP, Telnet, etc.) del modelo OSI. Gracias a esta característica, SSL resulta muy flexible, ya que puede servir para asegurar potencialmente otros servicios tan solo con efectuar pequeñas modificaciones en el programa que utilice el protocolo de transporte de datos TCP.

SSL proporciona sus servicios de seguridad a través de dos tipos de cifrado:

‚ Cifrado de los datos intercambiados entre el servidor y el cliente. Para ello utiliza un algoritmo de cifrado simétrico a elegir entre DES, triple-DES, RC2, RC4 o IDEA.

‚ Cifrado de la clave de sesión de los algoritmos anteriores mediante un algoritmo de cifrado de clave pública (normalmente, RSA).

La seguridad de SSL consiste en generar una clave de sesión distinta para cada transacción. Esto permite que aunque sea reventada por un intruso en una transacción dada, resulte inservible para descifrar futuras transacciones. MD5 o SHA se pueden usar como algoritmos de resumen digital (hash). Esta posibilidad de elegir entre tan amplia variedad de algoritmos dota a SSL de una gran flexibilidad criptográfica.



Durante el protocolo SSL, el cliente y el servidor intercambian una serie de mensajes para negociar las mejoras de seguridad. Este protocolo sigue las siguientes fases:

1. La fase , usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y para la autenticación. El navegador le informa al servidor de los algoritmos que posee disponibles. Normalmente se utilizarán los más fuertes que se puedan acordar entre las dos partes. En función de las posibilidades criptográficas del navegador, el servidor elegirá un conjunto u otro de algoritmos con una cierta longitud de claves.

2. La fase de , en la que el servidor envía al navegador su certificado x.509v3 que contiene su clave pública y solicita a su vez al cliente su certificado X.509v3 (sólo si la aplicación exige la autenticación de cliente).

3. La fase de , en la que el cliente envía al servidor una clave maestra a partir de la cual se generará la clave de sesión para cifrar los datos intercambiados posteriormente haciendo uso del algoritmo de cifrado simétrico acordado en la fase 1. El navegador envía cifrada esta clave maestra usando la clave pública del servidor que extrajo de su certificado en la fase 2. Posteriormente, ambos generarán idénticas claves de sesión a partir de la clave maestra generada por el navegador.

4. Por último, la fase , en la que se verifica mutuamente la autenticidad de las partes implicadas y que el canal seguro ha sido correctamente establecido. Una vez finalizada esta fase, ya se puede comenzar la sesión segura.

De ahí en adelante, durante la sesión segura abierta, SSL proporciona un canal de comunicaciones seguro entre los servidores Web y los clientes (los navegadores) a través del cual se intercambiará cifrada la información relevante, como el URL y los contenidos del documento solicitado, los contenidos de cualquier formulario enviado desde el navegador, las cookies enviadas desde el navegador al servidor y viceversa y los contenidos de las cabeceras HTTP.

SSL sigue siendo hoy día la solución de seguridad implantada en la mayor parte de los servidores Web que ofrecen servicios de comercio electrónico.

Su éxito radica en ofrecer respuesta al principal problema que afronta el comercio on line: la reticencia de los usuarios a la hora de introducir el número

Descarga del apartado de materiales de la mesa de trabajo del curso el archivo Manual de SSL.pdf y realiza una lectura detenida del mismo.



de su tarjeta de crédito a través de un formulario Web por el temor a que caiga en manos de un intruso y por la desconfianza generalizada hacia Internet, a lo que hay que sumar en España la falta de costumbre de compra por catálogo.

La forma más fácil y extendida para montar un sistema de comercio en Internet consiste en utilizar un servidor Web que incluya un catálogo con información sobre los productos o servicios ofrecidos además de un formulario para procesar los pedidos. El catálogo estará compuesto por una serie de páginas Web describiendo la mercancía en venta, acompañadas de imágenes, dibujos, especificaciones, animaciones, clips de vídeo o audio, applets de Java, controles ActiveX, etc.

Estas páginas Web se pueden crear estáticamente con un programa de edición HTML como Microsoft FrontPage, o también pueden crearse dinámicamente desde una base de datos de los artículos y su información asociada con programas como FileMaker Pro de Claris. Junto a cada artículo se sitúa un botón que el usuario puede pulsar para comprarlo o, más comúnmente, para añadirlo al carrito de la compra (ver figura 7.5) para pagarlo todo al final. Cuando el cliente ha terminado sus compras pasa por una "caja virtual", que iniciará el proceso de pago.

Hoy por hoy, el medio de pago más común en Internet es la tarjeta de crédito. No obstante, no hay que despreciar otros métodos más conservadores, aunque a menudo preferidos por los compradores españoles, como el envío contra reembolso o la transferencia bancaria, que representan un porcentaje importante de las ventas en línea. El usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados,



como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular).

La arquitectura empleada por SSL no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar con su banco las compras.

Sin embargo, este enfoque, aunque práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura (al menos en España).

A medida que el comercio crece, esta arquitectura podría llegar a resultar difícil de expandir o de incorporar nuevas tecnologías y componentes a medida que vayan apareciendo. Existen una serie de desventajas al utilizar exclusivamente SSL para llevar adelante ventas por Internet:

‚ SSL ofrece un canal seguro para el envío de números de tarjeta de crédito pero carece de capacidad para completar el resto del proceso comercial: verificar la validez del número de tarjeta recibido, autorizar la transacción con el banco del cliente y procesar el resto de la operación con el banco adquiriente y emisor.

‚ SSL sólo garantiza la confidencialidad e integridad de los datos mientras éstos se están transfiriendo, ni antes ni después. Por lo tanto, si se envían datos personales al servidor, entre ellos el ya citado número de tarjeta de crédito, el número de la seguridad social, el DNI, etc., SSL solamente asegura que mientras viajan desde el navegador hasta el servidor no serán modificados ni espiados. Lo que el servidor haga con ellos, está ya más allá de la competencia de este protocolo. Los datos podrían ser manipulados irresponsablemente o caer en manos de un intruso que asaltara el servidor con éxito.

‚ Otra gran debilidad de SSL es que permite realizar ataques mediante el empleo de servidores de comercio creados de forma ficticia cuyo único objetivo es averiguar números de tarjeta que corresponden a cuentas reales. Para ello, el intruso va probando números de tarjeta válidos, pero desconociendo si responden a cuentas reales, realizando compras ficticias en numerosos servidores. Si el número de tarjeta no sirve, el servidor devuelve un error, mientras que si es auténtico, el servidor lo acepta. El programa entonces cancela la compra y registra el número averiguado, para seguir adelante con el proceso. De esta forma, el intruso logra conseguir en poco tiempo cientos de números auténticos.

Todos estos inconvenientes convierten a SSL en una solución deficiente desde el punto de vista del pago electrónico, lo cual no significa que no se deba utilizar ni que no sea útil en otras muchas facetas igualmente necesarias de la actividad empresarial. Al proporcionar un canal seguro de comunicaciones, el comerciante puede ofrecer al cliente de manera confidencial una serie de servicios para estrechar las relaciones de confianza: autenticación del cliente frente al comercio, trato personalizado, evitar que terceras partes espíen las compras de los clientes, intercambio de información privada, etc.



Dado que SSL es un protocolo seguro de propósito general que no fue diseñado para el comercio en particular, se hace necesaria la existencia de un protocolo específico para el pago. Este protocolo existe y se conoce como SET.

Transacciones Electrónicas Seguras (Secure Electronic Transaction o SET) es un protocolo estándar ampliamente respaldado por la industria y diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet.

Fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, RSA, VeriSign y otras.

El 19 de diciembre de 1997 Visa y MasterCard formaron SET Secure Electronic Transaction LLC (comúnmente conocida como "SETCo") para que implantase la especificación. En cuanto el protocolo SET 1.0 fue finalizado, comenzó a emerger una infraestructura basada en el mismo para dar soportar su uso a gran escala. Ya existen numerosos fabricantes de software que han empezado a crear productos para consumidores y comerciantes que deseen realizar sus compras de manera segura disfrutando de las ventajas ofrecidas por SET.

La Agencia de Certificación Española (ACE), formada por Telefónica, SERMEPA, CECA y Sistema 4B, viene ofreciendo el servicio de certificación SET desde finales de 1998 en España.

‚ : todas las partes implicadas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden autenticarse mutuamente mediante certificados digitales. De esta forma, el comerciante puede asegurarse de la identidad del titular de la tarjeta y el cliente, de la identidad del comerciante. Se evitan así fraudes debidos a usos ilícitos de tarjetas y a falsificaciones de comercios en Internet imitando grandes web comerciales. Por su parte, los bancos pueden verificar así las identidades del titular y del comerciante.

‚ : la información de pago se cifra para que no pueda ser espiada. Es decir, solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado, debe recurrirse a un protocolo de nivel inferior como SSL.

‚ : garantiza que la información intercambiada, como número de tarjeta, no podrá ser alterada de manera accidental o maliciosa mientras viaja a través de la Red. Para lograrlo se utilizan algoritmos de firma digital.

‚ : SET gestiona tareas asociadas a la actividad comercial de gran importancia como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.



El pago mediante tarjeta es un proceso complejo en el cual se ven implicadas varias entidades:

‚ : emite la tarjeta del cliente, extiende su crédito y es responsable de la facturación, recolección y servicio al consumidor.

‚ : establece una relación con el comerciante, procesando las transacciones con tarjeta y las autorizaciones de pago.

‚ : posee la tarjeta emitida por el banco emisor y realiza y paga las compras.

‚ : vende productos, servicios o información y acepta el pago electrónico, que es gestionado por su entidad financiera (adquiriente).

‚ : mecanismo mediante el cual se procesan y autorizan las transacciones del comerciante. La pasarela puede pertenecer a una entidad financiera (adquiriente) o a un operador de medio de pago, el cual procesa todas las transacciones de un conjunto de entidades.

‚ (redes de medios de pago): proporciona servicios adicionales operando la infraestructura de telecomunicaciones sobre las que se realizan las transacciones.

‚ : certifica las claves públicas del titular de la tarjeta, del comerciante y de los bancos (en España, ACE).

En una compra convencional mediante tarjeta de crédito, en la que el cliente paga en la tienda haciendo uso de su tarjeta, la transacción sigue los siguientes pasos:

1. El titular de la tarjeta la presenta al comerciante. 2. Éste la introduce en el Terminal de Punto de Venta (POST), que su

banco le ha proporcionado. 3. Los datos de la transacción se envían a través del sistema de redes de

medios de pago hasta el banco emisor. 4. El banco emisor comprueba que todos los datos son correctos y remite

su aprobación. 5. De ahí llega al banco adquiriente y al terminal del comercio, de donde

saldrá el recibo de la operación. 6. El comerciante tendrá ingresado el dinero en su cuenta a las ocho del

mañana del día siguiente. 7. Por su parte, el cliente no lo verá descontado de su cuenta corriente

hasta el mes siguiente, en función de cuándo realice la compra.

A continuación se describe cómo SET realiza este mismo proceso a través de Internet.

Una transacción SET típica funciona de forma muy parecida a una transacción convencional con tarjeta de crédito y consta de los siguientes pasos:



1. Decisión de compra del cliente. El cliente está navegando por el sitio web del comerciante y decide comprar un artículo. Para ello rellenará algún formulario al efecto y posiblemente hará uso de alguna aplicación tipo carrito de la compra, para ir almacenando diversos artículos y pagarlos todos al final. El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar.

2. Arranque del monedero. El servidor del comerciante envía una descripción del pedido que despierta a la aplicación monedero del cliente.

3. El cliente comprueba el pedido y transmite una orden de pago de vuelta al comerciante. La aplicación monedero crea dos mensajes que envía al comerciante. El primero, la información del pedido, contiene los datos del pedido, mientras que el segundo contiene las instrucciones de pago del cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco adquiriente. En este momento, el software monedero del cliente genera un firma dual, que permite juntar en un solo mensaje la información del pedido y las instrucciones de pago, de manera que el comerciante puede acceder a la información del pedido, pero no a las instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago, pero no a la información del pedido. Este mecanismo reduce el riesgo de fraude y abuso, ya que ni el comerciante llega a conocer el número de tarjeta de crédito empleado por el comprador, ni el banco se entera de los hábitos de compra de su cliente.

4. El comerciante envía la petición de pago a su banco. El software SET en el servidor del comerciante crea una petición de autorización que envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transacción y otra información relevante acerca de la misma, todo ello convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la petición de autorización junto con las instrucciones de pago (que el comerciante no puede examinar, ya que van cifradas con la clave pública del adquiriente).

5. El banco adquiriente valida al cliente y al comerciante y obtiene una autorización del banco emisor del cliente. El banco del comerciante descifra y verifica la petición de autorización. Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente, que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la integridad de los datos. Se comprueban los identificadores de la transacción en curso (el enviado por el comerciante y el codificado en las instrucciones de pago) y, si todo es correcto, se formatea y envía una petición de autorización al banco emisor del cliente a través de la Red de medios de pago convencional.

6. El emisor autoriza el pago. El banco emisor verifica todos los datos de la petición y si todo está en orden y el titular de la tarjeta posee crédito, autoriza la transacción.

7. El adquiriente envía al comerciante un testigo de transferencia de fondos. En cuanto el banco del comerciante recibe una respuesta de autorización del banco emisor, genera y firma digitalmente un mensaje de respuesta de autorización que envía a la pasarela de pagos, convenientemente cifrada, la cual se la hace llegar al comerciante.

8. El comerciante envía un recibo al monedero del cliente. Cuando el comerciante recibe la respuesta de autorización de su banco, verifica las



firmas digitales y la información para asegurarse de que todo está en orden. El software del servidor almacena la autorización y el testigo de transferencia de fondos. A continuación completa el procesamiento del pedido del titular de la tarjeta, enviando la mercancía o suministrando los servicios pagados.

9. Más adelante, el comerciante usa el testigo de transferencia de fondos para cobrar el importe de la transacción. Después de haber completado el procesamiento del pedido del titular de la tarjeta, el software del comerciante genera una petición de transferencia a su banco, confirmando la realización con éxito de la venta. Como consecuencia, se produce el abono en la cuenta del comerciante.

10. A su debido tiempo, el dinero se descuenta de la cuenta del cliente (cargo).

El protocolo definido por SET especifica el formato de los mensajes, las codificaciones y las operaciones criptográficas que deben usarse. No requiere un método particular de transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en aplicaciones web, sobre correo electrónico o cualquier otro método. Como los mensajes no necesitan transmitirse en tiempo real, son posibles implantaciones de SET eficientes basadas en correo electrónico u otros sistemas asíncronos.

Cada día más aspectos y actividades de la vida cotidiana tienen su reflejo y su réplica en mundos virtuales. Ya no es necesario presentarse en Hacienda ni en el banco más próximo para entregar la Declaración de la Renta, se pueden completar transacciones bancarias por teléfono o por Internet, resulta posible comprar cómodamente acciones, películas, coches, cualquier cosa que se pueda imaginar, pulsando un par de veces el ratón. Los viajeros nostálgicos leen el periódico digital con noticias de su pueblo desde cibercafés en países remotos, se baraja ya la posibilidad de votar por Internet en los próximos comicios, en definitiva, Internet está pasando a formar parte del día a día, como la televisión o el café de las doce, y con el tiempo serán más las parcelas del quehacer diario que se trasladarán a este novedoso medio.

Algunas de estas actividades están vinculadas directamente con la esfera económica/financiera. En un ámbito como Internet, en el que los participantes no se ven las caras y, normalmente, ni siquiera se conocen, efectuar pagos de cualquier tipo puede convertirse en un problema insalvable. Ya han quedado atrás los días en que las compras se realizaban al contado. Los nuevos modelos de negocio y de interrelación exigen nuevos medios de pago sin un soporte físico tangible.

Hoy por hoy, la forma más aceptada universalmente para pagar una transacción llevada a cabo a través de Internet o del teléfono es mediante la tarjeta de crédito. Este mecanismo no plantea mayores inconvenientes en una tienda física, en la que el dependiente se la solicita al cliente para pasarla por un lector de tarjetas ante la mirada de este último. Por el contrario, cuando ambas partes se encuentran separadas físicamente, se exige la existencia de



algún mecanismo que garantice la correcta transmisión y manipulación de la información correspondiente a la tarjeta de crédito, con el fin de minimizar la ocurrencia de fraudes y abusos.

Ingenieros, informáticos y criptógrafos han creado toda una serie de protocolos de pago seguro que vienen a resolver con mayor o menor acierto el problema de pagar las compras realizadas sin necesidad de usar dinero en efectivo. A lo largo de las siguientes secciones se verá cuáles son las soluciones propuestas para pagar con tarjeta de crédito de forma segura y administrativamente sencilla, qué es y cómo se utiliza el dinero electrónico y cómo efectuar pequeños pagos, para compras de unas pocas pesetas o, siendo europeos, para compras que no alcancen un euro.

CyberCash, sistema de pago desarrollado en 1994 por CyberCash Corporation, constituye un mecanismo de pago muy similar a SET que ofrece a los comerciantes una solución rápida y segura para procesar los pagos con tarjeta de crédito a través de Internet.

Al igual que en SET, el usuario necesita utilizar un software de cartera que reside permanentemente en su máquina, como en el caso de Microsoft Wallet o de carteras propietarias de casas de medios de pago o bancos, o bien residen en el servidor de CyberCash, como la cartera de InstaBuy. Por su parte, el comerciante necesita instalar un software en su servidor, Merchant Connection Kit (MCK), parte del sistema global llamado CashRegister 3 Service, que puede adquirirse registrándose en CyberCash e incluye guiones, plantillas y bibliotecas para que los servidores de los comerciantes se conecten al servidor de CyberCash. De esta forma, el comerciante no necesita adquirir un sistema de back-office para el procesamiento de las operaciones de venta con tarjeta, puesto que es el servidor de CyberCash, y no el del comerciante, el que gestiona con el banco todas las complejas operaciones de pago.

Desde el punto de vista del cliente, esta estrategia le concede mayor seguridad, al implicar que su número de tarjeta nunca llega a ser conocido por el comerciante, sino solamente por el servidor de CyberCash y, por supuesto, por los bancos participantes.

Desde el punto de vista del comerciante, también la seguridad aumenta, ya que el cobro de la mercancía se produce incluso antes de que sea vendida, como ocurre en las transacciones en puntos de venta en las tiendas (de la calle).

Por tanto, puede decirse que CyberCash actúa como intermediario entre el comerciante y el consumidor, asegurando que el primero recibe el pago, mientras que el segundo recibe la mercancía. Por supuesto, por su papel desempeñado en el escenario de compra-venta, carga una pequeña comisión al comerciante, variable en función del volumen de ventas. Con el fin de promover al máximo el uso de CyberCash, tanto el software del cliente como del servidor son gratuitos y están disponibles para múltiples plataformas.



El proceso de pago con CyberCash, que implica al consumidor, al comerciante, el banco emisor y el banco del comerciante, es como sigue:

1. El usuario recorre la tienda virtual hasta que decide comprar un artículo. Entonces se le presenta una página detallando el precio de venta del artículo, gastos de envío y otras condiciones.

2. El consumidor acepta las condiciones al pulsar el botón de pago con CyberCash. En este momento se lanza la aplicación de cartera, en la cual el usuario puede seleccionar la tarjeta con la que pagar. Toda la información del usuario se envía al servidor del comerciante cifrada y firmada, de manera que no resulte accesible ni manipulable por el comerciante.

3. El comerciante se queda con los datos de envío y de los productos comprados, y envía firmada al servidor de CyberCash la información de pago del cliente, que al estar cifrada por la cartera no ha podido leer.

4. El servidor de CyberCash recibe la petición de transacción y, detrás de su cortafuegos y desconectado de Internet, obtiene del paquete de datos la información de pago del consumidor. Verifica la integridad del pedido recibido del comerciante, verifica la identidad del consumidor y del comerciante, extrae el número de tarjeta del cliente y si todo está en orden, reexpide la transacción al banco del comerciante a través de líneas dedicadas.

5. El banco del comerciante envía una petición de autorización al banco emisor a través de los canales de comunicación tradicionales de las redes de medios de pago, y retransmite a CyberCash la respuesta, afirmativa o negativa del banco del cliente, que autoriza o no el cargo en función del monto de la compra, el crédito disponible y dispuesto, y alguna otra información, como por ejemplo si existen informes de que la tarjeta haya sido robada.

6. CyberCash pasa al comerciante la respuesta del banco, de manera que si es afirmativa, el banco del comerciante recibe el pago del emisor, mientras que si es negativa, se anula la compra, sin riesgo para el comerciante.



Según CyberCash, el proceso completo tarda entre 15 y 20 segundos y en transacciones usando la cartera, nadie excepto el usuario, CyberCash y los bancos ven el número de tarjeta de crédito. Posteriormente, el usuario puede consultar en su cartera el registro de compras, para contrastarlas con la carta del banco informándole de sus cargos en la tarjeta.

Un problema asociado a los protocolos de pago mediante tarjeta de crédito es el anonimato. Al entregar el número de tarjeta en cada compra, se va dejando un rastro fácil de seguir que permite recabar información acerca del consumidor, como poder adquisitivo, hábitos de compra, gustos personales, etc.

E-Cash (Electronic Cash) constituye el fruto del esfuerzo creativo de un hombre, el criptógrafo David Chaum, en busca de un sistema de pago que emulara las propiedades de los pagos realizados en efectivo, entre ellas, la más importante para él, conservar el anonimato del comprador. La empresa de Chaum, Digicash Company, fundada en 1990, fue adquirida en agosto de 1999 por eCash Technologies.

E-Cash es un sistema de pago basado en software que permite a sus usuarios enviar dinero electrónico en pago de las compras realizadas, desde cualquier



ordenador a cualquier otro ordenador, utilizando cualquier red de comunicación de datos, incluyendo Internet.

Para usar eCash, tanto el comprador como el vendedor necesitan antes tener una cuenta abierta en alguno de los bancos que emiten dinero electrónico eCash. Una vez que se posee la cuenta bancaria, cada banco instruirá a sus clientes acerca de los pasos que deben seguir para obtener una cuenta de dinero electrónico. El propio banco le facilita gratuitamente el software de cartera, junto con un identificador de la cuenta y una contraseña.

En eCash el dinero aparece representado en forma de cupones criptográficos que pueden ser retirados de cuentas bancarias, ingresados en cuenta, o transferidos entre distintas personas (como el dinero normal). El usuario puede almacenar tanto dinero electrónico (cupones) en su cartera como dinero disponga en la cuenta bancaria. A partir del momento en que su cartera tiene efectivo, puede utilizarlo para pagar servicios o productos o incluso para transferirlo a otros usuarios sin necesidad de mediar una relación comercial de compra-venta. Un rasgo fundamental de eCash es que preserva el anonimato de la persona que paga con él, gracias a una técnica criptográfica inventada por su creador, David Chaum, conocida como firma digital ciega. A continuación se explicará detalladamente cómo funciona eCash.

La responsabilidad de "acuñar" dinero electrónico recae sobre el usuario, cuyo software de cartera se encarga de generar para cada moneda que se desea acuñar un número de serie aleatorio, suficientemente largo para que la probabilidad de repetición tienda a cero. En sí mismo, este número de serie que representa una moneda no posee valor monetario alguno, por lo que requiere la firma del banco, confiriéndole su valor nominal. Sin embargo, si se gasta esta moneda respaldada por la firma del banco, éste sería capaz de seguir su pista precisamente porque fue firmada por él. Bastaría con que registrase su número de serie y cuando algún comerciante acudiera al banco para hacer efectivo el pago que recibió en moneda electrónica, podría saber en qué se gastó y por quién. Para evitarlo, antes de enviar la moneda para que la firme el banco, se multiplica el número de serie por un factor, conocido como factor ciego, cuyo cometido es disfrazar el verdadero número de serie del dinero. Ahora sí, el usuario firma el nuevo número (el resultado de multiplicar el número aleatorio original por el factor ciego) y se lo envía al banco.

El banco examina la firma digital para asegurarse de la identidad del cliente. En este punto, se le asigna el valor a la moneda acuñada por el usuario. Si éste solicitó una moneda de un euro, el banco la firmará con la firma que posee para monedas de un euro. Si el usuario acuñó una moneda de cinco euros, entonces el banco utilizará su firma para monedas de cinco euros, etc. Al mismo tiempo, el banco retirará una cantidad equivalente de la cuenta que el usuario posee con él. Cuando el usuario recibe la moneda firmada por el banco, verifica la autenticidad de la firma y extrae el número de serie original dividiendo por el factor ciego. De esta forma, ahora posee una moneda firmada por el banco, pero cuyo número de serie desconoce el banco. Puede gastarla sin problemas, y cuando el receptor de la moneda acuda con la moneda al banco a hacerla



efectiva, éste no será capaz de relacionarla con el usuario, ya que firmó un número de serie distinto, preservándose así la privacidad.

Gracias a la firma digital ciega, ideada por el criptógrafo David Chaum, las monedas electrónicas en eCash permiten a sus usuarios gozar del anonimato en sus compras como si se tratara de dinero real.

Una vez que el usuario posee dinero electrónico en su cartera eCash, acuñado de la forma descrita, ya está listo para gastarlo comprando en Internet o para entregárselo a otro usuario. En el primer caso, cuando visite una tienda que acepte pagos en eCash y decida adquirir algún artículo, deberá pagarlo transfiriendo el número de monedas necesarias hasta completar su valor. El comerciante recibe el eCash y se conecta con el banco para verificar la autenticidad de las monedas y para asegurarse de que no han sido gastadas previamente. El banco comprueba fácilmente la autenticidad, sin más que verificar su propia firma en las monedas que le envía el comerciante. Para combatir el intento de fraude gastando varias veces la misma moneda, el banco mantiene una base de datos con los números de serie de todas las monedas que le han sido entregadas. Por lo tanto, cada vez que recibe una nueva moneda para hacerla efectiva, contrasta su número de serie con los previamente almacenados y si no aparece en la base de datos, sabe que es la primera vez que se gasta y no ha habido fraude. En este punto, puede hacer dos cosas. O bien aumenta el saldo de la cuenta bancaria del comerciante por el importe de la moneda, o bien le entrega esa misma moneda al comerciante, para que la gaste a su gusto. En cualquier caso, el comerciante recibe su dinero con la garantía del banco de que no ha habido fraude y envía confirmación al comprador de que la venta se ha realizado correctamente. En el caso de transferir dinero de un usuario a otro, se siguen exactamente los mismos pasos.

Como queda visto, este sistema conserva el anonimato del comprador, pero no del vendedor o del receptor del dinero, ya que éste debe acudir al banco para hacer efectivo el dinero electrónico percibido dinero. Por lo tanto, una de las mayores preocupaciones de los gobiernos, el uso de dinero en efectivo para blanqueo y pago de operaciones ilegales, queda automáticamente resuelta, ya que, aunque no se puede rastrear la identidad del pagador, sí se conoce la identidad del que recibe el dinero, invalidando por tanto la posibilidad de usar eCash para financiación ilegal.

Sin embargo, este mecanismo se enfrenta a otros problemas de índole técnica. El más inmediato de ellos, el volumen de la base de datos de números de serie de monedas gastadas que debe manejar el banco. No hay que olvidar que el número de serie de cada moneda gastada en el sistema desde que entró en



funcionamiento debe quedar registrado por el banco. Si el sistema se despliega con miles de usuarios utilizándolo diariamente, durante años, el volumen de datos puede llegar a convertirse en inmanejable muy rápidamente.

Además, la necesidad de conectarse con el banco para verificar cada transacción añade una importante sobrecarga en tiempo de procesamiento y en coste, lo que encarece el precio final de las transacciones.

Existen varias modalidades de eCash como eCash Direct y Virtu@lCash cuya información se puede obtener en Internet. (Ver direcciones en el apartado de materiales de la mesa de trabajo).

PayPal es un sistema de pago que permite que cualquier negocio o consumidor con una dirección de e-mail envíe y reciba pagos online en forma segura, fácil, rápida y conveniente. Su red está constituida sobre la base de una infraestructura financiera de cuentas bancarias y tarjetas de crédito para crear una solución de pago global y en tiempo real.

El servicio de PayPal está especialmente diseñado para pequeños negocios, comerciantes online, individuos y cualquiera que no encuentre en los mecanismos de pago tradicionales la solución adecuada. Busca convertirse en el estándar global para pagos online, ofreciendo sus servicios a usuarios en 38 países.

Cuenta con más de 17 millones de usuarios registrados, incluyendo más de 3 millones de cuentas comerciales. El tamaño de su red y el crecimiento en el nivel de aceptación de su producto, lo ha ayudado a convertirse en la red de pagos líder para sitios de subastas online. Además, PayPal ha ido incrementando su presencia en otros sitios de e-commerce y negocios que no están online ya llevan tiempo recibiendo pagos online a través de PayPal.

Los servicios que brinda, que permiten a los usuarios realizar pagos online sin cargo, pueden ser utilizados desde cualquier PC o teléfono móvil habilitado para el uso de Internet.

PayPal es una compañía con oficinas corporativas en Mountain View, California, Estados Unidos. Obtuvo el premio SIIA Codie Awards a la “Mejor Solución de E-commerce” de 2002 y fue reconocida por PC Magazine como una de las “100 Mejores Websites”.

Comprar con PayPal tiene muchas ventajas:

‚ Es un método de pago instantáneo y, por tanto, procesarán automáticamente y sin demoras los pedidos de nuevos clientes que abonen el pago por este medio, con lo cual dispondrá de su hospedaje y dominio de inmediato.

‚ Permite pagar online con cualquier tarjeta de crédito.



‚ Es gratuito para enviar dinero. ‚ El cliente recibe sus compras más rápido. ‚ Es seguro y privado. ‚ Crear una cuenta y enviar dinero utilizando una cuenta de PayPal es

gratuito. PayPal sólo cobra una modesta comisión a aquellos miembros Premier y Business – empresas - que reciben pagos.

La seguridad que ofrece PayPal respecto de la información, transacción y dinero ocupa la más alta prioridad. La información confidencial que tiene lugar entre ordenadores es cifrada con el protocolo SSL. La compañía PayPal está licenciada por el programa de privacidad TRUST, una organización independiente y no lucrativa que tiene como misión el crear confianza en Internet mediante la promoción de prácticas justas.

PayPal se compromete a proteger la privacidad de sus usuarios. Cuando alguien envía o solicita dinero a través de PayPal, la única información que ve el destinatario son su dirección de e-mail, la fecha de registro ("sign-up") y si se ha confirmado alguna cuenta en otra institución financiera. Los destinatarios nunca verán su información financiera, como por ejemplo números de cuentas bancarias o de tarjetas de crédito.

Para registrarse en PayPal la única opción disponible actualmente es la versión en inglés de la página web PayPal. (Ver dirección en el apartado de materiales de la mesa de trabajo).Hay que hacer clic en el botón Send Up Today! y rellenar el formulario que aparece a continuación. Para quienes tengan problemas con el inglés existe una traducción del dicho formulario en la Red. (Ver dirección en el apartado de materiales de la mesa de trabajo).

También existe un servicio similar pero independiente y sin relación con PayPal, pero totalmente en castellano que es Epagado. (Ver dirección en el apartado de materiales de la mesa de trabajo).

Los micropagos son un viejo intento de cobrar a los usuarios de Internet por los contenidos que disfrutan. La idea es cobrar cantidades muy pequeñas, del orden de un céntimo de euro, o incluso una fracción de esa cantidad, por cada página visitada. Algunas compañías, con nombres tan originales como Millicent, Flooz o Beenz, lo intentaron hace ya algunos años. Pero entonces el temor de

Regístrate en PayPal o en Epagado y describe los pasos que has seguido para ello.



las empresas era no tener presencia en Internet y cobrar, aunque fuera poco, era una rémora excesiva. Ahora los tiempos han cambiado y las empresas empiezan a vender contenidos con sistemas como bonos o suscripciones. Una parte de los internautas empieza a no ver tan mal la idea de pagar por ver, siempre que sea poco. Los micropagos podrían ser una solución al problema de muchos sitios web pequeños y medianos que no ganan con publicidad lo suficiente como para sobrevivir. Recientemente, dos empresas de nueva creación, fundadas por universitarios según la costumbre ancestral de la Red, han vuelto a poner sobre la mesa la posibilidad del micropago. Una es BitPass, (ver dirección en el apartado de materiales de la mesa de trabajo), que te exige la compra de un monedero virtual del que las páginas van cogiendo dinero según visitas contenidos de pago y la otra, PepperCoin, (ver dirección en el apartado de materiales de la mesa de trabajo), que une numerosos micropagos en una sola cuenta, para después distribuirla entre los sitios Web visitados. El objetivo de ambas es reducir el dinero que se llevan de comisión Visa, Mastercard y demás compañeros de faena: un mínimo de 25 céntimos de dólar por transacción, lo que resulta un poco excesivo para pagos de un céntimo. Pero a precios tan bajos, el problema ya no es la cantidad que se cobra, sino el esfuerzo exigido al usuario, que debe darse de alta en uno o más servicios de esta índole para ver sus páginas favoritas y decidir en cada pulsación si merece la pena o no cada artículo. Si ya nos cuesta darnos de alta en registros gratuitos como el de The New York Times, imaginen si además hay que registrarse para pagar.

El monedero electrónico consiste en una tarjeta que incorpora un pequeño chip en el que se almacena un valor monetario de prepago que puede ser gastado en cualquier comercio que haya instalado un lector de tales tarjetas.

Consecuentemente, el valor de las compras puede deducirse de la tarjeta cada vez que el usuario paga con ella. La tarjeta monedero resulta ideal en transacciones de escaso valor, inferiores a seis euros, que requieran cambio exacto, como en máquinas expendedoras de comida, refrescos o cigarrillos, transporte público, peajes y teléfonos públicos.

Las tarjetas telefónicas constituyen un buen ejemplo de monedero, aunque limitado a una única función. Idealmente, los monederos electrónicos serán capaces de utilizarse para pagar cualquier compra.

Desgraciadamente, hasta el día de hoy, coexisten en los distintos estados comunitarios una gran variedad de tarjetas, todas ellas mutuamente incompatibles entre sí, incluso dentro de un mismo país, como ocurre sin ir más lejos en España con las tarjetas 4B, Euro 6000 y VisaCash. Esta



incompatibilidad impide que el titular pueda usar la tarjeta emitida en una entidad en comercios o bancos que operen con otra.

Sin embargo, con la publicación a principios del mes de abril de 1999 de las especificaciones comunes para monederos electrónicos (CEPS), realizada por Europay International, SERMEPA, Visa International y ZKA (Zentraler Kreditausschuss, de Alemania), la interoperabilidad de las tarjetas monedero ya es una realidad plenamente funcional en la Europa del siglo XXI.

En el futuro, tras la adopción de las especificaciones por la mayoría de las organizaciones de medios de pago en todo el mundo (lo que supondría más del 90% de los monederos que circulan hoy por el planeta), el entendimiento entre las distintas tarjetas hará posible que un ciudadano de la Unión Europea, poseedor de una tarjeta interoperable, pueda recargar en cualquier país comunitario su monedero con dinero electrónico en la divisa apropiada o en Euros, en cualquier punto de carga en bancos o quioscos construidos al efecto, así como gastarlo en pequeños comercios para compras de importes tan bajos como se quiera. Su aplicación al comercio por Internet será inmediata. Aunque todavía no está decidido, para su utilización en las compras a través de la Red se comercializarán teclados de ordenador equipados con un lector de tarjetas inteligentes.

El estándar contiene una completa descripción del monedero electrónico, cubriendo todos los aspectos desde el diseño de las tarjetas inteligentes hasta los terminales de lectura con sus módulos de seguridad y el papel desempeñado y forma de actuar de los bancos y medios de pago. La especificación no obliga a utilizar un tipo dado de tarjetas u sistemas operativos, sino sólo a su operación interoperable, siendo suficientemente flexible para acomodar características y capacidades opcionales que los distintos productos pueden ofrecer para diferenciarse de otras marcas competidoras. El monedero soportará las siguientes transacciones:

‚ : los titulares de la tarjeta pueden cargar dinero en ella en cualquier terminal de carga (normalmente será un cajero convencional) que ostente la marca del emisor de su tarjeta, en cualquier divisa soportada por la tarjeta. El usuario deberá autenticarse introduciendo un PIN (Número de Identificación Personal). En el futuro, los terminales de carga se diversificarán hasta permitir la carga de dinero incluso desde casa a través del ordenador y un lector de tarjetas.

‚ : en cualquier momento el titular podrá descargar dinero de su tarjeta y devolverlo a su cuenta bancaria, residente en la institución financiera del emisor de tarjetas. La descarga de dinero también puede incluir la capacidad de obtener efectivo del terminal de descarga, pero sólo en terminales del banco emisor. En general, las especificaciones para la operación de descarga son muy similares a las de carga.

‚ : las tarjetas contarán con distintas ranuras en las cuales almacenar dinero en divisas diversas. En cualquier momento se le permitirá al titular cambiar todo o parte del dinero almacenado en una ranura en una cierta divisa a otra divisa en otra ranura.



‚ : los usuarios podrán utilizar su tarjeta de manera uniforme en cualquier terminal de venta que ostente el sello de su marca de tarjeta. Los terminales de venta le mostrarán al usuario el importe de la compra, pidiéndole su autorización antes de que ésta tenga efecto. Si no existen razones legales u operativas en contra, el terminal de venta mostrará al usuario el balance de su tarjeta antes y después de la compra. En caso de que la compra no pueda realizarse por algún motivo ajeno al usuario (interrupción en las comunicaciones, agotamiento del artículo que se desea comprar), se puede retroceder la compra y reintegrar el dinero a la tarjeta, sin perjuicio para su titular.

‚ : se trata de una sucesión de compras de muy pequeño valor cada una, como por ejemplo, pasos en una llamada telefónica en una cabina, páginas en un documento visualizado o número de veces que se juega un juego en Internet.

‚ : para el caso en que el usuario desee cancelar una compra (porque se introdujo incorrectamente el valor de su importe, porque desea devolver el producto comprado) la tarjeta puede llegar a proporcionar la operación de cancelación de la última compra exclusivamente, que devolverá a la tarjeta el valor previamente abonado al comerciante. Esta operación deberá realizarse en el mismo terminal en el que se completó la venta y sólo podrá tener lugar una vez.

El usuario puede consultar en cualquier momento el balance de su tarjeta, utilizando el dispositivo adecuado, así como un registro de los últimos movimientos. Otra característica muy útil es que los monederos permitirán almacenar diversas cantidades de dinero en distintas divisas, de manera que se paga siempre en la divisa que soporta la máquina de venta.



El ritmo imparable de avance de las telecomunicaciones y de las tecnologías de la información, especialmente tras la liberalización en España de este mercado, ha motivado que en los últimos años la práctica totalidad de los Bancos y Cajas de Ahorros españoles hayan dado el salto a la Red en busca de nuevos canales de distribución para llegar hasta los clientes con nuevos servicios bancarios mejorados y personalizados.

La apuesta de las distintas entidades financieras ha sido muy diversa, ofreciéndose a los usuarios un amplio espectro de posibilidades en cuanto a la oferta de servicios que pueden esperar en el panorama bancario español.

Desde la consulta de saldos y movimientos de la cuenta corriente personal mediante un televisor, pasando por la realización de transferencias y otras operaciones a través de un teléfono móvil o la compra-venta de valores y acciones con la colaboración de agentes financieros a través de Internet, las posibilidades que brindan las innovaciones tecnológicas en telecomunicaciones y gestión de la información son ilimitadas.

Este fenómeno que permite a los clientes operar con sus bancos con una flexibilidad, agilidad y comodidad ayer ni siquiera soñadas, recibe denominaciones diversas: banca electrónica, banca digital, banca virtual, banca en casa, banca a distancia, telebanca, banca online, banca móvil… y aunque uno podría adentrarse (y perderse) en la disquisición sobre los matices de cada término, lo cierto es que recientemente vienen utilizándose esas denominaciones indistintamente para aludir a la posibilidad de operar con el banco sin necesidad de personarse en sus oficinas.



Este fenómeno no es en absoluto nuevo, ya que desde hace años existen el acceso telefónico (banca telefónica) y los cajeros automáticos, que ya ofrecían soluciones tempranas de autoservicio y de gestión de las propias cuentas desde casa. Lo realmente novedoso de la banca digital y su motor de desarrollo y expansión es la oferta de nuevos servicios de valor añadido, sólo posibles a través de Internet u otros medios telemáticos.

En general, las Web de bancos y cajas no son sino una réplica virtual de algunos de los servicios ofrecidos al cliente en la ventanilla, eso sí, con la comodidad de estar disponibles las 24 horas del día y desde cualquier lugar. De hecho, en cuanto a la accesibilidad, la posibilidad de conectarse al banco mediante un teléfono móvil GSM con mensajes SMS o con protocolo WAP para conocer el estado del crédito o si ha llegado la transferencia tan esperada, supone un avance importante hacia la globalización del sector bancario.

Con el boom de Internet, los Bancos y Cajas se vieron obligados a crear sus propias Web de presencia en la Red. Esta tarea acometida con desgana por imposición del mercado (si los competidores ya están en Internet, uno no puede retrasar más su salida) y por seguir los vientos de los nuevos tiempos y las últimas tecnologías, obtuvo resultados desiguales: páginas de diseño barroco y complicada navegación, caracterizadas en su mayoría por una fría plasmación en Web de la imagen corporativa, repitiendo los mismos mensajes publicitarios de las sucursales. Para algunos se trata de llegar al cliente a través de nuevos canales; para otros, simplemente de no quedarse fuera.

Desde que en 1995 Banesto se presentó en la Red, le han ido siguiendo uno a uno los grandes Bancos y Cajas, el Banco Santander Central Hispano y la Kutxa en 1996, Argentaria, Bankinter, BBK, BBV, BCH, Open Bank, Caixa Galicia, Caja Española y la CAM en 1997, hasta llegar a la práctica totalidad en 1998. Las entidades con mayor número de clientes en Internet son el BBV, el Banco Santander Central Hispano y Bankinter.

A pesar de los costosos esfuerzos por atraer clientes virtuales, la banca por Internet tuvo serios problemas para cuajar en el mercado español, hoy día prácticamente superados. Existen muchas razones para justificar esta tibia reacción del público:

‚ El parque de PC era y puede considerarse todavía modesto en España, y más aún el número de ordenadores domésticos con conexión a la Red.

‚ La navegación resultaba muy costosa y lenta, gracias al pobre y caro servicio que ofrecían las operadoras telefónicas, desesperando a los usuarios que veían cómo la página no terminaba de cargarse mientras corrían los pasos telefónicos. En este sentido el barroquismo de la inmensa mayoría de las páginas bancarias, sobrecargadas de gráficos y animaciones, no colaboraba en absoluto por un mejor servicio al cliente. Gracias a las tarifas planas y la banda ancha, este problema ha quedado resuelto por completo.

‚ Por último, la ancestral suspicacia del carácter latino, que desconfía de las máquinas y tiene poca fe en la seguridad de las transacciones por Internet, ha constituido, al igual que sucede con el e-commerce, otro freno en el crecimiento de la banca digital.



El auge de la banca online ya es un hecho real, cada día hay mas personas que acceden y usan este servicio para realizar sus transferencias bancarias, pagos, consultas etc. Por este motivo no hay que bajar descuidarse a la hora proteger nuestras operaciones bancarias de posibles manipulaciones, de posibles robos de nuestras finanzas y salvaguardar nuestros datos, tal y como se suele hacer diariamente en la vida normal o no virtual.

El hecho de estar sentado tranquilamente en casa no exime de cualquier hurto informático debiendo tomar precauciones similares a las que se toman como por ejemplo al sacar dinero de un cajero automático o al pagar con una tarjeta de crédito.

A continuación se enumeran una serie de principios elementales cuyo objetivo es intentar romper con el posible miedo que se tiene a la hora de acceder al banco por Internet, a pagar por ordenador usando la conexión de Internet o a efectuar compras por la Red. No hay más peligro en el mundo informático, en cuanto al dinero, que en el mundo real; el único problema es el desconocimiento y tomando las precauciones adecuadas es incluso comparativamente más seguro.

1.- Evitar en lo posible acceder a la Banca por Internet o llevar a cabo transacciones financieras en lugares públicos donde el acceso a Internet está disponible para muchas personas como por ejemplo Ciber-Cafés, Universidades, Colegios, Oficinas etc. Estos ordenadores podrían tener algún sistema para "capturar" los datos personales o la información de las cuentas. En caso de necesidad urgente, para llevar a cabo alguna transacción en un lugar público, hay que procurar evitar la presencia de personas muy cercanas y asegurarse de cerrar el navegador al finalizar las operaciones. A continuación, o lo antes posible, hay que cambiar las claves de acceso de seguridad desde su ordenador personal.

2.- Acceder a los consejos de seguridad que le ofrecen las entidades bancarias. La mayoría de ellas cuentan con este servicio tal y como se muestra en la siguiente figura 7.10.



3.- Tener su navegador actualizado para tener los protocolos de seguridad en regla. 4.- Observar si la dirección comienza con https: en lugar de solo http: 5.- Comprobar que la navegación es segura y el sitio web bancario transmite su información encriptada por medio del protocolo de seguridad SSL (Secure Sockets Layer) que garantiza la comunicación entre el servidor y el cliente evitando que otros capturen o vean los datos intercambiados y garantizando la autenticidad del servidor al que nos conectamos y evitando que éste sea suplantado por un tercero.

Una prueba rápida para comprobar la veracidad de la Web de nuestro banco y no ser engañados por algunas Web creadas para robar datos consiste en hacer doble clic sobre el candado amarillo que aparece en la parte inferior/derecha de nuestro navegador.

Una vez realizado esto, deberá aparecer una ventana mostrando el certificado de autenticidad que asegura la identidad de nuestro Banco.

La figura 7.11 muestra dicho resultado.



5.- El Banco "NUNCA" le solicitará que informe de sus claves o datos a través del correo electrónico. Por tanto, cualquier mensaje en este sentido debe ignorarse por completo y borrarse lo antes posible. De lo contrario se corre el riesgo de caer víctima de alguna de las técnicas de phixing. La figura 7.12 muestra el contenido de uno de estos mensajes.

6.- Guardar las claves de acceso en secreto. Nunca las revele a nadie ni las anote en lugares visibles o de fácil acceso, como la pantalla, teclados, ni guardarlas en un documento del tipo claves-bancarias.txt.

7.- No utilizar claves de fácil deducción sino usar claves aleatorias y cambiarlas con cierta periodicidad, sobre todo, siempre que se intuya que pueden ser conocidas por otras personas o fueron utilizadas en lugares públicos. Este punto se puede ampliar en la web de Seguridad en la red. (Ver dirección en el apartado de materiales de la mesa de trabajo).

8.- Si se realiza alguna operación monetaria guardar una copia o imprimir la información. La mayoría de Web bancarias tienen esta función.

9.- Apuntar y comprobar (si no usa mucho la Banca por Internet) la fecha de la ultima vez que accedió a sus cuentas por Internet, esta opción no esta disponible en todos los bancos y deberíamos exigirla al Banco como medida de seguridad.



10.- Cuando se esté accediendo a la Banca por Internet no desatender las operaciones distrayéndose con otras cosas, es mejor bloquear el ordenador o apagarlo. Normalmente, las páginas Web de banca realizan la desconexión automática al cabo de cierto tiempo sin actividad.

11.- Cerrar la sesión cuando se termine de operar con la oficina virtual. 12.- Borrar la caché del navegador al finalizar la sesión (figura 7.13).



13.- Tener instalado algún programa antivirus y un cortafuegos y procurar mantenerlo actualizado.

14.- Siempre que se tenga alguna duda sobre alguna transacción o pago preguntar en la sucursal bancaria correspondiente donde le informarán y aconsejarán detalladamente de cómo acceder a su oficina virtual y de posibles cambios que se realicen en seguridad.

La salida de los Bancos y Cajas de Ahorro a Internet tiene una repercusión directa en dos elementos clave del negocio bancario: por un lado, los clientes obtienen servicios con gran eficacia, comodidad y a bajo coste, beneficiándose además de algunos servicios sólo disponibles por Internet, y por otro lado, las entidades financieras incrementan la productividad al prescindir de operaciones repetitivas en ventanilla que forman colas innecesarias, pudiendo destinar personal a otras tareas más productivas.

Por lo tanto, las ventajas inmediatas para el internauta son obvias:

‚ Mayor comodidad y flexibilidad: acceso desde casa o desde cualquier lugar usando el ordenador, a cualquier hora del día, sin necesidad de hacer colas.

‚ Menor coste: dado que las sucursales bancarias son cada día más caras de mantener, la mayoría de los bancos incentivan el uso de Internet y otros canales, reduciendo o incluso eliminando las comisiones en las operaciones efectuadas por este canal.

El servicio es completamente gratuito y se contrata en las oficinas del Banco o Caja o también a través de banca telefónica si ya es usted usuario de tal servicio. De hecho al prinicipio, prácticamente todos los bancos, con objeto de captar clientes, llegaron a ofrecer acceso gratuito a Internet.

La oferta de servicios resulta bastante uniforme en todas las entidades, sin que existan notables diferencias de unas a otras. Los más usados por los clientes (según algunas estadísticas, en torno al 60%) se reducen a una transposición a la Web de las operaciones más comunes realizadas habitualmente en la sucursal o en los cajeros, como son:

‚ Consultar los saldos de todos los productos que tenga contratados. ‚ Consultar los movimientos de cuentas corrientes, libretas de ahorro y de

sus Tarjetas. ‚ Consultar información fiscal referente a sus cuentas (rendimientos,

retenciones, etc.). ‚ Consultar el estado de sus domiciliaciones (detalle, bajas,

modificaciones). ‚ Solicitar moneda extranjera y talonarios. ‚ Valoración de su cartera de valores, resumen y detalle de inversiones y

rendimientos.



‚ Consultar la situación de todas sus tarjetas, solicitar tarjetas adicionales, comunicar bloqueos por robos o pérdidas, cambiar la forma de pago de las tarjetas de crédito (Visa y MasterCard).

‚ Consultar información sobre mercados financieros (mercado continuo, fondos de inversión, cotización de divisas, billetes y divisas a plazo).

‚ Consultar información de planes de pensiones (situación, últimos movimientos, información fiscal).

‚ Realizar transferencias a otras entidades y traspasos entre cuentas. ‚ Comprar y vender valores del mercado continuo y suscribir y reembolsar

participaciones de fondos de inversión, en tiempo real. ‚ Ordenar aportaciones extraordinarias a su plan de pensiones. ‚ Contratar fondos de inversión. ‚ Compra y venta de acciones y derivados.

Otros servicios más diferenciados son la recarga de tarjetas para teléfonos móviles (ver figura 7.14), compra de entradas para espectáculos, acceso a información del banco, como Juntas de Accionistas, memorias anuales, cuentas de resultados, etc.

Para disponer de una sucursal bancaria en casa a través de Internet necesitará los siguientes elementos:



‚ Un ordenador personal. ‚ Un módem. ‚ Un navegador. ‚ Acceso a Internet.

Todos los Bancos y Cajas se destacan por la importancia que conceden en sus páginas a pregonar la seguridad de su servicio de banca digital. Abruman a los clientes con información sobre servidores seguros, SSL, claves de acceso y firmas electrónicas. No obstante, no todos ofrecen la misma seguridad, por lo que conviene matizar este aspecto fundamental si se quiere cimentar una relación de confianza con los clientes, seriamente preocupados por su intimidad y la seguridad de su dinero.

Para garantizar la confidencialidad de las comunicaciones entre el Banco o Caja y el cliente, el servicio de banca digital utiliza un servidor seguro gracias al protocolo SSL, que se activa siempre al entrar al servicio a través de Internet mediante los navegadores tradicionales, como Internet Explorer y Netscape Communicator. Una vez iniciada la comunicación con el servidor seguro y establecido el canal SSL, toda la información que se transmite en adelante en ambos sentidos (desde el servidor del banco al navegador del cliente y viceversa) viajará cifrada por las redes de comunicaciones. En este punto es importante notar las restricciones de cifrado impuestas a los navegadores de exportación de EEUU, que reducen la longitud de las claves de 128 bits a tan sólo 40, limitando drásticamente la seguridad disponible.

Al utilizar el protocolo SSL con 128 bits se garantiza:

‚ Que el cliente está comunicando sus datos al servidor de su banco y no a cualquier otro que intentara suplantar a éste (ataque conocido como web spoofing).

‚ Que entre el ordenador del cliente y el servidor del banco, los datos viajan cifrados, evitando su posible lectura, comprobándose además su integridad, para prevenir su manipulación accidental o deliberada por terceros.

A pesar de los reclamos propagandísticos hay que comprobar siempre que la longitud de las claves usadas para cifrado son de 128 bits y no de 40 bits. En muchos bancos es posible encontrarse con que tras alardear de la seguridad inexpugnable de su servidor todavía se utiliza un canal SSL con cifrado débil de sólo 40 bits de clave para transmitir toda la información confidencial, incluidas sus claves de acceso. Esto significa que las contraseñas podrían caer fácilmente en manos de un intruso con recursos modestos, que podría suplantar nuestra identidad en próximos accesos al banco, ya que SSL sólo garantiza la identidad del servidor y no del cliente. Encontrará también terminología confusa y desorientadora, como es el caso de ciertas entidades, que dicen utilizar firmas electrónicas para proteger las operaciones más comprometidas, cuando en realidad la mal llamada firma electrónica no es sino una simple contraseña de varios dígitos que el usuario puede cambiar en cualquier momento. Desconfíe de las promesas de seguridad y compruébelas



por sí mismo. Si no cumplen sus expectativas, quéjese, sólo así mejorará el servicio.

Según la entidad, se permite consultar saldos y últimos movimientos o realizar operaciones más comprometidas, como transferencias a otras cuentas, domiciliaciones, compra-venta de valores, aportaciones a Fondos de Inversión o Planes de Pensiones, etc., para lo cual se pone al cliente en contacto con un gestor telefónico que le ayudará y asesorará durante el proceso.

Para acceder al servicio se marca un número proporcionado por la entidad al efecto (véase la tabla Servicios ofrecidos por los mayores bancos españoles). Para facilitar el acceso a sus datos es un requisito fundamental que el usuario se autentique previamente, para lo cual se le proporcionan una serie de contraseñas y claves de acceso que deberá revelar al operador telefónico que atiende su llamada, sea éste humano o un programa informático con reconocimiento y generación artificial de voz.

Estos servicios en general no añaden nada a lo que se ofrece en las propias oficinas del banco, más allá de la comodidad y flexibilidad de uso. De hecho, sólo suelen estar disponibles en horarios restringidos, aunque más extensos que los de las sucursales, al menos cuando se trata de servicios atendidos por operadores no humanos (los llamados gestores telefónicos). Para un listado exhaustivo de los servicios disponibles a través de banca telefónica, consulte la página Web de su banco o acuda a su oficina habitual, donde le informarán cumplidamente.

Este servicio es gratuito y para disfrutarlo es necesario firmar antes un contrato, tras lo cual se reciben las claves de acceso y a menudo también una tarjeta de coordenadas, utilizada para dotar de mayor seguridad al servicio (normalmente sólo se le requieren al cliente las coordenadas durante el transcurso de operaciones que involucren movimientos de fondos). El contrato se puede solicitar en las oficinas del propio banco o bien a través de Internet, visitando las páginas de la entidad. En un período de tiempo siempre inferior a 48 horas el cliente queda dado de alta y el servicio se encuentra operativo. Es muy recomendable que la primera acción sea cambiar las claves suministradas por el banco.

Una vez que la mayoría de los Bancos y Cajas terminaron por ofrecer a sus clientes las comodidades y ventajas de la banca telefónica, dos entidades lanzaron al mercado sendos bancos telefónicos con ficha bancaria propia y sin red de oficinas abiertas al público: el Grupo Argentaria con su Banco Directo (hoy BBVA net) y el Grupo Santander con Open Bank (hoy Patagon). (Ver direcciones en el apartado de materiales de la mesa de trabajo). Estos bancos poseen la peculiaridad de que, al eliminar las sucursales, pueden ofrecer mayor rentabilidad para el dinero de sus clientes y eliminación de todo tipo de comisiones y gastos de mantenimiento.



En esta misma línea, otras entidades han creado productos semejantes para ser comercializados exclusivamente a través de este canal, como ING DIRECT Banco Pastor, Bankinter, Caja de Cataluña, Ibercaja y la Kutxa. (Ver direcciones en el apartado de materiales de la mesa de trabajo).

La banca telefónica aún coexiste con la banca por Internet y lo hará por mucho tiempo. Todavía muchos españoles no disponen de ordenador o de conexión a Internet, mientras que un teléfono resulta omnipresente hoy en día. Por otro lado, el usuario medio siente un recelo ancestral hacia las máquinas, lo que conduce a una mayor confianza en el teléfono, en la medida en que en la mayoría de los casos cuenta con la importante baza de la presencia de una persona al otro lado de la línea, a la que poder realizar consultas y que atenderá las dudas de los clientes.

Paradójicamente, a pesar de la mayor confianza y seguridad que inspira la banca telefónica, lo cierto es que resulta mucho más vulnerable que la banca en línea por Internet: la línea telefónica se puede pinchar en todo su recorrido (tanto líneas internas en oficinas y edificios como externas, en la calle) y la escucha se puede realizar a distancia con total impunidad. Dado que las conversaciones con el gestor telefónico no se cifran, la entrega de las claves de acceso y de identificación puede ser escuchada con extremada facilidad.

Recuerde la próxima vez que utilice este servicio que es y que está , que podrían ser

utilizados para acceder ilegítimamente a su cuenta bancaria. Si le atrae la comodidad del servicio, sopese al menos el riesgo que entraña y decida si merece la pena correrlo.

Por su parte, los cajeros automáticos, de todos conocidos, fueron los primeros elementos computerizados de acceso remoto al banco de que dispusieron los clientes. Además de la retirada de dinero en efectivo y consulta de saldos y movimientos, muchos de ellos permiten hoy en día realizar operaciones avanzadas como carga de monederos electrónicos o tarjetas telefónicas, compra de entradas para espectáculos, transferencias y traspasos de cuentas, y otras muchas acciones que puede consultar con su banco.

Isitel ha fabricado en España el primer cajero mundial con acceso a Internet, que permite navegar por la Intranet del banco o por Internet mientras se realizan otras operaciones bancarias, como simplemente sacar dinero. Ya se están comercializando en todo el mundo y en nuestro país pueden verse instalados a modo de quioscos electrónicos en aeropuertos, grandes estaciones y hoteles.

En una sociedad en la que el número de usuarios de telefonía móvil supera con creces al de usuarios de Internet e incluso al de abonados de líneas fijas, este canal está cobrando cada vez mayor importancia para el éxito futuro de los proveedores de servicios bancarios.



Fue a finales de 2000 cuando algunos Bancos y Cajas como Banco Sabadell, La Caixa, Banesto, Banco Santander, Caja Rural de Almería, Caixa Terrasa y Caja Rural de Valencia, fueron los pioneros en lanzar servicios de telebanca móvil que permitían a los clientes cada día más exigentes disfrutar de servicios de valor añadido además de los mismos servicios de telebanca fija convencionales. Los usuarios equipados con un teléfono móvil GSM capaz de recibir y enviar mensajes cortos de texto (SMS), pueden acceder cómodamente desde cualquier lugar donde se encuentren y a cualquier hora del día o de la noche a una serie de funciones como:

‚ Consulta de información bancaria: listado de cuentas, saldos y movimientos, gasto acumulado de su tarjeta de crédito, etc. La petición de información se puede realizar de dos maneras :

o Con mensajes de texto: se envía un mensaje de texto al número que su banco o caja le indique y se recibe otro mensaje de texto con la información solicitada.

o Con llamada telefónica: se llama al número que su banco o caja le indique (desde un teléfono fijo o desde su móvil), solicita la recepción de la información y la entidad financiera se la hace llegar en un mensaje de texto.

‚ Programación para la recepción automática de información bancaria de interés para el cliente.

‚ Programación para la recepción automática de alarmas cuando los saldos de sus cuentas rebasen a la alza o a la baja las cantidades que el cliente determine, cuando se produzca en su cuenta un ingreso o un gasto o, incluso, cuando tenga un descubierto en alguna de sus cuentas.

Cada vez que la entidad envía a su cliente un mensaje, su teléfono móvil emite un sonido que avisa al usuario de la llegada del mismo. Su longitud no puede superar los 160 caracteres, pero para este tipo de aplicación es más que suficiente. La inmediatez de este servicio (los mensajes se reciben instantáneamente en el terminal móvil del cliente) permite que el usuario tome decisiones y actúe en un tiempo mínimo.

Este servicio de telebanca GSM no lleva asociados gastos de activación ni cuotas mensuales adicionales. El precio de las llamadas y de los mensajes es el habitual, sujeto a las variaciones horarias, que deberá consultar con su operadora telefónica. Tan sólo se necesita un terminal GSM con capacidad de recepción y envío de mensajes cortos, característica ofrecida por todas las operadoras y soportada en la práctica totalidad de modelos.

Con la tecnología WAP, este servicio ha quedado obsoleto aunque algunas entidades lo siguen manteniendo. Gracias a esta tecnología, los bancos ofrecen a sus clientes servicios financieros inalámbricos seguros y altamente personalizados.

El cliente obtiene todas las ventajas del acceso a servicios de banca en Internet, pero sin necesidad de disponer de una conexión fija ni de un ordenador, por lo que puede accederlos en el tren o en el coche, mientras



espera en el aeropuerto o pasea por la montaña. No se requieren conocimientos de informática ni hay que configurar complicados programas. La navegación con el móvil es intuitiva y el software necesario ya está instalado de serie en el teléfono.

Por su parte, los bancos y cajas pueden ofrecer servicios totalmente nuevos y rentables, como la presentación y pago de facturas a través del teléfono móvil, consulta instantánea a mercados bursátiles y compra-venta de acciones, además de todos los servicios disponibles para Internet, sin gastos adicionales importantes para las entidades puesto que WAP aprovecha la inversión ya realizada en soluciones bancarias por Internet. El único límite viene impuesto por la imaginación de los Bancos y Cajas a la hora de ofertar servicios novedosos y especialmente atractivos para aumentar sus ingresos y la fidelidad de sus clientes.

Con el advenimiento de los móviles de tercera generación, haciendo uso de la tecnología UMTS (Universal Mobile Telecommunications Standard) ya es posible conseguir velocidades de transmisión de varios megabits por segundo (frente a los modestos 9.6 Kb/s del GSM), abriendo la puerta a aplicaciones multimedia de gran ancho de banda. Los teléfonos de este tipo están equipados con pantallas más grandes de mayor resolución y harán del ordenador portátil una herramienta de la prehistoria informática. Queda por ver cómo aprovechará el sector bancario las nuevas posibilidades.

Tanto GSM como WAP y UMTS proporcionan un espectro básico de mecanismos de seguridad para garantizar la adecuada protección tanto de la operadora como del cliente. Básicamente, los servicios de seguridad suministrados por la telefonía móvil GSM son:

‚ : de esta forma, no resulta fácil identificar al usuario del sistema. Se utilizan identificadores personales temporales.

‚ : la operadora conoce con fines de tarificación quién está usando el sistema (quién es el poseedor de la tarjeta). Utiliza una técnica de cifrado basada en el mecanismo de "Desafío y Respuesta", usando el algoritmo de autenticación A3.

‚ : la información confidencial transportada por el canal de señalización, como números de teléfono, viaja protegida sobre el interfaz de radio.

‚ , para que la información que viaja por radio esté protegida de oídos indiscretos. Se utiliza la serie de algoritmos A5, tras ponerse de acuerdo en la clave de sesión usando el algoritmo A8.

Los datos que circulan entre la pasarela WAP y el servidor de información HTTP se cifran usando un canal seguro convencional con SSL con 128 bits de clave. De esta forma, se consigue una seguridad global que en muchos casos es más robusta que la lograda mediante transacciones convencionales a través de Internet.



Así como los servicios de banca en línea no aportan ninguna ventaja significativa respecto a las ventanillas (exceptuando la comodidad y disponibilidad a cualquier hora del día), Internet sí que ofrece un valor añadido para los clientes: la información bursátil en tiempo real y la contratación de acciones y productos derivados.

Internet permite acercar la Bolsa a los pequeños inversores y convertir la pantalla de su ordenador en el parquet de cualquiera de las bolsas del mundo. Gracias a Internet, ya no es necesario acudir a la sucursal o la gestoría para realizar operaciones bursátiles. En España ya existen numerosos sitios que suministran con facilidad y rapidez al usuario los siguientes servicios:

‚ Acceso directo a mercados especializados.

‚ Cotizaciones en tiempo real.

‚ Tipos de interés de mercado.

‚ Compra y venta de acciones y derivados en tiempo real.

‚ Visualización de precios de instrumentos financieros domésticos para el inversor personal.

‚ Visualización histórica gráfica de la evolución de estos precios.

‚ Noticias económicas más relevantes.

Además de las entidades bancarias han proliferado las agencias de valores (brokers on line) o intermediarios financieros que operan a través de Internet, cuya gestión activa y mantenimiento de carteras está siendo ofrecida a precios muy competitivos. Nunca hasta ahora ha sido tan sencillo e inmediato invertir en bolsa. Los brokers on line, además del acceso, proporcionan asesoramiento, análisis detallados y la posibilidad de compra-venta en los momentos más oportunos a los mejores precios. El cliente puede seguir desde su ordenador o teléfono móvil todo el proceso, desde el momento que da la orden hasta su liquidación.

Las páginas de los brokers on line están compuestas, normalmente, de dos zonas:

‚ Una abierta, de acceso gratuito para clientes o no del servicio, en la que se proporciona información genérica sobre los mercados, índices internacionales y liquidez de valores extranjeros.

‚ Otra privada, sólo para clientes, donde se puede gestionar la propia cartera, comprar y vender acciones y productos derivados, recibir asesoramiento personalizado y noticias de interés.

El primer banco en España en permitir a sus clientes la compra-venta de valores en el mercado continuo fue Bankinter en 1997. Desde entonces, se han ido sumando otras entidades y sociedades, ofreciendo servicios de intermediación financiera de segunda generación, que amplían la operativa y el rango de acciones que el usuario puede realizar desde su casa.

Las páginas financieras pueden subdividirse en tres categorías:



‚ Páginas de entidades bancarias (eBankinter, Banesto Broker, etc.). ‚ Páginas de información general y gratuita (Infomercados, Megabolsa,

Bolsamanía, Invertia, etc.).(Ver todas las direcciones en la mesa de trabajo).

‚ Páginas de agencias independientes (SelfTrade, Renta 4, etc.).

Como ejemplo de funcionamiento de un broker on line, analicemos las posibilidades que ofrece RENTA 4, (ver dirección en el apartado de materiales de

la mesa de trabajo), para lo cual, en la pantalla principal se hace clic sobre los iconos Hazte Cliente – Pruébanos 15 días. Pulsando esta última opción aparece una ventana (figura 7.15) con todos los servicios de BOLSA VIRTUAL (bolsa simulada).

Tras rellenar y enviar el formulario con los datos personales se recibirá un correo electrónico con una password con la que se puede operar de forma virtual (simular operaciones) durante 15 días. Si se elige la opción Hágase Cliente hay que continuar con Si es cliente nuevo pulse aquí >> y elegir una de las tres modalidades de apertura de cuenta. Normalmente, se elige de la de Cliente como persona física. Por último, se rellena el formulario, se envía y al cabo de unos días ya se puede contratar una cartera de valores con la que operar.



Entre los servicios que Renta 4 ofrece como cliente se encuentran los siguientes:

‚ Cotizaciones en tiempo real de los valores del IBEX 35.

‚ Cotizaciones en tiempo real de los mercados internacionales de futuros.

‚ Señales de compra/venta de acciones.

‚ Listado de índices internacionales.

‚ Extractos de movimientos.



‚ Las tres principales modalidades de comercio electrónico son: Empresa-Consumidor (Business to Consumer, B2C), Empresa-Empresa (Busines to Business, B2B) y Empresa-Empleado (Business to Employee, B2E).

‚ Los beneficios del e-commerce para la empresa son: crecimiento de mercado, reducción de costes, reducción de tiempos de producción, posición estratégica (competitividad), amortización a corto plazo y percepción por parte del cliente.

‚ Entre las ventajas del comercio electrónico para el cliente figuran: disponibilidad, velocidad, comodidad, flexibilidad, economía y atención especializada.

‚ SSL es un medio de pago que proporciona cifrado de datos, autenticación de servidores, integridad de mensajes y, opcionalmente, autenticación de cliente para conexiones TCP/IP.

‚ Entre los inconvenientes de SSL se encuentran: ofrece un canal seguro para el envío de números de tarjeta de crédito pero carece de capacidad para completar el resto del proceso comercial, sólo garantiza la confidencialidad e integridad de los datos mientras éstos se están transfiriendo, ni antes ni después y permite realizar ataques mediante el empleo de servidores de comercio creados de forma ficticia cuyo único objetivo es averiguar números de tarjeta que corresponden a cuentas reales.

‚ SET es un protocolo estándar ampliamente respaldado por la industria y diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet.

‚ En una transacción SET intervienen: el banco emisor, el banco adquiriente, el titular de la tarjeta, el comerciante, la pasarela de pagos, el procesador (redes de medios de pago) y la autoridad de certificación.

‚ Entre los medios de pago con dinero electrónico se encuentran: Cybercash, Ecash, Paypal y Epagado.

‚ Los micropagos son un viejo intento de cobrar a los usuarios de Internet por los contenidos que disfrutan. La idea es cobrar cantidades muy pequeñas, del orden de un céntimo de euro, o incluso una fracción de esa cantidad, por cada página visitada. Los micropagos podrían ser una solución al problema de muchos sitios web pequeños y medianos que no ganan con publicidad lo suficiente como para sobrevivir.

‚ El monedero electrónico consiste en una tarjeta que incorpora un pequeño chip en el que se almacena un valor monetario de prepago que puede ser gastado en cualquier comercio que haya instalado un lector de tales tarjetas.

‚ Las normas de seguridad para operar a través de la banca electrónica son: evitar acceder sede sitios públicos, hacer casos de los consejos de seguridad de las entidades, tener actualizado el navegador, asegurarse de la conexión es un sitio seguro, tener en cuenta que el banco nunca va a solicitar claves o datos a través de Internet, usar claves preferentemente aleatorias, guardar una copia impresa de las transacciones realizadas, anotar la fecha de la última transacción, no permanecer conectado sin



actividad, cerrar la sesión cuando finalice la transacción, borrar la caché del navegador, tener instalado un antivirus y un cortafuegos y consultar con la entidad bancaria siempre y cuando se dude de alguna transacción efectuada.

‚ Los servicios de seguridad suministrados por la telefonía móvil actual son: anonimato, autenticación, protección de señalización y protección de los datos de usuario.

‚ Entre los servicios ofrecidos por la bolsa on-line, cabe destacar: acceso directo a mercados especializados, cotizaciones en tiempo real, tipos de interés de mercado, compra y venta de acciones y derivados en tiempo real, visualización de precios de instrumentos financieros domésticos para el inversor personal, visualización histórica gráfica de la evolución de estos precios y publicación de las noticias económicas más relevantes.

Cap 6 Seguridad Comercio Electrónico

Documents

Transcript of Cap 6 Seguridad Comercio Electrónico