Mecanismos Pago

Mecanismos de Pago y Aspectos de Seguridad

1.- Cuestiones Generales sobre el Pago por Internet

Es indudable que uno de los elementos fundamentales en el comercio en general, y en

el comercio electrónico en particular, es la realización del pago correspondiente a los

productos o servicios adquiridos.

En este ámbito el comercio electrónico presenta una problemática propia de un

sistema de compra no presencial, es decir, en aquella en la que las partes no se

reúnen físicamente para realizar la transacción: el comprador debe tener garantía

sobre calidad, cantidad y características de los bienes que adquiere, mientras que el

vendedor debe tener garantía del pago, y la transacción debe tener un aceptable nivel

de confidencialidad. En el comercio electrónico se añade otro requerimiento, que

habitualmente no se tiene en cuenta en otros sistemas de compra no presencial, que

es el hecho de que el cliente tenga garantía de que nadie pueda, como consecuencia

de la transacción que efectúa, suplantar en un futuro su personalidad realizando otras

compras en su nombre y a su cargo.

Por ello los vendedores están desarrollando grandes esfuerzos para garantizar la

confidencialidad del pago y la imposibilidad de suplantación futura mediante la

implantación de métodos que asocien varios sistemas de seguridad entre sí, por

ejemplo, una tarjeta de crédito con el móvil personal, o una tarjeta bancaria con claves

específicas para cada una de las personas.

2.- El mecanismo de compra en el comercio electrónico

El comercio electrónico implica una operación de compra enmarcadas en una serie de

etapas que, por lo general, se llevan a cabo: el cliente ingresa a la red mediante su

ordenador, localiza un producto o servicio que quiere adquirir en el nodo B2C en

cuestión (tienda virtual, etc.), crea un carro o cesta de compra de bienes a adquirir a

través de dicha web, la tienda ejecuta la gestión de cobro y, una vez hecho esto,

procede a la entrega del producto / servicio que el cliente haya solicitado. El siguiente

esquema refleja este proceso:

Realmente siempre es el banco de cada una de las partes el que realiza la transacción

económica. Son los TPV respectivos los que se ponen en contacto para realizar la

operación, por dos motivos: seguridad y fiscalidad.

Así, cuando hablamos de los aspectos de seguridad del comercio electrónico debemos

tener en cuenta los elementos esquematizados en el siguiente cuadro:

Protección de comunicaciones Criptografía simétrica

• Sustitución• Permutación• Esteganografía• Mixtos

Funciones Hash. Criptografía asimétrica. Firmas digitales. Certificados electrónicos. Sistemas de encriptación.

• PGP.• SET.

SSL.

Medios de pago Tarjetas. Cajeros virtuales Tarjetas-monedero. Monederos virtuales. Pagos telefónicos. Pagos con Móvil Cheques electrónicos. Cobro por servicios web

Protección de datos Cortafuegos o Firewalls. Antivirus. Reglas de seguridad e Integridad.

Autentificación.

3.- Sistemas de pago en Internet

Los comercios on line tienen diferentes estrategias en torno a la forma de pago que

nos permiten realizar. Generalmente nos ofrecen varias alternativas para efectuar el

pago: contra reembolso, transferencia bancaria, e-cash, pago por móvil, etc. Una de

las barreras, tanto tecnológica como psicológica, para el éxito del comercio electrónico

es el mecanismo de pago. Mientras perdure la desconfianza y los internautas teman

al fraude, desconozcan los sistemas de pago empleados y su fiabilidad, el despegue

definitivo del comercio electrónico tardará en llegar.

Para el comercio electrónico los sistemas de pago deben cumplir cinco requisitos

básicos:

a) Autenticación (comprador, vendedor e intermediario deben poder

comprobar mutuamente que son quienes dicen ser).

b) Autorización (los agentes deben poder demostrar la autoridad para

ofrecer, transferir o aceptar el pago).

c) No repudiación (la transacción debe realizarse de forma que

comprometa a todos los agentes para que éstos no puedan negarla o

deshacerla).

d) Integridad de los datos (los documentos de la transacción deben estar

de manera que no puedan ser alterados de forma fraudulenta); y

protección de datos (los agentes deben mantener la confidencialidad

de información en las transacciones, para evitar que ésta pueda ser

utilizada).

e) Atomicidad: la transacción se realiza completa o no se realiza. Si en

cualquier momento cualquiera de los sistemas de comprador o

vendedor detectan cualquier anomalía, la transacción se cierra y no se

realiza.

Más adelante analizaremos cada uno de estos aspectos más detenidamente, cuando

estudiemos los aspectos de seguridad en las transacciones. En este sentido las

entidades financieras innovan constantemente y desarrollan medios de pago ad hoc

que permiten llevar a cabo transacciones eficientes y seguras. Los métodos más

extendidos hoy para el intercambio electrónico de dinero son analizados a

continuación.

3.1.- Contra reembolso

Es el único medio de pago utilizado en el comercio electrónico que implica la

utilización de dinero en efectivo, y es un medio que garantiza la entrega de los bienes

antes del pago. Desde el punto de vista del vendedor este medio conlleva dos

inconvenientes: la necesidad de recolectar físicamente el dinero y el retraso en el

pago.

La tienda Agapea contempla el contrarrembolso como forma de pago. Fuente: www.agapea.com

3.2.- Transferencia Bancaria

Esta modalidad consiste en que el usuario puede pagar a la tienda efectuándole un

ingreso en su cuenta bancaria, como vemos en la siguiente imagen. No se diferencia

de una transferencia ordinaria realizada en el banco, la ventaja es que hoy en día

cualquier banco ofrece la posibilidad de realizar transferencias electrónicas desde

nuestra cuenta electrónica o, incluso, desde nuestro móvil.

Fuente: www.discoweb.com

3.3.- Monederos electrónicos

Son tarjetas prepago, que contienen un fondo de pago materializado en un chip que

tienen incorporado y en el que se almacenan elementos o unidades de valor

previamente añadidas con cargo a nuestra propia cuenta bancaria. El importe siempre

es determinado, pudiendo su propietario ir gastando hasta que se agota.

Las tarjetas monedero son útiles para los micropagos, es decir, pagos de pequeñas

cantidades. Realmente es como si tuviéramos un monedero real, sin necesidad de

llevar dinero físico. No se trata de una tarjeta tradicional de plástico y con banda

magnética, por lo que sólo puede ser usada a través de aquellos canales que no

requieran una presencia física, como Internet. Brinda la posibilidad de recargar el

saldo mediante la red de cajeros automáticos.

Su principal ventaja es su accesibilidad a todos los públicos, y también es relevante

que sea un medio que permita mantener el anonimato. Un ejemplo de este medio es

una iniciativa del Banco Santander Central Hispano, que lanzó la tarjeta virtual y de

prepago e-cash, aceptada en cualquier comercio de Internet al contar con la marca

MasterCard, y puede recargarse a través de la red de cajeros 4B o del servicio de

Banca por Internet.

Las tarjetas monedero pueden ser utilizarse en tiendas, máquinas expendedoras

automáticas, parquímetros, teléfonos públicos y aparatos de televisión interactivos

(entre otros múltiples posibles usos), y esa versatilidad es una de sus grandes

virtudes.

Pero presentan un inconveniente para su uso en Internet: es necesario que los

usuarios dispongan un lector de este tipo de tarjetas en su ordenador. Actualmente

existen estos lectores y tienen un precio muy económico, pero no parece que su uso

este próximo a generalizarse.

El peor inconveniente se presenta en la falta de estándares, ya que las tarjetas

inteligentes son -en general- incompatibles entre ellas. De esta forma debemos tener

una para los teléfonos, otra para la televisión, otra para el aparcamiento, etc. Es por

esta razón que ahora mismo es imposible poner en nuestro ordenador un lector de

tarjetas universal. Ni las tiendas virtuales pueden disponer de todos los sistemas de

lectura que se necesitarían para aceptar las tarjetas inteligentes disponibles en el

mercado. Por eso su futuro se ve más para su uso interno en las empresas, dentro del

ámbito de servicios de comedor, combustible, etc.

3.4.- Monederos virtuales

Los monederos virtuales son programas de ordenador que actúan de forma similar a

los monederos electrónicos antes citados. Están asociados a una tarjeta de crédito

(con cargo a la que se recarga) y a un certificado digital, situado en la máquina desde

la que se realiza la compra. La ventaja adicional con respecto a los pagos con tarjeta

es que se adaptan a pagos de muy pequeño importe.

Existen multitud de sistemas diferentes, por lo que al no existir un estándar su uso no

se ha popularizado. En general, todos los sistemas requieren que el comprador haga

un prepago inicial, es decir, que recargue el monedero. La información de la cantidad

disponible para gastos queda almacenada en el ordenador del consumidor, y es por

ello que estos sistemas están usualmente asociados a un banco determinado.

Un caso especial fue el de las monedas electrónicas. En un tiempo fueron muy

populares (CiberCash, CyberCoin, DigiCash, Millicent), y aunque la mayoría de ellas

han dejado de funcionar, no significa que en el futuro no se regrese a su uso.

Veamos cómo es un sistema de funcionamiento básico. Los demás ofrecen pequeñas

diferencias con respecto a éste.

MONEDERO VIRTUAL

Paso 8

Paso 3

Paso 2

Cuenta delcliente

Cuenta delvendedor

Paso 1

InternetInternet

Paso 7

Paso 4

Paso 6

Paso 5

a) El comprador adquiere el dinero electrónico del banco o entidad emisora

recargando su monedero desde su cuenta.

b) El dinero electrónico son ficheros que llevan incorporado un número, Y

cada número identificativo representa una cantidad. Estos ficheros quedan

almacenados en nuestro ordenador.

c) El comprador envía una copia del dinero electrónico al vendedor a través de

SSL.

d) El comerciante envía los datos de la transacción al banco emisor.

e) El banco emisor comprueba la validez del dinero electrónico y anota su uso.

f) La cuenta del vendedor es abonada.

g) El banco confirma al vendedor la operación.

h) El vendedor hace el envío de la mercancía.

3.5.- Las tarjetas de crédito y el TPV Virtual

Generalmente es el más problemático en cuanto a confianza, dado que el pago se

realiza mediante tarjeta de crédito. Poco a poco su uso se está consolidando, al

asociarse con otros modos de pago. Un ejemplo del uso de la tarjeta de crédito para

transacciones electrónicas es el TPV virtual: Terminal punto de venta mediante tarjetas

o pasarela de pagos virtual.

Imagen del TPV virtual del sitio web del Corte Inglés. Fuente: www.elcorteingles.es

Un Módulo de Pago (TPV Virtual) tramita la autorización de los pagos con tarjetas de

manera on line, utilizando el Servidor Seguro del Banco (SSB), que preserva la

confidencialidad de los datos de la tarjeta. Para dicha autorización de la operación se

tendrán en cuenta los siguientes datos, que se verificarán previamente a la concesión

de la autorización: el número que consta en la Tarjeta (PAN), la fecha de caducidad y

el importe.

El TPV comunica inmediatamente el resultado de la operación tanto al comercio como

al cliente, lo que permite el procesamiento de devolución de operaciones de pagos por

el propio comercio, y se realiza el cierre de las operaciones, periódicamente y de

forma automática, abonando el importe correspondiente a las operaciones autorizadas

en la cuenta que el comercio mantenga abierta en el Banco.

El siguiente esquema muestra el funcionamiento de un TPV virtual:

a) El usuario escoge el producto o productos que desea comprar en el

comercio (sitio web de la tienda).

b) Cuando el usuario quiere formalizar el pago, el comercio pasa al banco

los datos de la compra donde tiene contratado el TPV .

c) El banco informa al usuario cómo va a ser su compra, según la tienda

virtual.

d) El usuario acepta la compra y se identifica al banco con los datos

confidenciales.

e) El banco valida al cliente con una autoridad certificadora.

f) En función de la validación el banco informa al cliente y al comercio del

resultado de la transacción.

g) El comercio recoge el resultado y envía el pedido al cliente, siempre y

cuando la transacción se haya efectuado con normalidad.

Para vincular el TPV virtual con el sitio web de la tienda virtual, hay que efectuar unos

pequeños cambios en el website que permitirán el pago de manera segura, explicados

en un documento que se brinda al comercio y que contiene todo tipo de información

relativa tanto a la transacción como al código fuente del programa a situar en el web

del comercio (para los sistemas operativos más comunes), además de contar con el

soporte técnico de personal especializado en la integración del TPV.

Para realizar el pago mediante tarjeta de crédito se han implementado algunos

protocolos, que veremos detenidamente más adelante, para que nuestros datos viajen

seguros.

Las ventajas del TPV virtual son, por un lado, posibilitar al comerciante el manejo de

transacciones comerciales con tarjetas en tiempo real, obteniendo la respuesta

(autorización o denegación) para el comercio y para el cliente. Además, brinda al

comercio un mecanismo amplio para aceptar las más importantes tarjetas de crédito

en circulación, así como conocer el estado de las operaciones.

Por otro lado, al usuario final comprador le asegura que nadie pueda usar sus datos de

forma fraudulenta, ya que éste garantiza la información sobre la tarjeta viaja oculta.

3.6.- Pagos a través del teléfono móvil

Teniendo en cuenta, por un lado, la exigencia de incrementar la eficiencia, la

seguridad y la aceptación de los medios de pago actuales en Internet y, por otro lado,

el reconocimiento del importante rol que el teléfono móvil representa en el día a día de

los consumidores, ha surgido la necesidad de fomentar plataformas de pago de las

compras en Internet a través del teléfono móvil.

Un ejemplo de dicha plataforma de pagos en España es Mobipay, sistema constituido

a través de una alianza entre 90 entidades financieras españolas (Bancaja, Banco

Sabadell, Banco Popular, Banesto, Bankinter, Barclays Bank, BBVA, Cajamadrid,

Kutxa, BSCH, Unicaja, etc,), las tres compañías operadoras de telefonía móvil

(Orange, Vodafone y Telefónica Móviles), y las tres sociedades de medios de pago

que operan en nuestro país (EURO6000, SERMEPA Y SISTEMA 4B). Esta plataforma

de pago móvil tiene como objetivo impulsar un mecanismo único de pago seguro

mediante el teléfono móvil en España. La siguiente figura muestra un ejemplo de

proceso de compra en Internet a través de Mobipay.1

1 Mobipay España. Ponencia en SIMO TCI, Madrid, Noviembre de 2002.

El teléfono móvil surge, de esta manera, como una solución al pago on-line de

pequeñas cantidades o micropagos, teniendo en cuenta que de otra forma los bancos

aplican una cantidad mínima a cada transacción on line. Además, el usuario no tiene

que introducir ningún dato relativo a sus medios de pago en Internet, autoriza cada

transacción mediante la introducción de su número secreto personal, y no requiere

contar con un software especial en su ordenador.

Veamos un ejemplo de pago por referencia en Internet, con el teléfono móvil, y

mediante la plataforma de Mobipay. En el ejemplo, compraremos unas bolas de golf.

Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 200

2.

Luego de escoger el producto a comprar y de rellenar los datos de envío (y toda la

información adicional que habitualmente se nos suele pedir), es cuando llegamos a

pagar normalmente: nos metemos en el TPV virtual del banco, donde el usuario puede

introducir su número de tarjeta de crédito (para pagar con tarjeta) o hacer clic en la

opción de pago con Mobipay (una de las dos), como vemos en la siguiente imagen.

Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

Haciendo clic en la opción de pagar con Mobipay aparecerá -como vemos en la

siguiente imagen- una referencia, es decir, una ristra de números.


El usuario entonces teclea en su teléfono la ristra de números que le dan como

referencia del producto en la página web donde está comprando, y lo envía a través de

su móvil.


Automáticamente al usuario le llega un mensaje a su teléfono, como el que vemos en

la imagen a continuación, e indica que se trata de una compra por referencia Mobipay,

el nombre del comercio (en este caso Visa Shopping), dice también la cantidad de

euros, además del medio de pago por defecto elegido por el usuario (donde se le hará

el cargo), y se le pide que autorice la transacción introduciendo el NIP (Número de

Identificación Personal elegido), o bien que teclee 99 para elegir otro medio de pago.


El usuario generalmente utiliza su medio de pago por defecto, con lo cual solamente

introduciendo su NIP, y automáticamente llega la confirmación al teléfono móvil

indicando que la compra se ha realizado en forma correcta, como vemos a

continuación.

Fuente: Mobipay España. Conferencia en SIMO TCI, Madrid, Noviembre de 2002. Así mismo, en la página web del comercio también se confirma la operación, como

puede apreciarse en la siguiente imagen.


3.7.- Pagos mediante Tarjeta + Móvil + TPV

Existe otro formato de pago con móvil que esta siendo implantado por las entidades

financieras, ya que los métodos tipo Mobipay no han tenido demasiado éxito. El

método consiste en asociar nuestra tarjeta con nuestro móvil, de forma que siempre

que realicemos una compra, en cualquier tienda virtual, debamos enviar un mensaje

desde nuestro móvil con la clave de acceso de la tarjeta. El funcionamiento es el

siguiente:

a) Una vez accedemos al sistema de pago TPV insertamos nuestro número de

tarjeta.

b) El TPV nos envía un mensaje a nuestro Móvil solicitándonos que enviemos

nuestra clave como contestación a su mensaje.

c) Si transcurren más de dos minutos desde la recepción del mensaje y no

contestamos, la transacción se elimina.

d) Si enviamos el mensaje con una clave correcta, el sistema confirma la

transacción.

La ventaja de este sistema es que es más confiable: el usuario tiene más confianza en

su banco que en una empresa de la que nunca ha oído hablar y, además, se le exige

una doble confirmación. Este sistema se está extendiendo a cualquier operación que

el usuarios realiza a través de su cuenta electrónica, sea compra o no. Por ejemplo, si

hace una transferencia a un familiar, el importe de la operación, hora y concepto se

envían por SMS al móvil del usuario. De esta forma, con este tipo de servicios, se

intenta en general mejorar la confianza de los usuarios frente a los servicios digitales.

3.8.- Pagos por e-mail o Pagos a través de terceros

Este sistema permite al usuario registrarse una sola vez con su cuenta bancaria o su

tarjeta de crédito, para posteriormente realizar anónimamente abonos con cargo a esa

cuenta o tarjeta. Estos abonos se ordenan mediante el suministro de una dirección de

correo electrónico de la empresa o persona que va a recibir el dinero. El intermediario

se encarga de proteger la transacción y avisar al beneficiario, enviándole un mensaje

cifrado y solo para él a través de Internet.

El inconveniente es la necesidad de que vendedor y comprador tengan previamente

una cuenta en el sistema. Bankinter ha preparado un sistema, llamado "epagado"

(http://www.epagado.com/) que realiza estas operaciones.

Fuente:www.epagado.com

Otra forma de pago con email consiste en hacer que un tercero sea el que pague por

nosotros. Existen sistemas, como Paypal, que permiten pagar a través de ellos, y de

esta forma solo tenemos que introducir nuestro número de tarjeta o cuenta en un solo

sitio, ya que Paypal se encarga de pagar a la tienda y de cobrarnos a nosotros. Lo

único que debemos hacer es abrir una cuenta en Paypal, que no es un banco, ya que

no almacena nuestro dinero, pero si actúa como tal a la hora de realizar una compra.

Si decidimos pagar a través de Paypal solo tendremos que suministrar nuestra clave

de usuario e indicar a quien realizamos el pago.

Este tipo de mecanismo de pago aporta el valor de vencer el miedo psicológico

habitual de dar el número de tarjeta de crédito en Internet, cosa que muchos usuarios

aún temen. Estos sistemas evitan riesgos, ya que de esta manera el usuario no

introduce ningún dato de su tarjeta en Internet, sino que únicamente tiene que hacer

clic en la opción de comprar con Paypal, Mobipay y/o luego confirmar la compra con

su teléfono móvil.

Desde el punto de vista del comercio estos sistemas conllevan la ventaja de que la

transacción no es repudiable, el cliente no puede decir que no ha hecho la transacción,

puesto que en estos casos el cliente se ha autenticado mediante la introducción de

algún tipo de PIN. Esto es una ventaja con respecto al pago en Internet con tarjeta de

crédito, pues en este último caso una persona que conoce el número de tarjeta y fecha

de caducidad de otra puede llegar a usarla para comprar por Internet, y ese tipo de

fraude repercute, finalmente y de manera negativa, en el comercio electrónico.

www.paypal.es

Los procesos de autentificación y autorización que se producen en cada transacción

hacen que el riesgo de fraude se reduzca al mínimo, garantizando el no repudio de la

transacción para el comercio.

Otro modelo de plataforma de pago móvil es Paybox. El mecanismo de pago en

Internet a través de esta plataforma es similar al de Mobipay: haciendo clic en la

opción de pagar con Paybox (normalmente indicado con el logotipo Paybox),

introduciendo el número de móvil y siguiendo las instrucciones cuando el móvil suene,

para confirmar la operación mediante código secreto.

Fuente: www.quesos.com

Fuente: paybox España

Así mismo, este mecanismo ha sido pensado para brindar tanto a tiendas como a

consumidores mayor agilidad y seguridad no solamente en los pagos por Internet, sino

también para pagar con móvil en las máquinas de vending y en las tiendas físicas.

El sector de la telefonía móvil es el medio que ha tenido mayor crecimiento por su alta

penetración entre la población como por ofrecer la posibilidad de pagar tanto a

distancia como físicamente. Este sistema de pago se ha implantado como un

mecanismo seguro, ya que identifica al titular de la compra a través del móvil y

confirma cada transacción mediante un número secreto dependiente de su tarjeta y de

su banco, no de la tienda virtual.

3.9.- Cheques electrónicos

Los cheques electrónicos son la trascripción de los cheques tradicionales al

ciberespacio. Normalmente deben ir acompañados de una firma electrónica. El

consumidor envía una orden de pago al vendedor, que la presentará al banco emisor

para autenticarla y cobrarla. Son utilizados para pagos de cantidades importantes y

tienen un coste muy bajo. De momento se están usando en Francia y Estados Unidos

y, sobre todo, en comercio B2B para grandes pagos entre empresas.

3.10.- Cobro de servicios web por acceso

Uno de los modelos de cobro más directo en internet es el de los sistemas de pago de servicios prestados con cargo a cuentas telefónicas. Hay diversas

modalidades:

a) Con cuentas de valor añadido. Son los números de teléfono que generan

un ingreso para el que recibe la llamada, con cargo al que la inicia. En

España son los números que empiezan en 803, 806 y 807. La forma más

sencilla de utilizar esta posibilidad es proteger la página de Internet cuyo

acceso quiere cobrarse mediante una clave. Para conseguir la clave el

usuario tiene que hacer la llamada telefónica de valor añadido.

En ocasiones la conexión al servicio de Internet solo será posible mientras

dure la llamada telefónica. Este modelo se ha difundido mucho con la

aparición del ADSL y la banda ancha, que permiten navegar y hablar por

teléfono a la vez.

En la actualidad se están combinando estos servicios con telefonía móvil

3G, para recibir o acceder al mismo tipo de servicios desde cualquier

terminal móvil. La empresa contrata con operadores móviles este servicio

para ofrecérselo a sus clientes como un valor añadido.

Fuente:entumovil.net

b) Mediante modem o dialers. Para acceder a las páginas el cliente debe

conectarse mediante modem a un proveedor de acceso a Internet con un

número de valor añadido. Con este sistema el precio del servicio depende

exactamente de la cantidad de tiempo que lo esté usando. El comerciante

recibe información en tiempo real de las conexiones a sus páginas,

indicando la procedencia y los ingresos que dichas conexiones le reportan.

c) Con mensajes SMS. Enviando un determinado mensaje SMS a un número

de teléfono. Por ejemplo, enviando desde nuestro móvil el texto 'juego tetris'

al número 9999, obtendremos como respuesta inmediata una clave con la

que podremos descargar un archivo para jugar o un software. El coste para

el cliente puede estar en torno a un euro. El comerciante recibirá

aproximadamente el 50%. Puede establecerse un límite al tiempo de

validez de la clave obtenida.

Uno de los más graves inconvenientes de estos sistemas es que su coste debe ser

repartido con tres intermediarios: la compañía telefónica, el proveedor del servicio y el

banco. Algunas de las empresas que ofrecen estos servicios son Micropagos, sepomo

y softonic.

Fuente: http://www.sepomo.com/es/bienvenida.php

Se estima que esta tendencia se mantenga hasta finales de la década, no tanto

porque haya algún problema con los sistemas de pago electrónicos, sino hasta que

toda la cadena de suministro no esté incorporada en la red de pagos automáticos, el

pago mediante cheque y transferencia seguirá siendo el único posible.

4.- Los sistemas de pago en el Comercio Electrónico B2B

En general los sistemas de pago que se utilizan para las transacciones a través de

Internet con otras compañías que son proveedores, mayoristas o socios (B2B) no son

diferentes a los usados en el entorno off line: Simplemente se adecuan y adaptan a los

sistemas para poder utilizarse en Internet.

Las entidades financieras brindan a los nodos B2B una plataforma de pagos que

soporta el cierre de las transacciones de pago o cobro en línea a través de tarjeta de

crédito, domiciliación, adeudo en cuenta, transferencia, etc. En este tipo de

transacciones B2B, no es imperativo que las partes sean clientes de la entidad

bancaria, sólo es necesario que lo sea el intermediario principal (marketplace o

mercado B2B).

No obstante, y a pesar de que los mecanismos de pago on line ya están dispuestos y

los beneficios de su uso son claros, actualmente en España los pagos en el comercio

electrónico Business to Business son incipientes y la canalización de las transacciones

habituales entre compañías a través de Internet está siendo un proceso más lento de

lo que las perspectivas de los expertos vaticinaban, ya que los marketplaces se utilizan

más para negociar e informar que para concluir operaciones, que siguen cerrándose

económicamente off line.

En términos de volumen de transacciones, el 82% de los más de 9.000 millones de

pagos realizados2 fueron efectuados en cheque ordinario, mientras que solo el 13%

fue pagado a través de las redes electrónicas, el resto 5% se hizo en otros formatos.

Si lo medimos en dólares en el total de las transacciones, el 65% se pago en cheques,

mientras que el 34% fue efectuado a través de las redes de pago electrónicas, en

forma de transferencias.

2 Datos UE y EEUU.

5.- Aspectos de seguridad de las transacciones en Internet

Es evidente que la gran utilidad que tiene Internet de conectar unos servidores con

otros y poder así compartir la información a aquellos usuarios que lo deseen, puede

por otra parte convertirse en una gran amenaza en términos de seguridad en la

transferencia de datos. Este es, sin duda, uno de los mayores frenos al despegue del

comercio electrónico entre los usuarios, teniendo en cuenta que de los medios de

comunicación nos llegan noticias que cuentan los ataques de hackers a datos

personales, siendo uno de los más comentados el acceso ilegal a los códigos de las

tarjetas de crédito de Bill Gates, gurú y magnate del imperio Microsoft.

Tales noticias generan gran desconfianza en el internauta, potenciadas por el hecho

de que la premisa fundamental de los vínculos comerciales tradicionales es conocer a

la otra parte y en la Red, en algunos casos, se desconoce con quién se está tratando.

Podemos identificar tres etapas diferenciadas de la seguridad en Internet. Por un lado,

la seguridad en la conexión (asegurarnos que la dirección a la que nos dirigimos

corresponde realmente a la empresa a la que deseamos hacer el pedido); en segundo

lugar, seguridad en la transacción (no debe ser posible interceptar los datos que

estemos transmitiendo durante la comunicación por la Red entre nuestro ordenador y

el servidor de la tienda); y, por último, seguridad permanente (puesto que los datos

personales quedan almacenados en las bases de datos de la tienda, se debe evitar

que se ataquen estas bases de datos).

Internet es una red intrínsecamente insegura, pero esto no significa que no sea factible

realizar transacciones con total seguridad; lo que quiere decir es que es preciso

atender, de manera especial en este entorno, los fallos de seguridad que pudiesen

ocurrir. Para ello actualmente existen tecnologías que posibilitan lograr en Internet el

grado de seguridad esencial para llevar a cabo todo tipo de transacciones.

En las redes abiertas como Internet es preciso prestar atención a la seguridad de

todos los componentes que intervienen en la misma.

En el siguiente esquema examinaremos los tres componentes elementales (el cliente,

el servidor y la red de comunicaciones que les pone en contacto entre sí), sobre los

que es necesario centrar el enfoque al hablar de seguridad, y de qué forma son

potencialmente vulnerables.

Componentes básicos de las transacciones en una red abierta

Cliente Comunicaciones Servidor

Factor

de

posible

Inseguridad

Acceso de personas no autorizadas a un puesto de trabajo.

Ejecución de programas malignos, con intención de generar daños.

Interceptar los datos en alguno de los sistemas informáticos a través de los que son transmitidos.

Alteración de los datos en su camino por un servidor intermedio.

Reemplazo del servidor o del cliente por un sistema maligno.

Acceso a datos almacenados en él, por parte de personas no autorizadas.

Ingreso al servidor por parte de diversos tipos de piratas informáticos con el fin de ocasionar daño.

Robo de datos del servidor por parte de algún intruso.

Los fallos de seguridad en la configuración del servidor que posibilitan estas ofensivas.

6.- Condiciones necesarias para la seguridad en el Comercio Electrónico

En Internet, para garantizar la seguridad de las transacciones, es preciso tomar

medidas para encarar los siguientes problemas: la confidencialidad o privacidad de los

datos, la integridad de su contenido, la autenticidad de las partes intervinientes, y la

confiabilidad.

En cuanto al primero de los aspectos mencionados, el de la confidencialidad,

diremos que consiste en evitar que un tercero pueda acceder a la información enviada.

Los datos delicados de los clientes y usuarios, tales como datos personales, sobre sus

pedidos, información del pago, etc., sólo deben ser leídos por el comprador y el

vendedor, de manera que si alguien los interceptara en la red no pueda descifrarlos.

Esto se consigue gracias a técnicas de encriptación y cifrado de los datos, que

examinaremos en detalle en este capítulo.

En cuanto a la integridad de la información, implica evitar que un tercero pueda

modificar la información enviada sin que lo advierta el destinatario. Es decir, que ésta

no haya sido alterada ni por errores de transmisión ni por acciones malintencionadas.

Ello se consigue mediante la huella electrónica o digital de los mensajes.

En lo concerniente a la autenticidad, consiste en permitir a cada lado de la

comunicación probar fehacientemente que el otro ha participado en la misma, e

implica la seguridad acerca del autor de cada información, mensaje o documento, para

que éste no pueda repudiar haber sido su autor. En el caso de no repudio de origen, el

remitente del mensaje no puede negar haberlo enviado. En el caso de no repudio de

destino, el destinatario del mensaje no puede negar haberlo recibido. Este

inconveniente se soluciona mediante la firma electrónica del mensaje o documento.

El último aspecto de la seguridad en las transacciones tiene que ver con la

confiabilidad a través de la identificación mutua del cliente y del servidor, que permita

a cada lado de la comunicación asegurarse de que el otro lado sea realmente quien

dice ser.

La identificación del cliente generalmente se resuelve a través del uso de claves de usuario y contraseñas, y la del servidor se logra mediante certificados digitales.

Para lograr instaurar un sistema de confianza en la red, es decir, establecer la

confiabilidad, se ha de montar un sistema de fedatarios electrónicos emisores de

dichos certificados, las terceras partes confiables.

La siguiente figura resume los factores problemáticos en el ámbito de la seguridad en

las transacciones:

Aspectos de Seguridad

Solución: Antivirus y copias de seguridad

Solución: Firewalls y otras

Solución: Funciones Hash

Solución: Claves asimétricas

Fedatarios

Cifrado

Firmas Digitales

Seguridad en el almacenamiento de datos

o Frente a destrucción

o Frente a intrusos

Seguridad en la transmisión de los datos

o Integridad

o Privacidad

o No repudio

o Autenticidad

o Confidencialidad

o Confianza

7.- ¿Cómo funcionan los métodos de cifrado?

La herramienta básica para cumplir las condiciones anteriores de seguridad, son las

técnicas criptográficas de cifrado, las cuales consisten en unos modelos matemáticos

que posibilitan cifrar los mensajes mediante unas claves. Los métodos de cifrado más

utilizados son:

a) Los métodos de cifrado simétrico: usan una misma clave secreta para

cifrar y descifrar. Son muy poco utilizados por sus inconvenientes.

b) Los métodos de cifrado asimétrico: cada usuario tiene una pareja de

claves, una pública y otra privada, con la propiedad de que lo que se

cifra con una de las claves sólo se puede descifrar con la otra.

La criptografía de clave asimétrica o pública fue creada en 1976 por los

matemáticos Whit Diffie y Martin Hellman, y es la base de toda la criptografía moderna.

Utiliza dos claves complementarias entre sÍ, llamadas clave privada y clave pública.

El principal problema que presentan los sistemas de cifrado simétrico no está ligado a su seguridad, sino al intercambio de claves. Una vez que el remitente y el destinatario hayan intercambiado las claves pueden usarlas para comunicarse con seguridad, pero ¿Qué canal de comunicación “seguro” han usado para transmitirse la clave entre sí? A un atacante le resultaría mas fácil intentar interceptar una clave que probar las posibles combinaciones del espacio de claves. Otro problema es el número de claves que se necesitan. Si tenemos un número n de personas que necesitan comunicarse entre ellos, entonces se necesitan n(n-1)/2 claves para cada pareja de personas que tengan que comunicarse de modo privado. Esto puede funcionar con un grupo reducido de personas, pero sería imposible llevarlo a cabo con grupos más grandes.

La parte codificada con una clave privada necesita su correspondiente clave pública

para ser desencriptada. Al revés, lo que se ha codificado con la clave pública

solamente puede ser desencriptado con la clave privada.

Las claves privadas deben ser conocidas únicamente por su propietario, mientras que

la correspondiente clave pública puede ser dada a todo el mundo. Si queremos enviar

un mensaje de forma que sólo él destinatario pueda entenderlo, debemos codificarlo

con la clave pública del equipo que envía. El receptor utilizará su clave privada, que

solo él tiene, para poder leerlo. Pero otra posible utilidad del sistema es garantizar la

identidad del remitente. Si enviamos un mensaje codificado con la clave privada, el

receptor necesitará la clave pública del remitente para descifrarlo. Es posible combinar

ambos: El remitente puede enviar al receptor un mensaje codificado dos veces, con la

clave privada del remitente y con la clave pública del receptor. Así se consigue

garantizar la identidad del emisor y del receptor.

La criptografía asimétrica está basada en la utilización de números primos muy

grandes. Si multiplicamos entre sí dos primos grandes, el resultado obtenido no puede

descomponerse en factores fácilmente, es decir, utilizando los métodos aritméticos

más avanzados en los ordenadores más modernos sería necesario hacer cálculos

durante miles de millones de años, utilizando tantos ordenadores como átomos existen

en el universo.

El proceso será más seguro cuanto mayor sea el tamaño de los números primos

utilizados. Los protocolos modernos de encriptación, tales como SET y PGP, utilizan

claves generadas con números primos de un tamaño tal que los hace completamente

inexpugnables.

El problema de las claves asimétricas es que cuando el texto a tratar es largo el

proceso de codificación es muy lento y, al revés, la descodificación. Los protocolos

modernos codifican el texto base con una clave simétrica tipo DES o IDEA y utilizan

las claves asimétricas para la comunicación de la clave simétrica utilizada. Cuando un

texto se codifica mediante una clave simétrica y se envía esta clave codificada con la

clave pública del receptor, el resultado se llama “sobre digital”.

Estos sistemas, también conocidos como sistemas de clave pública, permiten

además cumplir los requisitos de integridad del mensaje, autenticidad y no repudio del

remitente utilizando firmas digitales. En otro apartado de este capítulo analizaremos

más detenidamente los principales rasgos de este tipo de firmas.

La infraestructura necesaria para el uso de los sistemas de clave pública, incluyendo

las autoridades de certificación, se llama Infraestructura de Clave Pública o PKI (Public Key Infrastructure).

Para saber si la conexión es segura y si está siendo cifrada, debemos ver en la página

Web los siguientes elementos:

Debe aparecer un candado cerrado en la barra de estado del navegador.

Debe poner en la barra de direcciones https:// en lugar de http://.

En la figura anterior se muestra como ejemplo una compra en el sitio web de El Corte

Inglés, en la que pueden apreciarse estos dos elementos identificativos de una

conexión segura.3

Haciendo doble clic con el botón izquierdo del ratón sobre el candado que aparece en

la barra de estado podemos consultar el tipo de cifrado que se está empleando así

como la autoridad de certificación que emitió el certificado para esa tienda.

3 Extraído de www.elcorteingles.es.

8.- Mecanismos de certificación y firma digital

8.1.- Certificados digitales

Los certificados digitales se utilizan como medio de identificación tanto de servidores

como de clientes. Un certificado digital establece la relación entre un nombre distintivo

y una clave pública, estando tal relación certificada por un fedatario, denominado

Autoridad Certificadora. En la figura podemos ver un certificado personal.

Los certificados digitales utilizan un formato estándar perfectamente determinado.

Siguiendo el estándar X.509, tienen los siguientes campos:

a) Versión.

b) Número de serie.

c) Identificador del algoritmo empleado para la firma digital.

d) Nombre del certificador (el que emite el certificado).

e) Período de validez.

f) Nombre del sujeto.

g) Clave pública del sujeto.

h) Identificador único de certificador.

i) Identificador único de sujeto.

j) Extensiones.

k) Firma digital de todo lo anterior generada por el certificador.

Hay otros tipos estándar de certificado que se están desarrollando y que permiten

incluir más campos. Por ejemplo, las entidades bancarias están trabajando en

certificados para empresas cliente que contenga información sobre su liquidez, nivel

de operativa, rango de riesgo, para que de esta forma un sistema experto pueda

evaluar operaciones sin intervención humana.

Todos estos campos citados aparecen firmados por la Autoridad Certificadora. El

motivo por el cual la identificación es considerada válida radica en la confianza,

depositada por las partes en la transacción, en la entidad emisora de la identificación.

Los certificados emitidos por una Autoridad de Certificación son, de esta manera,

verdaderos elementos cruciales para crear la confianza en Internet.

Los clientes y los comercios deben contar con este certificado digital a fin de

manifestar a su posible interlocutor cuál es su identidad. Ante cualquier inquietud se

puede solicitar a la organización emisora del certificado que verifique la información

que aparece en el mismo.

8.2.- Entidades certificadoras

Las Autoridades de Certificación tienen un papel fundamental a la hora de garantizar la

legitimidad de los participantes en el contexto del comercio electrónico seguro, puesto

que son los entes encargados de emitir los correspondientes certificados digitales a

dichos participantes (titulares, comercios y pasarelas de pago).

Las funciones de una Autoridad de Certificación deben ser entonces, entre otras, las

siguientes:

a) Generación y Registro de claves.

b) Identificación de peticionarios de certificados.

c) Emisión de certificados.

d) Almacenamiento de claves privadas.

e) Mantenimiento de las claves vigentes y revocadas.

Revocar un certificado es anular su validez antes de su fecha de caducidad (por

ejemplo, cuando el titular del certificado cree que su clave privada ha sido

comprometida y puede ser conocida por otras personas). Cualquier firma posterior a la

fecha de anulación es, por lo tanto, inválida, y tampoco deberá encriptarse con esa

clave pública tras la revocación.

Los números de serie de los certificados revocados (junto a sus respectivas fechas

efectivas de revocación) son publicados (firmados) por la Autoridad de Certificación

emisora, de forma periódica, mediante las denominadas listas de revocación.

Principales Autoridades de Certificación en España

http://www.ace.es

http://www.camerfirma.com

http://www.feste.com

http://www.cert.fnmt.es/certifi.htm

http://www.ipsca.es

http://www.verisign.com

8.3.- Tipos de certificados

En la actualidad existen distintos tipos de certificados, aplicables a casos concretos de

empresas o particulares.

Certificado de pertenencia a empresa

El certificado digital de pertenencia a empresa garantiza la identidad de la persona física titular del certificado, así como su vinculación a una determinada entidad en virtud del cargo que ocupa en la misma. Este certificado no otorgará por si mismo mayores facultades a su titular que las que posee por el desempeño de su actividad habitual.

Certificado de representante

El certificado digital de representante es emitido a favor de una persona física representante de un determinada entidad. El titular del certificado se identifica no únicamente como persona física perteneciente a una empresa, sino que añade su cualificación como representante legal ó apoderado general de la misma.

Certificado de persona jurídica

Se trata de un certificado digital emitido a favor de una entidad jurídica, que podrá ser utilizado cuando se admita en las relaciones que mantenga la persona jurídica con las Administraciones públicas o en la contratación de bienes o servicios que sean propios o concernientes a su giro o tráfico ordinario.

Certificado para factura electrónica

Certificado exclusivo para facturación electrónica, básicamente atendiendo la necesidad de las grandes empresas que buscan la seguridad del certificado para la emisión de facturas electrónicas. No permite realizar ningún otro tipo de trámite distinto a la facturación electrónica, ni con la Administración ni entre empresas en nombre de la empresa.

Certificado de servidor

Los certificados de servidor cumplen dos funciones fundamentales. Primero, certifican que un dominio se ha registrado a nombre de la entidad identificada en el certificado (no suplantación). En segundo lugar, debido al empleo del protocolo SSL, garantiza que la comunicación entre el cliente y el servidor es totalmente confidencial y que no podrá ser interceptada ni modificada por un tercero.

Certificado de apoderado

El certificado de apoderado para firma electrónica reconocida indica la relación de apoderamiento entre la persona física y la entidad responsable del certificado. Los apoderamientos específicos serán accesibles por referencia dentro del certificado, aunque se ofrecerá un código indicativo del tipo de apoderamiento en el mismo. Este certificado se diferencia del certificado de representante en que el apoderado dispone de una relación de poder de representación total.

Certificado de sello de empresa

Este certificado se asocia a una máquina y ofrece garantías técnicas de autenticidad de origen e integridad, y que el equipo que compramos es autentico y genuino de la marca requerida. Es adecuado para la firma de comprobantes de recepción electrónicos, firma de newsletters o comunicaciones de empresa, firma de blogs y backups, etc.

8.4.- Firma Digital

Un documento firmado manualmente consta de dos elementos que lo hacen único. El

primero es la rúbrica, que es algo que solo nosotros sabemos hacer y que un experto

en grafología puede identificar. Y, en segundo lugar, firmamos en todas las hojas para

impedir que se puedan hacer añadidos al documento original.

Aunque nos parezca que no es cierto, las comunicaciones electrónicas permiten un

sistema de firma mucho más segura que nuestra propia firma manuscrita u ológrafa.

Las firmas digitales consisten en una función resumen del texto codificada con nuestra

clave privada. Este sistema garantiza, a la vez, nuestra identidad y que el texto no ha

sido modificado en ninguna forma tras la firma.

A la firma electrónica de un mensaje se la denomina también huella electrónica del documento (hash en inglés). De esta forma, el mensaje va encriptado con la clave

privada del emisor, y se añade el resumen cifrado al final del mensaje. A continuación,

el mensaje más la firma (el resumen cifrado) se envían encriptados con la clave

pública del destinatario.

El algoritmo que se utiliza para obtener el resumen del mensaje debe cumplir la

propiedad de que cualquier modificación del mensaje original, por pequeña que sea,

dé lugar a un resumen diferente. Si el resumen es diferente el mensaje es falso y no

proviene del emisor original.

Por lo tanto, la firma electrónica vincula el texto con su autor, garantizando al mismo

tiempo que no ha sido alterado y que ha sido generado verdaderamente por su autor.

Permite entonces comprobar la identidad del remitente, la integridad del documento, la

autoría y autentificación del mismo, preservando simultáneamente la confidencialidad.

De las anteriores definiciones podemos destacar las siguientes características de la

firma electrónica o digital:

No puede ser generada más que por el emisor del documento, infalsificable

e inimitable.

Debe permitir la identificación del firmante, dando lugar al concepto de

"autoría electrónica", como la manera de determinar que una persona es

quien dice ser.

La firma electrónica va unida indisociablemente al documento a que se

refiere.

Las informaciones que se generen a partir de la firma electrónica deben ser

suficientes para poder validarla, pero insuficientes para falsificarla.

9.- El DNI electrónico o eDNI

La Ley 59/2003, de 19 de diciembre, de firma electrónica, convierte a España en un

ejemplo a seguir por otros países. Con esta Ley se persigue alcanzar diversas

ventajas para los ciudadanos.

En primer lugar, se trata de crear un documento que certifique la identidad del

ciudadano no sólo en el mundo real, sino también ante transacciones telemáticas,

permitiendo firmar todo tipo de documentos electrónicos. “…Mediante un dispositivo

seguro de creación de firma, la firma electrónica que se efectúe mediante el DNI

electrónico tendrá efectos equivalentes a los de una firma manuscrita”4. Para ello el

DNI va de un chip que contiene la firma electrónica. Se ha diseñado en coordinación

con los proyectos europeos de identificación digital, para de esta forma fomentar la

confianza en las transacciones electrónicas.

El proyecto finalizará cuando todas las Administraciones Públicas y Entidades de

Derecho Público vinculadas o dependientes de las mismas, sean capaces de

reconocer el DNI electrónico. Algunas gestiones que podremos desarrollar serán las

siguientes:

Preparar la declaración de la renta.

Solicitar de títulos oficiales.

Matrículas online en universidades.

Solicitar un certificado de empadronamiento.

Realizar un registro de nacimientos.

Reclamar el derecho a la pensión.

Compras a través de Internet.

4 Ministerio de Fomento, “Sobre el DNI electrónico”

“…El Documento Nacional de Identidad electrónico tiene un aspecto similar al de una

tarjeta de crédito, lo que le dará la capacidad de identificar al ciudadano, así como

ofrecerle la posibilidad de firmar documentos electrónicos, será lo que se ha

denominado Certificado de Identidad Pública. Este certificado irá incorporado en el

DNI, y además de identificar al ciudadano (autenticación), garantizará que la

información no ha sido alterada (integridad) y que el ciudadano ha realizado la

transacción (no repudio)”5.

5 Ministerio de Fomento, “Sobre el DNI electrónico”

Al instalarse el programa por primera vez se generan automáticamente las claves

privada y pública del usuario. La clave pública se distribuye automáticamente por

bases de datos de todo el mundo, y este hecho en sí mismo es su mayor fuente de

seguridad. La clave privada queda almacenada en el ordenador de forma muy segura,

y el programa de correo queda automáticamente transformado para poder enviar y

recibir mensajes codificados.

El usuario tan solo tiene que escribir el mensaje e indicar su(s) destinatario(s) en la

forma habitual. En el momento de enviarlo tendrá la opción de incluir una firma digital o

de enviarlo codificado. En este último caso se necesitará disponer de la clave pública

del destinatario que puede ser buscada en cualquier servidor de claves de PGP, con la

seguridad de que solo lo recibirá esa persona o el ordenador que tiene esa clave

única.

10.- Protocolos de seguridad en las transacciones: PGP, SSL y SET

Como hemos visto anteriormente, uno de los puntos críticos de los procesos de pagos

a través de Internet se produce cuando el comprador envía al vendedor su número de

tarjeta de crédito a través de esta red pública potencialmente insegura.

Para asegurar esta transferencia de datos se utilizan algunos estándares o protocolos.

Los más utilizados son el protocolo PGP, el SSL y el protocolo SET, los cuáles

analizaremos a continuación.

10.1.- El protocolo (Pretty Good Privacy)

PGP es un protocolo de seguridad creado en los 90 por Phill Zimmerman. La

exportación del sistema fuera de los Estados Unidos fue para su creador el inicio de un

largo proceso judicial, acusado de exportación de productos de valor estratégico, y le

convirtió en un mártir del ciberespacio. En la actualidad las versiones más avanzadas

del programa PGP siguen sin poder ser exportadas legalmente fuera de los Estados

Unidos, pero su código fuente es considerado un artículo científico que puede ser

divulgado y compilado en el exterior, por lo que en todo el mundo puede disponer de

ellas.

El programa PGP es gratuito para el uso no comercial y accesible en www.pgpi.com.

Es el sistema más utilizado en todo el mundo, tanto por usuarios particulares como por

grandes empresas. Las versiones modernas son extraordinariamente amistosas con el

usuario y se comunican con los programas de correo electrónico más habituales, por

ejemplo Outlook. En la imagen puede verse las opciones de configuración.

Fuente:Rediris, Una de las impulsoras de PGP en España

Cuando el usuario recibe un mensaje codificado, el programa PGP lo descifra y

comprueba su integridad, mostrando al usuario un breve informe, y avisando en el

caso de que haya detectado cualquier anomalía. El proceso es normalmente muy

breve, pues dura menos de un segundo.

10.2.- El Protocolo SSL y STP

El protocolo de seguridad SSL (Secure Sockets Layers) fue creado por Marc

Andreessen, el diseñador de Mosaic y Netscape. SHTTP se desarrolló más tarde, con

las mismas características. Actualmente todos los navegadores de Internet están

preparados para comunicarse con estos protocolos y, en especial, con SSL a través

del protocolo https.

El protocolo SSL utiliza el método de cifrado asimétrico RSA, que se ha mencionado

anteriormente en este módulo. Su regla de funcionamiento se fundamenta en encriptar

los datos que el usuario rellena en un formulario de una página web, y transferirlos por

la red hasta el servidor de comercio electrónico, lo que imposibilita interceptarlos por

algún tercero cuando son transmitidos mediante Internet.

La tienda virtual que acepte pagos mediante estos sistemas debe tener instalado un

software de servidor seguro SSL. Este software puede obtenerlo en entidades como

VerySing.

El vendedor, además, tiene que disponer de un par asimétrico de claves, certificadas

por una autoridad. El comprador no necesita tener ni claves, ni certificados, ni saber

como funcionan.

Cuando el usuario accede con su navegador a una tienda virtual con SSL se inicia

automáticamente una fase de reconocimiento. El servidor envía su clave pública y

certificación. El navegador cliente recibe estos datos y se prepara para la

comunicación con sistema de seguridad.

El usuario, de una forma totalmente transparente, introduce sus datos y pulsa el botón

para enviarlos. En ningún momento el usuario recibe ninguna indicación diferente a las

habituales.

El navegador codifica estos datos mediante una clave simétrica. La función resumen

de los datos y la clave simétrica son codificadas con la clave pública que acaba de

recibir del vendedor. El resultado de estas operaciones es enviado al vendedor. De

esa forma, los datos introducidos por el usuario viajan a través de Internet encriptados,

de tal forma que únicamente la tienda virtual podría desencriptarlos.

Los sistemas SSL y SHTTP tienen la gran ventaja de la absoluta transparencia para el

usuario, que no necesita ningún tipo de software instalado ni conocimientos previos

sobre el tema. Queda garantizada plenamente la identidad del vendedor y que sólo él

recibirá los datos. En cambio, presentan un grave inconveniente: no se puede

garantizar la identidad del comprador, por lo que puede producirse el repudio de la

transacción.

En la actualidad la mayoría de las empresas que venden en Internet utilizan este

sistema, tanto para la venta como para la seguridad de todas sus transacciones.

Se puede encontrar información adicional y software abierto para su instalación en

http://www.openssl.org/

Para instalar el sistema SSL en un servido, podemos acudir a los servicios de

empresas como VerySign. Esas empresas facilitan, además, certificados de seguridad

SSL, lo que permite a los visitantes o clientes de un sitio web acceder a la siguiente

información sobre su empresa:

El dominio al que se ha concedido el certificado de seguridad SSL. A través

de ellos los visitantes de un sitio web pueden comprobar que el dominio

tiene realmente un certificado de seguridad y está en vigor.

Saber quién es el propietario del certificado. Esta comprobación aumenta

notablemente la confianza del usuario en una web, ya que podemos

conocer en cualquier momento qué empresa real está detrás de la

transacción comercial.

Conocer la situación geográfica del propietario del dominio y el sitio web,

factor sumamente importante a la hora de llevar a cabo transacciones

económicas o transmisiones de datos a través de la red.

10.3- El Protocolo SET (Secure Electronic Transaction)

SET es un protocolo elaborado por iniciativa de VISA y MasterCard, al que se

adhirieron inicialmente un gran número de grandes bancos y empresas de software de

todo el mundo. Se preveía que, en poco tiempo, se generalizaría su uso, pero varios

años después de su puesta en marcha observamos que sigue sin generalizarse su

uso, y los expertos no ven probable que sea utilizado en el futuro.

En principio el sistema SET es similar al PGP. La principal diferencia con respecto al

sistema PGP es que en el sistema SET cada clave pública va asociada a un

certificado de autenticidad emitido por una autoridad de certificación (AC).

Los certificados de autenticidad, también llamados certificados digitales y

credenciales electrónicas, son documentos digitales que atestiguan la relación entre

una clave pública y un individuo o entidad. Las AC asumen la responsabilidad de

garantizar que los individuos o instituciones acreditadas son de hecho quien dice ser.

Las AC, a su vez, están certificadas por una autoridad superior, formándose así una

jerarquía de autoridades de certificación SET. La jerarquía está formada por la raíz

(SET Root CA) que ha emitido certificados solo a unas pocas autoridades de nivel

superior llamadas SET Brands, entre las que están las siguientes: American Express

Company, Cyber-COMM, JCB Company Limited, Maestro, MasterCard International,

Nippon Shinpan Company Limited, PBS International A/S/Dankort, y Visa International.

Estas autoridades de nivel superior, a su vez, acreditan AC de nivel inferior y

directamente a los comerciantes (merchants) y compradores propietarios de tarjetas.

Obsérvese que estas certificaciones tienen un coste, y que los bancos deben pagar un

precio a esas AC para, a su vez, poder revender certificaciones SET a sus clientes.

Ese complejo sistema de intermediarios certificadores, y el papel secundario de los

bancos, es posiblemente una de las razones del fracaso de SET.

Mecanismos Pago

Documents

Transcript of Mecanismos Pago