Seguridad en las compras por Internet

Protocolo SET

 

 

 

Introducción

Nadie esperaba que Internet, creciera al ritmo exponencial de los últimos años. Sus posibilidades para el comercio fueron rápidamente vislumbradas por los más astutos y en un tiempo récord pasó a transformarse en teatro de transacciones comerciales, financieras y de todo tipo. Debido a las necesidades comenzaron a surgir preguntas como:

¿Qué método resulta más cómodo e inmediato para pagar?

¿Al usuario le preocupa la seguridad?

¿Qué canal seguro usar para transmitir el número de la tarjeta?

Fue así como en poco tiempo se comenzaran a desarrollar normas que permitieran satisfacer estas necesidades

 

 Al realizarse las ventas de un producto o servicio por Internet nos encontramos con una gran cantidad de problemas como son:

1) Dificultad en darse a conocer, es necesaria una buena campaña de publicidad y por tanto es necesario hacer un gran esfuerzo económico en éste aspecto.

2) Forma de pago es necesario facilitarle un medio de pago instantáneo al cliente

3) Desconfianza de los consumidores en el medio de pago. Sin embargo en la actualidad existe una gran facilidad y rapidez en la anulación cuando se producen hechos de pérdida o robo.

El comercio electrónico presenta los mismos problemas que otros sistemas de compra no presénciales (como el teléfono o la compra por catálogo), en los que las partes no contactan físicamente.

Donde el comprador necesita tener garantías sobre la calidad y características de los productos que adquiere, el vendedor garantía del pago y debe existir un nivel aceptable de confidencialidad en la comunicación entre ambos.

 

La clave para la solución de ventas de productos por Internet, es la seguridad

 

1.- Formas de pago por Internet

 

Entre la forma de pago tenemos:

1) Tarjeta de crédito o débito con la consiguiente comisión del banco.

 

2) Tarjetas inteligentes que son aquellas tarjetas que incorporan un circuito integrado y cuyo contenido, una vez leído por el lector correspondiente, permite que el usuario tenga acceso a una serie de prestaciones.

La tarjeta inteligente almacenará el efectivo, información identificativa, las llaves de la casa y la oficina, billetes de metro, y todo tipo de archivos de preferencias y otra información. Servirá para intercambiar esa información y productos digitales con otras personas, para realizar transacciones, identificarse ante agentes de policía, pagar en un hotel o concierto, y todo lo que pueda imaginar.

 

3) Tarjetas monedero (recargables o de un único uso), es decir, tarjetas prepago emitidas por entidades de crédito, que contienen un microchip y que básicamente permiten el almacenamiento de una determinada cantidad de dinero a voluntad del titular de la tarjeta.

 

4) Dinero electrónico, enviado por las entidades financieras al usuario para que este lo almacene en su ordenador pudiendo disponer del mismo en el momento de la compra.

Los sistemas de pago electrónicos no monetarios serán suficientes para algunas transacciones; para otras, la moneda digital será más eficiente, por ejemplo, microtransacciones así como compras anónimas. Además, la moneda digital es muy flexible ya que puede hacerse que se comporte igual que los cheques electrónicos o efectivo según la situación. Los cheques electrónicos o tarjetas de crédito digitales serán inútiles si su información de pago sensible se borrag, o serán costosas si esa información está oculta y necesita un elaborado proceso de verificación.

 

5) Pago mediante el móvil (teléfonos móviles), el usuario valida la operación a través de un mensaje corto (SMS) desde su móvil, que ha sido asociado previamente a una tarjeta de crédito.

La finalidad de todos estos sistemas es la de permitir pagos en Internet sin necesidad de que el usuario tenga que introducir continuamente sus datos bancarios en la misma agilizando así el tráfico comercial.

 

6) Los sistemas para micropagos consisten en la compra por anticipado de dinero o en la liquidación periódica de una cuenta, son muy necesarios en el medio virtual, donde cada vez hay más productos digitales (informes, periódicos en PDF, música, vídeos, etc.) con precios pequeños.

 

1.1 Agrupación de las formas de pago

 

Los sistemas de pago electrónico podemos agruparlos en tres grupos basándonos en la información que se transmite online.

 

1) Esta forma de pago utiliza un tercero de confianza que mantiene toda la información sensible (como el número de cuenta y los números de la tarjeta de crédito) para sus clientes, lo que incluye tanto a vendedores como a compradores.

 

2) El segundo tipo es una extensión de la convencional transferencia de fondos. En las transacciones con tarjeta de crédito o cheques, la información sensible se intercambia. Por ejemplo, proporciona la tarjeta de crédito a un comerciante, quien envía el número de tarjeta por la línea telefónica y espera confirmación. Los bancos mientras tanto reciben la misma información y ajustan las cuentas del vendedor y comprador en consecuencia. La información que se transmite online en este caso está encriptada por seguridad.

 

Este tipo de pago se está convirtiendo en el sistema de pago online más popular porque los consumidores están familiarizados con este sistema y los actuales operadores se han interesado en extender este sistema a Internet.

 

Tiene como desventaja que alguien podría cometer fraude espiando el mensaje (número de tarjeta de crédito) y haciendo compras con cargo a la tarjeta de crédito

 

3) El tercer tipo incluye variantes del efectivo digital, dinero y monedas electrónicas. Lo que distingue a estos sistemas de los otros dos no es simplemente preservación de la identidad, sino el hecho de que lo que se transfiere es "valor" o "dinero" en sí mismo. Con la moneda digital, interceptar un mensaje es un "robo" de la propiedad, no sólo de información.

 

2. Sistemas de Seguridad

                      Los sistemas de seguridad que se implementan actualmente se pueden dividir en dos grupos:

 

2.1. Canales seguros de comunicación.

Son aquellos que agrupan un conjunto de protocolos que garantizan la confidencialidad y la integridad de las comunicaciones vía red, entre los cuales tenemos:

 

a). SHTTP (Secure Hipertext Transfer Protocol), que da soluciones de seguridad a las conexiones HTTP.

b). El protocolo SSL (Secure Socket Layer), diseñado e implementado por Netscape, que proporciona sesiones de comunicación encriptadas y autenticación del servidor.

c). El protocolo de Microsoft, (PCT) muy parecido al de su competidor pero compatible con varios protocolos.

 

 

2.2. Sistemas de claves.

Es una de las aplicaciones más importantes ya que el usuario puede ejecutar una clave desde cualquier lugar de la red para así obtener la seguridad en la transacción. Aquí nos encontraríamos con los sistemas criptográficos simétricos y asimétricos.

 

a). Encriptación simétrica: obliga al emisor y receptor del mensaje a utilizar la misma clave para encriptar y desencriptar el mismo.

b). Encriptación asimétrica o criptografía de claves públicas: la cual está basada en el concepto de pares de claves, de forma tal que cada una de las claves puede encriptar información que sólo la otra clave pueda desencriptar el mensaje. El par de claves se asocia a una sola persona, de forma que la clave privada solamente es conocida por su propietario mientras que la otra clave, (la pública) se publica ampliamente para que todos la conozcan.

 

 

3. Seguridad en el pago con tarjetas

 

Al comprar en Internet con tarjeta de crédito, tanto la validación como la realización efectiva del pago se realizan mediante el mismo sistema que en un comercio convencional. Una vez que el número de tarjeta llega al vendedor, éste lo envía fuera de Internet de la misma forma que al pagar en cualquier tienda 'física'. Por tanto, el punto crítico se produce al remitir el número de tarjeta a través de una red pública y potencialmente insegura como es Internet.

Es importante no sólo utilizar tecnología de cifrado, sino también probar la propia identidad y desarrollar relaciones de confianza con socios y clientes.

 

Para poder establecer estas relaciones en línea, es necesaria la autenticación de una tercera parte de confianza, así como recibir un certificado por esa tercera parte. El cifrado es el proceso de transformación de la información que la hace ininteligible para todos excepto para el destinatario original y sienta la base para la integridad de datos y la privacidad imprescindibles para el comercio electrónico. Sin embargo, sin la autenticación, la tecnología de cifrado no es suficiente para proteger a los usuarios de estos servicios electrónicos. Es necesario utilizar la autenticación junto con el cifrado para proporcionar:

 

ü     • Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.

ü     • Confirmación de que la empresa nombrada en el certificado es una entidad legal.

ü     • Confirmación de que la persona que solicitó el certificado en nombre de la organización había sido autorizada a hacerlo.

Algunas autoridades de certificación (Certificate Authorities, CA) creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Pero de hecho, hay una diferencia entre certificados autenticados (“alta seguridad”), que nos dan confianza y seguridad, y los certificados no autenticados (“baja seguridad”), que quebranta la confianza del cliente y vulneran la seguridad en la red.

 

4 Protocolos de seguridad

 

4.1  Protocolo SSL

SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico.

 

4.1.1 Servicios que proporcionan los Certificados SSL

 

La mayoría de los certificados SSL podían clasificarse como certificados de seguridad media a alta que proporcionaban los servicios de: confidencialidad, autenticación e integridad. Sin embargo, algunos proveedores de certificados SSL han preferido proporcionar certificados SSL de baja seguridad, para así poder disminuir los costes y acelerar el proceso de solicitud. Esto entra en conflicto con los métodos generalmente aceptados por el sector, desmejora la confianza del cliente y crea confusión entre los visitantes de los sitios web.

 

Los certificados SSL de “baja seguridad” proporcionan confidencialidad e integridad, pero no autenticación. En el pasado, el icono de candado que aparecía en el navegador del usuario se consideraba un signo fiable de autenticación. Ahora, los usuarios se ven obligados a examinar el propio certificado SSL para poder distinguir entre certificados autenticados de alta seguridad y certificados sin autenticar de baja seguridad.

 

 

Los certificados SSL autenticados permiten al visitante del sitio web:

 

ü     • Comunicarse de forma segura con el sitio web, de manera que la información suministrada por el visitante no pueda ser interceptada durante la transmisión (confidencialidad) ni alterada sin que nadie lo detecte (integridad).

ü     • Comprobar que el sitio que el usuario está visitando realmente pertenece a la compañía, y que no ha sido suplantada (autenticación).

 

4.1.2 Desventajas y riesgo de usar SSL

 

SSL deja de lado demasiados aspectos para considerarse la solución definitiva:

ü     Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.

ü     No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su tarjeta.

ü      Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento o que ésta no haya sido aprobada.

Uno de los mayores riesgos de los certificados SSL sin autenticar es la técnica de las intrusiones ilícitas, también denominada "spoofing". El bajo coste del diseño de un sitio web y la sencillez con la que pueden copiarse las páginas existentes simplifican la creación de sitios falsos que parecen ser seguros y pertenecer a organizaciones establecidas.

 

 

4.1.3 Compañías que utilizan SSL

 

En España las principales compañías utilizan SSL, tanto para el pago con tarjetas de crédito como para la introducción de los datos bancarios, entre una de estas compañías tenemos:

Banesto ofrece un servicio basado en SSL. De esta manera el banco gestiona las transacciones entre los clientes y los diferentes vendedores que se han apuntado a esta propuesta.

Los principales elementos en los que se basa el sistema de seguridad Banesto son los siguientes:

ü     Número de documento (NIF, CIF, DNI, Pasaporte, Tarjeta de Residencia, Documento no español).

ü     Código de usuario.

ü     Clave personal.

ü     Comunicaciones de forma cifrada (cifrado fuerte de 128 bits).

ü     Servidor seguro.

ü     Opcionalmente: certificado personal de firma electrónica.

Este ultimo elemento con que se basa el sistema de seguridad de Banesto, es un documento electrónico, emitido por una Entidad Certificadora, que identifica de forma segura al poseedor del mismo, evitando la suplantación de identidad por terceros. Es el componente esencial (con la clave privada) de la firma electrónica.

 

 

4.2 Protocolo SET

 

El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de Microsoft, IBM y Netscape, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet. Es un sistema híbrido (utiliza ambos sistemas de cifrado) para evitar la lentitud de los sistemas de cifrado asimétricos y aprovechar la rapidez del sistema simétrico.

 

4.2.1 Servicios que ofrece SET

 

1) Autenticación: todas las partes implicadas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden autenticarse mutuamente mediante certificados digitales. De esta forma, el comerciante puede asegurarse de la identidad del titular de la tarjeta y el cliente, de la identidad del comerciante. Se evitan así fraudes debidos a usos ilícitos de tarjetas y a falsificaciones de comercios en Internet imitando grandes web comerciales. Por su parte, los bancos pueden verificar así las identidades del titular y del comerciante.

2) Confidencialidad: la información de pago se cifra para que no pueda ser espiada. Es decir, solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado, debe recurrirse a un protocolo de nivel inferior como SSL.

3) Integridad: garantiza que la información intercambiada, como número de tarjeta, no podrá ser alterada de manera accidental o maliciosa mientras viaja a través de la red. Para lograrlo se utilizan algoritmos de firma digital.

4) Gestión del pago: SET gestiona tareas asociadas a la actividad comercial de gran importancia como registró del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

 

4.2.2 Formas de realizar transacciones con SET

 

Una transacción SET típica funciona de forma muy parecida a una transacción convencional con tarjeta de crédito y consta de los siguientes pasos:

 

1.-El cliente inicializa la compra

2.-El cliente usando SET envía la orden y la información de pago al comerciante

3.-El comerciante pasa la información de pago al banco

4.-El banco verifica la validez del requerimiento

5.-El emisor de la tarjeta autoriza la transacción

6.-El banco del comerciante autoriza la transacción

7.-El servidor del comerciante complementa la transacción

8.-El comerciante captura la transacción

9.-El generador de la tarjeta envía el aviso de crédito al cliente

 

Ver: http://www.wikilearning.com/comercio_electronico-wkccp-3625-9.htm

 

4.2.3 Desventajas de SET

 

ü     SET es un protocolo robusto que ofrece un nivel de seguridad suficiente pero a costa de hacerlo muy pesado y complejo de utilizar.

ü     SET esta muy bien adaptado para transacciones de gran valor, pero muy mal adaptado para transacciones de pequeñas cantidades de dinero. Sin embargo se esta desarrollando toda una familia de protocolos que se denominan "micropagos".

ü     SET es controlado por un consorcio (VISA y MasterCard) que impone sus propias normas, las que a ellos les interesan, esto ha hecho que algunos comerciantes se sientan alarmados por temor a que gran parte del negocio se les escape en función de comisiones.

 

5. Diferencias SSL y SET

 

ü     SSL solo protege el número de tarjeta cuando se envía del cliente al comerciante

ü     SSL no hace nada para la validación del número de tarjeta, para chequear sí el cliente esta autorizado a usar ese número de tarjeta, para ver la autorización de la transacción del banco del comerciante.

ü     Usando SSL el comerciante puede fácilmente guardar el número de tarjeta del cliente.

ü     SET se diseño especialmente para el comercio electrónico a diferencia de otros protocolos seguros de carácter general como SSL.

ü     SET permite dar seguridad tanto al cliente, al comerciante como al banco emisor de la tarjeta y al banco del comerciante.

ü     SET requiere un certificado digital en cada paso de autenticación y usa dos pares de claves, una para el cifrado del sobre digital y otra para la firma,

ü     SSL solo usa un par de claves

 

Conclusión

La implantación de SET está siendo bastante lenta, la mayoría de los comerciantes y bancos interesados en hacer negocio por la red eligen soluciones basadas en SSL. Además están surgiendo constantemente nuevos protocolos y sistemas de pago seguros que compiten seriamente con SET, si quiere imponerse como estándar de comercio electrónico, deberá mejorar. SET y SSL poseen ventajas y desventajas que se deben de tomar en cuenta en el momento que se quiera utilizar.

 

Menú