3.3 Seguridad en el comercio electrónico
Seguridad en las transacciones
La seguridad en las transacciones on-line es uno de los temas que más preocupan a los usuarios de Internet. Aunque todavía existen comercios electrónicos que solicitan la información financiera de sus clientes sin que se encripte la comunicación, la mayoría de las empresas utilizan sistemas de encriptación para proteger la información privada de las operaciones. Sin este sistema de protección, es muy fácil para los hackers malintencionados interceptar mensajes mediante sniffers y capturar la información que hay en ellos para luego utilizarla con fines ilícitos.
En el mundo digital la seguridad está relacionada con tres aspectos: el tecnológico, el legal y el psicológico. En este apartado se analizarán los aspectos tecnológicos, con el objetivo de dar a conocer los principales mecanismos que los sitios de comercio electrónico pueden utilizar para mejorar la seguridad de las transacciones.
A los fines de proteger a los usuarios se han desarrollado varias técnicas criptográficas y de autenticación, entre las que podemos mencionar el SSL (Secure Sockets Layer), el SET (Secure Electronic Transactions), los certificados digitales y la firma digital. A continuación se describen dichas tecnologías.
Protocolos de seguridad
Los protocolos de seguridad son un conjunto de programas y actividades que cumplen con un objetivo específico a partir de la utilización de esquemas de seguridad criptográfica. Los protocolos más utilizados en el comercio electrónico son el SSL (Secure Sockets Layer) y el SET (Secure Electronic Transaction) los cuales son empleados para dar seguridad a las transacciones financieras.
A continuación se describe cada uno de los protocolos con mayor detalle:
Protocolo SSL (Secure Sockets Layer)
Es un protocolo de seguridad diseñado en 1994 por Marc Andreessen de la empresa Netscape Communications. Permite crear un canal de comunicación seguro basado en el cifrado de los datos transmitidos mediante una clave establecida entre el navegador y el servidor web y que se mantiene válida solamente para esa sesión
Actualmente, todos los navegadores soportan el protocolo SSL. Para identificarlo basta con entrar en algún sitio en donde se requiera realizar alguna transacción crítica para observar que en la parte inferior de la interfaz aparece un candado cerrado y el cambio de prefijo de http:// por el https://, lo que indica que la conexión a ese sitio web es mediante SSL.
Protocolo SET (Secure Electronic Transaction)
En el año 1996, las empresas Visa y Mastercard en colaboración con Microsoft, IBM, RSA, Verisign y Netscape crearon este protocolo de seguridad superador del anterior SSL, el cual se ha establecido como uno de los estándares líderes en pagos con tarjeta de crédito vía Internet. Fue diseñado para ser usado exclusivamente en transacciones financieras vía Internet, mientras que el SSL es un sistema genérico de encriptación que se utiliza para transmitir cualquier tipo de datos.
La seguridad se logra mediante la autenticación de cada una de las partes intervinientes, superando así una falencia del SSL. De esta forma, mediante el uso de certificados digitales, es posible demostrar que el titular de una tarjeta de crédito es su legítimo usuario y también que el comerciante es quien dice ser.
Este protocolo de seguridad basado en XML ha sido desarrollado por Visa para su servicio Verified by Visa, y posteriormente adoptado por Mastercard (Secure Code) y American Express (SafeKey). Es una tecnología de autenticación que usa SSL y un plug-in en el servidor del comercio electrónico que informa y auténtica a todos los participantes durante la compra on-line.
Los certificados digitales son credenciales electrónicas que un sitio puede presentar para probar su identidad en una comunicación. Son emitidos por una Autoridad de Certificación una vez que se valida la vinculación entre una clave pública y uno o más atributos del usuario. Estos certificados incluyen el nombre del usuario, la identificación del servidor, su clave pública (que se usa para cifrar y descifrar mensajes), la fecha de expiración del certificado y la firma digital de la autoridad que emitió el certificado, de manera que se puede verificar que el certificado es auténtico.
En comercio electrónico, los certificados digitales permiten a los usuarios verificar la identidad de los sitios con los cuales operan. Así, al momento de realizar una compra, podremos saber si nos encontramos en el sitio verdadero o en una imitación del mismo en donde puedan robar nuestros datos. También resultan útiles cuando se está operando por home banking ya que certifican la identidad del banco.
En el mundo digital, el uso de documentos electrónicos “firmados digitalmente” permiten la autenticación del firmante y los dota de valor legal al igual que el adquirido en el papel con la firma de puño y letra.
Una firma digital está representada por un conjunto de datos asociados a un documento electrónico que aseguran no solo la identidad del firmante (autenticación) sino también que los contenidos no hayan sido modificados desde el mismo momento en que fue firmado (integridad). El mecanismo de firma digital funciona de la siguiente manera. Solamente se cifra una pequeña parte del mensaje con la clave privada del firmante. Esa parte se denomina valor Hash y reduce cualquier mensaje a una cantidad fija y única de bits, sea cual fuere la longitud del mismo. Ese valor viajará junto al mensaje y será la garantía de que su contenido no fue alterado. De sufrir modificaciones, el valor cambiará y hará evidente la alteración del contenido. Al llegar a destino se descifrara con la clave pública del firmante, conocida por el destinatario