Make your own free website on Tripod.com

>>¿Es Seguro comprar por Internet? <<


>> Introducción

Uno de los temas que es inevitable comentar hoy en dia de Internet, y de la posibilidad de realizar negocios en la red, es el tema de la seguridad. El conocimiento popular indica que la Internet es "insegura", pero se ha dado poca o ninguna explicación de porqué.

Primero que todo, es importante explicar cu¿les son los aspectos de seguridad que es necesario considerar cuando se ingresa al mundo "virtual" de la Internet.

Hoy, cuando una persona desea comprar algo, supongamos un libro, se dirige a la librería, selecciona el volumen que va a adquirir, y lo presenta al empleado de la librería junto con su tarjeta de crédito. El empleado de la librería llama a la compañía que emite la tarjeta de crédito y solicita la autorización de la compra. En caso extremo, puede solicitar al cliente una identificación con fotografía.

Si todo esta en orden, la compra es permitida, se otorga un némero de autorización y listo. La persona vuelve a su casa con el libro bajo el brazo y, al final del mes, recibe el estado de cuenta con un cargo correspondiente. Un hecho coménmente olvidado por los detractores de Internet es que el uso de una tarjeta de crédito en una compra "tradicional" implica en ocasiones un riesgo, ya que el empleado de la librería, en este caso, el restaurante u otro comercio en otros casos, puede anotar nuestro nombre, némero de tarjeta de crédito y fecha de expiración de la misma, copi¿ndolo del "voucher" una vez que hemos abandonado el lugar.

Examinemos ahora que implica la realización de la misma operación, pero a través de Internet:

1. La persona que desea comprar el libro se dirige a una libreria "virtual" en Internet. Se conecta al sitio Web de la misma y examina la lista de títulos disponibles hasta encontrar la descripción del que desea.

Problema 1: ¿Cómo puede el comprador en potencia estar seguro de que el sitio Web que aparece en su pantalla es realmente el de la empresa que busca, y no un sitio Web que est¿ "suplantando" al verdadero? En la vida diaria, este problema no existe porque el comprador potencial se dirige a la librería que est¿ ubicada en un edificio específico y entra en ella. No hay duda entonces en dónde ésta el comprador.

2. Una vez seleccionado el título, ordena la compra y al mismo tiempo envía a través de Internet su némero de tarjeta de crédito y la fecha de expiración.

Problema 2: ¿Cómo puede la librería estar segura de que la persona es verdaderamente quien dice ser y no alguien que se est¿ haciendo pasar por una persona honrada a través de la Internet? En la vida diaria, esta verificación se realiza al comparar la firma que el comprador escribe en el "voucher" con la firma en el dorso en la tarjeta de crédito.

Problema 3: ¿Cómo pude el comprador enviar su información a través de Internet sin correr el riesgo de que alguien esté "interviniendo" las líneas de comunicación y registre su nombre, némero de tarjeta de crédito y fecha de expiración, para usarlos m¿s tarde a fin de cometer fraude?

3. La orden es recibida por la librería, la cual debe solicitar a la compañía que emite la tarjeta de crédito la autorización para la compra. Si todo est¿ en orden, la compra es permitida, se otorga un némero de autorización y listo.

4. El libro es enviado por correo o mensajería al comprador.

En la actualidad, solo el problema 3 tiene algén tipo de solución m¿s o menos extendida en Internet, y aén en estos casos, limitada.

El problema 2 ha recibido una solución parcial, aplicable sólo en el caso de sitios Web que cobran al usuario por el acceso al contenido, es decir, a la información disponible en el mismo. Esta solución radica en solicitar al usuario que seleccione una clave o password al momento de registrarse por primera vez.

El incoveniente de esta opción radica en que si el usuario desea utilizar los servicios de diferentes sitios Web necesita recordar un password diferente para cada uno. Este mismo problema tiene una solución pr¿ctica: a partir del momento en el que el comerciante recibe el pedido electrónico hasta que entrega el libro en el domicilio del cliente habr¿ tiempo suficiente para descubrir el fraude, si lo hubiese.

Por lo que se refiere al problema 3, la solución en uso actualmente radica en codificar la información transmitida por el usuario al sitio Web del comerciante. Este proceso , que utiliza un est¿ndar de codificación de información conocido como SSL, impide a cualquier persona ajena al cliente y al comerciante conocer los datos transmitidos.

SSL es un sistema de codificación basado en est¿ndar conocido como DES (Data Encryption System) desarrollado por el gobierno de Estados Unidos para permitir la comunicación segura entre organismos gubernamentales, y por lo tanto sujeto a grandes restricciones de exportación.Esto soluciona el problema pero deja dos puntos descubiertos.

El comerciante de todas maneras obtiene y almacena en su computadora el nombre, némero de tarjeta de crédito y fecha de expiración del cliente. Esto significa que las compañías que fabrican productos para Internet como visores y servidores Web que utilizan esta tecnología, no tienen autorización para venderlos fuera de Estados Unidos y Canad¿, a menos de que se utilice una versión "limitada" de dicho esquema. Es decir, una versión cuyo código es m¿s f¿cil de "romper" si se cuenta con el poder de cómputo y conocimiento matem¿tico adecuados.

Certificados de Identidad

Microsoft Corp., trabajando en conjunto con una serie de compañías interesadas a dar una solución a este caso, como es el caso de Visa y MasterCard, ha propuesto varias iniciativas a través del Microsoft Internet Security Framework (MSIF). Este sistema contiene una serie de est¿ndares que permitir¿n a las compañías desarrolladoras de software dar respuesta en sus productos a los problemas mencionados. En este artículo sólo mencionaremos aquellos componentes de MSIF m¿s relevantes. Primero, con miras a solucionar los problemas 1 y 2, MSIF propone la utilización de "certificados" de identidad electrónicos.

Esto quiere decir que cada usuario y cada sitio Web en Internet tendr¿n un identificador electrónico énico, extremadamente difícil de copiar, que les permitir¿ garantizar su identidad en la red. Los certificados son expedidos por una compaía que actéa como autoridad de certificación de identidad llamada Verisign.

El certificado es proporcionado por la compaía y registrado por el visor de Internet por el usuario. A partir de ese momento, cuando el cliente se conecte a un sitio Web, este le pedir¿ el certificado, verificar¿ su autenticidad y permitir¿ entonces el acceso a los servicios disponibles. Por su parte, el visor del cliente solicitar¿ al sitio Web su propio certificado y lo verificar¿ , para dar garantía al usuario de que efectivamente se trata del sito Web que buscaba.

El componente de MISF que da solución al problema 3, aén est¿ en proceso de definición en comité de est¿ndares, en el que adem¿s de Microsoft est¿n incluído Visa, Master Card y otras compaías desarrolladoras de tecnología. El est¿ndar es conocido como "Secure Electronic Transaction", el cual permite la codificación de un némero ilimitado de datos, como el némero de tarjeta de crédito y fecha de expiración para su transmisión al comerciante.

El comerciante recibe los datos y los transmite electrónicamente a al compañía que expide la tarjeta de crédito o que actéa como intermediaria entre el comerciante y el banco o companía de tarjetas de crédito y, si todo est¿ bien, obtiene la autorización de la operación. Este esquema presenta dos ventajas enormes.

Por una parte, el comerciante retransmite los datos codificados. Si todo est¿ en orden, el comerciante recibir¿ la autorización de la operación y podr¿ entonces expedir los bienes, pero nunca conocer¿ el némero de tarjeta de crédito ni fecha de expiración de la misma. Tan sólo sabr¿ que la operación fue autorizada y los datos necesarios para entregar el bien o servicio al cliente. SET sólo codifica la información indispensable, a diferencia de SSL que codifica toda la información transmitida, cualquier cosa, sea texto o gr¿ficos.

No sólo se usa para operaciones comerciales como el caso que aquí hemos descrito, sino para pr¿cticamente cualquier aplicación que transmita, desde una letra hasta planos y planes completos para una operacion terrorista, lo cual es precisamente la razón por la que su exportación est¿ restringida en Estados Unidos. Siendo SET algo tan específico, sólo para operaciones de tarjetas de crédito, es m¿s probable el que el gobierno estadounidense autorice la exportación de productos con esta funcionalidad, sin restricciones.

Comercio Seguro

Aén cuando la realización de operaciones comerciales a través de Internet presenta riesgos, éstos no son necesariamente mayores a los que tenemos al entregar nuestra tarjeta de crédito a un empleado de cualquier establecimiento comercial.

Es un hecho que la naturaleza del riesgo que corremos en el esquema tradicional es muy diferente al que se corre en Internet. Esta situación est¿ lejos de ser irremediable y, lo que es m¿s, en el curso de los próximos meses se dar¿n una serie de avances que har¿n al comercio a través de Internet una opción m¿s segura que el uso de tarjetas de crédito en establecimientos comerciales

Si usted est¿ interesado en conocer m¿s detalles sobre seguridad en Internet, MISF y los est¿ndares de seguridad en Internet, puede dirigirse a http://www.microsoft.com/security

Sección realizada por Carlos Esteban Miguens. E-mail: tang_os@usa.net