Hace unos años (por el año 2000-2001) Oscar Conesa coordinaba la lista de correo de PKI, en la que participábamos unos cuantos pioneros.

Aun quedan vestigios y rescoldos.

A su pluma se debe el siguiente artículo sobre el Comercio Electrónico  que fue publicado por el año 1999 (hoy ha perdido parte de su vigencia) en el Criptonomicon del CSIC, en el número 43 que coordinaba Gonzalo Álvarez Marañón

Introducción

Entendemos el Comercio Electrónico como cualquier tipo de intercambio financiero realizado a distancia y por medios electrónicos, siendo Internet el medio ideal para realizar este tipo de negocios. EL principal beneficio que puede obtenerse en este tipo de negocios es la relación directa entre fabricante y cliente sin necesidad de intermediarios lo que en teoría debería rebajar el precio del producto. Hoy en día se puede realizar este tipo de actividades a través de Internet pero aun no se ha producido el verdadero «boom» que según todas las consultorías importantes se producirá en los próximos años. Tan solo algunas empresas pioneras, como el conocido caso de la librería Amazon, han sabido aprovechar la oportunidad. Aunque también es verdad que muchas grandes empresas están preparándose a la espera de ese gran «boom» anunciado del Comercio Electrónico.

Principales problemas del comercio electrónico hoy

Hoy en día el principal problema es que la gente no se ha lanzado a comprar por Internet por una falta de costumbre y seguridad. Las empresas deben crear un marco global que permita las transacciones seguras por Internet, e inevitablemente esto debe venir acompañado de una rebaja sustancial en los precios que haga atractivo a los nuevos consumidores utilizar este medio.

Seguridad en las Transacciones Electrónicas

Desde el punto de vista de la Seguridad Informática, el principal problema radica en garantizar la seguridad de las transacciones electrónicas realizadas a distancia. Esto debe garantizarse mediante el uso de la moderna criptografía de clave publica.

El método de pago por excelencia en Internet es y será las tarjetas de crédito. Para ello ahora se esta utilizando el protocolo SSL que garantiza la creación de un canal seguro entre Cliente y Vendedor. Por este canal el Cliente envía su Numero de Tarjeta de Crédito. EL Vendedor hace pasar este numero por un Interface a un TPV (Terminal Punto de Venta) como los que se utilizan en todas las tiendas para cobrar con tarjeta y así se realiza la transferencia. Aunque se garantiza la confidencialidad de las transmisiones, aun hay varios puntos muy importantes que SSL no garantiza:

• No hay recibos, una reclamación por parte del cliente quedaría a la buena voluntad del Vendedor.
• No hay autentificaron de tarjetas, cualquier persona que tenga acceso a un numero de una tarjeta de crédito podría realizar una transacción. El cliente puede realizar fraudes fácilmente.
• El Vendedor obtiene toda la información del cliente (numero de tarjeta de crédito) y podría utilizarla fraudulentamente.

¿Tienen solución? ¿Qué se está haciendo para solucionarlos?

En un sistema de comercio electrónico se deberían garantizar las siguientes características:

1. Confidencialidad: Ninguna persona ajena a la transacción debe tener

acceso a los datos financieros. Mas aun, seria importante que el vendedor tampoco tuviese acceso a esos datos y que el banco no tuviese acceso a los datos de la venta.

2. Integridad: El sistema debe garantizar que la integridad de los datos enviados, de no ser así el Vendedor podría aumentar el importe de la compra posteriormente, por ejemplo.

3. Autenticación: Todos los participantes deben estar perfectamente identificados para evitar el principal tipo de fraude: la utilización de tarjetas de crédito robadas.

4. No repudio: El sistema debe generar Recibos que impidan que alguno de los participantes en la transacción niegue haber participado en ella.

SSL no garantiza la mayoría de estas propiedades. Por este motivo VISA y MASTERCARD decidieron dar un impulso a la utilización de Tarjetas de Crédito en la compra por Internet creando un nuevo protocolo que tuviese en cuenta todos estos condicionantes. El protocolo resultante se llama SET (Secure Electronic Transactions). Este proyecto cuenta con el apoyo de empresas como: IBM, GTE, Microsoft, Netscape, RSA, Verisign y Verifone (HP).

SET – Secure Electronic Transactions

En este protocolo se establecen tres entidades independientes: El Cliente, el Vendedor y la Pasarela de Pago. Todas las comunicaciones entre ambos se realizan por Internet y se cifran. Antes de realizar cualquier transacción, todas las partes deben obtener un Certificado Electrónico que garantice su Identidad.

El protocolo comienza cuando el Cliente abre su software de Billetera Electrónica y decide hacer una compra. El Vendedor envía un mensaje que especifica la descripción del producto y el importe del mismo, así como un certificado con su clave publica. El Cliente cifra su numero de tarjeta de crédito y estos datos y los envía al Vendedor. El Vendedor, una vez recibido este mensaje lo descifra y lo vuelve a cifrar con la clave pública de la Pasarela de Pago. La pasarela recibe el mensaje y lo envía al Banco correspondiente utilizando las redes bancarias. Se realiza la transacción y la Pasarela envía la respuesta al Vendedor y este la manda al Cliente finalizando así la compra. Todos los mensajes se firman digitalmente de tal manera que existan comprobantes de compra.

Los datos bancarios se firman con un sistema denominado firma dual, que posibilita que el banco no tenga acceso a los datos de la compra y que el Vendedor no pueda acceder a los datos financieros de la tarjeta de crédito.

Los algoritmos criptográficos utilizados son RSA y DES.

¿El comercio electrónico será una realidad o es una quimera futurista?

SET ha sido aceptado por todos los implicados, incluidos los bancos que han apostado fuertemente por este sistema. Para que SET funcione es necesario que se den los siguientes pasos:

• Incorporar software de Billetera Electrónica SET en los navegadores.
• Creación de Software de Vendedor, Pasarela de Pago y Autoridad Certificadora compatibles con SET.
• Crear los certificados SET tanto para Clientes como para Vendedores y Bancos.

Situación de España en el panorama del comercio electrónico

En España se ha apostado muy fuerte por el protocolo SET, tanto es así que se ha creado una Autoridad Certificadora especialmente para este propósito llamada ACE (Agencia de Certificación Electrónica). ACE fue creada por Telefónica (40%), sistema 4B (20%), Visa España (20%) y la Confederación Española de Cajas de Ahorro (CECA-20%). Lo que significa que toda la banca española esta incluida en este proyecto. ACE ha comenzado a emitir certificados SET pero de modo experimental. De momento se ha creado una pasarela de pago en Sistemas 4B.

Futuro de SET

Aunque se ha apostado muy fuerte por SET, este sistema no acaba de arrancar por diferentes motivos. Según mi opinión este sistema no llegara a funcionar en su versión actual sino que se esperara a la versión SET 2.0.

El defecto de SET 1.0 es el modo de almacenar los certificados electrónicos, que convierten a estos archivos en un punto muy vulnerable del sistema de seguridad, sobre todo teniendo en cuenta que serán utilizados por el publico en general.

SET 2.0 es la nueva versión de SET que integrara el uso de Tarjetas Inteligentes. El principal problema es la necesidad de incorporar un lector de tarjetas en cada PC. Si se superase este problema tendríamos un sistema realmente robusto de pagos electrónicos.