Archivo por meses: junio 2007

Lista PKI

1 respuesta

Hace unos años (por el año 2000-2001) Oscar Conesa coordinaba la lista de correo de PKI, en la que participábamos unos cuantos pioneros.

Aun quedan vestigios y rescoldos.

A su pluma se debe el siguiente artículo sobre el Comercio Electrónico  que fue publicado por el año 1999 (hoy ha perdido parte de su vigencia) en el Criptonomicon del CSIC, en el número 43 que coordinaba Gonzalo Álvarez Marañón

Introducción

Entendemos el Comercio Electrónico como cualquier tipo de intercambio financiero realizado a distancia y por medios electrónicos, siendo Internet el medio ideal para realizar este tipo de negocios. EL principal beneficio que puede obtenerse en este tipo de negocios es la relación directa entre fabricante y cliente sin necesidad de intermediarios lo que en teoría debería rebajar el precio del producto. Hoy en día se puede realizar este tipo de actividades a través de Internet pero aun no se ha producido el verdadero «boom» que según todas las consultorías importantes se producirá en los próximos años. Tan solo algunas empresas pioneras, como el conocido caso de la librería Amazon, han sabido aprovechar la oportunidad. Aunque también es verdad que muchas grandes empresas están preparándose a la espera de ese gran «boom» anunciado del Comercio Electrónico.

Principales problemas del comercio electrónico hoy

Hoy en día el principal problema es que la gente no se ha lanzado a comprar por Internet por una falta de costumbre y seguridad. Las empresas deben crear un marco global que permita las transacciones seguras por Internet, e inevitablemente esto debe venir acompañado de una rebaja sustancial en los precios que haga atractivo a los nuevos consumidores utilizar este medio.

Seguridad en las Transacciones Electrónicas

Desde el punto de vista de la Seguridad Informática, el principal problema radica en garantizar la seguridad de las transacciones electrónicas realizadas a distancia. Esto debe garantizarse mediante el uso de la moderna criptografía de clave publica.

El método de pago por excelencia en Internet es y será las tarjetas de crédito. Para ello ahora se esta utilizando el protocolo SSL que garantiza la creación de un canal seguro entre Cliente y Vendedor. Por este canal el Cliente envía su Numero de Tarjeta de Crédito. EL Vendedor hace pasar este numero por un Interface a un TPV (Terminal Punto de Venta) como los que se utilizan en todas las tiendas para cobrar con tarjeta y así se realiza la transferencia. Aunque se garantiza la confidencialidad de las transmisiones, aun hay varios puntos muy importantes que SSL no garantiza:

  • No hay recibos, una reclamación por parte del cliente quedaría a la buena voluntad del Vendedor.
  • No hay autentificaron de tarjetas, cualquier persona que tenga acceso a un numero de una tarjeta de crédito podría realizar una transacción. El cliente puede realizar fraudes fácilmente.
  • El Vendedor obtiene toda la información del cliente (numero de tarjeta de crédito) y podría utilizarla fraudulentamente.

¿Tienen solución? ¿Qué se está haciendo para solucionarlos?

En un sistema de comercio electrónico se deberían garantizar las siguientes características:

1. Confidencialidad: Ninguna persona ajena a la transacción debe tener

acceso a los datos financieros. Mas aun, seria importante que el vendedor tampoco tuviese acceso a esos datos y que el banco no tuviese acceso a los datos de la venta.

2. Integridad: El sistema debe garantizar que la integridad de los datos enviados, de no ser así el Vendedor podría aumentar el importe de la compra posteriormente, por ejemplo.

3. Autenticación: Todos los participantes deben estar perfectamente identificados para evitar el principal tipo de fraude: la utilización de tarjetas de crédito robadas.

4. No repudio: El sistema debe generar Recibos que impidan que alguno de los participantes en la transacción niegue haber participado en ella.

SSL no garantiza la mayoría de estas propiedades. Por este motivo VISA y MASTERCARD decidieron dar un impulso a la utilización de Tarjetas de Crédito en la compra por Internet creando un nuevo protocolo que tuviese en cuenta todos estos condicionantes. El protocolo resultante se llama SET (Secure Electronic Transactions). Este proyecto cuenta con el apoyo de empresas como: IBM, GTE, Microsoft, Netscape, RSA, Verisign y Verifone (HP).

SET – Secure Electronic Transactions

En este protocolo se establecen tres entidades independientes: El Cliente, el Vendedor y la Pasarela de Pago. Todas las comunicaciones entre ambos se realizan por Internet y se cifran. Antes de realizar cualquier transacción, todas las partes deben obtener un Certificado Electrónico que garantice su Identidad.

El protocolo comienza cuando el Cliente abre su software de Billetera Electrónica y decide hacer una compra. El Vendedor envía un mensaje que especifica la descripción del producto y el importe del mismo, así como un certificado con su clave publica. El Cliente cifra su numero de tarjeta de crédito y estos datos y los envía al Vendedor. El Vendedor, una vez recibido este mensaje lo descifra y lo vuelve a cifrar con la clave pública de la Pasarela de Pago. La pasarela recibe el mensaje y lo envía al Banco correspondiente utilizando las redes bancarias. Se realiza la transacción y la Pasarela envía la respuesta al Vendedor y este la manda al Cliente finalizando así la compra. Todos los mensajes se firman digitalmente de tal manera que existan comprobantes de compra.

Los datos bancarios se firman con un sistema denominado firma dual, que posibilita que el banco no tenga acceso a los datos de la compra y que el Vendedor no pueda acceder a los datos financieros de la tarjeta de crédito.

Los algoritmos criptográficos utilizados son RSA y DES.

¿El comercio electrónico será una realidad o es una quimera futurista?

SET ha sido aceptado por todos los implicados, incluidos los bancos que han apostado fuertemente por este sistema. Para que SET funcione es necesario que se den los siguientes pasos:

  • Incorporar software de Billetera Electrónica SET en los navegadores.
  • Creación de Software de Vendedor, Pasarela de Pago y Autoridad Certificadora compatibles con SET.
  • Crear los certificados SET tanto para Clientes como para Vendedores y Bancos.

Situación de España en el panorama del comercio electrónico

En España se ha apostado muy fuerte por el protocolo SET, tanto es así que se ha creado una Autoridad Certificadora especialmente para este propósito llamada ACE (Agencia de Certificación Electrónica). ACE fue creada por Telefónica (40%), sistema 4B (20%), Visa España (20%) y la Confederación Española de Cajas de Ahorro (CECA-20%). Lo que significa que toda la banca española esta incluida en este proyecto. ACE ha comenzado a emitir certificados SET pero de modo experimental. De momento se ha creado una pasarela de pago en Sistemas 4B.

Futuro de SET

Aunque se ha apostado muy fuerte por SET, este sistema no acaba de arrancar por diferentes motivos. Según mi opinión este sistema no llegara a funcionar en su versión actual sino que se esperara a la versión SET 2.0.

El defecto de SET 1.0 es el modo de almacenar los certificados electrónicos, que convierten a estos archivos en un punto muy vulnerable del sistema de seguridad, sobre todo teniendo en cuenta que serán utilizados por el publico en general.

SET 2.0 es la nueva versión de SET que integrara el uso de Tarjetas Inteligentes. El principal problema es la necesidad de incorporar un lector de tarjetas en cada PC. Si se superase este problema tendríamos un sistema realmente robusto de pagos electrónicos.

Despliegue de DNI electrónico en Banca

5 respuestas

Aunque estos dias se están publicando algunas noticias sobre que tal o cual entidad está aceptando el DNI electrónico en determinados entornos, lo cierto es que son entornos «demo» sin una verdadera implementación real.

En cajeros automáticos o kioskos de autoservicio, el driver «oficial» del DNI electrónico no sirve, y es preciso desarrollar funciones especiales, que establezcan el canal seguro con el dispositivo y accedan a los certificados, dando la opción de firmar o autenticar. Y me consta que hay pocas implementaciones reales (como la de Albalia Interactiva) y muchas «ñapas» para presentar una demo con la información disponible en el entorno público del dispositivo (que es muy poca).

En el diseño de los terminales de oficina, también es necesario el empleo de drivers especiales, para captar las firmas electrónicas de los usuarios y pocas entidades han previsto el despliegue de la nueva infraestructura de oficina.

Los servicios centrales deben revisar su arquitectura y resolver la forma en que el DNI electrónico se incardina en toda una nueva suerte de procesos, en los que han de convivir los documentos en papel con los electrónico. Y esto tampoco está hecho en las instituciones.

Y, por supuesto, hay que saber lidiar con firmas completas en entornos escalables y establecer su archivo y custodia, implementando mecanismos probatorios, y aplicando sistemas de validación OCSP y Timestamping.

Sin restar mérito a permitir el uso del DNI electrónico en el establecimiento del canal SSL con autenticación del cliente (que es lo que han mostrado algunas entidades indicando la posibilidad de usar el DNI electrónico al acceder a la banca electrónica via web), eso solo es una parte de lo que hay que hacer, aunque bastante efectivo en un entorno de demostración. Por cierto, semejante a los que los Prestadores de Servicios de Certificación muestran desde hace 5 años, con tecnología muy madura con la que cuenta el Internet Explorer.

O firmar ficheros PDF con Acrobat. El software lo hace todo, y la pizca de complicación surge cuando queremos que la indicación de tiempo (timestamping) y validación sean fiables.

El Despliegue del DNI electrónico es algo más.

Los gallegos operarán este año en los cajeros con el DNI electrónico

Deja un comentario

Caixa Galicia se convierte en la primera entidad gallega que permite operar con el nuevo carné

Con demostración incluida, con un cajero adaptado como el que dentro de los próximos meses estará presente en 50 sucursales de su red comercial, Caixa Galicia presentó el pasado 2 de mayo la incorporación del DNI electrónico, el DNIe, a su Sistema de Operaciones.

La entidad se ha apresurado a adaptar su negocio a las posibilidades del nuevo carné, por su aportación a la seguridad y privacidad que conlleva (permite rubricar todo tipo de documentos electrónicos e incorpora un dispositivo seguro de creación de firma) y por el hecho de ser Galicia una de las comunidades donde más se ha implantado su utilización. Por las cuatro provincias ya circulan cerca de 110.000, el 21% del total de documentos expedidos en España y, tan sólo de A Coruña, salen diariamente 300 DNIe.

Convencidos de que el nuevo sistema «fomentará la confianza de los clientes en las transacciones electrónicas» —como reconoce el director general adjunto de sistemas de Caixa Galicia, José Valiño— y de que dentro de algunos años, y en determinados dispositivos, «podrá complementar a las tarjetas de débito», la entidad ya ha comenzado a incluir en sus cajeros automáticos lectores especiales que permitan acceder a los certificados incluidos en el nuevo carné, y teclados alfanuméricos, con los que marcar la clave secreta proporcionada por la Policía. Su utilización será equivalente a la de las actuales tarjetas. Simplemente habrá que sustituir el tradicional PIN por el código de ocho dígitos que acompañan a cada documento de identidad. Con respecto al tema de las comisiones, y teniendo en cuenta que el nuevo servicio también se oferta para los no clientes de Caixa Galicia, la entidad aclara que dependerá de los acuerdos de colaboración que se firmen con los distintos organismos.

Las previsiones que maneja la caja gallega apuntan a que antes de que finalice el año estarán adaptados hasta medio centenar de cajeros, la mayor parte de ellos en Galicia, un ritmo de instalación que continuará y crecerá en el 2008.

Además de esta aplicación, la entidad también ha adaptado su canal de servicios por Internet, Caixa Activa, al nuevo dispositivo. Así, desde los primeros días del presente mes, los clientes ya pueden acceder a la web y realizar transacciones tan sólo insertando el DNIe en un lector de tarjetas chip conectado al ordenador y tecleando la clave secreta del certificado de autenticación. Para garantizar la identidad del usuario, Caixa Galicia se conectará con el servidor de validación OCSP del DNIe, que validará la operación. «Desde un punto de vista empresarial se convierte en una herramienta fundamental en las relaciones del sector privado con sus clientes, ya que extiende al primero la posibilidad de desarrollar diferentes servicios aprovechando la inversión realizada por las administraciones públicas», reconoce Valiño.

Pero los proyectos relacionados con el nuevo carné no se frenan aquí. Caixa Galicia también trabaja en un nuevo sistema de acreditación y firma a través del móvil. Mediante la instalación de un certificado digital heredado del DNIe en la tarjeta SIM del teléfono, es posible que en un futuro lleguemos a rubricar un préstamo a través del terminal.

Resumen del III Foro de las Evidencias Electrónicas (2006)

Deja un comentario

La tercera edición del Foro de las Evidencias Electrónicas ha tratado, entre otros asuntos, del DNI electrónico, las diferentes formas de ciberdelincuencia, la vulneración de los derechos de autor en Internet y el valor probatorio de la evidencia electrónica.

El evento, anunciado para el 30 de mayo, nos condujo a redactar algunas conclusiones.

La importancia de Internet como un todo no pasa desapercibida en el ámbito jurídico. Sin embargo, este estamento se enfrenta aún al reto de crecer en tecnología y al de avanzar en materia de seguridad jurídica para acabar con lacras como la ciberdelincuencia o el anonimato en la Red.

En base a esta realidad y con el objetivo también de acercar posturas entre técnicos y juristas, el 30 de mayo de 2006 tuvo lugar la III  edición del Foro de las Evidencias Electrónicas, una iniciativa que nació hace tres años para generar seguridad jurídica en el ámbito de las transacciones electrónicas, el intercambio de documentos y la creación y comercialización de contenidos que se producen diariamente en la Sociedad de la Información.

D. Antonio Garrigues Walker, presidente del Foro de las Evidencias Electrónicas, fue el encargado de inaugurar este acto, organizado por el despacho Garrigues que preside y Albalia Interactiva con la colaboración de  VNU Conferencias. El acto se estructuró en torno a cuatro areas temáticas: DNI Electrónico, Propiedad Intelectual y Ciberdelincuencia y aspectos técnicos en la prueba electrónica.

Así, y desde la perspectiva del atraso tecnológico en el que aún se haya sumido nuestro país, Antonio Garrigues comenzó su alocución aludiendo a la necesidad de avanzar en materia de seguridad jurídica, clave para el movimiento de capitales y acciones económicas pero también para todo lo que tiene que ver con la protección del individuo. En este sentido, el abogado expresó la necesidad de que España mejore en estos aspectos ya que «a nivel global el país sufre un déficit tecnológico muy importante y sí el sistema judicial se desconecta de este avance tecnológico no habremos hecho nada. Tenemos que ser sensibles a este tipo de temas para que la norma siga siendo importante».

Recogiendo sus palabras y considerando «la justicia como un servicio que no puede ser resistente a las innovaciones tecnológicas y a la seguridad jurídica», Francisco José Hernando, presidente del Consejo General del Poder Judicial, habló sobre la necesidad de que el juez sepa adaptarse a la nueva realidad social. «Debe ser moderno y con capacidad para percibir aquellas modificaciones que la realidad experimenta. Y esta modernización no es solo sociológica sino también tecnológica, son hechos que penetran en la sociedad y que el legislador también quiere que entren en su campo».

Tras la intervención del presidente del Consejo General del Poder Judicial, Jorge Alcalde, director de la Revista Quo y moderador de la primera mesa sobre DNI Electrónico, dio paso a José María Anguiano, socio de Garrigues, Abogados y Asesores Tributarios, quien realizó un análisis del marco jurídico en el que se desarrolla el DNI Electrónico.

Reconociendo la realidad del documento electrónico y manifestando su apoyo a esta iniciativa que plantará cara a problemas como el anonimato electrónico y la ciberdelincuencia, el socio de Garrigues, citó, no obstante, algunas carencias que esconde.

Con el alegato de la defensa de los derechos de autor en Internet, Pedro Farré, director de relaciones corporativas de SGAE, expresó un punto de vista pesimista sobre esta cuestión, afirmando que a pesar de la tasa de crecimiento de las líneas ADSL y del número de PCs, el mayor interés que despierta hoy Internet es el P2P. “Hoy no se compran discos, la conducta desviada la tiene quien paga por adquirir cultura”.

En base a esto, Farré abogó por la implantación de disposiciones protectoras que castiguen a quien no cumpla, como ya se hace en el resto de Europa, además de por aumentar el número de efectivos policiales destinados a controlar estas prácticas.

Planteando el tema de la ciberdelincuencia desde un punto de vista policial, “ya se ha delimitado y se conocen las actividades delictivas que se hacen por Internet. Se ha llegado a un punto en el que hay que pasar de la mera observación a trabajar para impedirlo y combatirlo”, José Vicente Moreno, de la Brigada de Investigación Tecnológica, del Cuerpo Nacional de Policía, dependiente del Ministerio del Interior, realizó un anecdotario de los pasos que integran el delito informático, esto es: lo que hace el delincuente desde que inicia la estafa (phishing) hasta que consigue el dinero, para terminar concluyendo que “todos estos mecanismos pueden ser corregidos con pequeños parches en cada fase del proyecto. También, a través del DNI, que permitirá conocer la identidad de la persona, acreditándola”.

Cerrando esta segunda sesión, y atendiendo al valor probatorio de la evidencia electrónica conseguida tras el trabajo policial, Enrique López, vocal del Consejo General del Poder Judicial, reconoció la gran responsabilidad que supone el mantenimiento del orden social en el mundo de las tecnologías y, que ahora se está más cerca de conseguir gracias a pruebas que funcionan como evidencia electrónica.

López incidió en la necesaria colaboración entre países en materia legal además de destacar la importancia que tiene la tipificación de los delitos que se cometen a través de Internet ya que éstos tienen dificultades distintas a los integrados en el ámbito real, y muchas veces no encuentran la sentencia condenatoria merecida.

Tras las argumentaciones vertidas por los juristas llegó el turno de los técnicos, que debatieron en torno a varias cuestiones que yo planteé como moderador de la tercera mesa.

Así, el debate arrancó con la visión qué en Europa se tiene de las evidencias, y que según Fredesvinda Insa, directora de desarrollo estratégico de Prueba Electrónica de Cybex, “es un tema que tanto a nivel nacional como internacional despierta un gran interés”.

En este sentido, Insa explicó como ante la falta de estándares y a consecuencia de las lagunas que existen en esta materia, Cybex decidió acometer un estudio para averiguar el interés que en el continente se tiene sobre esto. Dividido en varias fases, el informe ha permitido conocer la legislación, recoger información sobre informática forense, identificar casos de excelencia y, por último, -esta fase aún no se ha iniciado-elaborar una guía de mejora, en este sentido.

Aportando su visión como experto en prevención e investigación de fraudes, Ricardo Noreña Herrera, director de KPMG Forensic, trató el tema de la informática forense, también en el ámbito internacional.

Cómo se preparan las empresas para lidiar con estos temas fue otra de las preguntas que realicé. Tomando la palabra, Rafael Ortega, vicepresidente de Azertia Consulting en el área de de Continuidad de Negocio y Seguridad destacó, en este punto, una transformación en la mentalidad de las empresas que empiezan a entender la problemática y los riesgos de sufrir un ataque informático.

El paso de lo tangible a lo digital, contratos que nacen en papel y pasan a ser digitales, y de la necesaria validación de los mismos fue otro de los temas tratados. En este sentido, y tras reconocer que ya hay un alto número de empresas que se encuentran en proceso de convertir documentación en papel a digital, Vicente Calzado, director de la división ECM de Informática de El Corte Inglés, advirtió los distintos casos que pueden darse así como las condiciones a aplicar en cada uno de ellos.

“Mientras que en el ámbito tributario ya existe un borrador del concepto de digitalización certificada, que encierra las distintas condiciones para que este pueda ser llevado a cabo, en el mundo público se hace a través de la compulsa y certificación por parte de un funcionario de registros. Todo ello acompañado de dispositivos técnicos”.

El requerimiento de una firma electrónica, tipificada en distintos niveles, y la necesaria codificación que la misma implica fue planteado a Jesús Alonso, consultor ejecutivo de Atos Origin.

“Se habla de la validación, porque tan importante es firmar como el hecho del que la reciba tenga capacidad de validarla”. De esta forma, Jesús Alonso distingue dos enfoques: uno, relacionado con el receptor, que tiene capacidad para validar la firma, y otro que tiene que ver con la validación realizada en el momento de la firma. “Esto supondría que además de la firma se incluyese un sello de tiempo además de algún certificado electrónico que indicase que en el momento de la firma ésta era válida en tiempo y forma”, concluye.

Reflexiones interesantes de técnicos y juristas que llaman la atención de las instituciones sobre el camino que queda por recorrer.

Preguntas y respuestas sobre la adopción de 3D Secure y EMV en España

4 respuestas

Recientemente he participado en una encuesta sobre medios de pago, centrada en 3D secure y EMV, algunas de cuyas preguntas (y respuestas) pueden ser de interés para quienes trabajan en el mundo de los medios de pago. No dejan de ser opiniones personales circunscritas la mercado español, por lo que agradeceré vuestras opiniones tanto si coincidís con las mías como si disentís.

¿Su institución (en su carácter de emisora de tarjetas de crédito y débito) utiliza alguna solución 3D Secure? ¿Desde qué año?

Albalia Interactiva no emite tarjetas, pero yo he estado vinculado con el 3D secure desde el año 2000, y desde antes con el sistema SET.

¿Porqué cree que pese a estar España relegada en el nivel de Comercio Electrónico con sus vecinos europeos ha sido el primero y más amplio en implementar 3D?

Porque previamente se intentó implementar SET de forma amplia con ciertas dificultades por incompatibilidad de soluciones y complejidad añadida al pago desde el punto de vista de usuario. Y no es cierto que el nivel de Comercio Electrónico en España sea inferior al de otros paises europeos. Le recuerdo que la mayor parte del comercio 3D del MUNDO se lleva a cabo en España.

¿Cómo considera -7 años después- el estadio del 3D Secure? ¿Ha triunfado o fracasado? ¿Porqué?

Ha fracasado. Porque la adopción fuera de España es muy baja y no tiene apoyo de las marcas VISA y MasterCard, especialmente en Estados Unidos.

Respecto a España es un éxito clamoroso por su adopción, pero la percepción de ser una isla digital implica que no hay excesivas barreras para adoptar mecanismos alternativos como Mobipay, en el que también España es pionera.

¿Los TPV Virtuales utilizados por las tiendas virtuales, son propios o pertenecientes a la procesadora de pagos?

En algunos casos son de las procesadoras, y en otros de entidades financieras. En España se usa el modelo triangular, por lo que es fácil migrar a cualquier plataforma de autenticacion de transacciones. No se da el caso de TPV virtual propio, salvo en grandes entidades que también disponen de lineas dedicadas para las transacciones presenciales.

¿La utilización es exclusivamente a través de su red de pagos o está implementada internamente?

El modelo triangular implica que la fase de pago (dentro del proceso de carrito de la compra) se lleva a cabo en la entidad financiera adquirente o en su procesador asociado.

Prácticamente hablando, ¿La implementación del 3D Secure es exclusivamente un tema a cargo de su procesadora de pagos? ¿Qué recae a cuenta de la institución?

La institución define el mecanismo de autenticación del titular. Frecuentemente delega este tema tambén en la procesadora.

¿Qué relación existe entre los sistemas de seguridad de la Banca Electrónica y del Comerció Electrónico?

En ocasiones coinciden, pero no de forma generalizada. Ahora se está debatiendo la posibilidad de utilizar calculadoras OTP comunes para toda la banca a partir de tarjetas EMV con autenticación dinámica. Esto unificaría la visión de seguridad de banca electrónica y comercio electrónico.

¿Considera la seguridad en el Comercio Electrónico un elemento de diferenciación competitiva en el mercado financiero?

Solo algunas entidades dan importancia a ese tema. Además en los últimos tiempos, las entidades financieras son refractarias a aceptar más tiendas virtuales, por ciertos errores de gestión de clasificación del pasado.

¿Existe alguna interfase que permite aprovechar los medios de identificación del cliente tanto para la Banca Electrónica como para el Comercio Electrónico?

Si. Uno de ellos ya lo he mencionado, pero no es el único. En particular existen grandes expectativas sobre la próxima universalidad del DNI electrónico.

¿Cuál es el porcentaje de tiendas virtuales que están utilizando 3D Secure?

Prácticamente el 100%. Todas aquellas que usan la pasarela de pago de su entidad financiera.

Unas pocas usan SSL para captar datos de tarjeta y despues utilizan un TPV convencional para volver a introducir los datos de tarjeta con la modalidad «reentry», lo que requiere un permiso especial de la entidad adquirente.

¿Cuál es la situación de las grandes tiendas (virtuales) como las compañías aéreas, agencias de turismo y de pasajes, grandes tiendas o cadenas?

Usan accesos especiales derivado de la norma ISO 8583, que en España tienen denominaciones como PUC, PUCE, o PRICE y antiguamente «Protocolo Hipermercado». Recientemente han tenido que incluir las modificaciones derivadas de la introducción de EMV que será obligatoria desde inicios de 2008, por la entrada en vigor de los compromisos SEPA.

¿Cómo entiende ha sido la evolución en la aceptación de esta tecnología?

Las propias entidades han evolucionado en su uso como tiendas físicas a tiendas virtuales, unificando la plataforma para ambos usos.

¿Cuál es el porcentaje de inscripción en el 3D Secure por parte de los portadores de tarjetas?

Prácticamente el 100% de las entidades dan la opción, si bien, por problemas de adopción, permiten llevar a cabo algunas transacciones iniciales de forma no autenticada. Los titulares esporádicos no suelen enrolarse.

Por otro lado Mobipay permite llevar a cabo transacciones 3D de forma más sencilla y más segura y se incluye como opción en las pasarelas de adquirente.

¿Cuál es el proceso de registración de éstos (personalmente en las oficinas, al momento de adqquirir, están obligados o es una opción por su conveniencia?

El proceso es on-line, vinculandolo a algún dato común que el usuario debe conocer, por ejemplo datos de acceso a la banca on-line. EN las primeras transacciones se avisa al usuario del proceso completo de enrolamiento pero se le suele dar la opción de autorizar la transacción sin autenticación.

¿Los clientes han aceptado positivamente la iniciativa al ver mejorada su seguridad o se molestan por la registración y posterior necesidad de recordad su clave?

Creo que ambas situaciones se dan, pero el modelo de aceptar las primeras operaciones sin autenticación minimiza el impacto de las molestias y produce una beneficiosa sensación de seguridad al usuario. Creo que la relación debe estar en torno al 80-20.

¿El «liability shift» (revierte la carga del fraude de la tienda o su banco al banco emisor de la tarjeta) afectará las medidas de seguridad en el Comercio Electrónico?

Si, aunque las entidades no parecen aplicar conscientemente esta situación.

¿Los proyectos SEPA y EMV afectarán también la seguridad en el Comercio Electrónico?

Si. Se intenta llegar a modelos unificados. Ya he comentado el tema de las calculadoras OTP:

¿En un futuro las tarjetas EMV serán también utilizadas para el Comercio Electrónico? ¿Colaborará o dificultará la ejecución de operaciones electrónicas?

En mi opinión sí, si se generalizan las calculadoras OTP. Sin embargo, es más probable que en España se adopte Mobipay como un mecanismo mejor y más barato para la autenticación.

¿Los clientes estarían a cargo de la compra de la unidad lectora de EMV?

El despliegue del DNI electrónico tendrá como efecto la inclusión generalizada de lectores de tarjeta chip por los particulares. Los fabricantes e importadores han anunciado que desde 2008 los ordenadores llevaran teclados con lector de tarjeta chip compatible PC/SC o bien otras variantes de lector. Este sistema podría ser utilizado para aceptar tarjetas EMV.