|
ASPECTOS
A TENER EN CUENTA PARA
IMPLANTAR UNA SOLUCIÓN DE COMERCIO ELECTRÓNICO SEGURA
Y EFECTIVA
(Tercera Parte)
c.)
Medios de pago seguros (contenidos facilitados por Oscar Conesa).
Los dos sistemas
clásicos por excelencia de pago no efectivo son los cheques
convencionales y las tarjetas de crédito. En el sistema
financiero, el dinero toma forma de entrada en los libros de los
bancos y de otras instituciones financieras. Esto para el usuario
se refleja en la existencia de una cuenta deposito en la que se
graban los depósitos del cliente y se realizan pagos en
forma de cheques o transferencias.
Un cheque
es un documento escrito por el usuario de la cuenta y autentificado
por el mismo que se entrega a un comerciante, quien a su vez lo
acepta antes de presentarlo en su banco. Si el banco cobrador
y el del vendedor son los mismos, todo se reduce a una compensación
interna de apuntes. Si por el contrario, ambos disponen de cuentas
en bancos distintos, el banco cobrador deberá presentar
el cheque y recoger los fondos a través de un sistema de
ajuste o cámara de compensación ACH (Automatic Clearing
House). Esta cámara puede pertenecer al estado, por ejemplo,
al banco emisor de la moneda, o tratarse de un sistema intermediario
privado, como VisaNet ACH Service. En el momento de la entrega
del cheque, el cobrador no sabe si este se encuentra respaldado
por fondos por lo que corre cierto riesgo. Pero los pagadores
también asumen determinados riesgos frente a la posible
existencia de cheques falsos ya que reciben los extractos de las
cuentas después de pagar sin confirmación previa
al pago.
Otra alternativa
es la utilización de un sistema de crédito, como
una tarjeta o un servicio bancario de adelantos de descubiertos.
El comerciante se asegura el pago y el emisor asume la responsabilidad
del cobro. El ajuste se realiza entonces cuando el comerciante
envía un lote de autorizaciones a su banco entre este y
el banco emisor de la tarjeta
Existen dos
tipos de operaciones con tarjeta de crédito que suponen
distinto balance de riesgo en función de sí la tarjeta
se encuentra presente o no.
En el primer
caso, la tarjeta presente, todo el riesgo del crédito pasa
al comerciante. En estos casos el comerciante puede verificar
la firma del titular comparando la que este imprime en el recibo
con la que aparece en la tarjeta. Por ello, será responsabilidad
suya si se hace uso fraudulento de la tarjeta de un tercero. La
integridad de la transacción queda garantizada para el
cliente mediante una copia-papel del recibo. El nombre de la cuenta
se autentifica a través del numero de la tarjeta y la transacción
puede ser confirmada enviando los datos por medio de una red privada
de la asociación.
En el segundo
caso, la tarjeta no presente, el consumidor asume cierta parte
(pequeña) del riesgo ante un posible fraude ya que es responsabilidad
suya proteger el número de tarjeta, debido a que este es
el único medio de identificación del pagador en
la transacción (como mucho se podrá pedir la fecha
de caducidad y dirección y comprobarlas). Este es el sistema
empleado en los pedidos por teléfono o Internet (en pedidos
como correo o fax, aun se cuenta con la firma del titular como
medio de no-repudiación, que no de autenticación).
Por ello, dado que nada impide que se pueda colocar un sniffer
(programa que monitoriza todos los datos que pasan por cierto
ordenador) en la red, los números de tarjeta deben viajar
encriptados por la red.
Hay diferencia
entre el uso de cheques y de tarjetas. Un pago mediante cheques
supone dinero pagado para el consumidor, que asumirá todos
los inconvenientes derivados de una fallo del comerciante. Sin
embargo, si se paga con tarjeta se puede pedir la restitución
del importe. El problema pasa a ser del banco emisor de la tarjeta,
que deberá pedir cuentas al del comerciante.
El crecimiento
de Internet ha permitido crear una nueva vía de comunicación
entre comerciantes y compradores potenciales, lo que ha propiciado
la aparición de diferentes sistemas de pago electrónico.
El evidente riesgo de fraude condiciona totalmente estos sistemas
por ello ha sido necesario aplicar las más modernas técnicas
de encriptación para garantizar la seguridad. Los medios
de pago existentes en la actualidad son
1.
FSTC (Financial Services Technology Consortium).
FSCT es un
consorcio americano de bancos, organizaciones gubernamentales
y empresas tecnológicas creado en 1995. Uno de los proyectos
promovidos por este consorcio es la creación de un sistema
de cobro de Cheques Electrónicos.
El pagador
debe contar con un procesador seguro, que se implementa en forma
de tarjeta inteligente. Este procesador es el encargado de generar
los cheques que consisten, simplemente en ordenes de pago firmadas
digitalmente. Los cheques se trasmiten al comerciante que los
acepta firmándolos digitalmente y los envía al
banco, que los hará efectivos a través de la una
red ACH clásica.
2. CheckFree.
Checkfree
Corporation es una entidad financiera americana que lleva realizando
transacciones electrónicas y cobros con tarjetas de crédito
a distancia desde 1983. Sus clientes son tanto empresas como
particulares que deben poseer una cuenta en la entidad. Para
realizar un pago electrónico, el usuario debe conectarse
vía módem (sin pasar por Internet) a Checkfree
y enviar una orden de pago. Dependiendo del tipo de pago, Checkfree
utilizará la U.S. Reserva Federal o el sistema RPS de
MasterCard para realizar la transferencia electrónica
de fondos.
Para el
pago por Internet, Checkfree ha decidido utilizar la tecnología
de Cybercash de encriptación y autorización.
3.First
Virtual (FV).
Fue uno
de los primeros en aparecer (1994) con la peculiaridad de no
hacer uso de la criptografía. Un consumidor que desee
hacer uso del sistema primero debe registrarse en el mismo,
tras lo que obtiene un Virtual PIN, ID o identificador de First
Virtual. Para ello debe de enviar un número de tarjeta
de crédito, VISA o MasterCard, por medio off-line, como
teléfono o fax. Una vez registrado podrá realizar
compras por Internet o acceder a información restringida
en un servidor que emplee el sistema FV.
Tras registrarse,
se recibe un mail con una clave de doce dígitos, y un
número de teléfono donde confirmarlo. Mantener
un PIN cuesta 5 dólares al año aproximadamente.
Para realizar
un pago bastará con presentar el Virtual PIN al comerciante.
Éste se conectará a un servidor FV para comprobar
si el pago es correcto, y de ser así, enviará
la mercancía o dará paso libre a la información.
Para realizar
un pago al comerciante, First Virtual, envía un e-mail
al consumidor en el que le indica la operación y le pregunta
si desea pagar o no. El consumidor deberá confirmar el
pago respondiendo "yes", "no" o "fraud". Mediante este sistema
el comerciante no llega nunca a saber el número de tarjeta
del consumidor, ni ésta llega nunca a viajar por la red.
El protocolo
de validación de FV es el más lento de todos los
medio de pagos electrónicos al requerir una confirmación
del usuario off-line. No hace uso de la criptografía
y permite el anonimato del usuario frente al comerciante
4. NetMarket.
Se trata
de un sencillo sistema que permite el pago electrónico
por Internet utilizando como seguridad el sistema Pretty Good
Privacy (PGP) para encriptar los números de tarjetas
de crédito manteniendo la confidencialidad de los datos.
5.
NetBill.
NetBill es
una alianza entre la Universidad Carnegie Mellon y Visa Internacional
con el objetivo de ofrecer un sistema de pago seguro a través
de Internet. NetBill se centra exclusivamente en la venta de información
digital que pueda ser enviada por medios electrónicos como
artículos de prensa, software, música, videos o
cualquier tipo de documentación electrónica.
NetBill
es un sistema prepago, es decir, todos los usuarios deben crear
una cuenta antes de realizar cualquier compra. El usuario selecciona
la información que desea y la recoge del servidor a cambio
envía una orden de pago al Vendedor. Éste remite
la orden de pago al Servidor NetBill que deberá autorizar
la compra realizando una transferencia de la cuenta del comprador
a la del comerciante. Tanto la orden de pago como la información
adquirida se encuentran cifradas. El Vendedor desconoce los
datos de la orden de pago y el Comprador no puede utilizar la
información sin conocer la Clave de encriptación.
Tras aceptar la compra, el Servidor NetBill realiza la transferencia
y envía la Clave de cifrado al usuario que le permitirá
descifrar los datos adquiridos.
NetBill
funcionó en periodo de pruebas el verano de 1995 y permitió
el acceso a diferentes servicios universitarios de la CMU.
6. NetCash
y NetCheque.
Sistema
creado en la Universidad de Sur California (USC) en 1997. Se
trata de un sistema de pago seguro por Internet que permite
varias implementaciones como E-cash o como cheque digital bajo
el mismo protocolo. Netcash es similar a Digicash y permite
el pago con dinero electrónico de forma que mantiene
el anonimato del comprador. Por su parte Netcheque sigue un
esquema típico de pago con tarjeta de crédito
como Cybercash. Ambos sistemas utilizan el mismo servidor para
validar los pagos.
La seguridad
del protocolo se basa en Kerberos, y la firma digital empleada
es un ticket especial llamado proxy. Si se desea se puede cambiar
la criptografía a un modelo de clave pública,
pero disminuirá el rendimiento.
Para escribir
un cheque, el usuario especifica los datos, y el software cliente
obtiene un ticket Kerberos para esta operación, genera
un autentificador para una suma de control sobre la información
del cheque, y coloca el ticket en el campo firma del cheque.
El cheque se codifica entonces en Base-64 y se envía
al destinatario. Al recibirlo, el software del vendedor lee
la parte en claro del mismo, extrae el ticket Kerberos y lo
envía a través de una conexión cifrada
al servidor Netcheque que valida la operación.
7. CyberCash.
Es uno de los
medios de pago electrónicos pioneros. La empresa fue creada
en 1994 y el sistema CyberCash se encuentra operativo desde abril
de 1995. Se trata de un sistema integrado con el WWW que utiliza
un protocolo propio manejado por un software que debe ser distribuido
tanto a comerciantes como a consumidores. Constituye una pasarela
entre Internet y las redes de autorización de emisores
de tarjetas, contando para ello con la experiencia ganada con
el sistema Verifone de autorización de tarjetas por teléfono,
del cual deriva. El consumidor cuenta con un software "wallet"
o monedero que puede ligar a varias cuentas bancarias o a las
tarjetas de crédito. El software encripta todos los datos,
realiza un registro de todas las transacciones y se encuentra
protegido mediante contraseña. En el lado del comerciante
se sitúa un software similar.
Cuando un
usuario baja el software de CyberCash, genera un par de claves
publica, Kp, y privada, Ks para él. El sistema empleado
es RSA de 1024 bits. A continuación envía Kp al
servidor de CyberCash que almacena en una base de datos. De
esta forma solo CyberCash sabe las claves publicas de todos
los interlocutores posibles. La comunicación entre consumidor
y comerciante se lleva a cabo en claro, mientras que la comunicación
de estos con CyberCash se realiza de forma protegida. Para ello
se emplea una clave de sesión DES aleatoria de 56 bits
que se distribuye encriptada con la llave publica del interlocutor.
CyberCash tiene incrustada su propia llave publica en el software
por lo que cualquiera puede comunicarse con él. Un dato
importante es que la clave DES es de 56 bits cuando por las
leyes de la legislación americana antes fijaban un máximo
de 40 bits, y es que CyberCash consiguió un permiso especial.
La transacción
se lleva a cabo de la siguiente manera:
- El cliente
selecciona un ítem a adquirir mediante www y elabora
un pedido.
- El software
del comerciante envía "la factura proforma" al software
" wallet". La factura proforma es texto en claro, firmado
digitalmente en el que figura una descripción de la
compra así como las tarjetas de crédito aceptadas.
Para la realización de firmas digitales se emplean
funciones hash MD5 y claves secretas RSA. A su recepción,
el software "wallet" da a elegir al usuario entre aquellas
tarjetas que tiene registradas y le pide autorización
para realizar el pago.
- Previa
confirmación del usuario, el software "wallet" del
cliente genera un mensaje de pago y lo envía la comerciante.
Este mensaje consiste en un hashing de la factura junto con
las instrucciones de pago, todo ello firmado digitalmente
y encriptado para CyberCash.
- A la
recepción del mensaje, el comerciante, que no puede
descifrarlo simplemente añade la información
al pedido (también firmada digitalmente) y lo remite
a CyberCash.
- CyberCash
desencripta y compara los dos mensajes. Si coinciden los datos,
solicita confirmación, y a través de la red
financiera y trasmite la respuesta al comerciante para que
este pueda cerrar la transacción con el cliente.
Todo este proceso
se lleva a cabo en un periodo de tiempo inferior a un minuto.
El proceso descrito es el caso más habitual, no obstante,
el protocolo CyberCash es mucho más complejo y contempla
la posibilidad de reintegros, anulaciones y solicitud de estado.
Una versión antigua se puede encontrar en Internet en forma
RFC.
Respecto
a la protección del consumidor cabe destacar que, al
encriptarse la orden de pago para CyberCash y no para el comerciante
este no ve el número de la tarjeta de crédito
lo que unido al hecho de que se comprueba la descripción
de la compra, impide el abuso por parte de los comerciantes.
En lo referente a la privacidad, aunque CyberCash tiene acceso
a la descripción de la compra, esta no tiene porque incluir
los detalles de la compra, puede constar como dato la referencia
y el tipo solamente. De este modo el comerciante no ve la tarjeta
y CyberCash no ve el producto
8. DigiCash.
Fundada
en 1990 en Amsterdam por el prestigioso Criptógrafo David
Chaum, DigiCash ha sido una de las empresas que más han
aportado al concepto de dinero digital. La diferencia con CyberCash,
radica en que es un sistema de pago anticipado, donde se adquiere
previamente el dinero del banco y se almacena digitalmente en
el software del comprador. Este sistema permite la compra anónima
ya que no requiere autenticación.
El usuario
abre una cuenta en DigiCash y a cambio recibe una lista de números
de 64 bits que equivalen a diferentes cantidades de dinero electrónico
(E-Cash). Para pagar únicamente debe enviar uno de estos
números al Vendedor. Una vez recibidos, se remitirán
al Servidor DigiCash que realizará la transferencia manteniendo
el anonimato del comprador. DigiCash es el equivalente electrónico
a los Cheques de Viaje.
9. Mondex
International.
Mondex es
una asociación de bancos creada en 1995 en Gran Bretaña
y destinada a promover el uso de dinero electrónico usando
como soporte básico las Tarjetas Inteligentes o Tarjetas
Chip. El E-Cash puede ser intercambiado por cliente y comerciantes
siempre que posean los medios tecnológicos necesarios
compatibles con la tecnología Mondex. Las Tarjetas pueden
ser utilizadas a su vez en cajeros automáticos (ATM)
o incluso en pagos a distancia por Internet.
10. Open
Market.
Open Market
fue fundada en 1994 y es una de las empresas pioneras en el
comercio electrónico por Internet. Su contribución
más importante no se debe a la creación de nuevos
protocolos de seguridad sino a StoreBuilder, un software destinada
a la creación de Tiendas Virtuales y CyberMalls (Grandes
almacenes virtuales) en Internet bajo un entorno Web. Los medios
de pago han ido adaptándose a medida que han ido apareciendo
nuevos medios de pago electrónicos. Primeramente Open
Market funcionó permitiendo el pago con tarjeta de crédito
con comunicaciones no cifradas. Más tarde se utilizó
la tecnología de CyberCash y finalmente adoptó
SSL.
De todos
estos sistemas de pago se pueden extraer varias conclusiones
con relación a la procedencia de un sistema u otro. Las
dos condiciones más importantes son:
- El
sistema de pago debe ser un estándar único
ya que en caso contrario estamos limitando el enormemente
el número de posibles usuarios del sistema.
- Debe
permitir conexiones seguras a través de redes
inseguras como Internet. Esto puede conseguirse fácilmente
con la utilización de la criptografía moderna.
Partiendo de
estas dos premisas, las organizaciones y empresas responsables de
Internet se esforzaron por crear un protocolo único que permitiese
confidencialidad en las comunicaciones por Internet. La solución
fue adoptar el protocolo SSL de Netscape (que se explicará
en detalle más adelante) como uno de los protocolos oficiales
incluyéndolo en los estándares TCP/IP.
Otra conclusión
importante es la comprobación de que el método ideal
para el pago electrónico, por distintas razones, es la
utilización de tarjetas de crédito. Y para ello
es necesario la creación de Pasarelas de Pago que permitan
la interconexión entre Internet y las Redes Bancarias (ACH
y bancos). Bajo esta perspectiva, el protocolo más perfeccionado
de los mencionados es el de CyberCash, protocolo que sirvió
de base para el diseño del actual sistema SET (el
cual se explicará también más adelante).
Por su parte
DigiCash y Mondex presentan un concepto nuevo, el Dinero electrónico
(E-Cash). En estos casos no se trata de simples ajustes bancarios,
sino que el dinero se encuentra "físicamente" en formato
electrónico. Serían la versión electrónica
de las monedas y billetes. Las posibilidades de fraude en estos
casos se disparan dada la facilidad que existe para reproducir
una información digitalizada. Por ello el avance del E-Cash
será más lento que el pago electrónico y
requerirá de sistemas todavía más perfeccionados
de seguridad y validación.
|
