COMERCIO ELECTRONICO Y COMPRAS EN INTERNET

 ¿no me estaré arriesgando demasiado si envío esta información confidencial al otro extremo del mundo, a través del cable telefónico, rebotando a través de decenas de ordenadores que no puedo controlar?

 

Si alguna vez le ha pasado lo que se explica en la introducción de este artículo, no se considere demasiado desconfiado por pensar así:  el 90 por ciento de las personas conectadas a Internet temen que los datos de sus tarjetas de crédito, o los códigos de acceso a sus cuentas bancarias, puedan ser interceptados y utilizados para efectuarles cargos no deseados. O bien que el sitio donde efectúen su compra sea falso o fraudulento, y que el producto adquirido nunca llegue a su poder. La utilización de Internet para transacciones comerciales es un fenómeno bastante reciente y con excelentes perspectivas de futuro, pero que necesita recorrer todavía un cierto trecho para convertirse en el entorno seguro que todos deseamos. Aún así, ya es posible efectuar compras con bastante seguridad, siempre que observemos las sencillas medidas de precaución que comentamos en este artículo.

Compras y pagos “virtuales”

Se suelen designar bajo esta denominación todas las operaciones que un usuario particular puede realizar para la adquisición de un producto o contratación de un servicio, y que requieren que ese usuario proporcione datos financieros confidenciales a través de Internet para completar el pago. La mayor parte de las veces, estas operaciones se realizarán en línea y en tiempo real, pero esto no es imprescindible. Veamos un ejemplo.

Una prestigiosa revista internacional en papel, recién presentada en España, invita a los lectores a formalizar su subscripción a través de varios sistemas diferentes, entre los que se incluye (cómo no) el correo electrónico. Para utilizar esa posibilidad se pide enviar los datos bancarios completos en un mensaje e-mail ordinario. Como es de suponer que esta práctica será cada día más común, es preciso dar ya la primera regla de oro para una compra segura:

1 - Nunca, absolutamente nunca, envíe sus datos financieros en un mensaje de correo electrónico ordinario

La única excepción posible a esta norma puede darse si ciframos nuestro mensaje con un sistema tan seguro como PGP, pero para ello es necesario que el vendedor lo tenga instalado en su propio sistema PGP, situación que no es habitual. Los navegadores web actuales incorporan la tecnología S/MIME que (a pesar de usar claves más débiles que PGP) puede ofrecer cierta protección. Aún así, la regla antes enunciada conserva su validez en casi todos los casos.

El correo electrónico puede emplearse, no obstante, para ampliar información, realizar consultas o aclarar dudas antes de realizar la compra propiamente dicha.

Los servidores seguros

Un servidor seguro es un servidor web que tiene implementado el protocolo SSL (Secure Sockets Layer) y está certificado por terceras partes fiables (“autoridades de certificación”). SSL es un estándar abierto creado por Netscape, pero que entienden todos los navegadores y que regula el diálogo cifrado entre el servidor donde realizamos la compra y nuestro propio programa explorador. El protocolo, que se sitúa por encima del TCP/IP y por debajo del HTTP, emplea diversos algoritmos criptográficos para garantizar la seguridad de la transacción, proporcionando las siguientes ventajas:

  1. Identificación y autentificación, que le permiten asegurarse de que ese servidor realmente pertenece a esa empresa, antes de que usted le confíe sus datos. La importancia de esto es fundamental: en el mundo real es fácil saber que nos encontramos en un comercio real, que identificamos por su ubicación, logotipos y otra serie de elementos más o menos inconscientes. Pero en el mundo virtual es relativamente fácil simular una identidad y suplantar un negocio real, pudiendo incluso redirigir las URL que tecleamos para que apunten al ordenador del impostor, y proporcionarle a éste nuestros datos. Esto no es posible con un servidor seguro y debidamente certificado, si bien es cierto que la autentificación proporcionada sólo por SSL dista de ser completa, en la medida en que no proporciona información financiera fiable y contrastada acerca del vendedor o el titular de la tarjeta (el protocolo SET, que luego veremos, sí que cubre estos aspectos).

  2. Confidencialidad e integridad de los datos. Cuando enviamos los datos que hemos tecleado en un formulario presentado por un servidor seguro, el tránsito por Internet se hace de forma cifrada, por lo que si un atacante los interceptase en su camino, no le servirían de nada, por cuanto carece de las claves necesarias para descifrarlo. Al mismo tiempo, se garantiza que los datos no han sido manipulados en el camino.

Es decir, cuando utiliza un servidor seguro para sus compras, desaparecen los dos principales temores que pudieran asaltarle: la tienda es quien dice ser y sólo ella podrá acceder a los datos tal y como usted los tecleó.

A la vista de estas ventajas, la segunda regla de oro es obvia:

2 - Para llevar a cabo compras a través Internet, utilice únicamente servidores seguros

De esta regla se desprende una consecuencia lógica: no teclee nunca sus datos financieros en un formulario de un servidor web que no sea seguro. De hacerlo, sus datos viajarían sin cifrar, expuestos en cada nodo del camino, tal y como ocurre con el correo electrónico ordinario. Por esta razón, su navegador le avisa antes de enviar los datos en un formulario no seguro. Se hace pues imprescindible diferenciar cuándo nos encontramos en un servidor seguro y cuándo no. Esto resulta muy sencillo, porque nuestro navegador de Internet se encarga de avisarnos por diversos signos:

  1. La configuración por defecto de los navegadores hace que nos avisen mediante un mensaje cuando vamos a entrar en un servidor seguro, y solicitan nuestra conformidad.

  2. Una vez accedido el sitio seguro, si se fija en la barra de direcciones, verá que la URL comienza ahora por https://, en lugar del http:// habitual. Compruébelo siempre.

  3. El pequeño icono de la llave (o candado) que aparece en la esquina inferior izquierda de la pantalla (en Netscape Navigator) se transforma: la llave se vuelve completa o el candado se cierra, y su fondo se resalta. En MS Internet Explorer 3.x aparece el candado cerrado en la esquina derecha, pero resulta bastante menos llamativo.

Cuando estos signos aparecen, podemos estar seguros de haber entrado en un servidor seguro, pero antes de lanzarse a teclear el número de su tarjeta de crédito, es aconsejable una medida de precaución adicional, dirigida a asegurarse de que ese ordenador realmente pertenece al dominio de la empresa en cuestión. Cualquiera de los navegadores le permite comprobar los detalles de seguridad de un documento:

En Netscape Navigator (hasta las versiones 3.x) deberá seleccionar “Ver” y luego “Información de documento” en la barra de menús. A partir de la versión 4, un botón etiquetado “Seguridad”, con el icono de un candado (que además se cierra y colorea en los sitios seguros), permite lanzar un pequeño programa Java que controla todos los aspectos de seguridad.

Puede accederse a la misma ventana desde la barra de menús, con “Ventana” y luego “Información de seguridad”. En un sitio seguro se le ofrecerá la posibilidad de ver las características con “Abrir información de la página” , o bien ver sólo su certificado con “Ver certificado” . En Microsoft Internet Explorer 3.x deberá seleccionar “Archivo”, “Propiedades” y “Seguridad”.

Examine cuidadosamente el certificado del sitio, para ver si corresponde a la empresa que usted piensa, comprobando, sobre todo, que la dirección o URL sea correcta y exacta (el navegador comprueba también si la dirección del certificado coincide con la del sitio donde estamos). Si el certificado fue expedido por una autoridad de certificación reconocida, su navegador, sea cual sea, lo validará sin problemas. Si la autoridad certificadora es desconocida, le dará a usted la opción de validarlo bajo su responsabilidad. Antes de pasar a aclarar aspectos sobre certificados y autoridades de certificación, enunciaremos la tercera regla de oro de la compra segura:

3 - Compruebe siempre las características de seguridad de un sitio antes de comprar en él

Y, por supuesto, si tiene alguna duda, utilice el correo electrónico para resolverla. A través del e-mail puede cotejar, por ejemplo, la huella dactilar digital (“fingerprint”) de un certificado que no cuadra, con la que la empresa le proporcione, para asegurarse de su validez y de que no ha sido suplantado.

Certificados y autoridades de certificacion

Una empresa que quiere comenzar a vender en Internet necesita, entre otras cosas, instalar y configurar un servidor seguro. Como consecuencia de este proceso la empresa obtendrá su par exclusivo de claves (pública y privada), que empleará para cifrar sus comunicaciones seguras, sin que entremos ahora a tratar las complejidades de los sistemas de criptografía que se emplean.

Una vez generadas sus claves el servidor necesita ser certificado como servidor seguro, es decir, se requiere que una tercera parte fiable verifique la implementación que ese servidor concreto hace del protocolo de seguridad, y avale digitalmente la autenticidad de la relación entre ese servidor seguro (con sus claves), y la empresa que lo posee. Las terceras partes encargadas de otorgar certificados digitales se conocen como autoridades de certificación. Una de las más aceptadas a nivel mundial es Verisign. En España existen también algunas, como IPS y la Agencia de Certificación Electrónica.

También los clientes necesitan certificados para intercambiar información cifrada y autentificada con los servidores seguros. Los navegadores de Internet traen incorporadas de serie las claves públicas raíz (o certificados) de las principales autoridades certificadoras. De esta forma, cuando usted visita un servidor seguro acreditado por Verisign, su navegador puede iniciar con él un intercambio cifrado, pues dispone de las claves necesarias y reconoce a Verisign como una autoridad de certificación válida.

No obstante, los navegadores proporcionan al usuario control absoluto para decidir qué certificados considera fiables y cuáles no, es decir, para retirar alguno de los existentes, actualizarlo o añadir alguno nuevo. A través de Ver / Opciones / Seguridad (en Internet Explorer 3.x) o Ventana / Información de seguridad (en Netscape 4.x) puede usted configurar los certificados que acepte su navegador. Le recomendamos que no retire ninguno de los instalados, a no ser que tenga una muy buena razón para hacerlo. Si, por el contrario, desea añadir alguno nuevo, dirija su navegador al sitio web de la autoridad certificadora de que se trate y siga las instrucciones que allí se le proporcionen. Un asistente le guiará en el proceso.

Además de incorporar claves públicas de autoridades de certificación puede solicitar, e incorporar a su navegador, certificados de cliente (o usuario), de mayor o menor nivel, que le acrediten también a usted ante determinados servidores que puedan requerir su identificación, algo que será imperativo cuando se implante SET. Cualquiera de las autoridades de certificación antes citadas le permite obtener uno de estos certificados, de mayor o menor nivel (estos últimos suelen ser además gratuitos).

Los certificados digitales tienen fecha de caducidad, por lo que si utiliza una versión antigua de un programa navegador, es probable que los certificados que incorpore estén ya caducados. En ese caso debe usted incorporar nuevos certificados o actualizar el navegador completo.

Otro aspecto a mencionar es que, en el momento actual, cada certificado se integra plenamente en cada copia específica del navegador, de donde no puede ser ya extraído para reincorporarlo a otro. Por tanto, si usted incorpora un certificado al navegador que usa en la oficina, no le servirá para el navegador que utilice en casa (aunque sea de la misma marca) y deberá solicitar otro nuevo para este último. No obstante, se está trabajando en un nuevo estándar (PKCS-12) que puede terminar pronto con esta molesta situación, y permitirá que los certificados sean extraíbles y reutilizables, con las necesarias garantías de seguridad. De todo lo anterior se deduce la cuarta regla de oro de la compra segura:

4 - Mantenga actualizado su navegador y/o los certificados incorporados en él

Seguridad y politica de exportacion

Algunos factores determinantes de la seguridad de nuestras compras en Internet, se encuentran, desafortunadamente, más allá del alcance de los usuarios.

La política restrictiva a la exportación de material “criptográfico potente” que mantiene el gobierno de Estados Unidos, repercute de forma negativa en la seguridad de todos como usuarios de la Red, y estrangula el definitivo despegue del comercio electrónico en Internet. Esta afirmación, aunque pueda parecer grave, no es gratuita, como reconocen las propias empresas norteamericanas, que presionan a su gobierno en busca de una solución liberalizadora que aumente su competitividad en el exterior.

En el momento actual, las empresas norteamericanas sólo pueden incorporar a sus productos exportables tecnología de encriptación con claves máximas de 40 bits, consideradas demasiado débiles para los parámetros actuales. Más recientemente se ha autorizado, bajo condiciones especiales, a algunas empresas a exportar productos con claves de 56 bits, aún muy lejos de las claves de 128 bits que se utilizan dentro de Estados Unidos, y cuya seguridad es muchos millones de veces superior. Las empresas norteamericanas, productoras de los navegadores web que utilizamos, se ven así obligadas a elaborar servidores y clientes muy seguros para el mercado interno, y otras versiones menos seguras de los mismos para la exportación. Taher Elgamal, director científico de Netscape, reconoce la enorme presión que la empresa recibe de sus clientes extranjeros, que no se conforman con una seguridad disminuida en sus transacciones. De hecho, claves de 40 y 56 bits han sido recientemente rotas por esfuerzos coordinados a través de Internet.

Como consecuencia práctica de esta situación, la seguridad de una compra en línea en Estados Unidos está a años luz de la que disfrutamos los internautas europeos. Y esto seguirá así hasta que se liberalice la exportación de tecnología de cifrado de 128 bits Por otra parte, el titular de una tarjeta de crédito en Estados Unidos sólo es responsable de los primeros 50 dólares por las operaciones que se efectúen a su cargo con tarjetas robadas, lo que sin duda contribuye a aumentar la confianza del usuario norteamericano en el comercio electrónico, pero posiblemente también esté coartando su despegue definitivo en el resto del mundo.

Aún así, no se precipite: no es necesario que solicite un cambio de nacionalidad. Nos conformaremos con enunciar la quinta regla de oro de la compra segura:

5 - Permanezca atento a todas las novedades relativas al comercio electrónico

Los acontecimientos se suceden a un ritmo vertiginoso y son de esperar mejoras significativas a corto plazo. Precisamente, una de las novedades que están ya a punto de materializarse es el protocolo SET.

¿Que aportará SET?

SET (Secure Electronic Transaction, Transacción Electrónica Segura) es el nombre de un nuevo protocolo con el que VISA y Mastercard esperan que los indecisos dejen definitivamente de lado sus reticencias a comprar en Internet, y todos alcancemos el mejor de los mundos, donde se materialicen por fin nuestras esperanzas de un comercio electrónico seguro en Internet. En el proyecto SET participan actualmente empresas como IBM, Microsoft, Netscape, RSA, Verisign y otras, y se esperan nuevas incorporaciones. SET busca un entorno seguro para el comercio en Internet, a base de autentificar a todas las partes implicadas en la compra mediante certificados digitales y autoridades certificadoras, supliendo (por tanto) las carencias que muestra SSL, y que ya hemos comentado antes.

Pero las motivaciones que subyacen a SET son, de algún modo, tan psicológicas como técnicas. SET cuenta con el apoyo de las principales empresas, bancos y entidades de medios de pago, por lo que se espera que genere en el público la confianza necesaria para que el negocio en la Red despegue definitivamente. Visa llega a afirmar en su documento “¿Por qué necesitamos seguridad en el ciberespacio?” (ver referencias en el cuadro que acompaña artículo) que hasta la llegada de SET no existe un método seguro de prevenir el robo de un número de tarjeta dado a través de redes abiertas como Internet. Por ello recomienda, en primer lugar, utilizar los servicios en línea sólo para ojear y luego realizar la compra por teléfono, fax o correo; en caso de decidir comprar en línea, Visa aconseja utilizar siempre SSL. Pero el desarrollo de SET está siendo más lento de lo esperado, quizás porque hay demasiado en juego. Se han necesitado dos años para lograr la especificación 1.0, que no llegó hasta junio de 1997. Además, SET precisa un software especial, tanto para vendedores como para compradores, por lo que necesita resolver algunas cuestiones de interoperabilidad. Las previsiones apuntan al principio de 1998. Mientras tanto, habrá que seguir contando con SSL.

Fraude en internet

Por mucho que nos entusiasmen las posibilidades del mundo digital, no podemos nunca perder de vista que, en última instancia, se trata de un medio para que interactúen personas, y el comportamiento de las personas en la Red es (en el mejor de los casos) muy similar al que mantienen en el mundo real, si bien con ciertos matices debidos a la virtualidad del ciberespacio.

Por ello, al igual que en el mundo real, en la Red existen negocios más y menos serios, y en muchos casos incluso fraudulentos. Pero lo cierto es que en la vida cotidiana solemos disponer de muchos más elementos de juicio para diferenciar unos y otros, incluso muchos de ellos de índole inconsciente: unos comerciantes inspiran más confianza que otros, atienden mejor sus reclamaciones...

Desafortunadamente, en el mundo virtual no va a disponer de esos elementos de juicio. Cualquier malandrín puede construirse un sitio web de formidable apariencia con un coste insignificante, e incluso simular un negocio que en realidad sólo existe en su disco duro. El sujeto ha podido montarse un servidor seguro e incluso haberse provisto de certificados falsos o robados. Si usted comete el error de comprar en tal “negocio” lo menos que puede sucederle es que no reciba nunca su pedido o servicio, a pesar de que su banco le notificará puntualmente y sin piedad el cargo correspondiente.

Y es que las nuevas tecnologías pueden ser una herramienta fabulosa para los delitos más clásicos; publicidad engañosa, ofertas de productos o servicios inexistentes, ficticias garantías de devolución están a la orden del día y no contribuyen demasiado a aumentar la confianza de los compradores. Puede que no conozca a nadie cuyos datos hayan sido robados en una compra normal, pero cada vez hay más gente que ha pagado por algo que nunca recibirá. Ofertas de trabajo en casa, marketing piramidal, loterías, e inversiones son terrenos abonados para estas prácticas dudosas. El negocio fraudulento en Internet se calcula que estafa unos 50 millones de dólares semanales sólo en Estados Unidos y la Organización de Consumidores de Australia encabezó hace poco un estudio internacional que estimó el negocio fraudulento en Internet en un 10 por ciento del volumen total de transacciones en la Red.

De este modo, la sexta regla de oro de compra segura puede enunciarse así:

6 - Extreme las precauciones antes de comprar en un sitio mínimamente dudoso o poco conocido

Póngase en contacto vía teléfono o correo electrónico y no realice la compra hasta obtener garantías que le parezcan suficientes, o compre en otro sitio más reputado.

Precauciones adicionales

Existen algunas medidas de precaución que pueden tomarse en el mundo real, de cara a minimizar los efectos de un posible incidente de seguridad en una compra virtual.

En esta línea, algunas personas solicitan de su banco una tarjeta de crédito con un límite mensual bajo y ajustado a sus hábitos de compra en la Red, y utilizan exclusivamente esa tarjeta cuando pagan en Internet. De esta forma, si un delincuente se hace con los datos de su tarjeta, no podrá cargarle nada por encima del límite contratado.

Si usted compra a través de un servidor seguro (SSL) los datos de su tarjeta viajarán cifrados y los hackers lo tendrán difícil. Pero al otro extremo de la línea de comunicación los datos necesitan ser descifrados, y poco control podemos tener sobre lo que pueda ocurrir a ese lado. En la vida real, no nos preocupamos demasiado por lo que ocurre con nuestra tarjeta mientras está en la caja (por ejemplo) del restaurante, pero en una compra virtual este extremo puede preocuparnos bastante más. No obstante, la posibilidad de este tipo de incidentes puede considerarse despreciable si respetamos las reglas que comentamos al hablar del fraude.

Conclusión

Muchas empresas y organizaciones están realizando enormes esfuerzos, día a día, para que nuestras compras en la Red resulten cada vez más sencillas, cómodas y fiables, pero no se necesita esperar a vivir en un mundo perfecto para decidirse a comprar en Internet.

Veamos un símil: las compañías de automóviles invierten sumas formidables en nuevas fórmulas para mejorar las condiciones de seguridad de sus vehículos. Este trabajo redundará sin duda en una progresiva mejora de nuestra seguridad al volante, pero la esperanza de un futuro mejor no nos impide utilizar hoy mismo nuestro coche para desplazarnos. Simplemente asumimos algunos riesgos y tomamos ciertas precauciones, pero en ningún modo renunciamos a las innumerables ventajas de utilizar un automóvil. Por ello, y aunque sigan existiendo riesgos, confiamos en que las sencillas medidas de precaución que hemos enunciado en este artículo le ayuden a prevenirlos, y así podrá disfrutar desde ahora mismo de la fascinante sensación de acceder, desde su propia casa, al mercado más formidable jamás ideado por la especie humana.

Otros sistemas de pago virtual

La función de la informática es resolver problemas. Como en todos los órdenes de la vida, cuando el problema es sencillo la solución tiende a ser única. Pero problemas complejos (y la seguridad en Internet lo es) acostumbran a disponer de soluciones múltiples. Aún más: la mera existencia de múltiples soluciones para un problema permite inducir que el problema es complejo.

Por ello, aunque SSL es la solución más aceptada hoy en día para tratar el arduo problema de transmitir información financiera sensible en un entorno abierto, no debe extrañar que existan diferentes enfoques de la cuestión, que buscan mejorar la seguridad y la comodidad del usuario, pero cuyo principal inconveniente radica en un ámbito de utilización mucho más limitado (restringido muchas veces en la práctica a los sitios adheridos a cada sistema concreto), así como en la frecuente necesidad de instalar programas específicos.

Notas Relacionadas:  ¿De compras por el Mundo?, Recomendaciones a tener en cuenta.

Todos los Derechos Reservados para CODELCO. Copyright 2002. Web site realizada por Montes Ramón Abel