Seguridad en e-commerce
Nota del Editor
En la medida que las transacciones comerciales por Internet
no sean seguras, con una seguridad fácil de controlar y de bajo costo, el
e-commerce no va a entrar en su etapa explosiva o de "tornado".
Lamentablemente los temas de la seguridad todavía están en una etapa de magia
por parte de los expertos. Una idea de ese estadio de magia cara la
proporcionan los costos de ciertos libros recientes sobre el tema, ¡algunos más
de 300 dólares!. Como contrapartida, en una próxima entrega presentaremos
información y soft de seguridad distribuidos en forma libre y gratuita.
Una Introducción al encriptado
(ver la Guía sobre
Criptología)
Funciones del Encriptado
El encriptado
o codificación de los documentos a fin de evitar ser conocidos en todo o en
parte por terceros comprende las siguientes funciones básicas que aseguran una
operación comercial online:
Autenticación: es
el proceso que permite a ambas puntas de la transacción: empresa que vende,
comprador, estar absolutamente seguros de la existencia y veracidad de datos
del otro. El comprador debe asegurarse que el comercio exista y esté habilitado
como persona jurídica y el comprador debe asegurarse que su cliente es el real
dueño de la tarjeta de crédito empleada para la transacción.
Integridad:
ambas partes deben estar seguras de que el los mensajes no han sido
interceptados por un tercero durante la transmisión.
No repudiación:
ambas partes deben poder asegurarse que el otro no pueda negar la recepción o
el envío de un mensaje particular.
Privacidad: se
previene que terceros intercepten y decodifiquen los mensajes.
Elementos de un encriptado
El
texto:
o cuerpo del mensaje que hay que encriptar
El algoritmo de encriptado: un proceso lógico
matemático que permite codificar y decodificar el texto en base a una "llave".
La clave o llave: un conjunto de dígitos
encadenados.
El texto cifrado: o texto codificado, es el mensaje
codificado o encriptado.
¿Cuántos métodos de encriptado hay?
Hay dos métodos principales:
Encriptado por Clave
Privada, también denominado Encriptado
Simétrico o por Clave Secreta,
en el cual los usuarios comparten una clave común.
Encriptado por Clave
Pública, también conocido por Encriptado
Asimétrico en el cual se emplean claves distintas para el
encriptado y desencriptado.
Ambos sistemas tienen sus ventajas y desventajas por lo cual
los Protocolos de Transacciones Seguras tales como SSL y SET usan una
combinación de ambos.
¿Qué es una Firma Digital?
Es una cadena de bits, resultante de una cadena de
caracteres que a los fines prácticos tiene la validez de firmas personales. Las
firmas digitales se transmiten mediante Encriptado por Clave Pública y se usan
para verificar el origen y autenticidad del mensaje.
Una firma digital se prepara pasando el mensaje a través de
un algoritmo criptográfico que computa una
síntesis del mensaje. Esta síntesis es a su vez encriptada con la Clave Privada
para producir una firma que es agregada al mensaje original.
El receptor de la firma digital puede estar de ésta forma
seguro que el mensaje proviene del origen esperado. En efecto, el cambio de un
solo carácter en el mensaje cambia en forma impredecible la síntesis del
mensaje y así el receptor puede estar seguro que el mensaje no fue alterado
después que la síntesis fue generada.
¿Qué es un Certificado Digital?
Son documentos que suministran las bases para Transacciones Electrónicas Seguras
permitiendo a los participantes de una transacción verificar fácilmente la
identidad y autenticidad de los mensajes de los otros participantes.
Son firmados digitalmente y emitidos por CA, Certificate Authorities, Autoridades de certificación
las que verifican que la Clave Pública agregada al certificado pertenece a la
persona que lo requirió.
¿Cómo soporta el Sistema SSL Transacciones Seguras?
SSL es un
sistema soportado por los principales browsers o navegadores. Este protocolo es
especialmente apto para e-commerce. La privacidad está garantizada por el
encriptado y aunque los mensajes pudieran ser interceptados por un tercero no
podríe leerlo por no tener acceso a la clave del encriptado. Si recibido el
mensaje no puede ser correctamente desencriptado es señal cierta de que el
mensaje ha sido alterado durante su transmisión.
La autenticación es suministrada mediante ceriticaciones
digitales.
¿Cómo soporta el Sistema SET transacciones
seguras?
SET
por
protocolo Secure Electronic Transaction
fue desarrollado por VISA
y MasterCard para permitir el procesamiento
seguro de sus tarjetas de crédito a través de Internet. Emplea certificados
digitales para asegurar la identidad de las partes involucradas en las compras
mediante tarjetas de crédito antes de transmitir la información por Internet.
Al igual que SSL, SET permite que los comerciantes sean
identificados vía certificados digitales. A su vez le posibilita a los
comerciantes requerir a sus clientes que se autentiquen mediante
certificaciones digitales, lo cual hace mucho más difícil el uso de tarjetas de
crédito robadas. Otra ventaja de éste sistema es que no tiene acceso a los
números de las tarjetas con lo cual se elimina otra posible fuente de fraude.
¿Qué es una Tarjeta Inteligente?
A primera vista luce como una tarjeta de crédito normal pero
una aproximación mayor revela la ausencia de banda
magnética pues almacena toda la información pertinente en un chip oculto dentro del cuerpo de la misma. En
relación a las tarjetas convencionales difieren en varios aspectos importantes,
a saber:
Pueden
almacenar mucha más información
Pueden
ser protegidos mediante passwords
Pueden
incorporar un microprocesador capaz de realizar encriptaciones.
¿Cómo pueden ser usadas en e-commerce las
Tarjetas Inteligentes?
En
transacciones: permiten el almacenamiento seguro de claves de
encriptado
Emergencias: permiten el almacenamiento de dinero digital en una especie de "cartera
electrónica"
Operativamente: asegurando transacciones seguras en terminales de Web públicas y en
teléfonos de pantalla.
