Seguridad en el Comercio Electrónico

Hace algunos años atrás no esperábamos que las compras se pudieran realizar por internet, el avance de las comunicaciones con los clientes, era algo que representaba una visión lejana, pero se logro. Como todos los sistemas tienen ataques a su seguridad, este no es la excepción, ya que maneja transacciones comerciales y financieras, siendo la tarjeta de crédito el medio más sencillo para realizar compras por internet. Sin embargo hay personas que se aprovechan de este tipo de sistemas, porque están abiertos al público en general.

Como al cliente le preocupa la seguridad de sus compras por internet, se buscó una medida de seguridad, con el número de la tarjeta, impulsando la normativa de emplear SSL (Secure Sockets Layer) cifrar el envío de datos personales, entre ellos el número de tarjeta. Éste es un protocolo que establece comunicaciones seguras y constituye la solución de seguridad que mas se ha implantado en la mayoría de los servidores web que ofrecen servicios de comercio electrónico.

Algo curioso que pude encontrar, es que aunque el canal seguro lo proporciona SSL el enfoque, aunque práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura, por ejemplo en España, debido a que los navegadores utilizan 40 bits de longitud de clave, protección muy fácil de romper.

Son demasiados problemas e incertidumbres como para dejar las cosas como están. Se hacía necesaria la existencia de un protocolo específico para el pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por el que se creó SET (Secure Electronic Transaction) que cuenta con una ventaja de ofrecer autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

En conclusión, considero que SET no goza de la popularidad de SSL porque se ha ido desarrollando con lentitud y sus puntos fuertes son también su talón de Aquiles, ya que la autenticación de todas las partes exige rígidas jerarquías de certificación, ya que tanto los clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que resultan engorrosos, cuando no esotéricos, para la mayoría de los usuarios. SSL no es tan perfecto, no ofrece su seguridad ni sus garantías, pero funciona. Y lo que es más: ¡el usuario de a pie no tiene que hacer nada! Entretanto, mientras SET llega a la meta o muere por el camino, eso sí, no olvide pagar todas sus compras usando SSL.

Referencia: http://www.iec.csic.es/criptonomicon/susurros/susurros08.html