Antecedentes: Debido al enorme crecimiento del comercio electrnico (ventas y compras por Internet) se a puesto en la mesa de la discusin la seguridad de dichas transacciones, particularmente que tan seguro es escribir el nmero de tarjeta de crdito en un sitio de Internet que funciona como tienda virtual.
La mayora de operaciones realizadas por Internet se llevan a cabo por particulares y un comercio que cuentan con una tienda virtual y permite pagar con tarjeta de crdito, en este caso el cliente no cuenta con los recursos y conocimientos para poder afirmar que su operacin ser segura, lo que significa principalmente que el nmero de tarjeta de crdito que el cliente proporciona por la pantalla no sea corrompido o usado para propsitos no autorizados.
En este articulo pretendemos explicar qu requisitos se deben de cumplir para poder declarar a una compra por Internet como segura. Tratando de evitar lenguaje muy tcnico y hacerlo de una forma simple.
Nos limitamos a comercio electrnico mas comn, es decir, entre un cliente y un comercio donde la operacin no es ostentosa, o sea, que quiz solo llega hasta cientos de Dlares Americanos.
GUIA BASICA EN COMPRAS SEGURAS POR INTERNET
1.- Se debe de realizar la compra usando un Navegador (Browser) que cuente con la mejor experiencia en Internet, como el Communicator de Netscape o Explorer de Microsoft, esto a razn que cuentan con las herramientas mas potentes para realizar la operacin con seguridad, esta herramienta se conoce como SSL(Secure Sockets Layer).
2.- El siguiente paso es encontrar la tienda virtual de preferencia, y elegir los productos que se deseen comprar, (generalmente la tienda virtual muestra una opcin donde menciona por qu las compras por Internet son seguras).
Si se elige ver la informacin de seguridad se vera principalmente las polticas de manejo de confidencialidad de la informacin establecidas por la tienda. En ocasiones se menciona que tcnica se usa para la conexin segura, como SSL. SSL crea un tnel entre la computadora del cliente y el servidor de la tienda, esto se conoce como encriptar la informacin. Es tambin frecuente ver aqu que empresa certifica que la conexin ser segura, conocida como Autoridad Certificadora.
Siguiendo con la compra, se eligen los productos deseados y son agregados al carrito de compras virtual.
Hasta ese momento no es necesario an tener una conexin segura (aunque en algunas tiendas la tienen ya en este paso), dependiendo de la tienda existen varias opciones para continuar, en general las tiendas virtuales tienen una base de datos residente en el servidor (computadora) de la tienda, que permite almacenar los datos (nombre, email, direccin postal, ltimos dgitos de tarjeta de crdito) de un cliente y son protegidos con un password. Si es un cliente reincidente, con un identificador (por ejemplo un email) y su password se accesa a su cuenta, que tiene ya una conexin segura, si es un cliente nuevo se solicitan los datos generales para crear una nueva cuenta.
3 .- Posteriormente a esto se pasa a una conexin segura, que tiene la siguiente apariencia
4 .- En esta etapa se realizar la operacin de pago con la informacin que se encuentran en la base de datos, se selecciona el tipo de tarjeta de crdito, se proporciona el nmero de tarjeta y tambin se pide elegir el mtodo de envo de preferencia.
5 .- Finalmente la tienda virtual muestra un resumen del pedido y se pide confirmarlo, el hacerlo significa enviar toda la informacin del pedido de la computadora del cliente, al servidor de la tienda virtual.
Esto termina con la el proceso de pedido y solo resta esperar el producto o el servicio elegido, despus de esto la conexin segura termina. Se puede seguir en la tienda o cambiar de sitio.
Si el cargo es rechazado o existe un problema en el pedido, la tienda le manda un email reportndolo. Cuando el producto es recibido termina el proceso completo.
CONOCIENDO UN POCO MS
En esta segunda parte explicaremos un poco mas sobre la seguridad de las compras por Internet, concretamente de cmo funciona el protocolo SSL sin entrar en detalles tcnicos.
Comenzaremos por mencionar que SSL usa dos conjuntos de algoritmos, el primer conjunto es el conocido como Criptografa Simtrica y el Otro como Criptografa Asimtrica. En el primer grupo de algoritmos pertenecen aquellos algoritmos que permiten realizar la comunicacin confidencialmente, algunos algoritmos que son usados para esto llevan el nombre de RC2, RC4, DES, TDES. Estos algoritmos necesitan una clave secreta que debe de estar tanto en la computadora del cliente como en el servidor de la tienda.
En el segundo grupo de algoritmos estn RSA, DSA, DH, estos algoritmos tienen dos funciones, la primera es intercambiar la clave secreta mencionada antes y la segunda es la firma digital, esta firma digital permite autenticar a la tienda virtual.
La firma digital de la tienda esta localizada en el llamado Certificado Digital que puede ser observado cuando se tiene conexin segura, y de algn modo esto nos asegura que existe tal conexin. El Certificado Digital es como la licencia autorizada para navegar por Internet de forma segura.
1) Ver el Certificado Digital de la tienda virtual
Una vez que se tiene conexin segura con alguna tienda virtual, si se realizan dos clicks en el candado cerrado del Navegador Communicator para ver las caractersticas de seguridad que se usan particularmente el Certificado Digital.
2) El Certificado Digital es la herramienta mas poderosas para la autenticacin por Internet, en el caso general es necesario que dos puntos tengan un Certificado para poder comunicarse y autenticar su personalidad mutuamente, en las compras por Internet es suficiente que solo le servidor de la tienda virtual tenga su Certificado.
Particularmente el certificado digital cuenta con tres datos fundamentales, los datos del dueo del Certificado Digital, la firma digital de la Autoridad Certificadora y un elemento que se llama Clave Pblica. La Clave Pblica que esta asociada al dueo del Certificado Digital sirve para poder intercambiar de forma segura la clave secreta que usa la criptografa simtrica para realizar la conexin segura.
Contando al menos con un certificado del lado del servidor de la tienda, el protocolo SSL sigue los siguientes pasos principales
En el anterior esquema el paso 5 es opcional.
3) Si vemos la opcin Navigator podemos ver que tipo de protocolos admite, particularmente veremos los protocolos SSL v2 y SSL v3.
4) Por ejemplo el protocolo SSL v3 admite los siguientes algoritmos, y son usados segn se configure el protocolo en el servidor que es quien cuenta con Certificado en la mayora de los casos.
5) Una parte importante de los Certificados Digitales es que estos cuenten con validacin y esta proviene de lo que se conoce como Autoridad Certificadora, que es una compaa o institucin que previamente vlido los datos del portador del Certificado y funciona como administrador de la vida del Certificado. En el Certificado siempre aparece la Autoridad Certificadora correspondiente. Existe en el mundo comercial una lista reducida de estas Autoridades Certificadoras que se pueden observar el la siguiente parte.
Finalmente damos algunas conclusiones
a) Si verificamos que el candado del Navegador esta cerrado cuando proporcionamos en nmero de tarjeta de crdito podemos estar seguros de que el protocolo SSL esta activo. b) Podemos tambin chequear los datos del certificado del servidor de la tienda virtual como su periodo de validez y que tenga una Autoridad Certificadora reconocida. c) Sin embargo es muy importante hacer notar que fuera de USA y Canada, particularmente Mxico, la conexin se efecta con los algoritmos ms dbiles, esto se puede verificar de forma simple con el Navegador Explorer y Windows al menos 98, poniendo la flecha del ratn en el candado cerrado que aparece en la parte derecha inferior del Navegador, que anuncia seguridad de 40 bits, con Communicator podemos deshabilitar las opciones de 40 bits y no se podr realizar la conexin dando un aviso de error. d) La observacin anterior dice concretamente que la conexin segura con tiendas de USA ( la mayora ) desde Mxico se realiza con una seguridad dbil, y que entidades con conocimientos medios pudiera interceptar la comunicacin y conocer informacin sensitiva. e) A pesar del punto anterior, la mayora de las tiendas virtuales o mas bien las ms grandes afirman que entre sus miles o a veces millones de clientes, nunca han tenido alguna queja al respecto por lo que para ellos la seguridad es suficiente, cabe mencionar que en USA y Canada actualmente se usan claves de 128 bits, que seria la seguridad ms prudente actualmente y tcnicamente no requiere ningn esfuerzo extra.