Compras Seguras por Internet

(una breve explicacin)

Carlos Cervantes Garcs
carloscg@vlc-peru.com






Antecedentes: Debido al enorme crecimiento del comercio electrnico
(ventas y compras por Internet) se a puesto en la mesa de la discusin la
seguridad de dichas transacciones, particularmente que tan seguro es escribir
el nmero de tarjeta de crdito en un sitio de Internet que funciona como
tienda virtual.

La mayora de operaciones realizadas por Internet se llevan a cabo por
particulares y un comercio que cuentan con una tienda virtual y permite
pagar con tarjeta de crdito, en este caso el cliente no cuenta con los recursos
y conocimientos para poder afirmar que su operacin ser segura, lo que
significa principalmente que el nmero de tarjeta de crdito que el cliente
proporciona por la pantalla no sea corrompido o usado para propsitos no
autorizados.

En este articulo pretendemos explicar qu requisitos se deben de cumplir
para poder declarar a una compra por Internet como segura. Tratando de
evitar lenguaje muy tcnico y hacerlo de una forma simple.

Nos limitamos a comercio electrnico mas comn, es decir, entre un cliente
y un comercio donde la operacin no es ostentosa, o sea, que quiz solo
llega hasta cientos de Dlares Americanos.








GUIA BASICA EN COMPRAS SEGURAS POR INTERNET

1.- Se debe de realizar la compra usando un Navegador (Browser) que
cuente con la mejor experiencia en Internet, como el Communicator de
Netscape o Explorer de Microsoft, esto a razn que cuentan con las
herramientas mas potentes para realizar la operacin con seguridad, esta
herramienta se conoce como SSL(Secure Sockets Layer).







2.- El siguiente paso es encontrar la tienda virtual de preferencia,
y elegir los productos que se deseen comprar, (generalmente la
tienda virtual muestra una opcin donde menciona por qu las
compras por Internet son seguras).



Si se elige ver la informacin de seguridad se vera principalmente las
polticas de manejo de confidencialidad de la informacin establecidas por
la tienda. En ocasiones se menciona que tcnica se usa para la conexin
segura, como SSL. SSL crea un tnel entre la computadora del cliente y el
servidor de la tienda, esto se conoce como encriptar la informacin. Es
tambin frecuente ver aqu que empresa certifica que la conexin ser
segura, conocida como Autoridad Certificadora.


Siguiendo con la compra, se eligen los productos deseados y son agregados
al carrito de compras virtual.



Hasta ese momento no es necesario an tener una conexin segura
(aunque en algunas tiendas la tienen ya en este paso), dependiendo de la
tienda existen varias opciones para continuar, en general las tiendas
virtuales tienen una base de datos residente en el servidor (computadora)
de la tienda, que permite almacenar los datos (nombre, email, direccin
postal, ltimos dgitos de tarjeta de crdito) de un cliente y son protegidos
con un password. Si es un cliente reincidente, con un identificador (por
ejemplo un email) y su password se accesa a su cuenta, que tiene ya una
conexin segura, si es un cliente nuevo se solicitan los datos generales para
crear una nueva cuenta.






3 .- Posteriormente a esto se pasa a una conexin segura, que tiene
la siguiente apariencia





4 .- En esta etapa se realizar la operacin de pago con la informacin que se
encuentran en la base de datos, se selecciona el tipo de tarjeta de crdito, se
proporciona el nmero de tarjeta y tambin se pide elegir el mtodo de envo de
preferencia.





5 .- Finalmente la tienda virtual muestra un resumen del pedido y se pide
confirmarlo, el hacerlo significa enviar toda la informacin del pedido
de la computadora del cliente, al servidor de la tienda virtual.





Esto termina con la el proceso de pedido y solo resta esperar el producto o
el servicio elegido, despus de esto la conexin segura termina. Se puede
seguir en la tienda o cambiar de sitio.

Si el cargo es rechazado o existe un problema en el pedido, la tienda le
manda un email reportndolo. Cuando el producto es recibido termina el
proceso completo.








CONOCIENDO UN POCO MS



En esta segunda parte explicaremos un poco mas sobre la seguridad de
las compras por Internet, concretamente de cmo funciona el protocolo
SSL sin entrar en detalles tcnicos.

Comenzaremos por mencionar que SSL usa dos conjuntos de algoritmos,
el primer conjunto es el conocido como Criptografa Simtrica y el Otro
como Criptografa Asimtrica.
En el primer grupo de algoritmos pertenecen aquellos algoritmos que
permiten realizar la comunicacin confidencialmente, algunos algoritmos
que son usados para esto llevan el nombre de RC2, RC4, DES, TDES.
Estos algoritmos necesitan una clave secreta que debe de estar tanto en la
computadora del cliente como en el servidor de la tienda.

En el segundo grupo de algoritmos estn RSA, DSA, DH, estos
algoritmos tienen dos funciones, la primera es intercambiar la clave
secreta mencionada antes y la segunda es la firma digital, esta firma
digital permite autenticar a la tienda virtual.

La firma digital de la tienda esta localizada en el llamado Certificado
Digital que puede ser observado cuando se tiene conexin segura, y de
algn modo esto nos asegura que existe tal conexin. El Certificado
Digital es como la licencia autorizada para navegar por Internet de forma
segura.


1) Ver el Certificado Digital de la tienda virtual


Una vez que se tiene conexin segura con alguna tienda virtual, si se
realizan dos clicks en el candado cerrado del Navegador
Communicator para ver las caractersticas de seguridad que se usan
particularmente el Certificado Digital.





















2) El Certificado Digital es la herramienta mas poderosas para la
autenticacin por Internet, en el caso general es necesario que dos
puntos tengan un Certificado para poder comunicarse y autenticar su
personalidad mutuamente, en las compras por Internet es suficiente
que solo le servidor de la tienda virtual tenga su Certificado.







Particularmente el certificado digital cuenta con tres datos
fundamentales, los datos del dueo del Certificado Digital, la firma
digital de la Autoridad Certificadora y un elemento que se llama Clave
Pblica. La Clave Pblica que esta asociada al dueo del Certificado
Digital sirve para poder intercambiar de forma segura la clave secreta que
usa la criptografa simtrica para realizar la conexin segura.






Contando al menos con un certificado del lado del servidor de la
tienda, el protocolo SSL sigue los siguientes pasos principales










En el anterior esquema el paso 5 es opcional.











3) Si vemos la opcin Navigator podemos ver que tipo de protocolos
admite, particularmente veremos los protocolos SSL v2 y SSL v3.




















4) Por ejemplo el protocolo SSL v3 admite los siguientes algoritmos, y
son usados segn se configure el protocolo en el servidor que es
quien cuenta con Certificado en la mayora de los casos.






















5) Una parte importante de los Certificados Digitales es que estos
cuenten con validacin y esta proviene de lo que se conoce como
Autoridad Certificadora, que es una compaa o institucin que
previamente vlido los datos del portador del Certificado y funciona
como administrador de la vida del Certificado.
En el Certificado siempre aparece la Autoridad Certificadora
correspondiente. Existe en el mundo comercial una lista reducida de
estas Autoridades Certificadoras que se pueden observar el la
siguiente parte.














Finalmente damos algunas conclusiones




a) Si verificamos que el candado del Navegador esta cerrado
cuando proporcionamos en nmero de tarjeta de crdito podemos
estar seguros de que el protocolo SSL esta activo.
b) Podemos tambin chequear los datos del certificado del servidor
de la tienda virtual como su periodo de validez y que tenga una
Autoridad Certificadora reconocida.
c) Sin embargo es muy importante hacer notar que fuera de USA y
Canada, particularmente Mxico, la conexin se efecta con los
algoritmos ms dbiles, esto se puede verificar de forma simple
con el Navegador Explorer y Windows al menos 98, poniendo la
flecha del ratn en el candado cerrado que aparece en la parte
derecha inferior del Navegador, que anuncia seguridad de 40
bits, con Communicator podemos deshabilitar las opciones de 40
bits y no se podr realizar la conexin dando un aviso de error.
d) La observacin anterior dice concretamente que la conexin
segura con tiendas de USA ( la mayora ) desde Mxico se
realiza con una seguridad dbil, y que entidades con
conocimientos medios pudiera interceptar la comunicacin y
conocer informacin sensitiva.
e) A pesar del punto anterior, la mayora de las tiendas virtuales o
mas bien las ms grandes afirman que entre sus miles o a veces
millones de clientes, nunca han tenido alguna queja al respecto
por lo que para ellos la seguridad es suficiente, cabe mencionar
que en USA y Canada actualmente se usan claves de 128 bits,
que seria la seguridad ms prudente actualmente y tcnicamente
no requiere ningn esfuerzo extra.