Requisitos de seguridad en las transacciones electrnicas.

Las transacciones electrnicas requieren cumplir desde el punto de vista de la

seguridad, los siguientes requisitos:
Confidencialidad de la transaccin: solo las partes intervinientes pueden
tener acceso al contenido de la transaccin.
Anonimato: la identidad del comprador no debera ser conocida por el
vendedor o, cuando menos los datos relativos al medio de pago utilizado
por el comprador.
Autentificacin de todos los participantes
Integridad: los mensajes y datos intercambiados no podran ser
modificados por los intervinientes ni por terceros.
Proteccin frente a posibles intentos de rplica.
Flexibilidad: aceptacin de posibles sistemas de pago.
Facilidad de uso.
Eficiencia: relacin entre el coste de la transaccin y el precio del
producto o servicio.
Confianza en el sistema por parte de los usuarios.
Protocolos Criptogrficos
Los protocolos criptogrficos son algoritmos distribuidos que constan de una
secuencia de pasos o etapas que tienen que ser realizados por dos o ms
entidades para alcanzar unos determinados objetivos de seguridad.
Para desarrollar las plataformas de comercio electrnico se han propuesto dos
protocolos especficos, que permiten realizar transacciones de forma segura a
travs de internet: se trata del protocolo SSL y del protocolo SET.
Estos protocolos solo permiten proteger los datos intercambiados en una
transaccin entre un navegador y un servidor web. Sin embargo, no garantizan
la seguridad mas all de esta comunicacin, por lo que si estos datos no son
protegidos posteriormente de forma adecuada en los equipos participantes,
podran ser vulnerables a ataques y robos por parte de usuarios remotos.
Los protocolos SSL (Secure Sockets Layer) y TLS
El protocolo SSL fue desarrollado por la empresa Netscape en 1994 para
garantizar la seguridad en el intercambio de datos entre un navegador y un
servidor web, este permite garantizar la confidencialidad, la autenticacin y la
integridad de los mensajes intercambiados.
Por su parte TLS (Transport Layer Security) es una nueva propuesta que nace
como una evolucin de SSL y estos dos son protocolos de nivel de transporte,
por lo que podran ser utilizados para el cifrado de protocolos de aplicacin.
El esquema de funcionamiento de SSL es bastante sencillo :

1. Se produce un intercambio inicial de claves pblicas entre cliente y

servidor, utilizando para ello certificados digitales. El navegador como el
servidor se encargan de comprobar la validez de los certificados.
2. Se negocian los parmetros del protocolo de cifrado simtrico que se va
a emplear en la sesin. Bsicamente se trata de definir el tamao de la
clave.
3. Se genera una clave privada de cifrado simtrica para la sesin. Esta
clave solo ser vlida para esta sesin, por lo que la seguridad del
sistema en posteriores sesiones de trabajo no se ver comprometida
aunque se consiga interceptar esta clave.
4. Se intercambia de forma segura la clave privada mediante un algoritmo
de cifrado asimtrica, utilizando para ello la clave publica del servidor
web.
5. Desde este momento todos los datos que intercambien el servidor web y
el navegador del cliente sern cifrados con la clave privada generada
para la sesin.
Como prueba de que la comunicacin se realiza de forma segura, se
muestra una imagen en la barra de estado del navegador un candado si es
el Explorer de Microsoft y una llave si se emplea el navegador de Netscape.
La actual limitacin de este protocolo viene dada por no garantizar la
autenticacin del cliente, ya que no se exige que este disponga de una
clave pblica avalada por un certificado digital.
Por otra parte existe la posibilidad de utilizar un servidor proxy para facilitar
la conexin segura de equipos remotos que enven peticiones sin cifrar: el
proxy se encarga de establecer el canal seguro SSL con el servidor,
actuando de intermediario con los equipos remotos que no puedan trabajar
directamente con el protocolo SSL.
Protocolo S-HTTP (Secure Hypertext Transport Protocol)
S-HTTP es un protocolo que fue diseado para proporcionar seguridad en
las aplicaciones basadas en el World Wide Web. Este protocolo acta a
nivel de aplicacin, cifrando los mensajes intercambiados entre el
navegador y el servidor web, ofreciendo los servicios de confidencialidad,
autenticacin e integridad de los mensajes.
Asimismo, extiende el protocolo HTTP para poder llevar a cabo
transacciones seguras a travs de internet.
Este protocolo esta soportado por algunos servidores Web comerciales y
por la mayora de los navegadores. Sin embargo, apenas se utiliza en la
actualidad ya que se prefiere recurrir a un protocolo de nivel de transporte
como SSL, que permite cifrar no solo los datos de servicio World Wide Web,
sino tambin de los otros servicios y aplicaciones de internet.

Protocolo SET (Secure Electronic Transaction)

Este protocolo fue desarrollado en 1996 por VISA y Mastercard, con el apoyo
de importantes empresas como IBM, Microsoft, Netscape, RSA y Verising, para
soporte a las transacciones electrnicas realizadas en internet con tarjeta de
crdito.
El protocolo SET ofreca una solucin bastante adecuada para la realizacin de
transacciones seguras en internet ya que:
Permita autentificar todas las partes que intervienen (no solo al vender,
como en el caso de SSL).
El vendedor no tena acceso a la informacin de la tarjeta de crdito al
cliente.
Las entidades financieras no tenan acceso a los datos de la compra,
solamente se encargan de autorizar la transaccin.
En cada transaccin a travs de SET intervenan, por lo tanto, 6 puntos
distintos

El comprador
El vendedor
La entidad financiera del comprador ( emisor de la tarjeta)
La entidad financiera del vendedor
La pasarela de pagos
La autoridad de certificacin

Funcionamiento del esquema del protocolo

Los pasos que se representan en el esquema anterior son los siguientes:

 El cliente se conecta al comerciante y procede a comprobar su

identidad
El cliente inicia una transaccin enviando al comerciante un formulario
de pedido y un certificado digital firmado por la autoridad de certificacin.
El comerciante enva la autorizacin a la entidad financiera con la que
trabaja, done est la descifrar y acceder al nmero de tarjeta.
La entidad financiera solicitara al emisor de la tarjeta la autorizacin para
realizar el cargo.
La entidad financiera autorizar al comerciante la operacin y firmara la
transaccin.
El cliente obtendr los artculos o servicios y recibo firmado por el
comerciante.
El comerciante pedir a la entidad la captura de la transaccin.
La entidad pagar al comerciante segn su contrato.
El cliente recibir mensualmente la factura.
Protocolo SSH
El protocolo SSH permite, establece una conexin segura a maquinas remotas,
con autentificacin mutua robusta, cifrado de los datos transmitidos y chequeo
de la integridad de los datos.
Fue desarrollado en 1995 por el informtico Tatu Yionen, con la intencin de
reemplazar servicios inseguros como Telnet, Riogin, RCP, RSH o FTP.
Utiliza un proceso seguro de autenticacin del usuario, permitiendo ejecutar
comandos y copiar ficheros desde y hacia maquinas remotas de forma segura.
El protocolo consta de tres bloques o partes fundamentales:
Nivel de transporte: (sobre TCP/IP) se encarga de la autenticacin del
servidor, del establecimiento de un canal cifrado para garantizar la
confidencialidad de la comunicacin, de la comprobacin de la integridad
de los mensajes, as como de la generacin de un identificador nico de
sesin.
Nivel de autenticacin de usuario: ofreciendo varios mecanismos de
autentificacin:
Autenticacin basada en un algoritmo de clave publica
Autenticacin basada en un nombre de usuario y contrasea
Autenticacin basada en la procedencia de la conexin
Nivel de sesin: Responsable de la asignacin de identificadores de
sesin, los cuales permiten multiplexar varias comunicaciones distintas a
travs de un mismo tnel cifrado.

Sistemas de pago

Requisitos de los sistemas de pago Electrnicos

Los requisitos que deber cumplir un sistema de pago desarrollado para dar
soporte a las transacciones electrnicas son:
1. Seguridad de las transacciones
2. Fiabilidad
3. Escalabilidad
4. Adecuacin a los distintos tipos de transacciones electrnicas
5. Anonimato
6. Facilidad de uso
7. Facilidad de integracin con los sistemas de gestin empresarial
8. Interoperabilidad con otros sistemas de pago
9. Divisibilidad de las unidades monetarias procesadas por el sistema
10. Coste asociado al procesamiento de cada transaccin
Sistemas de pago ms destacados
Dinero electrnico (e-money)
El dinero electrnico est constituido por una especie de cibermonedas que
se pueden guardar en un ordenador y son equivalentes a una determinada
cantidad de dinero.
Para su creacin el titular de la cuenta debe solicitar a su entidad financiera la
generacin de una determinada cantidad de dinero electrnico, cada
cibermoneda consiste en una secuencia de bits con un nmero de serie
aleatorio que la identifica, la informacin sobre su valor econmico y la firma
electrnica del banco, mediante la tcnica conocida como firma electrnica
ciega.
La entidad financiera debe mantener una base de datos con la relacin de
nmeros de serie de cibermonedas en circulacin para evitar la reutilizacin de
la misma cibermoneda.
Cheques electrnicos: eCheck, NetCheque, NetChex
eCheck ,desarrollado por el FSTC (Financial Service Technology Consortium).
Es un sistema de cheque electrnico, se empelaba una tarjeta inteligente
paraimplementar un talonario de cheques electrnicos, el cual consista en
una relacin de rdenes de pagos firmadas digitalmente.
Funcionaba de la siguiente manera:
1. El comprador seleccionaba los productos que deseaba comprar y a
continuacin enviaba a travs de internet un cheque digital firmado con
su clave privada.
2. El vendedor reciba el cheque. Comprobaba su validez y proceda a
firmarlo con su clave privada.

3. El vendedor enviaba el cheque firmado a la entidad financiera encargada

de procesar la orden de pago.
El NetCheque desarrollado por la Universidad del Sur de California, que
produca en internet el sistema usual de emisin de cheques y compensacin
entre bancos y el sistema NetChex de la empresa Universal Payment
Solutions.
First Virtual
Proporcionaba a sus usuarios un identificativo personal, conocido como virtual
PIN, el cual deba facilitar en cada operacin de compra al vendedor, en lugar
del nmero de la tarjeta de crdito. Seguidamente el vendedor remita el virtual
PIN al servidor de First Virtual para solicitar la autorizacin de la operacin y
este enviaba un mensaje de correo electrnico al cliente para pedir la
confirmacin de la operacin, si este aceptaba responda al mensaje con otro
correo y First Virtual proceda a realizar el cargo del importe de la compra.
Tarjeta Virtu@lcash de Banesto
Fue una tarjeta desarrollada por la entidad financiera espaola Banesto para la
realizacin segura de pagos en internet.
Tuvo una segunda versin conocida como Virtual Cash Plus presentada a
comienzos de 2000 y que permita un uso seguro y annimo para realizar
compras en internet sin necesidad de disponer una cuenta en Banesto.
Cybercash
Desarrollado en 1994 para gestionar el pago mediante tarjetas de crdito, es
uno de los pioneros y ha servido como base para el posterior desarrollo del
sistema SET.
Antes de comenzar a operar el comprador deba descargar, registrar e instalar
en su ordenador el programa Cybercash Wallet, un monedero electrnico en
el que poda introducir los datos de las tarjetas de crdito que pretenda utilizar
para el pago de sus compras en internet.
El proceso de pago con CyberCash, que implica al consumidor, al comerciante,
el banco emisor y el banco del comerciante, es como sigue:
1. El usuario recorre la tienda virtual hasta que decide comprar un artculo.
2. El consumidor acepta las condiciones al pulsar el botn de pago con
CyberCash. En este momento se lanza la aplicacin de cartera, en la cual el
usuario puede seleccionar la tarjeta con la que pagar.

3. El comerciante se queda con los datos de envo y de los productos

comprados, y enva firmada al servidor de CyberCash la informacin de pago
del cliente cifrada.
4. El servidor de CyberCash recibe la peticin de transaccin y, detrs de su
cortafuegos y desconectado de Internet, obtiene del paquete de datos la
informacin de pago del consumidor.
5. El banco del comerciante enva una peticin de autorizacin al banco emisor
a travs de los canales de comunicacin tradicionales de las redes de medios
de pago, y retransmite a CyberCash la respuesta, afirmativa o negativa del
banco del cliente, que autoriza o no el cargo en funcin del monto de la
compra.
6. CyberCash pasa al comerciante la respuesta del banco, de manera que si es
afirmativa, el banco del comerciante recibe el pago del emisor, mientras que si
es negativa, se anula la compra.
Cybercoin
Cybercash dispona de este servicio para la realizacin de micropagos en
internet, como el pago por acceso a base de datos, compra de pginas de
informacin, lectura de un peridico, etc.
Este se poda recargar a partir de una tarjeta de crdito y para ello el cliente
proporcionaba al comerciante un nmero de cuenta y una autorizacin para
que se le cargase el importe correspondiente a la operacin.
ECash de la empresa Holandesa DigiCash
Es un monedero digital que permita almacenar una cierta cantidad de dinero
en el disco duro del ordenador, facilitando la realizacin de compras annimas
y seguras en internet.
Para utilizar ECash, tanto el comprador como el vendedor necesitan antes
tener una cuenta abierta en alguno de los bancos que emiten dinero electrnico
ECash. Una vez que se posee la cuenta bancaria, cada banco instruir a sus
clientes acerca de los pasos que deben seguir para obtener una cuenta de
dinero electrnico, el propio banco le facilita gratuitamente el software de
cartera, junto con un identificador de la cuenta y una contrasea.
Millicent
Desarrollado por la empresa Digital en 1995, para realizar micropagos en
transacciones dentro de internet.

El fundamento de MilliCent son los scrips, cupones electrnicos que

representan dinero, derechos de acceso, puntos, etc., con los que el comprador
obtiene la mercanca del vendedor.
El software de MilliCent garantiza a los agentes implicados que el scrip no ha
sido manipulado, robado o previamente gastado. Estos agentes son tres:
El vendedor: establece una relacin contractual con el intermediario para que
venda su scrip, dentro de un cierto rango de nmeros de serie. El contrato
especifica asimismo con qu frecuencia el intermediario le paga al vendedor y
qu comisin percibir el intermediario, normalmente en funcin del volumen
de scrip vendido.
Los Intermediarios: acta como mediador entre el comprador y el vendedor.
Compra los scrips al comerciante y los revende al comprador a un precio ms
alto, obteniendo as sus ingresos de intermediacin.
El comprador: para pagar los servicios o productos que desea necesita
previamente obtener suficiente scrip.
Para ello acude al intermediario al que le compra el scrip, pagndolo por algn
medio tradicional, ya que el desembolso ser grande e infrecuente.
Paypal
Es un medio de pago basado en el correo electrnico que ha adquirido una
gran puntualidad en internet en esos ltimos aos, sobre todo para dar
cobertura a las transacciones realizadas entre particulares websites de
subastas como ebay.
Es una compaa fundada en Palo Alto, California, en Oct. De 1999 por los
jvenes Elon Musk y Peter Thiel, que tenan respectivamente 30 y 34 aos en
ese momento.
Este sistema es simpe y eficaz: cada usuario abre una especie de cuenta
corriente en paypal, deposita all una determinada cantidad de dinero (mediante
una tarjeta de crdito o un cheque) y luego lo puede utilizar para llevar a cabo
transacciones, pagos a colegas u empresas, o bien para participar en subastas
online, como las desarrolladas en ebay.
Es un medio de pago til ara las transacciones entre particulares ya que
elimina la inseguridad e incertidumbre que se supone aceptar pagos como
cheques personales o tarjetas de crdito. Acta de intermediario financiero en
este caso, garantizado que existe dinero disponible en la cuenta del comprador.
Epagado
El sistema epagado.com era un sistema de pago desarrollado en Espaa por la
entidad financiera eBankier, que permita vincular una cuenta corriente bancaria
y una direccin de correo electrnico.

Este sistema evitaba de este modo que el cliente en una operacin de compra
tuviera que proporcionar datos sensibles como el nmero de cuenta o la tarjeta
de crdito, con lo que elevaba seguridad de la transaccin.
Ukash y otros sistemas basados en tarjetas prepago
Los sistemas de pago basados en tarjetas prepago presentan las siguientes
ventajas:

Anonimato: no se facilitan datos personales

Seguridad: no se utilizan cuentas corrientes ni tarjetas de crdito
Comodidad y facilidad de uso
Reduccin del riesgo de impagados o fraudes para el comercio en
internet

En Mayo de 2003 se lanzaba Morsopay, un sistema basado en una tarjeta

prepago, creado especficamente para las compras en internet y orientada al
pago de contenidosEl cliente de este servicio poda adquirir la tarjeta por un importe de 5, de 10
de 20 euros en uno de los puntos de venta autorizados de Morsopay.

Alternativas para los micro pagos

En estos ltimos aos se han propuesto otros sistemas para la gestin de los
micro pagos en Internet y, en especial para la venta de contenidos como
artculos de
peridicos y revistas o captulos de libros, entre los que podramos citar
BitPass, fis.
PayStone, Firstgate, Qpass o PepperCoin, entre otros
Todos estos sistemas permitan agrupar y tratar de forma conjunta los
importes de varios micros transacciones para reducir los costes de las
comisiones y de la
tramitacin de los pagos.
As, por ejemplo, en el caso de Qpass, el usuario deba abrir una cuenta en
este
sistema, facilitando su nombre, direccin de correo electrnico y tarjeta de
crdito. En un Website en el que los contenidos se encontraban protegidos
mediante este sistema,
el usuario poda adquirir y descargarse el contenido que le interesaba haciendo
clic en
el icono de Qpass e introduciendo su nmero de identificacin y contrasea.
TARJETAS INTELIGENTES (SMART CARDS)
Las tarjetas inteligentes, smart cards o tarjetas chip se caracterizan por
incorporar un circuito integrado (chip), que sustituye a la banda magntica de
las
tarjetas clsicas de plstico. Por este motivo, resultan mucho ms seguras que
las
tarjetas de banda magntica, ya que son ms difciles de falsificar.
Algunas de estas tarjetas chip simplemente incorporan un pequeo circuito

de memoria en el que se registran los datos del titular: son las conocidas como
memory cards (tarjetas de memoria).
Entre las transacciones que se podan hacer con la tarjeta monedero se
encuentran:
Carga de dinero

Descarga de dinero
Intercambio de divisas
Compra y retrocesin de la compra
Compra incremental
Cancelacin de la ultima compra

El telfono mvil como instrumento de pago

Gracias al desarrollo de las comunicaciones y los servicios inalmbricos, han
cobrado importancia la plataforma de pagos a travs del telfono mvil,
mediante una cuenta a un nmero de abonado.
Con estos sistemas se pretende que el telfono mvil funcione como un
monedero virtual para el pago de productos y servicios, facilitando las compras
en tiendas de internet, maquinas expendedoras, etc.
Adems muchos de estos telfonos incorporan tcnicas biomtricas para
reforzar la seguridad en operaciones como: lectores de huellas dactilares o
sistemas de reconocimiento de parones faciales.
TPV virtual
Un terminal punto de venta virtual es un servidor web seguro que se encarga
de procesar las rdenes de pago realizadas mediante una tarjeta de crdito o
de debito a travs de internet.
El funcionamiento de este se basa en los siguientes pasos:
1. Una vez seleccionados los productos que se desean adquirir en la tienda
on-line, el navegador del comprador es redirigido automticamente al
TPV virtual para realizar el pago de la compra.
2. Una vez autorizada la transaccin por el banco emisor de la tarjeta, el
TPV virtual informa tanto al comprador como al comercio del resultado y
devuelve el control a la tienda virtual.
3. El comerciante acepta la operacin y esta queda registrada en su
sistema.
De este modo cuando se paga a travs de un TPV virtual, los datos de la
tarjeta de crdito del comprador solo son conocidos por la entidad financiera
que gestiona el TPV.
El problema del fraude en internet
El consumidor est protegido del fraude siempre que rechace a tiempo el cargo
no reconocido en el extracto mensual de la tarjeta de crdito. Sin embargo, la
cibercriminalidad hace aumentar los tipos de inters de las tarjetas provoca

que las comisiones cobradas a los vendedores on-line sean muy superiores a
las que pagan los comercios tradicionales, por lo que a la postre termina
perjudicando al usuario.
En otros casos, la sustraccin de los datos de los clientes, incluidos sus
nmeros de tarjetas de crdito, de ordenadores conectados a internet que han
sido vctimas de ataques informticos constituye otro de los medios utilizados
para obtener los datos necesarios para realizar operaciones fraudulentas en
internet.