Mecanismos de Pago y Aspectos de Seguridad

1.- Cuestiones Generales sobre el Pago por Internet

Es indudable que uno de los elementos fundamentales en el comercio en general, y en
el comercio electrnico en particular, es la realizacin del pago correspondiente a los
productos o servicios adquiridos.

En este mbito el comercio electrnico presenta una problemtica propia de un

sistema de compra no presencial, es decir, en aquella en la que las partes no se
renen fsicamente para realizar la transaccin: el comprador debe tener garanta
sobre calidad, cantidad y caractersticas de los bienes que adquiere, mientras que el
vendedor debe tener garanta del pago, y la transaccin debe tener un aceptable nivel
de confidencialidad. En el comercio electrnico se aade otro requerimiento, que
habitualmente no se tiene en cuenta en otros sistemas de compra no presencial, que
es el hecho de que el cliente tenga garanta de que nadie pueda, como consecuencia
de la transaccin que efecta, suplantar en un futuro su personalidad realizando otras
compras en su nombre y a su cargo.

Por ello los vendedores estn desarrollando grandes esfuerzos para garantizar la
confidencialidad del pago y la imposibilidad de suplantacin futura mediante la
implantacin de mtodos que asocien varios sistemas de seguridad entre s, por
ejemplo, una tarjeta de crdito con el mvil personal, o una tarjeta bancaria con claves
especficas para cada una de las personas.

Pgina 6

2.- El mecanismo de compra en el comercio electrnico

El comercio electrnico implica una operacin de compra enmarcadas en una serie de
etapas que, por lo general, se llevan a cabo: el cliente ingresa a la red mediante su
ordenador, localiza un producto o servicio que quiere adquirir en el nodo B2C en
cuestin (tienda virtual, etc.), crea un carro o cesta de compra de bienes a adquirir a
travs de dicha web, la tienda ejecuta la gestin de cobro y, una vez hecho esto,
procede a la entrega del producto / servicio que el cliente haya solicitado. El siguiente
esquema refleja este proceso:

Realmente siempre es el banco de cada una de las partes el que realiza la transaccin
econmica. Son los TPV respectivos los que se ponen en contacto para realizar la
operacin, por dos motivos: seguridad y fiscalidad.

As, cuando hablamos de los aspectos de seguridad del comercio electrnico debemos
tener en cuenta los elementos esquematizados en el siguiente cuadro:

Proteccin de comunicaciones
F Criptografa simtrica
Sustitucin
Permutacin
Esteganografa
Mixtos
F Funciones Hash.
F Criptografa asimtrica.
F Firmas digitales.
F Certificados electrnicos.
F Sistemas de encriptacin.
PGP.
SET.
F SSL.

Medios de pago
F Tarjetas.
F Cajeros virtuales
F Tarjetas-monedero.
F Monederos virtuales.
F Pagos telefnicos.
F Pagos con Mvil
F Cheques electrnicos.
F Cobro por servicios web
Proteccin de datos
F Cortafuegos o Firewalls.
F Antivirus.
F Reglas de seguridad e Integridad.
F Autentificacin.

Pgina 7

3.- Sistemas de pago en Internet

Los comercios on line tienen diferentes estrategias en torno a la forma de pago que
nos permiten realizar. Generalmente nos ofrecen varias alternativas para efectuar el
pago: contra reembolso, transferencia bancaria, e-cash, pago por mvil, etc. Una de
las barreras, tanto tecnolgica como psicolgica, para el xito del comercio electrnico
es el mecanismo de pago. Mientras perdure la desconfianza y los internautas teman
al fraude, desconozcan los sistemas de pago empleados y su fiabilidad, el despegue
definitivo del comercio electrnico tardar en llegar.

Para el comercio electrnico los sistemas de pago deben cumplir cinco requisitos
bsicos:

a) Autenticacin (comprador, vendedor e intermediario deben poder

comprobar mutuamente que son quienes dicen ser).

b) Autorizacin (los agentes deben poder demostrar la autoridad para

ofrecer, transferir o aceptar el pago).

c) No repudiacin (la transaccin debe realizarse de forma que

comprometa a todos los agentes para que stos no puedan negarla o
deshacerla).

d) Integridad de los datos (los documentos de la transaccin deben estar

de manera que no puedan ser alterados de forma fraudulenta); y
proteccin de datos (los agentes deben mantener la confidencialidad
de informacin en las transacciones, para evitar que sta pueda ser
utilizada).

e) Atomicidad: la transaccin se realiza completa o no se realiza. Si en

cualquier momento cualquiera de los sistemas de comprador o
vendedor detectan cualquier anomala, la transaccin se cierra y no se
realiza.
Pgina 8

Ms adelante analizaremos cada uno de estos aspectos ms detenidamente, cuando

estudiemos los aspectos de seguridad en las transacciones. En este sentido las
entidades financieras innovan constantemente y desarrollan medios de pago ad hoc
que permiten llevar a cabo transacciones eficientes y seguras. Los mtodos ms
extendidos hoy para el intercambio electrnico de dinero son analizados a
continuacin.

3.1.- Contra reembolso

Es el nico medio de pago utilizado en el comercio electrnico que implica la

utilizacin de dinero en efectivo, y es un medio que garantiza la entrega de los bienes
antes del pago. Desde el punto de vista del vendedor este medio conlleva dos
inconvenientes: la necesidad de recolectar fsicamente el dinero y el retraso en el
pago.

La tienda Agapea contempla el contrarrembolso como forma de pago. Fuente:

www.agapea.com

Pgina 9

3.2.- Transferencia Bancaria

Esta modalidad consiste en que el usuario puede pagar a la tienda efectundole un

ingreso en su cuenta bancaria, como vemos en la siguiente imagen. No se diferencia
de una transferencia ordinaria realizada en el banco, la ventaja es que hoy en da
cualquier banco ofrece la posibilidad de realizar transferencias electrnicas desde
nuestra cuenta electrnica o, incluso, desde nuestro mvil.

Fuente: www.discoweb.com

3.3.- Monederos electrnicos

Son tarjetas prepago, que contienen un fondo de pago materializado en un chip que
tienen incorporado y en el que se almacenan elementos o unidades de valor
previamente aadidas con cargo a nuestra propia cuenta bancaria. El importe siempre
es determinado, pudiendo su propietario ir gastando hasta que se agota.

Pgina 10

Las tarjetas monedero son tiles para los micropagos, es decir, pagos de pequeas
cantidades. Realmente es como si tuviramos un monedero real, sin necesidad de
llevar dinero fsico. No se trata de una tarjeta tradicional de plstico y con banda
magntica, por lo que slo puede ser usada a travs de aquellos canales que no
requieran una presencia fsica, como Internet. Brinda la posibilidad de recargar el
saldo mediante la red de cajeros automticos.

Su principal ventaja es su accesibilidad a todos los pblicos, y tambin es relevante

que sea un medio que permita mantener el anonimato. Un ejemplo de este medio es
una iniciativa del Banco Santander Central Hispano, que lanz la tarjeta virtual y de
prepago e-cash, aceptada en cualquier comercio de Internet al contar con la marca
MasterCard, y puede recargarse a travs de la red de cajeros 4B o del servicio de
Banca por Internet.

Las tarjetas monedero pueden ser utilizarse en tiendas, mquinas expendedoras

automticas, parqumetros, telfonos pblicos y aparatos de televisin interactivos
(entre otros mltiples posibles usos), y esa versatilidad es una de sus grandes
virtudes.

Pero presentan un inconveniente para su uso en Internet: es necesario que los

usuarios dispongan un lector de este tipo de tarjetas en su ordenador. Actualmente
existen estos lectores y tienen un precio muy econmico, pero no parece que su uso
este prximo a generalizarse.

El peor inconveniente se presenta en la falta de estndares, ya que las tarjetas

inteligentes son -en general- incompatibles entre ellas. De esta forma debemos tener
una para los telfonos, otra para la televisin, otra para el aparcamiento, etc. Es por
esta razn que ahora mismo es imposible poner en nuestro ordenador un lector de
tarjetas universal. Ni las tiendas virtuales pueden disponer de todos los sistemas de
lectura que se necesitaran para aceptar las tarjetas inteligentes disponibles en el
mercado. Por eso su futuro se ve ms para su uso interno en las empresas, dentro del
mbito de servicios de comedor, combustible, etc.

Pgina 11

3.4.- Monederos virtuales

Los monederos virtuales son programas de ordenador que actan de forma similar a
los monederos electrnicos antes citados. Estn asociados a una tarjeta de crdito
(con cargo a la que se recarga) y a un certificado digital, situado en la mquina desde
la que se realiza la compra. La ventaja adicional con respecto a los pagos con tarjeta
es que se adaptan a pagos de muy pequeo importe.

Existen multitud de sistemas diferentes, por lo que al no existir un estndar su uso no

se ha popularizado. En general, todos los sistemas requieren que el comprador haga
un prepago inicial, es decir, que recargue el monedero. La informacin de la cantidad
disponible para gastos queda almacenada en el ordenador del consumidor, y es por
ello que estos sistemas estn usualmente asociados a un banco determinado.

Un caso especial fue el de las monedas electrnicas. En un tiempo fueron muy

populares (CiberCash, CyberCoin, DigiCash, Millicent), y aunque la mayora de ellas
han dejado de funcionar, no significa que en el futuro no se regrese a su uso.

Veamos cmo es un sistema de funcionamiento bsico. Los dems ofrecen pequeas

diferencias con respecto a ste.

MONEDERO VIRTUAL

Paso 8

Paso 4

Paso 3
Cuenta del
cliente

Cuenta del
vendedor

Internet
Internet
Paso 7
Paso 2
Paso 6
Paso 1
Paso 5

Pgina 12

a) El comprador adquiere el dinero electrnico del banco o entidad emisora

recargando su monedero desde su cuenta.

b) El dinero electrnico son ficheros que llevan incorporado un nmero, Y

cada nmero identificativo representa una cantidad. Estos ficheros quedan
almacenados en nuestro ordenador.

c) El comprador enva una copia del dinero electrnico al vendedor a travs de

SSL.

d) El comerciante enva los datos de la transaccin al banco emisor.

e) El banco emisor comprueba la validez del dinero electrnico y anota su uso.

f)

La cuenta del vendedor es abonada.

g) El banco confirma al vendedor la operacin.

h) El vendedor hace el envo de la mercanca.

3.5.- Las tarjetas de crdito y el TPV Virtual

Generalmente es el ms problemtico en cuanto a confianza, dado que el pago se

realiza mediante tarjeta de crdito. Poco a poco su uso se est consolidando, al
asociarse con otros modos de pago. Un ejemplo del uso de la tarjeta de crdito para
transacciones electrnicas es el TPV virtual: Terminal punto de venta mediante tarjetas
o pasarela de pagos virtual.

Pgina 13

Imagen del TPV virtual del sitio web del Corte Ingls. Fuente: www.elcorteingles.es

Un Mdulo de Pago (TPV Virtual) tramita la autorizacin de los pagos con tarjetas de
manera on line, utilizando el Servidor Seguro del Banco (SSB), que preserva la
confidencialidad de los datos de la tarjeta. Para dicha autorizacin de la operacin se
tendrn en cuenta los siguientes datos, que se verificarn previamente a la concesin
de la autorizacin: el nmero que consta en la Tarjeta (PAN), la fecha de caducidad y
el importe.

El TPV comunica inmediatamente el resultado de la operacin tanto al comercio como

al cliente, lo que permite el procesamiento de devolucin de operaciones de pagos por
el propio comercio, y se realiza el cierre de las operaciones, peridicamente y de
forma automtica, abonando el importe correspondiente a las operaciones autorizadas
en la cuenta que el comercio mantenga abierta en el Banco.

El siguiente esquema muestra el funcionamiento de un TPV virtual:

Pgina 14

a) El usuario escoge el producto o productos que desea comprar en el

comercio (sitio web de la tienda).

b) Cuando el usuario quiere formalizar el pago, el comercio pasa al banco

los datos de la compra donde tiene contratado el TPV .

c) El banco informa al usuario cmo va a ser su compra, segn la tienda

virtual.

d) El usuario acepta la compra y se identifica al banco con los datos

confidenciales.

e) El banco valida al cliente con una autoridad certificadora.

f) En funcin de la validacin el banco informa al cliente y al comercio del

resultado de la transaccin.

g) El comercio recoge el resultado y enva el pedido al cliente, siempre y

cuando la transaccin se haya efectuado con normalidad.

Para vincular el TPV virtual con el sitio web de la tienda virtual, hay que efectuar unos
pequeos cambios en el website que permitirn el pago de manera segura, explicados
en un documento que se brinda al comercio y que contiene todo tipo de informacin
relativa tanto a la transaccin como al cdigo fuente del programa a situar en el web
del comercio (para los sistemas operativos ms comunes), adems de contar con el
soporte tcnico de personal especializado en la integracin del TPV.
Pgina 15

Para realizar el pago mediante tarjeta de crdito se han implementado algunos

protocolos, que veremos detenidamente ms adelante, para que nuestros datos viajen
seguros.

Las ventajas del TPV virtual son, por un lado, posibilitar al comerciante el manejo de
transacciones comerciales con tarjetas en tiempo real, obteniendo la respuesta
(autorizacin o denegacin) para el comercio y para el cliente. Adems, brinda al
comercio un mecanismo amplio para aceptar las ms importantes tarjetas de crdito
en circulacin, as como conocer el estado de las operaciones.
Por otro lado, al usuario final comprador le asegura que nadie pueda usar sus datos de
forma fraudulenta, ya que ste garantiza la informacin sobre la tarjeta viaja oculta.

3.6.- Pagos a travs del telfono mvil

Teniendo en cuenta, por un lado, la exigencia de incrementar la eficiencia, la

seguridad y la aceptacin de los medios de pago actuales en Internet y, por otro lado,
el reconocimiento del importante rol que el telfono mvil representa en el da a da de
los consumidores, ha surgido la necesidad de fomentar plataformas de pago de las
compras en Internet a travs del telfono mvil.

Un ejemplo de dicha plataforma de pagos en Espaa es Mobipay, sistema constituido

a travs de una alianza entre 90 entidades financieras espaolas (Bancaja, Banco
Sabadell, Banco Popular, Banesto, Bankinter, Barclays Bank, BBVA, Cajamadrid,
Kutxa, BSCH, Unicaja, etc,), las tres compaas operadoras de telefona mvil
(Orange, Vodafone y Telefnica Mviles), y las tres sociedades de medios de pago
que operan en nuestro pas (EURO6000, SERMEPA Y SISTEMA 4B). Esta plataforma
de pago mvil tiene como objetivo impulsar un mecanismo nico de pago seguro
mediante el telfono mvil en Espaa. La siguiente figura muestra un ejemplo de
proceso de compra en Internet a travs de Mobipay.1

Mobipay Espaa. Ponencia en SIMO TCI, Madrid, Noviembre de 2002.

Pgina 16

El telfono mvil surge, de esta manera, como una solucin al pago on-line de
pequeas cantidades o micropagos, teniendo en cuenta que de otra forma los bancos
aplican una cantidad mnima a cada transaccin on line. Adems, el usuario no tiene
que introducir ningn dato relativo a sus medios de pago en Internet, autoriza cada
transaccin mediante la introduccin de su nmero secreto personal, y no requiere
contar con un software especial en su ordenador.

Veamos un ejemplo de pago por referencia en Internet, con el telfono mvil, y

mediante la plataforma de Mobipay. En el ejemplo, compraremos unas bolas de golf.

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 200

2.
Luego de escoger el producto a comprar y de rellenar los datos de envo (y toda la
informacin adicional que habitualmente se nos suele pedir), es cuando llegamos a
pagar normalmente: nos metemos en el TPV virtual del banco, donde el usuario puede
introducir su nmero de tarjeta de crdito (para pagar con tarjeta) o hacer clic en la
opcin de pago con Mobipay (una de las dos), como vemos en la siguiente imagen.

Pgina 17

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

Haciendo clic en la opcin de pagar con Mobipay aparecer -como vemos en la

siguiente imagen- una referencia, es decir, una ristra de nmeros.

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

El usuario entonces teclea en su telfono la ristra de nmeros que le dan como

referencia del producto en la pgina web donde est comprando, y lo enva a travs de
su mvil.

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

Automticamente al usuario le llega un mensaje a su telfono, como el que vemos en

la imagen a continuacin, e indica que se trata de una compra por referencia Mobipay,
el nombre del comercio (en este caso Visa Shopping), dice tambin la cantidad de
euros, adems del medio de pago por defecto elegido por el usuario (donde se le har
el cargo), y se le pide que autorice la transaccin introduciendo el NIP (Nmero de
Identificacin Personal elegido), o bien que teclee 99 para elegir otro medio de pago.

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

Pgina 19

El usuario generalmente utiliza su medio de pago por defecto, con lo cual solamente
introduciendo su NIP, y automticamente llega la confirmacin al telfono mvil
indicando que la compra se ha realizado en forma correcta, como vemos a
continuacin.

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

As mismo, en la pgina web del comercio tambin se confirma la operacin, como
puede apreciarse en la siguiente imagen.

Fuente: Mobipay Espaa. Conferencia en SIMO TCI, Madrid, Noviembre de 2002.

Pgina 20

3.7.- Pagos mediante Tarjeta + Mvil + TPV

Existe otro formato de pago con mvil que esta siendo implantado por las entidades
financieras, ya que los mtodos tipo Mobipay no han tenido demasiado xito. El
mtodo consiste en asociar nuestra tarjeta con nuestro mvil, de forma que siempre
que realicemos una compra, en cualquier tienda virtual, debamos enviar un mensaje
desde nuestro mvil con la clave de acceso de la tarjeta. El funcionamiento es el
siguiente:

a) Una vez accedemos al sistema de pago TPV insertamos nuestro nmero de

tarjeta.

b) El TPV nos enva un mensaje a nuestro Mvil solicitndonos que enviemos

nuestra clave como contestacin a su mensaje.
c) Si transcurren ms de dos minutos desde la recepcin del mensaje y no
contestamos, la transaccin se elimina.

d) Si enviamos el mensaje con una clave correcta, el sistema confirma la

transaccin.

La ventaja de este sistema es que es ms confiable: el usuario tiene ms confianza en

su banco que en una empresa de la que nunca ha odo hablar y, adems, se le exige
una doble confirmacin. Este sistema se est extendiendo a cualquier operacin que
el usuarios realiza a travs de su cuenta electrnica, sea compra o no. Por ejemplo, si
hace una transferencia a un familiar, el importe de la operacin, hora y concepto se
envan por SMS al mvil del usuario. De esta forma, con este tipo de servicios, se
intenta en general mejorar la confianza de los usuarios frente a los servicios digitales.

Pgina 21

3.8.- Pagos por e-mail o Pagos a travs de terceros

Este sistema permite al usuario registrarse una sola vez con su cuenta bancaria o su
tarjeta de crdito, para posteriormente realizar annimamente abonos con cargo a esa
cuenta o tarjeta. Estos abonos se ordenan mediante el suministro de una direccin de
correo electrnico de la empresa o persona que va a recibir el dinero. El intermediario
se encarga de proteger la transaccin y avisar al beneficiario, envindole un mensaje
cifrado y solo para l a travs de Internet.
El inconveniente es la necesidad de que vendedor y comprador tengan previamente
una cuenta en el sistema. Bankinter ha preparado un sistema, llamado "epagado"
(http://www.epagado.com/) que realiza estas operaciones.

Fuente:www.epagado.com
Otra forma de pago con email consiste en hacer que un tercero sea el que pague por
nosotros. Existen sistemas, como Paypal, que permiten pagar a travs de ellos, y de
esta forma solo tenemos que introducir nuestro nmero de tarjeta o cuenta en un solo
sitio, ya que Paypal se encarga de pagar a la tienda y de cobrarnos a nosotros. Lo
nico que debemos hacer es abrir una cuenta en Paypal, que no es un banco, ya que
no almacena nuestro dinero, pero si acta como tal a la hora de realizar una compra.
Si decidimos pagar a travs de Paypal solo tendremos que suministrar nuestra clave
de usuario e indicar a quien realizamos el pago.
Pgina 22

Este tipo de mecanismo de pago aporta el valor de vencer el miedo psicolgico

habitual de dar el nmero de tarjeta de crdito en Internet, cosa que muchos usuarios
an temen. Estos sistemas evitan riesgos, ya que de esta manera el usuario no
introduce ningn dato de su tarjeta en Internet, sino que nicamente tiene que hacer
clic en la opcin de comprar con Paypal, Mobipay y/o luego confirmar la compra con
su telfono mvil.

Desde el punto de vista del comercio estos sistemas conllevan la ventaja de que la
transaccin no es repudiable, el cliente no puede decir que no ha hecho la transaccin,
puesto que en estos casos el cliente se ha autenticado mediante la introduccin de
algn tipo de PIN. Esto es una ventaja con respecto al pago en Internet con tarjeta de
crdito, pues en este ltimo caso una persona que conoce el nmero de tarjeta y fecha
de caducidad de otra puede llegar a usarla para comprar por Internet, y ese tipo de
fraude repercute, finalmente y de manera negativa, en el comercio electrnico.

www.paypal.es

Pgina 23

Los procesos de autentificacin y autorizacin que se producen en cada transaccin

hacen que el riesgo de fraude se reduzca al mnimo, garantizando el no repudio de la
transaccin para el comercio.

Otro modelo de plataforma de pago mvil es Paybox. El mecanismo de pago en

Internet a travs de esta plataforma es similar al de Mobipay: haciendo clic en la
opcin de pagar con Paybox (normalmente indicado con el logotipo Paybox),
introduciendo el nmero de mvil y siguiendo las instrucciones cuando el mvil suene,
para confirmar la operacin mediante cdigo secreto.

Fuente: www.quesos.com

Fuente: paybox Espaa

Pgina 24

As mismo, este mecanismo ha sido pensado para brindar tanto a tiendas como a
consumidores mayor agilidad y seguridad no solamente en los pagos por Internet, sino
tambin para pagar con mvil en las mquinas de vending y en las tiendas fsicas.

El sector de la telefona mvil es el medio que ha tenido mayor crecimiento por su alta
penetracin entre la poblacin como por ofrecer la posibilidad de pagar tanto a
distancia como fsicamente. Este sistema de pago se ha implantado como un
mecanismo seguro, ya que identifica al titular de la compra a travs del mvil y
confirma cada transaccin mediante un nmero secreto dependiente de su tarjeta y de
su banco, no de la tienda virtual.

3.9.- Cheques electrnicos

Los cheques electrnicos son la trascripcin de los cheques tradicionales al

ciberespacio. Normalmente deben ir acompaados de una firma electrnica. El
consumidor enva una orden de pago al vendedor, que la presentar al banco emisor
para autenticarla y cobrarla. Son utilizados para pagos de cantidades importantes y
tienen un coste muy bajo. De momento se estn usando en Francia y Estados Unidos
y, sobre todo, en comercio B2B para grandes pagos entre empresas.

3.10.- Cobro de servicios web por acceso

Uno de los modelos de cobro ms directo en internet es el de los sistemas de pago

de servicios prestados con cargo a cuentas telefnicas. Hay diversas
modalidades:

a) Con cuentas de valor aadido. Son los nmeros de telfono que generan
un ingreso para el que recibe la llamada, con cargo al que la inicia. En
Espaa son los nmeros que empiezan en 803, 806 y 807. La forma ms
sencilla de utilizar esta posibilidad es proteger la pgina de Internet cuyo
acceso quiere cobrarse mediante una clave. Para conseguir la clave el
usuario tiene que hacer la llamada telefnica de valor aadido.
Pgina 25

En ocasiones la conexin al servicio de Internet solo ser posible mientras

dure la llamada telefnica. Este modelo se ha difundido mucho con la
aparicin del ADSL y la banda ancha, que permiten navegar y hablar por
telfono a la vez.
En la actualidad se estn combinando estos servicios con telefona mvil
3G, para recibir o acceder al mismo tipo de servicios desde cualquier
terminal mvil. La empresa contrata con operadores mviles este servicio
para ofrecrselo a sus clientes como un valor aadido.

Fuente:entumovil.net
b)

Mediante modem o dialers. Para acceder a las pginas el cliente debe

conectarse mediante modem a un proveedor de acceso a Internet con un
nmero de valor aadido. Con este sistema el precio del servicio depende
exactamente de la cantidad de tiempo que lo est usando. El comerciante
recibe informacin en tiempo real de las conexiones a sus pginas,
indicando la procedencia y los ingresos que dichas conexiones le reportan.

Pgina 26

c) Con mensajes SMS. Enviando un determinado mensaje SMS a un nmero

de telfono. Por ejemplo, enviando desde nuestro mvil el texto 'juego tetris'
al nmero 9999, obtendremos como respuesta inmediata una clave con la
que podremos descargar un archivo para jugar o un software. El coste para
el cliente puede estar en torno a un euro. El comerciante recibir
aproximadamente el 50%. Puede establecerse un lmite al tiempo de
validez de la clave obtenida.

Uno de los ms graves inconvenientes de estos sistemas es que su coste debe ser
repartido con tres intermediarios: la compaa telefnica, el proveedor del servicio y el
banco. Algunas de las empresas que ofrecen estos servicios son Micropagos, sepomo
y softonic.

Fuente: http://www.sepomo.com/es/bienvenida.php

Se estima que esta tendencia se mantenga hasta finales de la dcada, no tanto

porque haya algn problema con los sistemas de pago electrnicos, sino hasta que
toda la cadena de suministro no est incorporada en la red de pagos automticos, el
pago mediante cheque y transferencia seguir siendo el nico posible.

Pgina 27

4.- Los sistemas de pago en el Comercio Electrnico

B2B
En general los sistemas de pago que se utilizan para las transacciones a travs de
Internet con otras compaas que son proveedores, mayoristas o socios (B2B) no son
diferentes a los usados en el entorno off line: Simplemente se adecuan y adaptan a los
sistemas para poder utilizarse en Internet.

Las entidades financieras brindan a los nodos B2B una plataforma de pagos que
soporta el cierre de las transacciones de pago o cobro en lnea a travs de tarjeta de
crdito, domiciliacin, adeudo en cuenta, transferencia, etc. En este tipo de
transacciones B2B, no es imperativo que las partes sean clientes de la entidad
bancaria, slo es necesario que lo sea el intermediario principal (marketplace o
mercado B2B).
No obstante, y a pesar de que los mecanismos de pago on line ya estn dispuestos y
los beneficios de su uso son claros, actualmente en Espaa los pagos en el comercio
electrnico Business to Business son incipientes y la canalizacin de las transacciones
habituales entre compaas a travs de Internet est siendo un proceso ms lento de
lo que las perspectivas de los expertos vaticinaban, ya que los marketplaces se utilizan
ms para negociar e informar que para concluir operaciones, que siguen cerrndose
econmicamente off line.

En trminos de volumen de transacciones, el 82% de los ms de 9.000 millones de

pagos realizados2 fueron efectuados en cheque ordinario, mientras que solo el 13%
fue pagado a travs de las redes electrnicas, el resto 5% se hizo en otros formatos.
Si lo medimos en dlares en el total de las transacciones, el 65% se pago en cheques,
mientras que el 34% fue efectuado a travs de las redes de pago electrnicas, en
forma de transferencias.

Datos UE y EEUU.

Pgina 29

5.- Aspectos de seguridad de las transacciones en

Internet
Es evidente que la gran utilidad que tiene Internet de conectar unos servidores con
otros y poder as compartir la informacin a aquellos usuarios que lo deseen, puede
por otra parte convertirse en una gran amenaza en trminos de seguridad en la
transferencia de datos. Este es, sin duda, uno de los mayores frenos al despegue del
comercio electrnico entre los usuarios, teniendo en cuenta que de los medios de
comunicacin nos llegan noticias que cuentan los ataques de hackers a datos
personales, siendo uno de los ms comentados el acceso ilegal a los cdigos de las
tarjetas de crdito de Bill Gates, gur y magnate del imperio Microsoft.
Tales noticias generan gran desconfianza en el internauta, potenciadas por el hecho
de que la premisa fundamental de los vnculos comerciales tradicionales es conocer a
la otra parte y en la Red, en algunos casos, se desconoce con quin se est tratando.
Podemos identificar tres etapas diferenciadas de la seguridad en Internet. Por un lado,
la seguridad en la conexin (asegurarnos que la direccin a la que nos dirigimos
corresponde realmente a la empresa a la que deseamos hacer el pedido); en segundo
lugar, seguridad en la transaccin (no debe ser posible interceptar los datos que
estemos transmitiendo durante la comunicacin por la Red entre nuestro ordenador y
el servidor de la tienda); y, por ltimo, seguridad permanente (puesto que los datos
personales quedan almacenados en las bases de datos de la tienda, se debe evitar
que se ataquen estas bases de datos).
Internet es una red intrnsecamente insegura, pero esto no significa que no sea factible
realizar transacciones con total seguridad; lo que quiere decir es que es preciso
atender, de manera especial en este entorno, los fallos de seguridad que pudiesen
ocurrir. Para ello actualmente existen tecnologas que posibilitan lograr en Internet el
grado de seguridad esencial para llevar a cabo todo tipo de transacciones.
En las redes abiertas como Internet es preciso prestar atencin a la seguridad de
todos los componentes que intervienen en la misma.

Pgina 31

En el siguiente esquema examinaremos los tres componentes elementales (el cliente,

el servidor y la red de comunicaciones que les pone en contacto entre s), sobre los
que es necesario centrar el enfoque al hablar de seguridad, y de qu forma son
potencialmente vulnerables.

Componentes bsicos de
las transacciones en una red abierta

Cliente

Factor

de

posible

Inseguridad

F Acceso de
personas no
autorizadas a
un puesto de
trabajo.
F Ejecucin de
programas
malignos, con
intencin de
generar daos.

Comunicaciones

Servidor

F Interceptar los F Acceso a datos

almacenados en l,
datos en alguno
por parte de
de los sistemas
personas no
informticos a
autorizadas.
travs de los
que son
F Ingreso al servidor
transmitidos.
por parte de
diversos tipos de
F Alteracin de
piratas informticos
los datos en su
con el fin de
camino por un
ocasionar dao.
servidor
intermedio.
F Robo de datos del
servidor por parte de
F Reemplazo del
algn intruso.
servidor o del
cliente por un
F Los fallos de
sistema
seguridad en la
maligno.
configuracin del
servidor que
posibilitan estas
ofensivas.

Pgina 32

6.- Condiciones necesarias para la seguridad en el

Comercio Electrnico
En Internet, para garantizar la seguridad de las transacciones, es preciso tomar
medidas para encarar los siguientes problemas: la confidencialidad o privacidad de los
datos, la integridad de su contenido, la autenticidad de las partes intervinientes, y la
confiabilidad.
En cuanto al primero de los aspectos mencionados, el de la confidencialidad,
diremos que consiste en evitar que un tercero pueda acceder a la informacin enviada.
Los datos delicados de los clientes y usuarios, tales como datos personales, sobre sus
pedidos, informacin del pago, etc., slo deben ser ledos por el comprador y el
vendedor, de manera que si alguien los interceptara en la red no pueda descifrarlos.
Esto se consigue gracias a tcnicas de encriptacin y cifrado de los datos, que
examinaremos en detalle en este captulo.
En cuanto a la integridad de la informacin, implica evitar que un tercero pueda
modificar la informacin enviada sin que lo advierta el destinatario. Es decir, que sta
no haya sido alterada ni por errores de transmisin ni por acciones malintencionadas.
Ello se consigue mediante la huella electrnica o digital de los mensajes.
En lo concerniente a la autenticidad, consiste en permitir a cada lado de la
comunicacin probar fehacientemente que el otro ha participado en la misma, e
implica la seguridad acerca del autor de cada informacin, mensaje o documento, para
que ste no pueda repudiar haber sido su autor. En el caso de no repudio de origen, el
remitente del mensaje no puede negar haberlo enviado. En el caso de no repudio de
destino, el destinatario del mensaje no puede negar haberlo recibido. Este
inconveniente se soluciona mediante la firma electrnica del mensaje o documento.
El ltimo aspecto de la seguridad en las transacciones tiene que ver con la
confiabilidad a travs de la identificacin mutua del cliente y del servidor, que permita
a cada lado de la comunicacin asegurarse de que el otro lado sea realmente quien
dice ser.

Pgina 33

La identificacin del cliente generalmente se resuelve a travs del uso de claves de

usuario y contraseas, y la del servidor se logra mediante certificados digitales.
Para lograr instaurar un sistema de confianza en la red,

es decir, establecer la

confiabilidad, se ha de montar un sistema de fedatarios electrnicos emisores de

dichos certificados, las terceras partes confiables.

La siguiente figura resume los factores problemticos en el mbito de la seguridad en

las transacciones:

Aspectos de Seguridad

F Seguridad en el almacenamiento de datos

o

Frente a destruccin

Frente a intrusos

Solucin: Antivirus y copias de seguridad

Solucin: Firewalls y otras

F Seguridad en la transmisin de los datos

Solucin: Funciones Hash

Integridad

Privacidad

No repudio

Autenticidad

Confidencialidad

Cifrado

Confianza

Fedatarios

Solucin: Claves asimtricas

Firmas Digitales

Pgina 34

7.- Cmo funcionan los mtodos de cifrado?

La herramienta bsica para cumplir las condiciones anteriores de seguridad, son las
tcnicas criptogrficas de cifrado, las cuales consisten en unos modelos matemticos
que posibilitan cifrar los mensajes mediante unas claves. Los mtodos de cifrado ms
utilizados son:

a) Los mtodos de cifrado simtrico: usan una misma clave secreta para
cifrar y descifrar. Son muy poco utilizados por sus inconvenientes.

El principal problema que presentan los sistemas de cifrado

simtrico no est ligado a su seguridad, sino al intercambio de
claves. Una vez que el remitente y el destinatario hayan
intercambiado las claves pueden usarlas para comunicarse con
seguridad, pero Qu canal de comunicacin seguro han
usado para transmitirse la clave entre s? A un atacante le
resultara mas fcil intentar interceptar una clave que probar las
posibles combinaciones del espacio de claves. Otro problema es
el nmero de claves que se necesitan. Si tenemos un nmero n
de personas que necesitan comunicarse entre ellos, entonces se
necesitan n(n-1)/2 claves para cada pareja de personas que
tengan que comunicarse de modo privado. Esto puede funcionar
con un grupo reducido de personas, pero sera imposible
llevarlo a cabo con grupos ms grandes.

b) Los mtodos de cifrado asimtrico: cada usuario tiene una pareja de

claves, una pblica y otra privada, con la propiedad de que lo que se
cifra con una de las claves slo se puede descifrar con la otra.

La criptografa de clave asimtrica o pblica fue creada en 1976 por los

matemticos Whit Diffie y Martin Hellman, y es la base de toda la criptografa moderna.
Utiliza dos claves complementarias entre s, llamadas clave privada y clave pblica.

Pgina 35

La parte codificada con una clave privada necesita su correspondiente clave pblica
para ser desencriptada. Al revs, lo que se ha codificado con la clave pblica
solamente puede ser desencriptado con la clave privada.

Las claves privadas deben ser conocidas nicamente por su propietario, mientras que
la correspondiente clave pblica puede ser dada a todo el mundo. Si queremos enviar
un mensaje de forma que slo l destinatario pueda entenderlo, debemos codificarlo
con la clave pblica del equipo que enva. El receptor utilizar su clave privada, que
solo l tiene, para poder leerlo. Pero otra posible utilidad del sistema es garantizar la
identidad del remitente. Si enviamos un mensaje codificado con la clave privada, el
receptor necesitar la clave pblica del remitente para descifrarlo. Es posible combinar
ambos: El remitente puede enviar al receptor un mensaje codificado dos veces, con la
clave privada del remitente y con la clave pblica del receptor. As se consigue
garantizar la identidad del emisor y del receptor.

La criptografa asimtrica est basada en la utilizacin de nmeros primos muy

grandes. Si multiplicamos entre s dos primos grandes, el resultado obtenido no puede
descomponerse en factores fcilmente, es decir, utilizando los mtodos aritmticos
ms avanzados en los ordenadores ms modernos sera necesario hacer clculos
durante miles de millones de aos, utilizando tantos ordenadores como tomos existen
en el universo.

Pgina 36

El proceso ser ms seguro cuanto mayor sea el tamao de los nmeros primos
utilizados. Los protocolos modernos de encriptacin, tales como SET y PGP, utilizan
claves generadas con nmeros primos de un tamao tal que los hace completamente
inexpugnables.

El problema de las claves asimtricas es que cuando el texto a tratar es largo el

proceso de codificacin es muy lento y, al revs, la descodificacin. Los protocolos
modernos codifican el texto base con una clave simtrica tipo DES o IDEA y utilizan
las claves asimtricas para la comunicacin de la clave simtrica utilizada. Cuando un
texto se codifica mediante una clave simtrica y se enva esta clave codificada con la
clave pblica del receptor, el resultado se llama sobre digital.

Estos sistemas, tambin conocidos como sistemas de clave pblica, permiten

adems cumplir los requisitos de integridad del mensaje, autenticidad y no repudio del
remitente utilizando firmas digitales. En otro apartado de este captulo analizaremos
ms detenidamente los principales rasgos de este tipo de firmas.

La infraestructura necesaria para el uso de los sistemas de clave pblica, incluyendo

las autoridades de certificacin, se llama Infraestructura de Clave Pblica o PKI
(Public Key Infrastructure).

Pgina 37

Para saber si la conexin es segura y si est siendo cifrada, debemos ver en la pgina
Web los siguientes elementos:
F Debe aparecer un candado cerrado en la barra de estado del navegador.
F Debe poner en la barra de direcciones https:// en lugar de http://.

En la figura anterior se muestra como ejemplo una compra en el sitio web de El Corte
Ingls, en la que pueden apreciarse estos dos elementos identificativos de una
conexin segura.3

Haciendo doble clic con el botn izquierdo del ratn sobre el candado que aparece en
la barra de estado podemos consultar el tipo de cifrado que se est empleando as
como la autoridad de certificacin que emiti el certificado para esa tienda.

Extrado de www.elcorteingles.es.

Pgina 38

8.- Mecanismos de certificacin y firma digital

8.1.- Certificados digitales

Los certificados digitales se utilizan como medio de identificacin tanto de servidores

como de clientes. Un certificado digital establece la relacin entre un nombre distintivo
y una clave pblica, estando tal relacin certificada por un fedatario, denominado
Autoridad Certificadora. En la figura podemos ver un certificado personal.

Los certificados digitales utilizan un formato estndar perfectamente determinado.

Siguiendo el estndar X.509, tienen los siguientes campos:

a) Versin.
b) Nmero de serie.
c) Identificador del algoritmo empleado para la firma digital.
d) Nombre del certificador (el que emite el certificado).
e) Perodo de validez.
f) Nombre del sujeto.
g) Clave pblica del sujeto.
h) Identificador nico de certificador.
i) Identificador nico de sujeto.
j) Extensiones.
k) Firma digital de todo lo anterior generada por el certificador.

Hay otros tipos estndar de certificado que se estn desarrollando y que permiten
incluir ms campos. Por ejemplo, las entidades bancarias estn trabajando en
certificados para empresas cliente que contenga informacin sobre su liquidez, nivel
de operativa, rango de riesgo, para que de esta forma un sistema experto pueda
evaluar operaciones sin intervencin humana.

Todos estos campos citados aparecen firmados por la Autoridad Certificadora. El

motivo por el cual la identificacin es considerada vlida radica en la confianza,
depositada por las partes en la transaccin, en la entidad emisora de la identificacin.

Los certificados emitidos por una Autoridad de Certificacin son, de esta manera,
verdaderos elementos cruciales para crear la confianza en Internet.

Pgina 40

Los clientes y los comercios deben contar con este certificado digital a fin de
manifestar a su posible interlocutor cul es su identidad. Ante cualquier inquietud se
puede solicitar a la organizacin emisora del certificado que verifique la informacin
que aparece en el mismo.

8.2.- Entidades certificadoras

Las Autoridades de Certificacin tienen un papel fundamental a la hora de garantizar la

legitimidad de los participantes en el contexto del comercio electrnico seguro, puesto
que son los entes encargados de emitir los correspondientes certificados digitales a
dichos participantes (titulares, comercios y pasarelas de pago).

Pgina 41

Las funciones de una Autoridad de Certificacin deben ser entonces, entre otras, las
siguientes:

a) Generacin y Registro de claves.

b) Identificacin de peticionarios de certificados.
c) Emisin de certificados.
d) Almacenamiento de claves privadas.
e) Mantenimiento de las claves vigentes y revocadas.

Revocar un certificado es anular su validez antes de su fecha de caducidad (por

ejemplo, cuando el titular del certificado cree que su clave privada ha sido
comprometida y puede ser conocida por otras personas). Cualquier firma posterior a la
fecha de anulacin es, por lo tanto, invlida, y tampoco deber encriptarse con esa
clave pblica tras la revocacin.

Los nmeros de serie de los certificados revocados (junto a sus respectivas fechas
efectivas de revocacin) son publicados (firmados) por la Autoridad de Certificacin
emisora, de forma peridica, mediante las denominadas listas de revocacin.

Principales Autoridades de
Certificacin en Espaa
http://www.ace.es
http://www.camerfirma.com
http://www.feste.com
http://www.cert.fnmt.es/certifi.htm
http://www.ipsca.es
http://www.verisign.com

Pgina 42

8.3.- Tipos de certificados

En la actualidad existen distintos tipos de certificados, aplicables a casos concretos de

empresas o particulares.

Certificado de
pertenencia a
empresa

Certificado de
representante

Certificado de
persona
jurdica

Certificado
para factura
electrnica

Certificado de
servidor

El certificado digital de pertenencia a empresa garantiza la

identidad de la persona fsica titular del certificado, as como su
vinculacin a una determinada entidad en virtud del cargo que
ocupa en la misma. Este certificado no otorgar por si mismo
mayores facultades a su titular que las que posee por el
desempeo de su actividad habitual.

El certificado digital de representante es emitido a favor de una

persona fsica representante de un determinada entidad. El titular
del certificado se identifica no nicamente como persona fsica
perteneciente a una empresa, sino que aade su cualificacin
como representante legal apoderado general de la misma.

Se trata de un certificado digital emitido a favor de una entidad

jurdica, que podr ser utilizado cuando se admita en las
relaciones que mantenga la persona jurdica con las
Administraciones pblicas o en la contratacin de bienes o
servicios que sean propios o concernientes a su giro o trfico
ordinario.

Certificado exclusivo para facturacin electrnica, bsicamente

atendiendo la necesidad de las grandes empresas que buscan la
seguridad del certificado para la emisin de facturas electrnicas.
No permite realizar ningn otro tipo de trmite distinto a la
facturacin electrnica, ni con la Administracin ni entre
empresas en nombre de la empresa.

Los certificados de servidor cumplen dos funciones

fundamentales. Primero, certifican que un dominio se ha
registrado a nombre de la entidad identificada en el certificado
(no suplantacin). En segundo lugar, debido al empleo del
protocolo SSL, garantiza que la comunicacin entre el cliente y el
servidor es totalmente confidencial y que no podr ser
interceptada ni modificada por un tercero.

Pgina 43

Certificado de
apoderado

Certificado de
sello de
empresa

El certificado de apoderado para firma electrnica reconocida

indica la relacin de apoderamiento entre la persona fsica y la
entidad responsable del certificado. Los apoderamientos
especficos sern accesibles por referencia dentro del certificado,
aunque se ofrecer un cdigo indicativo del tipo de
apoderamiento en el mismo. Este certificado se diferencia del
certificado de representante en que el apoderado dispone de una
relacin de poder de representacin total.

Este certificado se asocia a una mquina y ofrece garantas

tcnicas de autenticidad de origen e integridad, y que el equipo
que compramos es autentico y genuino de la marca requerida.
Es adecuado para la firma de comprobantes de recepcin
electrnicos, firma de newsletters o comunicaciones de empresa,
firma de blogs y backups, etc.

8.4.- Firma Digital

Un documento firmado manualmente consta de dos elementos que lo hacen nico. El

primero es la rbrica, que es algo que solo nosotros sabemos hacer y que un experto
en grafologa puede identificar. Y, en segundo lugar, firmamos en todas las hojas para
impedir que se puedan hacer aadidos al documento original.

Aunque nos parezca que no es cierto, las comunicaciones electrnicas permiten un

sistema de firma mucho ms segura que nuestra propia firma manuscrita u olgrafa.
Las firmas digitales consisten en una funcin resumen del texto codificada con nuestra
clave privada. Este sistema garantiza, a la vez, nuestra identidad y que el texto no ha
sido modificado en ninguna forma tras la firma.

A la firma electrnica de un mensaje se la denomina tambin huella electrnica del

documento (hash en ingls). De esta forma, el mensaje va encriptado con la clave
privada del emisor, y se aade el resumen cifrado al final del mensaje. A continuacin,
el mensaje ms la firma (el resumen cifrado) se envan encriptados con la clave
pblica del destinatario.

Pgina 44

El algoritmo que se utiliza para obtener el resumen del mensaje debe cumplir la
propiedad de que cualquier modificacin del mensaje original, por pequea que sea,
d lugar a un resumen diferente. Si el resumen es diferente el mensaje es falso y no
proviene del emisor original.

Por lo tanto, la firma electrnica vincula el texto con su autor, garantizando al mismo
tiempo que no ha sido alterado y que ha sido generado verdaderamente por su autor.
Permite entonces comprobar la identidad del remitente, la integridad del documento, la
autora y autentificacin del mismo, preservando simultneamente la confidencialidad.

De las anteriores definiciones podemos destacar las siguientes caractersticas de la

firma electrnica o digital:
F No puede ser generada ms que por el emisor del documento, infalsificable
e inimitable.
F Debe permitir la identificacin del firmante, dando lugar al concepto de
"autora electrnica", como la manera de determinar que una persona es
quien dice ser.
F La firma electrnica va unida indisociablemente al documento a que se
refiere.
F Las informaciones que se generen a partir de la firma electrnica deben ser
suficientes para poder validarla, pero insuficientes para falsificarla.

Pgina 45

9.- El DNI electrnico o eDNI

La Ley 59/2003, de 19 de diciembre, de firma electrnica, convierte a Espaa en un
ejemplo a seguir por otros pases. Con esta Ley se persigue alcanzar diversas
ventajas para los ciudadanos.

En primer lugar, se trata de crear un documento que certifique la identidad del

ciudadano no slo en el mundo real, sino tambin ante transacciones telemticas,
permitiendo firmar todo tipo de documentos electrnicos. Mediante un dispositivo
seguro de creacin de firma, la firma electrnica que se efecte mediante el DNI
electrnico tendr efectos equivalentes a los de una firma manuscrita4. Para ello el
DNI va de un chip que contiene la firma electrnica. Se ha diseado en coordinacin
con los proyectos europeos de identificacin digital, para de esta forma fomentar la
confianza en las transacciones electrnicas.

El proyecto finalizar cuando todas las Administraciones Pblicas y Entidades de

Derecho Pblico vinculadas o dependientes de las mismas, sean capaces de
reconocer el DNI electrnico. Algunas gestiones que podremos desarrollar sern las
siguientes:
F Preparar la declaracin de la renta.
F Solicitar de ttulos oficiales.
F Matrculas online en universidades.
F Solicitar un certificado de empadronamiento.
F Realizar un registro de nacimientos.
F Reclamar el derecho a la pensin.
F Compras a travs de Internet.
4

Ministerio de Fomento, Sobre el DNI electrnico

Pgina 46

El Documento Nacional de Identidad electrnico tiene un aspecto similar al de una

tarjeta de crdito, lo que le dar la capacidad de identificar al ciudadano, as como
ofrecerle la posibilidad de firmar documentos electrnicos, ser lo que se ha
denominado Certificado de Identidad Pblica. Este certificado ir incorporado en el
DNI, y adems de identificar al ciudadano (autenticacin), garantizar que la
informacin no ha sido alterada (integridad) y que el ciudadano ha realizado la
transaccin (no repudio)5.

Al instalarse el programa por primera vez se generan automticamente las claves

privada y pblica del usuario. La clave pblica se distribuye automticamente por
bases de datos de todo el mundo, y este hecho en s mismo es su mayor fuente de
seguridad. La clave privada queda almacenada en el ordenador de forma muy segura,
y el programa de correo queda automticamente transformado para poder enviar y
recibir mensajes codificados.

El usuario tan solo tiene que escribir el mensaje e indicar su(s) destinatario(s) en la
forma habitual. En el momento de enviarlo tendr la opcin de incluir una firma digital o
de enviarlo codificado. En este ltimo caso se necesitar disponer de la clave pblica
del destinatario que puede ser buscada en cualquier servidor de claves de PGP, con la
seguridad de que solo lo recibir esa persona o el ordenador que tiene esa clave
nica.

Ministerio de Fomento, Sobre el DNI electrnico

Pgina 47

10.- Protocolos de seguridad en las transacciones: PGP,

SSL y SET
Como hemos visto anteriormente, uno de los puntos crticos de los procesos de pagos
a travs de Internet se produce cuando el comprador enva al vendedor su nmero de
tarjeta de crdito a travs de esta red pblica potencialmente insegura.

Para asegurar esta transferencia de datos se utilizan algunos estndares o protocolos.

Los ms utilizados son el protocolo PGP, el SSL y el protocolo SET, los cules
analizaremos a continuacin.

10.1.- El protocolo (Pretty Good Privacy)

PGP es un protocolo de seguridad creado en los 90 por Phill Zimmerman. La

exportacin del sistema fuera de los Estados Unidos fue para su creador el inicio de un
largo proceso judicial, acusado de exportacin de productos de valor estratgico, y le
convirti en un mrtir del ciberespacio. En la actualidad las versiones ms avanzadas
del programa PGP siguen sin poder ser exportadas legalmente fuera de los Estados
Unidos, pero su cdigo fuente es considerado un artculo cientfico que puede ser
divulgado y compilado en el exterior, por lo que en todo el mundo puede disponer de
ellas.

El programa PGP es gratuito para el uso no comercial y accesible en www.pgpi.com.

Es el sistema ms utilizado en todo el mundo, tanto por usuarios particulares como por
grandes empresas. Las versiones modernas son extraordinariamente amistosas con el
usuario y se comunican con los programas de correo electrnico ms habituales, por
ejemplo Outlook. En la imagen puede verse las opciones de configuracin.

Pgina 48

Fuente:Rediris, Una de las impulsoras de PGP en Espaa

Cuando el usuario recibe un mensaje codificado, el programa PGP lo descifra y

comprueba su integridad, mostrando al usuario un breve informe, y avisando en el
caso de que haya detectado cualquier anomala. El proceso es normalmente muy
breve, pues dura menos de un segundo.

10.2.- El Protocolo SSL y STP

El protocolo de seguridad SSL (Secure Sockets Layers) fue creado por Marc
Andreessen, el diseador de Mosaic y Netscape. SHTTP se desarroll ms tarde, con
las mismas caractersticas. Actualmente todos los navegadores de Internet estn
preparados para comunicarse con estos protocolos y, en especial, con SSL a travs
del protocolo https.

El protocolo SSL utiliza el mtodo de cifrado asimtrico RSA, que se ha mencionado

anteriormente en este mdulo. Su regla de funcionamiento se fundamenta en encriptar
los datos que el usuario rellena en un formulario de una pgina web, y transferirlos por
la red hasta el servidor de comercio electrnico, lo que imposibilita interceptarlos por
algn tercero cuando son transmitidos mediante Internet.

Pgina 50

La tienda virtual que acepte pagos mediante estos sistemas debe tener instalado un
software de servidor seguro SSL. Este software puede obtenerlo en entidades como
VerySing.

El vendedor, adems, tiene que disponer de un par asimtrico de claves, certificadas

por una autoridad. El comprador no necesita tener ni claves, ni certificados, ni saber
como funcionan.

Cuando el usuario accede con su navegador a una tienda virtual con SSL se inicia
automticamente una fase de reconocimiento. El servidor enva su clave pblica y
certificacin. El navegador cliente recibe estos datos y se prepara para la
comunicacin con sistema de seguridad.

El usuario, de una forma totalmente transparente, introduce sus datos y pulsa el botn
para enviarlos. En ningn momento el usuario recibe ninguna indicacin diferente a las
habituales.

El navegador codifica estos datos mediante una clave simtrica. La funcin resumen
de los datos y la clave simtrica son codificadas con la clave pblica que acaba de
recibir del vendedor. El resultado de estas operaciones es enviado al vendedor. De
esa forma, los datos introducidos por el usuario viajan a travs de Internet encriptados,
de tal forma que nicamente la tienda virtual podra desencriptarlos.

Los sistemas SSL y SHTTP tienen la gran ventaja de la absoluta transparencia para el
usuario, que no necesita ningn tipo de software instalado ni conocimientos previos
sobre el tema. Queda garantizada plenamente la identidad del vendedor y que slo l
recibir los datos. En cambio, presentan un grave inconveniente: no se puede
garantizar la identidad del comprador, por lo que puede producirse el repudio de la
transaccin.

En la actualidad la mayora de las empresas que venden en Internet utilizan este

sistema, tanto para la venta como para la seguridad de todas sus transacciones.

Pgina 51

Se puede encontrar informacin adicional y software abierto para su instalacin en

http://www.openssl.org/

Para instalar el sistema SSL en un servido, podemos acudir a los servicios de

empresas como VerySign. Esas empresas facilitan, adems, certificados de seguridad
SSL, lo que permite a los visitantes o clientes de un sitio web acceder a la siguiente
informacin sobre su empresa:
F El dominio al que se ha concedido el certificado de seguridad SSL. A travs
de ellos los visitantes de un sitio web pueden comprobar que el dominio
tiene realmente un certificado de seguridad y est en vigor.
F Saber quin es el propietario del certificado. Esta comprobacin aumenta
notablemente la confianza del usuario en una web, ya que podemos
conocer en cualquier momento qu empresa real est detrs de la
transaccin comercial.
F Conocer la situacin geogrfica del propietario del dominio y el sitio web,
factor sumamente importante a la hora de llevar a cabo transacciones
econmicas o transmisiones de datos a travs de la red.

10.3- El Protocolo SET (Secure Electronic Transaction)

SET es un protocolo elaborado por iniciativa de VISA y MasterCard, al que se

adhirieron inicialmente un gran nmero de grandes bancos y empresas de software de
todo el mundo. Se prevea que, en poco tiempo, se generalizara su uso, pero varios
aos despus de su puesta en marcha observamos que sigue sin generalizarse su
uso, y los expertos no ven probable que sea utilizado en el futuro.
En principio el sistema SET es similar al PGP. La principal diferencia con respecto al
sistema PGP es que en el sistema SET cada clave pblica va asociada a un
certificado de autenticidad emitido por una autoridad de certificacin (AC).

Pgina 52

Los certificados de autenticidad, tambin llamados certificados digitales y

credenciales electrnicas, son documentos digitales que atestiguan la relacin entre
una clave pblica y un individuo o entidad. Las AC asumen la responsabilidad de
garantizar que los individuos o instituciones acreditadas son de hecho quien dice ser.

Las AC, a su vez, estn certificadas por una autoridad superior, formndose as una
jerarqua de autoridades de certificacin SET. La jerarqua est formada por la raz
(SET Root CA) que ha emitido certificados solo a unas pocas autoridades de nivel
superior llamadas SET Brands, entre las que estn las siguientes: American Express
Company, Cyber-COMM, JCB Company Limited, Maestro, MasterCard International,
Nippon Shinpan Company Limited, PBS International A/S/Dankort, y Visa International.
Estas autoridades de nivel superior, a su vez, acreditan AC de nivel inferior y
directamente a los comerciantes (merchants) y compradores propietarios de tarjetas.
Obsrvese que estas certificaciones tienen un coste, y que los bancos deben pagar un
precio a esas AC para, a su vez, poder revender certificaciones SET a sus clientes.

Ese complejo sistema de intermediarios certificadores, y el papel secundario de los

bancos, es posiblemente una de las razones del fracaso de SET.

Pgina 53