La seguridad en las transacciones
por
Baquia Inteligencia
25/08/2000,
08:01
Una de las razones más habituales por la que los usuarios de Internet
no realizan compras online es su preocupación por la seguridad en las
transacciones. El 40,9% de los internautas que no realizan compras online citan
como razón la falta de seguridad en las transacciones, y el 35,7% cita
la falta de seguridad en los datos.
Los comercios electrónicos deben implementar alguna tecnología
que asegure que ningún dato privado de los clientes se vea difundido
en la operación, por lo que deberán recurrir a alguna de las tecnologías
que se han desarrollado con este fin.
La seguridad en las transacciones online debe garantizar los siguientes factores:
- Confidencialidad: nadie debe tener acceso a los datos, excepto los
destinatarios; se consigue mediante sistemas de encriptación
- Integridad: los datos enviados no deben ser modificados en el trayecto;
también se utilizan sistemas de encriptación para conseguirlo
- Autentificación: hay que confirmar la identidad de las partes
que llevan a cabo la transacción; con este fin se recurre a firmas
digitales y a certificados digitales
- No repudio: ninguna de las partes debe poder negar posteriormente
la realización de la transacción; los métodos más
utilizados para conseguir este fin son la firma digital, que debe estar apoyada
por la ley, y los registros de las transacciones
Sistemas de seguridad en las transacciones
Los sistemas más utilizados para lograr la seguridad en las transacciones
son: SSL (Secure Sockets Layer o Capa de Conexión Segura) y SET (Secure
Electronic Transaction o Transacción Electrónica Segura). Los
dos están basados en la encriptación
de los datos transmitidos entre el cliente y el comerciante.
El SSL utiliza la encriptación de llave pública para establecer
una comunicación segura entre el servidor de la empresa y los clientes.
Utiliza una capa en la comunicación que se encarga de la encriptación
y desencriptación, de forma que las demás aplicaciones de los
ordenadores implicados no tienen que utilizar recursos en esta tarea.
La comunicación utilizando SSL se realiza en dos fases:
- Fase de saludo: los ordenadores del comerciante y del cliente se
reconocen, normalmente utilizando certificados digitales para establecer la
identidad de la otra parte. Tras el intercambio de las llaves públicas
los ordenadores utilizan la encriptación asimétrica para transmitirse
una clave que utilizarán ambos, con encriptación simétrica.
- Fase de comunicación: utilizando la clave que se ha establecido
en la fase anterior, se establece en esta fase la verdadera comunicación,
utilizando la encriptación simétrica.
De esta forma se consigue mantener la información confidencial de los
clientes, como números de tarjeta de crédito, en privado, asegurando
la confidencialidad e integridad de los datos. Sin embargo, el requisito del
no repudio no se cumple, ya que sigue existiendo la posibilidad de que alguna
de las dos partes niegue la existencia de la operación sin que el SSL
proporcione ningún mecanismo para evitar esta situación.
Este problema se resuelve mediante la utilización de SET, que
resulta más seguro, pero también más complicado y caro.
Su aplicación requiere la participación de una autoridad de certificación
y un intermediario del pago para poder llevar a cabo la transacción.
Su funcionamiento será el siguiente:
En todos los intercambios de datos se utiliza un sistema de encriptación
para mantener la confidencialidad de las comunicaciones y de la transacción.
Claramente, este proceso es mucho más complicado que el necesario para
llevar a cabo una transacción utilizando SSL, pero también proporciona
un mayor nivel de seguridad. Este sistema sí garantiza que se den todos
los puntos necesarios para que la transacción sea segura, gracias a la
participación en el proceso de las entidades de pago y la autoridad de
certificación.
