|
|
http://www.marketingycomercio.com/numero3/seguridad.htm
Revista Marketing y Comercio
No.3 de 2000
La seguridad en Internet es posible
Rodolfo Lomáscolo
Director General IPS
En el caso de las grandes corporaciones y organizaciones
empresariales la preocupación por la seguridad en Internet es fácil de
entender: las organizaciones necesitan proteger la confidencialidad de la
información reservada. Por otra parte, los usuarios de a pie también deberían
vigilar de cerca todo lo referente a la protección de sus datos y a la
identidad de las fuentes y destinatarios de los mismos.
Evidentemente la seguridad en Internet afecta sobremanera a las
empresas que operan con banca electrónica, ya que las cuentas bancarias en
Internet no son más que bases de datos y, como tales, están expuestas. En
definitiva, la seguridad afecta a todos: a las grandes compañías por ser una
tentación y por las consecuencias de una posible filtración, y a los usuarios
individuales por su vulnerabilidad.
En España, al igual que en le resto del mundo, la seguridad
informática sigue considerándose por parte de la dirección de las empresas como
importante o muy importante. Un reciente estudio de la consultora Ernst &
Young apunta que para el 82% de los encuestados este aspecto es fundamental.
Sin embargo, esta importancia que se otorga a la seguridad informática no
siempre va unida a la implantación de medidas concretas de seguridad.
La seguridad afecta a todos: a las grandes compañías por ser una
tentación y por las consecuencias de una filtración, y a los usuarios
individuales por su vulnerabilidad
Según el mismo informe, más de la mitad de las empresas reconocen
que no analizan los posibles accesos a su sistema informático. Si tenemos en
cuenta que en la actualidad las empresas dependen en gran medida de su sistema
informático, porque a través del mismo producen su trabajo diario, generan sus
datos y, en definitiva, realizan su negocio, este dato resulta preocupante. El
hecho de no investigar posibles indicios de acceso implica que más tarde o más
temprano alguien puede acceder a sus sistema informáticos y, por ende, el
negocio puede estar en manos de un intruso.
Las caras del problema
Así pues, el principal problema no es de índole técnico, sino de
toma de conciencia de los peligros potenciales en la transmisión de información
confidencial (nuestros datos personales, bancarios, códigos de acceso a cuentas
y transacciones, etc.) a través del ciberespacio.
La seguridad en Internet consiste en implementar mecanismos para
que cuando se reciba un mensaje o se realice una transacción por medios
electrónicos, se asegure la integridad del contenido y la identidad del
remitente y del receptor. Las contraseñas y palabras clave ya no son un
mecanismo suficientemente fiable y seguro, ya que éstas pueden ser
interceptadas durante su transmisión, de lo que desgraciadamente nos damos
cuenta muy tarde o cuando la prensa se hace eco de un caso de estafa
electrónica.
Se trata de un problema de mentalización y sentido común. ¿De qué
vale disponer de un canal de alta tecnología si ello redunda en posibles
pérdidas y falta de seguridad? Pero existen soluciones seguras. En el plano
técnico, ya hay en el mercado mecanismos que pueden asegurar los contenidos y
la identidad de las partes que se comunican y realizan transacciones en
Internet.
Las contraseñas y palabras clave ya no son un mecanismo
suficientemente fiable y seguro, ya que éstas pueden ser interceptadas durante
su transmisión
La técnica puede garantizar una seguridad casi total. La
mentalidad puede ser la adecuada. Pero el tema es todavía más complejo. Hace
pocos días se hizo pública una noticia en la que se hablaba de que en Noruega,
la entrada no autorizada en ordenadores ajenos, no resulta ser una actividad
ilegal ya que en resumidas cuentas "todo aquel que desee estar conectado a
una red abierta como Internet, debe estar preparado para proteger sus datos y
el objetivo de la red mundial resulta ser distribuir información", casi
como la vida misma.
Resulta cuando menos interesante comprobar como los sistemas
abiertos de comunicaciones tienden a emular la organización, estructura y
comportamiento de la sociedad.
No existe sistema informático que no pretenda ser seguro, de una
forma u otra, con mayor o menor éxito, con mayor o menor notoriedad, al mismo
tiempo que se abre hacia Internet u otras redes para dar mayores y mejores
servicios a sus usuarios, internos o externos. Como mínimo parece ser algo
paradójico.
El miedo a que lo sepan
Plantear temas de seguridad en público resulta cuando menos
incómodo. Por muy delicado que se pretenda ser al tratar estos temas se corre
siempre el riesgo de herir demasiadas sensibilidades.
Dejando de lado los problemas de seguridad causados por virus
informáticos, un tema con el que podríamos llenar páginas y páginas y que en la
actualidad ha crecido desmesuradamente, la tendencia a utilizar contenidos
activos en las páginas web (applets Java, Active-X...), ha convertido en
peligrosa la mera visualización de ciertas páginas (recordemos que el contenido
de la página ha de ser previamente cargado en nuestro navegador, que es lo
mismo que decir en nuestro ordenador). La protección que a estos efectos
proporcionan los navegadores se está demostrando insuficiente, como nos demuestra
la continua aparición de fallos.
La tendencia a utilizar contenidos activos en las páginas web, ha
convertido en peligrosa la mera visualización de ciertas páginas
De todo esto se puede extraer una serie de conclusiones relativas
a la seguridad de los datos en sistemas informáticos que, como primer paso,
indican que para conectarse a este tipo de redes se debe estar preparado y se
debe disponer de una buena información y formación.
Formas de seguridad
Podemos decir que la seguridad se puede dividir en interna y
externa. La seguridad interna es aquélla que intenta mantener privados y
accesibles sólo para los usuarios autorizados, aquellos datos internos o
sensibles de la organización en cuestión. La práctica de la seguridad interna
se basa en la utilización de políticas de contraseñas, encriptado de material
sensible y control de acceso a los contenedores de información.
De la seguridad interna se habla muy poco, ya que no se denuncian
o, lo que es peor, no se llegan a descubrir la mayoría de los incidentes. Todos
conocemos casos de personas que venden información de su empresa o que al
abandonarla se llevan consigo todo aquello que pueden copiar. Es notorio el
caso de una consultora que hace unos años perdió, de un viernes a un lunes,
gran parte de su personal, contratado por la competencia, junto con los datos
de todos los proyectos que contenían sus ordenadores portátiles.
Es recomendable contar con empresas especializadas en seguridad,
para el análisis de necesidades y el mantenimiento y control de los niveles de
seguridad
La seguridad externa puede parecer más compleja de controlar,
aunque en realidad no lo es tanto, ya que los usuarios externos no utilizan el
sistema interno de la empresa, en principio no deberían disponer de ninguna
clave de acceso, aunque sea a nivel de visitante, por lo que con dedicación y
conocimiento se pueden crear sistemas altamente seguros.
Los firewall permiten aislar la red interna de la externa, con
control del tipo de protocolo que circula y su origen y destino. Los sistemas
de correo basados en cualquiera de los programas que utilizamos habitualmente
pueden complementarse con mecanismos de encriptación de datos y firma
electrónica, ya sea utilizando protocolo S/MIME o PGP.
Las transacciones comerciales pueden estar protegidas por sistemas
de encritación tales como el SSL 3.0, el más habitual, o el SET. Los usuarios
que acceden desde el exterior y que requieren acceso a los servicios internos
de la red de la organización pueden utilizar canales de comunicación, dentro
del propio Internet, encriptados, las llamadas redes privadas virtuales.
Hoy no se puede decir que la conexión a Internet o a cualquier
otra red abierta no se pueda realizar de forma segura, existen las herramientas
y la mayoría de ellas seguro que se encuentran incorporadas en el sistema
operativo de sus servidores y estaciones de trabajo.
Las consecuencias de un mal diseño de red y de seguridad, de la no
utilización de herramientas adecuadas y el desconocimiento de lo que le puede estar
pasando a nuestra red, son los peores enemigos de cualquier sistema.
Es muy recomendable e incluso imprescindible contar con empresas
especializadas en seguridad, para el análisis de necesidades y el mantenimiento
y control de los niveles de seguridad. Al ser un tema tan amplio y que
evoluciona muy rápidamente, solo las personas que se especializan en estos
temas conocen y siguen el día a día de su evolución.
Primera solución:
Certificados de usuario y de servidor seguros
Estos sistemas proporcionan un mecanismo de firma simple y seguro
que está basado en los estándares de los navegadores de Internet, Navigator y
Explorer (S/MIME). Son procesos optimizados de autenticación de documentos, en
los que los mensajes encriptados con la clave publica del destinatario sólo
pueden ser desencriptados (descifrados) usando la clave privada de éste.
Los mecanismos basados en estas fórmulas públicas sólo se pueden
utilizar en una única dirección irreversible, sin posibilidad de violar la
confidencialidad de los datos que viajan por Internet. La clave privada nunca
abandona la máquina del usuario y no se transmite por Internet. Sólo el usuario
(es decir, su ordenador) dispone de dicha clave privada. Ésta no podría ser
interceptada, y menos aún se podrá descifrar por observadores indeseados.
Gracias a estos sistemas de seguridad las empresas pueden poner en
marcha servicios de transacciones electrónicas, para los cuales sus clientes
deben asegurar su identificación mediante certificados digitales. Todas las
transacciones que se realicen, ya sea usando un servidor web o mediante e-mail,
y que incluyan el envío de datos, pueden llevar incorporadas la firma
electrónica y la encriptación del usuario para asegurar el origen e integridad
de los datos.
La clave privada nunca abandona la máquina del usuario y no se
transmite por Internet
Los certificados de servidor y usuario son emitidos por
autoridades certificadoras como IPS Seguridad. Una autoridad certificadora no
es más que una entidad que proporciona el certificado después de haber
realizado una serie de comprobaciones sobre le identidad del peticionario. Las
autoridades certificadoras pueden ser comerciales (aquellas que emiten el
certificado después que el usuario ha pagado), utilizadas para el acceso seguro
del público o de los navegantes a sedes web, y autoridades de tipo interno
corporativo que aseguran el acceso de los empleados a los servidores de la
organización.
Este mecanismo automático y transparente no sólo puede certificar
la seguridad de un usuario, sino también la del servidor. Los navegadores
disponen de un mecanismo de petición de certificados que se activa
automáticamente al conectarse a una página web habilitada especialmente, donde
se recogen los datos de identificación del usuario. A continuación se generan
un par de claves: una privada (que queda residente en la máquina desde la que
se hizo la petición) y otra pública (que se envía automáticamente a la
autoridad certificadora). Por último, se verifican los datos y se genera el
certificado.
Al igual que en cualquier transacción inmobiliaria acudimos al
despacho de un notario para que certifique la autenticidad de los documentos
presentados, los sistemas avanzados de autentificación electrónica constituyen
una Notaría Digital que, como una tercera persona, puede verificar, autenticar
y certificar la identidad de los usuarios. Este sistema permite resguardar la
confidencialidad e integridad de la información en los nuevos medios abiertos,
como Internet, que ofrecen grandes posibilidades para el ocio y el comercio,
con las debidas condiciones de seguridad.
Segunda solución
Auditorías de seguridad
Las empresas conocen, o han de conocer todos estos problemas. Y
cuando deciden darles una solución global, buscando los puntos débiles de su
seguridad para atajarlos de una vez, pueden decidirse por una Auditoría de
Seguridad. Las auditorías son actividades muy comunes en estos entornos
empresariales, especialmente las realizadas por personal externo, y permiten
conocer el nivel de seguridad y las acciones a emprender para corregir los
posibles fallos.
El hecho de que en general las auditorías las realicen personas
externas, permite mantener un nivel de objetividad que muchas veces no se dá
entre el personal propio, por razones obvias.
Una auditoría puede durar, en función del tamaño del sistema,
desde unos pocos días, hasta varias semanas. En general siguen normas estrictas
y protocolos extensos y requieren fuertes compromisos de apoyo de los recursos
internos de la organización en cuestión. Pueden, sin embargo, ser más
flexibles. IPS Seguridad ha puesto en marcha recientemente un nuevo servicio de
Análisis de Seguridad para Pymes. Este nuevo tipo de auditoría permitirá a las
empresas que no cuenten con los recursos económicos o técnicos que exige una
auditoría a mayor escala realizar un análisis exhaustivo y suficiente de su
seguridad. Es evidente que el peligro no acecha sólo a las grandes
corporaciones y que no sólo este tipo de negocios son los negocios importantes,
menos aún para los propietarios de los negocios amenazados, por pequeños que
sean.
El coste de una buena gestión de seguridad siempre es menor que el
valor que pueden tener los datos internos de la empresa
La auditoria de seguridad es uno de los servicios llamados a un
mayor desarrollo en los próximos años. El desarrollo de Internet es
espectacular y las posibilidades del comercio electrónico son ilimitadas.
Lamentablemente, los chicos malos también se multiplican y la libertad de la
red se convierte en el paraíso de los traviesos o de los peligrosos que
disfrutan rompiendo, robando o haciendo daño.
El proceso comienza con un análisis de las amenazas potenciales
que enfrentan a una organización. Examina sistemas, políticas y prácticas de la
organización para identificar sus vulnerabilidades. El análisis continúa con
una valoración de riesgo y concluye con un informe de valoración y una serie de
recomendaciones.
Con respecto a los costes de la seguridad se puede pensar que son
elevados, y en muchos casos los son, especialmente cuando se trata de una
auditoría convencional, aunque evidentemente existen diferencias entre las
necesidades de cada caso, que se relacionan de forma directa con el coste.
Las políticas de seguridad, tal y como la palabra lo dice, se
asemejan a los seguros de la vida cotidiana, muchas veces no se toma una
decisión al respecto hasta que no se conoce un caso cercano a quien la
adversidad le coge por sorpresa. La seguridad representa un gasto que muchas
veces parece inútil y que se podría evitar, aunque el coste de una buena
gestión de seguridad siempre es menor que el valor que pueden tener los datos
internos de la empresa.
De una forma o de otra, es evidente que el comercio electrónico es
el futuro para gran parte de la actividad económica, y que éste es imposible si
no se resuelven los problemas de seguridad en la red. Para eso están empresas
como IPS Seguridad, para garantizar que la seguridad en Internet sea posible.
Marketing y comercio electrónico
2000
http://www.marketingycomercio.com/numero1/1art1pub2000mar.htm
No.1 marzo de 2000
Comunicación segura a través de redes
abiertas de información
VICENTE ESTEVEZ ESTEVEZ
Director de Desarrollo de Sistemas de la
Agencia de Certificación Electrónica
La mayoría de las tecnologías de la información actuales basan su
seguridad en la identificación de un nombre y una contraseña. Este sistema es
adecuado si se trata de una red cerrada; sin embargo, en el caso de redes
abiertas como Internet o InfoViaPlus, no garantiza la seguridad de los datos y
por lo tanto limita la oferta de productos y servicios que las entidades
financieras pueden ofrecer a sus clientes a través de estos canales.
Como solución a este problema, la Agencia de Certificación
Electrónica (ACE) dispone de un servicio para la emisión de certificados
digitales X509v3 que cifran la información y garantizan:
Autenticación: identificando los participantes en las
transacciones.
Integridad: asegurando que la información no ha sido alterada
durante la transmisión.
Confidencialidad: Cifrando la información intercambiada.
No Repudio: estableciendo constancia de quién ha intervenido en la
transacción.
El sistema de certificación se estructura en base a dos clases de
certificados:
Certificado de servidor: autentifica al servidor frente al usuario
que está accediendo al mismo, pero no autentifica al puesto cliente.
Certificado de navegador: autentifica al cliente que se está
conectando al servidor, con las funciones de firma y cifrado de los mensajes
que envíe. Asimismo, permite el correo electrónico seguro entre usuarios o
suscriptores de certificados.
El ámbito de aplicación de los certificados digitales es muy
amplio e incluye usos como por ejemplo:
PC Banking: los certificados digitales de ACE pueden ser
utilizados como alta garantía de identificación de acceso a la red de la
entidad financiera por parte del usuario/cliente y aseguran la transferencia de
datos en procesos como consulta de saldo, transferencia de fondos, solicitud de
tarjetas de crédito/débito, inversiones de capital o apertura de cuentas.
Riesgos como el desvío de fondos, variación de los datos o el acceso a
información confidencial por una tercera parte externa al proceso son
completamente eliminados gracias a esta tecnología.
Tarjetas Inteligentes: la incorporación de certificados digitales
en estas tarjetas permite la identificación de los titulares en la carga de las
tarjetas monedero, el control de acceso a edificios o instalaciones (bancos,
hospitales, universidades...) tanto de los clientes/proveedores como de los
propios empleados y la confidencialidad de procesos administrativos o consultas
de información.
Correo Electrónico seguro mediante el cifrado de la información y
el uso de firmas digitales para la autenticación de las partes.
Los certificados digitales de la Agencia de Certificación
Electrónica están basados en una tecnología denominada de Clave Pública (PKI).
En este sistema, cada usuario posee un par de claves: una clave pública (que es
de dominio público) y una clave privada (única y confidencial). Si Pedro quiere
enviar un mensaje a Ana, éste utiliza la clave pública de Ana para cifrar el
mensaje (confidencialidad). Este mensaje sólo puede ser descifrado usando la
clave privada de Ana, que sólo ella posee (integridad). La autenticación de las
personas intervinientes en el proceso se realiza mediante firmas digitales
(similares a una firma escrita) que van incorporadas en el mensaje y que son
únicas para cada individuo. El no repudio resulta del hecho de que cada persona
es la única responsable de mantener su clave privada en la más absoluta
confidencialidad.
La misión de la Agencia de Certificación Electrónica (ACE) es la
emisión, mantenimiento y revocación de certificados, actuando como tercera parte
confiable en la autenticación de las personas y entidades intervinientes en las
transacciones electrónicas.
Los certificados digitales aportan valor añadido a la empresa, ya
que:
Permiten implantar nuevas estrategias comerciales: el total desarrollo
del comercio electrónico a través de redes abiertas es inminente. Aquellas
entidades que pueda proporcionar a sus clientes transacciones seguras mediante
certificados electrónicos habrán adquirido una ventaja competitiva frente a sus
competidores.
Permiten la reducción de costes asociados con el papeleo
(impresión, mailing o procesamiento de datos) o la presencia de intermediarios
en las transacciones, que se traducirán en comisiones más bajas y un producto
más atractivo para el cliente.
El certificado digital no supone un coste añadido para el cliente
que, junto a su facilidad de uso, facilitará en gran medida la aceptación de
esta tecnología. Además, representan una inversión de alta rentabilidad con
bajo coste y riesgo.
Posibilitan la creación de productos y servicios a medida de cada
cliente sin que esto suponga un mayor coste para la organización.
Permiten la creación de una base de datos de clientes y
proveedores que facilite el lanzamiento al mercado de nuevos productos y
servicios.
Los certificados digitales serán aplicables a futuras tecnologías
como la TV por cable y por satélite a las WWW-TV.
La implementación de un sistema de comunicaciones seguro, basado
en los certificados digitales de ACE, requiere el desarrollo de soluciones que
se ajusten a las necesidades de las Entidades o Corporaciones mediante la
realización de proyectos concretos entre éstas y ACE (despliegue de
infraestructura, labores de consultoría de diseño y procesos, capacitación de
los usuarios, etc.).
Existen dos elementos fundamentales en la implantación de un
sistema de certificación, la "autoridad de registro" y la
"autoridad de certificación".
Autoridad de Certificación/Autoridad de Registro (CA/RA):
infraestructura y operativa de gestión basada en la existencia de una entidad
de registro y validación de peticiones, generalmente la propia entidad,
conectada con ACE, Autoridad de Certificación (CA), encargada del procesamiento
y emisión de los certificados y garante de los mismos.
ACE podrá actuar como Autoridad de Registro además de Autoridad
Certificadora en el caso de que la empresa cliente no desee convertirse en
Entidad de Registro Colaboradora (ERC).
Este servicio conlleva la realización por parte de ACE de la
función de identificación y registro de las peticiones de certificados a
generar, validando en el entorno local de ACE y no de la empresa cliente los
datos de identificación de los usuarios.
El servicio de Autoridad de Registro incluye el establecimiento de
todos los procedimientos y operativa de comunicación, identificación,
verificación y registro de las solicitudes de certificados para que se realice
de una forma completamente segura.
Comunicación segura a través de redes abiertas de información
Pagos seguros en comercio electrónico
EL PROTOCOLO SET
SECURE ELECTRONIC TRANSACTION (SET), en español Transacción
electrónica segura, es una especificación diseñada con el propósito de asegurar
y autenticar la identidad de los participantes en las compras abonadas con tarjetas
de crédito/débito en cualquier tipo de red en línea, incluyendo
Internet/InfoVía.
SET ha desarrollada por Visa y MasterCard, con la participación de
Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign y otras
empresas líderes en tecnología.
Los objetivos que cumple SET son:
Confidencialidad de la información transmitida.
Autenticación de los titulares y comercios.
Integridad de la información transmitida.
No repudio de las operaciones realizadas.
Interoperabilidad entre las distintas plataformas de hardware y
software que utilizan los diferentes participantes en las transacciones
electrónicas.
ACE es una de las cuatro Agencias auditadas y autorizadas por Visa
y Mastercard en todo el mundo para actuar como procesador de certificados SET.
Antes de entrar más a fondo en la descripción del protocolo
convendría analizar cuáles son las distintas partes que intervienen en una
transacción comercial a través de tarjetas de crédito:
Titular / Cardholder
El titular de una tarjeta de crédito/débito es la persona a nombre
de la cual se ha emitido la tarjeta. En este ámbito es el cliente / comprador
del producto.
Emisor
El emisor es la entidad financiera emisora de la tarjeta de
crédito/débito del titular y con el cual éste mantiene una cuenta bancaria.
Comercio / Merchant
El merchant es el comercio que ofrece productos y servicios en su
Web a cambio de un pago. El merchant que acepta pagos a través de tarjeta debe
establecer una relación con una entidad financiera (Adquirente), el cual se
encarga de gestionar el cobro de las ventas realizadas.
Adquirente
El adquirente es una entidad financiera que establece una cuenta
bancaria con el comercio y procesa las autorizaciones de pago por tarjeta de
crédito y los propios pagos realizados por dicho comercio.
Pasarela de Pagos
Una pasarela de pagos es el mecanismo mediante el cual se procesan
y autorizan las transacciones del merchant. La pasarela puede pertenecer a una
entidad financiera (Adquirente) o a un operador de medio de pago, el cual
procesa todas las transacciones de un conjunto de entidades. En este escenario,
los diferentes medios de pago realizan el cruce e intercambio de las
operaciones para las distintas entidades que representan.
Certificados SET
Los certificados SET emitidos por ACE son el soporte electrónico
mediante el cual se genera la firma digital y el cifrado de la información de
acuerdo con el protocolo SET. Cada uno de los participantes en la transacción
comercial electrónica debe disponer de su certificado SET.
Certificados SET de Titular (Cardholder)
Los certificados de titular actúan como una representación
electrónica de una tarjeta de crédito. Estos sólo pueden ser emitidos a
propuesta de una entidad financiera de modo que no pueden ser alterados por una
tercera parte. En el certificado los datos relativos al número de tarjeta y
fecha de caducidad están codificados utilizando un algoritmo y no pueden ser
derivados visualizando el certificado. El titular proporciona dicha información
a la Pasarela de Pagos donde se verifica el certificado.
ACE sólo puede emitir un certificado a un titular a petición de su
entidad financiera. Mediante la solicitud de un certificado, un titular está
indicando su intención de llevar a cabo operaciones de comercio electrónico. El
certificado es transmitido a los comercios con la orden de compra y las
instrucciones de pago encriptadas. Con la recepción del certificado de titular,
en comercio puede estar seguro como mínimo, de que el número de tarjeta ha sido
validado por una entidad financiera emisora.
Un titular puede solicitar tantos certificados como tarjetas de
crédito/débito disponga, quedando asociado cada uno a la tarjeta
correspondiente.
El software utilizado por el titular para almacenar sus
certificados y comunicarse con el comercio se denomina "Electronic
Wallet" o cartera electrónica. Este software, integrado en el navegador de
Internet que utilice el titular, le permitirá además almacenar la información
sobre las transacciones efectuadas a lo largo del tiempo. Dicho software es
proporcionado por la entidad financiera.
Certificados SET de Comercio (Merchant)
Los certificados de merchant o comercio son un sustitutivo de los
logotipos de las marcas de tarjetas de crédito que se muestran en las
cristaleras de los comercios. Estos logotipos indican que el comercio posee una
relación con una entidad financiera que le permite aceptar pagos a través de
tarjetas de crédito.
Dichos certificados son aprobados por la entidad financiera
adquirente y aseguran que existe un acuerdo válido entre ambas partes. Un
comercio debe disponer de un certificado para cada Brand o marca de tarjeta que
acepte (Visa, MasterCard, ...).
El comercio necesita instalar en su servidor un software gestor o
software de Merchant de transacciones comerciales a través de redes abiertas y
que será compatible con cualquier red de proceso de pagos que soporte la
especificación SET independientemente del proveedor. Dicho software gestionará
los certificados del comercio y todos los procesos de encriptación,
direccionamiento, desencriptación, manejo de claves públicas y privadas y
comunicaciones con la pasarela de pagos de una forma automática. El software
necesario es proporcionado por la propia entidad financiera.
Certificados SET de Pasarela de Pagos (Payment Gateway)
Los certificados de pasarela de pagos son emitidos a los
adquirentes y sus procesadores de transacciones (operador de medio de pago) y
se aplican a los sistemas que procesan las autorizaciones y capturan los
mensajes. Dichos certificados residen en la infraestructura de pasarela de pago
y realizan las validaciones de los certificados de titular y comercio que
reciben. Una vez que la pasarela autoriza la operación, ésta devuelve la autorización
al comercio.
La validez y garantías de los certificados SET de la Agencia de
Certificacion Electronica reside en la jerarquía de confianza que los soporta.
Cada certificado esta relacionado con la entidad que los firmó digitalmente.
Mediante el seguimiento del árbol de confianza hasta una tercera parte
confiable (TTP) conocida, se puede estar seguro de que el certificado es
válido. Por ejemplo, un certificado de titular está relacionado con el
certificado del emisor el cual a su vez está relacionado con la Brand o Marca a
la que pertenece la tarjeta del titular (Visa, MasterCard, ...). La clave
pública raíz o clave pública de "Brand" es conocido por todos los
software SET y podrá ser utilizado para verificar todos los certificados que se
encuentran por debajo de él. La clave raíz es distribuida a través de un
certificado autofirmado. Esta clave va incluida en el software distribuido por
los proveedores de software SET.
Dicho software puede confirmar que posee una clave raíz válida
mediante una consulta a la Autoridad de Certificación.
Marketing y comercio electrónico
© 2000
===========================================
http://www.marketingycomercio.com/numero14/00abr_firmadigital.htm
La firma digital: aspectos técnicos y
legales
FERNANDO RAMOS SUAREZ
Abogado especializado en Derecho
Informático
y Tecnologías de la Información
Pensemos en aquellos programas de software que se realizaron en
los años 80 con los dos primeros dígitos del campo fecha fijos ¿cómo iba a
saber el desarrollador de software que iba a dar los problemas que actualmente
está dando el famoso año 2000? Entonces un ordenador no tenía ni mucho menos la
potencia que las computadoras de ahora, siendo por tanto imprescindible
aprovechar el mayor espacio posible tanto de memoria como de disco.
Efectivamente, no habían previsto el cambio brutal que se iba a experimentar y
optaron por una solución que en su tiempo evitó muchos quebraderos de cabeza.
Sin embargo, en la actualidad la empresa que no haya solucionado el problema
del año 2000 tendrá problemas graves para poder continuar con su actividad
empresarial, pues cuando sus sistemas informáticos se bloqueen será muy difícil
encontrar a un programador que en pocos días solucione el problema, por no
decir, que casi todos serán requeridos para la solución de dicho problema al
mismo tiempo. Si a ello unimos la introducción del euro y la liberalización de
las telecomunicaciones nos vemos ante un reto muy importante. ¡Hay que subirse
al tren por muy rápido que sea! O te subes o te quedas atrás. Quizá aquí los
abogados jóvenes tenemos más ventaja que otros que ya han visto pasar por sus
ojos varias décadas. No obstante, creo que es necesario por parte de todos
hacer un esfuerzo por adaptarse lo mejor posible a la nueva sociedad de la
información.
La firma digital es justificable desde el momento en que los
contratos, las transacciones económicas, las compras, etc. se realizan on-line
Esta nueva sociedad de la información necesita de muchas
regulaciones puesto que todo lo que esta saliendo es tan innovador que no
existe siquiera una referencia legislativa. Difícil será entrar en dicha
sociedad si todavía no hemos podido encontrar la forma de proteger la
información. Y es aquí donde nuestro legislador europeo se ha puesto manos a la
obra para intentar consensuar entre todos los Estados europeos una política
legislativa común. Son ya numerosas las directivas europeas dictadas sobre este
aspecto, como por ejemplo la Directiva sobre protección jurídica de los programas
de ordenador, o sobre la protección jurídica de las bases de datos. En este
sentido cabe destacar la propuesta de Directiva sobre Firma Electrónica y la
propuesta de Directiva sobre Comercio Electrónico. Países como Alemania,
Italia, Reino Unido, etc., venían desarrollando sus propias legislaciones sobre
firma digital, siendo por tanto imprescindible establecer una política común
que nos sirviese a todos los europeos.
La firma digital es justificable desde el momento en que los
contratos, las transacciones económicas, las compras, etc. se realizan on-line,
es decir sin la presencia física de las partes. Surge de las tecnologías
utilizadas para conseguir la confidencialidad en las comunicaciones, ante la
proliferación de software que consigue pinchar las comunicaciones obteniendo la
información deseada. Tal es el caso de un programa denominado satán, el cual
puede recoger todo correo electrónico que lleve determinados contenidos (por
ejemplo el número de una tarjeta de crédito) o determinado nombre (usuario@servidor.es).
Esto quiere decir que nuestras comunicaciones por Internet están en peligro,
siendo por tanto necesario realizar previsiones de seguridad lo suficientemente
buenas para evitar que un ciberdelincuente haga con nuestro número de tarjeta las
compras que quiera.
Efectos de la firma manuscrita
Actualmente, la firma manuscrita permite certificar el
reconocimiento, la conformidad o el acuerdo de voluntades sobre un documento
por parte de cada firmante, aspecto de gran importancia desde un punto de vista
legal. La firma manuscrita tiene un reconocimiento particularmente alto pese a
que pueda ser falsificada, ya que tiene peculiaridades que la hacen fácil de
realizar, de comprobar y de vincular a quién la realiza.
La firma digital consiste en la utilización de un método de
encriptación llamado asimétrico o de clave pública
Por tanto, sólo puede ser realizada por una persona y puede ser
comprobada por cualquiera con la ayuda de una muestra. En este caso el DNI
juega un importante papel ya que lleva incorporada la firma del titular. Algo
que es tan fácil de hacer en el mundo real no es tan fácil en el mundo virtual.
Para intentar conseguir los mismos efectos que la firma manuscrita se requiere
el uso de la criptología y el empleo de algoritmos matemáticos que más adelante
pasaré a explicar.
La firma digital consiste en la utilización de un método de
encriptación llamado asimétrico o de clave pública. Este método consiste en
establecer un par de claves asociadas a un sujeto, una pública, conocida por
todos los sujetos intervinientes en el sector, y otro privada, sólo conocida
por el sujeto en cuestión. De esta forma cuando queramos establecer una
comunicación segura con otra parte basta con encriptar el mensaje con la clave
pública del sujeto para que a su recepción sólo el sujeto que posee la clave
privada pueda leerlo. Para evitar perder el interés del lector creo que debo
pasar a explicar lo que es la criptología para que de esa forma no se pierda en
estos tecnicismos.
La criptología
La criptología se define como aquella ciencia que estudia la
ocultación, disimulación o cifrado de la información, así como el diseño de
sistemas que realicen dichas funciones. Abarca por tanto a la criptografía
(datos, texto, e imágenes), la criptofonía (voz) y el criptoanálisis, ciencia
que estudia los pasos y operaciones orientados a transformar un criptograma en
el texto claro original pero sin conocer inicialmente el sistema de cifrado
utilizado y/o la clave.
Cifrar por tanto consiste en transformar una información (texto
claro) en otra ininteligible (texto cifrado o cripto) según un procedimiento y
usando una clave determinada, pretendiendo que sólo quién conozca dicho
procedimiento y clave pueda acceder a la información original. La operación
inversa se llamara lógicamente descifrar.
Por tanto estamos ante un criptosistema simétrico o de clave
secreta cuando las claves para cifrar y descifrar son idénticas, o fácilmente
calculables una a partir de la otra. Por el contrario si las claves para cifrar
y descifrar son diferentes y una de ellas es imposible de calcular por
derivación de la otra entonces estamos ante un criptosistema asimétrico o de
clave pública. Esto quiere decir que si utilizamos un criptosistema de clave
secreta o simétrico necesariamente las dos partes que se transmiten información
tienen que compartir el secreto de la clave, puesto que tanto para encriptar
como para desencriptar se necesita una misma clave u otra diferente pero
deducible fácilmente de la otra. Entre estos sistemas se encuentran: DES, RC2,
RC4, IDEA, SkipJack, etc... La peculiaridad de estos sistemas de encriptación
es que son rápidos en aplicarse sobre la información.
Posibles problemas de los algoritmos de encriptación
A sensu contrario, tenemos los sistemas de encriptación asimétrica
en los que no es necesario compartir un secreto, puesto que cada usuario
dispone de dos claves, una pública que debe revelar o publicar para que los
demás puedan comunicarse con él, y una privada que debe mantener en secreto. De
esta forma cuando un usuario desea mandar un mensaje protegido, cifra el
mensaje con la clave pública del destinatario para que sólo este, que es el
único conocedor de la clave secreta pueda descifrar el mensaje. El sistema de
encriptación asimétrica más famoso es el algoritmo RSA (utilizado por SET,
secure electronic transfer protocol) cuyas iniciales son las de sus creadores
Rivest, Shamir y Adelman. Ante este sistema de encriptación surgen dos posibles
problemas:
1. ¿Como sé que la clave pública del destinatario es la que dice
ser y no es la de otra persona que me engaña para poder leer el mensaje?
Para solucionar este problema surgen las autoridades de
certificación. Las terceras partes de confianza (trusted third parties) que son
aquellas entidades que merecen la confianza de otros actores en un escenario de
seguridad donde no existe confianza directa entre las partes involucradas en
una cierta transacción. Es por tanto necesaria, una infraestructura de clave
pública para cerrar el círculo de confianza, proporcionando una asociación
fehaciente del conocimiento de la clave pública a una entidad jurídica, lo que
le permite la verificación del mensaje y su imputación a una determinada
persona. Esta infraestructura de clave pública consta de una serie de
autoridades que se especializan en papeles concretos:
Autoridades de certificación (CA o certification authorities): que
vinculan la clave pública a la entidad registrada proporcionando un servicio de
identificación. Una CA es a su vez identificada por otra CA creándose una
jerarquía o árbol de confianza: dos entes pueden confiar mutuamente entre sí si
existe una autoridad común que directa o transitivamente les avala.
Autoridades de registro (RA o registration authorities): que ligan
entes registrados a figuras jurídicas, extendiendo la accesibilidad de las CA.
Autoridades de fechado digital (TSA o time stamping authorities):
que vinculan un instante de tiempo a un documento electrónico avalando con su
firma la existencia del documento en el instante referenciado (resolverían el
problema de la exactitud temporal de los documentos electrónicos).
Estas autoridades pueden materializarse como entes individuales, o
como una colección de servicios que presta una entidad multipropósito.
2. ¿No resulta demasiado endeble para el sistema de encriptación
asimétrica confiar en que el individuo velará diligentemente en la
administración de su clave secreta?
Es decir, es posible que exista una mala administración de la
clave secreta por parte del usuario provocando la quiebra del sistema. En su
caso ¿qué parte respondería? ¿el usuario, el banco, la empresa?, ¿cómo se
prueba una mala administración de la clave secreta? Ante esta posible quiebra
se podría argumentar que el individuo cambia frecuentemente de clave, pero si
lo hace la infraestructura de clave pública podría verse viciada por la
transmisión entre las distintas autoridades de distintos ficheros de claves que
no están actualizados. Dicho problema está adquiriendo importancia en Estados
Unidos, de ahí que se estén implementando soluciones como:
a) Los repositorios: o listas de revocación de certificados por
extravío o robo de claves privadas.
b) Las autoridades de fechado digital: que permiten al verificador
determinar fehacientemente si la firma digital fue ejecutada dentro del período
de validez del certificado, previenen fechados fraudulentos antes o después de
la fecha consignada, o impiden alterar el contenido del documento
posteriormente al instante de firma.
c) Incorporar la clave en un chip adjunto por ejemplo a una
tarjeta magnética. Esta solución sería factible siempre y cuando nuestro
ordenador tuviera un lector de bandas magnéticas o chips, de forma que en el
momento de la transacción o la firma del contrato pueda leer perfectamente de
que persona se trata y que clave pública o privada tiene asociada.
d) Otras soluciones apuntan hacia la Biometría, ciencia que
estudia la encriptación de los datos a través de partes del cuerpo humano que
sean características únicas e individualizables de una persona, tales como el
iris del ojo, las huellas dactilares, etc.
Los algoritmos de encriptación asimétrica son 100 veces más lentos
que los algoritmos de encriptación simétrica por ello es necesario combinar
distintas formas de encriptación para conseguir una mayor eficacia tanto en la
contratación on-line como en la venta a través de la red.
Algoritmos de destilación
Además de estos algoritmos de encriptación asimétrica existen
otros algoritmos de compresión necesarios para conseguir que la firma digital
tenga los mismos efectos que la manuscrita. Se trata de los algoritmos de
comprensión hash que se aplican sobre un determinado texto en cuestión (por
ejemplo el contrato on-line). Son algoritmos que aplican funciones de no retorno.
Estas funciones que realizan son peculiares en el sentido de que no es
necesario la tenencia de una clave, ya que aplican funciones matemáticas
sencillas para cifrar, pero para poder descifrar los cálculos matemáticos a
realizar serían prácticamente imposibles de encontrar. Luego nadie, ni si
quiera la persona que cifra el texto, podría llegar al documento original.
La comprensión crea un texto limitado y reducido de entre 128 y
160 bits, el cual representa de forma fehaciente la integridad del documento,
ya que si cambiamos un solo bit del documento original el resultado obtenido al
volver a aplicar la función hash sería totalmente diferente. Además de estas
peculiaridades nos encontramos con que las probabilidades para que dos textos
distintos tuviesen el mismo hash serían practicamente nulas. Estos algoritmos
también son conocidos como algoritmos de destilación, algoritmos de huella
digital o algoritmos de función resumen, los cuales son vitales y necesarios
para la introducción de la firma digital en la sociedad de la información.
Creo que después de esta prolija introducción sobre la criptología
y la infraestructura de clave pública, el lector se puede encontrar en
perfectas condiciones para comprender lo que se entiende por firma digital.
Definición de firma digital
La firma digital es un bloque de caracteres que acompaña a un
documento (o fichero) acreditando quién es su autor (autenticación) y que no ha
existido ninguna manipulación posterior de los datos (integridad). Para firmar
un documento digital, su autor utiliza su propia clave secreta (sistema
criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que
pueda después negar su autoría (no revocación). De esta forma, el autor queda
vinculado al documento de la firma. Por último la validez de dicha firma podrá
ser comprobada por cualquier persona que disponga de la clave pública del
autor.
La firma digital es un bloque de caracteres que acompaña a un
documento (o fichero) acreditando quién es su autor (autenticación) y que no ha
existido ninguna manipulación posterior de los datos (integridad)
La firma se realizaría de la siguiente forma: el software del
firmante aplica un algoritmo hash sobre el texto a firmar (algoritmo matemático
unidireccional, es decir, lo encriptado no se puede desencriptar), obteniendo
un extracto de longitud fija, y absolutamente específico para ese mensaje. Un
mínimo cambio en el mensaje produciría un extracto completamente diferente, y
por tanto no correspondería con el que originalmente firmó el autor. Los
algoritmos hash más utilizados para esta función son el MD5 ó SHA-1. El
extracto conseguido, cuya longitud oscila entre 128 y 160 bits (según el
algoritmo utilizado), se somete a continuación a cifrado mediante la clave secreta
del autor. El algoritmo más utilizado en este procedimiento de encriptación
asimétrica es el RSA. De esta forma obtenemos un extracto final cifrado con la
clave privada del autor el cual se añadirá al final del texto o mensaje para
que se pueda verificar la autoría e integridad del documento por aquella
persona interesada que disponga de la clave pública del autor.
Sin embargo, es necesario comprobar que la firma realizada es
efectivamente válida. Para ello es necesario, como he comentado antes, la clave
pública del autor. El software del receptor, previa introducción en el mismo de
la clave pública del remitente (obtenida a través de una autoridad de
certificación), descifraría el extracto cifrado del autor; a continuación
calcularía el extracto hash que le correspondería al texto del mensaje, y si el
resultado coincide con el extracto anteriormente descifrado se consideraría
válida, en caso contrario significaría que el documento ha sufrido una
modificación posterior y por tanto no es válido.
Las autoridades de certificación
Si todos estos medios de seguridad están utilizando el
procedimiento de encriptación asimétrico, habrá que garantizar tanto al emisor
como al receptor la autenticación de las partes, es decir, que éstas son
quienes dicen ser, y sólo a través de una autoridad de certificación (CA
certification authority) podrá corregirse dicho error, certificando e
identificando a una persona con una determinada clave pública. Estas
autoridades emiten certificados de claves públicas de los usuarios firmando con
su clave secreta un documento, válido por un período determinado de tiempo, que
asocia el nombre distintivo de un usuario con su clave pública.
Una autoridad de certificación es esa tercera parte fiable que
acredita la ligazón entre una determinada clave y su propietario real. Actuaría
como una especie de notario electrónico que extiende un certificado de claves,
el cual está firmado con su propia clave, para así garantizar la autenticidad
de dicha información. Los certificados, son registros electrónicos que
atestiguan que una clave pública pertenece a determinado individuo o entidad.
Permiten verificar que una clave pública pertenece a una determinada persona,
evitando que alguien utilice una clave falsa para suplantar la personalidad de
otro.
Una autoridad de certificación es esa tercera parte fiable que
acredita la ligazón entre una determinada clave y su propietario real
Por último, habría que garantizar la confidencialidad del mensaje,
ya que un tercero ajeno puede "pinchar" las comunicaciones y mediante
un potente software obtener todo lo que nuestro correo reciba o envíe. Este
problema se resolvería con la utilización de protocolos seguros de comunicación
o con el ensobrado digital (utilizado por SET) solución criptográfica que
utiliza el sistema simétrico y el asimétrico a la vez, aprovechando la rapidez
de uno y la seguridad del otro.
El mercado español de autoridades de certificación está todavía en
desarrollo. Para la contratación on-line existen varias autoridades
certificadoras, de las que cabe destacar por su importancia y esfuerzo
realizado: ACE (Agencia de Certificación Electrónica) y FESTE (Fundación para
el estudio de la Seguridad de las Telecomunicaciones). ACE se encuentra
constituida primordialmente por la banca, mientras que FESTE representa a los
notarios, registradores, etc.. Ambas utilizan unos medios de identificación muy
seguros. En concreto, FESTE realiza la asignación de claves ante notario (lo
cual no significa que sea necesario) presentando el DNI o documentos que
acrediten la representación de una determinada persona jurídica. No obstante,
hay otros tipos de certificados que no exigen la presencia del otorgante,
facilitando la celeridad del tráfico mercantil pero reduciendo la seguridad en
la autenticación de la parte firmante.
Finalmente, se puede decir que la implantación de la firma digital
en la sociedad de la información es una mera cuestión de tiempo. Para su
correcto establecimiento se requerirá un desarrollo legislativo adecuado por
parte de los gobiernos, además de una buena información al ciudadano y a la
empresa. Sólo con el esfuerzo de todas las partes intervinientes se podrá
llegar a la más que ansiada aldea global en la que todo el mundo pueda
comunicarse y operar de forma segura y eficaz. Dejemos pues que sea la propia
sociedad la que dicte sus propias necesidades y que no sea el temor a la
evolución tecnológica el que gobierne nuestros actos sino el respeto a la nueva
revolución de la era digital.
Fernando Ramos Suárez
Marketing y comercio electrónico
© 2000