La seguridad es uno de los elementos clave en el desarrollo positivo de las redes de información mundial y particularmente en el comercio electrónico, ésta genera confianza, y hace que los usuarios al depositar sus datos en la red, esten seguros de que no serán alterados ni desviados a usuarios no autorizados. Todo esto hoy es posible gracias a la utilización de métodos criptográficos cuyo objetivo es garantizar la seguridad en la difusión de los mensajes que son transmitidos por la red.

Es muy importante, por consiguiente, reducir los riesgos que la distancia impone a compradores y a vendedores; y como primer paso es necesario garantizar la confidencialidad , es decir que los datos necesarios para hacer el pago, como son número de tarjeta o cuenta, y su fecha de vencimiento, no sean vulnerables a receptores no autorizados en la red, lo cual se alcanza mediante la encriptación de mensajes .

El segundo paso, es garantizar que la integridad de los datos que llevan las instrucciones de pago, no sean modificados a lo largo de su trayecto, esto se logra mediante el uso de firmas digitales.

Por último, la autentificación tanto del comprador como del comerciante, el primero, como usuario legítimo de la tarjeta para el pago del bien adquirido, y el segundo garantizando que mantiene una relación bancaria con una institución financiera que acepta el pago con tarjetas, lo cual se consigue con la emisión de certificados digitales y la generación de firmas digitales.

Niveles de seguridad y de autenticación:

Contraseña/prueba: registro/confianza basada en la primera transacción.
 

Transmisión segura: cifra el contenido mientras éste es transmitido por la Internet.
 

Cifrado de tecla doble: asegura que solamente el destinatario deseado pueda abrir el mensaje. Las partes se pasan entre ellas las teclas de cifrado.
 

Autenticación: Una tercera parte en la que se tiene confianza emite certificados digitales a las partes conocidas, examina las transacciones en tiempo real, provee al comerciante recibidor válido la llave para que descifre la transmisión, certifica que la transacción tuvo lugar entre el comprador y el vendedor mediante un comprobante independiente de la transacción.
 

Transacción electrónica segura, (Secure Electronic Transaction [SET]): El protocolo común de los servicios de autenticación, permite que emisores múltiples de certificados digitales cooperen en la transacción, integra los servicios de compensación de tarjetas de crédito, débito y otras con el servicio de autenticación. No revela al comerciante la información de la tarjeta.

Proceso de encriptación
 

Internet es prácticamente una puerta abierta, sobre la cual ninguna entidad ejerce un control en cuanto a qué publicar o no, pero si es posible monitorear desde que lugar se conectan los usuarios a la red, con qué frecuencia lo hacen, incluso lograr apoderarse de alguna información. Naturalmente, como usuarios tememos por el peligro que al enviar nuestros datos personales, caigan en manos de un extraño o los llamados hackers, sin embargo, un servidor seguro nos garantiza que la información llegará protegida a su destino, mediante un proceso de encriptación:
 

Nuestra información se encripta desde el momento en que pulsamos el boton "enviar", al llenar un formulario de compra, y es nuestro ordenador el encargado de cifrar y "esconder" los datos.
 

Todo dato que se digitalice se codifica en binario, es decir en ceros y en unos.
 

Para encriptarlo, se aplica al mensaje un algoritmo u operación matemática que devuelve un mensaje indescifrable, también en binario.
 

Para decifrar el mensaje original, se aplica el mismo algoritmo al llegar al lugar de destino.
 

Solamente el emisor y el receptor podrán decifrar el algoritmo y el mensaje contenido con una información en clave que cada uno de ellos conoce. Estas claves pueden ser privada (que conocerá solo el emisor) y pública (que conocerán los destinatarios).
 

Cada usuario deberá disponer de este par de claves que van asociadas. De esta manera si alguien quiere enviar un mensaje cifrado a un usuario, tendría que conocer su clave pública y solo la clave privada podría descifrarlo.
 

Si quien envía un texto es un usuario cualquiera, el emisor podrá verificar a través de la clave pública (correspondiente solo a ese usuario) que el mensaje ha sido enviado por el usuario correcto. De este modo el usuario no podrá negar el hecho pues solo puede haber sido firmado con la clave privada por él conocida.
 

En la práctica, si nuestro objetivo es realizar una compra en línea utilizando el navegador Internet Explorer, primeramente debemos asegurarnos de que estamos conectados con un servidor seguro; de ser así, tendremos en pantalla la opción de entrada a este sitio, y al hacer click sobre ésta aparecerá inmediatamente la siguiente alerta de seguridad:
 
 
 

Al dar un click sobre la celda que dice "Más información", tendremos el sigiente recuadro, que señala la garantía de estar ingresando a un sitio seguro:
 
 
 

Si escogemos la opción "Aceptar", podremos darnos cuenta que el URL o dirección de la página ya no es http:// sino https://, y en nuestro ordenador aparecerá un candado en la barra inferior de controles:
 
 

Al hacer un click sobre el ícono del candado, Internet Explorer nos muestra una ventana con las propiedades del certificado de validez, que esa tienda virtual posee para el cobro mediante tarjeta de crédito; en dicho certificado se especifica quien es la autoridad emisora, la fecha en la que se emitió el certificado y la de caducidad, la huella digital representada por una serie de números y letras, el protocolo de seguridad utilizado ( Secure Socket Layer SSL) y otros aspectos necesarios para su identificación:
 
 
 

Si la compra la queremos hacer empleando el navegador Netscape, observamos un proceso similar al de Internet Explorer; por consiguiente, cuando elegimos la opción de entrada al sitio seguro, la pantalla nos muestra la información de seguridad, que este navegador emplea:
 
 

En este cuadro podemos distinguir la opción "Continuar", al elegirla, entraremos al sitio seguro para efectuar la compra, esto lo podemos comprobar cuando se presente un pequeño candado en la parte inferior de la barra de controles:
 
 

Al dar un click sobre este candado, el certificado que valida la existencia del sitio seguro aparecerá inmediatamente, el mismo que nos presenta una serie de opciones referentes a los requisitos de seguridad empleados por la tienda virtual y el seleccionados por el navegador:

Protocolo SET
 
 

Los principales bancos y corporaciones involucrados con tarjetas de crédito en el mundo, han formado un consorcio con el objetivo de crear un conjunto de especificaciones que permitan el desarrollo del comercio electrónico en el seno de Internet, llamado SET, Secure Electronic Transaction o Protocolo de Transacción Electrónica Segura.
 

Qué es el Protocolo SET?

Secure Electronic Transactions es un conjunto de especificaciones desarrolladas por VISA y MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft, Netscape, SAIC, Terisa y Verisign, que da paso a una forma segura de realizar transacciones electrónicas, en las que están involucrados: usuario final, comerciante, entidades financieras, administradoras de tarjetas y propietarios de marcas de tarjetas.
 

SET constituye la respuesta a los muchos requerimientos de una estrategia de implantación del comercio electrónico en Internet, que satisface las necesidades de consumidores, comerciantes, instituciones financieras y administradoras de medios de pago.

Por tanto, SET dirige sus procesos a:
 

• Proporcionar la autentificación necesaria.
• Garantizar la confidencialidad de la información sensible.
• Preservar la integridad de la información.
• Definir los algoritmos criptográficos y protocolos necesarios para los servicios anteriores.

 

SET utiliza para sus procesos de encriptación dos algoritmos:
 

De clave pública RSA (algoritmo simétrico), diseñado por Rivest, Shamir y Adleman, cuyas iniciales componen su nombre.
 

De clave privada DES (Data Encryption Standard), de fortaleza contrastada y excelente rendimiento, conocido también como algoritmo asimétrico ya que emplea dos claves diferentes: una para encriptación y otra para desencriptación.


 

La base matemática sobre la cual trabajan los algoritmos, permite que, mientras un mensaje es encriptado con la clave pública, es necesaria la clave privada para su desencriptación.
 
 

El mensaje original es encriptado con la clave pública del destinatario; este podrá obtener el mensaje original después de aplicar su clave privada al mensaje cifrado.
 

Para evitar que la clave pública de un usuario sea alterada o sustituida por otro no autorizado, se crea una entidad independiente llamada Autoridad Certificadora (Certifying Authority, CA), cuya labor consiste en garantizar y custodiar la autenticidad de la claves públicas de empresas y particulares, a través de la emisión de certificados electrónicos.

Sobres electrónicos
 

Como hemos visto SET, se encarga de proporcionar la confidencialidad de los mensajes y para cifrarlos utiliza dos claves simétricas, las que al ser generadas aleatoriamente, son cifradas a su vez con el componente público del par de claves asimétricas del destinatario. Por tanto, sobre electrónico (digital envelope) es la unión de la clave simétrica cifrada, con los datos del mensaje cifrados por esta.
 
 
 

Al llegar a su destino, el componente privado del par de claves asimétricas de quien recibe el mensaje, decifra la clave simétrica y los datos del mensaje.

Firmas electrónicas
 

Las relaciones matemáticas entre la clave pública y la privada del algoritmo asimétrico utilizado para enviar un mensaje, se llama firma electrónica (digital signatures).
 

Quien envia un mensaje, cifra su contenido con su clave privada y quien lo recibe, lo descifra con su clave pública, determinando así la autenticidad del origen del mensaje y garantizando que el envío de la firma electrónica es de quien dice serlo.
 

La integridad del contenido del mensaje es garantizada al hacer pasar los datos a través de una función irreversible, como MD5, que produce un destilado del original que es único para un contenido dado y jamás podrá darse un destilado igual partir de dos mensajes diferentes. Este proceso se conoce como digestión del mensaje (message digest).
 

La clave privada del emisor destila el mensaje, y el resultado se añade al mensaje original enviado, formando la firma electrónica, mientras que el receptor descifra el destilado con la clave pública del emisor. Si al aplicar el receptor, la misma función al mensaje original, los resultados son iguales, la integridad y autenticidad del mensaje son correctas. Si el "destilado" generado no es coincidente con el extraído de la firma electrónica, se ha producido una modificación en el contenido del mensaje.

Certificados de autenticidad
 

Como se ha visto la integridad de los datos y la autenticidad de quien envia los mensajes es garantizada por la firma electrónica, sin embargo existe la posibilidad de suplantar la identidad del emisor, alterando intencionalmente su clave pública. Para evitarlo, las claves públicas deben ser intercambiadas mediante canales seguros, a través de los certificados de autenticidad, emitidos por las Autoridades Certificadoras.
 

Para el efecto SET utiliza dos grupos de claves asimétricas y cada una de las partes dispone de dos certificados de autenticidad, uno para el intercambio de claves simétricas y otro para los procesos de firma electrónica.
 

Las Autoridades Certificadoras poseen un sistema jerárquico para la emisión y verificación de Certificados de Autenticidad hacia autoridades de niveles inferiores, en este sistema intervienen:
 

Asociación de emisores de medios de pago o propietarios de las marcas de tarjetas.
 

Issuer, entidad financiera del comprador, la cual posee certificados para actuar como Autoridad Certificadora, lo que le permite emitir otros hacia los compradores.
 

Acquirer, entidad financiera del comerciante, de igual forma posee un certificado de Autoridad Certificadora, para la emisión de otros hacia los comerciantes.
 

Compradores, que obtienen su certificado de la entidad financiera o issuer, para su completa identificación, el mismo que reemplazará a la tarjetas de crédito.
 

El comerciante, que obtiene su certificado de la entidad financiera o acquirer, con la cual firma un contrato de adhesión para la aceptación de tarjetas de crédito o débito; el comerciante poseerá tantos certificados como marcas de tarjetas acepte como medio de pago.

Programas para Encriptación -Desencriptación
 

En la actualidad hay varios métodos de encriptación y cada vez se utilizan más programas de correo electrónico coordinadamente con programas de encriptación-desencriptación compatibles, que aseguran sus relaciones en operaciones comerciales, entre todos ellos podemos mencionar algunos:
 

Pretty Good Privacy (PGP): Es un programa de encriptación de documentos a través de redes, creado por Philip Zimmermann, combinando el mejor algoritmo existente de clave única, el IDEA, con el mejor de clave pública, el RSA, y añadiendo el MD5 para las firmas digitales. Este combina criptografía de clave pública con criptografía convencional, ofreciendo encriptación, autenticación de documentos con firmas digitales, comprobación de integridad y opciones de manejo de claves. Por sus gran ductilidad y adaptabilidad a las diferentes arquitecturas informáticas puede ser utilizado con la mayoría de los sistemas operativos comerciales como Windows, Windows NT, Mac, etc. Asimismo, puede ser utilizado conjuntamente con programas de correo electrónico tradicionales como Eudora.
 

La compañía de Zimmermann ha creado diversos programas comerciales cuya venta está restringida por la normativa ITAR a Estados Unidos y Canadá. Entre ellos cabe destacar PGPMail, un programa que integra PGP como una parte más del programa de e-mail Eudora, facilitando mucho la tarea en el entorno Windows, y PGPDisk , un programa diseñado específicamente para la protección de discos duros.
 

Pretty Good Privacy Fone: Es un programa con las características del PGP tradicional, que permite hacer llamadas telefónicas normales vía modem, comprimiendo encriptándo la voz, para luego digitalizarla sin que terceras personas puedan acceder a las mismas y llegue segura al receptor. Se utiliza para este intercambio de claves el algoritmo de clave pública DH.
 
 
 

International Data Encription Algorithm (IDEA): Este programa de encriptación algorítmica de Ascom Systec Ltd. de Suiza, utiliza el mismo sistema de seguridad de Pretty Good Privacy (PGP). Su implementación es simple y puede ser utilizado en todo el mundo. Ha sido registrado con normas ISO/IEC y UNI/EDIFACT (lo que posibilita la implementación de aplicaciones EDI).
 

Authosign-AEA Technology: AEA Technology desarrolla un conjunto de herramientas informáticas destinadas a confirmar la integridad de los documentos que se envían mediante correo electrónico como encriptación, firma digital, etc.
 

Dentro de las instituciones más destacadas que brindan servicios de secure server, para llevar adelante las actividades de comercio electrónico, podemos mencionar las siguientes:
 
 
 

Verisign es una de las más prestigiosas compañías líderes, que provee la infraestructura de llaves públicas (PKI) y soluciones para certificados digitales usados por empresas, sitios Web y consumidores, para llevar adelante las comunicaciones y transacciones seguras en Internet y redes privadas en todo el mundo.
 

La compañía Terisa Systems trabaja en la creación de productos para seguridad en la WWW, que son muy fáciles de utilizar pero a la vez garantiza que la compra - venta a través de tarjetas de crédito sea segura, de igual forma para el uso de firmas digitales en contratos mercantiles, etc., con el empleo de claves criptográficas como el RSA.
 
 
 

Secude, es un programa de seguridad que autentiza y proteje las comunicaciones privadas realizadas por e-mail, brinda la infraestructura para la utilización de firmas electrónicas, encriptación, redes de autenticación, contratos digitales, aplicaciones EDI y distribución de softwares por la Red. Para su desarrollo emplea claves simétricas y asimétricas con algoritmos RSA.
 
 

La corporación IBM, ha desarrollado productos y servicios para la protección de las actividades de negocios realizados electrónicamente como antivirus, criptografía y contrafuegos, implementando así un mayor grado de seguridad al empresario.
 
 

Data Fellows desarrolló un programa denominado F-Secure Commerce para encriptar y autentificar cualquier clase de documento, utilizando métodos de encriptación que incluyen DES, 3DES, IDEA, Blowfish y RSA, con aplicación sobre las versiones de Windows 3.1; NT y 95.
 

La corporación Internet Security Systems (ISS), es la pionera en proveer sistemas adaptables a la gestión de seguridad y protección de programas, tales como contrafuegos, autenticación y encriptación. La ISS aporta con varias herramientas seguras para las actividades de comercio electrónico como: Real Secure, Internet Scanner y System Security Scanner.
 
 

Visa conocida mundialmente por la emisión de "dinero plástico" o tarjetas de crédito, ha incorporado al mundo de los negocios, el uso de herramientas de pago seguras, mediante la aplicación de SET, facilitando así a clientes y vendedores las transacciones on line.
 

El Sistema Mondex emplea la tarjeta de crédito para pagos digitales, opera a nivel mundial a través de bancos e instituciones financieras como una subsidiaria de Master Card Internacional.
 
 

La corporación Cybercash, posee sus oficinas centrales en Reston, Estados Unidos, reconocida mundialmente por proveer soluciones de pago seguras para el comercio electrónico, asi como un sistema de pago y facturación interactivo a través de la WWW, entre empresas y empresas y consumidores.

Retirado de http://ute.edu.ec/~mjativa/ce/seguridad.html