El comercio electrónico o e-commerce es ya una realidad que mueve cada año
miles de millones de pesetas en todo el planeta. Y es que las empresas reconocen que
el futuro está en Internet, que ofrece a los clientes la posibilidad comprar productos y servicios desde sus casas en la tienda más grande del mundo.
Sin embargo, a falta de leyes que regulen el comercio electrónico, todavía son
muchas las empresas que se muestran reticentes a la hora de emprender esta aventura.
En la otra cara de la moneda, los consumidores desconfían a la hora de tener que
dar sus números de tarjeta a través de un sistema que, a primera vista, ofrece pocas
garantías de seguridad.
Apesar de ello, ya son muchos los que han apostado de lleno por el comercio electrónico ya que ofrece multitud de ventajas como, por ejemplo, una reducción de
costes y de tiempo. La red permite también el marketing directo con el cliente sin
tener que recurrir a ningún intermediario. Además, cuesta menos exponer los productos
y servicios en las páginas de la World Wide Web que imprimir catálogos que
tendrían que llegar a cada uno de los clientes para que éstos puedan tener un
conocimiento de lo que se ofrece.
Las ventajas para los usuarios son claras : poder realizar cualquier compra sin tener
que desplazarse al establecimiento y poder comparar multitud de productos tanto en
precio como en calidad al mismo tiempo con el consiguiente ahorro de tiempo.
Sin
embargo, existe un problema con el que se encuentra la mayoría de los consumidores
a la hora de realizar una compra a través de Internet : forma de pago y la seguridad
que le ofrecen las empresas.
Según un estudio publicado por la Asociación de Usuarios e Internautas (AUI), tan
sólo un 30% de los encuestados se atreve a comprar por Internet. Dentro del grupo
que no quiere comprar, un 37% no se fía de la tienda virtual y un 67% encuentra que
no es seguro.
Hoy día, casi todos los bancos del mundo permiten hacer transacciones vía telefónica
y muchos ya han hecho su incursión en el ciberespacio. Si Internet representa
un medio poco fiable... ¿quién asegura al consumidor que nadie intercepta sus datos
a la hora de comprar por teléfono ?.
Es sin duda la falta de regulación en la red y el miedo a lo desconocido lo que hace
desconfiar a la hora de tener que dar cualquier dato personal a través de la red.
De hecho, no es extraño enterarse de compras no realizadas cargadas a cuentas de
tarjetas de crédito o cheques cobrados a una cuenta nunca emitidos.
Sin embargo, tanto las entidades financieras como los comercios han desarrollado
sistemas de seguridad que palian en mayor o menor medida estos posibles fraudes
además de crear interfaces sencillos de utilizar para el usuario. Dos ejemplos de
empresas que han apostado por el e-commerce y han creado infraestructuras virtuales
basadas en la seguridad son Banesto e IBM.
Banesto por su parte, ha creado todo un sistema de compra y venta on-line y ha
puesto en marcha el escaparate virtual (www. escaparate.com), un centro comercial
en la red compuesto por todos los comercios que lo deseen y donde se pueden adquirir
todo tipo de productos. A través de su servidor seguro del Banco, el cliente puede
efectuar compras pagando con VISA, 4B y MasterCard, así como con la tarjeta creada
por la entidad para transacciones en Internet, la tarjeta Virtu@lCash. El comercio
tiene que tener una cuenta en Banesto y ha de instalarse un módulo de pago propio
del banco para que el cliente pueda usar estas tarjetas.
Otro ejemplo de empresa que apuesta fuerte por la seguridad electrónica es IBM
que ha puesto en marcha el denominado e-bussines para realizar todo tipo de transacciones on-line. Se trata de mantener conectados electrónicamente a los clientes de las empresas en primer lugar con una página web informativa, una página para los trámites administrativos y comprobar los estados de las cuentas y otra página para realizar compras y ventas a través de la red. La empresa ha apostado muy fuerte por el tema de la seguridad y ha creado el sistema SecureWay que trata de asegurar al cien por cien la seguridad en el intercambio de información a través de medios electrónicos.
1) Pagos virtuales
Exceptuando el dinero al contado, Internet utiliza los mismos sistemas de pago que
los demás canales de compra : tarjetas de pago, de crédito, pago contra reembolso,
por correo certificado o incluso la domiciliación de pagos.
Según el estudio de la AUI, el 68% de los consumidores realizan sus pagos a través
de las tarjetas de crédito. El segundo medio más usado por los usuarios es el reembolso
a la entrega del producto aunque en una proporción muy inferior, tan sólo un
14%.
Menos usados son la domicialiación o la tarjeta del establecimiento como que
tienen algunos centros comerciales como El corte inglés, o Carrefour (Alcampo se
retiró del e-commerce en 2.003 tras el fracaso de su tienda electrónica).
Otro de los servicios que comienzan a prestar los bancos es el dinero virtual. Para
ello se necesita un software (programa) especial que le permite acceder a un tercero
que actúa como intermediario y cambia dinero de curso legal de su cuenta bancaria
por dinero electrónico para poder gastarlo a su antojo por el ciberespacio. Este sistema será muy útil para las microtransacciones (compras de poco valor) o compras
anónimas.
Un paso más se ha dado con las llamadas tarjetas inteligentes. Son unas tarjetas
similares a las de banda magnética en cuanto a formato, pero que incorporan un chip
con información del usuario. Actualmente las tarjetas monedero incorporan esta tecnología.
Estas tarjetas están evolucionando con diferentes tecnologías como Java
(lenguaje para crear aplicaciones de red) o DES (algoritmo de encriptación de IBM)
para que en un futuro puedan utilizarse no sólo para Internet, sino también en cajeros o tiendas. Un inconveniente que ralentiza su implantación es el hecho de que todos los ordenadores tendrán que ir dotados de lectores de estas tarjetas. Las grandes empresas de informática como Sun, IBM, Oracle o Microsoft así como entidades
financieras como Citibank o Visa están desarrollando estándares para el desarrollo de
este sistema.
2) Confidencialidad
La manera más habitual de realizar un pago a través de Internet es la tarjeta, ya sea
de pago o de crédito. Este sistema se basa en enviar el número PIN, de 16 dígitos, a
la entidad financiera para que efectúe el pago al comercio on-line.
De esta manera, un posible fraude podría venir de cualquiera de estas tres partes :
el consumidor puede negar haber dado su permiso para hacer un pago, el banco puede
facturar de más y la tienda puede alegar no haber recibido ningún dinero. Además
debemos considerar a los hackers (intrusos) que se introducen en los sistemas informáticos
para localizar información valiosa.
La seguridad es lo que más preocupa tanto a usuarios como empresas y el principal
motivo que alegan los que rechazan Internet como canal de compra y venta.
Según una encuesta realizada por la AIMC (Asociación para la Investigación de
Medios de Comunicación) tan sólo un 27% de los internautas consideran bastante o
muy fiable el uso de la tarjeta de crédito para pagar a través Internet, sin embargo un 78'8% se fiaba de dejar su tarjeta en un restaurante. Por este motivo, tanto las entidades financieras como los comercios han desarrollado sistemas de seguridad que solventan un posible fraude electrónico.
En primer lugar hay que garantizar la confidencialidad, es decir que ninguna persona
ajena pueda conocer la información enviada. Lo ideal también sería que ninguna
de las tres partes conociera datos innecesarios : que el comercio no conociera los
datos de la cuenta del cliente ni el banco los detalles de la compra. También hay que
garantizar la integridad para que el mensaje no sea manipulado. Los últimos avances
en sistemas de seguridad han desarrollado sobre todo la autenticación de las partes y
la irrenunciabilidad de la transacción por parte de ninguno de los implicados.
3) Protocolos de seguridad
Existen varios sistemas de seguridad. En España el más utilizado es el protocolo
SSL (Secure Socket Layer). Este sistema ha sido diseñado por Netscape y proporciona
sesiones de comunicación encriptada, es decir, secretamente cifrada, y autenticación
del servidor. Es el que utilizan la mayoría de las empresas españolas que ofrecen
productos a través de Internet.
Visa y Mastercard pusieron en marcha un nuevo protocolo mucho más seguro :
SET. Este sistema incorpora todas las garantías de seguridad : confidencialidad, integridad, autenticación (de todas las partes) e irrenunciabilidad. Sin embargo este sistema está teniendo una implantación muy lenta en nuestro país.
Desde el momento en el que se rellena un formulario con datos personales y se
envían a través de la red, éstos pueden caer en manos de cualquiera. Un servidor
seguro (que acepte los protocolos de seguridad) pretende garantizar no sólo que esto
no ocurra sino que nadie pueda manipular el mensaje.
La primera cuestión a analizar es : ¿en qué momento se encripta nuestra información?.
Desde que pulsamos en botón "enviar" de cualquier formulario del compra, es
nuestro propio navegador el que se encarga de cifrar y "esconder" los datos colaborando con el servidor seguro. Es en este momento cuando los datos comienzan a viajar por el ciberespacio.
Para asegurarnos de que estamos conectando con un servidor seguro podemos
comprobar que en nuestro navegador aparece una llave (en el caso de Netscape) o un
candado (en Explorer).
Además la dirección de la página ya no comienza por http sino
por https.
Según tengamos configuradas las opciones del navegador, éste suele avisar con un
mensaje recordando que estamos entrando en una zona segura. Cualquier dato digitalizado se codifica en binario, es decir, en ceros y en unos. Para encriptarlo, se aplica al mensaje un algoritmo u operación matemática que devuelve un mensaje indescifrable, también en binario. Para poder conocer el mensaje original se vuelve a aplicar el mismo algoritmo cuando el mensaje llegue a su destino.
Para que nadie pueda descifrar el algoritmo y con ello el mensaje, se ha añadido
una información adicional, la clave, que solo podrán conocer el emisor y el destinatario.
Para asegurar todavía más el mensaje, hay encriptaciones (como el sistema
RSA) que incorporan dos claves : una privada, que conocerá sólo el usuario o emisor;
y una pública que conocerán los destinatarios.
Se trata de que cada usuario disponga de un par de claves, una pública y otra privada
que van asociadas. La clave pública es conocida por todos y la privada sólo por
el consumidor. De esta manera si alguien quiere enviar un mensaje cifrado a un usuario, tendría que conocer su clave pública y sólo la clave privada podría descifrarlo.
Si es el usuario el que quiere enviar un texto, el emisor podrá verificar a través de
la clave pública (correspondiente solo a ese usuario) que el mensaje ha sido enviado
por el usuario correcto. Además si está firmado digitalmente puede verificar que el
texto no ha sido manipulado por un tercero. Además, el receptor podría probar ante
terceros que el texto que tiene en su poder ha sido envíado por un usuario que no
podría negar el hecho pues sólo puede haber sido firmado con la clave privada sólo
conocida por el usuario.
El protocolo SET incorpora la firma digital, un conjunto de caracteres encriptados
que además de verificar al emisor y al receptor contiene una fecha de validez lo que
imposibilita una manipulación posterior del documento además de asegurar la irrenunciabilidad.
Este sistema también incorpora la posibilidad de mantener en secreto
los datos no necesarios para las distintas partes.
Además se han creado unas entidades que verifican las claves : las autoridades de
certificación. En España se ha creado recientemente la ACE (Agencia de certificación
electrónica) formada por la Confederación de Cajas de Ahorros, Visa, Telefónica y los
bancos emisores de tarjetas 4B.
Con el protocolo SSL, las autoridades de certificación solo verifica al vendedor
pero la incorporación del protocolo SET permitirá también la identificación del cliente.
Además de la ACE, en España también se utilizan otras como Verisign, IPS (Internet
Publishing Services) o FESTE. También las entidades financieras como es el caso
de Banesto otorgan certificados.
Con todas estas garantías de seguridad nuestro pedido llegará al comerciante junto
con las instrucciones de pago. Posteriormente, utilizando también la encriptación, el
comerciante realiza una solicitud a la entidad financiera del comprador para que
reembolse el dinero. Todos estos procesos están garantizados por las autoridades de
certificación.
4) Las cifras
Los grandes expertos en la materia coinciden en que el comercio electrónico absorberá
gran parte del comercio mundial. Mientras esto ocurre las cifras hablan por sí
solas.
Las empresas poco a poco van integrándose en Internet por varias razones : menor
coste, menor tiempo y la posibilidad de ofrecer un tipo de información mucho más
dinámica. Todo esto, apoyado por el aumento de confianza de los consumidores para
adquirir productos a través de la red hace preveer que el comercio electrónico crezca
a este ritmo tan superior.
En España el e-commerce mueve una cantidad cercana a los 2.000 o 3.000 millones
de pesetas. Según los datos de diferentes encuestas, los usuarios españoles se
muestran bastante confiados en realizar las compras a través de Internet si bien siguen siendo las empresas conocidas las que más facturan (El Corte Inglés es la tienda electrónica que más vende en la red en España).
Desde que comenzó a implantarse el comercio electrónico lo que más se demanda
son los productos informáticos ligados precisamente a la misma naturaleza que la red.
Según datos de la AIMC, un 30% de los internautas españoles compra software que
es el producto estrella de la red. También tienen mucho éxito (un 24%) las tiendas de
libros y revistas como Amazon (www.amazon.com) . En menor proporción se compra
música, hardware, películas, viajes y ocio, ropa, alimentación, flores, etc...
A la espera de que se produzca el desembarco definitivo del comercio en Internet
muchas empresas han comenzado a apostar fuerte por este sistema cuya naturaleza
igualará el potencial competitivo de las empresas desde la más grande a la más
pequeña con la correspondiente mejora del servicio para el cliente.
En el caso de las grandes corporaciones y organizaciones empresariales la preocupación
por la seguridad en Internet es fácil de entender: las organizaciones necesitan
proteger la confidencialidad de la información reservada.
Por otra parte, los usuarios de a pie también deberían vigilar de cerca todo lo referente a la protección de sus datos y a la identidad de las fuentes y destinatarios de los mismos.
Evidentemente la seguridad en Internet afecta sobremanera a las empresas que
operan con banca electrónica, ya que las cuentas bancarias en Internet no son más que
bases de datos y, como tales, están expuestas. En definitiva, la seguridad afecta a
todos: a las grandes compañías por ser una tentación y por las consecuencias de una
posible filtración, y a los usuarios individuales por su vulnerabilidad.
En España, al igual que en le resto del mundo, la seguridad informática sigue considerándose por parte de la dirección de las empresas como importante o muy importante.
Un reciente estudio de la consultora Ernst & Young apunta que para el 82% de
los encuestados este aspecto es fundamental. Sin embargo, esta importancia que se
otorga a la seguridad informática no siempre va unida a la implantación de medidas
concretas de seguridad.
Según el mismo informe, más de la mitad de las empresas reconocen que no analizan
los posibles accesos a su sistema informático. Si tenemos en cuenta que en la
actualidad las empresas dependen en gran medida de su sistema informático, porque
a través del mismo producen su trabajo diario, generan sus datos y, en definitiva, realizan su negocio, este dato resulta preocupante. El hecho de no investigar posibles indicios de acceso implica que más tarde o más temprano alguien puede acceder a sus sistema informáticos y, por ende, el negocio puede estar en manos de un intruso.
Así pues, el principal problema no es de índole técnico, sino de toma de conciencia
de los peligros potenciales en la transmisión de información confidencial (nuestros
datos personales, bancarios, códigos de acceso a cuentas y transacciones, etc.) a
través del ciberespacio.
La seguridad en Internet consiste en implementar mecanismos para que cuando se
reciba un mensaje o se realice una transacción por medios electrónicos, se asegure la
integridad del contenido y la identidad del remitente y del receptor. Las contraseñas
y palabras clave ya no son un mecanismo suficientemente fiable y seguro, ya que
éstas pueden ser interceptadas durante su transmisión, de lo que desgraciadamente
nos damos cuenta muy tarde o cuando la prensa se hace eco de un caso de estafa
electrónica.
La técnica puede garantizar una seguridad casi total. La mentalidad puede ser la
adecuada. Pero el tema es todavía más complejo.
Hace pocos días se hizo pública una noticia en la que se hablaba de que en Noruega,
la entrada no autorizada en ordenadores ajenos, no resulta ser una actividad ilegal
ya que en resumidas cuentas "todo aquel que desee estar conectado a una red abierta
como Internet, debe estar preparado para proteger sus datos y el objetivo de la red
mundial resulta ser distribuir información", casi como la vida misma.
Resulta cuando menos interesante comprobar como los sistemas abiertos de comunicaciones tienden a emular la organización, estructura y comportamiento de la
sociedad.
No existe sistema informático que no pretenda ser seguro, de una forma u otra, con
mayor o menor éxito, con mayor o menor notoriedad, al mismo tiempo que se abre
hacia Internet u otras redes para dar mayores y mejores servicios a sus usuarios, internos o externos. Como mínimo parece ser algo paradójico.
Dejando de lado los problemas de seguridad causados por virus informáticos, un
tema con el que podríamos llenar páginas y páginas y que en la actualidad ha crecido
desmesuradamente, la tendencia a utilizar contenidos activos en las páginas web
(applets Java, Active-X...), ha convertido en peligrosa la mera visualización de ciertas páginas (recordemos que el contenido de la página ha de ser previamente cargado en nuestro navegador, que es lo mismo que decir en nuestro ordenador). La protección que a estos efectos proporcionan los navegadores se está demostrando insuficiente, como nos demuestra la continua aparición de fallos.
De todo esto se puede extraer una serie de conclusiones relativas a la seguridad de
los datos en sistemas informáticos que, como primer paso, indican que para conectarse
a este tipo de redes se debe estar preparado y se debe disponer de una buena
información y formación.
5) Formas de seguridad
Podemos decir que la seguridad se puede dividir en interna y externa.
La seguridad interna es aquélla que intenta mantener privados y accesibles sólo
para los usuarios autorizados, aquellos datos internos o sensibles de la organización
en cuestión. La práctica de la seguridad interna se basa en la utilización de políticas de contraseñas, encriptado de material sensible y control de acceso a los contenedores de información.
De la seguridad interna se habla muy poco, ya que no se denuncian o, lo que es
peor, no se llegan a descubrir la mayoría de los incidentes. Todos conocemos casos de
personas que venden información de su empresa o que al abandonarla se llevan consigo
todo aquello que pueden copiar. Es notorio el caso de una consultora que hace
unos años perdió, de un viernes a un lunes, gran parte de su personal, contratado por
la competencia, junto con los datos de todos los proyectos que contenían sus ordenadores portátiles.
La seguridad externa puede parecer más compleja de controlar, aunque en realidad
no lo es tanto, ya que los usuarios externos no utilizan el sistema interno de la empresa, en principio no deberían disponer de ninguna clave de acceso, aunque sea a nivel de visitante, por lo que con dedicación y conocimiento se pueden crear sistemas altamente seguros.
— Los firewall permiten aislar la red interna de la externa, con control del tipo
de protocolo que circula y su origen y destino. Los sistemas de correo basados
en cualquiera de los programas que utilizamos habitualmente pueden
complementarse con mecanismos de encriptación de datos y firma electrónica,
ya sea utilizando protocolo S/MIME o PGP.
— Las transacciones comerciales pueden estar protegidas por sistemas de encritación
tales como el SSL, el más habitual, o el SET ya comentados anteriormente.
Los usuarios que acceden desde el exterior y que requieren acceso a
los servicios internos de la red de la organización pueden utilizar canales de
comunicación, dentro del propio Internet, encriptados, las llamadas redes privadas
virtuales.
Hoy no se puede decir que la conexión a Internet o a cualquier otra red abierta no
se pueda realizar de forma segura, existen las herramientas y la mayoría de ellas
seguro que se encuentran incorporadas en el sistema operativo de sus servidores y
estaciones de trabajo.
Las consecuencias de un mal diseño de red y de seguridad, de la no utilización de
herramientas adecuadas y el desconocimiento de lo que le puede estar pasando a
nuestra red, son los peores enemigos de cualquier sistema.
Es muy recomendable e incluso imprescindible contar con empresas especializadas
en seguridad, para el análisis de necesidades y el mantenimiento y control de los
niveles de seguridad. Al ser un tema tan amplio y que evoluciona muy rápidamente,
solo las personas que se especializan en estos temas conocen y siguen el día a día de
su evolución.
Las certificaciones de seguridad que hemos visto como SSL y SET son sistemas
que proporcionan un mecanismo de firma simple y seguro que está basado en los
estándares de los navegadores de Internet, Navigator y Explorer (S/MIME). Son procesos optimizados de autenticación de documentos, en los que los mensajes encriptados con la clave publica del destinatario sólo pueden ser desencriptados (descifrados) usando la clave privada de éste.
Gracias a estos sistemas de seguridad las empresas pueden poner en marcha servicios
de transacciones electrónicas, para los cuales sus clientes deben asegurar su identificación mediante certificados digitales.
Todas las transacciones que se realicen, ya sea usando un servidor web o mediante e-mail, y que incluyan el envío de datos, pueden llevar incorporadas la firma electrónica y la encriptación del usuario para asegurar el origen e integridad de los datos.
Las autoridades certificadoras pueden ser comerciales (aquellas que emiten el certificado después que el usuario ha pagado), utilizadas para el acceso seguro del público o de los navegantes a sedes web, y autoridades de tipo interno corporativo que aseguran el acceso de los empleados a los servidores de la organización.
Este mecanismo automático y transparente no sólo puede certificar la seguridad de
un usuario, sino también la del servidor. Los navegadores disponen de un mecanismo
de petición de certificados que se activa automáticamente al conectarse a una página
web habilitada especialmente, donde se recogen los datos de identificación del
usuario.
Al igual que en cualquier transacción inmobiliaria acudimos al despacho de un
notario para que certifique la autenticidad de los documentos presentados, los sistemas avanzados de autentificación electrónica constituyen una Notaría Digital que, como una tercera persona, puede verificar, autenticar y certificar la identidad de los usuarios. Este sistema permite resguardar la confidencialidad e integridad de la información en los nuevos medios abiertos, como Internet, que ofrecen grandes posibilidades para el ocio y el comercio, con las debidas condiciones de seguridad.
6) Auditorías de seguridad
Las empresas conocen, o han de conocer todos estos problemas. Y cuando deciden
darles una solución global, buscando los puntos débiles de su seguridad para atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Las auditorías son actividades muy comunes en estos entornos empresariales, especialmente las realizadas por personal externo, y permiten conocer el nivel de seguridad y las acciones a emprender para corregir los posibles fallos.
El hecho de que en general las auditorías las realicen personas externas, permite
mantener un nivel de objetividad que muchas veces no se dá entre el personal propio,
por razones obvias.
Una auditoría puede durar, en función del tamaño del sistema, desde unos pocos
días, hasta varias semanas. En general siguen normas estrictas y protocolos extensos
y requieren fuertes compromisos de apoyo de los recursos internos de la organización
en cuestión.
Pueden, sin embargo, ser más flexibles.
IPS Seguridad ha puesto en marcha recientemente un nuevo servicio de Análisis de Seguridad para Pymes. Este nuevo tipo de auditoría permitirá a las empresas que no cuenten con los recursos económicos o técnicos que exige una auditoría a mayor escala realizar un análisis exhaustivo y suficiente de su seguridad. Es evidente que el peligro no acecha sólo a las grandes corporaciones y que no sólo este tipo de negocios son los negocios importantes, menos
aún para los propietarios de los negocios amenazados, por pequeños que sean.
La auditoria de seguridad es uno de los servicios llamados a un mayor desarrollo
en los próximos años. El desarrollo de Internet es espectacular y las posibilidades del comercio electrónico son ilimitadas. Lamentablemente, los chicos malos también se
multiplican y la libertad de la red se convierte en el paraíso de los traviesos o de los peligrosos que disfrutan rompiendo, robando o haciendo daño.
El proceso comienza con un análisis de las amenazas potenciales que enfrentan a
una organización. Examina sistemas, políticas y prácticas de la organización para
identificar sus vulnerabilidades. El análisis continúa con una valoración de riesgo y
concluye con un informe de valoración y una serie de recomendaciones.
Con respecto a los costes de la seguridad se puede pensar que son elevados, y en
muchos casos los son, especialmente cuando se trata de una auditoría convencional,
aunque evidentemente existen diferencias entre las necesidades de cada caso, que se
relacionan de forma directa con el coste.
Las políticas de seguridad, tal y como la palabra lo dice, se asemejan a los seguros
de la vida cotidiana, muchas veces no se toma una decisión al respecto hasta que no
se conoce un caso cercano a quien la adversidad le coge por sorpresa. La seguridad
representa un gasto que muchas veces parece inútil y que se podría evitar, aunque el
coste de una buena gestión de seguridad siempre es menor que el valor que pueden
tener los datos internos de la empresa.
De una forma o de otra, es evidente que el comercio electrónico es el futuro para
gran parte de la actividad económica, y que éste es imposible si no se resuelven los
problemas de seguridad en la red. Para eso están empresas como IPS Seguridad, para
garantizar que la seguridad en Internet sea posible.
7) La firma digital
Pensemos en aquellos programas de software que se realizaron en los años 80 con
los dos primeros dígitos del campo fecha fijos ¿cómo iba a saber el desarrollador de
software que iba a dar los problemas que dió el famoso año 2000?. Entonces un ordenador no tenía ni mucho menos la potencia que las computadoras de ahora, siendo por tanto imprescindible aprovechar el mayor espacio posible tanto de memoria como de
disco. Efectivamente, no habían previsto el cambio brutal que se iba a experimentar y
optaron por una solución que en su tiempo evitó muchos quebraderos de cabeza. Sin
embargo, al llegar el año 2.000 las empresas que no solucionaron el problema
tuvieron problemas graves para poder continuar con su actividad empresarial. Si a
ello unimos la introducción del euro y la liberalización de las telecomunicaciones
vemos que el 2.000 fue un reto muy importante.
Esta nueva sociedad de la información necesita de muchas regulaciones puesto que
todo lo que esta saliendo es tan innovador que no existe siquiera una referencia legislativa.
Difícil será entrar en dicha sociedad si todavía no hemos podido encontrar la
forma de proteger la información. Y es aquí donde nuestro legislador europeo se ha
puesto manos a la obra para intentar consensuar entre todos los Estados europeos una
política legislativa común.
Son ya numerosas las directivas europeas dictadas sobre este aspecto, como por
ejemplo la Directiva sobre protección jurídica de los programas de ordenador, o sobre
la protección jurídica de las bases de datos. En este sentido cabe destacar la propuesta de Directiva sobre Firma Electrónica y la propuesta de Directiva sobre Comercio Electrónico. Países como Alemania, Italia, Reino Unido, etc., venían desarrollando sus propias legislaciones sobre firma digital, siendo por tanto imprescindible establecer una política común que nos sirviese a todos los europeos.
La firma digital es justificable desde el momento en que los contratos, las transacciones económicas, las compras, etc. se realizan on-line, es decir sin la presencia física de las partes. Surge de las tecnologías utilizadas para conseguir la confidencialidad en las comunicaciones, ante la proliferación de software que consigue pinchar las comunicaciones obteniendo la información deseada.
Tal es el caso de un programa denominado satán, el cual puede recoger todo correo electrónico que lleve determinados contenidos (por ejemplo el número de una tarjeta de crédito) o determinado nombre (usuario@servidor.es).
Esto quiere decir que nuestras comunicaciones por Internet están en peligro, siendo
por tanto necesario realizar previsiones de seguridad lo suficientemente buenas
para evitar que un ciberdelincuente haga con nuestro número de tarjeta las compras
que quiera.
Actualmente, la firma manuscrita permite certificar el reconocimiento, la conformidad
o el acuerdo de voluntades sobre un documento por parte de cada firmante,
aspecto de gran importancia desde un punto de vista legal. La firma manuscrita tiene
un reconocimiento particularmente alto pese a que pueda ser falsificada, ya que tiene
peculiaridades que la hacen fácil de realizar, de comprobar y de vincular a quién la
realiza.
Por tanto, sólo puede ser realizada por una persona y puede ser comprobada por
cualquiera con la ayuda de una muestra.
En este caso el DNI juega un importante
papel ya que lleva incorporada la firma del titular. Algo que es tan fácil de hacer en el mundo real no es tan fácil en el mundo virtual.
La firma digital consiste en la utilización de un método de encriptación llamado
asimétrico o de clave pública. Este método consiste en establecer un par de claves
asociadas a un sujeto, una pública, conocida por todos los sujetos intervinientes en el sector, y otro privada, sólo conocida por el sujeto en cuestión. De esta forma cuando queramos establecer una comunicación segura con otra parte basta con encriptar el mensaje con la clave pública del sujeto para que a su recepción sólo el sujeto que
posee la clave privada pueda leerlo. Para evitar perder el interés del lector creo que debo pasar a explicar lo que es la criptología para que de esa forma no se pierda en estos tecnicismos.
La criptología se define como aquella ciencia que estudia la ocultación, disimulación
o cifrado de la información, así como el diseño de sistemas que realicen dichas
funciones. Abarca por tanto a la criptografía (datos, texto, e imágenes), la criptofonía (voz) y el criptoanálisis, ciencia que estudia los pasos y operaciones orientados a transformar un criptograma en el texto claro original pero sin conocer inicialmente el sistema de cifrado utilizado y/o la clave.
Cifrar por tanto consiste en transformar una información (texto claro) en otra ininteligible (texto cifrado o cripto) según un procedimiento y usando una clave determinada, pretendiendo que sólo quién conozca dicho procedimiento y clave pueda acceder a la información original. La operación inversa se llamara lógicamente descifrar.
Además de estos algoritmos de encriptación asimétrica y simétrica, existen otros
algoritmos de compresión necesarios para conseguir que la firma digital tenga los
mismos efectos que la manuscrita. Se trata de los algoritmos de comprensión hash
que se aplican sobre un determinado texto en cuestión (por ejemplo el contrato online).
Son algoritmos que aplican funciones de no retorno. Estas funciones que realizan
son peculiares en el sentido de que no es necesario la tenencia de una clave, ya
que aplican funciones matemáticas sencillas para cifrar, pero para poder descifrar los cálculos matemáticos a realizar serían prácticamente imposibles de encontrar. Luego nadie, ni si quiera la persona que cifra el texto, podría llegar al documento original.
La comprensión crea un texto limitado y reducido de entre 128 y 160 bits, el cual
representa de forma fehaciente la integridad del documento, ya que si cambiamos un
solo bit del documento original el resultado obtenido al volver a aplicar la función
hash sería totalmente diferente. Además de estas peculiaridades nos encontramos con
que las probabilidades para que dos textos distintos tuviesen el mismo hash serían
practicamente nulas. Estos algoritmos también son conocidos como algoritmos de
destilación, algoritmos de huella digital o algoritmos de función resumen, los cuales
son vitales y necesarios para la introducción de la firma digital en la sociedad de la información.
La firma digital es un bloque de caracteres que acompaña a un documento (o
fichero) acreditando quién es su autor (autenticación) y que no ha existido ninguna
manipulación posterior de los datos (integridad).
Para firmar un documento digital, su autor utiliza su propia clave secreta (sistema
criptográfico asimétrico), a la que sólo él tiene acceso, lo que impide que pueda
después negar su autoría (no revocación). De esta forma, el autor queda vinculado al
documento de la firma. Por último la validez de dicha firma podrá ser comprobada
por cualquier persona que disponga de la clave pública del autor.
La firma se realizaría de la siguiente forma: el software del firmante aplica un algoritmo hash sobre el texto a firmar (algoritmo matemático unidireccional, es decir, lo encriptado no se puede desencriptar), obteniendo un extracto de longitud fija, y absolutamente específico para ese mensaje. Un mínimo cambio en el mensaje produciría un extracto completamente diferente, y por tanto no correspondería con el que originalmente firmó el autor.
Los algoritmos hash más utilizados para esta función son el MD5 ó SHA-1. El extracto conseguido, cuya longitud oscila entre 128 y 160 bits (según el algoritmo utilizado), se somete a continuación a cifrado mediante la clave secreta del autor. El algoritmo más utilizado en este procedimiento de encriptación asimétrica es el RSA. De esta forma obtenemos un extracto final cifrado con la clave privada del autor el cual se añadirá al final del texto o mensaje para que se pueda verificar la autoría e integridad del documento por aquella persona interesada que disponga de la clave pública del autor.
Sin embargo, es necesario comprobar que la firma realizada es efectivamente válida.
Para ello es necesario, como hemos comentado antes, la clave pública del autor.
El software del receptor, previa introducción en el mismo de la clave pública del remitente (obtenida a través de una autoridad de certificación), descifraría el extracto cifrado del autor; a continuación calcularía el extracto hash que le correspondería al texto del mensaje, y si el resultado coincide con el extracto anteriormente descifrado se consideraría válida, en caso contrario significaría que el documento ha sufrido una modificación posterior y por tanto no es válido.
Una autoridad de certificación es esa tercera parte fiable que acredita la ligazón
entre una determinada clave y su propietario real. Actuaría como una especie de
notario electrónico que extiende un certificado de claves, el cual está firmado con su propia clave, para así garantizar la autenticidad de dicha información. Los certificados, son registros electrónicos que atestiguan que una clave pública pertenece a determinado individuo o entidad. Permiten verificar que una clave pública pertenece a una determinada persona, evitando que alguien utilice una clave falsa para suplantar la personalidad de otro.
Por último, habría que garantizar la confidencialidad del mensaje, ya que un tercero
ajeno puede "pinchar" las comunicaciones y mediante un potente software
obtener todo lo que nuestro correo reciba o envíe. Este problema se resolvería con la
utilización de protocolos seguros de comunicación o con el ensobrado digital.
Finalmente, se puede decir que la implantación de la firma digital en la sociedad
de la información es una mera cuestión de tiempo. Para su correcto establecimiento
se requerirá un desarrollo legislativo adecuado por parte de los gobiernos, además de
una buena información al ciudadano y a la empresa. Sólo con el esfuerzo de todas las
partes intervinientes se podrá llegar a la más que ansiada aldea global en la que todo el mundo pueda comunicarse y operar de forma segura y eficaz. Dejemos pues que
sea la propia sociedad la que dicte sus propias necesidades y que no sea el temor a la evolución tecnológica el que gobierne nuestros actos sino el respeto a la nueva revolución de la era digital.
Escrito en EL MASTER DEL GUAPO HACKER, de Xavier Valderas
No hay comentarios:
Publicar un comentario