Exceptuando el dinero al contado, Internet utiliza los mismos sistemas de pago que los demás canales de compra : tarjetas de pago, de crédito, pago contra reembolso, por correo certificado o incluso la domiciliación de pagos. Según el estudio de la AUI, el 68% de los consumidores realizan sus pagos a través de las tarjetas de crédito. El segundo medio más usado por los usuarios es el reembolso a la entrega del producto aunque en una proporción muy inferior, tan sólo un 14%. Menos usados son la domicialiación o la tarjeta del establecimiento como que tienen algunos centros comerciales como El corte inglés, o Carrefour (Alcampo se retiró del e-commerce en 2.003 tras el fracaso de su tienda electrónica).
La manera más habitual de realizar un pago a través de Internet es la tarjeta, ya sea de pago o de crédito. Este sistema se basa en enviar el número PIN, de 16 dígitos, a la entidad financiera para que efectúe el pago al comercio on-line. De esta manera, un posible fraude podría venir de cualquiera de estas tres partes : el consumidor puede negar haber dado su permiso para hacer un pago, el banco puede facturar de más y la tienda puede alegar no haber recibido ningún dinero. Además debemos considerar a los hackers (intrusos) que se introducen en los sistemas informáticos para localizar información valiosa. La seguridad es lo que más preocupa tanto a usuarios como empresas y el principal motivo que alegan los que rechazan Internet como canal de compra y venta. Según una encuesta realizada por la AIMC (Asociación para la Investigación de Medios de Comunicación) tan sólo un 27% de los internautas consideran bastante o muy fiable el uso de la tarjeta de crédito para pagar a través Internet, sin embargo un 78'8% se fiaba de dejar su tarjeta en un restaurante. Por este motivo, tanto las entidades financieras como los comercios han desarrollado sistemas de seguridad que solventan un posible fraude electrónico. En primer lugar hay que garantizar la confidencialidad, es decir que ninguna persona ajena pueda conocer la información enviada. Lo ideal también sería que ninguna de las tres partes conociera datos innecesarios : que el comercio no conociera los datos de la cuenta del cliente ni el banco los detalles de la compra. También hay que garantizar la integridad para que el mensaje no sea manipulado. Los últimos avances en sistemas de seguridad han desarrollado sobre todo la autenticación de las partes y la irrenunciabilidad de la transacción por parte de ninguno de los implicados.
Existen varios sistemas de seguridad. En España el más utilizado es el protocolo SSL (Secure Socket Layer). Este sistema ha sido diseñado por Netscape y proporciona sesiones de comunicación encriptada, es decir, secretamente cifrada, y autenticación del servidor. Es el que utilizan la mayoría de las empresas españolas que ofrecen productos a través de Internet. Visa y Mastercard pusieron en marcha un nuevo protocolo mucho más seguro : SET. Este sistema incorpora todas las garantías de seguridad : confidencialidad, integridad, autenticación (de todas las partes) e irrenunciabilidad. Sin embargo este sistema está teniendo una implantación muy lenta en nuestro país. Desde el momento en el que se rellena un formulario con datos personales y se envían a través de la red, éstos pueden caer en manos de cualquiera. Un servidor seguro (que acepte los protocolos de seguridad) pretende garantizar no sólo que esto no ocurra sino que nadie pueda manipular el mensaje. La primera cuestión a analizar es : ¿en qué momento se encripta nuestra información?. Desde que pulsamos en botón "enviar" de cualquier formulario del compra, es nuestro propio navegador el que se encarga de cifrar y "esconder" los datos colaborando con el servidor seguro. Es en este momento cuando los datos comienzan a viajar por el ciberespacio. Para asegurarnos de que estamos conectando con un servidor seguro podemos comprobar que en nuestro navegador aparece una llave (en el caso de Netscape) o un candado (en Explorer).
Además de la ACE, en España también se utilizan otras como Verisign, IPS (Internet Publishing Services) o FESTE. También las entidades financieras como es el caso de Banesto otorgan certificados. Con todas estas garantías de seguridad nuestro pedido llegará al comerciante junto con las instrucciones de pago. Posteriormente, utilizando también la encriptación, el comerciante realiza una solicitud a la entidad financiera del comprador para que reembolse el dinero. Todos estos procesos están garantizados por las autoridades de certificación.
Los grandes expertos en la materia coinciden en que el comercio electrónico absorberá gran parte del comercio mundial. Mientras esto ocurre las cifras hablan por sí solas. Las empresas poco a poco van integrándose en Internet por varias razones : menor coste, menor tiempo y la posibilidad de ofrecer un tipo de información mucho más dinámica. Todo esto, apoyado por el aumento de confianza de los consumidores para adquirir productos a través de la red hace preveer que el comercio electrónico crezca a este ritmo tan superior. En España el e-commerce mueve una cantidad cercana a los 2.000 o 3.000 millones de pesetas. Según los datos de diferentes encuestas, los usuarios españoles se muestran bastante confiados en realizar las compras a través de Internet si bien siguen siendo las empresas conocidas las que más facturan (El Corte Inglés es la tienda electrónica que más vende en la red en España). Desde que comenzó a implantarse el comercio electrónico lo que más se demanda son los productos informáticos ligados precisamente a la misma naturaleza que la red. Según datos de la AIMC, un 30% de los internautas españoles compra software que es el producto estrella de la red. También tienen mucho éxito (un 24%) las tiendas de libros y revistas como Amazon (www.amazon.com) . En menor proporción se compra música, hardware, películas, viajes y ocio, ropa, alimentación, flores, etc... A la espera de que se produzca el desembarco definitivo del comercio en Internet muchas empresas han comenzado a apostar fuerte por este sistema cuya naturaleza igualará el potencial competitivo de las empresas desde la más grande a la más pequeña con la correspondiente mejora del servicio para el cliente. En el caso de las grandes corporaciones y organizaciones empresariales la preocupación por la seguridad en Internet es fácil de entender: las organizaciones necesitan proteger la confidencialidad de la información reservada.
Por otra parte, los usuarios de a pie también deberían vigilar de cerca todo lo referente a la protección de sus datos y a la identidad de las fuentes y destinatarios de los mismos. Evidentemente la seguridad en Internet afecta sobremanera a las empresas que operan con banca electrónica, ya que las cuentas bancarias en Internet no son más que bases de datos y, como tales, están expuestas. En definitiva, la seguridad afecta a todos: a las grandes compañías por ser una tentación y por las consecuencias de una posible filtración, y a los usuarios individuales por su vulnerabilidad. En España, al igual que en le resto del mundo, la seguridad informática sigue considerándose por parte de la dirección de las empresas como importante o muy importante.
Podemos decir que la seguridad se puede dividir en interna y externa. La seguridad interna es aquélla que intenta mantener privados y accesibles sólo para los usuarios autorizados, aquellos datos internos o sensibles de la organización en cuestión. La práctica de la seguridad interna se basa en la utilización de políticas de contraseñas, encriptado de material sensible y control de acceso a los contenedores de información. De la seguridad interna se habla muy poco, ya que no se denuncian o, lo que es peor, no se llegan a descubrir la mayoría de los incidentes. Todos conocemos casos de personas que venden información de su empresa o que al abandonarla se llevan consigo todo aquello que pueden copiar. Es notorio el caso de una consultora que hace unos años perdió, de un viernes a un lunes, gran parte de su personal, contratado por la competencia, junto con los datos de todos los proyectos que contenían sus ordenadores portátiles. La seguridad externa puede parecer más compleja de controlar, aunque en realidad no lo es tanto, ya que los usuarios externos no utilizan el sistema interno de la empresa, en principio no deberían disponer de ninguna clave de acceso, aunque sea a nivel de visitante, por lo que con dedicación y conocimiento se pueden crear sistemas altamente seguros.
— Los firewall permiten aislar la red interna de la externa, con control del tipo de protocolo que circula y su origen y destino. Los sistemas de correo basados en cualquiera de los programas que utilizamos habitualmente pueden complementarse con mecanismos de encriptación de datos y firma electrónica, ya sea utilizando protocolo S/MIME o PGP.
Las empresas conocen, o han de conocer todos estos problemas. Y cuando deciden darles una solución global, buscando los puntos débiles de su seguridad para atajarlos de una vez, pueden decidirse por una Auditoría de Seguridad. Las auditorías son actividades muy comunes en estos entornos empresariales, especialmente las realizadas por personal externo, y permiten conocer el nivel de seguridad y las acciones a emprender para corregir los posibles fallos. El hecho de que en general las auditorías las realicen personas externas, permite mantener un nivel de objetividad que muchas veces no se dá entre el personal propio, por razones obvias. Una auditoría puede durar, en función del tamaño del sistema, desde unos pocos días, hasta varias semanas. En general siguen normas estrictas y protocolos extensos y requieren fuertes compromisos de apoyo de los recursos internos de la organización en cuestión. Pueden, sin embargo, ser más flexibles.
Pensemos en aquellos programas de software que se realizaron en los años 80 con los dos primeros dígitos del campo fecha fijos ¿cómo iba a saber el desarrollador de software que iba a dar los problemas que dió el famoso año 2000?. Entonces un ordenador no tenía ni mucho menos la potencia que las computadoras de ahora, siendo por tanto imprescindible aprovechar el mayor espacio posible tanto de memoria como de disco. Efectivamente, no habían previsto el cambio brutal que se iba a experimentar y optaron por una solución que en su tiempo evitó muchos quebraderos de cabeza. Sin embargo, al llegar el año 2.000 las empresas que no solucionaron el problema tuvieron problemas graves para poder continuar con su actividad empresarial. Si a ello unimos la introducción del euro y la liberalización de las telecomunicaciones vemos que el 2.000 fue un reto muy importante. Esta nueva sociedad de la información necesita de muchas regulaciones puesto que todo lo que esta saliendo es tan innovador que no existe siquiera una referencia legislativa. Difícil será entrar en dicha sociedad si todavía no hemos podido encontrar la forma de proteger la información. Y es aquí donde nuestro legislador europeo se ha puesto manos a la obra para intentar consensuar entre todos los Estados europeos una política legislativa común. Son ya numerosas las directivas europeas dictadas sobre este aspecto, como por ejemplo la Directiva sobre protección jurídica de los programas de ordenador, o sobre la protección jurídica de las bases de datos. En este sentido cabe destacar la propuesta de Directiva sobre Firma Electrónica y la propuesta de Directiva sobre Comercio Electrónico. Países como Alemania, Italia, Reino Unido, etc., venían desarrollando sus propias legislaciones sobre firma digital, siendo por tanto imprescindible establecer una política común que nos sirviese a todos los europeos. La firma digital es justificable desde el momento en que los contratos, las transacciones económicas, las compras, etc. se realizan on-line, es decir sin la presencia física de las partes. Surge de las tecnologías utilizadas para conseguir la confidencialidad en las comunicaciones, ante la proliferación de software que consigue pinchar las comunicaciones obteniendo la información deseada.
Escrito en EL MASTER DEL GUAPO HACKER, de Xavier Valderas
