Comunicación segura a través de redes abiertas de información (I)

Apartados de este documento: (I)  (II)  (y III)

VICENTE ESTEVEZ ESTEVEZ
Director de Desarrollo de Sistemas de la Agencia de Certificación Electrónica

La mayoría de las tecnologías de la información actuales basan su seguridad en la identificación de un nombre y una contraseña. Este sistema es adecuado si se trata de una red cerrada; sin embargo, en el caso de redes abiertas como Internet o InfoViaPlus, no garantiza la seguridad de los datos y por lo tanto limita la oferta de productos y servicios que las entidades financieras pueden ofrecer a sus clientes a través de estos canales.

Como solución a este problema, la Agencia de Certificación Electrónica (ACE) dispone de un servicio para la emisión de certificados digitales X509v3 que cifran la información y garantizan:

• Autenticación: identificando los participantes en las transacciones.
• Integridad: asegurando que la información no ha sido alterada durante la transmisión.
• Confidencialidad: Cifrando la información intercambiada.
• No Repudio: estableciendo constancia de quién ha intervenido en la transacción.

 

El sistema de certificación se estructura en base a dos clases de certificados:

• Certificado de servidor: autentifica al servidor frente al usuario que está accediendo al mismo, pero no autentifica al puesto cliente.
• Certificado de navegador: autentifica al cliente que se está conectando al servidor, con las funciones de firma y cifrado de los mensajes que envíe. Asimismo, permite el correo electrónico seguro entre usuarios o suscriptores de certificados.

El ámbito de aplicación de los certificados digitales es muy amplio e incluye usos como por ejemplo:

• PC Banking: los certificados digitales de ACE pueden ser utilizados como alta garantía de identificación de acceso a la red de la entidad financiera por parte del usuario/cliente y aseguran la transferencia de datos en procesos como consulta de saldo, transferencia de fondos, solicitud de tarjetas de crédito/débito, inversiones de capital o apertura de cuentas. Riesgos como el desvío de fondos, variación de los datos o el acceso a información confidencial por una tercera parte externa al proceso son completamente eliminados gracias a esta tecnología.
• Tarjetas Inteligentes: la incorporación de certificados digitales en estas tarjetas permite la identificación de los titulares en la carga de las tarjetas monedero, el control de acceso a edificios o instalaciones (bancos, hospitales, universidades...) tanto de los clientes/proveedores como de los propios empleados y la confidencialidad de procesos administrativos o consultas de información.
• Correo Electrónico seguro mediante el cifrado de la información y el uso de firmas digitales para la autenticación de las partes.

Los certificados digitales de la Agencia de Certificación Electrónica están basados en una tecnología denominada de Clave Pública (PKI). En este sistema, cada usuario posee un par de claves: una clave pública (que es de dominio público) y una clave privada (única y confidencial). Si Pedro quiere enviar un mensaje a Ana, éste utiliza la clave pública de Ana para cifrar el mensaje (confidencialidad). Este mensaje sólo puede ser descifrado usando la clave privada de Ana, que sólo ella posee (integridad). La autenticación de las personas intervinientes en el proceso se realiza mediante firmas digitales (similares a una firma escrita) que van incorporadas en el mensaje y que son únicas para cada individuo. El no repudio resulta del hecho de que cada persona es la única responsable de mantener su clave privada en la más absoluta confidencialidad.

La misión de la Agencia de Certificación Electrónica (ACE) es la emisión, mantenimiento y revocación de certificados, actuando como tercera parte confiable en la autenticación de las personas y entidades intervinientes en las transacciones electrónicas.

Los certificados digitales aportan valor añadido a la empresa, ya que:

• Permiten implantar nuevas estrategias comerciales: el total desarrollo del comercio electrónico a través de redes abiertas es inminente. Aquellas entidades que pueda proporcionar a sus clientes transacciones seguras mediante certificados electrónicos habrán adquirido una ventaja competitiva frente a sus competidores.
• Permiten la reducción de costes asociados con el papeleo (impresión, mailing o procesamiento de datos) o la presencia de intermediarios en las transacciones, que se traducirán en comisiones más bajas y un producto más atractivo para el cliente.
• El certificado digital no supone un coste añadido para el cliente que, junto a su facilidad de uso, facilitará en gran medida la aceptación de esta tecnología. Además, representan una inversión de alta rentabilidad con bajo coste y riesgo.
• Posibilitan la creación de productos y servicios a medida de cada cliente sin que esto suponga un mayor coste para la organización.
• Permiten la creación de una base de datos de clientes y proveedores que facilite el lanzamiento al mercado de nuevos productos y servicios.
• Los certificados digitales serán aplicables a futuras tecnologías como la TV por cable y por satélite a las WWW-TV.

La implementación de un sistema de comunicaciones seguro, basado en los certificados digitales de ACE, requiere el desarrollo de soluciones que se ajusten a las necesidades de las Entidades o Corporaciones mediante la realización de proyectos concretos entre éstas y ACE (despliegue de infraestructura, labores de consultoría de diseño y procesos, capacitación de los usuarios, etc.).

Existen dos elementos fundamentales en la implantación de un sistema de certificación, la "autoridad de registro" y la "autoridad de certificación".

Autoridad de Certificación/Autoridad de Registro (CA/RA): infraestructura y operativa de gestión basada en la existencia de una entidad de registro y validación de peticiones, generalmente la propia entidad, conectada con ACE, Autoridad de Certificación (CA), encargada del procesamiento y emisión de los certificados y garante de los mismos.

ACE podrá actuar como Autoridad de Registro además de Autoridad Certificadora en el caso de que la empresa cliente no desee convertirse en Entidad de Registro Colaboradora (ERC).

Este servicio conlleva la realización por parte de ACE de la función de identificación y registro de las peticiones de certificados a generar, validando en el entorno local de ACE y no de la empresa cliente los datos de identificación de los usuarios.

El servicio de Autoridad de Registro incluye el establecimiento de todos los procedimientos y operativa de comunicación, identificación, verificación y registro de las solicitudes de certificados para que se realice de una forma completamente segura.

 

Comunicación segura a través de redes abiertas de información (II)

Apartados de este documento: (I)  (II)  (y III)

 

Pagos seguros en comercio electrónico

EL PROTOCOLO SET

SECURE ELECTRONIC TRANSACTION (SET), en español Transacción electrónica segura, es una especificación diseñada con el propósito de asegurar y autenticar la identidad de los participantes en las compras abonadas con tarjetas de crédito/débito en cualquier tipo de red en línea, incluyendo Internet/InfoVía.

SET ha desarrollada por Visa y MasterCard, con la participación de Microsoft, IBM, Netscape, SAIC, GTE, RSA, Terisa Systems, VeriSign y otras empresas líderes en tecnología.

Los objetivos que cumple SET son:

• Confidencialidad de la información transmitida.
• Autenticación de los titulares y comercios.
• Integridad de la información transmitida.
• No repudio de las operaciones realizadas.
• Interoperabilidad entre las distintas plataformas de hardware y software que utilizan los diferentes participantes en las transacciones electrónicas.

ACE es una de las cuatro Agencias auditadas y autorizadas por Visa y Mastercard en todo el mundo para actuar como procesador de certificados SET.

Antes de entrar más a fondo en la descripción del protocolo convendría analizar cuáles son las distintas partes que intervienen en una transacción comercial a través de tarjetas de crédito:

Titular / Cardholder
El titular de una tarjeta de crédito/débito es la persona a nombre de la cual se ha emitido la tarjeta. En este ámbito es el cliente / comprador del producto.

Emisor
El emisor es la entidad financiera emisora de la tarjeta de crédito/débito del titular y con el cual éste mantiene una cuenta bancaria.

Comercio / Merchant
El merchant es el comercio que ofrece productos y servicios en su Web a cambio de un pago. El merchant que acepta pagos a través de tarjeta debe establecer una relación con una entidad financiera (Adquirente), el cual se encarga de gestionar el cobro de las ventas realizadas.

Adquirente
El adquirente es una entidad financiera que establece una cuenta bancaria con el comercio y procesa las autorizaciones de pago por tarjeta de crédito y los propios pagos realizados por dicho comercio.

Pasarela de Pagos
Una pasarela de pagos es el mecanismo mediante el cual se procesan y autorizan las transacciones del merchant. La pasarela puede pertenecer a una entidad financiera (Adquirente) o a un operador de medio de pago, el cual procesa todas las transacciones de un conjunto de entidades. En este escenario, los diferentes medios de pago realizan el cruce e intercambio de las operaciones para las distintas entidades que representan.

Certificados SET

Los certificados SET emitidos por ACE son el soporte electrónico mediante el cual se genera la firma digital y el cifrado de la información de acuerdo con el protocolo SET. Cada uno de los participantes en la transacción comercial electrónica debe disponer de su certificado SET.

Certificados SET de Titular (Cardholder)

Los certificados de titular actúan como una representación electrónica de una tarjeta de crédito. Estos sólo pueden ser emitidos a propuesta de una entidad financiera de modo que no pueden ser alterados por una tercera parte. En el certificado los datos relativos al número de tarjeta y fecha de caducidad están codificados utilizando un algoritmo y no pueden ser derivados visualizando el certificado. El titular proporciona dicha información a la Pasarela de Pagos donde se verifica el certificado.

ACE sólo puede emitir un certificado a un titular a petición de su entidad financiera. Mediante la solicitud de un certificado, un titular está indicando su intención de llevar a cabo operaciones de comercio electrónico. El certificado es transmitido a los comercios con la orden de compra y las instrucciones de pago encriptadas. Con la recepción del certificado de titular, en comercio puede estar seguro como mínimo, de que el número de tarjeta ha sido validado por una entidad financiera emisora.

Un titular puede solicitar tantos certificados como tarjetas de crédito/débito disponga, quedando asociado cada uno a la tarjeta correspondiente.

El software utilizado por el titular para almacenar sus certificados y comunicarse con el comercio se denomina "Electronic Wallet" o cartera electrónica. Este software, integrado en el navegador de Internet que utilice el titular, le permitirá además almacenar la información sobre las transacciones efectuadas a lo largo del tiempo. Dicho software es proporcionado por la entidad financiera.

Certificados SET de Comercio (Merchant)

Los certificados de merchant o comercio son un sustitutivo de los logotipos de las marcas de tarjetas de crédito que se muestran en las cristaleras de los comercios. Estos logotipos indican que el comercio posee una relación con una entidad financiera que le permite aceptar pagos a través de tarjetas de crédito.

Dichos certificados son aprobados por la entidad financiera adquirente y aseguran que existe un acuerdo válido entre ambas partes. Un comercio debe disponer de un certificado para cada Brand o marca de tarjeta que acepte (Visa, MasterCard, ...).

El comercio necesita instalar en su servidor un software gestor o software de Merchant de transacciones comerciales a través de redes abiertas y que será compatible con cualquier red de proceso de pagos que soporte la especificación SET independientemente del proveedor. Dicho software gestionará los certificados del comercio y todos los procesos de encriptación, direccionamiento, desencriptación, manejo de claves públicas y privadas y comunicaciones con la pasarela de pagos de una forma automática. El software necesario es proporcionado por la propia entidad financiera.

Certificados SET de Pasarela de Pagos (Payment Gateway)

Los certificados de pasarela de pagos son emitidos a los adquirentes y sus procesadores de transacciones (operador de medio de pago) y se aplican a los sistemas que procesan las autorizaciones y capturan los mensajes. Dichos certificados residen en la infraestructura de pasarela de pago y realizan las validaciones de los certificados de titular y comercio que reciben. Una vez que la pasarela autoriza la operación, ésta devuelve la autorización al comercio.

La validez y garantías de los certificados SET de la Agencia de Certificacion Electronica reside en la jerarquía de confianza que los soporta. Cada certificado esta relacionado con la entidad que los firmó digitalmente. Mediante el seguimiento del árbol de confianza hasta una tercera parte confiable (TTP) conocida, se puede estar seguro de que el certificado es válido. Por ejemplo, un certificado de titular está relacionado con el certificado del emisor el cual a su vez está relacionado con la Brand o Marca a la que pertenece la tarjeta del titular (Visa, MasterCard, ...). La clave pública raíz o clave pública de "Brand" es conocido por todos los software SET y podrá ser utilizado para verificar todos los certificados que se encuentran por debajo de él. La clave raíz es distribuida a través de un certificado autofirmado. Esta clave va incluida en el software distribuido por los proveedores de software SET.

Dicho software puede confirmar que posee una clave raíz válida mediante una consulta a la Autoridad de Certificación.

 

Comunicación segura a través de redes abiertas de información (y III)

Apartados de este documento: (I)  (II)  (y III)

La Agencia de Certificación Electrónica

La Agencia de Certificación Electrónica (ACE) es la Autoridad de Certificación encargada del procesamiento de las solicitudes de emisión de certificados de titular, comercio y pasarela de pagos realizadas por las entidades financieras y de la emisión de los mismos.

ACE facilita la infraestructura necesaria para la emisión de los certificados. Los certificados tendrán una vigencia de un año tras el cual ACE se encargará del proceso de renovación. Además la Agencia de Certificación Electrónica se hará cargo de la gestión de revocaciones de certificados y de las listas negras.

Requisitos de Software

Como se ha indicado anteriormente, una transacción SET utiliza tres componentes de software:

Electronic Wallet: la aplicación de cartera electrónica está integrada en el navegador y proporciona al titular un lugar donde almacenar y gestionar sus tarjetas y certificados con el fin de comprar electrónicamente. Al mismo tiempo responde a los mensajes SET que recibe del comercio instándole a seleccionar una tarjeta de crédito para realizar la compra.

Software de comercio/merchant: el software de comercio es una aplicación que procesa las transacciones de los titulares y comunica con el banco adquirente o la pasarela de pagos solicitando autorización de pago y recibiendo el número de autorización o denegación correspondiente.

Software de Pasarela de Pagos: software instalado en la pasarela de pagos para la recepción y procesamiento de transacciones SET.

Descripción de la operativa SET de comercio electrónico

En general, en las operaciones de comercio electrónico se distinguen las siguientes fases:

1. El titular, mediante su browser o navegador, conecta con el web site del comercio. El contacto inicial puede haberse realizado no sólo a través de los catálogos on-line que se muestran en los "escaparates electrónicos" sino además:

• Ojeando un catálogo suministrado por el comercio en CD-ROM.
• Ojeando un catálogo en papel.

2. El titular selecciona un producto que desea comprar.

3. El titular visualiza una solicitud de comprar que contiene una lista de productos, precios, impuestos, gastos de envío, etc. Esta solicitud podrá haber sido enviada desde el servidor del comercio o generada por el propio software de compra del titular.

4. El titular selecciona el medio de pago (tarjeta, contra-reembolso...) que le ofrece el comercio. En el caso de que seleccione el pago a través tarjeta de crédito utilizando SET abrirá su wallet o cartera electrónica. El titular selecciona en su wallet el certificado SET emitido por ACE y ligado a la tarjeta con la que quiere realizar el pago.

5. Se establece una comunicación bajo el protocolo SET entre el browser y el comercio utilizando los certificados SET de titular y comercio.

6. El titular, mediante su wallet, envía dos sobres con información de su certificado: el pedido de compra firmado (mensaje abierto) y una orden de pago firmada (encriptada).

7. El comercio recibe la transacción electrónica del titular y verifica, mediante su software gestor, la validez del certificado del titular y el pedido de compra (firmado por el titular).

8. El comercio envía a la Pasarela de Pagos los datos de la transacción y el sobre encriptado con los datos de la tarjeta del titular.

9.La Pasarela de Pagos recibe la transacción electrónica del comercio, verifica los certificados las firmas del comercio y del titular, y descifra la petición de autorización enviada por el comercio y los datos de la tarjeta enviados por el titular con el fin de solicitar la autorización económica al Medio de Pago correspondiente.

10. La Pasarela de Pagos procesa la petición de autorización económica al Medio de Pago.

11. El Medio de Pago autoriza el pago y envía un mensaje con el número de autorización de la transacción SET a la Pasarela de Pagos.

12. La Pasarela de Pagos envía el número de autorización SET al comercio.

13. El comercio envía los productos o presta los servicios requeridos.

14. El Medio de pago realiza la liquidación a la Entidad Emisora (cargo) y a la Entidad Adquirente (abono).

SET frente a otros sistemas de pago

Fundamentalmente existen dos tipos de tecnología de seguridad para realizar compras on-line. Ambos métodos, disponibles en la plataforma de certificación actual de ACE, permiten cifrar la información antes de enviarla a través de Internet.

EL PROTOCOLO SSL

Secure Sockets Layer (SSL) proporciona seguridad mediante el cifrado del canal de comunicación establecido entre el consumidor y el comercio. Asimismo, el certificado de servidor emitido por ACE permite garantizar la autenticidad del servidor frente a los posibles compradores. Sin embargo, el comercio no puede realizar la identificación de la persona que quiere realizar la compra salvo que éste sea titular de un certificado X509v3 de ACE. Por otra parte, el pago no se realiza de una forma automática, sino que el titular tiene que introducir todos los datos personales y de tarjeta de crédito en una plantilla y enviarla a través de la comunicación segura establecida mediante SSL. Este proceso deberá repetirse cada vez que se quiera realizar un compra a no ser que el web disponga de alguna tecnología tipo "carro de la compra". Para verificar si un comercio está utilizando SSL basta con comprobar la URL del comercio y ver que en vez de "http" aparece "https".

Tanto Netscape Navigator como Internet Explorer utilizan SSL.

SSL plantea dos inconvenientes adicionales:

1. Sólo pueden realizarse transacciones punto a punto: SSL únicamente maneja interacciones punto a punto mientras que las transacciones con tarjeta de crédito involucran como mínimo a tres partes: el titular, el comerciante y el Banco o Caja emisor de la tarjeta.

2. Con SSL los datos de la tarjeta de crédito del cliente se mantienen en el servidor del comercio por lo que son vulnerables a un ataque externo. Por otra parte, los comerciantes no tienen asegurada la veracidad de los datos de la tarjeta enviados por el cliente.

SET

Mientras que SSL es una opción válida hoy en día, SET aporta la máxima seguridad y permite realizar pagos on-line. Además de cifrar la información sobre el pago, SET posibilita la verificación recíproca de la identidad del comercio y del titular, así como la autorización de ambos por su Entidad Financiera para la realización de transacciones mediante tarjeta de crédito.

SET está diseñado para posibilitar el pago mediante tarjeta de crédito a través de cualquier tipo de red abierta, incluyendo Internet, mediante el uso de certificados digitales que permiten autenticar a las partes intervinientes en la transacción, asegurando la integridad del mensaje y manteniendo la confidencialidad de la información transmitida (el comercio no tiene acceso a los datos del titular de la tarjeta).

Tanto el titular como el comercio deben disponer de un software específico para gestionar las transacciones SET. En el caso del titular se denomina "cartera electrónica".

Además, SET proporciona al comerciante una verificación inmediata de la disponibilidad de crédito y de la autenticidad del cliente, permitiéndole atender los pedidos sin riesgo de que se invalide la transacción, además de un cifrado más sólido, ya que codifica por separado la información sobre los pedidos y las tarjetas de crédito.

El inconveniente que posee SET actualmente es que el despliegue de las aplicaciones que manejan los certificados emitidos por ACE o propuesta de las entidades financieras, se está realizando con excesiva lentitud, lo cual retrasará su utilización entre los titulares y comercios.

Otros sistema que puede utilizarse para realizar pagos a través de redes abiertas es la combinación de los certificados de ACE de servidor (SSL activo), con el uso de certificados de navegador o cliente para autenticación y correo electrónico seguro. El funcionamiento es similar al de utilización de SSL, sólo que los certificados de cliente permiten autentificar a la persona que realiza la compra.

Si entendemos el comercio electrónico como algo más que la realización de pagos y cobros, los certificados X509.v3 de servidor y cliente, emitidos por ACE, permiten el intercambio seguro de información entre empresas o entre comercios y consumidores, como ofertas, catálogos, contratos, información sobre productos y servicios, facturas, albaranes, etc.