Introducción | La seguridad... | Detección... | Comercio... | Mecanismos...
Hechos... | Caso práctico | Bibliografía

¿Qué ocurre con los datos de la tarjeta de crédito después que llegan al servidor?

Cuando hacemos compras en internet, la data pasa por cuatro momentos:

1. Autenticidad: todas las entidades participantes en la transacción están perfecta y debidamente identificadas antes de comenzar la misma.
   No se tiene la certeza de saber con quién estamos comunicándonos. Lo ideal en este sentido es que el cliente en una transacción de compra por Internet sólo debiera garantizar que es el legítimo propietario de la tarjeta de crédito que está usando en la misma, sin tener que hacer pública su identidad, por muchas leyes de protección de datos que estén vigentes.
   La Autenticidad se consigue mediante el uso de los certificados y firmas digitales.
2. Confidencialidad: El software de seguridad se asegura de que  los datos que  se envían solo son leídos por el destinatario final deseado. O en su defecto, aseguran que si alguien quiere obtener los datos, éstos ya no sirvan para nada. Lo ideal en este aspecto sería que las entidades implicadas en la transacción no llegaran a conocer más que los datos imprescindibles para realizar su función.
   La confidencialidad se consigue en las transacciones electrónicas con el uso de la Criptografía.
3. Integridad: el software  se asegura  de que los datos que se enviaron  llegan íntegros, sin modificaciones, a su destino final.
   La integridad se consigue combinando Criptografía, funciones hash y firmas digitales.
4. No repudio: el software se asegura de que una vez enviado un mensaje con datos importantes o sensibles el destinatario de los mismos no pueda negar el haberlos recibido.
   El no repudio se consigue mediante los certificados y la firma digital.

¿Cómo adquirir un Certificado digital?

El certificado, como se mencionó más arriba, permite realizar un conjunto de acciones de forma sencilla y con validez legal: firmar documentos, entrar en lugares retringidos, identificarse frente a la administración, entre otros.

Fases para la obtención de un certificado digital

Solicitud vía Internet del certificado

Desde el computador, acceder al ente encargado de emitir certificados digitales, este dato varía dependiendo del país desde el cual se tramite, previamente se debería investigar el nombre, dirección web y requisitos para obtener este tipo de sistema digital. Al final de este proceso, por lo general, se obtiene un código de la transacción que deberá ser presentado posteriormente ante el órgano otorgante.

Acreditación de la identidad en una oficina de registro

Se deberá acudir a la oficina de registro especificada durante el paso anterior. Normalmente, esta acreditación es personal para aumentar el nivel de autenticidad del sistema. En este momento se deberá indicar el número de transacción obtenido en el paso anterior además de los recaudos comprobatorios allí exigidos.

Descarga del certificado digital

Por lo general, luego de realizado el segundo paso, se establece un plazo para descargar el certificado digital desde el computador personal propio.
Debe tenerse en cuenta lo siguiente:

1. La solicitud y obtención del certificado deben ser realizadas desde el mismo equipo, navegador y usuario.
2. No actualizar la versión del navegador, formatear el equipo, cambiar el ordenador o versión del sistema operativo entre la solicitud y la obtención del certificado.

Copia de seguridad del certificado

Por último y como paso recomendado, es conveniente realizar un copia de seguridad del certificado obtenido para que, en caso necesario, pueda instalarse en otro computador.

¿Qué estrategia debe dar la empresa que vende un producto y necesita crear confianza a sus clientes que van introducir sus números de tarjetas de crédito y no van a ser estafados?

El problema de seguridad de los sistemas informáticos y de la información es la preocupación de la mayoría de los usuarios del llamado ebusiness. Sin embargo, a pesar de los esfuerzos de empresas que fundamentan sus transacciones en  negocio electrónico, por implantar políticas de seguridad adecuadas, muchas de ellas persisten en errores que bien podrían llamarse “típicos” y aunque la mayoría de los problemas de seguridad se atribuyen a los hackers o las inadecuadas aplicaciones de tales políticas, no toman en cuenta los peligros procedentes del interior de la compañía: los empleados constituyen la principal amenaza  del negocio electrónico. Según un estudio, la mayoría de los fallos de seguridad son cometidos por individuos con un amplio conocimiento de los sistemas de la compañía a la que atacan (muchas veces antiguos trabajadores, empleados poco satisfechos o ex proveedores externos)
Lo primero que debe tomarse en cuenta es evitar que ocurran situaciones como estos dos casos de dos compañías diferentes:

1. Una de ellas decidió sacar en menos de 1 mes un sitio de comercio electrónico para vender vinos por Internet. El sistema de comercio electrónico, inventario y transporte nunca estuvo listo aun después del  lanzamiento, así que los datos fueron recolectados sin encriptación en el protocolo http ni en la base de datos en donde guardaron los números de tarjetas de crédito para luego ser procesados manualmente por una persona que pasaba la tarjeta de crédito por un punto de venta hasta hacer el envío. Esta demás que el sitio Web nunca hizo dinero y fue cerrado a poco tiempo.
2. El otro sitio Web venezolano se decidió a recibir envió de comida por Internet. lo que pasaba tras bastidores era patético: Una persona recibía la orden y comenzaba a llamar por teléfono a los restaurantes para hacer la orden manualmente. De nuevo las tarjetas de crédito eran guardadas sin encriptación en una base de datos a la cual todos los desarrolladores y administradores tenían acceso. La compañía quebró al poco tiempo y como el caso anterior el paradero de los números de esas tarjetas de crédito es desconocido.

¿Cómo generar confianza en su sitio Web? primero tenemos que entender ¿Por qué hay tan poca confianza en Internet? La mayoría de los sitios webs de comercio electrónico se ajustan a esta descripción "alguien a quien no conocemos, nos quiere vender un producto que no podemos ver ni tocar. En muchos casos nos esconde el precio todo lo posible y por si fuera poco nos pide datos personales innecesarios para hacer una compra. Las políticas de devolución no suelen ser claras ni adecuadas a tanta incertidumbre y los costes de envío son sospechosamente altos"¿Si el vendedor de la esquina nos pidiera tanta confianza le compraríamos algo?; por consiguiente, podemos afirmar que:
Generación de confianza = reducción de la incertidumbre
Ante una página Web desconocida que genera mucha incertidumbre ¿qué se puede hacer para generar confianza? Básicamente, se deben introducir elementos de diseño que reduzcan esta incertidumbre.
Un estudio de Webcredibility (www.webcredibility.org) identifica los factores más importantes en la generación de confianza a partir del análisis los factores más comunes que contribuyen a generarla. Estos factores parecen un buen punto de partida.

1- Sensación de pertenencia al mundo real

Un sitio web es intangible, no se puede tocar, no se puede hablar directamente con el encargado. La información que remarque la existencia real de una organización o autor detrás de una web es esencial. El sitio web debe incluir información sobre la organización o autores, su dirección física, teléfono, e-mail y sus fotografías.

2- Facilidad de uso / Usabilidad

Los principios heurísticos generan confianza porque son en sí mismos elementos de reducción de incertidumbre y se refieren al control del usuario sobre el proceso, feedback informativo, indicaciones de situación, etc.
Cuando existe menor complejidad y mayor simplicidad en una web, hay menos incógnitas para resolver y por tanto se genera más confianza.
Un sitio web adaptado a los modelos mentales de los usuarios hace que no sea percibido como una caja negra de la que se obtienen resultados sin saber cómo, y lo convierte en un sitio que los usuarios controlan totalmente. Los buenos mensajes de error también contribuyen a aumentar la sensación de control y reducen la incertidumbre.

3- Profesionalidad

El sitio debe dejar claro que el autor/organización conoce bien el tema tratado. Para reforzar esta impresión se han de incluir las credenciales del autor en cada artículo. Realizar citas y referencias con el formato correcto demuestra una formación cultural adecuada.

4- Transparencia

Los precios

Deben mostrarse claramente incluyendo impuestos y si es posible costes de envío. La información de los productos ha de ser suficiente para tomar una decisión de compra a distancia de un producto de ese coste.

Objetivos de la web y política de contenidos

Una web tiene unos objetivos formales que suelen ser claramente visibles, por ejemplo vender productos para la práctica del alpinismo. Pero además existen otros objetivos del autor/organización, por ejemplo, les encantaba el alpinismo y al no encontrar un sitio así decidieron crearlo.
Incluir una política de contenidos definida, explicar la razón que lleva al sitio a hacer las cosas de una determinada manera ayuda a los usuarios a confiar en la organización. Por ejemplo si una web no incluye productos de bajo precio puede explicar que el retorno de productos defectuosos adquiridos por Internet es especialmente problemático y molesto para vendedor y comprador, y por tanto la estrategia del sitio no es vender cualquier cosa. Dejar claros estos aspectos es un ejercicio de honestidad que los usuarios aprecian.
Detallar los objetivos, la perspectiva del sitio y su política de contenidos es extraordinariamente apreciado por los usuarios.

Política de devoluciones

Deben existir vínculos muy visibles a las páginas de política de devoluciones. Ante la inseguridad que genera Internet una de las principales prioridades de un usuario es saber las condiciones de devolución del artículo antes de comprarlo.

Factores que influyen negativamente en la generación de confianza.

Implicaciones comerciales: Publicidad

Las pop-up y banners publicitarios hacen disminuir la confianza en los sitios web. Aunque un  estudio concluye que los banners publicitarios aumentan la confianza en una web, otros estudios concluyen lo contrario. En cualquier caso y para que ese efecto se produjese no debería existir la ceguera a los banners.
Aunque es posible que contener banners de empresas con buena imagen de marca, contener banners publicitarios de poca confianza puede ser un elemento que haga perderla.

Registro y datos personales

Se debe evitar la obligatoriedad del registro en un sitio o en su defecto retrasarlo lo máximo posible. Proporcionar datos personales es algo incómodo para los usuarios y aún más cuando no forman parte de su objetivo (comprar algo) sino de los objetivos de la web (almacenar los datos para futuros usos comerciales). Es más adecuado reaprovechar los datos introducidos en la compra para ofrecer la posibilidad de registro al final.
En caso de necesitar el e-mail o teléfono del usuario se deben explicar las razones de esta demanda. La política de privacidad ha de ser clara y visible.

Amateurismo

Los elementos opuestos a los enumerados anteriormente generan percepción de amateurismo y pérdida de confianza. La falta de actualización de los contenidos, el hospedaje en sitios gratuitos, las URL’s no coincidentes con el nombre de la organización, los errores de ortografía, la indisponibilidad frecuente, los vínculos rotos o sitios con problemas (frames), etc.

Otros elementos que influyen en la confianza

¿Información secreta?

Dar información que podría ser secreta y que teóricamente puede ayudar a la competencia es algo que incrementa la confianza en un sitio web. Las políticas de secretismo están ancladas en el pasado, van contra la propia esencia del hipertexto y demuestran que no se entiende bien el medio. Obviamente no se puede dar todo, pero cuanto mas se da, más valor adquiere lo que no se da. Por otro lado no hay que tanto que temer puesto que la información procedimental no se puede aprender más que de la práctica constante.

¿Diseño elegante?

Muchos diseñadores piensan que para generar confianza un diseño gráfico elegante y sobrio es esencial. Sin embargo los sitios web que más confianza generan en Internet, Yahoo, Amazon, eBay o Google tienen diseños en las antípodas de las webs elegantes de empresas equivalentes del mundo físico. La relación entre diseño elegante y confianza es muy dudosa.
Certificados de seguridad o confianza
La mayoría de ellos no son efectivos porque son totalmente desconocidos para los usuarios. Un certificado es efectivo en cuanto es emitido por una tercera partes acreditada y conocida. Los usuarios españoles no conocen los certificados de seguridad de EE.UU. o los de tecnología y pueden confiar más en el certificado de la Organización de Consumidores y Usuarios, más cercana y conocida.

Valoraciones de anteriores compradores

Son muy eficaces para generar confianza, pero para que sean creíbles han de incluirse tanto las de signo positivo como las de signo negativo tal y como hace Amazon. Si todas las valoraciones son positivas no aportan ningún valor.

La empresa debe adquirir un Certificado de Seguridad - SSLCertificate (Verign, Thawte, etc.)

A la luz de los riesgos asociados al comercio electrónico y la comunicación en línea, es importante no sólo utilizar  tecnología de cifrado seguro cuando se realizan negocios en Internet, sino también probar la propia identidad y desarrollar relaciones de confianza con socios y clientes.
Para poder establecer estas relaciones en línea, es necesaria la autenticación de una tercera parte de confianza, así como recibir un certificado SSL (Secure Sockets Layer) firmado por esa tercera parte. El cifrado es el proceso de transformación de la información que la hace ininteligible para todos excepto para el destinatario original y sienta la base para la integridad de datos y la privacidad imprescindibles para el comercio electrónico. Sin embargo, sin la autenticación, la tecnología de cifrado no es suficiente para proteger a los usuarios de estos servicios electrónicos. Es necesario utilizar la autenticación junto con el cifrado para proporcionar:

1. Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.
2. Confirmación de que la empresa nombrada en el certificado es una entidad legal.
3. Confirmación de que la persona que solicitó el certificado SSL en nombre de la organización había sido autorizada a hacerlo.

Algunas autoridades de certificación (Certificate Authorities, CA) creen que el cifrado basta por sí  mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Pero de hecho, hay una diferencia entre certificados autenticados (“alta seguridad”), que nos dan  confianza y seguridad, y los certificados no autenticados (“baja seguridad”), que socavan la confianza del cliente y vulneran la seguridad en la red. Además de utilizar la tecnología de cifrado, es de vital importancia que el sitio web esté autenticado, lo que aumentará la confianza de los internautas que visiten su sitio web y su negocio.
Los servicios de seguridad Secure Site de VeriSign ofrecen los medios para asegurar y activar el comercio electrónico de su sitio web, lo que proporciona al cliente la tranquilidad de que sus operaciones en la Web son seguras. El aumento de la confianza en las transacciones realizadas en línea aporta muchos beneficios. Entre los más importantes están el aumento de los ingresos y la rentabilidad. El comercio electrónico nos presenta auténticos desafíos (e importantes oportunidades) para poder proporcionar el mismo nivel de confianza y personalización en Internet que los que ofrecen los comercios físicos.

¿Por qué es necesario contar con certificados SSL autenticados?

Las nociones de identidad y autenticación son conceptos fundamentales en cualquier mercado. Los individuos y las instituciones deben conocerse mejor y tener confianza en el otro antes de poder realizar negocios. En el comercio tradicional, la gente se basaba en los documentos físicos (como una licencia comercial o una carta de crédito) para probar su identidad y asegurar a la otra parte su capacidad para realizar una transacción.
En la edad del comercio electrónico, los certificados SSL autenticados proporcionan la indispensable identidad y seguridad en línea que ayuda a establecer una relación de confianza entre las partes involucradas en transacciones electrónicas en redes digitales. Independientemente de si el negocio se realiza en el mundo digital o el físico, las partes involucradas deben poder responder a las siguientes preguntas:

1. ¿Quién eres? (Requisito de identidad).
2. ¿A qué comunidad perteneces? ¿Eres un miembro de confianza? (Respaldo de una asociación).
3. ¿Cómo puedes probar tu identidad? (Validación de la identidad).

Los clientes deben tener la certeza de que el sitio web con el que se están comunicando es auténtico y de que la información que envíen mediante su navegador web seguirá siendo privada y confidencial.

Cómo saber si un sitio web es auténtico

Antes de enviar información o adquirir productos de un vendedor en línea, debe saber que la empresa con la que está realizando la transacción es quien dice ser. Aunque los sitios web pueden comprar certificados de servidor de muchas autoridades de certificación, los navegadores de Internet están configurados para que sólo confíen en los certificados de servidor que provengan de empresas de buena reputación. Cuando visita un negocio en línea que está asegurado por VeriSign, por ejemplo, puede estar seguro de que el sitio es auténtico.
Aunque muchos consumidores y empresarios no comprenden totalmente el exhaustivo método de los servicios de autenticación de VeriSign, saben que pueden tomar el sello Secured Seal de VeriSign como prueba de que una empresa es real y que constituye un lugar seguro en el que comprar.
Todas las empresas web autenticadas obtienen un sello con su solución de certificado para aumentar la confianza de los clientes en su sitio.
Los navegadores Netscape Navigator y Microsoft Internet Explorer incorporan mecanismos de seguridad que impiden que los usuarios envíen involuntariamente información confidencial a través de canales poco seguros. Si un usuario intenta enviar información a un sitio no seguro (un sitio sin un certificado SSL autenticado), el navegador mostrará de forma predeterminada un mensaje de advertencia, indicando que el proceso de compra puede suponer un riesgo.

¿Cómo les cobramos a los usuarios que quieran comprar a través de nuestro sitio web?

Enumeremos en principio los métodos de pago utilizados en Internet:

• Contra reembolso: El cliente paga cuando recibe la mercadería. El comerciante debe verificar fehacientemente la dirección física del comprador y su disposición a la compra, para evitar costosos malentendidos.
• Giro postal o telegráfico: utilizando el correo, el cliente gira el dinero al comerciante. Es la forma más simple de implementar y la que utilizan todos los Sitios Web al iniciar sus actividades.
• Depósito en cuenta corriente: Otra forma muy sencilla de empezar a cobrar por Internet. A veces suelen ser prohibitivos los costos cuando se realizan transferencias bancarias entre países, por lo que es aconsejable utilizarlo solamente para transacciones dentro de un mismo país, o por montos importantes.
• Western Union: Esta empresa está implementando en varios países un novedoso sistema, denominado Quick Pay, que acredita directamente en la cuenta corriente del comerciante, el pago efectuado por su cliente en cualquier sucursal de Western Union en el mundo.
• Pay Pal: El cliente nos puede enviar dinero deduciéndolo de su tarjeta de crédito. Una desventaja es que Pay Pal sistema sólo está habilitado en 36 países.
• Tarjetas de crédito: lo vamos a ver en forma separada por ser un tópico fundamental de este tema.

Realizado por: Jorge Eliecer Jaimes Jimenez - Junio 2008