Omer Depablo
Seguridad en Comercio Electr�nico
Las condiciones que debe reunir una comunicaci�n segura a trav�s de Internet (o de otras redes) son en general las siguientes:
La herramienta b�sica para cumplir las condiciones anteriores son las t�cnicas establecidas por est�ndares de seguridad
SSL (Secure Sockets Layer) es un protocolo de prop�sito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versi�n del Navigator. Hoy constituye la soluci�n de seguridad implantada en la mayor�a de los servidores web que ofrecen servicios de comercio electr�nico. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del env�o de los bienes comprados, como para comprobar la veracidad de la informaci�n de pago), y los datos correspondientes a su tarjeta de cr�dito (n�mero, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como m�nimo un canal seguro para transmitir la informaci�n de pago y el comerciante ya se ocupar� manualmente de gestionar con su banco las compras.
Esquema de seguridad con SSL:

SSL es un protocolo que corre sobre TCP (protocolo de transporte punto a punto de Internet). Este se compone de dos capas y funciona de la siguiente manera:
Cuando se realiza una conexi�n inicial el cliente lo primero que hace es enviar una informaci�n con todo los sistemas de encriptaci�n que soporta, el primero de la lista es el que prefiere utilizar el cliente. Entonces el servidor responde con una clave certificada e informaci�n sobre los sistemas de encriptaci�n que este soporta.
Entonces el cliente seleccionar� un sistema de encriptaci�n, tratar� de
desencriptar el mensaje y obtendr� la clave p�blica del servidor.
Este m�todo de seguridad es de lo mejor ya que por cada conexi�n que se hace
el servidor env�a una clave diferente. Entonces si alguien consigue
desencriptar la clave lo �nico que podr� hacer es cerrarnos la conexi�n que
corresponde a esa clave.
Cuando se logra el este primer proceso que es la sesi�n solamente, los que
actuar�n ahora son los protocolos de capa 7 del OSI o sea la capa de
Aplicaci�n, claro que todo lo que se realice a partir de que tenemos una
sesi�n SSL establecida estar� encriptado con SSL.
Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite
certificados. Si el CA es una empresa externa que emite certificados de
autenticidad de clientes o empresas. Por ejemplo:
Que es lo que tiene un certificado
Un certificado contiene la siguiente informaci�n:
Como se negocia con SSL?
El protocolo http normal �escucha� en el puerto 80, el puerto SSL por defecto
�escucha� en el puerto 443 del servidor.
Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las
primeras �negociaciones� de los protocolos, que ya hemos explicado m�s arriba
en este texto. Toda esta comunicaci�n es encriptada, hasta que se cierre la
misma.
Infraestructura de Clave P�blica o Public Key Insfrastructure (PKI)
Esta basada en criptograf�a
de clave p�blica, que permite la gesti�n de certificados.
Una PKI es una fusi�n de soluciones dadas en hardware, software y pol�ticas de
seguridad. PKI como nombr� anteriormente est� dada por la utilizaci�n de
Certificados Digitales o bien un documento digital que identifica cualquier
transacci�n.
Que provee PKI:
Componentes:
En esta imagen presenta la misma funci�n en un sitio de Internet que el CA cumple de VA, y RA, dado que es una Empresa Certificadora Externa.

El N�mero 3 es nuestro CA que se encarga de:
Esta sesi�n por lo tanto es privada, Integra, soporta no repudio y tambi�n autenticaci�n.
Esto es todo por lo menos en la parte te�rica.
El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque pr�ctico y f�cil de implantar, no ofrece una soluci�n comercialmente integrada ni totalmente segura. SSL deja de lado demasiados aspectos para considerarse la soluci�n definitiva:
Son demasiados problemas e incertidumbres como para dejar las cosas como est�n. Se hac�a necesaria la existencia de un protocolo espec�fico para el pago, que superase todos los inconvenientes y limitaciones anteriores, motivo por el que se cre� SET.
El est�ndar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboraci�n de gigantes de la industria del software, como Microsoft, IBM y Netscape. La gran ventaja de este protocolo es que ofrece autenticaci�n de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a t�cnicas criptogr�ficas robustas, que impiden que el comerciante acceda a la informaci�n de pago (eliminando as� su potencial de fraude) y que el banco acceda a la informaci�n de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gesti�n del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.
Entonces, si todo son alabanzas, ventajas y puntos fuertes, �por qu� SET no termina de implantarse? �Por qu� no goza de la popularidad de SSL, si se supone mejor adaptado? En primer lugar, su despliegue est� siendo muy lento. Exige software especial, tanto para el comprador (aplicaci�n de monedero electr�nico) como para el comerciante (aplicaci�n POST o terminal de punto de venta), que se est� desarrollando con lentitud. En segundo lugar, aunque varios productos cumplan con el est�ndar SET, esto no significa necesariamente que sean compatibles. Este es un problema que exige mayores esfuerzos de coordinaci�n y m�s pruebas a escala mundial para asegurar la interoperabilidad. Sus puntos fuertes son tambi�n su tal�n de Aquiles: la autenticaci�n de todas las partes exige r�gidas jerarqu�as de certificaci�n, ya que tanto los clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de cr�dito, tr�mites que resultan engorrosos, cuando no esot�ricos, para la mayor�a de los usuarios.
En definitiva, SET es un elefante de gran tama�o y fuerza, pero de movimientos extraordinariamente pesados. SSL es una liebre que le ha tomado la delantera hace a�os. No es tan perfecto, no ofrece su seguridad ni sus garant�as, pero funciona.