El Comercio Electrónico debe garantizar la Seguridad en Internet

En Internet, la seguridad de las comunicaciones e intercambios electrónicos que no se protegen adecuadamente pueden ser interceptados y manipulados.

 Ello se debe a que la esencia de la red reside en el universo de un conjunto de lenguajes comunes entre los ordenadores, el protocolo de control transmisión TCP/IP , los cuales no fueron diseñados para ofrecer las suficientes garantías de seguridad.

Este protocolo fue creado para permitir a ordenadores heterogéneos trabajar con sistemas operativos distintos y poder comunicarse e intercambiar información.

De ahí que las transacciones electrónicas deban incorporar sistemas adicionales de seguridad.

Concretamente, los sistemas de comercio electrónico actuales debe dirigir una especial atención a los siguientes cuatro requerimientos en el ámbito de la seguridad en la red:

Requerimientos de Seguridad en la Red

1.- Confidencialidad o privacidad. Es necesario garantizar que la información que se transmita por internet sea ilegible para las personas y entidades no autorizadas.

Este requisito se cumple si se aplican las medidas necesarias para que ninguna persona ajena pueda acceder a los datos personales o bancarios del usuario.

2.- Autentificación. Los sistemas de e-commerce deben ser capaces de identificar a todos los participantes en el intercambio, así como en sus elementos.

Deben garantizar que la identidad del establecimiento o comercio virtual no podrá ser suplantada, de modo que ninguna otra persona, física o jurídica, pueda realizar ataques de phishing.

La práctica de phishing consiste en crear páginas web que imitan los sitios web del establecimiento online o de la entidad bancaria con el objetivo de obtener los datos personales de los usuarios, los datos de sus tarjetas y sus claves de acceso al sistema, entre otros.

3.- Integridad. La seguridad en la web también implica detectar alteraciones introducidas en el contenido original de los mensajes. También debe asegurarse que los mensajes recibidos coinciden con los enviados.

El sistema será íntegro si garantiza la detección de cualquier modificación en la información del intercambio comercial.

4.- No repudio. Los sistemas de seguridad en internet deben tener capacidad de garantizar que la información enviada sea recibida y leída por su destinatario, de forma que éste no pueda rechazar su recepción.

El no repudio de  una información o pago electrónico se refiere a la imposibilidad de que el comprador niegue haber adquirido determinados compromisos cuando, en realidad, si lo había adquirido, sin que el establecimiento online pueda probar lo que inicialmente habían acordado.

Esta propiedad de no repudio debe diferenciarse del derecho por ley que tienen todos los consumidores a devolver los productos, cuando éstos han sido comprados por internet.

Estos requerimientos de seguridad en la red deberían cumplirse en todas las operaciones que suponen un intercambio comercial, y especialmente en la comunicación de datos personales, en pedidos de compra, en la autorización de pagos y en la realización efectiva de los mismos.

Compras Seguras por internet 

Todo los requerimientos anteriores de seguridad electrónica no se cumplirían si no se acompañan de los mecanismos adecuados para proteger las aplicaciones y sistemas de información que intervienen en las compras online.

Estas técnicas recogen dos ámbitos, uno centrado en la transmisión de datos a través de internet (Seguridad SSL) y otro enfocado hacia el almacenamiento de los mismos (Seguridad de Datos).

1) Seguridad SSL en la Transmisión de Datos 

La protección de la información que se transfiere a través de internet se realiza a través de técnicas criptográficas que garantizan que los sistemas de e-commerce reúnen las propiedades de seguridad comentadas anteriormente.

La criptografía cifra la información, es decir, se transforma en un conjunto de símbolos incomprensibles que necesitan de claves para su correcta descodificación.

Esta ciencia que estudia las técnicas matemáticas relativas a la seguridad de la información impide que la información pueda ser interceptada, leída o manipulada por personas no autorizadas cuando se transmite por la red.

El protocolo de transmisión o transporte de información sensible por internet más extendido se llama protocolo SSL (secure sockets layer).

Sobre dicho protocolo se establecen comunicaciones cifradas entre los participantes de una transacción electrónica, lo que garantiza la confidencialidad de los datos transportados.

Además, el protocolo SSL incorpora funciones que permiten validar la integridad de los datos transmitidos.

La utilización del protocolo de transporte SSL es detectable fácilmente por el usuario, quien puede comprobar que el URL de la página pasa a ser https:// en lugar del habitual htpp:// y que su navegador incorpora un símbolo indicativo, como una llave o un candado cerrado.

Es aconsejable que las entidades virtuales que ofrecen intercambios comerciales por internet implementen SSL con autentificación. Este sistema les permite ofrecer plenas garantías de su identificación verdadera a sus clientes o consumidores.

Para dar de alta este proceso necesitan que una autoridad de certificación (por ejemplo VeriSign) emita un par de claves y un certificado digital u electrónico.

Para ello se requiere que una autoridad de certificación (como VeriSign, por ejemplo) emita un par de claves y un certificado digital.

En la práctica, los navegadores que emplean los usuarios incorporan una relación de autoridades de certificación en las que se puede confiar.

Si la autoridad de certificación no tiene un amplio reconocimiento, el navegador abre una consulta al usuario preguntándole si confía en la autoridad de certificación.

En cambio, a los usuarios no se les suele requerir la autentificación de su identidad, ya que hacerse con los certificados y las claves supone para ellos trámites adicionales.

Una excepción son las actividades que precisan un alto nivel de seguridad, como por ejemplo en España la presentación a la Agencia Tributaria del Impuesto de la Renta sobre Personas Físicas (IRPF).

Respecto al último requerimiento de seguridad en internet, la mayoría de implementaciones SSL proporcionan la propiedad de no repudio a las actividades de los servidores, pero no así a las de los clientes, quienes pueden acabar rechazando la transacción.

La gran mayoría de fraudes en el comercio electrónico se producen por el hecho de que el vendedor no ha autentificado a los clientes de forma plenamente segura, esto es, a través de certificados. Por tanto, tienen dificultades para validar el pago y asegurar el no repudio.

El hecho de que el pago online se haya realizado mediante tarjeta de crédito no significa que el usuario o consumidor sea verdaderamente el titular de la tarjeta bancaria.

De ahí que algunas modalidades de pago online, como las pasarelas de pago con tarjeta en tres dominios, introduzcan elementos adicionales que permiten cumplir las propiedades de autentificación y no repudio por parte de los clientes.

Si quieres profundizar en esta materia y conocer si es seguro un pago con tarjeta bancaria en internet o con otros medios de pagos electrónicos, te animo a que leas mi artículo sobre las formas de pagos online más seguras en internet.

2) Seguridad de datos en el Almacenamiento 

Las aplicaciones y datos que almacenan los ordenadores que se conectan a internet suelen estar protegidos a través de aplicaciones o software como los cortafuegos (firewall), sistemas de detección de intrusos o programas antivirus, que detectan e impiden los intentos de acceso que proceden de intrusos y programas maliciosos.

Los establecimientos online deben tener en cuenta que el almacenamiento y la gestión de los datos personales de los clientes en las bases de datos de la empresa ha de ser acorde con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, así como por la Ley 34/ 2002, de 11 de julio, de Servicios de la Sociedad de la Información.

Los usuarios para realizar operaciones de compra y tener acceso a la base de datos de la entidad que vende online deben registrarse para su identificación, lo que habitualmente se realiza por medio de un nombre de usuario y una contraseña.

En la identificación, se suele requerir el uso de mecanismos de cifrado, normalmente a través del protocolo SSL, para evitar que los datos empleados en la identificación puedan ser interceptados cuando son transmitidos por internet.

Conclusión:

Si queremos un comercio electrónico seguro, los sistemas deben cumplir con los requerimientos de seguridad en internet (confidencialidad, autentificación, integridad y no repudio).

Cualquier intercambio comercial en internet conlleva un especial riesgo, no solo a la hora de transmitir nuestros datos personales y bancarios en compras online, sino cuando autorizamos pagos online.

Para cumplir con los requisitos de seguridad mencionados, las plataformas de comercio electrónico deben disponer de mecanismos para proteger los sistemas de información que intervienen en las compras online.

Estos mecanismos abarcan dos aspectos, uno dirigido a la transmisión de datos a través de internet (Seguridad SSL) y otro orientado hacia el almacenamiento de los mismos (Seguridad de Datos).

Si te ha gustado, deja por favor un «Me Gusta» y compártelo en tus Redes Favoritas. 

También te puede interesar el siguiente artículo:

• Cuál es la forma de pago online más segura en internet

Sigue a Alfredo Hernández-Díaz en Google Plus

Acerca de alfredohernandezdiaz