SET a fondo Secure Electronic Transaction
• Número: 22
• Sección: Artículos.
Internet promete nuevas oportunidades de negocio, pero plantea también importantes desafíos de seguridad que frenan la expansión del comercio electrónico entre empresas y consumidores. La llegada de nuevas soluciones de pago como SET pavimentan el camino hacia un comercio seguro a través de Internet.
En el panorama actual de Internet existen dos tipos de negocios: los que se sirven de la Red como de un mero escaparate virtual en el que anunciar sus productos y servicios, y los que utilizan mecanismos web para además vender esos productos. Por supuesto, la ventaja competitiva de estas empresas es muy superior a la de las primeras: su comercio, no sólo su catálogo, está disponible las 24 horas del día, siete días a la semana, accesible a un mercado potencialmente mundial. En contrapartida, también la complejidad de gestión de pagos a la que se enfrentan es mucho mayor. Como cualquier otro canal de distribución, la Red plantea un conjunto único de retos de seguridad que deben afrontarse racionalmente para minimizar el riesgo y ofrecer una confianza sólida a los actores de las relaciones telemáticas que no se conocen entre ellos, tanto en el business-to-business entre empresas, como en el comercio al por menor entre vendedores y compradores particulares. El protocolo SET para pagos seguros con tarjeta de crédito a través de Internet ofrece una solución para reducir costes de operación para el vendedor, aumentar la seguridad frente a otras tecnologías más extendidas como SSL a la vez que reduce el fraude y expandir las fronteras de negocio de los comerciantes hacia nuevos mercados globales.
Qué es SET ¿Por qué la necesidad de protocolos como SET? ¿No bastaría con enviar los datos de la tarjeta de crédito a través de un formulario web? Al fin y al cabo miles de compras se realizan diariamente suministrando por teléfono esta información. ¿Dónde está la diferencia? Lo cierto es que Internet presenta un obstáculo psicológico para la mayoría de los compradores, que inhibe el crecimiento de la Web como escenario de comercio electrónico. El temor al fraude con tarjetas de crédito retrae por igual a consumidores (que quieren estar seguros de comprar en una tienda real y que el comerciante no utilizará ilícitamente su tarjeta de crédito) y comerciantes (que de hecho se encuentran más desprotegidos que los clientes, ya que deben asumir los costes de transacciones ilícitas si más tarde el titular legítimo de la tarjeta rechaza el pedido), y este temor afecta tanto a los intereses económicos de los comerciantes, que ven reducidas sus ventas, como de las instituciones financieras, que ven disminuir sus comisiones por pagos con tarjeta. El protocolo SSL (véase iWorld, número de julio/agosto 1999, Seguridad con SSL), actualmente mucho más extendido en Internet que SET, no fue diseñado para interacciones entre múltiples partes, como las transacciones comerciales, que pueden llegar a involucrar hasta seis partes. SSL se limita a cifrar el número de tarjeta de crédito cuando es transmitido desde el navegador del cliente hasta el servidor del comerciante, resultando insuficiente para los requisitos de seguridad de un comercio electrónico fiable. Esta situación no se podía mantener por más tiempo, por lo que en 1995 Visa y MasterCard, con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, RSA, o VeriSign, unieron sus fuerzas para desarrollar Secure Electronic Transaction (SET), un protocolo estandarizado y respaldado por la industria, diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet.
Cómo SET protege sus transacciones El protocolo SET ofrece una serie de servicios que convierten las transacciones a través de Internet en un proceso seguro y fiable para todas la partes implicadas:
Autenticación: todas las partes involucradas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden verificar mutuamente sus identidades mediante certificados digitales. De esta forma, el comerciante puede asegurarse de la identidad del titular de la tarjeta y el cliente, de la identidad del comerciante. Se evitan así fraudes debidos a usos ilícitos de tarjetas y a falsificaciones de comercios en Internet (web spoofing), que imitan grandes web comerciales. Por su parte, los bancos pueden asimismo comprobar la identidad del titular y del comerciante.
Confidencialidad: la información de pago se cifra para que no pueda ser espiada mientras viaja por las redes de comunicaciones. Solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes. Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han comprado o a qué dirección deben enviarse, debe recurrirse a un protocolo de nivel inferior como SSL.
Integridad: garantiza que la información intercambiada, como el número de tarjeta, no podrá ser alterada de manera accidental o maliciosa durante su transporte a través de redes telemáticas. Para lograrlo se utilizan algoritmos de firma digital, capaces de detectar el cambio de un solo bit.
Intimidad: el banco emisor de la tarjeta de crédito no puede acceder a información sobre los pedidos del titular, por lo que queda incapacitado para elaborar perfiles de hábitos de compra de sus clientes.
Verificación inmediata: proporciona al comerciante una verificación inmediata, antes de completarse la compra, de la disponibilidad de crédito y de la identidad del cliente. De esta forma, el comerciante puede cumplimentar los pedidos sin riesgo de que posteriormente se invalide la transacción.
No repudio para resolución de disputas: la mayor ventaja de SET frente a otros sistemas seguros es la adición al estándar de certificados digitales (X.509v3), que asocian la identidad del titular y del comerciante con entidades financieras y los sistemas de pago de Visa, MasterCard, etc. Estos certificados previenen fraudes para los que otros sistemas no ofrecen protección, como el repudio de una transacción (negar que uno realizó tal transacción), proporcionando a los compradores y vendedores la misma confianza que las compras convencionales usando las actuales redes de autorización de créditos de las compañías de tarjetas de pago.
Quiénes participan en SET El pago mediante tarjeta es un proceso complejo en el cual se ven implicadas varias entidades:
El banco emisor: emite la tarjeta del cliente, extiende su crédito y es responsable de la facturación, recolección y servicio al consumidor. En el artículo 46 de la Ley de Comercio Minorista se establece que cuando el importe de una compra hubiese sido cargado utilizando el número de una tarjeta de crédito, sin que ésta hubiese sido presentada directamente o identificada electrónicamente (por ejemplo por un hacker que robó el número en Internet), su titular podrá exigir la inmediata anulación del cargo.
El banco adquiriente: forma relación con el comerciante, procesando las transacciones con tarjeta y las autorizaciones de pago.
El titular de la tarjeta: posee la tarjeta emitida por el banco emisor y realiza y paga las compras.
El comerciante: vende productos, servicios o información y acepta el pago electrónico. La parte débil en las transacciones electrónicas es el comerciante, a quien corresponde probar que su abono está justificado (a no ser que responda el banco o entidad financiera titular de la tarjeta, todo depende del contrato que tenga con el comerciante).
La pasarela de pagos: mecanismo mediante el cual se autorizan y procesan las transacciones del comerciante (autorización, revocación, liquidación, etc.). La pasarela puede pertenecer a una entidad financiera (adquiriente) o a un operador de medios de pago. Conectan Internet con las redes privadas de autorización de pagos, largamente establecidas y fiables.
El procesador (redes de medios de pago): proporciona servicios adicionales operando la infraestructura de telecomunicaciones sobre las que se realizan las transacciones.
Autoridad de certificación: certifica las claves públicas del titular de la tarjeta, del comerciante y de los bancos. La Agencia de Certificación Española (ACE), formada por Telefónica, SERMEPA, CECA y Sistema 4B, viene ofreciendo el servicio de certificación SET desde finales de 1998 en España, www.ace.es.
Cómo funciona SET El proceso subyacente en una transacción SET típica funciona de forma muy parecida a una transacción convencional con tarjeta de crédito:
1. Decisión de compra del cliente. El cliente está navegando por el sitio web del comerciante y decide comprar un artículo. Para ello rellenará algún formulario al efecto y posiblemente hará uso de alguna aplicación tipo carrito de la compra, para ir almacenando diversos artículos y pagarlos todos al final. El protocolo SET se inicia cuando el comprador pulsa el botón de Pagar o equivalente.
2. Arranque de la cartera. El servidor del comerciante envía una descripción del pedido que despierta a la aplicación cartera del cliente (vea el recuadro “La cartera safeWallet”).
3. Transmisión cifrada de la orden de pago. El cliente comprueba el pedido y transmite una orden de pago de vuelta al comerciante. La aplicación cartera crea dos mensajes que envía al comerciante. El primero, la información del pedido, contiene los datos del pedido, mientras que el segundo contiene las instrucciones de pago del cliente (número de tarjeta de crédito, banco emisor, etc.) para el banco adquiriente. En este momento, el software cartera del cliente genera un firma dual, que permite juntar en un solo mensaje la información del pedido y las instrucciones de pago, de mane- ra que el comerciante puede acceder a la información del pedido, pero no a las instrucciones de pago, mientras que el banco puede acceder a las instrucciones de pago, pero no a la información del pedido. Este mecanismo reduce el riesgo de fraude y abuso, ya que ni el comerciante llega a conocer el número de tarjeta de crédito empleado por el comprador, ni el banco se entera de los hábitos de compra de su cliente.
4. Envío de la petición de pago al banco del comerciante. El software SET en el servidor del comerciante crea una petición de autorización que envía a la pasarela de pagos, incluyendo el importe a ser autorizado, el identificador de la transacción y otra información relevante acerca de la misma, todo ello convenientemente cifrado y firmado. Entonces se envían al banco adquiriente la petición de autorización junto con las instrucciones de pago (que el comerciante no puede examinar, ya que van cifradas con la clave pública del adquiriente).
5. Validación del cliente y del comerciante por el banco adquiriente. El banco del comerciante descifra y verifica la petición de autorización. Si el proceso tiene éxito, obtiene a continuación las instrucciones de pago del cliente, que verifica a su vez, para asegurarse de la identidad del titular de la tarjeta y de la integridad de los datos. Se comprueban los identificadores de la transacción en curso (el enviado por el comerciante y el codificado en las instrucciones de pago) y, si todo es correcto, se formatea y envía una petición de autorización al banco emisor del cliente a través de la red de me- dios de pago convencional.
6. Autorización del pago por el banco emisor del cliente. El banco emisor verifica todos los datos de la petición y si todo está en orden y el titular de la tarjeta posee crédito, autoriza la transacción.
7. Envío al comerciante de un testigo de transferencia de fondos. En cuanto el banco del comerciante recibe una respuesta de autorización del banco emisor, genera y firma digitalmente un mensaje de respuesta de autorización que envía a la pasarela de pagos, convenientemente cifrada, la cual se la hace llegar al comerciante.
8. Envío de un recibo a la cartera del cliente. Cuando el comerciante recibe la respuesta de autorización de su banco, verifica las firmas digitales y la información para asegurarse de que todo está en orden. El software del servidor almacena la autorización y el testigo de transferencia de fondos. A continuación completa el procesamiento del pedido del titular de la tarjeta, enviando la mercancía o suministrando los servicios pagados. Además, se le entrega a la aplicación cartera del cliente un recibo de la compra para su propio control de gastos y como justificante de compra.
9. Entrega del testigo de transferencia de fondos para cobrar el importe de la transacción. Después de haber completado el procesamiento del pedido del titular de la tarjeta, el software del comerciante genera una petición de transferencia a su banco, confirmando la realización con éxito de la venta. Como consecuencia, se produce el abono en la cuenta del comerciante.
10. Cargo en la cuenta del cliente. A su debido tiempo, la transacción se hace efectiva sobre la cuenta corriente del cliente.
El protocolo definido por SET especifica el formato de los mensajes, las codificaciones y las operaciones criptográficas que deben usarse. No requiere un método particular de transporte, de manera que los mensajes SET pueden transportarse sobre HTTP en aplicaciones Web, sobre correo electrónico o cualquier otro método. Como los mensajes no necesitan transmitirse en tiempo presente, son posibles im- plantaciones de SET eficientes basadas en correo electrónico u otros sistemas asíncronos. En su estado actual SET solamente soporta transacciones con tarjeta de crédito/débito, y no con tarjetas monedero. Se está trabajando en esta línea para extender el estándar de manera que acepte nuevas formas de pago. Al mismo tiempo se están desarrollando proyectos para incluir los certificados SET en las tarjetas inteligentes, de tal forma que el futuro cambio de tarjetas de crédito a tarjetas inteligentes pueda incorporar el estándar SET.
Qué se necesita para operar con SET Existen cuatro componentes software distintos necesarios para completar el escenario de pago seguro mediante SET:
El software de cartera del titular: aplicación que permite a los compradores almacenar información acerca de sus datos personales para el envío de las mercancías compradas, así como información de pago, como número de tarjeta de crédito y banco emisor. Debe ser compatible con SET, ya que constituye el medio a través del cual se transmite la información de su certificado digital en los pagos por Internet. Para garantizar la seguridad de sus datos, el monedero los protege mediante una contraseña. Microsoft distribuye una aplicación monedero con su navegador Internet Explorer 4.0 ó superior (Herramientas, Opciones de Internet..., Contenidos, Pagos). SafeLayer (www.safelayer.com) comercializa en España una aplicación de cartera digital, poniendo a disposición del pú- blico una versión de demostración (vea el recuadro La cartera safeWallet). Para examinar un listado exhaustivo de monederos digitales actualmente disponibles, visite la matriz de compatibilidad de SETCo en www.setco.org/matrix.html. Si su banco emite certificados SET, distribuirá también soft- ware de monederos digitales. Puede consultarlo con él.
El software de punto de venta del comerciante: para que el sitio web del comerciante acepte pagos con SET necesitará instalar una aplicación de Terminal de Punto de Venta (POST) compatible con SET en su servidor, que acepte los pedidos y procese los pagos con el banco. Póngase en contacto con su banco para inquirir si proveen aplicaciones POST compatibles SET. Para obtener un listado de empresas que comercializan aplicaciones POST que hayan sido certificadas visite la matriz de compatibilidad de SETCo en www.setco.org/matrix.html.
El software del servidor de la pasarela de pagos: realiza el procesamiento automatizado de los pagos. La pasarela recibe peticiones de autorización/liquidación/reconciliación de pagos de los sistemas del comerciante (POST) en Internet y las encamina hacia los sistemas de pago propietarios (sistemas de autorización tradicionales). El software de la autoridad de certificación: las entidades financieras que decidan soportar el estándar SET necesitarán este software para que sus respectivos clientes (titulares de tarjetas y comerciantes que aceptan pago con tarjeta) puedan participar en el juego. Permite registrar a los usuarios y emitir certificados digitales para ellos, que aseguren la confianza entre las partes. Además, tanto los clientes como los comerciantes necesitan certificados para garantizar la identidad de los participantes. Su significado y funcionamiento se explicará a continuación.
El papel de los certificados en SET SET proporciona los mecanismos necesarios para que tanto consumidores como comerciantes se autentifiquen mutuamente antes de que la transacción tenga lugar. De esta mane- ra se consigue replicar en el mundo digital la situación común en la que el cliente se encuentra físicamente delante del mostrador del vendedor a la hora de pagar la compra. SET utiliza certificados digitales para realizar este proceso de autentificación. Estos certificados sirven como documentos de identidad digitales (algo así como un DNI virtual) que permiten verificar la identidad de una persona a través de una red de telecomunicaciones, de manera similar a como una firma en las tarjetas de crédito atestigua que el signatario es el legítimo titular. Por su parte, los certificados emitidos a comerciantes equivalen a esas etiquetas mostradas en el escaparate en las que se informa de que aceptan pagos con tarjetas de esta o aquella casa, además de dar fe de su identidad. Los certificados son emitidos y gestionados por la misma entidad financiera o emisor de tarjetas de la que se recibió la tarjeta de pago. Se necesita un certificado distinto para cada marca diferente de tarjeta de crédito con la que se efectúen las compras (caso del consumidor) o que sea aceptada en el comercio (caso del comerciante). Los certificados SET son emitidos por autoridades de certificación (AC) dentro de la jerarquía de certificación SET (ver figura Jerarquía de certificación SET). Esta jerarquía asegura la autenticación válida de los participantes. Garantiza además la seguridad de los datos intercambiados entre titulares, comerciantes, bancos y pasarelas de pagos. La autoridad raíz autentica y emite certificados a las casas de medios de pago, cada una de las cuales se establece a su vez como autoridad de certificación para su marca (Visa, MasterCard, AmericanExpress, etc.). Cada marca de tarjetas de crédito establece su propia pasarela de pagos como una AC. La AC de la pasarela de pagos de cada marca emite certificados digitales para bancos adquirientes o procesadores de pago de terceras partes que actúan en representación de entidades adquirientes, de manera que estas entidades pueden aceptar transacciones por Internet y convertirlas a mensajes que las redes privadas de pago pueden entender para procesar el pago. Las AC de marcas de tarjetas autentifican y emiten certificados a sus bancos y entidades de crédito miembros, a las que establecen como autoridades de certificación. Las entidades adquirientes se erigen en AC de comerciantes, mientras que las entidades emisoras lo hacen en AC de titulares. Una vez erigida en AC de titular y/o comerciante, la entidad financiera puede autenticar y emitir certificados a sus clientes, sean estos particulares y/o comerciantes.
Obstáculos de SET Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no termina de implantarse? En primer lugar, SET no resulta fácil de implantar, por lo que su despliegue está siendo muy lento. SET exige software especial, tanto para el comprador (aplicación de cartera electrónica) como para el comerciante (aplicación POST o TPV), y los bancos (software de autoridad de certificación, pasarela de pagos, etc.). La creación y comercialización (o distribución gratuita, según el caso), de estos productos software se está desarrollando con lentitud, no existe suficiente información al respecto y en general la situación es cuando menos confusa. En segundo lugar, aunque los productos anteriores cumplan con el estándar SET, esto no implica necesariamente que sean compatibles. Este es un problema que exige mayores esfuerzos de coordinación y más pruebas a escala mundial para asegurar la interoperabilidad. Es difícil encontrar una aplicación cartera que pueda comprar con cualquier terminal POST, y viceversa (un TPV que acepte pagos de cualquier otra aplicación cartera). Estas barreras constituyen un obstáculo importante que seguirán retrayendo el despliegue SET en tanto no se alcance la convergencia de aplicaciones. SET puede llegar a originar un conflicto en muchos vendedores a la hora de integrar los productos SET con sus sistemas internos de entrada de órdenes. Como la información sobre el número de la tarjeta de pago del comprador está cifrada e inaccesible al vendedor, pueden surgir problemas con sistemas internos que precisan para su propia contabilidad el número de la tarjeta del cliente. En tales casos, una posible solución sería que los propios comerciantes solicitaran los números de tarjeta de los compradores a las organizaciones de tarjetas de pago. Un inconveniente adicional de SET reside en su incapacidad para trabajar con pagos aplazados, modalidad muy extendida en países como España. Sus puntos fuertes son también su talón de Aquiles: la autentificación de todas las partes exige rígidas jerarquías de certificación, ya que tanto clientes como comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que resultan engorrosos, para la mayoría de los usuarios. Se añade el problema de la revocación de certificados, la portabilidad de los mismos cuando el usuario trabaja en distintas máquinas y las cadenas de certificación. En definitiva, SET descansa sobre una infraestructura de clave pública (PKI) que en la actualidad dista mucho de ser perfecta. SET seguirá coexistiendo con SSL durante mucho tiempo, hasta que se alcance una masa crítica de usuarios que propicien su utilización a gran escala, o caiga en el olvido superado por otra nueva iniciativa más ágil y mejor adaptada. Las opiniones de los analistas se encuentran divididas acerca de su futuro. En lo que todos coinciden es que aún le queda un largo camino por recorrer.
Glosario de términos SET ------------------------------------ Autoridad de Certificación: servicio ofrecido por su banco (o la entidad delegada) para firmar digitalmente claves públicas que le son remitidas por un navegador o el software del servidor del comerciante. Carrito de la compra: elemento de un catálogo en línea que mantiene una relación de los artículos que ha decidido comprar. Al terminar la compra, se pasa por la caja virtual y se paga el conjunto usando SET. Certificado digital: clave pública que ha sido firmada por una autoridad de certificación confiable (como por ejemplo su banco) para identificar a los comerciantes y compradores cuando hagan uso de esta clave. Contiene además datos personales de identificación del usuario. Estos certificados se usan para la protección de la información de pago. Clave Privada: clave que debe permanecer secreta, ya que permite descifrar los mensajes recibidos cifrados con la clave pública, así como firmar mensajes. Ver Criptografía de Clave Pública. Clave Pública: clave que otras personas pueden conocer para enviar mensajes cifrados a su propietario o para verificar la firma de mensajes firmados por él. Ver Criptografía de Clave Pública. Criptografía de Clave Pública: utiliza dos claves, una pública (conocida por todos) y otra privada (sólo conocida por el propietario), matemáticamente relacionadas, de manera que mensajes cifrados con una de ellas sólo pueden ser descifrados si se conoce la otra. Firma digital: sirven para asegurar la integridad y la autenticidad de los mensajes. Representan el equivalente digital de la firma convencional dibujada a mano. Firma dual: aplicación novedosa de las firmas digitales introducida por SET. Consiste en firmar los mensajes de manera que tanto el comerciante como el banco puedan verificar su integridad y autenticidad, pero sin acceder a los contenidos destinados a la otra parte. Logo SET: es el sello que le indica que el comerciante está usando software que ha superado con éxito el test de Certificación de Software SET. Monedero digital: constituye el remedo digital de la cartera o monedero donde almacena sus tarjetas de crédito y su identificación personal. En el monedero digital, toda esta información se encuentra protegida por una contraseña que usted establece. Es el encargado de efectuar diligentemente todos los pasos del protocolo SET una vez ha pulsado el botón de Pagar. SET: el protocolo SET (Secure Electronic Transaction) es un estándar desarrollado por Visa y MasterCard para dotar de máxima seguridad a los pagos en línea por Internet y otras redes abiertas. SSL: el protocolo Secure Socket Layer (SSL), desarrollado por Netscape, permite la creación de un canal cifrado entre el servidor Web y el navegador, por el cual se puede transmitir información de forma segura en uno y otro sentido.
La cartera safeWallet ----------------------------- La empresa española de seguridad SAFELAYER (www.safelayer.com) ofrece en sus páginas web una demostración de cómo funciona una cartera electrónica y cómo se pueden realizar compras con ella en comercios que soporten SET. Desde ellas se puede descargar la aplicación cartera, llamada safeWallet, que una vez instalada permitirá acceder a las páginas de varios comercios virtuales de demostración donde podrá simular el pago de sus compras mediante SET. Puede almacenar en la Cartera tarjetas de varias entidades financieras diferentes. Antes de efectuar un pago le requerirá una clave que usted habrá elegido previamente. De este modo nadie podrá utilizar las tarjetas que haya registrado en el ordenador sin su consentimiento. La Cartera además de velar por la seguridad de su tarjeta, también le proporciona innumerable información. Por ejemplo almacena los justificantes de pago para que lleve un control de gastos. El justificante de pago electrónico es similar al recibo que se emite al realizar una transacción con tarjeta de crédito tradicional. La Cartera le guardará los justificantes con su firma digital y la del comerciante. Sin duda servirá para garantizar la evidencia de la transacción, convirtiéndose en una prueba de primer orden en caso de litigio.
¿Se han preguntado alguna vez cuáles son los timos más extendidos en la Red? Panda Security acaba de dar a conocer un ranking en el que demuestra que a lo largo de la historia de Internet los ciberestafadores han estado utilizando los mismos reclamos y, a día de hoy, todavía muchos de los que aparecieron casi con Internet siguen cobrándose víctimas.
]
