Comercio electrónico: el negocio de la Web

Una vez que las bondades y posibilidades de Internet han sido ampliamente comentadas y se han superado con creces las expectativas más realistas, la World Wide Web dispone de todos los atributos imprescindibles para convertirse en una plataforma de comercio electrónico decisiva.

Sin embargo, antes de que esto sea realidad, y la Web sea capaz de soportar transacciones millonarias, existe un largo número de barreras técnicas y psicólogicas relacionadas con la seguridad por superar.

Durante 1995 las transacciones mediante comercio electrónico alcanzaron un valor estimado entre 150 y 500 millones de dólares. Las previsiones apuntan a que en el año 2000 esta cantidad alcanzará los 6.000 millones de dólares, mientras que el total de las compras on-line podrá incrementarse hasta los 600.000 millones de dólares. Pero, para ello aún queda mucho trabajo por hacer.

Una de las claves en la generalización de este tipo de negocio es la tecnología de certificación X.509, también conocida por certificación digital. Esta autentifica la identidad de los usuarios que acceden a los datos a través de múltiples redes. En aplicaciones de comercio electrónico, los usuarios se identifican mediante el registro digital con el banco del que poseen tarjeta de crédito. De esta forma, cada vez que un usuario quiere realizar una transacción, un navegador que responde al protocolo SET (Secure Electronic Transaction), envía una copia del certificado al comprador para probar que la tarjeta utilizada por el mismo es válida.

La especificación SET

SET es una especificación tecnológica y de procedimiento desarrollada por Visa y MasterCard. El protocolo está siendo implementado por numerosas compañías que se encuentran estableciendo servicios para autentificar a los usuarios de cara a los vendedores y bancos.

Pero SET es sólo una pieza del complicado rompecabezas del mercado electrónico, ya que se trata de un protocolo importante para utilizar tarjetas bancarias en la Web, pero sólo una especificación, no un producto de seguridad real. Este protocolo ha de asegurar la privacidad, integridad y autentificación de la información, para lo que se basa en métodos como el cifrado, el certificado, la firma o el certificado digitales.

Otro elemento importante es la tecnología de encriptación, que hasta la fecha numerosos usuarios encuentran poco atractiva debido a las complicadas demandas de procesamiento que exige. La encriptación se basa en etiquetar datos con claves públicas y privadas. Cuando alguien quiere enviar un mensaje a un usuario en cuestión, el que lo envía busca la clave pública del usuario y vincula a ella el mensaje. El destinatario del mismo ha de utilizar su clave privada para decodificarlo. Existen métodos de claves privadas que transmiten los mensajes más rápidamente entre dos usuarios, pero enviar una clave privada al destinatario junto con el mensaje no siempre es seguro.

Estos algoritmos podrían estar unidos a las tarjetas, con una CPU encriptada o un número código que permita al usuario acceder a la red de forma remota, y pueden ser personalizadas para cada usuario, aunque resultan caras de reemplazar en caso de pérdida o sustracción.

Para evitar este largo proceso, Cisco Systems ha comenzado a introducir soporte de encriptación en sus encaminadores, e Intel está buscando incorporar un estándar de encriptación en sus procesadores. Motorola ya ha dado al paso al anunciar dos nuevos chips, el SC49 y el SC50, que incorporarán funciones de encriptación compleja 200 veces más rápidas que las tarjetas inteligentes, según fuentes de la compañía. Uno de ellos, el SC50 en concreto, incorpora 8 KB de memoria EEPROM, gracias a la cual una única tarjeta puede funcionar como de crédito, débito, monedero electrónico y tarjeta de fidelidad.

Por la parte del servidor también se requieren un trabajo importante, debido a que la tecnología middleware robusta capaz de llevar a cabo transacciones a través de bases de datos, servidores Web y servidores de aplicaciones está aún en fase de desarrollo.

La verdadera amenaza

Aunque los jefes de departamentos de informática no cesan en su empeño de señalar que este tipo de tecnologías son totalmente indispensables para el comercio electrónico, no todo el mercado comparte esa opinión.

Fuentes de la Asociación de seguridad informática nacional de los Estados Unidos (NCSA) indican que habitualmente la gente se preocupa por aspectos que no son verdederamente importantes, dejando de lado otros realmente decisivos. Así, según esta asociación, el tema más discutido ahora es el robo de los números de crédito durante una transacción telefónica, cuando es más probable que este robo se produzca en una estación de servicio o en un restaurante que en una línea de datos.

Pese a todo ello, la falta de seguridad en la red sigue creando preocupación entre los usuarios.

Las empresas continúan enviando los números de crédito por fax o por teléfono con más frecuencia que a través de la red, aunque no niegan que comenzarán a utilizarla para estos tipos de operaciones cuando existan protocolos fiables. En cuanto a los entornos de red, la seguridad actual es nula, pues cualquier dato que no esté encriptado se encuentra al alcance de todo aquel que quiera leerlo, lo que frena a muchos usuarios a trabajar de forma remota.

Los usuarios preocupados acerca de temas de seguridad pueden dirigirse a la Asociación (www.ncsa.com), pues ésta ha establecido una serie de criterios que los desarrolladores de páginas Web han de tomar en cuenta antes de recibir la aprobación de este organismo. El mismo también actúa como consultoría para aquellos clientes que quieren saber cómo hacer sus páginas más seguras.

La NCSA busca minimizar los problemas de los usuarios sin restar importancia al hecho de cuidar las medidas de seguridad. Aunque esta asociación reconoce que sería harto complicado para un hacker conseguir interceptar el número personal de una tarjeta de crédito, señala también que es importante que los usuarios pongan atención extrema en este tipo de aspectos.

Para ellos la única solución se basa en una serie de productos y aplicaciones válidas para este tipo de procesos.

Así, la mayoría de los problemas relacionados con la seguridad en Internet provienen de la ignorancia de los clientes. Fabricantes de sistemas de seguridad han señalado que distintas compañías son ellas mismas las culpables de la falta de seguridad. Si los muros de seguridad o firewalls son la primera barrera a cruzar, una vez que se han franqueado estos y se entra al servidor Web, se tiene libre acceso a la empresa.

Asimismo, y dado que la mayoría de los problemas relacionados con la seguridad provienen del interior de las propias compañías (aproximadamente el 80 por ciento de ellas, según la NCSA), la instalación de un sistema de seguridad puede resultar muy caro.

Son habituales los casos de administradores de sistemas informáticos que introducen un comando por el que el sistema eliminará ciertas aplicaciones en un plazo de dos semanas si su número código de empleado desaparece de la lista de pagos. En estos casos, los muros de protección no existen y lo que se requiere son políticas de accesos restringidos.

EDI sin seguridad

En algunos casos, el comercio electrónico en Internet representa la plenitud del gran sueño del EDI (Electronic Data Interchange). Sin embargo, la amplia adopción de EDI nunca se llevó a buen término debido a los elevados costes de las redes propietarias y el software requerido, la confusión acerca de los estándares y la necesidad de poner de acuerdo a todas las partes interesadas para adquirir la misma tecnología.

La Web puede solucionar una parte del problema del EDI dada la ubicuidad del acceso que se puede conseguir para cua