Transacciones seguras (II)
por Luciano Moreno, del departamento de diseño web de BJS Software.

El problema de la seguridad en Internet.-

Como vimos en el manual sobre Criptología, para poder afirmar que una comunicación entre dos entidades es segura se deben cumplir cuatro requisitos principales:

1. Autenticidad: todas las entidades participantes en la transacción deben estar perfecta y debidamente identificadas antes de comenzar la misma. Debemos estar seguros de que la persona con la que nos comunicamos es realmente quién dice ser, ya que si no podemos estar facilitando datos íntimos y/o sensibles a una persona o entidad no deseada, que puede hacer con ellos luego lo que le venga en gana.

En las comunicaciones "normales" entre dos personas casi siempre se dispone se alguna forma de comprobación de la Autenticidad. Si hablamos en directo con alguien, sabemos quién es, y si no lo sabemos podemos poner límites a la información que le facilitamos. En una conversación telefónica podemos oir la voz de nuestro interlocutor, y si lo concemos bien es muy dificil que otra persona se pueda hacer pasar por él.

Pero en nuestros viajes por la red no tenemos ninguna forma efectiva de saber con quién estamos comunicándonos. Podemos acudir a la página de una empresa, ver su dirección de dominio, ver en su pagina lo que nos dice, pero ¿cómo podemos saber que es realmente quien dice?. Imaginemos una situación extrema: un pirata informático sin escrúpulos crea una página igual en todo a la de nuestro banco y nos manda un correo diciéndonos que es el director de nuestra sucursal y que hay un problema con una de nuestras cuentas, ofreciéndonos un enlace para que entremos en las páginas del banco. Pero cuando pinchamos ese enlace resulta que nos lleva a su página falsificada, en la que nos pide que introduzcamos nuestras claves de acceso. En cuanto lo hagamos y le demos al botón de enviar, el pirata se hará con ellas, con todo lo que ello puede significar.

Lo ideal en este sentido sería que el cliente en una transacción de compra por Internet sólo debiera garantizar que es el legítimo propietario de la tarjeta de crédito que está usando en la misma, sin tener que hacer pública su identidad, por muchas leyes de protección de datos que estén vigentes.

La Autenticidad se consigue mediante el uso de los certificados y firmas digitales.

2. Confidencialidad: debemos estar seguros de que los datos que enviamos no pueden ser leidos por otra persona distinta del destinatario final deseado, o que si ocurre ésto, el espía no pueda conocer el mensaje enviado. O en su defecto, que cuando consiga obtener los datos éstos ya no le sirvan para nada. Es decir, debemos estar seguros de que ninguna persona ajena a la transacción puede tener acceso a los datos de la misma.

Imaginemos ahora que trabajamos en una empresa y deseamos enviar un correo al director general explicándole el fabuloso contrato que estamos a punto de firmar con un cliente. Si nuestro pirata de turno está a la escucha, puede conocer al momento todos los detalles del trato que vamos a realizar, pudiendo vender esa información a la competencia, lo que nos puede arruinar el negocio antes de hacerse realidad (¿qué impersión le causaría a nuestro cliente si recibiera información detallada de sus actividades con nosotros por medio de un correo anónimo?).

Lo ideal en este aspecto sería que las entidades implicadas en la transacción no llegaran a conocer más que los datos imprescindibles para realizar su función.

La confidencialidad de consigue en las transacciones electrónicas con el uso de la Criptografía.

3. Integridad : es necesario estar seguro de que los datos que enviamos llegan íntegros, sin modificaciones, a su destino final.

En este caso estamos realizando el pedido de un ordenador de 300.000 ptas a una tienda virtual, introducimos nuestro número de tarjeta de crédito y nuestra dirección de entrega del equipo. Pero nuestro simpático pirata está a la escucha, intercepta el envío, cambia los datos de la dirección por otros a su gusto y deja que continúe el envío. El resultado será que nuestro amigo disfrutará de un ordenador que hemos pagado nosotros.

La integridad se consigue combinando Criptografía, funciones hash y firmas digitales.

4. No repudio : debemos estar seguros de que una vez enviado un mensaje con datos importantes o sensibles el destinatario de los mismos no pueda negar el haberlos recibido. Y en una compra on-line debe garantizarse que una vez finalizada la misma ninguna de las partes que intervienen pueda negar haber participado en ella.

Vamos entonces a imaginar que nuestra empresa tiene que enviar un presupuesto antes de una fecha determinada, presupuesto que debe ser recogido por un empleado de otra empresa, y que éste olvida comunicar a sus superiores la recepción del presupuesto. Pasa el plazo y el contrato que esperábamos se lo dan a otra empresa, alegando que no han recibido a tiempo el presupuesto nuestro. Si no disponemos de un medio para atestiguar que el mensaje fué entregado en plazo, nos quedaremos sin contrato y sin poder reclamar.

Lo ideal sería que al finalizar la transacción quedara algo equivalente a un recibo de compra o factura firmado por todas las partes implicadas.

Independientemente de ésto, la ley española fija que todo cliente que participe en una compra a distancia (por Internet, por catálogo, etc.) tiene derecho a negar su participación en ella.

El no repudio se consigue mediante los certificados y la firma digital.

* Bien, amigos. Estas son las condiciones que debe cumplir una comunicación por Internet para poder considerarse como segura, y como hemos visto, esta seguridad la podemos conseguir en todos sus aspectos usando el equipo formado por Criptografía y firma digital (ver manual en HTMLWeb) y los certificados digitales Todos estos ingredientes se combinan en diferentes tecnologías, que veremos a continuación.