Transacciones seguras (VIII)
por Luciano Moreno, del departamento de diseño web de BJS Software.

Protocolo SET.-

Ya hemos visto cómo SSL adolece de graves defectos a la hora de implementar las cuatro condiciones básicas de una transacción segura. Estas carencias hicieron que diferentes empresas y organismos buscaran un nuevo sistema que permitiera realizar operaciones sensibles por Internet de forma segura, con el objeto de estimular la confianza de los consumidores en el comercio electrónico.

En febrero de 1996 un grupo de empresas del sector financiero, informático y de seguridad (Visa International, MasterCard, Microsoft, Nestcape, IBM, RSA, ect.) anunciaron el desarrollo de una nueva tecnología común destinada a proteger la compras a través de redes abiertas como Internet basadas en el uso de tarjetas de crédito. Esta nueva tecnología se conoce con el nombre de Secure Electronic Transatrions (Transacciones Electrónicas Seguras), SET, y ha sido creada exclusivamente para la realización de comercio electrónico usando tarjetas de crédito.

SET se basa en el uso de certificados digitales para asegurar la perfecta identificación de todas aquellas partes que intervienen en una transacción on-line basada en el uso de tarjetas de pago, y en el uso de sistemas criptográficos de clave pública para proteger el envío de los datos sensibles en su viaje entre los diferentes servidores que participan en el proceso. Con ello se persigue mantener el caracter estrictamente confidencial de los datos, garantizar la integridad de los mismos y autenticar la legitimidad de las entidades o personas que participan en la transacción, creando así un protocolo estandar abierto para la industria que sirva de base a la expansión del comercio electrónico por Internet.

Las especificaciones formales del protocolo SET 1.0 se hicieron públicas el 31 de mayo de 1997, y se pueden encontrar en el sitio web oficial de SETco, http://www.setco.org, organismo encargado de homologar los módulos de programación y los certificados desarrollados por empresas privadas que se usen en implementaciones del protocolo SET.

Como características principales de SET podemos destacar:

- Es un estándar abierto y multiplataforma, en el que se especifican protocolos, fornatos de mensaje, certificados, etc., sin limitación alguna respecto al lenguaje de programación, sistema operativo o tipo de máquina usados.

- Su principal objetivo es la transferencia segura de números de tarjetas de crédito.

- Utiliza codificación estándar (ASN.1 y DER).

- Es independiente del medio de comunicación utilizado. Fué diseñado para su uso en Internet, pero permite la conexión a través de cualquier tipo de red siempre que se definan los interfaces adecuados. Además, el protocolo SET se puede transportar directamente mediante TCP, mediante correo electrónico basado en SMTP o MIME y mediante HTTP en páginas web.

- Utiliza estándares criptográficos reconocidos y ámpliamente usados (PKCS, Certificados X.509, etc.).

- El formato de los mensajes usados está basado en el estándar PKCS-7, al igual que SSL y S-MIME.

- Se basa en el uso de la Criptografía de Clave Pública.

- Realiza una Autenticación de todas las partes participantes en la transacción usando certificados digitales.

Vimos que en el proceso SSL sólo intervienen dos entidades: el Comprador (Cardholder) y el Vendedor (Merchand). Pués bien, SET incluye otras entidades adicionales necesarias para la transacción:

- La Pasarela de Pago (Gateway Payment), que permite la comunicación directa a través de Internet entre el comerciante y las Redes Bancarias, con lo que el papel del vendedor queda limitado a un mero intermediario entre el cliente y su banco. Puede ser una entidad independiente o el mismo banco del comerciante.

- El Banco o entidad financiera (Issuer) que ha emitido la tarjeta de crédito que va a usar el cliente en el proceso de pago.

- El Banco del comerciante (Adquirer), en el que éste tiene su cuenta.

Además de estas entidades principales existen otras dos relacionadas con ellas:

- La empresa propietaria de la marca de la tarjeta de crédito, como Visa, MasterCard, American Expres, etc., que avalan las tarjetas.

- Autoridades de certificación, que emiten los certificados digitales usados como medio de autenticación de las entidades que intervienen directamente en la operación. Pueden ser entidades independientes autorizadas, bancos o los mismos propietarios de la marca de la tarjeta. El papel de éstas y sus diferentes modalidades lo veremos más adelante.

Proceso de pago con SET.-

El proceso de pago en una transacción electrónica usando el protocolo SET admite un grán número de opciones diferentes pero, básicamente, consta de los siguientes pasos:

1. El cliente, trás seleccionar los artículos a comprar en el sitio web del vendedor, envía a éste un formulario de pedido, siendo respondido por el comerciante con el envío de su certificado digital y el de la pasarela de pago. El cliente comprueba la validez de los certificados y envía entonces al comerciante una orden de pago, que está dividida en dos secciones o documentos diferentes: la Información de pedido (OI), en la que figuran los datos de los productos comprados, su precio y las demás informaciones necesarias para la compra, y la Instrucción de compra (PI), en donde se describen sus datos bancarios y se dan instrucciones para el pago a la entidad vendedora.

2. Esta orden de pago se firma digitalmente por medio de un algoritmo especial, denominado Firma Dual, que se realiza concatenando primero los resúmenes hash de los dos documentos generados y encriptándo esta concatenación después con su llave privada, para seguidamente encriptar la Firma Dual mediante una clave simétrica generada por su software SET. Por último, se encriptan la clave simétrica generada y el número de la trajeta de crédito con la llave pública de la pasarela de pago.

De esta forma el vendedor no puede conocer los datos bancarior del comprador, y el banco no puede conocer la información sobre los productos comprados, a pesar de que ambos documentos están ligados por la misma firma. En ciertos casos es posible realizar la transacción sin esta firma dual, estableciéndose mediante un protocolo inicial qué metodo se va a usar.

3. El vendedor recibe la orden de compra y la firma dual del ciente, se queda con la descripción de la compra y trás comprobar la auntenticidad del comprador, utilizando para ello la firma digital de éste y su certificado, y la integridad de los datos recibidos envía los datos financieros a la Pasarela de Pago encriptados con la clave pública de la misma.

4. La Pasarela de Pago comprueba la autenticidad del comprador y la integridad del PI del mismo, y con el mensaje del vendedor comprueba la relación existente entre la descripción de la compra enviada al vendedor y la usada para la firma dual recibida.

5. Si todo es correcto, la Pasarela de Pago envía mediante las redes de comunicación bancarias el PI al banco del vendedor y solicita autorización para realizar el pago, mediante un documento denominado Petición de autorización de pago.

6. El banco del vendedor comprueba entonces que la tarjeta de crédito es válida y permite el cargo del importe de la compra, enviando entonces un documento a la pasarela, denominado Autorización de pago, que autoriza el proceso de compra.

7. Una vez informado el vendedor de la autorización procede al envío de los artículos comprados al cliente, y después de la entrega física del producto pide el importe de la venta a la Pasarela de Pagos, proceso que se conoce con el nombre de Solicitud de pago.

8. Entonces la Pasarela de Pagos pide al banco del comprador la transferencia del importe de la venta al banco del vendedor, petición que recibe el nombre de Solicitud de compensación. Entonces se le hace efectivo al vendedor el importe, con lo que se cierra el proceso total de compra.

Todos los documentos implicados en el proceso anterior deben llevar un número identificador único de transacción, conocido como ID.

* El proceso completo de pago mediante el protocolo SET podéis observarlo en el siguiente gráfico: