Seguridad en el comercio electrónico, por Carlos Serrano, profesor de la Universidad de Zaragoza (España)

Riesgos y seguridad
III Cifrado
Seguridad en el comercio electrónico

1) ¿100% de seguridad?

En primer lugar, señalar, que de acuerdo con Salmi y Vahtera (1997), es imposible alcanzar un 100% de seguridad en las transacciones en Internet, y siempre se tiene que contar con la existencia de fraude, aunque sea mínimo. También existe posibilidad de fraude en cualquier transacción que se realiza con una tarjeta de crédito, en las transferencias que realizan los bancos o en la compra por correo.

Pero ¿es más seguro el mundo físico o Internet?

2) El mundo físico

Las denuncias por fraude con tarjetas de crédito suponen el 70% de los delitos económicos Abc (http://www.abc.es) [19-Ene-2003]

Las denuncias por estos hechos suponen el 70 por ciento de todas las que se tramitan relacionadas con delitos económicos cuando antes no llegaban al 30 por ciento. Pero no sólo se incrementa el volumen de las estafas; las armas del engaño se diversifican casi en paralelo hasta el punto de que es difícil seguir el paso de los delincuentes, que tampoco abandonan los métodos tradicionales. Las entidades financieras son las grandes perjudicadas, aunque aseguran que este fraude supone una fracción mínima de las transacciones realizadas con este medio de pago, «menos del uno por ciento».

Skimming. Cuando un cliente paga en un comercio, la tarjeta es pasada por el datáfono. A continuación un empleado copia la información de la banda magnética con un lector. Por tanto no es preciso robar la tarjeta. Esa información se transfiere a otras tarjetas mediante sencillos programas informáticos. En estos casos sólo sirven para compras en establecimientos y no para reintegros, dado que no se cuenta con el número secreto del estafado.
Lectores a la entrada de cajeros. Se colocan lectores a la entrada de un cajero. La información queda grabada. El avance detectado se ha dado en este tipo de fraudes. La organización camufla, además de un lector, una minicámara sobre el teclado que envía la información mediante un transmisor, vía radio hasta un punto cercano donde aguardan los estafadores. Además de compras se pueden hacer reintegros de dinero en efectivo.
Credi master. Un programa informático genera combinaciones hasta dar con un número real de tarjeta. A partir de ahí secuencialmente se van captando otras de la misma oficina hasta que se percatan del engaño y la entidad se ve obligada a anularlas todas.
Siembra. El ladrón se acerca bienintencionado al incauto que está realizano una operación en el cajero. Mientras observa el número que teclea, arroja uno o varios billetes al suelo aduciendo que se le han caído y cuando se dispone a recogerlo y la tarjeta sale por la ranura, se hace con ella y huye.

Ladrones usan minicámaras en cajeros para obtener la clave de las tarjetas Iblnews (http://www.iblnews.com) [14-Ene-20023]
En España se acaba de detectar un nuevo método utilizado por los amigos de lo ajeno para falsificar las tarjetas de crédito en los cajeros automáticos: consiste en utilizar una microcámara que graba a la víctima cuando introduce en la máquina su clave secreta...Utilizaban una mini-cámara perfectamente camuflada encima del teclado, con un transmisor vía radio que transmitía las imágenes grabadas hasta el receptor, que se encontraba en su poder a unos 50 metros del lugar. .... La Guardia Civil recomienda a los usuarios de cajero automático que, antes de introducir la tarjeta en la ranura, comprueben que no hay "ningún dispositivo sospechoso" en la máquina.

Desarticulada una banda que estafó seis millones en tarjetas falsificadas El Heraldo Aragón (http://www.heraldo.es) [28-Sep-2002]

Los Mossos d"Esquadra han detenido a 9 personas, dos de ellas trabajadores de cabinas de pago de peaje de la autopista A-7, como presuntos integrantes de una red de falsificadores de tarjetas de crédito que había conseguido copiar 60.000 tarjetas de crédito con las que habían estafado más de 6 millones de euros... el "modus operandi" utilizado por la banda, que llevaba actuando desde hacía un año, consistía en que los dos trabajadores de las cabinas de peajes de la A-7 situados entre Mollet del Vallés y Sant Celoni disponían de un lector de bandas magnéticas portátil, de dimensiones muy reducidas, que de forma rápida y muy discreta efectuaba el duplicado de la banda magnética... Estos dos empleados copiaban las tarjetas de crédito con las que los conductores pagaban los peajes en las cabinas de pago manual y recibían por los duplicados una cantidad aproximada de 90 euros por copia...

El cerebro de la banda era un vecino de Mollet del Vallés de 36 años y que fue detenido hace una semana, que comercializaba los datos informáticos de las tarjetas y creaba empresas "fantasma" a través de las cuales y gracias a datáfonos de diversas entidades bancarias utilizaba para generar facturas y efectuar pagos fraudulentos.

3) En Internet

Huellas en el ordenador
En CNIL (http://www.cnil.fr/es/index.htm) podemos acceder a una interesante página web que incluye demostraciones sobre nuestra configuración, el uso de las cookies, el recorrido que hemos seguido en su servidor y las huellas en el ordenador
EJERCICIO: Siga las demos

Navegar sin dejar rastro
Gracias a sitios como Anonymizer (http://anonymizer.com) podemos navegar sin dejar rastro. Así mantenemos la privacidad de nuestra dirección IP y de otras amenzas de las páginas que visitamos. Simplemente se accede a dicha página y se introduce la dirección que queremos visitar sin dejar rastro. Gratis, aunque Anonymizer también comercializa otros productos de seguridad.

Ejercicio: Acceda a la página de Ciberconta de forma anónima. Es equivalente a escribir el siguiente URL: (http://anon.free.anonymizer.com/http://ciberconta.unizar.es). N del A: Efectivamente he comprobado en el registro de visitas que el acceso se ha contabilizado en un IP diferente a aquel desde donde he navegado.

Borrar cookies
En la mayoría de las tiendas virtuales y en muchos otros servidores es típico que se usen las cookies. Hay programas que borrar esas cookies, como FileCleanup (http://www.SecRep.net). Gratis.

4) Requisitos de seguridad

Hay cuatro requisitos de seguridad en un sistema de pago:

Confidencialidad: secreto de las identidades y del pago ante terceros.
Autenticación: identificar el origen de un mensaje, el que está al otro lado del canal de comunicación es quién dice ser.
Integridad: no se modifica el mensaje en el tránsito
No repudio: ni el emisor ni el receptor pueden negar haber solicitado un pago o una autorización de pago.

Tanto cuando enviamos un mensaje de correo electrónico como si se trata de una factura vía Intercambio Electrónico de Datos, el objetivo es garantizar que los mensajes llegan a su destino y mantener la confidencialidad de los mismos.

En el caso particular del comercio electrónico los riesgos son varios: que el comprador reciba el bien y no pague, que el vendedor sea fraudulento o que haya terceros que se queden con el dinero o los artículos o que una vez que se ha hecho el pedido una de las partes no pueda negarlo.

Ojo con las formas de pago
La seguridad depende, en primer lugar de la forma de pago. Por ejemplo, está claro que es una imprudencia enviar por correo electrónico normal los números de la tarjeta de crédito. Pero incluso el sistema más extendido, el SSL que veremos a continuación no asegura el "no-repudio".

Citar como: Serrano Cinca C. (2003): "Riesgos y seguridad en los sistemas de información", [en línea] 5campus.org, Sistemas Informativos Contables <http://www.5campus.org/leccion/buscar> [y añadir fecha consulta]	[Índice]