El profesional de la información


Julio 1998

Set o no set

Por Ángel Puig Melendres

Año 1998. Fin de la era pre‑digital. El comercio ya se hace mayoritariamente mediante anotaciones electrónicas, e internet se establece como un canal importante de marketing y ventas. Pero algo falla en este esquema.

Como Hamlet con la calavera de Yorick en la mano, el comerciante electrónico pionero de internet se angustia. Parafraseando a Shakespeare: ¿SET o no SET? Esa es la cuestión. ¿Qué es más importante para el negocio: soportar los dardos de la insultante fortuna y permitir la entrada indiscriminada en nuestros sistemas online, o alzarse contra un mar de problemas y tratar de hacer seguras las comunicaciones?

Por internet se desplaza un gran desconocido que puede enviar correo electrónico, comprar, o entrar en la mayoría de lugares, sin necesidad de decir quién es, o sin que nadie garantice su identidad: el internauta.

Cuando se trata de hechos sin relevancia económica o legal, puede tratársele como a los televidentes: no hace falta identificarlos individualmente, y es más, se promociona que todos miren la información puesta en internet y puedan enviar correo libremente.

Pero cuando hablamos de comercio electrónico o intranets, con transacciones económicas por medio, firma de contratos online, zonas de información reservada, aceptaciones de pedidos, y pagos por tarjeta de crédito, casi nadie se atreve a negociar, pagar o cobrar sin conocer la identidad de la otra parte.

No-SET: certificación de la identidad

Existe una solución técnica ante ese anonimato: el certificado digital, un identificador incrustado en nuestro disco duro o en una tarjeta chip, y que actúa como pasaporte digital. Sin entrar en detalles técnicos, no es más que una cadena de números que van asociados a una identidad.

Se llama certificado SET (secure electronic transaction) al que asocia la identidad real de una persona o institución con una tarjeta de crédito para realizar pagos online con ésta, mientras que se llaman certificados No‑SET a aquellos que permiten verificar la identidad real de una persona o entidad.

¿Quién hace la asociación clave‑identidad?: un tercero de confianza, un notario electrónico, una entidad de certificación, o como se le quiera llamar.

El papel de la entidad de certificación consiste en garantizar las identidades reales, tanto del navegante como del poseedor de una tarjeta de crédito, así como la autenticidad de la misma.

Ambos tipos de certificados tienen similar estructura de funcionamiento, pero mientras que para certificar la identidad real es necesario seguir un proceso de identificación física ante el "notario digital", la certificación de las tarjetas de crédito (es decir, que no estén robadas, caducadas, faltas de crédito, o que sean de otra persona) la realizan los propios emisores -entidades de crédito, bancos, cajas...-.

Las ventajas del certificado son que permite la autentificación de las partes involucradas, la integridad y confidencialidad de la información transmitida, y, si es necesario, el no repudio de un pago una vez aceptado.

El inconveniente es que supone actualmente una molestia para el usuario: es complicado de instalar, requiere ordenadores Pentium con 16 Mb de memoria, supone un coste (hay que comprarlo), y todo ello puede restar ventas.

Evidentemente, no usar los certificados supone un riesgo de fraude elevado: actualmente existen tiendas online que permiten comprar sin certificado, mediante tarjeta de crédito. Sólo se comprueba la fecha de caducidad, la existencia de saldo y si está denunciada (por robo, pérdida u otro motivo). Es el mismo proceso que se hace a través de los TPV (terminales puntos de venta) en las tiendas del mundo real. Pero en el mundo virtual se carece de la presencia física, y de un elemento importante: la firma real en un papel como prueba de la compra y de la identidad.

Es por ello que pueden devolverse los cargos efectuados, pues es relativamente complicado demostrar la veracidad de los datos del comprador sin el comprobante firmado por él mismo (por ejemplo: un camarero de un restaurante tiene acceso a multitud de números de Visa o Master ciertos, junto con la identidad de su poseedor; no estando denunciadas las tarjetas, los datos pueden ser usados impunemente en comercios electrónicos.

Más seguro que un password

Igualmente, para permitir accesos a lugares reservados del web o de intranets, sería interesante disponer de este tipo de certificación, que es inviolable, en lugar de los habituales login y password que pueden falsearse, copiarse y detectarse.

Existen unos softwares, llamados sniffers, que captan códigos de acceso y los comunican al "pirata" que los instala. Esto es algo que debe tenerse muy en cuenta si se usa, por ejemplo, un ciber-café o, en un congreso, un servicio público de acceso a internet para ponerse en contacto con la oficina: alguien desde otro ordenador contiguo puede estar viendo qué información se está enviando.

Actualmente ya puede disponerse de certificados No‑SET para realizar labores de lo que se llama "firma digital", y entrar en lugares de acceso restringido, pero la realidad es también que el protocolo SET se está retrasando más de la cuenta debido a problemas en las pruebas realizadas a escala internacional (también se debe a la dificultad de integrar en el navegador el software que maneje los diferentes tipos de certificados que podrá tener un usuario, el wallet).

Pero supongamos que todo funciona ya (escenario a menos de seis meses).

La decisión entonces será:

¿Solicitamos SET, o no, para vender online con tarjeta de crédito? ¿Solicitamos certificados, o no, para otro tipo de comunicaciones? Es lo mismo que decir: ¿preferimos la seguridad o la posibilidad de negocio? Es necesario conocer todas las implicaciones que supone tomar esta decisión:

  • Apostar por el sistema que parece que vendrá en el futuro y complicar el presente, o
  • Mantenernos en el estado actual hasta que se aclare el horizonte.

Pero la decisión debería tomarse ahora, con conocimiento de causa.

Àngel Puig. Camerdata, Red de Cámaras de Comercio de España.

http://www.camerdata.es

Enlace del artículo:
http://www.elprofesionaldelainformacion.com/contenidos/1998/julio/set_o_no_set.html