¿Cómo pagar con seguridad en Internet?

El comercio electrónico en España no crece al ritmo que sería deseable. Entre las principales razones que los usuarios esgrimen para no comprar en la Red está el recelo a la seguridad de los sistemas de pago. EROSKI CONSUMER ha analizado, a petición de HISPACOOP (Confederación Española de Cooperativas de Consumidores y Usuarios), los sistemas de pago y sus técnicas de seguridad con el fin de saber si son totalmente seguras. La principal conclusión ha sido que el talón de Aquiles de la compra no está en los sistemas, completamente seguros, sino en las cautelas del usuario a la hora de dejar sus datos en páginas no fiables, y en la falta de cuidados del ordenador. Para asegurar al máximo la compra on line, los expertos que han elaborado este estudio han creado un detallado protocolo de actuación que detecta el fraude, valora la seguridad de los comercios y mantiene el ordenador libre de programas espía. Si se siguen los consejos dictados a continuación, el riesgo de sufrir problemas en el apartado de la seguridad en los pagos realizados en Internet se reducirán de manera notable.

Siempre que el usuario compra en un comercio on line selecciona el producto o servicio a comprar, especifica el número de unidades del mismo y pulsa el botón de “ir a la página compra”. De este modo, llega a una página donde se le pide que deje algunos de sus datos personales -nombre, apellidos, documento nacional de identidad, teléfono de contacto, etc.-, así como los datos de su tarjeta de crédito o débito. El comprador rellena entonces los campos requeridos, escribe los datos de su tarjeta y pulsa el botón de “ejecutar la compra”. A partir de ahí, pierde el control de la información que ha depositado.

¿Significa esto que un peligro inminente de robo, uso fraudulento o estafa acecha al usuario? Desde luego, no desde el punto de vista técnico. Al menos hasta que no se demuestre lo contrario, y todavía no se ha demostrado. Los sistemas de pago más usuales en la Red son seguros 100%. Es decir, ningún “ciberdelincuente” puede colarse en la operación de pago ni robar las claves de la tarjeta y las cuentas del usuario mientras viajan desde la página de pago al comercio. Esto es válido siempre que se cumplan una serie de supuestos: que el comercio no actúe de mala fe -algo que también puede suceder en los establecimientos físicos- y que el sistema de pago, también llamado pasarela, que use dicho comercio sea un protocolo seguro SSL.

Y sin embargo nos engañan

Ahora bien, muchas personas pensarán: “pues yo he leído en la prensa que existen casos de uso fraudulento de tarjetas cuyos titulares habían realizado compras en Internet”. Incluso puede que alguna de estas personas haya experimentado en sus propias carnes esta mala experiencia. ¿Dónde está el problema si los sistemas son infalibles? Por un lado, aunque no sirva de excusa, hay que matizar que estos casos son poco habituales a pesar de la exagerada resonancia mediática que adquieren. Por otro, se debe asumir que toda compra tiene un punto débil en la actitud del usuario. No se trata de culpar al comprador, por descontado, sino de hacerle consciente de que la seguridad de la compra depende en un 99% de él.

Estos ladrones de última generación acceden al usuario por medio de correos electrónicos no deseados que superan los filtros de spam de los servicios -aunque cada vez son menos los que lo consiguen-, y que engatusan al internauta para que abra un archivo que le instalará un programa espía en el ordenador. O bien le incitan a pinchar en un enlace que lleva a una página web falsa con el fin de ofrecerle diversos productos a precio muy reducido o difíciles de encontrar en el país. Otras veces su táctica consiste en dar una falsa alarma al usuario para que mediante una dirección URL que le ofrecen entre en una página falsa de su banco y deje sus claves.

Saben que la mayoría de las ocasiones fracasarán en su intento y serán descubiertos, pero también es cierto que un pequeño porcentaje de personas caerán en la trampa y les dejarán robar sus cuentas bancarias o les pagarán un dinero por el que no recibirán nada. Como el esfuerzo que realizan es mínimo y su estafa llega a cientos de miles de buzones, con unos pocos incautos que piquen es fácil recuperar la inversión.

SSL, un método infalible

SSL, o “Secure Lay Socked”, hace referencia a un proceso que convierte los datos de la tarjeta del comprador en complejas claves alfanuméricas para, más tarde, enviarlas cifradas al comerciante. Una vez allí, éste las pasa a la entidad de crédito o banco del usuario y reclama el pago. La entidad confirma que la petición es válida y realiza la transferencia. Todo este proceso se desarrolla de manera automática entre servidores equipados con la mayor seguridad, y en cada envío se descifran los datos para leerlos y se vuelven a cifrar. La duración de esta operación es de aproximadamente cuatro segundos.

En los servidores, tanto del banco como del comercio, y en cada envío los datos se mantienen en clave con dos tipos de cifrado, uno asimétrico y otro simétrico. El cifrado asimétrico, generalmente conocido como RSA, es un complejo sistema que funciona como una valija diplomática donde se albergan los datos del usuario, de nuevo cifrados con un algoritmo (sistema) simétrico. El cifrado RSA funciona con una clave pública y otra privada. La pública sirve para realizar el cifrado de los datos, y la privada es la única que puede descifrarlos. De este modo, cuando un comprador pone sus datos en una página de pagos que usa el protocolo SSL, usa sin saberlo y de forma automática la clave pública para crear una caja de cifrado asimétrico. Dentro de esta caja, el sistema SSL usa un cifrado simétrico de alta complejidad para cifrar los datos. Así, con este doble cifrado, son enviados a los servidores del banco y del comercio. Allí residen las claves privadas para descifrar el asimétrico y abrir la caja, y después descifrar el simétrico.

Respecto a la seguridad de este sistema basta decir que los mayores expertos del mundo auguran que el cifrado asimétrico RSA podrá romperse -ser atacado- cuando se invente el ordenador cuántico, algo muy lejano todavía y que sería imposible de llevar a cabo con los ordenadores actuales. En cuanto al simétrico, se utilizan sobre todo dos niveles de complejidad de las claves. El primero es el RC4 128 bit, que está definido como estándar por el gobierno de los Estados Unidos para guardar su información sensible.

Los “ciberdelincuentes existen” y están siempre al acecho, pero sus métodos de engaño no son técnicos sino psicológicos. Juegan con las debilidades, deseos y miedos de las personas para conseguir sus claves bancarias. Son grandes expertos, pero no en técnicas de cifrado o informática, sino en psicología humana. Para empezar, no llegan al usuario con las mismas artes que los comercios serios.

Fuente: Eroski Consumer