Información jurídica inteligente
 España | 900 649 672

Seguridad de los pagos en línea: Posibilidades de las infraestructuras de clave pública y de las firmas digitales

Document Citas 1 Citado por Relacionados
Vincent
AutorClara Centeno
CargoIPTS
Páginas20-28

Asunto: Los analistas han señalado repetidas veces que la falta de confianza y de seguridad es uno de los obstáculos más importantes para el desarrollo del comercio electrónico. En respuesta, los bancos y los comerciantes tratan de aportar soluciones técnicas que contribuyan a la seguridad de las transacciones del comercio electrónico. Sin embargo, dichas soluciones no se han adoptado con carácter general, debido sobre todo a los costes que se derivan para los distintos actores y a la falta de conveniencia para el consumidor.

Relevancia: Diversos actores han insistido en el papel de la política pública en este contexto. En todo caso, el análisis de las posibilidades de la Criptografía de Clave Pública (PKC), de la Infraestructura de Clave Pública (PKI) y de las firmas digitales (DS), para construir un entorno de seguridad y confianza en el comercio electrónico, muestra que, aunque éstas cumplan los requisitos de seguridad, probablemente desempeñarán un papel limitado a corto plazo. A largo plazo, estas técnicas pueden ofrecer una alternativa explotando las sinergias que se pueden generar mediante una cooperación más estrecha entre los sectores público y privado. Sin embargo, existen retos potenciales importantes para la cooperación en este campo.

--------------------------------------------------------------------------------

Introducción

El volumen actual del comercio electrónico está lejos de cumplir las predicciones originales de los analistas de mercado. En repetidas ocasiones se ha señalado que la falta de confianza y de seguridad es uno de los obstáculos más importantes para el desarrollo del comercio electrónico.

El desarrollo del comercio electrónico depende de que se encuentren mecanismos para sustituir a los medios tradicionales "cara a cara" para conseguir la confianza y la sensación de seguridad

En el mercado físico, las partes que intervienen en una transacción se basan en una serie de mecanismos "cara a cara" para conseguir la seguridad y la confianza, tales como la presencia física en los locales del comerciante y la posibilidad de tocar y percibir la mercancía, la presentación por el consumidor de una tarjeta de identificación y de pago y el uso de firmas manuscritas para cumplimentar una compra o una orden de pago. En el mundo virtual, sin embargo, para conseguir un nivel aceptable de seguridad no solamente es necesario reemplazar los mecanismos tradicionales "cara a cara" por otros nuevos digitales, sino también crear nuevos instrumentos (digitales, legales, de procedimiento) para hacer frente a los riesgos específicos de las redes abiertas donde tiene lugar el comercio electrónico.

La seguridad de los instrumentos de pago juega un papel fundamental en la seguridad de todo el proceso de compra y constituye un elemento clave para conseguir la confianza del consumidor

En este contexto, la seguridad de los instrumentos de pago juega un papel fundamental en la seguridad de todo el proceso de compra y constituye un elemento clave para conseguir la confianza del consumidor (Cheskin, 1999). Hay otros elementos importantes, como el marco contractual, el uso de marcas de confianza por parte del comerciante, los códigos de conducta, las declaraciones sobre privacidad de los datos, una información clara sobre términos, condiciones y precios, la existencia de procedimientos eficaces de resolución de disputas, el servicio al consumidor y el diseño gráfico de las páginas web (OCDE, 1999).

Al analizar la seguridad de los instrumentos de pago, es importante tener en cuenta la variedad de instrumentos que utiliza el consumidor al pagar una transacción de comercio electrónico (Böhle y Krueger, 2001). Algunos de ellos, los llamados instrumentos de pago en línea (on-line), son nuevos o se utilizan bajo nuevas condiciones (técnicas, de procedimiento o legales) cuando se usan en el comercio electrónico, como ocurre con las tarjetas de crédito o de débito y con las transferencias. Las tarjetas de crédito son los instrumentos más frecuentemente utilizados en los pagos en línea, con una cuota media del 93 % (Gartner Group, marzo 2001). Otros, los instrumentos de pago fuera de línea (off-line), como el pago en efectivo a la entrega, el pago contra recibo, las transferencias de dinero y las domiciliaciones, se usan ya en el mercado físico, especialmente en las ventas a distancia, y su uso en el comercio electrónico no entraña riesgos adicionales para el consumidor. La tabla 1 resume los resultados de una encuesta sobre cómo pagaron los europeos sus compras en línea en el último año.

Tabla 1. Cómo pagaron los europeos sus compras en línea en el último año

(Tabla Omitida)

Fuente: Datamonitor, octubre 2001 (Tomado del estudio "European ePayments 2002: opportunities and threats for FSIs", basado en dos encuestas entre 7.500 y 6.500 consumidores).

Este artículo se centra en el papel que pueden desempeñar la Criptografía de Clave Pública, la Infraestructura de Clave Pública y las firmas digitales para facilitar la implantación de pagos electrónicos en línea seguros en Internet1. El cuadro 1 presenta los conceptos básicos de la Criptografía de Clave Pública, las firmas digitales, los certificados digitales y la Infraestructura de Clave Pública.

Cuadro 1. Conceptos de Criptografía de Clave Pública, firmas digitales, certificados digitales e Infraestructura de Clave Pública

Criptografía de Clave Pública (PKC)

La PKC, conocida también como criptografía asimétrica, permite que individuos que no se conocen utilicen dos claves diferentes (asimétricas), pero relacionadas, para codificar los datos que intercambian y para garantizar su integridad. Una clave, la clave privada, la mantiene en secreto el propietario, mientras que la otra, la clave pública, se distribuye ampliamente.

El participante que desea enviar comunicaciones codificadas genera primero un par de claves; mantiene en secreto la clave privada y comunica la clave pública a todos aquéllos que desea que puedan descifrar los datos que reciben de él. Un mensaje codificado con la clave privada del remitente sólo puede ser descifrado con su clave pública y viceversa.

Firmas digitales

Las firmas digitales combinan el "hashing" (codificación) de datos con la codificación de clave pública. Una firma digital es el resultado de aplicar una función "hash" a un mensaje, de forma que se crea un "extracto" de dicho mensaje el cual, a su vez, se codifica utilizando la clave pública del remitente. El mensaje original, junto con el extracto codificado, constituye un mensaje firmado digitalmente. A su llegada, el receptor descifra el extracto utilizando la clave pública del remitente y lo compara con el resultado de un cálculo independiente del extracto del mensaje utilizando el mismo algoritmo de "hashing". Si los dos valores coinciden, la integridad del mensaje está garantizada. Cualquier modificación del mensaje durante la transmisión llevaría a un cálculo distinto del extracto.

La firma digital permite también al receptor comprobar la autenticidad del remitente, ya que la clave privada del remitente sólo la conoce él y el mensaje, por tanto, sólo puede abrirse con la clave pública correspondiente. Las firmas digitales no implican la codificación criptográfica o cifrado del mensaje mismo.

De acuerdo con la Directiva 1999/937EC, las firmas digitales, generadas bajo ciertas condiciones de seguridad, son legalmente equivalentes a las firmas manuscritas.

Certificados digitales

Un certificado digital es un fichero electrónico que identifica inequívocamente a una entidad. Una Autoridad de Certificación (AC), que actúa como tercera parte de confianza, emite un certificado que asigna una clave pública a una entidad (una persona o una organización). El certificado contiene la clave pública, los elementos básicos de identificación de su poseedor e información sobre el emisor del certificado (AC). Estos datos se compilan utilizando una firma generada con la clave privada del AC.

Cuando alguien desea identificarse, envía su certificado digital a la otra parte que, a su vez, puede validar la firma digital del certificado haciendo uso de la clave pública del AC y puede validar la identificación del AC y la identificación del remitente utilizando la información facilitada por el certificado del remitente.

Tras este proceso de autenticación, el receptor puede utilizar la clave pública del remitente, contenida en el certificado, para intercambiar con él información codificada, de forma segura, y para verificar firmas digitales.

Infraestructura de Clave Pública (PKI)

Para conseguir una confianza suficiente en las transacciones comerciales, esto es, para hacer uso de autenticación y de firmas digitales legalmente vinculantes, se necesita una tercera parte de confianza. Esta entidad ha de garantizar la validez de los certificados expedidos con fines de autenticación y de firma, gestionar estos certificados de forma segura (es decir, su creación, distribución, publicación, revocación y renovación), establecer los términos contractuales y las responsabilidades de las partes y actuar como parte neutral en caso de disputa. Para el comercio electrónico, esta tercera parte de confianza proporciona los servicios adicionales necesarios que ofrece la PKI, tales como datación, legalización notarial de documentos, correo electrónico seguro y acuse de recibo digital.

Por tanto, esta tercera parte necesita una infraestructura de apoyo, esto es, la Infraestructura de Clave Pública, la cual abarca hardware y software seguros, mecanismos de seguridad, reglas de funcionamiento, prácticas de organización, términos contractuales y responsabilidades y otros elementos.

Pese a la importancia que ha adquirido el uso de tarjetas de crédito como instrumento de pago, los datos estadísticos de los dos registros de quejas de los consumidores de EE.UU.2 indican que menos del 15-28 % de las transacciones que dieron lugar a quejas de los consumidores fueron pagadas con tarjeta de crédito, y la mayoría se pagaron con transferencias de dinero o cheque. Además, sólo una parte de las quejas se refiere a fraudes relacionados con el pago. Estas cifras indican que la importancia del riesgo de fraude en los pagos electrónicos es relativa, en comparación con otros tipos de riesgos (por ejemplo, fraude en las subastas o falta de entrega de la mercancía) que también se deben considerar en un análisis general de los riesgos del comercio electrónico.

Aunque, en general, las tarjetas de crédito son los instrumentos de pago utilizados con más frecuencia, las transacciones pagadas de este modo dan lugar sólo a una pequeña parte de las quejas de los consumidores

Naturaleza y volumen del problema del riesgo de fraude

En relación con la vulnerabilidad de las redes de comunicación de Internet, los datos estadísticos sobre fraude indican que los principales riesgos en los pagos electrónicos, con los que se enfrentan comerciantes y consumidores cuando utilizan instrumentos de pago en línea, son los siguientes:

Riegos de prácticas abusivas o fraude por parte del comerciante: Falsos comerciantes que realizan captura de datos, desaparecen o cargan transacciones no autorizadas; comerciantes que cargan precios más altos de los acordados o realizan cargos repetidos no autorizados.

Riesgo de robo de datos de identidad y de pago, para uso fraudulento posterior en Internet o en el mundo físico. Los datos de identidad pueden sustraerse mediante acceso en línea no autorizado a los servidores del comerciante o del banco, al PC del consumidor o a los datos de las transacciones.

Riesgo de falsa representación, esto es, uso fraudulento de los datos de identidad del consumidor y del pago, utilizando los datos robados en el mundo físico o en línea por Internet.

Riesgo de que el consumidor rechace fraudulentamente una transacción.

Los consumidores y los comerciantes se enfrentan a una serie de riesgos específicos cuando realizan transacciones en línea, tales como el robo de identidad, los problemas que derivan de la dificultad de autenticar la identidad o garantizar la fiabilidad de la otra parte, etc.

Los datos estadísticos disponibles sobre el fraude en los pagos del comercio electrónico, o sobre éste en general, son contradictorios, incompletos e imprecisos. Ello se debe, entre otras cosas, a la naturaleza de los datos, a la falta de sistemas actualizados para identificar las transacciones en Internet y también a la falta de una instancia central donde consumidores y comerciantes puedan dirigirse para denunciar fraudes en las transacciones comerciales, independientemente de los instrumentos de pago utilizados.

La falta de una instancia centralizada donde consumidores y comerciantes puedan dirigirse para denunciar fraudes, independientemente del método de pago utilizado, significa que no hay datos fiables sobre el fraude en el comercio electrónico

Otra dificultad para evaluar con precisión los riesgos de fraude en los pagos electrónicos por Internet y sus tendencias, es su íntima relación con otros fraudes tales como: fraude en el pago con tarjetas de crédito en el mercado físico, prácticas fraudulentas de ventas a distancia, ciberdelito, robo de identidad y fraude financiero.

La recogida de datos de numerosas fuentes permite, sin embargo, apuntar algunos datos importantes sobre el fraude:

El fraude con tarjetas en el comercio electrónico en Europa se estima en el 6-9 % del fraude total en las tarjetas, o el 0,25-0,35 % del total de las ventas del comercio electrónico (Europay International, VISA EU, 2000). Esta cifra es de 3 a 30 veces mayor que en el mundo físico (Visa, Celent Communications, 2000: Gartner Group, 2001).

Internet parece ser, realmente, un medio con mayor riesgo para el comercio que el mercado físico o la venta a distancia, por una serie de razones:

Las empresas comerciales son más pequeñas, con capacidad y presupuesto limitados para investigar en la prevención de fraudes.

El medio es un vehículo más favorable para que los piratas informáticos o "hackers" se comuniquen y actúen, ya que las barreras de acceso son bajas y los recursos (programas de pirateo, números de tarjetas de crédito) se pueden intercambiar y utilizar de forma anónima.

La acción legal es más difícil, porque el valor de las transacciones suele ser bajo, los instrumentos y competencias de prueba electrónicos disponibles son muy limitados y, cuando las transacciones se han efectuado a través de las fronteras, pueden surgir problemas jurisdiccionales complejos.

Una serie de factores, como los recursos limitados que los comerciantes pueden dedicar a la seguridad, la facilidad con que los piratas pueden comunicarse entre sí, y las complejidades jurisdiccionales de unas transacciones de pequeño valor y realizadas a través de las fronteras, pueden hacer que Internet sea un medio con más riesgos que los canales tradicionales

El fraude en el comercio electrónico probablemente crecerá, en paralelo con las tendencias de crecimiento del acceso a Internet y del comercio electrónico, como con el crecimiento del fraude en las tarjetas en general (Europay International estima un aumento anual del 94 % en el fraude con tarjetas no presentes3 y del 65 % en el fraude por falsificación, en el periodo 2001-2004), el ciberdelito (Computer Security Institute, 2001) y el robo de identidad (Celent Communications en 2001 estima que el número de casos se triplicará entre 2000 y 2005).

Requisitos de seguridad

Para analizar las posibilidades de la PKC, de la PKI y de las firmas electrónicas en orden a garantizar la seguridad de los pagos electrónicos en línea, es necesario primero definir los requisitos de seguridad que se derivan del análisis de los riesgos de fraude en los pagos electrónicos (véase tabla 2).

Tabla 2. Requisitos de seguridad para evitar el riesgo de fraude en los pagos electrónicos

(Tabla Omitida)

Además de los requisitos de seguridad, hay que considerar otros aspectos a la hora de proponer una solución para la seguridad de los pagos electrónicos, con objeto de garantizar su adopción por los consumidores y por el mercado: facilidad de uso por parte del usuario, coste aceptable, grado de familiarización con el instrumento de pago (por ejemplo, si ya se usa en el mercado real) (Berlecon Research, 2001) e interoperabilidad nacional y transfronteriza entre compradores y vendedores, así como entre quienes aportan las soluciones y las redes de pago.

Criptografía de Clave Pública, Infraestructura de Clave Pública y firmas digitales para la seguridad de los pagos electrónicos

Existe la creencia generalizada de que un interés común entre la PKC, la PKI, las firmas digitales y la seguridad de los pagos por Internet, llevará a conseguir un entorno seguro y fiable para el comercio electrónico. De acuerdo con ello, hay una serie de iniciativas en marcha (que se consideran complementarias):

Uso creciente de la criptografía de clave pública, incorporada en los navegadores y en los servidores comerciales para la integridad y la confidencialidad de los datos (Secure Socket Layer-SSL).

Fijación reciente (julio 2001) del plazo límite para que los países miembros de la UE adopten la Directiva 1999/93/EC sobre firmas electrónicas, en su legislación nacional.

Prueba, por parte de los bancos, del protocolo de pagos por Internet sobre Transacciones Electrónicas Seguras, basado en la PKI.

Toma en consideración por los bancos de la PKC/PKI para dotar de seguridad a los servicios bancarios por Internet (Identrus, Global Trust Authority ¿GTA, SWIFT Trust Act, ELEANOR).

La esperada implantación de las tarjetas inteligentes bancarias para reducir el fraude.

Iniciativas actuales sobre gobierno electrónico, tomando en consideración la PKI para construir la seguridad de los servicios electrónicos.

Un análisis de las capacidades de la PKC, de la PKI y de las firmas digitales para cumplir los requisitos de seguridad de los pagos en línea, para distintos instrumentos de pago (tarjetas de débito y de crédito, domiciliaciones, transferencias de dinero y sistemas basados en las cuentas bancarias) muestra que:

La PKI puede proporcionar instrumentos de seguridad para la confidencialidad y la integridad de los datos y para la autenticación mutua del comerciante y el titular de la tarjeta.

La PKI puede ofrecer un método que sustituya al actual uso de la firma manuscrita.

Las firmas legalmente reconocidas podrían utilizarse para autenticar a los titulares de las tarjetas y para evitar el rechazo, apuntando a una posible sinergia con otros sectores del mercado o de la administración que podrían utilizar también las firmas digitales.

Además, las tarjetas inteligentes y los aparatos móviles (que contienen un chip incorporado) han surgido como posibles componentes de la PKI, ya que permiten almacenar y proteger claves y proporcionan software criptográfico incorporado para crear claves, generar firmas digitales, cifrar y descifrar datos y autenticar al consumidor. Los teléfonos móviles ofrecen una serie de ventajas, como su bajo coste, su gran difusión, su facilidad de uso y su movilidad, ventajas que no presentan las plataformas de PC+lector y tarjetas inteligentes.

Las tarjetas inteligentes y los aparatos móviles han aparecido como posibles componentes de la PKI, ya que permiten almacenar y proteger claves y proporcionan software criptográfico incorporado

Pese a los prometedores resultados del análisis de las posibilidades de estas tecnologías, la investigación sobre las soluciones de pago en línea que utilizan realmente la PKC, la PKI o las firmas electrónicas muestra que su nivel de adopción es bajo. De hecho, aunque la PKC se utiliza ampliamente en Internet para garantizar la confidencialidad e integridad de los datos (Secure Socket Layer ¿SSL), la PKI está aún en sus primeros balbuceos con respecto a la autenticación y al no rechazo, tanto en el comercio electrónico empresa-consumidor como en el gobierno electrónico.

Tanto las iniciativas privadas (prueba del protocolo de pago SET por los bancos) como las públicas (proyecto FINEID, Finlandia) han encontrado obstáculos comunes para implementar la PKI. Por ejemplo, insuficientes incentivos para que los consumidores la adopten, compensando los costes y los esfuerzos necesarios, falta de incentivos para que los bancos inviertan en mayor seguridad, coste y complejidad de las soluciones y falta de interoperabilidad técnica entre los vendedores. Por su parte, las iniciativas sobre gobierno electrónico han de superar problemas de interoperabilidad legales, técnicos y de procedimiento, para conseguir el reconocimiento mutuo entre los organismos gubernamentales centrales y locales y entre los países.

Tanto las iniciativas públicas como las privadas, respecto a la PKI, han proporcionado incentivos insuficientes para su adopción, que superen los obstáculos que suponen su coste y el esfuerzo necesario. Por ello, predominan otros mecanismos más baratos y más sencillos

Se están utilizando tecnologías y mecanismos más baratos y más sencillos para la autenticación de los consumidores y para minimizar los riesgos de rechazo. Estas soluciones van desde el uso de códigos de identificación del usuario, validación de direcciones, validación de datos adicionales en las tarjetas (número en la banda destinada a la firma, en el reverso de la tarjeta), uso de números de tarjeta seudo-aleatorios que el consumidor pide a su banco para cada transacción y uso de tarjetas virtuales (válidas sólo en Internet), hasta el uso de teléfonos móviles para identificación, autenticación y firma de la transacción, y actuación de Terceras Partes de confianza como intermediarios.

Recientemente se han sugerido nuevos sistemas por parte de agentes del mercado como Visa International (VISA Authenticated Payment System, dentro de la iniciativa 3D-Model, septiembre 2001) y MasterCard (Universal Cardholder Authentication Field ¿UCAF, junto con Secure Payment Application ¿SPATM, mayo 2001), que tratan de proporcionar un nivel de seguridad aceptable, al tiempo que superan los obstáculos encontrados para la adopción del SET. Sin embargo, la diversidad de sistemas y los dudosos incentivos de negocio ponen en cuestión la interoperabilidad y la adopción por los diversos actores del mercado.

Posible cooperación entre los sectores público y privado

Siguiendo el análisis de los principales retos a los que se enfrentan los actores públicos y privados, en la puesta en práctica de los sistemas de PKI, se analiza una cooperación más estrecha entre los bancos y los gobiernos como posible vía para avanzar en este camino. De hecho, el análisis y el desarrollo del mercado muestran que dos segmentos pioneros en los servicios de autenticación son los gobiernos y las instituciones financieras, y que ambos pueden asumir el papel de terceras partes de confianza, dentro del concepto de la PKI.

La colaboración entre los sectores público y privado en la definición y puesta en práctica de la PKI y de las firmas digitales puede acarrear una serie de posibles beneficios, tales como sinergias, economías de escala y una experiencia más coherente y sencilla por parte de los usuarios

La colaboración entre los sectores público y privado en la definición y puesta en práctica de la PKI y de las firmas digitales puede reportar una serie de posibles beneficios, tales como:

Sinergias entre los servicios de pago electrónico en el comercio y los servicios de pago electrónico planificados por el gobierno, tanto para los ciudadanos como para las empresas, y en ambas direcciones (por ejemplo, pago y devolución de impuestos, pago de subsidios familiares, gestión electrónica).

Implantación más rápida de las infraestructuras del comercio electrónico en el sector privado, explotando el papel del gobierno en la promoción de dichas infraestructuras.

Desarrollo de economías de escala y aceleración del desarrollo del mercado de servicios de la PKI, gracias a las oportunidades que se ofrecen a los bancos para que exploten sus posibilidades (por ejemplo, amplias redes de sucursales y conocimiento de sus clientes, larga experiencia en el mercado de la confianza, experiencia en la emisión masiva de tarjetas inteligentes, instalaciones de seguridad y gestión de riesgos) proporcionando servicios de confianza a otras organizaciones no bancarias, como los gobiernos.

Oportunidades para que los usuarios adquieran experiencia de forma coherente y sencilla (uso, procedimientos, interfaces, etc.), acelerando la aceptación por parte del consumidor/ciudadano y aumentando su confianza.

Los posibles retos para la cooperación incluyen las divergencias que puede haber entre los gobiernos y los bancos en cuanto a la PKI, en relación con los beneficios económicos, la interoperabilidad y la protección de datos

Sin embargo, se han identificado una serie de posibles dificultades para la cooperación. Algunas de ellas derivan de los objetivos divergentes de gobiernos y bancos en el uso de la PKI, en lo relativo a beneficios económicos, interoperabilidad y protección de datos:

Los gobiernos buscan una mayor eficacia interna, así como mejores servicios a otros organismos gubernamentales, a las empresas y a los ciudadanos, mientras que las instituciones financieras tratan de reforzar la seguridad de sus actuales servicios bancarios electrónicos.

Los gobiernos, aunque necesitan la interoperabilidad entre sus distintos organismos (tanto a nivel central como a nivel local), conceden menor prioridad a la interoperabilidad con otros países, mientras que los bancos, para ofrecer servicios de pago electrónico por Internet, necesitan conseguir soluciones interoperables entre países y a nivel mundial.

La confianza de los ciudadanos y los requisitos de protección de datos y de anonimato pueden ser distintos cuando tratan con los gobiernos y cuando tratan con un comerciante desconocido (dependiendo de la cultura).

Otras dificultades de este enfoque se refieren a las preocupaciones de privacidad que derivan de una estrecha colaboración entre los sectores público y privado, así como a problemas técnicos y de interoperabilidad

Otras posibles dificultades para esta cooperación son:

La distinta naturaleza operativa y en cuanto a imperativos de tiempo del proceso de toma de decisiones en uno y otro sector.

Las preocupaciones en cuanto a la privacidad de los datos relativos a los consumidores/ciudadanos, que podrían derivarse de una estrecha colaboración pública-privada.

La necesidad de encontrar un modelo de cooperación que permita construir un mercado de servicios de la PKI abierto y competitivo.

La posibilidad de que los bancos utilicen soluciones alternativas, basadas en la PKI, regidas por contratos y fuera del marco legal, técnico y político de las firmas digitales legalmente reconocidas (de acuerdo con la Directiva) y de los requisitos de interoperabilidad que los gobiernos han de considerar.

Conclusión

El comercio electrónico por Internet trae consigo una serie de riesgos crecientes, relacionados con el uso de instrumentos de pago en línea, tales como las tarjetas de crédito. Las cifras sobre fraudes, actualmente disponibles, indican que estos riesgos están ligados sobre todo al robo de datos de identidad y de pago, y al rechazo fraudulento de las transacciones por parte de los consumidores.

En la tarea de construir la seguridad de los instrumentos de pago en línea, la PKC, la PKI y las firmas digitales ofrecen una serie de características prometedoras, cumpliendo los requisitos de seguridad de los pagos en línea, y apoyadas por varias iniciativas como la Directiva sobre firmas electrónicas, las inversiones de los bancos en la PKI, las actuales iniciativas sobre gobierno electrónico que tienen en cuenta la PKI para conseguir la seguridad de los servicios electrónicos, la esperada implantación de las tarjetas bancarias inteligentes y la rápida difusión de los teléfonos móviles, ambos como elementos coadyuvantes de la infraestructura.

Sin embargo, la adopción por el mercado de las iniciativas que utilizan estas técnicas ha sido baja, limitada por la falta de incentivos a los consumidores, por la falta de incentivos a los bancos para que inviertan más, por el coste y la complejidad de las soluciones y por la falta de interoperabilidad técnica entre los vendedores. Mientras tanto, se han adoptado soluciones alternativas más sencillas y baratas, con niveles de seguridad aceptables, las cuales ganarán terreno a corto plazo, con lo que se pondría en cuestión el papel de la PKI y de las firmas digitales en la seguridad de los pagos en línea en el futuro inmediato.

Desde una perspectiva a largo plazo, la cooperación entre los sectores público y privado, representados por gobiernos y bancos, a la hora de definir e implementar la PKI y las firmas digitales, puede reportar beneficios potenciales, en cuanto a la relación coste-eficacia y a una más rápida implantación y adopción por el mercado. Tal colaboración podría resolver algunos de los obstáculos de implementación, y facilitar el uso de la PKI y de las firmas digitales por parte de los actores del mercado, a fin de conseguir la seguridad de los pagos en línea.

Sin embargo, la cooperación en este campo se enfrenta a una serie de retos, especialmente en lo que se refiere a los objetivos y preocupaciones dispares de los dos sectores, en cuanto a las cuestiones económicas, de interoperabilidad, de confianza y de privacidad de los datos, y dadas las diferencias en la naturaleza y en los imperativos de tiempo del proceso de toma de decisiones en las esferas pública y privada.

--------------------------------------------------------------------------------

Palabras clave

comercio electrónico, gobierno electrónico, pagos en línea, seguridad, infraestructura de clave pública, firma digital

Notas

  1. Este análisis se basa en el trabajo realizado para el proyecto de Observatorio de los Sistemas de Pago Electrónico (ePSO), especialmente en el documento de base ePSO nº 6 (Centeno, 2001).

  2. El Centro de Quejas sobre Fraudes del FBI en Internet, 2000, y el Observatorio Internet sobre Fraudes de la Liga Nacional de Consumidores de EE.UU., 2001.

  3. Una transacción con tarjeta no presente es aquélla en la que el comerciante no puede ver la tarjeta, como un pedido por correo o por teléfono o una transacción por Internet.

Referencias

Böhle, K. Y Krueger, M. Payment Culture Matters ¿ A comparative EU-US perspective on Internet Payments, proyecto ePSO ¿Documento de base nº 4, 2001.

Centeno, C., Securing Internet Payments: The Potential of Public Key Cryptography, Public Key Infrastructure and Digital Signatures, proyecto ePSO ¿Documento de base nº 6, 2001.

Cheskin Research, Studio Archetype/Sapient, eCommerce Trust Study, enero 1999.

Comité del Gobierno de Islandia sobre la PKI. Estudio preliminar sobre requisitos e iniciativas comparables en otros países, KPMG, 2001.

OCDE ¿Organización de Cooperación y Desarrollo Económicos. Guidelines for Consumer Protection in the Context of Electronic Commerce, diciembre 1999.

Parlamento Europeo y Consejo de la Unión Europea. Directiva 1999/93/EC del Parlamento Europeo y del Consejo de 13 de diciembre de 1999 sobre un marco comunitario para las firmas electrónicas. 19 enero 2000.

PKI Forum. PKI Interoperability Framework, 2001.

Winn, J.K., The emperor¿s new clothes: The Shocking Truth about Digital Signatures and Internet Commerce. Versión revisada, 9 marzo 2001.

Contactos

Clara Centeno, Crescendo Consulting S.P.R.L., Bruselas

Tel.: +32 27 84 39 79, fax: +34 636 21 47 01, correo electrónico: ccenteno@compuserve.com

Ioannis Maghiros, IPTS

Tel.: +34 95 448 82 81, fax: +34 95 448 82 08, correo electrónico: ioannis.maghiros@jrc.es

Sobre la autora

--------------------------------------------------------------------------------

Clara Centeno se graduó como ingeniero superior de telecomunicación (UPC, Barcelona, España) y en Administración de Empresas (CEPAC, Solvay, Bruselas, Bélgica) y posee experiencia internacional de más de diez años en el campo de los pagos electrónicos, tanto desde la perspectiva comercial como desde la tecnológica. Es consultora de gestión independiente sobre pagos electrónicos para Crescendo Consulting S.P.R.L en Bruselas desde 1997 y temporalmente se ha incorporado al IPTS para trabajar en el proyecto de Observatorio sobre Sistemas de Pago Electrónico (ePSO)

Búsquedas relacionadas:

Otros documentos interesantes:

VLEX utiliza cookies de inicio de sesión para aportarte una mejor experiencia de navegación. Si haces click en 'Aceptar' o continúas navegando por esta web consideramos que aceptas nuestra política de cookies. ACEPTAR