A pesar de su popularidad y su constante aparición en los medios habituales de información sobre Internet, la difusión de SET (Secure Electronic Transaction) como medio para conseguir transacciones online seguras mediante tarjeta de crédito se está encontrando con serias dificultades. Es cierto que, a corto plazo, representa la mejor opción para hacer factible este tipo de relaciones comerciales, pero todavía existen muchas dudas sobre su implantación y comportamiento en la vida real. En estos momentos, por ejemplo, aún quedan algunos puntos oscuros sobre cuestiones como cuándo y en qué modo se habrán de distribuir y proteger los certificados digitales –claves para el funcionamiento de SET–, o sobre la robustez de sus mecanismos de seguridad, dada la gran libertad con que los comerciantes y los bancos pueden tratar los números de tarjeta de crédito. Queda también pendiente saber quién, finalmente, se hará cargo de las transacciones fraudulentas que se pudieran producir.
Mientras tanto, la tecnología de tarjeta inteligente, para algunos más simple y más segura que SET, continúa avanzando significativamente. De hecho, Visa y MasterCard, principales garantes de SET, están soportando importantes iniciativas para desarrollar y potenciar esta clase de soluciones, si bien, en un principio, sin la intención de que reemplacen al protocolo con el cual ya trabajan.
Encriptación y autenticación SET está pensado para proporcionar encriptación y autenticación en las transacciones de tarjeta de crédito en Internet. Y lo consigue estableciendo un sistema de comunicación encriptado mediante claves públicas y privadas, firmas digitales y certificados de autenticación. El resultado, de acuerdo con sus creadores –entre los que se encuentran Visa, MasterCard, Netscape, Microsoft, IBM, GTE y VeriSign– sería la posibilidad de realizar transacciones de crédito en Internet tan seguras como las convencionales “cara a cara”.
Las transacciones con tarjetas son consideradas hoy mucho más seguras que las órdenes de compra por correo, teléfono o Internet, puesto que las entidades de tarjeta de crédito absorben la pérdida del comerciante si la operación es fraudulenta. Y SET promete que enviar un certificado a través del ciberespacio será equivalente a la compra con tarjeta convencional, con los mismos niveles de confidencialidad y conocimiento que en el mundo físico.
Los observadores generalmente coinciden en que el sistema de autenticación de SET parece efectivo. Cuando un comerciante recibe una orden de un PC con un certificado SET, puede determinar si hay una tarjeta de crédito válida detrás de dicho certificado. Similarmente, los clientes pueden estar seguros de que están tratando con un comerciante certificado por una firma de tarjetas de crédito, como Visa, MasterCard o American Express. El comerciante, a su vez, asegura la operación pasándola directamente al banco.
Dónde falla SET Los problemas potenciales de SET aparecen cuando se analizan los aspectos que no resuelve:
La especificación no dice nada sobre cómo los bancos deciden qué clientes pueden recibir los certificados.
No garantiza la “no repudiación”, es decir, el comerciante no dispone de un modo infalible para comprobar que una orden ha sido dada por el cliente al cual se le ha asignado un certificado; tras adivinar su contraseña, otro usuario podría haberlo utilizado aprovechando su ausencia del ordenador.
En general y en la práctica, SET permite una gran libertad, lo que puede perjudicar sus otras prestaciones. Por ejemplo, una característica de SET es que, si bien el ordenador del comerciante no conoce el número de tarjeta de crédito del cliente durante la transacción, como muchos comerciantes emplean los números de las tarjetas de sus clientes para indexar registros en sus sistemas informáticos, la especificación permite a los bancos dar dichos números a los comerciantes después de la operación. El resultado es que esos números pueden ser almacenados en los ordenadores de los comerciantes y, por lo tanto, potencialmente vulnerables a ataques. En una palabra, después del proceso de transacción, cualquier cosa que el banco y el comerciante hagan depende sólo de ellos.
La especificación SET 1.0 además establece que, como solución transitoria, la entrega de certificados a los poseedores de tarjetas sea sólo opcional. Y, según algunos expertos, se corre el riesgo de que esta situación provisional, durante la cual muchos clientes pueden estar comprando en la Red sin poseer certificados, se prolongue indefinidamente. Es poco probable que un comerciante renuncie a una venta por el hecho de que un cliente no disponga de certificado, y éste se mostrará reacio a utilizarlo si puede comprar sin él.
Los defensores de SET argumentan que no se puede exigir al protocolo que preserve de cualquier eventualidad, dada la diversidad de los clientes e instituciones que participan en el proceso. Por ello, los comerciantes deberán solucionar sus propios problemas de seguridad, justo como lo hacen ya en sus transacciones convencionales. Sin embargo, sigue sin estar resuelto qué procedimientos adicionales de seguridad serán los que haya que implementar.
Además, nadie niega que SET añadirá costes a los sistemas de transacción de venta online, ya que requiere nuevas autoridades de certificados y pasarelas de pagos, sin que se haya especificado quién pagará todo ello finalmente. Los bancos establecerán sus propias autoridades de certificados y pasarelas de pago o las contratarán a terceros, y aún no se sabe si su coste será o no repercutido en los comerciantes y en los clientes.
Por otra parte, los comerciantes deberán obtener asimismo certificados, nuevo software y, quizás, nuevo hardware, y, en la mayoría de los casos, todavía no han sido definidos los costes de estas nuevas adquisiciones.
El lento ritmo del cambio A pesar de todos estos inconvenientes, Visa y MasterCard han puesto en marcha en colaboración con distintas entidades diversas pruebas de SET en 25 países, y en algunos, como España, ya están operativas experiencias pioneras, como la emprendida por el Sistema 4B, Hewlett-Packard y Verifone. Pero, con todo, no parece que se vayan a producir grandes lanzamientos durante el presente año. Así lo estima al menos Forrester Research, firma consultora para la que existen cuatro razones que perjudican la rápida difusión de SET: los comerciantes quieren pagar por este tipo de transacciones SET menos de lo que actualmente pagan por las transacciones en las que no hay tarjetas físicamente presentes; todavía no se han definido y lanzado masivamente programas de formación para el consumidor y el comerciante; es preciso desarrollar medidas acordes con SET en los sitios de los comerciantes y para el software; y, p
En la edición de este año, que se celebrará el próximo 7 de mayo en Berlín, la tecnológica reunirá a diversas industrias y ecosistemas para debatir en torno al proceso de adopción de infraestructuras de datos capaces de acelerar la IA.
La especificación no dice nada sobre cómo los bancos deciden qué clientes pueden recibir los certificados.
