claves para la venta de productos o servicios a través de la Internet

Claves para la venta de productos o servicios a través de Internet

Por Fernando Ramos Suárez
Para realizar la venta de un producto o servicio por Internet nos encontramos con una gran cantidad de problemas que debemos salvar. Dichos problemas se resumen básicamente en los siguientes puntos:
1) Existe una gran dificultad en darse a conocer. No con la simple alta de la Web en los miles de buscadores que existen o con el intercambio de banners es suficiente, es necesaria una buena campaña de publicidad y por tanto es necesario hacer un gran esfuerzo económico en éste aspecto.
2) A parte de la publicidad está la forma de pago. Según los estudios realizados el comprador de Internet es compulsivo de ahí que sea necesario facilitarle un medio de pago instantáneo, como puede ser la tradicional tarjeta de crédito o débito con la consiguiente comisión del banco. En la actualidad se están implementando nuevos medios de pago, entre los cuales podemos destacar las tarjetas inteligentes (smart cards) que son aquellas tarjetas que incorporan un circuito integrado y cuyo contenido, una vez leído por el lector correspondiente, permite que el usuario tenga acceso a una serie de prestaciones. También están las tarjetas monedero (recargables o de un único uso), es decir, tarjetas prepago emitidas por entidades de crédito, que contienen un microchip y que básicamente permiten el almacenamiento de una determinada cantidad de dinero a voluntad del titular de la tarjeta. Por ultimo tendríamos el medio de pago más innovador “el dinero electrónico” (e-cash, e-money) enviado por las entidades financieras al usuario para que este lo almacene en su ordenador pudiendo disponer del mismo en el momento de la compra. La finalidad de todos estos sistemas es la de permitir pagos en Internet sin necesidad de que el usuario tenga que introducir continuamente sus datos bancarios en la misma agilizando así el tráfico comercial.
3) La Interoperabilidad en los pagos a través de entidades financieras. Para la realización de un pago en Internet es necesario que el servidor que da alojamiento a la Web pueda implementar el famoso CGI. Cada banco tiene unos CGI diferentes y por tanto es necesario que tu servidor Web pueda o tenga implementado dicho CGI, puesto que si no lo tiene o no le es rentable implementarlo te obliga a cambiar de servidor o de entidad financiera.
4) Por otro lado existe la desconfianza de los consumidores en el medio de pago. Todos estos nuevos medios de pago pueden producir desconfianza en el público, pero estamos hablando de la misma desconfianza que se produjo cuando se implantaron las tarjetas de crédito y débito. Actualmente las tarjetas están fuertemente arraigadas proporcionando muchos servicios tanto dentro como fuera de España. Incluso se sabe que tienen limitada su responsabilidad en caso de pérdida o robo, no olvidando que existe una gran facilidad y rapidez en la anulación cuando se producen estos hechos. Por tanto, creo que es un problema de mentalización o concienciación social, cuya solución pasa por elaboración de una estructura financiera capaz de aportar una gran seguridad en las transacciones electrónicas.
Siendo por tanto la seguridad la clave para la solución del comercio electrónico, me gustaría diferenciar previamente los tipos de seguridad que se están dando hasta el momento. Los sistemas de seguridad que se implementan actualmente se pueden dividir en dos grupos :
1. Canales seguros de comunicación. Son aquellos que agrupan un conjunto de protocolos que garantizan la confidencialidad y la integridad de las comunicaciones vía red. De entre los cuales destacan:

• SHTTP (Secure HiperText Transfer Protocol), que da soluciones de seguridad a las conexiones HTTP.
• El Protocolo SSL (Secure Socket Layer), diseñado e implementado por Netscape, que proporciona sesiones de comunicación cifradas y autenticación del servidor.
• El Protocolo de Microsoft, (PCT) muy parecido al de su competidor pero compatible con varios protocolos.

2. Sistemas de claves. Se trata de una de las aplicaciones más importantes ya que el usuario puede ejecutar una clave desde cualquier lugar de la red para así obtener la seguridad en la transacción. Aquí nos encontraríamos con los sistemas criptográficos simétricos y asimétricos.
a) Encriptación simétrica: obliga a los dos interlocutores (emisor y receptor) del mensaje a utilizar la misma clave para cifrar y descifrar el mismo (como por ejemplo el criptosistema "DES" desarrollado por IBM, Data Encryption Standard).
b) Encriptación asimétrica o criptografía de claves públicas la cual está basada en el concepto de pares de claves, de forma tal que cada una de las claves puede encriptar información que sólo la otra clave pueda desencriptar el mensaje. El par de claves se asocia a una sola persona, de forma que la clave privada solamente es conocida por su propietario (no siendo necesaria la retención mental, ya que puede ser incorporada en el microchip de la tarjeta o puede ser proporcionada por un rasgo fisiológico como la huella dactilar o el iris del ojo) mientras que la otra clave, (la pública) se publica ampliamente para que todos la conozcan (en este caso destaca el famoso criptosistema RSA cuyas iniciales son las de sus creadores Rivest, Shamir y Adelman). En este sentido convendría señalar que U.S.A no ha permitido hasta hace poco la exportación de productos criptográficos que hicieran uso de claves de más de 40 bits, ahora sí permiten la exportación de dichos productos pero siempre que estos incluyan un sistema de recuperación de claves o de depósito de claves (key scrow). Esta política realizada por la Administración Clinton parece que no ha caído bien entre los fabricantes de software y activistas norteamericanos. No sólo en U.S.A. ha sido mal acogida, a Alemania por ejemplo, no le ha sentado nada bien que un gobierno o agencia extranjera pueda tener acceso a las claves de los usuarios alemanes, parece por tanto, que esta política puede entrar en conflicto con las leyes de otros Estados, ya que la mayoría de los Estados europeos no restringen la utilización de esta técnica.
La incorporación por parte del protocolo SET de los dos sistemas parece ser la medida más segura hasta el momento. Es un sistema híbrido (utiliza ambos sistemas de cifrado) para evitar la lentitud de los sistemas de cifrado asimétricos y aprovechar la rapidez del sistema simétrico. Se utilizan además las firmas digitales y las Autoridades de Certificación o Thrusted Third Parties, las cuales proporcionan al sistema el grado de confianza necesario para poder realizar dichas transacciones electrónicas. Sin embargo esta siendo lenta su implantación. No obstante la Autoridad de Certificación Electrónica ACE (compuesta en un 40% por el Grupo Telefónica, un 20% por CECA, un 20% por SERMEPA y un 20% por SISTEMA 4B) ya esta emitiendo certificados SET a entidades financieras Españolas.
En la actualidad las principales compañías españolas han optado por incorporar únicamente el canal seguro de comunicación o protocolo de seguridad SSL, tanto para el pago con tarjetas de crédito como para la introducción de los datos bancarios:
El Corte Ingles ha puesto en funcionamiento el servicio de "la Tienda en Casa" basado precisamente en SSL y en la tarjeta de cliente de El Corte Inglés. Tras analizar los datos del cliente se procede a una comprobación telefónica personal para validar los datos.
Banesto ofrece un servicio similar basado en SSL y con la nueva tarjeta Virtu@lCash. De esta manera el banco gestiona las transacciones entre los clientes y los diferentes vendedores que se han apuntado a esta propuesta.
TSAI (filial de Telefónica) ofrece un servicio llamado Infomall similar a los anteriores que posiblemente sea la continuación de e-Christmas, una iniciativa de comercio electrónico centrada en las compras en estas pasadas Navidades con la colaboración del Banco Santander. Parecido a este Infomall se encuentra Hiper Red 2 S.A.
IBM ha anunció el 8 de Junio de 1998, en New York “IBM Vault Registry”, una nueva solución de certificado digital que incluye tecnología de identificación para que los usuarios realicen operaciones e-business de confianza.
Otros grandes almacenes como Alcampo, Continente y Caprabo han creado o van ha crear pronto servicios similares a 'La Tienda en Casa'.
Como se puede ver existen muchas formas de seguridad actualmente funcionando, quizás la más utilizada sea el protocolo SSL, que otorga una eficaz forma de cifrado de los números de la tarjeta o de los datos bancarios, pero no hemos de olvidar que es un protocolo seguro de comunicación y por tanto no un sistema de cifrado que garantice la confidencialidad, autenticación, integridad y no repudio del mensaje. Esta garantías sólo se consiguen por el momento con el protocolo SET, aunque IBM ha realizado un magnífico esfuerzo en el tema de seguridad en las transacciones electrónicas con el Vault Registry. Es por tanto una mera cuestión de tiempo el poder comprobar la fiabilidad e implantación de estos sistemas.
En definitiva la forma de pensar en cualquier tipo de seguridad nunca debe ser absoluta, si no que se tratará de un problema de gestión del riesgo: es decir, ¿cuánto (esfuerzo, dinero, incomodidad...) estoy dispuesto a invertir en contrarrestar un cierto riesgo