Me gustaría detallar el proceso de la compra por Internet, antes de proceder a opinar sobre la seguridad a aplicar. Al hacer compras por Internet se debería distinguir 3 fases:

Me gustaría detallar el proceso de la compra por Internet, antes de proceder a opinar sobre la seguridad a aplicar. Al hacer compras por Internet se debería distinguir 3 fases:

• Llenar el carrito de la compra.
• Dar los datos de la entrega.
• Dar los datos para el pago.

Sólo conozco a 2 servidores que tratan el primer paso como confidencial; personalmente creo que hay poca gente interesada en el hecho que se manifiestan en esta fase, más bien del tipo "existe gente en este mundo que quiere comprar 24 latas de cerveza Mahou". Te puedo asegurar que existe mucha gente así, miles de ciudadanos, aunque concentrados en la provincia de Madrid. Por no estar relacionado con la persona que hace la compra, no tiene mucha privacidad. No obstante, esta postura se debe matizar, dependiendo del contenido del carrito. Si el carrito contiene un libro "Como volver a satisfacer sexualmente a mi mujer", puede haber gente interesada en el que lleva el carrito; como Internet es el medio más fácil de espiar... Bueno, ya te imaginas, que a mí no me gustaría nada que mis colegas se enteraran de mis problemas familiares. Menos mal que es sólo una hipótesis. Bueno, siguiendo con punto 2, la principal diferencia es, que antes eras una dirección IP, que sólo tus colegas o proveedor de Internet podían relacionar con tu persona. Ahora, dando tus datos, un aficionado podría, con cierta facilidad, interceptar tu comunicación y acosar sexualmente a tu pareja. Y el peor punto es el 3, porque ya no depende del contenido del carrito: los datos son confidenciales; que nadie se entere de tu número de tarjeta y fecha de vencimiento y punto.

Suponiendo una definición de datos confidenciales que cubre los casos anteriores, yo personalmente no doy mis datos sin tener confianza en toda la cadena de tratamiento de los mismos. En este sentido la postura de Toni Oliver Servera (v. bol. 64, art. 10) es totalmente razonada: mejor contra reembolso, o sino dudo mucho. Esta confianza se expresa en primer lugar en el uso de un servidor seguro (que se cierra el candado), y si esto verifico primero si el sitio con el cual estoy conectado de verdad es el que creo que debería ser. Por ejemplo www.banesto.com tiene sede en EEUU, y no en Madrid, por lo que no es de fiar

A continuación hay que tener en cuenta si los datos que envías son imprescindibles para el destinatario; en el caso del libro de problemas sexuales no se puede evitar que la tienda sepa quien tiene estos problemas, por lo que creo que sería mejor usar una librería geográficamente lejana. Desde luego, sólo doy mi número de la tarjeta de crédito a una tienda en la cual tenga muchísima confianza.

La solución natural para cualquier tienda electrónica es el uso de los terminales de punto de venta virtuales o SET. En el primer caso la tienda enlaza con su banco con un URL de tipo:

importe=10.000&carrito=25.341&comercio=tu_hipermercado

El caso es que tú ves la pantalla de su banco, en la que puedes teclear (con servidor seguro, por supuesto) tu número de tarjeta y fecha de vencimiento, y los datos serán enviados al banco del comercio electrónico. El comercio sólo recibe la confirmación de su banco. El funcionamiento de SET es similar: el comercio no se puede enterar del número de tu tarjeta de crédito, sólo sabe si se ha autorizado el pago o no.

La solución que adoptan muchas tiendas en el extranjero implica que tú les das el número de tu tarjeta de crédito. Yo creo, que si les das el número de tu tarjeta, les das suficientes herramientas para llevarse todos los meses el límite de tu tarjeta. Mucha confianza tengo que tener en la tienda para que permito algo así. Y no es sólo confianza en la honestidad de la tienda, sino además en su profesionalidad en temas de seguridad informática.

En el caso de CDUniverse que comenta Alex Contreras (v. bol. 64, art. 10), es justamente este aspecto el que ha fallado: el denominado Maxim (un ruso de 19 años que intenta extorsionar a CDUniverse) ha conseguido entrar en los sistemas de CDUniverse y se ha apoderado de los datos personales de sus 300.000 clientes. Sin entrar en los detalles de como lo habrá hecho, aparentemente dispone de muchos datos de estos clientes, que podrá abusar de ellos. De estos datos los peores son de la tarjeta de crédito usada en la compra.

Una matización me gustaría hacer antes de proceder al penúltimo párrafo. Es verdad, que un pago hecho con una tarjeta de crédito sin que conste la firma del titular es repudiable; quiere decir que con una sola llamada al centro autorizador te devolverán el dinero. La pega para el titular es doble:

• El recibo es emitido un mes después del pago, por lo que el titular se tiene que molestar 3 veces.
  
  
• El centro autorizador tarda unos cuantos meses en devolver. O sea, la gente que siempre tiene el triple del límite de su tarjeta de crédito en la cuenta corriente no tienen que preocuparse de nada. Los más pobres sufrirán los números rojos ...

Esta posibilidad de repudiar los pagos nos llevarán a la autenticación de los interlocutores; no me cabe ninguna duda de que, en un plazo de 2 años, tengamos unos certificados; uno de nuestro banco, otro del gobierno, y más de nuestro club de paddel / tenis / golf / .... etc. Sobre todo los bancos exigirán que firmes los pagos, para que no puedas repudiarlos. La única duda que tengo es que si serán los comercios, hartos del repudio, que van a obligar a los bancos a certificar a sus clientes o si esto será presentado como servicio de los bancos a los comerciantes y clientes. De todos modos, el mundo de la PKI es un mundo muy amplio; invito a los respectivos expertos a seguir en este debate.

Volviendo a los datos confidenciales, espero que os dais cuenta que sólo hay que suministrarlos a los sitios que de verdad los necesitan, y además sólo por un protocolo seguro (SET o SSL), y nunca dejar los recibos del cajero en la papelera al lado del mismo ...