COMERCIO ELECTRÓNICO Y TARJETAS INTELIGENTES
¿QUE ES UNA TARJETA INTELIGENTE “SMART CARD”?
Podemos definir generalmente a una “Smart Card” como una tarjeta plástica de
dimensiones similares a las tradicionales tarjetas de crédito / débito, a la que se le
ha incorporado un dispositivo electrónico para permitir el almacenamiento de
información, y frecuentemente también cuenta con un circuito integrado con
capacidad de procesamiento de datos.
Normalmente se las puede separar en dos grandes categorías: las tarjetas de
memoria y las tarjetas con microprocesador, mas comúnmente denominadas
“tarjetas inteligentes” por su característica de procesar datos y sofisticados
algoritmos embebidos en ellas.
CARACTERÍSTICAS DE CADA CATEGORÍA
Las “tarjetas de memoria” no son capaces de procesar información, estas son sólo
dispositivos de almacenamiento de datos, y en esta característica son muy
similares a las tarjetas con banda magnética, en la que se alojan una cantidad
limitada de datos, en un formato definido según el tipo de aplicación. La mayor
distinción con la banda magnética, es que brindan una mayor capacidad de
memoria.
Existen a la vez dos tipos de tarjetas de memoria: las de un solo uso, para las que
la aplicación más difundida es en el campo de la telefonía pública, donde se utiliza
como tarjeta de débito de pulsos previamente cargados en la memoria y luego se
descartan, y la otra clase son las recargables, donde el uso más frecuente es en
los denominados monederos electrónicos.
Modelo típico de tarjeta de memoria.
Las “tarjetas con microprocesador” también tienen una alta capacidad de memoria,
pero están acompañadas de un procesador, lo que le permite no sólo almacenar
información, sino que además pueden realizar un procesamiento de datos local y
realizar cálculos con complicados algoritmos como los utilizados para el cifrado de
datos (encripción), permitiendo implementar avanzados mecanismos de seguridad
contra los intentos de robos y fraudes.
Esta gama de Smart Cards es mayormente utilizadas como tarjetas de crédito /
débito, además de otros diversos usos específicos. Las mayores marcas de
tarjetas de crédito ya han implementado, de manera regional, desde hace tiempo
este tipo de tarjetas.
Tarjeta con microprocesador.
COMPONENTES DE LA TARJETA
Las tarjetas Smart Cards típicamente consisten de 3 o 4 partes, según el modelo:
una tarjeta plástica, un conjunto de contactos eléctricos, un circuito integrado
electrónico, y en algunos casos una banda magnética.
Componentes de la Tarjeta.
EL APORTE DE LA SMART CARD AL COMERCIO ELECTRÓNICO
La falta de seguridad y el miedo a los Hackers han sido una de las razones que ha
justificado el lento crecimiento de las transacciones comerciales de forma
interactiva “on-line” entre los individuos y los comercios, generalmente
denominado “Individual to Business E-Commerce”.
A pesar de muchas de estas amenazas, se está utilizando desde hace tiempo el
número de las tarjetas de crédito como uno de los principales mecanismos de
pago sobre la red Internet.
Mientras tanto las transacciones comerciales sobre Internet no sean demasiado
numerosas y se mantengan con un pequeño valor económico individual, las
amenazas actuales podrían considerase de un bajo o aceptable nivel de riesgo,
pero a medida que este tipo de operaciones se vayan afianzando y por ende
creciendo en volumen, atraerán cada vez más a las actividades fraudulentas,
incrementando así el nivel de exposición al riesgo.
Una de las técnicas que se ha comenzado a utilizar, desde hace un tiempo, en
países como Francia, es la tarjeta inteligente “Smart Card” con protocolo C-SET,
para lograr autenticar en forma “on-line”, tanto a la tarjeta como al consumidor y de
esta forma ofrecer una garantía de pago y no repudio por parte del consumidor.
MEJORAS EN EL PROCESO DE AUTENTICACIÓN CON UNA SMART CARD
Durante la actividad de pago electrónico con una tarjeta, el proceso de
autenticación debería responder a:
¿La tarjeta es realmente emitida por un emisor reconocido?
¿El poseedor de la tarjeta está autorizado para hacer uso de ella?
¿Está el comercio reconocido por la entidad pagadora y el emisor?
¿El banco del adquiriente puede procesar la transacción?
En el transcurso del proceso remoto de pago, el único método seguro para las
preguntas anteriores es la firma digital. Las técnicas mas ampliamente utilizadas
para este fin son:
El RSA (Rivest, Shamir, Adleman) que realiza el cálculo sumario (“Hash”) del
contenido del mensaje, utilizando un algoritmo de clave pública irreversible,
luego este “Hash” es encriptado mediante una clave secreta que solo es
conocida por el firmante, después la firma es verificada por el receptor
mediante un nuevo cálculo del “Hash” con otra clave pública y se comparan
ambos resultados, si difieren significa que la firma no era auténtica o se ha
afectado la integridad del mensaje.
El MAC (Código de Autenticación de Mensaje) es calculado por medio de un
algoritmo de clave simétrica, lo que significa que la clave debe ser conocida
por el que comprueba la firma.
Con las tarjetas Smart Cards se puede lograr un sólido proceso de autenticación,
dado que el poseedor de la tarjeta (tarjetahabiente) puede ser autenticado
utilizando un código personal (PIN) que solamente es conocido por él. Las tarjetas
pueden poseer distintas capacidades de firma digital, permitiendo así que se
pueda autenticar tanto a la tarjeta, como al tarjetahabiente, es decir que la firma
digital puede utilizar datos que se encuentran dentro de la memoria de la tarjeta,
una vez que el PIN haya sido verificado por el microprocesador.
Para realizar el proceso de autenticación del tarjetahabiente y de la autenticidad
de la tarjeta, pueden utilizarse lectores con teclado numérico incorporado
(“PINpad”), permitiendo así realizar la autenticación inicial sin tener que exponerse
a la red Internet.
Lector Smart Card con teclado.
CONFIDENCIALIDAD E INTEGRIDAD DE LAS TRANSACCIONES
Para lograr una adecuada confidencialidad e integridad de la información, se
requieren técnicas de encripción que durante el proceso remoto de pago al menos
cifre (encripte) el número de tarjeta de crédito / débito antes de que este tome
contacto con la red Internet. Utilizando una Smart Card es posible tener el número
de tarjeta ya cifrado dentro de la memoria de la tarjeta, o que el microprocesador
posea algoritmos de encripción para realizar el cifrado, manteniendo así la
confidencialidad del número de tarjeta antes de entrar en contacto con la red
Internet. También la utilización de otros algoritmos, como el de la firma digital,
permiten detectar la integridad del mensaje, ya que si se perdiera la integridad el
receptor detectaría una firma no válida.
PROTOCOLO C-SET (CHIP – SECURE ELECTRONIC TRANSACTION)
Basados en la utilización de lectores de tarjetas Smart Cards, los bancos
Franceses han diseñado un protocolo denominado C-SET, que utiliza un lector
con teclado numérico incorporado (“PINpad”) para dialogar con la tarjeta y su
microprocesador. Las principales características del C-SET, son:
Autenticación de la tarjeta, basada en el hardware,
Autenticación del tarjetahabiente, mediante la verificación del código personal
(PIN) por el propio microprocesador de la tarjeta,
Autenticación del comercio,
Integridad de la transacción, y
Confidencialidad de los datos sensitivos.
Con estas capacidades, C-SET logra mantener una muy alta seguridad en todo el
proceso de la transacción comercial sobre la red Internet, no se transmiten datos
sensitivos sobre la red (número de tarjeta y PIN), ni son conocidos por la PC
(computadora del usurario).
El C-SET es un complemento del protocolo SET para ampliar el esquema de
seguridad y son inter-operable entre si. Estas nuevas tecnologías y arquitecturas
apuntan a ir logrando una mayor y mejor consolidación del nuevo horizonte del
comercio electrónico.
Los puntos de vista y opiniones son de los autores y no necesariamente
representan los puntos de vista de las organizaciones a las cuales pertenecen. La
información provista aquí es de naturaleza general y de carácter informativo.
Marcelo Héctor González, ASS, CISA.
mhgonzalez@movi.com.ar
Vice Presidente
Asociación de Auditoría y Control de Sistemas de Información.
ADACSI – ISACA Chapter Buenos Aires.
Inspector General de Auditoría Externa de Sistemas de Entidades Financieras.
Superintendencia de Entidades Financieras y Cambiarias.
Banco Central de la República Argentina.