Hace unas semanas se celebró el Día de Internet. Como es usual, se difundieron algunos datos de uso. Por ejemplo, según Internet World Stats, en marzo último había casi 1600 millones de navegantes en el mundo, de los cuales unos 173 millones están en América latina. En nuestro país hay entre 17 y 20 millones de usuarios, lo que implica que el 42% de la población se conecta a la Red, bastante por encima de la media internacional, que es del 22 por ciento.
Una de las actividades que más ha crecido en los últimos años es el comercio electrónico, para la compra de artículos en un sitio Web y el uso de las tiendas en línea para hacer un análisis previo: según datos de la Cámara Argentina de Comercio Electrónico (CACE), más de 11 millones de argentinos hacen consultas virtuales antes de adquirir un producto en sitios como www.cazaprecios.com , ar.livra.com o www.buscape.com.ar . Según Marcos Pueyrredón, de la CACE, el 60% de esas consultas termina en una compra en un local a la calle; el resto, en una transacción concretada con el navegador.
Comprar en la Web es muy sencillo y conveniente. No importa la hora en que decidamos hacer la compra. Y da lo mismo en qué parte del planeta estemos. Basta con una conexión a Internet y unos pocos recaudos en la computadora.
Lo mismo pasa con el home banking; es decir, con la realización de operaciones bancarias desde la PC. “A nadie le gusta ir al banco. Y esto es como tener un cajero abierto todo el día y en casa. De hecho, es más seguro que un cajero convencional, no está el riesgo del robo callejero”, afirma Emilio Lanza, gerente general del Banco Ciudad.
Tanto en la banca electrónica como en las compras en línea la seguridad la brinda el navegador. Tanto el Internet Explorer (desde su versión 5.0) como Firefox , Chrome , Opera y Safari ofrecen soporte para los protocolos SSL (Secure Socket Layer) y TLS (Transport Layer Security), que permiten el intercambio seguro de datos entre el sitio Web al que se accede y el navegador del usuario.
Datos vigilados
Cuando se accede a un sitio seguro el browser muestra un candado cerrado (en la base de la ventana; algunos sitios maliciosos muestran un dibujo de un candado) y la dirección de la página cambia de HTTP a HTTPS para indicar que el navegador ha entrado en modo seguro. Al hacer cliquear sobre el candado aparece una ventana que muestra un certificado.
“El proceso es transparente. Cuando entra a un sitio seguro, éste le envía al navegador un certificado digital -explica Norberto Mazas, gerente de ventas de CertiSur, el afiliado local de la autoridad certificante VeriSign-. Cuando uno va a la casa de alguien tiene el domicilio, llega frente a la casa y puede reconocer quién abre la puerta. Pero en Internet es relativamente fácil hacerse pasar por otro. El certificado digital asegura que el sitio es realmente el que dice ser. Además, el certificado permite iniciar un intercambio de datos encriptados entre la PC del visitante y el servidor del sitio.”
Sitios certificados
El certificado es la llave pública que permite codificar los datos que envía el navegante (su nombre de usuario y contraseña, por ejemplo), de tal manera que sólo puedan ser decodificados usando la llave privada del sitio, si es que llegan a ser interceptados.
Estos documentos de identidad virtuales los emite una autoridad certificante (como VeriSign), que verifica que la empresa que pide esta identificación es quien dice ser. Esta tecnología también se usa para firmar facturas electrónicas, escrituras y mensajes de correo electrónico. Hay una explicación más detallada del proceso en www.lanacion.com.ar/425097 y en el sitio de la Oficina Nacional de Tecnologías de Información ( www.pki.gob.ar ).
Certificar un sitio permite, además, proteger al usuario del phishing, que es la creación de un sitio apócrifo destinado a robar nombres de usuarios y contraseñas. Recientemente circularon mensajes que venían supuestamente de Facebook, y que invitaban a los usuarios a entrar a un sitio para actualizar los datos; este sitio era falso, y estaba destinado a capturar la información personal de los usuarios. Lo notable del caso es que hasta ahora estos ataques estaban limitados, por lo general, a entidades bancarias.
Los certificados digitales funcionan incluso en navegadores móviles. “El certificado SSL es el mismo, todos los browsers de los teléfonos inteligentes modernos soportan este tipo de seguridad”, explica Gustavo Faigenbaum, de Cyberferia, una compañía que desarrolló el flamante sitio Web móvil de Librerías Santa Fe, que permite adquirir libros desde cualquier celular avanzado, igual que si se estuviera en una PC; el único requisito es registrarse primero desde una computadora convencional para ingresar todos los datos de facturación.
Teclados en pantalla
Hay otras formas de hacer aún más segura la operación. En el caso de los bancos, se ofrece un teclado virtual para ingresar la contraseña, “porque está el riesgo de que en una computadora ajena esté instalada una aplicación conocida como keylogger , que registra cada tecla que aprieta el usuario”, afirma Lanza.
“Además, casi todos los bancos agregan una segunda contraseña alfanumérica que se obtiene en el cajero, o le dan al cliente un dispositivo con una clave especial, para hacer más segura la operación; se los conoce como tokens o tarjetas de coordenadas”, agrega.
En el caso de las compras en una tienda virtual, las tarjetas de crédito aplican otro método. En el caso de Visa, por ejemplo, los usuarios pueden dar de alta una clave, compatible con negocios Web adheridos al servicio Verified By Visa, que se le pide en el momento de la operación.
Algo similar ofrece MasterCard con su SecureCode. “La verificación la hace en ese momento la tienda con nuestros servidores, y hasta que la autenticación no está completa no se aprueba la compra -detalla Luiz Rocato, vicepresidente de pagos avanzados de MasterCard Cono Sur-. La compañía también tiene una tecnología denominada Chip Authentication Protocol, que usa un lector especial que tiene el usuario para pasar la tarjeta, y que genera un PIN en el momento de la compra.” En el caso de Visa, esta tecnología se llama Dynamic Passcode Authentication.
La clave del sentido común
Pero aun con esta tecnología puesta en práctica el usuario debe tomar conciencia de lo que está haciendo. “Los usuarios tienen que utilizar el sentido común. Es decir, no hacer en la Web lo que no harían fuera de ella -advierte Ramiro Cormenzana, director de base de datos e infraestructura de MercadoLibre-. Siempre recomendamos realizar transacciones en sitios reconocidos que cumplan con los requisitos de seguridad necesarios; que verifiquen la reputación de la contraparte, y que lean todas las condiciones de venta, envío y pago.”
Los entrevistados coinciden en que el primer paso es mantener la PC propia segura, actualizando el sistema operativo, el navegador, el antivirus y el firewall, para impedir que un pirata informático acceda a nuestra PC.
También se deben usar contraseñas que sean difíciles de adivinar, y mantenerlas en secreto, como se protege la contraseña del cajero automático o el correo electrónico; comprar en sitios conocidos y no llegar a ellos por un link que aparezca en la página de un tercero o en un e-mail, sino tipeando la dirección completa; y cerrar la sesión en la página (sea del banco o de una tienda en línea) para evitar que alguien pueda acceder a ella usando el historial del navegador.
Además, no autorizar al navegador para guardar datos de usuario y contraseña, por muy tentador que sea; no enviar datos de la tarjeta de crédito por e-mail; analizar resúmenes de movimientos bancarios y compras con la tarjeta para detectar discrepancias lo antes posible. Y por último, mantener un registro de las compras y las confirmaciones digitales de las operaciones realizadas, tal como se haría con las compras hechas en un negocio a la calle o una transferencia bancaria iniciada desde el cajero automático tradicional.
