Seguridad de las Transacciones Electrónicas

Share

23 de abril de 2018.   Este artículo de Isaias Mercado comparte informaciones importantes respecto a la seguridad de las transacciones electrónicas, especialmente basadas en tarjetas bancarias de las diferentes marcas disponibles en el mercado.

La seguridad en la red, que a su vez, forma parte del concepto de seguridad en si incluye confidencialidad, integridad, disponibilidad, y no repudio (es decir, el no rechazo de operaciones).   Es un tema de muy amplio debate y actual, dada la movilidad que estamos teniendo  en la multitud de servicios que manejamos.

Para hablar de seguridad de las transacciones electrónicas, vamos a definir el término transacciones electrónicas, el cuál abarca las realizadas en diferentes canales digitales, tales como las compras en el comercio en general utilizando puntos de ventas (PDV); o en compra en linea en tiendas virtuales como Amazon o eBay; también incluyen las transferencias bancarias entre cuentas propias o a terceros a través de internet banking, ibanking o banca en línea; entre otras.

Si nos enfocamos en las transacciones realizadas en la web, requerimos el uso de una aplicación que opera utilizando nuestro navegador web.  Estos navegadores web pueden estar tanto en un computador de escritorio o portátil de línea fija; como un dispositivo móvil.

Las transacciones web pueden tener diversas fuentes de entrada, y operan entre llamadas que tramitamos desde nuestro computador o dispositivo (cliente), y las respuestas de una aplicación web con la cuál se interactúa (servidor); en un proceso informático denominado cliente/servidor.    Estos mensajes incluyen datos estructurados de forma estándar, para facilitar la interacción entre ambos extremos de la comunicación, denominados protocolos con diferentes capas, parecidos a las de las cebollas.

Esto asegura que ambas partes (cliente y servidor) se entiendan, e incluso reduzcan los riesgos y se protejan mutuamente de forma segura.  Por ejemplo, los sitios que intercambian datos personales de los clientes utilizan un certificado electrónico (protocolo SSL/TLS/HTTPS), que encripta o cifra dicho intercambio promoviendo la seguridad, la confianza y la correcta realización de la transacción.

Para la protección del servidor en si, el propietario del mismo se vale de diferentes estándares de seguridad informática.   Por ejemplo, el sector financiero global ha adoptado el estándar de seguridad PCI-DSS (por sus siglas en inglés) para proteger los datos y dispositivos que son utilizados al realizar pagos electrónicos.  También están los estándares ISO, que implementan procedimientos que adoptan las mejores prácticas de la industria, como el ISO-27001.

El uso de los cortafuegos o firewall es fundamental para las empresas con servicios web puedan prevenir accesos no autorizados, o permitir los que si, en diferentes niveles: a nivel de aplicación los WAF (Web Application Firewall); a nivel de paquetes de mensajes los IPS (Intrusion Prevention System); entre otras.

Estos sistemas requieren inversiones importantes para completar una robusta infraestructura de seguridad.  No obstante los procesos de innovación sobre la web, y el crecimiento de servicios de computación en la nube, permite que algunos de estos puedan ser contratados de forma asequible; a pesar de  que la nube no necesariamente contiene  todos los productos con el mismo nivel de madurez del los productos tradicionales.

Las franquicias o marcas internacionales de tarjetas tales como Visa, MasterCard, American Express, Discover, entre otras; adoptan estos estándares (PCI-DSS, ISO-27001) y promueven su cumplimiento en los sistemas informáticos de los participantes, para promover confianza en el ecosistema de transacciones electrónicas, integrado por: los bancos o entidades de intermediación financiera, siendo los emisores de tarjetas a sus clientes; las redes de adquirentes, que procesan las transacciones recibidas a través de terminales de PDV, los cajeros automáticos (ATM), o en la web a través de tiendas virtuales de comercio electrónico (e-commerce); y los clientes o tarjetahabientes (TH), quienes utilizan sus tarjetas para realizar las transacciones electrónicas.

Nuevos canales de transacciones electrónicas están surgiendo cada día, en la medida en que nuevas tecnologías dirigidas al sector financiero (FinTech, del inglés), crecen.  Tenemos los pagos móviles, el internet de las cosas, sistemas de radiofrecuencia o proximidad, entre otros.

Lo fundamental es promover la confianza a través del fortalecimiento de los sistemas informáticos de las empresas proveedoras de servicios en la web, para que los usuarios se sientan seguro al utilizar sus medios o canales de pagos, mitigando el riesgo de pérdidas financieras o reputacionales.


Isaias Mercado López, es Gerente de Seguridad de Sistemas de Informacion en CARDNET; y secretario de la actual Junta Directiva de ISOC-DO.

Share