Generación de billetes digitales anónimos

(1)

ES E SC CU UE EL LA A SU S UP PE ER RI IO OR R D DE E IN I NG GE EN NI IE ER RÍ Í A A M ME EC CÁ ÁN NI IC CA A Y Y E EL LÉ ÉC CT TR RI IC CA A U

UN NI ID DA AD D CU C UL LH HU UA AC CA AN N

S SE E CC C CI IÓ ÓN N D DE E E E ST S T UD U DI IO OS S D DE E P PO OS SG GR RA AD DO O E E I IN NV VE ES ST TI IG GA AC CI IÓ ÓN N

G

GE EN N ER E RA AC CI IÓ ÓN N D DE E B BI IL LL LE ET TE ES S D D IG I GI IT TA A LE L ES S AN A NÓ ÓN NI IM MO OS S

T T E E S S I I S S

P P A A R R A A O O B B T T E E N N E E R R E E L L G G R R A A D D O O D D E E MA M AE ES ST TR RO O E EN N CI C IE EN NC CI IA AS S DE D E I IN NG GE EN NI IE ER RÍ ÍA A E

E N N M M I I C C R R O O E E L L E E C C T T R R Ó Ó N N I I C C A A P P R R E E S S E E N N T T A A : : M

M A A R R Í Í A A E E L L E E N N A A G G A A R R C C Í Í A A L L E E Ó Ó N N AS A S ES E S OR O R: : M M. . e e n n C C. . R RU UB BÉ ÉN N V VÁ ÁZ ZQ QU UE EZ Z M ME E DI D IN NA A

MÉ M ÉX XI IC CO O, , D D. .F F. ., , J JU UN NI IO O D DE E 2 20 0 05 0 5

(2)

(3)

(4)

(5)

(6)

(7)

A mis padres

María Elena y José Alfredo,

por su apoyo y esfuerzo para

mi formación profesional

y desarrollo personal.

(8)

(9)

Lo que sabemos es una gota de agua, lo que ignoramos es el océano.

Isaac Newton

La mente humana ordinariamente opera a únicamente el diez por ciento de su capacidad, –el resto es overhead para el sistema operativo-.

Nicholas Ambrose

(10)

(11)

PREFACIO

La comunicación es el eje que ha regido la evolución de la sociedad. Hoy en día, este hecho se refleja en uno de los medios de comunicación más importantes y que ha sido aceptado mundialmente:

Internet. Conocido también como la red de redes, es una de las formas de comunicación más importantes del mundo entero, debido a la diversidad de funciones que ofrece y las múltiples aplicaciones que permite, se ha convertido en una necesidad imperante. La orientación actual de esta red, es de carácter comercial, basado en el hecho que el comercio vivificó la economía de las civilizaciones antiguas. Dado que Internet es una red global, entonces resulta ser una gran puerta que permite la entrada a nuevas relaciones comerciales, extiende los sectores de producción, hace que el mercado electrónico sea accesible a los negocios pequeños y de esta forma les permite posicionarse estratégicamente y así rebasar fronteras ampliando la posibilidad de que los usuarios puedan adquirir bienes nacionales o extranjeros, contratar servicios o realizar pagos desde cualquier computadora.

Con el surgimiento del comercio electrónico, las empresas se enfrentan a una nueva forma de hacer negocios, donde los cambios se están produciendo a ritmos tan acelerados que son difíciles de soportar y perseguir. Nuevas compañías surgen empleando la tecnología y con ello la competencia, que busca posicionarse de forma permanente en el mercado. La economía debe entonces afrontar un fuerte replanteo de lo tradicional a la nueva economía digital, es decir, las organizaciones beben analizar y cuestionar sus culturas corporativas, para así tener una escasa o nula barrera frente a la modernidad, de forma tal que puedan dar una respuesta inmediata a la demanda del cliente y así neutralizar a sus competidores mercantiles.

Por otro lado, si se quiere hacer un uso intensivo de las ventajas que proporciona el mundo interconectado y globalizado, a través de una red pública, es necesario resolver todos los problemas de seguridad que aquejan a los usuarios de ésta. La seguridad en general debe ser considerada como un aspecto de gran importancia en cualquier corporación que trabaje con sistemas informáticos, el hecho que gran parte de las actividades humanas sea cada vez más dependiente de éstos, hace que la seguridad juegue un papel substancial. Por ende, es ineludible propiciar la confianza del público usuario en transacciones de comercio electrónico que involucren manejar números de tarjetas de crédito, informaciones financieras y privadas a través de la red, por lo que se deben incorporar servicios adicionales que aseguren la confidencialidad, integridad de datos y autenticación, que conviertan a este medio en una fuerte competencia de los métodos tradicionales de difundir información y comercializar. Para conseguir la seguridad en las comunicaciones, es necesario proteger la información en el proceso de transmisión, de esta manera se previene que sea interceptada por personas no autorizadas que puedan manipularla y emplearla con fines maliciosos y/o fraudulentos; la forma adecuada de hacerlo es mediante la intervención de técnicas criptográficas que permitan realizar pagos electrónicos mediante el uso de redes. Una forma de asegurar que la información sólo sea accesible a quien corresponda, es mediante la aplicación de algún algoritmo de cifrado, que son técnicas que consisten en alterar bit a bit la información, con el objeto de que resulte ilegible o carente de sentido para las personas que obtengan la información transmitida y desconozcan el método de cifrado empleado (espías), de tal forma que les sea casi imposible saber

(12)

El comercio electrónico propicia el surgimiento de un subproducto: el dinero digital, un tema debatible para el caso de países poco desarrollados y con pobreza crónica, pero para el resto del mundo es posible. Y es que a pesar de los avances tecnológicos que facilitan al ser humano realizar sus actividades cotidianas, aún existen personas que consideran al dinero digital una utopía. Este es un problema de falta de cultura tecnológica, donde la gente realmente teme al cambio, a lo desconocido, a salir de lo tradicional dejando de lado el valor intrínseco del dinero por la adopción de

“dinero virtual”. Este tipo de cuestiones en principio frenan el avance del dinero digital, sin embargo, éste se ha caracterizado por ser un medio de pago electrónico que esta en constante desarrollo y por lo tanto existen diversas modalidades de él, basadas en las distintas aplicaciones que el usuario requiera. Inclusive, en algunos países existe un marco legal que regula las transacciones a través de la red. En el caso de México, existen diversos organismos y disposiciones de ley que comienzan a regular las actividades comerciales, para que los usuarios de banca por Internet y de comercio electrónico naveguen con la confianza de que en caso de que ocurra un ilícito, la ley los respalda.

Cuando el dinero digital logre ser integrado y desarrollado en un entorno seguro permitirá cerrar el eslabón de una operación típica de la actividad comercial del ser humano.

La presente tesis esta encauzada para que cualquier persona interesada en el área de seguridad de la información, tenga un panorama general sobre algunas técnicas criptográficas empleadas en diversas aplicaciones, pero específicamente en la generación del dinero digital para que conozca

¿qué es? y ¿cuál es su papel dentro de la nueva economía digital?. La estructura de la tesis se ha diseñado en cuatro capítulos de forma que el lector comience su lectura introduciéndose al tema, familiarizándose con los conceptos básicos y a la vez tome conciencia de la importancia de cuidar los aspectos de seguridad en una comunicación y sobre todo en una transacción comercial realizada a través de una red de computo.

El capítulo uno parte de una introducción al tema de los sistemas de pago electrónico y menciona las características que hoy se requieren de éstos.

En el capítulo dos se resumen las herramientas de criptografía aplicadas en la construcción de canales de comunicación seguros. Además se estudian los aspectos de seguridad de distintos protocolos de comunicación destinados a aplicaciones bancarias y de comercio electrónico.

En el capítulo tres se realiza un análisis de los sistemas de pago electrónico conocidos hasta el momento. El capítulo comienza con una descripción de cada sistema para posteriormente efectuar un análisis de sus características y finaliza con una comparación objetiva de los sistemas examinados.

El capítulo cuatro muestra el desarrollo del sistema propuesto como medio de pago electrónico para uso en comercio electrónico. Inicia con las consideraciones tomadas para su desarrollo, describe sus componentes e ilustra su aplicación en el entorno cotidiano.

Finalmente se incluyen dos apéndices y las referencias bibliográficas. En el apéndice A se encuentran contenidos los artículos de divulgación científica que se derivaron de éste trabajo y que fueron presentados en congresos nacionales e internacionales. En el apéndice B se muestra una lista de algunos organismos y leyes que regulan actualmente el comercio electrónico en México.

Ing. Ma. Elena García León.

México, D.F.

(13)

AGRADECIMIENTOS

A Dios:

Por acompañarme día a día, darme fortaleza para continuar mi camino y mostrarme que con fe y perseverancia se consigue lo que se ha anhelado.

A mi familia:

Por guiar mis pasos con amor, ejemplo, consejo y apoyo; por las llamadas de atención cuando han sido necesarias, por todos los momentos alegres y difíciles en que me han enseñado que la unión familiar es un vínculo muy importante.

Al IPN:

Por haber sido la institución que me brindó la oportunidad de ser orgullosamente parte de su legado estudiantil y por ende inculcarme el poner en alto su nombre.

A ESIME Culhuacan

Por ser la escuela que a través de sus docentes, me aportó los conocimientos necesarios para mi futuro desarrollo profesional como ingeniero.

A la SEPI:

Por permitirme ser parte de ella para obtener un grado académico más y enseñarme a tener otra visión a través de las experiencias que viví durante el posgrado.

A CONACYT:

Por el apoyo brindado a través de la beca con número de registro 170617, para la realización de estudios de Maestría.

±~∞%}=+r

∇♣}~%☼~+@♣•♣d~!♣♥@}%=5☺á=~•~+♥♣}~+~♥+=♣5~☼☼%=+5d~@♣}~♥♣ñ☺¿+}♥%~@+}+~

+☼!+=+}~♥☺5~5%♦♣5~%~☺}~$%~☼+~♥+=♣d~@%}♣~5♣*}%~ñ♣$♣~@♣}~5+*%}~%5@%}

+}~•~%5ñ+}~+~♥☺~☼+$♣~%=~♥☺5~☼♣-}♣5~•~#}+!+5♣5/

A los miembros del Jurado Evaluador, por el tiempo que dedicaron a la revisión de ésta tesis y

(14)

(15)

CONTENIDO

LISTA DE FIGURAS Y TABLAS ... xiii RESUMEN ... xv ABSTRACT ... xvi

CAPÍTULO 1 INTRODUCCIÓN

1 3 13 14 15 17 18 RESUMEN ...

1.1 EVOLUCIÓN DEL DINERO ...

1.2 OBJETIVO ...

1.3 NECESIDAD DE LOS SISTEMAS DE PAGO ELECTRÓNICO ...

1.4 DINERO DIGITAL ...

1.5 REQUERIMIENTOS A LOS MEDIOS DE PAGO ELECTRÓNICO ...

COMENTARIOS ...

REFERENCIAS ... 18

CAPÍTULO 2 INFRAESTRUCTURA PARA CANALES DE COMUNICACIÓN SEGURA

19 21

21 22 24 34 35 37 RESUMEN ...

2.1 CANAL DE COMUNICACIÓN SEGURO ...

2.2 HERRAMIENTAS DE CRIPTOGRAFÍA APLICADA EN LA CONSTRUCCIÓN DE CANALES SEGUROS ...

2.2.1 FIRMA DIGITAL...

2.2.2 FUNCIONES HASH ...

2.2.3 CERTIFICADO DIGITAL ...

2.2.4 ALGORITMO RSA ...

2.3 PROTOCOLOS DE SEGURIDAD ...

2.3.1 S-HTTP ……….… 38

(16)

38 41 44 45 2.3.2 SSL ……….………...………..………..

2.3.3 SET ………..……….…….

2.3.4 MOSET …….……….

COMENTARIOS ...…...…

REFERENCIAS ... 45

CAPÍTULO 3 SISTEMAS DE PAGO ELECTRÓNICO CONOCIDOS

47 49 51 51 52 54 57 58 60 62 63 64 RESUMEN ... 3.1 ANTECEDENTES ... 3.2 ANÁLISIS DE LAS CARACTERÍSTICAS DE LOS SISTEMAS DE PAGO ELECTRÓNICO ... 3.2.1 FIRST VIRTUAL ……….…...…...…... 3.2.2 VIRTUAL CASH ………..….…… 3.2.3 CYBERCASH ………..……. 3.2.4 MILLICENT ………..…. 3.2.5 ECASH ……….. 3.2.6 TARJETAS INTELIGENTES ………... 3.2.7 MONDEX ... 3.3 COMPARACIÓN OBJETIVA DE LOS SISTEMAS DE PAGO ELECTRÓNICO ... COMENTARIOS... REFERENCIAS ... 64

CAPÍTULO 4 MODELO PARA UN SISTEMA DE PAGO ELECTRÓNICO

65 67 70 72 RESUMEN ...…... 4.1 CONSIDERACIONES DEL MODELO ...…... 4.2 ESQUEMA GENERAL DEL MODELO PROPUESTO ...….. 4.3 DESCRIPCIÓN DE COMPONENTES ...…. 4.4 RESULTADOS ...….. 73

CONCLUSIÓN ... 79

TRABAJO A FUTURO ... 80

APÉNDICE A ARTÍCULOS PUBLICADOS ... 81

APÉNDICE B REGULACIÓN MEXICANA DE COMERCIO ELECTRÓNICO ... 129

BIBLIOGRAFÍA ... 133

GLOSARIO ... 137

Ing. María Elena García León. xii

(17)

LISTA DE FIGURAS Y TABLAS

Figura 1 Seguridad en las sucursales bancarias 6

Figura 2 Realización de compras o pagos en Internet. 6

Figura 3 Principales transacciones realizadas por Internet. 7 Figura 4 Utilización del servicio de banca por Internet. 7

Figura 5 Comunicación Segura de un Mensaje 11

Figura 6 Confidencialidad a través de criptografía pública. 11 Figura 7 Autenticación a través de criptografía pública. 12

Figura 8 Establecimiento de una Comunicación 21

Figura 9 Proceso de Firmado Digital 23

Figura 10 Operación gráfica de una función hash 24

Figura 11 Estructura Damgård-Merkle para una función hash 25 Figura 12 Resistencia débil a colisiones de una función hash 25 Figura 13 Uso de las Funciones Hash en el proceso de Firma Digital. 26 Figura 14 Esquema de un Código de Detección de Modificación 27 Figura 15 Generación del resumen de un mensaje usando MD5 28 Figura 16 Generación del resumen de un mensaje usando SHA-1 29 Figura 17 Esquema de un Código de Autenticación de Mensajes. 31 Figura 18 Esquema de una función hash unidireccional universal. 32

Figura 19 Algoritmo RSA 35

Figura 20 Ejemplo del algoritmo RSA 36

Figura 21 Protocolos en una arquitectura simplificada 37

Figura 22 Pila Protocolar SSL 39

Figura 23 Operación del protocolo Handshake 40

Figura 24 Elementos que intervienen en un pago con tarjeta de crédito usando SET 43

Figura 25 Transacción básica de dinero digital. 50

Figura 26 Secuencia de una transacción bajo First Virtual. 52

(18)

Figura 27 Proceso de compra en VirtualCash. 53

Figura 28 Modelo de CyberCash. 54

Figura 29 Proceso de pago con CyberCoin. 56

Figura 30 Modelo del esquema Millicent. 57

Figura 31 Modelo del sistema Ecash. 59

Figura 32 Elementos de una tarjeta inteligente. 61

Figura 33 Comunicación de una tarjeta inteligente con la unidad de interfase. 61 Figura 34 Proceso de carga de una tarjeta Mondex con valor. 62

Figura 35 Esquema de pago del billete digital. 67

Figura 36 Elementos de seguridad de un billete nacional. 68 Figura 37 Diagrama del proceso de generación de un billete electrónico. 71 Figura 38 Ejemplo de los datos base de un billete digital. 73 Figura 39 Obtención de la Huella Digital de DB mediante MD5. 73

Figura 40 Firmas Digitales de las Entidades Bancarias. 74

Figura 41 Obtención del código de no falsificación. 75

Figura 42 Huella digital de DB mediante SHA-1. 75

Figura 43 Firmas Digitales de las Entidades Bancarias. 76

Figura 44 Ejemplo de utilización de la función SHA-1. 76

Tabla 1 Probabilidad de las letras en español e inglés. 9

Tabla 2 Longitud de llaves privadas y públicas resistentes a ataques de fuerza bruta. 12

Tabla 3 Comparación de las propiedades de SHA. 30

Tabla 4 Resumen de las propiedades de los Medios de Pago Electrónico. 63 Tabla 5 Analogía de los elementos de seguridad del billete electrónico. 69 Tabla 6 Comparación del Billete Digital con los Medios de Pago Electrónico. 78

Ing. María Elena García León. xiv

(19)

RESUMEN

En esta tesis se diseña un billete digital como una alternativa de pago anónimo para el comercio electrónico, ya que a pesar de que han surgido diversos esquemas de pago, aún no hay un sistema de pago electrónico que sea aceptado universalmente y sobre todo seguro.

El billete digital que se propone está constituido esencialmente por una secuencia organizada de bits que posee atributos como anonimidad, integridad, universalidad y autenticación; características fundamentales que deben considerarse al diseñar cualquier tipo de dinero digital. El proceso de generación de dicha secuencia implica el uso de herramientas de criptografía aplicada, tales como las Funciones Hash, Firmas Digitales y Códigos de Autenticación de Mensajes con la finalidad de proteger la privacidad del consumidor en las transacciones vía Internet.

Para determinar la estructura del billete digital se tomaron dos consideraciones: Primero se realizó un análisis comparativo de las principales características de funcionamiento de algunos sistemas conocidos de pago electrónico (First Virtual^TM Cybercash^TM, Milllicent^TM, Ecash^TM, Mondex^TM y Tarjetas Inteligentes), en segundo lugar se aprovecharon los atributos que definen a un billete bancario de México, incluyendo los que le otorgan seguridad. Sin embargo, el hecho de considerar el papel moneda mexicano no es una limitante que evite que el billete digital se lleve a cabo en otras naciones, ya que hay elementos comunes del papel moneda que pueden ser estandarizados por el Banco Mundial, por ejemplo.

Finalmente, los resultados obtenidos se muestran a través de la generación de algunos billetes digitales.

(20)

Ing. María Elena García León. xvi

ABSTRACT

In this thesis a digital bill is designed as an alternative anonymous payment for the electronic commerce, because although diverse payment schemes have emerged, even there is not any secure and universally accepted electronic payment system.

The proposed digital bill consists essentially of an organized sequence of bits that possesses attributes as anonymity, not falsification, universality and authentication; fundamental characteristics that should be considered when any type of digital money is designed. The generation process of this sequence implies the use of tools of applied cryptography, such as the Hash Functions, Digital Signatures and Messages Authentication Codes with the objective of protecting the consumer privacy in the transactions via Internet.

The structure of the digital bill has two assumptions: First, the main characteristics of some known electronic payment systems (Virtual First, Cybercash, Milllicent, Ecash, Mondex and Intelligent Cards) are compared and analyzed, and in second place the specific attributes that define a bank bill in Mexico are used including security attributes. However, the fact of consider the Mexican paper currency is not a restriction avoiding the digital bill can be carried out in other nations, since there are elements common of the paper currency that can be standardized, for example, by the World Bank.

Finally, the obtained results are shown through the generation of some digital bills.

(21)

CAPÍTULO 1

INTRODUCCIÓN

RESUMEN

Como en la actualidad las actividades financieras han cobrado demanda a través de las redes electrónicas, en éste capítulo se hace una reseña de modo simple, sobre la evolución que han tenido los sistemas de pago dentro de la sociedad, desde el antiguo trueque hasta el dinero digital implícito en el comercio electrónico. Asimismo, se definen algunos términos esenciales como confidencialidad, autenticación, integridad y no repudio, servicios que debe ofrecer un sistema de dinero digital seguro.

Además, se señalan las características que los usuarios demandan de cualquier sistema de pago electrónico para que sea funcional dentro de un medio inseguro como es Internet.

La finalidad de este capítulo es dar un panorama sobre la importancia de la actual forma de comerciar a través de una red mundial y los riesgos que pueden correr los usuarios si no se toman las medidas de seguridad adecuadas para realizar transacciones financieras en este medio.

(22)

(23)

1.1 EVOLUCIÓN DEL DINERO

Como antecedente del comercio, se retoma el trueque, considerado el primer medio de intercambio directo de bienes o servicios cuyos valores resultaban convenientes y aceptados, de acuerdo con las necesidades de las partes que intervenían. Con el paso del tiempo, el hombre desarrolló un medio de cambio al que denomino dinero, cuyo ingreso como nuevo medio de pago en la economía produciría la transformación de la economía del trueque en una economía de cambio.

Las funciones del dinero como medida del valor, facilitaron el intercambio de bienes y servicios de forma tal que cada individuo negociaba libremente sus productos a cambio de dinero, ya que tenía la certeza de que sería aceptado bajo las mismas condiciones, creando así lo que hoy se denomina comercio.

El dinero es y ha sido una pieza clave de la vida económica, desde los inicios con el dinero material, cuyo valor era determinado por su contenido de metales preciosos como oro, plata, bronce, hierro y cobre. Antiguamente las ciudades, los monarcas e instituciones acuñaban su dinero con su sello identificativo para certificar la autenticidad del valor metálico de la moneda. Posteriormente surgió el papel moneda, pero desafortunadamente este tipo de dinero no fue muy bien aceptado por la gente en un principio, por poseer muy poco valor intrínseco y por estar acostumbrados al manejo de la moneda metálica; además de que cada país tenía su propio sistema monetario e imprimía su propio dinero. Sin embargo, como medio de curso legal, los billetes de papel representan un específico valor monetario fijado por decreto gubernamental que se conoce como dinero fiduciario.

El papel moneda fue introducido por primera vez en China, en torno al siglo IX, como dinero en efectivo intercambiable por certificados emitidos para el gobierno de la dinastía Tang por los bancos privados. En cambio, en nuestro país la primera emisión oficial mexicana de billetes se dio hasta el siglo XIX (1822), una vez consumada la Revolución de Independencia.

Durante el gobierno del general Porfirio Díaz, se estableció conforme a la Ley de Instituciones de Crédito de 1897 un firme, funcional y organizado sistema bancario en el que cada estado de la República contó con, cuando menos, un banco privado emisor de billetes, además del Banco Nacional de México. De esta forma se adoptó al billete como medio de pago de aceptación generalizada, los billetes de estos bancos se emitieron con el respaldo metálico correspondiente, en diferentes denominaciones y eran fabricados por empresas extranjeras especializadas (Bradbury, Wilkinson &

Company, American Bank Note Company y American Book & Printing Company). A razón de este hecho, se estableció que la emisión de dinero correspondería a un banco único bajo control gubernamental: el Banco de México, cuyas funciones eran la emisión y regulación de la circulación monetaria. Además se buscó tener una fabrica nacional (1969), donde su emisión se hizo con el respaldo tecnológico más avanzado de ese momento y conforme a diseños, iconografía y concepciones totalmente distintas a las ya existentes [1]. Fue a finales de 1992 cuando el Banco de México imprimió una nueva serie de billetes con la leyenda “nuevos pesos” que indicaba una nueva unidad monetaria, pero años después se eliminó el adjetivo “nuevo”. Buscando innovar la emisión de billetes, en el 2002 se puso a prueba en la menor denominación, un nuevo material: el polímero, que incluía nuevos mecanismos de seguridad y ofrecía ser más practico a la población. Dada la buena aceptación de este material, a partir del segundo semestre de 2006 se pondrá en circulación la siguiente denominación de los billetes, producidos con dicho material que sustituirán a los de papel moneda.

Como se ha mencionado, han sido numerosas las variaciones producidas en el formato del dinero a lo largo de la historia, pero lo que es importante aclarar es que en la adquisición y venta de bienes y servicios, seguiremos utilizando el mismo instrumento de cambio: el dinero. Sin embargo, éste siempre adquirirá múltiples formas surgidas de la casi ilimitada capacidad creativa del hombre, cada vez buscando intensificar el dinamismo, la rapidez, la eficacia y eficiencia en la producción, la distribución y consumo de bienes y servicios, tanto local como internacionalmente, por la simple razón que ya son requerimientos ineludibles de la época en que vivimos.

(24)

Generación de Billetes Digitales Anónimos

La aparición del comercio electrónico

Con el advenimiento de la tecnología de comunicación y la cobertura de servicios de Internet surgió un nuevo tipo de mercado. El comercio electrónico (e-commerce), también designado como negocios electrónicos (e-business) o comercio en Internet (I-commerce), es actualmente la nueva forma de comerciar que esta absorbiendo la atención del mundo entero. Este avance tecnológico, está jugando un papel tan importante que esta transformando todo el mercado y lo esta globalizando, debido a que gira en torno al desarrollo económico. Todos estos cambios llevan a las empresas a repensar sus estructuras de costos y los planes estratégicos de gestión, obliga a definir las nuevas maneras de competir en los mercados domésticos e internacionales, es decir, implica una nueva cultura tecnológica.

El comercio electrónico, es cualquier tipo de transacción comercial y financiera en la que las partes intervienen a través de redes publicas y privadas, mediante la relación entre oferta y demanda, en lugar de realizar un intercambio o contacto físico. La influencia de esta forma de comerciar tiene como ventaja realizar compras prácticamente en cualquier momento, desde la casa u oficina, sin tener que desplazarse físicamente a una o varias tiendas. Al comprar en línea se pueden adquirir una gran variedad de bienes y servicios, desde ropa, reservación de boletos aéreos, reservaciones de hotel, alquiler de automóviles, compra de discos musicales, libros, utensilios domésticos o transferencia entre cuentas bancarias; hasta bienes intangibles como programas de cómputo, servicios de entretenimiento, de información o educativos, entre otros.

Las empresas que utilizan este medio cada vez se vuelven más eficientes en sus servicios tienen mayor flexibilidad en sus funciones internas, la mercadotecnia se vuelve más barata, se reducen los costos de manejo de documentos y transacciones, la respuesta es inmediata; se establece un contacto más estrecho y directo con los proveedores y clientes sin importar la localización geográfica, ya que la distancia ya no es un obstáculo para vender en un mercado global. En la actualidad las empresas utilizan con mayor frecuencia los sistemas de computo para manejar y almacenar su información privada que constituye su activo mas valioso, además de que pueden relacionarse con sus socios para el diseño, venta y distribución de sus productos y servicios. Es por esto que requieren utilizar herramientas electrónicas y de telecomunicaciones, con el objeto de agilizar el proceso comercial y de servicio, por medio de la reducción de tiempos y de costos.

El comercio electrónico puede subdividirse en diferentes categorías según los agentes que intervengan en la transacción, ya sean empresas, consumidores o administraciones públicas:

Empresa-Empresa: Business to business (B2B).

Empresa-Consumidor: Business to consumer (B2C).

Empresa-Administración: Business to Administration (B2A).

Consumidor-Administración: Consumer to Administration (C2A).

Consumidor-Consumidor: Consumer to Consumer (C2C)

De este tipo de comercio emerge un subproducto que es el dinero digital, el cual circula instantáneamente de computadora en computadora a través de una red electrónica mundial y es intangible al ser humano, a diferencia del dinero metálico que fluye lentamente de mano en mano, pudiéndose tocar físicamente. Esta nueva generación de dinero digital ha originado una revolución en los mercados financieros internacionales que se afianza con el crecimiento y avance constante de Internet y con la introducción de innovaciones como las tarjetas inteligentes. Esta etapa cambiará fundamentalmente la percepción de los individuos, las instituciones financieras, las grandes y pequeñas empresas y principalmente los gobiernos, que deberán modificar sustancialmente las formas de captar, administrar, destinar e invertir el dinero. Aunque el cambio de bienes, la moneda metálica y el papel moneda quizá nunca desaparezcan de las transacciones, los métodos electrónicos absorben cada vez más un volumen importante del mercado financiero internacional. En los últimos años la mayoría de los bancos que operan en nuestro país ofrecen algún tipo de operación vía Internet, brindando facilidad para acceder al servicio, rapidez, ahorro de tiempo y dinero, evitando el tener que ir a la sucursal bancaria a hacer largas filas para ser atendido y los riesgos que se corren en

4 Ing. María Elena García León.

(25)

la calle. En efecto, las transacciones por Internet resultan bastantes atractivas por la facilidad y comodidad para realizarlas, traen muchos beneficios para los clientes, pero al igual que en el comercio tradicional las mismas virtudes de la red son utilizadas por algunas personas para cometer ilícitos que los mexicanos comienzan a padecer. Como cada vez más negocios se dirigen hacia Internet, la necesidad de protección contra ciberfraudes (scams) de información son de vital importancia. La cifra estadística del número de intrusiones detectadas y reportadas al CERT-México (Computer Emergency Response Team) [2], en el año 2004 alcanzó los 1,060 incidentes, que indica la necesidad de cuidar los aspectos de seguridad informática de nuestros sistemas. El riesgo al realizar una transacción por Internet, es la vulnerabilidad de la información y del equipo a los diferentes delitos informáticos que se pueden cometer si no se cuenta con un sistema seguro para efectuar las transacciones. Las amenazas que más aquejan a los usuarios a través de sus recursos informáticos, son básicamente de cuatro tipos diferentes: intercepción, modificación, interrupción y generación.

Intercepción. Se produce cuando un programa, proceso o persona accede a una parte del sistema o del mensaje para el cual no tiene autorización. Es el incidente de seguridad más difícil de detectar, ya que generalmente no produce una alteración en el sistema. Ejemplos:

acceso a una base de datos, entrada a través de la red en un sistema informático ajeno, etc.

Modificación. Además de que intercepta, intenta cambiar todo o parte del funcionamiento del sistema o del mensaje transmitido. Es el tipo de amenaza más peligroso ya que puede ocasionar grandes daños en el sistema. Ejemplos: cambios en el contenido de una base de datos, cambios en los datos de una transferencia bancaria, etc.

Interrupción. Puede ser temporal o permanente e incluye la posibilidad de destrucción de recursos y activos. Es la más sencilla de detectar y la que presenta mayor dificultad para luchar contra ella, ya que muchas veces son accidentes naturales. Ejemplos: interrupción de suministro eléctrico, incendios, errores de operación que afectan al sistema operativo, etc.

Generación. Se refiere a la adición de campos o registros en los activos, en la adición de líneas de código en los recursos lógicos, o a la introducción en el sistema de programas completos. Ejemplos: virus informáticos, caballos de Troya, transacciones electrónicas falsas, introducción de datos en una base, etc.

Un ejemplo cotidiano que ilustra ésta problemática, es el caso del software libre que tiene como función espiar en segundo plano la navegación de los usuarios por Internet (spy ware), atentando de esta manera contra la privacidad de datos personales bajo el esquema man in the middle attack. Estas prácticas se ven reflejadas en el envío masivo y no solicitado de publicidad y servicios de nuestro interés vía e-mail, conocido como spam. Esto se debe a que existen sitios y compañías prestadoras de servicio de e-mail que sin previa autorización del usuario negocian con la información de las bases de datos sobre los perfiles de los clientes a otras empresas. Tanto en el comercio tradicional como en el virtual, mucha gente teme dar sus datos privados (nombre, dirección, número de tarjeta de crédito, número telefónico, etc.) porque no sabe si alguien utilizará esa información sin su consentimiento, si será interceptada para suplantar su identidad o si al efectuar pagos con tarjeta ésta puede ser clonada para realizar operaciones ilegales con sus cuentas bancarias. Y es que las cifras más recientes de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF), revelan que hasta ahora se han detectado operaciones ilegales por más de 400 millones de pesos, lo que significa pérdidas para miles de usuarios de este tipo de tarjetas [3]. Esta es la causa por la que un sector de la población todavía se resiste a usar los avances tecnológicos, lo que provoca una transición lenta de la banca tradicional a la banca por Internet. El Coordinador del Grupo de Trabajo de Banca y Comercio Electrónico de la Asociación de Bancos de México, manifiesta –La resistencia de los clientes bancarios al uso de la red de redes se debe a múltiples factores: la desconfianza, el nivel cultural, la baja penetración del sistema financiero entre la población y al limitado número de usuarios de Internet–. Sin embargo, a través de un estudio [3] realizado por la CONDUSEF, se ha revelado que sólo uno de cada diez capitalinos manifiesta sentirse muy seguro dentro de una sucursal bancaria (12%), mientras que la gran mayoría manifiesta algún tipo de inseguridad (81%) y un pequeño porcentaje no manifiesta opinión al respecto (7%), tal como muestra la figura 1.

(26)

¿Qué tan seguro se siente en una sucursal bancaria?

Muy Seguro 12%

Algo Seguro 35%

Nada Seguro 19%

No Opina 7%

Poco Seguro 27%

INSEGURIDAD 81%

Figura 1: Seguridad en las sucursales bancarias.

Estas cifras avalan la tendencia de la gente a la adopción del comercio electrónico, ya que resulta muy atractivo por la comodidad que ofrece de poder estar desde la casa u oficina para efectuar un pago y así evitar la perdida de tiempo al tener que trasladarse de un punto a otro y sobre todo no se expone a que saliendo del banco puedan ser asaltados. El aspecto de la seguridad es de los más relevantes y debatibles cuando se trata de transacciones electrónicas, hasta ahora los servicios utilizados por los usuarios de la banca en Internet son los más simples. Según la Asociación de Banqueros de México, del total de operaciones realizadas, 80 por ciento corresponde a consultas de saldos, debido a que implica un menor riesgo, desde el punto de vista de los usuarios. En segundo lugar, se ubica el pago de servicios que representa 10 por ciento y, finalmente, se encuentran otras transacciones, como transferencias entre cuentas, pago de servicios, de tarjeta de crédito e impuestos, puesto que son transacciones financieras repetitivas y por lo tanto requieren de poca complejidad. De acuerdo con un estudio realizado por la Asociación Mexicana de la Industria Publicitaria y Comercial en Internet (AMIPCI) y la consultora Select [4], existen casi 15 millones de usuarios mexicanos de Internet, de los cuales el 51% de los usuarios ha realizado operaciones de compra o pagos a través de la red; en la figura 2 se específica el porcentaje de usuarios según el sexo.

59%

41%

51%

49%

14,901,687

41%

59%

7,870,093 7,031,594

No Si

Mujer Hombre

Figura 2: Realización de compras o pagos en Internet.

Total

(27)

En la figura 3 se muestran las preferencias de compra de los usuarios de la red en el último año;

según la información de dicha asociación, un 48% de cibernautas mexicanos concretamente ya utilizan el servicio de banca por Internet como señala la figura 4.

Multirespuesta U= 7.54 (M Usuarios)

27%

26%

23%

22%

21%

20%

Servicios: agua/luz/teléfono

22%

Reservaciones: hoteles/autos Aparatos electrónicos Impuestos Programas de cómputo

Boletos de eventos Boletos de avión Discos/música MP3 Equipo de cómputo

Libros y/o revistas 30%

36%

Figura 3: Principales transacciones realizadas por Internet.

7,186,264 7,715,422 14,901,687

52%

51%

49%

43% 48%

57%

No

Si

Total Mujer

Hombre

Figura 4: Utilización del servicio de banca por Internet.

En respuesta a las necesidades de los usuarios de comercio electrónico, los organismos internacionales y autoridades gubernamentales han tenido que desarrollar lineamientos con el fin de evitar prácticas comerciales fraudulentas. En México, existen disposiciones de ley especificas sobre el comercio electrónico (Ley Federal de Protección al Consumidor, Código de Comercio, Código Civil, etc.), en temas como la firma electrónica, confidencialidad y seguridad de la información del consumidor, así como los datos que el vendedor debe proporcionar antes de efectuar cualquier transacción; lo que obliga a los sitios a mantener la confidencialidad de la información y les prohíbe

(28)

difundirla o transmitirla a menos que el consumidor lo autorice por escrito. Sin embargo, estas leyes solo son aplicables en las operaciones realizadas con proveedores mexicanos, dado que en otros países existen regulaciones similares. Asimismo, a partir de diciembre de 2002 quedó formalmente instalado el Grupo de Coordinación Interinstitucional de combate a Delitos Cibernéticos, que lleva el nombre de DC México (Policía Cibernética) y que depende de la Policía Federal Preventiva, está integrada por distintas dependencias del Gabinete de Seguridad Nacional, representantes del poder legislativo, universidades y centros de educación superior.

Como el comercio electrónico se encuentra en estos momentos creciendo de forma muy rápida y que todavía hay temas que están en espera de ser resueltos para obtener así todo el potencial que ofrece, requiere apoyarse en mecanismos y herramientas que sean eficaces para así poder garantizar la privacidad y seguridad en el manejo de los datos personales que viajan a través de las redes.

El papel de la criptografía

La criptología es la ciencia que trata los problemas teóricos, relacionados con la seguridad en el intercambio de mensajes en clave entre un emisor y un receptor a través de un canal de comunicaciones como puede ser Internet. Esta ciencia está dividida en dos grandes ramas, la criptografía que se ocupa del cifrado de mensajes en clave y del diseño de criptosistemas; y el criptoanálisis que son las técnicas empleadas para tratar de descifrar los mensajes en clave, rompiendo así el criptosistema. Esto se puede hacer descifrando un mensaje sin conocer la llave, o bien obteniendo a partir de uno o más criptogramas la clave que ha sido empleada en su codificación.

Criptografía quiere decir literalmente “escritura secreta”, es la ciencia relacionada a los aspectos de seguridad de la información que hace uso de métodos y técnicas matemáticas para diseñar, e implementar algoritmos y protocolos de cifrado de datos. El propósito de la criptografía no es ocultar la existencia de un mensaje, sino su contenido, a través de una comunicación segura. De forma tal que un mensaje inteligible (texto que es entendible por cualquier persona), sea trasformado en otro que no lo sea en lo absoluto (texto ininteligible). El objetivo de ocultar o disfrazar un texto o mensaje, conlleva a que si alguien obtiene el mensaje no pueda entenderlo; sólo los que conozcan el método para revertir el proceso puedan leer el mensaje.

La criptografía permite a las personas confiar en los sistemas para poder pasar del mundo físico al mundo electrónico, permitiéndoles así hacer negocios electrónicamente sin miedo al engaño y al fraude. Para que un sitio web pueda ser seguro, todos los datos transmitidos entre las computadoras deben estar guardados de forma segura y el sitio debe implementar cifrado. Esto les permite a las personas hacer transacciones bancarias, vender y hacer compras en línea con sus tarjetas de crédito, sin preocuparse de que cualquiera pueda obtener esta información. La criptografía es muy importante debido al crecimiento continuo de Internet y el comercio electrónico.

Desde años atrás se buscó la forma de ocultar un mensaje mediante técnicas reversibles, fue en el siglo XII, que el ingles Roger Bacon, describió diversos métodos criptográficos, igualmente Gabriel di Lavinde publicó en 1379 una compilación de sistemas a petición del Papa Clemente VII. Es importante mencionar que inclusive la Iglesia tuvo que usar sistemas criptográficos, que indudablemente se trataba de métodos clásicos de sustitución. Los éforos de Esparta se comunicaban con sus generales de campo por medio de la scitala lacedemonia, un bastón de madera de cierto diámetro que era enrollado por una cinta de papiro formando una espiral, donde se escribía el mensaje verticalmente. Una vez que la cinta se desenrollaba, las letras quedaban desordenadas y el mensaje sólo podía volver a leerse si se enrollaba la cinta sobre un bastón idéntico [16] . El escritor Polibio inventó un cuadro de 5×5, que se utilizó mucho en diferentes sistemas criptográficos. Otro método antiguo de cifrado fue el que Julio César empleó en la guerra de Galias, donde usó el alfabeto griego en lugar del romano. El sistema consistió en adelantar cada letra del alfabeto tres posiciones a la derecha, de manera que el mensaje cifrado no podía ser inmediatamente leído por nadie que no conociera cuantos lugares se ha desplazado el alfabeto. Dado que cada aparición de una letra del texto cifrado se reemplaza siempre por otra letra del alfabeto de cifrado, las frecuencias de aparición

(29)

de los símbolos del alfabeto original se mapean a las frecuencias de los símbolos que les corresponden en el alfabeto cifrado. Los escritores judíos a veces disfrazaban el significado de sus textos invirtiendo el alfabeto, es decir, utilizaban la última letra de éste en lugar de la primera, la penúltima en vez de la segunda, y así sucesivamente. Este sistema, denominado Atbash, aparece en la Biblia (en Jer. 25,26), donde se escribe “Sesac” en lugar de “Babel”, empleando la segunda y duodécima letras contando desde el final, no desde el principio, del alfabeto hebreo. Los idiomas no poseen una distribución de letras uniforme, hay algunas que se utilizan con mayor frecuencia que otras; casualmente en el español e inglés, la letra más usual es la “e” [5], pero las frecuencias de ocurrencia son muy diferentes en cada idioma, como puede verse en la tabla 1.

Tabla 1: Probabilidad de las letras en español e inglés.

Letra Español Inglés Letra Español Inglés

A 0.1234 0.0820 N 0.0705 0.0670

B 0.0178 0.0150 O 0.0937 0.0750

C 0.0422 0.0280 P 0.0239 0.0190

D 0.0493 0.0430 Q 0.0109 0.0010

E 0.1304 0.1270 R 0.0666 0.0600

F 0.0060 0.0220 S 0.0750 0.0630

G 0.0109 0.0200 T 0.0443 0.0910

H 0.0115 0.0610 U 0.0413 0.0280

I 0.0574 0.0700 V 0.0110 0.0100

J 0.0056 0.0020 W 0.0002 0.0240

K 0.0004 0.0080 X 0.0010 0.0020

L 0.0609 0.0400 Y 0.0113 0.0200

M 0.0300 0.0240 Z 0.0047 0.0010

El claro ejemplo del uso de cifrado, han sido las guerras colosales que impulsaron la creación de nuevos sistemas criptográficos cada vez más potentes y difíciles de entender. Desde hace varios años los algoritmos de cifrado se consideraron un arma estratégica de los Estados Unidos, por lo que su exportación en forma de programa e incluso documento, estaba prohibida. Sin embargo con el advenimiento de Internet entre el público, se hizo necesario que existiera una forma de transmitir mensajes con privacidad y capacidad de autentificar la identidad del remitente, por lo que se crearon varios programas que proporcionaban este servicio. Fue en septiembre de 1999, que por iniciativa de Bill Clinton, se liberó aunque con ciertas limitaciones, la posibilidad de exportar a casi todo el mundo la tecnología de cifrado fuerte [9]. De hecho, las limitaciones se concentraron y cada producto que fuera distribuido por Internet u otro mecanismo debería pasar primero a revisión del Congreso de ese país.

La criptografía no está confinada al mundo de las computadoras solamente, hoy en día es parte de nuestra vida cotidiana y tal vez no nos habíamos percatado de ello, se encuentra en medidores de gas, sistemas de pago de dinero en efectivo, en máquinas, alarmas de vehículos, mapas náuticos, en la desmodulación de la señal de televisión por cable, en el acceso a satélites, en teléfonos celulares para proteger las llamadas de espías mediante cifrado de voz, inclusive aparece en libros de entretenimiento para niños y en el reverso de algunos empaques de leche, entre otras muchas. Sin el uso de la criptografía, los espías (hackers, crakers, sniffers, etc.) podrían acceder a diversos servicios y adquirirlos libremente o interferir en las cuentas bancarias de cualquier persona. Los sistemas criptográficos se han extendido en Internet, buenos y malos emplean la criptografía para “esconder”

sus mensajes. Básicamente se cuidan los aspectos de seguridad de la información para proporcionar algunos o todos los servicios imprescindibles [6], conocidos como Confidencialidad, Integridad, Autenticación y No-repudiación para combatir los ataques antes mencionados.

(30)

Confidencialidad. Es un servicio que cuando se utiliza apropiadamente, guarda el contenido de la información de todos, menos de aquellos que están autorizados a conocerlo, evitando así que sea revelada accidental o deliberadamente a personas no autorizadas. Es de los más viejos y tradicionales servicios proporcionados por la criptografía y normalmente opera por cifrado.

Integridad. Es un servicio que se dirige a la alteración de datos desautorizada, permite descubrir la manipulación de la información por entidades no autorizadas (modificación, creación, eliminación) durante el proceso de trasmisión. Éste es un proceso diferente al de usar Códigos de Redundancia Cíclica, qué sólo protegen contra los errores accidentales y no contra la alteración deliberada.

Autenticación. Uno de los más importantes objetivos de la seguridad de la información, este mecanismo permite a cada parte que interviene en una transacción asegurar la identidad de la otra parte, ya sea un usuario, entidad, información o proceso; identificando cuando resulte ser falso. La autenticación puede ser dividida en Autenticación de Mensajes, dónde se asegura al receptor que el texto no ha cambiado desde que dejó al remitente y Autenticación de Usuario, dónde se verifica que un individuo es quién afirman ser realmente. Hasta mediados de los años 70’s, se creyó que la confidencialidad y la autenticación eran intrínsecos, esto se relaciona al concepto erróneo de que el cifrado lograba todos los cometidos, después fue comprendido que la confidencialidad y la autenticación eran objetivos de seguridad de la información verdaderamente separados e independientes.

No Repudio. Este servicio impide a una entidad negar compromisos o acciones posteriormente a la comunicación, por ejemplo haber recibido un mensaje, o haber firmado un documento. Se usa como un último recurso para resolver disputas, pero normalmente su existencia es un disuasivo contra conductas equivocadas.

No existe un método que por si sólo sea capaz de proveer todos los servicios anteriormente citados, pero la mayoría se basa en el cifrado de la información.

Los algoritmos criptográficos o de cifrado de información consisten en procesos de cómputo matemático reversibles, que permiten convertir texto que cualquier persona puede leer y entender, a la forma ininteligible. Básicamente consisten en expresar mensajes escritos con ciertos símbolos mediante el uso de otros símbolos, resultando un conjunto especial o secuencia concreta de símbolos que sólo conocen algunas personas, de forma tal que la información transferida sea confidencial. Por ésta razón, el cifrado es esencial para crear un ambiente seguro para el manejo de dinero digital; por si mismo es básico para crear cualquier tipo de dinero digital.

La información puede cifrarse y descifrarse empleando algoritmos que involucren claves, cuya finalidad es que quien no conozca la clave no pueda recuperar el mensaje original suponiendo que ha capturado el mensaje cifrado. Cuando dos usuarios quieren mantener una comunicación segura estos deben compartir una clave secreta que tan solo ambos conocen. Este método ha sido utilizado desde principios de los años 70’s y se conoce como criptografía convencional o simétrica, donde la clave que se utiliza tanto para cifrar la información como para descifrarla es la misma, permitiendo de este modo obtener un canal de comunicación seguro. En la figura 5 se muestra un esquema de transmisión segura de un mensaje entre dos entidades a través de un canal inseguro.

El precio que se paga bajo este esquema es el hecho de que para cada par de usuarios que quieran establecer una comunicación segura se requiere una clave distinta. Aunque de este modo un usuario de una red debe almacenar tantas claves como personas con las que desee mantener una comunicación segura. Este hecho no constituía ningún problema en tiempos pasados si bien ahora, con la cantidad de usuarios que existen en las redes se convierte en impracticable e implica nuevas respuestas para el problema de la comunicación segura [10].

(31)

Usuario A Usuario B

Canal Inseguro

Llave

Recuperación del Mensaje Descifrador

Llave

Mensaje

Cifrador Criptograma

Figura 5: Comunicación Segura de un Mensaje.

Existe otro método de cifrado conocido como asimétrico, que fue introducido por los ingenieros eléctricos Whitfield Diffie y Martín Hellman de la Universidad de Stanford, junto con un estudiante Ralph Merkle, en 1976. A diferencia de los sistemas simétricos, éste involucra el uso de dos llaves (pública y privada) y se conoce también como criptografía de llave pública. Cada llave tiene una función específica, una se utiliza para cifrar la información y otra la para descifrarla, son bastante diferentes y a partir del conocimiento de la pública no es posible determinar la llave privada, excepto por un ataque. La llave privada sólo es conocida por el emisor, mientras que la llave pública puede ser conocida por varios receptores. Es importante mencionar que existe una técnica para obtener una clave, que se conoce como “fuerza bruta”, consiste en probar todas las claves posibles hasta descubrir la correcta. Por este motivo, ambas llaves se deben modificarse periódicamente, lo que complica todavía más el acceso no autorizado y hace muy difícil descifrar o falsificar la información.

Potencialmente hay dos modos de uso de los criptosistemas de clave pública, dependiendo del uso que se haga de la llave privada (cifrado o descifrado). Por una lado cualquier usuario puede enviar un mensaje de forma confidencial a un receptor cifrando su contenido con la llave pública del receptor, que será el único capaz de descifrarlo por ser el único conocedor de la llave privada, tal como se muestra en la figura 6. Por otra parte cualquier usuario puede autenticar el origen y contenido de un mensaje cifrándolo con su llave privada, ya que prueba su identidad como único poseedor de esta llave. Cualquier receptor puede verificar la autenticidad del mensaje descifrándolo con la llave pública del emisor, éste proceso se ilustra en la figura 7.

De forma general, un sistema de llave pública cumple dos propiedades:

1. Cada entidad involucrada en el sistema posee los medios necesarios para cifrar y descifrar mensajes; cifrar los destinados a cualquier otra persona y descifrar los que vayan dirigidos a ésta.

2. Los medios para descifrar los mensajes de una persona no son obtenibles en un tiempo razonable por cualquier persona.

Usuario A Usuario B

Descifrador Llave privada de B Llave pública de B

Recuperación del Mensaje Mensaje

Figura 6: Confidencialidad a través de criptografía pública.

(32)

Usuario A Usuario B

Llave pública de A

Recuperación del Mensaje Descifrador

Llave privada de A

Mensaje

Figura 7: Autenticación a través de criptografía pública.

Realizando una comparación entre los dos esquemas de cifrado descritos, los sistemas simétricos resultan mas débiles que los asimétricos, esto se debe a que el emisor y receptor deben conocer la llave, por lo que al enviarla a través de un medio de transmisión alguien podría leerla y emplearla para descifrar los mensajes. Sin embargo los sistemas de cifrado asimétricos, emplean dos llaves distintas, lo que aumenta la seguridad en el cifrado de los mensajes, ya que las claves privadas no tienen que ser reveladas a nadie, por lo que de ésta forma se permite el uso de medios de transmisión poco seguros como lo es Internet. Claro que los sistemas asimétricos son mucho más costosos que los simétricos en cuanto a recursos informáticos, además se utilizan para cifrar comunicaciones en la que la velocidad no sea un requisito crítico, ya que los sistemas asimétricos son cien veces más lentos que los simétricos, es por ello que se hace necesario combinar distintas formas de cifrado para conseguir una mayor eficacia en el proceso. En la tabla 2 [17] se muestra una similitud de algunas longitudes de llave pública, que se aproximan a igualar la dificultad de factorización entera a la dificultad de un ataque de fuerza bruta para longitudes comunes de llave secreta.

Tabla 2: Longitud de llaves secretas y públicas resistentes a ataques de fuerza bruta.

Longitud de llave Secreta Longitud de llave Pública

56 bits 384 bits

64 bits 512 bits

80 bits 768 bits

112 bits 1792 bits

128 bits 2304 bits

En un esquema de un solo usuario, la criptografía de clave pública normalmente no es necesaria, debido a que, si se quiere guardar un archivo personal cifrado se puede hacer con algoritmos de clave privada, usando únicamente una contraseña personal como llave; en general la criptografía de clave pública es mejor para un ambiente multiusuario abierto.

Entonces, un buen sistema criptográfico ha de tener varias características [15]:

pequeñas variaciones de textos claros: grandes variaciones de textos cifrados, los tamaños de los textos claros deben ser comparables con los cifrados, los textos cifrados deben calcularse eficientemente a partir de los claros, y la relación entre textos claros y cifrados debe ser impredecible.

Por lo tanto un mal sistema criptográfico se caracteriza por una relación aleatoria entre textos claros y cifrados, es susceptible a ataques elementales, el cálculo de cifrado es ineficiente en tiempo y en espacio, y sobre todo es vulnerable a sus propios fabricantes.

(33)

1.2 OBJETIVO

Diseñar la estructura de un billete digital con cualidades de autenticidad, integridad y anonimato, como una alternativa de pago óptima para el comercio electrónico, empleando herramientas de criptografía aplicada, con la finalidad de proteger la privacidad del consumidor en las transacciones vía Internet.

En tanto, los objetivos específicos derivados del anterior, son los siguientes:

1. Investigar los diferentes sistemas de pago electrónico.

2. Analizar los actuales sistemas de pago electrónicos.

3. Analizar los elementos que constituyen un billete convencional en México.

4. Proponer los elementos de seguridad con que contará el billete digital.

5. Estudiar diferentes técnicas que permitan llevar a cabo los elementos de seguridad.

6. Elaborar una propuesta de diseño de un billete digital.

7. Construir los elementos del billete digital.

8. Generar diferentes denominaciones de billetes digitales.

9. Publicar los avances y resultados obtenidos en el transcurso de esta investigación.

(34)

1.3 NECESIDAD DE LOS SISTEMAS DE PAGO ELECTRÓNICO

En sus inicios, el propósito de la red Internet era facilitar la circulación de información científica (Intercambio Electrónico de Datos: EDI) y simplificar la interconexión de redes y de equipos diversos, dejando un poco de lado los aspectos de seguridad. Actualmente el uso de la red de redes tiende a la realización de actividades comerciales, donde el estándar de comunicación internacional EDI está ahora también orientado a la transferencia de documentos tales como ordenes de compra, facturas, notificaciones de cobro, entre otros. Esto se debe a que el avance tecnológico ha venido a revolucionar los sistemas económicos produciendo beneficios reales para el crecimiento de la comunidad empresarial gracias al comercio electrónico, sobretodo por la considerable reducción de costos de operación, además de que dentro de las actividades cotidianas de los ciudadanos predomina el movimiento de pequeños capitales, lo que posibilita la aparición del dinero digital a través de las redes electrónicas.

Cualquier sistema de intercambio de información es susceptible de utilizarse para intercambiar dinero, dado que el dinero digital tiene la propiedad de ser una cadena de información, se requiere contar con transacciones financieras seguras de acuerdo a estándares reconocidos. Sin embargo, Internet por si sola no asegura la correcta operación de las transacciones comerciales, sino que tiene que apoyarse de herramientas adicionales que se encarguen de proteger cualquier tipo de información que por ella circule.

El problema al que se enfrentan los usuarios de comercio electrónico, es que aún no existe un estándar de dinero digital en los medios de pago, que otorgue las características fundamentales y necesarias para cualquier forma de dinero. Los sistemas de pago electrónico que existen no satisfacen del todo las necesidades de los usuarios, razón por la que aparecen y desaparecen constantemente diversos modelos, dependiendo de lo que se vaya a comprar o vender se utiliza uno u otro. Este suceso demuestra que existen muchas propuestas pero aún ninguna es óptima como para ser adoptada como un acuerdo mínimo en torno a la futura moneda digital, sus características y su utilización, por lo que queda mucho por hacer en beneficio de la sociedad.

Esta investigación surge de la necesidad que tienen los usuarios de Internet, de contar con una alternativa de pago eficiente y segura para efectuar transacciones electrónicas financieras a distancia, ya que cada vez son más las actividades que se pueden realizar por este medio. La finalidad que se busca es proponer una nueva alternativa electrónica de pago anónimo más robusta en cuanto a seguridad de los usuarios, a diferencia de las ya existentes. Para ello se propone la realización en un billete digital, basándose en un análisis de los actuales mecanismos de seguridad con que cuenta un billete bancario ordinario de este país. Además de hacer uso de herramientas criptográficas para garantizar los aspectos de seguridad indispensables del nuevo esquema de pago electrónico, para que de esta manera los usuarios de este servicio tengan confianza al utilizarlo.

A pesar de la expansión que ha tenido el comercio electrónico y la aparición de diversas modalidades de pago, aún existen personas que todavía dudan del futuro que pueda tener el dinero digital y lo conciben como una mera utopía. Por lo tanto, es importante que la comunidad de investigadores en informática y áreas afines, trabajen cada vez más en el desarrollo de propuestas que ofrezcan modalidades de pago que puedan llegar a consolidarse a través del comercio electrónico que avanza a pasos acelerados. El mercado financiero es el que debe comprometer más su experiencia y capacidad de inversión de capital para alcanzar un real posicionamiento del dinero digital, pero cualquier persona que espere estar vigente de acuerdo a la época en que vive, no debe permanecer indiferente a los nuevos desarrollos tecnológicos que emergen de la misma sociedad.

El dinero digital ha llegado para formar parte de nuestra vida cotidiana y ser tan indispensable como hoy lo es Internet, la pregunta es ¿en cuánto tiempo se lo permitiremos?.

(35)

1.4 DINERO DIGITAL

El dinero digital es la tendencia de las formas de pago utilizada en el comercio electrónico, cuya labor consiste en desafiar los problemas de seguridad y privacidad que presentan las tarjetas de crédito.

La idea del dinero digital se dio a conocer por primera vez en 1988 mediante una publicación de David Chaum [11]. Actualmente es común referirse al dinero digital (digital money) como efectivo digital (digital cash), dinero electrónico (electronic money) o efectivo electrónico (electronic cash). De cualquier forma, el dinero digital implica el uso de técnicas criptográficas y protocolos orientados a emular la actividad de ir de compras, pero a través de Internet.

El dinero digital puede definirse como una forma de pago generada como un sustituto digital de billetes y monedas del mundo real. Este tipo de dinero es aceptado entre diversas entidades y su valor monetario se basa en tokens, que no son más que secuencias de bits (unos y ceros si se trata de secuencias binarias) que representan un cierto valor en sí mismas; pueden almacenarse en dispositivos específicos como una tarjeta inteligente o simplemente como archivos en el disco duro de una computadora. Una característica muy importante es que estas secuencias, no están ligadas a una persona determinada, es decir, satisfacen la condición de anonimato del usuario respetando así la privacidad en sus transacciones. De igual forma que en la vida real donde la gente tiene la alternativa de usar dinero en efectivo siempre que quiera comprar algo sin establecer su identidad, pero ahora se extermina la necesidad de llevar consigo una cartera, ya que el formato que ofrece el dinero digital facilita su portabilidad.

Los principales beneficios que ofrece el dinero digital son los siguientes:

Reducción evidente en la carga asociada con pagos.

Diversas formas de pago se hacen posibles debido a la flexibilidad de representación del dinero digital.

Portabilidad para distribuirse y llevarse fácilmente, ya que puede almacenarse en un dispositivo específico como el chip de una tarjeta inteligente, una unidad de almacenamiento portátil o simplemente como archivos en el disco de cualquier computadora.

Facilidad para procesarse digitalmente.

La información de la cuenta en una transacción de pago no es necesariamente requerida por el banco para cada cliente.

Se pueden hacer diversas clasificaciones de los sistemas de dinero digital, pero las más comunes son aquellas que distinguen ya sea en función del momento del pago efectivo o del soporte que empleen [7].

En función del momento de pago (cuando el banco retira el dinero de la cuenta de un cliente), cabe destacar los medios de:

Prepago, es decir la conversión previa de dinero real en dinero electrónico antes de poder realizar transacciones entre el cliente y el comerciante, como por ejemplo, las monedas electrónicas o los monederos electrónicos.

Pago Inmediato, similar a la forma tradicional del dinero físico, donde el pago se carga a la cuenta bancaria del cliente en el momento de la transacción entre el cliente y el comerciante.

Pago Diferido, que son cuando el pago se carga a la cuenta bancaria del cliente en determinado tiempo posterior a la transacción entre el cliente y el comerciante, tal como sucede con las tarjetas de crédito.

En función del soporte electrónico que utilizan se distinguen dos tipos:

El dinero almacenado en una tarjeta plástica (tarjetas monedero).

El dinero generado y almacenado a través de un formato de software.