Claves de la Seguridad en Transacciones Online: Firma Digital y Certificados Electrónicos

Seguridad en las Transacciones Electrónicas

Tarjetas de Crédito y el Estándar SET

Los sistemas de pago con tarjeta de crédito en Internet operan de una forma muy similar a los métodos tradicionales. El cliente puede utilizar su tarjeta de crédito habitual para adquirir productos en una tienda virtual. La principal novedad en este ámbito es el desarrollo del estándar de cifrado SET (Secure Electronic Transaction), impulsado por las compañías de tarjetas de crédito más importantes para aumentar la seguridad.

La Firma Digital: Garantía de Identidad e Integridad

Cuando firmamos un documento de forma manual, perseguimos dos objetivos fundamentales:

1. Autenticación: Realizamos una rúbrica, un trazo que teóricamente solo nosotros podemos replicar, para dejar constancia de que somos nosotros quienes suscribimos dicho documento.
2. Integridad: Colocamos la firma al final del documento para impedir que se añada texto adicional, asegurando así que el contenido no ha sido alterado.

La comunicación electrónica ofrece un sistema de firma considerablemente más seguro. Las firmas digitales se basan en una función resumen (o hash) del texto, la cual es codificada utilizando la clave privada del remitente. Este mecanismo garantiza simultáneamente tanto la identidad del firmante como la integridad del documento, asegurando que no ha sido modificado ni en el más mínimo detalle.

(Nota: Para una explicación más visual del proceso, consulte la presentación de PowerPoint correspondiente).

Ejemplo práctico: ¿Cómo funciona?

Supongamos que Ana desea enviar un mensaje firmado digitalmente a Benito. El proceso sería el siguiente:

1. El ordenador de Ana calcula la función resumen del texto mediante un algoritmo como SHA (Secure Hash Algorithm).
2. Este número resumen es cifrado con la clave privada de Ana. El resultado es un número único para ese documento específico: la firma digital.
3. Ana envía a Benito tanto el mensaje original como la firma digital adjunta.
4. Para verificar la autenticidad, el ordenador de Benito utiliza la clave pública de Ana para descifrar la firma, obteniendo así el número resumen original.
5. A continuación, calcula la función SHA del texto que ha recibido y compara el resultado con el resumen obtenido de la firma.
6. Si ambos números resumen coinciden, queda plenamente garantizado que el texto no ha sido modificado y que, efectivamente, fue Ana quien lo envió.

Certificados Electrónicos: Verificando la Confianza Digital

El sistema de firma digital es robusto, pero plantea una pregunta clave: ¿qué garantía tiene Benito de que la clave pública de Ana, obtenida de un repositorio público, pertenece realmente a Ana y no a un impostor? Para solucionar esto y reforzar la confianza, se utilizan los certificados electrónicos.

Un certificado electrónico es un documento digital que acredita la vinculación entre una clave pública y la identidad de su propietario (una persona u organización). Este certificado es emitido y firmado digitalmente por una entidad de confianza conocida como Autoridad de Certificación (AC).

Los certificados electrónicos que siguen el estándar X.509, el más extendido, incluyen campos como los siguientes:

• Versión del certificado
• Número de serie único
• Identificador del algoritmo de firma
• Nombre de la Autoridad de Certificación emisora
• Periodo de validez del certificado
• Nombre del titular del certificado
• Clave pública del titular

Actualmente, se están desarrollando otros estándares de certificados que permiten incluir información adicional. Por ejemplo, una entidad bancaria podría emitir un certificado que no solo vincule una clave pública a una empresa, sino que también certifique datos adicionales como su capital social.

Documento basado en los apuntes de: IES Profesor Julio Pérez. Profesor: Julián Muñoz.