(C) 1994, 1997 Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA)

en Internet http://www.cita.es/apedanica/estatutos.htm

Criptosistemas para dinero electrónico en Internet

La Seguridad Informática encuentra uno de sus mayores desafíos en las numerosas y complejas transacciones económicas que van a tener lugar en la red Internet. Actualmente es posible comprar y vender en la red, pero las autoridades monetarias no parcen haber decidido cuál será su política, o no la dan a conocer.

La edición internacional de la revista Business Week del 12 de Junio de 1995 dedica su portada, y 11 páginas interiores, al dinero electrónico. Entre ellas destaca la última página del informe, firmada por Amy Barrett en Washington, en la que se pretende abordar la forma de patrullar en los agujeros negros del ciberespacio (Patrolling the black holes of cyberespace).

"La problemática de la regulación es más que considerable. Por ejemplo, Stanley E. Morris, director del Departemento del Tesoro para Delitos Ecnoómicos (Treasury Dept'.s Financial Crimes Enforcement Network, FinCEN), señala que no hay leyes que puedan limitar la balanza del dinero electrónico que puedan ser reguladas y ejecutadas en una tarjeta inteligente. Esto puede dar lugar a grandes oportunidades para los blanqueadores de dinero. Y ningún gobierno ha determinado cómo definir las leyes y normas fiscales que tendrán que ser aplicadas a las transacciones en el ciberespacio. John H. Gibson, consejero del Presidente de los EEUU para Ciencia y Tecnología, dice: "Si se va a una sociedad sin dinero en metálico, será muy difícil trazar los ingresos en efectivo, o los beneficios y rentas que debieran declararse".

Hasta ahora, las regulaciones oficiales no son específicas y los funcionarios a los que cabe presuponer competencias en este área simplemente han tratado de comprender la nueva tecnología, y cómo está evolucionando su mercado. Durante el mes de Abril de 1995, la Comisión Federal de Comercio (Federal Trade Commission) celebró una conferencia para examinar el impacto del comercio electrónico en la protección del consumidor. FinCEN está organizando un coloquio sobre transacciones electrónicas para el próximo Otoño. `No estamos nada cerca de la regulación' avisa Morris, del FinCEN. `Estamos un paso más atrás'. A la vista de la velocidad a la que se mueve el mercado, los reguladores no tienen mucho tiempo para llenar ese vacío".

El 25 de Julio de 1995 el Dr. David Chaum fue llamado a declarar ante el Congreso de los EEUU por el comité de banca y servicios financieros en el área de política monetaria doméstica e internacional, en donde, como ciudadano americano trabajando en proyectos y programas de alta tecnología subvencionados por Unión Europea, resaltó con su testimonio la importancia que el dinero electrónico tendrá en el liderazgo económico del próximo siglo.

Tecnologías y sistemas actualmente comercializados

En Internet ha tenido lugar una auténtica avalancha de información y de iniciativas relacionadas con medios de pago durante 1995. Sin ánimo de exhaustividad, relacionamos aquí a las que más eco y correspondencia, principalmente electrónica, parecen haber tenido.

First Virtual Bank

First Virtual está principalmente basado en la identidad que la dirección de correo electrónico da a cada usuario en Internet. Los riesgos (impagados, fluctuaciones monetarias) y las responsabilidades (pago de impuestos, cumplimiento de las leyes de exportación, edad, licencias y otros requisitos) sólo dependen del vendedor, si bien First Virtual se compromete a cancelar las cuentas de compradores que abusen de la buena fe comercial del vendedor que asume el riesgo de atender peticiones fraudulentas.

Este sistema ni utiliza ni recomienda la Criptología, de la que hace un crítico alegato en su documentación electrónica, por considerar que complica el procedimiento de pago sin proporcionar la seguridad real que necesitan la inmensa mayoría de sus usuarios.

Básicamente, First Virtual es un original procesador de tarjetas de crédito debido a su filosofía de probar antes de comprar. El sistema, actualmente plenamente operativo, está diseñado principalmente para comerciantes de información y otros bienes "soft". La palabra `Virtual' en su nombre viene a significar una única y original organización de la compañía: Los responsables trabajan en diferentes estados, y la respuesta telefónica y los mantenimientos del servidor de Internet son subcontratados a otras compañías incluso en otros estados. Los responsables de la compañía manifiestan que la organización virtual es simple, y que el sistema voluntario de pagos se ajusta bien a la cultura descentralizada de Internet.

El servicio de First Virtual es una simple forma de procesar transacciones de tarjetas de crédito para los comerciantes. No requiere WWW especiales, infraestructura o cuentas de proceso de los comerciantes. Y la cuota de alta del comerciante es de sólo 10 dólares, aunque estas cifras, y las condiciones de adhesión, al igual que ocurre con otras alternativas también en fase de promoción, cambian con mucha frecuencia.

Lamentablemente, el sistema, con todas sus passwords e E-mail insistente, es también algo molesto para el uso de los clientes. El calendario de pago es bastante impreciso, el mecanismo de firma está automatizado y parece algo hueco desde una perspectiva de la seguridad y la protección de la información, y el concepto `virtual' no parece capaz de soportar una auténtica organización de servicios. Como información de ventas WWW, la revista especializada BYTE considera al First Virtual sólo regular.

Como banco decididamente virtual, intenta evitar el trato personal con el cliente. Resulta extraordinariamente difícil conseguir una respuesta de un empleado, y toda la documentación invita a hacer uso del correo electrónico que es inmediatamente respondido por contestadores automáticos.

Así, se puede conseguir la información general:

* The FIRST VIRTUAL Buying Guide -- Detailed information for buyers

-- Send e-mail to "buying-guide@fv.com"

* The FIRST VIRTUAL Selling Guide -- Detailed information for sellers

-- Send e-mail to "selling-guide@fv.com"

* The FIRST VIRTUAL InfoHaus Seller's Guide -- Tutorial for users of

the FIRST VIRTUAL InfoHaus

-- Send e-mail to "infohaus-guide@fv.com"

Y la más específica:

* SIGNUP FAQ -- Signing up for an account -- signup@fv.com

* FINEPRINT TAC -- Terms and Conditions -- fineprint@fv.com

* BACKGROUND FAQ -- Our company and our vision -- background@fv.com

* BUYING FAQ -- Questions about buying -- buying@fv.com

* SELLING FAQ -- Questions about selling -- selling@fv.com

* INFOHAUS FAQ -- Using the Infohaus -- infohaus@fv.com

* SECURITY FAQ -- Security issues -- security@fv.com

* CASHFLOW FAQ -- Flow of money in our system -- cashflow@fv.com

* PROBLEMS FAQ -- Dealing with problems -- problems@fv.com

* INTERNATIONAL FAQ -- Info for international users -- international@fv.com

Como la mayor parte de los sistemas de los que trata este apartado, First Virtual dispone de un Web con gran cantidad de páginas de hipertexto en permanente actualización, cuyo identificativo es:

http://www.fv.com

CyberCash

CyberCash es, probablemente, el criptosistema para medios de pago más difundido y con más crecimiento en la fecha en la que se redacta esta parte de esta Tesis Doctoral.

CyberCash fue fundada en Agosto de 1994 y está oficialmente autorizada a exportar criptología de clave pública RSA a través de Internet con un tamaño de clave de 768 bits. También utiliza en Data Encryption Standard (DES).

Sus fundadores son Bill Melton, experto en transacciones mediante tarjetas de crédito, y Dan Lynch, experto en redes de ordenadores, quienes paticipan muy activamente en foros como SRI, NetWorld(R) e INTEROP(R).

El elemento fundamental del criptosistema de CyberCash para el usuario es el boton de pago (PAY), que simplifica todo el procedimiento mediante un interface gráfico (Windows o X-Window).

El criptosistema de CyberCash está especialmente orientado a la compra de bienes y servicios a través de la red Internet.

Cybercash proclama que "el banco es nuestro cliente" y anticipa que todas sus transacciones serán tramitadas por un banco auténtico. Así, los clintes tratarán con el banco, y no con Cybercash, para reclamar otros servicios bancarios de atención al cliente. Se trata, por lo tanto, de un interface entre el usuario y la banca convencional.

El software de Cybercash funciona correctamente con un interface que proporcione ATM y acceso a Internet para banca doméstica. La versión de débito puede proporcionar un excelente mecanismo para la transferencia de fondos, pago de facturas, y pagos de igual a igual. Sin embargo, la versión inicial basada en tarjeta es menos atractiva. El usuario debe utilizar en ella una hoja para tarjeta de crédito para cada transacción, y no hay mecanismo de suscripciones. Con Cybercash, al igual que ocurre con las tajetas de crédito, los comerciantes son responsables de las transacciones fraudulentas.

Hemos mantenido abundante correspondencia electrónica por e-mail con info@cybercash.com y el usuario que responde en:

Melisa_Estrada/CyberCash.CYBERCASH@cybercash.com

El Web disponible es:

http://www.cybercash.com

DigiCash

DigiCash es la más ha desarrollado el dinero opaco. Fue fundada en Holanda por el prestigioso criptólogo norteamericano Dr. David Chaum. Por ser el que comprende conceptos más desarrollados desde el punto de vista científico, es el que se considera como el paradigmático criptosistema para medios de pago.

Digicash asegura la privacidad y ofrece el criptosistema para pagos más radical y, muy probablemente el más significativo. Su fundador, el Dr. David Chaum ha inventado y patentado una forma de dinero digital denominado E-cash, que ofrece privacidad al cliente. El Dr. Chaum declara que "cuando todos los pagos son registrados electrónicamente, la aspiración de que el sistema de pagos electrónicos no tiene por qué invadir la privacidad, lo cual será cada vez más importante, casi un derecho humano fundamental".

El software para E-cash es sofisticado pero muy atractivo cuando se utiliza con los equipos y conexiones adecuadas. Como mecanismo de pago entre iguales que permite a los individuos intercambiar pagos con cualquier otro usuario del planeta, sin tener que pagar licencias o renunciar a la privacidad, el E-cash fortalece la visión y el sentido individual en Internet.

Debido a que todavía no hay ningún banco que se haya comprometido, al menos todavía, con el sistema E-cash, es difícil evaluar su idoneidad en usos masivos. Su progreso probablemente compensará la atención que se le preste y los riesgos económicos que con él se asuman. El software está siendo puesto a prueba en la actualidad con un dinero de juguete denominado cyberbucks.

La dirección de correo electrónico de referencia es:

info@digicash.com

y el Web:

http://www.digicash.com

Otros criptosistemas para medios de pago

First Data es el mayor procesador de tarjetas de crédito de los Estados Unidos, y Netscape Communications es uno de los mayores vendedores de software comercial WWW, y se han unido para ofrecer autorizaciones de tarjetas de crédito. El mecanismo en la actualidad no consiste en otra cosa que no sea una mínima modificación del sistema de pago por tarjeta de crédito basado en el teléfono que está siendo utilizado normalmente. En lugar de comunicar el múmero de la tarjeta de crédito a un vendedor, el cliente teclea el número en un formulario HTML (Hypertext Markup Language), y el cliente utiliza la opción de encriptación ya disponible en Netscape para enviarla al servidor comercial.

Este producto está siendo utilizado en el Marketplace MCI. Tanto el serivdor Netscape como el servicio de procesamiento de First Data son de la mejor calidad, pero la unión de ambas organizaciones no les añade gran valor.

Además, la necesidad del producto de disponer de una línea dedicada supone un gasto bastante considerable. Los comerciantes con Netscape encriptado o servidores S-HTTP WWW pueden instalar un económico software de autorización de tarjetas, como el IC-Verify, por menos de $500 y trabajar con el procesador de crédito de su elección. Por otra parte, los usuarios tienen que enviar sus números de tarjeta de crédito a los comerciantes. Y, aunque resulte sencillo, los mecanismos de este producto heredan todas las carencias y riesgos de los sistemas de pagos basados en tarjetas de crédito que se utilizan actualmente. Es claramente un producto de transición, y por lo tanto, revistas especializadas en el mercado de estas innovaciones, como BYTE, consideran su calidad sólo como regular.

Los comerciantes y clientes habituales de tarjetas de crédito deberán prestar atención también al proyecto de Netscape con MasterCard, el Secure Electronic Payment Protocol (SEPP), mediante el cual MasterCard instalará un servidor de pagos en Internet. Esto eliminará la necesidad del comerciante de tener dedicada una línea de teléfono. Y el servidor de pagos en Internet también aumentará la seguridad de los clientes, porque las hojas firmadas de las tarjetas de crédito irán directamente al servidor de pagos para la autorización sin que se tenga que revelar información del cliente al comerciante.

Electronic Check y Mondex son otras iniciativas que han partido de la tecnología de las tarjetas de crédito.

Un ejemplo del desarrollo de la tecnología chip fue el anuncio realizado el 14 de Junio de 1995 por Euripay e IBM, con el que se pretendía solucionar los problemas de seguridad que existen actualmente en los pagos con tarjeta a través de Internet. El sistema básicamente consiste en una adaptación del "monedero electrónico" de Europay con el protocolo IKP (Internet Keyed Payment Protocol) de IBM.

Intuit Inc. es conocida por la prohibición antitrust que el departamento de Justicia de EEUU dirigió a Microsoft, que quería comprarla. Las tecnologías para medios de pago que se iban a desarrollar tras la fustrada absorción se han visto eclipsadas por el acuerdo al que han llegado VISA y Microsoft.

El 27 de Septiembre de 1995, un año después de que comenzase a diseñarse, se presentó la Secure Transaction Technology (STT), y con el propósito de que sea ampliamente utilizada, VISA y Microsoft la ofrecen sin conste alguno a todas las instituciones financieras, fabricantes de tarjetas de crédito y desarrolladores de software.

Según declaran sus diseñadores, las especificaciones técnicas de la STT garantizan una fuerte autenticación de la información.

En el III Seminario de VISA Internacional sobre "Sistemas de Pago" celebrado en Madrid el 3 de Octubre de 1995 se trató el comercio electrónico, a través del cual las instituciones financieras podrán atraer una nueva clase de comercios que venden información electrónicamente. Debido a la naturaleza de estos servicios, es probable que haya una gran número de transacciones de poco valor, incluso inferiores a 5 ó 10 pesetas por página de información del tipo de referencias de enciclopedia, consultas a bases de datos o artículos. Ahora mismo, no parece rentable utilizar ninguno de los sistemas de procesamiento de entre los conocidos para realizar este tipo de transacciones, ya que el coste de pagar las facturas individuales, y sobre todo, su gestión, puede exceder con mucho la cantidad que supone el importe de la compra.

Para intentar solucionar esta situación, VISA está desarrollando la posibilidad de que los usuarios de Internet puedan realizar compras electrónicamente, aunque éstas sean de poco valor, al tiempo que todavía resulten rentables para los bancos. El software y los sistemas para prestar el servicio, llamados NetBill, están siendo desarrollados junto con la Universidad Carnegie Mellon, para ofrecer un único mecanismo de entrega certificado que garantice a los titulares que no se les cobrará cantidad alguna por la información o los bienes que no les hayan sido entregados satisfactoriamente.

La posición que ocupa Microsoft en el mercado de los sistemas operativos para ordenadores personales y redes, y la de VISA, con unos 420 millones de tarjetas de crédito emitidas por cerca de 18.000 instituciones financieras y aceptadas en más de 12 millones de comercios hacen que la STT sea una referencia técnica y comercial de primer orden.

Este software y su documentación técnica puede obtenerse mediante una conexión al Web de Visa (http://www.visa.com) o al de Microsoft (http://www.microsoft.com).

La estandarización de los medios de pago en Internet

En ANSI X.9 es el comité más acreditado para el desarrollo de estándares operativos en la industria financiera. Está compuesto de 6 subcomités, 30 grupos de trabajo activos y mantiene 70 estándares y especificaciones técnicas. Es también el consejero que representa a los EEUU en el ISO Technical Committee 68 (TC68), al que proporciona la secretaría. El TC68 está presidido por Mark Zalewski, de Cybercash.

En su reunión del 29 de Noviembre de 1995, el ANSI X.9 presentó el trabajo realizado hacia una sintaxis de pago seguro, sin recomendar ningún protocolo de comunicación en particular.

Cuando se utilice en una infraestructura de pagos completa, las órdenes de pago seguras ofrecerán privacidad e integridad a la información del pagador, y evitarán que el pagador pueda repudiar el envío, o que el cobrador pueda repudiar la recepción. Esto obligará a disponer de mensajes de acuse de recibo seguros. De esta forma, la institución financiera que avale las operaciones tendrá la seguridad de que su cliente realiza el pago y de que el receptor del pago puede ser identificado con absoluta precisión en el sistema.

Para todo ello es preciso definir los contenidos de la orden de pago, cuyos campos estarán compuestos de elementos en claro, y elementos cifrados. Evidentemente, cuáles sean éstos, y cómo se cifren, no será sino el resultado de un consenso que será largo, complejo y costoso.

En España, la Asociación para la Prevención y Estudio de Delitos, Abusos y Negligencias en Informática y Comunicaciones Avanzadas (APEDANICA) está trabajando con el propósito de que instituciones europeas y, muy especialmente las iberoamericanas, dispongan de cantidad y calidad de información para tomar sus decisiones estratégicas en estas nuevas tecnologías. Para ello, dispone de una lista de distribución en Internet (apedanica@encomix.com), el Apartado Postal 17.083, 28080 Madrid y el fax 902 99 83 79.

Fdo.: Ing. Miguel Angel Gallardo Ortiz, Presidente de APEDANICA

Profesor de la Universidad Carlos III de Madrid

en Internet http://www.cita.es/apedanica/estatutos.htm

con E-mail: miguel@cita.es