Antonio Devis

Archivo de julio de 2008

Hace más de 9 años que instalé mi primer PGP (Pretty Good Privacy) para firmar y encriptar un correo de Ibercaja. Desde entonces, ha llovido bastante, pero las gotas de agua recién comienzan a llegar a Perú, por lo que habría que tomar medidas para no inundarnos.

Promulgada la Ley de firmas digitales en Perú, y sancionado por el tío Alan el tercer y supuestamente último Reglamento de esta Ley, que además lleva la coletilla de Reglamento Final, y esperemos que así sea, ya se ha dado el primero paso para que la criptografía entre en nuestros hogares: se ha designado a INDECOPI para que sea el director de orquesta de todo este embrollo.

El siguiente paso es acreditar a aquellos que deseen emitir certificados para firmas digitales. Nada más fácil, visite usted la web de INDECOPI, y con ayuda de S. Hopkins y un experto traductor de hebreo podrá entender qué es lo INDECOPI le solicita.

El otro aspecto, que necesariamente debemos tratar en esta discusión, se refiere al concepto y uso de las firmas digitales.

Una firma digital, a diferencia de lo que algunos Padres de la Patria supusieron cuando sus asesores redactaron el proyecto de Ley del mismo nombre, no es una firma hecha con Photoshop más o menos parecida a la rúbrica que se pretende imitar. La firma digital es nuestra huella digital en el espacio virtual; pero no sólo eso, además es una medida de seguridad extrema acerca de nuestras comunicaciones cuando utilizamos el correo electrónico.

Y, ¿cómo funciona esto?. Veamos cómo obtener una firma digital y cómo usarla. Ojo!, en este momento en Perú ninguna firma digital es válida, ni incluso las extranjeras, ya que todavía no se ha desarrollado el Reglamento que las normaliza, autoriza y valida. Aún así, ya podemos comenzar a hacer castillitos de arena para ver si seremos capaces de adaptarnos al futuro próximo.

Lo primero es conseguir un certificado digital para un determinado correo electrónico. Actualmente, podemos obtener estos certificados de forma gratuita con Entidades Certificadoras extranjeras, por ejemplo, COMODO; cuando existan en Perú, la forma de proceder será idéntica.
Se emite un certificado para cada cuenta de correo que usted desee afiliar al sistema. Si desea 2 cuentas con firma, necesitará 2 certificados. Siga las instrucciones que le proporciona el emisor del certificado: básicamente utilizar el mismo navegador durante todo el proceso, dar unos clics en los enlaces que le llegarán por correo y aceptar la instalación del certificado. Nada del otro mundo. Tiempo estimado: entre 2 y 10 minutos. Con su programa de correo, jale el certificado, que ya se encuentra instalado en su computadora y listo. De forma ordinaria, la forma de jalarlo es examinando las propiedades de seguridad de la cuenta de correo en la que quiere instalarlo.

Con su flamante certificado instalado, ya se encuentra en disposición de enviar mensajes firmados digitalmente o cifrados. Al hacerlo, el destinatario del mensaje recibirá un correo similar a:

Antiguamente, si el correo además de firmado, estaba encriptado, habia que buscar la llave pública del remitente en un repositorio de llaves para poder ver el mensaje original. Los nuevos clientes de correo se suelen encargar de esta tarea, desenmarañando los documentos o mensajes encriptados.

Llaves. En todo certificado emitido para sus correos, usted tendrá 2 llaves, claves o llámelas como desee. Cuando usted envía un correo encriptado, usará (de forma automática a través de su programa de correo) su llave privada, que siempre debe tener a buen recaudo y el destinatario podrá descifrar su mensaje con su llave pública.

Los métodos criptográficos utilizados a dia de hoy son completamente inviolables. Esto además de ser fabuloso, tiene su desventaja en el tiempo de cifrado, que se puede tornar infinito para documentos pesados. No pasa nada!, para eso existen algoritmos que nos simplifican la vida. Si ya ha escuchado algo de MD5, HASH o palabrejas de esa guisa, deben traerle sin cuidado. Básicamente se trata de métodos internos que usted no tiene por qué conocer. En todo caso, y como referencia muy básica, le diré que para ganar tiempo cifrando documentos, HASH realiza un extracto comprimido de una sola dirección con una longitud determinada de bits (¿Ya escuchó encriptado a 128 o 256 bits?), y cuando usted envía el mensaje, lo que realmente está cifrando con su llave privada, sólo es ese extracto. Los métodos MD4, 5 y otros básicamente se refieren a la longitud de bits del extracto realizado por HASH.

En resumen, vaya haciendo pruebas con certificados digitales gratuitos del extranjero, envíe y reciba correo firmado, cifrado, firmado y cifrado. Si le gusta cómo llegan y se reciben sus mensajes, suba un peldaño e instale PGP en su computadora.

Por último, tenga en cuenta que con las firmas digitales, nuestras relaciones con el mastodónico Estado deberán simplificarse extraordinariamente, al igual que las relaciones comerciales establecidas en nuestro ámbito, así como otras muchas cosas más…. SUNAT, JUSTICIA, TRABAJO son algunos de los organismos que deben ponerse a trabajar inmediatamente para adaptar sus normativas legales a las firmas digitales.

Esperaremos a ver que nos depara el futuro (Terminator IX).

Podríamos afirmar que el asunto del fraude en los sistemas de comercio electrónico, es inferior al fraude cotidiano en nuestras felices existencias, y por ende, infinitamente inferior al fraude soportado por el comercio físico.

En la actualidad y en el lado del comercio, los sistemas serios de comercio electrónico utilizan algoritmos de encriptación indescifrables en cualquier situación, claves de verificación adicionales (Verified by Visa y SecureCode) y software que identifica plenamente la legitimidad de los pagos. Adicionalmente a esto, los comercios están completamente implicados en la erradicación de cualquier elemento que apeste a fraude, efectuando verificaciones para todos aquellos pagos razonablemente dudosos.
Algo que no ocurre en el mundo físico, donde las tarjetas clonadas, robadas, etc., irremediablemente, son el pan nuestro de cada día.

En el lado del cliente, todas estas medidas de seguridad hacen que los usos no autorizados de sus tarjetas sean ínfimos.

Por esto y mucho más, respecto a los tarjetahabientes, la única preocupación que deben tener es elegir un comercio confiable y que no guarde los números de tarjeta (en los origenes del e-commerce, estas bases de datos con las tarjetas eran la presa más codiciada de los cacos y trajo graves consecuencias. Actualmente, ningún comercio está autorizado para almacenar números de tarjeta). Nada más. Además, si todo sale mal y es víctima de un fraude, a diferencia del mundo físico, su banco le retornará íntegro el importe usado por los cacos, ya que el comercio virtual no podrá demostrar la legitimidad de la compra. Respecto al uso de tarjetas virtuales (completamente en desuso) o físicas, la elección es indiferente.

Respecto a los comercios, como se ha comentado, son los principales defensores de la veracidad de los pagos recibidos, ya que deberán responder con su imagen y las pertinentes comisiones de los pagos aceptados no auténticos.

A modo de ejemplo, citemos algunos consejos de seguridad básicos a la hora de procesar pedidos del extranjero:

1.- Limitar el número de países destinatarios de los productos. Básicamente excluir Africa, Sudeste Asiático, países de la ex-órbita soviética, Venezuela y algunos otros.
2.- Verificación de IP. Puede hacerse en ip2location.com o ipligence.com. Posibles problemas: que se esté utilizando un proxy anónimo que oculte la IP real. Instale un software de detección de relays y proxies.
3.- Reversa de teléfono y dirección- En www.whitepages.com o en las homónimas del país correspondiente al pago, puede verificar si el teléfono y dirección del cliente corresponde con los datos proporcionados. Posibles problemas: el cliente indica un número delular y una casilla de correo (no permita esto en su tienda virtual).
4.- Verificación del nombre del cliente. En la página anterior puedes hacerlo también.
5.- Verificación email. Complicado. Normalmente, los clientes usan proveedores gratuitos. Aún así, emails con el nombre completo del cliente son indicativos de fraude. Exija que sus clientes proporcionen correos reales, y verifique si estos corresponden a webs activas o no.
6.- Verificación de la tarjeta de crédito utilizada. Las tarjetas de crédito contienen un excelente dato a nuestros propósitos: el BIN (primeros 6 dígitos de la tarjeta) que nos permitirá conocer la ciudad, país y banco emisor de la tarjeta utilizada. Excelentes datos para descartar órdenes ilegítimas. Por ejemplo, un pago desde Kenia con una tarjeta que tiene un BIN de Estados Unidos.
7.- Verificar si el cliente ha accedido a su cuenta en tu tienda virtual después del pago. Si no hay accesos, es indicativo alto de fraude. Cuando uno compra por primera vez en un comercio, accede continuamente para ver si hay algún cambio en su pedido.

Muchas de estas cosas se encuentran automatizadas y recopiladas en paquetes de software. Así, por ejemplo, Solpagos utiliza un software de pago que muestra una pantalla similar a:

Como el lector ha comprobado fehacientemente, el fraude en el rubro de comercio electrónico es harto complicado.
Si quieren cifras, en nuestro caso, con más de 12.000 transacciones realizadas, el número de chargebacks o devoluciones por fraude es cero patatero. Así que ánimo y no se deje impresionar por los descoordinados mentales que atizan barbaridades poco digeribles sobre este asunto.

Ayer domingo, 14 de Julio, de forma similar a la del año pasado (El Comercio 8 de marzo del 2007, cuasi reportaje sobre e-commerce), el decano del Perú, con alias fenicio para más datos, cometió otro fiasco desastroso en su sección MI NEGOCIO; es algo que ya parece una tradición feriada y celebrada por los editores del mamotreto en cuestión.
A ver, a ver, ¿quién quiere el reportaje central del suplemento?. Va de Comercio Electrónico. Ni hablar!. Vanessa Antúnez De La Vega, que no tiene ni pajolera idea de que va esto, pero hay que ver que interés pone y que gráficos más bonitos que saca.

Y es que el artículo de Antúnez es una oda a la ignorancia supina. Veamos que nos cuenta esa osada periodista en el artículo mentado:

• Nos cuenta que ha entrevistado al gerente de CREANTIS, que a juzgar por su web, es una consultora de sistemas, y no un especialista en E-business, como mal supuso la periodista.
• Nos dice qué se necesita, según ella, para armar una tienda virtual. A saber: Dominio, canales de pago, Certificación. Y después indica que es posible acordar con un operador logístico para que el costo del envío lo pague el cliente. Lo que no indica, que probablemente, toso eso sirva para, no para montar un tienda virtual. Más bien, una piltafra virtual. No hay nada de hosting, catálogo virtual, carrito de compra…… Y claro, si quiere, pues contrate a un courier y que el cliente le pague los gastos de envío, y sino, pues usted mismo le lleva los pedidos en mototaxi, si el cliente es de Miraflores o en globo aerostático, si es de Noruega.
• Por si acaso, para Antúnez, un acuerdo de márketing con Google es fundamental para el buen funcionamiento de la tienda virtual. Pero va más lejos: colgar videos en Youtube, aprovechar las redes sociales como Hi5 y Facebook y crear comunidades. Claro claro, instalaré mi tienda virtual de joyas y crearé la Comunidad del Anillo. Impresionante!.
• Un certificado digital de seguridad puede costar desde US$ 50 hasta US$ 2000 anuales. Sí, efectivamente, para ser más precisos, desde US$ 50 hasta US$ 50.000.000. Todo depende de lo que cobre el intermediario que lo solicita.

Y así, hasta terminar el soporífero artículo de Antúnez, que pudo haber sido una excelente opción para dar confianza y resaltar las bondades del comercio electrónico, y fue una cadena de barbaridades sin sentido, Reflejo de la novelita de Márquez, joven e indocumentada, la periodista y su editor pueden dedicarse con plena garantía de éxito al corte y recogida de uva, comúnmente denominada vendimia.

La logística es otro de los pilares sobre el que se apoya el comercio electrónico. Pero este aspecto, que, muchas veces resulta incontrolable, ya que lo ejecuta un tercero, debe preocuparnos y mucho, debido a que una mala elección, o incluso una elección acertada puede llevarnos al abismo. Vale decir que estamos a merced de nuestro operador logístico. Si él falla, su error será nuestro y terminaremos vendiendo incienso de rosas en Javier Prado.

Y esto es claro y evidente. Para el cliente, el punto principal, además de comprar un producto que le satisfaga es poder obtenerlo en el menor tiempo posible, sin desperfectos y sin demoras. De las últimas tres cosas se encarga nuestro operador logístico. En la mayoría de casos, el índice de satisfacción del comprador virtual estará íntimamente unido a la sabiduría y buen hacer del courier de turno.

Ahora bien, ¿qué opciones tenemos en Perú?. La decepcionante respuesta es: Pocas y cobardes. Pero analicemos con un poco de detalle quién y cómo podemos enviar nuestros productos al extranjero:

• Serpost del Perú.- Afortunadamente, Perú es miembro de la UPU (Unión Postal Universal), donde se integran la casi totalidad de los países existentes. Y de esos miembros, alrededor de 150 de ellos han
  uniformizado sus envíos postales mediante un convenio y a través de lo que se conoce como EMS (Express Mail Service). Un servicio courier ultrarápido de alta prioridad en todos los países adscritos y que contemplan esta opción de envíos. Perfecto, y si Perú es socio de la UPU, es genial y podemos enviar nuestros productos a 150 países de forma rápida y segura. Pues NO. Si el lector echa un vistazo a la web de Serpost, comprobará que el servicio EMS sólo está disponible para menos de 70 países.
  No está mal!. Pero son la mitad de los que deberían contar con el correo EMS peruano. En esa web, además se indican que existen otros países que se encuentran en trámite de adhesión al EMS de Serpost.
  Puchas!. ¿Desde hace 8 años están negociando?.

  Otro cantar son los precios. Enviar 500 gramos de productos a USA cuesta S/. 101.40. Es decir, vale más el collar que el perro.
  Evidentemente, muy poca gente está dispuesta a gastar más en el envío que en lo que está comprando.

  Pero, a perro flaco, todo son pulgas. Con Serpost no es posible asegurar ningún envío EMS. Así, si el paquete no llega a su destino, usted cobrará lo que se estipula en unas tablas de indemnización, es
  decir, un sencillito.
  Lo mejor del EMS de Serpost:

  • Sin duda, es el seguimiento en línea del paquete y los plazos de entrega, ya que el convenio EMS contempla la entrega a toda costa, incluso en días feriados. Esto sí se agradece.
  • otro punto a favor, es la implementación de ExportaFácil, del que ya se ha comentado algo en este Blog
  • y el último punto a favor es la membresía corporativa que se traduce en descuentos entre el 9 y el 12 %, recogida de paquetes a domicilio, entrega de materiales de embalaje, recogida a domicilio y crédito a 30 días.

Además de EMS, Serpost cuenta con los envíos tradicionales: encomiendas, paquetes pequeños y demás. Y ahí va la burrada:.en algunos tramos de pesos, EMS cuesta menos que el envío por encomienda, pero lo
más curioso de estás últimas modalidades son los plazos. Ojito chasqui!. La demora en entregar el paquete al destinatario fluctúa entre los 12 días hábiles hasta los 40. La media de entrega es de 30 días laborables, y esto por mucho que Serpost diga otra cosa en su web.
Por experiencia propia, le sugiero al lector, negociar directamente con oficinas propias de Serpost, en lugar de hacerlo con la Central de Tomás Valle.
Si se opta por utilizar los envíos tradicionales, comience negociando con concesionarios de Serpost. Podrá obtener descuentos entre el 6 y el 8%, además de crédito a 30 días, opciones no disponibles en las sucursales de Serpost para este tipo de envíos.
Además de todo lo dicho, no tengo más remedio que comentar que hasta el año pasado, Serpost consideraba que Grecia no era parte de Europa y aplicaba las tarifas Resto del Mundo a los EMS enviados hacia este país.
Un ascenso para el funcionario de turno es lo que faltó..

• DHL.- Esta compañía privada, oriunda de nuestros colegas del Norte, comenzó allá por el 2002 pero que muy bien, apostando por apoyar decididamente los negocios virtuales peruanos. Con su tarifa para Comercio Electrónico, que contemplaba amplios descuentos respecto las trifas de lista, no tenía
  competencia ninguna. Barato en extremo y con el respaldo de la empresa respecto a seriedad y rapidez, tenía la sarten por el mango. Lamentablemente, esta excelente tarifa exclusiva para e-commerce, apenas soportó su primer añito de vida, y es que si el lector no ha prestado atención, me referí al año 2002, la prehistoria del comercio electrónico nacional. Con menos de 10
  empresas virtuales, el resultado era conocido. DHL volvió a retomar el asunto, pero con mucho menos entusiasmo que antaño. Actualmente, no existen tarifas específicas para comercio electrónico, pero usted podría optar por una cuenta empresarial, y en función de sus envíos, obtener descuentos más o menos sustanciales. Las ventajas de DHL es que es una empresa seria, con bastantes profesionales, con una excelente atención al cliente y muy responsables.
  Algunos puntos negros son:
  • En los países de destino, los clientes tendrán que pagar elevadas sumas por desaduanar los paquetes. Y digo bien, ELEVADAS.
  • En muchísimos casos, el cliente tiene que acercarse a las oficinas de DHL en el país de origen para desaduanar y recoger su paquete.
  • Si el paquete es retornado, se le intentará cobrar al comercio virtual una considerable suma de dólares para nacionalizar el paquete devuelto.

Estas 3 deficiencias no ocurren con Serpost. De forma concreta, evite enviar paquetes con DHL a la mayoría de países europeos, excepto los países del Este y las ex-repúblicas soviéticas. Para el resto de países, DHL funciona razonablemente bien.
Respecto los precios, antes de solicitar la tarifa de DHL, se recomienda obtener el título de Ciencias Exactas en la especialidad de Álgebra y la maestría en Economía Aplicada. Las tarifas se calculan en función del combustible que consume el avión, más el I,G,V, más un porcentaje, más ……..

Como broche de oro para estos 2 avezados operadores, restaría indicar que mientras que DHL le invitará a generosas y coloridas fiestas en los mejores locales de Lima, Serpost se limitará a solicitar su donación en julio para la Virgen del Carmen y le obsequiará con 2 lapiceros de plástico por Navidad.

Para el resto de couriers, no tengo palabras, mejor dicho, sí las tengo, pero si le pongo contraseña a la página, mi frustración me llevaría irremediablemente al suicidio virtual.

Éste es uno de los aspectos básicos e imprescindibles a tener en cuenta al momento de planificar nuestro negocio virtual: el tratamiento fiscal de nuestras ventas a través de una tienda virtual.

No existe diferencia alguna entre vender por Internet o hacerlo en el mundo físico. Sólo varía la forma de conseguir nuestros clientes y la relación que mantenemos con ellos; pero nos centraremos en detalle sobre las ventas virtuales al extranjero. En este capítulo, debe tener en cuenta las siguientes reflexiones:

• Usted debe ser empresa en cualquiera de las formas jurídicas admitidas por SUNAT y tener capacidad de emitir comprobantes de pago (facturas)
• Emita siempre factura sin I.G.V. Este impuesto es netamente peruano y no puede aplicarse a residentes en otros países.
• Usted compra a sus proveedores pagando el I.G.V. correspondiente; sin embargo, ya sabe que no puede cargar dicho impuesto a clientes foráneos. La pregunta es ¿cómo recupero el I.G.V. pagado a mis proveedores y que mis clientes no me están pagando?.
  Bien, sólo existe una forma posible de recuperar el I.G.V. pagado, y es tratar cada venta al extranjero como una exportación.
• Para simplificar en parte las cosas, ya que una exportación formal requiere montañas de documentos y tiempo, en agosto del 2007 se implementó el servicio ExportaFácil, copia del sistema de mismo nombre que opera en Brasil desde hace años.
• ExportaFácil tiene ventajas: permite considerar cualquier paquete enviado al extranjero como exportación, siempre y cuando usted rellene el formato adecuado, que afortunadamente puede obtener y rellenar en su cuenta de SUNAT en línea, quedando registrado en ese Organismo y además los envíos realizados a través de ExportaFácil también cuentan con unos precios ligeramente inferiores a los de lista.

• Pero…… también hay inconvenientes: los precios de los gastos de envío de ExportaFácil son muy superiores a los que obtendría su empresa con una tarifa corporativa. El sistema sólo es apto para envíos realizados con Serpost del Perú. El resto de operadores logísticos están impedidos de utilizarlo. No permite el recojo a domicilio, es decir, usted tiene que acercarse con su paquete a una oficina de Serpost y realizar el trámite de envío.
• Otra opción es realizar una exportación simplificada. Ese es el nombre que tiene, que en absoluto hace honor a lo que califica. En este caso, si bien el papeleo disminuye considerablemente respecto a una exportación tradicional, el mayor inconveniente es que usted debe personarse en el aeropuerto, le abrirán el paquete, etc etc.
• Realizar una exportación tradicional. Algo de locos. Ni se le ocurra.
• Con nuestra exportación notificada y registrada en SUNAT, estamos listos para proceder a solicitar la devolución del I.G.V. pagado y no recuperado. ¿Cómo?. Mediante el procedimiento de SUNAT, llamado C.O.A. (Confrontación de Operaciones Autodeclaradas). Necesitará un contador que ejecute dicho procedimiento. De igual forma, será auditado por SUNAT (a quien no le gusta nadita devolver plata que ya tiene en sus arcas) y en unos pocos meses, recibirá su ansiado I.G.V.

Recuerde lo dicho al inicio, estamos antes ventas similares a las del mundo físico, por lo que debe tener regularizados los libros contables e impuestos correspondientes al tipo jurídico de su empresa.