Antonio Devis

Entradas con la etiqueta ‘comodo’

Sin resquicio de duda, la seguridad en E-Comercio se torna como una característica esencial e inherente al mismo, y entre otras muchos conceptos, resulta inevitable toparse de frente con las siglas SSL, acrónimo de significado anglosajón creado por los abuelitos de Netscape, que poco dice al usuario, Secure Socket Layer. La madre que me parió!. Afortunadamente, la recaciltrante manía de traducir los tecnicismos británicos nos otorga un conocimiento un tanto más cercano a la realidad de estas palabrejas. Si decimos que SSL es un certificado seguro, aún sin ser del todo cierto, ya le resultará mucho más familiar y amigable al lector.

 Y por supuesto, ¿quien no ha navegado en la Red a través del protocolo httpS?. Y para más datos, ¿a quien no se le ha aparecido el avisito molestón de esta web contiene elementos seguros y otros no seguros, desea continuar?. De forma intuitiva, sabemos que navegar por una página segura, pues es eso, tener seguridad de que no van a ocurrir atentados de ningún tipo. Si el lector desea ampliar un poquito el asunto de certificados y demás, puede referirse al artículo Firmas Digitales.

Actualmente, los certificados seguros SSL logran encriptar los datos que se transmiten por las páginas webs donde se encuentran instalados. Encriptar datos es transformalos en una secuencia alfanumérica sin un sentido aparente a través de un algoritmo criptográfico que lo que hace es asignar diversas y variadas funciones matemáticas a la información que se pretende encriptar. Lo de los bits, simplemente nos da una idea del nivel de enmarañamiento de la información encriptada.

Así, por ejemplo, si nos encontramos en una página web con un certificado seguro SSL de 128 bits, las posibles combinaciones para poder encontrar cuál es la llave o la fórmula que desenmascara la información real y legible del mismo sería de 2¹²⁸, es decir trillones de billones de posiblidades de que alguien pudiese descifrar cuál es la llave que abre el cofre del tesoro, pero para mayor tranquilidad del lector, harían falta más cosas para poder recuperar el mensaje inicial.

Esto hace que un certificado SSL sea 100% seguro y no ofrezca problemas de ningún tipo en este ámbito. De hecho, las entidades emisoras de certificados SSL le opfrecen un seguro de garantía desde USD 10.000 hasta 100 millones de verdes por si usted tiene problemas de seguridad con los certificados comprados a las mismas.

Probablemente, el lector, a poco que haya ahondado en el asunto, habrá visto que antes los certificados eran de 128 o 256 bits y que ahora aparecen híbridos del tipo SSL 128/256 bits. No tiene nada de extraño, un SSL de 128/256 bits proporciona una seguridad mínima de 128 bits para navegadores compatibles (normalmente con navegadores/servidores obsoletos incompatibles con Firefox y Apache 2 respectivamente) y una seguridad de 256 bits para aquellos navegadores actuales (la inmensa mayoría). Es decir, si no va el 256, va el 128 y de esta forma, me aseguro la compatibilidad al 99.99% con los usuarios que visiten mi web.

Respecto al precio de los SSL, son extremadamente variables y básicamente se definen con dos variables:

•  
  • Nivel de verificación del solicitante. Si el emisor del SSL sólo cerifica su correo, el SSL será barato. Si tiene que realizar llamadas telefónicas o incluso visitarle u obtener una constancia notarial de que usted es quien dice ser, el costo se encarece. Usted puede pasar por alto este punto, ya que existen múltiples y baratas formas de identificarse plenamente ante los demás.
  • Monto de la garantía que le ofrece el emisor. Como en realidad se trata de un seguro, a mayor suma asegurada, mayor prima.

A la mayoría de mortales nos basta con un certificado SSL de esos baratitos, unos $ 69 serán más que suficientes para asegurar nuestra web.

Pero volvamos al asunto del E-Comercio. ¿Realmente nos interesa asegurar nuestra tienda virtual con un certificado seguro SSL?. Pues mire usted, en la inmensa mayoría de los casos, suele ser un gasto inútil que no aporta nada nuevo y en el mejor de los casos, sólo nos interesaría asegurar ciertas partes de la mismas, la tercera y última parte del proceso de compra: El pago. De forma ordinaria, los proveedores de medios de pago ya proveen sus certificados seguros, y teniendo en cuenta que las transacciones se realizan en esos servidores seguros, lo cierto es que usted no necesita para nada un SSL. De hecho, le causará más dolores de cabeza de los que ya tiene. La inclusión en su web de elementos externos que circulan bajo http y no bajo https mostrará un mensaje de error, que a la postre alertará y espantará al comprador.

¿En qué casos necesita su tienda virtual un certificado seguro SSL?. De forma inevitable e indicutible cuando su proveedor de medios de pago no lo proporciona. Por ejemplo, Visanet y MC Procesos requieren que usted cuente con su propio SSL.

Por último, en todos los casos resulta muy saludable consultar y asesorarse por profesionales honestos que tengan un mínimo conocimiento de lo que están hablando.

Hace más de 9 años que instalé mi primer PGP (Pretty Good Privacy) para firmar y encriptar un correo de Ibercaja. Desde entonces, ha llovido bastante, pero las gotas de agua recién comienzan a llegar a Perú, por lo que habría que tomar medidas para no inundarnos.

Promulgada la Ley de firmas digitales en Perú, y sancionado por el tío Alan el tercer y supuestamente último Reglamento de esta Ley, que además lleva la coletilla de Reglamento Final, y esperemos que así sea, ya se ha dado el primero paso para que la criptografía entre en nuestros hogares: se ha designado a INDECOPI para que sea el director de orquesta de todo este embrollo.

El siguiente paso es acreditar a aquellos que deseen emitir certificados para firmas digitales. Nada más fácil, visite usted la web de INDECOPI, y con ayuda de S. Hopkins y un experto traductor de hebreo podrá entender qué es lo INDECOPI le solicita.

El otro aspecto, que necesariamente debemos tratar en esta discusión, se refiere al concepto y uso de las firmas digitales.

Una firma digital, a diferencia de lo que algunos Padres de la Patria supusieron cuando sus asesores redactaron el proyecto de Ley del mismo nombre, no es una firma hecha con Photoshop más o menos parecida a la rúbrica que se pretende imitar. La firma digital es nuestra huella digital en el espacio virtual; pero no sólo eso, además es una medida de seguridad extrema acerca de nuestras comunicaciones cuando utilizamos el correo electrónico.

Y, ¿cómo funciona esto?. Veamos cómo obtener una firma digital y cómo usarla. Ojo!, en este momento en Perú ninguna firma digital es válida, ni incluso las extranjeras, ya que todavía no se ha desarrollado el Reglamento que las normaliza, autoriza y valida. Aún así, ya podemos comenzar a hacer castillitos de arena para ver si seremos capaces de adaptarnos al futuro próximo.

Lo primero es conseguir un certificado digital para un determinado correo electrónico. Actualmente, podemos obtener estos certificados de forma gratuita con Entidades Certificadoras extranjeras, por ejemplo, COMODO; cuando existan en Perú, la forma de proceder será idéntica.
Se emite un certificado para cada cuenta de correo que usted desee afiliar al sistema. Si desea 2 cuentas con firma, necesitará 2 certificados. Siga las instrucciones que le proporciona el emisor del certificado: básicamente utilizar el mismo navegador durante todo el proceso, dar unos clics en los enlaces que le llegarán por correo y aceptar la instalación del certificado. Nada del otro mundo. Tiempo estimado: entre 2 y 10 minutos. Con su programa de correo, jale el certificado, que ya se encuentra instalado en su computadora y listo. De forma ordinaria, la forma de jalarlo es examinando las propiedades de seguridad de la cuenta de correo en la que quiere instalarlo.

Con su flamante certificado instalado, ya se encuentra en disposición de enviar mensajes firmados digitalmente o cifrados. Al hacerlo, el destinatario del mensaje recibirá un correo similar a:

Antiguamente, si el correo además de firmado, estaba encriptado, habia que buscar la llave pública del remitente en un repositorio de llaves para poder ver el mensaje original. Los nuevos clientes de correo se suelen encargar de esta tarea, desenmarañando los documentos o mensajes encriptados.

Llaves. En todo certificado emitido para sus correos, usted tendrá 2 llaves, claves o llámelas como desee. Cuando usted envía un correo encriptado, usará (de forma automática a través de su programa de correo) su llave privada, que siempre debe tener a buen recaudo y el destinatario podrá descifrar su mensaje con su llave pública.

Los métodos criptográficos utilizados a dia de hoy son completamente inviolables. Esto además de ser fabuloso, tiene su desventaja en el tiempo de cifrado, que se puede tornar infinito para documentos pesados. No pasa nada!, para eso existen algoritmos que nos simplifican la vida. Si ya ha escuchado algo de MD5, HASH o palabrejas de esa guisa, deben traerle sin cuidado. Básicamente se trata de métodos internos que usted no tiene por qué conocer. En todo caso, y como referencia muy básica, le diré que para ganar tiempo cifrando documentos, HASH realiza un extracto comprimido de una sola dirección con una longitud determinada de bits (¿Ya escuchó encriptado a 128 o 256 bits?), y cuando usted envía el mensaje, lo que realmente está cifrando con su llave privada, sólo es ese extracto. Los métodos MD4, 5 y otros básicamente se refieren a la longitud de bits del extracto realizado por HASH.

En resumen, vaya haciendo pruebas con certificados digitales gratuitos del extranjero, envíe y reciba correo firmado, cifrado, firmado y cifrado. Si le gusta cómo llegan y se reciben sus mensajes, suba un peldaño e instale PGP en su computadora.

Por último, tenga en cuenta que con las firmas digitales, nuestras relaciones con el mastodónico Estado deberán simplificarse extraordinariamente, al igual que las relaciones comerciales establecidas en nuestro ámbito, así como otras muchas cosas más…. SUNAT, JUSTICIA, TRABAJO son algunos de los organismos que deben ponerse a trabajar inmediatamente para adaptar sus normativas legales a las firmas digitales.

Esperaremos a ver que nos depara el futuro (Terminator IX).