Conocer los diferentes medios de pago disponibles para el comercio electrnico. Valorar las diferentes alternativas de pago para el propio comercio electrnico Identificar las diferentes formas de fraude en Internet Mejorar la confianza del cliente mejorando la seguridad de la tienda on-line. Presentar las posibilidades ofrecidas por los nuevos medios de pago desde dispositivos mviles.
3 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
ndice
1 Introduccin al papel de los medios de pago en el comercio electrnico ............ 4 Medios de pago tradicionales utilizados en el comercio electrnico ..................... ! .1 Pago contrareembolso " con transferencia bancaria ......................................... ! . Pago con tarjetas de cr#dito " de d#bito .................................................................. ! .$ %PV Virtual .......................................................................................................................... & .4 'l problema del fraude en Internet con las tarjetas de cr#dito(d#bito ....... ) .! *istema $+ *ecure para reforzar la seguridad de las transacciones con tarjeta de cr#dito(d#bito ........................................................................................................... 11 $ Medios de Pago on-line para el Comercio 'lectrnico ............................................. 14 $.1 ,evisin de los primeros medios de pago on-line lanzados al mercado .. 14 $.1.1 +inero electrnico- .e-money/.............................................................................. 14 $.1. C0e1ues electrnicos- eC0ec23 4etC0e1ue3 4etC0e5................................... 14 $.1.$ 6irst Virtual ................................................................................................................. 17 $.1.4 %arjeta Virtu8lcas0 de 9anesto .......................................................................... 1& $.1.! C"bercas0 ..................................................................................................................... 1& $.1.7 C"bercoin ..................................................................................................................... 1: $.1.& 'Cas0 de la empresa +igiCas0 ............................................................................. ; $.1.) Millicent ........................................................................................................................ $.1.: 'Pagado ........................................................................................................................ $ $. *istemas basados en tarjetas prepago ................................................................... 4 $.$ <lternativas para los micropagos ............................................................................ ! $.4 Pa"Pal ................................................................................................................................. 7 $.! 6aceboo2 Credits ............................................................................................................ ) 4 'l tel#fono mvil como instrumento de pago .............................................................. : 4.1 <ntecedentes ................................................................................................................... : 4. %ecnolog=as " plataformas actuales de pago a trav#s de smartphones ..... $ ! <ne5o- 'l problema del phishing en internet ............................................................... 4; !.1 >u# es el phishing........................................................................................................... 4; !. ,ecomendaciones de seguridad para combatir el .phishing/....................... 4$ 7 9ibliograf=a................................................................................................................................. 4!
4 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
1 Introduccin al papel de los medios de pago en el comercio electrnico
?a disponibilidad de medios de pago adecuados constitu"e uno de los re1uisitos fundamentales para el desarrollo del comercio electrnico3 sobre todo si tenemos en cuenta 1ue en este medio no es posible pagar en efectivo " 1ue no e5iste contacto f=sico entre el comprador " el vendedor. +istintos estudios realizados en estos @ltimos aAos coinciden en seAalar 1ue la principal preocupacin de los usuarios espaAoles B" tambi#n de otros pa=sesC es la falta de confianza en la seguridad en las transacciones realizadas en Internet 'n principio3 podemos afirmar 1ue cuantos mDs medios de pago se puedan incluir en una tienda on-line3 mDs opciones tendremos para convencer al cliente de 1ue compre en dic0a tienda. <demDs de los medios de pago tradicionales3 como el pago contrareembolso o la transferencia bancaria3 desde 0ace algunos aAos se 0an propuesto medios de pago espec=ficamente creados para poder operar en Internet3 " mDs recientemente para dar soporte a las compras realizadas desde dispositivos mviles Bm-commerceC. 'n general3 podemos considerar 1ue las caracter=sticas ideales 1ue deber=a cumplir un medio de pago desarrollado para dar soporte a las transacciones electrnicas tendr=an 1ue ser las siguientes- *eguridad de las transacciones. 6iabilidad. 'scalabilidad. <decuacin a los distintos tipos de transacciones electrnicas. <nonimato 1 . 6acilidad de uso. 6acilidad de integracin con los sistemas de gestin empresarial. Interoperabilidad con otros sistemas de pago. +ivisibilidad de las unidades monetarias procesadas por el sistema. Coste asociado al procesamiento de cada transaccin.
'n la prDctica 0a sido dif=cil combinar todas las caracter=sticas anteriormente citadas en un @nico medio de pago. +e 0ec0o3 cual1uier sistema propuesto necesita contar con el apo"o de las entidades financieras o empresas especializadas en medios de pago3 1ue suelen imponer sus propias reglas de juego. %ambi#n es conveniente conocer algunos medios de pago 1ue se 0an 0ec0o mu" populares en ciertos pa=ses3 como pueden ser el c0ino <lipa" B0ttp-((global.alipa".com(ospa"(0ome.0tmC3 el 0oland#s i-+eal B0ttp-((ideal.nl(ElangFeng-G9C o el brasileAo 9oleto 9ancario B0ttp-((HHH.boletobancario.com(0ome(C.
1 '5iste3 no obstante3 un compromiso entre la confidencialidad de la identidad del pagador " la seguridad ante un uso fraudulento del medio de pago. 5 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
2 Medios de pago tradicionales utilizados en el comercio electrnico 'n la actualidad es posible utilizar en Internet medios de pago tradicionales3 como el pago contrareembolso3 las transferencias bancarias " las tarjetas de cr#dito(d#bito. 'l consumidor los percibe como mDs seguros 1ue los electrnicos3 " en pa=ses como 'spaAa todav=a son mu" populares. 2.1 Pago contrareembolso y con transferencia bancaria 'l pago contrareembolso es posiblemente el sistema mDs seguro para el comprador3 "a 1ue #ste no debe pagar el producto 0asta el momento de recibirlo correctamente en su domicilio. ?a empresa encargada del transporte del producto se encarga de gestionar el cobro " abonar posteriormente el importe a la empresa vendedora3 cobrando una comisin por el servicio realizado. Por lo tanto3 la tienda on-line debe tener en cuenta el coste de esta comisin3 as= como la demora en el cobro del pedido " un posible aumento del porcentaje de devoluciones en el momento de la entrega de la mercanc=a Bconsumidores 1ue 0an podido cambiar de opinin o 1ue no les viene bien afrontar el pago de la compra cuando reciben el producto en su domicilioC. Mediante la transferencia bancaria la tienda on-line debe facilitar el n@mero de una cuenta bancaria para 1ue el comprador pueda ordenar la transferencia por el importe acordado a trav#s de su entidad financiera. *e trata del medio mDs seguro " econmico para el vendedor3 "a 1ue recibe el dinero por anticipado Bantes de servir el pedidoC " no tiene ning@n coste adicional3 pero re1uiere contar con la total confianza por parte del cliente en la tienda on-line. 4o obstante3 debemos seAalar 1ue tiene como inconveniente el retraso en la tramitacin del pedido 0asta recibir la confirmacin del ingreso por transferencia. Como alternativa a la transferencia bancaria3 la domiciliacin bancaria es otro m#todo utilizado en compras 0abituales " repetitivas o servicios de suscripcin peridica3 as= como en el comercio 99. 2.2 Pago con tarjetas de crdito y de dbito 'l medio mDs e5tendido es el pago mediante tarjetas de crdito o de dbito, soportado por el protocolo SSL. 'n este caso3 el comprador env=a a trav#s de una cone5in segura Bgracias al protocolo **?C el n@mero de su tarjeta de cr#dito o de d#bito3 as= como la fec0a de caducidad. 'l vendedor solicitarD confirmacin a la entidad financiera emisora de la tarjeta " procederD a realizar el cargo del importe de la operacin en la tarjeta de la 1ue es titular el comprador. 'n lo 1ue se refiere a la utilizacin de las tarjetas de cr#dito3 debemos tener en cuenta 1ue desde 1ue en 1:!; +inners Club emiti la primera tarjeta de cr#dito3 la e5pansin del dinero de plDstico 0a sido tan espectacular 1ue en 1:: <li5 Iart3 Presidente de MasterCard Internacional3 lleg a afirmar 1ue .el dinero de plDstico va a sustituir totalmente al efectivo " a los c0e1ues en un plazo de entre $; " 4; aAos/.
6 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
*i tenemos en cuenta los datos facilitados por el informe sobre comercio electrnico 9C en 'spaAa de ;1 realizado por el J4%*I BJbservatorio 4acional de las %elecomunicaciones " de la *ociedad de la Informacin- 0ttp-((ontsi.red.es(C3 podemos comprobar cmo los medios de pago tradicionales siguen siendo los mDs utilizados3 al igual 1ue en otros pa=ses de nuestro entorno3 destacando especialmente el uso de la tarjeta de cr#dito3 presente en dos tercios de las operaciones de compra on-line.
Figura 1. Distribucin de los medios de pago en el comercio electrnico B! en "spa#a $Fuente% &'(S), "studio sobre !omercio "lectrnico B! *1+ 'n 'spaAa los distintos informes publicados por la Comisin del Mercado de las %elecomunicaciones BCM%C constatan el importante crecimiento e5perimentado por las transacciones de comercio electrnico realizadas con tarjeta de cr#dito en estos @ltimos aAos3 tal " como se puede apreciar en el siguiente grDfico con datos referidos al primer trimestre del aAo ;1-
7 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura . ",olucin del ,olumen de comercio electrnico en "spa#a $en millones de euros+. Fuente% )nforme de la !-( publicado en *1., con datos /asta el 1(0*1. 2.3 TPV Virtual Para poder utilizar la tarjeta de cr#dito como medio de pago es necesario utilizar un (erminal 1unto de 2enta $(12+ ,irtual. Kn %PV virtual es un servidor Heb seguro 1ue se encarga de procesar las rdenes de pago realizadas mediante una tarjeta de cr#dito o de d#bito a trav#s de Internet. 'n la actualidad3 numerosas entidades financieras ofrecen este servicio a las tiendas " empresas 1ue deseen comercializar sus productos " servicios a trav#s de Internet. 'l funcionamiento de un %PV virtual es bastante sencillo3 " se resume en los siguientes pasos- 1. Kna vez seleccionados los productos 1ue se desean ad1uirir en la tienda on- line3 el navegador del comprador es redirigido automDticamente al %PV virtual para realizar el pago de la compra. . Kna vez autorizada la transaccin por el banco emisor de la tarjeta3 el %PV virtual informa tanto al comprador como al comercio del resultado " devuelve el control a la tienda virtual. $. 'l comerciante acepta la operacin " #sta 1ueda registrada en su sistema. +e este modo3 cuando se paga a trav#s de un %PV virtual3 los datos de la tarjeta de cr#dito del comprador slo son conocidos por la entidad financiera 1ue gestiona el %PV. <demDs3 la comunicacin entre el ordenador del comprador " el %PV virtual se realiza de forma segura3 utilizando el protocolo seguro **?. Ia" 1ue tener en cuenta 1ue e5isten dos bancos implicados en el proceso3 el banco ad1uirente o del vendedor Bentidad responsable del %PV virtualC " el banco emisor o del comprador Bentidad financiera 1ue 0a emitido la tarjeta con la 1ue se realiza la operacin de pagoC. ?a tienda on-line es la 1ue debe soportar la comisin por el pago con tarjeta de cr#dito3 denominada .tasa de descuento/3 1ue puede llegar a ser bastante elevada3 pudiendo alcanzar incluso el 4L o mDs. Kna parte de esta MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
comisin3 denominada .tasa de intercambio/3 es enviada al banco emisor por el banco ad1uirente.
Figura .. (ransaccin reali3ada a tra,s de una (12 ,irtual para pagar con tarjeta de crdito en una tienda on0line 'l principal inconveniente del pago con tarjeta de cr#dito para el vendedor es la posible repudiacin de la operacin por parte del comprador3 1ue se puede producir en a1uellos casos en los 1ue3 por ejemplo3 se 0an robado los datos del leg=timo titular de la tarjeta3 al no disponer la tienda on-line de la firma del comprobante de la tarjeta de cr#dito como s= sucede en las ventas presenciales.
2.4 !l "roblema del fraude en #nternet con las tarjetas de crdito$dbito 'n la actualidad3 para realizar muc0as compras en Internet basta con facilitar un n@mero vDlido " una fec0a de caducidad de una tarjeta de cr#dito3 sin ning@n otro tipo de re1uisito para la identificacin del poseedor de la tarjeta. <demDs3 el protocolo **?3 el mDs e5tendido entre los comercios electrnicos3 no permite garantizar en muc0os casos la identidad del comprador3 al no emplear certificados digitales de cliente Bslo se utilizan en la parte del servidor Meb del comercioC. Por otra parte3 los distintos estudios realizados en estos @ltimos aAos coinciden en seAalar 1ue la principal preocupacin de los usuarios de )nternet es la falta de confian3a en la seguridad en las transacciones realizadas en tiendas on-line. % MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
'l consumidor estD protegido del fraude siempre 1ue rec0ace a tiempo el cargo no reconocido en el e5tracto mensual de la tarjeta de cr#dito. *in embargo3 la .cibercriminalidad/ 0ace aumentar los tipos de inter#s de las tarjetas " provoca 1ue las comisiones cobradas a los vendedores on-line sean mu" superiores a las 1ue pagan los comercios tradicionales3 por lo 1ue a la postre termina perjudicando al usuario. <demDs3 en muc0os casos los comercios ,irtuales deben cargar con todas las responsabilidades 4 los costes asociados a las operaciones en caso de fraude3 mientras 1ue las entidades emisoras de las tarjetas son las 1ue normalmente asumen el importe del fraude cuando se trata de comercios tradicionales. 'l crecimiento del fraude en el negocio de las tarjetas se debe3 en parte3 al softHare distribuido por piratas informDticos a trav#s de Internet 1ue permite 1ue cual1uier usuario con unos m=nimos conocimientos de informDtica Bbasta con instalar " ejecutar dic0o programa en su ordenadorC pueda generar n@meros de tarjetas de cr#dito perfectamente vDlidos. 'n otros casos3 la sustraccin de los datos de los clientes3 incluidos sus n@meros de tarjetas de cr#dito3 de ordenadores conectados a Internet 1ue 0an sido v=ctimas de ata1ues informDticos constitu"e otro de los medios utilizados para obtener los datos necesarios para realizar operaciones fraudulentas en Internet. <s=3 por ejemplo3 en el aAo 1:::3 un delincuente informDtico localizado en ,usia consigui 0acerse con los datos de mDs de $;;.;;; tarjetas de cr#dito de los clientes 1ue figuraban registrados en la base de datos de C+ Kniverse3 un distribuidor de Compact-+isc a trav#s de Internet. 'n diciembre de ;;; la empresa Creditcards.com3 dedicada a la refinanciacin de deudas en los pagos mediante tarjeta de cr#dito3 sufri el robo de la informacin de otros !!.;;; clientes su"os. %ambi#n en diciembre de ;;; unos delincuentes informDticos consegu=an acceder a la base de datos de la empresa 'gg0ead.com3 dedicada a la venta de material informDtico " electrnico por Internet3 con sede en la ciudad californiana de Menlo Par2 B'stados KnidosC. ?os arc0ivos asaltados conten=an informacin de sus $3& millones de clientes e inclu=an los datos de sus tarjetas de cr#dito. 'n febrero de ;;1 un grupo militante contra la globalizacin consigui violar la seguridad del sistema informDtico del 6oro 'conmico Mundial de +avos B*uizaC3 por lo 1ue pudo tener acceso a los datos de 1.4;; tarjetas de cr#dito de destacados participantes en las distintas ediciones del evento3 as= como otros datos personales " econmicos Bn@meros de pasaporte " de tel#fono mvil3 direcciones de correo electrnico3 claves de entrada3 etc.C de personalidades como el e5-presidente estadounidense 9ill Clinton3 el fundador de Microsoft3 9ill Gates3 o el primer ministro c0ino ?i Peng. 'l dominical suizo Sonntagszeitung recibi como prueba un C+-,JM enviado por los piratas con 17! Mb"tes de datos sustra=dos sobre los participantes. ?as empresas de tarjetas de cr#dito tuvieron 1ue blo1uear inmediatamente las tarjetas afectadas3 para evitar 1ue los piratas pudieran realizar compras con ellas. 'n ma"o de ;; el peridico The New York Times informaba 1ue el mercado de venta de n@meros de tarjetas de cr#dito estaba alcanzando unas dimensiones alarmantes. ?os datos robados de decenas de miles de tarjetas de cr#dito se estaban ofreciendo al mejor postor en Mebsites operados en su ma"or=a por 1& MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
residentes de la antigua Knin *ovi#tica o de otros pa=ses de 'uropa del 'ste. 'l precio por tarjeta pod=a oscilar entre los 4; centavos de dlar " los ! dlares3 dependiendo del nivel de autentificacin logrado. 4ormalmente3 los datos se ofrec=an en pa1uetes de3 por ejemplo3 !.;;; tarjetas a 1.;;; dlares3 " se cobraban a trav#s de cuentas on-line en determinados Mebsites como HHH.Hebmone".ru. 'stos datos se estaban empleando para realizar compras fraudulentas en tiendas on-line3 as= como para la e5traccin fraudulenta de dinero en cajeros automDticos. 'n febrero de ;;$3 otro delincuente informDtico consigui burlar el sistema de seguridad de la empresa +ata Processors International3 1ue procesa las transacciones comerciales por correo de las compaA=as VI*< " MasterCard3 por lo 1ue pudo acceder a los datos de oc0o millones de tarjetas de cr#dito en 'stados Knidos. 'n noviembre de ;;) una nueva investigacin sobre el fraude en Internet llevada a cabo por *"mantec entre junio de ;;& " junio de ;;) seAalaba 1ue el mercado de n@meros de tarjetas de cr#dito robadas en la ,ed podr=a mover al aAo !.$;; millones de dlares.
<simismo3 las t#cnicas de .skimming/3 consistentes en la duplicacin de una tarjeta de crdito cuando se registran sus datos en un falso lector incorporado a un datDfono o en la puerta de un cajero automDtico3 permiten a bandas de delincuentes perfectamente organizados sustraer este tipo de datos para realizar posteriormente operaciones fraudulentas3 tanto dentro como fuera de Internet. +e 0ec0o3 en ;;$ slo en la ciudad de Madrid se registraron casi oc0o denuncias diarias de usuarios estafados por la clonacin de su tarjeta B.skimming/C3 seg@n fuentes policiales.
Figura 5. Falso lector de tarjetas insertado en un cajero autom6tico para lle,ar a cabo la duplicacin de tarjetas de crdito $s7imming+ +ebemos destacar3 por lo tanto3 1ue los principales problemas de operaciones fraudulentas a trav#s de Internet vienen motivados por la utilizacin de un medio de pago3 la tarjeta de cr#dito(d#bito3 1ue inicialmente no estaba pensado para la realizacin de compras on-line. <demDs3 las actuales tarjetas de cr#dito basadas en una tarjeta de plDstico con banda magn#tica son mu" fDciles de falsificar Bmediante t#cnicas como el 11 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
.skimming/ en los cajeros automDticosC "3 en muc0os otros casos3 estos datos se encuentran al alcance de un e5perto informDtico 1ue pueda acceder a la base de datos del servidor de una tienda3 aprovec0ando alguno de los fallos de seguridad 1ue afectan a miles de ordenadores con una configuracin " un mantenimiento inadecuados " 1ue estDn conectados a Internet. ?os datos enviados a trav#s de una cone5in segura3 mediante el protocolo **?3 son mu" dif=ciles de descifrar utilizando los medios informDticos disponibles en la actualidad. +e 0ec0o3 no se encuentra a1u= la ra=z del problema3 sino 1ue en muc0os casos los datos de las tarjetas de cr#dito se obtienen a trav#s de otras fuentes- *e recopilan de tic2ets " recibos de compra impresos en papel en los 1ue se inclu"en el n@mero de la tarjeta " su fec0a de caducidad. *e obtienen mediante la t#cnica de .skimming/ en cajeros automDticos. *e roban de bases de datos de ordenadores vulnerables a ata1ues informDticos. *e obtienen mediante engaAos " t#cnicas de .ingenier=a social/3 como podr=an ser falsas llamadas telefnicas al titular de una tarjeta o cuenta bancaria para solicitar sus claves en nombre de la entidad emisora. 'l .pharming/ " el .phishing/ tambi#n pueden ser empleados para robar " utilizar de forma fraudulenta n@meros de tarjetas de cr#dito.
?a sustitucin de las tarjetas de banda magn#tica por .tarjetas chip/3 la utilizacin de certificados digitales de cliente " no slo de servidor3 as= como el recurso a protocolos para gestionar las transacciones como SSL,.3 constitu"en algunas de las medidas de seguridad 1ue deber=an impulsar las entidades financieras " las empresas emisoras de las tarjetas de cr#dito3 como VI*< " MasterCard. <demDs3 las campaAas de sensibilizacin " formacin dirigidas a usuarios " comerciantes contribuir=an a evitar la ma"or parte de los casos de utilizacin fraudulenta de las tarjetas de cr#dito " otros medios de pago. 2.5 'istema 3( 'ecure "ara refor)ar la seguridad de las transacciones con tarjeta de crdito$dbito %eniendo en cuenta los problemas con el fraude en las transacciones con tarjetas de cr#dito(d#bito3 las empresas VI*< " MasterCard 0an decidido reforzar la seguridad de las tarjetas mediante la incorporacin un chip 1ue solicitarD al poseedor un cdigo secreto para cada operacin. 'sta reconversin de las tarjetas de cr#dito3 1ue pretende frenar la desconfianza de los consumidores ante el espectacular crecimiento del fraude en Internet3 estD suponiendo una importante inversin para las empresas responsables de la gestin de tarjetas de cr#dito " de d#bito3 como VI*<3 MasterCard3 493 ,ed 7;;;3 +inners " <merican '5press. <simismo3 VI*< " MasterCard 0an acordado una medida previa3 implantada "a en numerosos pa=ses como 'spaAa3 por la cual los emisores de las tarjetas de cr#dito deben incluir tres d8gitos en la parte posterior de las mismas. +e este modo3 los consumidores tendrDn 1ue facilitar estos tres d=gitos cuando realicen sus compras por tel#fono o por Internet. %ambi#n se les solicitarDn detalles sobre su direccin3 una medida desconocida en 'uropa pero 0abitual en 'stados Knidos3 pa=s en el 1ue 12 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
se 0a desarrollado con #5ito el sistema <V* BAddress Verification Service3 *ervicio de Verificacin del +omicilioC para reducir el n@mero de operaciones fraudulentas. *in duda3 una de las iniciativas mDs importantes aprobadas para reducir el fraude en la compra mediante tarjetas de cr#dito el sistema .D Secure3 1ue permite autenticar al titular de la tarjeta3 es decir3 garantiza 1ue el cliente 1ue estD usando un n@mero de tarjeta es realmente el titular de la misma. Para ello3 en el momento de autorizar la transaccin desde la pasarela %PV virtual se establece una cone5in con el banco emisor de la tarjeta de cr#dito(d#bito3 1uien procederD a realizar una comprobacin de la identidad solicitando una clave secreta previamente registrada por el titular en el servicio de banca electrnica de la entidad. +e este modo3 la tarjeta de cr#dito(d#bito pasa a estar .securizada/3 garantizando el banco emisor la autenticidad del titular " la validez de la transaccin. 'l sistema $+ *ecure 0a sido implemento por VI*< a trav#s del servicio .Verified by Visa/ " por Mastercard a trav#s del .astercard Secure !ode/3 " su utilizacin se 0a incrementado de forma importante en estos @ltimos aAos3 0asta el punto de 1ue en 'spaAa mDs de la mitad de las compras con tarjeta de cr#dito "a recurren a este sistema para reforzar la seguridad de la transaccin.
Figura 9. 1orcentaje de compras con tarjeta de crdito en las :ue el usuario utili3a un 1)' o n;mero secreto personal para confirmar la operacin $Fuente% &'(S), "studio sobre !omercio "lectrnico B! *1+ <s=3 mediante el servicio Verified by Visa BHHH.verifiedb"visa.comC3 presentado en abril de ;;3 el titular de la tarjeta de cr#dito debe registrar en el Mebsite de Visa una contraseAa 1ue asocia a su tarjeta " 1ue slo #l mismo conoce. Para poder comprar con la tarjeta en las tiendas on-line asociadas a este programa serD necesario introducir los datos de la tarjeta " la contraseAa creada por el titular.
Figura <. 2erified b4 2isa 13 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Por su parte3 el servicio bautizado como Secure!ode de la empresa MasterCard BHHH.mastercardmerc0ant.com(securecode(C3 lanzado en octubre de ;; para las tarjetas 1ue llevan las marcas MasterCard " Maestro3 tiene un es1uema de funcionamiento similar al anterior. 'n este caso3 el titular de la tarjeta debe registrar su propio cdigo de seguridad a trav#s de Internet o por tel#fono. 'ste cdigo es otorgado " gestionado directamente por la entidad financiera emisora de la tarjeta MasterCard o Maestro " nunca serD facilitado a los comercios donde se utilice dic0a tarjeta. < la 0ora de confirmar una operacin de compra en Internet3 MasterCard *ecureCode solicitarD al titular de la tarjeta 1ue realiza la compra 1ue introduzca su cdigo secreto en una ventana 1ue aparecerD en la pantalla de su ordenador o en su tel#fono mvil3 para poder completar de forma segura la transaccin. 'ste proceso es e1uivalente al recibo firmado por el titular de la tarjeta3 por lo 1ue garantiza la autorizacin de la operacin basada en la autenticacin del titular a trav#s del cdigo secreto.
14 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
3 Medios de Pago on-line para el Comercio Electrnico 'n este apartado se describen algunos de los medios de pago on-line desarrollados espec=ficamente para dar soporte al comercio electrnico3 de los 1ue sin duda el mDs popular en la actualidad es Pa"Pal. *e inclu"e tambi#n la descripcin de algunos medios de pago electrnicos 1ue se desarrollaron en las primeras etapas del comercio electrnico3 a mediados " finales de la d#cada de los noventa3 pero 1ue actualmente "a no estDn operativos.
3.1 *e+isi,n de los "rimeros medios de "ago on-line lan)ados al mercado 3.1.1 (inero electr,nico- .e-money/ Podemos considerar 1ue el dinero electrnico estD constituido por una especie de .cibermonedas/ 1ue se pueden guardar en un ordenador o soporte informDtico " 1ue son e1uivalentes a una determinada cantidad de dinero. 'n el proceso de creacin de dinero electrnico3 el titular de una cuenta bancaria solicita a su entidad financiera la generacin de una determinada cantidad de dinero electrnico B.cibermonedas/C. Cada cibermoneda consiste en una secuencia de bits con un n@mero de serie aleatorio 1ue la identifica3 la informacin sobre su valor econmico " la firma electrnica del banco3 mediante una t#cnica conocida como .firma electrnica ciega/3 desarrollada por el criptgrafo +avid C0aum. +e este modo3 el banco no conoce los n@meros de serie de las cibermonedas 1ue 0a entregado al usuario3 pero respalda su valor. ?as cibermonedas se guardan en el disco duro del ordenador del cliente3 aun1ue tambi#n podr=an ser depositadas en un dispositivo de almacenamiento Bpendrive3 tarjeta c0ip3 etc#teraC. Para utilizar este dinero electrnico3 el cliente debe enviar cibermonedas a la tienda on-line donde desea realizar una transaccin. 'l vendedor remitirD las cibermonedas a la entidad financiera responsable de su emisin3 1uien se encargarD de comprobar la validez del n@mero de serie de cada cibermoneda Bes decir3 1ue todav=a no 0a sido utilizadaC3 para a continuacin abonar en la cuenta del vendedor el importe correspondiente a cada cibermoneda. Para 1ue este sistema funcione correctamente3 la entidad financiera debe mantener una base de datos con la relacin de n@meros de serie de cibermonedas en circulacin3 con el objetivo de evitar 1ue se pueda tratar de reutilizar una misma cibermoneda. *e 0an propuesto varios sistemas para la creacin " utilizacin de .cibermonedas/3 como "!as/ o 'et!as/.
3.1.2 01e2ues electr,nicos- e01ec34 5et01e2ue4 5et01e6 e!/ec7 era un sistema de c0e1ue electrnico desarrollado por el 6*%C B"inancial Service Technology !onsortiumC3 un consorcio de mDs de :; miembros3 principalmente bancos3 1ue colaboran de forma no competitiva en el desarrollo de pro"ectos t#cnicos. 15 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
'ste sistema empleaba una tarjeta inteligente para implementar un .talonario de c0e1ues electrnicos/ seguro3 1ue consist=a en una relacin de rdenes de pago firmadas digitalmente. Para su puesta en marc0a cont con el respaldo de la administracin estadounidense3 1ue firm en junio de 1::) su primer c0e1ue electrnico usando este sistema. < grandes rasgos3 el funcionamiento de este sistema era el 1ue se indica a continuacin- 'l comprador seleccionaba los productos 1ue deseaba comprar " a continuacin enviaba a trav#s de Internet un c0e1ue digital firmado con su clave privada. 'l vendedor recib=a el c0e1ue3 comprobaba su validez " proced=a a firmarlo con su clave privada. 'l vendedor enviaba el c0e1ue firmado a la entidad financiera encargada de procesar la orden de pago.
Figura =. e!/ec7 Jtros ejemplos de c0e1ues electrnicos ser=an el sistema 'et!/e:ue3 desarrollado por la Kniversidad del *ur de California3 1ue reproduc=a en Internet el sistema usual de emisin de c0e1ues " compensacin entre bancos3 " el sistema 'et!/e> de la empresa Kniversal Pa"ment *olutions.
16 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura ?. 'et!/e:ue 3.1.3 7irst Virtual 'ste protocolo de pago fue desarrollado en 1::4 por la empresa 6irst Virtual Ioldings Inc3 constitu"endo una de las primeras alternativas para efectuar compras en Internet de forma segura. 'n agosto de 1::) la empresa abandon definitivamente este sistema de pagos3 al e5istir soluciones mDs robustas " eficaces en el mercado. 'n ese momento contaba con .;;; comercios adscritos " mDs de 7;.;;; clientes registrados. 'l sistema First 2irtual proporcionaba a sus usuarios un identificativo personal3 conocido como Virtual PI43 1ue deb=an facilitar en cada operacin de compra al vendedor3 en lugar del n@mero de la tarjeta de cr#dito. *eguidamente3 el vendedor remit=a este Virtual PI4 al servidor de 6irst Virtual para solicitar la autorizacin de la operacin. 'l servidor de 6irst Virtual enviaba un mensaje de correo electrnico el cliente para pedir una confirmacin de la operacin3 de tal modo 1ue si #ste la aceptaba respondiendo al mensaje con otro correo3 6irst Virtual proced=a a realizar el cargo del importe de la compra en la tarjeta del cliente. Con este es1uema de funcionamiento3 este sistema presentaba la ventaja de evitar 1ue el n@mero de tarjeta de cr#dito tuviera 1ue ser enviado a trav#s de Internet Bde 0ec0o3 slo se almacenaba en el servidor de 6irst VirtualC " de solicitar una confirmacin e5presa del usuario para cada operacin. *in embargo3 su principal problema resid=a en el 0ec0o de utilizar una 0erramienta potencialmente insegura como el correo electrnico para la confirmacin de las operaciones3 sin recurrir a ning@n tipo de sistema de cifrado 1ue permitiera reforzar la seguridad de los mensajes de correo. 17 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
3.1.4 Tarjeta Virtu8lcas1 de 9anesto ?a tarjeta .Virtu8lcas0/ fue una tarjeta desarrollada por la entidad financiera espaAola 9anesto para la realizacin de pagos seguros en Internet. Inicialmente3 en su primera versin se trataba de una tarjeta virtual3 1ue no incorporaba ni c0ip ni banda magn#tica3 por lo 1ue el importe de las compras era cargado en una cuenta asociada 1ue el titular deb=a tener abierta en esta entidad. 'sta tarjeta tuvo una segunda versin conocida como .Virtual Cas0 Plus/3 presentada a comienzos del aAo ;;; " 1ue permit=a un uso seguro " annimo para realizar compras en Internet3 sin 1ue fuera necesario disponer de una cuenta en la entidad financiera 9anesto para poder operar con ella. Virtual Cas0 Plus era de 0ec0o una tarjetera monedero 1ue pod=a ser recargada en cual1uier cajero de la red 49.
Figura @. (arjeta 2irtuAl!as/ de Banesto 3.1.5 0ybercas1 C"bercas0 es un sistema desarrollado en 1::4 para gestionar el pago mediante tarjetas de cr#dito. *e trata de uno de los pioneros " 0a servido como base para el posterior desarrollo del sistema *'%. 'n 'spaAa se pudo utilizar desde 1::!. !4bercas/ constitu=a una pasarela de pago entre los comerciantes " las redes de las entidades financieras. <ntes de empezar a operar3 el comprador deb=a descargar3 registrar e instalar en su ordenador el programa .C"bercas0 Mallet/3 un monedero electrnico en el 1ue pod=a introducir los datos de las tarjetas de cr#dito 1ue pretend=a utilizar para pagar sus compras en Internet. Posteriormente3 este programa se encargaba de la generacin " gestin de las claves utilizadas para cifrar el proceso de comunicacin. Por su parte3 el vendedor 1ue 1uisiera ofrecer este medio de pago tambi#n ten=a 1ue registrarse con C"bercas0 e instalar el softHare de servidor denominado .Cas0 ,egister/3 disponible para plataformas K4IN " MindoHs. 1 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
'l proceso seguido para realizar un pago mediante el sistema de C"bercas0 constaba de los siguientes pasos- 'l cliente seleccionaba los productos 1ue deseaba incluir en su compra " utilizaba el programa C"bercas0 Mallet para generar una 0oja de pedido electrnica3 en la 1ue se inclu=a el n@mero de la tarjeta de cr#dito en 1ue se iba a cargar el importe de la operacin3 su identificador de cliente3 el importe de los productos solicitados " el domicilio para la entrega de estos productos. 'sta 0oja era firmada posteriormente con la clave secreta del cliente " con la clave p@blica del servidor de C"bercas0. 'l comerciante anotaba la forma de pago elegida por el cliente " el domicilio para la entrega3 generaba un recibo de la operacin de compra "3 a continuacin3 enviaba al cliente una factura pro forma firmada con su clave privada. 'l cliente3 despu#s de 0aber revisado el recibo de la compra3 generaba " enviaba al comerciante un mensaje de aceptacin del pago. 'ste mensaje estaba firmado electrnicamente e inclu=a una 0uella digital de la factura pro forma " a las instrucciones de pago. 'l comerciante remit=a a C"bercas0 el contenido del mensaje de aceptacin del pago " los datos del pedido. C"bercas0 se encargaba de descifrar " comparar ambos mensajes. *i #stos coincid=an3 solicitaba confirmacin de la aceptacin del pago a trav#s de la red financiera " enviaba la respuesta al comerciante para 1ue #ste cerrase la transaccin. 'l comerciante informaba al cliente de 1ue el pago 0ab=a sido aceptado3 cerrando de este modo la operacin de compra. 'n condiciones normales todo este proceso ten=a lugar en unos ; segundos. <demDs3 en este sistema los datos con la tarjeta de cr#dito del comprador se enviaban cifrados para 1ue slo pudieran ser le=dos por C"bercas0. +e esta forma3 el comerciante no ten=a acceso a los datos de la tarjeta de cr#dito del cliente. 'l funcionamiento del sistema de C"bercas0 se resume en la siguiente figura-
1% MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura 1*. Funcionamiento del sistema !4bercas/ 'l sistema de C"bercas0 tuvo una importante aceptacin en los primeros aAos de su e5istencia3 al ofrecer una infraestructura bastante slida3 eficiente " segura para procesar pagos mediante tarjeta de cr#dito. *in embargo3 la posterior aparicin " desarrollo de nuevos medios de pago electrnico3 as= como la publicacin del protocolo *'% como una versin mDs avanzada de C"bercas03 avalada por Visa " MasterCard3 restaron inter#s a este medio de pago. 6inalmente C"bercas0 fue ad1uirido por la empresa de seguridad informDtica Verisign. 3.1.6 0ybercoin C"bercas0 dispon=a tambi#n de un servicio espec=fico denominado !4bercoin para la realizacin de pe1ueAos pagos B.micropagos/C en Internet3 como el pago por acceso a bases de datos3 compra de pDginas de informacin3 lectura de un peridico3 etc. Ia" 1ue tener en cuenta 1ue para estos pagos de un importe reducido Bmenos de $ OC no resulta rentable utilizar un medio basado en una tarjeta de cr#dito3 por el elevado importe de la comisin aplicada3 1ue puede ser superior al propio valor de la transaccin.
C"bercoin era un monedero electrnico 1ue se pod=a recargar a partir de una determinada tarjeta de cr#dito. 'ste monedero estaba ubicado en el servidor central de C"bercoin3 desde donde se gestionaban los micropagos de cada uno de sus clientes3 realizando las correspondientes anotaciones en las cuentas de sus respectivos monederos. +e este modo3 para realizar un pago el cliente proporcionaba al comerciante un n@mero de cuenta " una autorizacin para 1ue se le cargase el importe correspondiente a la operacin. 'l comerciante remit=a estos datos al servidor central de C"bercoin " all= se deduc=a esa cantidad de la cuenta del cliente. 2& MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
3.1.7 !0as1 de la em"resa (igi0as1 Digi!as/ es una empresa 0olandesa fundada en 1::; por el famoso criptgrafo +avid C0aum. 'sta empresa lanz al mercado el sistema conocido como .'Cas0/3 un monedero digital 1ue permit=a almacenar una cierta cantidad de dinero en el disco duro del ordenador3 facilitando la realizacin de compras annimas " seguras en Internet.
Figura 11. e!as/ de la empresa Digicas/ Para ser usuario de 'Cas0 era necesario abrir una cuenta en alguno de los bancos 1ue trabajaban con este sistema. *eguidamente el usuario ten=a 1ue solicitar la cuenta 'Cas0 e instalar en su ordenador el programa de monedero electrnico. ?os vendedores 1ue 1uisieran ofrecer esta modalidad de pago a sus clientes ten=an 1ue seguir un proceso similar para registrarse en el sistema- abrir una cuenta en una entidad financiera participante e instalar el programa de monedero electrnico. < grandes rasgos3 el sistema 'Cas0 funcionaba de la siguiente manera- Cuando un usuario de 'Cas0 decid=a retirar fondos de su cuenta en el banco3 generaba por s= mismo una serie de monedas electrnicas B.cibermonedas/C. Kna moneda electrnica no es mDs 1ue una secuencia de bits 1ue contienen el valor de la moneda3 acompaAado de un n@mero de serie @nico en el sistema 'Cas0 asociado a dic0a moneda3 1ue se utiliza para detectar copias ilegales de la moneda. *eguidamente3 el usuario presentaba estas cibermonedas al banco para :ue las firmase3 respaldando as= su valor. 'l banco se encargaba de firmarla utilizando la tcnica de firma electrnica ciega3 desarrollada por el criptgrafo +avid C0aum. +e este modo3 el banco respaldaba el valor del dinero sin conocer los n@meros de serie de las monedas3 preservando as= el anonimato en el uso de estas .monedas electrnicas/. 21 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
?as .monedas electrnicas/ pod=an ser utilizadas por el usuario para pagar sus compras en las tiendas de Internet participantes en el sistema 'Cas0. Para ello3 ten=a 1ue enviar al vendedor .monedas electrnicas/ cu"o valor total resultase suficiente para saldar el importe de la compra 1ue 0ab=a realizado. < continuacin3 la tienda se encargaba de comprobar 1ue dic0as monedas eran aut#nticas3 verificando la firma electrnica del banco emisor. <demDs3 para comprobar 1ue las monedas todav=a segu=an siendo vDlidas3 es decir3 para comprobar 1ue no 0ab=an sido utilizadas "a en otras transacciones3 la tienda deb=a enviar estas monedas a la entidad financiera. Por este motivo3 las entidades financieras participantes en el sistema 'Cas0 ten=an 1ue registrar en una base de datos todos los n@meros de serie de las monedas electrnicas 1ue 0ab=an recibido de las empresas " tiendas integradas en el sistema. 'sta base de datos constitu=a un registro de las monedas electrnicas 1ue "a 0ab=an sido utilizadas en alguna transaccin " 1ue3 por lo tanto3 0ab=an 1uedado fuera de circulacin. Cuando la entidad financiera recib=a una nueva moneda electrnica3 se encargaba en primer lugar de comprobar su autenticidad mediante la verificacin de su firma electrnica. < continuacin3 buscaba el n@mero de serie de la moneda electrnica en su base de datos de monedas 1ue "a 0ab=an sido utilizadas3 de tal modo 1ue3 si el n@mero de serie de la moneda se encontrase en dic0a base de datos3 la entidad financiera tendr=a 1ue rec0azar la moneda en cuestin por tratarse de una copia de otra 1ue "a 0ab=a sido utilizada en otra transaccin3 informando de esta circunstancia al vendedor para 1ue procediera a anular la operacin de venta. Por el contrario3 si el n@mero de serie de una moneda electrnica recibida no se encontraba en la base de datos3 la entidad financiera la dar=a por vDlida3 aceptando el pago e incrementando el saldo de la cuenta del vendedor con el importe registrado en la moneda. <simismo3 registrar=a el n@mero de serie de la moneda en su base de datos para .retirarla de la circulacin/. 'ste sistema garantizaba totalmente el anonimato para el usuario 1ue efectuaba el pago3 debido a 1ue la entidad financiera firmaba las monedas con la t#cnica de firma electrnica ciega/. 'sta t#cnica permite 1ue un individuo u organizacin pueda firmar digitalmente un determinado documento en formato electrnico sin tener posibilidad alguna de conocer el contenido del mismo "3 por este motivo3 se dice 1ue se firma .a ciegas/. +e este modo3 la entidad financiera conoc=a el valor de la moneda electrnica3 pero no ten8a acceso al n;mero de serie :ue /ab8a generado la aplicacin de monedero electrnico del e1uipo del usuario3 por lo 1ue cuando recib=a las monedas enviadas por una tienda participante en el sistema 'Cas03 no pod=a determinar la identidad del usuario 1ue estaba realizando el pago de la transaccin. *implemente se limitaba a comprobar la validez de las monedas electrnicas3 por lo 1ue el sistema 'Cas0 se comportaba de un modo similar al dinero real en efectivo. *in embargo3 esta caracter=stica imped=a identificar a los usuarios 1ue intentasen llevar a cabo un uso fraudulento de las monedas electrnicas. <demDs3 'Cas0 no proporcionaba el anonimato para el vendedor 1ue recib=a el pago3 "a 1ue #ste deb=a identificarse ante la entidad financiera para 0acer efectivo el cobro3 con el fin de 1ue la entidad financiera pudiera incrementar el saldo de su cuenta. 22 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Por otra parte3 este sistema presentaba otro problema 1ue limitaba de forma importante su escalabilidad- el tamaAo de la base de datos en 1ue se deb=an registrar los n@meros de serie de todas las monedas electrnicas "a utilizadas. <demDs3 se trataba de un sistema centralizado 1ue re1uer=a de una cone5in on- line de la tienda con la entidad financiera asociada para poder validar cada operacin. 3.1. :illicent -illicent era un sistema desarrollado por la empresa +igital en 1::! B0o" integrada en IP3 tras ser ad1uirida inicialmente por Compa1C para realizar micropagos en transacciones dentro de Internet.
Figura 1. -illicent 'ste sistema empleaba una especie de cupn electrnico3 denominado .scrip/3 1ue representaba un valor prepagado " era vDlido solamente para un vendedor espec=fico. 'l .scrip/ era emitido por intermediarios3 1ue simplificaban la interaccin entre los compradores " los vendedores. Para poder realizar transacciones3 los usuarios deb=an comprar .scrip/ a un intermediario. 'l .scrip/ gen#rico del intermediario pod=a cambiarse por .scrip/ vDlido @nicamente para realizar compras a un determinado vendedor. 'l .scrip/ sobrante de una transaccin se pod=a cambiar a trav#s de un intermediario por .scrip/ vDlido para otro vendedor. Kna importante ventaja de este sistema era su facilidad de uso3 "a 1ue las compras se pod=an confirmar con un simple clic de ratn desde el propio navegador. Para ello3 era necesario instalar el programa monedero de Millicent3 1ue se integraba en el navegador utilizado en el e1uipo del usuario. 23 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
'l sistema permit=a a sus usuarios realizar multitud de compras en Internet de pe1ueAos importes3 sin 1ue #stos tuvieran 1ue molestarse por los detalles de cada operacin- bastaba con un simple clic de ratn para confirmar cada operacin3 si se pose=a de suficiente .scrip/ en su monedero para la tienda en la 1ue se estaban ad1uiriendo los productos. Por su parte3 los vendedores 1ue participaban en este sistema pod=an realizar transacciones con unos costes mu" inferiores a los pagos con tarjeta de cr#dito. *e trataba3 ademDs3 de un sistema de pagos totalmente descentralizado3 cu"a operatividad descansaba en el papel de los intermediarios " no en un servidor central responsable de la autorizacin de cada una de las operaciones. ?os intermediarios se encargaban de comprar .scrip/ a los comerciantes " revenderlo posteriormente a un precio superior a los clientes3 obteniendo sus ingresos de este margen de intermediacin. 'l papel de estos intermediarios resultaba fundamental para evitar 1ue cada comprador tuviera 1ue mantener una cuenta espec=fica con cada uno de sus clientes. <demDs3 se encargaban de cargar el importe del .scrip/ 1ue 0ab=a sido comprado por cada cliente en la cuenta o tarjeta de cr#dito facilitada por #ste. +e este modo3 los intermediarios actuaban de puente entre el sistema de micropagos de Millicent " el sistema financiero tradicional. Para reducir los costes de las transacciones3 Millicent empleaba t#cnicas criptogrDficas d#biles3 mDs eficientes desde el punto de vista computacional. +ado 1ue estaba pensado para realizar transacciones de un importe mu" pe1ueAo BmicropagosC3 la seguridad no era un factor tan cr=tico como en otros sistemas3 por lo 1ue se consider adecuado emplear t#cnicas criptogrDficas suficientemente robustas como para 0acer 1ue el coste de romper la seguridad de una transaccin resultase mu" superior al importe de la transaccin en s=. Por otra parte3 en este sistema tampoco se emit=an recibos ni justificantes de las transacciones "a 1ue3 debido al reducido importe de #stas3 el riesgo de operaciones fraudulentas pod=a ser mu" bajo. 3.1.% !Pagado 'l sistema .epagado.com/ era un sistema de pago desarrollado en 'spaAa por la entidad financiera e9an2inter3 1ue permit=a ,incular una cuenta corriente bancaria 4 una direccin de correo electrnico. Para ello3 el usuario de este medio de pago electrnico ten=a 1ue vincular la cuenta .epagado.com/ a una cuenta corriente de cual1uier entidad desde la 1ue se transferir=an el importe para los pagos. 'ste sistema evitaba de este modo 1ue el cliente en una operacin de compra tuviera 1ue proporcionar datos sensibles como el n@mero de cuenta o la tarjeta de cr#dito3 con lo 1ue se elevaba la seguridad de la transaccin. ?a confirmacin de la operacin se realizaba a trav#s del correo electrnico registrado previamente por el usuario del sistema. *eg@n el propio e9an2inter3 este sistema ofrec=a a los comercios una importante ventaja frente a las tarjetas de cr#dito o las cuentas corrientes3 "a 1ue no e5ist=a posibilidad de repudio de la operacin3 puesto 1ue el cobro se produc=a al instante3 evitando el fraude.
24 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura 1.. !onfirmacin de una compra con epagado
Figura 15. Funcionamiento de epagado.com 3.2 'istemas basados en tarjetas "re"ago ?os sistemas de pago basados en tarjetas prepago presentan las siguientes ventajas- <nonimato- no se facilitan datos personales. *eguridad- no se utilizan cuentas corrientes ni tarjetas de cr#dito. Comodidad " facilidad de uso. ,educcin del riesgo de impagados o fraudes para el comercio en Internet. 'n ma"o ;;$ se lanzaba -orsopa43 un sistema basado en una tarjeta prepago3 creado espec=ficamente para las compras en Internet " orientada al pago de contenidos. 'l cliente de este servicio pod=a ad:uirir la tarjeta por un importe de !3 de 1; de ; O en uno de los puntos de venta autorizados de Morsopa"- mDs de 7.;;; en toda 'spaAa3 entre gasolineras3 estancos3 etc#tera. 25 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
<l acceder al Mebsite 1ue ofrec=a los contenidos Bnoticias3 juegos3 pDginas con contenidos para adultos3 informes t#cnicos3 cursosPC3 el usuario deb=a introducir una de las claves contenidas en la tarjeta. 'n ese momento el sistema Morsopa" se encargaba de validar el servicio3 indicando cuDl es el saldo remanente a su favor " notificando la aceptacin de la operacin al Mebsite 1ue proporcionaba los contenidos. 'l sistema Morsopa" finalmente no tuvo el #5ito esperado3 " posteriormente le siguieron otros sistemas con un es1uema de funcionamiento similar. <s=3 en octubre de ;;! se anunciaba el lanzamiento en 'spaAa del sistema de pago B7as/3 tambi#n basado en una tarjeta prepago Bdenominada .cupn K2as0/C3 1ue todav=a sigue activo en la actualidad.
Figura 19. Ukash (www.ukash.com) Jtro ejemplo de sistema prepago ser=a el de 1a4Safe!ard-
Figura 1<. 1aySafeCard (www.paysafecard.com) 3.3 ;lternati+as "ara los micro"agos 'n estos @ltimos aAos se 0an propuesto otros sistemas para la gestin de los micropagos en )nternet "3 en especial para la venta de contenidos como art=culos 26 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
de peridicos " revistas o cap=tulos de libros3 entre los 1ue podr=amos citar 9itPass3 Pa"*tone3 6irstgate3 >pass o PepperCoin3 entre otros.
Figura 1=. Clternati,as para los micropagos en )nternet %odos estos sistemas permit=an agrupar 4 tratar de forma conjunta los importes de ,arias microtransacciones para reducir los costes de las comisiones " de la tramitacin de los pagos. <s=3 por ejemplo3 en el caso de Dpass3 el usuario deb=a abrir una cuenta en este sistema3 facilitando su nombre3 direccin de correo electrnico " tarjeta de cr#dito. 'n un Hebsite en el 1ue los contenidos se encontraban protegidos mediante este sistema3 el usuario pod=a ad1uirir " descargarse el contenido 1ue le interesaba 0aciendo clic en el icono de >pass e introduciendo su n@mero de identificacin " contraseAa. 'n ese mismo momento el sistema >pass realizaba una anotacin de cargo en su cuenta " una anotacin de abono en la cuenta del proveedor del contenido. <l final de cada mes3 el sistema >pass proced=a a realizar un cargo contra la tarjeta del usuario por el importe total de las compras realizadas3 as= como un ingreso en la cuenta del propietario de los contenidos por el importe total de las ventas. 'ste sistema lleg a ser utilizado en peridicos digitales como el New York Times o el #all Street $ournal. MDs recientemente se 0an propuesto otro medios de pago para gestionar microtransacciones en 'uropa3 como Cllopass-
Figura 1?. Cllopass $/ttp%EEFFF.allopass.comE+ 3.4 PayPal 1a41al Bwww.paypal.comC es un medio de pago electrnico 1ue 0a ad1uirido una gran popularidad en Internet en estos @ltimos aAos3 sobre todo para dar cobertura 27 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
a las transacciones realizadas entre particulares en Mebsites de subastas como e9a".
Pa"Pal es una compaA=a fundada en Palo <lto3 California3 en octubre de 1::: por los jvenes 'lon Mus2 " Peter %0iel3 1ue ten=an respectivamente $; " $4 aAos en ese momento. 'l funcionamiento de este sistema es simple " eficaz- Cada usuario abre una especie de cuenta corriente en Pa"Pal3 deposita all= una determinada cantidad de dinero Bmediante una tarjeta de cr#dito o un c0e1ueC. ?uego lo puede utilizar para llevar a cabo transacciones3 pagos a .colegas/ Bde a0= el nombre del sistemaC u empresas3 o bien para participar en subastas on-line como las desarrolladas en e9a". *e trata3 por lo tanto3 de un medio de pago mu" @til para las transacciones entre particulares3 "a 1ue elimina la inseguridad e incertidumbre 1ue supone aceptar pagos como c0e1ues personales o tarjetas de cr#dito. Pa"Pal act@a de intermediario financiero en este caso3 garantizando 1ue e5iste dinero disponible en la cuenta del comprador. < cambio de dar fe de ello3 se 1ueda con una pe1ueAa comisin3 generalmente inferior a la 1ue suelen aplicar para estas transacciones las tarjetas de cr#dito. ?os fundadores comenzaron su pro"ecto con 4 usuarios e5perimentales "3 debido a su espectacular crecimiento3 a $1 de diciembre de ;;1 contaban "a con 13) millones de usuarios Bla mitad eran usuarios activosC3 alcanzando una facturacin de 1;43) millones. <tra=dos por su #5ito3 en marzo de ;;1 varias entidades financieras3 entre las 1ue se encontraba el banco espaAol e9an2inter3 pasaron a formar parte del accionariado de Pa"Pal al afrontar una ampliacin de capital de :; millones de dlares. ?a compaA=a sali a 9olsa en febrero de ;;3 alcanzando una valoracin de 1.;; millones de dlares. Posteriormente3 en julio de ;; la empresa e9a" ad1uiri Pa"Pal mediante una operacin de canje de acciones3 por un importe total de 1.!;; millones de dlares. 'n octubre de ;;! el sistema Pa"Pal contaba "a con mDs de &) millones de cuentas activas3 pertenecientes a usuarios registrados de !7 pa=ses de todo el mundo. Pa"Pal cerr el aAo ;;! con un volumen total de transacciones por valor de &.;;; millones de dlares3 sobrepasando los 1.;;; millones de beneficios. +ebido a su gran #5ito3 numerosas empresas de la talla de +ell Bel ma"or vendedor de ordenadores PC del mundoC 0an incorporado este sistema de pago en sus tiendas de Internet. +e 0ec0o3 en febrero de ;;7 este sistema consegu=a sobrepasar "a la cifra de mDs de 1;; millones de usuarios3 con un ritmo de crecimiento de 1;;.;;; nuevos usuarios cada mes. 'n noviembre de ;1; alcanzaba la cifra de mDs de ; millones de usuarios en todo el mundo.
2 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura 1@. 1a41al 'ntre las principales ventajas de Pa"Pal podemos destacar su alcance internacional3 las reducidas comisiones aplicadas3 as= como el avanzado sistema de gestin de fraude " de resolucin de disputas 1ue ofrecen a sus usuarios. 3.5 7aceboo3 0redits <nte el espectacular crecimiento de las iniciativas de comercializacin de productos " servicios al consumidor final dentro de 6aceboo23 esta red social 0a puesto en marc0a su propia moneda virtual3 denominada Faceboo7 !redits B.Cr#ditos de 6aceboo2/C3 1ue se puede ad1uirir a partir de dinero convencional " 1ue se puede utilizar para realizar la compra de muc0os de los productos " servicios 1ue se pueden encontrar en esta red social "3 en especial3 los juegos " productos virtuales3 de los 1ue se 0ablarD a continuacin. 2% MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura *.Faceboo7 !redits% la moneda ,irtual para el comercio dentro de Faceboo7 4 El telfono mvil como instrumento de pago 4.1 ;ntecedentes +esde principios del siglo NNI3 gracias al desarrollo de las comunicaciones " los servicios inalDmbricos3 0an cobrado especial importancia las plataformas de gestin de pagos a trav#s del tel#fono mvil3 utilizando para ello una cuenta asociada a un n@mero de abonado. Con estos sistemas se pretende 1ue el telfono m,il funcione como un monedero ,irtual para el pago de productos 4 ser,icios3 facilitando las compras en tiendas de Internet3 en mD1uinas e5pendedoras3 en ta5is3 en restaurantes3 en gasolineras3 etc. +ebemos tener en cuenta3 ademDs3 1ue "a e5isten tel#fonos mviles 1ue incorporan distintas t#cnicas biom#tricas para reforzar la seguridad en operaciones como las descritas- lectores de 0uellas dactilares o sistemas de reconocimiento de patrones faciales a partir de la cDmara digital integrada3 1ue permitan combinar la biometr=a con la utilizacin de una clave de identificacin personal Bsistema de identificacin basado en dos factoresC. < finales del aAo ;;; se presentaron varias de estas plataformas en 'spaAa- !ai>am,il3 desarrollado por ?a Cai5a " restringido slo para sus clientes " para la realizacin de pagos en Internet. 1a4bo>3 del +eutsc0e 9an23 1ue permit=a operar con cual1uier entidad bancaria instalada en 'spaAa3 previo abono de una cuota anual de ! O. *e cobraba ademDs una comisin por cada transaccin realizada.
3& MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura 1. 1a4bo> -o,ilpago3 de %elefnica Mviles " el 99V<. 'n este sistema las operaciones invert=an un tiempo de 1; segundos en ser aceptadas3 tras marcar el n@mero de abonado " un cdigo personal. <demDs3 Movilpago pretend=a ser aceptado como medio de pago en mD1uinas e5pendedoras3 en la compra por catDlogo3 as= como en los sistemas de pago por visin de pel=culas " programas. 1agomo,il3 plataforma similar a la anterior desarrollada por Vodafone3 el 9*CI " el sistema de pagos 49. -obipa4% < finales de ma"o de ;;1 las plataformas Movilpago " Pagomovil acordaron su integracin en una sola3 dando lugar al nacimiento de Mobipa"3 1ue permit=a activar distintos medios de pago Btarjetas bancarias f=sicas o virtuales3 de cr#dito3 d#bito o de prepagoC desde un terminal de telefon=a mvil3 para realizar una gran variedad de pagos " operaciones- desde las realizadas en tiendas f=sicas3 pasando por el pago en ta5is " otros servicios de transporte Bcomo los autobuses urbanos3 sistema "a implantado en algunas ciudades como MDlagaC3 compra en mD1uinas e5pendedoras de bebidas o tabaco3 compra de entradas de espectDculos3 pago de facturas de servicios como la luz o el agua3 pago de par1u=metros Ben ciudades nrdicas como 'stocolmoC3 servicios .pay per view/3 pedidos encargados a establecimientos de comida rDpida3 otros servicios a domicilio3 etc. 'l sistema Mobipa" finalmente dej de estar operativo en ;;:.
31 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura . -obipa4 como medio de pago, utili3ado en este caso para pagar el tic7et en un par:u8metro Por otra parte3 en octubre de ;;3 la compaA=a de telecomunicaciones japonesa 4%% +oCoMo comenz las pruebas de un nuevo servicio de pago electrnico con tel#fono mvil3 bautizado como F&-C B.?ibertad de <cceso Mvil Multimedia/C3 1ue permit=a agilizar las compras gracias a la tecnolog=a inalDmbrica. Para ello3 los tel#fonos mviles incorporaban un chip emisor especial " los propietarios de estos tel#fonos deb=an tener una cuenta bancaria Bu otro medio de pago3 como una tarjeta de cr#ditoC asociada a dic0o chip. Cuando el usuario del tel#fono mvil 1uer=a ad1uirir un producto en una de las tiendas 1ue soportaban este sistema de pago3 tan slo ten=an 1ue pasar el tel#fono cerca de los dispositivos lectores "3 si se confirmaba la operacin3 el importe del producto se cargaba en su cuenta. < nivel europeo se anunciaba en ;;$ el lanzamiento de una nueva plataforma denominada S)-1CG3 fruto de la colaboracin de cuatro de los ma"ores operadores de telefon=a mvil de 'uropa en a1uel momento- Movistar3 Vodafone3 Jrange " %-Mobil. 'sta plataforma se daba a conocer en 'spaAa en febrero de ;;!3 siendo compatible con el sistema Mobipa". *in embargo3 poco despu#s sus socios decid=an .aparcar temporalmente/ este pro"ecto3 a la espera de una situacin mDs propicia en los mercados.
Figura .. Simpa4 *in embargo3 tras el lanzamiento de estos primeros sistemas la utilizacin del tel#fono mvil como medio de pago no alcanz el #5ito 1ue se preve=a. 'n muc0os pa=ses la e5istencia de varios sistemas incompatibles entre s=3 lanzados por 32 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
distintos operadores " entidades financieras3 e5plica en parte la escasa aceptacin de estos sistemas. 4.2 Tecnolog<as y "lataformas actuales de "ago a tra+s de smartphones 'n la actualidad e5isten en el mundo unas .;;; millones de tarjetas de d#bito(cr#dito frente a mDs de 7.;;; millones de tel#fonos mviles3 muc0os de los cuales son smartphones. 'ste 0ec0o3 unido al espectacular aumento de las cone5iones inalDmbricas a Internet " de los servicios de comercio electrnico mvil3 0ace 1ue las nuevas formas de pago con el tel#fono mvil est#n suscitando un renovado inter#s3 sobre todo desde la aparicin " progresiva implantacin de la tecnolog=a 46C " de los sistemas 1ue la utilizan para procesar pagos de forma segura " sencilla. 'n el aAo ;;$ se presentaba la tecnolog=a 'F! $Near Field Communication+, 1ue permite 1ue el tel#fono mvil pueda interactuar con puntos de venta " mD1uinas e5pendedoras para realizar transacciones locales. 46C es una tecnolog=a inalDmbrica 1ue opera en la banda de los 1$.!7 MIz " permite comunicaciones de mu" corto alcance B0asta unos ; cent=metrosC3 con una tasa de transferencia mD5ima de 44 Qbps.
Figura 5. Cplicaciones de la tecnolog8a 'F! $Fuente% 'F! Forum+ ?a tecnolog=a 46C estD siendo implantada en un n@mero cada vez ma"or de terminales smartphones de @ltima generacin3 como los *amsung Gala5"3 los *on" Nperia o los ?G Jptimus. *in embargo3 no 0a sido incluida en la @ltima versin del smartp0one estrella de <pple3 el iP0one!3 decisin 1ue 0a generado una cierta pol#mica entre los analistas " usuarios. 33 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
+esde el aAo ;11 0emos asistido al lanzamiento de varias iniciativas novedosas relacionadas con los sistemas de pago mviles " la tecnolog=a 46C. <s=3 por ejemplo3 Google presentaba el sistema de pago Hoogle Iallet Bgoogle.com(HalletC en ma"o de ;113 en colaboracin con MasterCard " con varios cientos de comercios de las ciudades de Portland3 *an 6rancisco " 4ueva Ror2.
Figura 9. Hoogle Iallet como medio de pago para telfonos 4 puntos de ,enta e:uipados con 'F! S:uare Bs1uareup.comC es otro popular servicio 1ue permite realizar pagos con tarjeta a trav#s de cual1uier mvil o tableta electrnica. Para ello utiliza un dispositivo lector de tarjetas de cr#dito 1ue se puede conectar al dispositivo mvil3 aun1ue #ste no disponga de la tecnolog=a 46C. +esde su lanzamiento a finales de ;1;3 esta empresa fundada por Sac2 +orse" Buno de los desarrolladores de la popular red social %HitterC 0a e5perimentado un fuerte crecimiento tanto en n@mero de usuarios como en transacciones. <s=3 en abril de ;1 "a alcanzaba la cifra de millones de usuarios3 con un volumen anualizado de 7.;;; millones de dlares en transacciones desde tel#fonos mviles.
34 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura <. Lector de tarjetas de crdito del sistema S:uare, :ue se conecta a un m,il o tableta electrnica Kna de las @ltimas novedades del sistema *1uare es el lanzamiento de la aplicacin S:uare Jegister3 1ue permite convertir a cual1uier iPad en una avanzada caja registradora3 con diversas opciones de configuracin " una fDcil integracin con el servicio de pagos de *1uare. 35 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura =. S:uare Jegister, aplicacin para con,ertir a un i1ad en una caja registradora
Figura ?. ",olucin de los pagos procesados por S:uare $Fuente% Business )nsider+ Pa"Pal3 el actual l=der mundial de los pagos electrnicos3 tambi#n se 0a lanzado al terreno de los pagos desde tel#fonos mviles mediante su sistema 1a41al Kere Bpa"pal.com(Hebapps(mpp(credit-card-readerC. Pa"Pal Iere ofrece soporte para mDs tipos de tarjetas 1ue *1uare3 la integracin con los millones de usuarios de Pa"Pal3 comisiones ligeramente inferiores3 disponibilidad instantDnea de los 36 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
fondos " posibilidad de cobrar c0e1ues simplemente sacDndoles una foto con el mismo dispositivo mvil.
Figura @. Sistema 1a41al Kere de la compa#8a 1a41al para pagar con tarjeta de crdito desde el m,il
Pa"Pal tambi#n present a principios de ;1 el novedoso sistema Fas/ion IindoF3 1ue permite comprar desde el tel#fono mvil en tiendas f=sicas3 incluso cuando #stas se encuentran cerradas3 consultando el catDlogo de la tienda " comprando un art=culo desde el propio escaparate. Para ello la tienda f=sica tiene 1ue pegar en su escaparate una fina pel=cula fabricada por $M 1ue convierte cual1uier cristal en una pantalla 0ologrDfica e instalar un ordenador " un pro"ector para crear la tienda virtual. 37 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura .*. 1a41al Fas/ion IindoF ?os clientes 1ue pasen por delante del escaparate podrDn interactuar con la pantalla 0ologrDfica desde su smartphone utilizando la aplicacin *creac03 disponible para iJ* " <ndroid. +e este modo3 podrDn consultar informacin adicional sobre el producto "3 si as= lo desean3 ad1uirirlo " realizar el pago a trav#s de Pa"Pal.
Figura .1. Cplicacin Screac/ para utili3ar el sistema de 1a41al Fas/ion IindoF 'ste sistema de Pa"Pal viene a 0acer realidad el sistema de compra interactiva Window Shopping con los escaparates de las tiendas f=sicas.
3 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Figura .. IindoF S/opping %odos los analistas coinciden en seAalar 1ue de cara al futuro estos nuevos sistemas de pago basados en plataformas mviles " la tecnolog=a 46C podrDn e5perimentar un gran crecimiento. Para facilitar su e5pansin3 algunas entidades financieras como 9arcla"s lanzaron soluciones tecnolgicas para paliar la falta de mviles e1uipados con 46C. Para ello3 bastar=a con colocar en la parte posterior del tel#fono mvil una pegatina 46C denominada 1a4(ag B0ttp-((HHH.barcla"card.co.u2(personal(pa"tagC.
Figura ... "ti:ueta ad/esi,a 'F! 1a4(ag de Barcla4s, para dotar a un telfono m,il de la funcionalidad de pago mediante 'F! 3% MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
4& MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
5 Anexo: El problema del phishing en internet 5.1 =u es el phishing ?os fraudes " estafas financieras a trav#s de Internet se 0an 0ec0o mu" frecuentes en estos @ltimos aAos3 gracias a la creciente popularizacin de servicios como la banca electrnica o el comercio basado en Internet. +e 0ec0o3 se 0a acuAado el t#rmino .phishing/ Btambi#n conocido como .carding/ o .brand spoofing/C para referirse al tipo de ata1ues 1ue tratan de obtener los n;meros de cuenta 4 las cla,es de acceso a determinados servicios de Internet "3 en especial a los servicios de banca electrnica3 para realizar con ellos operaciones fraudulentas 1ue perjudi1uen a los leg=timos propietarios de dic0as cuentas. Para ello3 generalmente se utilizan pDginas Heb falsas 1ue imitan a las originales de los servicios bancarios 1ue pretenden suplantar. +e 0ec0o3 la proliferacin de los casos de .phishing/ en estos @ltimos aAos forman parte de una nueva generacin de ata1ues 1ue en lugar de destruir los datos o blo1uear el acceso a los e1uipos informDticos pretenden justo lo contrario- recopilar datos valiosos sobre los usuarios " tomar el control de sus e1uipos para poder llevar a cabo operaciones fraudulentas " estafas electrnicas.
'l t#rmino .phishing/ fue acuAado a mediados de los aAos noventa por los crackers 1ue intentaban robar las cuentas de los clientes del proveedor de acceso a Internet <merica Jnline B<J?C. 'n este caso3 el timador se presentaba como empleado de esta empresa " enviaba un mensaje de correo a una posible v=ctima3 solicitando 1ue revelara su contraseAa para verificar el estado de su cuenta o confirmar la facturacin. Kna vez 1ue la v=ctima entregaba las claves3 el atacante podr=a tener acceso a la cuenta de #sta " utilizarla para sus propsitos il=citos. 'n estos @ltimos aAos los casos de .phishing/ se 0ab=an e5tendido cada vez mDs3 afectando a numerosas tiendas " entidades financieras del mundo. *e puede obtener una relacin completa " actualizada de los casos de .phishing/ en direcciones de Internet como 0ttp-((HHH.fraudHatc0international.com( o 0ttp-((HHH.antip0is0ing.org(. 'n los intentos de fraude a clientes de entidades financieras3 el modus operandi consisten en el env=o de un correo electrnico falso3 1ue simula proceder del banco en cuestin3 solicitando datos personales de la v=ctima " sus claves de acceso a la entidad. 'n este tipo de mensajes se trata de redirigir a la v=ctima a una pDgina Heb con la apariencia del banco Bmismo diseAo " logosC pero 1ue resulta ser falsa3 para poder capturar sus claves de acceso. Por otra parte3 el .pharming/ es una variante del .phishing/ en la 1ue los atacantes utilizan un ,irus o tro4ano 1ue es capaz de conectar a las v=ctimas desde su ordenador a pDginas falsas en lugar de a las leg=timas correspondientes a sus propias entidades financieras3 para sustraer sus datos3 en especial sus n@meros de cuenta " las claves de acceso " de operacin. <demDs3 el .pharming/ " el .phishing/ tambi#n pueden ser empleados para robar " utilizar de forma fraudulenta n@meros de tarjetas de cr#dito.
41 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
'ntre los primeros virus " tro"anos en e5plotar esta nueva forma de estafa electrnica podemos citar al conocido como .%roj(9an2<s0-</3 1ue en el mes de marzo de ;;! tuvo una importante incidencia en el ,eino Knido. 'stos tro"anos especializados en el robo de datos " contraseAas bancarias 0an e5perimentado una rDpida evolucin en estos @ltimos aAos3 para tratar de superar las medidas de seguridad implantadas por las entidades financieras. <s=3 por ejemplo3 en abril de ;;& se daba a conocer un tro"ano denominado .9anbra.+CR/3 1ue era capaz de realizar capturas de la pantalla del ordenador infectado para poder visualizar los caracteres 1ue el usuario estaba pulsando en un teclado virtual manejado a trav#s del puntero del ratn Bmedida implantada por algunas entidades financieras para evitar 1ue los tradicionales .keyloggers/ pudieran robar la informacin 1ue se introduc=a a trav#s del teclado del ordenadorC. Jtro problema a tener en cuenta es la aparicin de virus " otros programas daAinos desarrollados para realizar las e5torsiones " estafas a usuarios de Internet. 's lo 1ue se conoce como el .ransom-ware/3 softHare malicioso cu"o fin es el lucro de su creador por medio de rescates. <s=3 podr=amos mencionar casos como el del tro"ano .PGPCoder/3 de ma"o de ;;!3 1ue cifraba los arc0ivos de e5tensiones .5ls3 .doc3 .t5t3 .rtf3 .zip3 .rar3 .dbf3 .0tm3 .0tml3 .jpg3 .db3 .db13 .db3 .asc " .pgp en el sistema infectado3 dejando a continuacin un mensaje solicitando dinero a los usuarios perjudicados si 1uer=an volver a restaurar sus fic0eros Bmediante el env=o de una clave para descifrarlosC. +el mismo modo3 en abril de ;1; se daba a conocer el caso de un tro"ano japon#s 1ue c0antajeaba a sus v=ctimas amenazDndolas con publicar su 0istorial de navegacin3 e5igiendo un pago de 1.!;; "enes para eliminar los datos privados. 'n febrero de ;;7 un estudio realizado por la empresa de seguridad *op0os revelaba 1ue 0asta un !)L de los usuarios de Internet recib=an al menos un mensaje de .phishing/ en su correo electrnico cada d=a. 'n abril de ;;7 el diario britDnico The Times informaba 1ue determinadas bandas organizadas de .ladrones de datos/ estaban vendiendo en Internet los n@meros de las tarjetas de cr#dito " otros datos de carDcter personal de miles de ciudadanos britDnicos. ?a situacin se vio agravada desde finales de ;;! con la aparicin de .phishing kits/3 constituidos por un conjunto de 0erramientas " documentacin para 1ue personas con escasos conocimientos t#cnicos puedan llevar a cabo ata1ues de .phishing/. 'stos 2its facilitan la construccin de pDginas Heb falsas partiendo de varias plantillas de formularios3 inclu"endo ademDs instrucciones detalladas sobre cmo modificar estas plantillas " cmo recibir la informacin sustra=da a las v=ctimas del engaAo. Kno de los .phishing kits/ mDs populares era el conocido como .%ock &hish 'it/3 1ue incorporaba plantillas de formularios para algunas de las mDs conocidas direcciones de banca " comercio electrnico3 como 9arcla"s3 Citiban23 +eutsc0e 9an23 e9a" " Ialifa5. <demDs3 dentro de este 2it se inclu=an scripts en lenguaje PIP para facilitar la captura de los datos de las v=ctimas3 as= como cdigo en Sava*cript 1ue permit=a modificar las barras del navegador e impedir3 por ejemplo3 la posibilidad de copiar " pegar mediante teclado. 'n enero de ;;& se daba a conocer la e5istencia de otro .phishing kits/ denominado .Kniversal Man-in-t0e-Middle P0is0ing Qit/. 42 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
Por otra parte3 en ma"o de ;;7 una empresa de seguridad de *an 6rancisco detect 1ue un grupo de .phishers/ estaba utilizando la telefon=a IP para crear contestadores automDticos 1ue supuestamente pertenec=an a bancos o a otras entidades financieras. +e este modo3 los estafadores proced=an a enviar mensajes de correo electrnico falsos a sus v=ctimas3 advirtiendo de un problema detectado con la cuenta del usuario " solicitando 1ue #ste se pusiera en contacto con un n@mero de tel#fono IP de su banco. *i el usuario acced=a a esta peticin " marcaba el n@mero falso3 se le solicitaban datos confidenciales como su nombre3 n@mero de cuenta " clave personal3 1ue 1uedaban registrados " eran utilizados posteriormente por esta banda de .phishers/ para realizar operaciones fraudulentas. Para terminar de convencer a sus v=ctimas3 estos estafadores recurr=an a grabaciones prDcticamente id#nticas a las de los contestadores de las instituciones financieras reales. 'stos nuevos casos de .phishing/ a trav#s de los servicios voz IP 0an afectado a usuarios de *2"pe en todo el mundo3 " se conocen con el nombre de .vishing/. < lo largo del aAo ;;7 tambi#n se daba a conocer otro tipo de .phishing/ conocido como .SmiShing/3 basado en mensajes de te5to *M* " dirigido a usuarios de tel#fonos mviles. ?os casos de .phishing/ tambi#n 0an afectado a entidades como la <gencia %ributaria en 'spaAa. +e 0ec0o3 en enero de ;;& se daba a conocer el env=o masivo de un correo falso informando a sus v=ctimas de una supuesta devolucin fiscal3 con el fin de obtener el n@mero de tarjeta de cr#dito de algunos contribu"entes. 'ste tipo de env=os de mensajes de correo supuestamente en nombre de la <gencia %ributaria se 0an repetido en varias ocasiones en estos @ltimos aAos3 " del mismo modo tambi#n se 0an enviado falsos correos en nombre del Instituto 4acional de 'stad=stica o de la +ireccin General de Polic=a. <s=3 en junio de ;;) un nuevo intento de .phishing/ consist=a en un mensaje falso del Ministerio del Interior de 'spaAa en el 1ue se informaba al receptor de 1ue deb=a enviar una serie de datos personales a un n@mero de fa53 con el fin de poder renovar el documento de identidad " ad1uirir el nuevo +4I electrnico. 'l correo recibido parec=a real3 al emplear los logotipos del Gobierno de 'spaAa " del Cuerpo 4acional de Polic=a "3 sin embargo3 el n@mero de fa5 no se correspond=a al de ninguna entidad p@blica "3 por otra parte3 para poder llevar a cabo este trDmite administrativo es imprescindible ir en persona a una comisar=a de Polic=a. ?os casos de .phishing/ tambi#n 0an afectado a los servicios de redes sociales como M"*pace o 6aceboo2 o de tiendas de m@sica " contenidos como i%unes. +e 0ec0o3 en marzo de ;1; un estudio de la empresa de seguridad informDtica %rend Micro alertaba de la aparicin de una nueva variante de mensaje fraudulento en la famosa red social 6aceboo2- con la promesa de dar a conocer al usuario el nombre de las personas 1ue consultaban su perfil en esta red social3 surgieron una gran variedad de aplicaciones fraudulentas 1ue se instalan en el ordenador particular " permiten al pirata informDtico infectar el ordenador de su v=ctima " utilizarlo para fines fraudulentos3 tratando de contagiar ademDs a todos sus contactos. ?os e5pertos 0an identificado varias copias diferentes de una aplicacin fraudulenta3 conocida como .rogue app/3 " 1ue act@a en 6aceboo2 bajo diversos nombres3 como .peeppeep-pro/3 .profile-c0ec2-online/ o .stal2-m"-profile/. 43 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
5.2 *ecomendaciones de seguridad "ara combatir el .phishing/ Para concluir este apartado sobre el .phishing/ " las estafas en Internet3 presentamos una serie de recomendaciones a tener en cuenta por parte de los usuarios de servicios como la banca electrnica para evitar ser v=ctima de este tipo de engaAos- !omprobacin del !ertificado Digital del ser,idor Feb antes de confiar en su contenido. Para ello3 se debe pulsar en el icono del candado 1ue aparece en la parte inferior derec0a del navegador cuando se accede a una zona segura3 para verificar 1ue la fec0a de caducidad " el dominio del certificado estDn vigentes. Las direcciones de las p6ginas Feb seguras empie3an por /ttps%EE. Por este motivo3 las entidades bancarias " otros servicios sensibles deber=an modificar la configuracin de sus servidores Meb para 1ue por defecto se fuerce a los navegadores a establecer una cone5in segura Bcanal I%%P*C cuando se accede a las pDginas donde se encuentran los formularios de autenticacin de los usuarios. "l usuario deber8a cerrar e>presamente las cone>iones seguras /aciendo clic en la correspondiente opcin /abilitada por la empresa en la p6gina Feb. 4o resulta suficientemente seguro cerrar de forma directa el navegador3 "a 1ue en determinadas situaciones un intruso podr=a tratar de secuestrar una sesin abierta por el usuario " 1ue todav=a conste como tal en el servidor Heb Baun1ue el usuario 0a"a cerrado "a su navegadorC. 'unca se deber8a acceder a un formulario de autenticacin a tra,s de un enlace desde otra p6gina Feb o desde el te>to de un correo electrnico. *e recomienda teclear directamente la direccin de la pDgina en cuestin en una nueva sesin del navegador. Se debe desconfiar de un mensaje de correo recibido en nombre de la entidad financiera con una solicitud para entregar datos personales. 'n caso de recibir un mensaje en este sentido3 el usuario no deberD facilitar dato alguno " se tendr=a 1ue poner en contacto inmediatamente con el servicio de atencin al cliente del banco. 'o se deben establecer cone>iones a este tipo de Febsites desde lugares p;blicos- cibercaf#s3 puntos de acceso a Internet en 0otelesP 'stos e1uipos podr=an estar infectados por programas tro"anos o tener instalado un registrador de pulsaciones del teclado B.keylogger/C. <demDs3 mediante .sniffers/ u otros dispositivos tambi#n se podr=a tratar de capturar los datos enviados por los usuarios. !omprobar :ue la direccin BJL de acceso no inclu4e elementos sospec/osos, como podr8a ser la direccin de otra p6gina Feb. ?a incorporacin de otros elementos en la direccin podr=a ser un indicio de un ata1ue del tipo .!ross-Site Scripting/ BN**C. 'o se deben instalar nue,os programas 4 controles en el na,egador sin antes comprobar su autenticidad. 's decir3 1ue proceden de un Hebsite leg=timo " 0an sido desarrollados por una empresa de confianza. 'n este sentido debemos recordar el importante problema ocasionado por la 44 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
difusin del softHare esp=a B.spyware/C " de los programas tro"anos3 presentes en un importante n@mero de e1uipos conectados a Internet. "l usuario debe responsabili3arse de guardar de forma segura sus datos 4 cla,es de acceso. 'n caso de 1ue terceras personas pudieran tener acceso a estos datos3 el usuario deber=a ponerse en contacto cuanto antes con su entidad financiera para evitar una utilizacin fraudulenta de los mismos. !on,iene tener /abilitada la funcin del na,egador :ue permite ad,ertir del cambio entre el contenido seguro $cone>in SSL+ 4 el no seguro. +e este modo3 el usuario serD advertido si en alg@n momento de la cone5in con el servidor Meb va a enviar datos de forma no segura Bno cifradaC. Las aplicaciones Feb deber8an estar programadas para utili3ar p6ginas de autenticacin independientes. 's decir3 pDginas 1ue se abren en nuevas ventanas del navegador. Btili3ar las nue,as alternati,as propuestas por algunos bancos para e,itar tener :ue teclear las contrase#as. <s=3 por ejemplo3 en el formulario de autenticacin de algunas entidades financieras el usuario tiene 1ue 0acer clic en un teclado virtual 1ue se muestra en pantalla " 1ue cambia la posicin de sus teclas en cada cone5in3 de forma 1ue no se le permite introducir ning@n dato a trav#s del teclado para evitar 1ue un tro"ano o un .keylogger/ pueda registrar sus pulsaciones.
45 MEDIOS DE PAGO ONLINE lvaro Gmez Vieites
6 Bibliografa
GTM'U VI'I%'*3 <.V J%',J 9<,,J*3 C. B;11C- ,edes de Jrdenadores e Internet. 6uncionamiento3 servicios ofrecidos " alternativas de cone5in BW ed.C. ,a-Ma3 Madrid. GTM'U VI'I%'*3 <. B;11C- 'nciclopedia de la *eguridad InformDtica BW ed.C. ,a- Ma3 Madrid.