| Artículos
> Nueva Economía >
Seguridad y propiedad intelectual
© Copyright de este texto SISTEMAS DE PAGO El sueño de un estándar mundial para comprar por la red Las más optimistas previsiones sobre el desarrollo y alcance del comercio electrónico en el mundo pueden venirse abajo si los sistemas de seguridad de las transacciones no se blindan y estandarizan. Bancos, operadores de telefonía y compañías de telecomunicaciones están implicados en esta batalla por afianzar la economía virtual, pero ¿qué pasos se están dando al respecto? ¿Cuándo podremos contar con una seguridad eficaz y fiable? Octubre de 2000. Por un lado, ActivMedia Research afirma en un estudio que las previsiones de crecimiento de ingresos de los sitios web dedicados al comercio electrónico se sitúan entre el 100 y el 150 por ciento anual durante el próximo lustro. Por otro, el gasto de las empresas en mejorar sus sistemas de seguridad se han incrementado un 188 por ciento en los dos últimos años, según asegura la revista online Information Security. El caramelo resulta tan apetecible que nadie puede resistirse a él, aunque lanzarse suponga afrontar unos costes que en muchos casos llegan a anular las ganancias. No importa: el endeudamiento es soportable cuando las expectativas apuntan unos ingresos tan importantes. Pero ¿hasta cuándo podrá mantenerse esta situación? ¿Y cuántos la soportarán? Desde el punto de vista de las compañías que venden en la red la palabra clave es seguridad. En el caso de los consumidores, se habla de confianza. En el punto de encuentro de ambas certezas se encuentra la última tecnología, los desarrollos más novedosos de transacciones online que garantizan la estabilidad de las operaciones y su confidencialidad, y esto es lo que ocupa y preocupa a las entidades financieras, las empresas de software y hardware y los operadores de telefonía, conscientes de que el tren tecnológico está pasando y lo hace a una velocidad inusitada. Uno de los últimos hitos en esta carrera por estabilizar y garantizar el desarrollo del comercio electrónico fue la constitución, el pasado mes de junio, de First Payment Corporation, una compañía dedicada a desarrollar servicios de pago seguros a través de Internet. El accionariado de esta entidad da una idea clara de la importancia de la cuestión y de la inquietud que despierta en los más variados sectores de la economía: el grupo japonés Oki Electric posee un 40 por ciento; la empresa de telecomunicaciones NTT, un 50 (del cual un 30 por ciento corresponde a NTT Data, mientras que NTT Communications y NTT DoCoMo se reparten cada una un 10); Microsoft detenta un 3 por ciento y Fuji Bank, un 2. El resto de las acciones se reparte entre Dainippon Printing, DC Card y JCB. La nueva compañía nace con el cometido de aunar los diferentes esfuerzos tecnológicos que desarrollan cada uno de sus promotores para establecer sistemas de pago seguros y cómodos para el usuario a través del PC, el teléfono móvil o incluso la consola de videojuegos. Pero en un mercado globalizado como el que estamos estrenando, el éxito de las operaciones habrá de pasar por la existencia de estándares compatibles y mundiales. Tarjetas inteligentes "Actualmente estamos trabajando con todas las entidades del mundo para facilitar el paso de la tecnología de la banda magnética a la tecnología chip. Este estándar ayudará a que se use más la tarjeta porque dará mucha seguridad y comodidad al no requerir autorización. Menos autorizaciones pero más seguridad combinadas se traducirá en un mayor uso, menor tiempo de espera, más sencillez, etc.". Son palabras de Esteban Martín, responsable de operaciones de Europay International, entidad que ha liderado en los últimos años diversas iniciativas para la determinación de estándares y que en la actualidad se haya inmersa en la promoción de su protocolo para pagos por Internet. Éste, basado en la tecnología SET (Security Electronic Transactions), se materializa en la emisión de tarjetas inteligentes que almacenan la información sobre la identidad del usuario y la relacionan directamente con la "cartera remota" personal que tiene depositada en su banco, estableciendo para ello las pertinentes barreras de seguridad. "La ventaja consiste en que el cliente se identifica directamente con el banco y puede acceder a través del PC, el móvil, la televisión o el medio que sea, esté donde esté. Da más seguridad y mayor ubicuidad y resulta más cómodo porque los datos se dan una sola vez, no hay que andar rellenando formularios en cada ocasión", explica Esteban Martín. La estrategia de Europay, entidad que gestiona las tarjetas MasterCard, Maestro y Cirrus, se ha centrado en tomar la iniciativa a la hora de establecer esos estándares tecnológicos y de seguridad para los pagos online, y en tratar de aglutinar en torno a ellos al mayor número de entidades de todos los sectores implicados. Para ello, en 1996 constituyó un grupo de trabajo junto con MasterCard International y Visa International conocido como EMV, cuya función fue determinar las especificaciones para la creación de una tarjeta mundial con chip que sirviera como marco para los fabricantes de terminales y de tarjetas con microprocesadores de todo el mundo. La implantación de las primeras tarjetas de crédito y débito basadas en los estándares EMV tuvo lugar en el Reino Unido en 1998. La entidad financiera eslovaca Sporitelna inició la segunda puesta en marcha de este medio de pago a finales de ese mismo año, cuando transformó sus tarjetas de débito Maestro y las terminales a la tecnología que cumple con las especificaciones EMV. Seis meses después, en junio de 1999, una tarjeta británica MasterCard realizó la primera transacción internacional utilizando la tarjeta chip basada en los estándares EMV. A principios de este año EMV presentó las especificaciones que habrán de cumplir las tarjetas inteligentes para desarrollar su función en el ámbito del comercio electrónico (disponibles en www.emvco.com), una serie de requerimientos que aseguran la interoperabilidad en las aplicaciones de crédito y débito entre las tarjetas chip y los terminales, independientemente del medio desde el que se envíen las órdenes. La participación en el proyecto de empresas como Microsoft, IBM, Netscape, Terisa Systems o VeriSign habla del interés que despierta la iniciativa y de la dimensión que puede llegar a adquirir. Medio mundo implicado En un empeño tan ambicioso que afecta a tantos sectores y que conlleva un cambio de tanta envergadura resulta difícil que un solo organismo centralice todas las iniciativas, más aún cuando su identificación con determinadas marcas es evidente. El año pasado 33 compañías crearon Global Platform, cuyo objetivo es reducir las barreras que obstaculizan el crecimiento de las tarjetas inteligentes. Nombres como British Telecom, Nokia, American Express, NTT Corporation, JCB, Microsoft, Sun Microsystems o incluso Visa International se aglutinan, entre otros, en este proyecto, nacido con una filosofía abierta y participativa que invita a todas las empresas y entidades oficiales implicadas en los pagos a beneficiarse de su experiencia y de las especificaciones técnicas que ya han determinado. Por otra parte, muchas de las compañías que integran estos macroconsorcios mundiales trabajan por su cuenta para desarrollar, desde su propio ámbito de actividad, soluciones para convertir en realidades estos compromisos por contar cuanto antes con sistemas seguros. Un buen ejemplo de ello es el ya citado caso de First Payment Corporation, que también basará sus operaciones en el protocolo SET, y que espera contar con un millón de clientes en 2003 y unas ventas superiores a los 1.000 millones de yenes para ese año. El propio Microsoft cuenta desde 1996 con un grupo de trabajo denominado PC/SC (Personal Computer/Smart Card), en asociación con Hewlett-Packard, IBM, Sun Microsystems, Toshiba y Siemens Nixdorf, entre otros, que desarrolla especificaciones para solucionar posibles problemas de interoperabilidad entre el software y los dispositivos informáticos implicados en los pagos. Otro ejemplo: Gemplus, el mayor proveedor mundial de soluciones para pagos electrónicos, acaba de adquirir la compañía Celo Communications, especializada en el campo de la firma digital y la seguridad de las transacciones por Internet. Pruebas sobre el terreno La extensión de las tarjetas inteligentes, tanto para las compras por la red como para el resto de operaciones, ya ha dado sus primeros pasos y, a pesar del convencimiento sobre su idoneidad, ha provocado algunas reacciones imprevistas. El caso más llamativo ha sido el británico, donde la consultora OSI ha estimado el coste de la migración en 300 millones de libras (83.100 millones de pesetas), cantidad que se destinaría a garantizar la adecuación tecnológica de los bancos. El plazo previsto por EMV para completar el proceso en el Reino Unido culmina en octubre de 2001, aunque la empresa de investigación de mercados Frost and Sullivan ha detectado un nuevo inconveniente: "Los bancos están siendo cautelosos en la introducción de la nueva tecnología porque el cambio de infraestructura será largo y costoso. Al final serán los clientes de los bancos quienes soporten el coste de esta transformación con mayores cargas en sus operaciones". Por tanto, una vez alcanzada la seguridad en las transacciones que traerá consigo la nueva tecnología, vuelve a plantearse la necesidad de contar con la confianza de los usuarios, que podrían aceptar la asunción de esos costes desde el convencimiento de los beneficios que les va a reportar. Unos beneficios que ya están comprobando los ciudadanos de Finlandia, país que cuenta con el mayor nivel de uso de Internet per capita del mundo. El pasado mes de diciembre el gobierno ofreció a los finlandeses la posibilidad de contar con una tarjeta inteligente que, además de convertirse en documento de identificación personal, se utilizaría para transacciones electrónicas seguras. Acceso a servicios municipales y bibliotecas públicas, pago de impuestos, envío seguro de correos electrónicos, etc., son algunos de los servicios a los que pueden acceder desde cualquier medio de entrada en la red (PC, televisión, móvil...) y a cualquier hora del día. En el caso de España, Esteban Martín explica que "no hay unos plazos determinados, pero se aplican los generales, que sitúan el fin del proceso en 2005". Por lo que se refiere al coste de la transición al nuevo modelo, tampoco hay cálculos: "Se trata de un proyecto de tal envergadura que es difícil estimar datos. Además, la tarjeta puede ser lo inteligente que queramos: para una tarjeta que haga lo mínimo, que realice pagos, estamos hablando hoy en día de dos dólares, pero las hay de diez. Por tanto hay que multiplicar el coste de 40 millones de tarjetas por el coste de que sean inteligentes y según lo inteligentes que queramos que sean", señala el responsable de Europay International. Todo esto sin olvidar la necesaria inversión en terminales, cajeros e informatización de las oficinas bancarias. Y, por supuesto, el aspecto que más quebraderos de cabeza, gastos y preocupaciones va a provocar en los encargados de lanzar esta tecnología: el cambio de mentalidad que se exige a los consumidores. A este respecto, Esteban Martín muestra sus dudas, basándose en los datos que conoce sobre el uso hoy día de las tarjetas de crédito y débito: "En España hay muchas tarjetas, en torno a los 40 millones, lo que cuantitativamente está muy bien, pero la realidad es que se utilizan poco. Capturan apenas un 8 por ciento del gasto, mientras que EEUU, Francia o Inglaterra están bastante más allá del 20 por ciento". Otra cuestión relacionada es la frecuencia de uso de las tarjetas, que en España se cifra "en 33 operaciones al año, mientras que en Francia superan el centenar. Nos queda mucho camino por recorrer, y parte de ese camino va a ser la migración a la tarjeta inteligente", asegura Martín. Una evolución espectacular Las tarjetas inteligentes se van a constituir en las intermediarias entre la tecnología más avanzada y su aplicación a la vida diaria. Pero hasta llegar hasta este punto la evolución ha sido constante y relativamente rápida. Las antecesoras de las tarjetas chip fueron las de banda magnética, que tenían la particularidad de poder grabar datos en una cinta plástica, que luego eran identificados por el dispositivo que las utilizaba. La palabra grabada en la tarjeta era una longitud obtenida mediante permutaciones de una clave secreta bajo la potencia de la clave segura del estándar americano para la codificación de datos. En definitiva, se trataba de una llave que el terminal descodificaba. El siguiente paso fue la creación de un sistema de pago a través de tarjeta que no fuera una simple llave de entrada, sino que permitiera gestionar algún dato entre la propia tarjeta y su lector, es decir, que permitiera manejar datos y dinero virtual entre dos elementos. Estas tarjetas tenían una memoria que puede ser leída y sobrescrita varias veces por el lector, lo que permitía establecer un sistema de control de gastos. El protocolo establece una comunicación al introducirse la tarjeta en el lector a través del cual se reconoce la información de inicio que contiene. Las más avanzadas hasta ahora han sido las tarjetas SIM (Suscriber Identy Modules), utilizadas sobre todo en telefonía móvil. Poseen una clave de seguridad, permiten el control de gastos y establecen esa comunicación e intercambio de datos con la terminal lectora. Algunas aproximaciones en España A pesar de que la implantación en nuestro país de los sistemas de pago con la tarjeta inteligente no cuenta aún con una fecha determinada (se incluye en los plazos generales establecidos para su puesta en marcha en todo el mundo: el año 2005), algunas entidades bancarias se han adelantado proponiendo a sus clientes diversos sistemas para asegurar sus pagos a través de la red. Por ejemplo, el Banco Popular lanzó a principios de año una tarjeta Visa con la particularidad de ser sólo operativa en Internet. Visa Bank online se ofrece de forma gratuita y sin comisiones, y no permite a sus titulares pagar en tiendas o sacar dinero de los cajeros: sólo es válida para hacer pagos en la red. Al mismo tiempo, esta entidad bancaria anuló la posibilidad de que el resto de sus tarjetas Visa fueran usadas en la red, en un intento por garantizar la seguridad de estas operaciones. También con este fin se estableció que la tarjeta estaría siempre vacía, con un límite de crédito de cero pesetas que sólo se activa en el momento de la compra y por su importe exacto. El protocolo SET Secure Electronic Transactions. Con esta rotundidad se autodefine el protocolo que en 1994 empezaron a desarrollar MasterCard, Visa, Microsoft, IBM o Netscape, entre otros. Las características principales de esta especificación técnica, según uno de sus promotores, Europay International, son las siguientes: - Garantiza la confidencialidad: el mensaje enviado sólo puede ser leído por aquel a quien va destinado. En una compra por Internet, los datos de la tarjeta sólo pueden ser leídos por el banco que respalda a la tienda virtual, mientras que los de pedido únicamente son leídos por el mismo comercio. - Garantiza la integridad: el mensaje no puede ser alterado porque el protocolo firma digitalmente la transacción. - Autentifica a las partes: el titular sabe que está tratando con un comercio de confianza, respaldado por una entidad financiera y homologado para la aceptación de pagos con tarjeta por Internet. El comercio sabe que está aceptando una tarjeta respaldada por un banco. - No precisa que el titular teclee su número de tarjeta en cada compra. La "cartera SET" residente en el PC o e teléfono móvil se encarga de enviar al comercio una imagen digital y cifrada de los datos de tarjeta necesarios. Historia de los medios de pago Servicios para Medios de Pago (Sermepa, SA) es una sociedad de soluciones tecnológicas, comunicaciones e I+D en el sector de los medios de pago. Da servicio principalmente a las 154 entidades financieras que dependen de las dos sociedades propietarias de su capital, Visa España y la Sociedad Española de Medios de Pago. En su página web (www.sermepa.es) incluye una historia de los medios de pago que extractamos a continuación. La revolución a la que hemos asistido silenciosamente en los medios de pagos empezó a fraguarse en 1958. Aunque a principios de la década de los cincuenta algunas entidades desarrollaron tarjetas de crédito primitivas, el dinero de plástico no recibió el espaldarazo definitivo hasta 1958, cuando el Bank of America de California lanza su tarjeta BankAmericard en todo el estado y otra entidad norteamericana, el First National Bank de San Jorge, consigue informatizar todos sus procedimientos operativos. A finales de 1959 cerca de 150 bancos estadounidenses ya emitían una tarjeta. Se había dado un paso decisivo y algunas de las más importantes entidades financieras norteamericanas de entonces como Chase Manhattan, Marine Midland Trust de Buffalo o Citizens and Southern de Atlanta se sumaron a esta iniciativa. A pesar del entusiasmo inicial, durante los primeros años de los sesenta el crecimiento fue menor de lo esperado. Los costes eran altos y constantemente aparecían problemas técnicos. Muchos grandes bancos sufrieron percances en el desarrollo de sus tarjetas. La primera vía para atajar estos problemas partió de Bank of America, quien anunció su intención de crear una organización nacional de tarjetas denominada Bank of America Service Corporation (BSC) que permitiría a otros bancos emitir mediante contrato de licencia su tarjeta BankAmericard, hoy conocida mundialmente por sus tres bandas azul, blanca y dorada. La idea tuvo tal éxito que antes de finalizar el año ocho grandes bancos participaron en esta iniciativa. La banca tomó nota inmediatamente y a partir de 1969 ningún banco se plantea emitir tarjetas propias sin estar asociado a BankAmericard u otros programas paralelos. Ese mismo año eran ya 1.207 entidades bancarias norteamericanas las que ofrecían a sus clientes tarjetas de crédito. Los nuevos planteamientos de la industria bancaria propiciaron que el Bank of America decidiese renunciar al control de su propia tarjeta. En julio de 1971 se formó el National BankAmericard Incorporated (NBI) como entidad organizadora de esta tarjeta en Estados Unidos. La organización original (BSC) se mantuvo para administrar la tarjeta de las tradicionales tres bandas fuera de Estados Unidos. En 1972 se decide crear una institución que agrupase a todos los miembros mundiales emisores de la tarjeta BankAmericard,. A estos efectos se constituye Ibanco Ltd., que empieza a ser operativa en 1974. En Estados Unidos se mantuvo, sin embargo, NBI para agrupar a los emisores norteamericanos. En 1977 los miembros deciden realizar nuevos cambios que concluirían con la creación de la marca VISA. NBI se transformó en VISA USA e Ibanco en VISA Internacional. El origen de MasterCard parte de una iniciativa de varios bancos norteamericanos a finales de los años cuarenta mediante un sistema que ofrecían a sus clientes para poder comprar a crédito en determinadas tiendas. En 1951 el Franklin National Bank de Nueva York lanza su primera tarjeta de crédito real. En 1966 se unieron varios bancos y crearon la Interbank Card Association (ICA), sociedad que más tarde se convertiría en MasterCard International. En 1968 comenzó su expansión internacional. Primero con el Banco Nacional de México y un año más tarde aliándose en Europa con Eurocard. El nombre definitivo de MasterCard se implantaría a finales de los años setenta. El Reino Unido fue el país pionero en Europa. En 1966 Barclays Bank empezó a distribuir la tarjeta Barclaycard. Un año más tarde, 85 bancos franceses emitieron la Carte Bleu, sin conexión con ningún sistema extranjero. Esta experiencia no tuvo el éxito previsto, ya que el sistema estaba concebido para tratar automáticamente las facturas en los establecimientos mediante máquinas de lectura óptica que remitían directamente a la cuenta del cliente. Los numerosos errores y elevados costes de las operaciones debilitaron su futuro, que mejoró cuando puso en marcha su red de cajeros. En 1973 Carte Bleu se conecta internacionalmente mediante un acuerdo con BankAmericard. En los años ochenta existían dos Entidades diferentes Eurocheque y Eurocard, que aunque prácticamente pertenecían a los mismos bancos europeos, ofrecían productos distintos. La primera ofrecía cheques garantizados y sistemas de paper clearing, mientras que la segunda se dedicaba a las tarjetas de crédito convencionales. A finales de los años ochenta los miembros integrantes de estas dos organizaciones consideraron que el mercado estaba comenzando a estar maduro. Para evitar duplicaciones y reducir costes fusionaron Eurocheque y Eurocard en 1992, conformando lo que en la actualidad es Europay International. En España, en 1971 el Banco de Bilbao lanza la tarjeta BankAmericard, totalmente desconocida en Europa salvo Inglaterra. Tras un gran esfuerzo promocional se convirtió en una tarjeta de uso masivo. El 16 de marzo de 1979 se crea una institución autónoma, VISA España, en la cual se integran inicialmente 29 entidades financieras al sistema VISA, pero que a final de ese mismo año alcanzarían el número de 56 miembros, todos ellos bancos, cajas de ahorro, cajas rurales y cooperativas de crédito. Artículos > Nueva Economía > Seguridad y propiedad intelectual |