Dossier

Las
medidas
de
seguridad
del
comercio
electrónico
en las
pymes
Eva Isabel Fernández Gómez
Directora del Campus Virtual de la FUSP-CEU.

Cada vez más pymes se deciden, bien de

forma voluntaria o bien obligadas por el
propio mercado, a acometer actividades de
comercio electrónico, lo cual está
condicionando su planteamiento estratégico y
les exige una capacidad de adaptación
tecnológica hasta ahora implanteable.
 LAS MEDIDAS DE SEGURIDAD DEL COMERCIO ELECTRÓNICO EN LAS PYMES
Tal vez algún día se ha planteado trasladar algunas
de las actividades comerciales de su empresa, o
quizá todas, a la Red, para aprovechar las ventajas
que ofrece este nuevo medio para comerciar. A lo
mejor también se ha planteado crear una empresa
de comercio electrónico o puede que alguna de las
empresas con las que realiza actividades comer-
ciales, ya sea como cliente o como proveedor, le
haya ofrecido o exigido el uso de medios electró-
nicos para realizar dichas actividades. Incluso,
desde la perspectiva de consumidor, a lo mejor
algún día se ha dispuesto a adquirir algún producto
o servicio a través de Internet.
En cualquiera de estas situaciones, una vez
conectado a la Red y cuando sólo le quedaba teclear
la orden de envío, tal vez se planteara la siguiente
pregunta: ¿no me estaré arriesgando demasiado si
envío esta información confidencial a través de
la Red?
Esta pregunta la comparte al menos el 85% de las
personas conectadas a Internet, que temen que los
datos de sus tarjetas de crédito o los códigos de
acceso a sus cuentas bancarias puedan ser inter-
ceptados y utilizados para efectuar cargos no desea-
dos, o bien que el sitio en el que realicen su com-
pra sea falso o fraudulento, o bien que el producto
adquirido nunca llegue a su poder. A pesar de ello,
el comercio electrónico mueve ya un cuarto de tri-
llón de dólares.
Introducción
Un número cada vez mayor de pymes se decide a
comerciar a través de la Red, bien creando negocios
electrónicos o bien complementando el negocio ya
existente con actividades que abarcan desde la
simple información de sus productos y servicios
hasta posibilitar a sus clientes la realización de
una transacción comercial completa.
La integración electrónica en los procesos de
negocio, la posibilidad de mejorar la eficacia y
reducir los costes operacionales con procedimien-
tos mejorados, la automatización de los flujos tran-
saccionales, la aplicación tecnológica al márketing
o la necesaria implantación del EDI (intercambio
electrónico de datos) u otros sistemas alternativos
en entornos web han modificado los mercados,
han condicionado las estrategias, han renovado las
tácticas de gestión y han innovado las formas de
negocio.
No obstante, estos proyectos, que obligan a las
pymes a implantar sistemas tecnológicos de gestión
23
Dossier
a consecución
L de una
seguridad
efectiva en las
transacciones
es el principal
obstáculo al que
se enfrentan las
pymes en el
comercio
electrónico
de pagos, de pedidos o de distribución, se enfren-
tan a la existencia de diversas barreras y obstácu-
los, encabezados por la falta de desarrollo tecnoló-
gico, infraestructura y conocimiento, y sobre todo
por la necesidad de garantizar niveles de seguridad
en las transacciones virtuales similares a los alcan-
zados en el comercio tradicional.
Barreras a la implantación del
comercio electrónico en las pymes
Desde el lado de la oferta, aunque se ha extendido
una corriente pesimista con relación a la existencia
de numerosas barreras y obstáculos para que el sec-
tor de las pymes acometa proyectos de este tipo
(coste de la investigación, difícil acceso a los clien-
tes, mayor competencia, falta de experiencia e inci-
piente regulación legal), hay que desterrar falsas pre-
misas y abordar el tema con racionalidad. El
principal obstáculo viene determinado por la falta
de desarrollo tecnológico y la falta de infraestruc-
tura y conocimiento.
En concreto, en el lado de la demanda es donde
nos encontramos con el principal obstáculo: la exi-
gencia por parte de los potenciales usuarios de que
se les garantice un nivel de seguridad en sus tran-
sacciones electrónicas similar al alcanzado en el
comercio tradicional.
En efecto, la consecución de una seguridad efectiva
en las transacciones, tanto del lado del vendedor
como del comprador, es el principal obstáculo al que
 24 HARVARD DEUSTO FINANZAS & CONTABILIDAD
Dossier

se enfrentan las pymes; para su eliminación se requiere
el desarrollo de mecanismos de protección, confianza
y seguridad que garanticen que ambos sean quienes
dicen ser, que los mecanismos de pago sean eficaces
o que simplemente se garantice que el objeto o servi-
cio deseado sea entregado a la persona que realmente
lo ha adquirido, tal como se recoge en el CUADRO 1.
Así, los fundamentos principales sobre los que
deben basarse los sistemas de seguridad en el
comercio electrónico son los siguientes:
• Autenticación: asegurar que las partes invo-
lucradas en la transacción son quienes dicen ser.
• Integridad: asegurar que la información llegue
desde su origen hasta su destino y, además, que
no haya sufrido alteraciones.
• Privacidad: garantía de que la información
sólo puede ser leída o alterada por las personas
legitimadas para ello.
• No repudio: probar que la transacción sucedió
en la fecha y hora en la que se produjo.
• Accesibilidad: impedir el acceso a la informa-
ción a personas no autorizadas.
Si bien en el comercio tradicional todas estas cir-
cunstancias han sido solucionadas mediante ele-
mentos físicos, en el mundo electrónico se han
tenido que desarrollar sistemas virtuales que rea-
licen las mismas funciones que sus homólogos en el
mundo real, tal como se recoge en el CUADRO 2.
Medidas de seguridad
electrónicas
En la medida en que seamos capaces de solucionar
las cuestiones mencionadas en el apartado anterior,
estaremos garantizando la seguridad y fiabilidad de
cualquier transacción de comercio electrónico y, con
ello, el futuro de esta modalidad de negocio.
Las principales herramientas utilizadas para
implementar estos mecanismos de seguridad se
desarrollan a continuación:
Criptografía
De forma sencilla, se entiende por criptografía el
desarrollo de medios de cifrado y descifrado de
información de forma que sólo sea inteligible para
sus destinatarios legítimos.

CUADRO 1

Paradigmas de la seguridad electrónica

Vendedor Comprador

Autenticación Conocer la identidad Confirmar la identidad

del comprador antes de que se del vendedor antes de que se
realice la compra realice la compra

Certificación Probar que el comprador está

capacitado para realizar la compra

Confirmación Posibilidad de probar ante Obtención de un recibo

cualquier persona que que garantice la compra
el comprador autorizó la compra y el pago efectuado
y el pago

No repudio Protección frente al comprador Protección frente al vendedor

de que niegue la compra por incumplimiento de las
efectuada condiciones de la transacción

Pago Seguro frente al comprador Seguro frente a pagos

de que pagará lo acordado no autorizados

Privacidad Interés en no manifestar

su identidad
 LAS MEDIDAS DE SEGURIDAD DEL COMERCIO ELECTRÓNICO EN LAS PYMES 25

Dossier
CUADRO 2

Medidas de seguridad electrónicas

Problema Medida material Concepto electrónico Solución electrónica

¿Quién tiene acceso a…? Tarjeta de identidad. Identidad. Certificados digitales.

¿Cómo puedo garantizar DNI y/o firma. Autenticación. Firma digital.

que soy quien digo ser?

¿Cómo garantizo que sólo Entrega en mano. Confidencialidad. Encriptación.

tienen acceso a la Firma del
información aquéllos a los destinatario a
que he autorizado? la recepción.

¿Cómo puedo asegurarme Sobres y paquetes Integridad. Firmas digitales.

de que la información sellados.
no ha sido manipulada?

¿Cómo me aseguro Notarios, testigos, No repudio. Firmas digitales.

de que no nieguen su certificados, etc.
participación
en la transacción?

La idea de la criptografía tiene miles de años: ya
los generales griegos y romanos enviaban mensa-
jes en clave a los comandantes que estaban en el
campo de batalla1. Estos sistemas primitivos se
basaban en técnicas de sustitución (sustituir una
letra por otra) y transposición (escribir el mensaje
en una tabla y después leerlo por columnas). Siem-
pre se ha considerado, por tanto, una tecnología
militar, pero la mayoría de los sistemas criptográ-
ficos ha sido inventada por civiles. Si bien en sus
inicios se circunscribía a la protección de secretos
religiosos, científicos e industriales, así como a la
organización de contubernios románticos clan-
destinos, actualmente su uso se ha extendido a la
codificación de las transmisiones televisivas vía
satélite o de información financiera enviada a tra-
vés de la Red.
En el sencillo método inicial se encuentran los
componentes fundamentales de un sistema cripto-
gráfico: el algoritmo criptográfico y la clave.
El algoritmo es el medio por el que se modifica
el mensaje original y suele ser una función mate-
mática (en el ejemplo expuesto, el desplazamiento
de letra). La clave es la variable o secuencia de bits
que garantiza un resultado único y distinto cuando
se utiliza el algoritmo (en nuestro caso, el 6).
Un buen algoritmo criptográfico confía la pro-
tección de la información exclusivamente a la
clave. Es decir, aunque conozcamos la mecánica
del algoritmo, seremos incapaces de descifrar un
mensaje. Existen dos tipos de algoritmos: el algo-
ritmo simétrico y el algoritmo de clave pública o
asimétrica.
Algoritmo simétrico
Se caracteriza porque ambas partes conocen la
clave secreta, que es la misma para todos2.
El algoritmo simétrico utiliza, por tanto, la misma
clave para descifrar un mensaje que para cifrarlo. Su
principal beneficio radica en la velocidad y preci-

1 El estudio de la criptografía comenzó con Julio César y el Imperio Romano. César utilizaba un sistema criptográfico sencillo para
comunicarse con sus generales que consistía en desplazar cada letra del mensaje un número determinado de puestos (por ejem-
plo, un desplazamiento de 6 cambiaba la A por la G, la B por H, etc.).
2 El sistema de César es un ejemplo extremo de criptografía simétrica, ya que es evidente que, cuando uno de los generales reci-
bía el mensaje cifrado, utilizaba la misma clave para descifrarlo que el resto de los generales, puesto que era común para todos.
 26 HARVARD DEUSTO FINANZAS & CONTABILIDAD
Dossier

samente esta característica es la que lo hace muy
adecuado para el cifrado masivo de datos. A medida
que la industria del cifrado digital evoluciona, la lon-
gitud de clave demandada por las organizaciones
crece. Por ejemplo, mientras que hace algunos años
las claves de 40 bits eran aceptables, ahora se ha
demostrado que pueden ser rotas en poco tiempo.
Actualmente se utilizan claves en el rango de 80 a
128 bits. Éstas operan con un bloque de longitud fija
de datos (64 bits), usan una clave compartida (56, 64
ó 128 bits) y generalmente envuelven varias vueltas
(8-32) de alguna función simple no lineal.
El CUADRO 3 recoge el funcionamiento de un algo-
ritmo de clave simétrica.
Algoritmo de clave pública o asimétrica
La característica principal de la criptografía de
clave pública es que elimina la necesidad de com-
partir una clave común para el cifrado y desci-
frado de los mensajes. Las claves vienen en pares
de clave pública y clave privada relacionados entre
sí. La parte pública no es secreta y debe estar acce-
sible, disponible y distribuida de manera que no se
comprometa la parte privada, que debe ser guardada
en secreto por su propietario. Normalmente, la
clave pública se utiliza para encriptar y la clave pri-
vada para desencriptar, y la razón por la que sólo la
clave privada asociada a la clave pública es capaz de
desencriptar el mensaje cifrado por la segunda es
que se encuentran relacionadas a través de fórmu-
las matemáticas denominadas hash.
Una función hash se utiliza para comprimir los
datos de una clave en una longitud fija. La longitud
considerada como óptima para garantizar un nivel
adecuado de seguridad frente a los “ataques de
fuerza bruta”3 está entre 128 y 256 bits.
Muchos sistemas emplean una combinación de
algoritmos de clave simétrica y asimétrica, de forma
que los algoritmos de clave pública se utilizan para
el intercambio de claves de sesión y autenticación
del hash de la información, mientras que los algo-
ritmos de clave simétrica se utilizan para el cifrado
de los datos.
El mecanismo de encriptación más utilizado es el
DES (Data Encryptio Standard), que está basado en
un logaritmo ideado por IBM que divide la infor-
mación en bloques y la cifra utilizando un algoritmo
basado en operaciones de sustitución, permuta y
lógica.
Por sus características, el algoritmo de clave
pública es utilizado para la firma, validación, che-
queo de integridad y distribución. La mayor des-
ventaja de este proceso es la pérdida de velocidad
en comparación con los algoritmos simétricos, ya
que son muy lentos y su coste es elevado. Otros
inconvenientes son el hecho de que, si se quiere
enviar un mensaje cifrado a varios destinatarios, es
necesario cifrarlo para cada uno por separado, o que

CUADRO 3

Algoritmo simétrico

Clave simétrica
Seguridad
Criptografía

Clave compartida
Origen Destino

Cifrar Descifrar
Texto original Texto cifrado Texto original

• Ventaja: algoritmo sencillo y rápido.

• Inconveniente: gestión de claves en una red pública inmanejable; no admite la firma digital.

3 Se denomina “ataques de fuerza bruta” a los dirigidos a descifrar mensajes de forma ilegal mediante el empleo de millones de com-
binaciones aleatorias tratadas tecnológicamente. La dificultad de realización del ataque depende de la longitud de la clave, por
ejemplo, el DES con 56 bits, hay 2^56 llaves. Probando 1.000 millones de llaves por segundo, se pueden probar todas en 834 días.
 LAS MEDIDAS DE SEGURIDAD DEL COMERCIO ELECTRÓNICO EN LAS PYMES
la disponibilidad de las claves públicas todavía no
está totalmente extendida. El CUADRO 4 recoge el fun-
cionamiento de los algoritmos de clave pública.
Firma digital
La combinación de las funciones hash y la cripto-
grafía de clave pública nos proporciona un método
para asegurar la integridad de los datos, así como
un medio para garantizar la autenticidad del men-
saje.
La integridad nos confirma que los datos no han
sido modificados, mientras que la autenticidad es
una garantía de quién ha generado el mensaje.
Estos mecanismos nos proporcionan conjuntamente
lo que llamamos “firma digital”.
El proceso de firma digital comienza con la gene-
ración de un hash del mensaje que queremos firmar.
El siguiente paso es cifrar este resultado hash –o
versión reducida del texto original– con la clave pri-
vada del emisor. Este resultado cifrado se añade a
los datos y se le denomina “firma digital”.
El receptor de los datos puede acceder al resul-
tado hash utilizando la clave pública del emisor. Al
CUADRO 4
Algoritmo de clave pública
Seguridad
Criptografía
Clave pública
Destino
Origen
Cifrar
Texto original Texto cifrado
Seguridad
Criptografía
Clave privada
Origen
Origen
Cifrar
Texto original Texto cifrado
Texto otriginal
27
Dossier
mismo tiempo, genera un nuevo hash que compara
con el recibido; si ambos hash son iguales, se tiene
la seguridad de que el mensaje no ha sido modifi-
cado. También se tiene la seguridad de quién ha
enviado el mensaje, porque sólo el propietario de la
clave privada pudo haber cifrado el hash. El proceso
de la firma digital se recoge en el CUADRO 5.
Certificado digital
Un certificado de un usuario de red es el equivalente
electrónico del pasaporte. Como tal, un certificado
contiene información segura que posibilita la veri-
ficación y autenticación de la identidad de su pro-
pietario y, además, permite proporcionar al recep-
tor del certificado la clave pública que deberá
utilizar para descifrar el mensaje o documento que
acompaña al certificado digital.
Así, un certificado contiene el nombre del pro-
pietario, el número de serie del certificado, la fecha
de expiración, la clave pública del propietario y la
identidad de la autoridad de certificación (AC).
Una autoridad de certificación es una entidad de
confianza cuya principal responsabilidad es certifi-
Clave privada
Destino
Destino
Descifrar
Texto original
Clave pública
Origen
Destino
Descifrar
Texto original
 28 HARVARD DEUSTO FINANZAS & CONTABILIDAD
Dossier
CUADRO 5
Proceso de firma digital
Seguridad
Criptografía
Origen Mensaje transmitido
Mensaje
Hash
Clave Mensaje
privada
Cifrar
Firma
Hash iguales = firma verificada + integridad
car la autenticidad de los usuarios. En esencia, la
función de una AC es análoga a la de la oficina de
pasaportes de un gobierno. Un pasaporte es un
documento personal seguro, emitido por una auto-
ridad competente, que certifica que el propietario es
quien dice ser. Cualquier otro país que confíe en la
autoridad de la oficina de pasaportes de ese
gobierno confiará en el pasaporte de ese ciudadano.
De igual manera, la identidad electrónica de un
usuario de red, emitida por la AC, es la prueba de
que ese usuario está reconocido por la AC; por
tanto, cualquiera que confíe en la AC confiará en ese
usuario (por ejemplo, Hacienda y la Seguridad
Social).
Para que una pyme pueda obtener un certificado
digital, basta con que se dirija a esa autoridad, que
le permite una doble opción:
1. La AC genera de forma automática la clave
pública y la clave privada. La clave pública es remi-
tida al software de la AC para expedir el certificado.
Una vez emitido, es enviado a la pyme a través de
un canal adecuado.
2. Las claves son generadas por la pyme, que es la
que remite a la AC la clave pública que ha generado
para que sea certificada. Si ésta es la opción elegida,
la AC suele solicitar al peticionario una prueba de
que es quien dice ser, generalmente mediante un
pre-registro, una comprobación off-line o bien ana-
Destino
Mensaje
Descifrar
Firma Clave
pública
Hash Hash
lizando la autenticidad del e-mail. Para realizar
esta función de identificación y registro de los soli-
citantes de certificados digitales, han surgido las lla-
madas “autoridades de registro” (AR).
Una autoridad de registro es la entidad pública
o privada encargada de asegurar la autenticidad de
los solicitantes. Cada AC selecciona las AR con las
que quiere trabajar, generalmente entidades finan-
cieras o de reconocido prestigio. Para facilitar a los
solicitantes el acceso a los certificados digitales,
éstos se pueden pedir directamente en la AR.
Los certificados, con independencia de su forma
de generación, son almacenados en el browser y son
activados simplemente a través de un click de ratón.
Una vez generadas ambas claves y obtenido el cer-
tificado digital, el funcionamiento operativo es el
siguiente: el mensaje, encriptado con la clave pri-
vada, y el certificado que contiene la clave pública
son enviados al receptor del texto, el cual sólo
podrá desencriptarlo utilizando la clave pública
que se adjunta en el certificado. En el caso de que
el texto fuera encriptado con la clave pública del cer-
tificado, sólo podría desencriptarse con la clave pri-
vada asociada a ésta.
Así, cuando el receptor del mensaje utiliza la
clave pública para desencriptarlo, sabe de forma
cierta que se lo ha enviado el remitente y que sólo
éste ha podido producir el mensaje. De modo con-
 LAS MEDIDAS DE SEGURIDAD DEL COMERCIO ELECTRÓNICO EN LAS PYMES 29

trario, el receptor, al encriptar el mensaje con la
clave pública que le ha remitido el emisor, sabe que
sólo podrá descifrarse con la clave privada del
emisor.
PKI
Al conjunto de software, hardware, sistemas crip-
tográficos y tecnologías que posibilitan los meca-
nismos electrónicos anteriores se le denomina “sis-
tema PKI”.
Una PKI es una infraestructura orientada a la
gestión de claves y certificados que proporciona
al sistema económico lo necesario para garantizar
la autenticación, identidad, integridad, confiden-
cialidad y no repudio de las transacciones reali-
zadas.
De esta forma, los componentes de una PKI
son, fundamentalmente, los siguientes:
• La autoridad de certificación. En ocasiones se
incluyen las autoridades de registro, si bien su
papel no es imprescindible para la constitución de
una PKI, dada su función intermediadora.
• Un directorio que contenga las claves públicas y
los certificados.
• Un gestor del sistema encargado del manteni-
miento, administración, suspensión, revocación,
renovación, etc. de los certificados.
Dossier
El CUADRO 6 recoge las funciones que debe realizar
una PKI.
Son innumerables las iniciativas que se están pro-
duciendo a escala mundial para satisfacer esta
nueva necesidad del mercado electrónico que es la
seguridad. Tanto fabricantes como proveedores de
servicios de certificación se están posicionando en
los mercados y, en la actualidad, los proyectos más
relevantes son los que recoge el CUADRO 7.
En definitiva, las PKI tienen el siguiente funcio-
namiento:
1. Una empresa obtiene su par de claves, pública y
privada, así como el certificado digital, en alguna
AC. Con este paso, la pyme consigue identificarse
como quien dice ser a través de una clave pública,
certificada digitalmente.
2. Esa empresa pasa el documento objeto de envío
a través de hash, y obtiene un mensaje abreviado.
Este paso garantiza a la pyme que su documento
no sufrirá alteraciones durante su envío, puesto
que, al desencriptar el receptor el documento
enviado, el mensaje resultante deberá ser exacta-
mente igual al mensaje abreviado enviado.
3. Encripta el mensaje abreviado utilizando su clave
privada, absolutamente confidencial. Con ello crea
una firma digital que le autentifica e imposibilitará
posteriormente el repudio del documento enviado.

CUADRO 6

Funciones de una PKI

¿Qué es una PKI?
PKI
Certificación Autoridad de
cruzada certificación Historia
de claves

Soporte
de no repudio Backup y
Software
recuperación
cliente de PKI
de claves

Timestamping
Revocación
de certificados
Repositorio Actualización
de certificados automática
de claves
 30 HARVARD DEUSTO FINANZAS & CONTABILIDAD
Dossier

CUADRO 7

Proyectos más relevantes

Proyecto Observaciones

Identrust Liderado por entidades financieras como Bank of America, Barclays

o Deustche Bank, entre otros, como proveedores de servicios.

Sonera Smart Trust Centrada en sistemas PKI para móviles.

Verisign Empresa líder en el sector de PKI, con el 40% del mercado.

Agencia Participado por Telefónica, CECA y 4B, es el primer prestador

de Certificación de servicios nacional.
Electrónica (ACE)

Safelayer Primera empresa nacional proveedora de soluciones PKI.

4. Una vez que el documento esté firmado, deberá
encriptar tanto el documento como la firma, utili-
zando la clave pública de la empresa a la que envía
el mensaje.
5. Cuando el receptor recibe el mensaje, deberá, en
primer lugar, utilizar su clave privada para descifrar
el contenido4 y recuperar así el documento y la
firma digital del emisor.
6. A continuación, para verificar que el documento
no ha sido manipulado, utilizará la misma fórmula
hash que utilizó la empresa emisora para crear el
mensaje abreviado y comprobar de esta forma su
coincidencia. En caso de que no coincidan, ello se
debe a que el documento ha sido alterado. En este
paso se garantiza la integridad del mensaje.
7. Utiliza la clave pública de la empresa emisora
para desencriptar la firma digital y asegurarse de
que nadie ha suplantado al emisor. Con ello se
consigue verificar la autenticidad del emisor, ya que
sólo la empresa emisora tiene la clave privada que
ha generado la firma digital desencriptada con la
clave pública correspondiente, así como el no repu-
dio, puesto que sólo la empresa emisora posee
dicha clave y no podrá alegar que no ha sido ella la
que ha enviado el mensaje.
Métodos de pago ‘on-line’
Los métodos de pago de las pymes que participan
en este comercio suelen venir determinados por la
gran empresa con la que realicen contactos comer-
ciales, bien actúe como empresa cliente o bien
como proveedora, y, en los casos de pyme a pyme,
por la que haya desarrollado un mayor nivel tec-
nológico, por la que asuma una posición de lide-
razgo en las negociaciones o, simplemente, se
ajustarán a los sistemas tradicionales que se utili-
zan en el comercio B2C entre pymes y consumi-
dores finales.
Actualmente, existen diferentes formas de reali-
zar el pago utilizando la red al alcance de cualquier
empresa:
• Modelo de suscripción ‘on-line’
Este servicio lo ofrece la mayor parte de los pro-
veedores de acceso a Internet y, por tanto, puede
contratarlo cualquier empresa que utilice sus ser-
vicios. Consiste en solicitar al cliente, la primera
vez que realiza la transacción con la empresa,
sus datos financieros, principalmente los datos de
su tarjeta de crédito, mediante cualquier sistema
que sea fiable y seguro. De esta forma, cada vez
que realice una adquisición, le serán cargados los
importes en un registro especial y el cliente reci-
birá el importe total a final de mes junto con
el pago mensual de la suscripción de acceso a In-
ternet.
Así, una empresa puede ofrecer sus productos y
servicios a sus clientes a través de la Red, subcon-

4 Hay que recordar que sólo esta clave privada podrá descifrar el mensaje cifrado con su clave pública.
 LAS MEDIDAS DE SEGURIDAD DEL COMERCIO ELECTRÓNICO EN LAS PYMES 31

Dossier
CUADRO 8

Proceso de envío cifrado

Seguridad
Criptografía

Se crea un número Se cifra

Texto Texto original y
Firmar hash del texto digitalmente
original firma se juntan
original el hash

Ambos se cifran con La clave simétrica se Texto cifrado

Cifrar una clave simétrica cifra con la clave pública y clave cifrada
única para esta sesión del destinatario se juntan

El “paquete”
Enviar se envía al
destinatario

CUADRO 9

Proceso de recepción cifrado

Seguridad
Criptografía

El sobre digital
Aceptar cifrado llega
a su destino

El destinatario descifra Se descifra el texto

Abrir con su clave privada cifrado con la clave
la clave simétrica simétrica

Se descifra el hash Se calcula el hash del texto

Verificar con la clave pública descifrado para compararlo
del remitente con el original

tratar los sistemas seguros de pago con su PSI y
acceder a un elevado número de consumidores, sin
necesidad de recoger pequeñas cantidades de dinero
en numerosas transacciones que deberían ser auten-
tificadas individualmente.
• Pagos mediante tarjeta de crédito
Sin lugar a dudas, es el sistema de pagos más exten-
dido. El modelo consiste en que la compañía de la
tarjeta cobra al usuario final y paga a la tercera
parte. Este tipo de transacciones, en las que inter-
 32 HARVARD DEUSTO FINANZAS & CONTABILIDAD
Dossier

vienen el usuario de la tarjeta, el comerciante, el superar los inconvenientes de su no utilización en

banco emisor de la tarjeta, el banco del comerciante,
un procesador de soporte y una autoridad certifi-
cadora, es el que está sujeto a un mayor índice de
vulnerabilidad debido al número de participantes
involucrados, pero sobre todo a un mayor grado de
riesgo por parte del comerciante, que deberá asu-
mir el fraude de tarjeta. Esta situación provoca que,
en aquellos casos en los que el comprador rechaza
la compra porque él no la ha efectuado, se le reem-
bolsa el dinero y la pérdida es asumida por el
comerciante. Asimismo, este medio de pago deberá
na PKI es una
los denominados “micropagos”.
Actualmente, los instrumentos principales que
garantizan la seguridad en dichos pagos son los pro-
tocolos SSL (Secure Sockets Layer) y SET (Secure
Electronic Transacción):
• El protocolo SSL, en primer lugar, se ocupa de
garantizar la seguridad del pago mientras navega
por el canal que discurre entre comprador y
vendedor (browser y servidor), utilizando para
ello los mecanismos de encriptación que hemos
visto anteriormente.
• El SET, por su parte, se diferencia del SSL en que
garantiza la seguridad no del canal, sino de las

U infraestructura
orientada
partes contratantes, con lo que se evita el repu-
dio. Para ello, utiliza sistemas de algoritmo de
clave pública y certificación digital.

• Dinero electrónico
Las llamadas “tarjetas electrónicas” o e-cash están
a la gestión llamadas a ser el sistema de pago más utilizado para
las transacciones B2C. Se materializan en smart-
de claves y cards o tarjetas monedero, tarjetas stored value y
tarjetas seguras de crédito y débito, pero son sin
certificados duda las primeras sobre las que se augura un mayor
éxito.
que proporciona Básicamente, las tarjetas monedero son tarjetas
dotadas de un chip con capacidad de encriptación
lo necesario sobre las que se puede recargar dinero virtual,
que, evidentemente, tiene una equivalencia real. En
para este sistema, el riesgo de fraude se traslada del
comprador al vendedor, que deberá hacer frente a
las pérdidas de dinero acumuladas en caso de robo
garantizar la de la tarjeta. El uso de estas tarjetas está siendo muy
frecuente para el pago en restaurantes, taxis, etc.
autenticación, Para garantizar su seguridad utilizan sistemas de
clave asimétrica, en los que la pública está en poder
identidad, de la entidad financiera que emite la tarjeta y la pri-
vada en el propio software de la tarjeta y, por
integridad, tanto, tampoco es conocida por el titular.
De esta forma, cuando se realiza un pago con
confidencialidad cargo a la tarjeta, la clave contenida en ella encripta
la información, que sólo podrá ser desencriptada
y no repudio por el ordenador de la entidad financiera.

de las Conclusiones
Las características que dibujan el nuevo entorno
transacciones empresarial están incidiendo de forma acusada en
la gestión empresarial de las pymes. Un número
realizadas cada vez mayor de ellas se decide, bien de forma
 LAS MEDIDAS DE SEGURIDAD DEL COMERCIO ELECTRÓNICO EN LAS PYMES
o que
L caracterizará
a las pymes
que cumplan
sus objetivos
estratégicos será
la implantación
de sistemas
suficientes
para minimizar
la inseguridad
electrónica
voluntaria o bien obligado por el propio mer-
cado, a acometer actividades de comercio elec-
trónico. Este hecho está condicionando el plantea-
miento estratégico de las pymes y les exige una
capacidad de adaptación tecnológica hasta ahora
implanteable.
La integración electrónica en los procesos de
negocio, la posibilidad de mejorar la eficacia y
reducir los costes operacionales con procedimien-
tos mejorados, la automatización de los flujos tran-
saccionales, la aplicación tecnológica al márketing
o la necesaria implantación del EDI u otros siste-
mas alternativos en entornos web han modificado
los mercados, han condicionado las estrategias,
han renovado las tácticas de gestión y han innovado
las formas de negocio.
Sin embargo, estos proyectos, que obligan a las
pymes a implantar sistemas tecnológicos de gestión
de pagos, de pedidos o de distribución, se enfren-
tan a la existencia de diversas barreras y obstácu-
los, liderados por la falta de desarrollo tecnológico,
infraestructura y conocimiento, y sobre todo por la
necesidad de garantizar niveles de seguridad en las
transacciones virtuales similares a los alcanzados en
el comercio tradicional.
33
Dossier
Por todo ello, es necesario analizar y conocer las
diferentes medidas de seguridad electrónicas exis-
tentes en el mercado, identificando claramente los
paradigmas a los que dan solución y las herra-
mientas utilizadas para implementar esos meca-
nismos de seguridad.
La falta de implantación y utilización en las
pymes de sistemas de encriptación de algoritmos de
clave pública y privada, de firmas digitales, de
mecanismos de certificación digital, de infraes-
tructuras de PKI o de los métodos de pago on-line
más extendidos, que garanticen la seguridad de
sus transacciones en la misma medida que en el
comercio real, no debe venir motivada, en ningún
caso, por manifestaciones relativas a la dificultad y
al desconocimiento tecnológico, sino por condicio-
nantes generalistas que incidirían de igual modo
sobre cualquier proyecto que se pretendiera aco-
meter.
La inseguridad electrónica existe, de igual forma
que existen hurtos, empleados desleales o fraudes
financieros. Lo que caracterizará a las pymes que
cumplan sus objetivos estratégicos será la implan-
tación de sistemas suficientes para minimizarla.
Así se posicionarán con éxito en los nuevos merca-
dos que determinan el comercio electrónico y garan-
tizarán la fiabilidad y seguridad de cualquier tran-
sacción electrónica, del mismo modo que se asegura
la autenticación y la integridad de las declaraciones
a Hacienda, la privacidad de las transferencias
bancarias electrónicas o el no repudio de una com-
pra de acciones gestionadas en la Red. 
«Las medidas de seguridad del comercio electrónico en las
pymes». © Ediciones Deusto. Referencia n.° 1926.
Si desea más información relacionada
con este tema, introduzca el código 2761
en www.e-deusto.com/buscadorempresarial
 Ediciones Deusto
Planeta de Agostini Profesional y Formación S.L.
ISSN: 1134-0827

Edición Digital
Este texto forma parte de la revista Nº 53 Finanzas & Contabilidad
ISSN: 1134-0827-160