agomezvieites@gmail.com Profesor de la Escuela de Negocios Caixanova
RESUMEN DE LA PONENCIA 1. MEDIOS DE PAGO TRADICIONA-
LES En la siguiente ponencia se pretende anali- zar el papel fundamental que juegan los medios En la actualidad es posible utilizar en Inter- de pago en el desarrollo del comercio electróni- net medios de pago “tradicionales”, como el co. pago contrarreembolso y las transferencias ban- carias. No obstante, el medio más extendido es Hay que tener en cuenta que en la actuali- el pago mediante tarjetas de crédito o de débito, dad uno de los principales aspectos que limitan soportado por los protocolos SSL y SET. En la expansión del comercio electrónico es la este caso, el comprador envía a través de una percepción que tienen muchos potenciales clien- conexión segura (gracias al protocolo SSL o al tes de que Internet todavía es una red insegura. protocolo SET) el número de su tarjeta de crédi- Además, muchos medios de pago tradicionales to o de débito, así como la fecha de caducidad. no se adaptan a los nuevos requisitos de las El vendedor solicitará confirmación a la entidad transacciones en Internet. financiera emisora de la tarjeta y procederá a Desde hace algunos años se han propuesto realizar el cargo del importe de la operación en medios de pago específicamente creados para la tarjeta de la que es titular el comprador. operar en Internet, con mayor o menor éxito en Para la compra de determinado tipo de ser- el mercado, según el caso. vicios, también se está recurriendo a los pagos a Entre los requisitos que debería cumplir un través de mensajes SMS de teléfonos móviles o medio de pago desarrollado para dar soporte a mediante la utilización de “dialers” (marcadores las transacciones electrónicas, podríamos desta- telefónicos) y la conexión del equipo del usuario car la necesidad de garantizar la seguridad de a números de tarificación especial. Sin embargo, las transacciones; su fiabilidad; la escalabilidad; en estos casos el vendedor debe afrontar el pro- la adecuación a los distintos tipos de transaccio- blema derivado de las elevadas comisiones nes electrónicas; la necesidad de garantizar el cobradas por los operadores de telefonía. anonimato para cierto tipo de compras; la facili- En lo que se refiere a la utilización de las dad de uso; la integración con los sistemas de tarjetas de crédito, debemos tener en cuenta que gestión empresarial; la interoperabilidad con desde que en 1950 Dinners Club emitió la pri- otros sistemas de pago; la divisibilidad de las mera tarjeta de crédito, la expansión del dinero unidades monetarias procesadas por el sistema; de plástico ha sido tan espectacular que en 1992 etc. Además, será necesario tener en cuenta el Alix Hart, Presidente de MasterCard Internacio- coste asociado al procesamiento de cada tran- nal, llegó a afirmar que “el dinero de plástico va sacción. a sustituir totalmente al efectivo y a los cheques En la práctica ha sido difícil combinar todas en un plazo de entre 30 y 40 años”. las características anteriormente citadas en un Según un estudio realizado por Activmedia único medio de pago. en octubre de 2000, las tarjetas de crédito eran En esta ponencia se describen algunos de el medio seleccionado por los consumidores que los medios de pago propuestos más destacados, realizaban compras en Internet en un 98,5% de y también se analiza el problema del fraude en los casos, si bien en dicho informe se dejaba Internet. entrever la posibilidad que los compradores de productos y servicios a través de Internet co- menzarían a recurrir a otros métodos de pago en los próximos años.
Durante el año 2002 en España los pagos dor o soporte informático y que son equivalen- mediante tarjetas de crédito en las compras por tes a una determinada cantidad de dinero. Internet representaron el 53% de los casos. El En el proceso de creación de dinero elec- uso de este medio de pago aumentó en 2003 trónico, el titular de una cuenta bancaria solicita hasta alcanzar el 85% de las transacciones del a su entidad financiera la generación de una comercio electrónico español, según datos de la determinada cantidad de dinero electrónico Comisión del Mercado de las Telecomunicacio- (“cibermonedas”). Cada cibermoneda consiste nes (CMT). Conviene destacar que del conjunto en una secuencia de bits con un número de serie de operaciones efectuadas, casi la mitad se co- aleatorio que la identifica, la información sobre rrespondían a compras realizadas en el extranje- su valor económico y la firma electrónica del ro. banco, mediante una técnica conocida como 2. MEDIOS DE PAGO PARA EL CO- “firma electrónica ciega”, desarrollada por el MERCIO ELECTRÓNICO criptógrafo David Chaum. De este modo, el banco no conoce los números de serie de las Desde hace algunos años se han propuesto cibermonedas que ha entregado al usuario, pero medios de pago específicamente creados para respalda su valor. operar en Internet. Seguidamente se exponen algunos de los requisitos que debería cumplir un Las cibermonedas se guardan en el disco medio de pago desarrollado para dar soporte a duro del ordenador del cliente, aunque también las transacciones electrónicas: podrían ser depositadas en un dispositivo de almacenamiento (disquete, pendrive, tarjeta 1. Seguridad de las transacciones. chip, etc.). 2. Fiabilidad. Para utilizar este dinero electrónico, el 3. Escalabilidad. cliente debe enviar cibermonedas a la tienda on- line donde desea realizar una transacción. El 4. Adecuación a los distintos tipos de vendedor remitirá las cibermonedas a la entidad transacciones electrónicas. financiera responsable de su emisión, quien se 5. Anonimato. encargará de comprobar la validez del número de serie de cada cibermoneda (es decir, que 6. Facilidad de uso. todavía no ha sido utilizada), para a continua- 7. Facilidad de integración con los siste- ción abonar en la cuenta del vendedor el impor- mas de gestión empresarial. te correspondiente a cada cibermoneda. 8. Interoperabilidad con otros sistemas de Para que este sistema funcione correcta- pago. mente, la entidad financiera debe mantener una base de datos con la relación de números de 9. Divisibilidad de las unidades moneta- serie de cibermonedas en circulación, con el rias procesadas por el sistema. objetivo de evitar que se pueda tratar de reutili- 10. Coste asociado al procesamiento de zar una misma cibermoneda. cada transacción. Se han propuesto varios sistemas para la En la práctica ha sido difícil combinar todas creación y utilización de “cibermonedas”, como las características anteriormente citadas en un ECash (http://www.ecashtechnologies.com) o único medio de pago. Cualquier sistema pro- NetCash (http://gost.isi.edu/info/netcash). puesto necesita contar con el apoyo de las enti- 2.2. CHEQUES ELECTRÓNICOS: dades financieras, diversos organismos guber- ECHECK, NETCHEQUE, NETCHEX namentales y empresas especializadas en me- dios de pago, que suelen imponer sus propias Sistemas como eCheck, NetCheque o Net- reglas de juego. Chex han permitido desarrollar el concepto de cheque electrónico en Internet. En los siguientes apartados de esta ponen- cia se describen algunos de los medios de pago eCheck es un sistema de cheque electrónico propuestos más destacados. desarrollado por el FSTC (Financial Service Technology Consortium), un consorcio de más 2.1. DINERO ELECTRÓNICO: “E- de 90 miembros, principalmente bancos, que MONEY” colaboran de forma no competitiva en el desa- Podemos considerar que el dinero electró- rrollo de proyectos técnicos. nico está constituido por una especie de “ciber- monedas” que se pueden guardar en un ordena-
Este sistema emplea una tarjeta inteligente Con este esquema de funcionamiento, este para implementar un “talonario de cheques sistema presentaba la ventaja de evitar que el electrónicos” seguro, que consiste en una rela- número de tarjeta de crédito tuviera que ser ción de órdenes de pago firmadas digitalmente. enviado a través de Internet (de hecho, sólo se ara su puesta en marcha contó con el respaldo almacenaba en el servidor de First Virtual) y de de la administración estadounidense, que firmó solicitar una confirmación expresa del usuario en junio de 1998 su primer cheque electrónico para cada operación. usando este sistema. Sin embargo, su principal problema residía A grandes rasgos, el funcionamiento de este en el hecho de utilizar una herramienta poten- sistema es el que se indica a continuación: cialmente insegura como el correo electrónico para la confirmación de las operaciones, sin 1. El comprador selecciona los productos recurrir a ningún tipo de sistema de encriptación que desea comprar y a continuación envía a que permitiera reforzar la seguridad de los men- través de Internet un cheque digital firmado con sajes de correo. su clave privada. 2.4. TARJETAS BANCARIAS COMO 2. El vendedor recibe el cheque, com- VIRTU@LCASH O E-CASH prueba su validez y procede a firmarlo con su clave privada. La tarjeta “Virtu@lcash” es una tarjeta des- arrollada por la entidad financiera española 3. El vendedor envía el cheque firmado a Banesto para la realización de pagos seguros en la entidad financiera encargada de procesar la Internet. Inicialmente, en su primera versión se orden de pago. trataba de una tarjeta virtual, que no incorporaba Otros ejemplos de cheques electrónicos se- ni chip ni banda magnética, por lo que el impor- rían el sistema NetCheque, desarrollado por la te de las compras era cargado en una cuenta Universidad del Sur de California, que reprodu- asociada que el titular debía tener abierta en esta ce en Internet el sistema usual de emisión de entidad. cheques y compensación entre bancos, y el Esta tarjeta ha tenido una segunda versión sistema NetChex de la empresa Universal Pay- conocida como “Virtual Cash Plus”, presentada ment Solutions. a comienzos del año 2000 y que permite un uso 2.3. FIRST VIRTUAL seguro y anónimo para realizar compras en Internet, sin que sea necesario disponer de una Este protocolo de pago fue desarrollado en cuenta en Banesto para operar con ella. Virtual 1994 por la empresa First Virtual Holdings Inc, Cash Plus es una tarjetera monedero que se constituyendo una de las primeras alternativas puede recargar en cualquier cajero de la red 4B. para efectuar compras en Internet de forma segura. En agosto de 1998 la empresa abandonó A su vez, el Banco Santander Central His- definitivamente este sistema de pagos, al existir pano lanzó al mercado en junio de 2001 a través soluciones más robustas y eficaces en el merca- de su red de banca minorista BCH una tarjeta do. En ese momento contaba con 2.000 comer- virtual y de prepago denominada “BCH e-cash”, cios adscritos y más de 60.000 clientes registra- que permite realizar compras a través de Inter- dos. net y que está asociada a la MasterCard. El sistema First Virtual proporcionaba a sus Esta tarjeta virtual ofrecía la posibilidad de usuarios un identificativo personal, conocido recargar su saldo a través de la red de cajeros como Virtual PIN, que debían facilitar en cada 4B, del servicio telefónico (BCH Línea) o de la operación de compra al vendedor, en lugar del Banca por Internet (BCH Internet). número de la tarjeta de crédito. Seguidamente, 2.5. CYBERCASH el vendedor remitía este Virtual PIN al servidor de First Virtual para solicitar la autorización de Cybercash es un sistema desarrollado en la operación. El servidor de First Virtual envia- 1994 para gestionar el pago mediante tarjetas de ba un mensaje de correo electrónico el cliente crédito. Se trata de uno de los pioneros y ha para pedir una confirmación de la operación, de servido como base para el posterior desarrollo tal modo que si éste la aceptaba respondiendo al del sistema SET. En España se pudo utilizar mensaje con otro correo, First Virtual procedía a desde 1995. realizar el cargo del importe de la compra en la Cybercash constituía una pasarela de pago tarjeta del cliente. entre los comerciantes y las redes de las entida- des financieras. Antes de empezar a operar, el
comprador debía descargar, registrar e instalar este sistema los datos con la tarjeta de crédito en su ordenador el programa “Cybercash Wa- del comprador se enviaban encriptados para que llet”, un monedero electrónico en el que podía sólo pudieran ser leídos por Cybercash. De esta introducir los datos de las tarjetas de crédito que forma, el comerciante no tenía acceso a los pretendía utilizar para pagar sus compras en datos de la tarjeta de crédito del cliente. Internet. Posteriormente, este programa se en- El sistema de Cybercash tuvo una impor- cargaba de la generación y gestión de las claves tante aceptación en los primeros años de su utilizadas para encriptar el proceso de comuni- existencia, al ofrecer una infraestructura bastan- cación. te sólida, eficiente y segura para procesar pagos Por su parte, el vendedor que quisiera ofre- mediante tarjeta de crédito. Sin embargo, la cer este medio de pago también tenía que regis- posterior aparición y desarrollo de nuevos me- trarse con Cybercash e instalar el software de dios de pago electrónico, así como la publica- servidor denominado “Cash Register”, disponi- ción del protocolo SET como una versión más ble para plataformas UNIX y Windows. avanzada de Cybercash, avalada por Visa y MasterCard, restaron interés a este medio de El proceso seguido para realizar un pago pago. Finalmente Cybercash fue adquirido por mediante el sistema de Cybercash constaba de la empresa de seguridad informática Verisign. los siguientes pasos: 2.6. CYBERCOIN 1. El cliente seleccionaba los productos que deseaba incluir en su compra y utilizaba el Cybercash disponía también de un servicio programa Cybercash Wallet para generar una específico denominado Cybercoin para la reali- hoja de pedido electrónica, en la que se incluía zación de pequeños pagos (“micropagos”) en el número de la tarjeta de crédito en que se iba a Internet, como el pago por acceso a bases de cargar el importe de la operación, su identifica- datos, compra de páginas de información, lectu- dor de cliente, el importe de los productos soli- ra de un periódico, etc. citados y el domicilio para la entrega de estos Hay que tener en cuenta que para estos pa- productos. Esta hoja era firmada posteriormente gos de un importe reducido (menos de 3 €) no con la clave secreta del cliente y con la clave resulta rentable utilizar un medio basado en una pública del servidor de Cybercash. tarjeta de crédito, por el elevado importe de la 2. El comerciante anotaba la forma de pa- comisión aplicada, que puede ser superior al go elegida por el cliente y el domicilio para la propio valor de la transacción. entrega, generaba un recibo de la operación de Cybercoin era un monedero electrónico que compra y, a continuación, enviaba al cliente una se podía recargar a partir de una determinada factura pro forma firmada con su clave privada. tarjeta de crédito. Este monedero estaba ubicado 3. El cliente, después de haber revisado el en el servidor central de Cybercoin, desde don- recibo de la compra, generaba y enviaba al co- de se gestionaban los micropagos de cada uno merciante un mensaje de aceptación del pago. de sus clientes, realizando las correspondientes Este mensaje estaba firmado electrónicamente e anotaciones en las cuentas de sus respectivos incluía una huella digital correspondiente a la monederos. factura pro forma y a las instrucciones de pago. De este modo, para realizar un pago el 4. El comerciante remitía a Cybercash el cliente proporcionaba al comerciante un número contenido del mensaje de aceptación del pago y de cuenta y una autorización para que se le los datos del pedido. cargase el importe correspondiente a la opera- ción. El comerciante remitía estos datos al ser- 5. Cybercash se encargaba de descifrar y vidor central de Cybercoin y allí se deducía esa comparar ambos mensajes. Si éstos coincidían, cantidad de la cuenta del cliente. solicitaba confirmación de la aceptación del pago a través de la red financiera y enviaba la 2.7. SISTEMA ECASH DE LA EMPRE- respuesta al comerciante para que éste cerrase la SA DIGICASH transacción. DigiCash es una empresa holandesa funda- 6. El comerciante informaba al cliente de da en 1990 por el famoso criptógrafo David que el pago había sido aceptado, cerrando de Chaum. Esta empresa lanzó al mercado el sis- este modo la operación de compra. tema conocido como “ECash”, un monedero digital que permitía almacenar una cierta canti- En condiciones normales todo este proceso dad de dinero en el disco duro del ordenador, tenía lugar en unos 20 segundos. Además, en
facilitando la realización de compras anónimas registrar en una base de datos todos los números y seguras en Internet. de serie de las monedas electrónicas que habían recibido de las empresas y tiendas integradas en Para ser usuario de ECash era necesario el sistema. Esta base de datos constituía un abrir una cuenta en alguno de los bancos que registro de las monedas electrónicas que ya trabajaban con este sistema, como el Mark habían sido utilizadas en alguna transacción y Twain Bank de Missouri (Estados Unidos), uno que, por lo tanto, habían quedado fuera de circu- de los primeros en adherirse al sistema. Segui- lación. damente el usuario tenía que solicitar la cuenta ECash e instalar en su ordenador el programa de Cuando la entidad financiera recibía una monedero electrónico. nueva moneda electrónica, se encargaba en primer lugar de comprobar su autenticidad me- Los vendedores que quisieran ofrecer esta diante la verificación de su firma electrónica. A modalidad de pago a sus clientes tenían que continuación, buscaba el número de serie de la seguir un proceso similar para registrarse en el moneda electrónica en su base de datos de mo- sistema: abrir una cuenta en una entidad finan- nedas que ya habían sido utilizadas, de tal modo ciera participante e instalar el programa de mo- que, si el número de serie de la moneda se en- nedero electrónico. contrase en dicha base de datos, la entidad fi- A grandes rasgos, el sistema ECash funcio- nanciera tendría que rechazar la moneda en naba de la siguiente manera: cuestión por tratarse de una copia de otra que ya había sido utilizada en otra transacción, infor- Cuando un usuario de ECash decidía retirar mando de esta circunstancia al vendedor para fondos de su cuenta en el banco, generaba por sí que procediera a anular la operación de venta. mismo una serie de monedas electrónicas (“ci- bermonedas”). Una moneda electrónica no es Por el contrario, si el número de serie de más que una secuencia de bits que contienen el una moneda electrónica recibida no se encon- valor de la moneda, acompañado de un número traba en la base de datos, la entidad financiera la de serie único en el sistema ECash asociado a daría por válida, aceptando el pago e incremen- dicha moneda, que se utiliza para detectar co- tando el saldo de la cuenta del vendedor con en pias ilegales de la moneda. el importe registrado en la moneda. Asimismo, registraría el número de serie de la moneda en Seguidamente, el usuario presentaba estas su base de datos para “retirarla de la circula- “cibermonedas” al banco para que las firmase, ción”. respaldando así su valor. El banco se encargaba de firmarla utilizando la técnica de “firma elec- Este sistema garantizaba totalmente el ano- trónica ciega”, desarrollada por el criptógrafo nimato para el usuario que efectuaba el pago, David Chaum. De este modo, el banco respal- debido a que la entidad financiera firmaba las daba el valor del dinero sin conocer los números monedas con la técnica de “firma electrónica de serie de las monedas, preservando así el ciega”. Esta técnica permite que un individuo u anonimato en el uso de estas “monedas electró- organización pueda firmar digitalmente un de- nicas”. terminado documento en formato electrónico sin tener posibilidad alguna de conocer el contenido Las “monedas electrónicas” podían ser uti- del mismo y, por este motivo, se dice que se lizadas por el usuario para pagar sus compras en firma “a ciegas”. las tiendas de Internet participantes en el siste- ma ECash. Para ello, tenía que enviar al vende- De este modo, la entidad financiera conocía dor “monedas electrónicas” cuyo valor total el valor de la moneda electrónica, pero no tenía resultase suficiente para saldar el importe de la acceso al número de serie que había generado la compra que había realizado. A continuación, la aplicación de monedero electrónico del equipo tienda se encargaba de comprobar que dichas del usuario, por lo que cuando recibía las mone- monedas eran auténticas, verificando la firma das enviadas por una tienda participante en el electrónica del banco emisor. Además, para sistema ECash, no podía determinar la identidad comprobar que las monedas todavía seguían del usuario que estaba realizando el pago de la siendo válidas, es decir, para comprobar que no transacción. Simplemente se limitaba a compro- habían sido utilizadas ya en otras transacciones, bar la validez de las monedas electrónicas, por la tienda debía enviar estas monedas a la entidad lo que el sistema ECash se comportaba de un financiera. modo similar al dinero real en efectivo. Por este motivo, las entidades financieras Sin embargo, esta característica impedía participantes en el sistema ECash tenían que identificar a los usuarios que intentasen llevar a
cabo un uso fraudulento de las monedas electró- con tarjeta de crédito. Se trataba, además, de un nicas. Además, ECash no proporcionaba el sistema de pagos totalmente descentralizado, anonimato para el vendedor que recibía el pago, cuya operatividad descansaba en el papel de los ya que éste debía identificarse ante la entidad intermediarios y no en un servidor central res- financiera para hacer efectivo el cobro, con el ponsable de la autorización de cada una de las fin de que la entidad financiera pudiera incre- operaciones. mentar el saldo de su cuenta. Los intermediarios se encargaban de com- Por otra parte, este sistema presentaba otro prar “scrip” a los comerciantes y revenderlo problema que limitaba de forma importante su posteriormente a un precio superior a los clien- escalabilidad: el tamaño de la base de datos en tes, obteniendo sus ingresos de este margen de que se debían registrar los números de serie de intermediación. El papel de estos intermediarios todas las monedas electrónicas ya utilizadas. resultaba fundamental para evitar que cada Además, se trataba de un sistema centralizado comprador tuviera que mantener una cuenta que requería de una conexión on-line de la tien- específica con cada uno de sus clientes. Ade- da con la entidad financiera asociada para poder más, se encargaban de cargar el importe del validar cada operación. “scrip” que había sido comprado por cada clien- te en la cuenta o tarjeta de crédito facilitada por 2.8. MILLICENT éste. De este modo, los intermediarios actuaban Millicent era un sistema desarrollado por la de puente entre el sistema de micropagos de empresa Digital en 1995 (hoy integrada en HP- Millicent y el sistema financiero tradicional. Compaq) para realizar micropagos en transac- Para reducir los costes de las transacciones, ciones dentro de Internet. Millicent empleaba técnicas criptográficas débi- Este sistema empleaba una especie de cu- les, más eficientes desde el punto de vista com- pón electrónico, denominado “scrip”, que repre- putacional. Dado que estaba pensado para reali- sentaba un valor prepagado y era válido sola- zar transacciones de un importe muy pequeño mente para un vendedor específico. El “scrip” (micropagos), la seguridad no era un factor tan era emitido por intermediarios, que simplifica- crítico como en otros sistemas, por lo que se ban la interacción entre los compradores y los consideró adecuado emplear técnicas criptográ- vendedores. ficas suficientemente robustas como para hacer que el coste de romper la seguridad de una tran- Para poder realizar transacciones, los usua- sacción resultase muy superior al importe de la rios debían comprar “scrip” a un intermediario. transacción en sí. El “scrip” genérico del intermediario podía cambiarse por “scrip” válido únicamente para Por otra parte, en este sistema tampoco se realizar compras a un determinado vendedor. El emitían recibos ni justificantes de las transac- “scrip” sobrante de una transacción se podía ciones ya que, debido al reducido importe de cambiar a través de un intermediario por “scrip” éstas, el riesgo de operaciones fraudulentas válido para otro vendedor. podía ser muy bajo. Una importante ventaja de este sistema era 2.9. PAYPAL su facilidad de uso, ya que las compras se podí- PayPal (www.paypal.com) es un medio de an confirmar con un simple clic de ratón desde pago basado en el correo electrónico que ha el propio navegador. Para ello, era necesario adquirido una gran popularidad en Internet en instalar el programa monedero de Millicent, que estos últimos años, sobre todo para dar cobertu- se integraba en el navegador utilizado en el ra a las transacciones realizadas entre particula- equipo del usuario. res en Websites de subastas como eBay. El sistema permitía a sus usuarios realizar PayPal es una compañía fundada en Palo multitud de compras en Internet de pequeños Alto, California, en octubre de 1999 por los importes, sin que éstos tuvieran que molestarse jóvenes Elon Musk y Peter Thiel, que tenían por los detalles de cada operación: bastaba con respectivamente 30 y 34 años en ese momento. un simple clic de ratón para confirmar cada operación, si se poseía de suficiente “scrip” en El funcionamiento de este sistema es simple su monedero para la tienda en la que se estaban y eficaz: cada usuario abre una especie de cuen- adquiriendo los productos. ta corriente en PayPal, deposita allí una deter- minada cantidad de dinero (mediante una tarjeta Por su parte, los vendedores que participa- de crédito o un cheque) y luego lo puede utilizar ban en este sistema podían realizar transaccio- para llevar a cabo transacciones, pagos a “cole- nes con unos costes muy inferiores a los pagos
gas” (de ahí el nombre del sistema) u empresas, Para ello, el usuario de este medio de pago o bien para participar en subastas on-line como electrónico tiene que vincular la cuenta “epaga- las desarrolladas en eBay. do.com” a una cuenta corriente de cualquier entidad desde la que se transferirán el importe Se trata, por lo tanto, de un medio de pago para los pagos. Este sistema evita así que el muy útil para las transacciones entre particula- cliente en una operación de compra tenga que res, ya que elimina la inseguridad e incertidum- proporcionar datos sensibles como el número de bre que supone aceptar pagos como cheques cuenta o la tarjeta de crédito, con lo que se eleva personales o tarjetas de crédito. PayPal actúa de la seguridad de la transacción. La confirmación intermediario financiero en este caso, garanti- de la operación se realiza a través del correo zando que existe dinero disponible en la cuenta electrónico registrado previamente por el usua- del comprador. A cambio de dar fe de ello, se rio del sistema. queda con una pequeña comisión del 3%, infe- rior a la que suelen aplicar para estas transac- Según el propio eBankinter, este sistema ciones las tarjetas de crédito. ofrece a los comercios una importante ventaja frente a las tarjetas de crédito o las cuentas co- Los fundadores comenzaron su proyecto rrientes, ya que no existe posibilidad de repudio con 24 usuarios experimentales y, debido a su de la operación, puesto que el cobro se produce espectacular crecimiento, a 31 de diciembre de al instante, evitando el fraude. Además, tiene un 2001 contaban ya con 12,8 millones de usuarios coste inferior a otros sistemas y permite el cobro (la mitad eran usuarios activos), alcanzando una de cualquier importe, por pequeño que éste sea. facturación de 104,8 millones. 2.11. SISTEMAS BASADOS EN TAR- Atraídos por su éxito, en marzo de 2001 va- JETAS PREPAGO rias entidades financieras, entre las que se en- contraba el banco español eBankinter, pasaron a En mayo 2003 se lanzaba Morsopay, un sis- forma parte del accionariado de PayPal al afron- tema basado en una tarjeta prepago, creado tar una ampliación de capital de 90 millones de específicamente para las compras en Internet y dólares. La compañía salió a Bolsa en febrero de orientada al pago de contenidos. 2002, alcanzando una valoración de 1.200 mi- El cliente de este servicio puede adquirir la llones de dólares. tarjeta por un importe de 5, 10 o 20 euros en Posteriormente, en julio de 2002 la empresa uno de los puntos de venta autorizados de Mor- eBay adquirió PayPal mediante una operación sopay: más de 6.000 en toda España, entre gaso- de canje de acciones, por un importe total de lineras, estancos, etc. 1.500 millones de dólares. Al acceder al Website que ofrece los conte- En octubre de 2005 el sistema PayPal con- nidos (noticias, juegos, páginas con contenidos taba ya con más de 78 millones de cuentas acti- para adultos, informes técnicos, cursos, etc.), el vas, pertenecientes a usuarios registrados de 56 usuario debe introducir una de las claves conte- países de todo el mundo. PayPal cerró el año nidas en la tarjeta y en ese momento el sistema 2005 con un volumen total de transacciones por Morsopay validará el servicio, indicando cuál es valor de 27.000 millones de dólares, sobrepa- el saldo remanente a su favor y notificando la sando los 1.000 millones de beneficios. validez de la operación al Website que propor- ciona los contenidos. Debido a su gran éxito, numerosas empre- sas de la talla de Dell (el mayor vendedor de Sus creadores destacan las siguientes venta- ordenadores PC del mundo) han incorporado jas del sistema: este sistema de pago en sus tiendas de Internet. Anonimato: no se facilitan datos per- De hecho, en febrero de 2006 este sistema con- sonales. seguía sobrepasar ya la cifra de más de 100 millones de usuarios, con un ritmo de creci- Seguridad: no se utilizan cuentas co- miento de 100.000 nuevos usuarios cada mes. rrientes ni tarjetas de crédito. 2.10. EPAGADO Comodidad y facilidad de uso. El sistema “epagado.com” es un sistema de Reducción del riesgo de impagados o pago desarrollado en España por la entidad fraudes para el comercio en Internet. financiera eBankinter, que permite vincular una Por otra parte, en octubre de 2005 se anun- cuenta corriente bancaria y una dirección de correo electrónico. ciaba el lanzamiento en España del sistema de
pago Ukash, también basado en una tarjeta (“microprocessor cards”), que permite realizar prepago (denominada “cupón Ukash”). internamente todas las operaciones criptográfi- cas necesarias en protocolos para realizar tran- 2.12. NUEVAS ALTERNATIVAS PARA sacciones seguras como el SET. En ese caso se LOS MICROPAGOS habla de las tarjetas inteligentes propiamente En estos últimos años se han propuesto dichas, más caras pero más seguras que las otros sistemas para la gestión de los micropagos tarjetas de memoria, ya que todas las operacio- en Internet y, en especial para la venta de conte- nes criptográficas se realizan dentro de la propia nidos como artículos de periódicos y revistas o tarjeta. capítulos de libros, entre los que podríamos citar Los detalles técnicos de estas tarjetas inteli- Qpass, BitPass, PayStone, Firstgate o Pepper- gentes (características eléctricas y físicas, tipos Coin, entre otros. de contactos, etc.) se definen en el estándar ISO Todos estos sistemas permiten agrupar los 7816. Además, los fabricantes de estas tarjetas importes de varias microtransacciones para suelen utilizar la interfaz de programación (API) reducir los costes de las comisiones y de la definida en el estándar PKCS#11 (estándar tramitación de los pagos. “Crypto Token Interface”). Así, por ejemplo, en el caso de Qpass, el Por otra parte, a principios de 2005 se han usuario debe abrir una cuenta en este sistema, lanzado al mercado nuevos modelos de tarjetas facilitando su nombre, dirección de correo elec- inteligentes que incorporan la tecnología de trónico y tarjeta de crédito. En un Website en el radiofrecuencia (RFID), que permiten el pago “a que los contenidos se encuentran protegidos distancia” en locales comerciales y máquinas mediante este sistema, el usuario puede adquirir expendedoras. y descargarse el contenido que le interesa Una aplicación de las “tarjetas chip” es la haciendo clic en el icono de Qpass e introdu- tarjeta monedero, desarrollada como una intere- ciendo su número de identificación y contrase- sante alternativa para solucionar el problema de ña. En ese mismo momento el sistema Qpass los micropagos. Estas tarjetas incorporan un realiza una anotación de cargo en su cuenta y pequeño chip en el que se almacena un determi- una anotación de abono en la cuenta del provee- nado valor monetario prepagado (un buen ejem- dor del contenido. plo lo encontramos en las tarjetas telefónicas de Al final de cada mes, el sistema Qpass pro- prepago), que puede ser gastado en cualquier cede a realizar un cargo contra la tarjeta del comercio que haya instalado un lector adaptado usuario por el importe total de las compras rea- a estas tarjetas. lizadas, así como un ingreso en la cuenta del De este modo, el importe de las compras propietario de los contenidos por el importe puede deducirse de la tarjeta cada vez que el total de las ventas. Este sistema está siendo usuario realice un pago con ella, siendo este utilizado en periódicos digitales como el New proceso muy rápido y sencillo para ambas par- York Times o el Wall Street Journal. tes. 3. TARJETAS INTELIGENTES Se trata, en definitiva, de un medio de pago (“SMART CARDS”) ideal en transacciones de escaso valor (inferio- Las tarjetas inteligentes, “smart cards” o res a 5 €) y que requieran de cambio exacto: “tarjetas chip” se caracterizan por incorporar un compras en máquinas de autoventa (expendedo- circuito integrado (“chip”), que sustituye a la ras de comida, refrescos o tabaco); transporte banda magnética de las tarjetas clásicas de plás- público; peajes; teléfonos públicos; etcétera. tico. Por este motivo, resultan mucho más segu- Sin embargo, la existencia en el mercado ras que las tarjetas de banda magnética, ya que de gran variedad de tarjetas incompatibles entre son más difíciles de falsificar. sí ha frenado su expansión. Para tratar de paliar Algunas de estas “tarjetas chip” simple- esta situación y garantizar la interoperabilidad mente incorporan un pequeño circuito de me- de las tarjetas monedero, se aprobaron en abril moria en el que se registran los datos del titular: de 1999 las Especificaciones Comunes para son las conocidas como “memory cards” (tarje- Monederos Electrónicos (CEPS), realizadas por tas de memoria). un grupo de trabajo integrado por Europay In- ternational, SERMEPA, Visa International y Sin embargo, los modelos de “tarjetas chip” ZKA (Zentraler Kreditausschuss, de Alemania). más avanzados también incorporan un procesa- Con esta iniciativa se pretende alcanzar la inter- dor criptográfico dentro del circuito integrado
operabilidad de todas las tarjetas monedero en operación y reintegrar el dinero a la un futuro próximo. tarjeta, sin perjuicio para su titular. El entendimiento entre las distintas tarjetas Compra incremental: sucesión de com- hará posible que un ciudadano de la Unión Eu- pras de muy pequeño valor, como en el ropea, poseedor de una tarjeta interoperable, caso de los “pasos” en una llamada te- pueda recargar su monedero con dinero electró- lefónica desde una cabina o el número nico en cualquier punto de carga en bancos o de partidas completas en un juego on- quioscos que ofrezcan este servicio, además de line. Se trata, además, de un tipo de poder gastarlo en establecimientos y servicios servicio muy útil para la acumulación que tengan instalado un lector de “tarjetas chip”. de varios “micropagos” en Internet. En el estándar CEPS se definen varios tipos Cancelación de la última compra: per- de transacciones que podrá realizar una “tarjeta mite cancelar la última operación de monedero”: compra realizada con la tarjeta, en el caso de que el usuario desee devolver Carga de dinero: los titulares de la tar- el producto adquirido. Esta operación jeta pueden cargar dinero en ella en deberá realizarse en el mismo terminal cualquier terminal de carga (normal- en el que se completó la operación de mente será un cajero convencional de compra y sólo podrá tener lugar una la red de una entidad financiera) que vez. ostente la marca del emisor de su tarje- ta, en cualquier divisa soportada por la Además, el titular podrá consultar en cual- tarjeta. Para realizar esta operación el quier momento el balance de su tarjeta, utilizan- usuario deberá autenticarse previamen- do un dispositivo lector adecuado, así como un te mediante la introducción de un Nú- registro de los últimos movimientos. mero de Identificación Personal (PIN). Por otra parte, para facilitar su utilización Descarga de dinero: en cualquier mo- en las compras a través de Internet, está prevista mento el titular podrá descargar dinero la incorporación de dispositivos lectores de de su tarjeta y devolverlo a su cuenta tarjetas inteligentes en los teclados de los orde- bancaria, residente en la institución fi- nadores. nanciera del emisor de tarjetas. La des- A finales de 2005 se daba a conocer el gran carga de dinero también puede incluir éxito de los monederos electrónicos en Japón, la capacidad de obtener efectivo del hasta el punto de que uno de cada cinco japone- terminal de descarga, pero sólo en ter- ses poseía una tarjeta monedero y cada día se minales del banco emisor. registraban 500.000 transacciones con este sis- Intercambio de divisas: las tarjetas con- tema de pago. La empresa Bitwallet, que gestio- tarán con distintas “ranuras”, en las na el monedero electrónico EDY (Euro Dollar cuales se podrá almacenar dinero en Yen) lanzado en el año 2001, había distribuido varias divisas. En cualquier momento en Japón unos 15,4 millones de tarjetas hasta se le permitirá al titular cambiar todo o principios de febrero de 2006, de los que 2,4 parte del dinero almacenado en una di- millones eran tarjetas virtuales directamente visa a otra divisa dentro de su propia integradas en un chip electrónico de los teléfo- tarjeta. nos móviles. Compra y retrocesión de la compra: el No obstante, a pesar de la mejora sustancial titular de la tarjeta podrá hacer uso de de la seguridad frente a las tarjetas clásicas ésta en cualquier terminal de venta que basadas en las bandas magnéticas, se han pro- tenga el sello de su marca de tarjeta. El puesto varios tipos de ataques contra las “tarje- terminal de venta mostrará al usuario el tas chip”: así, por ejemplo, un atacante podría importe de la operación, pidiéndole su tratar de comprometer los equipos de lectura o autorización antes de que ésta se haga el software específico instalado en el ordenador efectiva. En caso afirmativo, el termi- del usuario, el cual, de este modo, podría mos- nal de venta mostrará al usuario el ba- trar información errónea al usuario en pantalla o lance de su tarjeta antes y después de la bien facilitar la manipulación de los datos que compra. Si por cualquier motivo la se envían o reciben de la tarjeta. compra no puede realizarse con éxito Por otra parte, se han descubierto vulnera- (agotamiento del artículo que se desea bilidades en los protocolos diseñados para inter- comprar, etc.), se puede retroceder la
cambiar datos desde los dispositivos lectores pendedoras, en la compra por catálogo, con las “tarjetas chip”. También se han dado así como en los sistemas de pago por conocer posibles vulnerabilidades a nivel del visión de películas y programas. diseño eléctrico de las tarjetas, que permitirían Pagomovil, plataforma similar a la an- que un atacante aplicase determinados voltajes a terior desarrollada por Vodafone, el la tarjeta para conseguir que se eliminasen las BSCH y el sistema de pagos 4B. claves criptográficas almacenadas en la memo- ria de una tarjeta afectada por un mal diseño. A finales de mayo de 2001 las plataformas Movilpago y Pagomovil acordaron su integra- De un modo similar, se han propuesto ata- ción en una sola, dando lugar al nacimiento de ques contra tarjetas criptográficas basados en el Mobipay. Con esta decisión pretendían evitar la análisis de la cantidad de energía eléctrica con- competencia entre varios sistemas de pago dife- sumida por el chip (o también en el tiempo de rentes e incompatibles entre sí. cálculo) al realizar las distintas operaciones con los datos y las claves criptográficas. La alianza entre entidades financieras y operadoras de telecomunicaciones no es fruto de Por todo ello, en los últimos años se han la casualidad. Si tienen aceptación en el merca- desarrollado “tarjetas chip” más seguras, que do, estos sistemas de pago por móvil podrán incorporan mecanismos anti-intrusión (tarjetas generar importantes comisiones a los socios “Tamper-Resistant”) para poder resistir los financieros, así como un incremento de la factu- intentos de manipulación y de intrusión, así ración de las operadoras. Sin embargo, su utili- como la monitorización externa de la actividad zación podría ir en detrimento del uso de las de la tarjeta. tarjetas de crédito y de débito. 4. EL TELÉFONO MÓVIL COMO INS- Por otra parte, en octubre de 2002, la com- TRUMENTO DE PAGO pañía de telecomunicaciones japonesa NTT En los últimos años, gracias al desarrollo de DoCoMo comenzó las pruebas de un nuevo las comunicaciones y los servicios inalámbricos, servicio de pago electrónico con teléfono móvil, han cobrado especial importancia las platafor- bautizado como FOMA (“Libertad de Acceso mas de gestión de pagos a través del teléfono Móvil Multimedia”), que permite agilizar las móvil, mediante una cuenta asociada a un nú- compras gracias a la tecnología inalámbrica. mero de abonado. Para ello, los teléfonos móviles incorporan un chip emisor especial y los propietarios de estos Con estos sistemas se pretende que el telé- teléfonos deben tener una cuenta bancaria (u fono móvil funcione como un monedero virtual otro medio de pago, como una tarjeta de crédito) para el pago de productos y servicios, facilitan- asociada a dicho chip. Cuando el usuario del do las compras en tiendas de Internet, en má- teléfono móvil desee adquirir un producto en quinas expendedoras, en taxis, en restaurantes, una de las tiendas que soporten este sistema de en gasolineras, etc. De hecho, a finales del año pago, tan sólo tendrá que pasar el teléfono cerca 2000 se presentaron varias de estas plataformas de los dispositivos lectores y, si confirma la en España: operación, el importe del producto se cargará en Caixamóvil, desarrollado por La Caixa su cuenta. y restringido sólo para sus clientes y En septiembre de 2003, las empresas Nokia para la realización de pagos en Inter- y Visa firmaron un acuerdo de colaboración en net. el segmento de los pagos a través de móvil, para Paybox, del Deutsche Bank, que per- potenciar el uso de una nueva aplicación de mitía operar con cualquier entidad ban- “monedero electrónico” de los terminales de caria instalada en España, previo abono Nokia y el servicio “Verificado por Visa”, con de una cuota anual de cinco euros. Se el objetivo de facilitar la realización de opera- cobraba además una comisión por cada ciones seguras y cómodas. La nueva versión de transacción realizada. la aplicación “monedero electrónico” de Nokia permite almacenar información personal, como Movilpago, de Telefónica Móviles y el nombres de usuario, contraseñas, número de BBVA. En este sistema las operaciones tarjeta de crédito, bonos de transportes, direc- invertían un tiempo de 10 segundos en ciones de entrega y otros datos necesarios para ser aceptadas, tras marcar el número de realizar compras a distancia. abonado y un código personal. Ade- más, Movilpago pretendía ser aceptado También podemos destacar que en febrero como medio de pago en máquinas ex- de 2005 Nokia presentaba la tecnología NFC
(“Near Field Communications”), que permite ción. Éste da su aceptación introduciendo una que el teléfono móvil pueda interactuar con clave secreta que sólo él conoce (PIN) y la tran- puntos de venta y máquinas de expendedoras sacción queda entonces confirmada. Cabe des- para realizar transacciones locales con cargo a la tacar que todo este proceso ocurre en apenas 15 factura mensual del teléfono móvil. segundos. 4.1. MOBIPAY Cuando se realiza una compra a través de Internet en una tienda on-line, el usuario suscri- Mobipay es un sistema que permite activar to al servicio Mobipay también debe escribir su distintos medios de pago (tarjetas bancarias clave secreta en el teléfono móvil para confir- físicas o virtuales, de crédito, débito o de prepa- mar la operación. go) desde un terminal de telefonía móvil, para realizar una gran variedad de pagos y operacio- Debemos tener en cuenta, además, que ya nes, invirtiendo menos de 15 segundos en la existen teléfonos móviles que incorporan distin- confirmación de cada transacción. De este mo- tas técnicas biométricas para reforzar la seguri- do, los creadores de Mobipay pretenden que el dad en operaciones como las descritas: lectores teléfono móvil presente en el bolsillo de muchos de huellas dactilares o sistemas de reconoci- ciudadanos se convierta en la forma de pago miento de patrones faciales a partir de la cámara habitual para muchas de las compras de cada digital integrada, que permitan combinar la día. biometría con la utilización de una clave de identificación personal (sistema de identifica- Mobipay nació en julio de 2001, como fruto ción basado en dos factores). de la fusión de dos iniciativas paralelas que pretendían crear un medio de pago a través del Un usuario se puede dar de alta en el servi- teléfono móvil, desarrolladas por BBVA y Mo- cio Mobipay a través de una entidad financiera vistar (plataforma Movilpago), por una parte, y o de su operadora de telefonía móvil, pudiendo por el BSCH, Vodafone y Amena (plataforma especificar en ese momento una lista de nueve Pagomovil), por la otra. Mediante la integración posibles medios con los que pagar las operacio- de ambas plataformas, inicialmente incompati- nes, entre los que se incluyen tarjetas de crédito, bles entre sí, se pretendía desarrollar un sistema tarjetas de débito, domiciliación en cuenta co- interoperable que resultase mucho más atractivo rriente, etc. Cada vez que realice un pago me- para clientes, comercios y las entidades finan- diante Mobipay, el sistema le dará a elegir cuál cieras y operadores de telefonía participantes. de ellos quiere utilizar en esa ocasión. Las com- pras de pequeña cuantía, como las realizadas en Se crearon entonces dos compañías. La máquinas expendedoras, las microtransacciones primera es Mobipay España, que está participa- en tiendas de Internet o la recarga del teléfono si da en un 48% por casi 90 entidades financieras es de prepago, se cargan directamente a la cuen- (BBVA, Santander, Bankinter, Banco Popular, ta del propio teléfono móvil. Banesto, Barclays, Caja Madrid, el grupo de cajas rurales...), un 40% es de las tres operado- Las aplicaciones del servicio Mobipay co- ras de telefonía móvil españolas (Telefónica mo medio de pago se pueden extender a todo Móviles, Amena y Vodafone), mientras que las tipo de compras: desde las realizadas en tiendas sociedades de medios de pago Sermepa (Grupo físicas, pasando por el pago en taxis y otros Servired), Sistema 4B y Euro6000 poseen el servicios de transporte (como los autobuses 12% restante. urbanos, sistema ya implantado en algunas ciu- dades como Málaga), compra en máquinas ex- La otra compañía es Mobipay Internacio- pendedoras de bebidas o tabaco, compra de nal, pero su origen directo es el proyecto Movil- entradas de espectáculos, pago de facturas de pago, así que sus accionistas son únicamente servicios como la luz o el agua, pago de par- BBVA y Telefónica Móviles. químetros (en ciudades nórdicas como Estocol- El funcionamiento del sistema Mobipay es mo), servicios “pay per view”, pedidos encarga- muy sencillo: el comprador de cualquier artículo dos a establecimientos de comida rápida, otros en una tienda física debe proporcionar al vende- servicios a domicilio, etc. dor su número de teléfono o un alias que lo Así, por ejemplo, Mobipay firmó en junio identifique dentro del sistema. A continuación, de 2003 un acuerdo de colaboración con el el vendedor introduce estos datos en un terminal fabricante de taxímetros Taxitronic, con el fin similar al utilizado en el pago con tarjetas de de implantar en el sector del taxi el pago por crédito (datáfono) y, una vez procesados por el medio del móvil. En virtud de este acuerdo, los sistema Mobipay, el cliente recibe un mensaje clientes podrán pagar a través de sus teléfonos en su teléfono móvil con el importe de la opera-
móviles en más de 10.000 taxis, repartidos entre En agosto de 2005 el sistema Mobipay veinte ciudades españolas. El taxista que instale cumplía los cuatro años de actividad en España, este sistema sólo tendrá que marcar en su termi- contando en esa fecha con 250.000 usuarios nal el importe del recorrido y el número del registrados y 7.600 comercios adheridos. La móvil del usuario, que recibirá un mensaje don- compañía aseguraba que en su plataforma se de se le pedirá la confirmación de la operación. estaban realizando unas 80.000 transacciones al De este modo, a partir de noviembre de 2003 mes y preparaba ya su desembarco en América unos 1.400 vehículos de “Radio Teléfono Taxi” Latina, comenzando por México, Chile y Perú. y “Radio Mercedes de Madrid” comenzaron a Sin embargo, cuando se presentaba el sis- implantar en sus coches el estándar de pago por tema en 2001, las previsiones iniciales eran móvil Mobipay, mediante los terminales Taxi- mucho más optimistas, ya que sus responsables tronic. esperaban tener beneficios y contar con cuatro Posteriormente, en enero de 2004 se anun- millones de clientes en el año 2004. La realidad ciaba el acuerdo entre Mobipay y la empresa es que a mediados de 2005 el sistema Mobipay Kilowatt para utilizar el sistema en máquinas tan sólo contaba con 250.000 usuarios y, según expendedoras. Kilowatt tiene instalados en reconocía la propia compañía, no esperaban España más de 10.000 módulos de máquinas obtener beneficios en el corto plazo. expendedoras de productos como los refrescos La consultora Arthur D. Little reflejaba en de Coca Cola o los helados de Camy. Además, un estudio realizado durante 2004 que no sólo se prevé que el sistema de pago Mobipay pueda en España se han incumplido las grandes expec- ser implantado en la venta de otros productos o, tativas surgidas en torno a esta nueva modalidad incluso, en máquinas recreativas. de pago. Las predicciones indicaban que para En el caso de las máquinas expendedoras o 2003 el mercado mundial de pagos a través de de autoventa, para pagar con su teléfono móvil teléfonos móviles podrían alcanzar los 15.000 el usuario debe introducir el código mostrado en millones de dólares, cuando realmente sólo se la máquina expendedora y, tras ser informado generó un volumen de negocio de 3.200 millo- en la pantalla del móvil de la compra que está nes de dólares. realizando, autorizar la operación desde su pro- De hecho, en muchos países la existencia pio terminal. También debemos tener en cuenta de varios sistemas incompatibles entre sí, lanza- que con la incorporación de cámaras digitales de dos por distintos operadores y entidades finan- alta resolución y software de procesado de imá- cieras, explica en parte la escasa aceptación del genes y reconocimiento de caracteres, los pro- sistema. En el caso español, los analistas desta- pios teléfonos móviles podrían reconocer el can que el principal problema ha sido que las código de la máquina expendedora al ser leído propias entidades financieras no han creído en éste directamente mediante la cámara digital esta nueva tecnología y, en consecuencia, ape- integrada. nas la han dado a conocer a sus clientes. El importe del producto obtenido de la má- A nivel europeo se anunciaba en 2003 el quina expendedora se incluirá en la factura lanzamiento de una nueva plataforma denomi- mensual del teléfono móvil, en el caso de ser nada SIMPAY, fruto de la colaboración de los cliente de contrato, aunque también se podría cuatro mayores operadores de telefonía móvil descontar directamente del saldo de su tarjeta si de Europa: Movistar, Vodafone, Orange y T- se tratase de un usuario de prepago. Mobil. Esta plataforma se daba a conocer en En enero de 2005 se extendía el servicio de España en febrero de 2005, siendo compatible pago Mobipay a 60 máquinas expendedoras de con el sistema Mobipay. Sin embargo, poco bebidas y alimentos situadas en aeropuertos, después sus socios decidían “aparcar temporal- estaciones de tren, centros comerciales y univer- mente” este proyecto, a la espera de una situa- sidades de las provincias de Madrid y de Sevi- ción más propicia en los mercados. lla. 5. EL PROBLEMA DEL FRAUDE EN Por otra parte, en junio de 2004 Mobipay INTERNET firmó un acuerdo con las empresas Consultrans En la actualidad, para realizar muchas y ENQ (Grupo Etra) para extender esta modali- compras en Internet basta con facilitar un núme- dad de pago en el transporte interurbano de ro válido y una fecha de caducidad de una tarje- pasajeros en España, ofreciendo a sus usuarios ta de crédito, sin ningún otro tipo de requisito la posibilidad de realizar las reservas y el pago para la identificación del poseedor de la tarjeta. de los billetes a través del móvil. Además, el protocolo SSL, el más extendido
entre los comercios electrónicos, no permite En otros casos, la sustracción de los datos garantizar en muchos casos la identidad del de los clientes, incluidos sus números de tarjetas comprador, al no emplear certificados digitales de crédito, de ordenadores conectados a Internet de cliente (sólo se utilizan en la parte del servi- que han sido víctimas de ataques informáticos dor Web del comercio). constituye otro de los medios utilizados para obtener los datos necesarios para realizar opera- Además, los distintos estudios realizados en ciones fraudulentas en Internet. estos últimos años coinciden en señalar que la principal preocupación de los usuarios de Inter- Podemos citar numerosos incidentes rela- net es la falta de confianza en la seguridad en cionados con la falta de seguridad de las tarjetas las transacciones realizadas en tiendas on-line. de crédito. Así, por ejemplo, en el año 1999, un “cracker” localizado en Rusia consiguió hacerse En un informe de Gartner Group publicado con los datos de más de 300.000 tarjetas de en julio de 2000, se señalaba que el índice de crédito de los clientes que figuraban en la base operaciones fraudulentas en las compras con de datos de CD Universe, un distribuidor de tarjetas de crédito por Internet multiplicaba por Compact-Disc a través de Internet. 12 el del comercio tradicional. En diciembre de 2000 la empresa Credit- En 1999, MasterCard sufrió fraudes por cards.com, dedicada a la refinanciación de deu- 740 millones de euros, un tercio más que en das en los pagos mediante tarjeta de crédito, 1998, mientras que VISA vio crecer el fraude un sufrió el robo de la información de otros 55.000 28%, hasta los 1.985 millones de euros. clientes suyos. Según los resultados de otro estudio publi- También en diciembre de 2000 unos “crac- cado en Francia en marzo de 2002 y realizado kers” conseguían acceder a la base de datos de por el instituto Gartner Group, el fraude detec- la empresa Egghead.com, dedicada a la venta de tado en los pagos con tarjeta de crédito por material informático y electrónico por Internet, Internet se elevaba al 1,1%, mientras que el con sede en la ciudad californiana de Menlo nivel de fraude en el conjunto de los pagos con Park (Estados Unidos). Los archivos asaltados tarjetas era de sólo el 0,026%. En la opinión de contenían información de sus 3,7 millones de los autores, el riesgo de fraude en los pagos por clientes e incluían los datos de sus tarjetas de Internet es “potencialmente elevado” y los mé- crédito. todos utilizados para las transacciones on-line tienen problemas “a menudo inquietantes”. En febrero de 2001 un grupo militante co- ntra la globalización consiguió violar la seguri- El consumidor está protegido del fraude dad del sistema informático del Foro Económi- siempre que rechace a tiempo el cargo no reco- co Mundial de Davos (Suiza), por lo que pudo nocido en el extracto mensual de la tarjeta de tener acceso a los datos de 1.400 tarjetas de crédito. Sin embargo, la “cibercriminalidad” crédito de destacados participantes en las distin- hace aumentar los tipos de interés de las tarjetas tas ediciones del evento, así como otros datos y provoca que las comisiones cobradas a los personales y económicos (números de pasaporte vendedores on-line sean muy superiores a las y de teléfono móvil, direcciones de correo elec- que pagan los comercios tradicionales, por lo trónico, claves de entrada, etc.) de personalida- que a la postre termina perjudicando al usuario. des como el ex-presidente estadounidense Bill Además, en muchos casos los comercios Clinton, el fundador de Microsoft, Bill Gates, o virtuales deben cargar con todas las responsabi- el primer ministro chino Li Peng. El dominical lidades y los costes asociados a las operaciones suizo Sonntagszeitung recibió como prueba un en caso de fraude, mientras que las entidades CD-ROM enviado por los piratas con 165 Mby- emisoras de las tarjetas son las que normalmente tes de datos sustraídos sobre los participantes. asumen el importe del fraude cuando se trata de Las empresas de tarjetas de crédito tuvieron que comercios tradicionales. bloquear inmediatamente las tarjetas afectadas, para evitar que los piratas pudieran realizar El fuerte crecimiento del fraude en el nego- compras con ellas. cio de las tarjetas se debe, en parte, al software distribuido por piratas informáticos a través de Posteriormente, en febrero de 2003 otro Internet que permite que cualquier usuario con “cracker” consiguió burlar el sistema de seguri- unos mínimos conocimientos de informática dad de la empresa Data Processors International, (basta con instalar y ejecutar dicho programa en que procesa las transacciones comerciales por su ordenador) pueda generar números de tarjetas correo de las compañías VISA y MasterCard, de crédito perfectamente válidos. por lo que pudo acceder a los datos de ocho
millones de tarjetas de crédito en Estados Uni- por teléfono o por Internet. También se les soli- dos. citarán detalles sobre su dirección, una medida desconocida en Europa pero habitual en Estados Asimismo, las técnicas de “skimming”, Unidos, país en el que se ha desarrollado con consistentes en la duplicación de una tarjeta de éxito el sistema AVS (Address Verification crédito cuando se registran sus datos en un falso Service, Servicio de Verificación del Domicilio) lector incorporado a un datáfono o en la puerta para reducir el número de operaciones fraudu- de un cajero automático, permiten a bandas de lentas. delincuentes perfectamente organizados (gene- ralmente procedentes de países del Este de Eu- Podemos destacar otros dos nuevos servi- ropa) sustraer este tipo de datos para realizar cios de VISA y MasterCard para reducir el posteriormente operaciones fraudulentas, tanto fraude en la compra mediante tarjetas de crédi- dentro como fuera de Internet. to. De hecho, en 2003 sólo en la ciudad de Así, mediante el servicio “Verified by Vi- Madrid se registraron casi ocho denuncias dia- sa” (www.verifiedbyvisa.com), presentado en rias de usuarios estafados por la clonación de su abril de 2002 y disponible inicialmente en Esta- tarjeta (“skimming”), según fuentes policiales. dos Unidos, el titular de la tarjeta de crédito debe registrar en el Website de Visa una contra- Según informaba en mayo de 2002 el pe- seña que asocia a su tarjeta y que sólo él mismo riódico The New York Times, el mercado de conoce. Para poder comprar con la tarjeta en las venta de números de tarjetas de crédito estaba tiendas on-line asociadas a este programa será alcanzando unas dimensiones alarmantes. Los necesario introducir los datos de la tarjeta y la datos robados de decenas de miles de tarjetas de contraseña creada por el titular. crédito se estaban ofreciendo al mejor postor en Websites operados en su mayoría por residentes Por otra parte, el servicio bautizado como de la antigua Unión Soviética o de otros países “SecureCode” de la empresa MasterCard de Europa del Este. (www.mastercardmerchant.com/securecode/), lanzado en octubre de 2002 para las tarjetas que El precio por tarjeta podía oscilar entre los llevan las marcas MasterCard y Maestro, tiene 40 centavos de dólar y los 5 dólares, dependien- un esquema de funcionamiento similar al ante- do del nivel de autentificación logrado. Nor- rior. malmente, los datos se ofrecían en paquetes de, por ejemplo, 5.000 tarjetas a 1.000 dólares, y se En este caso, el titular de la tarjeta debe re- cobraban a través de cuentas on-line en deter- gistrar su propio código de seguridad a través de minados Websites como www.webmoney.ru. Internet o por teléfono. Este código es otorgado Estos datos se estaban empleando para realizar y gestionado directamente por la entidad finan- compras fraudulentas en tiendas on-line, así ciera emisora de la tarjeta MasterCard o Maes- como para la extracción fraudulenta de dinero tro y nunca será facilitado a los comercios don- en cajeros automáticos. de se utilice dicha tarjeta. A la hora de confir- mar una operación de compra en Internet, Mas- Por todo ello, VISA y MasterCard han de- terCard SecureCode solicitará al titular de la cidido reforzar la seguridad de las tarjetas de tarjeta que realiza la compra que introduzca su crédito, mediante la incorporación un chip que código secreto en una ventana que aparecerá en solicitará al poseedor un código secreto para la pantalla de su ordenador o en su teléfono cada operación. Esta reconversión de las tarjetas móvil, para poder completar de forma segura la de crédito, que pretende frenar la desconfianza transacción. Este proceso es equivalente al reci- de los consumidores ante el espectacular creci- bo firmado por el titular de la tarjeta, por lo que miento del fraude en Internet, supondrá una garantiza la autorización de la operación basada fuerte inversión para las empresas responsables en la autenticación del titular a través del código de la gestión de tarjetas de crédito y de débito, secreto. como VISA, MasterCard, 4B, Red 6000, Din- ners y American Express. Debemos destacar, a modo de conclusión de este capítulo, que los principales problemas VISA y MasterCard han acordado una me- de operaciones fraudulentas a través de Internet dida previa, implantada ya en algunos países vienen motivados por la utilización de un medio como el Reino Unido, por la cual los emisores de pago, la tarjeta de crédito, que inicialmente de las tarjetas de crédito deben incluir tres dígi- no estaba pensado para la realización de com- tos en la parte posterior de las mismas. De este pras on-line. modo, los consumidores tendrán que facilitar estos tres dígitos cuando realicen sus compras
Además, las actuales tarjetas de crédito ba- eCash: http://www.digicash.com sadas en una tarjeta de plástico con banda mag- http://www.ecashtechnologies.com nética son muy fáciles de falsificar (mediante técnicas como el “skimming” en los cajeros PayPal: http://www.paypal.com automáticos) y, en muchos otros casos, estos ePagado: http://www.epagado.com datos se encuentran al alcance de un experto informático que pueda acceder a la base de Morsopay: http://www.morsopay.com datos del servidor de una tienda, aprovechando alguno de los fallos de seguridad que afectan a Qpass: http://www.qpass.com miles de ordenadores con una configuración y BitPass: http://www.bitpass.com un mantenimiento inadecuados y que están conectados a Internet. PayStone: http://www.paystone.com
Los datos enviados a través de una co- Firstgate: http://www.firstgate.com
nexión segura, mediante el protocolo SSL o PepperCoin: SET, son muy difíciles de desencriptar utilizan- http://www.peppercoin.com do los medios informáticos disponibles en la actualidad. De hecho, no se encuentra aquí la Mobipay: http://www.mobipay.com raíz del problema, sino que en muchos casos los Verified by Visa: datos de las tarjetas de crédito se obtienen a http://www.verifiedbyvisa.com través de otras fuentes: se recopilan de tickets y recibos de compra impresos en papel en los que MasterCard Secure Code: se incluyen el número de la tarjeta y su fecha de http://www.mastercardmerchant.com/s caducidad, se obtienen mediante la técnica de ecurecode/ “skimming” en cajeros automáticos, se roban de bases de datos de ordenadores vulnerables a ataques informáticos o, incluso, se obtienen RESEÑA CURRICULAR DEL AUTOR mediante engaños y técnicas de “ingeniería Álvaro Gómez Vieites social”, como podrían ser falsas llamadas tele- fónicas al titular de una tarjeta o cuenta bancaria Ingeniero de Telecomunicación por la Uni- para solicitar sus claves en nombre de la entidad versidad de Vigo. Especialidades de Telemática emisora. Además, el “pharming” y el “phishing” y de Comunicaciones. Número uno de su pro- también pueden ser empleados para robar y moción (1996) y Premio Extraordinario Fin de utilizar de forma fraudulenta números de tarje- Carrera. tas de crédito. Ingeniero Técnico en Informática de Ges- La sustitución de las tarjetas de banda mag- tión” por la UNED (2004-2006). Premio al nética por “tarjetas chip”, la utilización de certi- mejor expediente académico del curso 2004- ficados digitales de cliente y no sólo de servi- 2005 en la Escuela Técnica Superior de Ingenie- dor, así como el recurso a protocolos para ges- ría Informática de la UNED tionar las transacciones como SET o como “Executive MBA” y “Diploma in Business SSLv3, constituyen algunas de las medidas de Administration” por la Escuela de Negocios seguridad que deberían impulsar las entidades Caixanova. financieras y las empresas emisoras de las tarje- tas de crédito, como VISA y MasterCard. Ha sido Director de Sistemas de Informa- ción y Control de Gestión en la Escuela de Ne- Además, las campañas de sensibilización y gocios Caixanova. Profesor colaborador de esta formación dirigidas a usuarios y comerciantes entidad desde 1996, responsable de los cursos y contribuirían a evitar la mayor parte de los casos seminarios sobre Internet, Marketing Digital y de utilización fraudulenta de las tarjetas de cré- Comercio Electrónico. dito y otros medios de pago. Socio-Director de la empresa SIMCe Con- 6. REFERENCIAS DE INTERÉS sultores, integrada en el Grupo EOSA. eCheck: http://www.echeck.org/ Autor de varios libros y numerosos artícu- NetCheque: http://www.netcheque.org/ los sobre el impacto de Internet y las TICs en la gestión empresarial. NetChex: http://www.netchex.com/ Cybercash: http://www.cybercash.com