Todo sobre la seguridad en línea

Pagar impuestos y servicios a través de la Web es, corralito mediante, una práctica que crece en adeptos, lo mismo comprar en línea en sitios locales, por alguna diferencia en precio que pueden ofrecer.

Pero esta práctica, muy cómoda, todavía se enfrenta con el temor de muchos navegantes: ¿quedarán los números de la tarjeta de crédito, el PIN y diversas contraseñas expuestas a todos los piratas informáticos del planeta?

En definitiva: ¿es seguro hacer transacciones comerciales por Internet?

La respuesta de los expertos es que sí. Pero aclaran rápidamente que problemas ha habido: el punto es que los inconvenientes que han experimentado algunos usuarios son, en rigor, una falla humana, no una debilidad del sistema.

No se tomaron ciertas precauciones a la hora de transferir información privada, y así le sirvieron los datos a los piratas en bandeja de oro, así se estuviera pagando la luz, comprando zapatillas o chateando con gente de todo el mundo.

Puesto que la prudencia es la mejor manera de evitar los disgustos, en esta nota le explicamos qué consideraciones debe tener para poder navegar en forma segura.

Para proteger los datos que los navegantes intercambian con un sitio de comercio electrónico es que surgió la idea de encriptarlos , es decir, codificarlos: cambiar, con una fórmula matemática, la manera en que son anotados. Esto evita que un tercero intercepte los datos y pueda leerlos. Se dice que los datos están cifrados o encriptados.

La encriptación de datos se usa en el comercio electrónico en forma de certificados. El certificado es una forma de identificar un sitio y probar que él es, efectivamente, quien dice ser: una suerte de documento de identidad para la Web.

El navegante, por ejemplo, entra a www.comercio.com.ar porque quiere comprar algo, o a sitios como www.pagomiscuentas.com.ar o www.pagoslink.com.ar (para las redes de Banelco y Link, respectivamente), que permiten pagar todo tipo de impuestos y servicios en la Red usando la tarjeta de débito o crédito.

Elige el producto que desea adquirir o el servicio que va a abonar, verifica que el monto y precio son los estipulados, y cuando llega el momento de pagar (previo paso, en un sitio de e-commerce, por el carrito de compras) se le pide el número de la tarjeta de crédito. Si es la página de homebanking del banco, ya desde el ingreso habrá pedido el número de su documento de identidad y su clave.

¿Cómo sabe el navegante que esos datos están llegando al banco o al comerciante, y no a un pirata informático?

Las páginas Web que requieren el ingreso de información personal usan la encriptación, precisamente, para ser así seguras : la forma de comprobarlo es ver que aparece, en el navegador (tanto en el Internet Explorer como en el Netscape ), un candadito cerrado en la base de la ventana, a la derecha.

¿Qué significa este candado? Que los datos están encriptados para que sólo los pueda comprender el servidor del banco o del comerciante, y el cliente.

Es decir, se está haciendo uso de la criptografía de clave pública. Esta se basa en la codificación de los datos con dos claves. El acceso a la casilla de correo, o al cajero automático, es con una clave simétrica: hay una sola clave, que comparten el usuario y la aplicación que guarda los datos.

En el sistema asimétrico, de dos números primos muy grandes (entre 512 y 2048 bits, usualmente) se generan dos claves. Se usan estos números porque es extremadamente difícil factorizar las claves para recuperar los primos originales.

Una de las claves es pública: cualquiera puede verla y tenerla. La otra es privada: sólo su dueño la posee. La idea del sistema es usar ambas en forma complementaria.

"Cuando el navegador accede a un sitio y se establece una conexión segura, usando el protocolo SSL ( Secure Sockets Layer , un estándar de encriptado desarrollado por Netscape) el navegante recibe la clave pública, y su computadora encripta todos los datos que envía con esa clave", explica Hugo Scolnik, director de Certisur, la afiliada local de VeriSign, la empresa emisora de certificados más grande del mundo.

Ahí aparece el candadito en la base de la ventana del browser. Al hacer clic sobre él se puede ver la clave pública (en la solapa Detalles ).

"De hecho, es lo que hay que hacer siempre -advierte Scolnik-. Hubo un tipo que montó un sitio falsamente seguro, y la gente creía que lo era porque veía el candadito, que en realidad era un GIF."

Por eso hay que cliquear sobre el icono del candado, verificar que el certificado esté en regla, que sea válido, que no esté vencido, etcétera.

"Como es asimétrica, la única manera de decodificar esos datos es usando la clave privada del sitio -afirma Scolnik-. Por eso éste es un sistema esencialmente inviolable."

Los carritos de compra funcionan de la misma manera. "Lo que hay que fijarse es en el tema del candadito, pero no es lo único -explica el argentino Rodrigo Alhadeff, que creó Comersus , un carrito de compras de código abierto que hoy usan más de 10.000 sitios-. Además hay que comprobar que los datos que uno va a enviar lleguen a un sitio seguro.

"La manera de darse cuenta es verificando que el servidor usa SSL: la dirección de la página comienza con HTTPS. Hasta que no se haga clic en el botón Enviar , los datos no salen de la máquina y, por lo tanto, están seguros. El tema es confirmar que vayan a un sitio seguro, no sólo que sea segura la página HTML en que se ingresan los datos. Eso es algo que se puede ver en el código fuente de la página.

"En un sitio que inicialmente no muestra el candado, pero que tiene como destino un HTTPS, los datos igual van a ser encriptados."

El otro punto, explica Alhadeff, es qué hace después la compañía con esos datos. "Puede usar un servidor seguro para recibirlos, pero también es muy importante que encripte su base de datos, ante la posibilidad de que entre un pirata informático y se robe información, o algo por el estilo. Lamentablemente, no hay una forma estándar de comprobar esto", explica.

"Una librería local, por ejemplo, puso su sitio seguro de venta en línea, pero no protegió su base de datos. Alguien se la robó, y tuvo acceso a muchísimos datos personales sin dificultad. Ahí, el problema no es de la tecnología, sino que es un error humano -afirma Scolnik-. De hecho, hasta ahora, nunca se detectó un fraude con una tarjeta de crédito en una transacción comercial on line.

"Si algún usuario tuvo problemas es porque se robaron los datos de alguna base, no porque hayan interceptado la comunicación con el servidor seguro."

Ambos expertos aconsejan no tener una ventana del navegador abierta en una página estándar no segura mientras se hacen transacciones en otra. "Sería muy raro, pero podría pasar que esa página que no es segura capture los datos que se están transmitiendo a la otra", dice Scolnik.

Otra función vital para poder hacer transacciones en línea son las cookies, unos archivos de texto que le dicen a un sitio quién es el que lo visita, si es usuario habitual, recuerda algunas preferencias, etcétera.

Las cookies son una manera de identificar al visitante; por eso, si las tiene deshabilitadas, no podrá hacer homebanking ni comercio electrónico.

Por lo general están activadas. Si no es así, puede hacerlo desde Herramientas>Opciones de Internet>Seguridad>Nivel personalizado (en el Internet Explorer 5.x ); en el IE 6 en vez de Seguridad hay que ir a la solapa Privacidad>Opciones avanzadas . Con el botón Editar puede, además, definir los sitios confiables.

Si usa el Netscape 6.x , debe ir al menú Editar>Preferencias>Privacidad y seguridad>Cookies y ahí habilitarlas.

Guerra nuclear

Los habitués del chat habrán oído hablar de alguien a quien acaban de nukear . Nuke , en inglés, es atacar con una bomba atómica. La Internet no carece de su ataque nuclear: se lo conoce genéricamente como denegación de servicio ( denial of service ) y consiste en enviar a la computadora víctima información corrupta que no pueda procesar.

Durante la navegación, la computadora envía y recibe datos; entre ellos hay paquetes que le piden información, tiempo de respuesta, etcétera. Los ataques como el WinNuke , Ping of Death , Smurf , OOBNuke o TearDrop envían paquetes mal configurados, que se superponen con otros, saturan la conexión y demás. El síntoma es bastante claro: la máquina se desconecta de la Red o se cuelga sin motivo aparente.

¿Cómo defenderse? Primero, actualizando todo el sistema operativo y el software de acceso a Internet. Cuando se descubre un agujero potencial por donde podría entrar un pirata informático, las compañías desarrolladoras de los programas liberan parches para taparlos.

Luego, hay varias herramientas que se pueden aplicar, independientemente de que se esté en un salón de chat o no.

Una es el firewall , o cortafuegos, un programa que controla todos los datos que salen y entran de la computadora. Una aplicación de este tipo es capaz de cerrar puertos TCP/IP a voluntad, y bloquear los ataques.

Hay dos gratis y muy buenos, mencionados con frecuencia en este suplemento: Zone Alarm ( www.zonelabs.com ) y Tiny Personal Firewall ( www.tinysoftware.com ).

Otra herramienta es un monitor de puertos como el NukeNabber 2.9 ( www.dynamsol.com/puppet/nukenabber.html ) o el ProPort ( www.tdupage.com ).

Las dos aplicaciones son freeware. Cuidado con el NukeNabber 3.0 , que es falso y viene con un troyano.

Por último, un consejo reiterado pero no por eso menos útil: no aceptar software de extraños, y si lo hace, verificar que no tenga virus con un antivirus actualizado.

El problema aquí no es que una aplicación maligna haga que se envíe e-mail infectado a amigos y conocidos, sino que se instale, sin saberlo, un troyano que le abra una puerta de la PC a un ladrón digital y deje a la vista todos los archivos personales.

Información protegida

• Para pagar impuestos o comprar por Internet, verifique que la conexión sea segura (el browser muestra un candado cerrado).

• Si quiere mantener su correo electrónico privado, use encriptación de datos, al estilo del estándar PGP ( Pretty Good Privacy ).

• Tenga el sistema operativo y el antivirus actualizados, y un firewall para evitar los intrusos en su PC.

Una herramienta para tener Bastante Buena Privacidad en el e-mail

PGP (Pretty Good Privacy) es una tecnología para encriptar mensajesy evitar que un tercero los lea sin permiso

La tecnología de encriptación por clave pública también puede ser muy útil en el e-mail. Sirve para dos cosas: para certificar que el mensaje recibido fue realmente creado por el remitente y para asegurar que sólo pueda leerlo un receptor.

Este sistema se conoce como firma digital, y en nuestro país está avalado por la ley 25.506 (el suplemento Mi PC le dedicó una nota al tema el 20 de noviembre de 2000).

¿Le parece útil? Sólo tiene que instalar algún software que use el estándar PGP ( Pretty Good Privacy , bastante buena privacidad, en inglés), creado por Philip Zimmermann. En www.pgpi.org , la página internacional del protocolo, encontrará software gratis para todo tipo de sistemas operativos.

Cuando instale el programa, le pedirá un nombre y una dirección de correo: sobre ésa generará las claves pública y privada. La pública es la que le debe mandar a sus amigos e interlocutores con quien quiera intercambiar información segura.

Para mandar un mensaje, el programa usará la clave privada y creará un texto que sólo se podrá decodificar con la pública. Si alguien le quiere mandar un e-mail y asegurarse de que sólo usted pueda leerlo, debe usar la clave pública. Al llegar el mensaje, sólo tiene que desencriptarlo con la clave privada, y listo.

Parece un trabalenguas, pero afortunadamente el proceso es bastante rápido y transparente para el usuario, y sólo requiere un par de clics. Si está pensando en un webmail seguro, puede optar por HushMail ( www.hushmail.com ).

Recaudos para el cibercafé

Cómo navegaren una PC sin dejar datos personales

El concepto de seguridad en línea es similar al que se usa en el resto del trajín cotidiano: no dar datos personales a desconocidos y mantener las contraseñas fuera del alcance de ojos indiscretos. Las buenas claves son de 8 caracteres (o más), combinan números con mayúsculas, minúsculas y símbolos (si el sistema lo admite) y no son una palabra o una combinación de datos deducibles (como un cumpleaños, dirección postal, número de DNI, etcétera). Más datos, en La Compu, en la página 2.

Asimismo, si entra a un sitio con contraseña en un cibercafé (para ver el mail, pagar un servicio o ver el saldo de una cuenta en el banco) lo ideal es, cuando termina la sesión, cerrar todas las páginas abiertas del navegador, para así evitar que alguien pueda usar el Historial del browser para acceder a una página privada.

También es aconsejable borrar todas las cookies y archivos temporales creados por esta aplicación. En el Internet Explorer (IE) vaya a Herramientas> Opciones de Internet . Allí verá dos botones: Eliminar cookies y Eliminar archivos . Con ellos eliminará todos los rastros de su recorrido por la Web.

Además, evite usar la opción de registro de contraseñas y datos del IE. Es cómoda para una computadora a la que sólo usted tiene acceso, pero no para un navegador de una máquina compartida. Para evitar que esa información quede en una computadora ajena, vaya a Herramientas>Opciones de Internet> Contenido>Autocompletar y con sendos botones borre datos de formularios y contraseñas.

En el Netscape 6.x se accede a todas estas funciones desde Editar>Preferencias>Privacidad y seguridad .

Conforme a los criterios de

Conocé más