Investigadores del Reino Unido han ideado un nuevo enfoque para las compras on-line más seguro, porque no arriesga la seguridad del banco o los datos de la tarjeta de crédito. El hallazgo, publicado en Inderscience del International Journal of Electronic Security and Digital Forensics, se basa en un número de la tarjeta de crédito desechable para proteger a los consumidores del fraude de las compras on-line.
Hoy, las transacciones del comercio electrónico se realizan enviando los datos de la tarjeta de crédito del cliente por Internet, entre un navegador de web y el sitio de comercio electrónico. A pesar de la seguridad elemental, todavía se producen muchos fraudes.
El aspecto más inseguro de todo el proceso, explica Ayoub Shirvani, investigador de la Universidad de Anglia Ruskin, es el paso de la autenticación del cliente, ya que la mayor parte de los sitios web de comercio electrónico, por lo general, sólo requieren los datos de la tarjeta de crédito del cliente para validar la venta. No hay ninguna certificación del cliente que hace la compra, lo que significa que alguien que robe información de la tarjeta de crédito podría utilizarla para comprar bienes y servicios on-line de forma fraudulenta.
La certificación del cliente no es el único problema, según cuentan los investigadores. Una vez que se introducen los datos de una tarjeta de crédito en un sitio de compra u otro sitio de comercio electrónico, éstos quedan almacenados sin encriptar en la base de datos del comerciante, lo que significa que podrían ser recuperados por alguien con acceso a esa base de datos, como un empleado sin escrúpulos o alguien que acceda desde fuera.
Los investigadores señalan que ya ha pasado más de una década desde que los expertos en seguridad informática refrendaran el protocolo de Transacciones Electrónicas Seguras (TES) para tratar de solucionar este problema enviando los datos de la tarjeta de crédito del cliente de forma encriptada. Sin embargo, el sistema resultó muy complicado y, por ello, no se ha adoptado en los sitios de comercio electrónico.
En su lugar, Shirvani y su equipo proponen la idea de un número de la tarjeta de crédito desechable (en inglés disposable credit card number - DCCN) que podría superar la gran mayoría de amenazas a la seguridad. Así, los DCCNs podrían generarse en modo off-line (fuera de línea) usando una llave secreta precompartida entre el emisor y el cliente una sola vez, al hacer una compra electrónica.
El concepto está relacionado con los vales de crédito y los sistemas de ticket regalo usados por algunos sitios de comercio electrónico, pero con sistema off-line no existe necesidad de pasar los datos de la tarjeta de crédito a través de Internet para crear un código de vale. El enfoque off-line también esquivaría cualquier cuestión potencial de seguridad e instauración que podrían relacionarse con los DCCNs on-line como Private Payment y SecureClick.
Al generar DCCNs en modo off-line, el cliente registra su tarjeta de crédito con su emisor y recibe una clave secreta asociada. El usuario utilizará entonces esta llave secreta junto con un dispositivo de cálculo simple como puede ser una tarjeta inteligente, una PDA o un teléfono móvil para generar un código encriptado, conocido como un hash, que está basado en el precio de los productos que la persona tenga la intención de comprar y otros datos del sitio de comercio electrónico.
El hash resultante se adapta para formar el DCCN, y luego se envía por Internet en vez de los datos de la tarjeta de crédito. El sitio de compras valida el DCCN como cualquier tarjeta de crédito normal sin ver o tener que almacenar sus verdaderos datos de tarjeta de crédito. Por consiguiente, concluyen los investigadores, el cliente puede hacer compras sin necesidad de preocuparse de que sus datos confidenciales se vean comprometidos.