El comercio electrónico ha prosperado gracias a la capacidad de realizar transacciones seguras en línea utilizando las herramientas adecuadas. Estas herramientas son el cifrado de clave pública y los certificados digitales.
El cifrado de clave pública utiliza SSL (Secure Sockets Layer) para cifrar todos los datos entre la computadora del cliente y el sitio web de comercio electrónico. La información se envía en forma cifrada al sitio utilizando la clave pública del sitio. Al recibir la información, el sitio utiliza su clave privada para descifrar la información. A esto se le llama par de claves. Los intrusos que puedan capturar datos en el camino lo encontrarán ilegible.
El problema, sin embargo, es que cualquiera puede crear un sitio web y un par de claves con un nombre que no le pertenece. Aquí es donde entran en juego los certificados digitales. Los certificados digitales son tarjetas de identificación de confianza en formato electrónico que vinculan la clave de cifrado pública de un sitio web a su identidad con fines de confianza pública.
Los certificados digitales son emitidos por un tercero independiente, reconocido y de confianza mutua que garantiza que el sitio web que opera es quien dice ser. Este tercero se conoce como una autoridad de certificación (CA). Sin certificados digitales, el público tiene poca seguridad en cuanto a la legitimidad de un sitio web en particular.
Un certificado digital contiene el nombre, la dirección, el número de serie, la clave pública, la fecha de vencimiento y la firma digital de una entidad, entre otra información. Cuando un navegador web como Firefox, Netscape o Internet Explorer establece una conexión segura, el certificado digital se entrega automáticamente para su revisión. El navegador lo comprueba en busca de anomalías o problemas, y muestra una alerta si se encuentra alguno. Cuando los certificados digitales están en orden, el navegador completa conexiones seguras sin interrupciones.
Aunque es poco común, ha habido casos de estafas de phishing que duplicaron un sitio web y ‘secuestraron’ el certificado digital del sitio para engañar a los clientes y hacerles entregar información personal. Estas estafas implicaron redirigir al cliente al sitio real para su autenticación y luego traerlo de vuelta al sitio web engañado. Otras estafas de phishing utilizan certificados digitales autofirmados para deshacerse del tercero de confianza o de la Autoridad de certificación por completo. El emisor del certificado digital y el firmante son uno en el mismo. Un navegador alertará en este caso, pero la mayoría de los usuarios hacen clic de todos modos, sin comprender la diferencia.
Los certificados digitales juegan un papel integral en la seguridad del comercio en línea. Si su navegador le advierte de un problema con un certificado digital, le recomendamos que no haga clic. En su lugar, llame a la empresa utilizando un número de teléfono de sus estados de cuenta o directorio telefónico y pregunte cuál es el problema.
No todas las Autoridades de certificación son iguales. Algunas CA son más nuevas y menos conocidas. Dos ejemplos de CA de gran confianza son VeriSign y Thawte. Si su navegador no reconoce una autoridad certificadora, le avisará.