Comercio Electrónico Seguro y DNI Electrónico: Claves para Transacciones Protegidas

En la era digital actual, el comercio electrónico ha experimentado un crecimiento sin precedentes. Cada vez más personas realizan compras en línea, desde bienes físicos hasta servicios digitales. Solo en 2020, las ventas se dispararon más de un 20% en España, pasando de representar un 0,7% a un 7,4% de todas las ventas en una década. A los consumidores nos resulta sencillo y práctico comprar desde cualquier lugar, pero no debemos obviar el hecho de que existen riesgos asociados a las compras en remoto. Con el aumento de las compras online, también han aumentado los intentos de los ciberdelincuentes para robar información de los sitios de comercio electrónico y de los propios usuarios, y nadie está exento de sufrir uno de estos ciberataques.

La seguridad en las transacciones electrónicas ha mejorado mucho en la última década. La clave de comercio electrónico seguro es un elemento esencial en la protección de las transacciones en línea. Se trata de una contraseña o código secreto que el usuario utiliza para autenticarse y confirmar su identidad durante una transacción en un sitio web de comercio electrónico. La importancia de la clave de comercio electrónico seguro radica en su capacidad para proteger la información financiera y personal de los usuarios en línea. Al agregar una capa de autenticación adicional, ayuda a prevenir el fraude y el robo de identidad, lo que brinda tranquilidad a los usuarios al saber que sus transacciones están protegidas por medidas de seguridad robustas.

El DNI Electrónico: Un Pilar de Seguridad en Línea

El DNI electrónico es una tarjeta inteligente que contiene un microprocesador y un certificado digital. Es una forma de identificación electrónica que se utiliza en España para interactuar con Administraciones Públicas y otras entidades corporativas que requieren una identificación segura. El DNI electrónico tiene la misma validez legal que el DNI físico tradicional, lo que significa que es una forma de identificación oficialmente reconocida en España. También se puede utilizar para acceder a servicios en línea, como consultas médicas, solicitudes de certificados y declaraciones de impuestos.

Funciones de Seguridad del DNI Electrónico

Para hacer uso del DNI en los términos expuestos anteriormente, éste provee las siguientes funciones de seguridad:

1. Autenticación

La tarjeta DNI dispone de distintos métodos de autenticación, mediante los que una entidad externa demuestra su identidad, o el conocimiento de algún dato secreto almacenado en la tarjeta. La correcta realización de cada uno de estos métodos permite obtener unas condiciones de seguridad, que podrán ser requeridas para el acceso a los distintos recursos de la tarjeta.

• Autenticación de usuario (PIN): La tarjeta DNI soporta verificación de usuario (CHV - Card Holder verification). Esta operación es realizada comprobando el código facilitado por la entidad externa a través del correspondiente comando. Cada código CHV tiene su propio contador de intentos (típicamente = 3). Tras una presentación válida de PIN, el contador de reintentos correspondiente es automáticamente puesto a su valor inicial. El contador de intentos es decrementado cada vez que se realiza una presentación errónea, pudiendo llegar a bloquearlo si el contador llega a cero. Es posible desbloquear un código tras una correcta presentación de la huella dactilar del usuario, que en este caso actúa de código de desbloqueo. A su vez estas presentaciones de huellas tienen su propio contador de intentos. Si el número de intentos de presentación de huella dactilar se agota, no será posible realizar la operación de desbloqueo. Es posible cambiar el código de CHV a un nuevo valor presentando el valor actual o presentando la huella dactilar. El código PIN es personal e intransferible, por tanto, únicamente debe ser conocido por el titular de la tarjeta en cuestión.
• Autenticación de usuarios mediante datos biométricos: La tarjeta DNI permite realizar una identificación biométrica del titular de ésta, si bien esta función sólo estará disponible en puntos de acceso controlados. Tras obtener los datos biométricos del dispositivo lector de huellas, se presenta la información a la tarjeta. Si la evaluación supera el umbral, la verificación es correcta. En caso contrario, la tarjeta anota una presentación errónea sobre esa huella devolviendo el número de intentos restantes.
• Autenticación de aplicación: El propósito de este método de autenticación es que la entidad externa demuestre tener conocimiento del nombre y valor de un código secreto. Para realizar esta autenticación de aplicación, se utiliza un protocolo de desafío-respuesta con los siguientes pasos:
  1. La aplicación pide un desafío a la tarjeta.
  2. La aplicación debe aplicar un algoritmo a este desafío junto con el correspondiente código secreto y nombre de la clave.
  3. La tarjeta realiza la misma operación y compara el resultado con los datos transmitidos por la aplicación. En caso de coincidir, considera correcta la presentación para posteriores operaciones.
• Autenticación mutua: Este procedimiento permite que cada una de las partes (tarjeta y aplicación externa) confíe en la otra, mediante la presentación mutua de certificados, y su verificación. En el proceso, también se incluye el intercambio seguro de unas claves de sesión, que deberán ser utilizadas para securizar (cifrar) todos los mensajes intercambiados posteriormente. Las dos opciones disponibles están basadas en la especificación "CWA 14890-1 Application Interface for smart cards used as Secured Signature Creation Devices - Part 1", y son:
  • Autenticación con intercambio de claves (descrita en el capítulo 8.4 de CWA 14890-1).
  • Autenticación de dispositivos con protección de la privacidad (descrita en el capítulo 8.5 de CWA 14890-1).

2. Securización de Mensajes

La tarjeta DNI permite la posibilidad de establecer un canal seguro entre el terminal y la tarjeta que securice los mensajes transmitidos. Para el establecimiento es necesaria la autenticación previa del terminal y la tarjeta, mediante el uso de certificados. Durante la presencia del canal seguro, los mensajes se cifran y autentican, de tal forma que se asegura una comunicación "una a uno" entre los dos puntos originarios del canal. El canal seguro puede ser requerido por la aplicación o puede ser una restricción de acceso impuesta a algún recurso de la tarjeta.

3. Desbloqueo y Cambio de PIN

Se permite el cambio de PIN, mediante la presentación del valor antiguo. Es posible también el cambio de PIN bajo determinadas condiciones tras la realización de una verificación biométrica. Debido a la criticidad de esta operación, el cambio de PIN se ha de realizar siempre en condiciones de máxima confidencialidad y en terminales específicamente habilitados a tal efecto o con las debidas condiciones de seguridad, exigiéndose por tanto, el establecimiento de un canal seguro. El cambio de PIN, haciendo uso de la huella dactilar (desbloqueo), únicamente está permitido en dispositivos autorizados por la Dirección General de la Policía (DGP) y no se puede realizar, bajo ningún concepto, en otros terminales.

4. Funcionalidad Criptográfica

La tarjeta DNI posee diversas funcionalidades criptográficas esenciales para la seguridad:

• Claves RSA: Es capaz de generar y gestionar claves RSA, siguiendo el estándar PKCS#1 v1.5 y usando el algoritmo Miller-Rabin como test de primalidad.
• Hash: Puede realizar hash de datos con el algoritmo SHA1, permitiendo procesar el hash en la tarjeta o finalizar uno calculado externamente. El resultado se almacena temporalmente para uso posterior.
• Firmas electrónicas: La tarjeta DNI tiene capacidad para la realización de firmas electrónicas de dos modos diferentes: Modo raw y Modo relleno PKCS#1.
• Intercambio de claves: Esta operación se usa para compartir claves simétricas o de sesión entre dos entidades, cifrando una clave Ks con la clave pública de un destinatario.
• Cifrado: La tarjeta puede realizar operaciones 3 DES CBC con claves de 16 bytes (k1, k2, k1). El proceso de carga de la clave está protegido por algoritmo RSA.

5. Aplicaciones de Firma

Uno de los principales usos del DNI es la realización de firma electrónica. Para utilizar esta funcionalidad, numerosas aplicaciones pueden ser empleadas, ya que éstas acceden a las capas o módulos intermedios de CSP y PKCS#11, que proporcionan una interfaz estándar de acceso a la tarjeta. Es recomendable seguir los consejos y buenas prácticas que se describen en la dirección Firma Electrónica.

Requisitos de Seguridad del Entorno

Para el correcto y seguro funcionamiento de la tarjeta DNI se han de utilizar los módulos criptográficos CSP y PKCS#11 que se encuentran en la dirección www.dnielectronico.es/descargas/. Estos módulos contienen lo necesario para establecer un entorno seguro en la operación con el DNI y satisfacer los requisitos de seguridad aplicables al entorno de las tecnologías de la información descritos en el perfil de protección CWA 14169.

Certificados Digitales: La Identidad en el Mundo Online

Los certificados digitales son documentos electrónicos que se utilizan para verificar la identidad de un usuario en línea y asegurar las comunicaciones. Se emiten por Autoridades de Certificación (CA), que son organizaciones confiables que se encargan de verificar la identidad del usuario y emitir un certificado digital que lo identifica. Estos certificados contienen información clave, como el nombre del usuario, la dirección de correo electrónico, la fecha de emisión y la fecha de caducidad. Los certificados digitales se utilizan para proteger las comunicaciones en línea, especialmente en transacciones que involucran información confidencial, como transferencias de dinero, transacciones bancarias y compras en línea. Garantizan que la información que se está compartiendo en línea está siendo protegida y que solo el usuario autorizado tiene acceso a ella.

Importancia de Certificados Digitales y DNI Electrónico para la Seguridad en Línea

Los certificados digitales y el DNI electrónico son importantes para la seguridad en línea porque protegen la identidad del usuario y aseguran las comunicaciones. Al utilizar certificados digitales y el DNI electrónico, los usuarios pueden estar seguros de que las transacciones que realizan en línea son auténticas y que solo el usuario autorizado tiene acceso a la información confidencial. Además, protegen contra el phishing y otros tipos de ataques en línea. Al utilizar certificados digitales y el DNI electrónico, los usuarios pueden estar seguros de que están interactuando con una entidad confiable y que la información que comparten está protegida.

Para usar los certificados digitales y el DNI electrónico de manera efectiva, los usuarios deben asegurarse de que el software y hardware que se utiliza para interactuar esté actualizado y sea seguro, instalando regularmente las últimas actualizaciones y parches de seguridad, y utilizando software antivirus y firewall. Es fundamental proteger adecuadamente la contraseña del DNI electrónico, evitando contraseñas fáciles de adivinar y cambiándola regularmente. Los usuarios deben tener cuidado al compartir información en línea, asegurándose de que la comparten solo con entidades confiables y utilizando canales seguros de comunicación.

Información Contenida y Organismos Accesibles

Certificados Digitales de la FNMT

Los certificados digitales emitidos por la Fábrica Nacional de Moneda y Timbre (FNMT) contienen información sobre la identidad de la persona o entidad, el emisor y la fecha de expiración. Incluyen: Nombre y apellidos del titular, Número de identificación fiscal (NIF), Dirección de correo electrónico, Fecha de caducidad, Número de serie y Firma electrónica del emisor. Son reconocidos y aceptados por una amplia variedad de organismos en España:

• Agencia Tributaria: Presentar declaraciones de impuestos, consultar el estado y realizar pagos.
• Seguridad Social: Acceder a servicios como la consulta de la vida laboral, solicitud de prestaciones y tramitación de pensiones.
• Registro Civil: Solicitar certificados de nacimiento, matrimonio o defunción.
• Servicios de empleo: Búsqueda de trabajo, solicitud de prestaciones por desempleo e inscripción en cursos de formación.
• Otros servicios en línea: Banca en línea, compras en línea y firma electrónica de documentos.

Certificados Digitales del DNI Electrónico Español

Los certificados digitales del DNI electrónico español contienen información sobre la identidad de la persona, el emisor y la fecha de expiración. Incluyen: Nombre y apellidos del titular, Número de identificación fiscal (NIF), Fecha de nacimiento, Número de serie del DNI electrónico, Fecha de caducidad y Firma electrónica del emisor. Es una herramienta de autenticación y firma electrónica ampliamente reconocida en España:

• Agencia Tributaria: Presentar declaraciones de impuestos, consultar el estado y realizar pagos.
• Seguridad Social: Acceder a servicios relacionados con la Seguridad Social.
• Administraciones Públicas: Obtención de certificados de empadronamiento, solicitud de certificados de antecedentes penales, entre otros.
• Servicios de empleo: Búsqueda de trabajo, solicitud de prestaciones por desempleo e inscripción en cursos de formación.
• Servicios bancarios: Acceder a servicios de banca en línea y realizar transacciones seguras.

Comercio Electrónico Seguro (CES)

El sistema de Comercio Electrónico Seguro (CES) es un proceso con el que aumentas la seguridad de las tarjetas que usas para comprar online. Es un sistema que puedes utilizar para evitar fraudes en el uso de las tarjetas de crédito o débito para realizar las compras en comercios online. En caso de que tengas tu propio eCommerce, el Comercio Electrónico Seguro es un aspecto clave de cara a consolidar tus ventas, ya que garantiza la compra de tu cliente mediante la firma electrónica.

Funcionamiento del CES

El funcionamiento del Comercio Electrónico Seguro es muy sencillo. Por ejemplo, estamos haciendo una compra en una tienda online, llega el momento de pagar e introducimos el número de tarjeta bancaria, su fecha de caducidad y su CVV. Para confirmar la compra, aparecerá una ventana emergente en la que tendremos que introducir la clave CES. El sistema de comercio electrónico seguro hace que debas incluir una contraseña exclusiva para determinadas compras en internet.

Cada vez que realizas una compra online recibirás por SMS un código de confirmación (posesión) al que ahora se añadirá la nueva Clave de Comercio Electrónico Seguro (CES) (conocimiento). Esta nueva clave adicional, que puedes elegir tú mismo, es la novedad del sistema, desarrollada para proporcionar una capa de seguridad adicional. Por ejemplo, si recibes un código SMS como 4ABC y tu clave CES es 7625, el dato que tendrás que introducir para confirmar la transacción es 4ABC7625. Como solo tú sabes esa clave, la compra será más segura.

La forma en la que se activa el sistema CES depende de cada entidad bancaria. En la mayoría de aplicaciones de banca electrónica lo encontrarás en el apartado de tus tarjetas bancarias o en el área de seguridad. Por ejemplo, en Banco Santander: Accede al servicio de Banca por Internet, identifícate con tus claves personales o con tu número de tarjeta y PIN, selecciona menú Tarjetas y elige la tarjeta Visa o Mastercard que desees asegurar. Después, selecciona Operaciones/Registro en Comercio Electrónico Seguro. Si se te olvida tu clave CES, es muy sencillo, solo tienes que acceder a la web del banco o su aplicación y consultarla allí. Habitualmente, la clave CES está o en el apartado de tarjetas o en el apartado seguridad o seguridad y claves del área de clientes. Es posible que el banco, como medida adicional, te pida introducir tu PIN o tu contraseña, antes de desvelar la clave CES. Debes activarlo para poder realizar pagos en comercios electrónicos que utilicen este sistema de seguridad. No podrás realizar ningún tipo de operación si tu banco no te ha proporcionado el CES.

DNI Wallet: Tu DNI Digital en el Móvil

DNI Wallet es una solución de identificación y autenticación digital segura y fiable. Esta app, intuitiva y de fácil uso, incorpora el DNI digital en el móvil para usarlo con las mismas ventajas que un DNI electrónico frente a empresas privadas y administraciones públicas, con garantía, fehaciencia legal y en pocos segundos. Para el usuario, la aplicación de DNI digital DNI Wallet genera una copia electrónica del documento en el enclave seguro de su móvil de forma sencilla (a través de la tecnología NFC), protegido por biometría y todas las medidas de seguridad del móvil. La aplicación de DNI digital DNI Wallet está diseñada de tal forma que garantiza la seguridad y la privacidad de los datos que maneja. Además, a las medidas de seguridad desplegadas en su código añade las del propio dispositivo, como los accesos protegidos por código y biometría. Por otro lado, en lo relativo al DNI importado, su seguridad se completa con llamadas a la FNMT (Fábrica Nacional de Moneda y Timbre) y comprobaciones para determinar que el documento no ha sido manipulado o no pesan sobre él denuncias por robo.

Medidas de Seguridad Adicionales para el Comercio Electrónico

Finalmente, el sistema de Comercio Electrónico Seguro aumenta la seguridad de tus compras online, pero hay más medidas de seguridad que debes tener en cuenta para que esas compras sean lo más seguras posible:

• Verifica la seguridad del sitio web: Para disfrutar de los beneficios del comercio electrónico seguro es importante asegurarse de que la tienda en la que queremos comprar es realmente un sitio seguro. Para ello, revisamos que su dirección empiece por HTTPS y que se muestre un candado en la barra de direcciones.
• Revisa los datos de la empresa: Revisa bien todos los datos de la empresa. Asegúrate de que tenga una dirección física y de que puedes encontrar fácilmente información sobre ella. Es más, te aconsejamos que no te quedes solo aquí y hagas una búsqueda en Internet sobre la tienda.
• Desconfía de ofertas increíbles: Si encuentras un ofertón de esos que parecen increíbles, empieza a desconfiar. Revisa todos los aspectos de la tienda online que hemos visto antes y busca información de otros usuarios. Si ves cualquier cosa que te haga sospechar, mejor no realices la compra.
• Evita redes WiFi públicas: No hagas nunca compras a través de redes WiFi públicas, ya que no ofrecen garantía de seguridad.
• Consumo inteligente: También es recomendable que no abuses del comercio electrónico. Si puedes encontrar el mismo artículo en una tienda de tu barrio, ¿por qué no comprarlo allí?

Riesgos y Medidas de Protección al Compartir Documentos Privados en Línea

El intercambio de información a través de la red se ha convertido en algo común y necesario. Sin embargo, debemos ser conscientes de los riesgos asociados con el envío de documentos de carácter personal si no tomamos medidas de seguridad para protegerlos. Al compartir documentos privados en línea, nos enfrentamos a la falta de control sobre la seguridad de dichos documentos. Si no estamos seguros de las medidas de seguridad implementadas por el receptor, corremos el riesgo de que los datos caigan en manos equivocadas o sean utilizados de manera inapropiada. Por tanto, es fundamental comprender los riesgos asociados con el envío de documentos privados y tomar las medidas necesarias para proteger nuestra información personal.

Riesgos de Compartir Documentos Privados Sin Protección

El envío de documentación privada, como puede ser un DNI o pasaporte, a través de la red puede exponernos a diversas amenazas:

• Suplantación de identidad: Si esa información acaba en manos de los ciberdelincuentes, pueden suplantar nuestra identidad y cometer delitos en nuestro nombre, lo que acarrearía graves consecuencias legales y personales.
• Pérdida de control de la información: Enviar documentos privados a sitios web desconocidos aumenta el riesgo de pérdida de control, así como el uso indebido de los mismos.
• Vulnerabilidades en las comunicaciones: Durante el envío existe riesgo de interceptación por atacantes que buscan acceder a información confidencial mediante vulnerabilidades en redes o servidores.
• Mala configuración en redes sociales y sobreexposición de información: Compartir información privada en plataformas de redes sociales o configurar la privacidad de manera deficiente puede exponer datos personales y sensibles a personas no deseadas sin que seamos conscientes de ello.
• Almacenamiento de información en la nube y compartición por error de la misma: La falta de precaución al almacenar información en la nube y la posibilidad de compartir datos por accidente con terceros, pueden resultar en la divulgación no deseada de información confidencial.

Medidas de Seguridad para Proteger tus Documentos

En caso de que necesites compartir documentos personales, hay medidas que puedes tomar para asegurarte de que los envías de la forma más segura posible:

• Verifica la identidad del receptor: Antes de enviar cualquier documentación sensible, asegúrate de que conoces y confías en la persona o entidad que recibirá la información.
• Utiliza métodos seguros de envío: Usa plataformas de compartición de ficheros que ofrezcan medidas de seguridad adicionales, como, por ejemplo, proteger un documento con una clave.
• Limita la información compartida: Siempre evalúa si es necesario enviar todos los detalles de un documento o si puedes reducir la cantidad de información que compartes.
• Usa servicios en la nube que cifren la documentación por defecto: Si vas a almacenar información confidencial en un servicio cloud, asegúrate de que se almacena de manera cifrada.
• Recuerda al receptor que elimine la información: Una vez que ya no es necesario que disponga de esa información, recuérdale que la elimine de sus dispositivos o sistemas.

En resumen, la próxima vez que alguien te solicite enviar documentos como un DNI, contrasta que esa persona es quien dice ser, que lo envías de manera segura (cifrándolo, usando una conexión de confianza, etc.), y que el destinatario solo hará uso de esa información para el fin que te explicó, aportando o justificando adecuadamente los mecanismos de seguridad que aplicará. Si alguno de estos requisitos no se cumple, no lo envíes. Si aún tienes preguntas o inquietudes relacionadas con este tema o cualquier otro relacionado con la ciberseguridad, te invitamos a que te pongas en contacto con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE.