Modulo 4 Sistemas de Pago

Sistemas de pago
electrónico
Miquel Soriano Ibáñez
Revisión a cargo de
Francesc Sebé Feixas
PID_00212290
© FUOC • PID_00212290 Sistemas de pago electrónico
Ninguna parte de esta publicación, incluido el diseño general y la cubierta, puede ser copiada,
reproducida, almacenada o transmitida de ninguna forma, ni por ningún medio, sea éste eléctrico,
químico, mecánico, óptico, grabación, fotocopia, o cualquier otro, sin la previa autorización escrita
de los titulares del copyright.
© FUOC • PID_00212290 Sistemas de pago electrónico
Índice
Introducción............................................................................................... 5
Objetivos....................................................................................................... 6
1. Conceptos generales.......................................................................... 7
1.1. Evolución histórica del dinero y función que desarrolla ............ 7
1.2. Arquitectura de los participantes ................................................ 10
1.3. Clasificación de los sistemas de pago ......................................... 11
2. Pagos basados en tarjeta.................................................................. 13

2.1. Pagos presenciales con tarjeta bancaria tradicional .................... 13
2.1.1. El estándar EMV ............................................................ 14
2.2. Pagos remotos con tarjeta bancaria tradicional .......................... 16
2.2.1. Arquitectura lineal ......................................................... 16
2.2.2. Arquitectura triangular .................................................. 18
2.2.3. Mejoras de seguridad ..................................................... 19
2.3. Tarjetas bancarias de prepago ..................................................... 20
2.4. Otras tarjetas de prepago ............................................................ 20
3. Sistemas de cartera virtual............................................................. 23

3.1. PayPal .......................................................................................... 23
3.1.1. Bump Pay ....................................................................... 25
3.2. Google Wallet .............................................................................. 26
3.3. Caixa Wallet ................................................................................ 26
4. Pagos basados en el envío de mensajes SMS................................ 28

4.1. El sistema SMS Premium ............................................................ 28
4.2. El sistema Pagos Movistar ........................................................... 29
4.3. Envío de dinero en metálico ...................................................... 30
5. Dinero digital...................................................................................... 31
5.1. El sistema de Chaum .................................................................. 33
5.2. El sistema de Brands ................................................................... 35
5.3. BitCoin ........................................................................................ 37
Resumen....................................................................................................... 39
Actividades.................................................................................................. 41
Bibliografía................................................................................................. 42
© FUOC • PID_00212290 5 Sistemas de pago electrónico
Introducción
No hace muchos años, la compra de productos se llevaba a cabo de forma

tradicional. Un comprador se desplazaba a una tienda, escogía los productos
que necesitaba y realizaba el pago entregando unas monedas al comerciante.
Con la llegada del comercio electrónico, se hace posible la adquisición de pro-

ductos sin la necesidad de salir de casa. Únicamente se necesita un dispositivo
capaz de comunicarse con una tienda virtual. Un aspecto fundamental de esta
modalidad de comercio viene dado por el hecho de que se tiene que poder
realizar el pago también de forma remota.
La seguridad es un aspecto clave de cualquier sistema de pago electrónico. Un

intruso no tiene que poder realizar compras haciendo que el importe sea car-
gado a otra persona. Tampoco tiene que ser posible que un comercio desho-
nesto ordene el cobro de una cantidad superior al precio de los productos ad-
quiridos. Por otro lado, un comprador no quiere que otras persones se enteren
de cuáles son sus hábitos de compra.
En la actualidad, existen sistemas de pago electrónico de naturaleza muy di-

versa. El más conocido y utilizado es la tarjeta de débito o crédito, pero han
ido apareciendo otras posibilidades, como por ejemplo las tarjetas de prepago
y los sistemas de cartera virtual. También hay soluciones que permiten adqui-
rir productos haciendo que el usuario pague el importe mediante la próxima
factura de teléfono. No hemos de olvidarnos del dinero digital emitido por un
banco o las criptomonedas, que son divisas generadas y gestionadas por sus
propios usuarios sin la necesidad de ninguna entidad central de control. Las
posibilidades son muchas, cada una de ellas con sus ventajas e inconvenientes.
Tener conocimiento es muy útil cuando actuamos como compradores y de-
viene fundamental en el reto de poner en funcionamiento una tienda virtual.
Objetivos
En los materiales didácticos de este módulo el estudiante encontrará las herra-

mientas necesarias para alcanzar los objetivos siguientes:
1. Comprender el concepto de dinero como medio de intercambio.
2. Conocer las diversas modalidades de pago mediante tarjeta y los aspectos

de seguridad relacionados con cada una de ellas.
3. Entender el concepto y funcionamiento de un sistema de cartera virtual.
4. Conocer varias modalidades de pago electrónico basadas en el envío de

mensajes SMS.
5. Adquirir los conocimientos necesarios para entender el concepto de dinero

digital y las propiedades de seguridad y anonimato proporcionadas por un
sistema de este tipo.
1. Conceptos generales
Este apartado empieza con una breve introducción al concepto de dinero y a su

evolución histórica. Después se presenta la arquitectura típica de un sistema de
pago electrónico mostrando a sus participantes y la tarea que lleva a cabo cada
uno de ellos. Finalmente, se dan algunos criterios que pueden ser utilizados
para la clasificación de estos sistemas.
1.1. Evolución histórica del dinero y función que desarrolla
El concepto y utilización del dinero a lo largo del tiempo ha ido evolucionan-

do, y cada vez es más grande el grado de abstracción asociado.
La palabra dinero designa un medio de intercambio aceptado por una

sociedad para el pago de bienes, servicios y todo tipo de obligaciones.
Inicialmente, los objetos se intercambiaban directamente, pero muy pronto se Ejemplo de canje
pudo comprobar que este sistema no era muy práctico. La necesidad y capa-
Alicia tiene una bicicleta y
cidad de intercambio de las dos partes debía producirse de forma simultánea. quiere una ternera. Bernat tie-
Por este motivo, se hizo necesario idear medios de intercambio más versátiles. ne una ternera y quiere una bi-
cicleta.
Se pensó en la realización de intercambios a cambio de unos objetos llamados
tokens.
Los primeros tokens fueron objetos que tenían un valor intrínseco asociado
(como por ejemplo, metales preciosos). El sistema evolucionó hacia la utiliza-
ción de tokens sin valor en sí mismos (por ejemplo, los billetes o las monedas
acuñadas en un metal no precioso). El valor que recibe este tipo de token es el
resultado de un consenso. Se trata de unidades monetarias que una persona
de una determinada región geográfica acepta, a pesar de que el valor de estas
monedas corresponde a una denominación y es independiente del valor que
tiene el material utilizado. Su validez se basa en conceptos legales acompaña-
dos de una aceptación social.
Más adelante aparece el dinero�notacional. Un ejemplo de este tipo de dinero

es el cheque. No se trata de un token de un valor determinado, sino de un
documento vinculado a un valor almacenado en algún lugar (típicamente en
una cuenta bancaria). En cualquier caso, el dinero notacional está vinculado
a su valor que se encuentra almacenado en algún lugar.
Los sistemas basados en el crédito constituyen otro paso en esta evolución. Los pagos en la actualidad
Esta modalidad permite adquirir bienes y servicios aplazando el pago.
Actualmente, la mayoría de
transacciones electrónicas utili-
El último paso en esta evolución consiste en pasar los tokens convencionales al zan sistemas notacionales y sis-
temas de crédito.
dominio electrónico. Como resultado se obtiene el denominado dinero�elec-
trónico.
Podemos resumir la evolución del dinero en las etapas siguientes:
• Intercambio directo de productos

• Tokens con valor intrínseco (oro, plata)
• Tokens sin valor intrínseco (billetes)
• Dinero notacional (cheques, cuentas bancarias)
• Sistemas basados en el crédito
• Nuevos sistemas (dinero electrónico)
El dinero representa el potencial para adquirir productos y servicios, y tiene

básicamente tres funciones:
• Sirve como estándar de valor para comparar diferentes productos y servi-

cios. Estos valores son subjetivos y están afectados, entre otros factores,
por las fluctuaciones de la moneda.
• Sirven como medio de intercambio y sustituyen a las permutas. Con su

utilización, se puede vender un producto sin necesidad de recibir otro a
cambio. A cambio de nuestro producto, recibimos un dinero que será al-
macenado.
• Sirve como un medio para almacenar la capacidad de compra. El dinero

permite retrasar el uso del resultado obtenido al vender productos y/o ser-
vicios. Esta función se mantiene siempre que el nivel general de precios
permanezca estable o tenga únicamente ligeras variaciones a lo largo del
tiempo.
Una unidad monetaria es un símbolo de potencia real que un agente econó-

mico acepta como pago en una región geográfica específica. Esta potencia está
basada en la noción de legalidad (una decisión de poder político) acompañada
por un fenómeno social (aceptación por parte del público). Este símbolo tiene
que satisfacer las condiciones siguientes:
• Tiene que ser divisible para poder cubrir un gran abanico de cantidades
(pequeñas, medianas y grandes).
• Se tiene que poder convertir a otros medios de pago.

• Tiene que ser reconocido en una comunidad de usuarios. El dinero tiene

sentido siempre que sus usuarios acepten el valor que se le ha asignado.
• Ha de estar protegido por un estado (dólar/EUA) o una comunidad econó-

mica (euro/UE).
El único símbolo monetario con potencial considerable son los billetes

o monedas emitidos por un banco central. Este es el llamado dinero
fiduciario.
Además del dinero fiduciario, está el dinero escriturado. Se trata de dinero no

emitido por un banco central y que basa su valor en la confianza que inspira
su emisor. Algunos ejemplos son las cuentas bancarias, los cheques de viaje,
los certificados de regalos, etc.
Requisitos del dinero tradicional
El dinero tradicional tiene que cumplir los requisitos siguientes:
• Reconocimiento fácil.
• Valor estable durante las transacciones.
• Durabilidad.
• Facilidad de transporte y uso.
• Su coste de producción tiene que ser insignificante comparado con los valores inter-
cambiados en una transacción.
El dinero se tiene que poder transferir de un agente económico a otro con la

ayuda de un medio o instrumento de pago. Los instrumentos de pago facilitan
el intercambio de productos y servicios, y responden a necesidades específicas.
Cada instrumento tiene su historia social y tecnológica que orienta su uso en
áreas específicas. Actualmente, existe un gran número de medios ligados al
procesamiento automático de las transacciones y a la progresiva intangibilidad
de los apoyos monetarios. Una clasificación genérica puede ser la siguiente:
• Dinero en metálico (en forma de billetes o monedas)

• Cheques
• Transferencias de crédito
• Transferencias interbancarias
• Letras de cambio
• Tarjetas (débito, crédito, prepago)
• Tipo de dinero intangible
Con la llegada de Internet y del comercio electrónico se hace necesaria la crea-

ción de mecanismos que permitan la realización de pagos utilizando redes de
comunicaciones. Estos son los llamados sistemas�de�pago�electrónico. El resto
del capítulo está dedicado al estudio de estos sistemas.
1.2. Arquitectura de los participantes
Antes de identificar las diferentes implementaciones de sistemas de pago elec-

trónico que podemos encontrar actualmente, indicaremos cuáles son los ac-
tores principales que participan en una transacción:
• Comprador. Persona que hace la compra y que tiene que realizar el pago.
• Banco�emisor. Banco donde el comprador tiene su cuenta bancaria.
• Comercio. Tienda que ofrece su catálogo de productos al comprador. Es
quien recibirá el importe de la compra, si esta se lleva a cabo.
• Banco�adquiridor. Entidad financiera ligada al comercio.
• Pasarela�de�pago. Elemento que proporciona una interfaz para indicar los
detalles de una transacción.
• Autoridad�certificadora. Entidad que valida la identidad de los partici-
pantes.
En el caso de las compras por Internet mediante tarjeta bancaria, la pasarela de pago
la proporciona el banco adquiridor y se encarga de recibir el importe y los datos de la
tarjeta del comprador. Dependiendo de la arquitectura, estos datos se le enviarán de una
manera u otra. El banco adquiridor también hace las funciones de terminal punto de
venta virtual.
Actores en un pago mediante Internet

A lo largo del apartado, veremos que existen diferentes sistemas de pago elec-
trónico que funcionan de formas muy diversas. La arquitectura de algunos de
estos sistemas, así como las tareas llevadas a cabo por sus participantes, pue-
den ser ligeramente diferentes de las que acabamos de presentar.
1.3. Clasificación de los sistemas de pago
Los sistemas de pago se pueden clasificar de varias maneras. En este apartado

describiremos algunas que, como iremos viendo, no siempre son excluyentes.
Antes de presentar las diversas clasificaciones, describiremos las fases o accio-

nes implicadas en un pago, que básicamente son tres:
• Retirada�de�fondos. Este proceso está asociado a la confirmación del ban-

co emisor a la solicitud previa del comprador. El banco asume los gastos
que ha acordado con el comprador y lo carga en su cuenta.
• Pago. El comprador entrega la información necesaria para hacer el pago al

comerciante o a la pasarela de pago. El pago puede ser mediante la entrega
de monedas electrónicas.
• Depósito. El banco adquiridor recibe la información y cobra del banco

emisor a través de la red financiera. Finalmente, ingresa el dinero en la
cuenta del comercio.
Una primera división depende del importe de la operación, situando la fron-

tera alrededor de los 10 euros.
Un sistema de micropago es aquel en el que los importes de los pagos

no exceden los 10 euros. Un sistema de macropago es el que excede esta
cantidad.
La adecuación de un sistema a la realización de micropagos depende en gran Nota

medida de las comisiones cobradas por parte del prestador del servicio. La
En los inicios de Internet,
relación entre el importe que paga el comprador y la parte de este importe que cuando la capacidad de cálcu-
llega al vendedor tiene que mantenerse dentro de unos márgenes aceptables. lo era un recurso costoso, se
consideraba que un sistema de
micropago tenía que propor-
cionar seguridad con un coste
Otra clasificación de los sistemas de pago hace referencia a la necesidad de computacional realmente bajo.
Actualmente, como la poten-
conexión con agentes externos diferentes del comprador y el vendedor. cia de cálculo de los ordenado-
res y de los dispositivos móvi-
les ha aumentado considera-
blemente, no se da tanta im-
Un sistema de pago en línea exige el acceso a un servidor para cada una portancia a este aspecto.
de les tres fases descritas al inicio del apartado. Los sistemas de pago
fuera de línea no requieren esta conexión, puesto que las autorizaciones
se hacen de manera diferida.
Un inconveniente que presentan los sistemas de pago en línea es el coste aso-

ciado a la conexión con un servidor externo, ya sea por validación de datos
o autorización del banco emisor.
Una tercera clasificación de los sistemas de pago se basa en el momento en que

se ejecuta la fase de retirada de fondos. En este sentido, podemos diferenciar
entre sistemas de prepago, sistemas de débito y sistemas de crédito.
Los sistemas de prepago son los que descuentan el dinero de la cuenta

del usuario previamente a la transacción.
Los sistemas de pago de�débito son aquellos en los que se descuenta el

dinero en el momento de hacer la transacción.
En los sistemas de pago de�crédito, el importe de la transacción se anota

en el momento de efectuar la compra, pero no se descuenta hasta que
ha pasado un tiempo.
En esta tercera clasificación, se podría pensar que solo se habla de sistemas de

pago con tarjeta. En un sistema de dinero electrónico, el usuario obtiene la
moneda electrónica, cuyo valor se descuenta de su cuenta bancaria, del mismo
modo que cuando se trabaja con moneda física convencional. Posteriormente,
cuando el usuario decide comprar, entrega este dinero digital al comercio. Por
lo tanto, a pesar de que podría parecer que son sistemas de prepago, puesto
que en primer lugar se descuenta el dinero y después se hace la transacción,
estrictamente, son sistemas equivalentes al pago en metálico, puesto que el
usuario obtiene monedas, pero con un formato diferente al habitual.
2. Pagos basados en tarjeta
El pago con tarjeta bancaria es el medio de pago electrónico más utilizado en Otros tipos de tarjetas
la actualidad. La tarjeta bancaria tradicional es emitida por un banco y está
Hay tarjetas emitidas por em-
vinculada a una cuenta bancaria. El dinero de un pago se retira de la cuenta presas que no son un banco,
bancaria asociada en el momento de realizar la compra si la tarjeta es de débito, a las cuales hay que proporcio-
nar un número de cuenta ban-
o con posterioridad si es de crédito. caria donde cargarán el impor-
te de nuestras compras. Tam-
bién existen tarjetas que fun-
cionan en modalidad de pre-
2.1. Pagos presenciales con tarjeta bancaria tradicional pago.
Cuando se efectúa un pago, el comprador entrega su tarjeta al vendedor, que la

pasa por un dispositivo que contacta con el banco para ordenar la transacción.
En sus inicios, las tarjetas bancarias disponían únicamente de una banda mag-
nética que llevaba grabada la información necesaria para identificar la tarjeta
en una transacción (número y fecha de caducidad). Esta información es fácil
de leer y resulta también sencilla la fabricación de tarjetas clonadas donde se
almacena la información obtenida de tarjetas reales. Para evitar el uso de tar-
jetas robadas o falsificadas, se pide al comprador que se identifique mediante
un documento de identidad, y para evitar problemas de repudio, se le pide
que firme un recibo de la operación.
Estas medidas de seguridad son únicamente aplicables en entornos donde el

vendedor es una persona física que puede realizar estas comprobaciones. En
entornos donde el vendedor es una máquina (billetes de transporte, peajes de
autopista), resulta relativamente fácil la utilización de tarjetas con la banda
magnética falsificada.
Con el objetivo de reducir el fraude que surge de la facilidad de falsificar tar-

jetas de banda magnética, aparecen las tarjetas con chip.
Una tarjeta con chip es una tarjeta que lleva incorporado un micropro-
cesador (tarjeta inteligente) con capacidad para realizar cómputos y co-
municarse con un dispositivo lector.
El chip de estas tarjetas tiene capacidad de realizar operaciones criptográficas

y está diseñado para que no sea posible acceder a su contenido sensible.
2.1.1. El estándar EMV
EMV (Europay - Mastercard – Visa) es un estándar que define la comunicación Importante

entre una tarjeta con chip y un dispositivo lector. Este estándar ofrece segu-
Una medida básica de segu-
ridad mediante la utilización de criptografía para proteger la información in- ridad consiste en no llevar el
tercambiada entre la tarjeta, el dispositivo lector y las entidades financieras. PIN anotado junto con la tarje-
ta.
Con la opción Chip + PIN el usuario introduce la tarjeta en un dispositivo
lector y teclea un PIN (número de identificación personal) secreto. Si el PIN es
correcto, la operación será autorizada. Este modo de funcionamiento es muy
adecuado para realizar pagos donde el comprador interactúa con una máqui-
na que no está siendo supervisada. EMV también proporciona la opción CHIP
+ Sign, en que el usuario se autentica mediante la firma de un recibo de la
transacción. Con esta última opción el funcionamiento es el mismo que con
tarjetas de banda magnética, con la diferencia de que desaparece la facilidad
de aquellas de ser clonadas.
El estándar EMV especifica varios mecanismos que, mediante el uso de la crip-

tografía, proporcionan seguridad a las transacciones realizadas utilizando tar-
jetas que implementan este sistema. A continuación comentaremos algunos:
• Autenticación�de�la�tarjeta. Este mecanismo sirve para que un terminal

(dispositivo donde se acopla la tarjeta) obtenga garantías de que se está
comunicando con una tarjeta que ha sido emitida por un banco (o em-
presa) emisor autorizado. EMV proporciona varias posibilidades para ha-
cer esta comprobación, todas basadas en la utilización de criptografía de
clave pública:
– SDA (static data authentication). La tarjeta dispone de una información
que ha sido firmada digitalmente por el emisor de la tarjeta. Durante
el proceso de autenticación, la tarjeta envía esta información al ter-
minal, junto con la clave pública del emisor (con su correspondiente
certificado digital). El terminal, al recibir esta información, verifica la
validez del certificado digital del emisor, extrae de este la clave pública
y verifica la firma digital de los datos enviados por la tarjeta. Si esta
verificación tiene éxito, el terminal deduce que los datos contenidos
en esta tarjeta realmente han sido grabados por el emisor. Por lo tanto,
concluye que se está comunicando con una tarjeta en la que puede
confiar. Se trata de un mecanismo fuera de línea puesto que no es ne-
cesaria la comunicación con ninguna entidad externa.
En SDA, la información que envía la tarjeta es siempre la misma; por lo
tanto, el sistema es vulnerable: un atacante puede capturar esta infor-
mación e introducirla en tarjetas fraudulentas que superarán el proce-
so de autenticación mediante el reenvío de los mismos datos.
– DDA (dynamic data authentication). La tarjeta tiene que disponer de

una clave privada, su clave pública correspondiente y un certificado
de esta última emitido por el banco emisor. Durante el proceso de au-
tenticación, el terminal envía unos datos a la tarjeta, que los tiene que
devolver firmados utilizando su clave privada. También devuelve su

clave pública certificada y la clave pública certificada del emisor. El
terminal validará primeramente el certificado de la clave pública del
emisor, de donde extraerá la clave pública que será utilizada para vali-
dar el certificado de la clave pública de la tarjeta. Finalmente, la clave
pública de la tarjeta se usará para validar la firma digital de los datos
devueltos por la tarjeta.
DDA también es fuera de línea y no es vulnerable a ataques de reenvío
puesto que los datos que se firman son diferentes en cada transacción.
– CDA (combined dynamic data authentication). El mecanismo utilizado

en cada transacción depende de las posibilidades de la tarjeta y de la
configuración del terminal.
• Envío� del� PIN� a� la� tarjeta. Cuando se utiliza el sistema Chip + PIN, el
propietario de la tarjeta se autentica mediante la introducción de un PIN
en el teclado del terminal. La tarjeta dispone de un PIN almacenado inter-
namente que tiene que coincidir con el que introduce su propietario. EMV
proporciona la posibilidad de que, por seguridad, el envío de este PIN se
haga de forma cifrada.
Concretamente, la tarjeta proporciona una clave pública (debidamente
certificada) al terminal junto con una secuencia aleatoria de bytes. A con-
tinuación, el terminal genera un mensaje que contiene estos bytes aleato-
rios junto con el PIN introducido por el propietario, que es cifrado utili-
zando la clave pública de la tarjeta. Cuando la tarjeta recibe este mensa-
je, lo descifra, comprueba que lleva los bytes aleatorios que ha generado
anteriormente y finalmente compara el PIN recibido con el PIN que tie-
ne almacenado. Si los dos valores coinciden, el propietario de la tarjeta es
autenticado.
• Comunicación�entre�la�tarjeta�y�el�emisor. Cuando el terminal confía

en la tarjeta y la tarjeta confía en la persona que la está utilizando (el
propietario auténtico es el único conocedor del PIN), ya se puede llevar a
cabo la transacción. EMV especifica cómo generar mensajes que permiten
que la tarjeta, a través del terminal, se comunique de forma confidencial
con su banco emisor mediante el uso de criptografía de clave simétrica.
Para posibilitar esta comunicación, cada tarjeta dispone de una (o más de
una) clave conocida únicamente por ella y su banco emisor.
Una tarjeta de débito utilizará este sistema de comunicación para contactar

con su banco, indicando el importe de la transacción que se está a punto de
realizar. Entonces el banco comprobará si se dispone del dinero necesario y en
caso afirmativo enviará una respuesta autorizando la transacción.
Los mensajes intercambiados entre una tarjeta y su banco emisor no vienen Ejemplo
especificados por EMV y cada fabricante puede implementar su propio proto-
VISA implementa el sistema
colo de comunicación. VSDC (VISA Smart Debit/Cre-
dit)
MasterCard implementa el sis-
2.2. Pagos remotos con tarjeta bancaria tradicional tema M/Chip.
Con la llegada del comercio electrónico, aparece la necesidad de poder realizar

pagos con tarjeta bancaria en un nuevo escenario en el que el comprador se
encuentra ante un dispositivo conectado a Internet. Para realizar un pago de
este tipo, el número de tarjeta (junto con otra información) del comprador
debe llegar a un TPV mediante comunicaciones a través de la red. El envío de
esta información se tiene que hacer de forma segura.
La gran mayoría de sistemas de pago utilizados actualmente para efectuar pa-

gos por medio de Internet utilizan TLS para proteger los datos. TLS (transport
layer security) es un protocolo generalista para intercambios seguros utilizando
el protocolo de transporte TCP.
2.2.1. Arquitectura lineal
La arquitectura lineal es la implantación en Internet del pago con tarjeta

(de banda magnética) tradicional.
En arquitectura lineal, el comprador visita una tienda virtual y decide los pro-
ductos que quiere adquirir, y en el momento de hacer el pago, da su número
de tarjeta al servidor del comercio. El comercio inicia entonces la transacción
con su banco por medio de un terminal de punto de venta virtual. Este banco
se pondrá en contacto mediante las redes financieras con el banco emisor.
Arquitectura lineal
Evaluación de las propiedades de seguridad que presenta esta modalidad de

pago:
• Confidencialidad. El uso del protocolo TLS garantiza la confidencialidad

en el transporte de los datos, pero el comercio acaba conociendo los datos
de la tarjeta que utiliza el comprador, cosa que permitiría que un vendedor
deshonesto utilizara los datos de las tarjetas de sus clientes para realizar
compras. También permitiría que un comprador deshonesto negara (repu-
diara) haber realizado un pago, argumentado que la compra en cuestión
ha sido realizada por algún vendedor a quien ha hecho llegar su número
de tarjeta con anterioridad.
• Integridad. El uso del protocolo TLS garantiza la integridad de los datos

durante el transporte, pero si el comercio modifica la cantidad del impor-
te antes de comunicar la transacción a la entidad bancaria, el cliente no
se dará cuenta hasta que le llegue el extracto con el detalle de los pagos
efectuados.
• Autenticación. Normalmente TLS solo se implementa con autenticación

del servidor (mediante un certificado digital emitido por una autoridad de
confianza). Por lo tanto, este sistema de pago solo ofrece autenticación del
servidor; es decir, del vendedor. El comprador no se autentica. El tipo de
fraude más habitual en estos sistemas de pago proviene justamente del he-
cho de que no se cumpla esta propiedad. El hecho de conocer un número
de tarjeta y su caducidad no garantiza ser el propietario de aquella tarjeta.
En la actualidad, existe la tecnología y legislación que permiten que este tipo de pago
se pueda llevar a cabo de forma segura. La legislación asigna validez legal a la firma elec-
trónica. También, hoy en día, cualquier ciudadano puede disponer de una clave pública
certificada, por ejemplo, a través del DNI electrónico. Haciendo que el comprador firme
digitalmente un mensaje donde consten los datos de su tarjeta, una descripción de la
compra y su precio, se conseguiría proporcionar integridad y no repudio a estas opera-
ciones. El inconveniente de esta opción es la elevada dificultad técnica de llevarla a cabo.
2.2.2. Arquitectura triangular
La arquitectura triangular es una evolución de la arquitectura lineal que

pretende resolver algunos de los problemas de seguridad de esta arqui-
tectura.
A guisa de resumen, podemos decir que la principal diferencia entre las dos
arquitecturas consiste en el hecho de que el comercio dirige al comprador a la
pasarela de pago después de asignar una referencia a la operación. La pasarela
de pago es una interfaz proporcionada por el banco adquiridor, que permite
que el cliente le haga llegar, de forma directa, los datos de su tarjeta. De esta
manera, el comercio no tiene acceso a estos datos. Paralelamente, el comercio
también se comunica con la pasarela y le indica la referencia y el precio. La
pasarela de pago verifica que los datos que le llegan del comprador y del co-
mercio (referencia de compra, precio) coincidan, garantizando de esta manera
la integridad del proceso.
Arquitectura triangular

pago:
• Confidencialidad. De la misma manera que en la arquitectura lineal el

protocolo TLS garantiza la confidencialidad de los datos durante su trans-
porte. Además, en este esquema, la confidencialidad de los datos se ex-
tiende más allá: el vendedor no puede conocer los datos de la tarjeta, y
el banco no puede conocer la descripción de la compra, a menos que el
banco y el comercio se pongan de acuerdo.
• Autenticación. La situación es idéntica a la de la arquitectura lineal. Cual-

quier persona podría realizar una compra utilizando una tarjeta que ha
sido sustraida.
• Integridad. TLS garantiza la integridad durante el transporte de datos a

través de Internet. En este caso, si el cliente o el comercio intentaran mo-
dificar el precio, la pasarela verificaría que no hay concordancia y la ope-
ración no se haría.
Las transacciones realizadas mediante esta arquitectura continúan siendo re-

pudiables: un comprador siempre puede argumentar que un determinado pa-
go ha sido realizado por alguien que se ha enterado de los datos de su tarjeta.
2.2.3. Mejoras de seguridad
Para reducir el fraude en las operaciones de compra realizadas mediante tarjeta

bancaria, han aparecido varias iniciativas orientadas a dotar de más seguridad
este sistema, entre las cuales destaca la introducción de una contraseña en el
momento de hacer el pago. Verified by Visa y Mastercard Secure Code son dos
ejemplos de mecanismos que permiten asociar una contraseña a una tarjeta.
El propietario de una tarjeta tiene que realizar una operación previa de registro Recordad
mediante la cual indica una contraseña que será asociada a los datos de su
La contraseña no se tiene que
tarjeta. Cuando realice una compra en un comercio que utiliza este sistema, llevar nunca anotada junto con
el pago se llevará a cabo de la forma habitual, pero con un paso adicional. la tarjeta.
Una vez se haya completado el formulario de pago, el cliente será puesto en

contacto con los servidores de pago que le mostrarán una ventana con los
datos de la compra que está realizando, donde se le pedirá que introduzca la
contraseña. Este sistema evita que se puedan utilizar tarjetas robadas.
A pesar de todo, este sistema es vulnerable a ataques basados en la instala-

ción de malware que registre la información introducida desde el teclado de
la máquina infectada, puesto que durante un proceso de pago, el comprador
introduce a través del teclado tanto los datos de su tarjeta bancaria como la
contraseña secreta.
Para solucionar este problema algunas entidades bancarias ofrecen un sistema

en el que el cliente, una vez ha llenado el formulario de pago, recibe un men-
saje SMS a su teléfono móvil, donde figura un código de un solo uso que el
comprador deberá introducir para completar la transacción. Esta solución es
más segura puesto que la información que hay que introducir para completar
un pago es siempre diferente.
2.3. Tarjetas bancarias de prepago
Una tarjeta bancaria de prepago es un sistema que funciona exactamen-

te igual que una tarjeta bancaria tradicional, pero en modalidad de pre-
pago.
Cuando se realiza un pago utilizando una tarjeta bancaria tradicional, el im-

porte de la compra se carga a la cuenta bancaria (en el mismo momento o unos
días después). En un sistema de tarjeta bancaria de prepago, el usuario, antes
de comprar, tiene que cargar su tarjeta con un saldo que se irá reduciendo en
cada operación.
Es de destacar que, ya que una operación de pago se hace exactamente igual

que si se tratara de una tarjeta convencional, este sistema es utilizable en cual-
quier comercio que acepte pagos con tarjeta bancaria tradicional.
Se trata de un sistema indicado para realizar compras en lugares que inspiran Nota
poca confianza o para proporcionar una tarjeta a menores de edad, evitando
Hay empresas que no son ban-
que puedan hacer gastos excesivos. Es compatible con la utilización de me- cos que también ofrecen es-
didas de seguridad adicionales como la introducción de una contraseña o de te tipo de tarjetas. Entre otras,
MoneyToPay, que ofrece tar-
códigos de un solo uso recibidos vía SMS. jetas de prepago VISA, o Skrill
y ViaBuy que ofrecen tarjetas
MasterCard.
2.4. Otras tarjetas de prepago
Existen sistemas de prepago donde el usuario compra un cupón que

lleva un código con un determinado saldo asociado. Este número se
podrá utilizar para realizar pagos hasta agotar el saldo, momento en que
habrá que adquirir otro.
Si un cupón ha sido comprado sin identificarse y realizando el pago en efecti-

vo, no es posible vincular el código con la identidad de la persona que lo está
utilizando. Así pues, se posibilita la realización de pagos anónimos. En este
apartado estudiaremos un caso concreto de sistema de este tipo.
PaySafeCard es un sistema de tarjeta de prepago orientado a la realización de

pagos a través de Internet. La experiencia de realizar un pago con este sistema
es muy similar al pago realizado mediante una tarjeta bancaria.
Un comprador se dirige a un establecimiento que comercialice este sistema

y adquiere un cupón PaySafeCard con un saldo determinado. Este cupón dis-
pone de un código de 16 cifras, al cual se puede asociar una contraseña para
obtener más seguridad.
La utilización del cupón es muy sencilla. En el momento de pagar hay que es- Arquitectura
coger PaySafeCard como sistema de pago. Entonces, a través de una conexión
El sistema de pago PaySafe-
segura TLS, se establece una conexión entre el navegador web del comprador y Card utiliza una arquitectura
una ventana de pago PaySafeCard, donde el usuario debe introducir el código de comunicación de tipo trian-
gular.
del cupón.
PaySafeCard permite utilizar hasta 10 códigos diferentes en una misma com-

pra. Esto permite hacer compras de valor elevado, así como agotar el saldo
remanente de cupones donde queda poco saldo.
La implantación de este sistema de pago en una tienda virtual se hace median-

te una API a través de la cual la tienda virtual se comunica con los servidores
de PaySafeCard.
La utilización de PaySafeCard puede resultar poco cómoda para usuarios que Nota
realizan una cantidad elevada de pagos utilizando diferentes códigos. Para fa-
El hecho de centralizar la ges-
cilitar la gestión, existe la aplicación “My PaySafeCard”, donde un usuario se tión de varios cupones a través
crea una cuenta y a continuación introduce el código de sus cupones. A partir de una aplicación en línea es
una idea que los sistemas de
de este momento, podrá realizar pagos introduciendo únicamente el nombre cartera virtual, tal como estu-
diaremos más adelante, llevan
de usuario y contraseña de My PaySafeCard. más allá.

pago:
• Durante la realización del pago, el vendedor no tiene acceso a ningún dato Otro ejemplo
del comprador puesto que este es redirigido a la plataforma de pago de
Ukash es otro sistema de tarje-
PaySafeCard. El comercio ni siquiera tiene acceso al número de cupón del ta de prepago que funciona de
comprador. forma similar a PaySafeCard.
• Si alguien se entera del número de cupón de otro, podrá utilizarlo para

realizar compras hasta agotar el saldo. Si estos gastos se han llevado a cabo
en lugares donde no es necesario identificarse (por ejemplo, en el acceso
a contenido digital de pago), resultará imposible averiguar quién ha sido
el comprador deshonesto.
• Como el usuario puede realizar pagos sin vincular su cuenta bancaria, en

caso de robo o pérdida, la máxima cantidad de dinero que se puede llegar
a perder está limitado al saldo de la tarjeta.
3. Sistemas de cartera virtual
Un sistema de cartera virtual es una aplicación que permite a sus usua-

rios tener recogida en un único lugar toda la información financiera que
necesitan para realizar pagos electrónicos (números de cuenta bancaria
y de tarjeta de débito y/o crédito, entre otros).
Cuando se utiliza una cartera virtual, al realizar un pago, el comprador única-

mente necesita recordar sus credenciales de acceso (habitualmente, nombre
de usuario + contraseña) para autenticarse en su cartera virtual. Una vez se ha
autorizado el pago, la cartera virtual se encarga de obtener el dinero a partir
de una de las fuentes especificadas por el cliente.
Un sistema de cartera virtual proporciona un sistema de saldo que permite que

los usuarios realicen operaciones en modo de prepago y también posibilita la
recepción de pagos.
Una de las ventajas de una cartera virtual es que permite llevar a cabo opera- Nota
ciones sin que las partes involucradas tengan que intercambiar datos financie-
Una cartera virtual gestiona
ros entre ellas. La cartera virtual actúa como intermediario, y es esta la única información financiera de sus
parte que necesita tener acceso a los datos financieros. Esto hace imprescindi- usuarios. Por lo tanto, es nece-
sario que sea una empresa que
ble que el sistema de cartera virtual sea proporcionado por una entidad en la inspire confianza la que ofrez-
ca el servicio.
que todo el mundo confíe.
3.1. PayPal
PayPal es un sistema de cartera virtual muy utilizado en Internet. Cada usuario

de este sistema dispone de una cuenta identificada mediante una dirección de
correo electrónico. El saldo asociado a esta cuenta es incrementado cuando se
recibe un pago y decrece al hacer un pago. Se puede recargar saldo PayPal con
dinero procedente de una cuenta bancaria o de una tarjeta bancaria, así como
retirarlo y transferirlo a una cuenta bancaria.
En el sistema PayPal, para realizar un pago en una tienda o una trans-

ferencia de dinero a otra persona, únicamente hace falta conocer su di-
rección de correo electrónico.
Un usuario, después de autenticarse mediante una contraseña, indica la direc-

ción de correo del receptor y la cantidad a transferir. Así pues, no es necesario
que los usuarios intercambien información financiera de ningún tipo.
PayPal permite asociar una cuenta bancaria o un número de tarjeta bancaria

a una cuenta PayPal. Para mayor seguridad, PayPal ofrece la posibilidad de
confirmar esta asociación. Esto se lleva a cabo mediante un proceso en el que
un usuario demuestra que tiene acceso al extracto de la cuenta bancaria o de
la tarjeta de crédito:
• Confirmación�de�una�cuenta�bancaria. PayPal realiza dos depósitos con Nota

importes de entre 0,01 y 0,99 euros, que el usuario podrá consultar en su
Cuando se dispone de cuen-
extracto bancario. El proceso acaba cuando el usuario comunica estos dos tas o tarjetas asociadas, es po-
importes a PayPal. sible indicar que sea este el ori-
gen de los fondos para hacer
un pago.
• Confirmación�de�una�tarjeta�bancaria. PayPal carga una pequeña canti-

dad a la tarjeta. El usuario, cuando consulte los detalles de la operación en
su extracto, observará un código de cuatro dígitos. El proceso acaba cuan-
do el usuario comunica este código a PayPal.
PayPal se puede integrar fácilmente en una tienda virtual porque proporciona

un servicio para generar de forma automática el código HTML necesario para
integrar botones de pago, que pueden ser de los tipos siguientes:
• Comprar ahora. Permite comprar artículos de uno en uno.

• Añadir al carro de la compra. Permite comprar varios artículos a la vez.
• Hacer una donación.
• Suscribirse. Permite hacer cobros periódicos.
• Comprar cupón de regalo.
PayPal también proporciona una API de manera que un programador puede

personalizar su modo de interactuar con PayPal.
PayPal utiliza una arquitectura triangular. Cuando el usuario pulsa el botón

de pago, es dirigido a los servidores de PayPal, donde iniciará una sesión para
entrar en su cuenta. Después de comprobar la información del pago, podrá
completarlo. Si el cliente no dispone de una cuenta PayPal, podrá realizar el
pago mediante otros medios, como por ejemplo, tarjeta bancaria.
PayPal ofrece otras posibilidades de pago, como por ejemplo, la creación de

solicitudes de pago en las que un cliente recibe un correo electrónico donde
se le solicita la realización de un pago. A través de este correo, el cliente es
dirigido al servicio PayPal para que haga el pago.
Evaluación de las propiedades de seguridad que presenta PayPal:

• PayPal utiliza una arquitectura de pago triangular. Antes de realizar un pa- PayPal no es un banco
go, el usuario contacta con el servidor PayPal y comprueba la información
A pesar de que actúa de mane-
del pago que va a realizar. Solo cuando ha comprobado que el pago es co- ra similar, PayPal no es un ban-
rrecto lo autorizará. Esto proporciona integridad. co. Por ejemplo, sus usuarios
no reciben intereses por el di-
nero que tienen en su saldo. La
empresa tampoco se rige por
• PayPal actúa como intermediario entre vendedor y comprador y es el úni- la misma legislación que los
bancos.
co que tiene acceso a la información financiera de sus clientes. La única
información que se intercambian los usuarios son direcciones de correo
electrónico. La comunicación entre el comprador y PayPal se lleva a cabo
utilizando TLS. Esto proporciona confidencialidad.
• Los usuarios se autentican mediante una contraseña. Es fundamental que

esta esté bien custodiada y no sea fácil de adivinar. Este es el mecanismo
utilizado para autenticar a un comprador.
El modelo de negocio de PayPal se basa en cobrar una comisión por la recep-

ción de pagos en operaciones de venta.
3.1.1. Bump Pay
Bump Pay es una aplicación para dispositivos móviles que automatiza

la realización de pagos vía PayPal entre dos personas que se encuentran
en un mismo lugar.
Bump Pay escucha los sensores de movimiento del teléfono donde se ha insta-
lado: cuando el usuario mueve el aparato, la aplicación lo detecta y se conecta
vía Internet con los servidores de la compañía, enviando su localización geo-
gráfica. Los servidores de la compañía buscarán si en aquel mismo momento
hay otro teléfono que haya sido movido cerca de aquel. En caso afirmativo, se
establecerá una comunicación entre los dos aparatos (vía Internet también).
Bump Pay se utiliza para intercambiar la dirección de correo utilizada como

identificador en el sistema de pago PayPal. De esta manera, si una persona
tiene que hacer un pago a otra, primeramente deberán hacer vibrar sus telé-
fonos de tal manera que el identificador PayPal sea transferido. Una vez se
ha recibido el identificador de la otra persona, podremos efectuarle el pago a
través de PayPal.
Esta aplicación únicamente sirve para hacer pagos entre los propietarios de
dispositivos que se encuentran cercanos físicamente. Por ejemplo, se podría
utilizar en una tienda convencional.
Un peligro
Bump Pay requiere que los aparatos que lo utilizan envíen su localización geográfica. Esto
tiene implicaciones para la privacidad puesto que los servidores de la compañía se enteran
del lugar donde se encuentra un usuario de su sistema. Recogiendo esta información

podrían crear perfiles de los lugares que frecuenta.
3.2. Google Wallet
Google Wallet es un sistema de cartera virtual que permite realizar pagos

tanto en Internet como en establecimientos tradicionales.
El usuario de Google Wallet crea una cuenta e introduce información sobre las
diferentes fuentes de pago de que dispone. Estas pueden ser números de tarjeta
bancaria (de crédito o débito), cobro a través de la factura de su compañía de
telecomunicaciones o tarjetas de regalo de prepago. El pago de una compra,
por lo tanto, puede proceder del saldo que hay en la cuenta o de cualquiera
de las fuentes especificadas.
En una tienda virtual, en el momento de pagar hay que escoger Google Wallet
como sistema de pago. Entonces, el comprador se autentica introduciendo la
credencial de acceso en su cuenta y se realiza el pago.
En una tienda presencial, Google Wallet se puede utilizar si el comprador dis-

pone de un dispositivo móvil con tecnología NFC (near field communication).
Para realizar el pago hay que acercar el teléfono móvil a un dispositivo lector.
En este momento se realiza el intercambio de información necesario para lle-
var a cabo la transacción.
Google Wallet permite el envío de dinero entre particulares mediante un sis-

tema que simula su adjunción a un correo electrónico. El emisor de un envío
de este tipo escribe un correo electrónico y adjunta un pago Google Wallet por
la cantidad que desee. Cuando el receptor recibe el correo, puede ordenar el
cobro y se le añadirá la cantidad recibida a su saldo Google Wallet.
3.3. Caixa Wallet
Caixa Wallet es un servicio de cartera virtual ofrecido por la entidad

bancaria “La Caixa”. En este, un usuario crea una cuenta que dispondrá
de un determinado saldo. A esta cuenta se le pueden asociar números
de cuenta bancaria y de tarjeta de pago.
Al crear una cuenta, al usuario se le proporciona un identificador formado por

los mismos datos que identifican una tarjeta de pago: número de 16 cifras,
fecha de caducidad y código CVV. Desde este momento, puede realizar pagos
en cualquier comercio de Internet que acepte pago con tarjeta.
El usuario, si lo desea, puede conectar una de las cuentas bancarias o una de las
tarjetas de pago que tiene configuradas en su cuenta. Al hacerlo, si no hubiera
suficiente dinero en el saldo para cubrir el importe de una compra, la parte que
falta se cogería de esta fuente. Esta conexión puede ser permanente o se puede
indicar que dure únicamente 20 minutos. También está la opción de utilizar
únicamente el dinero del saldo. En este último caso, si el coste de una compra
excediera este valor, la transacción no se llevaría a cabo. Esta modalidad de
funcionamiento es equivalente a la de una tarjeta bancaria de prepago.
Existe la posibilidad de aumentar el saldo mediante la transferencia de dinero

procedente de una cuenta o de una tarjeta y también es posible transferir di-
nero del saldo hacia una cuenta bancaria.
4. Pagos basados en el envío de mensajes SMS
El pago electrónico basado en mensajes SMS aprovecha el mecanismo

de facturación de las compañías de telefonía móvil para cobrar por otros
servicios.
El pago electrónico mediante SMS se fundamenta en el hecho de que casi la

totalidad de la población de los países desarrollados dispone de teléfono mó-
vil y que las compañías de telefonía disponen de mecanismos para cobrar las
facturas de sus clientes.
A continuación estudiaremos dos modalidades de pago vía SMS. En esta sec-

ción hemos incluido también un sistema de transferencia de dinero en metá-
lico, que a pesar de no tratarse exactamente de un sistema de pago electróni-
co, incorpora el envío de mensajes SMS como un aspecto clave de su funcio-
namiento.
4.1. El sistema SMS Premium
El sistema SMS Premium se utiliza habitualmente para realizar pagos de

poco valor (micropagos) asociados a la descarga de software o al acce-
so a contenido de pago a través de Internet. Se utiliza también para la
realización de pequeños donativos en campañas de recogida de dinero
con finalidades solidarias.
Cuando el cliente accede a contenido restringido, se le pide que introduzca un

código de acceso. Para conseguir este código hay que enviar un mensaje SMS
a un determinado número de teléfono indicando una palabra clave. Como
resultado de esta acción, el cliente recibe un SMS de respuesta, donde se le
indica el código de acceso requerido. El cliente pagará el importe del mensaje
SMS que acaba de enviar en la próxima factura de su teléfono móvil.
Un sitio web que quiera utilizar este método de pago tiene que instalar un sis-
tema para comunicarse con los servidores de la compañía que le proporciona
el servicio, para poder recibir información sobre los SMS que han enviado sus
visitantes e indicar qué código de acceso quiere que reciba cada cliente.
Intercambio de mensajes en una transacción SMS Premium
El pago con SMS resulta cómodo por varios motivos:
• El comprador no necesita disponer de tarjeta bancaria ni hace falta que se

haya dado de alta en ninguna aplicación (como pasa, por ejemplo, en los
sistemas de cartera virtual).
• El sitio web no necesita implementar software para gestionar el pago de

sus clientes. Este trabajo lo hace la empresa proveedora del servicio, que a
final de mes le transferirá la parte del importe que le corresponda de los
SMS recibidos.
• Casi todo el mundo dispone de teléfono móvil, con lo cual, se trata de un

sistema utilizable por mucha gente.
El importe que paga el comprador por su SMS se divide en tres partes, que se Empresas que ofrecen este
reparten entre la compañía de telefonía, la empresa que ofrece el servicio de servicio
pago SMS y la empresa que ofrece el servicio por el cual ha pagado el cliente. El Sepomo, WPR, Altiria o
hecho de haber tantas partes involucradas hace que el cliente acabe pagando Step2u, entre otras muchas.
una cantidad bastante más elevada de la que finalmente llega al proveedor del
contenido.
4.2. El sistema Pagos Movistar
El operador de telefonía Movistar pone a disposición de sus clientes un sistema

que permite realizar compras en Internet y cargar el importe en la próxima
factura telefónica.
El sistema Pagos Movistar funciona de la manera siguiente: cuando un usua- Nota

rio ha completado una compra, o está a punto de acceder a un contenido de
El hecho de introducir el códi-
pago, escoge esta opción de pago y accede a un formulario en el que le piden go recibido demuestra que es-
el número de teléfono móvil, donde, poco después, recibirá un SMS con los tá en posesión del terminal de
telefonía móvil donde se car-
detalles del pago que está a punto de realizar y un código de un solo uso que gará el importe de la compra,
y al mismo tiempo, confirma la
tendrá que introducir en el formulario de pago. El importe de la compra se operación de pago.
cargará en la próxima factura telefónica.
Pago por SMS

Este sistema de pago también puede ser utilizado por operaciones de suscrip-
ción que involucran un pago periódico de una determinada cantidad. Este sistema no es exclusivo de
Movistar, la empresa Sepomo,
por ejemplo, ofrece un sistema
de pago que funciona del mis-
4.3. Envío de dinero en metálico
mo modo.
Históricamente, el envío de dinero en metálico a personas se ha realizado a

través del servicio de correos con los llamados giros postales. Las nuevas tec-
nologías han introducido sistemas más cómodos.
Enviar dinero en metálico, evidentemente, no es útil en el comercio en línea.

La solución está diseñada para el envío de dinero entre particulares.
Hal-Cash permite realizar un pago que el receptor podrá recoger en me-

tálico desde cualquier cajero que incorpore este sistema.
Inicialmente, el emisor indica a su entidad bancaria la información sobre la

transferencia que quiere realizar (cuenta donde cargarlo y cantidad) junto con
un número secreto de cuatro cifras, indicando también el número de teléfono
móvil de la persona destinataria del pago.
A continuación, el emisor se tiene que poner en contacto con el destinatario

para comunicarle el número secreto que ha escogido anteriormente.
Paralelamente, el receptor recibe un SMS con información sobre el pago, que

puede pasar a recoger en cualquier cajero Hal-Cash y un segundo número se-
creto.
Finalmente, el receptor se tiene que desplazar a cualquier cajero Hal-Cash a

recoger en metálico el importe del pago recibido. Para hacerlo, deberá intro-
ducir, entre otra información, los dos números secretos que le han sido comu-
nicados.
5. Dinero digital
La Comisión Europea define el dinero digital como “el equivalente, en soporte

digital, al dinero en metálico, que puede estar almacenado en un dispositivo
electrónico o en un servidor remoto”.
Entendemos por moneda electrónica una secuencia de bits dotada de

valor económico.
Distinguimos dos tipos de moneda electrónica:
• Aquella asociada a una moneda ya existente que tiene el apoyo de una

legislación y es acuñada por un banco. En este caso estaríamos hablando,
por ejemplo, de monedas electrónicas con valor de un euro.
• Aquella no relacionada con ningún sistema monetario existente y que tie-

ne valor por sí misma. Estamos, por lo tanto, ante una moneda que es
en sí misma una nueva divisa, cuyo valor depende del reconocimiento y
la aceptación que tenga por parte de la comunidad que la utiliza. Al no
disponer de un banco central que gestione su creación y distribución, es
necesario un mecanismo que imposibilite la creación descontrolada de
nuevas monedas, hecho que causaría una depreciación. Esto se consigue a
partir de mecanismos de creación basados en la resolución de problemas
computacionales difíciles, relacionados con la criptografía. Por este moti-
vo, este tipo de moneda se suele denominar criptomoneda.
A partir de la definición, podemos deducir que un sistema de dinero digital

debe ofrecer las propiedades siguientes:
• Infalsificabilidad. Nadie, a excepción de las entidades autorizadas, tiene

que ser capaz de generar monedas electrónicas a un coste que le resulte
rentable. En un sistema de criptomoneda, el cuño de monedas nuevas se
realiza de forma colectiva, uniendo la potencia de cálculo de todos los
usuarios del sistema. El sistema tiene que limitar la posibilidad de que un
solo usuario pueda generar muchas monedas.
• Anonimato. La realización de un pago mediante dinero digital se tiene

que poder hacer sin la necesidad de que el comprador se identifique ni sea
posible averiguar su identidad.
• Transferibilidad. Un vendedor que recibe dinero electrónico tiene que

poderlo utilizar más adelante para realizar un pago.
Un sistema de dinero digital respaldado por un banco consta de tres partici-

pantes:
• Banco. Genera las monedas electrónicas y las entrega a sus clientes. Tam- Criptomoneda
bién recibe las monedas recogidas fruto de una venta.
En un sistema de criptomone-
da, la figura del banco desapa-
• Comprador. Contacta con el banco y solicita una determinada cantidad rece y también desaparecen
las operaciones de retirada de
de monedas electrónicas a cambio de un pago por su valor. monedas nuevas y depósito de
monedas recibidas; las mone-
das únicamente se transfieren.
• Vendedor. Recibe monedas electrónicas a cambio de los productos que
tiene a la venta. Posteriormente deposita las monedas recogidas en el ban-
co, que le reembolsará su valor.
En un sistema de dinero tradicional, cuando una persona entrega una mone-

da (o billete), esta deja de estar bajo su posesión, con lo cual no podrá volver
a gastarla. Para obtener una situación equivalente en el contexto del dinero
digital, cuando un comprador gaste una moneda electrónica, habría que eli-
minar la representación binaria de forma permanente e irrecuperable del so-
porte físico donde se encontraba, y asegurar que esta representación binaria
no pudiera ser copiada.
Esta suposición, evidentemente, no es realista, lo cual abre la puerta a un frau-

de conocido como doble�utilización, en la que un comprador entrega una
misma moneda electrónica en dos (o más) pagos diferentes. Los sistemas de
dinero digital implementan medidas contra este fraude que se pueden clasifi-
car de la manera siguiente:
• Sistemas�en�línea. El vendedor, antes de aceptar una moneda, contacta

con el banco para comprobar que la moneda que está a punto de recibir
no haya sido gastada con anterioridad.
• Sistemas�fuera�de�línea. El vendedor, cuando recibe una moneda, la acep-

ta sin contactar con el banco. Posteriormente, cuando esta moneda sea
depositada, será el banco quien comprobará que no haya sido depositada
con anterioridad. Dado el caso, el sistema dispone de un mecanismo que
permitirá obtener la identidad del comprador que ha realizado el fraude
(se trata de un sistema con anonimato�revocable).
En sistemas de criptomoneda, únicamente es viable la comprobación en lí-

nea: el sistema debe incorporar un mecanismo de registro de las transaccio-
nes, donde poder comprobar que una moneda no haya sido transferida con
anterioridad.
El uso de dinero electrónico no se limita exclusivamente a entornos donde un

banco lo acuña y tiene valor económico; se puede extender a otros entornos,
como por ejemplo, plataformas de juego en línea, vales de promoción (donde
una moneda puede ser utilizada a cambio de un descuento en la compra de
productos) o acceso a contenido digital de pago.
5.1. El sistema de Chaum
En el sistema de moneda electrónica de Chaum, hay un banco que acu-

ña las monedas y que ofrece un sistema en línea de control de la doble
utilización.
Cuando un comprador contacta con su banco para solicitar una moneda elec-
trónica, el banco le pide que se identifique para saber de qué cuenta corriente
tiene que descontar su valor. Por lo tanto, el procedimiento de obtención de
monedas no es anónimo.
Por motivos de privacidad, el banco no tiene que poder establecer una relación
entre la identidad de un cliente y la moneda que le entrega. En este caso, ob-
servando las monedas que le depositan los vendedores, sabría dónde se gastan
las monedas sus clientes.
El sistema de dinero digital de Chaum utiliza una técnica criptográfica llamada La firma ciega
firma ciega, que permite a las entidades firmar digitalmente un mensaje sin
Como analogía, supongamos
obtener ninguna información sobre su contenido. que ponemos un documento
confidencial dentro de un so-
bre opaco que tiene las pare-
El ciclo de vida de una moneda electrónica en el sistema de Chaum es el si- des interiores de papel-carbón.
Se puede pedir a una persona
guiente: que firme encima del sobre de
forma que su firma también
quedará estampada en el do-
• El comprador contacta con su banco y se identifica. cumento. La persona firmante
no obtiene ninguna informa-
ción sobre el documento que
acaba de firmar. La operación
• El comprador genera un número aleatorio grande (de más de 100 dígitos) de poner el documento dentro
que se corresponde con el número de serie de la nueva moneda. del sobre se denomina enmas-
caramiento.
• El comprador enmascara este número de serie y lo envía al banco.
• El banco firma digitalmente el número de serie enmascarado (realiza una

firma ciega) y devuelve la firma al cliente. El banco descuenta el valor de
la moneda de la cuenta corriente del comprador.
• El comprador desenmascara la firma del banco, obteniendo de esta ma-

nera la firma digital del número generado en el segundo paso. La pareja
número-firma es la moneda.
• El comprador envía la moneda al vendedor.
• El vendedor comprueba la firma digital de la moneda.
• El vendedor entrega la moneda en el banco para que compruebe que no

ha sido gastada con anterioridad. En caso negativo, el banco añade a la
cuenta corriente del vendedor el valor de la moneda.
• Si todo es correcto, el vendedor acepta el pago.
Para evitar la doble utilización, el banco almacena en una base de datos el

número de serie de todas las monedas que son depositadas por parte de los
vendedores. Cada vez que llega una moneda nueva se comprueba que su nú-
mero de serie no aparezca en esta base de datos. Si el número de serie ya está
allí, la moneda no es aceptada.
Comunicaciones en un sistema de dinero digital de Chaum
Análisis del sistema de Chaum:
• Si un comprador tiene la mala suerte de generar un número de serie que ya David Chaum
había sido generado con anterioridad por otro usuario, su moneda no será
En el año 1990, David Chaum
aceptada y será acusado de querer llevar a cabo una doble utilización. Para fundó la empresa DigiCash
evitar esta situación, se hace que el número de serie tenga una cantidad Inc. Con el objetivo de desa-
rrollar y comercializar su sis-
muy elevada de dígitos, cosa que reduce esta probabilidad al mínimo. tema de pago. Esta empresa
quebró el año 1998.
• El sistema de Chaum no es transferible. Cuando un comercio recibe una

moneda, la tiene que depositar en el banco. Esta moneda no se puede
utilizar en otras operaciones.
5.2. El sistema de Brands
El sistema de dinero digital de Brands es de tipo fuera de línea. En caso

de doble utilización de una moneda, el banco es capaz de obtener la
identidad del comprador que ha llevado a cabo el fraude.
En el sistema de Brands, una moneda está formada por dos partes:
• Una parte pública, que se encuentra firmada por el banco.
• Una parte privada, únicamente conocida por el comprador propietario de

la moneda.
Conocer esta parte privada es lo que otorga la capacidad de gastar la moneda.
El ciclo de vida de una moneda electrónica en el sistema de Brands es el si-

guiente:
• El comprador establece contacto con su banco y se identifica.
• El comprador genera las partes pública y privada de la moneda. El proce-

so de generación de estos datos es complejo y requiere la utilización de
información que identifica al comprador.
• El comprador enmascara la parte pública y la envía al banco junto con

algunos datos adicionales.
• El banco realiza unas comprobaciones que le permiten verificar que el

comprador, durante la generación de la moneda, ha utilizado datos que
permiten identificarlo. Si las comprobaciones son correctas, el banco firma
ciegamente la parte pública de la moneda.
• El comprador desenmascara la firma del banco y obtiene la firma digital

de la parte pública de la moneda.
El procedimiento para llevar a cabo un pago es más complejo. Funciona tal

como se detalla a continuación:
• El comprador envía la parte pública (firmada por el banco) de su moneda

al vendedor.
• El vendedor comprueba la firma digital y responde al comprador envián-

dole un valor aleatorio llamado reto.
• El comprador genera una respuesta al reto y la envía al vendedor. Esta res-

puesta se genera mediante un procedimiento que solamente puede llevar
a cabo quien conoce la parte privada de la moneda.
• El vendedor, mediante un procedimiento complejo, verifica que la res- Seguridad

puesta recibida es correcta.
Un comprador deshonesto que
ha gastado una moneda dos
• El vendedor acepta el pago. veces, habrá proporcionado,
para la misma moneda, la res-
puesta a dos retos diferentes.
El sistema de Brands incorpora
El sistema para depositar una moneda es el siguiente: un mecanismo que, dadas las
respuestas a dos retos diferen-
tes para una misma moneda,
• El vendedor envía al banco la parte pública de la moneda, el reto generado permite recuperar la identidad
del comprador a quien fue en-
durante el proceso de pago y la respuesta recibida. tregada.
• Si es la primera vez que el banco recibe esta moneda, la almacena y añade

a la cuenta corriente del vendedor el valor de la moneda.
• Si esta moneda ya ha sido depositada con anterioridad, nos encontramos

ante un caso de doble utilización. Entonces distinguimos dos casos:
– Si el reto de que dispone el vendedor es diferente del reto de que dis-
pone el banco, el banco añade el valor de la moneda a la cuenta co-
rriente del vendedor, lleva a cabo el procedimiento de revocación de
anonimato y obtiene la identidad del comprador deshonesto, a quien
se le exigirán responsabilidades.
– Si el reto de que dispone el vendedor es el mismo del que dispone el

banco, entonces el banco no acepta la moneda.
Análisis del sistema de Brands:
• Dos vendedores deshonestos se podrían confabular y el uno enviar al otro

la copia de una moneda cobrada a un cliente honesto, y después, los dos
podrían depositar esta misma moneda en el banco. En este caso, como
las dos monedas depositadas (de hecho son la misma moneda) llevan el
mismo reto, el banco solo aceptará el primero de los depósitos.
• Si un comprador deshonesto gasta una misma moneda dos veces y el reto

que le envían los dos vendedores es el mismo, habrá conseguido gastar
la moneda dos veces. Por este motivo se hace necesario que los retos se
generen aleatoriamente, de manera que sea prácticamente imposible que
se produzca una repetición.
• El sistema no es transferible.
Esta modalidad de moneda electrónica con anonimato revocable presenta el

inconveniente de que posibilita la realización de fraude por doble utilización.
A pesar de que el banco será capaz de identificar al culpable, el hecho de tenerlo
que perseguir puede resultar costoso. La ventaja es que se puede utilizar en
entornos donde puede no haber conectividad con el banco.
5.3. BitCoin
Bitcoin es una criptomoneda. No hay ninguna figura central con capa-

cidad de generar y poner en circulación monedas nuevas.
Como ya hemos comentado, la criptomoneda se genera de forma colectiva

mediante un sistema que controla el ritmo de generación evitando una inva-
sión de monedas en el mercado que anularía su valor. Las monedas nuevas se
distribuyen de forma aleatoria entre los usuarios que colaboran en el proceso
de garantizar la integridad de un registro de transacciones.
La doble utilización se controla a través de un registro de transacciones que se

gestiona de forma colectiva mediante un sistema P2P. La integridad del regis-
tro depende de la honestidad de los participantes. En cada operación de trans-
ferencia de moneda que se hace, hay que comprobar en el registro de transac-
ciones que la moneda no ha sido gastada con anterioridad. En este sentido,
se trata de un sistema en línea.
Para utilizar el sistema Bitcoin hay que instalar el monedero en un ordenador

o dispositivo personal. En este monedero se descarga el historial de transaccio-
nes, necesario para evitar casos de doble utilización, y se genera un conjunto
de parejas de claves privada-públicas.
Una moneda está formada por una clave pública. Quien dispone de la clave
privada asociada es el propietario. En una operación de transferencia, inter-
vienen un emisor y un receptor. El receptor pone a disposición del emisor una
de las claves públicas de su monedero. Entonces, el emisor pone en un mismo
mensaje la moneda junto con la clave pública del receptor y firma este mensa-
je. Este mensaje se firma utilizando la clave privada correspondiente a la clave
pública asociada a la moneda. Únicamente quien conoce esta clave privada
será capaz de transferir (gastar) la moneda. Desde este momento, el receptor
pasa a ser el nuevo propietario de la moneda. Después, hay que añadir esta
transacción al registro público de transacciones.
Bitcoin se puede considerar un sistema anónimo por el hecho de que en

una transacción únicamente intervienen dos claves públicas. Si la iden-
tidad de las personas que crearon estas claves se mantiene en secreto,
su anonimato será preservado.
De forma distribuida, se mantiene una estructura de datos a la cual se van

añadiendo nuevos nodos con información sobre las nuevas transacciones lle-
vadas a cabo. La integridad de estos nodos se garantiza mediante un procedi-
miento basado en la busca de valores tales que al aplicarles una función hash
devuelven un valor que satisface una determinada propiedad. Este es un pro-
ceso que requiere mucha potencia de cálculo y donde participa una cantidad
muy grande de máquinas. La máquina que tiene la suerte de encontrar uno de
estos valores es recompensada con monedas de nueva creación. A medida que
pasa el tiempo, la propiedad que tienen que cumplir los valores que se buscan
se hace más complicada de conseguir, con lo cual se necesita más tiempo para
encontrarlos y el ritmo de generación de nuevas monedas se va ralentizando.
Hay dos formas de recibir monedas:
• Que un usuario que ya dispone de una moneda nos la transfiera (mediante

el procedimiento de transferencia antes descrito).
• Participar en el proceso que proporciona integridad al historial de transac-

ciones, con lo cual, si se tiene suerte, se reciben monedas de nueva crea-
ción.
Consideraciones de seguridad:
• Si la clave privada asociada a una moneda se pierde, esta moneda ya no se Nota

podrá volver a utilizar nunca más.
Existen otros sistemas de crip-
tomoneda, como por ejemplo,
• Si una persona deshonesta se entera de la clave privada de una moneda Dogecoin.
podrá transferirla como si fuera suya. Si más adelante el usuario legítimo

intenta transferirla, será acusado de intentar llevar a cabo una doble utili-
zación. Por este motivo y el anterior, es muy importante custodiar la clave
privada de las monedas en un dispositivo seguro.
Resumen
Una parte fundamental del comercio electrónico es el pago. El éxito de un

sistema de pago depende de la aceptación que tenga entre sus usuarios.
En este módulo hemos estudiado diferentes maneras de llevar a cabo un pago

electrónico. Hemos empezado hablando del ampliamente conocido y utiliza-
do pago mediante tarjeta bancaria. Después hemos estudiado los sistemas de
cartera virtual y también algunos sistemas donde el comprador paga su com-
pra a través de su factura telefónica. Finalmente, hemos dedicado una sección
al dinero digital, distinguiendo entre aquel donde las monedas son generadas
por un banco, y el de tipo descentralizado, donde las monedas son generadas
y gestionadas de forma colectiva por una comunidad de usuarios.
La seguridad es un aspecto clave de cualquier sistema de pago. Se ha comen-

tado la seguridad proporcionada por algunos sistemas de pago en lo referen-
te a las propiedades básicas de confidencialidad, autenticación e integridad.
Otras propiedades como el no repudio y el anonimato también han sido co-
mentadas.
El número de sistemas de pago existentes es bastante elevado, con lo cual no

ha sido posible hablar de todos ellos. Hemos elegido un subconjunto bastante
amplio y representativo.
Actividades
1) Buscad información en Internet sobre los sistemas de pago aceptados por diferentes pla-
taformas de comercio electrónico, como por ejemplo Magento o Prestashop.
2) Descargad el documento “EMV: Integrated Circuit Card Specifications for Payment Sys-
tems. Book 2” citado en la bibliografía, y estudiad los detalles de los mecanismos proporcio-
nados para el intercambio seguro de mensajes entre una tarjeta y su emisor.
3) En el módulo se habla de tres sistemas de cartera virtual. Buscad en Internet otras pro-
puestas y estudiad su funcionamiento.
4) Buscad en Internet información sobre las comisiones cobradas por los prestadores de ser-
vicio SMS Premium.
5) ¿Qué pasaría si el disco duro de un ordenador que almacena dinero electrónico se estro-
peara? ¿Habría alguna posibilidad de recuperar el dinero? Plantead soluciones para evitar que
un hecho como este cause una pérdida irrecuperable.
6) Haced un repaso de los sistemas explicados en el módulo y analizad las posibilidades que
ofrecen en cuanto a la realización de pagos anónimos.
Bibliografía
Bibliografía
“Altiria: Plataforma SMS y Marketing Móvil” (fecha de consulta: abril del 2014).
“Bitcoin: dinero P2P de código abierto” (fecha de consulta: abril del 2014).
Brands, S. (1994). “Untraceable off-line cash in wallet with observers”. Lecture Notes in Com-
puter Science (vol. 773, pág. 302-318).
Chaum, D. (1989). “Privacy protected payments: unconditional payer and/or payee untra-
ceability”. Smart Card 2000 (pág. 69-93).
“El sistema de diners digitals DogeCoin” (fecha de consulta: abril del 2014).
“EMV: Integrated Circuit Card Specifications for Payment Systems. Book 2” (fecha de con-
sulta: abril del 2014).
“Hal-Cash: envio instantáneo de dinero” (fecha de consulta: abril del 2014).
“MasterCard WorldWide” (fecha de consulta: abril del 2014).
“Sepomo: shaping the mobile payments future” (fecha de consulta: abril del 2014).
“Sistema Caixa Wallet” (fecha de consulta: abril del 2014).
“Sistema de Pagos Movistar” (fecha de consulta: abril del 2014).
“Sistema Google Wallet” (fecha de consulta: abril del 2014).
“Sistema PayPal” (fecha de consulta: abril del 2014).
“Sistema PaySafeCard” (fecha de consulta: abril del 2014).
“Sistema Ukash” (fecha de consulta: abril del 2014).
“Skrill Holdings Limited” (fecha de consulta: abril del 2014).
“Step2U. SMS Premium. Mobile Software development” (fecha de consulta: abril del 2014).
“Targeta de prepagament MoneyToPay” (fecha de consulta: abril del 2014).
“VIABUY PrePaid MasterCard” (fecha de consulta: abril del 2014).
“VISA Europe” (fecha de consulta: abril del 2014).
“WPR: comunicación e interactividad” (fecha de consulta: abril del 2014).

Modulo 4 Sistemas de Pago

Cargado por

Copyright:

Formatos disponibles

Modulo 4 Sistemas de Pago

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Modulo 4 Sistemas de Pago

Cargado por

Copyright:

Formatos disponibles

Sistemas de pago

2. Pagos basados en tarjeta.................................................................. 13

3. Sistemas de cartera virtual............................................................. 23

4. Pagos basados en el envío de mensajes SMS................................ 28

No hace muchos años, la compra de productos se llevaba a cabo de forma

Con la llegada del comercio electrónico, se hace posible la adquisición de pro-

La seguridad es un aspecto clave de cualquier sistema de pago electrónico. Un

En la actualidad, existen sistemas de pago electrónico de naturaleza muy di-

En los materiales didácticos de este módulo el estudiante encontrará las herra-

1. Comprender el concepto de dinero como medio de intercambio.

2. Conocer las diversas modalidades de pago mediante tarjeta y los aspectos

3. Entender el concepto y funcionamiento de un sistema de cartera virtual.

4. Conocer varias modalidades de pago electrónico basadas en el envío de

5. Adquirir los conocimientos necesarios para entender el concepto de dinero

Este apartado empieza con una breve introducción al concepto de dinero y a su

1.1. Evolución histórica del dinero y función que desarrolla

El concepto y utilización del dinero a lo largo del tiempo ha ido evolucionan-

La palabra dinero designa un medio de intercambio aceptado por una

Más adelante aparece el dinero�notacional. Un ejemplo de este tipo de dinero

Podemos resumir la evolución del dinero en las etapas siguientes:

• Intercambio directo de productos

El dinero representa el potencial para adquirir productos y servicios, y tiene

• Sirve como estándar de valor para comparar diferentes productos y servi-

• Sirven como medio de intercambio y sustituyen a las permutas. Con su

• Sirve como un medio para almacenar la capacidad de compra. El dinero

Una unidad monetaria es un símbolo de potencia real que un agente econó-

• Se tiene que poder convertir a otros medios de pago.

• Tiene que ser reconocido en una comunidad de usuarios. El dinero tiene

• Ha de estar protegido por un estado (dólar/EUA) o una comunidad econó-

El único símbolo monetario con potencial considerable son los billetes

Además del dinero fiduciario, está el dinero escriturado. Se trata de dinero no

Requisitos del dinero tradicional

El dinero tradicional tiene que cumplir los requisitos siguientes:

El dinero se tiene que poder transferir de un agente económico a otro con la

• Dinero en metálico (en forma de billetes o monedas)

Con la llegada de Internet y del comercio electrónico se hace necesaria la crea-

1.2. Arquitectura de los participantes

Antes de identificar las diferentes implementaciones de sistemas de pago elec-

Actores en un pago mediante Internet

1.3. Clasificación de los sistemas de pago

Los sistemas de pago se pueden clasificar de varias maneras. En este apartado

Antes de presentar las diversas clasificaciones, describiremos las fases o accio-

• Retirada�de�fondos. Este proceso está asociado a la confirmación del ban-

• Pago. El comprador entrega la información necesaria para hacer el pago al

• Depósito. El banco adquiridor recibe la información y cobra del banco

Una primera división depende del importe de la operación, situando la fron-

Un sistema de micropago es aquel en el que los importes de los pagos

La adecuación de un sistema a la realización de micropagos depende en gran Nota

Un inconveniente que presentan los sistemas de pago en línea es el coste aso-

Una tercera clasificación de los sistemas de pago se basa en el momento en que

Los sistemas de prepago son los que descuentan el dinero de la cuenta

Los sistemas de pago de�débito son aquellos en los que se descuenta el

En los sistemas de pago de�crédito, el importe de la transacción se anota

En esta tercera clasificación, se podría pensar que solo se habla de sistemas de

2. Pagos basados en tarjeta

Cuando se efectúa un pago, el comprador entrega su tarjeta al vendedor, que la

Estas medidas de seguridad son únicamente aplicables en entornos donde el

Con el objetivo de reducir el fraude que surge de la facilidad de falsificar tar-

El chip de estas tarjetas tiene capacidad de realizar operaciones criptográficas

2.1.1. El estándar EMV