Tarjetas inteligentes: multiaplicación y seguridad por bandera
Conferencia Internacional sobre la Industria de las Smart Cards organizada por Gemplus
Gemplus, uno de los fabricantes más importantes a nivel mundial de tarjetas inteligentes, celebró los pasados 21 y 22 de junio su Conferencia Internacional sobre la Industria de las Smart Cards, donde se reunieron ejecutivos de los cinco continentes para conocer cuáles serán las novedades que dentro de este mercado se ofrecerán a más corto plazo . Con la multiaplicación y la utilización de protocolos comunes como uno de los futuribles retos para su desarrollo, en la conferencia se manejaron otros conceptos tales como miniaturización, la estandarización y la necesidad de que estas tarjetas cada vez tengan más protagonismo para conseguir una utilización equiparable a la hasta ahora realizada de PCs en todo el mundo . La conferencia contó con la presencia de representantes de IBM, Sun y Microsoft los cuales, y después de hablar sobre sus soluciones MultOS, Java Card y SCW, respectivamente, coincidieron en afirmar que estas tarjetas servirán para incentivar una de las más importantes formas de compra-venta del futuro: el comercio electrónico . Fco . Javier Pachá ( París ) .
Las líneas generales de las conclusiones finales fueron ofrecidas desde un principio por Marc Lassus, presidente de Gemplus Associates, al afirmar que “esta industria está eclosionando en un cambio que viene desde hace años, y en el cual se está pasando de los sistemas propietarios a los estándares abiertos, con nuevos jugadores, ya que se observa un cambio necesario del off-line al on-line, es decir, al comercio electrónico y al e-business . La seguridad es otra de las claves para este desarrollo, ya que las smart cards deben conocer las necesidades existentes en este asunto para que en el futuro se consigan smart cards para las networks y pasar inmediatamente, hacia el 2002, a las denominadas computer smart cards” . Con este concepto, Lassus estableció una comparación con respecto al crecimiento de los mainframes y los PCs en los próximos años, consensuando el hecho de que “las tarjetas inteligentes deben quedar equiparadas en su fabricación y uso al de estos productos” .
Pérdidas de tiempo
En una clara línea ascendente, las tarjetas inteligentes han pasado de ser aplicaciones monolíticas a estandarizarse ( como GSM ) para, después, alcanzar los sistemas propietarios y la multiaplicación y, por fin, el sistema abierto . Así lo estableció Eric Alzai, director ejecutivo R&D de Gemplus . Según Alzai, existen dos tendencias: la de aquellas aplicaciones que personalizan el uso de las tarjetas y otra, que se dará a medio plazo, que es la generación o creación directa de APIs . De hecho, para Alzai “las applet cards deben ser consideradas como una solución independiente e integrada con otras . Las aplicaciones de tarjetas deben ser diseñadas para estar orientadas a objetos, y no entregarlas en paquetes de bajo nivel de comunicación que provoquen pérdidas de tiempo en descodificar/codificar . Se deben ofrecer tarjetas con mayor capacidad operativa, es decir, no sólo mejoras tecnológicas, sino más rápidas . De hecho, la liberalización de las tarjetas vendrá cuando se consigan protocolos que rijan el funcionamiento de todas ellas, como XML” .
De esta manera, la diversificación de este mercado para el año 2000, podría estructurarse de la siguiente forma: por una parte, tarjetas inteligentes para aplicaciones corporativas business-to-business, con las intranets y las extranets; por otro lado, servicios on-line ( o business-to-consumer ) ; y, por último, todo lo relacionado con la firma digital . Es aquí donde las conferencias se desglosaron en dos grandes tendencias para las smart cards del futuro: por un lado, la seguridad y, por otro, la derivación natural desde la estandarización hacia aplicaciones con posibilidades útiles tanto para las grandes, medianas y pequeñas empresas como para el usuario final, a través de la colaboración de los proveedores .
Una bomba a punto de estallar
La seguridad podría convertirse en una bomba a punto de estallar si Internet queda desprotegida . De hecho, las smart cards pueden convertirse en una de las presas de esta falta, pero también pueden colaborar activamente y de forma muy directa en la constitución de un marco seguro en la Red . Teniendo en cuenta que una de las principales aplicaciones de las smart cards es Internet ( conferencias que reunieron a la gran mayoría de los asistentes ) , Koh Gim-Leng, uno de los altos directivos de Gemplus en el Lejano Oriente, relacionó algunas de las carencias de seguridad en la Red con las de las propias tarjetas . Entre ellas mencionó la autentificación, todavía no ofrecida de forma absoluta por los fabricantes de tarjetas y aún solicitada por los clientes, cuando debería ser algo entregado por la empresa vendedora; las contraseñas o PINs, que Koh calificó de “demasiado débiles y fáciles, ya que para poder recordarlas, los usuarios las hacen sencillas, y además las confían a terceras personas de forma excesiva . Por otra parte, está la identificación de retina o huellas dactilares, sistema demasiado costoso y complejo, algo demasiado nuevo para que existan estándares comunes . Es esta falta de estandarización lo que lleva al desconocimiento del propio sistema de protección, y a que el usuario utilice mal sus sistemas de seguridad . Con ello podríamos conseguir que las aplicaciones que corran para una tarjeta corrieran también para las demás, creándose un círculo vicioso entre las futuras tendencias de las tarjetas y la propia seguridad” . Koh adujo que las smart cards ofrecen una seguridad extra comparada con la más pura encriptación del software, y que estas tarjetas poseen su propia construcción tecnológica, sin depender de cuestiones externas para la aplicación de la “dosis” de seguridad que estos aplicativos incorporan . Por ello, a este valor añadido se añade la posibilidad con la que cuentan las tarjetas, que no es otra que realizar la encriptación y el acceso a la contraseña de forma conjunta, cumpliendo así sus dos cometidos fundamentales: ser dispositivos seguros y, además, entregar una seguridad añadida hasta ahora no demasiado desarrollada e influida por la propia inseguridad de la Red . De hecho, fue en este punto donde Koh estableció una diferencia entre la clave secreta y la clave pública, conocida como PKI: esta opción será la elegida en un futuro, y por esta razón, “con el crecimiento de PKI, será necesaria una seguridad criptográfica ofrecida y reforzada, inscrita en esta nueva concepción y globalización de la seguridad” .
Empresas y usuarios
Sin duda, una de las catapultas para el desarrollo de las tarjetas inteligentes no sólo en empresas sino entre los propios usuarios es el comercio electrónico . Es éste el uso que precisamente quieren ofrecer a las smart cards fabricantes como Sun Microsystems, IBM y Microsoft, también presentes en la conferencia como desarrolladores de tres iniciativas relacionadas con las tarjetas, algunas ya conocidas: Java Card de Sun, MultOS de IBM y SCW ( Smart Card for Windows ) de Microsoft . Steven Houghtalen, director de Global Smart Card Solutions Pervasive Computing de IBM, comenzó “siendo realista”, según sus propias palabras, y empezó ofreciendo datos claros sobre la utilidad de las smart cards: “Durante 1997, 100 millones de teléfonos móviles fueron vendidos en todo el mundo . Si esto lo comparamos con los 70 millones de PCs y con el hecho de que el 50% de ventas en dispositivos a través de la Web no serán PCs en el 2002, nos encontramos con la necesidad que tiene el usuario de poseer cada vez más dispositivos que les permitan acceder a la información más fácilmente y los móviles, por ejemplo, junto a otros dispositivos que no son PCs, lo permiten mejor que los ordenadores” . Houghtalen incidió también en la capacidad que deben poseer las tarjetas inteligentes para personalizar el e-business: “La pe
