En esta entrada del blog, examinaremos las razones por las que Corea del Sur todavía se adhiere a certificados de certificación públicos obsoletos y los problemas que surgen de ello.
Con el rápido desarrollo de internet, hoy en día es imposible vivir sin él. Podemos obtener rápidamente la información que queremos y disfrutar de una amplia variedad de entretenimiento. En particular, internet ha contribuido enormemente a los cambios en la cultura de consumo, y hace ya bastante tiempo que podíamos comprar sin salir de casa, con productos entregados a domicilio con solo unos clics. Sin duda, se ha vuelto muy cómodo, pero al intentar comprar en línea, surgen muchos inconvenientes. Al comprar en línea, hay que instalar varios programas y, finalmente, verificar la identidad mediante un sistema de certificación público. Esto resulta realmente problemático y molesto al comprar en varios sitios web, pero los usuarios no tienen más remedio que usar el sistema, ya que las transacciones no son posibles sin una certificación pública. Sería ideal que el certificado público, que requiere varios pasos complejos, fuera seguro, pero se ha descubierto que está desactualizado y es vulnerable a las brechas de seguridad. ¿Por qué Corea del Sur, una potencia tecnológica, ha seguido utilizando certificados públicos durante décadas si ofrecen tan pocas ventajas?
Un certificado público es información electrónica emitida por una autoridad de certificación pública con el fin de identificar a los usuarios en el comercio electrónico, prevenir la falsificación y alteración de documentos, y prevenir la denegación de transacciones. Es un tipo de certificado de sello para transacciones cibernéticas. Hace unos 15 años, a medida que la tasa de penetración de Internet en Corea aumentó drásticamente y las transacciones financieras como la banca por Internet comenzaron a florecer, la seguridad se hizo necesaria. En ese momento, casi todos los PC usaban Microsoft Windows como sistema operativo, y no era exagerado decir que Internet Explorer era el navegador web estándar. El problema era que los algoritmos de seguridad utilizados en ese momento, los algoritmos de cifrado propios de Corea (SEED y ARIA), no eran compatibles con Internet Explorer. Por lo tanto, como último recurso, se introdujo un programa llamado Active X para permitir que el algoritmo se implementara en Internet Explorer. Desde 2003, el uso de certificados públicos ha sido requerido por ley para todas las transacciones financieras electrónicas.
ActiveX parecía inicialmente una solución innovadora, pero sus limitaciones se hicieron evidentes con el tiempo. Problemas de compatibilidad con los navegadores más recientes, procesos de instalación engorrosos y vulnerabilidades de seguridad están causando inconvenientes a los usuarios. Ha llegado el momento de introducir nuevas tecnologías y métodos.
La tecnología informática cambia día a día, pero los certificados públicos se siguen utilizando como sistema de seguridad. Hay tres razones principales por las que los certificados públicos se están volviendo obsoletos. En primer lugar, se basan en ActiveX, por lo que solo funcionan con Internet Explorer. Claro que, cuando se introdujo el sistema de certificados públicos, la política de Microsoft de integrar Internet Explorer con sus productos implicaba que casi todos los usuarios lo usaban, lo que no suponía un problema importante, pero ahora resulta muy incómodo para quienes usan otros navegadores web. Según las estadísticas de StatCounter, en julio de 2013, los usuarios de Internet Explorer en Corea representaban el 72.76 % del mercado, mientras que Chrome representaba el 21.22 % y Firefox el 2.9 %. A pesar de que Internet Explorer no ofrece ninguna ventaja que le permita dominar a todos los demás navegadores, este resultado se debe a que muchas personas continúan usándolo porque ActiveX y los certificados públicos solo funcionan en Internet Explorer. A nivel mundial, Chrome es el navegador más utilizado con un 43.12%, seguido de Internet Explorer con un 24.53% y Firefox con un 20.09%.
En realidad, cada navegador tiene sus propias ventajas, y es lógico que cada persona elija el navegador web que mejor se adapte a sus preferencias. Sin embargo, muchos se ven obligados a elegir Internet Explorer debido al certificado público que solo funciona en ese navegador. La segunda razón es la incomodidad de ActiveX. Si bien ActiveX es necesario debido a la naturaleza de los certificados públicos, no existen estándares para ActiveX.
Por lo tanto, cada sitio usa un ActiveX diferente, por lo que los usuarios deben instalarlo repetidamente. Además, la instalación no se completa una vez finalizada. Durante la instalación, se restablece la información ingresada previamente y la pantalla vuelve a la inicial, lo que obliga a los usuarios a reingresar toda la información, lo cual supone una molestia adicional. En algunos casos, si la instalación se realiza incorrectamente, la información se restablece varias veces, lo que supone una pérdida de tiempo para los usuarios.
La tercera razón es la vulnerabilidad de seguridad de los certificados públicos. Hoy en día, al navegar por internet, incluso sin comprar, muchos sitios web requieren la instalación de ActiveX para tareas específicas. Generalmente, al instalar ActiveX, la gente suele hacer clic en "Sí" sin pensarlo, y en la mayoría de los casos, es inofensivo para el equipo, pero a veces puede contener código malicioso. Al instalar ActiveX, se cede parte del control sobre el equipo, lo que reduce la seguridad y lo convierte en un blanco fácil para los hackers. Es recomendable no instalar archivos solicitados por sitios no certificados, pero muchos usuarios de internet lo desconocen, lo que puede causar problemas. Incluso siendo consciente de este problema, en muchos casos no hay más remedio que instalar ActiveX para usar el sitio, por lo que se termina instalándolo a regañadientes. Incluso Microsoft ha reconocido las vulnerabilidades de seguridad de ActiveX y está reduciendo su soporte a medida que se actualizan las versiones de Windows. Además, aunque la certificación pública era una tecnología válida hace 15 años, ahora es una tecnología que se ha quedado muy por debajo de los estándares internacionales. Además, una vez que el gobierno lo impuso por ley, ya no había motivos para la innovación. Con un puñado de autoridades de certificación públicas monopolizando la tecnología durante más de una década, los problemas se acumularon y el desarrollo se estancó.
Además, el uso de certificados públicos no es solo un problema técnico, sino también económico y social. Por ejemplo, las pequeñas y medianas empresas y las startups incurren en altos costos iniciales y dedican mucho tiempo debido a los complejos procedimientos de los certificados públicos. Esto, en última instancia, constituye un obstáculo para la innovación y el crecimiento.
Finalmente, existe la cuestión de la responsabilidad derivada del uso de certificados públicos. Estos certificados pueden describirse como certificados de cibersello que contienen información electrónica utilizada para verificar la identidad de las personas en el comercio electrónico. En otras palabras, contienen información personal y, por lo tanto, son datos muy importantes, pero actualmente se almacenan en discos duros o memorias USB de ordenadores personales para su uso. Es comprensible que personas sin experiencia no puedan responsabilizarse de la seguridad de sus propios ordenadores. Sin embargo, bajo el sistema actual de certificación pública, las personas son responsables de gestionar su propia información personal, y si esta se filtra debido a un ataque informático, la responsabilidad recae exclusivamente sobre ellas. Creo que esta es la mayor deficiencia de los certificados de certificación pública. Desde la perspectiva de los bancos, este sistema es muy beneficioso. Incluso si se vulnera la seguridad, pueden trasladar la responsabilidad a sus clientes y no tienen que ofrecer ninguna compensación. Los bancos, sin duda, son conscientes de las vulnerabilidades técnicas de los certificados públicos, pero como ya están regulados por ley, no necesitan desarrollar nuevas tecnologías. Es realmente injusto para las personas. Como sabe cualquiera que haya realizado pagos en el extranjero, los sitios web extranjeros ofrecen métodos de pago mucho más sencillos. Incluso sin certificados públicos ni ActiveX, se pueden realizar pagos mediante métodos sencillos como la autenticación por correo electrónico o SMS. Las principales instituciones extranjeras tienen un enfoque diferente en materia de seguridad. Si bien existe el riesgo de que las empresas accedan a información personal para realizar pagos, compiten por invertir en seguridad, y las que no cuentan con los recursos financieros para hacerlo solo recopilan una pequeña cantidad de información personal. En Corea, las empresas transfieren la responsabilidad a los usuarios cuando ocurre un accidente, pero en otros países, la responsabilidad recae en las empresas, lo que justifica este tipo de sistema.
Recientemente, el drama "My Love from the Star" se convirtió en un gran éxito en Corea y se exportó con éxito a China. Como resultado, los consumidores chinos intentaron comprar el vestuario y otros artículos de los personajes en centros comerciales en línea en Corea, pero no pudieron realizar los pagos por falta de un certificado público, lo cual fue una situación ridícula. Solo entonces, el presidente y otros altos funcionarios del gobierno reconocieron el problema con los certificados públicos e iniciaron esfuerzos para revisar la ley y permitir pagos inferiores a 300,000 wones sin un certificado público. Es lamentable que el problema de los certificados públicos, que ha estado plagando internet en Corea, haya resurgido debido a los problemas de compra que enfrentan los consumidores chinos.
La controversia sobre la abolición de los certificados públicos de certificación lleva años vigente, y el gobierno es claramente consciente de ello. No creo que el gobierno sea incapaz de abandonarlos por falta de alternativa. Más bien, es posible pensar que no puede hacerlo debido a los beneficios que obtiene de las instituciones que los emiten y la comodidad que le brindan las entidades bancarias. Esto constituye claramente un acto de desprecio hacia la ciudadanía. Podría ser irrazonable abolir el sistema de certificados públicos sin las medidas suficientes. Sin embargo, al observar ejemplos de otros países, es evidente que el comercio electrónico es posible sin certificados públicos, e incluso existen métodos más convenientes y seguros. El gobierno debe abolir el sistema de certificados públicos por el bien de los ciudadanos coreanos, no por el de los usuarios extranjeros.
