Pagos amigables para los comerciantes: menos que perfectos, pero mejores que antes

Bitcoin necesita una revisión de su mecanismo de pago para hacerlo más amigable para los comerciantes, pero el equipo de desarrollo CORE está trabajando con un sistema imperfecto, dicen.

La idea básica detrás de laRequest de pago La iniciativa busca dotar a Bitcoin de un mecanismo para enviar pagos verificados directamente entre personas. Esto no elimina las transacciones de la blockchain, pero sí proporciona una capa adicional de seguridad entre el comerciante y el cliente. Además, facilita los pagos.

El problema con los pagos con Bitcoin

En el sistema tradicional de pagos de Bitcoin , los bitcoins se envían ingresando manualmente una dirección alfanumérica larga y sin sentido en un cliente de Bitcoin . Algunos clientes permiten escanear códigos QR de direcciones.

"Técnicamente es genial, pero para la persona promedio LOOKS un mono tecleando", dice el desarrollador CORE Jeff Garzik. Además de ser difícil de entender o usar para el usuario promedio sin conocimientos técnicos, el formato de dirección tan incoherente permite varios ataques. "Por ejemplo, no sabes si la dirección de Bitcoin que te di es realmente mía", señala.

Existe el riesgo de que la dirección sea inexacta o simplemente fraudulenta. Podría fingir ser un comerciante legítimo en línea o incluso enviar un ataque de phishing para pedirte dinero. Si cayeras en la estafa y me pagaras, perderías tu dinero. Al fin y al cabo, los pagos con Bitcoin son irreversibles.

El otro problema con los pagos actuales en Bitcoin es que, si bien se registran permanentemente en la cadena de bloques, no es fácil documentarlos. La información del pago no contiene metadatos que indiquen su propósito. Tampoco hay información sobre la dirección de devolución para reembolsos. Cualquier reembolso debe gestionarse por separado. Y si desea confirmar inmediatamente que su pago en Bitcoin llegó a su destinatario, debe obtener una confirmación por separado.

Una mejor manera

Todo esto podría haber parecido razonable en 2009, pero las cosas han cambiado. Necesitamos algo más robusto ahora, argumenta Pieter Wuille, ONE de los siete desarrolladores CORE de Bitcoin. «En casi todos los casos, ya estás visitando el sitio web del comerciante para realizar un pedido. Es bastante extraño que ahora dependamos de la red peer-to-peer (lenta, poco fiable, cara y poco flexible) para hacerle llegar su pago, cuando podríamos enviárselo directamente (más rápido, más barato, con la posibilidad de añadir metadatos a la transacción y, lo más importante, una confirmación instantánea del comerciante de que lo ha recibido)».

El mecanismo de Solicitudes de Pago intentará hacer precisamente eso. En lugar de tener que enviar pagos a una engorrosa dirección de Bitcoin , quien desee pagar algo en bitcoins puede simplemente esperar a que el comerciante le envíe una Request por correo electrónico o a través de un sitio web. El cliente de Bitcoin del cliente utiliza la información contenida en la Request de Pago para realizar el pago, lo que aumenta la seguridad del proceso.

Las solicitudes de pago utilizan certificados digitales para intentar resolver el problema, de la misma forma que los sitios web los utilizan para demostrar que los sitios son propiedad de los verdaderos propietarios de una empresa y están operados por ellos.

En los oscuros tiempos de internet, era fácil visitar un sitio web que se creía propiedad de cierta empresa (por ejemplo, www.microsoft.com) y terminar en un sitio fraudulento gestionado por un estafador (quizás www.m1cros0ft.com). Muchas personas se volvieron vulnerables a ataques de phishing debido a esta vulnerabilidad. Por ello, la industria introdujo los certificados digitales. Los sitios web ofrecían estos certificados, obtenidos de empresas externas de confianza llamadas autoridades de certificación. Los navegadores buscaban los certificados y mostraban un error si no los encontraban.

Certificados digitales en pagos con Bitcoin

Los desarrolladores CORE quieren usar la misma premisa básica para los pagos. Un comerciante envía una Request de pago al cliente, firmada con un certificado digital. Esta puede incluir información como la fecha de vencimiento del pago, datos específicos del comerciante, como el número de factura, una nota de texto sin formato y una URL para enviar el pago. Anteriormente, esta información no estaba disponible en un pago estándar de Bitcoin , ya que no existía una Request de pago. El cliente simplemente enviaba bitcoins al ether, con la esperanza de llegar a la persona correcta.

En el nuevo sistema, el cliente enviará su pago al comerciante, codificado con información adicional, incluyendo parte de la información de la Request de pago como referencia, junto con una dirección de reembolso en caso de que el comerciante necesite devolver fondos.

Es algo muy maduro, algo que Bitcoin necesitaba desde hace mucho tiempo, por lo que ha estado en desarrollo durante los últimos dos años. Pero el sistema sobre el que se construirá dista mucho de ser perfecto, admiten los desarrolladores CORE .

El aumento de velocidad de seguridad de SSL

Es difícil obtener buenos certificados. ¿Qué ocurre si un certificado es fraudulento, como ocurrió?aquí,aquí, y aquí¿Qué sucede si se revoca un certificado?

En general, la infraestructura de confianza de clave pública es un problema muy complejo y, lamentablemente, no existe una solución milagrosa. Después de todos los demás, la PKI SSL es, en cierto modo, el peor sistema existente», admite Wuille.

SSL es el nombre coloquial de X.509, el estándar de certificado que se utilizará para el mecanismo de Request de pago. Los expertos lo han criticado durante mucho tiempo por sus defectos. Dan Kaminsky y Moxie Marlinspike son semidioses en el sector de la seguridad. voló la tapaVulnerabilidades de seguridad X.509 en la infame conferencia de hackers Defcon en 2009.

Otros problemas con X.509 incluyen la revocación de certificados. Los certificados pueden revocarse por diversas razones, como que los titulares de certificados proporcionen documentos falsos o realicen otras acciones engañosas en línea. X.509 utiliza un sistema llamado Protocolo de Estado de Certificados en Línea (OCSP) para detectar qué certificados han sido revocados.

“El consenso entre los expertos es que el sistema de revocación de certificados (OCSP) no funciona”, afirma el desarrollador principal Gavin Andresen. “Simplemente no hay incentivos suficientes para que las autoridades de certificación inviertan en la infraestructura necesaria para dar soporte a millones de usuarios que consultan constantemente sus servidores OCSP y preguntan: '¿Este certificado está revocado? ¿No? ¿Qué tal ahora?'”.

Adopción vs seguridad

Así que, al menos dos de los siete desarrolladores CORE admiten que X.509 tiene fallos. ¿Por qué lo usan? Nos guste o no, prácticamente todo internet usa SSL, y en la práctica, los desarrolladores CORE no tienen otra opción. Si eres un comerciante en línea, probablemente tengas un certificado SSL. Incluso si el equipo de desarrollo CORE tuviera la capacidad de abordar el problema de la infraestructura de clave pública y crear una mejor trampa para ratones, tendrían que conseguir que la gente la usara. Ya es bastante difícil conseguir que los comerciantes se interesen en Bitcoin desde el principio, sin tener que volver a registrarlos para obtener otro certificado.

Nada en tecnología es perfecto, y como dice Andresen, los comerciantes online T dependen de OCSP en la práctica. X.509 sigue siendo más seguro que las direcciones de Bitcoin que se usan hoy en día. Cualquier avance es mejor que nada.

Los beneficios de las solicitudes de pago

Un mejor mecanismo de pago traería beneficios significativos a Bitcoin. No se deben subestimar las mejoras en la experiencia del usuario. Andresen quisiera que ONE día las direcciones de Bitcoin que se usan actualmente desaparezcan para siempre. "Ojalá, con el tiempo", dice. "Las direcciones de Bitcoin no son muy intuitivas".

Las direcciones de Bitcoin no serán oficialmente obsoletas, dice el desarrollador CORE Nils Schneider, pero es muy posible que se usen menos al tratar con comerciantes, especialmente considerando que actualmente tienen que generar direcciones de Bitcoin separadas para cada transacción.

“Actualmente, usar una dirección diferente para cada transacción es la forma preferida de KEEP separadas. Esto implica crear y almacenar una clave privada para cada transacción”, explica. “Con las solicitudes de pago, se puede usar la misma clave varias veces y aun así poder distinguir las diferentes transacciones y saber qué cliente envió el dinero”.

Ya existe mucha infraestructura basada en direcciones estándar de Bitcoin , afirma Wuille. Es mucha inercia con la que lidiar. Pero espera que la excelente experiencia del cliente lo haga rentable. "Primero, centrémonos en intentar que las transacciones de comercio electrónico lo utilicen, y ya veremos qué pasa con el resto".

Entonces, ¿cuándo es probable que suceda todo esto? Los desarrolladores CORE no se han comprometido mucho. Su objetivo es implementar solicitudes de pago en Bitcoin v0.9, pero no es algo seguro, dice Wuille. "Realizamos lanzamientos cuando es necesario. En caso de una actualización de seguridad importante, puede haber nuevas versiones de la serie 0.8.x antes de la 0.9", dice. "El plan es tener compatibilidad con el protocolo de pago en la 0.9, pero si esto requiere retrasos significativos e inesperados, quizás se pueda lanzar la 0.9 sin ellos".

Las solicitudes de pago pueden enfrentar desafíos, pero benefician a Bitcoin y representan una decisión audaz de un equipo de desarrollo notoriamente conservador. Cualquier medida que permita un envío de Criptomonedas más seguro y eficaz será positiva.