5. FIRMA DIGITAL
• ¿Qué es firma digital? La Firma Digital es un método criptográfico que asocia la identidad de una
persona o de un equipo informático al mensaje o documento. En función del tipo de firma, puede,
además, asegurar la integridad del documento o mensaje.
• La Firma Electrónica es un concepto más amplio que el de Firma Digital. Mientras que el segundo hace
referencia a una serie de métodos criptográficos, el concepto de “Firma Electrónica” es de naturaleza
fundamentalmente legal, ya que confiere a la firma un marco normativo que le otorga validez jurídica.
•
• La Firma Electrónica, puede vincularse a un documento para identificar al autor, para señalar
conformidad (o disconformidad) con el contenido, para indicar que se ha leído o, según el tipo de firma,
garantizar que no se pueda modificar su contenido.
6.
7. QUE ES LA FIRMA DIGITAL
• La firma digital es una herramienta tecnológica que permite garantizar la autoría e integridad de los
documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia de los
documentos en papel. Una firma digital es un conjunto de datos asociados a un mensaje digital que
permite garantizar la identidad del firmante y la integridad del mensaje.
• La firma digital no implica asegurar la confidencialidad del mensaje; un documento firmado digitalmente
puede ser visualizado por otras personas, al igual que cuando se firma holográficamente. La firma digital es
un instrumento con características técnicas y normativas. Esto significa que existen procedimientos técnicos
que permiten la creación y verificación de firmas digitales, y existen documentos normativos que respaldan
el valor legal que dichas firmas poseen.
• ¿Cómo funciona? La firma digital funciona utilizando complejos procedimientos matemáticos que
relacionan el documento firmado con información propia del firmante, y permiten que terceras partes
puedan reconocer la identidad del firmante y asegurarse de que los contenidos no han sido modificados.
• El firmante genera, mediante una función matemática, una huella digital del mensaje, la cual se cifra con la
clave privada del firmante. El resultado es lo que se denomina firma digital, que se enviará adjunta al
mensaje original. De esta manera el firmante adjuntará al documento una marca que es única para dicho
documento y que sólo él es capaz de producir.
• Para realizar la verificación del mensaje, en primer término, el receptor generará la huella digital del
mensaje recibido, luego descifrará la firma digital del mensaje utilizando la clave pública del firmante y
obtendrá de esa forma la huella digital del mensaje original; si ambas huellas digitales coinciden, significa
que no hubo alteración y que el firmante es quien dice serlo.
8. CLAVES PRIVADAS Y CLAVES PUBLICAS
• En la elaboración de una firma digital y en su correspondiente verificación se utilizan complejos procedimientos
matemáticos basados en criptografía asimétrica (también llamada criptografía de clave pública).
• En un sistema criptográfico asimétrico, cada usuario posee un par de claves propio. Estas dos claves, llamadas clave
privada y clave pública, poseen la característica de que, si bien están fuertemente relacionadas entre sí, no es posible
calcular la primera a partir de los datos de la segunda, ni tampoco a partir de los documentos cifrados con la clave
privada.
• El sistema opera de tal modo que la información cifrada con una de las claves sólo puede ser descifrada con la otra. De
este modo si un usuario cifra determinada información con su clave privada, cualquier persona que conozca su clave
pública podrá descifrar la misma. En consecuencia, si es posible descifrar un mensaje utilizando la clave pública de una
persona, entonces puede afirmarse que el mensaje lo generó esa persona utilizando su clave privada (probando su
autoría).
• Las dos principales ramas de la criptografía de clave pública son:
• Cifrado de clave pública: un mensaje cifrado con la clave pública de un destinatario no puede ser descifrado por nadie
(incluyendo al que lo cifró), excepto un poseedor de la clave privada correspondiente, presumiblemente su propietario y
la persona asociada con la clave pública utilizada. Su función es garantizar la confidencialidad del mensaje.
• Firmas digitales: un mensaje firmado con la clave privada del remitente puede ser verificado por cualquier persona que
tenga acceso a la clave pública de dicho remitente, lo que demuestra que este remitente tenía acceso a la clave privada (y
por lo tanto, es probable que sea la persona asociada con la clave pública utilizada). Se asegura así que el mensaje no ha
sido alterado, puesto que cualquier manipulación del mensaje repercutiría en un distinto resultado del algoritmo de
resumen del mensaje (encoded message digest). Se utiliza para garantizar la autenticidad del mensaje.
9.
10. QUE CONTIENE UN CERTIFICADO DIGITAL
• En su forma más simple, el certificado contiene una clave pública y un nombre. Habitualmente, también contiene una
fecha de expiración, el nombre de la Autoridad Certificante que la emitió, un número de serie y alguna otra
información. Pero lo más importante es que el certificado propiamente dicho está firmado digitalmente por el emisor del
mismo.
• Su formato está definido por el estándar internacional ITU-T X.509. De esta forma, puede ser leído o escrito por
cualquier aplicación que cumpla con el mencionado estándar.
• ¿Qué valor legal tiene la firma digital?
• Para la legislación argentina los términos “Firma Digital” y “Firma Electrónica” no poseen el mismo significado. La
diferencia radica en el valor probatorio atribuido a cada uno de ellos, dado que en el caso de la “Firma Digital” existe
una presunción “iuris tantum” en su favor; esto significa que si un documento firmado digitalmente es verificado
correctamente, se presume salvo prueba en contrario que proviene del suscriptor del certificado asociado y que no fue
modificado. Por el contrario, en el caso de la firma electrónica, de ser desconocida por su titular, corresponde a quien la
invoca acreditar su validez.
• Por otra parte, para reconocer que un documento ha sido firmado digitalmente se requiere que el certificado digital del
firmante haya sido emitido por un certificador licenciado (o sea que cuente con la aprobación del Ente Licenciante).
• Es por esto que, si bien entendemos que en los ambientes técnicos se emplea habitualmente el término Firma Digital
para hacer referencia al instrumento tecnológico, independientemente de su relevancia jurídica, solicitamos a todos los
proveedores de servicios de certificación, divulgadores de tecnología, consultores, etc. que empleen la denominación
correcta según sea el caso a fin de no generar confusión respecto a las características de la firma en cuestión.
11. QUE ES UNA INFRAESTRUCTURA DE FIRMA
DIGITAL
• En nuestro país se denomina “Infraestructura de Firma Digital” al conjunto de
leyes, normativa legal complementaria, obligaciones legales, hardware, software,
bases de datos, redes, estándares tecnológicos y procedimientos de seguridad
que permiten que distintas entidades (individuos u organizaciones) se
identifiquen entre sí de manera segura al realizar transacciones en redes (por ej.
Internet).
• Realmente esta definición es conocida mundialmente con las siglas PKI que
significan Public Key Infraestructure o Infraestructura de Clave Pública.
12. ALGORTIMO HASH
Los hash o funciones de resumen son algoritmos que consiguen crear a partir de una entrada (ya sea
un texto, una contraseña o un archivo, por ejemplo) una salida alfanumérica de longitud normalmente fija
que representa un resumen de toda la información que se le ha dado (es decir, a partir de los datos de la
entrada crea una cadena que solo puede volverse a crear con esos mismos datos).
Estas funciones no tienen el mismo propósito que la criptografía simétrica y asimétrica, tiene varios
cometidos, entre ellos está asegurar que no se ha modificado un archivo en una transmisión, hacer ilegible
una contraseña o firmar digitalmente un documento.
•Características:
En definitiva, las funciones hash se encargan de representar de forma compacta un archivo o conjunto
de datos que normalmente es de mayor tamaño que el hash independientemente del propósito de su uso.
Este sistema de criptografía usa algoritmos que aseguran que con la respuesta (o hash) nunca se podrá
saber cuáles han sido los datos insertados, lo que indica que es una función unidireccional.
Sabiendo que se puede generar cualquier resumen a partir de cualquier dato nos podemos preguntar si se
podrían repetir estos resúmenes (hash) y la respuesta es que teóricamente si, podría haber colisiones, ya
que no es fácil tener una función hash perfecta (que consiga que no se repita la respuesta), pero esto no
supone un problema, ya que si se consiguieran (con un buen algoritmo) dos hashes iguales los
contenidos serían totalmente distintos.
13. MD5
• MD5, ¿qué es y cómo funciona?
• En vez de dar una definición técnica, vamos a tratar de explicar de una forma más básica qué es y cómo funciona
el MD5. Es un algoritmo que proporciona un código asociado a un archivo o un texto concreto. De
esta forma, a la hora de descargar un determinado archivo, como puede ser un instalador, el código generado
por el algoritmo, también llamado hash, viene “unido” al archivo.
• Para que nosotros podamos ver este código MD5, existe software que analiza el archivo descargado y obtiene
dicho código de él. Con el hash de nuestra descarga, podemos acudir a la web del desarrollador del
programa del que tenemos el instalador y buscar el código MD5 de su instalador original. Una vez
tengamos disponibles los dos códigos MD5, el de nuestro archivo descargado y el del instalador o software de la
web oficial del desarrollador, podremos comparar ambos y ver si coinciden y nuestro archivo es fiable o
no.
• ¿Qué usos tiene?
• Aparte de asegurarnos si un instalador es fiable –que es su uso más extenso– el algoritmo MD5 tiene otros usos
también muy interesantes. El primero de ellos, es que, mediante un programa, también podemos crear el
código MD5 de un archivo propio, para que quien haga uso de él pueda comprobar su integridad.
• Otra aplicación verdaderamente interesante está en las instalaciones de firmware, en las que además de
proporcionarnos la información referente a la seguridad del archivo, puede servir también para
comprobar que la descarga de éste se ha realizado correctamente , y dispongamos del archivo
completo y correcto. Esto, como decimos, es de gran utilidad a la hora de instalar un nuevo firmware o sistema
operativo en nuestros dispositivos, como puede ser un router, o en el momento de flashear una
ROM cocinada en un smartphone Android, ya que realizar una instalación de estas características con un
archivo dañado o incompleto, puede dejarnos en ocasiones con un dispositivo inutilizable, o hacernos perder
una buena parte de nuestro tiempo.
14. SHA-1
• SHA-1 ( Secure Hash Algorithm 1 ) es una función hash criptográfica que
toma una entrada y produce un valor hash de 160 bits (20 bytes ) conocido como
resumen del mensaje , normalmente representa un número hexadecimal de 40
dígitos. Fue diseñado por la Agencia de Seguridad Nacional de los Estados Unidos y
es un Estándar Federal de Procesamiento de Información de los Estados Unidos.
•
• Desde 2005 SHA-1 no se ha considerado seguro contra oponentes bien financiados, y
desde 2010 muchas organizaciones han recomendado su reemplazo por SHA-2 o
SHA-3 . Microsoft , Google , Apple y Mozilla anunciaron que sus respectivos
navegadores dejarán de aceptar los certificados SSL SHA-1 para 2017.
•
• En 2017, CWI Amsterdam y Google anunciaron que habían realizado un
ataque de colisión contra SHA-1, publicando dos archivos PDF diferentes que
producían el mismo hash SHA-1.
•
15.
16. CRIPTOANALISIS Y VALIDACION
• Para una función hash para la cual L es el número de bits en el resumen del mensaje, encontrar un mensaje que
corresponda a un resumen del mensaje dado siempre se puede hacer usando una búsqueda de fuerza bruta en
evaluaciones de aproximadamente 2 L.
Esto se denomina ataque de preimagen y puede o no ser práctico dependiendo
de L y del entorno informático particular. Sin embargo, una colisión, que consiste en encontrar dos mensajes
diferentes que producen el mismo resumen del mensaje, requiere en promedio solo alrededor de 1.2 × 2 L /
2
evaluaciones usando un ataque de cumpleaños . Por lo tanto, la potencia de una función hash generalmente se
compara con un cifrado simétrico de la mitad de la longitud del resumen del mensaje. SHA-1, que tiene un resumen de
mensaje de 160 bits, originalmente se pensó que tenía una potencia de 80 bits.
• En 2005, los criptógrafos Xiaoyun Wang , Yiqun Lisa Yin y Hongbo Yu produjeron pares de colisiones para SHA-0 y
encontraron algoritmos que deberían producir colisiones SHA-1 en mucho menos de las 2 80
evaluaciones esperadas
originalmente.
• En términos de seguridad práctica, una gran preocupación sobre estos nuevos ataques es que podrían allanar el camino a
otros más eficientes. Si este es el caso aún no se ha visto, pero se cree una migración a hashes más fuertes ser
prudente. Algunas de las aplicaciones que usan hashes criptográficos, como el almacenamiento de contraseñas, solo se
ven mínimamente afectadas por un ataque de colisión. Construir una contraseña que funcione para una cuenta dada
requiere un ataque de pre imagen , así como acceso al hash de la contraseña original, que puede o no ser
trivial. Invertir el cifrado de contraseñas (por ejemplo, para obtener una contraseña para probar contra la cuenta de un
usuario en otro lugar) no es posible gracias a los ataques. (Sin embargo, incluso un hash seguro de contraseñas no puede
prevenir los ataques de fuerza bruta contra contraseñas débiles ).
• En el caso de la firma de documentos, un atacante no podía simplemente falsificar una firma de un documento existente:
el atacante tendría que producir un par de documentos, uno inofensivo y el otro dañino, y obtener el titular de la clave
privada para firmar el documento inocuo. Hay circunstancias prácticas en las que esto es posible; hasta finales de 2008,
fue posible crear certificados SSL falsificados utilizando una colisión MD5 .
• Debido al bloque y la estructura iterativa de los algoritmos y la ausencia de pasos finales adicionales, todas las funciones
de SHA (excepto SHA-3 ) son vulnerables a los ataques de colisión de extensión de longitud y mensaje parcial.
18. MERCADO POR INTERNTET
• El comercio electrónico, también conocido como e-commerce (electronic commerce en
inglés) o bien negocios por Internet o negocios online, consiste en la compra y venta de
productos o de servicios a través de medios electrónicos, tales como Internet y otras
redes informáticas. Originalmente el término se aplicaba a la realización de transacciones
mediante medios electrónicos tales como el Intercambio electrónico de datos, sin embargo con
el advenimiento de la Internet y la World Wide Web a mediados de la década de 1990
comenzó a referirse principalmente a la venta de bienes y servicios a través de Internet, usando
como forma de pago medios electrónicos, tales como las tarjetas de crédito.
• La cantidad de comercio llevada a cabo electrónicamente ha crecido de manera extraordinaria
debido a Internet. Una gran variedad de comercio se realiza de esta manera, estimulando la
creación y utilización de innovaciones como la transferencia de fondos electrónica, la
administración de cadenas de suministro, el marketing en Internet, el
procesamiento de transacciones en línea (OLTP), el intercambio electrónico de datos (EDI),
los sistemas de administración del inventario y los sistemas automatizados de recolección de
datos.f
19. COMERCIO ELECTRONICO
• La idea de comercio electrónico, por su parte, se vincula al desarrollo de
operaciones comerciales a través de Internet. También conocido
como electronic commerce o e-commerce, esta modalidad comercial
aprovecha las herramientas tecnológicas para la concreción de las transacciones.
• El comercio electrónico puede desarrollarse de múltiples maneras. Un portal,
por ejemplo, puede publicar ofertas de calzado deportivo. Los usuarios
recorren las opciones y, si desean adquirir un producto, deben ingresar sus
datos personales incluyendo la información de su tarjeta de crédito. De esta
manera concretan la compra y realizan el pago. Luego el portal envía por correo
postal o entrega el producto en el domicilio del comprador.
20. NEGOCIO ELECTRONICO
• Negocio electrónico o e-business, (acrónimo del idioma inglés electronic y business), se
refiere al conjunto de actividades y prácticas de gestión empresariales resultantes de la
incorporación a los negocios de las tecnologías de la información y la comunicación (TIC)
generales y particularmente de Internet, así como a la nueva configuración descentralizada de
las organizaciones y su adaptación a las características de la nueva economía. El e-business, que
surgió a mediados de la década de los años 1990, ha supuesto un notable cambio en el enfoque
tradicional del capital y del trabajo, pilares fundamentales de la empresa, y en sus prácticas
productivas y organizacionales.
• Las actividades que ponen en contacto clientes, proveedores y socios como la mercadotecnia y
ventas, la producción y logística, gestión y finanzas tienen lugar en el e-business dentro de
redes informáticas que permiten a su vez una descentralización en líneas de negocio.
21. INTELIGENCIA DEL NEGOCIO
• Se denomina inteligencia empresarial, inteligencia de negocios o BI (del inglés business
intelligence), al conjunto de estrategias, aplicaciones, datos, productos, tecnologías y
arquitectura técnicas, los cuales están enfocados a la administración y creación
de conocimiento sobre el medio, a través del análisis de los datos existentes en
una organización o empresa.
• Es posible diferenciar datos, informaciones, y conocimientos, conceptos en los que se centra la
inteligencia empresarial, ya que como sabemos, un dato es algo vago, por ejemplo "10 000", la
información es algo más preciso, por ejemplo "Las ventas del mes de mayo fueron de 10 000", y
el conocimiento se obtiene mediante el análisis de la información, por ejemplo
• "Las ventas del mes de mayo fueron 10 000. Mayo es el mes más bajo en ventas". Aquí es donde
la BI entra en juego, ya que al obtener conocimiento del negocio una vez capturada la
información de todas las áreas en la empresa, es posible establecer estrategias y determinar
cuáles son las fortalezas y las debilidades.
22. APLICACIONES DE NEGOCIOS
ELECTRONICOS
• B2C es la abreviatura de la expresión Business-to-Consumer («del negocio al consumidor»).
B2C se refiere a la estrategia que desarrollan las empresas comerciales para llegar directamente
al cliente o usuario final.
• Un ejemplo de transacción B2C puede ser la compra de un par de zapatos en una zapatería de
barrio, por un individuo. Sin embargo, todas las transacciones necesarias para que ese par de
zapatos esté disponible para la venta en el establecimiento comercial, compra de la piel, suela,
cordones, etc. así como la venta de zapatos del fabricante al comerciante forman parte de lo
que se llama B2B o
• Business-to-Business («de negocio a negocio»)
• TIPOS DE APLICACIONES DE NEGOCIOS ELECTRONICOS
• E-CRM: Permite establecer relaciones con el cliente a través de sistemas que operan en
Internet. El objetivo es incrementar la relación con el cliente, efectuando marketing one to one,
automatizando la fuerza de ventas, brindando soporte adecuado al cliente, optimizando
campañas de marketing, telemarketing, soporte y servicio; y lograr su fidelización.