Seguridades Informáticas para E-Commerce

1. COMERCIO ELECTRÓNICO
ESPE – PROGRAMA DE ACTUALIZACIÓN DE CONOCIMIENTOS
ACTIVIDAD 1.7
Se quiere construir un manual de procedimientos para elaborar unas políticas de
seguridad en cuanto a las técnicas de encriptación, autenticación y protección de la
información dentro de las plataformas de comercio electrónico en general y en el
proceso de envío y recepción de la información en particular.
MANUAL DE PROCEDIMIENTOS
Técnicas de Encriptación, Autenticación y Protección de la Información dentro de
las plataformas de comercio electrónico
Introducción
Hoy en día, gran parte de la actividad comercial ha podido transformarse gracias a redes
de conexión por ordenadores como Internet, esta transformación facilita hacer
transacciones en cualquier momento, desde cualquier lugar del mundo.
El e-comerce consiste en ofrecer y demandar productos y/o servicios, buscar socios y
tecnologías, hacer las negociaciones con su contraparte, seleccionar el transporte y los
seguros que más le convengan, realizar los trámites bancarios, pagar, cobrar,
comunicarse con los vendedores de su empresa, recoger los pedidos; es decir todas
aquellas operaciones que requiere el comercio.
Al efectuar una operación comercial por Internet se presentan nuevas consideraciones
que se deben plantear, para que estas no se conviertan posteriormente en problemas, por
ejemplo cómo saber que la tienda virtual existe verdaderamente, una vez hecho el pedido
cómo saber que no se cambia la información, cuando se envía el número de tarjeta de
crédito cómo saber si este permanecerá privado, en fin, para el comerciante también se
presentan problemas similares, cómo saber que el cliente es honesto y no envía
información falsa, etc.
Todos estos problemas pueden ser resueltos de manera satisfactoria si se implementan
protocolos de comunicación segura usando criptografía, para que por medio de su
implementación, podamos asegurar que la información que se envía y la que se recibe,
cumpla con las características de la información de Confidencialidad, Integridad y
Disponibilidad.
Objetivos
 Conocer las posibles amenazas que puede tener una empresa que hace uso del e-
commerce en sus negociaciones comerciales.
 Conocer los conceptos de encriptación, autenticación y protección, junto con sus
técnicas, las mismas que pueden ser aplicadas en una organización.
 Determinar procedimientos de seguridad de la información orientados al comercio
electrónico.

2. COMERCIO ELECTRÓNICO
ESPE – PROGRAMA DE ACTUALIZACIÓN DE CONOCIMIENTOS
1. Posibles Amenazas presentes en el E-Commerce
Como primer paso debemos conocer las amenazas que existen y que en potencia pueden
atacar a nuestros sistemas de información y de comunicación que forman parte de mi
plataforma e-commerce.
En materia de seguridad de la información existen muchas amenazas tales como:
 Virus, Troyanos, Backdoors, Gusanos
 Hackers, Crackers, Phreaks, Virtual Gangs
 Navegación a sitios web de hackers y sitios improductivos, Tráfico expuesto a ser
espiado en Internet
 Passwords débiles, Ataques, SPAM, Usuarios o empleados mal intencionados,
Spyware, Adware, Greyware, Phishing, etc.
2. Aspectos a considerar en la Seguridad de la Información
Una vez que conozcamos las posibles amenazas y las consecuencias que estos ataques
tendrían sobre nuestra plataforma, debemos direccionar los planes de seguridad,
diversificándolos de la siguiente manera:
Desde el punto de vista de los servidores:
 Vulnerabilidad de los servidores que darán el servicio
 Antivirus instalado y actualizado en los servidores que darán el servicio
 Parches de seguridad evaluados e instalados según corresponda en los servidores que
darán el servicio
Desde el punto de vista de la transferencia de información:
 Encriptación de la comunicación entre la organización y la empresa prestadora de
servicios
Desde el punto de la continuidad operacional:
 Servidores de respaldo
 Máquinas especializadas de respaldo
 Sitio de respaldo
 Pruebas de contingencia.
3. Componentes de la Seguridad
A continuación se mencionan algunos componentes que se deben considerar para la
aplicación de la seguridad de la información:
 Políticas de Seguridad

3. COMERCIO ELECTRÓNICO
ESPE – PROGRAMA DE ACTUALIZACIÓN DE CONOCIMIENTOS
 Manejo de perfiles y contraseñas (Caducidad y control)
 Seguridad en las Redes de comunicación
 Encriptación de Datos
4. Protocolos de Seguridad
Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de
programas y actividades programadas que cumplen con un objetivo específico y que
usan esquemas de seguridad criptográfica.
 Sobre la seguridad por Internet se deben de considerar las siguientes tres partes:
seguridad en el navegador (Netscape, Opera)
 La seguridad en el Web server (el servidor al cual nos conectamos)
 La seguridad de la conexión.
5. Criptografía
Es el conjunto de técnicas (entre algoritmos y métodos matemáticos) que resuelven los
problemas de autenticidad, privacidad, integridad y no rechazo en la transmisión de la
información.
La finalidad de la Criptografía es:
 Garantizar el secreto en la comunicación entre dos entidades (personas,
organizaciones, etc.).
 Asegurar que la información que se envía es auténtica en un doble sentido: que el
remitente sea realmente quien dice ser.
 Impedir que el contenido del mensaje enviado (criptograma) sea modificado en
su tránsito.
6. Técnicas de Encriptación
La encriptación en general requiere el uso de información secreta para su
funcionamiento la cual es llamada "llave".
Algunos sistemas de encriptación utilizan la misma llave para codificar y
descodificar los datos, otros utilizan llaves diferentes.
La técnica de encriptación a aplicar se basa en la complejidad de la información a
ocultar, es decir, entre más compleja.
Los métodos de cifrado simétrico, por ejemplo el sistema DES, usan una misma clave
para cifrar y descifrar.
Suponiendo que dos interlocutores comparten una clave secreta y de longitud
suficientemente grande, el cifrado simétrico permite garantizar la confidencialidad de la
comunicación entre ellos. Este esquema es poco adecuado cuando una parte establece

4. COMERCIO ELECTRÓNICO
ESPE – PROGRAMA DE ACTUALIZACIÓN DE CONOCIMIENTOS
comunicaciones ocasionales con muchas otras con las que no tenía una relación previa,
como ocurre frecuentemente en el comercio electrónico.
Los métodos de cifrado asimétrico, por ejemplo el sistema RSA, usan parejas de claves
con la propiedad de que lo que se cifra con una cualquiera de las claves de una pareja
sólo se puede descifrar con la otra clave de la pareja. En el caso más simple, con este
sistema un interlocutor sólo necesita tener una pareja de claves que puede utilizar para
comunicarse de forma segura con cualquier otro interlocutor que disponga a su vez de
otra pareja de claves.
7. CONCLUSIONES Y RECOMENDACIONES
 Debido a la utilización que tienen hoy en día las tecnologías de la información en
las operaciones comerciales no solamente entre empresas, si no, también
directamente con los consumidores, es importante considerar los riesgos a los
cuales se puede estar expuesto en el uso de las mismas.
 Tanto quién ofrece sus productos y servicios por la web, así como, los
compradores, tenemos la obligación de estar informados sobre los riesgos

5. COMERCIO ELECTRÓNICO
ESPE – PROGRAMA DE ACTUALIZACIÓN DE CONOCIMIENTOS
posibles para tomar medidas de seguridad que nos garanticen la autenticidad de
las operaciones que podamos realizar.
 En el caso de empresas que deseen promocionar sus artículos en la web y de
implementar una tienda virtual, es recomendable buscar asesoría de los
proveedores de estos servicios, buscando también las opciones de seguridad y
utilización de técnicas de criptografía, que se puedan implementar, para a su vez
garantizar la fidelidad de nuestras futuras transacciones comerciales.
Bibliografía
http://www.wikilearning.com/curso_gratis/la_seguridad_en_informatica-
comercio_electronico/3625-9
http://www.todoecommerce.com/modelos-de-negocios-en-el-e-commerce.html
http://es.wikipedia.org/wiki/Tienda_en_l%C3%ADnea
homepages.mty.itesm.mx/al793839/teknikaxdeenkript.ppt