Este documento describe los principales aspectos de seguridad en el comercio electrónico. Explica que la seguridad, la privacidad, la integridad, el no repudio y la autenticación son elementos clave. También analiza amenazas como códigos maliciosos, phishing, robo de identidad, ataques DDoS, y problemas de seguridad asociados a redes sociales, dispositivos móviles y la nube. El documento enfatiza que la seguridad es un proceso complejo que involucra tecnología, políticas
1. Ambiente de seguridad de comercio
electrónico
La seguridad de un sitio electrónico tiene que ser confiable para que el mismo tenga éxito.
Siendofranco, el índice de personasquecompranen línea ha crecido bastanteen los últimos2 años.
Y esto se debe a la confiabilidad que están brindando los sitios de comercio electrónico.
La seguridad en un ambiente de comercio electrónico involucra las siguientes partes:
Privacidad: que las transacciones no sean visualizadas por nadie.
Integridad: que los datos o transacciones como números de tarjeta de créditos o pedidos no sean
alterados.
No Repudio: posibilita que el que generó la transacción se haga responsable de ella, y brinda la
posibilidad de que este no la niegue.
Autenticación: que los que intervienen en la transacción sean leales y válidas.
Facilidad: que las partes que intervienen en la transacción no encuentren dificultada hacer la
transacción.
Alcance del problema
El cibercriminal seestá convirtiendoen un problema mássignificativopara lasorganizaciones
y los consumidores. Las redes de bots, los ataques de los Troyanos, la suplantación de
identidad o phishing (obtener información financiera en forma fraudulenta de una víctima,
por lo general a través del correo electrónico), el robo de datos y de identidad, el fraude con
tarjetas de crédito y el spyware son solo algunas de las amenazas que aparecen a ocho
columnas en los diarios.
El valor de la información robada
El valor de la información robada: Los criminales que roban información en Internet no
siempre la utilizan ellos mismos sino que derivan su valor al vender la información a otros,
en lo que se denomina "servidores de la economía subterránea". Hay varios millones de
servidores de economía subterránea conocidos alrededor del mundo, que venden
información robada.
Qué significa una buena seguridad en el eCommerce?
La reducción de los riesgos en el comercio electrónico es un proceso complejo que involucra nuevas
tecnologías, políticas y procedimientos organizacionales, además de nuevas leyes y estándares industriales que
facultan a los oficiales representantes de la ley a investigar y procesar a los delincuentes, protegiendo a los
individuos y organizaciones y organizaciones contra el comportamiento inesperado en el mercado del comercio
electrónico.
2. Dimensiones de seguridad de eCommerce?
La integridad se refiere a la capacidad de garantizar que la información mostradaen un sitio web, o
que se transmiteorecibe a travésde internet, no hasidoalterada de ningunamaneraporalguien no
autori7.ado. Por ejemplo, si una persona no autorizada intercepta y modifica el contenido de una
comunicaciónen línea, comoredirigir unatransferencia bancaria a unacuenta distinta, la integridad
del mensaje se ve comprometida debido a que la comunicación ya no representa lo que el emisor
original pretendía.
El no reconocimiento se refiere a la capacidad de gmnti1.ar que el participante. En el comercio
electrónico no nieguen(es decir, no reconozcan)susacciones en línea. Por ejemplo, la disponibilidad
de cuentas de correo electrónicos gratuitas connombresActldos ayudaa que una personapublique
comentarios o envíe mensajes y tal vez después niegue
La autenticidad se refiere a la capacidad de poder identificar la identidad de una persona o entidad
con la que usted está tratando en internet.
La confidencialidad se refiere a la capacidad de garantizar que los mensajes y los daros estén
disponibles sólo para quienes estén autorizados a verlos.
LA TENSIÓN ENTRE LA SEGURIDAD Y OTROS VALORES
Facilidad de uso
Hay tensiones inevitables entre la seguridad y la facilidad de uso. Cuando los comerciantes
tradicionales están tan temerosos de los ladrones que realizan sus negocios en tiendas
protegidas por puertas de seguridad, los clientes normalmente se desaniman y no entran. Lo
mismo puede suceder en la web.
Seguridad pública y usos delictivos de Internet
También hay una tensión inevitable entre el deseo de las personas de actuar en forma
anónima (para ocultar su identidad) y la necesidad de las autoridades de mantener la
seguridad pública que se puede ver amena20da por delincuentes o terroristas. Éste no es un
problema nuevo, ni siquiera para la era electrónica.
Los terroristas también son apasionados usuarios de internet y lo han sido por muchos años.
Ramzi Yousef - un miembro del grupo terrorista responsable de colocar una bomba en el
Word 'nade Center de Nueva York en 1993- utilizó archivos cifrados envía· dos por correo
electrónico con el fin de ocultar los planos para hacer explotar 11 aviones comerciales
estadounidenses.
3. AMENAZAS A LA SEGURIDAD EN EL ENTORNO DEL
COMERCIO ELECTRÓNICO
En esta sección analizaremos varias de las formas más comunes y dañinas en cuanto a
amenazas a la seguridad para los consumidores de comercio electrónico y los opera· dores
de sitios web código malicioso, programas potencialmente indeseables, phishing y robo de
identidad, piratería informática y vandalismo ci>emético, fraude y robo de tarjetas de
crédito, suplantación (fulminación) de sitios web y envió de spam (correo basura o no
deseado). ataques de denegación de servicio (OoS) y ataques distribuidos do denegación de
servicio (DOoS), husmeo, ataques internos, software de 8"rvidor y cliente mal desellado, as!
como aspectos de seguridad en las redes sociales, la plataforma móvil y, por último, en la
nube.
CÓDIGO MALICIOSO
El código malicioso (referido a veces como malware) incluye varias amenazas como virus,
gusanos, caballos de toya y bots. Cierto código malicioso, conocido como exploración (
exploit),está diseñado para aprovechar vulnerabilidadesdesoftware en el sistema operativo
de una computadora, un navegador web, aplicaciones u OU'OS componentes de software.
Por ejemplo, Microsoft reportó que el kit de explotación blackhole, disponible para su
compra o renta en varios furos de hackers, provocó un aumento considerable en el número
de explotaciones basadas en HTML o, JavaSript reportadas en el segundo semestre de 2011.
PROGRAMAS POTENCIALMENTE INDESEABLES (PUPS)
Adema del código malicioso,el entorno de seguridad del comercioelectrónico se ve aún más
amenazado por programas potencialmente identificables (PUPs, por sus siglas en inglés)
como el adware,losparacitos de navegador,spywarey otras aplicacionesque se instalanpor
si mismas en una computadora -como el software de seguridad flctícla- por lo general sin el
consentimiento informado de usuario. Dichos programas se encuentran cada vez con más
frecuencia en redes sociales y sitios de contenido generado por los usuarios, quienes son
engañados para que los descarguen.
El adware se utiliza general Mente para hacer que aparezcan anuncios emergentes cuando
el usuario visita ciertos sitios. Aunque es molesto, el adware no suele utilizarse para
actividades delictivas.
Un paracito do navegador es un programa que puede monitorear y modificar la
configuración del navegador de un usuario.
4. PHISHING Y ROBO DE IDENTIDAD
La ingeniería social se basa en la curiosidad, codicia y credulidad humanas para hacer que la
gente realice una acción que resulte en la descarga de malware.
El phlshing (suplantación de identidad) es cualquier intento engañoso habilitado en línea por
parte de alguien que quiere obtener información confidencial a cambio de un beneficio
económico. Los ataques de phishlng no Incluyen código malicioso, sino que se basan en una
impostura y un fraude directos denominados técnicas de ingeniería social.
Los suplantadores de identidad (conocidos también como phishers o pescadores) se basan
en lastácticasde los 'estafadores tradicionales,peroutilizan el correoelectrónico para lograr
con engaños que los destinatarios proporcionen voluntariamente sus códigos de acceso
financieros. Números de cuentas bancarias, números de tarjetas de crédito y demás
Información personal.
PIRATERÍA INFORMÁTICA, VANDALISMO CIBERNETICO HACKTTVISMO Y FILTRACIONES DE
DATOS
Un Hacker es un individuo que trata de obtener acceso no autorizado al sistema de una
computadora.
En la actualidad, los hackers tienen intenciones maliciosas de desestabilizar, estropear o
destruir sitios (vandalismo cibernético), o de robar información personal o corporativa que
puedan usar con fines económicos (filtraciones de datos).
El hacktivismo tiene un tinte político. Los hacktivistas suelen atacar con fines políticos a
gobiernos, organizaciones e incluso individuos, empleando tácticas de vandalismo
cibernético, ataques de denegación de servicio, robo de datos y más. LulzSec y Anonymous
son dos grupos hacktivistas notables.
Una filtración de datos ocurre cuando las organizaciones pierden el control sobre su
información corporativa a manos de intrusos.
Fraude de tarjetas de crédito
El robo de información de tarjetas de crédito es uno de los eventos más temidos en internet.
En muchos casos, el temor de que la información de sus tarjetas de crédito se vea
comprometida evita que los usuarios realicen compras en línea. Lo interesante es que este
temor parece estar infundado en gran medida. La tasa de robo de información de tarjetas de
crédito es mucho menor de lo que creen los usuarios, alrededor del 0.69% de todas las
transacciones en línea realzadas con tarjetas (CyberSource, 2012)
5. SITIOS WEB DE FALSIFICACIÓN (PHARMING) Y DE SPAM (BASURA)
Los hackers que tratan de ocultar su verdadera identidad a menudo empelan tácticas de
falsificación (spooflng), presentándose con direccione de corroo electrónico falsas o
haciéndose pasar por otra persona. La falsificación de un sido web también se conoce como
pharming, consiste en redirigir un vínculo a un sitio web que no es el deseado pero se
enmascara como si lo fuera. Los vínculos diseñados para conducir a un sido se pueden
restablecer para enviar a los usuarios a un sitio que no tenga ninguna relación con el
deseado, pero que si beneficie al hacker.
Aunque la falsificación no daña directamente archivos o servidores de red, amenaza la
integridad de un sitio. Los sitios web de spam por lo general aparecen en los resultados de
búsqueda, no involucran el correo electrónico.
ATAQUES DE DENEGACIÓN DE SERVICIO (DOS) Y ATAQUES DISTRIBUIDOS DE DENEGACIÓN DE
SERVICIO (DDOS)
En un ataque de denegación de servicio (DoS, por sus siglas en inglés), los hackers inundan
un sitio web con peticiones de páginas inútiles que desbordan y saturan los servidores del
sitio. Los ataques DoS implican cada vez más el uso de botnets y los denominados ataques
distribuidos basados en miles de computadoras clientes comprometidos.
Un ataque distribuido de denegación de servicio (DDoS, por sus siglas en inglés) utiliza
cientos o incluso miles de computadoras para atacar la red objetivo desde varios puntos de
lanzamiento. Los ataques DoS y DDoS son amenazas para la operación de un sistema ya que
pueden inhabilitarlodemanera indefinida.Los principalessitiosweb como Yahooy Microsoft
han experimentado este tipo de ataques, con lo que las empresas se han dado cuenta de su
vulnerabilidad y de la necesidad de introducir continuamente nuevas medidas para prevenir
ataques futuro.
HUSMEO (SNIFFING)
Un husmeador (SNIFFING) es un tipo de programa para escuchar clandestinamente que
monitorea la Información que viaja a través de una red. Si se utilizan legítimamente, los
husmeadores pueden ayudar a identificar posibles puntos problemáticos en una red, pero
cuando se utlfü.an para fines delictivos pueden ser dañinos y muy difíciles de detectar. Los
husmeadores permiten a los hackers robar información propietaria desde cualquier parte de
una red, incluyendo contraseñas, mensajes de correo electrónico, archivos de una compañía
e informes confidenciales.
6. ATAQUES INTERNOS
Tendemos a pensar que para un negocio las amenazas de seguridad se originan fuera de la
organización. De hecho, las mayores amenazas financieras para las instituciones de negocios
no provienen de los robos, sino de los abusos de confianza de1 personal interno. Los
empleados de banco roban mucho más dinero que los ladrones. Lo mismo sucede en los
sitios de comercio electrónico. Algunos de los casos más sonados de interrupciones de
servidos, destrucción de sitios y desviación de datos de crédito e información personal de
clientes han sido originados por personal interno (empleados de confianza).
CUESTIONES DE SEGURIDAD EN LAS REDES SOCIALES
Las redes sociales como Facebook, Twitter y Linkedin proporcionan un entorno rico y
gratificante para los hackers o piratas informática Los virus, las tomas de sitios, el robo de
identidad, las aplicaciones con malware cargado, el secuestro (hijacking) informatico
mediante un clip, el phishing y el spam se encuentran todos en las redes sociales (US.CERT,
2011).
Las redes sociales son abierta cualquier Individuo puede crear una página personal, incluso
los delincuentes. La mayoría de los ataques son de ingeniería social que Inducen a los
visitantes a hacer clic en vínculos que parecen adecuados.
ASPECTOS DE SEGURIDAD EN LA PLATAFORMA MÓVIL
La explosión de los dispositivos móvilesha Incrementado las oportunidades para los hackers.
Los usuarios de dispositivos móviles los llenan de Información personal y financiera, lo que
los hace excelentes objetivos para los hackers. En general, los dispositivos móviles enfrentan
los mismos riesgos que cualquier dispositivo de intente, además de algunos nuevos riesgos
relacionados con la seguridad en las redes inalámbricas. Si bien la mayoría de los usuarios de
computadoras personales están conscientes de que sus computadoras y sitios web pueden
ser hackeados y contener ma1ware, la mayoría de los usuarios de teléfonos móviles creen
que su teléfono es tan seguro como un teléfono fijo tradicional.
El malware para teléfonos móviles se desarrolló apenas en 2004 con Cabir, un gusano de
Bluetooth que afecta los sistemas operativos Symbian (teléfonos Nokia) y hace que el
teléfono busque continuamente otros dispositivos compatibles con Bluetooth, lo cual
consume la batería con rapidez.
ASPECTOS DE SEGURIDAD EN LA NUBE
El paso de tantos servicios de Internet hacía la nube también plantea riesgos para la
seguridad. Desde el punto de vista de la infraestructura, los ataques DDoS amenazan La
disponibilidad de los servicios en la nube, en la que cada vez más empresas están confiando.
Salvaguardar los datos que se mantienen en un entorno de nube también es una cuestión
importante.Por ejemplo,en una investigaciónseidentificaronvariasformasenque se podría
7. acceder sin autorizacióna los datos depositados en Dropbox, empresa que ofreceun popular
servicio de Intercambio de archivos en la nube.
SOLUCIONES TECNOLÓGICAS
PROTECCIÓN DE LAS COMUNICACIONES EN INTERNET
Como las transacciones de comercio electrónico deben fluir en una internet publica, y por
tanto involucran a miles de enrutadores y servidores a través de los cuales flujo los paquetes
de transacciones, los expertos en seguridad creen que las mayores amenazas de seguridad
ocurren en el nivel de las comunicaciones realizadas en internet. Esto es muy distinto a una
red privada, donde se establece una Línea de comunicación dedicada entre dos partes. Hay
varias herramientas disponibles para proteger la seguridad de las comunicaciones en
internet, la más básica de las cuales es el cifrado de mensajes.
CIFRADO POR CLAVE SIMÉTRICA
Fura poder descifrar estos mensajes, el receptor tendría que conocer el código secreto
utilizado para descifrar el texto simple. A esto se le conoce como cifrado por clave simétrica
o cifrada por clave secreta En el cifrado por clave simétrica, tanto el emisor como el receptor
utili7.an la misma clave para cifrar y descifrar el mensaje. ¿Cómo tienen la misma da ve cl
emisor y el receptor? Deben enviarlo a través de cierto medio de comunicación o
intercambiarla enpersona.El cifradopor clavesimétrica seutilizó mucho durante la Segunda
Guerra Mundial y sigue siendo parte del cifrado de Internet.
CIFRADO DECLAVE PÚBLIT3 PAR MEDIO DE FIRMAS DIGITALES Y RESÚMENES DE HASH
Al cifrado de clave pública le miran algunos elementos de seguridad. Aunque podemos estar
muy seguros de que nadie ajeno pudo entender o leer el mensaje (confidencialidad del
mensaje), no hay garantía de que el emisor sea realmente quien lo envió; es decir; no hay
autenticación del emisor. Esto significa que el emisor podría negar haber enviado el mensaje
(no reconocimiento).
Una firma digital es algo muy similar a una firma manuscrita. Al igual que ésta, la firma digital
es única; sólo una persona es la que supuestamente posee la clave privada. Cuando se utiliza
con una función de hash, la firma digital es aún más única que una manuscrita.
Certificados digitales e Infraestructura de clave p6bllca (PKI)
Documento digital emitido por una autoridad certificadora, contiene el nombre del sujeto o
de la compañía, la clave púbica del sujeto, un número de serie del certificado digital fecha de
8. vencimiento, fecha de emisión, la firma digital de la autoridad certificadora y demás
información de Identificación
Infraestructura de clave pública (PKI) autoridades certificadoras y procedimientos de
certificados digites que son aceptados por todas las partes involucradas en una transacción
en línea.
PROTECCIÓN DE LAS REDES FLREWALLS
Una vez que haya protegido las comunicaciones de la mejor manera posible, las siguientes
herramientas a considerar son aquellas que pueden proteger sus redes y los servidores y
clientes que hay en esas redes.
Los firewalls y los servidores proxy están diseñados para construir una muralla alrededor de
su red y de los servidores y clientes conectados a esa red, de igual manera que los senderos
cortafuego del mundo real nos protegen de los incendios por un tiempo limitado. Los
firewalls y los servidores proxy comparten algunas funciones similares, pero son muy
distintos. Un firewalls se refiere al hardware o software que filtra los paquetes de
comunicación y evita que ciertos paquetes entren a la red con base en una política de
seguridad.
EL SERVIDOR PROXY
Los servidores proxy (proxies) con servidores de software (por lo general una computadora
dedicada) que manejan todas las comunicaciones originadas en internet o que clientes
locales suben a internet actúan como un portavoz o guardaespaldas de la organización. Los
servidores proxy también se conocen como sistemas domésticos duales ya que tienen dos
interfaces de red
PROTECCIÓN DE SERVIDORES Y CUENTES
Las características del sistema operativo y el software antivirus pueden ayudar a proteger
aún más los servidores y clientes de ciertos tipos de ataques.
SISTEMAS DE PAGO EN El COMERCIO ELECTRÓNICO
Es su mayor parte, los mecanismos de pago existentes han podido adaptarse al entorno en
línea, aunque con algunas limitaciones imponentes que han dado lugar a esfuerzos por
desarrollar alternativas. Además, los nuevos tipos de relaciones de compra, por ejemplo,
entre individuos en línea,ylasnuevas tecnologías,como el desarrollodela plataforma móvil,
también han creado una necesidad y una oportunidad para el desarrollo de nuevos sistemas
de pago.
9. TRANSACCIONES EN ÚNEA CON TARJETA DE CRÉDITO
Como las tarjetas de crédito son la forma dominante de pago en línea, es importante
entender cómo funcionan y reconocer las fortalezas y debilidades de este sistema de pago.
Las transacciones en línea realizadas con tarjeta de crédito se procesan de manera muy
parecida a las compras en una tienda física, pero las principales diferencias son que los
comerciantes en línea nunca ven la tarjeta real que se está utilizando, no se saca una
impresión y no hay una firma disponible. Las transacciones en línea con tarjeta de crédito se
asemejan más a las transacciones.
SISTEMAS ALTERNATIVOS DE PAGO EN LÍNEA
un sistema de pagos de valor almacenado en línea que permite a los consumidores pagar en
línea instantáneamente a comerciantesy otras personas con base en el valor almacenadoen
una cuenta en línea.
SISTEMAS DE PAGO MÓVILES: SU CARTERA EN El TELÉFONO INTELIGENTE
Es un conjunto de tecnologías inalámbricas de cono alcance utili1.ada.s para compartir
Información entre dispositivos a u.na distancia de unos cinco centímetros entre cada uno.
Los dispositivos NFC son alimentados con potencia o pasivos. Una conexión requiere una
unidad de potencia (el iniciador)yuna unidad objetivo sinalimentaciónque puede responder
a las solicitudes de la unidad de potencia.
EFECTIVO DIGITAL Y MONEDAS VIRTUALES
Por lo general general, el efectivo digital se basa en un algoritmo que genera tokens
autenticadas únicos que representan el valor en efectivo que se puede utilizar en el mundo
real'. Ejemplos de dinero digital son Bitcoin y Ukash.
Por otra parte, las monedas virtuales suelen circular principalmente dentro de una
comunidad de mundo virtual interna, como los dólares linden creados por Linden Lab para
usuarios en su mundo virtual Second Llfu, o están relacionadas con una empresa específica,
como Fllcebook Cred.lts. Ambos tipos suelen utilizarse para comprar bienes virtuales.