El documento describe varias amenazas a la seguridad en el comercio electrónico, incluyendo hackers, código malicioso, fraude y robo de información. También discute métodos para proteger las comunicaciones en línea, como la criptografía, firmas digitales, certificados digitales y sobres digitales. El objetivo principal es proteger la integridad, privacidad y disponibilidad de los datos transmitidos a través de Internet.
2. Introducción
El comercio electrónico ha abierto también
posibilidades para cometer delitos y fraudes.
La facilidad del anonimato, ha ocasionado
que se realicen ataques como:
• Fraudes en órdenes de compra.
• Robo de información.
• Problemas en los sitios por ataques y código
maligno.
3. Introducción
Los delitos dan como resultado pérdidas
económicas debidas a:
• Pérdida de tiempo.
• Uso de recursos para las reparaciones.
• Daño a la reputación del sitio Web.
Los clientes y los negocios han tenido
que adquirir y operar tecnología y procesos
de seguridad en el comercio electrónico.
4. Introducción
Riesgos al acceder a un sitio Web:
Riesgos para el cliente:
• Falta de privacidad.
• Diferencias entre el producto o servicio esperado
y el que se recibe.
• Robo de datos personales o de tarjetas
de crédito.
Riesgos para el negocio:
• Fraudes en las compras al recibir pagos con
tarjetas de crédito robadas o efectivo falsificado.
• Negación de la acción por parte del cliente.
• Destrucción maliciosa.
• Atentados a la integridad del sitio.
5. Introducción
Los problemas de seguridad están
relacionados con los siguientes aspectos:
• Falta de una estrategia correcta de seguridad
por parte del negocio.
• Contacto presencial nulo o limitado de
los negocios con los clientes en Internet.
• Falta de estructuras legales para penalizar a
las personas que realizan fraudes por Internet.
• Estandarización limitada del manejo de firmas
y certificados digitales.
Para cada una de las áreas de seguridad pueden
comprarse o desarrollarse soluciones tecnológicas
6. Áreas de la seguridad
Los datos que se generan en la comunicación
de los clientes con los negocios deben
protegerse desde diferentes perspectivas,
como son:
• Integridad.
Asegurar que la información que fluye por el
Internet o que se presenta en un sitio es íntegra.
• Privacidad.
Derecho de las personas para controlar
la información que les pertenece.
• No rechazo.
Asegurar que los participantes en una transacción
electrónica responderán por sus actos.
7. Áreas de la seguridad
• Disponibilidad
Los clientes pueden acceder al sitio
en el momento en que lo requieran.
Es necesario que el sitio tenga la habilidad
y responsabilidad para asegurar su funcionamiento,
considerando:
• Las acciones para mantener en operación al sitio.
• Las tecnologías, que apoyan el balance de cargas
para el hardware y software ofrecen una garantía
para la disponibilidad continua.
8. Amenazas y vulnerabilidad
de los negocios
Una amenaza es una eventualidad
que representa un peligro para cualquier
bien o valor del negocio, tales como:
• Bienes tangibles: computadoras y las redes
de comunicación.
• Bienes intangibles: datos de los clientes, claves
de acceso, firmas digitales, marcas, información
privada de la empresa, entre otros.
La vulnerabilidad se produce por una
debilidad en la seguridad del sitio.
9. Amenazas y vulnerabilidad
de los negocios
Categorías:
1. Hacker. Intenta un acceso a un sitio con fines
no delictuosos. Cuando el acceso con fines delictuosos,
se le conoce como cracker.
Ataques.
• Obtienen el acceso a un sistema computacional encontrando
puntos débiles del sitio Web.
• Normalmente utilizan aplicaciones de Internet por la facilidad
de uso y el ambiente abierto de las transacciones.
• Las intrusiones pueden ser motivadas por el robo
de productos o información.
• En ocasiones realizan las acciones solo como un reto
a sus habilidades.
• Si sus intenciones son interrumpir el funcionamiento
de un sitio, destruirlo o afectar su imagen, se considera
cyber vandalismo.
10. Amenazas y vulnerabilidad
de los negocios
2. Código malicioso (Malware). Es la ejecución
no autorizada de programas que producen daños
en la información, tales como virus y worms, caballos
de Troya y applets malignos.
• Han generado la creación de anti-virus para contrarrestar
y eliminar el efecto de los virus.
• Un virus es un programa que tiene la posibilidad
de replicarse o autocopiarse para distribuirse
en otros programas.
• Los virus tienen dos componentes:
Un mecanismo de propagación.
El efecto producido cuando se ejecuta el código.
• Una clasificación de los virus llamada macro virus está
orientada a aplicaciones específicas como MS Word y sólo
a ellas las afectan, cuando se abre un archivo infectado,
el virus se copia a las plantillas de la aplicación
y se reproduce en nuevos archivos.
11. Amenazas y vulnerabilidad
de los negocios
• El funcionamiento de los macro virus hace que
el código malicioso se disemine fácilmente a través
de medios de comunicación como el correo electrónico:
12. Amenazas y vulnerabilidad
de los negocios
Un worm es otra forma de software
malicioso que está diseñado para distribuirse
de computadora a computadora en lugar
de hacerlo en archivos.
• La principal diferencia entre un worm y un
virus es que el worm se propaga entre sistemas,
normalmente a través de una red y el virus
se propaga localmente en el sistema.
• Los macro worms normalmente se ejecutan
cuando se abre una aplicación o se realiza un
procedimiento, por ejemplo, cuando se ejecuta
una macro de Excel, una hoja de cálculo
o un mensaje de correo.
13. Amenazas y vulnerabilidad
de los negocios
Un caballo de Troya aparenta ser un programa
benigno pero realiza otras acciones diferentes
a las esperadas.
http://securityresponse.symantec.com/avcenter/venc/auto/index/indexA.html
Los applets malignos están relacionados
con el concepto cliente servidor.
15. Amenazas y vulnerabilidad
de los negocios
Cuando se accede a un sitio dudoso,
el usuario podrá recibir mensajes como:
16. Amenazas y vulnerabilidad
de los negocios
Fraude y robo de información
En el comercio tradicional el fraude por mal
uso de tarjetas de crédito se debe a:
• La pérdida o el robo de las tarjetas físicas.
• El robo de los datos por parte de los empleados
de los negocios.
• La suplantación de identidades.
En el ambiente del comercio electrónico, se agregan
otras características, como:
• La pérdida o el acceso no autorizado a los datos
de las tarjetas de crédito almacenados en los servidores
del negocio.
• El robo de datos no solamente enfocados a las tarjetas
de crédito sino a la información personal con el fin de
establecer identidades falsas y obtener créditos con ella.
17. Amenazas y vulnerabilidad
de los negocios
Spoofing
Se refiere al uso de falsas identidades en las
transacciones por Internet o al redireccionamiento
de accesos de un sitio a otro con fines que benefician
al hacker.
Ataques DoS
Este tipo de ataques es llamado denegación del servicio
por su nombre en inglés Denial of Service y consiste
en acceder a un sitio con tráfico inútil para imposibilitar
el acceso.
Esto puede ocasionar la paralización del sitio y como
consecuencia, costos muy altos, ya que mientras el sitio
no funcione, no se pueden realizar las ventas.
18. Amenazas y vulnerabilidad
de los negocios
Cuando un sitio está inactivo, también se afecta
su reputación.
Algunos ataques utilizan robots de verificación del
funcionamiento del sitio mediante solicitudes PING
que obtiene en forma abierta la dirección IP de un sitio.
Sniffing
Este proceso consiste en la revisión de los mensajes
que viajan por una red, a través de programas que
detectan información importante que utilizarán
los hackers para sus propósitos.
La búsqueda realiza detecciones de mensajes
de correos, archivos privados de las compañías
y reportes confidenciales.
19. Amenazas y vulnerabilidad
de los negocios
Riesgos No Técnicos
Se derivan de la vulnerabilidad de la tecnología
y se relacionan con las personas y se conocen
como no técnicos:
• Ataques internos: No todos los ataques a la
seguridad de la empresa provienen de entidades
externas, una importante cantidad proviene de
las personas de la misma empresa en forma
directa o inconsciente.
• Ingeniería social: El atacante utiliza métodos
de persuasión para que las personas le revelen
información importante y con ella realizar
acciones que comprometen la seguridad del sitio.
20. Protección de las comunicaciones
Criptografía –Encripción-
La criptografía es un método de codificación
matemática utilizado para transformar los
mensajes de tal forma que sean ilegibles por
otras personas que no sean los destinatarios.
La encripción consiste en el proceso de convertir
el contenido del mensaje en un texto cifrado.
Los resultados del proceso de encripción
son mensajes no descifrables (ciphertext)
que requieren de un proceso similar al que
los codificó para poderlos leer e interpretar.
21. Protección de las comunicaciones
El beneficio de la encripción se relaciona
con la integridad, con la no negación, con
la autenticidad y con la confidencialidad
del mensaje.
El proceso de encripción se logra mediante una
llave de encripción o cifrador que consiste en
cualquier método para la conversión del código.
La encripción de clave pública fue
desarrollada para resolver el problema
del intercambio de claves. Utiliza dos claves
matemáticas relacionadas llamadas clave
o llave pública y clave o llave privada.
22. Protección de las comunicaciones
El proceso consiste en lo siguiente:
• El emisor crea un mensaje que incluye la clave
pública del receptor. La clave la obtiene mediante
un directorio publico de claves.
• Con la clave publica del receptor, se crea
un cifrado en el mensaje que es enviado
con el mismo a través de la red.
• El receptor utiliza su clave privada para descifrar
el mensaje.
23. Protección de las comunicaciones
mensaje
ENCRIPCIÓN codificado
servidor
+
je ón
+
ns
a d o si
r a s mi
me if
aj e c tran
ns n l a
me d e
id a
g ur
se
mensaje
Compendio del mensaje decodificado
Debe verificarse que quien envió el mensaje,
es el emisor válido, es decir, debe haber
una autenticación del mismo.
24. Protección de las comunicaciones
El uso más sofisticado de la clave pública
permite verificar la confiabilidad del mensaje
mediante una función que es usada primero
para dividir el mensaje:
• El algoritmo utiliza varios métodos para producir
un número de longitud fija llamado compendio
–message digest– que cuenta la cantidad de bits
1’s y 0’s del mensaje.
• El resultado es enviado por el emisor al receptor,
quien verifica que se produzca el mismo
resultado que fue enviado con el mensaje.
• Por lo tanto, cuando el emisor envía un mensaje,
realiza el cifrado tanto del mensaje como del
compendio produciendo un solo texto cifrado.
25. Protección de las comunicaciones
AUTENTICIDAD
servidor
+ + compendio
+ +
mensaje compendio mensaje
decodificado
autenticidad
Además del uso de las claves, se debe tener
en cuenta que la verdadera fortaleza del servicio
que proporciona confidencialidad puede
depender de otros factores asociadas
con la encriptación.
26. Protección de las comunicaciones
• El protocolo de seguridad.
• La seguridad en la plataforma.
• El algoritmo de encripción.
• La longitud de la llave.
• El protocolo para administrar y generar las llaves.
• El almacenamiento seguro de las llaves secretas.
Actualmente algunos países están realizando
esfuerzos para definir estándares sobre el tamaño
de la llave de este proceso y para solucionar
algunas controversias sobre los siguientes
aspectos:
• El tamaño de la llave que el gobierno de ese país
permitirá exportar al exterior.
• La clase de privilegios de acceso, para reforzar
las leyes.
27. Protección de las comunicaciones
Firmas digitales
Para asegurar la autenticidad del mensaje
y la responsabilidad de quien lo envía,
el emisor encripta nuevamente el bloque
entero utilizando su llave privada.
Esto produce una firma digital o firma cifrada
que puede ser enviada con el mensaje.
La firma del emisor es única y al combinarse
con el compendio del mensaje se convierte
en única para cada documento que se envíe.
28. Protección de las comunicaciones
El receptor de un texto cifrado y firmado
realiza el siguiente procedimiento:
• Primero utiliza la llave pública del emisor
para verificar la autenticidad del mensaje.
• Usa su llave privada para obtener el compendio
del mensaje y el mensaje original.
• Finalmente aplica la misma función del
compendio al mensaje original y compara el
resultado con el resultado enviado por el emisor.
Si es el mismo, el mensaje es íntegro.
29. Protección de las comunicaciones
NO NEGACIÓN
servidor
+ +
compendio
+ +
mensaje compendio
+ mensaje
decodificado
No negación
Sobres digitales
Los procesos de encripción pueden resultar
en un incremento del proceso para descifrar
mensajes y en una disminución de las velocidades
de transmisión.
30. Protección de las comunicaciones
Para evitar estos problemas se utiliza un sistema
más eficiente de encripción simétrica para el
documento, combinado con la encripción pública
para encriptar y enviar la clave simétrica creando
un sobre digital.
Certificados digitales
Un certificado digital es un documento emitido
por una autoridad certificadora que contiene:
• Nombre del usuario o compañía.
• Su clave pública.
• Número de serie que lo certifica.
• Fecha de emisión del certificado.
• Fecha de expiración del certificado.
• La firma digital de la autoridad certificadora.
31. Protección de las comunicaciones
• Información adicional para la identificación.
Las autoridades certificadoras son instituciones
que mediante procedimientos establecidos
establecen la confianza en el sitio.
32. Protección de las comunicaciones
Al mismo tiempo, el sitio que está
certificado como seguro, colocará
el logotipo de la autoridad en su página:
33. Protección de las comunicaciones
Otros certificados están relacionados con
la privacidad y confidencialidad de los datos:
34. Protección de los medios
de comunicación
La forma más común de asegurar
los medios de comunicación es a través
del concepto SSL Secure Socket Layer
del protocolo TCP/IP que establece una sesión
de comunicación segura mediante:
• La autenticación del servidor.
• La integridad del mensaje en la conexión TCP/IP.
• El método más poderoso de encripción usando
niveles desde 40 bits a 128 bits.
36. Protección de los medios
de comunicación
El S-http -Secure http- es un protocolo
de seguridad orientado a las comunicaciones
seguras de mensajes, está diseñado para
utilizarse en conjunto con el protocolo http
y sus características son las siguientes:
• Está diseñado para enviar mensajes individuales
seguros.
• No es posible utilizarlo en todos los buscadores.
• Con este protocolo, cualquier mensaje puede
ser firmado, autenticado, encriptado o utilizar
cualquier combinación según las necesidades.
37. Protección de los medios
de comunicación
shttp://www.librosademanda.com/
38. Protección de los medios
de comunicación
Redes virtuales privadas VPN
Utilizan un protocolo PTP (Point-to- Point
Tunneling Protocol) que es un mecanismo
de codificación que permite a una red local
conectarse a otra:
• Utiliza una red pública de Internet para enviar
la información.
• Cuando un usuario utiliza el servicio de un ISP,
el protocolo PTP hace una conexión con la red en
forma transparente, es decir, como si el usuario
la hubiera solicitado directamente. Esta es la
razón por la que se le da el nombre de virtual
ya que se percibe como si el usuario tuviera
una línea segura constantemente, cuando
en realidad, es temporal.
39. Protección de los medios
de comunicación
Redes virtuales privadas VPN
http://www.proyectaenred.com
40. Protección en las redes
Proxy Servers
Normalmente son servidores de software
que controlan todas las comunicaciones
originadas o enviadas por el Internet.
• Limitan el acceso de clientes internos
a servidores externos.
• Poseen dos interfases en la red.
• Permite restringir el acceso a ciertos sitios.
• Las páginas de mayor acceso son almacenadas
localmente por el servidor para ahorrar costos
y tiempos de acceso.
41. Protección en las redes
Proxy Servers
http://www.pymes.com/wingate.htm
42. Protección en las redes
Firewalls
Los firewalls intentan construir una muralla
alrededor de la red y los servidores y clientes
del negocio.
• Son aplicaciones que actúan como filtros entre
la red del negocio y el Internet protegiéndolos
de ataques.
• Un firewall debe poseer las siguientes
características:
Todo el tráfico debe ser revisado por este sistema.
Sólo el tráfico autorizado tendrá permiso
de pasar a través del firewall.
El sistema mismo debe ser inmune a la penetración.
43. Protección en las redes
Firewalls
Los firewalls deben ser considerados componentes
de la seguridad total de la empresa, no la única
solución.
Existen firewalls de dos categorías:
• Estáticos.
• Dinámicos.
Al diseñar un firewall se deben considerar
los siguientes factores:
• Capacidad de negar el acceso.
44. Protección en las redes
Firewalls
• Filtros.
• Políticas de seguridad.
• Dinámica.
• Autenticación.
• Filtros flexibles.
• Reconocimiento de servicios peligrosos.
• Filtrar accesos mediante teléfono.
• Reportes de auditoria.
• Versiones actualizadas.
• Documentación.
45. Protección en las redes
Firewalls
EJERCICIO:
http://www.verisign.com/media/networkSecurity/index.html
46. Protección en las redes
Sistemas de detección de intrusos
Existen dos tipos de estos sistemas
de detección:
• Sistemas basados en la computadora
anfitriona (Host).
http://www.symantec.com/region/mx/product/ids/hostids/
47. Protección en las redes
Sistemas de detección de intrusos
• Sistemas basados en las redes.
Su actividad se realiza por dos aplicaciones:
• Una aplicación de software llamada monitor
que revisa la red.
• Agentes de software que residen en varias
computadoras anfitrionas y proporcionan
información al programa monitor.
También pueden realizar acciones precisas
cuando detectan ataques, como:
• Concluir la conexión.
• Reconfigurar los dispositivos de red como firewalls
y ruteadores, basándose en reglas preestablecidas.
48. Protección en las redes CE-04
Sistemas de detección de intrusos
http://www.symantec.com/region/mx/product/ids/decoy/
50. Introducción
Una de las actividades más importantes
del comercio electrónico es recibir y procesar
los pagos de los clientes.
En el comercio electrónico se deben ofrecer
formas de pago y opciones iguales que en el
mundo físico, además de agregar necesidades
como:
• Confiabilidad en las transacciones.
• Uso de sistemas innovadores.
• Diferentes alternativas para negocios B2B y B2C.
51. Introducción
Como en el mundo real, según el valor
del pedido de compra se han establecido
tres tipos de pagos en Internet:
• Micropagos.
• Pagos de consumidor.
• Pagos comerciales.
53. Cartera electrónica
La cartera electrónica –digital wallet–
es utilizada en la mayor parte de los
sistemas actuales de pago.
La cartera digital permite realizar los pagos
electrónicos de manera segura y almacenar
las transacciones realizadas.
55. Cartera electrónica
Existen dos categorías de carteras digitales:
• Cartera digital basada en el cliente.
http://www.gator.com
56. Cartera electrónica
• Cartera digital basada en el servidor.
http://www.passport.net
57. Efectivo electrónico
El efectivo electrónico e-cash fue una de
las primeras formas de pago desarrolladas
para el comercio electrónico.
Presenta el problema de que no existen
emisores para el mismo.
Actualmente se maneja formas de
almacenamiento e intercambio de valores
con muy poca facilidad para convertirse
a otras formas y requiere de intermediarios.
Algunos de sus principios se encuentran
en formas electrónicas actuales de pago,
como los sistemas P2P (Peer to Peer).
60. Efectivo electrónico
Otra forma considerada dentro del efectivo
electrónico es el manejo de puntos
o certificados de regalo.
http://www.celebrandotuboda.com
61. Cheques electrónicos
En los cheques tradicionales, se transfieren
fondos directamente de la cuenta del
consumidor a otra persona o negocio.
Constituyen la segunda forma de pago
más popular para las transacciones, aunque
típicamente no aplican a los micropagos.
eCheck es un sistema sofisticado que intenta
reemplazar a los sistemas
tradicionales de cheques y extender la
transferencia electrónica de fondos entre las
instituciones y las empresas y consumidores.
63. Cheques electrónicos
La operación de los cheques electrónicos requiere
una inversión significativa en nueva infraestructura.
http://www.echeck.org/library/wp/ArchitectualOverview.pdf
64. Tarjeta de crédito
Extienden la funcionalidad de las tarjetas
de crédito tradicionales para usarse como
un sistema de pago en línea.
La nueva funcionalidad incluye acciones para
evitar la falta de autenticación, la negación
de cargos y los fraudes.
Algunos otros factores de mejora son:
Minimizar la desconfianza de los clientes al tener
que revelar la información personal en múltiples
sitios.
Disminuir el costo de las transacciones.
66. Tarjeta de crédito
Constituyen la forma más común de los pagos
electrónicos y su diferencia con las formas
tradicionales es que:
El vendedor nunca ve la tarjeta que está siendo
usada.
No se tiene un comprobante físico.
No se valida la firma.
Los sistemas de pago comerciales ofrecen
actualmente la posibilidad de administrar
las cuentas y procesar la compra en línea.
68. Tarjeta de crédito
La empresa VeriSign actualmente es líder en
ofrecer servicios seguros en Internet y sistemas
de pago.
http://www.verisign.com/products
69. Sistemas de valores en línea
Stored Value
Estos sistemas permiten a los clientes hacer
pagos en línea utilizando valores almacenados
en una cuenta en línea.
Algunos de estos sistemas requieren hacer
uso de una cartera digital mientras que otros
permiten las transacciones con una firma
y la transferencia de valores de su tarjeta
de crédito a la cuenta en línea.
71. Sistemas de valores en línea
Stored Value
Tarjetas inteligentes.
Las tarjetas inteligentes smart cards
constituyen otra forma de almacenar valor.
El proceso consiste en el uso de tarjetas
similares a las de crédito que tienen un chip
para almacenar la información personal con
capacidad 100 veces mayor que las tarjetas
de crédito.
Actualmente existen dos tipos de tarjetas
inteligentes:
72. Sistemas de valores en línea
Stored Value
• Con contacto.
Para que puedan ser leídas se requiere insertarlas
en un lector, tal como se hace en las tarjetas
telefónicas.
http://kalysis.com/content
73. Sistemas de valores en línea
Stored Value
• Sin contacto.
Tienen una antena integrada para habilitar
una transmisión de datos sin un contacto directo
pero leído por un sensor remoto.
http://www.ezpass.com
74. Sistemas de valores en línea
Stored Value
Un ejemplo de estas tarjetas fue creado
por American Express, la llamada
American Express Blue.
http://www10.americanexpress.com
75. Sistemas de balance acumulado
digital
Los sistemas de balance acumulado digital
permiten a los usuarios hacer micropagos
y compras en la red acumulando un débito
que será cobrado al final del mes.
Estos sistemas son preferentemente orientados
a la compra de productos digitales como
música, literatura y artículos.
77. Sistemas de balance acumulado
digital
Una vez que el cliente obtiene su tarjeta, puede
utilizarla en diferentes compras, por ejemplo:
http://www.virtualparks.org/places
78. Protocolo SET
Trata de resolver el problema de la seguridad
de las transacciones de pago a través del
desarrollo de un nuevo estándar llamado
SET (Secure Electronic Transaction Protocol).
http://www.mastercardintl.com/newtechnology/set//
79. Protocolo SET
Es un complemento al protocolo SSL ya que
este no provee la autenticación de las partes
involucradas en la transacción ni la protección
a la negación de las transacciones.
www.visa.com.mx
80. Protocolo SET
No ha sido completamente utilizado
por los vendedores quienes utilizan los
procedimientos tradicionales de las tarjetas
de crédito.
http://www.todito.com