Este documento trata sobre la seguridad en las transacciones de comercio electrónico online. Explica brevemente conceptos clave como el comercio en la web, la información en la web, el tratamiento de datos personales y la importancia de la seguridad en los servidores web. Además, analiza temas como el uso de tarjetas de crédito en internet, las transacciones de pagos interbancarias y tecnologías de seguridad como las firmas digitales y la criptografía. El objetivo principal es estudiar los principales riesgos de
1. 1
INSTITUTO TECNOLOGICO DE CONKAL.
DIRECCION GENERAL DE EDUCACION SUPERIOR TECNOLOGICA.
MATERIA:
Taller de Investigación 2
MAESTRO:
Salazar Barrientos Lucila de Lurdes.
ANTEPROYECTO:
“Seguridad en las Transacciones On Line de Comercio
Electrónico”
ALUMNO ():
Francisco Arturo Pacheco Reyes.
L.I. EN INFORMATICA 6° SEMESTRE.
CONKAL, YUCATAN A 24 DE MAYO DE 2012.
1
2. 2
INDICE.
Pag.
Contenido
INTRODUCCION. .................................................................................................................................. 3
JUSTIFICACIÓN .................................................................................................................................... 4
OBJETIVO. ............................................................................................................................................ 5
HIPOTESIS ............................................................................................................................................ 5
2.- MARCO TEORICO. .......................................................................................................................... 6
2.1- Introducción al Comercio en la Web. .......................................................................................... 6
2.2- Comercio en la Web. .................................................................................................................... 6
2.2- La Información en la Web. ........................................................................................................... 7
2.3- Tratamiento de Datos. ................................................................................................................. 8
2.4- Servidor Web Seguro. ................................................................................................................ 10
2.5- Tarjeta de Crédito Viajando Por la Web. ................................................................................... 11
2.6- Uso de las Tarjetas de Crédito en Internet. ............................................................................... 14
2.7- Transacciones de Pagos Interbancario de Tarjetas.................................................................... 15
3- Identificación Computarizada. ...................................................................................................... 17
3.1- Firmas Digitales. ......................................................................................................................... 20
3.2- La Criptografía. ........................................................................................................................... 23
3.3- La Criptografía en el Comercio Electrónico................................................................................ 24
ProtocolodeNiveldeconexionesseguro(SSL,SecureSocketsLayer) .................................................... 24
Características de SSL ........................................................................................................................ 25
ProtocolodeTransaccionesElectrónicasSeguras(SET,Secure ElectronicTransactions) ...................... 26
BIBLIOGRAFIA. ................................................................................................................................... 30
2
3. 3
INTRODUCCION.
En la actualidad nuestras vidas han cambiado radicalmente por la Internet,
nuestros hábitos de comunicación han sido influenciados por la vida en línea; ahora
contamos con herramientas como e-mail, chat y sitios como portales y tiendas virtuales;
los cuales han proporcionado ventajas y desventajas a nuestra manera de ver el mundo.
Este mismo auge ha desarrollado una gran accesibilidad al Word Wide Web (WWW) y ha
dado muchas facilidades para la gente que utiliza, es así como la internet aprovecha su
mayor característica: La transmitir y difundir libremente de todo tipo de información
digitalizada.
Hoy en día es común entrar a una entidad bancaria a través de su página web,
verificar tu saldo, realizar transacciones, conocer la cotización del dólar, visitar una
aerolínea de viajes, etc.
Una de las cuestiones de hablar de laSeguridad en el Comercio Electrónico
Online es saber que tan segura puede ser una página Web como por ejemplo para
introducir el número de una tarjeta de crédito y cual seria la probabilidad de ser estafado
si se realiza una transacción.
3
4. 4
JUSTIFICACIÓN
El comercio electrónico On-Line está asentándose paulatinamente entre los
usuarios de Internet, una vez superadas las barreras de desconfianza en el uso de esta
nueva forma de venta. Aquellas empresas con necesidad de crecimiento, eficiencia en
sus procesos y búsqueda de nuevos mercados deben diseñar y ejecutar sus estrategias
de negocio teniendo en cuenta Internet como un nuevo canal de comercialización.
El comercio electrónico on-line, así llamado por las tecnologías que involucra, ha
sido definido como el comercio a través de Internet. Porque, si bien comercio e Internet
son temas centrales, las consecuencias que subyacen en la práctica van mucho más
lejos que sus términos, pudiendo decirse que lo que realmente se halla en juego es una
forma de organizarse y relacionarse de la sociedad. Al mismo tiempo que el comercio, se
modifican también las relaciones entre instituciones, organizaciones y ciudadanos.
4
5. 5
OBJETIVO.
. El principal objetivo del de este trabajo, es analizar un aspecto clave en el
Comercio Electrónico On Line: la seguridad. Junto a este objetivo vamos investigado
cuales son las principales inseguridades que aparecen durante transacciones en el
Comercio Electrónico On Line y cuales son las soluciones para los problemas presentes.
Este estudio se propone establecer y explicar los componentes más básicos del
desarrollo del comercio electrónico On-Line, como son los ingredientes tecnológicos, la
nueva organización del comercio y las demandas de la sociedad hasta ahora
manifestadas. Así, se abordan sucesivamente la descripción de los componentes que lo
forman, la aparición de nuevas formas del dinero y de pago, los instrumentos de la
seguridad y garantía y las herramientas de comercialización.
El comercio electrónico On-Line todavía tiene un largo camino por recorrer. En
este camino se deberán implicar tanto administraciones como la sociedad civil, trabajando
conjuntamente en el desarrollo de los aspectos tecnológicos, legislativos y de
normalización
HIPOTESIS
El comercio electrónico on-line es la nueva tendencia de la mercadotecnia de
productos y servicios; y por lo tanto debe considerarse como un modelo de
comercialización.
5
6. 6
2.- MARCO TEORICO.
2.1- Introducción al Comercio en la Web.
En el presente capítulo se introducen los temas relacionados con el comercio en la
Web. La primacía de los datos, su tratamiento y legislación vigente; y particularmente el
delito informático. Se realiza un acercamiento a los conceptos de seguridad Web. Se
analizan los motivos que llevan a atender esta problemática y qué tecnologías se utilizan
en defensa de los servidores Web.
Adicionalmente se tratan los medios de pago que soportan al comercio
electrónico.
2.2- Comercio en la Web.
En marzo de 1997 surgió una nueva clase de amenaza en la Web, Paul Greene
descubre que una página Web con ciertas instrucciones especiales podía engañar al
navegador Internet Explorer, de Microsoft, y hacer que ejecutara cualquier programa con
cualquier entrada en la computadora del usuario. Este error podría ser utilizado para
destruir la computadora de la víctima, infectarla con un virus o capturar información
confidencial del disco duro. El error le otorgaba al Webmaster5 el control total sobre
cualquier computadora que visitara un sitio con Internet Explorer. A las 48 horas de haber
sido detectado este error, Microsoft publicó una corrección al mismo, demostrando tanto
la habilidad de la compañía para responder y la efectividad de la Web para distribuir
correcciones de errores. A pesar de esto, a los pocos días se descubre otro error en
Internet Explorer con el mismo efecto destructivo. Estos errores no son solamente de
Microsoft, paralelamente se descubrían errores en el ambiente de Java, de Sun
Microsystems, incluido en Navigator de Netscape.[9]
Por otro lado, el gobierno de Massachusetts había anunciado que los conductores
podían pagar sus infracciones mediante la Web. Debían dirigirse al sitio Web del Registro
de Vehículos Automotores, hacer clic en un botón determinado y pagar la infracción con
el número de su tarjeta de crédito. Evitando de esta forma tener que perder tiempo
haciendo cola para el pago.
6
7. 7
Para que el trámite con tarjetas de crédito sea seguro en Internet, el gobierno
aseguraba utilizar un servidor Web “seguro”. Pero con “seguro” se refería a la conexión
entre el servidor Web y el navegador, es decir, que el primero utiliza protocolos
criptográficos de manera tal que al enviar un número de tarjeta de crédito por Internet, se
codifica de modo que no pueda ser interceptado en su recorrido. Pero solo por utilizar
criptografía para enviar números de tarjetas de crédito por Internet no significa que sea
inviolable. En el caso de que alguien logre acceder a la computadora con fines delictivos,
podría instalar programas en el servidor y así obtener los números de tarjeta de crédito
una vez decodificados. Obteniendo estos números, podría utilizados para cometer
fraudes .Esto podría llevar meses para que las compañías emisoras de las tarjetas
localicen la fuente del robo de los números, al tiempo que los maleantes habrían
cambiando de víctima.
La seguridad en la Web es un conjunto de procedimientos, prácticas y tecnologías
para proteger a los servidores y usuarios de la Web contra el comportamiento inesperado.
Las empresas y los gobiernos utilizan cada vez mas el World Wide Web para
distribuir información importante y hacer transacciones comerciales. Al violar servidores
Web se pueden dañar reputaciones y perder dinero. A pesar que la Web es fácil de
utilizar, los servidores y navegadores Web son piezas de software extremadamente
complicadas y tienen diversas fallas de seguridad potenciales. Muchas veces se han
incorporado funciones sin prestar mucha atención a su impacto en la seguridad. Aunque
el software esté bien instalado puede ser una amenaza de seguridad. Al violar los
navegadores y servidores Web, los atacantes pueden utilizarlos como base para otros
ataques. También existen muchos usuarios principiantes de los servicios basados en el
WWW. La generación actual de software les exige tomar decisiones de seguridad
relevantes a diario, sin proporcionarles información suficiente. Por lo expresado es que
atendemos el tema de seguridad en la Web, con la seguridad de que es más costosa la
recuperación de un incidente de seguridad que tomar medidas preventivas.[3]
2.2- La Información en la Web.
Diseño de información en la web: tres de los contextos desde los que se realiza
Como usuarios, identificamos tres polos fundamentales desde los que se desarrollan
contenidos de tipo informativo o, desde los que satisfacemos necesidades informativas:
1.a. El concepto de información vinculado al concepto de servicio en las ediciones
digitales de los medios tradicionales.
7
8. 8
1.b. Información desde blogs y documentos web personales o colectivos.
3.c. Información desde empresas, instituciones u organizaciones.
Se pueden reconocer más espacios desde los que se satisfacen las necesidades
informativas de los usuarios, de igual modo que es posible agruparlas bajo otras
categorías y precisar también diferencias, por ejemplo, entre la información gestionada
desde los blogs, weblogs o bitácoras y la que diseñan algunos documentos web
personales y colectivos.
2.3- Tratamiento de Datos.
Si bien no existen disposiciones específicas sobre el resguardo de datos en la
Web, esto no significa que quede excluida su protección. Es importante tener en cuenta
que la información acerca de un individuo se compone de diferentes tipos de datos que
se muestran en la figura A y se detallan a continuación.
a) Datos sensibles: Son los que pueden afectar la intimidad del individuo como
son el de raza, ideología, estado de salud, creencias, religión.
b) Datos secretos: como son el secreto profesional, secreto comercial, secreto
bancario, secreto de confesión, etc.
c) Datos reservados: siendo aquellos que el titular no está obligado a
proporcionar para que sean conocidos por terceros, como son : filiación (hijo matrimonial,
extramatrimonial, adoptado), delitos contra el honor (difamación, calumnia, injuria),
libertad sexual (violación), adulterio, aborto, etc.
d) Datos privados: los que el titular debe proporcionar periódicamente a la
autoridad para fines específicamente señalados, como por ejemplo los datos contenidos
en una declaración jurada del impuesto a las ganancias, sólo deben ser utilizados para
los fines que específicamente fueron dados, no para fines distintos.
e) Datos públicos: son aquellos cuya publicación no afectan al individuo, como
el sexo, número de documento, nombre y apellido. Los datos que figuran en los padrones
electorales o en la guía telefónica.[7]
8
9. 9
FiguraA.:Tiposdedatos.
Estos tipos de datos determinan que la información pueda o no ser tratada
como confidencial, también debe tenerse en cuenta los límites territoriales de aplicación
de la ley mexicana, que puede no emplearse si el usuario local
brindainformaciónsensibleasitiosextranjerosqueladivulgan.Nohayuna pauta única para
determinar cuándo una información debe considerarse confidencial; depende de las
circunstancias. Datos como nombre, domicilio, direccióndee-
mailonúmerodeteléfonononecesariamenteconstituyeninformaciónsensibleyaquesudivulg
aciónnovulneraelderechoalaintimidad.Perosi esos mismos datos son tomados en
conjunto o procesados para inferir características, tendencias o perfiles de sus titulares,
bien podrían constituir
informaciónconfidencialysensible.Además,pocosdudaríanquelosnúmerosdetarjeta de
9
10. 10
crédito, ingreso patrimonial, antecedentes penales y de evaluación crediticia,
tendenciassexualesycreenciaspolíticasyreligiosas,noseandatoscuyo
usopuedaafectaralindividuoensuintimidad.
Las empresas que operan en Internet están en una situación privilegiada para
obtener información personal de los usuarios, y ninguna ley les impide
recopilarsusdatosyutilizarlosparafinespropiosdemarketinguotros.Este
usoseríacontrarioalalealtadcontractualy,aunquenoessancionadoporla ley, habilita a los
afectados a reclamar la indemnización de los daños ocasionados. Es recomendable,
entonces, que el usuario se interese por la política de confidencialidad de los sitios y, a
su vez, que éstos soliciten el consentimiento
delusuarioantesdedivulgarsusdatospersonales.
2.4- Servidor Web Seguro.
Para los proveedores de software es un programa que instrumenta protocolos
criptográficos, de forma que la información transferida entre un servidor y un navegador
no pueda ser interceptada.Para las compañías que lo administran es el que resiste
ataques internos y externos.
Un servidor Web seguro es todo esto y más. Es un servidor confiable, con
respaldo, que en caso de fallar puede restablecerse con rapidez. Es expandible de
forma que pueda dar servicio a grandes cantidades de tráfico.
Aunque la criptografía es ampliamente reconocida como prerrequisito para el
comercio en Internet no es ni estrictamente necesaria para la seguridad en la Web, ni
suficiente para garantizarla. Por ello, en este trabajo de Tesis se utilizará el término
Web con facilidades criptográficas para denominar a un servidor Web que instrumenta
protocolos criptográficos, ya que como veremos la seguridad en la Web es mucho mas
que la protección contra la intercepción.
10
11. 11
2.5- Tarjeta de Crédito Viajando Por la Web.
Hoy en día existen miles de tarjetas de pago, algunas emitidas por una sola
institución financiera, otras funcionan como grandes organizaciones de membresía en
donde en realidad la tarjeta es otorgada por un banco miembro. Los bancos imponen
tasas de interés sobre el crédito otorgado y contratan a una empresa procesadora de
tarjetas bancarias para que mantenga la cuenta de clientes y comerciantes. El servicio
que otorga la organización de
membresía(VisaoMasterCard)eselestablecimientodepolíticasylaoperacióninterbancaria.
Lastarjetasdecréditosonlaformamáspopularparapagarservicios u objetos en la Web
en la actualidad, como lo demuestran estudios realizados
sobreelcomercioenlaredporGlobalConceptosporelloenlugarde intentar buscar un sistema
que la sustituya, la mayoría de los sistemas de compraenInternet,utilizan las tarjetas de
crédito.
La protección del número en tarjetas de crédito para transacción en línea
esunejemplotípicodelanecesidaddelaseguridaddelaWeb.LaFiguraB,
muestraunejemplodeunatransaccióncontarjetadecréditoenlaWebpara observarlosriesgos.
Un sujeto Autilizasucomputadoraparaconectarseconunalmacénde
músicaenlaWeb,navegaporelcatálogo de discos, encuentra uno que desea comprar y crea
la orden de pedido. Ingresa su nombre, dirección, número de tarjeta de crédito, fecha de
vencimiento de la misma y presiona un botón para enviarelpedido.[6][5]
11
12. 12
FiguraB.:CompradeunCDcontarjetadecréditoatravésdeInternet.
Tanto el tarjeta habiente como el comerciante enfrentan riesgos en esta
transacción, para el tarjeta habiente son dos riesgos obvios:
El número de su tarjeta de crédito puede serinterceptadoyutilizado
parahacerfraudes,delocualelsujetonosepercataríahastaquereciba
suestadodecuentaohastaquesutarjetaquedesobregirada.
Podría hacerse el cargo a la tarjeta de crédito pero nunca llegar el
pedido,cuandoelsujetoAinvestigalapáginaWebyanoexisteynopuede
localizaralacompañíaquelerealizóelcobro.
Luego veremos métodos diseñados para combatir estos dos riesgos utilizando una
técnica matemática para revolver la información conocida como
encriptaciónysoportandouncomplejosistemadeidentificacióndigital.ElsujetoAtienelacerteza
dequedetrásdelapáginaWebdelalmacéndemúsica
estánlaspersonasquesonquienesdicenser,comosemuestraenlaFiguraC.
12
13. 13
FiguraC.:Transacciónenlíneaprotegida.
En realidad el consumidor está protegido en el caso que le interceptaran su
número de tarjeta de crédito y no es necesario verificar la identidad de los comerciantes
ya que éstos no podrían cobrar una compra hecha con tarjetade crédito a
menosqueelbancoleproveaunalíneadecrédito,locualimplicaun largo procedimiento de
solicitud (mucho más arduo que el que podríamos
realizarcomoconsumidores),unaverificacióndefondosyhastaenlamayoríade
loscasosunavisitafísica.
La idea de asegurar las transacciones con tarjetas de crédito es importante a la
hora de tranquilizar al consumidor, más que a la hora de protegerlo. Esta tecnología en
realidad protege a los bancos y comerciantes ya que si el número de tarjeta
esrobadodebidoanegligenciadelcomercianteésteesresponsableanteelbancodecualquierf
raudecometidoconesenúmero,apartir de esto las compañías emisoras de tarjetas de
créditos exigen que las transacciones en línea se realicen con servidores Web con
características criptográficas.[4]
13
14. 14
2.6- Uso de las Tarjetas de Crédito en Internet.
Existen tres formas de realizar una transacción con un número de tarjeta
decréditoenlaWeb:
Fueradelínea:en este método el cliente realiza la orden de compra
utilizandolaWeb.Luegoelcomerciantellamaporteléfonoalclientey verifica la orden de
compra y le solicita los datos de la tarjeta de crédito. Los riesgos de este método son
equivalentes a enviar el número de tarjeta de créditosinencriptaryaquelalínea de teléfono
podría estar intervenida, pero sin embargo existe porque en el imaginario de los
consumidores es aterradora la
ideademandarelnúmerodetarjetadecréditoatravésdeInternet.Además
laspersonasparecencomprenderlasleyesbásicasdefraudecontarjetade crédito e
intervención telefónica mejor que estas mismas leyes aplicadas a la intervención de
transacción electrónica de datos. Es intención del autor promover en el lector la idea de
la importancia de cambiar este punto de vista del mercado,yaqueenrigor este método es
el más inseguro. Debemos, con la correcta promoción de las políticas de seguridad
aplicadas a la empresa, generarconfianzaenelcliente.
Enlíneaconencriptación:el consumidor envía el número de
tarjetaalcomercianteatravésdeInternetmedianteunatransacciónencriptado.
Estemétodoeselúnicorecomendable.
En línea sin encriptación:elconsumidorenvíaelnúmerodetarjeta, ya sea
utilizando correo electrónico o un comando POST o GET de HTTP.
Estatécnicaesvulnerablealaintercepción.[4]
14
15. 15
2.7- Transacciones de Pagos Interbancario de Tarjetas.
Unatransaccióncomúndetarjetadecréditoinvolucraacincopartes:
a. Elcliente.
b. Elcomerciante.
c. Elbancodelcliente.
d. Elbancodelcomerciante(bancoadquiriente).
Laredinterbancaria.
YconstadediezpasosquesegraficanenlaFiguraD:
1. Elclienteentregasutarjetadecréditoalcomerciante.
2. Elcomerciantepideautorizaciónalbancoadquiriente.
3. Laredinterbancariaenvíaunmensajedelbancoadquirienteal
bancodelconsumidorpidiendoautorización.
4. Elbancodelclienteenvíaunarespuestaalbancoadquirientemediantelared
interbancaria.
5. Elbancoadquirientenotificaalcomerciantequeelcargohasidoaprobadoorechaz
ado.
6. Encasodehabersidoaprobadoelcomercianterealizalaordendecompra.
7. Luegoelcomerciantepresentarácargosalbancoadquiriente.
8. Elbancoadquirienteenvíalasolicituddepagoalbancodelclientemediantelaredi
nterbancaria.
9. Elbancodelclienteacreditaeldineroenunacuentadepagosinterbancarios
deduciendo algún cargo en concepto del servicio dependiendo del
convenio. Este dinero será debitado de la cuenta del cliente de acuerdo a
las fechasdecierreypagopactadasentreelclienteyelbancodelcliente.
10. Elbancoadquirienteacreditaenlacuentadelcomerciantedebitandoalgúncargo
enconceptodelserviciodependiendodelconvenio entre él y elcomerciante.
15
16. 16
Elregistrodelatransaccióndelatarjetadecrédito,durantemásde treinta años se
hallevado en papel hasta que en los ochenta, American Expresscomenzó a digitalizarlos
entregando a los clientes impresiones digitales del
mismo.Coneltiempolainformaciónquecontieneelcomprobantesehaido incrementando. En la
actualidad, aunque varía, de tarjeta en tarjeta es común encontrarlossiguientesdatos:
Nombredelcliente.
Númerodelatarjetadecrédito.
Direccióndelcliente.
Fechadetransacción.
Montodelatransacción
Descripcióndelamercaderíaoservicio.
Códigodeautorización.
Nombredelcomerciante.
Firmadelcliente.
La información contenida en el comprobante es útil para consumar
transaccionesycombatirelfraude.
16
17. 17
Los bancos cobranunacomisiónporlasprestacionescontarjetadecrédito. Esta
comisión varía de acuerdo a convenios entre el banco y el comercio, entre el 1 y el 7%.
Este porcentaje lo paga el comerciante de modo que si una
personacompra$100enproductosenuncomercioX,veráensuestadode cuenta un cargo de
$100 pero al comerciante se le depositarán $97 quedándose el banco adquiriente con la
diferencia. Algunos bancos además cobran a los comerciantes una cuota fija por
transacción y autorización, además de
unainscripciónanualydelalquilerdelaterminaldetarjetadecrédito.[1]
Los bancos emisores obtienen ganancias de las cuotas impuestas al
consumidorydelosinteresesresultantes,ademásdelcostodemantenimiento.
Lamayoríadeloscomerciantesdeberíanpreferirrecibirpagoscontarjeta de crédito en
lugar de cheque o efectivo pese al porcentaje que se le debita, ya que este sistema
brinda una confianza instantánea de que se ha hecho el pago y el dinero se depositará
en la cuenta del comerciante a diferenciadelos cheques que pueden no tener fondos o
el efectivo que puede ser falso y aun siendo cheques o dinero efectivo bueno, son
objetos físicos que se pueden perder,robar,destruir,etc.
3- Identificación Computarizada.
Tradicionalmente las computadoras personales no identificaban a sus
usuariossinoqueledabanaccesototalaquiénsesentarafrentealteclado.
Hoyendíaconlossistemasoperativosconmódulosavanzados deseguridady tendientes a
operar en red, las cosas han cambiado. Sin embargo la preocupación de estos
sistemasdeidentificaciónnosonquelapersonasealegalmente quien dice ser, sino que el
usuario esté autorizado para acceder a sus recursos. Se
puedenidentificarcuatrotiposdesistemasdeidentificaciónquesedetallanacontinuación.
a) Sistemasbasadosenclavedeacceso:algoquesesabe
Este fue el primer sistema de identificación digital, donde cada usuario del sistema
tiene un nombre de usuario y una clave de acceso que se
17
18. 18
correspondenparaprobarlaidentidaddelmismo.Lapremisaes:sielusuarioingresa
unnombredeaccesovalidoyunaclavequesecorrespondeconlaqueestá
almacenadaparaesenombredeusuario,simplementedebeserquiendiceser.
Existenvariosinconvenientesconestetipodeidentificación:
El sistema debe tener archivado el nombre de usuario y su
correspondienteclaveantesdecomprobarlaidentidad.
Laclavepuedeserinterceptadayquienlohagapuedehacerse pasarporelusuario.
Elusuariopuedeolvidarsuclavedeacceso.
Unapersonaqueconozcaalusuariopuedeinferirsuclavesiesta
noaplicaunabuenapolíticaalelegirlaclave.
Elusuariopuedecompartirsuclaveconotraspersonasdeformavoluntaria.
b)Sistemasbasadosenprendasfísicas:algoquesetiene
Otraformadeprobarlaidentidaddeunusuarioesmedianteunaprenda física, como las
tarjetas de acceso. Cada tarjeta tiene un número único y el
sistematieneunalistacontarjetasautorizadasylosprivilegiosdecadauna.Pero al igual que los
sistemas basados en claves de acceso, hay algunos inconvenientesconestesistema.
Laprendanopruebaquieneslapersona.Cualquieraquelatenga
accederáalosprivilegiosasociadosalamisma.
Siunusuariopierdesuprenda,nopodráaccederalsistemaaun- que tenga todos los
derechos.
Algunasprendaspuedensercopiadasofalsificadas.
Estesistemaenrealidadnoautorizaalindividuosinoalaprenda.
c) Sistemasbasadosenbiométrica:algoquesees
18
19. 19
Esta técnica realiza mediciones físicas al usuario y lo compara con registros
almacenados con anterioridad. La biométrica se puede realizar a través de huellas
digitales, forma de la mano, patrón de vasos sanguíneos de la retina,
patronesdeADN,registrodevoz,caligrafía, forma de teclear, si bien es una
formabastanteconfiablededeterminarlaidentidaddeunusuario,tienealgunosproblemas.
Lafirmabiométricadeunapersonadebeestaralmacenadaenun
bancodedatosdeunacomputadoraantesdeseridentificada.
Requieredeequipamientocaroydepropósitoespecífico.
Elequipodemediciónesvulnerablealsabotajeyfraude.
d) Sistemasbasadosenubicación:Algúnlugarenelqueseestá
Este sistema utiliza el Sistema de Ubicación Global (GPS, Global Positioning
System) para autenticar al usuario sobre la base del lugar en el que
está.Comosuspredecesores,noesajenoainconvenientes:
Laubicacióndeunapersonadebeestaralmacenadaenunbanco
dedatosdeunacomputadoraantesdeseridentificada.
Requieredeequipamientocaroydepropósitoespecífico.
ElsistemaaseguraquehayalguienqueposeeelGPSendonde se supone que lo debe
tener pero nada más.
19
20. 20
3.1- Firmas Digitales.
Los sistemas de identificación antes descriptos son mejorados al
combinarseconfirmasdigitales.Lafirmadigitalesunatecnologíaqueconsta de:
Unallaveprivada:utilizadaparafirmarunbloquededatos.
Unallavepública:utilizadaparaverificarlafirma.
SupongamosqueunsujetoA, comoeldelaFiguraG,distribuyeunallave
públicaapruebadealteración.Comoestallavesólosirveparacomprobarsi
lallaveprivadaqueelsujetoA
conservaesrealmentelallaveprivadadelsujetoA,síalguieninterceptalallavepúblicanoleservi
ríadenada,porlotantoel sujetoApodríadistribuirlallavepúblicaporcualquiermedio.
20
21. 21
Supongamos ahora que un sujeto B, como el de la Figura H, necesita corroborar
que el sujeto A ha leído un documento X, para esto envía el documento X por mail al
sujeto A, el sujeto A recibe el documento X lo lee y anexa su firma generada con la llave
secreta. El sujeto A renvía el documento firma- do al sujeto B que mediante la llave
pública corrobora la legitimidad de la firma.
Lossiguientessonlosmediosfísicosenlosquesoportanlatecnología
dellavedigitalpararealizarfirmas.
Llaveencriptadaalmacenadasendiscoduro:esta es la forma más sencilla de
almacenar la llave, aunque vulnerable a usuarios de la computadoraya programas
hostiles.
Llaveencriptadaenmedioremovible:esunpocomásseguro
guardarlallaveprivadaenundisquete, disco compacto u otro medio removible. Pero para
utilizar la llave privada la computadora debe desencriptarla y copiar la memoria, por lo
que aún sigue siendo vulnerable a programas hostiles.
21
22. 22
Llavealmacenadaenundispositivointeligente:estosdispositivos son una tarjeta
con un microprocesador que almacena la llave privada transfiriéndola directamente sin
cargarla en memoria por lo que es inmune a un
programahostilqueintentecapturarlo.Ladesventajadeestetipodedispositivo
essufragilidadylaposibilidaddeserrobadasoextraviadas.[3]
Desventajas
Acontinuaciónmencionaremosalgunasdesventajasquepresentautilizarunainfraestructu
radellavespúblicas.
La mayor parte de las transacciones de comercio en Internet se
basanenlastarjetasdecrédito,sinutilizarlatecnologíadefirmasdigitales.
Las firmas digitales facilitan la prueba de identidad pero no la aseguran, todo
lo que comprueban es que una persona tiene acceso a una llave privada
específicaquecomplementeaunallavepúblicaespecíficaqueestá
firmadaporunaautoridadcertificadoraespecífica.
Al no existir estándares que regulen a las autoridades certificado- ras no es
posibleevaluarlaconfiabilidaddelasmismas,noesposiblesabersi la autoridad
certificadora quebranta sus propias reglas emitiendo documentos
fraudulentos.Tambiénesdifícilcompararunaautoridadcertificadora con otra y
másdifícilaúnhacerlodeformaautomática.
El certificado no posee los datos suficientes como para identificar
deformalegalasuposeedor.
Latecnologíadefirmadigitalnopermiteladivulgaciónselectivadedatos.
22
23. 23
3.2- La Criptografía.
Es un conjunto de técnicas empleadas para conservar la información de forma
segura. Está basada en la transformación de los datos de forma tal que sean
incomprensibles para los receptores no autorizados, en cambio para aquellos
receptores que posean la autorización correspondiente, los datos que
conformandichainformaciónresultaránperfectamentecomprensibles.
En la transformación se pueden identificar 2 procesos bien definidos (FiguraP):
Encriptación:Procesomediante el cual un conjunto de datos se
transforman en un conjunto cifrado de datos mediante una función de
transformaciónyunallavedecodificación.
Desencriptación:Procesoinversoalaencriptación,enelcualelconjuntocifra
dodedatos seconvierteeneltextooriginalmedianteunasegunda
funcióndetransformaciónyunallavededesencriptación.Lallavepuedeser
lamismaparaambosprocesosodistinta.[10][13]
23
24. 24
3.3- La Criptografía en el Comercio Electrónico.
Protocolo de Nivel de conexiones seguro (SSL, Secure Sockets Layer)
El rasgo que distingue a SSL de otros protocolos para comunicaciones seguras,
es que se ubica en la pila OSI, entre los niveles de transporte
(TCP/IP)ydeaplicación(dondeseencuentranlosconocidosprotocolosHTTP para Web,
FTP para transferencia de ficheros, SMTP para correo electrónico, Telnet para
conexión a máquinas remotas, etc.) como puede observarse en la Figura T. Gracias a
esta característica, SSL resulta muyflexible,yaquepuede
servirparaasegurarpotencialmenteotrosserviciosademásdeHTTPpara
Web,sinmásquehacerpequeñas modificaciones en el programa que utilice el
protocolodetransportededatosTCP.
SSL proporciona sus servicios de seguridad cifrando los datos intercambiados
entre el servidor y el cliente y cifrando la clave mediante un algoritmo de cifrado de
clavepública,típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los
datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta
para cada transacción, lo cual permite que aunque sea rota por un atacante en una
transacción dada, nosirva para descifrar futurastransacciones.
24
25. 25
Características de SSL
La encriptación y desencriptación no se repite para cada
comunicaciónentreelclienteyelservidor,permitiendoquelasnuevasconexiones
SSLseiniciendeinmediatoaportandoeficienciaalproceso.
Permite la autenticación tanto del cliente como del servidor
mediantecertificadosdigitales.
AunqueSSLfuediseñadoparacorrersobreTCP/IP,puedehacer-
losobrecualquierprotocoloconfiableorientadoaconexionescomoX.251uOSI2.
ElprotocoloSSLsedivideendoscapascomplementarias
1. ProtocoloHandshake.Realizalassiguientesfunciones:
Autenticacióndeusuarioyservidor.
Seleccióndelosparámetrosdelasesiónydelaconexión.
Establecelaconexiónsegura.
2.
Protocoloderegistro(Recordprotocol).Seutilizaparalaencriptacióndelosprotocolosdela
scapasmásaltas:Handshakeyaplicaciones.
El protocolo SSL se comporta como una máquina de estados, durante el
intercambio deinformaciónsiemprehayunestadodeescrituraactivoyotro pendiente. Entre
dos entidades cliente y servidor se pueden abrir varias sesiones SSL, aunque no es
habitual, y dentro de cada sesión se pueden mantener
variasconexionesSSL.LasconexionesseabrenocierranatravésdelprotocolodeHandshake
.
1
ElprotocoloX.25fuediseñadopara evitar quelasredesprocedentesdediferentespaíses
lleguenadesarrollarinterfacesmutuamenteincompatiblesen1974.
2
ElmodeloOSI(SistemadeInterconexiónAbierta,OpenSystemsInterconection)detelecomunicacioneses
tabasadoenunapropuestadesarrolladaporla organizacióndeestándares
internacional(ISO,InternationalStandardsOrganization),porloquetambiénseleconocecomomodeloISO
25
26. 26
-OSI.Sufunciónesladedefinirlaformaenquesecomunicanlossistemas
abiertosdetelecomunicaciones,esdecir,lossistemasquesecomunicanconotrossistemas.
Protocolo de Transacciones Electrónicas Seguras (SET, Secure Electronic
Transactions)
Este protocolo criptográfico ha sido diseñado especialmente para el
envíodenúmerosdetarjetasdecréditoporI ternet.
n Consta de tres partes: una
“billeteraelectrónica”queresideenlacomputadoradelusuario; un servidorque se ejecuta en
el sitio Web del comerciante; y un servicio de pagos SET que se ejecuta en el banco del
comerciante. Para utilizar este sistema el usuario
introducesunúmerodetarjetadecréditoenelsoftwaredebilletera electrónica, el cual se
almacenaencriptadoeneldiscoduro;secreatambiénunallavepúblicayunaprivadaparaencript
arlainformaciónfinancieraantesdeenviarlaa
travésdeInternet.Cuandounusuariodeseacompraralgo,sunúmerodetarjetadecréditoesenvia
doencriptadoalcomerciante quien firma digitalmente el
mensajedepagoyloenvíaalbanco,dondeelservidor de pagos desencripta la
informaciónyrealizaelcargoalatarjeta.
Características de SET
Elnúmerodetarjetadecréditopasaencriptadoporlasmanos del
comerciantedisminuyendoenormementelasposibilidadesdefraude,yaque, pese al
imaginario popular, en su mayoría los fraudes con tarjetas de crédito en
todoelmundosedebenmásaloscomerciantesysusempleadosquealos “maliciosos”
hackersqueaguardanagazapadosdetrásdenuestracomputadoraconelúnicofinderobarnos.
Estaessuprincipalventaja.
Encriptar los números de tarjetas de crédito mediante el algoritmo
RSA,brindandoconfidencialidad,proporcionaademásintegridad,autenticación y no
repudiación mediante funciones de compendio de mensajes y firmas
digitales.SinembargoSETprotegesóloelnúmerodetarjetadecréditonobrindandoconfidenciali
dadyprivacíaalosdemáselementosdelatransacción.
26
28. 28
Implementacióndelprotocolo
Elpagomediantetarjetaesunprocesocomplejoenelcualsevenimplicadasvariasentidades,gr
aficadasenlaFiguraW.
Comprador:Adquiereunproductoutilizandolatarjetadecréditodesu propiedad.
Bancooentidadfinanciera:Emitelatarjetadecréditodelcomprador.
Comerciante:Vendelosproductos.
Bancodelcomerciante:Bancodondeelcomerciantetienelacuenta.
Pasareladepagos:Gestionalainteracciónconlosbancos.Puedeserunaentidadindepe
ndienteoelmismobancodelcomerciante.
Dosagentesrelacionadosperoquenoactúandirectamenteenlastransaccionesson:
Propietariodelamarcadelatarjeta:Avalanlastarjetas:Visa,MasterCard,AmericanEx
pres,etc...
Autoridaddecertificación:Crealoscertificadosqueseutilizanenlas
transaccionesdelapasarela,elvendedoryelcomprador.Puedenserlosbancos,lospropi
etariosdelamarcadelatarjetaoentidadesindependientes.
Para poder utilizar el SET se deben incorporar unos módulos de software que
adaptan los programas existentes al protocolo. Se handefinido4módulos:
28
29. 29
1. Cartera:Es una aplicación que se instala en el navegador del
compradorcomoplugin.
2. Deventa:SeconectaalaWebdelvendedor,similaraunPuntode
3. Venta(POS,PointOfSale)paratarjetasdecrédito.
4. Pasareladepagos:Cumplelasfuncionesdeesteagente.
5. Autoridaddecertificación:CreacertificadosdeclavepúblicaadaptadosalestándarSE
T.
29
30. 30
ANEXO.- CRONOGRAFA
FEBRERO MARZO ABRIL MAYO JUNIO JULIO
INICIO DEL X
PROYECTO
INVESTIGACIONES X X
1° AVANCE X
CORRECCIONES X X
INVESTIGACIONES X X
2° AVANCE
CORRECCIONES X
ANTEPROYECTO X
30
31. 31
BIBLIOGRAFIA.
[1]Flores Villarroel,(1980) Problema, Objetivos y Justificación, Programa MEMI
[2]Dipl.-Kfm. (FH)/ Dipl. en Ciencias Empresariales Gabriel Rivas Perez, AdrienRicotta,
(2005) Seguridad en el Comercio Electrónico
[3]Robert D. Buzzel, Mercado en la Era Electronica, Mexico: Editorial Norma.1988Walid
Mougaya, Nuervos mercados Digitales (Comercio en Internet),
Madrid:CybermagementPublications 1997Braulio Tamayo, Capitulo 1, Octubre 1999 versión
pdf.
[4]http://www.gestiopolis.com/recursos/documentos/fulldocs/ger/cominternet.htmFech
a.- 17/04/2012Tituto.- Comercio en la Web.
Lic. Gloria Gómez Diago
[5]http://www.razonypalabra.org.mx/anteriores/n45/ggomez.htmlFecha.-
17/04/2012Tituto.- Informacion en la Web.
[6]ThomasA.Powel ManualdereferenciaHTMLEditorial:Mc Graw Hill
Edición:1998,España
[7]ElLibrodelaWebmaster Autor:JohnMerlinFisher Editorial:AnayaMultimedia
Edición:1997,España
[8]ReingenieríaySeguridadenelCiberespacio
Autor:J.A.CalleGuglieriEditorial:DiazdeSantos Edición:1997,España
[9]AmparoFústerSabater,DoloresdelaGuíaMartínez,LuisHer-
nándezEncinas,FaustoMontoyaVitini,JaimeMuñozMosqué,
TécnicasdeCriptografíaydeProteccióndeDatos, 1997,España, :RaMa
[10]JamesMartin,StrategicDataPlanningMethodologies,
1982,EstadosUnidos,Prentice–Hallinc
31