SlideShare a Scribd company logo

Seguridad en las transacciones on line de comercio

Download as DOCX, PDF
Donki Byker
Donki Byker

Este documento trata sobre la seguridad en las transacciones de comercio electrónico online. Explica brevemente conceptos clave como el comercio en la web, la información en la web, el tratamiento de datos personales y la importancia de la seguridad en los servidores web. Además, analiza temas como el uso de tarjetas de crédito en internet, las transacciones de pagos interbancarias y tecnologías de seguridad como las firmas digitales y la criptografía. El objetivo principal es estudiar los principales riesgos de

1 of 32
1 INSTITUTO TECNOLOGICO DE CONKAL. DIRECCION GENERAL DE EDUCACION SUPERIOR TECNOLOGICA. MATERIA: Taller de Investigación 2 MAESTRO: Salazar Barrientos Lucila de Lurdes. ANTEPROYECTO: “Seguridad en las Transacciones On Line de Comercio Electrónico” ALUMNO (): Francisco Arturo Pacheco Reyes. L.I. EN INFORMATICA 6° SEMESTRE. CONKAL, YUCATAN A 24 DE MAYO DE 2012. 1
2 INDICE. Pag. Contenido INTRODUCCION. .................................................................................................................................. 3 JUSTIFICACIÓN .................................................................................................................................... 4 OBJETIVO. ............................................................................................................................................ 5 HIPOTESIS ............................................................................................................................................ 5 2.- MARCO TEORICO. .......................................................................................................................... 6 2.1- Introducción al Comercio en la Web. .......................................................................................... 6 2.2- Comercio en la Web. .................................................................................................................... 6 2.2- La Información en la Web. ........................................................................................................... 7 2.3- Tratamiento de Datos. ................................................................................................................. 8 2.4- Servidor Web Seguro. ................................................................................................................ 10 2.5- Tarjeta de Crédito Viajando Por la Web. ................................................................................... 11 2.6- Uso de las Tarjetas de Crédito en Internet. ............................................................................... 14 2.7- Transacciones de Pagos Interbancario de Tarjetas.................................................................... 15 3- Identificación Computarizada. ...................................................................................................... 17 3.1- Firmas Digitales. ......................................................................................................................... 20 3.2- La Criptografía. ........................................................................................................................... 23 3.3- La Criptografía en el Comercio Electrónico................................................................................ 24 ProtocolodeNiveldeconexionesseguro(SSL,SecureSocketsLayer) .................................................... 24 Características de SSL ........................................................................................................................ 25 ProtocolodeTransaccionesElectrónicasSeguras(SET,Secure ElectronicTransactions) ...................... 26 BIBLIOGRAFIA. ................................................................................................................................... 30 2
3 INTRODUCCION. En la actualidad nuestras vidas han cambiado radicalmente por la Internet, nuestros hábitos de comunicación han sido influenciados por la vida en línea; ahora contamos con herramientas como e-mail, chat y sitios como portales y tiendas virtuales; los cuales han proporcionado ventajas y desventajas a nuestra manera de ver el mundo. Este mismo auge ha desarrollado una gran accesibilidad al Word Wide Web (WWW) y ha dado muchas facilidades para la gente que utiliza, es así como la internet aprovecha su mayor característica: La transmitir y difundir libremente de todo tipo de información digitalizada. Hoy en día es común entrar a una entidad bancaria a través de su página web, verificar tu saldo, realizar transacciones, conocer la cotización del dólar, visitar una aerolínea de viajes, etc. Una de las cuestiones de hablar de laSeguridad en el Comercio Electrónico Online es saber que tan segura puede ser una página Web como por ejemplo para introducir el número de una tarjeta de crédito y cual seria la probabilidad de ser estafado si se realiza una transacción. 3
4 JUSTIFICACIÓN El comercio electrónico On-Line está asentándose paulatinamente entre los usuarios de Internet, una vez superadas las barreras de desconfianza en el uso de esta nueva forma de venta. Aquellas empresas con necesidad de crecimiento, eficiencia en sus procesos y búsqueda de nuevos mercados deben diseñar y ejecutar sus estrategias de negocio teniendo en cuenta Internet como un nuevo canal de comercialización. El comercio electrónico on-line, así llamado por las tecnologías que involucra, ha sido definido como el comercio a través de Internet. Porque, si bien comercio e Internet son temas centrales, las consecuencias que subyacen en la práctica van mucho más lejos que sus términos, pudiendo decirse que lo que realmente se halla en juego es una forma de organizarse y relacionarse de la sociedad. Al mismo tiempo que el comercio, se modifican también las relaciones entre instituciones, organizaciones y ciudadanos. 4
5 OBJETIVO. . El principal objetivo del de este trabajo, es analizar un aspecto clave en el Comercio Electrónico On Line: la seguridad. Junto a este objetivo vamos investigado cuales son las principales inseguridades que aparecen durante transacciones en el Comercio Electrónico On Line y cuales son las soluciones para los problemas presentes. Este estudio se propone establecer y explicar los componentes más básicos del desarrollo del comercio electrónico On-Line, como son los ingredientes tecnológicos, la nueva organización del comercio y las demandas de la sociedad hasta ahora manifestadas. Así, se abordan sucesivamente la descripción de los componentes que lo forman, la aparición de nuevas formas del dinero y de pago, los instrumentos de la seguridad y garantía y las herramientas de comercialización. El comercio electrónico On-Line todavía tiene un largo camino por recorrer. En este camino se deberán implicar tanto administraciones como la sociedad civil, trabajando conjuntamente en el desarrollo de los aspectos tecnológicos, legislativos y de normalización HIPOTESIS El comercio electrónico on-line es la nueva tendencia de la mercadotecnia de productos y servicios; y por lo tanto debe considerarse como un modelo de comercialización. 5
6 2.- MARCO TEORICO. 2.1- Introducción al Comercio en la Web. En el presente capítulo se introducen los temas relacionados con el comercio en la Web. La primacía de los datos, su tratamiento y legislación vigente; y particularmente el delito informático. Se realiza un acercamiento a los conceptos de seguridad Web. Se analizan los motivos que llevan a atender esta problemática y qué tecnologías se utilizan en defensa de los servidores Web. Adicionalmente se tratan los medios de pago que soportan al comercio electrónico. 2.2- Comercio en la Web. En marzo de 1997 surgió una nueva clase de amenaza en la Web, Paul Greene descubre que una página Web con ciertas instrucciones especiales podía engañar al navegador Internet Explorer, de Microsoft, y hacer que ejecutara cualquier programa con cualquier entrada en la computadora del usuario. Este error podría ser utilizado para destruir la computadora de la víctima, infectarla con un virus o capturar información confidencial del disco duro. El error le otorgaba al Webmaster5 el control total sobre cualquier computadora que visitara un sitio con Internet Explorer. A las 48 horas de haber sido detectado este error, Microsoft publicó una corrección al mismo, demostrando tanto la habilidad de la compañía para responder y la efectividad de la Web para distribuir correcciones de errores. A pesar de esto, a los pocos días se descubre otro error en Internet Explorer con el mismo efecto destructivo. Estos errores no son solamente de Microsoft, paralelamente se descubrían errores en el ambiente de Java, de Sun Microsystems, incluido en Navigator de Netscape.[9] Por otro lado, el gobierno de Massachusetts había anunciado que los conductores podían pagar sus infracciones mediante la Web. Debían dirigirse al sitio Web del Registro de Vehículos Automotores, hacer clic en un botón determinado y pagar la infracción con el número de su tarjeta de crédito. Evitando de esta forma tener que perder tiempo haciendo cola para el pago. 6
7 Para que el trámite con tarjetas de crédito sea seguro en Internet, el gobierno aseguraba utilizar un servidor Web “seguro”. Pero con “seguro” se refería a la conexión entre el servidor Web y el navegador, es decir, que el primero utiliza protocolos criptográficos de manera tal que al enviar un número de tarjeta de crédito por Internet, se codifica de modo que no pueda ser interceptado en su recorrido. Pero solo por utilizar criptografía para enviar números de tarjetas de crédito por Internet no significa que sea inviolable. En el caso de que alguien logre acceder a la computadora con fines delictivos, podría instalar programas en el servidor y así obtener los números de tarjeta de crédito una vez decodificados. Obteniendo estos números, podría utilizados para cometer fraudes .Esto podría llevar meses para que las compañías emisoras de las tarjetas localicen la fuente del robo de los números, al tiempo que los maleantes habrían cambiando de víctima. La seguridad en la Web es un conjunto de procedimientos, prácticas y tecnologías para proteger a los servidores y usuarios de la Web contra el comportamiento inesperado. Las empresas y los gobiernos utilizan cada vez mas el World Wide Web para distribuir información importante y hacer transacciones comerciales. Al violar servidores Web se pueden dañar reputaciones y perder dinero. A pesar que la Web es fácil de utilizar, los servidores y navegadores Web son piezas de software extremadamente complicadas y tienen diversas fallas de seguridad potenciales. Muchas veces se han incorporado funciones sin prestar mucha atención a su impacto en la seguridad. Aunque el software esté bien instalado puede ser una amenaza de seguridad. Al violar los navegadores y servidores Web, los atacantes pueden utilizarlos como base para otros ataques. También existen muchos usuarios principiantes de los servicios basados en el WWW. La generación actual de software les exige tomar decisiones de seguridad relevantes a diario, sin proporcionarles información suficiente. Por lo expresado es que atendemos el tema de seguridad en la Web, con la seguridad de que es más costosa la recuperación de un incidente de seguridad que tomar medidas preventivas.[3] 2.2- La Información en la Web. Diseño de información en la web: tres de los contextos desde los que se realiza Como usuarios, identificamos tres polos fundamentales desde los que se desarrollan contenidos de tipo informativo o, desde los que satisfacemos necesidades informativas: 1.a. El concepto de información vinculado al concepto de servicio en las ediciones digitales de los medios tradicionales. 7
8 1.b. Información desde blogs y documentos web personales o colectivos. 3.c. Información desde empresas, instituciones u organizaciones. Se pueden reconocer más espacios desde los que se satisfacen las necesidades informativas de los usuarios, de igual modo que es posible agruparlas bajo otras categorías y precisar también diferencias, por ejemplo, entre la información gestionada desde los blogs, weblogs o bitácoras y la que diseñan algunos documentos web personales y colectivos. 2.3- Tratamiento de Datos. Si bien no existen disposiciones específicas sobre el resguardo de datos en la Web, esto no significa que quede excluida su protección. Es importante tener en cuenta que la información acerca de un individuo se compone de diferentes tipos de datos que se muestran en la figura A y se detallan a continuación. a) Datos sensibles: Son los que pueden afectar la intimidad del individuo como son el de raza, ideología, estado de salud, creencias, religión. b) Datos secretos: como son el secreto profesional, secreto comercial, secreto bancario, secreto de confesión, etc. c) Datos reservados: siendo aquellos que el titular no está obligado a proporcionar para que sean conocidos por terceros, como son : filiación (hijo matrimonial, extramatrimonial, adoptado), delitos contra el honor (difamación, calumnia, injuria), libertad sexual (violación), adulterio, aborto, etc. d) Datos privados: los que el titular debe proporcionar periódicamente a la autoridad para fines específicamente señalados, como por ejemplo los datos contenidos en una declaración jurada del impuesto a las ganancias, sólo deben ser utilizados para los fines que específicamente fueron dados, no para fines distintos. e) Datos públicos: son aquellos cuya publicación no afectan al individuo, como el sexo, número de documento, nombre y apellido. Los datos que figuran en los padrones electorales o en la guía telefónica.[7] 8
9 FiguraA.:Tiposdedatos. Estos tipos de datos determinan que la información pueda o no ser tratada como confidencial, también debe tenerse en cuenta los límites territoriales de aplicación de la ley mexicana, que puede no emplearse si el usuario local brindainformaciónsensibleasitiosextranjerosqueladivulgan.Nohayuna pauta única para determinar cuándo una información debe considerarse confidencial; depende de las circunstancias. Datos como nombre, domicilio, direccióndee- mailonúmerodeteléfonononecesariamenteconstituyeninformaciónsensibleyaquesudivulg aciónnovulneraelderechoalaintimidad.Perosi esos mismos datos son tomados en conjunto o procesados para inferir características, tendencias o perfiles de sus titulares, bien podrían constituir informaciónconfidencialysensible.Además,pocosdudaríanquelosnúmerosdetarjeta de 9
10 crédito, ingreso patrimonial, antecedentes penales y de evaluación crediticia, tendenciassexualesycreenciaspolíticasyreligiosas,noseandatoscuyo usopuedaafectaralindividuoensuintimidad. Las empresas que operan en Internet están en una situación privilegiada para obtener información personal de los usuarios, y ninguna ley les impide recopilarsusdatosyutilizarlosparafinespropiosdemarketinguotros.Este usoseríacontrarioalalealtadcontractualy,aunquenoessancionadoporla ley, habilita a los afectados a reclamar la indemnización de los daños ocasionados. Es recomendable, entonces, que el usuario se interese por la política de confidencialidad de los sitios y, a su vez, que éstos soliciten el consentimiento delusuarioantesdedivulgarsusdatospersonales. 2.4- Servidor Web Seguro. Para los proveedores de software es un programa que instrumenta protocolos criptográficos, de forma que la información transferida entre un servidor y un navegador no pueda ser interceptada.Para las compañías que lo administran es el que resiste ataques internos y externos. Un servidor Web seguro es todo esto y más. Es un servidor confiable, con respaldo, que en caso de fallar puede restablecerse con rapidez. Es expandible de forma que pueda dar servicio a grandes cantidades de tráfico. Aunque la criptografía es ampliamente reconocida como prerrequisito para el comercio en Internet no es ni estrictamente necesaria para la seguridad en la Web, ni suficiente para garantizarla. Por ello, en este trabajo de Tesis se utilizará el término Web con facilidades criptográficas para denominar a un servidor Web que instrumenta protocolos criptográficos, ya que como veremos la seguridad en la Web es mucho mas que la protección contra la intercepción. 10
11 2.5- Tarjeta de Crédito Viajando Por la Web. Hoy en día existen miles de tarjetas de pago, algunas emitidas por una sola institución financiera, otras funcionan como grandes organizaciones de membresía en donde en realidad la tarjeta es otorgada por un banco miembro. Los bancos imponen tasas de interés sobre el crédito otorgado y contratan a una empresa procesadora de tarjetas bancarias para que mantenga la cuenta de clientes y comerciantes. El servicio que otorga la organización de membresía(VisaoMasterCard)eselestablecimientodepolíticasylaoperacióninterbancaria. Lastarjetasdecréditosonlaformamáspopularparapagarservicios u objetos en la Web en la actualidad, como lo demuestran estudios realizados sobreelcomercioenlaredporGlobalConceptosporelloenlugarde intentar buscar un sistema que la sustituya, la mayoría de los sistemas de compraenInternet,utilizan las tarjetas de crédito. La protección del número en tarjetas de crédito para transacción en línea esunejemplotípicodelanecesidaddelaseguridaddelaWeb.LaFiguraB, muestraunejemplodeunatransaccióncontarjetadecréditoenlaWebpara observarlosriesgos. Un sujeto Autilizasucomputadoraparaconectarseconunalmacénde músicaenlaWeb,navegaporelcatálogo de discos, encuentra uno que desea comprar y crea la orden de pedido. Ingresa su nombre, dirección, número de tarjeta de crédito, fecha de vencimiento de la misma y presiona un botón para enviarelpedido.[6][5] 11
12 FiguraB.:CompradeunCDcontarjetadecréditoatravésdeInternet. Tanto el tarjeta habiente como el comerciante enfrentan riesgos en esta transacción, para el tarjeta habiente son dos riesgos obvios: El número de su tarjeta de crédito puede serinterceptadoyutilizado parahacerfraudes,delocualelsujetonosepercataríahastaquereciba suestadodecuentaohastaquesutarjetaquedesobregirada. Podría hacerse el cargo a la tarjeta de crédito pero nunca llegar el pedido,cuandoelsujetoAinvestigalapáginaWebyanoexisteynopuede localizaralacompañíaquelerealizóelcobro. Luego veremos métodos diseñados para combatir estos dos riesgos utilizando una técnica matemática para revolver la información conocida como encriptaciónysoportandouncomplejosistemadeidentificacióndigital.ElsujetoAtienelacerteza dequedetrásdelapáginaWebdelalmacéndemúsica estánlaspersonasquesonquienesdicenser,comosemuestraenlaFiguraC. 12
13 FiguraC.:Transacciónenlíneaprotegida. En realidad el consumidor está protegido en el caso que le interceptaran su número de tarjeta de crédito y no es necesario verificar la identidad de los comerciantes ya que éstos no podrían cobrar una compra hecha con tarjetade crédito a menosqueelbancoleproveaunalíneadecrédito,locualimplicaun largo procedimiento de solicitud (mucho más arduo que el que podríamos realizarcomoconsumidores),unaverificacióndefondosyhastaenlamayoríade loscasosunavisitafísica. La idea de asegurar las transacciones con tarjetas de crédito es importante a la hora de tranquilizar al consumidor, más que a la hora de protegerlo. Esta tecnología en realidad protege a los bancos y comerciantes ya que si el número de tarjeta esrobadodebidoanegligenciadelcomercianteésteesresponsableanteelbancodecualquierf raudecometidoconesenúmero,apartir de esto las compañías emisoras de tarjetas de créditos exigen que las transacciones en línea se realicen con servidores Web con características criptográficas.[4] 13
14 2.6- Uso de las Tarjetas de Crédito en Internet. Existen tres formas de realizar una transacción con un número de tarjeta decréditoenlaWeb: Fueradelínea:en este método el cliente realiza la orden de compra utilizandolaWeb.Luegoelcomerciantellamaporteléfonoalclientey verifica la orden de compra y le solicita los datos de la tarjeta de crédito. Los riesgos de este método son equivalentes a enviar el número de tarjeta de créditosinencriptaryaquelalínea de teléfono podría estar intervenida, pero sin embargo existe porque en el imaginario de los consumidores es aterradora la ideademandarelnúmerodetarjetadecréditoatravésdeInternet.Además laspersonasparecencomprenderlasleyesbásicasdefraudecontarjetade crédito e intervención telefónica mejor que estas mismas leyes aplicadas a la intervención de transacción electrónica de datos. Es intención del autor promover en el lector la idea de la importancia de cambiar este punto de vista del mercado,yaqueenrigor este método es el más inseguro. Debemos, con la correcta promoción de las políticas de seguridad aplicadas a la empresa, generarconfianzaenelcliente. Enlíneaconencriptación:el consumidor envía el número de tarjetaalcomercianteatravésdeInternetmedianteunatransacciónencriptado. Estemétodoeselúnicorecomendable. En línea sin encriptación:elconsumidorenvíaelnúmerodetarjeta, ya sea utilizando correo electrónico o un comando POST o GET de HTTP. Estatécnicaesvulnerablealaintercepción.[4] 14
15 2.7- Transacciones de Pagos Interbancario de Tarjetas. Unatransaccióncomúndetarjetadecréditoinvolucraacincopartes: a. Elcliente. b. Elcomerciante. c. Elbancodelcliente. d. Elbancodelcomerciante(bancoadquiriente). Laredinterbancaria. YconstadediezpasosquesegraficanenlaFiguraD: 1. Elclienteentregasutarjetadecréditoalcomerciante. 2. Elcomerciantepideautorizaciónalbancoadquiriente. 3. Laredinterbancariaenvíaunmensajedelbancoadquirienteal bancodelconsumidorpidiendoautorización. 4. Elbancodelclienteenvíaunarespuestaalbancoadquirientemediantelared interbancaria. 5. Elbancoadquirientenotificaalcomerciantequeelcargohasidoaprobadoorechaz ado. 6. Encasodehabersidoaprobadoelcomercianterealizalaordendecompra. 7. Luegoelcomerciantepresentarácargosalbancoadquiriente. 8. Elbancoadquirienteenvíalasolicituddepagoalbancodelclientemediantelaredi nterbancaria. 9. Elbancodelclienteacreditaeldineroenunacuentadepagosinterbancarios deduciendo algún cargo en concepto del servicio dependiendo del convenio. Este dinero será debitado de la cuenta del cliente de acuerdo a las fechasdecierreypagopactadasentreelclienteyelbancodelcliente. 10. Elbancoadquirienteacreditaenlacuentadelcomerciantedebitandoalgúncargo enconceptodelserviciodependiendodelconvenio entre él y elcomerciante. 15
16 Elregistrodelatransaccióndelatarjetadecrédito,durantemásde treinta años se hallevado en papel hasta que en los ochenta, American Expresscomenzó a digitalizarlos entregando a los clientes impresiones digitales del mismo.Coneltiempolainformaciónquecontieneelcomprobantesehaido incrementando. En la actualidad, aunque varía, de tarjeta en tarjeta es común encontrarlossiguientesdatos:  Nombredelcliente.  Númerodelatarjetadecrédito.  Direccióndelcliente.  Fechadetransacción.  Montodelatransacción  Descripcióndelamercaderíaoservicio.  Códigodeautorización.  Nombredelcomerciante.  Firmadelcliente. La información contenida en el comprobante es útil para consumar transaccionesycombatirelfraude. 16
17 Los bancos cobranunacomisiónporlasprestacionescontarjetadecrédito. Esta comisión varía de acuerdo a convenios entre el banco y el comercio, entre el 1 y el 7%. Este porcentaje lo paga el comerciante de modo que si una personacompra$100enproductosenuncomercioX,veráensuestadode cuenta un cargo de $100 pero al comerciante se le depositarán $97 quedándose el banco adquiriente con la diferencia. Algunos bancos además cobran a los comerciantes una cuota fija por transacción y autorización, además de unainscripciónanualydelalquilerdelaterminaldetarjetadecrédito.[1] Los bancos emisores obtienen ganancias de las cuotas impuestas al consumidorydelosinteresesresultantes,ademásdelcostodemantenimiento. Lamayoríadeloscomerciantesdeberíanpreferirrecibirpagoscontarjeta de crédito en lugar de cheque o efectivo pese al porcentaje que se le debita, ya que este sistema brinda una confianza instantánea de que se ha hecho el pago y el dinero se depositará en la cuenta del comerciante a diferenciadelos cheques que pueden no tener fondos o el efectivo que puede ser falso y aun siendo cheques o dinero efectivo bueno, son objetos físicos que se pueden perder,robar,destruir,etc. 3- Identificación Computarizada. Tradicionalmente las computadoras personales no identificaban a sus usuariossinoqueledabanaccesototalaquiénsesentarafrentealteclado. Hoyendíaconlossistemasoperativosconmódulosavanzados deseguridady tendientes a operar en red, las cosas han cambiado. Sin embargo la preocupación de estos sistemasdeidentificaciónnosonquelapersonasealegalmente quien dice ser, sino que el usuario esté autorizado para acceder a sus recursos. Se puedenidentificarcuatrotiposdesistemasdeidentificaciónquesedetallanacontinuación. a) Sistemasbasadosenclavedeacceso:algoquesesabe Este fue el primer sistema de identificación digital, donde cada usuario del sistema tiene un nombre de usuario y una clave de acceso que se 17
18 correspondenparaprobarlaidentidaddelmismo.Lapremisaes:sielusuarioingresa unnombredeaccesovalidoyunaclavequesecorrespondeconlaqueestá almacenadaparaesenombredeusuario,simplementedebeserquiendiceser. Existenvariosinconvenientesconestetipodeidentificación:  El sistema debe tener archivado el nombre de usuario y su correspondienteclaveantesdecomprobarlaidentidad.  Laclavepuedeserinterceptadayquienlohagapuedehacerse pasarporelusuario.  Elusuariopuedeolvidarsuclavedeacceso.  Unapersonaqueconozcaalusuariopuedeinferirsuclavesiesta noaplicaunabuenapolíticaalelegirlaclave.  Elusuariopuedecompartirsuclaveconotraspersonasdeformavoluntaria. b)Sistemasbasadosenprendasfísicas:algoquesetiene Otraformadeprobarlaidentidaddeunusuarioesmedianteunaprenda física, como las tarjetas de acceso. Cada tarjeta tiene un número único y el sistematieneunalistacontarjetasautorizadasylosprivilegiosdecadauna.Pero al igual que los sistemas basados en claves de acceso, hay algunos inconvenientesconestesistema. Laprendanopruebaquieneslapersona.Cualquieraquelatenga accederáalosprivilegiosasociadosalamisma. Siunusuariopierdesuprenda,nopodráaccederalsistemaaun- que tenga todos los derechos. Algunasprendaspuedensercopiadasofalsificadas. Estesistemaenrealidadnoautorizaalindividuosinoalaprenda. c) Sistemasbasadosenbiométrica:algoquesees 18
19 Esta técnica realiza mediciones físicas al usuario y lo compara con registros almacenados con anterioridad. La biométrica se puede realizar a través de huellas digitales, forma de la mano, patrón de vasos sanguíneos de la retina, patronesdeADN,registrodevoz,caligrafía, forma de teclear, si bien es una formabastanteconfiablededeterminarlaidentidaddeunusuario,tienealgunosproblemas.  Lafirmabiométricadeunapersonadebeestaralmacenadaenun bancodedatosdeunacomputadoraantesdeseridentificada.  Requieredeequipamientocaroydepropósitoespecífico.  Elequipodemediciónesvulnerablealsabotajeyfraude. d) Sistemasbasadosenubicación:Algúnlugarenelqueseestá Este sistema utiliza el Sistema de Ubicación Global (GPS, Global Positioning System) para autenticar al usuario sobre la base del lugar en el que está.Comosuspredecesores,noesajenoainconvenientes:  Laubicacióndeunapersonadebeestaralmacenadaenunbanco dedatosdeunacomputadoraantesdeseridentificada.  Requieredeequipamientocaroydepropósitoespecífico.  ElsistemaaseguraquehayalguienqueposeeelGPSendonde se supone que lo debe tener pero nada más. 19
20 3.1- Firmas Digitales. Los sistemas de identificación antes descriptos son mejorados al combinarseconfirmasdigitales.Lafirmadigitalesunatecnologíaqueconsta de: Unallaveprivada:utilizadaparafirmarunbloquededatos. Unallavepública:utilizadaparaverificarlafirma. SupongamosqueunsujetoA, comoeldelaFiguraG,distribuyeunallave públicaapruebadealteración.Comoestallavesólosirveparacomprobarsi lallaveprivadaqueelsujetoA conservaesrealmentelallaveprivadadelsujetoA,síalguieninterceptalallavepúblicanoleservi ríadenada,porlotantoel sujetoApodríadistribuirlallavepúblicaporcualquiermedio. 20
21 Supongamos ahora que un sujeto B, como el de la Figura H, necesita corroborar que el sujeto A ha leído un documento X, para esto envía el documento X por mail al sujeto A, el sujeto A recibe el documento X lo lee y anexa su firma generada con la llave secreta. El sujeto A renvía el documento firma- do al sujeto B que mediante la llave pública corrobora la legitimidad de la firma. Lossiguientessonlosmediosfísicosenlosquesoportanlatecnología dellavedigitalpararealizarfirmas. Llaveencriptadaalmacenadasendiscoduro:esta es la forma más sencilla de almacenar la llave, aunque vulnerable a usuarios de la computadoraya programas hostiles. Llaveencriptadaenmedioremovible:esunpocomásseguro guardarlallaveprivadaenundisquete, disco compacto u otro medio removible. Pero para utilizar la llave privada la computadora debe desencriptarla y copiar la memoria, por lo que aún sigue siendo vulnerable a programas hostiles. 21
22 Llavealmacenadaenundispositivointeligente:estosdispositivos son una tarjeta con un microprocesador que almacena la llave privada transfiriéndola directamente sin cargarla en memoria por lo que es inmune a un programahostilqueintentecapturarlo.Ladesventajadeestetipodedispositivo essufragilidadylaposibilidaddeserrobadasoextraviadas.[3] Desventajas Acontinuaciónmencionaremosalgunasdesventajasquepresentautilizarunainfraestructu radellavespúblicas.  La mayor parte de las transacciones de comercio en Internet se basanenlastarjetasdecrédito,sinutilizarlatecnologíadefirmasdigitales.  Las firmas digitales facilitan la prueba de identidad pero no la aseguran, todo lo que comprueban es que una persona tiene acceso a una llave privada específicaquecomplementeaunallavepúblicaespecíficaqueestá firmadaporunaautoridadcertificadoraespecífica.  Al no existir estándares que regulen a las autoridades certificado- ras no es posibleevaluarlaconfiabilidaddelasmismas,noesposiblesabersi la autoridad certificadora quebranta sus propias reglas emitiendo documentos fraudulentos.Tambiénesdifícilcompararunaautoridadcertificadora con otra y másdifícilaúnhacerlodeformaautomática.  El certificado no posee los datos suficientes como para identificar deformalegalasuposeedor.  Latecnologíadefirmadigitalnopermiteladivulgaciónselectivadedatos. 22
23 3.2- La Criptografía. Es un conjunto de técnicas empleadas para conservar la información de forma segura. Está basada en la transformación de los datos de forma tal que sean incomprensibles para los receptores no autorizados, en cambio para aquellos receptores que posean la autorización correspondiente, los datos que conformandichainformaciónresultaránperfectamentecomprensibles. En la transformación se pueden identificar 2 procesos bien definidos (FiguraP): Encriptación:Procesomediante el cual un conjunto de datos se transforman en un conjunto cifrado de datos mediante una función de transformaciónyunallavedecodificación. Desencriptación:Procesoinversoalaencriptación,enelcualelconjuntocifra dodedatos seconvierteeneltextooriginalmedianteunasegunda funcióndetransformaciónyunallavededesencriptación.Lallavepuedeser lamismaparaambosprocesosodistinta.[10][13] 23
24 3.3- La Criptografía en el Comercio Electrónico. Protocolo de Nivel de conexiones seguro (SSL, Secure Sockets Layer) El rasgo que distingue a SSL de otros protocolos para comunicaciones seguras, es que se ubica en la pila OSI, entre los niveles de transporte (TCP/IP)ydeaplicación(dondeseencuentranlosconocidosprotocolosHTTP para Web, FTP para transferencia de ficheros, SMTP para correo electrónico, Telnet para conexión a máquinas remotas, etc.) como puede observarse en la Figura T. Gracias a esta característica, SSL resulta muyflexible,yaquepuede servirparaasegurarpotencialmenteotrosserviciosademásdeHTTPpara Web,sinmásquehacerpequeñas modificaciones en el programa que utilice el protocolodetransportededatosTCP. SSL proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente y cifrando la clave mediante un algoritmo de cifrado de clavepública,típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea rota por un atacante en una transacción dada, nosirva para descifrar futurastransacciones. 24
25 Características de SSL La encriptación y desencriptación no se repite para cada comunicaciónentreelclienteyelservidor,permitiendoquelasnuevasconexiones SSLseiniciendeinmediatoaportandoeficienciaalproceso. Permite la autenticación tanto del cliente como del servidor mediantecertificadosdigitales. AunqueSSLfuediseñadoparacorrersobreTCP/IP,puedehacer- losobrecualquierprotocoloconfiableorientadoaconexionescomoX.251uOSI2. ElprotocoloSSLsedivideendoscapascomplementarias 1. ProtocoloHandshake.Realizalassiguientesfunciones: Autenticacióndeusuarioyservidor. Seleccióndelosparámetrosdelasesiónydelaconexión. Establecelaconexiónsegura. 2. Protocoloderegistro(Recordprotocol).Seutilizaparalaencriptacióndelosprotocolosdela scapasmásaltas:Handshakeyaplicaciones. El protocolo SSL se comporta como una máquina de estados, durante el intercambio deinformaciónsiemprehayunestadodeescrituraactivoyotro pendiente. Entre dos entidades cliente y servidor se pueden abrir varias sesiones SSL, aunque no es habitual, y dentro de cada sesión se pueden mantener variasconexionesSSL.LasconexionesseabrenocierranatravésdelprotocolodeHandshake . 1 ElprotocoloX.25fuediseñadopara evitar quelasredesprocedentesdediferentespaíses lleguenadesarrollarinterfacesmutuamenteincompatiblesen1974. 2 ElmodeloOSI(SistemadeInterconexiónAbierta,OpenSystemsInterconection)detelecomunicacioneses tabasadoenunapropuestadesarrolladaporla organizacióndeestándares internacional(ISO,InternationalStandardsOrganization),porloquetambiénseleconocecomomodeloISO 25
26 -OSI.Sufunciónesladedefinirlaformaenquesecomunicanlossistemas abiertosdetelecomunicaciones,esdecir,lossistemasquesecomunicanconotrossistemas. Protocolo de Transacciones Electrónicas Seguras (SET, Secure Electronic Transactions) Este protocolo criptográfico ha sido diseñado especialmente para el envíodenúmerosdetarjetasdecréditoporI ternet. n Consta de tres partes: una “billeteraelectrónica”queresideenlacomputadoradelusuario; un servidorque se ejecuta en el sitio Web del comerciante; y un servicio de pagos SET que se ejecuta en el banco del comerciante. Para utilizar este sistema el usuario introducesunúmerodetarjetadecréditoenelsoftwaredebilletera electrónica, el cual se almacenaencriptadoeneldiscoduro;secreatambiénunallavepúblicayunaprivadaparaencript arlainformaciónfinancieraantesdeenviarlaa travésdeInternet.Cuandounusuariodeseacompraralgo,sunúmerodetarjetadecréditoesenvia doencriptadoalcomerciante quien firma digitalmente el mensajedepagoyloenvíaalbanco,dondeelservidor de pagos desencripta la informaciónyrealizaelcargoalatarjeta. Características de SET Elnúmerodetarjetadecréditopasaencriptadoporlasmanos del comerciantedisminuyendoenormementelasposibilidadesdefraude,yaque, pese al imaginario popular, en su mayoría los fraudes con tarjetas de crédito en todoelmundosedebenmásaloscomerciantesysusempleadosquealos “maliciosos” hackersqueaguardanagazapadosdetrásdenuestracomputadoraconelúnicofinderobarnos. Estaessuprincipalventaja. Encriptar los números de tarjetas de crédito mediante el algoritmo RSA,brindandoconfidencialidad,proporcionaademásintegridad,autenticación y no repudiación mediante funciones de compendio de mensajes y firmas digitales.SinembargoSETprotegesóloelnúmerodetarjetadecréditonobrindandoconfidenciali dadyprivacíaalosdemáselementosdelatransacción. 26
27 27
28 Implementacióndelprotocolo Elpagomediantetarjetaesunprocesocomplejoenelcualsevenimplicadasvariasentidades,gr aficadasenlaFiguraW.  Comprador:Adquiereunproductoutilizandolatarjetadecréditodesu propiedad.  Bancooentidadfinanciera:Emitelatarjetadecréditodelcomprador.  Comerciante:Vendelosproductos.  Bancodelcomerciante:Bancodondeelcomerciantetienelacuenta.  Pasareladepagos:Gestionalainteracciónconlosbancos.Puedeserunaentidadindepe ndienteoelmismobancodelcomerciante. Dosagentesrelacionadosperoquenoactúandirectamenteenlastransaccionesson:  Propietariodelamarcadelatarjeta:Avalanlastarjetas:Visa,MasterCard,AmericanEx pres,etc...  Autoridaddecertificación:Crealoscertificadosqueseutilizanenlas transaccionesdelapasarela,elvendedoryelcomprador.Puedenserlosbancos,lospropi etariosdelamarcadelatarjetaoentidadesindependientes. Para poder utilizar el SET se deben incorporar unos módulos de software que adaptan los programas existentes al protocolo. Se handefinido4módulos: 28
29 1. Cartera:Es una aplicación que se instala en el navegador del compradorcomoplugin. 2. Deventa:SeconectaalaWebdelvendedor,similaraunPuntode 3. Venta(POS,PointOfSale)paratarjetasdecrédito. 4. Pasareladepagos:Cumplelasfuncionesdeesteagente. 5. Autoridaddecertificación:CreacertificadosdeclavepúblicaadaptadosalestándarSE T. 29
30 ANEXO.- CRONOGRAFA FEBRERO MARZO ABRIL MAYO JUNIO JULIO INICIO DEL X PROYECTO INVESTIGACIONES X X 1° AVANCE X CORRECCIONES X X INVESTIGACIONES X X 2° AVANCE CORRECCIONES X ANTEPROYECTO X 30
31 BIBLIOGRAFIA. [1]Flores Villarroel,(1980) Problema, Objetivos y Justificación, Programa MEMI [2]Dipl.-Kfm. (FH)/ Dipl. en Ciencias Empresariales Gabriel Rivas Perez, AdrienRicotta, (2005) Seguridad en el Comercio Electrónico [3]Robert D. Buzzel, Mercado en la Era Electronica, Mexico: Editorial Norma.1988Walid Mougaya, Nuervos mercados Digitales (Comercio en Internet), Madrid:CybermagementPublications 1997Braulio Tamayo, Capitulo 1, Octubre 1999 versión pdf. [4]http://www.gestiopolis.com/recursos/documentos/fulldocs/ger/cominternet.htmFech a.- 17/04/2012Tituto.- Comercio en la Web. Lic. Gloria Gómez Diago [5]http://www.razonypalabra.org.mx/anteriores/n45/ggomez.htmlFecha.- 17/04/2012Tituto.- Informacion en la Web. [6]ThomasA.Powel ManualdereferenciaHTMLEditorial:Mc Graw Hill Edición:1998,España [7]ElLibrodelaWebmaster Autor:JohnMerlinFisher Editorial:AnayaMultimedia Edición:1997,España [8]ReingenieríaySeguridadenelCiberespacio Autor:J.A.CalleGuglieriEditorial:DiazdeSantos Edición:1997,España [9]AmparoFústerSabater,DoloresdelaGuíaMartínez,LuisHer- nándezEncinas,FaustoMontoyaVitini,JaimeMuñozMosqué, TécnicasdeCriptografíaydeProteccióndeDatos, 1997,España, :RaMa [10]JamesMartin,StrategicDataPlanningMethodologies, 1982,EstadosUnidos,Prentice–Hallinc 31
32 [11]ApuntesdelacátedraComercioElectrónico, 2000,Argentina [12]BrentChapman,ElizabethDZwicky,ConstruyafirewallsparaInternet, 1999,México,McGrawHill [13]SimsonGarfinkel,GeneSpafford, SeguridadycomercioenelWeb,McGrawHill 32

Recommended

Sis08 ce comercio_electronico
Sis08 ce comercio_electronicoSis08 ce comercio_electronico
Sis08 ce comercio_electronicoBrayan Diaz
 
Silabo Comercio Electronico
Silabo Comercio ElectronicoSilabo Comercio Electronico
Silabo Comercio ElectronicoWacho Jibaja Olvera
 
Formato espacio de aprendizaje u3 ea1 2 distanciavirtual
Formato espacio de aprendizaje u3 ea1 2 distanciavirtualFormato espacio de aprendizaje u3 ea1 2 distanciavirtual
Formato espacio de aprendizaje u3 ea1 2 distanciavirtualJavier Correa
 
Formato espacio de aprendizaje u3 ea1 2 virtua_ljisg
Formato espacio de aprendizaje u3 ea1 2 virtua_ljisgFormato espacio de aprendizaje u3 ea1 2 virtua_ljisg
Formato espacio de aprendizaje u3 ea1 2 virtua_ljisgJavier Correa
 
PROYECTO DE AULA
PROYECTO DE AULAPROYECTO DE AULA
PROYECTO DE AULAFerPerazaRo
 
PROYECTO DE AULA
PROYECTO DE AULAPROYECTO DE AULA
PROYECTO DE AULAFerPerazaRo
 
EL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDO
EL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDOEL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDO
EL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDOyeseam
 
Formato espacio de aprendizaje u3 ea1 2 virtual
Formato espacio de aprendizaje u3 ea1 2 virtualFormato espacio de aprendizaje u3 ea1 2 virtual
Formato espacio de aprendizaje u3 ea1 2 virtualJavier Correa
 

Recommended

Sis08 ce comercio_electronico
Sis08 ce comercio_electronicoSis08 ce comercio_electronico
Sis08 ce comercio_electronicoBrayan Diaz
 
Silabo Comercio Electronico
Silabo Comercio ElectronicoSilabo Comercio Electronico
Silabo Comercio ElectronicoWacho Jibaja Olvera
 
Formato espacio de aprendizaje u3 ea1 2 distanciavirtual
Formato espacio de aprendizaje u3 ea1 2 distanciavirtualFormato espacio de aprendizaje u3 ea1 2 distanciavirtual
Formato espacio de aprendizaje u3 ea1 2 distanciavirtualJavier Correa
 
Formato espacio de aprendizaje u3 ea1 2 virtua_ljisg
Formato espacio de aprendizaje u3 ea1 2 virtua_ljisgFormato espacio de aprendizaje u3 ea1 2 virtua_ljisg
Formato espacio de aprendizaje u3 ea1 2 virtua_ljisgJavier Correa
 
PROYECTO DE AULA
PROYECTO DE AULAPROYECTO DE AULA
PROYECTO DE AULAFerPerazaRo
 
PROYECTO DE AULA
PROYECTO DE AULAPROYECTO DE AULA
PROYECTO DE AULAFerPerazaRo
 
EL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDO
EL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDOEL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDO
EL ARTE DE LAS MODALIDADES DE EBUSINESS: PERÚ, AMÉRICA Y EL MUNDOyeseam
 
Formato espacio de aprendizaje u3 ea1 2 virtual
Formato espacio de aprendizaje u3 ea1 2 virtualFormato espacio de aprendizaje u3 ea1 2 virtual
Formato espacio de aprendizaje u3 ea1 2 virtualJavier Correa
 
El aprendizaje significativo ok
El aprendizaje significativo okEl aprendizaje significativo ok
El aprendizaje significativo okGelacio Martinez Torres
 
Huej2
Huej2Huej2
Huej2amigos_atzitzi
 
Aspecto tirbutario de las ventas de inmuebles
Aspecto tirbutario de las ventas de inmueblesAspecto tirbutario de las ventas de inmuebles
Aspecto tirbutario de las ventas de inmueblesLuquitas Lucas
 
Metodos de busqueda
Metodos de busquedaMetodos de busqueda
Metodos de busquedaNicolas Camacho
 
Historia del impresionismo 3
Historia del impresionismo 3Historia del impresionismo 3
Historia del impresionismo 3amigos_atzitzi
 
De que trata este libro
De que trata este libroDe que trata este libro
De que trata este libroRicardo Pacheco Rios
 
Brenda y diamela quintanilla primero b
Brenda y diamela quintanilla primero bBrenda y diamela quintanilla primero b
Brenda y diamela quintanilla primero bBrendaLiiz
 
Trabajo Practico Nº2
Trabajo Practico Nº2Trabajo Practico Nº2
Trabajo Practico Nº2benjapazuriburu
 
Presentacion powerpoint
Presentacion powerpointPresentacion powerpoint
Presentacion powerpointmusajojue
 
Metodos de busqueda
Metodos de busquedaMetodos de busqueda
Metodos de busquedaceci9221
 
Puerta de entrada para que la educación del xxi sea inclusión de conocimientos
Puerta de entrada para que la educación del xxi sea inclusión de conocimientosPuerta de entrada para que la educación del xxi sea inclusión de conocimientos
Puerta de entrada para que la educación del xxi sea inclusión de conocimientosPATRICIO PALIZ OCHOA
 
Camino
CaminoCamino
CaminoCeleste2012
 
Proyecto Especial para la Seguridad Alimentaria 4 05-2005
Proyecto Especial para la Seguridad Alimentaria 4 05-2005Proyecto Especial para la Seguridad Alimentaria 4 05-2005
Proyecto Especial para la Seguridad Alimentaria 4 05-2005Virginia Argueta Zavala
 
Presentacion de
Presentacion de Presentacion de
Presentacion de anajd
 
Aparato circulatorio vicky
Aparato circulatorio vickyAparato circulatorio vicky
Aparato circulatorio vickyYackiisziithaJandete
 
Bioquimica 1
Bioquimica 1Bioquimica 1
Bioquimica 1Stefanie Nestarez Mendoza
 
Película Recursos humanos
Película Recursos humanosPelícula Recursos humanos
Película Recursos humanosRoo Belen
 
Animales
AnimalesAnimales
AnimalesBlanquita Suárez
 
La verdadera felicidad
La verdadera felicidadLa verdadera felicidad
La verdadera felicidadDana Camila Sierra de la Cruz
 
Teclado
TecladoTeclado
TecladoLeandro Navarro Guisao
 
Cyberseguridad
CyberseguridadCyberseguridad
CyberseguridadCorporación Unificada Nacional de Educación Superior
 
Trabajo economia
Trabajo economiaTrabajo economia
Trabajo economiaLeibnitz Pavel
 

More Related Content

Viewers also liked

Aspecto tirbutario de las ventas de inmuebles
Aspecto tirbutario de las ventas de inmueblesAspecto tirbutario de las ventas de inmuebles
Aspecto tirbutario de las ventas de inmueblesLuquitas Lucas
 
Historia del impresionismo 3
Historia del impresionismo 3Historia del impresionismo 3
Historia del impresionismo 3amigos_atzitzi
 
Brenda y diamela quintanilla primero b
Brenda y diamela quintanilla primero bBrenda y diamela quintanilla primero b
Brenda y diamela quintanilla primero bBrendaLiiz
 
Presentacion powerpoint
Presentacion powerpointPresentacion powerpoint
Presentacion powerpointmusajojue
 
Metodos de busqueda
Metodos de busquedaMetodos de busqueda
Metodos de busquedaceci9221
 
Puerta de entrada para que la educación del xxi sea inclusión de conocimientos
Puerta de entrada para que la educación del xxi sea inclusión de conocimientosPuerta de entrada para que la educación del xxi sea inclusión de conocimientos
Puerta de entrada para que la educación del xxi sea inclusión de conocimientosPATRICIO PALIZ OCHOA
 
Proyecto Especial para la Seguridad Alimentaria 4 05-2005
Proyecto Especial para la Seguridad Alimentaria 4 05-2005Proyecto Especial para la Seguridad Alimentaria 4 05-2005
Proyecto Especial para la Seguridad Alimentaria 4 05-2005Virginia Argueta Zavala
 
Presentacion de
Presentacion de Presentacion de
Presentacion de anajd
 
Película Recursos humanos
Película Recursos humanosPelícula Recursos humanos
Película Recursos humanosRoo Belen
 

Viewers also liked (20)

El aprendizaje significativo ok
El aprendizaje significativo okEl aprendizaje significativo ok
El aprendizaje significativo ok
 
Huej2
Huej2Huej2
Huej2
 
Aspecto tirbutario de las ventas de inmuebles
Aspecto tirbutario de las ventas de inmueblesAspecto tirbutario de las ventas de inmuebles
Aspecto tirbutario de las ventas de inmuebles
 
Metodos de busqueda
Metodos de busquedaMetodos de busqueda
Metodos de busqueda
 
Historia del impresionismo 3
Historia del impresionismo 3Historia del impresionismo 3
Historia del impresionismo 3
 
De que trata este libro
De que trata este libroDe que trata este libro
De que trata este libro
 
Brenda y diamela quintanilla primero b
Brenda y diamela quintanilla primero bBrenda y diamela quintanilla primero b
Brenda y diamela quintanilla primero b
 
Trabajo Practico Nº2
Trabajo Practico Nº2Trabajo Practico Nº2
Trabajo Practico Nº2
 
Presentacion powerpoint
Presentacion powerpointPresentacion powerpoint
Presentacion powerpoint
 
Metodos de busqueda
Metodos de busquedaMetodos de busqueda
Metodos de busqueda
 
Puerta de entrada para que la educación del xxi sea inclusión de conocimientos
Puerta de entrada para que la educación del xxi sea inclusión de conocimientosPuerta de entrada para que la educación del xxi sea inclusión de conocimientos
Puerta de entrada para que la educación del xxi sea inclusión de conocimientos
 
Camino
CaminoCamino
Camino
 
Proyecto Especial para la Seguridad Alimentaria 4 05-2005
Proyecto Especial para la Seguridad Alimentaria 4 05-2005Proyecto Especial para la Seguridad Alimentaria 4 05-2005
Proyecto Especial para la Seguridad Alimentaria 4 05-2005
 
Presentacion de
Presentacion de Presentacion de
Presentacion de
 
Aparato circulatorio vicky
Aparato circulatorio vickyAparato circulatorio vicky
Aparato circulatorio vicky
 
Bioquimica 1
Bioquimica 1Bioquimica 1
Bioquimica 1
 
Película Recursos humanos
Película Recursos humanosPelícula Recursos humanos
Película Recursos humanos
 
Animales
AnimalesAnimales
Animales
 
La verdadera felicidad
La verdadera felicidadLa verdadera felicidad
La verdadera felicidad
 
Teclado
TecladoTeclado
Teclado
 

Similar to Seguridad en las transacciones on line de comercio

Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)
Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)
Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)Alfredo Vela Zancada
 
Los bancos y las nuevas tecnologías
Los bancos y las nuevas tecnologíasLos bancos y las nuevas tecnologías
Los bancos y las nuevas tecnologíasSuahil Quijada
 
Primer informe subtel
Primer informe subtelPrimer informe subtel
Primer informe subteljimeluz
 
Primer informe subtel
Primer informe subtelPrimer informe subtel
Primer informe subteljimeluz
 
Unidad 1. que es el comercio electronico
Unidad 1. que es el comercio electronicoUnidad 1. que es el comercio electronico
Unidad 1. que es el comercio electronicoGabee Tejeda
 
Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16Fabián Descalzo
 
Comercio electrónico en méxico
Comercio electrónico en méxicoComercio electrónico en méxico
Comercio electrónico en méxicoOmar Sánchez
 
Modelos de negocios en internet.final
Modelos de negocios en internet.finalModelos de negocios en internet.final
Modelos de negocios en internet.finalLucianoseiji101
 
Trabajo investigacion comercio electronico y tributacion
Trabajo investigacion comercio electronico y tributacionTrabajo investigacion comercio electronico y tributacion
Trabajo investigacion comercio electronico y tributacionHugo Salazar
 
Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...
Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...
Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...eraser Juan José Calderón
 

Similar to Seguridad en las transacciones on line de comercio (20)

Cyberseguridad
CyberseguridadCyberseguridad
Cyberseguridad
 
Trabajo economia
Trabajo economiaTrabajo economia
Trabajo economia
 
Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)
Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)
Guía sobre riesgos y buenas prácticas en autenticación online (Inteco)
 
Economía Digital
Economía DigitalEconomía Digital
Economía Digital
 
Los bancos y las nuevas tecnologías
Los bancos y las nuevas tecnologíasLos bancos y las nuevas tecnologías
Los bancos y las nuevas tecnologías
 
Primer informe subtel
Primer informe subtelPrimer informe subtel
Primer informe subtel
 
Primer informe subtel
Primer informe subtelPrimer informe subtel
Primer informe subtel
 
Seguridad previa en comercio
Seguridad previa en comercioSeguridad previa en comercio
Seguridad previa en comercio
 
PROYECTO FINAL
PROYECTO FINALPROYECTO FINAL
PROYECTO FINAL
 
KESP _U2_EA_MACR.pdf
KESP _U2_EA_MACR.pdfKESP _U2_EA_MACR.pdf
KESP _U2_EA_MACR.pdf
 
Unidad 1. que es el comercio electronico
Unidad 1. que es el comercio electronicoUnidad 1. que es el comercio electronico
Unidad 1. que es el comercio electronico
 
Actividad da la guia de seguridad
Actividad da la guia de seguridadActividad da la guia de seguridad
Actividad da la guia de seguridad
 
Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16Ser Compliance - Magazcitum año 5, numero4, pág 16
Ser Compliance - Magazcitum año 5, numero4, pág 16
 
Comercio electrónico en méxico
Comercio electrónico en méxicoComercio electrónico en méxico
Comercio electrónico en méxico
 
Modelos de negocios en internet.final
Modelos de negocios en internet.finalModelos de negocios en internet.final
Modelos de negocios en internet.final
 
Trabajo investigacion comercio electronico y tributacion
Trabajo investigacion comercio electronico y tributacionTrabajo investigacion comercio electronico y tributacion
Trabajo investigacion comercio electronico y tributacion
 
Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...
Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...
Criptomonedas, Aplicaciones Potenciales de Blockchain y Desafíos Regulatorios...
 
1347 1 ap
1347 1 ap1347 1 ap
1347 1 ap
 
Ap estudiante
Ap estudianteAp estudiante
Ap estudiante
 
1347 1a p
1347 1a p1347 1a p
1347 1a p
 

Seguridad en las transacciones on line de comercio

  • 1. 1 INSTITUTO TECNOLOGICO DE CONKAL. DIRECCION GENERAL DE EDUCACION SUPERIOR TECNOLOGICA. MATERIA: Taller de Investigación 2 MAESTRO: Salazar Barrientos Lucila de Lurdes. ANTEPROYECTO: “Seguridad en las Transacciones On Line de Comercio Electrónico” ALUMNO (): Francisco Arturo Pacheco Reyes. L.I. EN INFORMATICA 6° SEMESTRE. CONKAL, YUCATAN A 24 DE MAYO DE 2012. 1
  • 2. 2 INDICE. Pag. Contenido INTRODUCCION. .................................................................................................................................. 3 JUSTIFICACIÓN .................................................................................................................................... 4 OBJETIVO. ............................................................................................................................................ 5 HIPOTESIS ............................................................................................................................................ 5 2.- MARCO TEORICO. .......................................................................................................................... 6 2.1- Introducción al Comercio en la Web. .......................................................................................... 6 2.2- Comercio en la Web. .................................................................................................................... 6 2.2- La Información en la Web. ........................................................................................................... 7 2.3- Tratamiento de Datos. ................................................................................................................. 8 2.4- Servidor Web Seguro. ................................................................................................................ 10 2.5- Tarjeta de Crédito Viajando Por la Web. ................................................................................... 11 2.6- Uso de las Tarjetas de Crédito en Internet. ............................................................................... 14 2.7- Transacciones de Pagos Interbancario de Tarjetas.................................................................... 15 3- Identificación Computarizada. ...................................................................................................... 17 3.1- Firmas Digitales. ......................................................................................................................... 20 3.2- La Criptografía. ........................................................................................................................... 23 3.3- La Criptografía en el Comercio Electrónico................................................................................ 24 ProtocolodeNiveldeconexionesseguro(SSL,SecureSocketsLayer) .................................................... 24 Características de SSL ........................................................................................................................ 25 ProtocolodeTransaccionesElectrónicasSeguras(SET,Secure ElectronicTransactions) ...................... 26 BIBLIOGRAFIA. ................................................................................................................................... 30 2
  • 3. 3 INTRODUCCION. En la actualidad nuestras vidas han cambiado radicalmente por la Internet, nuestros hábitos de comunicación han sido influenciados por la vida en línea; ahora contamos con herramientas como e-mail, chat y sitios como portales y tiendas virtuales; los cuales han proporcionado ventajas y desventajas a nuestra manera de ver el mundo. Este mismo auge ha desarrollado una gran accesibilidad al Word Wide Web (WWW) y ha dado muchas facilidades para la gente que utiliza, es así como la internet aprovecha su mayor característica: La transmitir y difundir libremente de todo tipo de información digitalizada. Hoy en día es común entrar a una entidad bancaria a través de su página web, verificar tu saldo, realizar transacciones, conocer la cotización del dólar, visitar una aerolínea de viajes, etc. Una de las cuestiones de hablar de laSeguridad en el Comercio Electrónico Online es saber que tan segura puede ser una página Web como por ejemplo para introducir el número de una tarjeta de crédito y cual seria la probabilidad de ser estafado si se realiza una transacción. 3
  • 4. 4 JUSTIFICACIÓN El comercio electrónico On-Line está asentándose paulatinamente entre los usuarios de Internet, una vez superadas las barreras de desconfianza en el uso de esta nueva forma de venta. Aquellas empresas con necesidad de crecimiento, eficiencia en sus procesos y búsqueda de nuevos mercados deben diseñar y ejecutar sus estrategias de negocio teniendo en cuenta Internet como un nuevo canal de comercialización. El comercio electrónico on-line, así llamado por las tecnologías que involucra, ha sido definido como el comercio a través de Internet. Porque, si bien comercio e Internet son temas centrales, las consecuencias que subyacen en la práctica van mucho más lejos que sus términos, pudiendo decirse que lo que realmente se halla en juego es una forma de organizarse y relacionarse de la sociedad. Al mismo tiempo que el comercio, se modifican también las relaciones entre instituciones, organizaciones y ciudadanos. 4
  • 5. 5 OBJETIVO. . El principal objetivo del de este trabajo, es analizar un aspecto clave en el Comercio Electrónico On Line: la seguridad. Junto a este objetivo vamos investigado cuales son las principales inseguridades que aparecen durante transacciones en el Comercio Electrónico On Line y cuales son las soluciones para los problemas presentes. Este estudio se propone establecer y explicar los componentes más básicos del desarrollo del comercio electrónico On-Line, como son los ingredientes tecnológicos, la nueva organización del comercio y las demandas de la sociedad hasta ahora manifestadas. Así, se abordan sucesivamente la descripción de los componentes que lo forman, la aparición de nuevas formas del dinero y de pago, los instrumentos de la seguridad y garantía y las herramientas de comercialización. El comercio electrónico On-Line todavía tiene un largo camino por recorrer. En este camino se deberán implicar tanto administraciones como la sociedad civil, trabajando conjuntamente en el desarrollo de los aspectos tecnológicos, legislativos y de normalización HIPOTESIS El comercio electrónico on-line es la nueva tendencia de la mercadotecnia de productos y servicios; y por lo tanto debe considerarse como un modelo de comercialización. 5
  • 6. 6 2.- MARCO TEORICO. 2.1- Introducción al Comercio en la Web. En el presente capítulo se introducen los temas relacionados con el comercio en la Web. La primacía de los datos, su tratamiento y legislación vigente; y particularmente el delito informático. Se realiza un acercamiento a los conceptos de seguridad Web. Se analizan los motivos que llevan a atender esta problemática y qué tecnologías se utilizan en defensa de los servidores Web. Adicionalmente se tratan los medios de pago que soportan al comercio electrónico. 2.2- Comercio en la Web. En marzo de 1997 surgió una nueva clase de amenaza en la Web, Paul Greene descubre que una página Web con ciertas instrucciones especiales podía engañar al navegador Internet Explorer, de Microsoft, y hacer que ejecutara cualquier programa con cualquier entrada en la computadora del usuario. Este error podría ser utilizado para destruir la computadora de la víctima, infectarla con un virus o capturar información confidencial del disco duro. El error le otorgaba al Webmaster5 el control total sobre cualquier computadora que visitara un sitio con Internet Explorer. A las 48 horas de haber sido detectado este error, Microsoft publicó una corrección al mismo, demostrando tanto la habilidad de la compañía para responder y la efectividad de la Web para distribuir correcciones de errores. A pesar de esto, a los pocos días se descubre otro error en Internet Explorer con el mismo efecto destructivo. Estos errores no son solamente de Microsoft, paralelamente se descubrían errores en el ambiente de Java, de Sun Microsystems, incluido en Navigator de Netscape.[9] Por otro lado, el gobierno de Massachusetts había anunciado que los conductores podían pagar sus infracciones mediante la Web. Debían dirigirse al sitio Web del Registro de Vehículos Automotores, hacer clic en un botón determinado y pagar la infracción con el número de su tarjeta de crédito. Evitando de esta forma tener que perder tiempo haciendo cola para el pago. 6
  • 7. 7 Para que el trámite con tarjetas de crédito sea seguro en Internet, el gobierno aseguraba utilizar un servidor Web “seguro”. Pero con “seguro” se refería a la conexión entre el servidor Web y el navegador, es decir, que el primero utiliza protocolos criptográficos de manera tal que al enviar un número de tarjeta de crédito por Internet, se codifica de modo que no pueda ser interceptado en su recorrido. Pero solo por utilizar criptografía para enviar números de tarjetas de crédito por Internet no significa que sea inviolable. En el caso de que alguien logre acceder a la computadora con fines delictivos, podría instalar programas en el servidor y así obtener los números de tarjeta de crédito una vez decodificados. Obteniendo estos números, podría utilizados para cometer fraudes .Esto podría llevar meses para que las compañías emisoras de las tarjetas localicen la fuente del robo de los números, al tiempo que los maleantes habrían cambiando de víctima. La seguridad en la Web es un conjunto de procedimientos, prácticas y tecnologías para proteger a los servidores y usuarios de la Web contra el comportamiento inesperado. Las empresas y los gobiernos utilizan cada vez mas el World Wide Web para distribuir información importante y hacer transacciones comerciales. Al violar servidores Web se pueden dañar reputaciones y perder dinero. A pesar que la Web es fácil de utilizar, los servidores y navegadores Web son piezas de software extremadamente complicadas y tienen diversas fallas de seguridad potenciales. Muchas veces se han incorporado funciones sin prestar mucha atención a su impacto en la seguridad. Aunque el software esté bien instalado puede ser una amenaza de seguridad. Al violar los navegadores y servidores Web, los atacantes pueden utilizarlos como base para otros ataques. También existen muchos usuarios principiantes de los servicios basados en el WWW. La generación actual de software les exige tomar decisiones de seguridad relevantes a diario, sin proporcionarles información suficiente. Por lo expresado es que atendemos el tema de seguridad en la Web, con la seguridad de que es más costosa la recuperación de un incidente de seguridad que tomar medidas preventivas.[3] 2.2- La Información en la Web. Diseño de información en la web: tres de los contextos desde los que se realiza Como usuarios, identificamos tres polos fundamentales desde los que se desarrollan contenidos de tipo informativo o, desde los que satisfacemos necesidades informativas: 1.a. El concepto de información vinculado al concepto de servicio en las ediciones digitales de los medios tradicionales. 7
  • 8. 8 1.b. Información desde blogs y documentos web personales o colectivos. 3.c. Información desde empresas, instituciones u organizaciones. Se pueden reconocer más espacios desde los que se satisfacen las necesidades informativas de los usuarios, de igual modo que es posible agruparlas bajo otras categorías y precisar también diferencias, por ejemplo, entre la información gestionada desde los blogs, weblogs o bitácoras y la que diseñan algunos documentos web personales y colectivos. 2.3- Tratamiento de Datos. Si bien no existen disposiciones específicas sobre el resguardo de datos en la Web, esto no significa que quede excluida su protección. Es importante tener en cuenta que la información acerca de un individuo se compone de diferentes tipos de datos que se muestran en la figura A y se detallan a continuación. a) Datos sensibles: Son los que pueden afectar la intimidad del individuo como son el de raza, ideología, estado de salud, creencias, religión. b) Datos secretos: como son el secreto profesional, secreto comercial, secreto bancario, secreto de confesión, etc. c) Datos reservados: siendo aquellos que el titular no está obligado a proporcionar para que sean conocidos por terceros, como son : filiación (hijo matrimonial, extramatrimonial, adoptado), delitos contra el honor (difamación, calumnia, injuria), libertad sexual (violación), adulterio, aborto, etc. d) Datos privados: los que el titular debe proporcionar periódicamente a la autoridad para fines específicamente señalados, como por ejemplo los datos contenidos en una declaración jurada del impuesto a las ganancias, sólo deben ser utilizados para los fines que específicamente fueron dados, no para fines distintos. e) Datos públicos: son aquellos cuya publicación no afectan al individuo, como el sexo, número de documento, nombre y apellido. Los datos que figuran en los padrones electorales o en la guía telefónica.[7] 8
  • 9. 9 FiguraA.:Tiposdedatos. Estos tipos de datos determinan que la información pueda o no ser tratada como confidencial, también debe tenerse en cuenta los límites territoriales de aplicación de la ley mexicana, que puede no emplearse si el usuario local brindainformaciónsensibleasitiosextranjerosqueladivulgan.Nohayuna pauta única para determinar cuándo una información debe considerarse confidencial; depende de las circunstancias. Datos como nombre, domicilio, direccióndee- mailonúmerodeteléfonononecesariamenteconstituyeninformaciónsensibleyaquesudivulg aciónnovulneraelderechoalaintimidad.Perosi esos mismos datos son tomados en conjunto o procesados para inferir características, tendencias o perfiles de sus titulares, bien podrían constituir informaciónconfidencialysensible.Además,pocosdudaríanquelosnúmerosdetarjeta de 9
  • 10. 10 crédito, ingreso patrimonial, antecedentes penales y de evaluación crediticia, tendenciassexualesycreenciaspolíticasyreligiosas,noseandatoscuyo usopuedaafectaralindividuoensuintimidad. Las empresas que operan en Internet están en una situación privilegiada para obtener información personal de los usuarios, y ninguna ley les impide recopilarsusdatosyutilizarlosparafinespropiosdemarketinguotros.Este usoseríacontrarioalalealtadcontractualy,aunquenoessancionadoporla ley, habilita a los afectados a reclamar la indemnización de los daños ocasionados. Es recomendable, entonces, que el usuario se interese por la política de confidencialidad de los sitios y, a su vez, que éstos soliciten el consentimiento delusuarioantesdedivulgarsusdatospersonales. 2.4- Servidor Web Seguro. Para los proveedores de software es un programa que instrumenta protocolos criptográficos, de forma que la información transferida entre un servidor y un navegador no pueda ser interceptada.Para las compañías que lo administran es el que resiste ataques internos y externos. Un servidor Web seguro es todo esto y más. Es un servidor confiable, con respaldo, que en caso de fallar puede restablecerse con rapidez. Es expandible de forma que pueda dar servicio a grandes cantidades de tráfico. Aunque la criptografía es ampliamente reconocida como prerrequisito para el comercio en Internet no es ni estrictamente necesaria para la seguridad en la Web, ni suficiente para garantizarla. Por ello, en este trabajo de Tesis se utilizará el término Web con facilidades criptográficas para denominar a un servidor Web que instrumenta protocolos criptográficos, ya que como veremos la seguridad en la Web es mucho mas que la protección contra la intercepción. 10
  • 11. 11 2.5- Tarjeta de Crédito Viajando Por la Web. Hoy en día existen miles de tarjetas de pago, algunas emitidas por una sola institución financiera, otras funcionan como grandes organizaciones de membresía en donde en realidad la tarjeta es otorgada por un banco miembro. Los bancos imponen tasas de interés sobre el crédito otorgado y contratan a una empresa procesadora de tarjetas bancarias para que mantenga la cuenta de clientes y comerciantes. El servicio que otorga la organización de membresía(VisaoMasterCard)eselestablecimientodepolíticasylaoperacióninterbancaria. Lastarjetasdecréditosonlaformamáspopularparapagarservicios u objetos en la Web en la actualidad, como lo demuestran estudios realizados sobreelcomercioenlaredporGlobalConceptosporelloenlugarde intentar buscar un sistema que la sustituya, la mayoría de los sistemas de compraenInternet,utilizan las tarjetas de crédito. La protección del número en tarjetas de crédito para transacción en línea esunejemplotípicodelanecesidaddelaseguridaddelaWeb.LaFiguraB, muestraunejemplodeunatransaccióncontarjetadecréditoenlaWebpara observarlosriesgos. Un sujeto Autilizasucomputadoraparaconectarseconunalmacénde músicaenlaWeb,navegaporelcatálogo de discos, encuentra uno que desea comprar y crea la orden de pedido. Ingresa su nombre, dirección, número de tarjeta de crédito, fecha de vencimiento de la misma y presiona un botón para enviarelpedido.[6][5] 11
  • 12. 12 FiguraB.:CompradeunCDcontarjetadecréditoatravésdeInternet. Tanto el tarjeta habiente como el comerciante enfrentan riesgos en esta transacción, para el tarjeta habiente son dos riesgos obvios: El número de su tarjeta de crédito puede serinterceptadoyutilizado parahacerfraudes,delocualelsujetonosepercataríahastaquereciba suestadodecuentaohastaquesutarjetaquedesobregirada. Podría hacerse el cargo a la tarjeta de crédito pero nunca llegar el pedido,cuandoelsujetoAinvestigalapáginaWebyanoexisteynopuede localizaralacompañíaquelerealizóelcobro. Luego veremos métodos diseñados para combatir estos dos riesgos utilizando una técnica matemática para revolver la información conocida como encriptaciónysoportandouncomplejosistemadeidentificacióndigital.ElsujetoAtienelacerteza dequedetrásdelapáginaWebdelalmacéndemúsica estánlaspersonasquesonquienesdicenser,comosemuestraenlaFiguraC. 12
  • 13. 13 FiguraC.:Transacciónenlíneaprotegida. En realidad el consumidor está protegido en el caso que le interceptaran su número de tarjeta de crédito y no es necesario verificar la identidad de los comerciantes ya que éstos no podrían cobrar una compra hecha con tarjetade crédito a menosqueelbancoleproveaunalíneadecrédito,locualimplicaun largo procedimiento de solicitud (mucho más arduo que el que podríamos realizarcomoconsumidores),unaverificacióndefondosyhastaenlamayoríade loscasosunavisitafísica. La idea de asegurar las transacciones con tarjetas de crédito es importante a la hora de tranquilizar al consumidor, más que a la hora de protegerlo. Esta tecnología en realidad protege a los bancos y comerciantes ya que si el número de tarjeta esrobadodebidoanegligenciadelcomercianteésteesresponsableanteelbancodecualquierf raudecometidoconesenúmero,apartir de esto las compañías emisoras de tarjetas de créditos exigen que las transacciones en línea se realicen con servidores Web con características criptográficas.[4] 13
  • 14. 14 2.6- Uso de las Tarjetas de Crédito en Internet. Existen tres formas de realizar una transacción con un número de tarjeta decréditoenlaWeb: Fueradelínea:en este método el cliente realiza la orden de compra utilizandolaWeb.Luegoelcomerciantellamaporteléfonoalclientey verifica la orden de compra y le solicita los datos de la tarjeta de crédito. Los riesgos de este método son equivalentes a enviar el número de tarjeta de créditosinencriptaryaquelalínea de teléfono podría estar intervenida, pero sin embargo existe porque en el imaginario de los consumidores es aterradora la ideademandarelnúmerodetarjetadecréditoatravésdeInternet.Además laspersonasparecencomprenderlasleyesbásicasdefraudecontarjetade crédito e intervención telefónica mejor que estas mismas leyes aplicadas a la intervención de transacción electrónica de datos. Es intención del autor promover en el lector la idea de la importancia de cambiar este punto de vista del mercado,yaqueenrigor este método es el más inseguro. Debemos, con la correcta promoción de las políticas de seguridad aplicadas a la empresa, generarconfianzaenelcliente. Enlíneaconencriptación:el consumidor envía el número de tarjetaalcomercianteatravésdeInternetmedianteunatransacciónencriptado. Estemétodoeselúnicorecomendable. En línea sin encriptación:elconsumidorenvíaelnúmerodetarjeta, ya sea utilizando correo electrónico o un comando POST o GET de HTTP. Estatécnicaesvulnerablealaintercepción.[4] 14
  • 15. 15 2.7- Transacciones de Pagos Interbancario de Tarjetas. Unatransaccióncomúndetarjetadecréditoinvolucraacincopartes: a. Elcliente. b. Elcomerciante. c. Elbancodelcliente. d. Elbancodelcomerciante(bancoadquiriente). Laredinterbancaria. YconstadediezpasosquesegraficanenlaFiguraD: 1. Elclienteentregasutarjetadecréditoalcomerciante. 2. Elcomerciantepideautorizaciónalbancoadquiriente. 3. Laredinterbancariaenvíaunmensajedelbancoadquirienteal bancodelconsumidorpidiendoautorización. 4. Elbancodelclienteenvíaunarespuestaalbancoadquirientemediantelared interbancaria. 5. Elbancoadquirientenotificaalcomerciantequeelcargohasidoaprobadoorechaz ado. 6. Encasodehabersidoaprobadoelcomercianterealizalaordendecompra. 7. Luegoelcomerciantepresentarácargosalbancoadquiriente. 8. Elbancoadquirienteenvíalasolicituddepagoalbancodelclientemediantelaredi nterbancaria. 9. Elbancodelclienteacreditaeldineroenunacuentadepagosinterbancarios deduciendo algún cargo en concepto del servicio dependiendo del convenio. Este dinero será debitado de la cuenta del cliente de acuerdo a las fechasdecierreypagopactadasentreelclienteyelbancodelcliente. 10. Elbancoadquirienteacreditaenlacuentadelcomerciantedebitandoalgúncargo enconceptodelserviciodependiendodelconvenio entre él y elcomerciante. 15
  • 16. 16 Elregistrodelatransaccióndelatarjetadecrédito,durantemásde treinta años se hallevado en papel hasta que en los ochenta, American Expresscomenzó a digitalizarlos entregando a los clientes impresiones digitales del mismo.Coneltiempolainformaciónquecontieneelcomprobantesehaido incrementando. En la actualidad, aunque varía, de tarjeta en tarjeta es común encontrarlossiguientesdatos:  Nombredelcliente.  Númerodelatarjetadecrédito.  Direccióndelcliente.  Fechadetransacción.  Montodelatransacción  Descripcióndelamercaderíaoservicio.  Códigodeautorización.  Nombredelcomerciante.  Firmadelcliente. La información contenida en el comprobante es útil para consumar transaccionesycombatirelfraude. 16
  • 17. 17 Los bancos cobranunacomisiónporlasprestacionescontarjetadecrédito. Esta comisión varía de acuerdo a convenios entre el banco y el comercio, entre el 1 y el 7%. Este porcentaje lo paga el comerciante de modo que si una personacompra$100enproductosenuncomercioX,veráensuestadode cuenta un cargo de $100 pero al comerciante se le depositarán $97 quedándose el banco adquiriente con la diferencia. Algunos bancos además cobran a los comerciantes una cuota fija por transacción y autorización, además de unainscripciónanualydelalquilerdelaterminaldetarjetadecrédito.[1] Los bancos emisores obtienen ganancias de las cuotas impuestas al consumidorydelosinteresesresultantes,ademásdelcostodemantenimiento. Lamayoríadeloscomerciantesdeberíanpreferirrecibirpagoscontarjeta de crédito en lugar de cheque o efectivo pese al porcentaje que se le debita, ya que este sistema brinda una confianza instantánea de que se ha hecho el pago y el dinero se depositará en la cuenta del comerciante a diferenciadelos cheques que pueden no tener fondos o el efectivo que puede ser falso y aun siendo cheques o dinero efectivo bueno, son objetos físicos que se pueden perder,robar,destruir,etc. 3- Identificación Computarizada. Tradicionalmente las computadoras personales no identificaban a sus usuariossinoqueledabanaccesototalaquiénsesentarafrentealteclado. Hoyendíaconlossistemasoperativosconmódulosavanzados deseguridady tendientes a operar en red, las cosas han cambiado. Sin embargo la preocupación de estos sistemasdeidentificaciónnosonquelapersonasealegalmente quien dice ser, sino que el usuario esté autorizado para acceder a sus recursos. Se puedenidentificarcuatrotiposdesistemasdeidentificaciónquesedetallanacontinuación. a) Sistemasbasadosenclavedeacceso:algoquesesabe Este fue el primer sistema de identificación digital, donde cada usuario del sistema tiene un nombre de usuario y una clave de acceso que se 17
  • 18. 18 correspondenparaprobarlaidentidaddelmismo.Lapremisaes:sielusuarioingresa unnombredeaccesovalidoyunaclavequesecorrespondeconlaqueestá almacenadaparaesenombredeusuario,simplementedebeserquiendiceser. Existenvariosinconvenientesconestetipodeidentificación:  El sistema debe tener archivado el nombre de usuario y su correspondienteclaveantesdecomprobarlaidentidad.  Laclavepuedeserinterceptadayquienlohagapuedehacerse pasarporelusuario.  Elusuariopuedeolvidarsuclavedeacceso.  Unapersonaqueconozcaalusuariopuedeinferirsuclavesiesta noaplicaunabuenapolíticaalelegirlaclave.  Elusuariopuedecompartirsuclaveconotraspersonasdeformavoluntaria. b)Sistemasbasadosenprendasfísicas:algoquesetiene Otraformadeprobarlaidentidaddeunusuarioesmedianteunaprenda física, como las tarjetas de acceso. Cada tarjeta tiene un número único y el sistematieneunalistacontarjetasautorizadasylosprivilegiosdecadauna.Pero al igual que los sistemas basados en claves de acceso, hay algunos inconvenientesconestesistema. Laprendanopruebaquieneslapersona.Cualquieraquelatenga accederáalosprivilegiosasociadosalamisma. Siunusuariopierdesuprenda,nopodráaccederalsistemaaun- que tenga todos los derechos. Algunasprendaspuedensercopiadasofalsificadas. Estesistemaenrealidadnoautorizaalindividuosinoalaprenda. c) Sistemasbasadosenbiométrica:algoquesees 18
  • 19. 19 Esta técnica realiza mediciones físicas al usuario y lo compara con registros almacenados con anterioridad. La biométrica se puede realizar a través de huellas digitales, forma de la mano, patrón de vasos sanguíneos de la retina, patronesdeADN,registrodevoz,caligrafía, forma de teclear, si bien es una formabastanteconfiablededeterminarlaidentidaddeunusuario,tienealgunosproblemas.  Lafirmabiométricadeunapersonadebeestaralmacenadaenun bancodedatosdeunacomputadoraantesdeseridentificada.  Requieredeequipamientocaroydepropósitoespecífico.  Elequipodemediciónesvulnerablealsabotajeyfraude. d) Sistemasbasadosenubicación:Algúnlugarenelqueseestá Este sistema utiliza el Sistema de Ubicación Global (GPS, Global Positioning System) para autenticar al usuario sobre la base del lugar en el que está.Comosuspredecesores,noesajenoainconvenientes:  Laubicacióndeunapersonadebeestaralmacenadaenunbanco dedatosdeunacomputadoraantesdeseridentificada.  Requieredeequipamientocaroydepropósitoespecífico.  ElsistemaaseguraquehayalguienqueposeeelGPSendonde se supone que lo debe tener pero nada más. 19
  • 20. 20 3.1- Firmas Digitales. Los sistemas de identificación antes descriptos son mejorados al combinarseconfirmasdigitales.Lafirmadigitalesunatecnologíaqueconsta de: Unallaveprivada:utilizadaparafirmarunbloquededatos. Unallavepública:utilizadaparaverificarlafirma. SupongamosqueunsujetoA, comoeldelaFiguraG,distribuyeunallave públicaapruebadealteración.Comoestallavesólosirveparacomprobarsi lallaveprivadaqueelsujetoA conservaesrealmentelallaveprivadadelsujetoA,síalguieninterceptalallavepúblicanoleservi ríadenada,porlotantoel sujetoApodríadistribuirlallavepúblicaporcualquiermedio. 20
  • 21. 21 Supongamos ahora que un sujeto B, como el de la Figura H, necesita corroborar que el sujeto A ha leído un documento X, para esto envía el documento X por mail al sujeto A, el sujeto A recibe el documento X lo lee y anexa su firma generada con la llave secreta. El sujeto A renvía el documento firma- do al sujeto B que mediante la llave pública corrobora la legitimidad de la firma. Lossiguientessonlosmediosfísicosenlosquesoportanlatecnología dellavedigitalpararealizarfirmas. Llaveencriptadaalmacenadasendiscoduro:esta es la forma más sencilla de almacenar la llave, aunque vulnerable a usuarios de la computadoraya programas hostiles. Llaveencriptadaenmedioremovible:esunpocomásseguro guardarlallaveprivadaenundisquete, disco compacto u otro medio removible. Pero para utilizar la llave privada la computadora debe desencriptarla y copiar la memoria, por lo que aún sigue siendo vulnerable a programas hostiles. 21
  • 22. 22 Llavealmacenadaenundispositivointeligente:estosdispositivos son una tarjeta con un microprocesador que almacena la llave privada transfiriéndola directamente sin cargarla en memoria por lo que es inmune a un programahostilqueintentecapturarlo.Ladesventajadeestetipodedispositivo essufragilidadylaposibilidaddeserrobadasoextraviadas.[3] Desventajas Acontinuaciónmencionaremosalgunasdesventajasquepresentautilizarunainfraestructu radellavespúblicas.  La mayor parte de las transacciones de comercio en Internet se basanenlastarjetasdecrédito,sinutilizarlatecnologíadefirmasdigitales.  Las firmas digitales facilitan la prueba de identidad pero no la aseguran, todo lo que comprueban es que una persona tiene acceso a una llave privada específicaquecomplementeaunallavepúblicaespecíficaqueestá firmadaporunaautoridadcertificadoraespecífica.  Al no existir estándares que regulen a las autoridades certificado- ras no es posibleevaluarlaconfiabilidaddelasmismas,noesposiblesabersi la autoridad certificadora quebranta sus propias reglas emitiendo documentos fraudulentos.Tambiénesdifícilcompararunaautoridadcertificadora con otra y másdifícilaúnhacerlodeformaautomática.  El certificado no posee los datos suficientes como para identificar deformalegalasuposeedor.  Latecnologíadefirmadigitalnopermiteladivulgaciónselectivadedatos. 22
  • 23. 23 3.2- La Criptografía. Es un conjunto de técnicas empleadas para conservar la información de forma segura. Está basada en la transformación de los datos de forma tal que sean incomprensibles para los receptores no autorizados, en cambio para aquellos receptores que posean la autorización correspondiente, los datos que conformandichainformaciónresultaránperfectamentecomprensibles. En la transformación se pueden identificar 2 procesos bien definidos (FiguraP): Encriptación:Procesomediante el cual un conjunto de datos se transforman en un conjunto cifrado de datos mediante una función de transformaciónyunallavedecodificación. Desencriptación:Procesoinversoalaencriptación,enelcualelconjuntocifra dodedatos seconvierteeneltextooriginalmedianteunasegunda funcióndetransformaciónyunallavededesencriptación.Lallavepuedeser lamismaparaambosprocesosodistinta.[10][13] 23
  • 24. 24 3.3- La Criptografía en el Comercio Electrónico. Protocolo de Nivel de conexiones seguro (SSL, Secure Sockets Layer) El rasgo que distingue a SSL de otros protocolos para comunicaciones seguras, es que se ubica en la pila OSI, entre los niveles de transporte (TCP/IP)ydeaplicación(dondeseencuentranlosconocidosprotocolosHTTP para Web, FTP para transferencia de ficheros, SMTP para correo electrónico, Telnet para conexión a máquinas remotas, etc.) como puede observarse en la Figura T. Gracias a esta característica, SSL resulta muyflexible,yaquepuede servirparaasegurarpotencialmenteotrosserviciosademásdeHTTPpara Web,sinmásquehacerpequeñas modificaciones en el programa que utilice el protocolodetransportededatosTCP. SSL proporciona sus servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente y cifrando la clave mediante un algoritmo de cifrado de clavepública,típicamente el RSA. La clave de sesión es la que se utiliza para cifrar los datos que vienen del y van al servidor seguro. Se genera una clave de sesión distinta para cada transacción, lo cual permite que aunque sea rota por un atacante en una transacción dada, nosirva para descifrar futurastransacciones. 24
  • 25. 25 Características de SSL La encriptación y desencriptación no se repite para cada comunicaciónentreelclienteyelservidor,permitiendoquelasnuevasconexiones SSLseiniciendeinmediatoaportandoeficienciaalproceso. Permite la autenticación tanto del cliente como del servidor mediantecertificadosdigitales. AunqueSSLfuediseñadoparacorrersobreTCP/IP,puedehacer- losobrecualquierprotocoloconfiableorientadoaconexionescomoX.251uOSI2. ElprotocoloSSLsedivideendoscapascomplementarias 1. ProtocoloHandshake.Realizalassiguientesfunciones: Autenticacióndeusuarioyservidor. Seleccióndelosparámetrosdelasesiónydelaconexión. Establecelaconexiónsegura. 2. Protocoloderegistro(Recordprotocol).Seutilizaparalaencriptacióndelosprotocolosdela scapasmásaltas:Handshakeyaplicaciones. El protocolo SSL se comporta como una máquina de estados, durante el intercambio deinformaciónsiemprehayunestadodeescrituraactivoyotro pendiente. Entre dos entidades cliente y servidor se pueden abrir varias sesiones SSL, aunque no es habitual, y dentro de cada sesión se pueden mantener variasconexionesSSL.LasconexionesseabrenocierranatravésdelprotocolodeHandshake . 1 ElprotocoloX.25fuediseñadopara evitar quelasredesprocedentesdediferentespaíses lleguenadesarrollarinterfacesmutuamenteincompatiblesen1974. 2 ElmodeloOSI(SistemadeInterconexiónAbierta,OpenSystemsInterconection)detelecomunicacioneses tabasadoenunapropuestadesarrolladaporla organizacióndeestándares internacional(ISO,InternationalStandardsOrganization),porloquetambiénseleconocecomomodeloISO 25
  • 26. 26 -OSI.Sufunciónesladedefinirlaformaenquesecomunicanlossistemas abiertosdetelecomunicaciones,esdecir,lossistemasquesecomunicanconotrossistemas. Protocolo de Transacciones Electrónicas Seguras (SET, Secure Electronic Transactions) Este protocolo criptográfico ha sido diseñado especialmente para el envíodenúmerosdetarjetasdecréditoporI ternet. n Consta de tres partes: una “billeteraelectrónica”queresideenlacomputadoradelusuario; un servidorque se ejecuta en el sitio Web del comerciante; y un servicio de pagos SET que se ejecuta en el banco del comerciante. Para utilizar este sistema el usuario introducesunúmerodetarjetadecréditoenelsoftwaredebilletera electrónica, el cual se almacenaencriptadoeneldiscoduro;secreatambiénunallavepúblicayunaprivadaparaencript arlainformaciónfinancieraantesdeenviarlaa travésdeInternet.Cuandounusuariodeseacompraralgo,sunúmerodetarjetadecréditoesenvia doencriptadoalcomerciante quien firma digitalmente el mensajedepagoyloenvíaalbanco,dondeelservidor de pagos desencripta la informaciónyrealizaelcargoalatarjeta. Características de SET Elnúmerodetarjetadecréditopasaencriptadoporlasmanos del comerciantedisminuyendoenormementelasposibilidadesdefraude,yaque, pese al imaginario popular, en su mayoría los fraudes con tarjetas de crédito en todoelmundosedebenmásaloscomerciantesysusempleadosquealos “maliciosos” hackersqueaguardanagazapadosdetrásdenuestracomputadoraconelúnicofinderobarnos. Estaessuprincipalventaja. Encriptar los números de tarjetas de crédito mediante el algoritmo RSA,brindandoconfidencialidad,proporcionaademásintegridad,autenticación y no repudiación mediante funciones de compendio de mensajes y firmas digitales.SinembargoSETprotegesóloelnúmerodetarjetadecréditonobrindandoconfidenciali dadyprivacíaalosdemáselementosdelatransacción. 26
  • 27. 27 27
  • 28. 28 Implementacióndelprotocolo Elpagomediantetarjetaesunprocesocomplejoenelcualsevenimplicadasvariasentidades,gr aficadasenlaFiguraW.  Comprador:Adquiereunproductoutilizandolatarjetadecréditodesu propiedad.  Bancooentidadfinanciera:Emitelatarjetadecréditodelcomprador.  Comerciante:Vendelosproductos.  Bancodelcomerciante:Bancodondeelcomerciantetienelacuenta.  Pasareladepagos:Gestionalainteracciónconlosbancos.Puedeserunaentidadindepe ndienteoelmismobancodelcomerciante. Dosagentesrelacionadosperoquenoactúandirectamenteenlastransaccionesson:  Propietariodelamarcadelatarjeta:Avalanlastarjetas:Visa,MasterCard,AmericanEx pres,etc...  Autoridaddecertificación:Crealoscertificadosqueseutilizanenlas transaccionesdelapasarela,elvendedoryelcomprador.Puedenserlosbancos,lospropi etariosdelamarcadelatarjetaoentidadesindependientes. Para poder utilizar el SET se deben incorporar unos módulos de software que adaptan los programas existentes al protocolo. Se handefinido4módulos: 28
  • 29. 29 1. Cartera:Es una aplicación que se instala en el navegador del compradorcomoplugin. 2. Deventa:SeconectaalaWebdelvendedor,similaraunPuntode 3. Venta(POS,PointOfSale)paratarjetasdecrédito. 4. Pasareladepagos:Cumplelasfuncionesdeesteagente. 5. Autoridaddecertificación:CreacertificadosdeclavepúblicaadaptadosalestándarSE T. 29
  • 30. 30 ANEXO.- CRONOGRAFA FEBRERO MARZO ABRIL MAYO JUNIO JULIO INICIO DEL X PROYECTO INVESTIGACIONES X X 1° AVANCE X CORRECCIONES X X INVESTIGACIONES X X 2° AVANCE CORRECCIONES X ANTEPROYECTO X 30
  • 31. 31 BIBLIOGRAFIA. [1]Flores Villarroel,(1980) Problema, Objetivos y Justificación, Programa MEMI [2]Dipl.-Kfm. (FH)/ Dipl. en Ciencias Empresariales Gabriel Rivas Perez, AdrienRicotta, (2005) Seguridad en el Comercio Electrónico [3]Robert D. Buzzel, Mercado en la Era Electronica, Mexico: Editorial Norma.1988Walid Mougaya, Nuervos mercados Digitales (Comercio en Internet), Madrid:CybermagementPublications 1997Braulio Tamayo, Capitulo 1, Octubre 1999 versión pdf. [4]http://www.gestiopolis.com/recursos/documentos/fulldocs/ger/cominternet.htmFech a.- 17/04/2012Tituto.- Comercio en la Web. Lic. Gloria Gómez Diago [5]http://www.razonypalabra.org.mx/anteriores/n45/ggomez.htmlFecha.- 17/04/2012Tituto.- Informacion en la Web. [6]ThomasA.Powel ManualdereferenciaHTMLEditorial:Mc Graw Hill Edición:1998,España [7]ElLibrodelaWebmaster Autor:JohnMerlinFisher Editorial:AnayaMultimedia Edición:1997,España [8]ReingenieríaySeguridadenelCiberespacio Autor:J.A.CalleGuglieriEditorial:DiazdeSantos Edición:1997,España [9]AmparoFústerSabater,DoloresdelaGuíaMartínez,LuisHer- nándezEncinas,FaustoMontoyaVitini,JaimeMuñozMosqué, TécnicasdeCriptografíaydeProteccióndeDatos, 1997,España, :RaMa [10]JamesMartin,StrategicDataPlanningMethodologies, 1982,EstadosUnidos,Prentice–Hallinc 31
  • 32. 32 [11]ApuntesdelacátedraComercioElectrónico, 2000,Argentina [12]BrentChapman,ElizabethDZwicky,ConstruyafirewallsparaInternet, 1999,México,McGrawHill [13]SimsonGarfinkel,GeneSpafford, SeguridadycomercioenelWeb,McGrawHill 32