la seguridad en el comercio electrÓnico final
TRANSCRIPT
PRÓLOGO.....................................................................................................................................5
CAPITULO I...................................................................................................................................6
Introducción.............................................................................................................................6
Objetivo General......................................................................................................................7
Objetivos específicos................................................................................................................7
Antecedentes del tema............................................................................................................8
Planteamiento del problema..................................................................................................10
Justificación............................................................................................................................11
Alcances y limitaciones...........................................................................................................12
CAPITULO II................................................................................................................................13
Marco teórico.........................................................................................................................13
Definición del comercio electrónico.......................................................................................13
Características del comercio electrónico................................................................................14
Tipos de comercio electrónico...............................................................................................15
Modelos básicos de comercio electrónico.............................................................................16
Ventajas del comercio electrónico.........................................................................................19
Desventajas del comercio electrónico....................................................................................19
Criptografía............................................................................................................................20
La escítala...............................................................................................................................22
El cifrado César.......................................................................................................................22
Seguridad...............................................................................................................................24
CAPITULO III...............................................................................................................................26
Desarrollo del proyecto..........................................................................................................26
La seguridad en el comercio electrónico................................................................................26
Los riesgos en el comercio electrónico...................................................................................32
La importancia de la seguridad y la confianza........................................................................42
Mecanismos de seguridad......................................................................................................43
Seguridad de tránsito y de usuario:........................................................................................43
Tipos de seguridad.................................................................................................................44
Certificados digitales..............................................................................................................46
Firmas digitales......................................................................................................................47
Características de las firmas digitales.....................................................................................49
El sistema pki..........................................................................................................................50
Funcionamiento del sistema..................................................................................................51
Objetivos de la pki..................................................................................................................52
Diferenciación en los tipos de seguridad................................................................................53
Smart card..............................................................................................................................55
Software wallets.....................................................................................................................55
Conclusión y recomendación.................................................................................................57
Referencias bibliográficas...........................................................................................................58
Prólogo
En la actualidad existe una variedad en medios de comunicación que son de
gran importancia en nuestra cotidianidad, una de las tendencias en la
adquisición de bienes materiales, es por el comercio electrónico, que puede ser
un medio muy explotado por los diferentes hackers o personas mal
intencionadas llevándonos a un fraude electrónico.
Se pretende analizar algunos medios de seguridad y proponer cuál de todos
podría ser el óptimo y cuáles son los medios que tenemos para lograr una
seguridad en el comercio electrónico más transparente para las personas, y
con más confiabilidad, sin la perdida de datos y sin llegar a ser víctimas de
fraude electrónico.
5
CAPITULO I
Introducción
En la presente monografía, se analizará una de las herramientas comúnmente
más usadas para realizar la compra-venta a distancia; llamada comercio
electrónico (e-commerce), y una de las principales inquietudes de todos los
usuarios es la seguridad e inseguridad, que existe en el comercio electrónico.
Se tratará de analizar las diversas estrategias aplicadas de seguridad en el
comercio electrónico.
El comercio electrónico lo podemos encontrar en una de las tecnologías más
potentes y sofisticadas “el internet”, que, ha ido evolucionando con el paso de
los años, debido a las diferentes necesidades de comunicación y diferentes
maneras de negociar por medio del internet, ya que nos proporciona la
oportunidad de buscar o subir información a cualquier hora, y nos permite
comunicarnos instantáneamente mediante el correo electrónico. Y ahora, con la
adición de compras en línea, el impacto de Internet está constantemente
excediendo todas las expectativas.
El comercio electrónico proporciona a cualquier usuario la oportunidad de ser
comprador y/o vendedor, con esto puede ampliar sus estrategias de ventas y
tener acceso a diversos usuarios en diferentes partes del mundo para obtener
mayores ingresos y lograr agrandar su negocio. El comercio electrónico es un
método eficaz desde el punto de vista de costos para comercializar productos o
servicios y exhibir un inventario de productos.
Por lo tanto con el presente trabajo se pretende recabar información que nos
ayude a buscar los mejores sistemas de seguridad en el comercio electrónico,
de forma que el lector entienda de una manera más sencilla cuáles son los
diferentes métodos utilizados en esta práctica electrónica.
6
Objetivo General
Identificar los diversos medios de seguridad en el comercio electrónico (E-
Commerce) actuales, para facilitar o proponer una mayor seguridad y
confiabilidad empleando uno o más dispositivos en el envío y recepción de
información.
Objetivos específicos
Identificar los distintos medios de seguridad actuales en el comercio
electrónico
Analizar ventajas y desventajas
Identificar cuáles son los problemas o fraudes más comunes en el
comercio electrónico
Identificar los diversos medios criptográficos implementados en el
comercio electrónico para conocer su uso.
Identificar un medio de seguridad electrónico que cumpla con diversos
requisitos de seguridad.
7
Antecedentes del tema
En los últimos años el mundo empresarial ha experimentado algunos cambios
importantes en cuanto a procesos comerciales y organización de las mismas.
Las oportunidades de empresas y consumidores han ido en aumento gracias a
las posibilidades de comerciar que ofrece Internet, concepto que actualmente
se denomina comercio electrónico o e-commerce.
El comercio es una actividad tan antigua como el hombre mismo y se
fundamenta en el intercambio de productos o servicios de valor equivalente.
Hoy en día el comercio sigue siendo una actividad importante por lo que se han
buscado nuevas y mejores formas de hacer eficaz esta actividad, a través del
uso de las telecomunicaciones en conjunto con las computadoras, que vienen a
dar un aspecto revolucionario a la actividad comercial tradicional, por lo que se
dice que vivimos en una época en la cual la actividad comercial ha dejado de
ser una actividad tradicional y local, para pasar a ser una actividad electrónica y
global.
“El origen del comercio electrónico se dio en los años 70’s con la introducción
de las transferencias electrónicas de fondos (Electronic Funds Transfer – EFT)
entre los bancos para el mejor aprovechamiento de los recursos
computacionales que existen en la época. Mediante redes privadas y seguras,
se optimizaron los pagos electrónicos. Se incluyeron servicios como puntos de
venta (Points Of Sales – POS) en tiendas y almacenes para pagos con tarjetas
de débito y pagos de la nómina a los empleados de las empresas utilizando
cheques en sustitución de efectivo”.1
Estos nuevos medios de ventas son el auge actual, y esto se debe a los
diversos sistemas distribuidos que hoy en día se aplican en nuestra vida
cotidiana, desde el cajero automático donde retiramos dinero, hasta en el
momento de realizar una recarga en nuestro celular.
La utilización de instrumentos electrónicos de comunicación como el teléfono, o
el fax para facilitar las negociaciones comerciales, ha sido la precursora del
actual comercio electrónico que se realiza en Internet. Otras formas de
1 KABA 2006
8
comunicación como el correo electrónico, las páginas Web con catálogos de
productos y tiendas virtuales, la telefonía a través de la red, el mercadeo en
línea y, más recientemente, la firma digital de contratos con valor legal han
revolucionado las formas de vender y comprar.
Existen diversas formas de realizar las negociaciones que se han adoptado
desde los inicios de ésta nueva modalidad electrónica. Se pueden encontrar en
Internet aplicaciones donde se han seguido ciertas pautas existentes en las
formas más tradicionales del comercio.
El e-commerce consiste en realizar electrónicamente transacciones comerciales. Está basado
en el tratamiento y transmisión electrónica de datos, incluidos texto, imágenes y video. El
comercio electrónico comprende actividades muy diversas: como comercio electrónico de
bienes y servicios, suministro en línea de contenidos digitales, transferencia electrónica de
fondos, compra-venta electrónica de acciones, conocimientos de embarque electrónicos,
subastas, diseños y proyectos conjuntos, prestación de servicios en línea (online-sourcing),
contratación pública, comercialización directa al consumidor y servicios de pos-venta.
Planteamiento del problema
9
Una de las plataformas más impactantes hoy en día es el comercio electrónico
y así, como una de las tecnologías más sobresalientes de nuestros tiempos es
el motivo de mayor desgaste para las personas mal intencionadas para poder
cometer diversos fraudes. Los cuáles podrían ser significativos para un usuario,
que podrían ser víctimas de fraudes, clonación de tarjetas bancarias,
suplantación de identidad y uso de información personal con fines de
mercadeo. Cabe señalar que estos fraudes son muy difíciles de identificar al
momento de ser realizados, debido a los diferentes medios con que los hackers
cuentan para realizar dichos fraudes.
La seguridad es un punto medular para el comercio electrónico. Por un lado
ambas partes (consumidor y proveedor) deben estar seguros de que el otro es
quien dice ser, pues de lo contrario, en el momento de un desacuerdo no
sabrán con quién deban solucionarlo.
Justificación
10
La falta de confianza de las personas en la utilización del comercio electrónico,
por el temor a un fraude, conlleva a la formulación de una propuesta de
aspectos técnicos que nos ayuden a tener una conciencia de las tecnologías
usadas en el comercio electrónico.
Debido a las diversas tecnologías que hoy en día son aplicadas y a la
desconfianza de las personas que son expuestos a los diferentes tipos de
ataques en el comercio electrónico, así como a los delitos y fraudes en la
misma. Por esto, existen varios servicios y mecanismos de seguridad, tal es el
caso de la criptografía y sus técnicas, también las diferentes formas de
autentificación, todo esto para resguardar la seguridad de los sistemas de
información.
Se realizó el presente trabajo para dar un panorama general a los usuarios del
comercio electrónico que no conozcan sobre el tema y poder tener una mayor
confianza al momento de aplicar este medio de compra/venta.
Es importante conocer los sistemas de seguridad utilizados en el comercio
electrónico ya que brinda una mayor confianza al momento de adquirir algún
bien material o servicio a través del comercio electrónico.
Alcances y limitaciones
Alcances
11
Identificar los diferentes medios de seguridad en el comercio electrónico y
mostrar los diversos tipos criptográficos existentes como medio lógico de
seguridad, así como también combinar los medios de seguridad ya
mencionados con medios físicos.
Limitaciones
Una de las principales limitantes es la diversidad de software existente acerca
de comercio electrónico y debido a que no se cuenta con una normalización
que sea implícita como requerimiento para realizar el comercio electrónico.
No se realizará ningún tipo de método criptográfico y tampoco llevaremos una
implementación con base a lo expuesto en la monografía debido al poco tiempo
con el que se cuenta para realizar este trabajo.
CAPITULO II
12
Marco teórico
Definición del comercio electrónico
La actividad comercial es una de las más antiguas desde que el hombre
"inventó" las relaciones económicas y surgió como consecuencia de la
necesidad de proveerse de bienes y de vender excedentes. En la actualidad la
complejidad de éste término no sólo radica en la vasta variedad de productos,
mercados, y modelos de negocios; sino que también su actividad ha sido
adoptada como una tarea cotidiana y un hábito fuertemente relacionado con las
Tecnologías de Información (TI) y las herramientas provistas por los servicios
de la World Wide Web y la red mundial: La Internet.
El aumento en el uso de la Internet a nivel mundial ha propiciado el surgimiento
de una nueva dimensión en las comunicaciones y el comercio. Una de las
principales causas de este desarrollo se debe al Comercio Electrónico.
Debemos tener en cuenta que el Comercio Electrónico está provocando serias
transformaciones en el mercado, en los procesos, en las empresas y sobre
todo en los consumidores.
Ahora bien, el comercio electrónico se puede entender como cualquier forma
de transacción comercial en la cual las partes involucradas interactúan de
manera electrónica en lugar de hacerlo de una forma tradicional con
intercambios físicos o trato físico directo.
Como se ha mencionando, el comercio electrónico es una metodología para el
cambio, por lo tanto no hay que verlo simplemente como algo que se agrega a
la manera común de hacer negocios, porque entonces los beneficios serán
limitados.
Características del comercio electrónico
13
Dentro de las características principales del comercio electrónico podemos
mencionar la difusión, publicación y comercialización de un producto o servicio,
el cual se realiza:
A distancia,
Con un mínimo manejo y/o traslado de documentos
Menor o nula intervención del personal de la empresa
Alto grado de automatización, e implica una redefinición dentro de la
empresa.
Estratégicamente,
En el proceso de negocio, y
En el desarrollo de tecnología
Las primeras cuatro características muestran como la tecnología avanzada
desarrolla soluciones para la automatización del proceso comercial, entre las
aplicaciones destacadas podemos mencionar los siguientes modelos de
negocio del comercio electrónico: Tienda Virtual, MarketPlace y Sistemas de
Proveedor/Distribuidor, cada uno correspondiente a algún paradigma de
e−commerce existentes.
En la redefinición de una estrategia en el proceso comercial se necesita una
nueva metodología para hacer negocios aprovechando la tecnología, que
detecte las necesidades de las empresas, comerciantes y consumidores de
reducir costos, así como mejorar la calidad de los bienes y servicios, además
de optimizar el tiempo de entrega de los bienes o servicios y aun aumentar el
nivel de satisfacción de los clientes.
Actualmente la manera de comerciar se caracteriza por el mejoramiento
constante en los procesos de abastecimiento, y como respuesta a ello los
negocios en el ámbito mundial están cambiando tanto su organización como
sus operaciones. Lo que se transforma en una nueva economía que se
caracteriza por:
no tener límites geográficos
14
una cultura de autoservicio
consumidores con poder adquisitivo
nuevos competidores
nueva estructura de comercialización y
nuevos modelos de negocio
No es motivo para dejar de mantener algunas reglas básicas del comercio
electrónico, para seguir teniendo una buena calidad en este servicio:
prestigio
calidad de los productos
calidad del servicio
publicidad y mercadotecnia
confort
Tipos de comercio electrónico
Las empresas, organizaciones públicas y clientes pueden participar en el
entorno del contexto situacional y comercio electrónico. Las aplicaciones del
comercio electrónico pueden ser clasificadas en cuatro categorías:
1. Comercio electrónico de las Empresas a los Clientes
2. Comercio electrónico de los Clientes/Ciudadanos a las Instituciones
Gubernamentales.
3. Comercio electrónico de las Empresas a las Instituciones Gubernamentales.
4. Comercio electrónico de las Empresas a las Empresas.
Modelos básicos de comercio electrónico
a) Tiendas electrónicas
15
Inicialmente fueron creadas con el fin de presentar a la empresa y sus
productos. En etapas posteriores las tiendas electrónicas ofrecieron la
posibilidad de pedido y pago. Los beneficios de la empresa incluyen el
incremento de demanda, la presencia mundial con bajo costo, la reducción de
los gastos de promoción y ventas. Los beneficios para el consumidor son los
precios más bajos, más oportunidades, mejor información, comodidad en la
elección y el pedido, y distribución de los productos a la casa o a la oficina del
cliente.
b) Abastecimiento electrónico
La oferta y abastecimiento electrónico de mercancías y servicios es un servicio
útil para las grandes empresas y las Autoridades Públicas. Sus beneficios
incluyen más posibilidad de elección de mercancías (y a más bajo c), mejor
calidad, mejor en la forma de entrega, y disminución en los costos de comisión.
Los beneficios para los abastecedores son la mayor oportunidad de propuesta
de ofertas (a escala mundial), así como los costos más bajos de propuesta de
oferta.
c) Subasta electrónica
La subasta electrónica es la forma vía Internet de subastas. El proceso se
realiza vía Internet, los contactos, el pago y la entrega. Los beneficios para los
abastecedores y los compradores han incrementado el rendimiento y ahorro de
tiempo, la presencia física no es necesaria, y hay contactos en el mundo
entero.
d) Centros Comerciales Electrónicos
16
El Centro Comercial Electrónico es un conjunto de tiendas electrónicas, donde
se aplica un método común de pago y todas las tiendas están bajo un
“paraguas” (nombre) común. Los beneficios para los miembros de un centro
comercial electrónico son los bajos costos y los procesos de importación
menos complicados en la Web mundial, las especiales posibilidades (por
ejemplo, pagos electrónicos), más tráfico. Las ventajas de los clientes son; el
fácil acceso a otras tiendas electrónicas, el medio común de uso (así como
servicios adicionales de valor añadido). Además, los beneficios para el
administrador del centro comercial electrónico son los espacios de anuncios, la
promoción de marcas, el incremento de ventas de tecnologías de apoyo (ej.
IBM con el World Avenue), beneficios resultantes de servicios (ej. Barclays con
Barclay Square). Los ingresos incluyen subscripción de miembros, publicidad y
también cuotas de transacciones.
e) Comunidades Virtuales
El valor absoluto de las “comunidades virtuales” proviene de sus miembros
(clientes y colaboradores) que añaden su información en el entorno básico de
comunicación provista por el servicio. Las “comunidades virtuales” son
importantes para la proyección y la promoción de productos y servicios,
fortalecimiento de la fidelidad de los clientes y por ello, animan a los clientes a
expresar sus opiniones. El beneficio viene de las subscripciones de miembros y
de la publicidad. Esto constituye un valor añadido para la promoción de los
servicios ya existentes, así como para la creación de nuevos servicios.
Ejemplos: Amazon.com, Apparelex.com, Indconnect.com/steel/web
f) Servicios de Abastecimiento
17
Están especializados en una operación concreta de la cadena de producción
de la empresa (cadena VALOR), ejemplos: pagos electrónicos, asuntos
administrativos, con el fin de convertirlo en ventaja.
Ejemplos: FedEx, UPS
g) Explotación de Información y otros servicios
Estos servicios añaden valor al enorme volumen de datos que se vende en las
redes de trabajo abiertas. A menudo se trata de actividades empresariales,
tales como búsqueda de información (ejemplo. Yahoo), creación de perfiles de
clientes, ocasiones empresariales en el mercado, consejos de inversión, etc.
h) Pedidos en tercera persona
Modelo válido para aquellas empresas que deseen asignar su presencia
empresarial en Internet a una tercera institución (como una forma adicional de
comunicación y acción empresarial). En los “mercados en tercera persona” se
añaden nuevas posibilidades, como la creación de “nombre distintivo” (marca),
los pagos, los asuntos administrativos, los pedidos y una completa gama de
transacciones seguras. Este modelo interesa principalmente a los bancos y
proveedores de servicios de Internet (ISP). El beneficio viene de la subscripción
de los miembros, los pagos de servicios y transacciones o los porcentajes en el
valor de las transacciones.
Ejemplos: Citius, Trade Zone, FedEx.
18
Ventajas del comercio electrónico
Las tiendas electrónicas están abiertas 24 horas al día. En otras
palabras, cuando quieras puedes comprar un CD, un boleto de avión, o
incluso diferentes materiales para la construcción.
El costo de los productos vendidos a través de Internet es generalmente
bastante menor que los precios que se pueden encontrar en el mercado,
ya que una tienda electrónica es libre de costos que una tienda real
debe soportar (alquiler, electricidad, agua, etc.) y generalmente requiere
menos personal.
El comercio electrónico se está extendiendo globalmente. En otras
palabras, a través del ordenador puedes comprar algo que no puedes
encontrar en Grecia.
La transacción es rápida y directa. Puedes recibir el producto que has
pedido en 3-4 días.
Cualquiera puede encontrar lo que quiera, sin importar lo que necesite y
sin perder el tiempo. En otras palabras, simple y fácilmente comprando
desde la casa u oficina.
Desventajas del comercio electrónico
Falta de seguridad, estandarización, fiabilidad. Habitualmente la
seguridad es difícil en la Internet. Por otro lado, el mundo confía en la
red cuando puede ser comprobada y viable. Por ejemplo, utilizamos la
red de Instrumentos de Transacciones Automáticas es decir los bancos,
y confiamos en ellos, nuestras transacciones diarias.
La red se enfrenta a serios problemas de circulación y falta de
suficiencia en el transporte de datos, debido al rápido crecimiento de
usuarios conectados. La red de tecnologías se desarrolla rápidamente,
pero la necesidad de mayor amplitud en cobertura y consecuentemente
a la velocidad en las conexiones, se han ido incrementando a un ritmo
todavía muy lento.
19
Mucha gente se resiste a cambiar y no están acostumbrados a las
transacciones impersonales sin la existencia de documentos.
Criptografía
La palabra criptografía proviene en un sentido etimológico del griego
Kriptos=ocultar, Graphos=escritura, lo que significaría ocultar la escritura, o en
un sentido más amplio sería aplicar alguna técnica para hacer ininteligible un
mensaje.
La criptografía es una herramienta muy útil cuando se desea tener seguridad
informática; puede ser también entendida como un medio para garantizar las
propiedades de confidencialidad, integridad y disponibilidad de los recursos de
un sistema.
Con la criptografía se puede garantizar las propiedades de integridad y
confidencialidad, pero hay que saber cómo utilizarla, para ello es importante
tener claros los conceptos básicos que están detrás de los sistemas
criptográficos modernos. Estos conceptos van desde entender qué es la
criptografía, cómo está clasificada, entender el funcionamiento básico de
algunos sistemas de cifrado y conocer cómo se forman los documentos
digitales como firmas y sobres digitales.
En su clasificación dentro de las ciencias, la criptografía proviene de una rama
de las matemáticas, que fue iniciada por el matemático Claude Elwood
Shannon en 1948, denominada: “Teoría de la Información”. Esta rama de las
ciencias se divide en: “Teoría de Códigos” y en “Criptología”. Y a su vez la
Criptología se divide en Criptoanálisis y Criptografía, como se muestra en la
siguiente figura:
20
Figura 1. Origen de la Criptografía
En un sentido más amplio, la Criptografía es la ciencia encargada de diseñar
funciones o dispositivos, capaces de transformar mensajes legibles o en claro a
mensajes cifrados de tal manera que ésta transformación (cifrar) y su
transformación inversa (descifrar) sólo pueden ser factibles con el conocimiento
de una o más llaves.
En contraparte, el criptoanálisis es la ciencia que estudia los métodos que se
utilizan para, a partir de uno o varios mensajes cifrados, recuperar los
mensajes en claro en ausencia de la(s) llave(s) y/o encontrar la llave o llaves
con las que fueron cifrados dichos mensajes.
21
La escítala
En siglo V a.c. los lacedemonios, un antiguo pueblo griego, usaban el método
de la escítala para cifrar sus mensajes. El sistema consistía en una cinta que
se enrollaba en un bastón sobre el cual se escribía el mensaje en forma
longitudinal, como se muestra en la siguiente figura:
Figura 2.Escítala
Una vez escrito el mensaje, la cinta se desenrollaba y era entregada al
mensajero. Para enmascarar completamente la escritura es obvio que la cinta
en cuestión debe tener caracteres en todo su contorno. Como es de esperar, la
llave del sistema residía precisamente en el diámetro de aquel bastón, de
forma que solamente el receptor autorizado tenía una copia exacta del mismo
bastón en el que enrollaba el mensaje recibido y, por tanto, podía leer el texto
en claro.
El cifrado César
En el siglo I a.c. aparece un método de cifrado conocido con el nombre
genérico de cifrado de César en honor al emperador Julio César y en el que ya
se aplica una transformación al texto en claro de tipo mono alfabética. El
cifrado del César aplica un desplazamiento constante de tres caracteres al
texto en claro, de forma que el alfabeto de cifrado es el mismo que el alfabeto
del texto en claro, pero desplazado 3 espacios hacia la derecha módulo n, con
n el número de letras del mismo.
A continuación se muestra el alfabeto y la transformación que realiza este
cifrador por sustitución de caracteres para el alfabeto castellano de 27 letras.
22
Figura 3 Alfabeto
Así con este alfabeto podemos cifrar el siguiente mensaje:
Mensaje original: MENSAJE DE PRUEBA
Mensaje cifrado: OHPVDM GH SUXHED
Al describir el cifrado de César se utilizó un concepto muy usado en las
matemáticas y más en criptografía: el módulo
El módulo es una operación binaria que se realiza en los enteros positivos y se
representa de la siguiente forma: c = a mod b de tal forma que a, b y c son
enteros positivos. El valor de c al realizar la operación c = a modulo b es igual
al residuo de dividir a entre b. Se puede observar claramente que 0 <= c < b.
Con este antecedente podemos escribir en forma matemática el cifrado de
César de la siguiente forma:
Para cifrar
Ci = (3 + Mi) mod 27
Con i= 0,1,…,n ; n = número de letras del mensaje
Donde Ci es la letra cifrada y Mi es la letra a cifrar
El alfabeto comienza con A = 0 , B=1, …, Z=26
Para descifrar
Mi = (Ci - 3) mod 27 = (Ci + 24) mod 27
Con i= 0,1,…,n ; n = número de letras del mensaje
Donde Ci es la letra cifrada y Mi es la letra a cifrar
El alfabeto comienza con A = 0 , B=1, …, Z=26
23
Seguridad
La necesidad de Seguridad de la Información en una organización ha cambiado
en las últimas décadas. Antes del uso de las computadoras, la Seguridad de la
Información era proporcionada por medios físicos, por ejemplo el uso de cajas
fuertes y por medidas administrativas, como los procedimientos de clasificación
de documentos.
Con el uso de la computadora, y más aún con la llegada de Internet, fue
indispensable el uso de herramientas automatizadas para la protección de
archivos y otro tipo de información almacenada en la computadora, algunas de
estas herramientas son los cortafuegos, los Sistemas Detectores de Intrusos y
el uso de sistemas criptográficos. Estas herramientas no sólo permiten proteger
a la información, sino también a los Sistemas Informáticos que son los
encargados de administrar la información.
De la necesidad por proteger a la información y a los sistemas que la
administran surge el término de seguridad informática.
En este punto hay que hacer una breve pausa para aclarar el hecho de que
actualmente los términos de seguridad, “seguridad de la información” y de
“seguridad informática” han sido empleados de diversas maneras y se les han
dado diversos significados de acuerdo al contexto. Los siguientes párrafos son
definiciones que tratan de ilustrar uno de los significados más comunes a cada
término.
a) Seguridad
De acuerdo con el diccionario de la Real Academia Española, seguridad es:
Cualidad de seguro.
Dicho de un mecanismo: Que asegura algún buen funcionamiento,
precaviendo que este falle, se frustre o se violente.
24
b) Seguridad de la Información
Se puede hablar de la Seguridad de la Información como el conjunto de reglas,
planes y acciones que permiten asegurar la información manteniendo las
propiedades de confidencialidad, integridad y disponibilidad de la misma.
La confidencialidad es que la información sea accesible sólo para
aquéllos que están autorizados.
La integridad es que la información sólo puede ser creada y modificada
por quien esté autorizado a hacerlo.
La disponibilidad es que la información debe ser accesible para su
consulta o modificación cuando se requiera.
c) Seguridad Informática
Conjunto de políticas y mecanismos que nos permiten garantizar la
confidencialidad, la integridad y la disponibilidad de los recursos de un sistema
(entiéndase recursos de un sistema como memoria de procesamiento, espacio
de almacenamiento en algún medio físico, tiempo de procesamiento, ancho de
banda y por su puesto la información contenida en el sistema).
25
CAPITULO III
Desarrollo del proyecto
La seguridad en el comercio electrónico
El transmitir información a través de medios informáticos implica innumerables
riesgos. La situación actual de desarrollo, computacional y de redes de
información, ha puesto de manifiesto la importancia de detectar, prevenir y
detener las violaciones a la seguridad informática.
Los usuarios deben conocer los ataques que rondan la red, para tomar las
medidas de seguridad pertinentes y, prevenir así, que su computadora o el
sistema de computadoras de su empresa se vea afectado. Las violaciones de
seguridad pueden tener diversos efectos, desde la inoperatividad del sistema
hasta la pérdida de reputación de una empresa. Esta peligrosa realidad tiene
importantes efectos técnicos y jurídicos. La búsqueda de responsables, será
tema de discusión en varios escenarios, sin embargo, la pesquisa que debe
primar es la difusión de la condición de inseguridad, con el objetivo de crear
conciencia.
La necesidad de satisfacer necesidades, primarias o no, desembocó en el
intercambio de mercaderías; lo cual es en esencia un acto de comercio. Por su
puesto, las normas no se hicieron esperar. Ahora bien, el acto o la operación
de comercio, es considerado una actividad especializada, definida
expresamente por el legislador.
Así la adquisición de bienes a título oneroso con destino a enajenarlos o a
arrendarlos, el recibo de dinero en mutuo, la intervención como asociado en la
constitución de sociedades comerciales, las operaciones bancarias, etc., son
entre otras actividades, actos u operaciones de comercio. El sujeto del
26
comercio es el comerciante, quien de acuerdo con nuestra legislación es
aquella persona que profesionalmente se ocupa de alguna de las actividades
que la misma ley considera como mercantiles.
El comercio siempre ha tendido hacia la internacionalización, que no es otra
cosa que el uso de prácticas comunes entre comerciantes nacionales y
extranjeros. El comercio electrónico no ha sido ajeno a estas características,
por el contrario es un fiel ejemplo de su aplicabilidad teórica y práctica.
Hoy en día, esta concepción está siendo revalidada, básicamente, por las
diferentes opciones que ofrece el mercado, en particular, por el comercio
electrónico.
Las computadoras han tenido un constante desarrollo desde sus inicios. Bill
Gates y Paul Allen fundaron MICROSOFT en 1975. La empresa se dedicaba a
la fabricación de sistemas operativos - software -. Un año después, se terminó
de construir el APPLE I, por uno de los ingenieros de Hewlett Packard, quien
fundaría APPLE COMPUTER. Otro importante avance en los sistemas
operativos, que terminó con las maquinas de escribir, fueron los procesadores
de palabras, que salieron al mercado en el siguiente orden: WORDSTAR,
WORDPERFECT, WORD.
Los sistemas operativos han sido desarrollados para ofrecer sistemas íntegros
y ágiles, tecnológicamente hablando, facilitando la labor del usuario. A pesar de
las grandes ventajas que ofrecen los sistemas operativos, la inseguridad en las
redes de información, ha generado desconfianza en el sistema, sin embargo,
ha generado conciencia en los empresarios que desarrollan los sistemas
operativos; la búsqueda se concentra cada vez más en el desarrollo de
sistemas seguros.
La inseguridad constituye, indiscutiblemente, en muro de contención para el
progreso del comercio electrónico. De esta suerte, las transacciones no
presenciales, han tenido una evolución lenta, contrario a lo que se esperaba,
toda vez que no existe en el usuario común un sentimiento de seguridad y
confianza en los sistemas operativos. Esta forma de pensar, debe disiparse y,
27
por el contrario propagar el conocimiento de la seguridad en los medios
electrónicos; el mecanismo más adecuado para difundir el sentimiento de
confianza, es sin duda, la transmisión de la información y del conocimiento, ya
que si bien es cierto que la inseguridad está presente, así mismo existen
mecanismos para contrarrestarla, el obstáculo es que no se conocen estos
mecanismos.
El siguiente extracto del artículo, Inseguridad en la Red Aumentará
Intervención de Gobiernos, publicado por la página web
http://www.delitosinformaticos.com, es una clara muestra del impacto de la
inseguridad en el comercio electrónico:
La falta de seguridad en Internet dominará el debate y aumentará la intervención de gobiernos en
la red de redes" en los próximos años, ante la nula privacidad a de los usuarios, cuyos datos
personales están al alcance de cualquiera. Expertos de firmas especializadas consideraron que
la actual falta de privacidad de los cibernautas, que amenaza incluso su seguridad, ha originado
una creciente preocupación y podría causar pérdidas millonarias a las empresas dedicadas al
comercio electrónico. De acuerdo con una encuesta de la firma de investigación de mercados
Forrester Research, 65 por ciento de más de 10 mil consumidores consultados se mostraron
"muy preocupados" o extremadamente preocupados" sobe su privacidad al navegar en Internet.
Esta falta de confianza causó que en 1999 los consumidores en línea de Estados Unidos se
abstuvieran de hacer negocios por unos cuatro mil doscientos millones de dólares y que 54 por
ciento de las empresas disminuyeran o frenaran completamente su comercio electrónico. La
encuesta mostró que mientras más aumenta la popularidad de Internet, los usuarios se muestran
más temerosos de la seguridad de los datos que proporcionan a los sitios que visitan. Cada vez
que alguien se conecta a la red, es vulnerable de compartir sus datos con firmas que buscan
información con fines comerciales o con verdaderos delincuentes que pretenden por ejemplo
apropiarse de números de tarjetas de crédito.
La red puede definirse como la conexión de computadoras para compartir
recursos e intercambiar información. Una red de ordenadores permite que los
nodos puedan comunicarse uno con otro. Los «nodos» son hardware como por
ejemplo impresoras, fax, sistemas operativos etc.
Un conjunto de computadoras unidas entre sí que cumplen tres funciones
principales:
Permitir que se puedan enviar mensajes desde una computadora hacia otro
ubicado en cualquier lugar del mundo.
28
Almacenar archivos para que puedan ser leídos por una persona en otro lugar del
mundo.
Permitir que los usuarios se puedan conectar con computadores ubicados en sitios
remotos, tal y como si estuviesen en el mismo lugar.
Internet, es sin duda, la red de redes, que permite comunicación en tiempo real,
intercambio de información, celebración de contratos, almacenamiento de
datos, entre otros. Es una herramienta inherente al comercio electrónico. Se
podría decir que el comercio electrónico debe entenderse como toda forma de
transacción comercial (compra - venta, pago - cobro) a través de medios
electrónicos.
Gráficamente el comercio electrónico se desarrolla de la siguiente manera:
Fuente: Diseño Universidad Tecnológica Equinoccial
Los usuarios, potenciales compradores, se conectan a la red Internet desde su
computadora, para lo cual necesitan de un tercero que provea el servicio de
conexión de redes, a través de servidores. Una vez en línea, a través de los
buscadores acceden a la página web que quieren, encuentran el vendedor que
ofrece los servicios o productos deseados a través de la llamada Intranet y,
finalmente se intercambian mensajes de datos para concretar el acuerdo.
Las expectativas con relación al comercio electrónico son muy grandes.
Justamente, el beneficio de este medio es inobjetable, pero se requiere la
implementación de medidas y mecanismos de seguridad - técnico jurídicos -
que faciliten y hagan posible lo conectividad mundial a través de medios
electrónicos.
29
La posibilidad de transmitir digitalmente de manera descentralizada, el desarrollo
de Internet a finales de los años sesenta y el perfeccionamiento de sus servicios desde la
aparición de la red de redes en los años ochenta, se constituyeron en los pilares básicos
para el despegue del comercio electrónico. En la actualidad el desarrollo del comercio
electrónico a nivel mundial es un hecho innegable e irreversible. No sólo es así, sino que
se prevé, seguirá en crecimiento en los próximos años generando grandes ingresos a
través de la red, el cual innegablemente causa un impacto sobre la actividad económica,
social y jurídica en donde éstas tienen lugar.
A pesar de no haber madurado aún, el comercio electrónico crece a gran velocidad e
incorpora nuevos logros dentro del ciclo de producción. A nivel general, todo parece indicar
que este nuevo medio de intercambio de información, al eliminar las barreras y permitir un
contacto en tiempo real entre consumidores y vendedores, producirá mayor eficiencia en el
ciclo de producción aparejado a un sinnúmero de beneficios como la reducción de costos,
eliminación de intermediarios en la cadena de comercialización, etc. trayendo importantes
e invaluables beneficios a los empresarios que estén dotados de estas herramientas.2
El crecimiento del comercio electrónico es una realidad, y los usuarios crecen
exponencialmente. Ahora bien, sin perjuicio del auge del Internet, el comercio
electrónico, entendido como la negociación de mercaderías a través de medios
electrónicos, no ha tenido el impacto que se esperaba, como quedó antedicho,
por razones de inseguridad.
Ahora bien, es inminente la necesidad de implementación de medios
tecnológicos seguros que faciliten el intercambio de bienes y servicios a través
de la red Internet. Un Software que haga posible la comunicación y, medios de
pago que permitan el intercambio de recursos.
Es claro que la inseguridad es sin duda alguna el gran obstáculo para el
desarrollo del comercio en las redes de información. La pregunta inmediata es:
¿cómo superar el elemento presencial y la formalidad escrita para brindar
seguridad a las transacciones electrónicas? La seguridad en todos los
ámbitos, gubernamental, empresarial, familiar etc., es un aspecto complejo y de
difícil solución.
2 Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000. Magistrado Ponente: Dr. Fabio Morón Díaz. Expediente: D-2693.
30
Objetivamente cualquier sujeto con acceso a la red es un potencial agresor, los
delincuentes se infiltran cómo un usuario común y su ubicación, es difícil de
detectar. Sin perjuicio de analizar más adelante los mecanismos de seguridad,
puede decirse que ésta, tiene dos áreas de acción - lógica y física -. La primera
consiste en implementar mecanismos a nivel hardware y software, que impidan
la entrada ilegal de usuarios a las redes tecnologías de la información (IT) de la
empresa. Estos dispositivos deben ser implementados luego de un análisis de
vulnerabilidad de la compañía. La segunda consiste en garantizar la integridad
de los centros de cómputo, ante cualquier riesgo, como por ejemplo
movimientos telúricos, incendios, sobrecargas de energía etc. La complejidad
de la seguridad tiene un sin número de explicaciones entre las cuales puede
mencionarse: - el tiempo que demanda realizar una efectiva protección de
dichas actividades; - los costos de operación en sistemas seguros; - la
vulnerabilidad de los sistemas de seguridad más comunes y económicos. Sin
embargo, implementar medidas preventivas siempre será menos costoso que
reparar los daños.
La seguridad se ha convertido hoy en día en un elemento imprescindible para
el desarrollo positivo de las redes de información. Las transacciones de nivel
mundial por medios informáticos - comercio electrónico - dependen en gran
medida en que potencializan los mecanismos de seguridad.
La seguridad se traduce en confianza. Los usuarios quieren confidencialidad en
la transmisión electrónica de sus mensajes de datos - que de lograrse -
incrementará el comercio a través de medios electrónicos, representando un
valor agregado muy importante para las economías mundiales.
Ahora bien, ¿qué ventajas puede generar la seguridad?. A continuación se
mencionan las ventajas según la Universidad Tecnológica Equinoccial Centro
de Excelencia Investigación y Transferencia de Tecnología quienes hacen
una compilación de las ventajas:
Desaparecer los límites geográficos para los negocios en general.
31
Estar disponibles las 24 horas del día.
Reducción de un porcentaje importante en los costos de la transacción.
Se facilita la labor de los negocios entre empresario y cliente.
Reducción considerable de inventarios.
Agiliza las operaciones del negocio.
Proporcionar nuevos medios para encontrar y servir a los clientes.
Incorporar estrategias de nivel internacional para optimizar las relaciones
empresa - cliente.
Reducir el tamaño del personal y consecuentemente los costos de
nómina.
Reducción de costos de publicidad, generando mayor competitividad.
Cercanía a los clientes y mayor interactividad y personalización de la
oferta.
Desarrollo de ventas electrónicas.
Globalización y acceso a mercados potenciales de millones de clientes.
Implantar tácticas en la venta de productos para crear fidelidad en los
clientes.
Bajo riesgo de inversión.
Rápida actualización en información de productos y servicios de la
empresa (promociones, ofertas, etc.).
Los riesgos en el comercio electrónico
Por riesgo se entiende la contingencia de un daño, o sea, la posibilidad de que al obra se
produzca un daño, lo cual significa que el riesgo envuelve una noción de potencialidad
referida esencialmente al daño, elemento éste que estructura todo el derecho de la
responsabilidad y le otorga a la teoría que lleva su nombre un contenido esencialmente
objetivo en el análisis de los hechos y las conductas que traen como consecuencia un
perjuicio.3
“La idea de riesgo se presenta entonces sustitutiva de la idea de culpa como
fundamento de la responsabilidad civil, lo cual implica el desconocimiento total del
3 SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de Colombia. 2002. P. 180 y 181.
32
dogma milenario heredado del derecho romano, según el cual no hay
responsabilidad sin culpa comprobada”, en el que se basa toda la teoría tradicional
de la responsabilidad y donde el elemento culpa se constituye en presupuesto de
existencia de la obligación de indemnizar”4
Con esta introducción, debe preguntarse ¿dónde se ubica el riesgo en materia
de comercio electrónico?
En materia de intercambio de bienes por medios telemáticos, no existe una
regulación expresa con relación al sujeto que debe soportar el riesgo.
Las entidades que certifican el intercambio de mensajes de datos, deben
responder por los perjuicios que el desarrollo de la actividad genere.
Responsabilidad que se encuentra garantizada a través de compañías
aseguradoras.
En la práctica los contratos que celebran los establecimientos de comercio con
los emisores de tarjetas de crédito, contienen cláusulas redactadas de forma
tal, que los perjuicios que se causen con ocasión de la actividad negocial por la
red Internet, recaen exclusivamente en el comerciante, salvo que el perjuicio se
haya causado como consecuencia de la culpa grave o leve del profesional que
presta el servicio.
Así por ejemplo, los contratos que celebra VISA - Reglamento del Servicio
Electrónico de Pagos -, establecen en la cláusula vigésima quinta se la
responsabilidad del banco en los siguientes términos:
El Banco se obliga a responder ante el cliente por las fallas, deficiencias,
incumplimientos o demoras en que incurra, en la verificación de los datos y
documentos suministrados o en la realización de las operaciones autorizadas u
ordenadas siempre que se determine que tales circunstancias son imputables a
ella.
La causa del perjuicio es difícil de probar, los riesgos son muchos y la
inseguridad siempre es asumida por el usuario, el Banco, como se observó,
sólo responde por conductas negligentes derivadas de su labor pero no por los
4 SARMIENTO. GARCIA. Ibid. p. 182.
33
perjuicios derivados de la inseguridad – alteración, modificación, uso
fraudulento etc.
Se deben forjar en el ámbito de las transacciones por medios electrónicos,
normas claras y equitativas, en cuanto a la asunción de riesgos
¿A qué riesgo está expuesto al conectarse a la red Internet?
Para repeler un ataque hay que conocer al enemigo, razón por la cual, resulta
de vital importancia introducir los riesgos a que está expuesto el comercio
electrónico y, presentar así los mecanismos que los contrarresten.
Cuando usted entra a un sistema conectado a Internet, se están corriendo
varios riesgos, entre los cuales pueden mencionarse los siguientes:
1. Se crean vías de acceso para los miles de virus que se encuentran en la red.
2. Cuando un virus penetra un sistema puede afectar todos los archivos de las
unidades de disco duros y programas en general, dañándolos y afectando su
funcionamiento, lo que genera pérdida de tiempo, de dinero y en el peor de los
casos el daño total del equipo.
3. La información que se almacena en el computador, también se ve expuesta
y puede llegar a ser conocida, borrada o modificada.
4. Para una empresa puede significar la pérdida de reputación, de miles o
millones de pesos, o la parálisis de actividades, pérdida de información
confidencial.
Las amenazas a la seguridad digital pueden ser de diversa índole, sin
embargo, pueden agruparse en tres categorías5:
Ataques de red: son aquellos que se efectúan a través de la red
Internet. Ocasionan un lento desempeño en el sistema operativo de
cada uno de los computadores de la empresa, afectan el correo
electrónico y las redes internas, sin que necesariamente se afecten o
5 Las tres categorías que se mencionan son expuestas por Robert D. Austin y Crhristopher A.R. Darby en el artículo EL MITO DE LOS SISTEMAS DE IT SEGUROS. Harvard Business Review. Junio de 2003.
34
dañen los sistemas operativos. Un ejemplo de este tipo de ataques es el
DOS -Denial of Service -, que consiste en remitir una gran cantidad de
correos electrónicos que producen el agotamiento de los sistemas. “En
febrero de 2000, los ataque DOS que se dirigieron contra blancos de alto
perfil tales como Yahoo, eBay, CNN y el FBI, causaron daños por más
de US$100 millones”6.
Las infiltraciones: se dirigen al interior de los sistemas operativos, el
modus operandi consiste en descifrar las contraseñas de los usuarios
para acceder al escritorio del computador, donde se podrá acceder a
cualquier sistema operativo e inclusive a los demás equipos que se
encuentren conectados a través de red interna, que en la gran mayoría
se divide por áreas. En este aspecto, es importante que las claves que
utilice no sean: nombre, apellido, dirección, teléfono, fecha cumpleaños
etc., lo cual genera una exposición mayor del sistema. Es claro que no
existe conciencia sobre la vulnerabilidad de los sistemas y, mayor aún
sobre el grado de compromiso que deben tener cada uno de los
empleados para reducir al máximo los ataques de red y las infiltraciones.
El código maligno: abarca los virus y los gusanos.
Los Atacantes
Como introducción al tema de los atacantes, se referirá al más común y famoso
de ellos - el hacker -. Término proveniente del inglés hack - recortar.
Tradicionalmente se considera hacker al aficionado a la informática que busca
defectos y puertas traseras en los sistemas operativos. Para los especialistas,
la definición correcta sería: experto que puede conseguir de un sistema
informático cosas que sus creadores no imaginan. Se dice que el término
hacker nació por los programadores del Massachusetts Institute of Technology
(MIT), que en los 60's se llamaron a sí mismos hackers, para hacer alusión a
su capacidad como programadores. Sin embargo, su uso más extendido (e
incorrecto, según los propios hackers) es el de delincuente informático, o
cracker.
6 Ibid, p. 89.
35
Uno de los piratas informáticos - Kevin Mitnik - escribió: The Art of Deception
(El arte de la decepción). Mitnik fue acusado por robo de software y alteración
de datos de Motorola, Novell, Nokia, Sun Microsystems y de la Universidad de
California durante los años ochenta y noventa.
Mitnik es conocido por ser unos de los hombres más buscados por el FBI
durante tres años. En 1995 fue capturado en un apartamento en Raleigh,
gracias a la ayuda de un experto académico en seguridad. Pese a su condición
de delincuente informático, es considerado un héroe en la comunidad hacker.
Si bien es cierto que los hacker son los atacantes más conocidos y peligrosos,
no son los únicos; como se verá, cualquier empleado, por ejemplo, es un
potencial atacante y, representa un riesgo para un sistema computacional.
Atacantes Internos
Las vías de acceso pueden ser internas o externas. Los ataques internos son
aquellos que se encuentran dentro de la misma empresa - empleados directos -
Este factor ha sido atribuido entre otros a la inestabilidad laboral; hoy en día la
gran mayoría de contratos que celebran las empresas son a término fijo, las
empresas evitan al máximo compromisos laborales de largo tiempo que le
signifiquen una carga en prestaciones altas y una liquidación costosa, en caso
de retiro voluntario o forzado. La pérdida de lealtad, es un factor que, sin duda
alguna, contribuye a que los empleados no tengan remordimiento en causar
daño a su empresa y generarle pérdidas. Un empleado bancario descontento,
lanzó un ataque DOS contra el sistema operativo de su compañía, el cual se
interconectaba con todas las oficinas. Previendo que el personal de sistemas
estaría preocupado por interconectar el sistema entre el computador central y
las oficinas, inició un segundo ataque, que fue muy efectivo, gracias a que
conocía el software con el que operaba el banco. Para iniciar su ataque
investigó en Internet y bajó un programa hacker, que pueden bajarse en diez
minutos desde cualquier computador conectado a la red a través de fibra
36
óptica. No aplacado, creo una ruta para que los usuarios al entrar en la página
web del banco fueran remitidos a una dirección de páginas pornográficas7.
Los ataques internos son difíciles de prevenir y, dependen del nivel de lealtad y
confianza entre empleador y trabajador; un empleado que quiera su empresa y
respete la organización seguramente no intentará éste tipo de maniobras. Por
esta razón, el tema de la inseguridad debe abarcar políticas empresariales que
vayan desde la creación de niveles de acceso al sistema operativo a través de
claves, como también, programas - cursos, conferencias y entornos de trabajo
cordiales.
Atacantes Externos
Los ataques externos, tienden a ser más peligrosos aunque menos frecuentes.
La prevención, depende en gran medida de los sistemas de seguridad que
utilice la empresa y, de los mecanismos de seguridad que emplee en sus
transacciones y actividades en general.
Los atacantes externos pueden ser de diversa índole, así como, los motivos
que los impulsan. A continuación se mencionan los atacantes más relevantes
de las redes:
Los hacker su denominación es inglesa y su nombre se generalizó a
nivel mundial, la intención de estos personajes es demostrar su habilidad
ingresando a sistemas y programas de forma ilegal, alterándolos y
dañándolos. Técnicamente están muy bien dotados y no siempre su
intención es demostrar su habilidad, pueden estar detrás de información
confidencial o buscando beneficios económicos ilícitos. Ubicarlos es una
tarea bastante difícil y por lo general buscan sistemas operativos can
falencias de seguridad.
Los vándalos: es la denominación que se utiliza para aquellas personas
que sólo tiene fines destructivos. Como se mencionó anteriormente en la
mayoría de los casos estas personas suelen ser ex empleados que
7 Este hecho fue narrado en Harvard Business Review. Volumen 81. Número 6. Junio 2003. p. 89.
37
buscan venganza, o sujetos que están en contra del sistema y
simplemente buscan desestabilizarlo generar caos y daños importantes,
en las empresas estatales o privadas de alto perfil.
Las formas de ataque
Pueden definirse como los instrumentos de ataque que penetran en los
sistemas alterándolos, modificándolos, o borrándolos; en términos más
comunes, “infectándolos”. Entre las formas de ataque más importantes pueden
mencionarse8:
Los virus son programas informáticos que se activan cuando un archivo
es ejecutado, es decir, sólo afectan a aquellos archivos con la
extensión .exe, .com, .bat y .sys de los sistemas operativos de
MS_DOS/Windows. Los virus tienen gran capacidad de clonación lo cual
genera su expansión exponencial afectando en poco tiempo todos los
programas. Los e-mails son la entrada más común de los virus.
No es un misterio, lo vemos todos los días en las empresas y en nuestras
casas; los virus son los ataques más frecuentes que tenemos que afrontar,
conforman parte de nuestro mundo digital, ¿quién no ha tenido un virus en su
computadora? La red Internet, está infestada de virus.
Otra forma de ataque son los gusanos, que están diseñados para
infiltrarse en los programas de tratamiento de texto y destruir la
información, a diferencia de los virus no poseen la capacidad de
reproducirse, lo que los hace fáciles de destruir.
Los caballos de Troya, son programas que están camuflados dentro de
programas en sí mismo inofensivos. “Consiste en introducir rutinas en un
programa para que actúe en forma distinta a como estaba previsto”. Los
virus y los gusanos pueden esconderse dentro de los trojan horses”.
8 Ibid. p. 25 a 29.
38
Las bombas de relojería son muy parecidos a los caballos de troya,
pero su forma de ataque está regulada en el tiempo, de manera que se
activan en el momento preciso en el cual pueden causar un mayor daño.
La introducción de datos falsos, es otra de las formas de ataque,
consiste en la manipulación de datos de entrada o salida de los sistemas
operativos generando error en la transmisión o recepción de mensajes
de datos, con el fin de inducir a error con fines económicos o no.
La Técnica de Salami es utilizada en el sistema financiero en particular
en las transferencias de cuentas corrientes, cuentas de ahorro y
productos de ahorro, consistente en la transferencia automática de los
centavos de las transacciones realizadas a una cuenta determinada.
Los atacantes y los medios que utilizan requieren vías de acceso para
introducirse en el sistema y producir el daño esperado.
Las vías de ataque
Para que un ataque sea efectivo es necesario contar con una vía de acceso, lo
cual se produce en la mayoría de los casos por las deficiencias y puntos
vulnerables de un sistema operativo.
El desarrollo de los sistemas operativos y sus deficiencias en particular
suscitan a los atacantes para exhibir sus habilidades y demostrar que no hay
sistema impenetrable e invulnerable. Las formas más conocidas de vías de
ataque son las siguientes:
Software Bugs: Estos se introducen en el software, permitiendo al intruso
atacar la estructura o columna vertebral de los ordenadores. Esta es la vía
común de los hackers y de los vándalos.
Privilegios: La gran mayoría de los sistemas operativos de computación,
utilizan un sistema de seguridad denominado privilegios, el cual consiste en
proveer al usuario una identificación, generalmente una clave, que le permite
ser identificado. Este sistema es muy vulnerable y al ser conocido por los
atacantes.
39
Management remoto: Para poder conectarse a Internet es necesario contratar
un servidor que sirva de puente. Esta gestión puede hacerse de varias
maneras, desde el mismo sitio del servidor, desde otro ordenador e incluso
desde Internet, lo cual evidencia claros riesgos.
Transmisiones: Toda información que sea transmitida por Internet esta
potencialmente en riesgo de ser interceptada, con las consecuencias que esto
acarrea; inclusión de virus, bombas de tiempo etc., o modificación, alteración o
sustracción de información.
Cookies: Los websites utilizan un sistema operativo (cookies) que recogen y
almacenan información del usuario, con el fin de definir su perfil. Estos
sistemas son exclusivamente para desarrollar un marketing apropiado de
acuerdo con los diferentes gustos del usuario. Este sistema de almacenamiento
de información es potencialmente riesgoso.
Los daños: Las formas de ataque pueden producir significativos daños, que
pueden enmarcarse como lo dice el Dr. Font9 en cuatro clases genéricas:
1. Interrupción: Una vez se ha producido el ataque uno de los
inconvenientes y consecuencias que se produce es la interrupción de los
programas, lo cual puede reflejarse en la denegación del acceso al
mismo, la lentitud del sistema, procesamiento errado de las ordenes,
bloqueo del sistema.
2. Interceptación: Esta se produce cuando el atacante accede sin
autorización al sistema operativo y obtiene información confidencial y
privilegiada. En la mayoría de los casos el acceso se produce en
información que está siendo transmitida.
3. Modificación: Está ligada a la interceptación en la medida en que cuando
se produce la interceptación en la mayoría de los casos se produce la
9 FONT, Andrés. Seguridad y Certificación en el Comercio Electrónico. Madrid : Editorial Fundación Retevisión. 2002. p. 27 y 28.
40
modificación de la información que ha sido interceptada. En este caso la
interceptación tiene como único fin la modificación de la información.
4. Fabricación: Consiste en la introducción de nuevos elementos que son
dañinos y afectan el sistema operativo.
Dedicar recursos para implementar mecanismos seguros es una decisión difícil.
Si no se implementan medidas de seguridad y durante varios años no ocurre
ningún siniestro, la decisión de inversión puede verse como una pérdida de
utilidad. En un entorno competitivo, desdibuja la capacidad de decisión y de
establecer prioridades de ese ejecutivo; sin embargo, un daño puede generar
millones de pesos en pérdidas. Precisamente, los daños producen dos efectos:
crean conciencia sobre el riesgo y su potencialidad y, muestra las debilidades
del sistema. Si bien un daño evidentemente es un hecho negativo, trae consigo
aspectos positivos - generan conciencia -. En nuestro entorno cultural,
empresarial y familiar, no hay conciencia sobre la prevención, toda vez que
esta implica la destinación de recursos físicos y técnicos que comprometen
recursos, sin embargo, la prevención - acción y efecto de prevenir - que
consiste en la preparación y disposición que se hace anticipadamente para
evitar un riesgo, debe ser una constante en el diario vivir, tanto a nivel
profesional como personal. Implementar a tiempo sistemas de seguridad -
certificación, autenticación, autorización, claves, encriptación, corta fuegos etc.,
ayudara a prevenir siniestros. Está demostrado que los costos de implementar
sistemas de prevención, reducen los costos de reparación en más de un 50% e
incluso hasta en un 100%. Otra opción interesante es complementar los
sistemas de prevención, con pólizas de seguro, y de esta forma asegurarse por
todos los flancos.
La importancia de la seguridad y la confianza
La seguridad puede enfocarse desde varios escenarios. El jurídico, entendido
como la cualidad del ordenamiento jurídico, que envuelve, entre otras, tanto la
certeza de sus normas como la no - ambigüedad de sus significados y,
consecuentemente, la fácil aplicación. El social, que implica dos ámbitos:
41
público o privado; en el primero interviene la organización estatal, que dedica
sus esfuerzos a evitar la violencia, el terrorismo, a atender necesidades
económicas y sanitarias con miras a mejorar la calidad de vida de sus
asociados y proveer un orden social revestido de legitimidad.
La Confianza
La confianza es el elemento esencial de toda relación jurídico – comercial, ha
jugado un papel fundamental en la historia mercantil, política, militar y espiritual
de la humanidad.
La adquisición de productos de diferentes países del mundo, la celebración de
negocios, la transferencia de fondos, la consulta de saldos etc., es una idea
atractiva para los usuarios de los sistemas de redes, sin embargo, el
sentimiento de adquisición se ve frustrado por la incertidumbre y la falta de
confianza en el sistema.
Ofrecer bienes y/o servicios en cualquier mercado, implica un gran reto; más
aún si no se tiene la confianza y el respaldo jurídico. Posicionarse en el
mercado, generar confianza en los consumidores y forjar una buena imagen es
una tarea que deben emprender los establecimientos de comercio que buscan
ofertar sus bienes y servicios en la red Internet.
En el comercio electrónico la confianza está directamente relacionada con la
seguridad.
Ahora bien, teniendo en cuenta que la confianza es un componente
imprescindible para las transacciones por medios electrónicos, es necesario,
concienciar al usuario sobre la existencia de mecanismos seguros que le
permiten realizar una transacción con la completa tranquilidad y respaldo.
42
Mecanismos de seguridad
La seguridad que implemente la empresa, debe proteger todos los flancos, con
un especial énfasis en los focos vulnerables. Existen diversos mecanismos de
seguridad, su implementación, implica un estudio de riesgos y su aplicación
debe hacerse de acuerdo con los requerimientos que arroje el estudio. Lo
importante es detectar las debilidades del sistema, de lo contrario, se estarían
situando los mecanismos de seguridad en lugares no requeridos.
Seguridad de tránsito y de usuario:
La seguridad en el host y la seguridad en la red son ejemplos concretos de
seguridad de tránsito y de seguridad de usuario.
A. Seguridad de tránsito: La seguridad de tránsito regula el flujo de tránsito
en la red. La función más importante de este nivel de seguridad, es
detener a los atacantes externos para que no penetren la red interna. La
seguridad de tránsito cumple la función de alarma, avisa a los
operadores y técnicos de la red, cuando hay algo fuera de lo común a
nivel de aplicaciones. Este tipo de seguridad, se ubica en el fondo de la
red, es decir, son sistemas operativos de software o hardware que han
sido instalados como seguridad de la red. Ejemplos de estos serían los
Proxy Server, los Pocket Filtering o los cortafuegos o firewalls.
B. Seguridad de usuario: Este tipo de seguridad utiliza un software que
obliga al usuario a identificarse para poder acceder a los diferentes
programas operativos del computador. El ejemplo más conocido de este
tipo de seguridad son las claves.
La seguridad de usuario brinda la posibilidad de establecer niveles de acceso,
limitando el campo operativo del usuario, a través de claves. Este tipo de
seguridad es conocida como “sistema de autenticación, autorización y
contabilidad”.
43
La autenticación permite identificar al usuario. La autorización es la lista de
permisos y de accesos a que tiene derecho ese usuario que ha sido
previamente identificado. La contabilidad es la parte que lleva los registros de
la seguridad del usuario. Se sigue los pasos del usuario durante su estadía en
la red lo que le permite al empleador saber en que gasta el tiempo su
trabajador.
Tipos de seguridad
Existen varios mecanismos de seguridad entre los cuales destacamos los
siguientes:
A nivel de comercio electrónico, seguridad implementada para llevar a cabo
comercio en red, los mecanismos desarrollados y de mayor importancia son:
a) Secure Electronic Transactions: Una de las formas más utilizadas hoy en
día en cuanto a la seguridad se refiere, es el Protocolo SET10 - Secure
Electronic Transactions -. SET fue fomentado por Visa y Masterd Card.
Proporciona seguridad en las comunicaciones a través de Internet entre
el emisor de una tarjeta de crédito, su titular, el banco e institución
financiera del comerciante.
Las entidades financieras emisoras de tarjetas de crédito, han formado un
comunidad para generar comercio electrónico seguro. SET puede entenderse
como un conjunto de especificaciones que proporcionan una forma segura de
realizar transacciones electrónicas. SET hace uso de todos los mecanismos de
seguridad disponibles para asegurar las transacciones.
b) Secure Sockets Layer11 (SSL): El estándar desarrollado por Netscape
que utiliza tecnología de encriptación para las comunicaciones entre los
navegadores y los servidores.10 FONT, Op Cit., p. 158.11 ORFEI, Stephen W. El Comercio Electrónico.
44
El SET a diferencia del SSL, además de asegurar la integridad de las
comunicaciones identifica a las partes contratantes, lo cual evita el repudio de
la transacción. La desventaja del SET es que se requiere que tanto vendedor
como comprador estén registrados y tengan instalado el sistema.
Indiscutiblemente, el protocolo SET es el sistema de seguridad adecuado para
las instituciones financieras, teniendo en cuenta que el servicio que prestan es
público.
Como puede observarse existen diferentes mecanismos de seguridad que
pueden y deben utilizarse para crear entornos seguros. La implementación de
uno u otro depende de las necesidades de seguridad y la potencialidad del
riesgo asegurable. En el mercado e incluso a través de la red pueden
adquirirse estos mecanismos de seguridad.
Seguridad en el Host y en la Red
1. Seguridad en el host
2. Seguridad la Red
1. La seguridad en el host es la forma de seguridad más común, se aplica
individualmente a cada ordenador y tiene gran acogida en empresas pequeñas.
Este sistema utiliza tres programas de seguridad:
- Firewalls individuales: Controlan la remisión y recepción de información.
- Sandbox: Es un área segura no conectada al network cuya función es probar
los programas antes de su incorporación.
- Scanning: Este programa se encarga de comprobar que los programas y los
discos duros no tengan virus.
2. Este sistema controla desde la red el acceso a los host, para lo cual utiliza
diversos mecanismos entre los cuales pueden mencionarse:
45
Firewalls: A través de programas de software y hardware se crea un
sistema de puertas que controlan la entrada y salida a la red.
Passwords: Consiste en un sistema de claves de identificación que sólo
son conocidas por las personas autorizadas para ello, generando
seguridad al acceso de programas confidenciales y a la red en general.
Encriptación: Es un sistema que sirve para convertir un texto legible en
indescifrable a través de la criptografía.
Proxy Server: Es un sistema de bloqueo que controla la entrada de los
virus a través de hacer las veces de intermediario entre las peticiones
que se realicen desde la red hacia Internet. Una vez reconocida la
petición y si el programa acepta la petición se establece la transmisión y
se hace efectiva la petición.
Packet Filtering: Este es un sistema de filtros que analiza los packets
Como se puede ver existen diversas formas de controlar a nuestros datos con
mecanismos que podemos utilizar para asegurar nuestra integridad.
Certificados digitales
El sistema PKI tiene su apoyo fundamental en la fiabilidad y, esta sólo la puede
proporcionar un tercero neutral frente a las partes (emisor y receptor del
mensaje).
Los certificados12 digitales son emitidos, gestionados, administrados y
revocados por las Autoridades de Certificación.
El siguiente gráfico ilustra la forma y el contenido de un certificado digital:
CERTIFICADO DIGITAL
Tipo de Certificado
Número del Certificado
12 La palabra certificado de acuerdo con el Diccionario de la Lengua Española es la carta o paquete que se certifica. En términos jurídicos la certificación implica que dicho documento está avalado por el emisor.
46
Algoritmo de la Firma Digital
Período de Validez
Nombre del titular
Titular:
Clave Pública:
Autoridad de Certificación
Identificador del Titular
Firma Digital de la Autoridad de Certificación
El certificado digital cumple dos funciones básicas:
1. Garantiza que la transacción sea segura, proporcionando confiabilidad,
integridad, autenticidad y no repudio.
2. Permite que el receptor del mensaje de datos pueda acceder a la clave
pública del remitente, para poder desencriptar el mensaje.
Firmas digitales
El concepto de firma ha sido entendido como un signo que representa a una
persona natural o jurídica, con la cual se identifica y manifiesta su voluntad en
una relación jurídica.
El diccionario de la Real Academia Española define la firma de la siguiente
manera:
Nombre y apellido, o título de una persona, que esta pone con rúbrica al pie de un
documento escrito de mano propia o ajena, para darle autenticidad, y para expresa
que se aprueba su contenido, o para obligarse a lo que es él se dice.
La firma digital no se aleja del concepto básico de firma, pero si es una especie
particular con características propias.
El Estado de UTHA, en el año de 1996, primer estado en legislar en los
Estados Unidos de Norteamérica, sobre el uso comercial de la firma digital,
47
reguló el tema de la creación de certificados digitales en relación con firmas
digitales de clave pública, y definió la firma digital de la siguiente manera:
Transformación de un mensaje empleando un criptosistema asimétrico tal, que una
persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con
certeza:
1. Si la transformación se creó usando la clave privada que corresponde a la clave pública
del firmante, y;
2. Si el mensaje ha sido o no modificado desde que se efectuó la transformación.
Técnicamente, una firma digital es un mecanismo de clave pública que vincula
la identidad de una parte (en una relación o transacción) a un determinado
mensaje. De forma similar a como una firma escrita vincula el documento
firmado con el autor de la firma.
A través de la firma digital se pretende garantizar que un determinado mensaje
de datos procede de una persona determinada; que el mensaje no ha sido
modificado desde su creación y transmisión y, que el receptor no puede
modificar el mensaje recibido.
Una de las formas de dar seguridad a la validez en la creación y verificación de
una firma digital es la criptografía. La cual es una rama de las matemáticas
aplicadas que se ocupa de transformar, mediante un procedimiento sencillo,
mensajes en formas aparentemente ininteligibles y devolverlas luego a su
forma original.
Mediante el uso de un equipo físico especial, los operadores crean un par de
códigos matemáticos, a saber: una clave secreta o privada, conocida
únicamente por su autor, y una clave pública, conocida como del público. La
firma digital es el resultado de la combinación de un código matemático creado
por el iniciador para garantizar la singularidad de un mensaje en particular, que
separa el mensaje de la firma digital y la integridad del mismo con la identidad
de su autor.
48
Características de las firmas digitales
Son únicas.
Están bajo el control exclusivo del emisor y receptor, aunque en el
sistema de clave pública una de las claves es de acceso público y puede
ser conocida por cualquier persona.
Cada transacción que se realice debe utilizar una clave nueva, creada
para un único mensaje de datos.
Son susceptibles de ser verificadas por la entidad de certificación que
las creó.
Van adjuntas al documento de forma tal que pueda verificarse si el
mensaje ha sido alterado después de ser encriptado.
Para que tengan garantía legal deben ser creadas por entidades
autorizadas para tal fin.
La criptografía puede definirse como el mecanismo de algoritmos que hace un
mensaje de datos indescifrable.
Los componentes básicos de un sistema criptográfico son los algoritmos y las
claves.
El Diccionario de la Real Academia Española define la criptografía como el
“Arte de escribir con clave secreta o de un modo enigmático”.
El sistema pki
La infraestructura de clave pública es un mecanismo de seguridad creado y
utilizado para generar confianza en el comercio electrónico, con el fin que las
transacciones por la red sean tan confiables como lo es la interacción cara a
cara.
Existen dos tipos de sistemas criptográficos: simétricos y asimétricos
49
a) Sistema simétrico: Existe una sola clave que es utilizada por el remitente
y el receptor. Esta clave es utilizada tanto para encriptar como para
desencriptar o descifrar el mensaje. Este sistema se denomina “de clave
compartida”.
Este sistema presenta un problema de seguridad. Cuando se ha encriptado el
mensaje, la clave debe ser remitida al destinatario del mensaje para que pueda
descifrarlo. La remisión de la clave es insegura, y hace vulnerable el sistema.
La inseguridad consiste en que los sistemas de transporte utilizados para
enviar la clave, son vulnerables ya que no poseen sistema de protección
avanzado. Es un sistema de encriptación ideal, para empresas que ejecutan
esporádicamente negocios jurídicos por Internet, pero que su negocio no está
basado en estos. Así por ejemplo, las Entidades Financieras, que prestan
servicios a través de la red Internet, como trasferencia de fondos, consulta de
saldo, pagos etc., deben implementar mecanismos de seguridad basados en
clave pública asimétrica, toda vez que el envío de claves no se encuentra
protegido. Así, cuando el usuario se conecta a la página web de la Entidad y
desea llevar a cabo cualquiera de los servicios que ésta ofrece, debe digitar
desde su computador las claves secretas tanto de acceso a la página web de la
Entidad como, la clave secreta de su cuenta de ahorros o corriente; las claves
viajan a través de la red por fibra óptica o por redes telefónicas o, cualquiera
otra utilizada para acceder a la red Internet, lo cual no tiene protección alguna y
puede ser interceptado por los piratas informáticos.
Interceptar la comunicación y obtener las claves secretas, lo que representa un
atractivo para los delincuentes informáticos que están al asecho para obtener
las claves privadas del usuario.
El sistema simétrico, es apropiado cuando se transfiere información que no
tiene importancia para terceros y que no implica el manejo de recursos, donde
las partes intervinientes quieren dotar de cierta seguridad la información.
50
b) Sistema asimétrico: este sistema utiliza dos claves; una pública la cual
es de libre acceso y puede ser conocida por cualquier persona; y una
privada, que es de uso exclusivo y privativo del usuario. La clave pública
es transmitida a través de medios inseguros - del emisor al receptor o de
la entidad al receptor - o simplemente está disponible en la página web
de la entidad certificadora. Esta transferencia no necesita de seguridad
alguna, ya que la clave puede ser conocida por cualquier persona sin
que se afecte la seguridad del sistema. La clave privada del emisor es
entregada personalmente al emisor de manera que se garantiza la
privacidad de la clave privada y consecuentemente la seguridad del
mensaje de datos transmitido. De esta manera el sistema es altamente
seguro y confiere a las transacciones electrónicas la seguridad que
requieren.
Funcionamiento del sistema
1. El emisor y el receptor acuerdan un negocio jurídico, que se realizará
a través de la red INTERNET.
2. Las dos claves; tanto la pública como la privada se encuentran en
poder del receptor del mensaje.
3. El emisor del mensaje utiliza la clave pública que le “entrega” el
receptor, para que encripte el mensaje de datos.
4. El mensaje es enviado y recibido por el receptor.
5. El receptor toma su clave privada y desencripta el mensaje.
Sin embargo, pese a la indudable seguridad que implica el sistema asimétrico,
surge un inconveniente con respecto a la autenticidad del iniciador del mensaje
de datos, toda vez que si bien se garantiza que el mensaje de datos viaja
seguro y, que no es alterado ni modificado, no se tiene la certeza de que quien
envió el mensaje sea quien dice ser, razón por la cual, cabría la opción del
repudio en dicha comunicación.
51
La solución podría ser utilizar cuatro claves, dos privadas y dos públicas. Tanto
el iniciador del mensaje como el receptor tienen dos claves: pública y privada.
El iniciador, con su clave privada encripta el mensaje de datos y con la clave
pública del receptor lo vuelve a encripte, una vez recibido, el receptor con la
clave pública del iniciador lo desencripta y con su clave privada lo vuelve a
desencriptar para obtener el mensaje original, garantizando así la autenticidad
y el no repudio.
Objetivos de la pki
El sistema de clave pública o PKI (key public infraestructure) busca generar
confianza en el comercio electrónico en las transacciones electrónicas de todo
tipo, comerciales, legales, oficiales, personales, etc. Las transacciones y
comunicaciones de todo tipo, que utilizan el sistema de encriptación son hoy en
día seguras gracias a este sistema.
La criptografía de clave secreta, al igual que la criptografía de clave pública
permite elaborar sistemas de cifrado, asegurando la confidencialidad de las
comunicaciones.
Entre mayor número de bits en una clave, más compleja es descifrarla y
viceversa. Los sistemas de encriptación fuerte son aquellos que utilizan 128
bits o más.
Diferenciación en los tipos de seguridad
Como ya mencionamos existen dos tipos de seguridad SSL y SET:
El SSL (Secure Sockets Layer), es el estándar desarrollado por Netscape
Communications Corporation, que utiliza tecnología de encriptación para las
comunicaciones entre los servidores y los navegadores. Este sistema
proporciona un canal seguro para la transmisión de los detalles de la tarjeta.
Para su utilización es necesario que el usuario comprador tenga instalado un
programa que le permita seleccionar el algoritmo de encriptación de sus datos
52
personales, así como escoger la magnitud de las claves, esto es, que tamaño
va a tener la firma digital que se utilizará durante la transacción. Como se sabe,
la instalación del programa no es ningún problema en la medida que la página
web del vendedor le permite al usuario comprador descargar el programa
gratis. Así finalmente, las transacciones mediante SSL sólo requieren el
diligenciamiento de un formulario, datos personales y bancarios del usuario,
que son cifrados mediante criptografía simétrica. El receptor del mensaje al
recibir los datos los desencripta y hace efectiva la transacción.
El SSL proporciona una seguridad razonable - integridad y confidencialidad -
pero no lleva a cabo ningún proceso de autenticación, razón por la cual se le
denomina operación de “tarjeta no presentada”. Así mismo, este tipo de
transacciones implica un riego adicional, tanto para el usuario vendedor, en la
medida en que se haga una utilización fraudulenta de la tarjeta de crédito,
como para el usuario comprador, en la medida en que el comerciante haga un
uso indebido de su tarjeta al poseer los datos bancarios y personales de éste.
Por su parte el SET (Secure Electronic Transaction), desarrollado por Visa y
Master Card con el apoyo de GTE, IBM, SAIC, Terisa, Verising, Microsoft y
Netscape, proporciona seguridad entre el emisor de una tarjeta de crédito su
titular y los bancos involucrados en la transacción. Además de asegurar la
integridad de las comunicaciones, tiene la ventaja que identifica a las partes
contratantes, lo cual evita el repudio por una de ellas, es decir que a diferencia
del SSL involucra a todas las partes interesadas en el proceso de pago, que
son: el banco emisor de la tarjeta, el banco receptor - banco del comerciante
que recibe el dinero -, el usuario comprador dueño de la tarjeta y el
comerciante.
A diferencia del SSL el SET se vale de la criptografía para impedir al
comerciante conocer los datos personales y bancarios del comprador evitando
de esta manera el uso fraudulento de éstos, generalmente empleados con fines
publicitarios sin la autorización del usuario.
53
El sistema de pago SET es por tanto seguro y garantiza la autenticación,
integridad y confidencialidad de la operación. Como aspecto negativo de esta
forma de pago puede mencionarse la lentitud de la operación y su alto costo,
en la medida en que tanto comprador como vendedor requieren instalar un
software compatible que permita el intercambio de datos.
Como respuesta a las tradicionales formas de pago, y a la desconfianza que
generan las mismas aparecen los denominados “digital cash”. Existen
básicamente dos formas: las smart cards y los software wallets.
Las tarjetas inteligentes poseen grandes ventajas, entre las cuales la más
sobresaliente es la seguridad, y los grandes obstáculos a superar, entre los
cuales el más trascendental es la reducción de costos operacionales y la
capacidad de memoria, toda vez que entre mayor memoria, mayor seguridad,
sin embargo, los piratas informáticos prefieren sistemas complejos con gran
memoria para poner en funcionamiento sus sistemas, igualmente complejos,
razón por la cual, una memoria reducida puede ser un punto a favor de la
seguridad.
Smart card
Los Smart Cards son una tarjeta de plástico del tamaño de una tarjeta de
crédito, que en lugar de utilizar una banda magnética utiliza un microchip con
capacidad de encriptación y memoria. Para poder hacer uso de la smat card es
necesario conocer el PIN o clave secreta para acceder a ella. La smart card
contiene dos claves criptográficas; una que es guardada en el ordenador del
Banco o de la Entidad de Certificación, la otra está almacenada en la tarjeta,
ésta es privada y ni siquiera la conoce su titular. Cuando la smart card pasa a
través de un lector y se digita correctamente el PIN, la clave privada encripta la
información requerida y la envía a su destinatario quien con la clave del Banco
o de la Entidad desencripta el mensaje.
54
Un punto a favor de las smart card está relacionado con la seguridad, gracias a
su limitada capacidad de memoria impide posibles ataques de hackers, toda
vez que el sistema rechaza el programa del hacker, que de acuerdo con los
estudios de seguridad son sistemas operativos complejos, al no poder operar
en un “campo” con tan poca memoria.
Software wallets
El Software Wallets es un “software” localizado en un ordenador, que consiste
en el almacenamiento de dinero virtual. Su funcionamiento se basa en el pago
virtual. El software a través de una cuenta bancaria permite transferir recursos
del Banco del comprador al Banco del vendedor. En la práctica este sistema
afronta importantes barreras pese a las ventajas de seguridad que ofrece.
Dentro de éstas pueden mencionarse: la nula aceptación en el mercado y la
necesidad de instalación de software adicionales, entre otros. Este sistema es
también conocido como las tarjetas monederas, que incorporan un chip en el
cual puede almacenarse un valor monetario, el cual ha sido cancelado
previamente por el titular de la tarjeta al Banco emisor. Sin embargo, y pese a
su poca aceptación y difusión este medio de pago se constituye como una
alternativa importante.
En el futuro próximo, lo más probable es que las tarjetas de crédito sean
reemplazadas por las smart cards, sobre todo con la nueva tendencia del
comercio electrónico a través de telefonía móvil. La explicación de este cambio
es sencilla; los usuarios buscan satisfacer sus necesidad a través de la
adquisición de bienes y servicios, en lo posible reduciendo costos, es decir,
buscan una relación costo beneficio favorable a sus intereses. Así las cosas,
las smart card, brindan confianza en las transacciones electrónicas, lo que le
proporciona al usuario la posibilidad de adquirir cualquier bien que se ofrezca
en la red con la más alta tecnología de seguridad a precios accesibles. Por un
lado, estaría satisfaciendo sus expectativas y, obtendría un beneficio a un costo
muy razonable, garantizando la seguridad de la operación gracias a la
seguridad del sistema, así mismo, podrá acceder a cualquier bien o servicio
55
independientemente del sitio geográfico en donde se encuentre la empresa, sin
la necesidad de trasladarse.
Conclusión y recomendación
El comercio electrónico ha generado que nuestra estructura de pensamiento se
adapte al mundo digital. Las tradicionales formas de hacer negocios cuyo
soporte se encuentra en un documento escrito, están siendo revalidadas en la
medida que la gran mayoría de los negocios pueden realizarse a través de
medios electrónicos y la prueba de su ejecución se soporta en bases de datos
computacionales que no requieren del documento físico.
La seguridad es sin duda alguna el talón de Aquiles del comercio en redes
informáticas, así como el pilar sobre el cual debe apoyarse el mundo digital.
La confianza es el eje y crecimiento del comercio electrónico, la cual se
adquiere implementando mecanismos de seguridad óptimos. En la medida que
56
aumente la confianza aumentará el comercio por las redes de comunicación.
Las actuales herramientas de seguridad deben ser utilizadas por las entidades
públicas y privadas que prestan servicios públicos, así como por los
empresarios. Así mismo, con esto las responsabilidades por parte de los
prestadores del servicio generarán confianza.
Se recomienda antes de realizar alguna compra por comercio electrónico
verificar los diferentes medios de seguridad con los que cuenta, para darle un
mejor servicio y el cliente quede satisfecho y con la seguridad de que puede
repetir el proceso de una manera confiable.
A través de la siguiente monografía se estudiaron los diversos mecanismos de
seguridad en el comercio electrónico; se analizaron y se expusieron para que
nuestro lector conozca y tenga un mayor conocimiento a cerca de lo que es el
comercio electrónico y sus niveles de seguridad, y con esto pueda realizar
operaciones en línea con mayor confiabilidad.
Referencias bibliográficas
Austin Robert D. Y Darby Crhristopher A.R Junio De 2003 El Mito De Los
Sistemas De It Seguros. Harvard Business Review.
Angarita, Remolina Nelson (2002). Internet Comercio Electrónico &
Telecomuniciones. Desmaterialización, Documento Y Centrales De
Registro. Bogotá: Editorial Legis S.A. 2002.
Ballesteros Riveros Diana Paola / Ballesteros Silva Pedro Pablo (2007). El
Comercio Electrónico Y La Logística En El Contexto Latinoamericano. Scientia
Et Technica, Xiii , 269-274.
57
Comisión De Las Naciones Unidas Para El Derecho Mercantil Internacional
(2009). Fomento De La Confianza En El Comercio Electrónico: Cuestiones
Jurídicas De La Utilización Internacional De Métodos De Autenticación Y Firma
Electrónicas. Viena: Las Naciones Unidas.
Elsenpeter, Robert. Velte, Joby (2002). Fundamentos De Comercio
Electrónico. Estados Unidos: Mc Graw Hill.
Font, Andrés (2000). Seguridad Y Certificación En El Comercio Electrónico.
Aspectos Generales Y Consideraciones Estratégicas. Madrid: Fundación
Retevisión.
Granados Paredes Gibrán (10 De Julio 2006 • Volumen 7 Número 7).
Introducción A La Criptografía. Revista Digital Universitaria, Pp. 1-17.
Hernández González Arnulfo Napoleón (2003). Propuesta De Aspectos
Técnicos Para La Normativa De Ley Que Regule El Comercio Electrónico En
Guatemala (Tesis De Ingeniero En Ciencias Y Sistemas, Universidad De San
Carlos De Guatemala).
Ibrahim Kaba (2008). Elementos Básicos De Comercio Electrónico (1era
Edición). El Vedado, Ciudad De La Habana: Universitaria.
Michelsen, Jaramillo, Sergio (2002). Internet Comercio Electrónico &
Telecomunicaciones. Universidad De Los Andes. Primera Edición. Bogotá
2002. Legis Editores S.A.
Sarmiento. García, Manuel Guillermo 2002. Responsabilidad Civil. Universidad
Externado De Colombia.
58