Seguridad del sitio y pagos

Seguridad del Sitio

Introducción

El comercio electrónico ha abierto también posibilidades para cometer delitos y fraudes.

La facilidad del anonimato, ha ocasionadoque se realicen ataques como:

• Fraudes en órdenes de compra.

• Robo de información.

• Problemas en los sitios por ataques y código maligno.

Introducción

Los delitos dan como resultado pérdidas económicas debidas a:

• Pérdida de tiempo.

• Uso de recursos para las reparaciones.

• Daño a la reputación del sitio Web.

Los clientes y los negocios han tenidoque adquirir y operar tecnología y procesosde seguridad en el comercio electrónico.

Introducción

Riesgos al acceder a un sitio Web:Riesgos para el cliente:• Falta de privacidad.• Diferencias entre el producto o servicio esperado

y el que se recibe.• Robo de datos personales o de tarjetas

de crédito.Riesgos para el negocio:• Fraudes en las compras al recibir pagos con

tarjetas de crédito robadas o efectivo falsificado.• Negación de la acción por parte del cliente.• Destrucción maliciosa.• Atentados a la integridad del sitio.

Introducción

Los problemas de seguridad estánrelacionados con los siguientes aspectos:• Falta de una estrategia correcta de seguridad

por parte del negocio.• Contacto presencial nulo o limitado de

los negocios con los clientes en Internet.• Falta de estructuras legales para penalizar a

las personas que realizan fraudes por Internet.• Estandarización limitada del manejo de firmas

y certificados digitales.

Para cada una de las áreas de seguridad puedencomprarse o desarrollarse soluciones tecnológicas

Áreas de la seguridad

Los datos que se generan en la comunicación de los clientes con los negocios deben protegerse desde diferentes perspectivas,como son:• Integridad.

Asegurar que la información que fluye por el Internet o que se presenta en un sitio es íntegra.

• Privacidad.Derecho de las personas para controlarla información que les pertenece.

• No rechazo.Asegurar que los participantes en una transacción electrónica responderán por sus actos.

Áreas de la seguridad

• DisponibilidadLos clientes pueden acceder al sitioen el momento en que lo requieran.

Es necesario que el sitio tenga la habilidady responsabilidad para asegurar su funcionamiento, considerando:• Las acciones para mantener en operación al sitio.

• Las tecnologías, que apoyan el balance de cargas para el hardware y software ofrecen una garantía para la disponibilidad continua.

Amenazas y vulnerabilidadde los negociosUna amenaza es una eventualidad

que representa un peligro para cualquierbien o valor del negocio, tales como:

• Bienes tangibles: computadoras y las redesde comunicación.

• Bienes intangibles: datos de los clientes, claves de acceso, firmas digitales, marcas, información privada de la empresa, entre otros.

La vulnerabilidad se produce por una debilidad en la seguridad del sitio.

Amenazas y vulnerabilidadde los negocios

Categorías: 1. Hacker. Intenta un acceso a un sitio con fines

no delictuosos. Cuando el acceso con fines delictuosos,se le conoce como cracker.Ataques.• Obtienen el acceso a un sistema computacional encontrando

puntos débiles del sitio Web.• Normalmente utilizan aplicaciones de Internet por la facilidad

de uso y el ambiente abierto de las transacciones.• Las intrusiones pueden ser motivadas por el robo

de productos o información.• En ocasiones realizan las acciones solo como un reto

a sus habilidades.• Si sus intenciones son interrumpir el funcionamiento

de un sitio, destruirlo o afectar su imagen, se considera cyber vandalismo.

Amenazas y vulnerabilidadde los negocios 2. Código malicioso (Malware). Es la ejecución

no autorizada de programas que producen dañosen la información, tales como virus y worms, caballos de Troya y applets malignos.• Han generado la creación de anti-virus para contrarrestar

y eliminar el efecto de los virus.• Un virus es un programa que tiene la posibilidad

de replicarse o autocopiarse para distribuirseen otros programas.

• Los virus tienen dos componentes: Un mecanismo de propagación. El efecto producido cuando se ejecuta el código.

• Una clasificación de los virus llamada macro virus está orientada a aplicaciones específicas como MS Word y sólo a ellas las afectan, cuando se abre un archivo infectado,el virus se copia a las plantillas de la aplicacióny se reproduce en nuevos archivos.

Amenazas y vulnerabilidadde los negocios• El funcionamiento de los macro virus hace que

el código malicioso se disemine fácilmente a travésde medios de comunicación como el correo electrónico:

Amenazas y vulnerabilidadde los negociosUn worm es otra forma de software

malicioso que está diseñado para distribuirse de computadora a computadora en lugarde hacerlo en archivos.• La principal diferencia entre un worm y un

virus es que el worm se propaga entre sistemas, normalmente a través de una red y el virusse propaga localmente en el sistema.• Los macro worms normalmente se ejecutan

cuando se abre una aplicación o se realiza un procedimiento, por ejemplo, cuando se ejecuta una macro de Excel, una hoja de cálculoo un mensaje de correo.

Amenazas y vulnerabilidadde los negocios Un caballo de Troya aparenta ser un programa

benigno pero realiza otras acciones diferentesa las esperadas.

http://securityresponse.symantec.com/avcenter/venc/auto/index/indexA.html

Los applets malignos están relacionadoscon el concepto cliente servidor.

Amenazas y vulnerabilidadde los negocios

http://securityresponse.symantec.com

Amenazas y vulnerabilidadde los negociosCuando se accede a un sitio dudoso,

el usuario podrá recibir mensajes como:

Amenazas y vulnerabilidadde los negociosFraude y robo de información En el comercio tradicional el fraude por mal

uso de tarjetas de crédito se debe a: • La pérdida o el robo de las tarjetas físicas.• El robo de los datos por parte de los empleados

de los negocios.• La suplantación de identidades.

En el ambiente del comercio electrónico, se agregan otras características, como:• La pérdida o el acceso no autorizado a los datos

de las tarjetas de crédito almacenados en los servidores del negocio.

• El robo de datos no solamente enfocados a las tarjetasde crédito sino a la información personal con el fin de establecer identidades falsas y obtener créditos con ella.

Amenazas y vulnerabilidadde los negociosSpoofing Se refiere al uso de falsas identidades en las

transacciones por Internet o al redireccionamientode accesos de un sitio a otro con fines que beneficianal hacker.

Ataques DoS Este tipo de ataques es llamado denegación del servicio

por su nombre en inglés Denial of Service y consiste en acceder a un sitio con tráfico inútil para imposibilitar el acceso.

Esto puede ocasionar la paralización del sitio y como consecuencia, costos muy altos, ya que mientras el sitio no funcione, no se pueden realizar las ventas.

Amenazas y vulnerabilidadde los negocios Cuando un sitio está inactivo, también se afecta

su reputación.

Algunos ataques utilizan robots de verificación del funcionamiento del sitio mediante solicitudes PINGque obtiene en forma abierta la dirección IP de un sitio.

Sniffing

Este proceso consiste en la revisión de los mensajes que viajan por una red, a través de programas que detectan información importante que utilizaránlos hackers para sus propósitos.

La búsqueda realiza detecciones de mensajesde correos, archivos privados de las compañíasy reportes confidenciales.

Amenazas y vulnerabilidadde los negociosRiesgos No Técnicos Se derivan de la vulnerabilidad de la tecnología

y se relacionan con las personas y se conocen como no técnicos:• Ataques internos: No todos los ataques a la

seguridad de la empresa provienen de entidades externas, una importante cantidad proviene de las personas de la misma empresa en forma directa o inconsciente.• Ingeniería social: El atacante utiliza métodos

de persuasión para que las personas le revelen información importante y con ella realizar acciones que comprometen la seguridad del sitio.

Protección de las comunicaciones

Criptografía –Encripción-

La criptografía es un método de codificación matemática utilizado para transformar los mensajes de tal forma que sean ilegibles por otras personas que no sean los destinatarios.

La encripción consiste en el proceso de convertir el contenido del mensaje en un texto cifrado.

Los resultados del proceso de encripciónson mensajes no descifrables (ciphertext)que requieren de un proceso similar al quelos codificó para poderlos leer e interpretar.


El beneficio de la encripción se relacionacon la integridad, con la no negación, conla autenticidad y con la confidencialidaddel mensaje.

El proceso de encripción se logra mediante una llave de encripción o cifrador que consiste en cualquier método para la conversión del código.

La encripción de clave pública fue desarrollada para resolver el problemadel intercambio de claves. Utiliza dos claves matemáticas relacionadas llamadas claveo llave pública y clave o llave privada.


El proceso consiste en lo siguiente:

• El emisor crea un mensaje que incluye la clave pública del receptor. La clave la obtiene mediante

un directorio publico de claves.

• Con la clave publica del receptor, se creaun cifrado en el mensaje que es enviadocon el mismo a través de la red.

• El receptor utiliza su clave privada para descifrarel mensaje.


Compendio del mensaje Debe verificarse que quien envió el mensaje,

es el emisor válido, es decir, debe haberuna autenticación del mismo.

s e

r v

i d

o r

mensajecodificado

+mensaje

mensaje c

ifrado

segurid

ad en

la tr

ansm

isión

+

mensajedecodificado

ENCRIPCIÓN


El uso más sofisticado de la clave pública permite verificar la confiabilidad del mensaje mediante una función que es usada primero para dividir el mensaje:• El algoritmo utiliza varios métodos para producir

un número de longitud fija llamado compendio–message digest– que cuenta la cantidad de bits 1’s y 0’s del mensaje.• El resultado es enviado por el emisor al receptor,

quien verifica que se produzca el mismo resultado que fue enviado con el mensaje.• Por lo tanto, cuando el emisor envía un mensaje,

realiza el cifrado tanto del mensaje como del compendio produciendo un solo texto cifrado.


Además del uso de las claves, se debe teneren cuenta que la verdadera fortaleza del servicio que proporciona confidencialidad puede depender de otros factores asociadascon la encriptación.

s e

r v

i d

o r

+mensaje

+

mensajedecodificado

AUTENTICIDAD

autenticidad

+compendio

compendio+


• El protocolo de seguridad. • La seguridad en la plataforma.• El algoritmo de encripción.• La longitud de la llave.• El protocolo para administrar y generar las llaves.• El almacenamiento seguro de las llaves secretas.

Actualmente algunos países están realizando esfuerzos para definir estándares sobre el tamaño de la llave de este proceso y para solucionar algunas controversias sobre los siguientes aspectos:• El tamaño de la llave que el gobierno de ese país

permitirá exportar al exterior.• La clase de privilegios de acceso, para reforzar

las leyes.


Firmas digitales

Para asegurar la autenticidad del mensajey la responsabilidad de quien lo envía,el emisor encripta nuevamente el bloque entero utilizando su llave privada.

Esto produce una firma digital o firma cifradaque puede ser enviada con el mensaje.

La firma del emisor es única y al combinarsecon el compendio del mensaje se convierteen única para cada documento que se envíe.


El receptor de un texto cifrado y firmadorealiza el siguiente procedimiento:

• Primero utiliza la llave pública del emisorpara verificar la autenticidad del mensaje.

• Usa su llave privada para obtener el compendio del mensaje y el mensaje original.

• Finalmente aplica la misma función del compendio al mensaje original y compara el resultado con el resultado enviado por el emisor. Si es el mismo, el mensaje es íntegro.


Sobres digitales Los procesos de encripción pueden resultar

en un incremento del proceso para descifrar mensajes y en una disminución de las velocidades de transmisión.

s e

r v

i d

o r

+mensaje

+

mensajedecodificado

NO NEGACIÓN

No negación

+compendio

compendio+

+


Para evitar estos problemas se utiliza un sistema más eficiente de encripción simétrica para el documento, combinado con la encripción pública para encriptar y enviar la clave simétrica creando un sobre digital.

Certificados digitales Un certificado digital es un documento emitido

por una autoridad certificadora que contiene:• Nombre del usuario o compañía.• Su clave pública.• Número de serie que lo certifica.• Fecha de emisión del certificado.• Fecha de expiración del certificado.• La firma digital de la autoridad certificadora.


• Información adicional para la identificación. Las autoridades certificadoras son instituciones

que mediante procedimientos establecidosestablecen la confianza en el sitio.


Al mismo tiempo, el sitio que estácertificado como seguro, colocaráel logotipo de la autoridad en su página:


Otros certificados están relacionados conla privacidad y confidencialidad de los datos:

Protección de los mediosde comunicación La forma más común de asegurar

los medios de comunicación es a travésdel concepto SSL Secure Socket Layerdel protocolo TCP/IP que establece una sesión de comunicación segura mediante:

• La autenticación del servidor.

• La integridad del mensaje en la conexión TCP/IP.

• El método más poderoso de encripción usandoniveles desde 40 bits a 128 bits.

Protección de los mediosde comunicación

www.sanborns.com.mx

Protección de los mediosde comunicación El S-http -Secure http- es un protocolo

de seguridad orientado a las comunicacionesseguras de mensajes, está diseñado parautilizarse en conjunto con el protocolo httpy sus características son las siguientes:• Está diseñado para enviar mensajes individuales

seguros.• No es posible utilizarlo en todos los buscadores.• Con este protocolo, cualquier mensaje puede

ser firmado, autenticado, encriptado o utilizarcualquier combinación según las necesidades.

Protección de los mediosde comunicación

shttp://www.librosademanda.com/

Protección de los mediosde comunicaciónRedes virtuales privadas VPN Utilizan un protocolo PTP (Point-to- Point

Tunneling Protocol) que es un mecanismode codificación que permite a una red localconectarse a otra:• Utiliza una red pública de Internet para enviar

la información.• Cuando un usuario utiliza el servicio de un ISP,

el protocolo PTP hace una conexión con la red enforma transparente, es decir, como si el usuariola hubiera solicitado directamente. Esta es larazón por la que se le da el nombre de virtualya que se percibe como si el usuario tuvierauna línea segura constantemente, cuandoen realidad, es temporal.

Protección de los mediosde comunicaciónRedes virtuales privadas VPN

http://www.proyectaenred.com

Protección en las redesProxy ServersNormalmente son servidores de software

que controlan todas las comunicaciones originadas o enviadas por el Internet.

• Limitan el acceso de clientes internosa servidores externos.

• Poseen dos interfases en la red.

• Permite restringir el acceso a ciertos sitios.

• Las páginas de mayor acceso son almacenadaslocalmente por el servidor para ahorrar costosy tiempos de acceso.

Protección en las redesProxy Servers

http://www.pymes.com/wingate.htm

Protección en las redesFirewalls Los firewalls intentan construir una muralla

alrededor de la red y los servidores y clientesdel negocio.• Son aplicaciones que actúan como filtros entre

la red del negocio y el Internet protegiéndolosde ataques.• Un firewall debe poseer las siguientes

características:Todo el tráfico debe ser revisado por este sistema.Sólo el tráfico autorizado tendrá permisode pasar a través del firewall.

El sistema mismo debe ser inmune a la penetración.

Protección en las redesFirewalls

Los firewalls deben ser considerados componentes de la seguridad total de la empresa, no la únicasolución.

Existen firewalls de dos categorías:• Estáticos.• Dinámicos.

Al diseñar un firewall se deben considerarlos siguientes factores:• Capacidad de negar el acceso.

Protección en las redesFirewalls• Filtros.• Políticas de seguridad.• Dinámica.• Autenticación.• Filtros flexibles.• Reconocimiento de servicios peligrosos.• Filtrar accesos mediante teléfono.• Reportes de auditoria.• Versiones actualizadas.• Documentación.

Protección en las redesFirewalls

EJERCICIO:http://www.verisign.com/media/networkSecurity/index.html

Protección en las redesSistemas de detección de intrusos Existen dos tipos de estos sistemas

de detección:• Sistemas basados en la computadora

anfitriona (Host).

http://www.symantec.com/region/mx/product/ids/hostids/

Protección en las redesSistemas de detección de intrusos• Sistemas basados en las redes.

Su actividad se realiza por dos aplicaciones:

• Una aplicación de software llamada monitorque revisa la red.

• Agentes de software que residen en variascomputadoras anfitrionas y proporcionaninformación al programa monitor.

También pueden realizar acciones precisascuando detectan ataques, como:

• Concluir la conexión.

• Reconfigurar los dispositivos de red como firewallsy ruteadores, basándose en reglas preestablecidas.

Protección en las redesSistemas de detección de intrusos

http://www.symantec.com/region/mx/product/ids/decoy/

CE-04

Pagos electrónicos

Introducción

Una de las actividades más importantesdel comercio electrónico es recibir y procesarlos pagos de los clientes.

En el comercio electrónico se deben ofrecerformas de pago y opciones iguales que en el mundo físico, además de agregar necesidades como:

• Confiabilidad en las transacciones.

• Uso de sistemas innovadores.

• Diferentes alternativas para negocios B2B y B2C.

Introducción

Como en el mundo real, según el valordel pedido de compra se han establecidotres tipos de pagos en Internet:• Micropagos.• Pagos de consumidor.• Pagos comerciales.

Sistemas electrónicos de pago

http://www.todito.com

Cartera electrónica

La cartera electrónica –digital wallet–es utilizada en la mayor parte de lossistemas actuales de pago.

La cartera digital permite realizar los pagos electrónicos de manera segura y almacenarlas transacciones realizadas.


http://www.gator.com/home2.html


Existen dos categorías de carteras digitales:• Cartera digital basada en el cliente.

http://www.gator.com


• Cartera digital basada en el servidor.

http://www.passport.net

Efectivo electrónico

El efectivo electrónico e-cash fue una delas primeras formas de pago desarrolladaspara el comercio electrónico.

Presenta el problema de que no existen emisores para el mismo.

Actualmente se maneja formas de almacenamiento e intercambio de valorescon muy poca facilidad para convertirsea otras formas y requiere de intermediarios.

Algunos de sus principios se encuentranen formas electrónicas actuales de pago,como los sistemas P2P (Peer to Peer).

Efectivo electrónico … Nuevos sistemas

www.paypal.com

Efectivo electrónico … Nuevos sistemas

http://www.e-paid.net/sites/TODITOMX

Efectivo electrónico

Otra forma considerada dentro del efectivoelectrónico es el manejo de puntoso certificados de regalo.

http://www.celebrandotuboda.com

Cheques electrónicos

En los cheques tradicionales, se transfieren fondos directamente de la cuenta del consumidor a otra persona o negocio.

Constituyen la segunda forma de pagomás popular para las transacciones, aunque típicamente no aplican a los micropagos.

eCheck es un sistema sofisticado que intenta reemplazar a los sistemas tradicionales de cheques y extender la transferencia electrónica de fondos entre las instituciones y las empresas y consumidores.


http://www.echeck.org/


La operación de los cheques electrónicos requiere una inversión significativa en nueva infraestructura.

http://www.echeck.org/library/wp/ArchitectualOverview.pdf

Tarjeta de crédito

Extienden la funcionalidad de las tarjetasde crédito tradicionales para usarse comoun sistema de pago en línea.

La nueva funcionalidad incluye acciones para evitar la falta de autenticación, la negaciónde cargos y los fraudes.

Algunos otros factores de mejora son:Minimizar la desconfianza de los clientes al tener que revelar la información personal en múltiples sitios.

Disminuir el costo de las transacciones.

Tarjeta de crédito

http://www.visa.com.mx/

Tarjeta de crédito

Constituyen la forma más común de los pagos electrónicos y su diferencia con las formas tradicionales es que:

El vendedor nunca ve la tarjeta que está siendousada.

No se tiene un comprobante físico.No se valida la firma.

Los sistemas de pago comerciales ofrecenactualmente la posibilidad de administrarlas cuentas y procesar la compra en línea.

Tarjeta de crédito

http://www.visa.com.mx

Tarjeta de crédito

La empresa VeriSign actualmente es líder enofrecer servicios seguros en Internet y sistemasde pago.

http://www.verisign.com/products

Sistemas de valores en línea Stored Value Estos sistemas permiten a los clientes hacer

pagos en línea utilizando valores almacenados en una cuenta en línea.

Algunos de estos sistemas requieren haceruso de una cartera digital mientras que otrospermiten las transacciones con una firmay la transferencia de valores de su tarjetade crédito a la cuenta en línea.

Sistemas de valores en línea Stored Value

http://www.moneybookers.com


Tarjetas inteligentes. Las tarjetas inteligentes smart cards

constituyen otra forma de almacenar valor. El proceso consiste en el uso de tarjetas

similares a las de crédito que tienen un chippara almacenar la información personal concapacidad 100 veces mayor que las tarjetasde crédito.

Actualmente existen dos tipos de tarjetasinteligentes:

Sistemas de valores en línea Stored Value• Con contacto.

Para que puedan ser leídas se requiere insertarlas en un lector, tal como se hace en las tarjetastelefónicas.

http://kalysis.com/content


• Sin contacto.Tienen una antena integrada para habilitaruna transmisión de datos sin un contacto directopero leído por un sensor remoto.

http://www.ezpass.com


Un ejemplo de estas tarjetas fue creadopor American Express, la llamadaAmerican Express Blue.

http://www10.americanexpress.com

Sistemas de balance acumulado digital Los sistemas de balance acumulado digital

permiten a los usuarios hacer micropagosy compras en la red acumulando un débitoque será cobrado al final del mes.

Estos sistemas son preferentemente orientados a la compra de productos digitales comomúsica, literatura y artículos.

Sistemas de balance acumulado digital

www.bitpass.com

Sistemas de balance acumulado digitalUna vez que el cliente obtiene su tarjeta, puede

utilizarla en diferentes compras, por ejemplo:

http://www.virtualparks.org/places

Protocolo SET

Trata de resolver el problema de la seguridadde las transacciones de pago a través del desarrollo de un nuevo estándar llamadoSET (Secure Electronic Transaction Protocol).

http://www.mastercardintl.com/newtechnology/set//

Protocolo SET

Es un complemento al protocolo SSL ya queeste no provee la autenticación de las partes involucradas en la transacción ni la proteccióna la negación de las transacciones.

www.visa.com.mx

Protocolo SET

No ha sido completamente utilizadopor los vendedores quienes utilizan los procedimientos tradicionales de las tarjetasde crédito.

http://www.todito.com

Protocolo SET

Protocolo SET

Protocolo SET

https://buy.entrust.net

Education

Seguridad del sitio y pagos