2. SEGURIDAD EN EL COMERCIO ELECTRÓNICO
La seguridad en el comercio
electrónico y específicamente en las transacciones comerciales es un aspecto de
suma importancia. Para ello es necesario disponer de un servidor seguro a
través del cual toda la información confidencial es encriptada y viaja de forma
segura, ésto brinda confianza tanto a proveedores como a compradores que hacen
del comercio electrónico su forma habitual de negocios.
Al igual que en el comercio
tradicional existe un riesgo en el comercio electrónico, al realizar una
transacción por Internet, el comprador teme por la posibilidad de que sus datos
personales (nombre, dirección, número de tarjeta de crédito, etc.) sean
interceptados por "alguien", y suplante así su identidad; de igual
forma el vendedor necesita asegurarse de que los datos enviados sean de quien
dice serlos.
Por tales motivos se han
desarrollado sistemas de seguridad para transacciones por Internet:
Encriptación, Firma Digital y Certificado de Calidad, que garantizan la
confidencialidad, integridad y autenticidad respectivamente.
* La encriptación: es el
conjunto de técnicas que intentan hacer inaccesible la información a personas
no autorizadas. Por lo general, la encriptación se basa en una clave, sin la
cual la información no puede ser descifrada. Con la encriptación la información
transferida solo es accesible por las partes que intervienen (comprador,
vendedor y sus dos bancos).
* La firma digital, evita que la
transacción sea alterada por terceras personas sin saberlo. El certificado
digital, que es emitido por un tercero, garantiza la identidad de las partes.
Encriptación.
* Protocolo SET: Secure
Electronic Transactions es un conjunto de especificaciones desarrolladas por
VISA y MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft, Netscape,
SAIC, Terisa y Verisign, que da paso a una forma segura de realizar
transacciones electrónicas, en las que están involucrados: usuario final,
comerciante, entidades financieras, administradoras de tarjetas y propietarios
de marcas de tarjetas.
SET constituye la respuesta a
los muchos requerimientos de una estrategia de implantación del comercio
electrónico en Internet, que satisface las necesidades de consumidores,
comerciantes, instituciones financieras y administradoras de medios de pago.
Por lo tanto, SET dirige sus
procesos a:
•Proporcionar la autentificación
necesaria.
•Garantizar la confidencialidad
de la información sensible.
•Preservar la integridad de la
información.
•Definir los algoritmos
criptográficos y protocolos necesarios para los servicios anteriores.
* Firmas electrónicas: las
relaciones matemáticas entre la clave pública y la privada del algoritmo
asimétrico utilizado para enviar un mensaje, se llama firma electrónica
(digital signatures).
Quien envía un mensaje, cifra su
contenido con su clave privada y quien lo recibe, lo descifra con su clave
pública, determinando así la autenticidad del origen del mensaje y garantizando
que el envío de la firma electrónica es de quien dice serlo.
* Certificados de autenticidad:
como se ha visto la integridad de los datos y la autenticidad de quien envía
los mensajes es garantizada por la firma electrónica, sin embargo existe la
posibilidad de suplantar la identidad del emisor, alterando intencionalmente su
clave pública. Para evitarlo, las claves públicas deben ser intercambiadas
mediante canales seguros, a través de los certificados de autenticidad,
emitidos por las Autoridades Certificadoras.
Para el efecto SET utiliza dos
grupos de claves asimétricas y cada una de las partes dispone de dos
certificados de autenticidad, uno para el intercambio de claves simétricas y
otro para los procesos de firma electrónica.
* Criptografía: Es la ciencia
que trata del enmascaramiento de la comunicación de modo que sólo resulte
inteligible para la persona que posee la clave, o método para averiguar el
significado oculto, mediante el criptoanálisis de un texto aparentemente
incoherente. En su sentido más amplio, la criptografía abarca el uso de
mensajes encubiertos, códigos y cifras.
La palabra criptografía se
limita a veces a la utilización de cifras, es decir, métodos de transponer las
letras de mensajes (no cifrados) normales o métodos que implican la sustitución
de otras letras o símbolos por las letras originales del mensaje, así como
diferentes combinaciones de tales métodos, todos ellos conforme a sistemas
predeterminados. Hay diferentes tipos de cifras, pero todos ellos pueden
encuadrarse en una de las dos siguientes categorías: transposición y
sustitución.
* Los Hackers: Son usuarios muy
avanzados que por su elevado nivel de conocimientos técnicos son capaces de
superar determinadas medidas de protección. Su motivación abarca desde el
espionaje industrial hasta el mero desafío personal. Internet, con sus grandes
facilidades de conectividad, permite a un usuario experto intentar el acceso
remoto a cualquier máquina conectada, de forma anónima. Las redes corporativas
u ordenadores con datos confidenciales no suelen estar conectadas a Internet;
en el caso de que sea imprescindible esta conexión, se utilizan los llamados
cortafuegos, un ordenador situado entre las computadoras de una red corporativa
e Internet. El cortafuegos impide a los usuarios no autorizados acceder a los
ordenadores de una red, y garantiza que la información recibida de una fuente
externa no contenga virus.
2.1 INTRODUCCION A LA CRIPTOGRAFIA
La palabra
Criptografía proviene del griego "kryptos" que significa oculto, y
"graphia", que significa escritura, y su definición según el
dicccionario es "Arte de escribir con clave secreta o de un modo
enigmático". La Criptografía es una técnica, o más bien un conjunto de
técnicas, que originalmente tratan sobre la protección o el ocultamiento de la
información frente a observadores no autorizados
Autentificación
La autentificación es el proceso de verificar formalmente la identidad de las entidades participantes en una comunicación o intercambio de información. Por entidad se entiende tanto personas, como procesos o computadoras.
La autentificación es el proceso de verificar formalmente la identidad de las entidades participantes en una comunicación o intercambio de información. Por entidad se entiende tanto personas, como procesos o computadoras.
Existen
varias formas de poder autentificarse:
-basada en claves
- basada en direcciones
- criptográfica
De estas tres
posibilidades la más segura es la tercera, ya que en el caso de las dos
primeras es posible que alguien escuche la información enviada y pueden
suplantar la identidad del emisor de información.
Desde otro
punto de vista se puede hablar de formas de autentificarse, como puede ser a
través de la biometría (huellas digitales, retina del ojo, la voz...), por
medio de passwords o claves, y por último utilizando algo que poseamos, como un
certificado digital.
Se llama
autentificación fuerte a la que utiliza al menos dos de las tres técnicas
mencionadas en el parrafo anterior, siendo bastante frecuente el uso de la
autentificación biométrica, que como se indicó antes se basa en la identificación
de personas por medio de algún atributo físico.
Confidencialidad
La confidencialidad es la propiedad de la seguridad que permite mantener en secreto la información y solo los usuarios autorizados pueden manipularla. Igual que antes, los usuarios pueden ser personas, procesos, programas...
La confidencialidad es la propiedad de la seguridad que permite mantener en secreto la información y solo los usuarios autorizados pueden manipularla. Igual que antes, los usuarios pueden ser personas, procesos, programas...
Para evitar
que nadie no autorizado pueda tener acceso a la información transferida y que
recorre la Red se utilizan técnicas de encriptación o codificación de datos.
Hay que
mantener una cierta coherencia para determinar cuál es el grado de
confidencialidad de la información que se está manejando, para así evitar un
esfuerzo suplementario a la hora de decodificar una información previamente
codificada.
Integridad
La integridad de la información corresponde a lograr que la información transmitida entre dos entidades no sea modificada por un tercero y esto se logra mediante la utilización de firmas digitales.
La integridad de la información corresponde a lograr que la información transmitida entre dos entidades no sea modificada por un tercero y esto se logra mediante la utilización de firmas digitales.
Mediante una
firma digital se codifican los mensajes a transferir, de forma que una función,
denominada hash, calcula un resumen de dicho mensaje y se añade al mismo.
La validación
de la integridad del mensaje se realiza aplicandole al original la misma
función y comparando el resultado con el resumen que se añadió al final del
mismo cuando se calculo por primera vez antes de enviarlo.
Mantener la
integridad es importante para verificar que en el tiempo de viaje por la Red de
la información entre el sitio emisor y receptor nadie no autorizado ha
modificado el mensaje.
No-repudio
Los servicios de no-repudio ofrecen una prueba al emisor de que la información fue entregada y una prueba al receptor del origen de la información recibida.
Los servicios de no-repudio ofrecen una prueba al emisor de que la información fue entregada y una prueba al receptor del origen de la información recibida.
Con este
aspecto conseguimos que una vez que alguien ha mandado un mensaje no pueda
renegar de él, es decir, no pueda negar que es el autor del mensaje.
Para el
comercio electrónico es importante ya que garantiza la realización de las
transacciones para las entidades participantes.
Se aplica en
ambos lados de la comunicación, tanto para no poder rechazar la autoría de un
mensaje, como para negar su recepción.
Es necesario
identificar la información que debe conocer cada una de las entidades
participantes en el proceso de comercio electrónico y con ello permitir la
privacidad de forma graccionada a las partes autorizadas para su uso.
Como
conclusión indicar que la combinación de estos cuatro aspectos mencionados, que
son la autentificación, confidencialidad, integridad y no-repudio, garantizan
en cierto grado la seguridad en las trasacciones electrónicas.
Conocer y
aplicar conceptos, técnicas y algoritmos para implementar un sistema de
seguridad es imprecindible para minimizar riesgos y así poder asegurar al
usuario que el comercio electrónico es un mecanismo seguro en el cual puede
confiar siempre que se trate con la delicadeza que requiere.
2.2
INFRAESTRUCTURA DE CLAVES PÚBLICAS (P.K.I)
En criptografía, una infraestructura de clave
pública (o, en inglés, PKI, Public Key Infrastructure) es una combinación de
hardware y software, políticas y procedimientos de seguridad que permiten la ejecución
con garantías de operaciones criptográficas como el cifrado, la firma digital o
el no repudio de transacciones electrónicas.
El término PKI se utiliza para referirse tanto a la
autoridad de certificación y al resto de componentes, como para referirse, de
manera más amplia y a veces confusa, al uso de algoritmos de clave pública en
comunicaciones electrónicas. Este último significado es incorrecto, ya que no
se requieren métodos específicos de PKI para usar algoritmos de clave pública.
PROPÓSITO Y FUNCIONALIDAD
La tecnología PKI permite a los usuarios
autenticarse frente a otros usuarios y usar la información de los certificados
de identidad (por ejemplo, las claves públicas de otros usuarios) para cifrar y
descifrar mensajes, firmar digitalmente información, garantizar el no repudio
de un envío, y otros usos.
En una operación criptográfica que use PKI,
intervienen conceptualmente como mínimo las siguientes partes:
Un usuario iniciador de la operación.
Unos sistemas servidores que dan fe de la ocurrencia
de la operación y garantizan la validez de los certificados implicados en la
operación (autoridad de certificación, Autoridad de registro y sistema de
Sellado de tiempo).
Un destinatario de los datos
cifrados/firmados/enviados garantizados por parte del usuario iniciador de la
operación (puede ser él mismo).
Las operaciones criptográficas de clave pública, son
procesos en los que se utilizan unos algoritmos de cifrado que son conocidos y
están accesibles para todos. Por este motivo la seguridad que puede aportar la
tecnología PKI, está fuertemente ligada a la privacidad de la llamada clave
privada y los procedimientos operacionales o Políticas de seguridad aplicados.
Es de destacar la importancia de las políticas de
seguridad en esta tecnología, puesto que ni los dispositivos más seguros ni los
algoritmos de cifrado más fuerte sirven de nada si por ejemplo una copia de la
clave privada protegida por una tarjeta criptográfica (del inglés 'smart card')
se guarda en un disco duro convencional de un PC conectado a Internet.
Usos de la tecnología PKI
Autenticación de usuarios y sistemas (login)
Identificación del interlocutor
Cifrado de datos digitales
Firmado digital de datos (documentos, software,
etc.)
Asegurar las comunicaciones
Garantía de no repudio (negar que cierta transacción
tuvo lugar)
COMPONENTES
Los componentes más habituales de una
infraestructura de clave pública son:
La autoridad de certificación (o, en inglés, CA,
Certificate Authority): es la encargada de emitir y revocar certificados. Es la
entidad de confianza que da legitimidad a la relación de una clave pública con
la identidad de un usuario o servicio.
La autoridad de registro (o, en inglés, RA,
Registration Authority): es la responsable de verificar el enlace entre los
certificados (concretamente, entre la clave pública del certificado) y la
identidad de sus titulares.
Los repositorios: son las estructuras encargadas de
almacenar la información relativa a la PKI. Los dos repositorios más
importantes son el repositorio de certificados y el repositorio de listas de
revocación de certificados. En una lista de revocación de certificados (o, en
inglés, CRL, Certificate Revocation List) se incluyen todos aquellos
certificados que por algún motivo han dejado de ser válidos antes de la fecha
establecida dentro del mismo certificado.
La autoridad de validación (o, en inglés, VA,
Validation Authority): es la encargada de comprobar la validez de los
certificados digitales.
La autoridad de sellado de tiempo (o, en inglés,
TSA, TimeStamp Authority): es la encargada de firmar documentos con la
finalidad de probar que existían antes de un determinado instante de tiempo.
Los usuarios y entidades finales son aquellos que
poseen un par de claves (pública y privada) y un certificado asociado a su clave
pública. Utilizan un conjunto de aplicaciones que hacen uso de la tecnología
PKI (para validar firmas digitales, cifrar documentos para otros usuarios,
etc.)
CONSIDERACIONES
SOBRE PKI
Todo certificado válido, ha de ser emitido por una
Autoridad de certificación reconocida, que garantiza la validez de la
asociación entre el tenedor del certificado y el certificado en sí.
El poseedor de un certificado es responsable de la
conservación y custodia de la clave privada asociada al certificado para evitar
el conocimiento de la misma por terceros.
Las entidades de registro se encargan de la
verificación de la validez y veracidad de los datos del que pide un
certificado, y gestionan el ciclo de vida de las peticiones hacia las AC's.
El poseedor de un certificado válido puede usar
dicho certificado para los usos para los que ha sido creado según las políticas
de seguridad.
Toda operación que realice el poseedor de un
certificado ha de realizarse de forma presencial por parte del poseedor del
certificado y dentro del hardware de cliente (ya sea la tarjeta criptográfica o
PKCS#11 u otro dispositivo seguro, como el fichero seguro o PKCS#12, etc).
Las comunicaciones con seguridad PKI no requieren
del intercambio de ningún tipo de clave secreta para su establecimiento, por lo
que se consideran muy seguras si se siguen las políticas de seguridad
pertinentes.
Ejemplos de Uso
Los sistemas de PKI, de distintos tipos y
proveedores, tienen muchos usos, incluyendo la asociación de una llave pública
con una identidad para:
Cifrado y/o autenticación de mensajes de correo
electrónico (ej., utilizando OpenPGP o S/MIME).
Cifrado y/o autenticación de documentos (ej., la
firma XML * o Cifrado XML * si los documentos son codificados como XML).
Autenticación de usuarios o aplicaciones (ej., logon
por tarjeta inteligente, autenticación de cliente por SSL).
Bootstrapping de protocolos seguros de comunicación,
como Internet key exchange (IKE) y SSL.
24 PROTOCOLO SSL (SECURE SOCKET PLAYER)
Existen
diferentes métodos de procesar transacciones en una compra, protocolos que lo
hacen de manera segura, a lo que se refiere en seguridad con SSL.
La seguridad
de un sitio electrónico tiene que ser confiable para que el mismo tenga éxito.
Siendo
franco, el índice de personas que compran en línea ha crecido bastante
en los últimos 2 años. Y esto se debe a la confiabilidad que están brindando
los sitios de comercio electrónico.
en los últimos 2 años. Y esto se debe a la confiabilidad que están brindando
los sitios de comercio electrónico.
La seguridad
en un ambiente de comercio electrónico involucra las siguientes
partes:
partes:
- Privacidad: que
las transacciones no sean visualizadas por nadie. - Integridad: que
los datos o transacciones como números de tarjeta de créditos o pedidos
no sean alterados. - No Repudio: posibilita que el que generó la transacción
se haga responsable de ella, y brinda la posibilidad de que este no la
niegue.
- Autenticación: que los que intervienen en la transacción
sean leales y válidas.
- Facilidad:
que las partes que intervienen en la transacción no encuentren dificultad
al hacer la transacción.
·
Las estructuras de seguridad de un sitio de
e-commerce no varía con las de un
sitio tradicional, pero si se implementa el protocolo SSL en la mayoría de los
casos para tener un canal seguro en las transacciones.
sitio tradicional, pero si se implementa el protocolo SSL en la mayoría de los
casos para tener un canal seguro en las transacciones.
·
Punto1:Usuario
conectándose a Punto2 (un sitio de e-commerce
como amazon.com) utilizando un navegador Internet Explorer compatible con el
protocolo SSL.
como amazon.com) utilizando un navegador Internet Explorer compatible con el
protocolo SSL.
·
Punto2:El
Punto2 como nombramos es un sitio de e-commerce tradicional (compra / venta)
que establece conexiones seguras utilizando SSL para la transacciones, y también
posee un Firewall para hacer filtrado de paquetes (Packet Filtering)
que establece conexiones seguras utilizando SSL para la transacciones, y también
posee un Firewall para hacer filtrado de paquetes (Packet Filtering)
·
Punto3:Este
punto es la
autoridad que emite los Certificados de Autenticidad, en inglés Certificate
Authority (CA) que por seguridad y es recomendable que sea una tercera empresa
el emisor del certificado no sea interno.
autoridad que emite los Certificados de Autenticidad, en inglés Certificate
Authority (CA) que por seguridad y es recomendable que sea una tercera empresa
el emisor del certificado no sea interno.
·
El Firewall es una
herramienta preventiva contra ataques, que realiza un inspección
del tráfico entrante y saliente. Esto impide que servicios o dispositivos no
autorizados accedan a ciertos recursos y de esta manera protegernos contra ataques
de denegación de servicios por ejemplo (DoS)
del tráfico entrante y saliente. Esto impide que servicios o dispositivos no
autorizados accedan a ciertos recursos y de esta manera protegernos contra ataques
de denegación de servicios por ejemplo (DoS)
·
El Firewall puede ser
por Software o Hardware o bien combinaciones de estos
pero que no serán tratados aquí por que va más allá de este artículo.
pero que no serán tratados aquí por que va más allá de este artículo.
SSL
es un protocolo que corre sobre TCP
(protocolo de transporte punto a punto de Internet). Este se compone de dos
capas y funciona de la siguiente manera:
es un protocolo que corre sobre TCP
(protocolo de transporte punto a punto de Internet). Este se compone de dos
capas y funciona de la siguiente manera:
• La primera capa se encarga de encapsular
los protocolos de nivel
más alto
• La segunda capa que se llama SSL
Handshake Protocolo se
encarga de la negociación de los algoritmos que van a encriptar y también
La autenticación entre
el cliente y el servidor.
Cuando se realiza una
conexión
inicial el cliente lo primero que hace es enviar una información con todo los
sistemas de encriptación que soporta, el primero de la lista es el que prefiere
utilizar el cliente. Entonces el servidor responde con una clave certificada
e información sobre los sistemas de encriptación que este soporta.
inicial el cliente lo primero que hace es enviar una información con todo los
sistemas de encriptación que soporta, el primero de la lista es el que prefiere
utilizar el cliente. Entonces el servidor responde con una clave certificada
e información sobre los sistemas de encriptación que este soporta.
Entonces el cliente
seleccionará un sistema de encriptación, tratará de desencriptar el mensaje y obtendrá la clave pública del
servidor.
Este método
de seguridad es de lo mejor ya que por cada conexión que se hace
el servidor envía una clave diferente. Entonces si alguien consigue desencriptar
la clave lo único que podrá hacer es cerrarnos la conexión que corresponde a
esa clave.
el servidor envía una clave diferente. Entonces si alguien consigue desencriptar
la clave lo único que podrá hacer es cerrarnos la conexión que corresponde a
esa clave.
Cuando se logra el este primer proceso que es la
sesión solamente, los que actuarán, ahora son los protocolos de capa 7 del OSI
o sea la capa de Aplicación, claro que todo lo que se realice a partir de que
tenemos una sesión SSL establecida estará encriptado con SSL.
2.5 PRIVACIDAD.
Una empresa Se compromete a asegurar la privacidad
de la información personal obtenida a través de sus servicios en línea.
¿Qué tipo de Información personal se obtiene?
Se recaban información de diferentes maneras, desde
diferentes áreas de nuestro sitio Web. Se sujeta a las normas de seguridad y
privacidad toda aquella información personal que el usuario ingrese
voluntariamente en nuestro sitio Web.
Se solicita información como:
Nombre (s) y Apellidos.
Correo Electrónico.
Teléfono.
Datos Fiscales para elaboración de facturas.
La información que se solicita nos permite contactar
a los clientes cuando sea necesario. Los usuarios pueden ser contactados por
teléfono o correo electrónico si se requiriese información adicional para
completar alguna transacción.
¿CÓMO SE UTILIZA SU INFORMACIÓN?
Se Utiliza información suministrada durante el
proceso de registro, inscripción a algún programa y promociones para realizar
estudios internos sobre los datos demográficos, intereses y comportamiento de
nuestros usuarios en conjunto. El objetivo más importante, es conocer a
nuestros visitantes para poder proporcionarles productos o servicio acordes a sus
necesidades, así como contenidos y publicidad más adecuados.
¿CÓMO PROTEGEMOS LA INFORMACIÓN?
Al momento de contratar un servicio o comprar un
producto en línea, se pedirán datos bancarios para los cuales nos comprometemos
a ofrecer seguridad y confidencialidad de los datos que nos proporcionan, para
ello, contamos con un servidor seguro bajo el protocolo SSL (Secure Socket
Layer) de tal menara que la información que nos envían, se transmite encriptada
para asegurar su protección.
Para verificar que se encuentra en un entorno
protegido, asegúrese de que aparezca una “S” en la barra de navegación
“httpS”://. Se debe aclarar que ninguna transmisión por Internet puede
garantizar su seguridad al 100%, por lo tanto, auque nos esforcemos en proteger
su información personal, no se puede asegurar ni garantizar la seguridad de la
transmisión de ninguna información. Una vez recibidos los datos, haremos todo
lo posible por salvaguardar la información en nuestro servidor.
Protección al Consumidor.
Solo se podrá difundir la información en casos
especiales, cuando pueda servir para identificar, localizar o realizar acciones
legales contra personas que pudiesen infringir las condiciones del servicio de
nuestro sitio Web o causar daños o interferencia sobre los derechos de la
empresa o de la compañía.
Se debe aclara que NO se vende, regala, facilita ni
alquila la información del usuario a ningún tercero. Si el usuario No desea que
sus datos sean compartidos, puede decidir NO utilizar un servicio determinado o
NO participar en algunas promociones o concursos.
Modificaciones en la Política de Privacidad.
Nos reservamos el derecho de efectuar en cualquier
momento, modificaciones en la presente Política de Privacidad y adaptarla a
novedades legislativas, jurisprudenciales, así como practicas del mercado.
Queda bajo responsabilidad del usuario leer periódicamente las Políticas de
Privacidad para estar al tanto de posibles modificaciones. Una vez introducida
en el sitio Web, la modificación entrará automáticamente en vigencia.
2.6 SEGURIDAD EN EL SERVICIO
Quizás uno de los elementos
más publicitados a la hora de establecer seguridad, sean estos elementos.
Aunque deben ser uno de los sistemas a los que más se debe prestar atención,
distan mucho de ser la solución final a los problemas de seguridad.
No hay comentarios:
Publicar un comentario