Seguridad en las transacciones comerciales

Conceptos bsicos

ESET Latinoamrica: Av. Del Libertador 6250, 6to. Piso Buenos Aires, C1428ARS, Argentina. Tel. +54 (11) 4788 9213 Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com

Seguridad en las transacciones comerciales en lnea

ndice
Introduccin ................................................... 3 Definiciones .................................................... 4

Seguridad en las transacciones comerciales en lnea

Introduccin
El comercio electrnico, o e-commerce, define al uso de las tecnologas de comunicacin, como lo es Internet (aunque pueden ser otras), para realizar la gestin de negocios y transacciones comerciales, ya sea en parte o completamente. Entre estos negocios pueden estar: compra/venta de productos y servicios, establecimiento de contactos y socios de negocio, aseguramiento, trmites, impuestos, realizacin de marketing, rastreo y seguimiento de productos, cobros, etc. Es decir, que las redes de comunicacin son una herramienta que sirve de base para realizar cualquier contacto que antes poda establecerse en el mundo fsico. As como en el mundo fsico, en el virtual existen diversos modelos que son considerados: El Comercio entre Empresas (B2B) El Comercio entre Empresas y Consumidores (B2C) El Comercio entre Empresas y Gobierno (B2G) El Comercio entre Consumidores (C2C) El Comercio entre Consumidores y Gobierno (C2G)

Por su parte, la banca electrnica o Home-banking se define como aquel sistema que pone a disposicin del cliente todos los medios para la realizacin de transacciones bancarias va Internet. Es normal que este tipo de acciones genere desconfianza y suspicacias en el pblico, ya que suelen desconocerse los medios de seguridad brindados por los bancos/empresas, as como el nivel de privacidad con el cual es manejada la informacin, adems de las regulaciones legales vigentes en los pases donde realiza la transaccin. Proteger los datos, las comunicaciones, las transacciones y la informacin (ya sea en trnsito o almacenada) es de vital importancia, ya que algunas de las amenazas a las que se puede estar expuestos son: La informacin puede ser interceptada, leda o modificada por personas ajenas a la transaccin involucrada. Un usuario puede asumir la identidad de otra persona (robo de identidad). Una de las partes puede vulnerar el sistema para evitar ciertas validaciones del mismo. Informacin confidencial puede ser obtenida con posterioridad a la realizacin de las transacciones.

Como puede verse, la mayora de los ataques tienen fines ilcitos, pero que muchas veces son difciles de comprobar por las autoridades o profesionales competentes.

Seguridad en las transacciones comerciales en lnea

Es muy comn cometer el error de pensar que todas estas vulnerabilidades y soluciones son inherentes a la tecnologa. Todo lo contrario, el ser humano es el principal punto vulnerable. El factor humano, del que muchas veces no se habla, es una fuente inagotable de recursos para los atacantes a un servicio determinado y por lo que se lo debe considerar desde el momento en que se disea un sistema de comercio electrnico. No sirve de nada desarrollar una plataforma sofisticada que cumpla con los mayores estndares de seguridad internacional para que luego el usuario anote su clave de acceso debajo del teclado. Como en el mundo fsico, conocer las distintas formas de realizar transacciones comerciales virtuales, as como las posibilidades de ser engaado (defraudado, estafado, etc), es fundamental para manejarse comercialmente en forma correcta. Nota Importante: en el desarrollo del presente y slo a fines de una simplificacin, se llama Transaccin Comercial o Financiera a cualquier intercambio de informacin en el que se involucren dos partes que tenga como objetivo la manipulacin de dinero (sea este fsico o virtual). Es decir que se incluyen en esta categora: Compra/venta/remate/oferta/demanda de productos (fsicos o virtuales) Home-Banking

Definiciones
Cuando se realiza una transaccin comercial en lnea, deben contemplarse ciertas definiciones, todas ellas referidas a la seguridad de la informacin. A continuacin, se definen los tres principios bsicos (trada CIA 1) a ser tenidos en cuenta. Es recomendable que Ud. tambin maneje otras definiciones disponibles en nuestro curso de Seguridad 2. La Confidencialidad de la informacin es la necesidad de que la misma slo sea conocida por personas autorizadas. En las transacciones comerciales es fundamental que slo las partes involucradas tengan acceso a la informacin.

Para ms informacin consulte la Gua bsica de utilizacin de medios Informticos en forma segura de ESET en http://edu.eset-la.com 2 dem

Seguridad en las transacciones comerciales en lnea

La Integridad de la informacin es la caracterstica que hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado. Esta propiedad garantiza la exactitud de la informacin. La Disponibilidad de la informacin es su capacidad de estar siempre disponible para ser procesada por las personas autorizadas cuando estas personas lo requieran. Dejar de estar en lnea para un negocio virtual, es equivalente a cerrar las puertas al pblico. Otros conceptos importantes a la hora de realizar transacciones comerciales son: Identificacin: todo usuario del servicio (en cualquiera de sus partes) debe informar quin es al sistema. Autenticacin: el usuario identificado debe verificar y probar su identidad proveyendo informacin extra al sistema. En otras palabras, existen tres formas de autenticar a un usuario: Por algo que sabe: por ejemplo una clave o contrasea Por algo que tiene: por ejemplo una tarjeta o token 3 Por algo que es: por ejemplo identificacin de huella digital.

Se llama autenticacin fuerte cuando se utilizan dos de los mtodos anteriores en forma conjunta. Por ejemplo, estampa su huella digital y escribe su clave. Autorizacin: es el proceso por el cual el sistema otorga distintos niveles de permisos a los usuarios autenticados para acceder a determinados recursos del mismo. Auditoria o Trazabilidad: es el mtodo de control que asegura poder determinar en todo momento quin hizo qu en el sistema (ingreso al sistema, otorgamiento o denegacin de permisos o acceso, autenticacin, modificacin, eliminacin, ingreso de datos, salida del sistema, etc). Autenticidad de los datos y de su origen: se debe confirmar que la informacin proviene del origen que dice y del cual debe provenir y que la misma cumple con las triada CIA. No repudio: se debe asegurar que el origen o el destino nieguen haber recibido o haber enviado informacin.

Ms informacin: http://es.wikipedia.org/wiki/Token_de_seguridad

Seguridad en las transacciones comerciales en lnea

Si bien todas estas definiciones pueden parecer complejas y complicadas cada una de ellas asegura el funcionamiento del sistema virtual y si se lo extrapola al mundo fsico se encontrarn las similitudes apropiadas: 1. 2. Un comprador se presenta y se identifica delante del un vendedor diciendo su nombre y nmero de documento. El comprador se autentica presentando su cdula o una tarjeta (algo que tiene). As mismo el comprador tambin se identifica y autentica contra el sistema fiscal o un organismo de control. El vendedor verifica los datos y habilitando al comprador a realizar ciertas transacciones, lmites de montos, intereses, etc. (permisos). Una venta es registrada en un recibo de pago, un remito, una factura, un libro, etc. Es decir que la transaccin es registrada.

3. 4.

Los principios aplicados son los mismos y la tecnologa involucrada simplemente es una herramienta para realizar cada uno de los pasos. Obviamente, como en este mundo virtual tambin aplican las leyes bajo las cuales se puede llevar adelante un hecho delictivo o por el cual una transaccin puede no llegar a trmino o beneficiar a terceros no autorizados. Por ello, en el prximo mdulo se analizarn las formas ms comunes de estafas en lnea.

Seguridad en las transacciones comerciales en lnea

Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados. Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol. s.r.o., mencionados en este curso, son marcas registradas de sus respectivos propietarios y no guardan relacin con ESET, LLC y ESET, spol. s.r.o. ESET, 2012 Acerca de ESET Fundada en 1992, ESET es una compaa global de soluciones de software de seguridad que provee proteccin de ltima generacin contra amenazas informticas. La empresa cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (Mxico). Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compaa ofrece ESET Smart Security, la solucin unificada que integra la multipremiada proteccin proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversin (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploracin y un uso mnimo de los recursos. Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigacin focalizado en el descubrimiento proactivo de variadas amenazas informticas. La importancia de complementar la proteccin brindada por tecnologa lder en deteccin proactiva de amenazas con una navegacin y uso responsable del equipo, junto con el inters de fomentar la concientizacin de los usuarios en materia de seguridad informtica, convierten a las campaas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio. Para ms informacin, visite www.eset-la.com