Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
ELECTRONICO
La seguridad, tanto desde el punto de vista
tcnico, como desde el punto de vista de
percepcin de los usuarios, es un aspecto clave
para generar en las empresas y en los
consumidores la confianza necesaria para que el
comercio electrnico se desarrolle. La necesidad
de generar confianza, en la que coinciden
prcticamente todas las asociaciones de la
industria, administraciones, etc. es
especialmente importante debido al hecho de
que Internet es una red abierta y a la sensacin
de inseguridad que este hecho genera en los
usuarios.
Sin embargo, la seguridad de la red, en este caso
Internet, es solo uno de los factores que
intervienen en la seguridad del comercio
electrnico en conjunto. La resistencia de los
usuarios a, por ejemplo, enviar los datos de su
tarjeta de crdito a travs de Internet para
efectuar un pago se menciona frecuentemente
como una de las barreras iniciales para el
crecimiento del comercio electrnico.
Aunque esta barrera puede ser todava importante
en algunos pases, en Estados Unidos por ejemplo
(donde existe una mayor familiarizacin con el
comercio electrnico y, de hecho, con la venta a
distancia en general) se empieza a observar un
cambio en las preocupaciones de los usuarios. Ms
que de la seguridad del pago, los usuarios empiezan
a preocuparse sobre todo de problemas como es
el vendedor fiable?, podr devolver el producto si
no me gusta?, utilizar mis datos personales para
enviarme publicidad que no deseo?, ceder esos
datos a otras empresas?, en el caso de empresas
cul es la validez de un pedido, factura, etc.
hechos electrnicamente?
As, aunque las caractersticas de seguridad de las redes y
sistemas de comercio electrnico son, obviamente, muy
importantes, el hecho de que los usuarios consideren el
comercio electrnico como suficientemente seguro
probablemente depende menos de los detalles tcnicos, y
ms de otras cuestiones como la confianza que inspiren
las empresas vendedoras, financieras, etc.; la existencia y
difusin de normas que, por ejemplo, limiten la
responsabilidad del usuario en caso de uso indebido de
una tarjeta de crdito y que garanticen su derecho a
devolver un producto comprado electrnicamente; la
creacin de cdigos ticos de comportamiento de las
empresas y de procedimientos efectivos de solucin de
conflictos
Como es bien conocido, los medios de pago
tradicionales sufren numerosos problemas de
seguridad: falsificacin de billetes, falsificacin de
firmas, cheques sin fondo, etc. Por otro lado, los
medios de pago electrnicos, adems de estar
sujetos a los mismos problemas anteriores,
presentan riesgos adicionales, pues a diferencia del
papel, los documentos digitales pueden ser
copiados perfectamente y cuantas veces se desee,
las firmas digitales pueden ser falsificadas por
cualquiera que conozca la clave privada del
firmante, la identidad de una persona puede ser
asociada de forma inequvoca con la informacin
relacionada en cada pago, etc.
Es por ello que es necesario establecer nuevos
mecanismos de seguridad para los nuevos
medios de pago electrnicos, si se quiere que
tanto las entidades bancarias como los usuarios
finales acepten de forma generalizada estos
nuevos medios de pago. Por otro lado, si los
sistemas de pago electrnicos son bien
diseados, pueden proporcionar una mayor
seguridad y flexibilidad de uso que la ofrecida
por los medios de pago tradicionales
Tipos de Amenazas
Los sistemas pueden estar expuestos a distintos
tipos de amenazas o ataques, cuando se dice
sistema se refiere a un servicio disponible en una
red de comunicacin como lo es Internet. Pudiera
ser un servicio en lnea ofrecido por un computador
que se est ejecutando bajo un determinado
sistema operativo, o una pagina Web de una tienda
virtual. Los usuarios y los propietarios de estos
servicios son vctimas de cierto tipo de amenazas o
ataques, ellos pueden ser clasificados en varios
tipos.
Eavesdropping: este trmino pudiera significar
literalmente en el mbito telefnico, como
escuchar una conversacin sin autorizacin,
para nuestros efectos significa interceptar y
leer mensajes de o para una tienda virtual o
un servicio de comercio electrnico.
Masquerading o enmascarado: este termino
se refiere al envo o recepcin de mensajes
utilizando la identidad de una tienda virtual o
un servicio de comercio electrnico
Message tampering: este trmino se utilice
cuando se interceptan y se modifican
mensajes que son dirigidos hacia una tienda
virtual o un servicio de comercio electrnico.
Replaying: como su trmino lo indica no es
mas que la utilizacin de mensajes
previamente enviados para engaar y obtener
privilegios de una tienda virtual o un servicio
de comercio electrnico
Infiltration: este trmino se refiere al abuso
de una tienda virtual o un servicio de
comercio electrnico para ejecutar programas
maliciosos u hostiles en la maquina del
comprador.
Traffic analysis: este trmino se refiere al
observar el trfico de y hacia una tienda
virtual o un servicio de comercio electrnico.
Denial-of-service: este trmino se refiere a
impedir a una tienda virtual o un servicio de
comercio electrnico acceder a algunos de sus
recursos.
Servicios de Seguridad
Al realizar un anlisis de los riesgos que implica
el comercio electrnico, se debe definir un
poltica de seguridad donde se especifique cul
debe ser la informacin a asegurar. Una poltica
de seguridad no cubre todos los posibles riesgos
de un sistema, pero si cubre razonablemente la
mayora de las brechas entre los riesgos y los
recursos disponibles. Los servicios son
implementados por mecanismos de seguridad
que son realizados por algoritmos de
criptografa y protocolos de seguridad.
La organizacin Internacional para la
Estandarizacin (ISO) define los
servicios de seguridad bsicos de la
siguiente forma
Autenticacin: la cual asegura que la
identidad de la tienda virtual o el servicio de
comercio electrnico sea genuino.
Control de Acceso: la cual asegura que solo la
tienda virtual o el servicio de comercio
electrnico pueda tener acceso a recursos
protegidos.
Confidencialidad de la informacin: la cual
asegura que solo personas autorizadas pueden
leer los datos protegidos. Tambin es llamado
Privacidad.
Integridad de la informacin: la cual asegura
que los datos no van a ser alterados por
personas no autorizadas.
Nonrepudiation: la cual asegura que la tienda
virtual o el servicio de comercio electrnico no
puede ser impedida de realizar acciones y
modificaciones sobre la informacin.
Mecanismos de Seguridad
Los siguientes mecanismos de seguridad son los
utilizados para implementar los servicios de
seguridad:
Mecanismos de Encriptacin: protegen la
confidencialidad de la informacin utilizando
una clave disponible solo para una determina
persona o grupo.
Mecanismos de Firma Digital, la cual no es lo
mismo que la firma electrnica y es motivo para
muchas dudas al respecto. La firma digital no es
otra cosa que la utilizacin de un sistema de
encriptacin asimtrico en el cual existen dos
llaves, que consisten en una clave privada y una
clave pblica. La primera slo es conocida por el
particular, y la segunda es la clave que identifica
pblicamente a ese particular, de manera que
slo utilizando su clave pblica el mensaje
enviado por el interesado podr ser
desencriptado y por tanto legible.
El sistema es sencillo: el particular (persona fsica o
jurdica) despus de redactar el documento lo
encriptar con su clave privada, podr enviarlo a
travs de Internet (e-mail, chat, pgina Web) a su
destinatario final conociendo la direccin del
mismo, y este ltimo para poder descifrar el
mensaje recibido utilizar la clave pblica del
remitente. Este sistema nos permitir verificar que
el mensaje original no ha sido modificado en su
trayecto a travs de la Web, la autenticidad del
mensaje recibido, y por ltimo, la integridad del
mensaje en cuanto a la certeza y conclusin del
mismo.
Por su parte, la firma electrnica es cualquier
smbolo que utilicemos como identificador de
una persona en un determinado documento que
para su transmisin utilice medios electrnicos,
lo cual se asimila a la firma tradicional.
Mecanismos de Control de acceso: estn
relacionados con la autenticacin. Cada tienda
virtual o servicio de comercio electrnico tiene
asignado una serie de permisos de accesos, cada
acceso a un recurso protegido es mediado por
una computadora la cual es llamada monitor de
referencia y para poder utilizar estos permisos
de accesos, este tiene que ser autenticado
primero.
Mecanismos de Integridad de la Informacin:
protegen la informacin de modificaciones no
autorizadas, pudiendo utilizar diversos
mtodos como firmas digitales o algn otro.
Mecanismos de Confrontacin de Trfico,
estos ofrecen proteccin contra el anlisis del
trfico. Muchas veces se pueden sacar
conclusiones del solo hecho de observar el
trafico entre dos tiendas virtuales o de servicio
de comercio electrnico.
Mecanismos de Notarizacin: estos son
provistos por terceras personas, las cuales
deben ser confiables para todos los
participantes. El notario puede asegurar
integridad, origen, fecha, hora y destino de la
informacin.
Seguridad en el Pago Electrnico
El pago electrnicamente no es nada nuevo. El
dinero electrnico ha sido utilizado entre los
bancos en forma de transferencias desde 1960.
Desde casi ese mismo tiempo los clientes han
podido realizar retiros de dinero de Cajeros
Automticos.
La seguridad en el pago electrnico se puede
dividir en tres grupos.
El primer grupo se refiere a todos los sistemas
de pagos electrnicos y a los instrumentos de
pago:
Transacciones de Pago: estas son la ejecucin
de un protocolo por el cual una cantidad de
dinero es timada de un comprador y se la
suministra a un vendedor. Los mecanismos de
seguridad que se implementan en las
transacciones de pago son las siguientes:
Anonimidad del usuario: protege la identidad
del usuario en una transaccin en la red.
Despistaje de rastreo de lugar de la
transaccin: protege de que descubran el
lugar donde la transaccin es originada.
Anonimidad del Comprador: protege la
identidad del comprador en una transaccin.
No-rastreo de transaccin de pago: protege
contra el enlace de dos transacciones de pago
diferentes que incluyan al mismo cliente.
Confidencialidad de la informacin de la
transaccin de pago: la cual protege
selectivamente partes de la transaccin de
pago para que puedan ser vistas por las
personas autorizadas.
El prximo grupo de servicios es tpico de
sistemas de pagos que utilizan dinero digital
como instrumento de pago.