Está en la página 1de 44

Turban , E . ( 2006 ) . Seguridad en el comercio electrónico .

En Electronic commerce : a managerial
perspective (pp.457-491)(792p.) (Trad. Universidad ESAN). Nueva Jersey : Pearson Education. (C30954)
13351
"'
1:1,
... ' '
- ' '
1 1
' u
SEGURIDAD EN EL
COMERCIO ELECTRÓNICO
11.1
11.2
11 .. 3
11.4
11.5·
11.6.
11.7
mas Gerenciales . ,, ,,-_,-. " _ _ _ .· :
'Caso del MundO Real::l,Realinente'Necesftó EstQ?
.- - -- _.·· ;:;:·_· ·-·- · __ ·
Objetivos de Aprendizaje
Al terminar este capítulo, usted será capaz de:
1. Documentar las tendencias de ataques a la segu-
ridad de computadoras y redes
2. Describir las prácticas de seguridad comunes en
empresas de todos los tamaños
3. Comprender los elementos básicos de la seguri-
dad en el CE
4. Explicar los tipos básicos de ataques a la seguri-
dad de las redes
5. Describir los errores comunes que cometen las or-
ganizaciones al administrar la seguridad
6. Discutir algunas de las principales tecnologías de
protección de las comunicaciones del CE
7. Detallar algunas de las principales tecnologías
para proteger los componentes de las redes de CE
*Traducido de: TURBAN. E. (2006). Seguridad en el Comercio Electrónico. En su Electronic Commerce. New
Jersey: Pearson Education, Cap. 11, pp. 457-491.
Material didáctico reproducido en ESAN para su uso exclus1vo en clase.
2 Seguridad en el Comercio Electrónico
PHISHING
El Problema
Ataque phishing
El 17 de noviembre de 2003, cierto número de clientes de eBay recibió un correo elec-
trónico notificándoles que sus cuentas estaban en peligro y que se las estaba restrin-
giendo. El mensaje contenía un hipervínculo a una página Web de eBay donde podían
registrarse. Todo lo que debían hacer era ingresar la información de su t a ~ e t a de crédi-
to, su número de Seguro Social, fecha de nacimiento, nombre de soltera de la madre, y
los nUmeras de identificación personal de ATM. El único problema era que eBay no
había enviado el correo electrónico, y que la página Web a la que habían dirigido a los
cuenta-habientes no pertenecía a eBay. Aunque la página parecía real, teniendo el lago
de eBay y un aspecto y sensación familiar, la página era en realidad parte de un sitio
falso dirigido por estafadores de Internet. Los clientes de eBay que se registraron fue-
ron víctimas de un ataque phishing.
Un engaño de alta tecnolo-
gía que emplea el correo
electrónico, mensajes
emergentes (pop-up), o pá-
ginas Web para engañar al
usuario y hacerlo revelar in-
formación delicada como
los números de t a ~ e t a de
crédito, los números de
cuentas bancarias, y con-
traseñas.
La Solución
Los ataques phishing no son nuevos. Lo que es nuevo es
el método. En el pasado, los artistas del engaño contaban
con el teléfono. Hoy, cuentan con correo electrónico fal-
seado (spam), mensajes emergentes (pop-up) fraudulentos,
o páginas Web falsas para engañar a las víctimas hacién-
dolas creer que están tratando con una empresa legitima.
El mensaje normalmente enlaza a los confiados receptores
con un sitio Web en el que se les pide que actualicen o va-
liden su información de cuenta. Aunque el sitio Web pare-
ce legitimo, no lo es. En este sitio falso, las víctimas son
manipuladas a revelar sus números de t a ~ e t a de crédito,
números de cuenta, nombres de usuario, contraseñas, nú-
meros de Seguro Social, u otra información delicada. La
información se emplea luego para perpetrar fraude con las
tarjetas de crédito o robo de identidad.
El Anti-Phishing Working GroupNT (APWG; antiphishing.org)
es una asociación de la industria abocada a la eliminación
del robo de identidad y del fraude resultante del phishing y
del falseamiento de correo electrónico. En julio de 2004,
se reportó al grupo 1,974 ataques de phishing indiv"1duales,
un 39 por ciento por encima de junio de 2004. El sector
de la industria más golpeado fue el de los seiVicios finan-
cieros (1,649 de 1,974 reportes). Las marcas más elegi-
das fueron Citibank, U.S. Bank, eBay, y PayPal (1,191 de
1,974 reportes). Los Estados Unidos presentan el mayor
porcentaje de sitios de phishing (35 por ciento), seguido de
Corea del Sur, China y Rusia. Para evitar ser detectados,
Los Resultados
El Anti-Phishing Working Group estima que aproximada-
mente un 5 por ciento de los receptores responde a los
ataques de phishing. El impacto económico general de
estos ataques es incierto. Aunque existen leyes escritas
contra el correo electrónico no deseado y el robo de iden-
(LO QUE PODEMOS APRENDER ...
la mayoría de los sitios de phishing tienen una corta dura-
ción, existiendo en promedio alrededor de 6 días.
Las compañías de seguridad computacional como VeriSign
(verisign.com) y NameProtect (nameprotect.com) trabajan
para detener los ataques de phishing. Ambas compañías
ofrecen seiVicios que buscan denodadamente en la Web
(servidores de nombres de dominio, páginas, sitios, grupos
de noticias, salas de conversación, etc.) señales de activi-
dad de phishing. Compañías como MasterCard y otras
empresas financieras y de venta al por menor emplean
estos servicios. Una vez hallada, la información sobre las
actividades ilegales se pasa al cliente que paga por el ser-
vicio y a las autoridades encargadas de hacer cumplir la
ley.
Aunque los seiVicios dan asistencia a las compañías cu-
yas marcas son explotadas, brindan poca ayuda directa a
individuos estafados. En tal caso, depende realmente de
los individuos el evitar ser engañados. Como sugiere la
Federal Trade Commission (FTC) (2004), los individuos
deben:
• Evitar responder a correos electrónicos o a mensajes
emergentes que sor1citen información personal.
• Evitar enviar información personal o financiera.
• Revisar los estados de cuenta de las t a ~ e t a s de cré-
dito y bancarias.
• Emplear software antivirus y mantenerlo actualizado.
• Tener cuidado al abrir cualquier adjunto o bajar cual-
quier archivo recibido por correo electrónico.
• Reportar cualquier actividad sospechosa a la FTC.
tidad, ambas actividades están proliferando. A la fecha,
virtualmente no ha habido juicios contra los perpetradores
de ataques phishing.
Fuente: APWG (2004), FTC (2004).
)
Cualquier tipo de CE involucra a un número de jugadores que usan una diversidad de aplicaciones que brindan acceso a una
variedad de fuentes de datos. La masiva cantidad de números e interconexiones son los que hacen la seguridad del CE tan difí-
cil. Un perpetrador sólo requiere una única debilidad para poder atacar el sistema. Algunos ataques requieren técnicas y tecno-
logías sofisticadas. Muchas, sin embargo, son como los engaños perpetrados por los ataques de phishing -técrúcas simples al
acecho de pobres prácticas de seguridad y de la debilidad humana. Ya que la mayoría de los ataques son poco sofisticados, se
puede emplear procedimientos estándares de administración del riesgo en seguridad para minimizar su probabilidad e impacto.
Este capítulo se enfoca en los temas básicos de seguridad en el CE, los principales tipos de ataques que se perpetran contra las
redes de CE y las transacciones, y los procedimientos y tecnologías que se pueden emplear para solucionar esos ataques. Dado
que la seguridad es un problema de múltiples facetas y altamente técnico, sus complejidades no pueden tratarse en un solo capí-
tulo. Los lectores interesados en una discusión más exhaustiva deben revisar Panko (2003) o Thomas (2004).
Seguridad en el Comercio Electrónico
11.1 LA NECESIDAD CONTINUA DE SEGURIDAD EN EL
COMERCIO ELECTRÓNICO
3
La evidencia de una serie de encuestas sobre seguridad brinda una imagen ambivalente de la
incidencia de los ciber-ataques y ciber-crímenes en el CE. La encuesta más conocida y más am-
pliamente citada es la conducida por el Computer Security Institute (CSI) y el Computer Intrusion
Squad Nl de la Federal Bureau of Investigations (FBI) de San Francisco. Esta encuesta se desa-
rrolla anualmente desde 1999. Los resultados de la encuesta de 2004 se basan en respuestas de
494 practicantes de seguridad computacional en corporaciones, agcncios de gobierno, institucio-
nes financieras, instituciones médicas, y universidades norteamericanas. Sus respuestas refuer-
Lan las tendencias que comenzaron en 2001 (ver el archivo en línea W11.1 sobre una discusión
de las tendencias de 2001 y 2002). Algunas tendencias específicas incluyen las siguientes (CSI y
FBI 2004)'
Computer Security lnstitute (CSI) Organización sin fines de lucro ubicada en San Francisco California,
que se dedica a servir y entrenar a profesionales de seguridad de información, computadoras y redes.
l. Por cuarto año consecutivo, la frecuencia en general de ataques exitosos a sistemas
computacionales declinó. En 2001, el porcentaje de encuestados que indicaba que sus siste-
mas de computación organizacionales habían experimentado uso no autorizado fue de aproxi-
madamente 65 por ciento. En 2004, el porcentaje fue de 53 por ciento. Entre aquellas orga-
nizaciones que experimentaron un uso no autorizado, el número medio de incidentes fue de
entre uno y cinco. El año pasado la mediana fue de 6 a 10 incidentes.
2. La incidencia de todos los tipos de ataque o malos usos ha disminuido. De las 280 organiza-
ciones que fueron víctimas, el porcentaje de compañías que sufrieron un ataque exitoso por
virus fue de 78 por ciento. El año previo, el porcentaje fue de 83 por ciento. El porcentaje de
organizaciones atacadas que experimentaron abuso interno de acceso a la red cayó de 80 por
ciento en 2003 a 59 por ciento en 2004. Similarmente, para esas mismas organizaciones, el
porcentaje que experimentó ataques de denegación de servicio disminuyó sustancialmente,
de 37 por ciento en 2003 a 17 por ciento en 2004.
3. Como en el pasado, la mayor parte de los encuestados no fue capaz o no estuvo dispuesta a
estimar las pérdidas en dólares resultantes de los ataques o del mal uso. Entre los que sí los
reportaron, hubo una disminución significativa en el total de pérdidas reportadas. En 2004,
las pérdidas totales fueron de aproximadamente $140 millones, por debajo de los $202 mi-
llones en 2003. Los ataques de virus y de denegación de servicios alcanzaron aproximada-
mente $81 millones de dichas pérdidas. Este fue un cambio significativo con respecto a años
anteriores, en los que las pérdidas principales eran resultado de robos de información pro-
pietaria.
4. La mayoría de las organizaciones de la encuesta realizan auditorías de seguridad y emplean
una variedad de tecnologías y procedimientos para defenderse contra los ataques cibernéticos.
Virtualmente todos los encuestados indicaron que emplearon software y firewalls antivirus.
Entre 65 y 70 por ciento también emplean listas de control de acceso, detección de intrusos,
y encriptación de datos.
5. Las organizaciones aún son relicenles a reportdr Id:; intrusiones computacionales a las auto-
ridades legales. Menos del 50 por ciento de los encuestados lo hicieron en 2004. La mayoría
de las organizaciones indicaron que no reportaban las intrusiones porque temían a la mala
publicidad o se preocupaban de que sus competidores lo usaran contra ellos.
Al contrario de la disminución mencionada en la encuesta de la CSI/FBI, los resultados de
los datos y de la encuesta del Computer Emergency Response Team (CERT) (cert.org) de la Uni-
versidad Carnegie Mellan (CMU) indicaron que los ataques cibernéticos estaban en aumento.
CERT es un centro de fondos federales para la investigación y desarrollo ubicado en el Instituto
de Ingeniería del Software de la CMU. Fue establecido en 1988 para manejar temas de seguri-
dad en Internet. Hoy, el CERT trabaja con la seguridad del Department of Homeland para co-
ordinar respuestas a peligros a la seguridad; identificar tendencias en la actividad intromisiva;
identificar soluciones a los problemas de seguridad; y diseminar información a la comunidad.
4 Segun'dad en el Comercio Electrónico
Computer Emergency Response Team (CERT) Grupo de tres equipos de la Universidad de Camegie
Mellen que monitorizan la incidencia de ataques cibernéticos, analizan la vulnerabilidad, y brindan aseso-
ría para la protección contra ataques.
Desde un principio, el CERT ha recibido reportes de incidentes de ataques cibernéticos des-
de sitios de Internet. En 2003, el número de incidentes reportados fue de aproximadamente
138,000, sustancialmente por encima de los 82,000 incidentes reportados en2002 (CERT/CC 2002).
De hecho, el dramático incremento de incidentes causó que el CERT diera por terminada la re-
colección y reporte de datos incidentales. En vez de ello, el CERT trabaja ahora con el Servicio
Secreto de los EEUU y la CSO Magazine para realizar una encuesta de supervisión del crimen
electrónico. La encuesta de 2004 (CSO Magazine 2004) se realizó en abril de ese año e involucró
a 500 profesionales de seguridad y de cumplimiento de las leyes. Setenta por ciento reportó que
sus organizaciones experimentaron por lo menos un crimen electrónico o intromisión, y 43 por
ciento reportó que el número de incidentes había crecido con respecto al año previo. El costo
total de estos incidentes fue de aproximadamente $666 millones. Del mismo modo que los en-
trevistados en la encuesta de la CSI/FBI, los que respondieron a la encuesta de supervisión del
crimen electrónico indicaron que emplearon una serie de tecnologias para combatir los críme-
nes electrónicos, incluyendo firewalls (98 por ciento), sistemas de seguridad física (94 por cien-
to), y administración manual de parches (91 por ciento). A la mayoría de los encuestados los
fircwalls les parecieron muy efectivos, mientras que la administración de parches les pareció muy
inefectiva.
Aunque las dos encuestas ofrecen distintos panoramas sobre las tendencias del crimen
cibernético e intromisiones, ambas brindan una amplia evidencia de que la seguridad en el co-
mercio electrónico es aún un problema importante que puede resultar en significativas pérdidas
financieras para la organización. Las organizaciones continúan tomando el problema seriamen-
te y realizan esfuerzos considerables para desbaratar estas actividades no autorizadas e ilegales.
Sección 11.1 " PREGUNTAS DE REVISIÓN
1. ¿Los crímenes cibernéticos están aumentando o disminuyendo?
2. ¿Qué tipos de tecnologías o procedimientos emplean las organizaciones para combatir los ata-
ques cibernéticos?
3. ¿Qué es el CERT?
11.2 LA SEGURIDAD ES ASUNTO DE TODOS
Ya que la tecnología en la que se basa el comercio electrónico se ha vuelto más compleja y eme-
vesada, las oportunidades de intromisión y ataque se han incrementado. No sólo son más vul-
nE'rables los componentes subyacentes, sino que también son más difíciles de administrar. Los
hackers adolescentes, espías industriales, intrusos corporativos, agentes de gobiernos extranje-
ros, y elementos criminales se han aprovechado de esta situación. La variedad de posibles
perpetradores hace difícil impedir los ataques potenciales y detectarlos una vez ocurridos.
Según la International Data Corporation (IDC), el gasto a nivel mundial en seguridad digital
corporativa fue de más de $70 billones en 2003, incluyendo los costos asociados con gente, pro-
ductos, y servicios (Market Research Summaries 2003). La IDC estima que las cifras alcanzarán
los $116 billones para 2007. Aunque el gasto en seguridad se ha incrementado significativamente,
las compaftías en promedio aun gastan muy poco de su presupuesto de TI en seguridad y muy
poco por empleado {en el Archivo en Línea W11.2 se puede ver una discusión de los patrones
de gasto en seguridad básica según el tamaño organizacional).
Ya que la Internet sirve ahora como un sistema de control para muchas de nuestras
infraestructuras críticas -privadas y públicas, cibernéticas y físicas, locales y globales -la seguri-
dad ya no puede depender sólo de los esfuerzos de las organizaciones individuales. En vez de
ello, también debe ser revisada desde una perspectiva nacional e internacional. En los Estados
Unidos, la coordinación de los esfuerzos de seguridad recae en el Department of Homeland
Security (DHS). Hacia este fin, el DHS formuló La Estrategia Nacional de Protección del Ciberesptuio
(Department of Homeland Security 2004). La estrategia del DHS incluye cinco prioridades na-
cionales:
Seguridad en el Comercio Electrónico
5
-¡ Un sistema nacional de respuesta de seguridad del ciberespacio
2. Un tratado nacional de seguridad del ciberespacio y un programa de reducción de vulnera-
bilidad
3. Un programa nacional de concientización y entrenamiento sobre seguridad en el ciberespacio
4. Aseguramiento del ciberespacio gubernamental
5. Cooperación de seguridad nacional e internacional
Lograr estas prioridades requiere un esfuerzo concertado en cinco niveles:
• Nivel 1 -El Usuario en el Hogar 1 Pequeña Empresa. Aunque no son necesariamente parte
de la infraestructura crítica, las computadoras desprotegidas de los hogares y de las peque-
ñas empresas pueden ser usadas por hackers como base de operaciones desde las cuales ata-
car nodos clave de Internet, empresas importantes, o infraestructura crítica.
• Nivel 2 - Grandes Empresas. Son objetivos comunes de los ataques cibernéticos. Muchas
de estas empresas son parte de la infraestructura critica. Como tales, estas empresas son ele-
mentos clave para el aseguramiento del ciberespacio.
• Nivel 3 - Sectores 1 Infraestructura Crítica. El peso de la seguridad impuesto a las empre-
sas individuales se puede reducir si las organizaciones del sector privado se reúnen con or-
ganizaciones gubernamentales y académicas para solucionar problemas comunes de seguri-
dad cibernética. Como ejemplo, varios sectores han formado los Information Sharing and
Analysis Centers (ISACs) no sólo para monitorizar los ciber-ataques, sino también para com-
partir información sobre tendencias, debilidades, y mejores prácticas.
• Nivel 4- Asuntos y Vulnerabilidades Nacionales. Algunos problemas de seguridad ciber-
nética tienen implicaciones nacionales. Ya que todos los sectores comparten la Internet, cual-
quier debilidad en su infraestructura subyacente (p. Ej. protocolos) requiere actividades co-
ordinadas para solucionar el problema. Lo mismo es cierto para las debilidades en los pro-
ductos de software y hardware de amplio uso (p. Ej. el sistema operativo Windows de
Microsoft).
• Nivel 5- Global. Los límites de la Internet son globales. Los problemas de seguridad ciber-
nética que afectan una parte del mundo pueden potencialmente impactar otra parte. Se re-
quiere de la cooperación internacional para compartir información y procesar a los crimina-
les cibernéticos, para detectar, impedir, y minimizar el impacto de los ciber ataques.
En junio de 2003, el DHS creó la National Cyber Security Division {NCSD) para implementar
la estrategia de seguridad de los EEUU en el ciberespacio. Más específicamente, a la NCSD
se le encargó identificar, analizar, y reducir los peligros y vulnerabilidades cibernéticos; dise-
minar información de advertencia sobre peligros; coordinar respuestas a incidentes; y brin-
dar apoyo técnico sobre continuidad de operaciones y planeamiento de recuperación.
National Cyber Security Division (NCSD) La división del Department of Homeland Security encargada
de implementar la estrategia de los EEUU de seguridad en el ciberespacio.
Sección 11.2 PREGUNTAS DE REVISIÓN
1. ¿Cuáles son las principales prioridades de la Estrategia Nacional de Protección del
Ciberespacio?
2. ¿Qué sectores revisa la Estrategia Nacional de Protección del Ciberespacio?
3. ¿Qué es la National Cyber Security Division (NCSD)?
11.3 TEMAS BÁSICOS DE SEGURIDAD
La seguridad del CE involucra más que sólo prevenir y responder a los ataques cibernéticos y a
las intromisiones. Considere, por ejemplo, la situación en la cual un usuario se conecta a un
servidor Web en un sitio de ventas para obtener literatura sobre un producto. A cambio, al usua-
rio se le pide llenar un formato Web en el que brinde alguna información demográfica y otro
tipo de información personal para recibir la literatura. En esta situación, ¿qué tipos de proble-
mas de seguridad pueden surgir?
Desde la perspectiva del usuario:
6
Seguridad en el Comercio Electrónico
• ¿Cómo puede estar seguro el usuario de que el servidor Web es propiedad de y está opera-
do por una compañia auténtica?
• ¿Cómo puede saber el usuario que la página y el formato Web no contienen ningón código
o contenido malicioso o peligroso?
• ¿Cómo puede saber el usuario que el dueño de la página Web no distribuirá la información
que brinda el usuario a algún tercero?
Desde la perspectiva de la compañía:
• ¿Cómo puede saber la compañia que el usuario no intentará introducirse al servidor Web o
alterará las páginas y contenido del sitio?
• ¿Cómo puede saber la compañía que el usuario no tratará de interrumpir el servidor para
que ya no esté disponible para otros?
Desde la perspectiva de ambas partes:
• ¿Cómo pueden saber ambas partes que la conexión de red es libre de espionaje de terceros
que estén "escuchando" en línea?
• ¿Cómo pueden saber que la información enviada de ida y vuelta entre el servidor y el
navegador del usuario no ha sido alterada?
Estas preguntas ilustran los tipos de problemas de seguridad que pueden surgir en una tran-
sacción de CE. En las transacciones que involucran pagos electrónicos, se debe confrontar otros
tipos de problemas de seguridad. La siguiente lista resume algunos de los principales proble-
mas de seguridad que pueden ocurrir en el CE:
• Autenticación, Cuando los usuarios ven la página Web de un sitio Web, ¿cómo pueden es-
tar seguros de que el sitio no es fraudulento? Si una persona hace un pago de impuestos
electrónicamente, ¿cómo puede saber este contribuyente que el pago ha sido enviado a la
autoridad tributaria? Si una persona recibe un correo electrónico, ¿cómo puede estar segura
de que el emisor es quien declara ser? El proceso por el cual una entidad verifica que otra
entidad es quien dice ser se llama autenticación. La autenticación requiere evidencia en for-
ma de credenciales, las cuales pueden tener una variedad de formas, incluyendo algo cono-
cido (p. Ej. una contraseña), algo procesado (p. Ej. una tarjeta inteligente (smart card)), o algo
único (p. Ej. una firma).
Autenticación El proceso por el cual una entidad verifica que otra entidad es quien dice ser.
• Autorización. Una vez autenticada, ¿una persona o programa tiene derecho a acceder a da-
tos programas en particular o a recursos del sistema (p. Ej. archivos, registros, directorios,
cte.)? La autorización asegura que una persona o programa tenga el derecho a acceder a cier-
tos recursos. Usualmente se determina comparando información acerca de la persona o pro-
grama con información de control de acceso asociada con el recurso accedido.
Autorización El proceso que asegura que una persona tenga el derecho de acceder a ciertos recursos.
• Auditoría. Si una persona o programa accede a un sitio Web, varias porciones de informa-
ción se anotan en un archivo de registro. Si una persona o programa corre preguntas a una
base de datos, dicha acción también es anotada en un archivo de registro. El proceso de
recolectar información sobre el acceso a recursos en particular, usando privilegios en parti-
cular, o desarrollando otras acciones de seguridad (sea exitosamente o no) se conoce como
auditoría. Las auditorías brindan un medio para reconstruir acciones específicas que selle-
varon a cabo y a menudo permiten al personal de TI identificar a la persona o programa
que rlo'alizó las acciones.
Auditoría El proceso de recolectar información sobre los intentos de acceder a recursos en particular, el
uso de privilegios particulares, o el realizar otras acciones de seguridad.
Seguridad en el Comercio Electrónico
7
• Confidencialidad (Privacidad). La idea detrás de la confidencialidad es que la
ción que es privada o delicada no se debe revelar a individuos, entidades o procesos de
ware de computación no autorizados. Está íntimamente relacionada con la noción de la
privacidad digital, la cual es hoy un tema regulado en muchos países. Algunos ejemplos
de cosas que deben ser confidenciales son los secretos de comercio, planes de negocio,
gistros de salud, números de tarjetas de crédito, e incluso el hecho de que una persona
te un sitio Web en particular. La confidencialidad requiere que la gente y las compañías
sepan qué datos o aplicaciones quieren proteger y quién debe tener acceso a ellos. La
confidencialidad a menudo se asegura a través de la encriptación.
Confidencialidad Evitar el revelar información privada o delicada a individuos, entidades, o procesos no
autorizados.
• Integridad. Los datos se pueden alterar o destruir mientras están en tránsito o luego de su
almacenaje. La capacidad de proteger los datos de la alteración o destrucción de manera no
<1utorízada o accidental se conoce como integridad. Las transacciones financieras son un
plo de datos cuya integridad requiere ser asegurada. De nuevo, la encriptación es una
ncra de proteger la integridad de los datos mientras están en tránsito.
Integridad De acuerdo a su aplicación a los datos, la capacidad de proteger los datos de ser alterados o
destruidos de manera automatizada o accidental.
• Disponibilidad. Si una persona trata de ejecutar una compra/venta de acciones a través
de un servicio en línea, entonces el servicio tiene que estar disponible prácticamente en
po real. Un sitio en linea se encuentra disponible si una persona o programa puede acceder
a las páginas, datos, o servicios que brinda el sitio cuando los necesita. Las tecnologías como
el hardware y software de balance de carga están dirigidas a asegurar la disponibilidad.
• No repudio. Si una persona ordena un articulo a través de un catálogo por correo y paga
con un cheque, resulta difícil cuestionar la veracidad de la orden. Si el mismo artículo se
ordena a través del número "1-800" de una compañía y la persona paga con tarjeta de cré-
dito, entonces siempre queda lugar a disputa. De manera similar, si una persona usa el si-
tio Web de una compañía y paga con tarjeta de crédito, la persona puede siempre reclamar
que no colocó la orden. El no repudio es la capacidad de limitar a las partes el negar una
acción legítima que tuvo lugar. Una de las piezas clave del no repudio es la "firma" que
dificulta a una persona negar que estuviera involucrada en un intercambio.
No repudio la capacidad de limitar a las partes el denegar que una transacción legitima haya tenido
lugar, a menudo a través de una firma.
El Cuadro 11.1 describe algunos de los principales componentes involucrados en la mayoría
de las aplicaciones de CE e indica en dónde entran en juego los temas de seguridad
dos más arriba. Es seguro decir que virtualmente cada componente de una aplicación de CE
está sujeta a algún tipo de amenaza a su seguridad.
Sección 11.3 PREGUNTAS DE REVISIÓN
1. Si un cliente adquiere un artículo de una tienda en línea, ¿cuáles son algunas de las preocupa-
ciones que pueden surgir?
2. ¿Cuáles son los principales problemas de seguridad que enfrentan los sitios de CE?
Seguridad en el Comercio Electrónico
:C:='drir11.1 Problemas'Genérales de Se uridad en los Sitios de CE
Navegador Web
subp-ogramas
Java rApplets'),
Corrponentes Activ eX
8 cripts en T errrinale
'
S



Autenticación

y"'
Privacidad!
lntegndad
Servidcr
Web
=
--
--
--
-.
P ro gratll3 s CG 1
Scripls en
Servido
Cold Fu ::ion, 01 ros
Co rrpo nentes
o--o
o--o
D--O

, ..
-.
..&.... 1 ..
............
Autenticación
Autor i!:ac ión
Auditoría
No rePJdiación
Base de Datos


Privaci::lad/
lntegri:lad
Fuente: Scambray, J. et. al. Hacking Exposed. 2da ed. Nueva York: McGraw·Hill, 2000. Derechos de
autor (e) McGraw-Hill Companies.
11.4 Tipos de Amenazas y Ataques
Los expertos en seguridad distinguen entre dos tipos de ataques -no técnicos y técnicos. Los
ataques no técnicos son aquellos en los que el perpetrador usa artimañas o algún otro tipo de
persuasión para engañar a la gente y hacerlas revelar información delicada o ejecutar acciones
que pueden emplearse para comprometer la seguridad de una red. Estos ataques también se
conocen como ingeniería social. Los ataques phishing descritos anteriormente corresponden a este
tipo. En contraste, se emplea software y conocimiento de sistemas para perpetrar los ataques téc-
mcos. Un virus de computadora es un ejemplo de un ataque técnico. A menudo, los ataques
incluyen una combinación de los dos tipos mencionados. Por ejemplo, un intruso puede usar
una herramienta automatizada para colocar un mensaje en un servicio de mensajería instantá-
nea. El mensaje puede ofrecer la oportunidad de bajar software de interés al lector (p. Ej. soft-
ware para bajar música o videos). Si un despreocupado lector baja el software malicioso, este
automáticamente corre en su computadora, permitiendo al intruso tomar control de la máquina
y emplearla para perpetrar un ataque técnico.
Ataque no técnico Un ataque que emplea artimañas para engañar a la gente y hacerlas revelar informa-
ción delicada o realizar acciones que comprometan la seguridad de la red.
ATAQUES NO TÉCNICOS: INGENIERiA SOCIAL
El personal de TI tiende a concentrarse en el lado técnico de la seguridad de las redes -firewalls,
encriptación, firmas digitales, y similares. Sin embargo, el verdadero talón de Aquiles de lama-
yoría de las redes son los humanos que las usan. Engañar a usuarios individuales para que brin-
den información o para que realicen acciones que parecen inocuas pero que no lo son se conoce
como ingeniería social. La ingeniería social está al acecho de la disposición de ayuda de los
individuos, de los temores a meterse en problemas de los mismos, o de la confianza que existe
en general entre ellos.
lngenieria social Un tipo de ataque no técnico que emplea presiones sociales para engañar a los usua-
rios de computadoras y hacerlos poner en peligro las redes de computación a las que tienen acceso.
Seguridad en el Comercio Electrónico
9
Considere, por ejemplo, el siguiente correo electrónico que fue recibido por uno de los auto-
res en este lugar de trabajo:
E ~ timado usuario de xyz.com,
Hemos detectado que su cuenta de correo electrónico fue empleada para enviar una gran cantidad de
correo no deseado durante la presente semana. Obviamente, su computadora ha sido intervenida y
ahora corre un servidor proxy troyano.
Recomendamos siga las instrucciones del adjunto (xyz.com.zip) para mantener a salvo su computado-
m.
Atentamente,
Equipo técnico de soporte de xyz.com
El mensaje fue enviado desde el correo electrónico PostMaster@xyz.com y parece ser una so-
licitud auténtica del equipo de soporte técnico de la compañía. El emisor está empleando la au-
toridad del equipo de soporte técnico y jugando con los temores del receptor de que ha hecho
algo malo y de que necesita cumplir con la solicitud para rectificar la situación. Sin embargo, al
abrir el archivo zip adjunto instalará el servidor proxy caballo de Troya que le están solicitando
remover. Este es básicamente un ataque de ingeniería social ya que es decisión del receptor el
abrir el archivo zip, lo que determina si el ataque resulta exitoso mas no así las habilidades téc-
nicas del emisor.
Existen dos categorías de ingeniería social -basada en el ser humano y basada en computa-
doras. La ingeniería social basada en el ser humano depende de métodos tradicionales de co-
municación {en persona o por teléfono). Por ejemplo, un hacker haciéndose pasar por personal
de soporte de TI puede llamar a un empleado y simplemente preguntarle su contraseña bajo el
engaño de que el personal de TI necesita resolver un problema con el sistema. O, un hacker
¡:KJdría voltear el juego. El hacker, haciéndose pasar por un funcionario de la compañia, puede
llamar al personal de soporte de TI y solicitarles una clave que alegará haber perdido. Por te-
mor a parecer poco colaborador con la alta gerencia, el personal de soporte de TI accede. Tam-
bién es bastante notorio el hecho de que los empleados escriben sus contraseñas en notas
autoadhesivas o en los calendarios del escritorio, las cuales pueden ser vistas con facilidad por
la gente que pasa o son descartados en la basura y luego recogidos por los hackers.
En la ingeniería social basada en computadoras, se emplea varias tácticas para incentivar a
los individuos a brindar información delicada. Por ejemplo, un hacker puede simplemente en-
viar un correo electrónico solicitando información delicada o crear una página Web que simu-
lando un formulario parezca una solicitud auténtica de acceso a la red que pide identificación
de usuario y contraseña. En los óltimos dos años, las salas de conversación en Internet y los
mensajeros instantáneos también han sido usados para perpetrar ataques de ingeniería social.
Kevin Mitnick, quien pasó 5 años en prisión por irrumpir y entrar en computadoras, y cuyas
hazañas fueron documentadas en el libro récord de ventas Takedown (Shinomura 1996), fue cita-
do diciendo que más de la mitad de sus ataques exitosos se llevaron a cabo a través de la inge-
niería social. Desde la perspectiva de Mitnick (Mitnick y Simon 2002), la clave de la ingeniería
social exitosa es la confianza: "Uno trata de construir una conexión emocional con la persona en
el otro lado para crear un sentimiento de confianza. Esa es toda la idea: el crear un sentimiento
de confianza y luego explotarlo" (citado en Lemas 2000).
Ya que la clave para una ingeniería social exitosa recae en las víctimas, la clave para comba-
tir dichos ataques también reside en ellas. Ciertas posiciones de una organización son claramente
más vulnerables que otras. Estos son los individuos que tienen acceso a información privada y
confidencial y que interactóan con el público con frecuencia. Algunas de las posiciones con este
tipo de acceso y contacto son las secretarias y asistentes ejecutivos, los administradores de bases
de datos y redes, los operadores de computadoras, los operadores de los centros de llamadas, y
los asistentes de apoyo en TI.
Se debe emplear una aproximación desde varios frentes para combatir la ingeniería social
(Damle 2002):
• Educación y entrenamiento: Todo el personal, pero especialmente aquellos en posiciones vul-
nerables, deben ser educados sobre los riesgos asociados con la ingeniería social, las técnicas
de la ingeniería social empleadas por los hackers, y las formas y medios para combatir estos
ataques.
1 O
Seguridad en el Comercio Electrónico
• Políticas y procedimientos: Se requiere desarrollar políticas y procedimientos específicos para
proteger la información confidenóal, guiando el comportamiento de los empleados con res-
pecto a la información confidencial, y tomando los pasos necesarios para responder a y re-
portar cualquier infiltración de ingeniería sociaL
• Pruebas de penetración. Las políticas, procedimientos y respuestas de los individuos del per-
sonal deben probarse regularmente por expertos externos, haciéndose pasar por hackers. De-
bido a la posibilidad de efectos adversos en la moral de los empleados o ejecutivos, deben
dar retroalimentación luego de la prueba de penetración, y toda debilidad debe ser corregi-
da.
ATAQUES TÉCNICOS
En contraste con los ataques no técnicos, el conocimiento de software y sistemas es empleado
para perpetrar los ataques técnicos Al realizar un ataque técnico, un hacker experto a menudo
emplea una aproximación metódica. Varias herramientas de software están disponibles fácil y
libremente en la Internet y permiten al hacker descubrir las debilidades de los sistemas. Aun-
que muchas de estas herramientas requieren pericia, los hackers novatos pueden fácilmente em-
plear varias de las herramientas existentes.
Ataque técnico Un ataque perpetrado empleando conocimiento o pericia en software y sistemas.
En 1999, Mitre Corporation (cve.mitre.org) y otras 15 organizaciones de seguridad comenza-
ron a enumerar todas las debilidades y puntos de exposición comunes (de seguridad) de conoci-
miento público (CVEs). Una debilidad es un error en el software que puede ser directamente usado
por un hacker para acceder al sistema o red; un punto de exposición es un error en el software que
permite acceso a la información o capacidades que pueden ser usadas por un hacker como pun-
to de entrada a un sistema o red. Uno de los objetivos de la lista de CVE es asignar nombres
estándares y únicos a cada problema de seguridad conocido de modo que se pueda recolectar
información y compartirla con la comunidad mundial de seguridad. El número de CVEs cono-
cidos ha crecido de aproximadamente 320 en 1999 a más de 3,000 en 2004. Adicionalmente, exis-
ten casi 4,250 candidatos a CVE, los cuales son aquellas debilidades o puntos de exposición en
consideración para ser aceptados como CVEs (cve.mitre.org 1999-2005).
Debilidades y puntos de exposición comunes (CVEs) (seguridad) Riesgos de seguridad computacional
de conocimiento público, los cuales son recopilados, listados, y compartidos por un consejo de organiza-
ciones relacionadas con la seguridad.
Desde 2000, el Instituto SANS, en conjunto con el National Infrastructure Protection Center
del FBI (NIPC), ha producido un documento que resume las "Primeras 20 Debilidades de Segu-
ridad en Internet" (SANS 2004). La lista de este año es en realidad dos listas de los primeros 10:
las 10 debilidades más comúnmente explotadas en Windows y las 10 debilidades más común-
mente explotadas en UNIX y Linux. Aunque existen cientos de incidentes de seguridad cada
año, la gran mayoría de ataques exitosos se enfocan en las primeras 20 debilidades. Esta lista es
empleada por las organizaciones para priorizar sus esfuerzos de seguridad, permitiéndoles pre-
ocuparse de las debilidades más peligrosas primero.
National lnfrastructure Protection Center (NlPC) Una asociación bajo el auspicio del FBI entre el go-
bierno y la industria privada; diseñado para prevenir las debilidades y proteger la infraestructura de la na-
ción.
Al examinar la lista de las primeras 10 o 20 CVEs, uno rápidamente se da cuenta de que to-
das las CVEs son de naturaleza muy técnica. Por esta razón, confinaremos nuestras discusiones
a dos tipos de ataques que son bien conocidos y que han afectado la vida de millones -ataques
distribuidos de negación de servicio (DDoS) y ataques de código malicioso (virus, gusanos, y
caballos de Troya).
Seguridad en el Comercio Electrónico
11
Ataques Distribuidos de Negación de Servicio
Al inicio de 2004, los virus de correo electrónico MyDoom.A infectaron cientos de miles de pCs
en todo el mundo (Fisher 2004). Como muchos otros virus de correo electrónico, este se
gaba enviando un mensaje de correo electrónico que parecía oficial con un archivo zip adjunto.
Cuando se abria el archivo zip, el virus automáticamente encontraba otras direcciones de correo
clcctr(mico en la computadora de la víctima y se enviaba a sí mismo a esas direcciones. Sin
bargo, MyDoom.A traía más que una simple propagación. Cuando se abría el archivo zip, el
código del virus también instalaba un programa en la máquina de la víctima el cual permitía a
los intrusos lanzar lo que se conoce como un ataque de negación de servicio contra una
ñía llamada SCO Group. El ataque no implicaba otra cosa que hacer que cientos de miles de
máquinas infectadas enviaran solicitudes de páginas al sitio Web de SCO. El sitio fue forzado a
parar porque se vio ahogado por la gran cantidad de solicitudes. Primero se pensó que SCO era
víctima de los furiosos promotores de Linux que estaban enfadados por el juicio
rio de SCO contra IBM por haber incluido supuestamente código de SCO en el software Linux
de IBM. Después, se sugirió que el ataque fue lanzado en realidad por spammers rusos en el
exterior. Para otros ejemplos de ataques de fuerza bruta perpetrados con medios relativamente
simples, ver el archivo en línea W11.3.
Ataque de negación de servicio (DoS) Un ataque a un sitio Web en el cual el atacante emplea un soft-
ware especializado para enviar un flujo enorme de paquetes de datos a la computadora objetivo con el
propósito de sobrecargar sus recursos.
En un ataque de negación de servidor {DoS), el atacante emplea software especializado para
enviar un diluvio de paquetes de datos a la computadora objetivo, con el propósito de sobrecar-
gar sus recursos. Muchos atacantes dependen de software creado por otros hackers disponible
en la Internet en vez de desarrollarlo ellos mismos.
En un ataque distribuido de negación de servicio (O DoS), el atacante obtiene acceso
trativo ilegal a tantas computadoras en Internet como le sea posible. Una vez que el atacante
tiene acceso a un gran número de computadoras, carga un software especializado ODaS en las
computadoras. El software permanece a la espera, atento a algún comando para iniciar el ata-
que. Cuando se da el comando, la red distribuida de computadoras empieza a enviar solicitu-
des a la computadora objetivo. Las solicitudes pueden ser legítimas peticiones de información,
o comandos de computadora muy especializados, diseñados para sobrecargar recursos específi-
cos de la computadora. Existen distintos tipos de ataques DDoS. En el caso más simple, como
MyDoom.A, es la magnitud de las solicitudes lo que termina deteniendo a la computadora
tivo.
Ataque distribuido de negación de servicio (DDoS) Un ataque de negación de servicio en el cual el
atacante obtiene acceso administrativo ilegal a tantas computadoras en Internet como le es posible y las
emplea para enviar un enorme flujo de paquetes de datos a la computadora objetivo.
Las máquinas en las que se carga el software DDoS se conocen como zombís. Las zombis a
menudo se ubican en locales universitarios y del gobierno y, cada vez más, en computadoras en
hogares que se conectan a la Internet a través de módems de cable o módems DSL (ver cuadro
11.2).
Debido a la extensa disponibilidad de herramientas y comandos gratuitos de intrusión y la
conectividad general a la Internet, virtualmente cualquiera con una mínima experiencia en
computadoras (a menudo un adolescente con tiempo) puede montar un ataque DoS. El Caso
11.1 de Aplicación de CE brinda una descripción de uno de esos ataques.
Los ataques DoS pueden ser difíciles de detener. Afortunadamente (o desafortunadamente),
son tan comunes que en los últimos pocos años la comunidad de seguridad has desarrollado
una serie de pasos para combatir estos costosos ataques. En el caso de SCO, los ataques fueron
programados para ocurrir desde ell al12 de febrero de 2004. Durante este periodo, SCO cerró
su sitio Web original sco.com y levantó una nueva página de inicio en thescogroup.com. Microsoft,
quien fue el blanco de MyDoorn.B, redirigió su Web a servidores especializados en seguridad
operados por Akamai Technologies, Inc. (akamai.com). Dependiendo del tipo de ataque, una com-
pañía puede a veces frustrar un ataque DoS al reconfigurar sus routers de red y firewalls (ver
Sección 11.7).
12
Seguridad en el Comercio Electrónico
uiilfo 11:2 Empleo de Zombis en un Ataque Distribuido de Negación de Servicio·
-
Zombis
Computadora
Computadora
"h:oc:ker"

Académica en el Hogar - del Gobierno
______________________ _
Q
Sistema
Objetivo
Fuente: Scambray, J. et al. Hacking Exposed, 2da ed. Nueva York: McGraw-Hill, 2000. Dere-
chos de autor (e) McGraw-Hill Companies.
Código Malicioso: Virus, Gusanos, y Caballos de Troya
A veces llamados malware (por sofhvare malicioso), el código malicioso se clasifica según la forma
en que se propaga. Algunos de los códigos maliciosos son bastante benignos, pero aún así tie-
nen potencial para causar daños.
Malware Término genérico para software malicioso.
Nuevas variantes de código malicioso aparecen con cierta frecuencia. En su novena encues-
ta anual sobre prevalencia de virus, la Computer Security Association (ICSA 2004) encontró que
casi el 90 por ciento de las compañías encuestadas pensaban que el problema del código mali-
cioso era "peor o mucho peor" que el año anterior. Virtualmente todos los encuestados habían
sido víctimas del código malicioso. Más importante, el número que reportó haber sido víctimas
de "desastres por virus" -definidos como más de 25 computadoras infectadas con el mismo vi-
rus y que sufrieran daño monetario sustancial -fue hasta 15 por ciento mayor que el año previo.
El costo de recuperación de los desastres se incrementó también en 23 por ciento, hasta $100,000
por organización por evento.
Varios factores han contribuido al incremento en general del código malicioso. Entre estos
factores, los siguientes son de suma importancia (Skoudis y Zeltser 2003):
• Mezcla de datos e instrucciones ejecutables. En el pasado se separaba los datos de las ins-
trucciones ejecutables. No ocurre lo mismo ahora. Por ejemplo, todos los programas de
base de datos más importantes, como Oracle, DB2 de IBM, y SQL Server de Microsoft, no
solo almacenan datos, sino que también ejecutan comandos de bases de datos y tienen sus
propios lenguajes de programación {p. Ej. PL/SQL para Oracle). De manera similar, las apli-
caciones como Excel y Word de Microsoft tienen sus propios lenguajes de comandos, lo que
hace posible incrustar programas en hojas de cálculo y en documentos de Word. De la mis-
ma manera, las páginas Web combinan HTML (el cual es la base para el contenido y forma-
Si'guridad en el Comercio Electrónico
13
to de una página) con JavaScript, VBScript, y otros lenguajes. Todas estas combinaciones
brindan puntos de entrada fáciles para que los intrusos puedan incrustar y enmascarar c ó ~
digo malicioso.
Aplicación en CE
LOS HACKERS ESTÁN USANDO SU PC
Para la Navidad de 2003, Betty Carty, una abuela de 54
años que vive en el sur de Nueva Jersey, compró una com-
putadora Dell. En casa, la computadora estaba conectada
a la Internet a través de una conexión de alta velocidad de
Corneas!. En un corto tiempo, su conexión empezó a ha-
cerse más lenta y su máquina se malograba con frecuen-
cia. En junio de 2004, Corneas! redujo los privilegios de su
correo electrónico. Habían determinado que su PC era una
fuente principal de spam de correo electrónico. Sin embar-
go, no era su culpa. Un hacker había convertido su PC en
zombi, distribuyendo hasta 70,000 correos electrónicos de
spam por día.
La computadora de Carty pudo haberse infectado de
varias formas. Pudo haber abierto un correo electrónico in-
fectado, visitado una página Web que contenía código mali-
cioso, o haber sido víctima de un gusano de red que se ha-
bía introducido en su máquina a través de un forado en la
seguridad del sistema operativo de su computadora.
La máquina de Carty no es la única. Según un estudio
por entrevistas de USA TODA Y a expertos de la industria
tecnológica y de seguridad (Achohido y Swartz 2004), mu-
chos de los hackers rnás hábiles se enfocan ahora en crear
código malicioso dirigido a acumular redes de zombis. Una
vez ensambladas, venden el acceso a las zombis a los res-
ponsables del spam, blackmail y ladrones de identidad. Su-
puestamente, el número de zombis ha llegado a ser de mi-
llones. No hay manera de determinar el número exacto, pero
una medida del aumento de la marea de zombis es la canti-
dad de correo electrónico spam. En julio de 2004, se esti-
maba que 94 por ciento del tráfico de correo electrónico era
spam. Esto es más del doble de la cantidad estimada para
el año anterior. Sobre la base de otro estimado, el 40 por
ciento del spam viene de las zombis.
Como Carty, la mayoría de los usuarios en el hogar creen
que sus PCs son seguras y, como consecuencia, han he-
cho poco para protegerlas contra los virus, software de es-
cionar las configuraciones de sus firewalls, software antivirus,
infecciones potenciales de virus, y demás. Entre los resul-
tados clave del estudio se encuentran:
• Ochenta y cuatro por ciento de los participantes mantie-
nen información delicada (p. Ej. registros financieros) en
sus computadoras, y más del 70 por ciento de los parti-
cipantes emplea la Internet para transacciones delicadas
(p. Ej. banca en linea).
• Más del 75 por ciento de los participantes dijo que pen-
saban que sus computadoras estaban muy o algo a sal-
vo de ataques en linea.
• Más del 60 por ciento de los part'1cipantes d1jeron haber
sido víctimas de los virus; sin embargo, una revisión de
sus computadoras indicó que menos del 20 por ciento
tenían virus en ese momento.
• Más del 50 por ciento de los participantes pensó que sus
máquinas habían sido infectadas por software de espio-
naje, pero una revisión de sus máquinas indicó que el
porcentaje real era 80, con un promedio de 93 compo-
nentes de software de espionaje por computadora.
• Ochenta y cinco por ciento de los participantes tenían
software antivirus en sus máquinas, pero sólo un tercio
de las máquinas había sido actualizado en la última se-
mana.
• Treinta y tres por ciento de las máquinas participantes
tenían un firewall corriendo en ese momento, pero más
del 70 por ciento de esas máquinas no tenia el firewall
debidamente configurado.
• A la mayoría de los usuarios les confundía ta diferencia
entre firewall y software antivirus, y la mayoría indicó que
no entendían cómo funcionaban los firewalls.
En general, la mayoría de los usuarios piensan que sus
computadoras están a salvo de los peligros en linea pero les
falta la protección básica contra virus, software de espiona-
je, hackers, y otras amenazas en lfnea.
pionaje, hackers, u otras amenazas en línea. En octubre f-------------------------1
de 2004, America Online (AOL) y la National Cyber Security
Alliance (NCSA) hicieron públicos los resultados de un es-
tudio exhaustivo, a nivel nacional, de hogares, sobre segu-
ridad computacional. El estudio incluyó entrevistas a 329
participantes en 22 ciudades y pueblos a lo largo de los Es-
tados Unidos. Adicionalmente a las preguntas, técnicos exa-
minaron las computadoras de los participantes para inspec-
Fuentes: Achohido y Swartz (2004) y AOUNCSA(2004).
Preguntas
1. ¿Qué tipo de precauciones emplean la mayor! a de usua-
rios en el hogar para proteger sus computadoras?
2. ¿Cuáles son algunas de las principales debilidades de las
computadoras de uso en el hogar?
14 Seguridad en el Comercio Electrónico
• Entornos computacionales cada vez más homogéneos. 20 años atrás teníamos mini-
computadoras y mainfrarnes, así como PCs. Todas tenían distintos tipos de chips de compu-
tadora y corrían en una variedad de sistemas operativos y redes. Hoy, sólo tenemos los sis-
temas operativos de Windows y UNIX/Linux, los chips de Intel dominan el mercado, y vir-
tualmente todo se conecta a través de una red TCP/IP. Esto significa que un atacante sólo
tiene que desarrollar un código para causar estragos en todo el globo.
• Conectividad sin precedentes. En el pasado, las redes eran básicamente islas de conectividad.
I Joy en día, todo está conectado -computadoras del gobierno, servicios de emergencia, siste-
mas financieros, PCs en los hogares, sistemas médicos, operaciones de venta al público, sis-
temas de reserva de líneas aéreas, y demás. La mayor parte está conectada por lffieas de alta
velocidad. Esta conectividad ofrece la oportunidad al código malicioso de esparcirse a un
ritmo sin precedentes.
• Una mayor base de usuarios despistados. El usuario de computadoras en promedio tiene
un conocimiento mínimo de las complejidades de su computador, las redes con las que está
conectado, o los riesgos que impone el código malicioso. Esto implica que son pocos los usua-
rios que tienen las habilidades o el conocimiento requerido para instalar y configurar los sis-
temas de seguridad (p. Ej. firewalls personales) y parches necesarios para combatir el código
malicioso. Esto hace de las computadoras en los hogares y pequeñas empresas terreno fértil
para los hackers.
A medida que se incrementa el número de ataques, las siguientes tendencias en código mali-
cioso comienzan a emerger (Symantec 2004; Slewe 2004):
• Incremento de la velocidad y volumen de los ataques. El gusano Slammer ejemplifica esta
tendencia. El 25 de enero de 2003, el gusano Slammer fue lanzado. El gusano explotaba la
debilidad de la base de datos SQL Server de Microsoft. Desde su lanzamiento, el gusano du-
plicó su tamaño cada 8.5 segundos, infectando aproximadamente 75,000 máquinas en 10 mi-
nutos.





Menor tiempo desde el descubrimiento de una debilidad y el lanzamiento de un ataque
para explotarla. En la primera mitad de 2004, el tiempo promedio entre el descubrimiento
de una debilidad y la aparición de un código que explotara dicha debilidad era de 5.8 días.
Una vez disponible el código intruso, se puede buscar de manera amplia una nueva debili-
dad y atacarla rápidamente, especialmente si la debilidad se encuentra en una aplicación am-
pliamente diseminada.
Están aumentando las redes bot controladas remotamente. En el mundo de la seguridad
computacional, los bots (palabra corta para "robots") son programas que se instalan subrepti-
ciamente en un sistema objetivo. Permiten a usuarios no autorizados controlar de manera
remota la computadora atacada para una amplia variedad de propósitos maliciosos. En los
primeros 6 meses de 2004, el número de bots monitorizados creció de bastante por debajo de
2,000 computadoras a más de 30,000. Los bots se pueden actualizar fácil y rápidamente para
correr código malicioso diseñado para explotar debilidades descubiertas recientemente.
El comercio electrónico es la industria atacada con más frecuencia. Durante los primeros 6
meses de 2004, el comercio electrónico recibió más ataques dirigidos que cualquier otra in-
dustria (16 por ciento en 2004 versus 4 por ciento en 2003). Este incremento puede indicar
que la motivación de los atacantes puede estar cambiando de buscar notoriedad a buscar re-
compensas financieras ilícitas.
Se están incrementando los ataques contra las tecnologías de aplicación Web. En conjunto
con el incremento de los ataques se da el incremento de los ataques a aplicaciones Web. En
la primera mitad de 2004, 39 por ciento de las debilidades conocidas fueron asociadas con
tecnologías de aplicación Web. Estos ataques a menudo brindan acceso a información confi-
dencial si tener que comprometer servidor alguno. Permiten a los atacantes lograr acceso a
los sistemas objetivo simplemente penetrando en la computadora del usuario final, evitando
las medidas de seguridad perimétricas tradicionales.
Un gran porcentaje de las compañías Fortune 100 ha sido afectado por gusanos. En los pri-
meros 6 meses de 2004, Symantec observó tráfico de gusanos con origen en las corporaciones
Fortunc 100. Estos datos se obtuvieron al analizar datos de ataques que revelaron las direc-
ciones de red (TP) fuente de la actividad hostil. El propósito de este análisis fue el de deter-
minar cuántos de estos sistemas estaban infectados por gusanos y siendo usados activamen-
te para propagarlos. Más del 40 por ciento de las compañías Fortune 100 controlaban direc-
Seguridad en el Comercio Electrónico
15
c i u n e ~ (IP) de red desde las cuales se propagaron ataques relacionados con gusanos. Esto
indica que, a pesar de las medidas tomadas por las organizaciones, sus sistemas aún se infec-
taban. El continuo tráfico de gusanos proveniente de estas redes indica a los atacantes po-
tenciales que la red aún se puede explotar.
El código malicioso adopta una variedad de formas -tanto puras como híbridas. Los nom-
bres de tales códigos se toman de los patógenos de la vida real a los que se parecen.
Virus. Esta es la más conocida de las categorias del código malicioso. Aunque existen mu-
chas definiciones de los virus computacionales, la definición de Request for Comment (RFC) 1135
es ampliamente usada: "Un virus es una porción de código que se inserta a sí misma en un hués-
ped, incluyendo el sistema operativo, para propagarse. No se puede correr de manera indepen-
diente. Requiere que su programa huésped sea corrido para activarlo." Aunque los virus son
auto-replicativos, no se pueden propagar automáticamente en una red; necesitan que un huma-
no los lleve de una computadora a otra.
Virus Una porción de código de software que se inserta en un huésped, incluyendo los sistemas operativos,
para propagarse; requiere que su programa huésped sea corrido para activarlo.
Los virus tienen dos componentes. Primero, tienen un mecanismo de propagación por el cual
se esparcen. Segundo, tienen una carga explosiva que se refiere a lo que hace el virus una vez
que es ejecutado. Algunas veces la ejecución es provocada por un evento específico. El virus
Michclangelo, por ejemplo, era desencadenado por la fecha de nacimiento de Miguel Ángel.
Algunos virus simplemente infectan y se esparcen. Otros causan daños sustanciales (p. Ej. bo-
rran archivos o dañan el disco duro).
Toda una industria se ha desarrollado para combatir los virus computacionales. Compañías
como Network Associates (dueño de los productos McAfee) y Symantec (dueño de los produc-
tos Norton) existen con el solo propósito de combatir los virus -brindando software antivirus y
sus actualizaciones a individuos y compañías. El Equipo de Anti-virus y de Respuesta a Debili-
dades de McAfee (A VERT) cuenta con una biblioteca de información de virus (vil.nai.com) y man-
tiene una lista actualizada de las 10 peores amenazas, incluyendo virus, gusanos, caballos de
Troya, y demás. Un porcentaje considerable de esas amenazas incluyen "Programas Potencial-
mente No Deseados", los que dan opción a los receptores de decidir si desean mantener el soft-
ware.
Gusanos. La principal diferencia entre un gusano y un virus es que el gusano se propaga
entre los sistemas (usualmente a los largo de las redes), mientras que los virus se propagan lo-
calmente. RFC 1135 define a los gusanos de la siguiente manera: "Un gusano es un programa
que puede funcionar independientemente, consume los recursos de su huésped desde dentro
para mantenerse, y puede propagar una versión completa y funcional de si mismo a otra má-
quina." Los gusanos atacan una computadora, toman el control, y la usan como área de monta-
je para revisar y atacar otras máquinas. No se requiere intervención humana para esparcir un
gusano en una red. Code Red y SQL Slammer son ejemplos de gusanos.
Gusano Un programa de software que se ejecuta independientemente, consumiendo los recursos del
huésped para mantenerse, y que es capaz de propagar una versión completa de sí mismo a otra máqui-
oa.
Los gusanos consisten de un conjunto de elementos de base común: una ojiva, un motor de
propagación, una carga explosiva, un algoritmo de selección de blancos, y un motor de explora-
ción. La ojiva es la porción de código en el gusano que aprovecha alguna debilidad conocida.
Una vez que un gusano utiliza la debilidad, emplea su motor de propagación para movilizar el
resto del código del gusano a través de la red. La movilización se realiza normalmente con un
programa de transferencia de archivos. Una vez que el gusano es movilizado por entero, entre-
ga su carga explosiva y luego utiliza su algoritmo de selección de blancos para buscar otras víc-
timas potenciales que atacar (p. Ej. direcciones de correo electrónico en la máquina víctima). El
motor de exploración determina cuáles de las otras víctimas potenciales pueden ser atacadas.
Cuando se encuentra un blanco apropiado, se repite todo el proceso. Todo el proceso toma se-
gundos o menos, lo cual explica porqué los gusanos se pueden esparcir a miles de máquinas.
16 Seguridad en el Comercio Electrónico
El software antivirus se puede emplear para frustrar el ataque de los virus así como de otras
formas de malware, incluyendo los gusanos. Ya que los gusanos se esparcen mucho más rápido
que los virus, las organizaciones necesitan hacer un seguimiento proactivo a nuevas debilidades
y aplicar parches al sistema como defensa contra su difusión.
Macro Virus y Macro Gusanos. Los macro virus o macro gusanos a menudo se ejecutan
cuando el objeto de una aplicación (p. Ej. una hoja de cálculo, un documento de procesador de
textos, un mensaje de correo electrónico) que contiene una macro es abierto o ejecuta un proce-
dimiento específico (p. Ej. graba un archivo). Melissa y ILOVEYOU fueron ambos ejemplos de
macro gusanos que se propagaron a través del correo electrónico Outlook de Microsoft y cuyas
cargas explosivas se entregaron como programas de Visual Basic for Application (VBA) adjun-
tos a los mensajes de correo electrónico. Cuando los confiados receptores abrían el correo elec-
trónico, el programa VBA buscaba en los registros de la libreta de direcciones de Outlook del
receptor y enviaba copias de sí mismo a los contactos en dicha agenda. Si cree que esto es una
tarea difícil, nótese que la macro ILOVEYOU tenia alrededor de 40 líneas de código.
Macro virus o macro gusano Un virus o gusano que se ejecuta cuando el objeto de una aplicación que
contiene una macro es abierto o ejecuta un procedimiento en particular.
Caballos de Troya. Un caballo de Troya es un programa que parece tener una función útil
pero contiene funciones ocultas que representan un riesgo de seguridad. El nombre se deriva
del Caballo de Troya de la mitología griega. Dice la leyenda que durante la Guerra de Troya a
la ciudad de Troya se le regaló un enorme caballo de madera como ofrenda a la diosa Atenea.
Los troyanos arrastraron al caballo dentro de las puertas de la ciudad. Durante la noche, los
soldados griegos, que se habían estado escondiendo en el interior del caballo, abrieron las puer-
tas de Troya y dejaron entrar al ejército griego. El ejército tomó la ciudad y ganó la guerra.
Caballo de Troya Un programa que parece tener una función útil pero que contiene una función oculta
que representa un riesgo para la seguridad.
Existen muchos tipos de programas de caballos de Troya. Los programas de nuestro interés
son aquellos que hacen posible a un tercero acceder y controlar la computadora de una persona
por Internet. Este tipo de caballo de Troya tiene dos partes: un servidor y un cliente. El servi-
dor es el programa que corre en la computadora bajo ataque. El programa cliente es el que usa
la persona que perpetra el ataque. Por ejemplo, el Troyano Girlfriend es un programa servidor
que llega en la forma de un archivo que parece un juego o programa interesante. Cuando los
confiados usuarios corren el programa, el programa troyano se instala. El programa instalado
se ejecuta cada vez que la computadora bajo ataque se enciende. El servidor simplemente espe-
ra que el cliente correspondiente le envíe un comando. Este tipo particular de caballo de Troya
permite al perpetrador capturar identidades de usuario (IDs) y contraseñas, mostrar mensajes
en la computadora afectada, borrar o enviarle archivos, y demás.
Una tendencia clave del malware es el incremento del código que aprovecha y altera el siste-
ma operativo del usuario hasta el nivel kernel. El kernel controla cosas como la memoria de la
computadora, el sistema de archivos, hardware, y otros componentes críticos que son cruciales
para la operación de la máquina. Los rootkits caen en esta categoría de código. Son programas
especiales de caballos de Troya que modifican el softvvare del sistema operativo existente de modo
que un intruso pueda ocultar la presencia de un caballo de Troya. Por ejemplo, en el sistema
operativo UNIX el comando" -Is" se emplea para hacer un listado de los archivos de la máqui-
na. Usando un rootkit, un intruso puede sustituir su propio comando "-Is", el cual puede ocul-
tar la presencia de los programas del caballo de Troya al no mostrarlos en la lista cuando el co-
mando sea ejecutado.
Rootkit Un programa especial de caballo de Troya que modifica el software del sistema operativo exis-
tente de modo que los intrusos puedan ocultar la presencia de un programa troyano.
La mejor manera de defenderse contra los caballos de Troya es implementando politicas y
procedimientos estrictos para la instalación de software nuevo. En una organización, los usua-
rios finales deben tener prohibido el instalar programas no autorizados. Los administradores
Seguridad en el Comercio Electrónico 17
deben verificar la integridad de los programas y parches que se instalan. En la misma línea, los
programas y herramientas nuevas deben instalarse en entornos de prueba antes de ponerlos en
entornos de producción.
Sección 11.4 PREGUNTAS DE REVISIÓN
l. Describa la diferencia entre un ataque cibernético técnico y no técnico.
2. ¿Qué es un CVE?
3. ¿Cómo se perpetran los ataques DDoS?
4. ¿Cuáles son las formas principales del código malicioso?
5. ¿Qué factores explican el incremento del código malicioso?
6. ¿Cuáles son algunas de las principales tendencias en el código malicioso?
11.5 Administrando la Seguridad en el CE
Aunque la conciencia sobre los asuntos de seguridad se ha incrementado en los últimos años,
las organizaciones continúan cometiendo algunos errores bastante comunes al administrar sus
riesgos de seguridad (McConnell 2002):
• Información subvaluada. Pocas organizaciones tienen una clara comprensión del valor de
activos de información específicos.
• Límites de seguridad definidos insuficientemente. La mayoría de las organizaciones se cen-
tran en proteger sus redes internas y no comprenden las prácticas de seguridad de sus socios
en la cadena de distribución.
• Administración de seguridad reactiva. Muchas organizaciones son reactivas en lugar de
proactivas, enfocándose en la seguridad después de que ocurre un incidente o problema.
• Procesos obsoletos de administración de seguridad. Las organizaciones raramente actuali-
zan o cambian sus prácticas de seguridad para satisfacer las necesidades cambiantes. De ma-
nera similar, raramente actualizan el conocimiento y habilidades de su personal sobre las me-
jores prácticas en seguridad de la información.
• Falta de comunicación sobre responsabilidades de seguridad. La seguridad es vista a me-
nudo como un problema de TI, no como uno organizacional.
Dados estos errores comunes, es claro que se requiere una aproximación holística para prote-
ger un sitio de CE. Las compañías deben evaluar constantemente y revisar las debilidades y los
peligros que vayan surgiendo para sus sitios Web. Los usuarios finales deben reconocer que la
seguridad de TI es tan importante como la seguridad física, y deben adoptar un comportamien-
to responsable. La alta gerencia debe enunciar la necesidad de seguridad de TI, jugar un rol
clave en la formulación de políticas de seguridad organizacionat y apoyarlas activamente. Aque-
llas organizaciones con sólidas prácticas de seguridad se basan en una administración exhausti-
va del riesgo para determinar sus necesidades de seguridad (Kay 2003; Microsoft 2004).
GESTIÓN DE RIESGOS DE SEGURIDAD
Considere una base de datos CRM en línea que contiene información confidencial sobre las cuen-
tas de los clientes de una compañía. Un activo de información de este tipo es extremadamente
valioso para la compañía, para los clientes, y potencialmente para los competidores de la com-
pailía. Imagine lo que le costaría a la firma si esta base de datos dejara de estar disponible, se
dañara o destruyera, o cayera en manos de terceros. Los riesgos y amenazas potenciales contra
este activo son tanto físicos (p. Ej. la máquina en la que se aloja la base de datos puede ser des-
truida) como no físicos (p. Ej. los datos pueden ser puestos en peligro por un empleado furioso
o atacados por un hacker). Obviamente, el activo necesita ser asegurado en una variedad de
formas, incluyendo el aseguramiento físico de la computadora que hospeda a la base de datos,
hacer copias de respaldo de la base de datos en otra computadora, proteger con contraseña la
base de datos, colocar la base de datos en una red segura tras un firewall, y demás. Para este
activo en particular, los costos de reducir los riesgos superan con creces los costos potenciales
asociados con proteger el activo. El proceso sistemático de identificar una computadora, una
red y activos de información clave; la evaluación de los riesgos y amenazas contra esos activos;
y reducir de hecho los riesgos y amenazas de seguridad se conoce como gestión de los riesgos
de seguridad.
Seguridad en el Comercio Electrónico
Gestión de riesgos de seguridad Un proceso sistemático para determinar la probabilidad de varios ata-
ques de seguridad y para identificar las acciones necesarias para prevenirlos o mitigarlos.
La gestión de riesgos de seguridad consiste de tres fases:
• Identificación de activos. En esta fase, las organizaciones determinan la computadora, red y
activos de información claves y les asigna un valor. La valuación incluye los costos de obte-
ner, mantener y reemplazar el activo, así como los costos de si cayera en manos de terceros.
Una vez que se identifica los activos, la organización puede evaluar las amenazas de seguri-
dad, debilidades y riesgos contra los mismos.
• Evaluación del riesgo. Una vez que los activos clave de una organización han sido identifi-
cados, el siguiente paso es realizar una evaluación de los riesgos que enfrentan dichos acti-
vos. Esto incluye identificar amenazas, debilidades y riesgos. Las amenazas incluyen eventos
como desastres naturales, mal funcionamiento de equipos, ataques de empleados, intrusos,
hackers, terroristas, y demás. Las debilidades son aquellos aspectos del activo que pueden re-
sultar comprometidos por las amenazas potenciales. Los riesgos implican la probabilidad de
que las debilidades se vean comprometidas por varias amenazas, así como las potenciales
pérdidas financieras resultantes de dichos ataques. Una manera de evaluar las amenazas y
debilidades que enfrenta una organización en específico es confiar en el conocimiento del per-
sonal de TI de la organización o emplear un consultor externo, como Granite Systems
(granitesystems.net), para conducir una evaluación de la seguridad. Otra forma es emplear
software que busque debilidades, realice pruebas de penetración, o permita a la firma obser-
var y estudiar de manera segura los ataques mientras ocurren.
• Implementación. Una vez evaluados los riesgos, estos deben priorizarse por probabilidad y
potencial de pérdida. Se debe proponer y revisar una lista de soluciones y contramedidas
para cada uno de los riesgos de alta prioridad. Tales soluciones y contramedidas deben eva-
luarse en términos de su costo-beneficio general y las medidas de seguridad que se encuen-
tran en uso actualmente (p. Ej. una compañía no gastará $50,000 por una medida de seguri-
dad si el activo sólo vale $25,000). Cuando un grupo de medidas de seguridad se haya
cionado e implementado, la organización no sólo necesita monitorizar el desempeño y efecti-
vidad de tales medidas, sino que también debe revisar continuamente su base de activos y
cualquier nueva amenaza, debilidad y riesgos que puedan surgir.
Sección 11.5 PREGUNTAS DE REVISIÓN
l. ¿Cuáles son algunos de los errores comunes que cometen los sitios de CE en la gestión de su
seguridad?
2. Describa los pasos básicos de la gestión de riesgos de seguridad.
11.6 PROTEGIENDO LAS COMUNICACIONES DE CE
Como lo indicaran las encuestas de CSI/FBI y del CERT citadas en la sección 11.1, la mayoría de
las organizaciones cuenta con múltiples tecnologías para proteger sus redes. Estas tecnologías
se pueden dividir en dos grupos principales: aquellas diseñadas para proteger las
nes tJ lo largo de la red y las diseñadas para proteger los servidores y clientes de la red. Esta
sección considera la primera de estas tecnologías.
CONTROL DE ACCESOS Y AUTENTICACIÓN
Los aspectos más simples de la seguridad de redes son el control de accesos y la autenticación.
El control de accesos determina quién (persona o máquina) puede usar legítimamente un recur-
so de red y qué recursos puede usar. Un recurso puede ser cualquier cosa -páginas Web, archi-
vos de texto, bases de datos, aplicaciones, servidores, impresoras, o cualquier otra fuente de in-
formación o componente de la red. Típicamente, las listas de control de accesos (ACL) definen
qué usuarios tienen acceso a qué recursos y qué derechos tienen con respecto a esos recursos (p.
Ej. leer, ver, escribir, imprimir, copiar, borrar, ejecutar, modificar, o mover). Por defecto, los de-
rechos de los usuarios a menudo se asignan como acceso completo o sin acceso. Esto es correcto
Seguridad en el Comercio Electrónico 19
para empeLar, pero cada recurso necesita considerarse en forma separada, y los derechos de los
usuarios particulares deben establecerse individualmente. Este proceso de asignar derechos ha-
bitualmente se simplifica creando varios roles o grupos (p. Ej. administradores del sistema, re-
presentantes de ventas del noroeste, departamento de mercadeo de productos, socios de comer-
cio, etc.), se asigna derechos a esos grupos, y luego se especifica los individuos dentro de esos
grupos. Los usuarios a menudo son denominados con sus IDs de ingreso a la red, los que usual-
mente se revisan cuando el usuario ingresa por primera vez al sistema.
Una vez identificado un usuario, el usuario debe ser autenticado. Como se mencionó ante-
riormente, la autenticación es el proceso de verificar que el usuario es quien dice ser. La verifi-
cación usualmente se basa en una o más características que distinguen al individuo de otros.
Las características distintivas se pueden basar en algo que uno conoce {p. Ej. contraseñas), o algo
que uno tiene (p. Ej. un dispositivo), o algo que uno es (p. Ej. huellas digitales). Tradicional-
mente, la autenticación se ha basado en las contraseñas. Las contraseñas son notoriamente inse-
guras ya que la gente tiene el hábito de escribirlas en lugares fáciles de encontrar, eligen textos
que se pueden adivinar fácilmente, y las comunican cuando se les preguntan por ellas.
Se logra una mayor seguridad al combinar algo que uno sabe con algo que uno tiene, una
técnica conocida como la autenticación de dos factores. Los dispositivos califican como algo que
uno tiene. Los dispositivos vienen en distintas configuraciones, formas, y tamaños. Los dispo-
sitivos pasivos son mecanismos de almacenamiento que contienen un código secreto. El más
común de los dispositivos pasivos son las tarjetas plásticas con tiras magnéticas que contienen
un código oculto. Con los dispositivos pasivos, el usuario pasa el dispositivo a través de un
lector adjunto a la computadora personal o de trabajo y luego ingresa su contraseña para lograr
el acceso a la red.
Dispositivos pasivos Mecanismos de almacenamiento {p. Ej. tiras magnéticas) que contienen un código
secreto empleado en un sistema de autenticación de dos factores.
Los dispositivos activos a menudo son aparatos electrónicos autónomos (p. Ej. dispositivos
de llavero, tarjetas inteligentes, calculadoras, llaveros USB) que generan contraseñas de un solo
uso. En este caso, el usuario ingresa un PIN en un dispositivo, el dispositivo genera una contra-
seil.a que sólo funciona para un solo ingreso, y entonces el usuario ingresa al sistema empleando
la contraseña. ActiveCard (activecard.com) y CRYPTOcard (cryptocard.com) son compañías que
brindan dispositivos de autenticación activa.
Dispositivos activos Pequeños aparatos electrónicos autónomos que generan contraseñas de un solo
uso empleados en un sistema de autenticación de dos factores.
Sistemas Biométricos
La autenticación de dos factores también se puede basar en algo que uno es. Los escáneres de
huellas digitales, los escáneres de iris, los sistemas de reconocimiento facial, y el reconocimiento
de voz son todos ejemplos de los sistemas biométricos que reconocen a las personas por sus
rasgos físicos. Los sistemas biométricos pueden identificar a una persona de una población de
usuarios inscritos en el sistema buscando en la base de datos alguna coincidencia basada en los
rasgos biométricos de la persona, o el sistema puede verificar la identidad que una persona re-
clama revisando la coincidencia de los rasgos biométricos del individuo con una versión previa-
mente almacenada. La verificación biométrica es mucho más simple que la identificación
biométrica, y es el proceso empleado en la autenticación de dos factores.
Sistemas biométricos Sistemas de autenticación que identifican a una persona a través de mediciones
de caracteristicas biológicas, como huellas digitales, patrones del iris {ojo), caracteristicas faciales,
0
voz.
A la fecha, la adopción de la seguridad biométrica ha sido lenta. Por ejemplo, en la encuesta
de CSI/FBI citada anteriormente, sólo 11 por ciento de las organizaciones indicaron que estaban
usando sistemas biométricos. Una encuesta de adopción de tecnología de seguridad conducida
por International Data Corporation mostró que sólo 0.6 por ciento de las compañías norteameri-
canas emplean la biométrica en la seguridad de Internet y de redes (Shen 2003). En términos de
la participación de mercado en general, los productos biométricos para seguridad responden por
alrededor del 5 por ciento del mercado de productos de seguridad.
20 Seguridad en el Comercio Electrónico
El interés en la seguridad biométrica se está incrementando, incitado por la disminución de
los precios de los sistemas biornétricos, el enfoque mundial en el terrorismo, y el incremento del
fraude y del robo de identidad. En una encuesta a 840 directores corporativos de TI en 21 paí-
ses conducida por Hitachi Data Systems, 65 por ciento dijo que esperaban emplear la biométrica
en algún momento del futuro cercano (Sherwood 2004). Muchas instituciones financieras, por
ejemplo, están interesadas en usar una combinación de tarjetas inteligentes y la biométrica para
autenticar a sus clientes y asegurar el no repudio en transacciones de banca, comercio y compra
en línea. Las compañías de venta al público están buscando que la biométrica suplemente la
verificación de firmas en las compras con tatjeta de crédito. La biométrica también se está pro-
bando en varias aplicaciones de seguridad nacional y del gobierno, incluyendo la seguridad
aeroportuaria, verificación de pasaportes, y en prevención de fraude en el servicio social.
El proceso de escanear las huellas digitales es probablemente la biométrica mejor conocida y
más ampliamente usada. Sin embargo, el escáner de huellas digitales es sólo una de las varias
posibles biométricas que se pueden usar para verificar la identidad de un individuo (autentica-
ción). La biométrica viene en dos "sabores" -fisiológica y conductual. La biométrica fisiológi-
ca se basa en medidas que derivan directamente de distintas partes del cuerpo. En contraste, la
biométrica conductual se deriva de varias acciones e indirectamente de varias partes del cuerpo
(p. Ej. los escáneres de voz o la monitorización del uso del teclado).
Biométrica fisiológica Las medidas derivan directamente de distintas partes del cuerpo {p. Ej. huellas
dactilares, iris, mano, características faciales).
En la práctica, la biométrica fisiológica se emplea más a menudo que la conductual. Dentro
de la biométrica fisiológica los escáneres de huellas dactilares, iris, manos y características facia-
les son los más populares.
Para implementar un sistema de autenticación biométrica, se debe escanear repetidamente
las características fisiológicas o conductuales de los participantes bajo diferentes condiciones. Los
productos del escáner son luego promediados para producir una plantilla biométrica, o
identificador. La plantilla se almacena en una base de datos como una serie de números que
pueden tener un rango de unos pocos bytes para la geometría de la mano hasta varios miles de
bytes para el reconocimiento facial. Cuando una persona emplea un sistema biométrico, se usa
el escáner en vivo, y el producto se convierte en una serie de números, los cuales luego se com-
paran con la plantilla almacenada en la base de datos. Una serie de ejemplos de varios tipos de
plantillas biométricas se detallan en el siguiente texto.
Biométrica conductual Las mediciones derivan de varias acciones e indirectamente de varias partes del
cuerpo (p. Ej. escáneres de voz o monitorización de uso del teclado).
Escáner de Huellas Dactilares. Las huellas digitales se pueden diferenciar por una variedad
de" discontinuidades que interrumpen el recorrido continuo de las crestas" (Krocker 2002) en la
parte inferior de las puntas de los dedos. Las terminaciones de las crestas, los puntos (pequeñas
crestas), y los surcos (los espacios entre las crestas) son ejemplos de tales discontinuidades. En
el escáner de huellas digitales se emplea un algoritmo especial para convertir las
discontinuidades escaneadas en un conjunto de números almacenados en forma de una planti-
lla. La probabilidad de que dos personas tengan la misma plantilla es de una en un billón. Los
dispositivos de reconocimiento de huellas digitales para acceso a las computadoras personales o
portátiles están disponibles gracias a una variedad de proveedores y a bajo precio. El Archivo
En línea W11.4 describe el uso del escáner de huellas dactilares en una situación de venta al pú-
blico.
Escáner de huellas dactilares Medición de las discontinuidades de las huellas digitales de una persona,
la cual es luego convertida en un conjunto de números que se almacenan en forma de plantilla y se em-
plean en la autenticación de identidad.
Escáner de Iris. El iris es la parte coloreada del ojo que rodea la pupila. El iris tiene un gran
número de puntos únicos que se pueden capturar con una cámara ubicada de 3 a 10 pulgadas
del ojo. En un segundo, un algoritmo especial puede convertir la revisión del iris en un conjun-
Sexuridad en el Comercio Electrónico 21
to de números. Los números se pueden usar para construir una plantilla de la revisión del iris
que se puede emplear cuando se use el escáner de iris, en el que una cámara escanea el iris de
una persona, compara esta revisión con la plantilla, y verifica la identidad de la persona. La
probabilidad de que dos personas cualesquiera tengan plantillas de iris idénticas es considera-
blemente menor que la probabilidad de que tengan las mismas plantillas de huellas digitales.
El Caso de Aplicación de CE 11.2 (página siguiente) describe el uso del reconocimiento de iris
en la verificación de pasaportes.
Escáner de iris Medición de los puntos únicos del iris (parte coloreada del ojo), la cual es luego converti-
da en un conjunto de números que se almacenan en forma de plantilla y se emplean en la autenticación
de identidad.
Escáner de Voz. Las diferencias en la fisiología de la generación del habla de un individuo a
otro producen distintos patrones acústicos que se pueden convertir en una plantilla que se pue-
de usar en el escáner de voz. En la mayoría de los sistemas de escáner de voz, el usuario habla
en un micrófono o teléfono. La palabra a decir es usualmente el ID o contraseña de sistema del
usuario. La siguiente vez que el usuario quiera acceder al sistema, simplemente repetirá lapa-
labra utilizada. Toma de 4 a 6 segundos verificar un escaneo de voz. A diferencia del escáner
de huellas dactilares y de iris, el hardware necesario para capturar el ingreso de voz {p. Ej. un
micrófono) es económico y ampliamente disponible.
Escáner de voz Medición de los patrones acüsticos en la producción del habla, que es luego convertida
en un conjunto de números que se almacenan en forma de plantilla y se usan en la autenticación de iden-
tidad.
Monitorización del Uso del Teclado. Esta biométrica aún está en desarrollo. La
monitorización del uso del teclado se basa en la asunción de que la manera en que Jos usuarios
mecanografían las palabras en un teclado varía de un usuario a otro. La presión, velocidad, y
ritmo con la que una palabra se ingresa se convierte a través de un algoritmo especial en un
conjunto de números que forman una plantilla de uso del teclado. Nuevamente, la palabra em-
pleada en la mayoría de estos sistemas es el ID o contraseña de sistema del usuario. El sistema
verifica la presión, velocidad y ritmo con la que la palabra es mecanografiada contra la plantilla
de la base de datos. El principal problema con estos sistemas es que aún existe mucha variabili-
dad en la manera en que un individuo usa el teclado de una sesión a la otra.
Monitorización del uso del teclado Medición de la presión, velocidad, y ritmo con la que una palabra es
mecanografiada, la cual es luego convertida en un conjunto de números que se almacenan en forma de
plantilla y se usa en la autenticación de identidad; esta biométrica aún está en desarrollo.
El Consorcio Biométrico. El Consorcio Biométrico {BC) es un centro de investigación y eva-
luación de sistemas y aplicaciones biométricos. El consorcio tiene más de 800 miembros del go-
bierno, industria y universidades y es codirigido por el National lnstitute of Standards and
Technology (NIST) y la National Security Agency (NSA). El sitio Web del BC (biometrics.org)
contiene variada información sobre tecnología biométrica, resultados de investigaciones, aplica-
ciones federales y estatales, y otros tópicos.
22
-- ~ w
"' Caso 11.2
Aplicación en CE
LOS OJOS LO DICEN
Al incrementarse las preocupaciones por terrorismo, se-
guridad aérea, y fraude, el Reino Unido ha iniciado pruebas
de identificación y autenticación biométrica tanto para propó-
sitos de seguridad como comerciales. En un proyecto piloto,
British Airways y Virgin Atlantic probaron un sistema de
escáner de iris de EyeTicket Corporation en el Aeropuerto de
Heathrow en Londres, en el Aeropuerto JFK de la Ciudad de
Nueva York, y en el Aeropuerto de Dulles en las afueras de
Washington D.C. El piloto de 6 meses, que se dio en 2002,
fue coordinado por el Simplifying Passenger Travel Project
(SPT) británico de la lnternational Air Transport Association
(lATA). El objetivo principal del proyecto era determinar si el
escáner de iris se podía usar con los pasaportes para acele-
rar el proceso de autenticación para los pasajeros internacio-
nales que ingresaran al RU.
Las dos líneas aéreas eligieron participantes de sus pro-
gramas de v·lajeros frecuentes, enfocándose en los pasaje-
ros que hacían viajes habituales entre los Estados Unidos y
el Reino Unido Los participantes potenciales se registraron
en el programa a través de correo electrónico. Fueron entre-
vistados por el SeiVicio de Inmigración del Reino Unido para
asegurarse de que no existían problemas de seguridad.
Aproximadamente 900 personas se registraron en el progra-
mo.
Las pruebas reales incluyeron estaciones de escáner de
iris para enrolamiento en Heathrow, JFK, y Dulles, así como
cámaras de video y una estación de reconocimiento ubicada
en Heathrow. Los pasajeros que participaron en el progra-
ma se enrolaron sólo una vez. Esto se hizo en las estacio-
nes de enrolamiento tomando imágenes digitales de acerca-
miento del iris de los pasajeros. La imagen se almacenó des-
pués como una plantilla en un archivo de computadora. Cuan-
do un pasajero aterrizaba en Heathrow, su iris era escaneado
en la estación de reconocimiento y comparado con la planti-
lla almacenada. Si coincidían, el pasajero pasaba inmigra-
ción. En promedio, el escáner y la comparación tomaban al-
rededor de 12 segundos. Si la comparación fallaba, el pasa-
jero tenia que pasar por la fila normal de inmigración. La tasa
de errores fue de sólo 7 por ciento. Los ojos llorosos y las
pestal'ias largas fueron algunas de las principales fuentes de
error.
De acuerdo al grupo regional SPT de lATA a cargo del
proyecto, los hallazgos iniOales del proyecto piloto fueron alen-
tadores. No sólo el sistema biornétrico simplificaba y acele-
raba el proceso de llegada, sino que el sistema también veri-
ficaba con éxito a los pasajeros, mantenía la integridad en la
frontera, y era bien recibido por los participantes.
A pesar del éxito del proyecto piloto, existen barreras para
emplear el sistema en poblaciones más grandes de pasaje-
INFRAESTRUCTURA DE CLAVES PÚBLICAS
Seguridad en el Comercio Electrónico
ros. Una de las principales barreras es el registro inicial. Se-
gún el Servicio de Inmigración, el aspecto más dificil y que
consumió más tiempo fue el de realizar los procesos y pro-
cedimientos de registro y evaluación de riesgos. Como se
mencionara, el piloto sólo incluyó alrededor de 900 pasaje-
ros. Obviamente, sería mucho más difícil enrolar a miles o
millones de pasajeros. De la misma forma, seria un proce-
so mucho más lento el comparar un iris escaneado con mi-
les o millones de plantillas de iris.
Otra barrera para un uso más amplio es la falla de
estándares técnicos y procedimentales. En el aspecto téc-
nico, no existen estándares para el escáner de iris. El siste-
ma EyeTicket se basa en un algoritmo de escáner de iris
creado por Jeffrey Daugman, un profesor de la Universidad
de Cambridge. Otros aparatos para enrolar y escanear el
iris utilizan otros algoritmos. Esto hace dificil el poder com-
partir plantillas entre sistemas y a través de las fronteras.
También existe la necesidad de procedimientos estándares.
Sin procedimientos comunes de enrolamiento, autenticación
e identificación, existe muy poca base de confianza entre las
distintas agencias de gobierno o entre los gobiernos.
Inclusive con estándares, son pobres las perspectivas
para el empleo del escáner de iris o cualquier otra biomélrica
en los aeropuertos con fines de identificación. En 2003, los
sistemas de reconocimiento facial en el Aeropuerto Logan de
Bastan no reconocieron a voluntarios que se haclan pasar
por terroristas, 96 veces en un periodo de 3 meses, e identi-
ficaron incorrectamente a 'mocentes en igual número de ve-
ces. Resultados similares se obtuvieron en un estudio ante-
rior en el Aeropuerto Internacional de Palm Beach, con no
más de 50 por ciento de aquellos que debieron haber sido
identificados que pasaron sin ser detectados, y dos o tres
pasajeros inocentes que eran identificados cada hora. Tales
resultados en una población más grande destrozarlan la se-
guridad aeroportuaria.
Fuentes: Ernigh {2004) y Yenes (2004).
Preguntas
1. ¿Cuáles son los componentes principales del sistema de
escáner de iris de EyeTicket?
2. ¿Cuáles son algunas de las dmcultades de usar el escáner
de iris para verificar a los pasajeros en el control de pa-
saportes?
3. ¿Es razonable usar el escáner de iris o cualquier otra
biométrica para identificar terroristas en los aeropuertos?
Lo último en autenticación se basa en la infraestructura de claves públicas (PKI). En este caso,
no se emplea un dispositivo, sino un certificado. La PKI se ha vuelto la piedra angular de los
pagos electrónicos seguros. Se refiere a los componentes técnicos, infraestructura y prácticas re-
queridas para permitir el uso de la cncriptación de claves públicas, firmas digitales, y certifica-
Seguridad en el Comercio Electrónico 23
dos digitales con aplicaciones de red. La PKI es a su vez la base de una serie de aplicaciones de
red, incluyendo SCM, VPNs, correo eledrónico seguro, y aplicaciones de intranet.
Infraestructura de claves públicas (PKI) Un esquema de protección de pagos electrónicos empleando
encriptación de claves públicas y varios componentes técnicos.
Encriptación con Claves Privadas y Públicas
En la base de la PKI está la encriptación. Encriptación es el proceso de transformar o mezclar
(codificar) los datos de tal manera que sea difícil, caro, o que tome mucho tiempo a una persona
desautorizada el volverlos a su forma original (decodificarlos). Toda encriptación tiene cuatro
partes básicas (mostradas en el Cuadro 11.3): texto sin formato, texto cifrado, un algoritmo de
encriptadón, y la clave. El ejemplo simple del cuadro forma la base de un algoritmo de
cncriptación real llamado Vi genere cipher. Por supuesto, los algoritmos y claves simples de este
tipo son inútiles en el mundo de las redes. Se requieren algoritmos de encriptación y claves más
complejos.
4

e #"ro t1.3 Componentes de la
Componente Descripción Ejemplo
Texto sin formato Mensaje original en forma legible Número de tarjeta de crédito
por el ser humano. 5342 8765 3652 9982
Algoritmo de encriptación Fórmula matemática o proceso Sume un número {la clave) a
empleado para encriptar/descifrar cada número de la tarjeta. Si el
el mensaje número es mayor que 9,
dee el número al inicio (es decir,
módulos aritméticos). Por
ejemplo, sume 4 a cada número
de modo que 1 se convierta en
5, 9 en 3, etc.
Clave Un número especial trasladado al Número a ser sumado al número
algoritmo para transformar el original (p. Ej. 4).
mensaje.
Texto cifrado Texto sin formato luego de haber El número original
sido encriptado en una forma 5342 8765 3652 9982 se
legible. convierte en 9786 2109 7096
3326.
Encriptación El proceso de mezclar (encriptar) un mensaje de tal forma que sea dificil, caro, o consuma
mucho tiempo a una persona no autorizada el volverlo a su forma original (descifrarlo).
Las dos principales clases de sistemas de encriptación son los sistemas simétricos, con una clave secre-
ta, y los sistemas asimétricos, con dos claves.
Texto sin formato Los mensajes sin encriptar en una forma que puede ser leída por el ser humano.
Texto cifrado Los mensajes de texto sin formato luego de haber sido encriptados en una forma que pue-
de ser leída por las máquinas.
Sistema Simétrico de Claves (Privado)
En un sistema simétrico de claves (privado), la misma clave se usa para encriptar y des-encriptar el
texto sin formato (ver Cuadro 11.4). El remitente y el receptor del texto deben compartir la misma clave
sin revelarla a nadie -convirtiéndolo de esta forma en un sistema privado.
24 Seguridad en el Comercio Electrónico
actfP Encriptación de Clave Simétrica (Privada)
Clave privada Clave privada
i
MensaJe en
Des- MensaJe en
texto s 1n
Encriotación
Texto cifrado
Encriptación
texto sin
fonnato
(;'
17
formato ¡;;
Em1sor
Receptor
Por años, el Estándar de Encriptación de Datos (DES) (itl.nist.gov f fipspubs/ fue
el algoritmo estándar de encriptación simétrica respaldado por las agendas del gobierno de los
EEUU. El 2 de octubre de 2000, el National Institute of Standards and Technology (NIST) anun-
ció que el DES estaba siendo reemplazado por Rijndael, el nuevo Estándar de Encriptación Avan-
zada (csrc.nist.gov jencryption/ aes) empleado para proteger las comunicaciones del gobierno de
los EEUU.
Algoritmo de encriptación La fórmula matemática empleada para encriptar el texto sin formato en texto
cifrado, y vice versa.
Ya que los algoritmos empleados para encriptar los mensajes son bastante conocidos, la
confidencialidad de un mensaje depende de la clave. Es posible adivinar una clave simplemen-
te haciendo que una computadora pruebe todas las combinaciones de encriptación hasta que el
mensaje sea descifrado. Las computadoras de alta velocidad de procesamiento en paralelo pue-
den probar millones de suposiciones en un segundo. Por esto es que la longitud de la clave (en
bits) es el principal factor para proteger un mensaje. Si la clave tuviera 4 bits de longitud (p. Ej.
1011), sólo habría 16 posibles combinaciones (es decir, 2 elevado a la cuarta). Difícilmente se
necesitaría una computadora para romper la clave. Ahora, considere el tiempo que tornaría pro-
bar todas las posibles de claves de encriptación. Según Howard (2000), existen más de 1 trillón
de combinaciones posibles en una clave de 40 bits -pero inclusive este número de combinacio-
nes se puede probar en 8 días (usando una computadora que pueda verificar 1.6 millones de
claves por segundo), o tan solo en 109 segundos (a 10 millones de claves por segundo). Sin em-
bargo, una clave de encriptación de 64 bits tomaría 58.5 años para descifrarse (a 10 millones de
claves por segundo) (Howard 2000).
Clave El código secreto empleado para encriplar y descifrar los mensajes.
Sistema de claves simétricas (privado) Sistema de encriptación que emplea la misma clave para encriptar
y descifrar los mensajes.
Encriptación de Claves Públicas (Asimétrica)
Imagine tratar de usar la encriptación-de-una-sola-clave para comprar algo ofrecido en un ser-
vidor Web en particular. Si la clave del vendedor se distribuyera a miles de compradores, en-
tonces la clave no seguiría siendo secreta por mucho tiempo. Aquí es donde entra en juego la
encriptación de clave pública (asimétrica). La encriptación de clave pública emplea un par de
claves asociadas -una clave pública que está disponible públicamente para cualquiera, y una
clave privada que es conocida sólo por su dueño. Si se codifica un mensaje con una clave públi-
ca, se requiere entonces la clave privada asociada para descifrar el mensaje. Si, por ejemplo, una
persona desea enviar una orden de compra a una compañía y mantener el contenido en priva-
Seguridad en el Comercio Electrónico 25
do, podrá encriptar el mensaje con la clave pública de la compañia. Cuando la compañia reciba
la orden, la descifrará con la clave privada asociada.
El algoritmo más común de encriptación de clave pública es el RSA {rsa.com). RSA emplea
claves que tienen un rango de longitud de 512 bits a 1,024 bits. El principal problema con la
encriptación con claves públicas es la velocidad. Los algoritmos simétricos son significativamente
más rápidos que los algoritmos de clave asimétrica. Por esta razón_ la encriptación con claves
públicas no puede usarse de manera efectiva para encriptar y des-encriptar grandes cantidades
de datos. En la práctica, se emplea una combinación de encriptación simétrica y asimétrica para
cifrar los mensajes.
Estándar de Encriptación de Datos (DES) El algoritmo estándar de encriptación simétrica respaldado
por el NIST y empleado por las agencias del gobierno de los EEUU hasta el 2 de octubre de 2000.
Rijndael El nuevo Estándar de Encriptación Avanzada empleado para proteger las comunicaciones del
gobierno de los EEUU desde el 2 de octubre de 2000.
Encriptación de clave pública Método de encriptación que emplea un par de claves combinadas -una
clave pública para encriptar los mensajes y una clave privada para descifrarlos, o vice versa.
Clave pública Código de encriptación que es públicamente disponible a todos.
Clave privada Código de encriptación que sólo es conocido por su dueño.
RSA El algoritmo de encriptación de clave pública más común; emplea claves con una longitud en el ran-
go de 512 a 1,024 bits.
Firmas Digitales
En el mundo en línea, ¿cómo puede uno estar seguro de que un mensaje viene realmente de la
persona que uno piensa que lo envió? De manera similar, ¿cómo puede uno estar seguro de
que una persona no negará haber enviado un mensaje en particular?
Una parte de la respuesta es la firma digital -el equivalente electrónico a la firma personal
que no se puede falsificar. Las firmas digitales se basan en claves públicas. Se pueden emplear
para autenticar la identidad del emisor de un mensaje o documento. También se pueden usar
para asegurar que el contenido original de un mensaje electrónico o documento no haya sido
alterado. Las firmas digitales tienen beneficios adicionales en el mundo en línea. Son portátiles,
no son de fácil repudio ni imitación, y pueden tener un sello de fecha.
Firma digital Código de identificación que se puede emplear para autenticar la identidad del emisor de
un documento.
El Cuadro 11.5 muestra cómo funciona la firma digital. Suponga que una persona desea en-
viar por correo electrónico el borrador de un contrato financiero a una compañía con la que pla-
nea trabajar. El emisor desea asegurarle a la compañía que el contenido del borrador no ha sido
cambiado en su trayectoria y que él o ella es realmente el emisor. Para lograrlo, el emisor sigue
los siguientes pasos:
1. El emisor crea el mensaje de correo electrónico con el contrato en él.
2. üsando un software especial, se aplica al mensaje un cálculo matemático llamado función
hash, lo cual resulta en un resumen especial del mensaje, convertido en una cadena de dígitos
llamados resumen del mensaje (message digest).
3. El emisor emplea su clave privada para encriptar el hash. Esta es la firma digital del emisor.
Nadie puede replicar la firma digital del emisor porque está basada en su clave privada.
4. El emisor encripta tanto el mensaje original como la firma digital usando la clave pública del
receptor. Esto es lo que se llama el sobre digital.
5 El emisor envía por correo electrónico el sobre digital al receptor.
6. Al recibirlo, el receptor emplea su clave privada para descifrar el contenido del sobre digital.
Esto produce una copia del mensaje y de la firma digital del emisor.
26 Seguridad en el Comercio Electr6nico
7. El receptor emplea la clave pública del emisor para descifrar la firma digital, resultando en
una copia del resumen original del mensaje.
8. Usando la misma función hash empleada en el paso 2, el receptor crea entonces un resumen
del mensaje a partir del mensaje descifrado (como se muestra en el Cuadro 11.5).
9. El receptor compara este resumen con el resumen original del mensaje.
10. Si los dos resúmenes coinciden, entonces el receptor concluye que el mensaje es auténtico.
Hash Cómputo matemático que se aplica a un mensaje, empleando una clave privada, para encriptar el
mensaje.
Resumen del mensaje (message digest) Una sinopsis del mensaje, convertida en una cade-
na de dígitos, luego de haber aplicado el hash.
Sobre digital La combinación del mensaje original encriptado y la firma digital, empleando la
clave pública del receptor.
En este escenario, la compañía tiene evidencia de que el emisor envió el correo electrónico
porque (teóricamente) es el único con acceso a la clave privada. El receptor sabe que no se ha
intentado forzar el mensaje, ya que si eso hubiera ocurrido los dos hash no coincidirían.
Según el Acta Federal de Firmas Electrónicas en el Comercio Global y Nacional de los EEUU
que entró en vigencia en octubre de 2000, las firmas digitales en los Estados Unidos tienen la
misma posición legal que las firmas escritas en tinta sobre papel. Aunque la PKI es la base de
las firmas digitales, la autenticación de dos factores se emplea a menudo para verificar la identi-
dad legal de las personas. Por ejemplo, la PKI se puede usar con tarjetas inteligentes personales
o sistemas biornétricos para corroborar una identidad.
, " uadro 1:¡ 5 Ftrmas Otgitales
(2)
(1) Em1sor aplica
Mensaje función hash
""
contrato
(1)
Mensaje
contrato
(8) Receptor a plica
función hash
(3)
________ ;Emisor encnpta con
r su clave privada
Resumen del mensaje
Mensaje con
firma digital
(9) Verificar
equivalencia
Firma digital
(4)
Emisor en cripta con
clave pública del receptor
(6) Receptor descifra con su
clave privada
Firma d1g1tal
(7) Receptor descifra con
clave priltada del emisor
'
del mensaje
Seguridad en el Comercio Electrónico
27
Certificados Digitales y Autoridades Certificadoras
Si uno tiene que conocer la clave pública de alguien para enviarle un mensaje, ¿de dónde sale la
clave pública y cómo se puede estar seguro de la identidad real de esa persona? Los certifica-
dos digitales verifican que el poseedor de una clave pública y/ o privada es quien dice ser. Ter-
ceros llamados autoridades certificadoras (CAs) emiten los certificados digitales. Los certifica-
dos contienen elementos como el nombre del titular, el periodo de validez, información de la
clave pública, y un hash firmado de los datos certificados (o sea, contenido en hash del certifica-
do firmado con la clave privada de la CA}. Los certificados se emplean para autenticar sitios
Web (certificados de sitios), individuos (certificados personales), y compañías de software (certifica-
das de editores de software).
Certificado Digital Verificación de que el titular de una clave pública o privada es quien dice ser.
Existe un gran número de CAs. VeriSign (verisign.com) es la más conocida de las CAs.
VcriSign emite tres clases de certificados: la Clase 1 verifica que los correos electrónicos real-
mente vengan de la dirección del usuario. La Clase 2 verifica la identidad de un usuario contra
una base de datos de tarjetas de crédito comerciales. La Clase 3 requiere documentos notariales.
Firmas como Microsoft ofrecen sistemas que permiten a las compañías emitir sus propios certi-
ficados privados e internos.
Autoridades certificadoras (CAs) Terceros que emiten certificados digitales.
Secure Socket Layer (Capa de Conexión Segura)
Si el usuario promedio tuviera que descifrar cómo se usa la encriptación, los certificados digitales,
las firmas digitales y demás, habría muy pocas transacciones seguras en la Web. Afortunada-
mente, muchos de estos temas los manejan de forma transparente los buscadores y servidores
Web. Dado que distintas compañías, instituciones financieras, y gobiernos en muchos países
participan en el comercio electrónico, es necesario contar con protocolos de aceptación general
para proteger el comercio electrónico. Uno de los principales protocolos en uso hoy es Secure
Socket Layer (Capa de Conexión Segura) (SSL), también conocido como Transport Layer Security
(TLS) (Seguridad de Capa de Transporte).
El Secure Socket Layer (SSL) fue inventado por Netscape para utilizar certificados estándares
de autenticación y encriptación de datos en el aseguramiento de la privacidad o confidencialidad.
El SSL se convirtió en el estándar defacto adoptado por los buscadores y servidores desarrolla-
dos por Microsoft y Netscape. En 1996, se cambió el nombre del SSL al de Transport Layer
Security (TLS), pero mucha gente lo sigue llamando SSL. Es el principal estándar empleado en
los pagos en línea con tarjeta de crédito.
Secure Socket layer (SSL) Protocolo que emplea certificados estándares de autenticación y encriptación
de datos para asegurar la privacidad o confidencialidad.
Transport layer Security (TlS) A partir de 1996, otro nombre para el protocolo SSL.
El SSL permite encriptar los números de tarjeta de crédito y otras transmisiones entre un ser-
vidor Web y un buscador Web. En el caso de las transacciones con tarjetas de crédito, al hacer
una compra en la Web hay más cosas en juego que simplemente enviar un número de tarjeta de
crédito encriptado a un vendedor. Debe verificarse la validez del número, el banco del consu-
midor debe autorizar la tarjeta, y la compra se debe procesar. El SSL no está diseñado para ma-
nejar ninguno de los pasos subsiguientes a la transmisión del número de tarjeta.
Sección 11.6 PREGUNTAS DE REVISIÓN
1. ¿Cuáles son los elementos básicos de los sistemas de autenticación?
2. ¿Qué es un dispositivo pasivo? ¿Un dispositivo activo?
3. ¿Cuáles son las diferencias entre la biométrica fisiológica y la conductual?
4. Describa algunos de los tipos básicos de biométrica fisiológica
5. Describa los componentes básicos de la encriptación.
2S Seguridad en el Comercio Electrónico
6. ¿Cuáles son los elementos principales de la PKI?
7. ¿Cuáles son las diferencias básicas entre la encriptación simétrica y asimétrica?
8. Describa cómo se crea una firma digital.
9. ¿Qué es un certificado digital? ¿Qué rol tiene una autoridad certificadora?
10. ¿Qué es el protocolo SSL?
11.7 PROTEGIENDO LAS REDES DE CE
Existen varias tecnologías que aseguran que los límites de las redes organizacionales estén segu-
ros contra ataques cibernéticos o intrusiones, y si los límites de la organización se ven compro-
metidos la intrusión sea detectada. La selección y operación de estas tecnologías debe basarse
en ciertos conceptos de diseño, incluyendo (Thomas 2004):
• Seguridad por capas. El hecho de confiar en una sola tecnología para evitar ataques está
destinado al fracaso. Debe aplicarse una serie de tecnologías en puntos clave de la red (ver
Cuadro 11.6). Este es probablemente el concepto más importante al diseñar un sistema segu-
ro.
• Controlando el acceso. El acceso a una red debería basarse en la política del minimo privi-
legio (POLP). Por defecto, debe bloquearse el acceso a los recursos de la red y permitirlo
sólo cuando los recursos se requieran para desarrollar las actividades del negocio.
Política del mínimo privilegio (POLP) Política de bloquear el acceso a los recursos de la red a menos
que se necesite su acceso para llevar a cabo actividades del negocio.
• Seguridad específica del rol. Como se mencionara en la Sección 11.5, el acceso a cualquier
recurso en particular debe basarse en el rol del usuario en la organización.
• Monitorización. Como lo dice un "infomercial" bien conocido, muchas organizaciones sim-
plemente "lo establecen y se olvidan". Más específicamente, pasan por el proceso de estable-
cer los planes y políticas de seguridad, disponiendo tecnologías de seguridad, y luego fallan
en monitorizar sus redes para asegurarse de que permanezcan seguras.
~
adro 11.6 Seguridad por Capas
Implementar
Seguridad
en Todas
las Capas
~
1
1 FlrBWall
~ w ~ c h
Usuanos
=
Servidores
Seguridad en el Comercio Electrónico 29
• Ponga parches a los sistemas. La mayoría de las organizaciones están dolorosamente al tan-
to de que los proveedores (como Microsoft) continuamente están generando parches o actua-
lizaciones a su software, aplicaciones y sistemas para cubrir agujeros en la seguridad. Ob-
viamente, la única manera de aprovechar estas mejoras es instalar los parches o actualizacio-
nes. Las versiones más modernas del software (p. Ej.los sistemas operativos como Windows
XP) cuentan con funcionalidades de actualización automática incorporadas. Esto facilita a
las organizaciones y a los individuos el seguirle el paso a las mejoras.
• Equipo de respuesta. Independientemente del tamaño organizacional, existen altas proba-
bilidades de que las organizaciones cuyas redes están conectadas a la Internet sean víctima
de un ataque de alguna clase a la seguridad de sus redes. Por esta razón, las organizaciones
necesitan contar con un equipo preparado que pueda responder a estos ataques. El equipo
necesita contar con planes, procesos y recursos bien establecidos y deben practicar sus res-
puestas cuando no exista presión en vez de aprender durante las crisis.
FIREWALLS
El término firewall {cortafuegos) se comenzó a emplear en los años 1700 para describir las bre-
chas que se cortaban en los bosques para prevenir que el fuego se esparciera a otras partes de
los mismos (Garfinkel2002). El término también describe al escudo protector entre el motor de
un auto y el interior del mismo. En el mundo de las computadoras en red, un firewall es un
nodo de red que consiste tanto de hardware como de softvvare y aísla una red privada de una
red pública. Hazari (2000) brinda una analogía simple para comprender la manera cómo fun-
ciona un firewall en términos generales:
Firewall Un nodo de red que consiste tanto de hardware como de software el cual aísla una red privada
de una pública.
Podemos pensar que un firewall es algo similar a un guardia de seguridad en una discoteca.
Como él, los firewalls tienen una serie de reglas, similares a la lista de invitados o el código de
vestimenta, que determinan si a los datos se les puede permitir la entrada. Así como el guardia
se coloca en frente de la puerta de la discoteca, el firewall está ubicado en el punto de entrada por
el que los datos intentan entrar a la computadora desde la Internet. Pero así como las distintas
discotecas pueden tener distintas reglas de entrada, los distintos jirewalls tienen diferentes mé-
todos para inspeccionar los datos para su aceptación o rechazo.
Algunos firewalls filtran datos y solicitudes que van de la Internet póblica a la red privada
basándose en las direcciones de red de la computadora que envía o recibe la solicitud. Estos
firewalls se conocen cono packet-filtering routers (distribuidores de tráfico por filtrado de pa-
quetes). En la Internet, los datos y solicitudes enviados desde una computadora a otra se rom-
pen en segmentos llamados packets (paquetes). Cada paquete contiene la dirección de Internet
de la computadora que envía los datos, asf como la dirección de Internet de la computadora que
los debe recibir. Los paquetes también contienen otra información identificatoria que se puede
emplear para distinguir un paquete de otro. Los filtros de paquetes son reglas que pueden acep-
tar o rechazar paquetes entrantes sobre la base de las direcciones fuente y destino y la otra in-
formación identificatoria. Algunos ejemplos simples de filtros de paquetes incluyen los siguien-
tes:
Packet-filtering routers (distribuidores de tráfico por filtrado de paquetes) Firewalls que fil-
tran datos y solicitudes que se trasladan de la Internet pública a la red privada sobre la base de
las direcciones de red de la computadora que envfa o recibe la solicitud.
Paquetes (packets) Segmentos de datos y solicitudes enviados de una computadora a otra en la Internet;
consisten en direcciones de Internet de las computadoras que envían y reciben los datos, más otra infor-
mación identificatoria que distingue un paquete de los otros.
Filtros de datos (packet filters) Reglas que pueden aceptar o rechazar paquetes entrantes sobre la base
de las direcciones fuente y destino y de otra información identificatoria.
30 Seguridad en el Comercio Electrónico
• Bloquear todos los paquetes enviados desde una dirección de Internet dada. Las compa-
ñías en ocasiones lo emplean para restringir solicitudes desde computadoras de los competi-
dores.
• Bloquear todos los paquetes que vengan del exterior que tengan la dirección de una c o m ~
putadora del interior. Las compañías emplean este tipo de reglas para bloquear solicitudes
en las que los intrusos emplean sus computadoras para suplantar a una computadora que
pertenece a la compañía.
Sin embargo, los filtros de paquetes tienen sus desventajas. Al colocar las reglas, un admi-
nistrador puede olvidar algunas reglas importantes o especificar incorrectamente alguna de ellas,
dejando de esta forma un agujero en el firewall. Adicionalmente, ya que el contenido de los
paquetes es irrelevante para el filtro de paquetes, una vez que un paquete pasa por el firewall,
la red interna queda abierta a los ataques dirigidos por datos. Esto es, los datos pueden conte-
ner instrucciones ocultas que causen a la computadora receptora un cambio en los controles de
acceso o en los archivos relacionados con la seguridad.
Los packet-filtering routers se emplean a menudo como la primera capa de defensa de una
red Otros firewalls forman una segunda capa. Esta siguiente capa de firewalls bloquea los da-
tos y solicitudes dependiendo del tipo de aplicación que se accede. Por ejemplo, un firewall puede
permitir solicitudes para copiar páginas Web de la Internet pública a la red privada. Este tipo
de firewall se llama application-level proxy (proxy de nivel de aplicaciones). En un application
leve! proxy, a menudo existe un servidor especial llamado bastion gateway (puerta de defen-
sa). El servidor bastion gateway tiene dos tarjetas de red de modo que los paquetes de datos
que llegan a una tarjeta no se retransmiten a la otra tarjeta (ver Cuadro 11.7). En vez de ello,
programas especiales de software llamados proxys corren en el servidor bastion gateway y en-
vían los paquetes re-empaquetados de una red a la otra. Todos los servicios de Internet a los
que una organización desea dar soporte tienen un proxy. Por ejemplo, existe un proxy Web (es
decir, HTTP), un proxy de transferencia de archivos (FTP), y así. También se puede establecer
proxys especiales para permitir a los socios de negocio, por ejemplo, acceder a aplicaciones en
particular que corren detrás del firewall. Si se hace una solicitud de un servicio proxy no sopor-
tado, entonces es bloqueado por el firewall.
Application-level proxy (proxy de nivel de aplicaciones) Un firewall que permite solicitudes para tras-
ladar páginas Web de la Internet pública a la red privada.
Bastion gateway (puerta de defensa) Un servidor de hardware especial que emplea software proxy de
nivel de aplicaciones para limitar los tipos de solicitudes que pueden pasar a las redes internas de la orga-
nización desde la Internet pública.
Proxys Programas especiales de software que corren en el servidor gateway y que trasladan paquetes
re-empaquetados de una red a otra.
Adicionalmente a controlar el tráfico entrante, el firewall y los proxys controlan el tráfico sa-
liente. Todas las solicitudes de tráfico saliente se envían primero al servidor proxy y luego el
proxy las envía en nombre de las computadoras detrás del firewall. Esto hace que todas las soli-
citudes parecieran provenir de una sola computadora en vez de muchas de ellas. De esta for-
ma, las direcciones de Internet de las computadoras internas se mantienen ocultas para el exte-
rior.
Una desventaja de los firewalls con application-level proxy es el desmejoramiento del des-
empello. Toma más tiempo de procesamiento relacionar paquetes específicos con aplicaciones
particulares. Otra desventaja es que los usuarios de la red interna deben configurar sus máqui-
nas o buscadores para enviar sus solicitudes de Internet a través de un servidor proxy.
Los sistemas de firewall se pueden crear desde cero. Sin embargo, la mayoría de las compa-
ñías confía en los sistemas comerciales de firewall. ConsumerSearch.com tiene una revisión de
una serie de productos de firewalJ comerciales (consumersearch.com/www /index.html).
Seguridad en el Comercio Electrónico
dro 11.7 Application·Level Proxy (Bastíon Gateway Host)
Clientes
extemos
Conexión
client&Proxy
AFUERA
=ol / "" l_...j Internet r
ZONA DESMILITARIZADA
Nivel de Aplicaciones
(Bastbn Host)
8 ervidores de
Aplicaciones

=
Hlcia \ p roxy Hlcia
Web -1-----i-
(HTTP) •
______ J L_
Proxy de
Hlcia \ Transferencia
5
Hlcia
. adentro! de Archivos "-
(FTP) ..__..
__,:_:_;_¡___,
5
\
Otros \
Hacia Hacia
Servicios 1---i---i
. adentro j \...afuera/ -_-
'----...-/ Pr(ll(y ...__...
______ J L_
Conexiérl
P roxv- servidor
DENTRO
31
El término zona desmilitarizada (DMZ) se usa a menudo para describir un área de no agresión
entre dos enemigos, como la DMZ entre Corea del Norte y Corea del Sur. En términos de segu-
ridad computacional, una DMZ es un área de red que se encuentra entre la red interna de la
organización y una red externa (Internet), brindando aislamiento físico entre las dos redes, sien-
do controlada por reglas dictadas por el firewalL Por ejemplo, suponga que una compañía de-
sea administrar su propio sitio Web. En un montaje DMZ, la compañía pondría el servidor Web
en una red de acceso público y el resto de sus servidores en una red interna privada. Entonces
se configuraría un firewall para dirigir las solicitudes que vengan desde fuera, hacia la red y
servidores apropiados. En la mayoría de los casos, la red interna también tiene al frente un se-
gundo firewall para asegurar por partida doble que las solicitudes invasivas no atraviesen la red
privada (ver el Cuadro 11.8).
Zona desmilitarizada (DMZ) Un área de red que se encuentra entre una red interna organizacional y una
red externa (Internet), brindando aislamiento físico entre las dos redes, siendo controlada por reglas emiti-
das por un firewall.
FIREWALLS PERSONALES
En años recientes, se ha incrementado el número de individuos que cuentan con conexiones de
Internet de ancho de banda de alta velocidad (módem por cable o líneas de suscripción digital
[DSL] en sus hogares o en pequeñas empresas. Estas conexiones "encendidas siempre" son mu-
cho más vulnerables a los ataques que una conexión de discado simple. Con estas conexiones,
el dueño de casa o de la pequeña empresa corre los riesgos de que roben o destruyan su infor-
mación, que accedan a su información delicada (p. Ej. información financiera personal o de su
negocio), y de que usen su computadora como DoS para atacar a otras.
Los firewalls personales están diseñados para proteger los sistemas de las computadoras al
monitorizar todo el tráfico que pasa a través de la tarjeta de interfaz de red de las computadoras.
Operan de dos maneras. Con el primer método, el dueño puede crear reglas de filtro (bastante
parecido al filtrado de paquetes) que son empleadas por el firewa\1 para permitir o eliminar pa-
32
Seguridad en el Comercio Electrónico
quetes. Con el otro método, el firewall puede aprender, haciendo preguntas al usuario, sobre
cómo debe manejarse cierto tráfico en particular. Una serie de productos de firewalls persona-
les se encuentran en el mercado, incluyendo el bien ponderado Norton Personal Firewall de
Symantec (symantec.com) y el firewall ZoneAlarm de CheckPoint (checkpoint.com). Para una
comparación detallada de una serie de estos productos, ver firewallguide.comfsoftware.htm.
Firewall personal Un nodo de red diseñado para proteger el sistema de la computadora de los usuarios
individuales de la red pública al monitorizar todo el tráfico que pasa a través de la tarjeta de interfaz de red
de la computadora.
VPNs
Suponga que una compañía desea establecer una aplicación B2B, dándole a los proveedores, so-
dos, y otros, acceso no sólo a los datos residentes en su sitio Web interno, sino también a los
datos contenidos en otros archivos (p. Ej. documentos de Word) o en sistemas antiguos (p. Ej.
grandes bases de datos relacionales).
En forma tradicional, las comunicaciones con la compañía se habrían realizado a través de
una línea privada de alquiler o a través de una línea de discado con un banco de módems o con
un servidor de acceso remoto (RAS) que brindara conexión directa con la LAN de la compañía.
Con una línea privada, las probabilidades de que un hacker espíe las comunicaciones entre las
compañías sería nula, pero es una manera cara de hacer negocios.
Una alternativa menos costosa sería la de usar una red privada virtual (VPN). Las VPNs
usan la Internet pública para llevar información pero se mantienen privadas al usar una combi-
nación de encriptación, para cifrar las comunicaciones, autenticación, para asegurar que la in-
formación no ha sido forzada y que proviene de una fuente legítima, y control de los accesos,
para verificar la identidad de todos los que usen la red. Adicionalmente, una VPN también puede
emplearse para brindar soporte a las comunicaciones sitio-a-sitio entre oficinas sucursales y sus
sedes centrales, y a las comunicaciones entre trabajadores móviles y sus centros de trabajo.
Red privada virtual (VPN) Una red que usa la Internet pública para llevar información pero permanece
privada al usar la encriptación para cifrar las comunicaciones, la autenticación para asegurar que la infor-
mación no sea forzada, y el control de acceso para verificar la identidad de todos los que usen la red.
Las VPNs pueden reducir los costos de las comunicaciones drásticamente. La reducción de
los costos se logra porque el equipo VPN es más económico que el de otras soluciones remotas,
las líneas alquiladas privadas ya no se requieren para dar soporte al acceso remoto, los usuarios
remotos pueden hacer llamadas locales o usar líneas de cable o de DSL en vez de llamadas de
larga distancia o internacionales para acceder a la red privada de una organización, y una sim-
ple línea de acceso se puede usar para soportar múltiples propósitos. Los ahorros estimados
para las redes de sitio-a-sitio son de 20 a 40 por ciento para sitios en el mismo pais y de 60 a 90
por ciento si se encuentran en distintos países (NetGear 2002). Los ahorros para los trabajado-
res móviles y remotos se estiman en alrededor de 60 a 80 por ciento (Prometheum Technologies
2003).
Seguridad en el Comercio Electrónico
- (,
uadro 11.8 Zona Desmilitarizada (DMZ)
- ..
Servidor
FTP
Internet
Firewall
Red Interna
Servidor
WEB
33
El principal reto técnico de las VPNs es el de asegurar la confidencialidad e integridad de los
datos transmitidos por la Internet. Aquí es donde entra en juego el protocolo de túneles (protocol
tunneling). Con el protocolo de túneles, los paquetes de datos son cifrados primero y luego
encapsulados en paquetes que se pueden transmitir por la Internet. Los paquetes se descifran
en la dirección de destino por un host especial o router.
Protocolo de túneles (protocol tunneling) Método empleado para asegurar la confidencialidad e inte-
gridad de los datos transmitidos por la Internet, encriptando paquetes de datos, enviándolos en paquetes
por la Internet, y descifrándolos en la dirección de destino.
Se puede usar tres tecnologias para crear una VPN. Primero, varios de los paquetes de firewall
y software con funcionalidad VPN. Segundo, los routers (es decir, los com-
ponentes especiales de red para controlar las comunicaciones) no sólo pueden funcionar como
firewalls, sino que también pueden funcionar como servidores VPN. Finalmente, existen solu-
ciones de software que pueden emplearse para manejar las conexiones VPN. VPN Consortium
(vpnc.org/vpnc-features-chart.html) brinda una comparación de una serie de productos comer-
ciales de VPN.
Muchas compañías de telecomunicaciones (carriers) y las ISPs más grandes ofrecen servicios
de VPN mediante discado con base en Internet y comunicaciones sitio-a-sitio. Estas compañías
usan su propia infraestructura básica de redes privadas a la que le han adicionado funciones de
seguridad, conectividad de intranet, y nuevas capacidades de discado para servicios remotos.
Dos de las compañías que brindan estos servicios son AT&T VPN Services (att.com) y Cable &
Wireless TP-VPN (cw.com).
34 Seguridad en el Comercio Electrónico
SISTEMAS DE DETECCIÓN DE INTRUSIONES
Aún sí una organización cuenta con una política de seguridad bien formulada y una serie de
tecnologías de seguridad en marcha, sigue siendo vulnerable a los ataques. Por ejemplo, l a m a ~
yoria de las organizaciones cuenta con software antivirus, pero aún así la mayoría sufre ataques
de virus. Es por esto que las organizaciones deben vigilar continuamente tanto los intentos como
las materializaciones de grietas en la seguridad.
Antiguamente, se revisaba manualmente los registros de auditoría, los cuales son producidos
por una variedad de componentes y aplicaciones del sistema, para buscar excesiva cantidad de
intentos fallidos de inicio de sesión, intentos fallidos de acceso a archivos y bases de datos, y
otras violaciones de aplicaciones y sistemas. Obviamente, este procedimiento manual tema sus
defectos. Por ejemplo, si las tentativas de intrusión se dispersaban sobre un largo periodo, fácil-
mente se podían pasar por alto. Hoy, existe una categoría especial de software que puede
monitorizar la actividad en toda la red o en una computadora host, vigilar en busca de activida-
des sospechosas, y tomar acción automatizada sobre la base de lo que ve. Esta categoría de soft-
ware se conoce como sistemas de detección de intrusiones (IDSs).
Sistemas de detección de intrusiones (IDSs) Una categoría especial de software que puede monitorizar
la actividad de una red o de una computadora host, revisar las actividades sospechosas, y tomar acción
automatizada basándose en lo que ve.
Existen IDSs tanto basados en hosts corno basados en redes. Los IDS basados en hosts residen
en el servidor o en otro sistema host que esté siendo monitorizado. Los sistemas basados en
hosts son particularmente buenos en detectar archivos críticos o relacionados con la seguridad a
los que se les ha intentado forzar, o si los usuarios han intentado acceder a archivos que no es-
tán autorizados a usar. Los sistemas basados en hosts realizan esto calculando una cifra caracte-
rística específica, o check-sum, para cada archivo. El IDS revisa los archivos regularmente para
verificar si las cifras características coinciden con las previas. Si las cifras no coinciden, se notifi-
ca al personal de seguridad inmediatamente. Algunos ejemplos de sistemas host comerciales
son Tntruder Alert de Symantec (symantec.com), Tripwire de Tripwire Security
(tripwiresecurity.com), Entercept Desktop y Server Agents de McAfee (mcafee.com).
Los IDS basados en redes usan reglas para analizar actividades sospechosas en el perímetro de
una red o en ubicaciones clave de la red. Usualmente consisten de un monitor -un paquete de
software que revisa la red -y agentes de software que residen en varias computadoras host y
regresan información de nuevo al monitor. Este tipo de IDS examina el tráfico de la red (es d e ~
cir, los paquetes) buscando patrones conocidos de ataque y automáticamente notifica al perso-
nal de seguridad cuando ocurren eventos específicos o amagos de eventos. Los IDS basados en
redes también pueden realizar ciertas acciones cuando ocurren ataques. Por ejemplo, pueden
terminar las conexiones de red o reconfigurar dispositivos de red, como Hrewalls y routers, ba-
sándose en las políticas de seguridad. El NetRanger de Cisco Systems (dsco.com) y el eTrust
Intrusion Detection de Computer Associates (www3.ca.com/solutions/product. asp?id=163) son
ambos ejemplos de IDSs basados en red disponibles comercialmente.
HONEYNETS Y HONEYPOTS (Redes y Servidores Señuelo)
Las honeynets (redes señuelo) son otra tecnología que se puede usar para detectar y analizar las
intrusiones. Las honeynets son redes de honeypots (servidores señuelo) diseñados para atraer a
los hackers como la miel atrae a las abejas. En este caso, los honeypots son recursos del sistema
de información -firewalls, routers, servidores Web, servidores de bases de datos, archivos y de-
más -que se han preparado para parecer sistemas de producción pero no hacen ninguna tarea
real. La principal diferencia entre un honeypot y un servidor real es que las actividades en el
honeypot provienen de intrusos que intentan comprometer al sistema. De esta manera, los in-
vestigadores que observan la honeynet pueden reunir información sobre porqué atacan los
hackers, cuándo atacan, cómo lo hacen, qué hacen cuando comprometen el sistema, y cómo se
comunican entre sí durante y después de un ataque.
Honeynet (red señuelo) Una forma de evaluar las debilidades de una organización al estudiar los tipos
de ataques a los que está sujeto un sitio usando una red de sistemas llamada honeypots.
Seguridad en el Comercio Electrónico 35
Honeypot (servidor señuelo) Sistemas de producción {p. Ej. firewalls, routers, servidores Web, servido-
res de bases de datos) diseñados para realizar tareas reales pero que son revisados y estudiados durante
la ocurrencia de intrusiones.
Las honeynets y los honeypots se originaron en abril de 1999 con el Honeynet Project
(Honeynet 2004). El Honeynet Project es un grupo de investigación a nivel mundial sin fines de
lucro formado por profesionales de seguridad. El grupo se enfoca en elevar la conciencia sobre
los riesgos de seguridad que afrontan los sistemas conectados a la Internet y enseñan e infor-
man a la comunidad de seguridad sobre las mejores maneras de proteger y defender los recur-
sos de las redes. El proyecto corre sus propias honeynets pero no pretende atacar a los hackers.
Simplemente conectan las honeynets a la Internet y esperan que ocurran los ataques.
El Proyecto Honeynet estuvo dividido en cuatro fases. Las primeras tres están completas. El
objetivo de la fase actual, la cual procede de 2004 a 2005, es el de crear un sistema centralizado
que pueda recolectar y correlacionar datos de honeynets distribuidas.
En el Proyecto Honeynet, los honeypots se usan para investigación. Los honeypots también
se pueden emplear en sistemas de producción para reducir los riesgos de seguridad. Las orga-
nizaciones pueden hacerlo simplemente incluyendo un honeypot en su red pre-existente. Aun-
que los honeypots no pueden prevenir los ataques, pueden simplificar la detección y reacción a
los mismos. Ya que todo el tráfico de un honeypot proviene de los intrusos, es más fácil anali-
zar los datos producidos por un honeypot (p. Ej. los archivos de registros de la actividad del
sistema) para determinar qué está ocurriendo y cómo responder. Los honeypots se pueden ar-
mar desde cero o se pueden emplear versiones comerciales o de código fuente abierto. Back
Officer Friendly {nfr.com/resourcejbackofficer.php), Specter (specter.com/default50. htm),
Honeyd (honeyd.org), y Decoy Server (enterprisesecurity.symantec.com/ productsj
products.cfm?productid=157) son ejemplos de sistemas comerciales o de código fuente abierto.
Antes de que una compañía ponga en funcionamiento una honeynet, tiene que pensar en qué
hará cuando se convierta en la escena de un crimen cibernético o contenga evidencia de un cri-
men y las restricciones legales y consecuencias de monitorizar actividades legales e ilegales. Es-
tos temas se discuten en el Caso de Aplicación de CE 11.3.
Sección 11.7 PREGUNTAS DE REVISIÓN
1. Haga una lista de Jos tipos básicos de firewalls y descríbalos brevemente.
2. ¿Qué es un firewall personal?
3. ¿Cómo funciona una VPN?
4. Describa brevemente los principales tipos de IDSs.
5. ¿Qué es una honeynet? ¿Qué es un honeypot?
36
~ ~ ~
"' easo11.3
Aplicación de CE
LAS HONEYNETS Y LA LEY
Millones de redes y computadoras están en Internet.
Dado esto, ¿cuál es la probabilidad de que un pequeño
subconjunto de computadoras conectadas a la Internet sean
víctima de un intruso externo? En la primera fase del Pro-
yecto Honeynet, la cual corrió de 1999 a 2001, la honeynet
consistió de seis honeypots que fueron diseñados para imi-
tar una configuración típica de computadoras domésticas.
A los 15 minutos de estar conectado a la Internet, uno de
los honeypots fue atacado. En el transcurso de los siguien-
tes pocos días, todos los honeypots fueron atacados, y en
el transcurso de los siguientes 2 días fueron atacados a
repetición.
Durante la primera fase, muchos de los ataques fueron
simple y llanamente inocuos. Hoy, el tipo de intrusiones y
de intrusos ha cambiado. La proporción de hackers
involucrados en actividades ilegales de todo tipo ha aumen-
tado dramáticamente. Si una compañía pone en funciona-
miento una honeynet, hay una buena probabilidad de que
sea la escena de un crimen cibernético o que contenga evi-
dencia de un crimen. Algunos intrusos pueden enfocarse
sólo en atacar la honeynet en sí. Otros pueden querer usar-
la como una zombi para lanzar ataques, como un lugar para
almacenar t a ~ e t a s de crédito robadas, o como un servidor
para distribuir software pirateado o pornografía infantil. A
pesar de esto, las compañías necesitan comprender los ti-
pos de crímenes que pueden ocurrir y los temas legales que
pueden provocar sea si eligen reportar o ignorar estos crí-
menes. Sólo porque las actividades de una honeynet son
perpetradas por intrusos, no significa que el operador tiene
derechos ilimitados para monitorizar a los usuarios de la red.
Aunque muchos crímenes pueden perpetrarse con o
contra una honeynet, el crimen más frecuente y obvio es
la intrusión en las redes. En los Estados Unidos, el Acta
federal de Fraude y Abuso Computacional, emitida en 1986
y luego enmendada en 1996, cubre la mayoría de los crí-
menes en las redes. Adicionalmente, un número de leyes
estatales proscriben el acceso no autorizado y daños a las
computadoras o redes. El Acta de Fraude y Abuso
Computacional declara como crimen el atacar
"computadoras protegidas", incluyendo las computadoras
"usadas en el comercio o comunicación interestatal o ex-
tranjera". Si una computadora está en la Internet, se usa
en comunicación interestatal. Todas las computadoras del
gobierno y las que usan los bancos e instituciones finan-
cieras también están protegidas. Esto significa que la ma-
yoría de las honeynets van a estar protegidas por el Acta.
El Acta también define los tipos de ataque que consti-
tuyen un crimen. Es un delito grave si un atacante "causa
a sabiendas la transmisión de un programa, información,
códigos, o comandos, y como resultado de tal conducta,
intencionalmente y sin autorización causa daños a una com-
putadora protegida". El daño ocurre cuando existe "cual-
Seguridad en el Comercio Electrónico
quier impedimento a la integridad o disponibilidad de da-
tos, programas, sistemas o información." Las limitaciones
son que para que un ataque sea un delito grave, uno o
más de los siguientes debe ser su resultado: un daño en
conjunto de por lo menos $5,000; modificación o impedi-
mento de exámenes, diagnósticos, tratamientos o cuida-
dos médicos a uno o más individuos; daños físicos a una
persona; una amenaza a la salud o seguridad públicas; o
daños a las computadoras del gobierno usadas en la ad-
ministración de justicia, en la defensa nacional, o en la
seguridad nacional. Bajo estas provisiones, el Acta cu-
bre una amplia gama de actividades, que incluyen:
• Ataques de negación de uso, virus y gusanos.
• Intrusiones simples en las que el atacante causa da-
ños.
• Compartir información sin autorización, especialmen-
te si la información es usada para obtener ventajas
comerciales, ganancias financieras, para fomentar
otros crímenes, o si la información vale más de
$5,000.
• Acceso no autorizado a computadoras no públicas
del gobierno de los EEUU.
• Uso de computadoras para obtener información cla·
sificada sin autorización.
• Espionaje relacionado con las computadoras, lo cual
también puede constituir terrorismo.
• Tráfico de contraseñas.
• Amenaza de dañar las computadoras.
• Intento de cometer un crimen de red, aunque el cri-
men no se haya consumado.
Al administrar una honeynet, las compañlas necesitan
ser cuidadosas para asegurar que no esté facilitando o
dando ayuda adicional a un crimen. Se debe tomar pre-
cauciones y acción para prevenir que la actividad crimi-
nal potencial o real pueda dañar a otros; para informar a
las autoridades cuando salgan a la luz actividades crimi-
nales o evidencia; y para asegurar que los datos, código,
programas y sistemas que corren en la honeynet sean le-
gales (es decir, no almacenan contrabando en el sistema
en un esfuerzo para atrapar intrusos).
El propósito principal de una honeynet comercial es
el de monitorizar y analizar intrusiones y ataques. Bajo
ciertas circunstancias, la monitorización de estas activida-
des puede ser pasible de una acción criminal o civil. En
los Estados Unidos, el Acta Federal de Interceptación de
Comunicaciones y el estatuto de Registradores de Discado
(Pen Register), Trampas y Dispositivos de Rastreo colo-
ca limites legales a la actividad de monitorización. El Acta
de Interceptación declara ilegal interceptar el contenido de
las comunicaciones. Si los intrusos no pueden almace-
nar (sea directa o indirectamente) datos o información en
una honeynet, entonces el Acta no aplica. Si lo pueden
(Continua ... )
Seguridad en el Comercio Electrónico
hacer, entonces existen excepciones a la regla. Por
ejemplo, si la monitorización se hace para prevenir el
abuso o daño de los sistemas, entonces monitorizarlo
no es ilegal. Esto implica que ciertos propósitos y con-
figuraciones de las honeynets son ilegales y otros no
lo son.
En comparación con el Acta de Interceptación, el
estatuto de Registradores de Discado, Trampas y Dis-
positivos de Rastreo aplica a los aspectos que "no son
el contenido" de las comunicaciones. Por ejemplo, con
los teléfonos, los nUmeras telefónicos "no son el conte-
nido" De manera similar, en una comunicación en la
red, las direcciones de red "no son el contenido". Este
estatuto declara ilegal el capturar la información que no
es el contenido de una comunicación, a menos que apli-
quen ciertas excepciones. Las excepciones atañen prin-
cipalmente a las acciones que toman los proveedores
de las comunicaciones (en este caso el operador de la
honeynet) para proteger sus derechos o propiedad.
Nuevamente, ciertos propósitos y configurac·lones de las
honeynets son legales y otros no lo son.
~ , NCIALES
' ~
37
Cuando una compañia monitoriza las actividades en
la red del personal interno y de forasteros, surgen una
serie de asuntos legales. Ya que la monitorización es
una de las principales actividades de una honeynet, las
compañías deben buscar asesoría legal antes de poner
una en funcionamiento y familiarizarse con las agencias
de cumplimiento de la ley a las que deberra involucrarse
en caso de observar actividad ilegal.
Fuente: Honeynet Project (2004)
Preguntas
1. ¿Qué constituye un crimen para el Acta de Fraude y
Abuso Computacional?
2. ¿Qué tipo de actividades están prohibidas por el Acta
de Fraude y Abuso Computacional?
3. ¿Qué tipo de actividades son ilegales para el Acta
Federal de Interceptación? ¿Para el Estatuto de Re-
gistradores de Discado, Trampas y Dispositivos de
Rastreo?
Algunos temas gerenciales relacionados con este capitulo son los siguientes.
1. ¿Hemos presupuestado suficiente para seguridad? Si uno pregunta a la alta gerencia de las
corporaciones de Fortune 500 si toman la seguridad de las redes con seriedad, con toda cer-
teL:a responderán "Sí". Pero, a pesar de esta respuesta, la mayoría de estas organizaciones
gastan sólo un pequeño porcentaje de sus presupuestos en la seguridad de las redes, tienen
personal bastante reducido trabajando en los temas de seguridad de redes, y generalmente
relegan las cuestiones de seguridad de red al personal con menor rango en la jerarquía
organizacional. Debido a que las consecuencias de una pobre seguridad de red pueden ser
severas, es imperativo que la alta gerencia tenga una comprensión básica de las mejores prác-
ticas de gestión de riesgos de red.
2. ¿Cuáles son las consecuencias de una seguridad insuficiente para el negocio? Una seguri-
dad inefectiva abre las puertas a los ataques a computadoras y a la red, los cuales pueden
resultar en daños a los activos técnicos y de información; robo de información y de servicios
de información; pérdida temporal de sitios Web y del acceso a Internet; pérdida de ingresos;
litigios generados por accionistas y otros interesados en la organización insatisfechos; pérdi-
da de la confianza del diente; y daños a la reputación y credibilidad. En algunos casos, los
ataques pueden literalmente sacar del negocio a una compañía, especialmente si el CE es su
única fuente de ingresos.
3. ¿Qué sitios de comercio electrónico son vulnerables a Jos ataques? Suponga que usted deci-
de instalar un sitio B2B para dar servicio a sus proveedores y socios. Ya que no es un sitio
público, los únicos con probabilidad de conocer de su existencia son usted, sus proveedores,
y sus socios. Usted asume que no hay necesidad de instituir medidas fuertes de seguridad.
¡Error! Debido a la prevalencia de herramientas de revisión automatizadas, sólo será cues-
tión de días antes de que los hackers descubran su sitio. Una vez descubierto, es sólo cues-
tión de horas o minutos para que los hackers lo comprometan y tomen el control si su siste-
ma tiene debilidades conocidas. Sin tomar en cuenta cuan oscuro, desinteresado o inadver-
38
Seguridad en el Comercio Electrónico
ti do sea el sitio, ningún sitio de CE puede darse el lujo de tomar la seguridad por
do. Todos los sitios deben revisar a conciencia sus requerimientos de seguridad e instituir
medidas estrictas para resguardarlos de las amenazas de alta prioridad.
4. ¿Cuál es la clave para establecer una seguridad robusta en el comercio electrónico? La
mayoría de discusiones sobre seguridad se enfocan en la tecnología. Se oyen afirmaciones
como "los firewalls son obligatorios" o "todas las transmisiones deben estar encriptadas".
Aunque los firewalls y la encriptación pueden ser tecnologías importantes, ninguna solución
de seguridad es útil a menos que resuelva un problema del negocio. Determinar sus
rimientos de negocio es el paso más importante para crear una solución de seguridad. Los
requerimientos del negocio, a su vez, determinan sus requerimientos de información. Una
vez que se conocen los requerimientos de información, puede comenzar a comprender el valor
de estos activos y los pasos que se debe tomar para proteger los más valiosos y vulnerables.
5. ¿Qué pasos debe seguir un negocio para establecer un plan de segwidad? La gestión de
riesgos de seguridad es un proceso continuo que involucra tres fases: identificación de
vos, evaluación del riesgo, e implementación. Al monitorizar las políticas y medidas de
guridad existentes, las compañías pueden determinar cuáles tienen éxito y cuáles no, y a su
vez, cuáles se deben modificar o eliminar. Sin embargo, también es importante monitorizar
los cambios en los requerimientos del negocio, los cambios en la tecnología y la forma en
que se usa, y los cambios en la forma en que la gente puede atacar el sistema y las redes. De
esta manera, las organizaciones pueden modificar y desarrollar sus políticas y medidas de
seguridad, asegurando que continúan dando soporte a las necesidades críticas del negocio.
6. ¿Las organizaciones deberían preocuparse por amenazas internas a la seguridad? Excepto
por los virus y gusanos, las brechas perpetradas por personal interno son mucho más
cuentes que las perpetradas por forasteros. Esto es cierto tanto para sitios B2C y B2B. Las
políticas y medidas de seguridad para los sitios de CE deben atacar estas amenazas internas.
Aquí sugerimos algunos tópicos relacionados con este capítulo. Para detalles, referencias, y
picos adicionales, referirse a "Investigación Actual en CE" (Current EC Research) de este libro
en el Apéndice En Línea.
l. Programas de Certificación
• Limitaciones en el uso de certificados digitales.
• Programas de certificación que aseguran confianza, privacidad y seguridad.
• Efectividad de los programas de certificación para reforzar la seguridad.
• Factores de evaluación para la certificación.
• Programas de certificación internacional para proteger los intercambios internacionales.
2. Percepción del Riesgo y Adopción de Medidas de Seguridad
• Percepción del riesgo por el cliente en el comercio y pago electrónicos.
• Impacto de la percepción del riesgo por el consumidor al realizar transacciones de CE.
• Inhibidores de la adopción de medidas de seguridad.
• Relación entre el sistema corporativo de gestión de riesgos y sus valores.
• Reducción del riesgo operacional para manejar el Acuerdo de Basilea 11.
3. Tecnologías de Seguridad de CE
• Aplicación de tecnologías biométricas en autenticación
• Preferencias de clientes para esquemas de autenticación
• Detección inteligente de patrones criminales en Internet.
4. Protocolos de Pago Electrónico Seguro
• Protocolos que evitan revelar información de cuentas bancarias y de crédito de los clientes
a los vendedores.
• Evaluación comparativa de protocolos.
• Problemas con la adopción del protocolo Secure Electronic Transaction (SET).
5. Diseño de Sitios Seguros de Comercio Electrónico
• Marco para el diseño de sitios seguros de comercio electrónico.
Seguridad en el Comercio Electrónico 39
• Evaluación de riesgos de los sitios de comercio electrónico.
• Costos y beneficios de los sistemas de seguridad para el comercio electrónico.
6. Estudio de Casos de Violaciones de Seguridad y Lecciones para Evitar Errores
• Casos sobre desastres causados por violaciones a la seguridad.
• Medidas tomadas y estudiadas luego de las violaciones.
• Esquemas de protección antes de violaciones cruciales.
• Ética en la seguridad.
• Efecto de códigos de conducta y certificados.
En este capítulo, usted aprendió sobre los siguientes temas de CE según se relacionan con los
objetivos de aprendizaje.
1. Tendencias de los ataques a computadoras. Encuestas recientes sobre tendencias de ata-
ques a computadoras y redes ofrecen una imagen contradictoria. Los ataques a computa-
doras y redes están aumentando. Los datos recolectados por el Computer Security Institute
(CST) y el FBI indican que el número de incidentes de seguridad ha venido reduciéndose a
ritmo constante en los últimos dos años. En contraste, los resultados de la encuesta del
Computer Emergency Response Team (CERT) y de la CSO Magazine indican que ha habido
un incremento importante en la incidencia del crimen electrónico. Aunque los resultados
de las dos encuestas difieren considerablemente, ambas indican que los ataques a
computadoras y redes siguen siendo un problema sustancial que puede resultar en consi-
derables pérdidas económicas.
2. La seguridad es un problema de todos. Ya que la Internet funciona como sistema de con-
trol para la mayor parte de la infraestructura crítica de los Estados Unidos, la coordinación
de esfuerzos para proteger el ciberespacio recae ahora en el Departamento de Seguridad de
la Nación (Department of Homeland Security) (DHS). El DHS apunta a construir un siste-
ma de respuesta de seguridad, reducir las amenazas y debilidades de seguridad, aumentar
la conciencia sobre temas de seguridad, proteger el ciberespacio del gobierno, y promover
la cooperación internacional en temas de seguridad. Lograr estos objetivos diversos es una
tarea compleja que requiere la acción de múltiples niveles, incluyendo a los usuarios en casa
y las pequeñas empresas, las grandes compañías, los sectores críticos y la infraestructura, y
las agencias nacionales e internacionales.
3. Temas básicos de seguridad. Los dueños de sitios de CE deben preocuparse por una serie
de temas de seguridad: autenticación, verificación de la identidad de los participantes en
una transacción; autorización, asegurar que una persona o proceso tenga derechos de acce-
so a sistemas o datos en particular; auditoría, ser capaz de determinar si acciones particula-
res se han llevado a cabo y por quién; confidencialidad, asegurar que no se revele informa-
ción a individuos, sistemas o procesos no autorizados; integridad, proteger los datos de ser
alterados o destruidos; disponibilidad, asegurar que los datos y servicios estén disponibles
cuando se necesiten; y no-repudio, la posibilidad de limitar a las partes de refutar que haya
tenido lugar una transacción legítima.
4. Tipos básicos de ataques a la seguridad de las redes. Los sitios de CE están expuestos a
un amplio rango de ataques. Los ataques pueden ser no-técnicos (ingeniería social), en los
que el perpetrador engaña a la gente para que revele información o realice acciones que com-
prometan la seguridad de la red. Los ataques DoS y O DoS detienen las operaciones al en-
viar flujos de datos a computadoras seleccionadas o a la mayor cantidad de computadoras
que les sea posible en la Internet. Los ataques de código malicioso incluyen virus, gusanos,
caballos de Troya, o alguna combinación de estos. En los últimos dos años, han surgido
varias tendencias en el código malicioso, incluyendo un incremento en la velocidad y volu-
men de los ataques; menor tiempo entre el descubrimiento de una debilidad y el lanzamiento
de un ataque para explotarla; el uso creciente de bots para lanzar ataques; el incremento de
los ataques a aplicaciones Web; y un cambio en la motivación detrás de los ataques hacia
las ganancias financieras ilícitas.
5. Administrando la seguridad en el CE. Incluso habiéndose incrementado el nivel de con-
ciencia sobre ternas de seguridad, las organizaciones continúan siendo reactivas en sus prác-
40
Seguridad en el Comercio Electrónico
ticas en esta materia, con poca comprensión de sus activos de información o de sus
mientas en seguridad. Se debe adoptar una aproximación sistemática de gestión de riesgos
de seguridad para solucionar estas necesidades. Esta aproximación incluye tres fases:
tificación y valuación de los activos clave computacionales y de redes; evaluación de las
amenazas, debilidades y riesgos a la seguridad asociados con dichos activos; y la selección,
evaluación, e implementación de un conjunto de políticas y medidas para reducir las ame-
nazas, debilidades, y riesgos de alta prioridad.
6. Protegiendo las comunicaciones en el CE. En el CE, el tema de la confianza tiene suma
importancia. La confianza comienza con la autenticación de las partes involucradas en una
transacción; es decir, identificación de las partes de una transacción junto con las acciones
que realizan. La autenticación se puede establecer con algo que uno conoce (p. Ej. una
traseña), algo que uno tiene (p. Ej. un dispositivo), o algo que uno es (p. Ej. una huella digital).
Los sistemas biométricos se pueden usar para confirmar la identidad de las personas. Los
escáneres de huellas dactilares, de iris, el reconocimiento facial, y de voz son ejemplos de
sistemas biométricos. La infraestructura de clave pública (PKI), la cual es la piedra angular
de los pagos electrónicos seguros, también se puede emplear para autenticar a las partes de
una transacción. La PKI emplea la encriptación (privada y pública) para asegurar la
privacidad e integridad, y las firmas digitales para asegurar la autenticidad y el no repudio.
Las firmas digitales son también autenticadas a través de un sistema de certificados digitales
emitidos por autoridades certificadoras (CAs). Para el consuntidor y vendedor promedio,
la PKI es simplificada ya que está incluida en los buscadores y servicios Web. Dichas he-
rramientas son seguras porque la seguridad se basa en las comunicaciones SSL (TSL).
7. Tecnologías para proteger las redes. En los sitios de CE, los firewalls, VPNs, e IDSs han
demostrado ser extremadamente útiles. Las honeynets y los honeypots también se están
empleando para detectar y analizar intrusiones. Los firewalls son una combinación de
hardware y software que aislan a las redes privadas de las públicas. Los firewalls son de
dos tipos generales -routers de filtración de paquetes o praxis de nivel de aplicación. Los
routers de filtración de paquetes emplean un conjunto de reglas para determinar qué pa-
quetes de comunicación pueden ingresar del exterior al interior de una red. Un proxy de
nivel de aplicación es un firewall que acepta solicitudes externas y las re-empaqueta antes
de enviarlas al interior de la red, asegurando así la seguridad de las solicitudes. Los firewalls
personales son necesarios para individuos con acceso a banda ancha. Los VPNs son
ralmente empleados para respaldar transmisiones seguras en la Internet entre
socios B2B o comunicaciones entre los trabajadores móviles y remotos con una LAN en una
oficina central. Los IDSs se emplean para monitorizar la actividad a través de las redes o en
un host. Los sistemas vigilan las actividades sospechosas y toman acciones automatizadas
cuando ocurre alguna brecha en la seguridad o algún ataque. En el mismo sentido, las
honeynets y los honeypots se están instalando en algunas compañías en un esfuerzo para
obtener información sobre las intrusiones y para analizar Jos tipos y métodos de ataques
que están siendo perpetrados.
Seguridad en el Comercio Electrónico 41
~ , INOS CLAVE
Control de acceso 471 Encriptación 475 Texto sin formato 475
Dispositivos activos 472 Algoritmo de Política del menor
Proxy de nivel de 480 encriptadón 475 privilegio (POLP) 478
aplicación Escáner de huellas Clave privada 475
Auditoría 462 digitales 473 Protocolo de túneles
Autenticación 462 Firewali 479 (protocol tunneling) 482
Autorización 462 Hash 476 Proxys 48(1
Puerta de defensa 480 Honeynet 483 Clave pública 475
(Bastion gateway) Honeypot 483 Encriptación de clave
Biométrica conductual 473 Integridad 462 pública 475
Sistema biométrica 472 Sistemas de detección de Infraestructura de clave
Autoridades 478 intrusiones (IDSs) 483 pública (PKI) 474
certificadoras (CAs) Escáner de iris 473 Rijndael 475
Texto cifrado (ciphertext) 475 Clave 475 Rootkit 470
Debilidades y Monitorización de uso RSA 476
exposiciones comunes del teclado 473 Capa de Conexión
(seguridad) (CVEs) 464 Macro virus (macro Segura (Secure Socket 478
Equipo de Respuesta a gusano) 469 Layer) (SSL)
Emergencias Malware 466 Gestión de riesgos de
Computacionales Resumen del Mensaje seguridad 471
(CERT) 459 (message digest) 476 Ingeniería social 463
Instituto de Seguridad División Nacional de Sistema de clave
Computacional (CSI) 459 Seguridad Cibernética simétrica (privada) 475
Confidencialidad 462 (NCSD) 461 Ataques técnicos 464
Estándar de Centro Nacional de Seguridad de Capa de
Encriptación de Datos Protección de la Transporte (Transport
(DES) 475 Infraestructura (NIPC) 465 Layer Security) (TLS) 478
Zona desmilitarizada 481 No-repudio 462 Caballo de Troya 469
(DMZ) Ataques no técnicos 463 Red privada virtual
Ataque de negación de Filtros de paquetes 48(1 (VPN) 482
servicio (DoS) 465 Router de filtración de Virus 468
Certificado digital 477 paquetes 480 Escáner de voz 473
Sobre digital 477 Paquetes 480 Gusano 469
Firma digital 476 Dispositivos pasivos 472
Ataque distribuido de Firewall personal 481
negación de servicio Ataque phising 458
(O DoS) 465 Biométrica fisiológica 473
1. Los resultados de las encuestas sobre incidencia de ataques cibernéticos presentan una ima-
gen contradictoria; algunas encuestas muestran incrementos, otras disminuciones. ¿Qué fac-
tores pueden ser los causantes de las diferencias en los resultados?
2. Imagine que usted es un hacker que quiere engañar a la gente para que le den su ID de usuario
y su contraseña de sus cuentas de Amazon.com. ¿De qué formas podría lograrlo?
3. Los sitios B2C de CE continúan experimentando ataques DDoS. ¿Cómo se perpetran este
tipo de ataques? ¿Por qué es tan difícil protegerse de ellos? ¿Cuáles son algunas de lasco-
sas que puede hacer un sitio para mitigar dichos ataques?
4. Los sitios de CE comparten amenazas y debilidades comunes. Discútalas y también algunas
de las políticas de seguridad que se pueden implementar para mitigarlas. ¿Piensa usted que
los sitios Web B2C enfrentan distintas amenazas y debilidades que los sitios B2B? Explique.
5. Basándose en los resultados del estudio doméstico de AOL/NCSA sobre seguridad
computacional, ¿qué consejo daría a los dueños de los hogares sobre la seguridad de sus
computadoras?
6. Una empresa quiere compartir su base de datos de cuentas de clientes con sus socios de ne-
gocios y clientes, mientras al mismo tiempo brinda a los potenciales compradores acceso a
materiales de marketing en su sitio Web. Asumiendo que la empresa es responsable de ad-
42
Seguridad en el Comercio Electrónico
ministrar estos componentes de red, ¿qué tipos de componentes de seguridad (p. Ej. Firewalls,
VPNs, etc.) puede emplear para asegurar que los socios y clientes tengan acceso a la infor-
mación de cuenta y otros no? ¿Qué clase de configuración de red (p. Ej. servidor bastion
gatcway) brindará la seguridad apropiada?
7. Una compañía está teniendo problemas con sus sistemas de seguridad de contraseñas y de-
cide implementar autenticación de dos factores. ¿Qué alternativas podría emplear la com-
paiHa? ¿Cuáles son algunos de los factores que debe considerar al decidir entre las alternati-
vas?
8. Una empresa ha decidido colocar una honeynet para monitorizar los ataques contra sus re-
des y servidores. Para hacer la honeynet más atractiva, la compañía decide colocar una lista
de direcciones de clientes en el servidor Web ubicado en la honeynet. Al hacer esto, ¿qué
temas legales encontrará la compañía? ¿Qué pasaría si la compañía no usa la lista de direc-
ciones de dientes, la honeynet aún sería legal? Explique.
~ J E R C I "OS OE INTERNET
1. El libro de Dan Verton, Black lee: I11e Invisible Threat oj Cyber-Terrorism (Hielo Negro: La Ame-
naza Invisible del Terrorismo Cibernético) sostiene que para los terroristas es posible atacar la
infraestructura de los EEUU (p. Ej. la red de energía, bancos, control de tráfico aéreo, etc.) a
través de la Internet. Empleando las revisiones en línea del libro de Verton, establezca argu-
mentos a favor y en contra de esta declaración.
2. El Computer Vulnerabilities and Exposures Board (el Consejo de Debilidades y Ex-
posiciones Computacionales) (cve.mitre.org) mantiene una lista de debilidades comunes en
seguridad de redes. Revise la lista. ¿Cuántas debilidades contiene? Basándose en la lista,
qué componentes del sistema parecen ser más vulnerables a los ataques? ¿Qué impacto tie-
nen estos componentes vulnerables en el CE?
3. Su sitio B2C acaba de ser atacado. Usted quisiera reportar el incidente al Computer
Emergency Response Team (Equipo de Respuesta a Emergencias Computacionales) (cert.org)
de la Universidad Carnegie Mellan para que puedan alertar a otros sitios. ¿Cómo haría esto
y qué tipo de información debe brindar?
4. A VERT de McAfee mantiene una lista actualizada de las peores amenazas de malware en la
Internet (vil.nai.com). Seleccione una de las amenazas de la lista. Usando orros materiales
en línea, describa la amenaza y los pasos que se pueden usar y que se han usado para com-
batirla.
5- ICSA Labs (icsalabs.com/htmljcommunities/firewalls/newsite/cert2.shtml) brinda una lista
detallada de productos de firewail para uso corporativo, en pequeña empresa, y residencial.
Seleccione tres productos de firewall corporativos de la lista. Usando materiales en línea,
investigue y compare los beneficios de cada producto. Basándose en esta comparación, ¿qué
producto escogería usted y por qué?
6. Elija un único tipo de sistema biométrico fisiológico. Usando la Internet, identifique al me-
nos dos proveedores comerciales que ofrezcan estos sistemas. Basándose en los materiales
que ha conseguido, ¿cuáles son las principales características de estos sistemas? ¿Cuál de
los sistemas seleccionaría usted y porqué?
7. La Estrategia Nacional para Proteger el Ciberespacio (the National Strategy to Secure Cyberspace)
(ver Sección 11.2) brinda una serie de acciones y recomendaciones para cada una de estas
cinco prioridades nacionales. Obtenga una copia de la estrategia en línea. Seleccionando
una de las prioridades, discuta en detalle las acciones y recomendaciones de tal prioridad.
S. La encuesta de AOL/NCSA (staysafeonline.infojnews/safety_study_v04.pdf) sobre la se-
guridad de las computadoras en los hogares trató sobre la presencia y los problemas del soft-
ware de espionaje (spyware) y el software para compartir archivos. Obtenga una copia de
esta encuesta. Resuma los hallazgos clave de la encuesta con respecto a estas dos clases de
software.
9. El Reporte Symantec sobre Amenazas a la Seguridad de la Internet (Symantec Internet Security Threat
Report) brinda detalles sobre las tendencias de los ataques y debilidades en la seguridad de
la Internet. Obtenga una copia del reporte y resuma sus principales hallazgos tanto para los
ataques como para de las debilidades.
Seguridad en el Comercio Electrónico 43
1 CIONES"GRUPALES Y JUEGOS DE ROL
" "
1. Por lo menos se ha identificado seis motivos que explican porqué los hackers hacen lo que
hacen. Estos motivos son dinero, diversión, ego, por provocación, entrada a grupos sociales,
y cstatus. Empleando la Web como su principal de datos, del equipo
debe explorar uno o más de estos motivos. Cada mtembro debe descnbtr el motlvo en deta-
lle, determinar cuán extendido es el motivo, los tipos de ataques que promueve el motivo, y
Jos tipos de acciones que se pueden tomar para combatir los ataques asociados. .
2. Varios productos de firewall personal se encuentran disponibles. Se puede encontrar una hs-
ta de estos productos en firewallguide.comfsoftware.htm. Asigne a cada equipo tres pro-
ductos de la lista. Cada equipo debe preparar una revisión y comparación detallada de cada
producto asignado. .
3. Asigne a cada miembro del equipo un sitio Web B2C y B2B. Haga que cada eqmpo prepara
un reporte resumiendo los activos de seguridad del sitio, las amenazas y debilidades. Prepa-
re un breve plan de gestión del riesgo de segut·idad para el sitio.
Real
¿REALMENTE NECESITO ESTO?
La Alianza para la Seguridad de la Internet (Internet
Security Alliance) (ISAIIiance; isalliance.org) se formó
en abril de 2001. La ISAIIiance es una iniciativa de
colaboración del Centro de Coordinación del CERT de
Carnegie Mellen (CERT/CC); la Alianza de la Industria
de Electrónicos (Eiectronics Industries Alliance) (EIA),
una federación de grupos de comercio; y otras organi-
zaciones y corporaciones miembro privadas y públicas.
Su objetivo es compartir información y brindar liderazgo
en seguridad de la información y representar a sus
miembros y a la comunidad de seguridad ante legisla-
dores y reguladores. En las propias palabras del gru-
po, no es un ente desarrollador de políticas. En vez
de ello, se interesa en métodos prácticos para lograr
cambios pragmáticos en el comportamiento que resul-
ten en una mejora en la seguridad.
En los últimos pocos años, el foco de ISAIIiance
han sido las grandes empresas. Basándose en infor-
mación reunida de las operaciones diarias de CERT/
CC, la ISAIIiance preparó un manual de mejores prác-
ticas para altos ejecutivos en julio de 2002 -"Una Guia
de Sentido Común para la Alta Gerencia". Las suge-
rencias que brinda este manual se discuten en el Ar-
chivo En Linea W11.5. El manual forma parte de la
Estrategia Nacional para Proteger el Ciberespacio
(2003), a la cual se hace referencia en la Sección 11.2.
A finales de 2003, la Cumbre Nacional sobre Seguri-
dad Cibernética solicitó a ISAIIiance producir una guia
similar para la pequeña empresa.
La guía de seguridad para la pequeña empresa de
ISAIIiance (ISAII"Iance 2004) abre con la frase, "estoy
muy ocupado; ¿realmente necesito esto?" Aunque las
grandes compañías tienen más que perder en términos
absolutos, los ataques a las pequeñas empresas son más
probables y pueden ser más devastadores. Por ejemplo,
una encuesta sobre el alcance del virus MyDoom señaló
que una de cada tres pequeñas empresas fue atacada
por el virus, lo cual fue el doble de las cifras para las em-
presas grandes. Aunque el valor en dólares de los ata-
ques a las grandes empresas es alto, un ataque grande
puede potencialmente sacar del negocio a las firmas pe-
queñas debido a los menores márgenes con los que ope-
ran. No es el tamaño del negocio lo que hace a una or-
ganización más vulnerable que a otra; es la falta de pro-
tección lo que las convierte en blanco. En estos días, las
grandes empresas son proclives a emplear la gestión de
riesgos y otras mejores prácticas de seguridad. Debido
a los costos, falta de experiencia, restricciones de tiem-
po, y otros factores empresariales, muchas empresas
pequeñas virtualmente han ignorado la seguridad del
todo.
Al elaborar la guía de mejores prácticas para la pe-
queña empresa, ISAI!iance pensó que debía tomar un
enfoque distinto. Los dueños de las pequeñas empresas
están al tanto de las amenazas que existen para la se-
guridad. Sin embargo, persisten en no hacer nada. Dado
este hecho, la ISAlliance empleó el aporte de 10 grupos
focales (focus groups), que involucraron a 100 dueños de
pequeñas empresas, para preparar la guía. Los grupos
focales revelaron que las pequeñas empresas:
• Comprendían las necesidades de seguridad nacional,
pero no iban a tomarse el tiempo y los gastos para
44
mejorar su seguridad de redes basándose en soli-
citudes generales.
• No estaban muy familiarizadas con la tecnología de
seguridad computacional.
• Tenían expectativas poco realistas de que no serían
víctimas debido a que eran muy pequeñas o por-
que habían tomado pasos básicos para proteger sus
sistemas.
• Veían el material de seguridad como muy técnico y
dificil de seguir, aún cuando tuvieran una disposi-
ción favorable a instituir medidas de seguridad más
estrictas.
• Necesitaban más que información sobre cualquier
programa para tener un efecto duradero en su con-
ducta
Basados en el aporte y revelaciones de los grupos
focales, la ISAIIiance produjo un "Programa de 12 Pa-
sos" para mejorar y mantener la seguridad cibernética
en la pequeña empresa. Los pasos incluyen:
1. Emplear contraseñas fuertes y cambiarlas con re-
gularidad.
2. Tener cuidado con los adjuntos de correo electró·
nico y con los módulos que se pueden bajar de
Internet.
3. Instalar, mantener, y aplicar programas antivirus.
4. Instalar y usar un firewall.
5. Remover software sin uso y emplear cuentas: lim-
piar todo en equipos reemplazados.
6. Establecer controles físicos de acceso para todos
los equipos computacionales.
7. Crear copias de respaldo para los archivos, car-
petas, y software importantes.
8. Mantenerse al día con las actualizaciones de soft-
ware.
9. Implementar seguridad de redes con controles de
acceso.
10. Limitar el acceso a datos delicados o confidencia-
les.
11 Establecer y seguir un plan de gestión de riesgos
financieros de seguridad; mantener una adecua·
da cobertura de aseguramiento.
12. Obtener capacitación técnica y ayuda externa
cuando se necesite.
Para cada paso, las guias no sólo mencionan los
pasos apropiados a tomarse, sino también los costos,
participantes, habilidades técnicas, y consecuencias.
También se incluye un caso de estudio en cada guia.
Seguridad en el Comercio Electrónico
Para la mayoría, los costos y habilidades técnicas reque-
ridas son mínimos. Para otros, los costos y habilidades
dependen del enfoque específico seleccionado. Por
ejemplo, el costo de un firewall y las habilidades nece-
sarias para instalarlo y administrarlo dependen del firewall
en particular seleccionado.
Al implementar el "Programa de 12 Pasos", ISAIIiance
sugiere que las pequeñas empresas los consideren por
completo en vez de usar un enfoque por etapas. Ya que
la mayoría de pequeñas empresas tienen implementados
uno o más de estos pasos, deben concentrarse en los
que les faltan. Una vez que el programa se implementa,
las empresas tiene que presupuestar estos pasos de
manera anual. Como todos los negocios, ras pequeñas
empresas también necesitan mantenerse al corriente de
las amenazas, debilidades y prácticas de seguridad que
vayan surgiendo. Para tal fin, la ISAIIiance brinda infor-
mación actualizada sobre temas clave de seguridad.
Fuente: Clinton (2004), ISAlliance (2002), e ISAIIiance
{2004).
Preguntas
1. La mayoría de las recomendaciones de la ISAlliance
parecen de sentido común. ¿Porqué piensa usted
que son necesarias recomendaciones de sentido co-
mún en este caso? Basándose en lo que usted co-
noce sobre seguridad de información, ¿qué otras re-
comendaciones le daría a las pequeñas empresas?
2. En cada paso, las quías de mejores prácticas para
la pequeña empresa brindan las consecuencias de
adoptar dichas prácf1cas. Usarx:lo uno de los pasos,
explique si es suficiente motivación para las peque-
ñas empresas para adoptar la práctica. Sobre todo,
¿piensa usted que estas guías tendrán mucho impac-
to en el comportamiento de las pequeñas empresas?
¿Qué más se puede hacer para promover que adop-
ten estas prácticas 7
3. Las guías de mejores prácticas de ISAIIiance están
disponibles en su sitio Web. Baje las guías para gran-
des y pequeñas empresas. ¿Cuáles son las princi-
pales diferencias entre /os dos conjuntos de guias?
4. Debido a la amplitud de las debilidades conocidas,
qué tipo de impacto puede tener una serie de
estándares de seguridad en el incremento de los ata-
ques cibernéticos?