Está en la página 1de 51

AGRADECIMIENTOS

Debo destacar el apoyo incondicional de mi familia,


quienes supieron guiarme en este camino
tan arduo llamado vida.
Tambin deseo agradecerles por adelantado porque
se que me seguirn apoyando y ayudando siempre
que los necesite.

TTULO:
ELABORACIN DE UNA METODOLOGIA PARA
IMPLANTAR POLTICAS DE SEGURIDAD EN LOS
E-COMMERCES

INDICE
Agradecimientos

Ttulo de tesis y asesor

ndice

Introduccin

Planteamiento del problema

Seleccin y fundamentacin

Descripcin del problema

Formulacin del problema

Justificacin del problema

Limitaciones
Objetivos

10
10

Objetivos Generales

10

Objetivos Especficos

11

Hiptesis

11

Indicadores o Variables

11

Relevancia Social

12

Marco Terico

12

Seguridad en el Comercio Electrnico

13

Aporte de la Encriptacin

15

El Comprador y la Empresa Vendedora

16

Seguridad Organizacional/Operacional

17

Seguridad Fsica

17

Controles de Seguridad Fsica y de entorno ISO 17799

18

Seguridad en Comunicaciones

19

Seguridad en Infraestructura

19

Herramientas para proteger un sitio de e-commerce

20

Seguridad Lgica

21

Los Filtros

21

Repetidor (Hub)

22

Puente (Bridge)

22

Encaminador (Router)

22

Nivel de Red

22

Nivel de Aplicacin

23

Nivel de Agente Activo

23

La Encriptacin

24

Sistema de Deteccin de Intrusos IDS

24

Firma Digital

24

Protocolo SET

25

Firmas Electrnicas

26

Public Key Infraestructura

26

Certificado de autenticidad

28

Criptografa

28

Hackers

29

Glosario

30

Conclusiones

38

Anexos

43

Bibliografa

50

INTRODUCCIN
La utilizacin creciente de la tecnologa de informacin en virtualmente
todos los mbitos de la actividad econmica, pblica o privada, parece
mostrar que es merecedora de confianza
Basta la experiencia comn para percibir la dependencia de las
organizaciones (y la sociedad en su conjunto) de una tecnologa que se ha
desarrollado en cinco dcadas aun ritmo desconocido en la historia de las
invenciones. A su vez ha influido en la innovacin de los campos del saber a
los que se ha aplicado.
Desde el principio la informacin deba tener las siguientes caractersticas:
Privacidad
Autenticidad
Disponibilidad
Integridad
No mucho tiempo atrs el control de acceso a datos, era satisfactoriamente
llevado a cabo por el Mainframe, que centralizaba las invocaciones y el
control de acceso, garantizando as la seguridad necesaria para que los
datos tuvieran las caractersticas deseadas. Los computadores y la
seguridad de datos han ido evolucionando con la tecnologa pero el objetivo
sigue siendo bsicamente el mismo.
En los 70s surge ARPAnet, que interconectaba departamentos de
investigacin de varias universidades y diversas oficinas gubernamentales
de defensa de los EE.UU, hasta ese momento los usuarios conectados
tanto a los mainframe como a esta red, eran una audiencia selecta cuyos
lmites eran bien conocidos.

Aunque las nuevas tecnologas mejoran los sistemas de seguridad, tambin


hacen la vida diaria ms vulnerable. El precio por aumentar la proteccin
ser vivir en un sistema de cerrojos electrnicos, sistemas de alarma y
patrullas de polica en lnea telefnica.
La dependencia respecto a la Tecnologa de la informacin y la necesidad
de un desarrollo sostenido de la Sociedad de la Informacin reclaman
establecer fundamentos slidos de confianza. Lo que significa aplicar
salvaguardas o defensas (tcnicas y

administrativas) para controlar el

riesgo, as como disponer de legislacin que sirva para marcar las reglas de
juego, dirimir las discrepancias y castigar el delito. Se trata de actuaciones
completas en s mismas y en sus relaciones, pero ya no es admisible
demora en su establecimiento. Slo as se pueden aprovechar con
tranquilidad de los recursos y las oportunidades que la Sociedad de la
Informacin ofrece a las relaciones econmicas o personales.
Debido a que Internet se ha convertido en el medio ms popular de
interconexin de recursos informticos, no podemos aceptar esa afirmacin
popular que dice que el computador ms seguro es aquel que est apagado
y, por tanto, desconectado de la red.
Actualmente existe mayor facilidad para realizar un ataque al disponer de
tecnologa ms sofisticada, asimismo la tecnologa nos brinda herramientas
para hacer frente a estas amenazas, controlar los riesgos y conseguir que la
informacin, el activo ms valioso de la Sociedad de la Informacin posea
lo que se busc desde el principio:
Privacidad
Autenticidad
Disponibilidad
Integridad

1. PLANTEAMIENTO DEL PROBLEMA

1.1SELECCCIN Y FUNDAMENTACIN:
En la actualidad el acceso a informacin a travs del Internet est al alcance
de todos, sin embargo en determinadas circunstancias se debera de poder
restringir el acceso a la informacin. Se pueden establecer dos tipos de
restricciones:
Limitacin de acceso en funcin de direcciones IP o dominio:
Slo los usuarios de un dominio u organizacin tendrn acceso a la
informacin.
Limitacin de acceso por nombres de usuario y claves de acceso:
Slo los usuarios que conozcan una clave de acceso vlida pueden
acceder a la informacin.
Otro aspecto que est cobrando especial importancia es la seguridad de la
informacin que se intercambia en la Web. La explotacin comercial de
Internet exige disponer de sistemas de comunicacin seguros, capaces de
adaptarse a las necesidades de los nuevos servicios, como la compra
electrnica o la banca a distancia. En estos servicios, se manejan dos
conceptos fundamentales, la autentificacin (garantizar que tanto el usuario
de un cliente Web como un determinado servidor de informacin son
quienes dicen ser) y la confidencialidad (hacer que la informacin
intercambiada no pueda ser interceptada por terceros).
Con los sistemas de comunicacin actualmente en uso, es tcnicamente
posible seguir un enlace de comunicaciones e interceptar el contenido de
las comunicaciones TCP/IP que por l se transmiten. Cuando se enva
informacin privada, por ejemplo un nmero de tarjeta de crdito en un
formulario de compra, es vital garantizar que la informacin sea recibida
exclusivamente por su destinatario, y que la identidad es la esperada.

El control de acceso a la informacin se utiliza para limitar el acceso a


determinados documentos de un servidor Web, en funcin del origen y tipo
de peticin. La forma de hacerlo vara con el entorno en el que se publican
las pginas (sistema operativo y servidor HTTP, principalmente); en general,
todas las soluciones pasan por definir un fichero que contiene las diferentes
limitaciones de acceso, en un formato caracterstico del servidor HTTP. En
algunos casos se utiliza un fichero global con las restricciones de acceso o
bien un fichero por cada directorio al que se quiere limitar el acceso.
Cuando un cliente Web accede a un fichero protegido, el servidor devuelve
un cdigo de error asociado a la falta de permisos para realizar la operacin
(cdigo 401). Si el acceso se realiza desde un dominio o direccin IP
restringida, no ser posible acceder a la informacin desde ese sistema.
Cuando la proteccin se basa en nombres y claves de acceso, el browser
(navegador) solicitar estos datos y los enviar al servidor para que sean
verificados. Las claves de acceso se envan al servidor por diferentes
sistemas, sin codificar (sencillo pero inseguro) o codificadas (DES o
Kerberos, por ejemplo). Ser el propio servidor HTTP el que informe sobre
la manera en que se deben enviar estas claves de acceso.
Por lo expuesto anteriormente, se considera que el nfasis en este tema no
es debidamente tenido en cuenta y es por ello que los servidores web son
tan fcilmente vulnerados por hackers.
Es por lo anteriormente expuesto, que se desea que el presente documento
sirva cmo gua para poder colocar una mayor seguridad en el acceso a
servidores web pudiendo utilizar diferentes sistemas de seguridad en estos
para mantener invulnerable la lnea mientras se procede al envo de
informacin, tanto para mantener la confidencialidad de la informacin y la
autentificacin del usuario.

1.2DESCRIPCIN DEL PROBLEMA:


Internet ha comenzado una revolucin tanto o ms grande que la industria y
no podemos quedarnos atrs en los cambios que ha originado, sobre todo
en la forma de hacer negocios, sin embargo en nuestro medio, los usuarios
finales no cuentan con informacin clara de cmo involucrarse en esta
revolucin de manera segura. No se dispone de una gua para la seleccin
de una solucin de seguridad.
El usuario final en nuestro medio no dispone de informacin en el entorno
que gira alrededor del tema de comercio electrnico, ni tampoco de criterios
para decidir cuando debe aplicar seguridad del tipo de firmas digitales, u
otros tipos de seguridad.
La vulnerabilidad de los servidores web en esta poca an es un dolor de
cabeza para los programadores, la cantidad de maneras en que se puede
atacar a los servidores aumenta cada da, es por ello que la seguridad en
estos tipos de servicios debe estar garantizada para evitar el robo de
informacin que puede ser de vital importancia para una empresa.
En esta tesis se proyecta obtener las mejores medidas de seguridad para
evitar el ingreso de terceros a la hora del envo de informacin tanto como
para evitar el acceso al servidor a travs del acceso con autentificacin falsa
1.3FORMULACIN DEL PROBLEMA:
En qu medida la elaboracin de una metodologa para implantar las
polticas de seguridad en los e-commerces soluciona los problemas de
seguridad?
1.4JUSTIFICACIN DEL PROBLEMA:
La vulnerabilidad en los servidores web ha alcanzado su cumbre en estos
aos, servidores que se crean eran invulnerables como el Apache han dado

ha conocer que tambin poseen una seguridad limitada y son susceptibles a


ataques de hackers.
Actualmente, el desarrollo de Internet involucra un aspecto fundamental
denominado Seguridad por el que muchas de las empresas que
implementan comercio electrnico han gastado gran parte de sus recursos
en hacer de esta una piedra angular de toda su estructura.
Debido a esto, antes de comenzar la implementacin de cualquier sitio Web
es necesario conocer, las rutinas de seguridad mnimas que deben poseer
tanto nuestro servidor como nuestras aplicaciones.
Sin ellas, cualquier intento de desarrollo es absolutamente vulnerable a los
frecuentes ataques por parte de hackers o simples ataques benignos por
parte de curiosos.
En los prximos aos, los mtodos de seguridad aumentaran para dar paso
a una sensacin de seguridad mayor de la que hoy en da existe.
1.5LIMITACIONES:
Las limitaciones encontradas en el proyecto son: la necesidad de elaborar
una metodologa que permita implantar polticas de seguridad, otra
limitacin es la tecnologa con que actualmente cuentan las diversas
empresas en la ciudad, otra limitacin es el financiamiento del proyecto.
2. OBJETIVOS:

a. OBJETIVOS GENERALES:
Establecer los pasos necesarios para la implementacin de un sitio
seguro de e-commerce, todo ello bajo el marco legislativo, normas y
leyes del pas en donde este se encuentre, asimismo presentar los
elementos involucrados en el tema de comercio electrnico

10

b. OBJETIVOS ESPECFICOS:

Elaborar

una gua prctica para la eleccin de estndares de

seguridad en los e-commerces.


Permitir la transaccin de dinero de manera confiable al realizar una
compra online.
Restringir el acceso de personas ajenas a la transaccin (hackers).
3. HIPOTESIS:

En qu medida la elaboracin de una metodologa para implantar las


polticas de seguridad en los e-commerces solucionar los problemas de
seguridad?
4. INDICADORES O VARIABLES:

Para poder obtener indicadores que hagan factible la investigacin se tiene


que usar un mtodo denominado Ethical Hacking o Prueba de
vulnerabilidad,

el cual es un conjunto de metodologas y tcnicas para

evaluar ntegramente las debilidades en los e-commerces, esta prueba


consta de dos grandes fases:
Ethical Hacking externo:
El objetivo de esta prueba es acceder en forma remota a los equipos
de la organizacin en estudio y posicionarse como administrador del
sistema. Este mtodo esta compuesto de un gran nmero de pruebas
pero se pueden obtener los siguientes indicadores de medicin:
Variable dependiente
Seguridad de las conexiones externas
Variable independiente
Fortaleza de los password
Forma de trabajo de proveedores, trabajadores remotos o
entidades externas a la organizacin
Pruebas de usuario
11

Captura de trfico
Ethical Hacking interno:
El objetivo de esta prueba es demostrar cules el nivel de seguridad
dentro de la organizacin, se trata de comprobar que no halla ningn
Insider (persona que se adentra en una organizacin con propsitos
deshonestos) y hasta donde ser

capaz de ingresar con los

privilegios de usuario que posee


Variable dependiente
Seguridad en la red interna
Variable independiente
Autenticacin de usuario
Protocolos internos y sus vulnerabilidades
Verificacin de reglas de acceso
Ataques de denegacin de servicio
Seguridad en las estaciones de trabajo
5. RELEVANCIA SOCIAL:

El presente proyecto beneficia a los administradores de los e-commerces,


tambin beneficia a los servicios de pago en lnea o instituciones bancaria
con quien se interacte y tambin a los usuarios del servicio.

12

6. MARCO TEORICO:

La seguridad en el comercio electrnico y especficamente en las


transacciones comerciales es un aspecto de suma importancia. Para ello es
necesario disponer de un servidor seguro a travs del cual toda la
informacin confidencial sea encriptada y viaje de forma segura, esto brinda
confianza tanto a proveedores como a compradores que hacen del
comercio electrnico su forma habitual de negocios.
Al igual que en el comercio tradicional existe un riesgo en el comercio
electrnico, al realizar una transaccin por Internet, el comprador teme por
la posibilidad de que sus datos personales (nombre, direccin, nmero de
tarjeta de crdito, etc.) sean interceptados por "alguien", y suplante as su
identidad; de igual forma el vendedor necesita asegurarse de que los datos
enviados sean de quien dice serlos.
Por tales motivos se han desarrollado sistemas de seguridad para
transacciones por Internet: Encriptacin, Firma Digital y Certificado de
Calidad, que garantizan la confidencialidad, integridad y autenticidad
respectivamente.
* Seguridad en el Comercio Electrnico:
Internet es una red insegura para todo tipo de operaciones. La nica forma
de poder hacer transacciones seguras es imponindole mecanismos de
seguridad a cada una de ellas.
Una de las leyes fundamentales de la seguridad informtica dice que el
grado de seguridad de un sistema es inversamente proporcional a la
operatividad del mismo. Esto se debe a que darle a un sistema un
determinado grado de seguridad, aunque sea mnimo, implica imponer
algn tipo de restriccin, lo que forzosamente disminuir la operatividad con
respecto al estado anterior en el que no se tena seguridad.

13

Internet es una red insegura, porque fue diseada con un alto nivel de
operatividad. No est mal que sea insegura, ni se trata de un error de
diseo, sino que para que cumpliera la funcin para la cual se la cre deba
tener el ms alto grado de operatividad, lo que trae como consecuencia un
alto nivel de inseguridad.
No es cierto que, por implantar determinados mecanismos de seguridad
automticos, Internet se vuelve segura.
El parmetro fundamental a tener en cuenta, ya sea uno un usuario final o
una corporacin, es el siguiente: Cuando se conectan dos sistemas, uno
seguro y otro inseguro, el grado de seguridad no se promedia, sino que
pasa a ser el del ms inseguro para todo el sistema.
Por lo tanto, a partir de la conexin de un sistema seguro (el suyo propio)
con otro inseguro (Internet) se deber aumentar el grado de seguridad.
Dicho de otra manera:
Cada vez que se agregue algo a un sistema que lo vuelva ms abierto (por
ejemplo una conexin a Internet) se deber actualizar la estrategia de
seguridad informtica del mismo.
Las notas de compra que completa el usuario en su computadora son
enviadas por Internet a la empresa vendedora en forma de mensaje. Como
estas notas contienen informacin sensible (nmero de la tarjeta de crdito
del comprador), y como cualquier tipo de mensaje que circula por Internet
puede ser interceptado por un intruso con el fin -entre otros- de obtener
nmeros de tarjetas de crdito en vigencia, es necesario utilizar algn
mecanismo de seguridad que minimice este riesgo.
La posibilidad de que un intruso intercepte un mensaje que circula por
Internet no se puede evitar, pues es parte de la inseguridad propia de
Internet. Ponindonos en el caso ms desfavorable, que implicara que todo

14

mensaje que enviemos por Internet ser interceptado, lo que tenemos que
lograr es que, una vez que sea interceptado, la informacin que contiene no
sea til para el intruso.
Una forma de lograr esto es por medio de la encriptacin de la informacin
del mensaje.

* Aporte de la Encriptacin:
La encriptacin aplicada a un caso como ste funciona codificando por
medio de una clave la informacin que contiene el mensaje.
De esta manera, el contenido slo puede ser conocido por quienes tengan
la clave para decodificarlo (el comprador y la empresa vendedora).
Aunque un intruso intercepte el mensaje, lo que ver en l le resultar
incomprensible, pues no tiene la clave de decodificacin para hacerlo
legible. En la prctica, estos mecanismos se implementan con sistemas de
doble encriptado o de clave pblica, que adems de tener un buen nivel de
seguridad contra ataques de decodificacin, permiten determinar que el
mensaje ha sido generado por una determinada persona.

15

* El Comprador y la Empresa Vendedora:


En una transaccin comercial fsica, la identidad del emisor puede ser
probada por medio de un documento, y la de la empresa vendedora por
medio de sus comprobantes de venta. Pero una de las caractersticas ms
particulares de la comunicacin electrnica (como es la comunicacin a
travs de Internet), es la capacidad de anonimato y de presentarse bajo una
identidad falsa.
El sistema de doble encriptado garantiza que la orden de compra fue
emitida por el propietario de una determinada direccin de correo
electrnico, pero la pregunta que surge es:
Ser el propietario de esa direccin de correo electrnico quien dice ser, y
por lo tanto el titular de la tarjeta de crdito?
Con respecto a la empresa vendedora tambin cabe preguntarse:
La pgina web que estoy viendo en la pantalla de la computadora es
autntica o slo es una trampa para recolectar nmeros de tarjeta de crdito
de incautos?
El mecanismo propuesto para estos casos es el uso de Certificados
Digitales emitidos por una Autoridad de Certificacin. La Autoridad
Certificadora se encarga de certificar que una determinada direccin de
correo electrnico pertenece a una persona especfica, y que una
determinada direccin de pgina web pertenece a una empresa especfica.
De esta manera, por medio de la AC quedaran aseguradas las identidades
del comprador y de la empresa vendedora.
El grado de seguridad y el de operatividad de un sistema son inversamente
proporcionales, tal como se ha visto lneas arriba; es por esto que el arte del
consultor en seguridad informtica, consiste en llevar un sistema a una
relacin de equilibrio entre estos dos factores.

16

En una transaccin electrnica ideal el comprador y la empresa vendedora


se comunican a travs Internet. La empresa llega al comprador a travs de
su pgina Web, que debera estar certificada en cuanto a su identidad por
una AC. Los pedidos del usuario llegan a la empresa vendedora por medio
de un mensaje protegido por encriptacin, para que, en caso de ser
interceptado, no se conozca el nmero de tarjeta de crdito. La identidad del
usuario tambin debera estar certificada. La entidad crediticia que emite la
tarjeta de crdito seguir existiendo para avalar el crdito del usuario hasta
que se implementen otros mecanismos de pago como el dinero electrnico.
* Seguridad Organizacional/Operacional:
Actualmente es claro que las organizaciones son cada vez ms
dependientes de sus recursos informticos, y vemos tambin que a la par
de ellos las organizaciones diariamente enfrentan una serie de amenazas
que de concretarse afectaran dichos recursos. La mayora de los sistemas
de informacin no son inherentemente seguros y las soluciones tcnicas
son slo una parte de la solucin total del problema de seguridad
En esta parte se hallan partes de gran inters como:
Recuperacin de desastres
Seguridad Fsica
Fornsica
Educacin y Documentacin
* Seguridad Fsica:
Se argumenta que la seguridad perfecta slo existe en un cuarto sin
puertas, pero eso naturalmente es imposible, en la actualidad el objetivo es
prevenir, detectar y detener las rupturas de seguridad informtica y de las
organizaciones. ISO 17799 ofrece un marco para la definicin de la
seguridad informtica en la organizacin y ofrece mecanismos para
administrar el proceso de seguridad.

17

Controles de Seguridad Fsica y de entorno ISO 17799


Este estndar proporciona a las organizaciones los siguientes
beneficios entre otros:
Una metodologa estructurada reconocida internacionalmente
Un proceso definido para evaluar, implementar, mantener y
administrar seguridad informtica.
Una certificacin que permite a una organizacin demostrar su
status en seguridad
ISO 17799 contiene 10 controles de seguridad, los cuales se usan como
base para la evaluacin de riesgos, entre los 10 controles mencionados se
encuentran aquellos orientados a organizar la Seguridad Fsica y del
entorno.
Los controles de seguridad fsica manejan los riesgos inherentes a las
instalaciones de las empresas, e incluyen:
Ubicacin:
Se deben analizar las instalaciones de la organizacin,
considerando la posibilidad de un desastre natural.
Seguridad del Permetro Fsico:
El permetro de seguridad de las instalaciones debe estar
claramente definido y fsicamente en buen estado, las
instalaciones pueden dividirse en zonas, basndose en niveles
de clasificacin u otros requerimientos de la organizacin.
Control de Accesos:
Las aperturas en el permetro de seguridad de las instalaciones
deben contar con controles de ingreso/salida proporcionales
con el nivel de clasificacin de la zona a la que afecta.
Equipamiento:
18

Los equipos deben estar situados en una zona de las


instalaciones que asegure, fsicamente y en su entorno, su
integridad y disponibilidad
Transporte de bienes:
Mecanismos para el ingreso o salida de bienes a travs del
permetro de seguridad
Generales:
Polticas y estndares, como la utilizacin de equipos de
destruccin de documentos, almacenamiento seguro y regla de
escritorio limpio, deben existir para administrar la seguridad
operacional en el espacio de trabajo
* Seguridad en comunicaciones:
Internet sin lugar a dudas ha revolucionado el mundo de la informtica y el
de las comunicaciones, es al mismo tiempo un canal de transmisin
mundial, un mecanismo para la distribucin de informacin y un medio para
la

interaccin

colaboracin

entre

individuos,

organizaciones

computadoras sin importar la ubicacin geogrfica de stos. En cualquier


caso la interaccin y colaboracin entre dos entidades se desarrolla en base
a la comunicacin entre ellas y tiene como pre-requisito la confianza, que se
construye y se genera en base a la seguridad.
* Seguridad en Infraestructura:
La progresiva descentralizacin de las arquitecturas informticas implica la
necesidad de una mayor atencin a los accesos, en el doble sentido de
facilitar los accesos autorizados e impedir los no autorizados, estos ltimos
calificados como intrusiones, los mecanismos para controlar estos accesos
se basan en la comparacin de algn contenido del mensaje o elemento
que pretende pasar al dominio controlado con una informacin de
referencia, dicho contenido puede ser una informacin explcita, por ejemplo

19

una contrasea, o bien informacin que exija un anlisis estructural del


mensaje para descubrir un patrn catalogado, sea de infeccin (virus,
Worms, etc) o de modificacin (intrusin). En todos los casos, el resultado
de la comparacin conlleva a decisiones de apertura o cierre de puertas,
seguidas de otras posibles medidas de salvaguarda.
* Herramientas para proteger un sitio de E-commerce:
Las estructuras de seguridad de un sitio de e-commerce no vara con las de
un sitio tradicional, pero si se implementa el protocolo SSL en la mayora de
los casos para tener un canal seguro en las transacciones.

Punto1:
Usuario

conectndose

Punto2

(un

sitio

de

e-commerce

como

amazon.com) utilizando un navegador Internet Explorer compatible con el


protocolo SSL.
Punto2:
El Punto2 como nombramos es un sitio de e-commerce tradicional (compra /
venta) que establece conexiones seguras utilizando SSL para la

20

transacciones, y tambin posee un Firewall para hacer filtrado de paquetes


(Packet Filtering)
Punto3:
Este punto es la autoridad que emite los Certificados de Autenticidad, en
ingls Certificate Authority (CA) que por seguridad y es recomendable que
sea una tercera empresa el emisor del certificado no sea interno.
* Seguridad Lgica:
Existe un viejo dicho en la seguridad informtica que dicta que todo lo que
no est permitidos debe estar prohibido y esto es lo que debe asegurar la
Seguridad Lgica, podemos pensar en la seguridad lgica como la manera
de aplicar procedimientos que aseguren que slo podrn tener acceso a los
datos las personas o sistemas de informacin autorizados para ello.
Los objetivos que se plantean sern:
Restringir el acceso al programa y los archivos
Los operadores deben trabajar sin supervisin minuciosa y no
podrn modificar ni programar archivos que no correspondan
Asegurar que se estn usando todos los datos, archivos y programas
correctos en y por el procedimiento correcto
Asegurar que la informacin transmitida sea recibida slo por el
destinatario al cual ha sido dirigida y por ningn otro.
Asegurar que la informacin que el destinatario ha recibido sea la
misma que ha sido transferida
Se debe disponer de sistemas alternativos de transmisin de
informacin entre diferentes puntos.
* Los Filtros:
Los mecanismos de filtro que se instalan en los nodos-conectores de las
redes tienen como funcin controlar el acceso de terceros a los flujos de

21

informacin. Los nodos pueden ser de 3 tipos segn su nivel OSI y su


funcin:
Repetidor (Hub), Nivel1, Fsico:
Se emplea en un mismo edificio para enlazar equipos comunicados
directamente.
Puente (Bridge), Nivel2, Enlace:
Enlaza dos subredes y copia el trfico de una a otra cuando su origen
y destino estn en cada orilla. El puente aprende de manera dinmica
que equipos se encuentran en cada subred y distribuye trfico y evita
saturaciones en el mismo edificio.
Encaminador (Router), Nivel3-4, Red-Transporte:
Enlaza dos redes unidas por canales externos al edificio atendiendo
direcciones de red; por lo tanto suele clasificar los paquetes por
protocolo y exigir mecanismos de filtrado especfico.
Un firewall es un mecanismo de filtro avanzado que protege la
confidencialidad e integridad de la informacin que lo atraviesa, protege
una red de otra en la que no se tiene confianza, su funcin es bsicamente
separar la red interna de una organizacin de Internet. Funcionalmente el
firewall es un dispositivo lgico que tiene funciones de separacin, limitacin
y anlisis del flujo de la informacin que circula entre sus dos puertas, como
ejerce un control de acceso centralizado, su efectividad exige que

lo

atraviese todo usuario interno/externo/remoto para acceder desde/a las


redes internas protegidas. Los firewall pueden trabajar en tres niveles:
A nivel de red:
Tambin llamado filtrado de paquetes o apantallado, suele ser un
router con filtros que usa reglas para conceder o denegar el paso de
los paquetes basndose en sus direcciones (fuentes, destino y
puerto). Su coste es bajo, es rpido, seguro, flexible y transparente,
22

pero poco seguro, pierde el control tras dar el acceso, no protege de


direcciones enmascaradas (spoofing), no da informacin de registro
A nivel de aplicacin:
Se suele llamar sistema Proxy, funciona como apoderado de los
usuarios internos que solicitan servicios a los servidores externos de
Internet, si se le configura, controla el acceso a servicios individuales
simulando ser el origen de todo el trfico entrante e incluso puede
hacerse cargo del trfico interno. Su mayor costo se compensa con
ciertas ventajas: puede configurarse como la nica direccin de
computador visible para la red externa, proporciona un registro
(logging) detallado, y como requiere un mdulo Proxy especfico para
cada tipo de servicio, protege incluso contra los computadores
internos no seguros o mal configurados. Soporta autentificacin
fuerte del usuario en dos niveles
El clsico de identificador + contrasea, poco robusto contra
ataques de husmeadores o sniffers
Uno ms sofisticado, con tcnicas de retrollamada (call-back),
claves de un solo uso (one time password OTP) o claves
pblicas certificadas
A nivel agente activo
Puede controlar el contenido de los accesos a los servicios, por
ejemplo: evitando virus, impidiendo el acceso a servicios de carcter
no profesional, imponiendo lmites al volumen de informacin en
trnsito etc. Se apoya en arquitecturas hbridas de los niveles citados.
Los firewalls presentan las siguientes limitaciones:
No protege contra desastres
No protege frente a los virus
No autentifica el origen de los datos
23

No garantiza confidencialidad de los datos


* La Encriptacin:
Es el conjunto de tcnicas que intentan hacer inaccesible la informacin a
personas no autorizadas. Por lo general, la encriptacin se basa en una
clave, sin la cual la informacin no puede ser descifrada. Con la encriptacin
la informacin transferida solo es accesible por las partes que intervienen
(comprador, vendedor y sus dos bancos).
* Sistemas de Deteccin de intrusos IDS:
Existen dos tipos bsicos de sistemas de deteccin de intrusos IDS:
Basado en Host
Basado en Red
El IDS basado en Host debe ser instalado en todo sistema en que la
capacidad de detectar intrusos es deseada; y aun cuando puede ser ms
apropiado para esta funcin incluso de un atacante interno, su costo puede
ser alto y puede limitar la performance del sistema de manera sustancial
La alternativa son los

IDS basados en red, estos recolectan datos de

sensores y sistemas y los procesan de manera centralizada. Los IDS


basados en red suelen tener un bajo costo y no afectan de manera
importante la perfomance del sistema, pero no son tan eficaces como los
IDS basados en Host.
* Firma Digital:
En los sistemas computacionales de la actualidad se almacena y procesa
un nmero creciente de informacin basada en documentos de papel,
disponer de estos documentos electrnicamente permite un procesamiento
y transmisin rpidos que ayudan a mejorar la eficiencia en general. Sin
embargo la

aceptacin

de estos documentos de papel ha sido

24

tradicionalmente determinada por la firma escrita que contienen, por lo tanto


es necesario refrendar estos documentos en su forma electrnica con un
instrumento que tenga el mismo peso legal y aceptacin de la firma escrita.
El instrumento en mencin es la Firma Digital, esta firma es un mecanismo
criptogrfico con una funcin similar a la de la firma escrita, que es de
verificar el origen y contenido de un mensaje, y evitar que el originador del
mensaje o dato pueda repudiarlo falsamente.
Si bien en ciertos escenarios es muy importante mantener el secreto de la
informacin, si es que esta lo requiere, en la mayora de los casos tiene
quizs ms trascendencia el poder certificar la autenticidad entre cliente y
servidor como ocurre con el comercio electrnico, y garantizar la integridad
y confidencialidad de la informacin que con este fin circula a travs de
Internet. Las funciones de la Firma Digital son garantizar:
Autenticidad del emisor
Integridad del mensaje
Actualidad del mensaje
No repudio del emisor
No repudio del receptor
No usurpacin de identidad del emisor/receptor
* Protocolo SET:
Secure Electronic Transactions es un conjunto de especificaciones
desarrolladas por VISA y MasterCard, con el apoyo y asistencia de GTE,
IBM, Microsoft, Netscape, SAIC, Terisa y Verisign, que da paso a una forma
segura

de

involucrados:

realizar

transacciones

usuario

final,

electrnicas,

comerciante,

en

las

entidades

que

estn

financieras,

administradoras de tarjetas y propietarios de marcas de tarjetas. SET


constituye la respuesta a los muchos requerimientos de una estrategia de
implantacin del comercio electrnico en Internet, que satisface las
25

necesidades de consumidores, comerciantes, instituciones financieras y


administradoras de medios de pago.
Por lo tanto, SET dirige sus procesos a:
Proporcionar la autentificacin necesaria.
Garantizar la confidencialidad de la informacin sensible.
Preservar la integridad de la informacin.

Definir los algoritmos criptogrficos y protocolos necesarios para los


servicios anteriores.

* Firmas electrnicas:
Las relaciones matemticas entre la clave pblica y la privada del algoritmo
asimtrico utilizado para enviar un mensaje, se llama firma electrnica
(digital signatures).
Quien enva un mensaje, cifra su contenido con su clave privada y quien lo
recibe, lo descifra con su clave pblica, determinando as la autenticidad del
origen del mensaje y garantizando que el envo de la firma electrnica es de
quien dice serlo.
* Public Key Infraestructure:
Como toda compaa que desea hacer negocios en Internet, debemos tener
en cuenta la seguridad de la aplicacin que utilizaremos para hacer
negocios. Gran parte del comercio de hoy es transado a travs de tarjetas
de dbito, tarjetas de crdito y rdenes de compra. Internet es uno de los
medios ms hostiles en el mundo, ya que existen ms de 10 millones de
usuarios alrededor de l, interactuando e intercambiando informacin con
todo tipo de contenido, esto ha originado que el movimiento de agentes
hostiles en Internet est virtualmente asegurado, el mundo del Cyber-crimen
est generalmente libre de la posibilidad de captura o persecucin. Ante
este panorama, muchos se preguntan Cmo es que yo realmente puedo
saber quien est al otro lado de la transaccin? Ante todo, tener en cuenta
que la confidencialidad e integridad de datos, el control de los accesos, la

26

autenticacin de la persona con la que hacemos negocios, y la no


repudiacin de la informacin que nos sea enviada o que nosotros
enviemos es sumamente importante.
La infraestructura de clave pblica (PKI por sus siglas en ingls) es la
combinacin de software, tecnologa de encriptacin y servicios que
permiten ala empresa proteger la seguridad de sus comunicaciones y
negocios en la Internet. Integra certificados digitales, llaves criptogrficas y
autoridades de certificacin en toda una arquitectura de seguridad de la red
de nuestra empresa.
El sistema de autenticacin debe tener:
Una poltica de certificacin
Un certificado de la CA
Los certificados de los usuarios (X.509)
Los protocolos de autenticacin, gestin y obtencin de certificados
Se obtienen de bases de datos (directorio X.500)
O bien directamente del usuario en tiempo de conexin (WWW
con SSL)
Algunas caractersticas de diseo de la AC
Deber definirse una poltica de certificacin
mbito de actuacin y estructura
Relaciones con otras ACs
Deber definirse el procedimiento de certificacin para la emisin de
certificados
Verificacin on-line
Verificacin presencial
Deber generarse una Lista de certificados revocados
Funcionamiento de una AC
Puesta en marcha de la AC

27

Generar su par de claves


Proteger la clave privada con una passphrase
Generar el certificado de la propia AC
Distribucin del certificado de la AC
A travs del directorio X.500
Por medio de las pginas web
Podr certificar a servidores y a clientes
* Certificados de autenticidad:
Como se ha visto la integridad de los datos y la autenticidad de quien enva
los mensajes es garantizada por la firma electrnica, sin embargo existe la
posibilidad de suplantar la identidad del emisor, alterando intencionalmente
su clave pblica. Para evitarlo, las claves pblicas deben ser intercambiadas
mediante canales seguros, a travs de los certificados de autenticidad,
emitidos por las Autoridades Certificadoras.
Para el efecto SET utiliza dos grupos de claves asimtricas y cada una de
las partes dispone de dos certificados de autenticidad, uno para el
intercambio de claves simtricas y otro para los procesos de firma
electrnica.
* Criptografa:
Es la ciencia que trata del enmascaramiento de la comunicacin de modo
que slo resulte inteligible para la persona que posee la clave, o mtodo
para averiguar el significado oculto, mediante el criptoanlisis de un texto
aparentemente incoherente. En su sentido ms amplio, la criptografa
abarca el uso de mensajes encubiertos, cdigos y cifras.
La palabra criptografa se limita a veces a la utilizacin de cifras, es decir,
mtodos de transponer las letras de mensajes (no cifrados) normales o
mtodos que implican la sustitucin de otras letras o smbolos por las letras
originales del mensaje, as como diferentes combinaciones de tales
28

mtodos, todos ellos conforme a sistemas predeterminados. Hay diferentes


tipos de cifras, pero todos ellos pueden encuadrarse en una de las dos
siguientes categoras: transposicin y sustitucin.
* Los Hackers:
Son usuarios muy avanzados que por su elevado nivel de conocimientos
tcnicos son capaces de superar determinadas medidas de proteccin. Su
motivacin abarca desde el espionaje industrial hasta el mero desafo
personal. Internet, con sus grandes facilidades de conectividad, permite a
un usuario experto intentar el acceso remoto a cualquier mquina
conectada, de forma annima. Las redes corporativas u ordenadores con
datos confidenciales no suelen estar conectadas a Internet; en el caso de
que sea imprescindible esta conexin, se utilizan los llamados cortafuegos,
un ordenador situado entre las computadoras de una red corporativa e
Internet. El cortafuego impide a los usuarios no autorizados acceder a los
ordenadores de una red, y garantiza que la informacin recibida de una
fuente externa no contenga virus.

29

7. GLOSARIO:

ACCESO:
Es la recuperacin o grabacin de datos que han sido almacenados
en un sistema de computacin. Cuando se consulta a una base de
datos, los datos son primeramente recuperados hacia la computadora
y luego transmitidos a la pantalla del terminal, desde donde pueden
ser vistos, modificados o eliminados.

ADSL:
(Asymmetric Digital Suscribe Line - Lnea de Usuario Digital
Asimtrica). Usa la infraestructura telefnica actual para proveer
servicios de transmisin de datos en alta velocidad.

AMENAZA:
Cualquier cosa que pueda interferir con el funcionamiento adecuado
de una computadora personal o equipo informtico, o causar la
difusin no autorizada de informacin confiada a una computadora.
Ejemplo: fallas de suministro elctrico, virus, saboteadores o usuarios
descuidados.

ANTIVIRUS:
Son todos aquellos programas que permiten analizar memoria,
archivos y unidades de disco en busca de virus. Una vez que el
antivirus ha detectado alguno de ellos, informa al usuario procediendo
inmediatamente y de forma automtica a desinfectar los ficheros,
directorios, o discos que hayan sido vctimas del virus.

ATAQUE:
Trmino general usado para cualquier accin o evento que intente
interferir con el funcionamiento adecuado de un sistema informtico, o

30

intento de obtener de modo no autorizado la informacin confiada a


una computadora.

AUTENTICIDAD:
Capacidad de determinar si una lista de personas han establecido su
reconocimiento y/o compromiso sobre el contenido del documento
electrnico.

BASES DE DATOS:
Es un conjunto de datos interrelacionados y un conjunto de
programas para accesarlos. Una recopilacin de datos estructurados
y organizados de una manera disciplinada para que el acceso a la
informacin de inters sea rpido.

BIOS:
Es la abreviatura de Basic Input / Output System e identifica al
software o conjunto de programas que arrancan el ordenador (antes
de encontrarse un disco de sistema) cuando se pulsa el botn de
encendido. La BIOS es un programa que se no se encuentra en la
memoria RAM (Random Access Memory memoria de acceso
aleatorio) pues al apagar el ordenador se borrara, sino en la memoria
principal o ROM (Read Only Memory - Memoria de Slo Lectura),
cuyo almacenamiento es permanente.

CARPETA:
Se trata de divisiones (no fsicas sino lgicas) en cualquier tipo de
disco donde son almacenamos determinados ficheros. Forman parte
de una manera de organizar la informacin del disco, guardando los
documentos como si de una carpeta clasificadora se tratase.

CONFIDENCIALIDAD:

31

Capacidad de mantener datos inaccesibles a todos, excepto a una


lista determinada de personas.

COOKIE:
Procedimiento ejecutado por el servidor que consiste en guardar
informacin acerca del cliente para su posterior recuperacin En la
prctica la informacin es proporcionada desde el visualizador al
servidor del Word Wide Web va una forma o un mtodo interactivo
que puede ser recuperado nuevamente cuando se accede al servidor
en el futuro. Es utilizado por ejemplo para el registro a un servicio.

CRIPTOGRAFA:
Es la rama de las matemticas aplicadas que se ocupa de
transformar mensajes en formas aparentemente ininteligibles y
devolverlas a su forma original.

DATOS:
Los datos son hechos y cifras que al ser procesados constituyen una
informacin, sin embargo, muchas veces datos e informacin se
utilizan como sinnimos. En su forma ms amplia los datos pueden
ser cualquier forma de informacin: campos de datos, registros,
archivos y bases de datos, texto (coleccin de palabras), hojas de
clculo (datos en forma matricial), imgenes (lista de vectores o
cuadros de bits), video secuencia de tramas), etc.

FILTRO DE PAQUETES:
Programa que intercepta paquetes de datos, los lee y rechaza los que
no estn en un formato predefinido.

FIREWALL:
Es un sistema diseado para evitar accesos no autorizados desde o
hacia una red privada. Los Firewalls pueden estar implementados en

32

hardware o software, o una combinacin de ambos. Los firewalls son


frecuentemente utilizados para evitar el acceso no autorizado de
usuarios de Internet a redes privadas conectadas a la misma,
especialmente intranets. Todos los mensajes que dejan o entran a la
red pasan a travs del firewall, el cual examina cada mensaje y
bloquea aquellos que no cumplan con determinado criterio de
seguridad.

FIRMA DIGITAL:
Valor numrico que se adhiere a un mensaje de datos y que,
utilizando un procedimiento matemtico conocido, vinculado a la
clave del iniciador y al texto del mensaje, permite determinar que este
valor se ha obtenido exclusivamente con la clave del iniciador y que el
mensaje inicial no ha sido modificado despus de efectuada la
transformacin.

FTP:
(File Transfer Protocol) protocolo parte de la arquitectura TCP/IP
utilizado para la transferencia de archivos.

GUSANO:
Es programa similar a un virus que se diferencia de ste en su forma
de realizar las infecciones. Mientras que los virus intentan infectar a
otros programas copindose dentro de ellos, los gusanos solamente
realizan copias de ellos mismos.

HOST:
Computador que permite a los usuarios comunicarse con otros
sistemas centrales de una red. Los usuarios se comunican utilizando
programas de aplicacin, tales como el correo electrnico, Telnet y
FTP.

33

HTML:
Lenguaje de marcado de hipertexto, (Hyper-Text Markup Language)
es el lenguaje con que se escriben los documentos en el World Wide
Web (Internet).

HTTP:
Protocolo de Transferencia de Hipertextos (Hyper-Text Transfer
Protocol). Es el protocolo usado por el Word Wide Web para
transmitir pginas HTML.

HUB:
Un punto comn de conexin de dispositivos en una red. Los hubs
son usados comnmente para conectar segmentos de una LAN. Un
hub contiene mltiples puertos. Cuando un paquete llega al puerto, es
copiado a los otros puertos, de esta manera los otros segmentos de
la LAN pueden ver todos los paquetes. Un hub pasivo simplemente
sirve de conductor de datos entre los diferentes puertos. Los llamados
hubs inteligentes incluyen servicios adicionales como permitir a un
administrador monitorear el trfico y configurar cada puerto del hub.
Estos hubs se conocen generalmente como hubs administrables
(manageable hubs). Un tercer tipo de hub, llamado switching hub, lee
la direccin de destino en cada paquete y lo enva al puerto correcto.

IDENTIFICACIN:
Un subtipo de autenticacin, verifica que el emisor de un mensaje sea
realmente quien dice ser.

INCIDENTE:

34

Cuando se produce un ataque o se materializa una amenaza,


tenemos un incidente, como por ejemplo las fallas de suministro
elctrico o un intento de borrado de un archivo protegido.

INFECCIN:
Es la accin que realiza un virus al introducirse, empleando cualquier
mtodo, en nuestro ordenador (o en dispositivos de almacenamiento)
para poder realizar sus acciones dainas.

INTEGRIDAD:
Se refiere a que los valores de los datos se mantengan tal como
fueron puestos intencionalmente en un sistema. Las tcnicas de
integridad sirven para prevenir que existan valores errados en los
datos provocados por el software de la base de datos, por fallas de
programas, del sistema, hardware o errores humanos. El concepto de
integridad abarca la precisin y la fiabilidad de los datos, as como la
discrecin que se debe tener con ellos.

INTRANET:
Una red privada dentro de una compaa u organizacin que utiliza el
mismo software que se encuentra en Internet, pero que es solo para
uso interno.

NAT:
(Network Address Translation) las direcciones NAT son utilizadas
comnmente cuando se requiere conectividad de una LAN a Internet
pero solo se tiene acceso a una sola direccin IP de Internet.

PRIVACIDAD:
Se define como el derecho que tienen los individuos y organizaciones
para determinar, ellos mismos, a quin, cundo y qu informacin
referente a ellos ser difundidas o transmitida a otros.

35

PROGRAMAS (FICHEROS .EXE y .COM):


Los ficheros, documentos o archivos se componen de un nombre
(cuyo nmero de caracteres antiguamente se limitaba a 8) y una
extensin que puede no existir o contener, hasta tres caracteres como
mximo. Esta extensin especifica el tipo de fichero. Si es EXE o
COM, el fichero ser un programa ejecutable. De esta forma si
hacemos doble clic sobre l o escribimos su nombre, se realizarn
determinadas acciones.

PROTOCOLO:
Descripcin formal de formatos de mensaje y de reglas que dos
computadores deben seguir para intercambiar dichos mensajes.

PROXY:
Una substitucin de direcciones, usado para limitar la informacin de
direcciones disponibles externamente.

REDIRECCIONAR:
Esta accin permite aplicar un nuevo destino. En el caso de los virus,
se puede hablar de ste trmino cuando un virus es capaz (por
ejemplo) de hacer que el sistema en lugar de acceder a una direccin
en la que debera encontrar determinados componentes, es obligado
por el virus a saltar o acceder a otra direccin diferente.

ROUTER:
Dispositivo que distribuye trfico entre redes. La decisin sobre a
dnde enviar se realiza en base a informacin de nivel de red y tablas
de direccionamiento.

SCRIPT:

36

Archivos con su extensin SCR que sirven para determinar los


parmetros ("condiciones") con los que se deben ejecutar unos
determinados programas. Permiten iniciar un programa con unas
pautas fijadas de antemano.

SEGURIDAD:
Se refiere a las medidas tomadas con la finalidad de preservar los
datos o informacin que en forma no autorizada, sea accidental o
intencionalmente, puedan ser modificados, destruidos o simplemente
divulgados. En el caso de los datos de una organizacin, la privacidad
y la seguridad guardan estrecha relacin, aunque la diferencia entre
ambas radica en que la primera se refiere a la distribucin autorizada
de informacin, mientras que la segunda, al acceso no autorizado de
los datos. El acceso a los datos queda restringido mediante el uso de
palabras claves, de forma que los usuarios no autorizados no puedan
ver o actualizar la informacin de una base de datos o a subconjuntos
de ellos.

SPAM:
Envo masivo, indiscriminado y no solicitado de publicidad a travs de
correo electrnico.

SSL:
Protocolo que ofrece funciones de seguridad a nivel de la capa de
transporte para TCP.

TCP:
Uno de los protocolos ms usados en Internet. Es un protocolo de
capa de transporte.

TELNET:

37

Telnet es el protocolo estndar de Internet para realizar un servicio de


conexin desde un terminal remoto.

8. CONCLUSIONES:

El problema de la seguridad en los sistemas informticos y por herencia


en Internet y en sus transacciones de datos no es nuevo, de hecho
hemos hablado de problemas detectados en 1973 y que an perduran.
Los protocolos y arquitecturas para asegurar las comunicaciones en una
red son, al igual que el resto de los componentes de software y hardware,
propensos a ataques malintencionados. De los ataques conocidos
muchos pueden ser evitados o al menos detectados, pero muchos otros
logran concretarse.
A partir del intercambio de opiniones con usuarios, analistas y
responsables de seguridad de infraestructura concluimos en que la
tecnologa de aseguramiento existe y se conoce, que las soluciones
estn al alcance de la mano pero que muchas empresas no desean
pagar la seguridad ya que no es algo tangible. Simplemente perdieron de
vista al usuario y sus intereses o no saben cmo justificar el costo de la
seguridad. Se ha dicho que la seguridad en la Web es difcilmente
absoluta, pero se puede minimizar el riesgo utilizando medidas de
seguridad apropiadas y planes para una recuperacin rpida ante un
incidente de seguridad. La seguridad Web no es fcil ni barata pero la
inseguridad puede ser an ms costosa. La seguridad debe ser parte
integral de una organizacin y de la mentalidad de sus componentes.
Poner cuidado en el desarrollo de las polticas de seguridad, posibilita
evitar

muchos

problemas

potenciales.

Sin

embargo

muchas

organizaciones ponderan el hacer sobre el planificar; sin comprender la

38

importancia de los planes y los beneficios en tiempo, costo y calidad de


los procesos planificados sobre los improvisados. Es necesario producir
un cambio de cultura en aquellas empresas en las que es preciso que
las cosas ocurran para que se planifiquen las acciones a seguir.
Las estrategias de las empresas de comercio electrnico que florecieron
en los 90, se basaron en publicidades masivas y simplemente lograron
que los usuarios entren y salgan, como si se tratara de una puerta
giratoria. Las leyendas urbanas corrieron por Internet, pasando por las
mquinas de todo el mercado, divulgando historias con incidentes
terribles que le sucedan a aquellos que osaban poner sus datos en la
computadora y ni hablar si los datos eran los de su tarjeta de crdito.
Estas leyendas contaban sobre personas que al comprar un artculo en
un sitio Web eran estafadas o se utilizaban sus datos para algn tipo de
fraude. Adems otros sistemas, como las ventas telefnicas, a pesar de
ser ms dbiles, generan ms confianza, por lo que son ms aceptados.
Y he aqu una palabra que consideramos clave ya que el ser humano
desconfa de lo que no conoce y el comn de los usuarios desconfa
altamente de la tecnologa. Admitamos que un candadito en el inferior
derecho de nuestra pantalla no es suficiente para darle nuestro nmero
de tarjeta de crdito a una empresa que no conocemos, sobre todo a la
vista de toda la comunidad de hackers a la cual le tenemos pnico.
Sabemos que habr sistemas mientras haya mercado, al menos mientras
la sociedad sea capitalista. Por lo tanto no se puede dejar de escuchar al
mercado y si el mercado dice que tiene miedo del comercio electrnico,
es necesario dirigir todas las fuerzas a la difusin de la seguridad del
comercio electrnico. La confianza est ligada en gran medida al
conocimiento. Para lograr captar la confianza del mercado es necesario
mejorar los procesos profesionales y la manera de trabajar; dar a la
planificacin el lugar que se merece y producir un cambio de cultura en
aquellos que an dicen: Estamos en tiempos de crisis y me vienen a

39

hablar de lo que deberamos hacer para mejorar o de perder tiempo


planificando cuando lo que yo quiero es sacar soluciones YA. Nadie
discute que en estos tiempos los vientos estn soplando muy duro, pero
en las tormentas estn quienes se ocultan en refugios, ponindose a
resguardo y hay quienes montan molinos de viento y recogen xitos
permanentes. Es necesario persuadir a los empresarios de que la
recuperacin de un incidente es ms costosa que la toma de medidas
preventivas. La seguridad del sistema de transaccin de datos no debe
ser un agregado al comercio electrnico, sino algo que surja desde el
propio diseo.
Dijimos que la mayor parte de los problemas de seguridad en los
sistemas y por ende en los sistemas de comercio electrnico se debe, no
a malicia, sino a errores de programacin. Se debe tender a 100% de
seguridad y 0% de error. Si bien la seguridad es difcilmente absoluta;
existe tecnologa, conocimiento y posibilidades suficientes para lograr una
gran mejora en la seguridad y una minimizacin de los riesgos. Es slo
un tema de conciencia de todos los actores de este juego.
Durante el desarrollo de la presente tesis se realiz un relevamiento de la
utilizacin de las tecnologas del comercio electrnico en el mercado y se
observ las medidas de seguridad aplicadas. Se presentaron los
conceptos que permiten al usuario de Internet detectar sitios seguros y
confiar en ellos; se analizaron las tcnicas existentes de certificacin de
sitios seguros y los mecanismos de certificacin y seguridad para
encontrar las formas de persuasin que, basadas en la tecnologa, le
permitan a las empresas que sus clientes confen en el comercio
electrnico. Hemos mencionado los problemas de la seguridad en la Web
que, si bien dependen del caso particular, suelen orbitar alrededor de los
siguientes puntos:

Aseguramiento del servidor Web de forma fsica y lgica.

40

Aseguramiento de la informacin en trnsito.

Aseguramiento de la computadora del usuario.

Tambin se comentaron las diferentes herramientas de proteccin, las


prcticas y arquitecturas que aumentan la seguridad. Las tcnicas de
identificacin digital mediante certificados y firmas. Se habl de la
criptografa como base para la proteccin de los datos, aunque no es
sinnimo de seguridad.
Se hizo hincapi en los principales problemas de seguridad de las
mquinas en la actualidad y se encontr que su solucin estaba
disponible desde haca mucho tiempo y se basa en los siguientes
puntos:

Definir polticas en tiempo de diseo.

Prevenir la intercepcin de claves de acceso.

Utilizar las herramientas de seguridad disponibles.

Evitar fallas y errores de programacin.

Utilizar Firewalls

Utilizar bitcoras

Utilizar respaldos

Minimizar servicios

Restringir el acceso

Utilizar seguridad fsica

Auditar la seguridad

Utilizando medidas de seguridad, buenas prcticas y arquitecturas que


pueden asegurar al cliente la integridad y fiabilidad de sus datos se logra la
tan anhelada confianza y satisfaccin que es el objetivo primordial de
cualquier empresa para subsistir en un mercado competitivo.

41

Las posibilidades que los clientes tienen de protegerse de ataques son


muchas. Las responsabilidades en caso de fraude, recaen sobre el
prestador del servicio, por negligencia, ya que las herramientas de
seguridad existen y son eficientes si se usan con buenas prcticas.
Existen desvos entre la teora sobre la aplicacin de la tecnologa
disponible y la prctica, los cuales se deben en su mayora al poco apoyo
de los empresarios a la seguridad, esto se debe a tomar, errneamente, a la
seguridad como un costo y no como una inversin.
El usuario debe estar al tanto de los riesgos y cmo defenderse ya sea de
las formas de prevencin como de las posibilidades de reaccionar ante
ataques. Somos nosotros, los profesionales de sistemas, los que tenemos
que mostrarles los peligros verdaderos y los mecanismos de defensa que
existen en su favor.
Las empresas tendrn que cambiar su cultura respecto a la seguridad de la
informacin, as como lo hicieron con la seguridad fsica de los empleados
en las ltimas dcadas. Pero aqu tambin jugamos nosotros un papel
fundamental ya que debemos mostrar a las empresas los beneficios de
tener polticas de seguridad de datos y que este cambio significa evolucin y
subsistencia.
Tenemos que transmitir la idea de seguridad al cliente, sino simplemente
huir de nuestro sitio. De esto depender el xito o el fracaso del comercio
electrnico.

42

9. ANEXOS:

HACKERS Y CRACKERS FAMOSOS


DRAPER JOHN, CAPTAIN CRUNCH
En septiembre de 1970 John Draper, tambin conocido como Captain
Crunch, descubre que el obsequio ofrecido en las cajas de cereal
Captain Crunch duplica perfectamente la frecuencia de tono de 2600
hz. de una lnea de WATS, permitindole hacer llamadas telefnicas
gratis y la gran vctima era AT&T.
HOLLAND WAU Y WENERY STEFFEN
"Lo logramos, por fin... Slo hay algo seguro, la infinita inseguridad de
la seguridad". Fue lo que escribio Wau Holland, en su cuaderno de
notas, el 2 de mayo de 1987. Los dos hackers alemanes, de 23 y 20
aos respectivamente, haban ingresado sin autorizacin al sistema
de la central de investigaciones aerospaciales ms grande del mundo
(NASA). Por qu lo hicieron?, Porque es fascinante, la nica
aventura posible est en la pantalla de un ordenador, respondieron.
Cuando Wau y Steffen advirtieron que los tcnicos los haban
detectado, le enviaron un telex, avisando de su intrusin.
ING-HOU CHEN
El autor del virus Chernobyl, dijo a los investigadores que el cre el
bug con la esperanza de humillar y vengarse de los que llamo
proveedores incompetentes de antivirus para software. Pero l
admiti que no esperaba que CIH (iniciales de su autor) causara dao
alrededor del mundo. Este virus devast cientos de miles de
computadoras alrededor del mundo. Chen cre el virus en Abril,

43

cuando todava era estudiante de ingeniera computacional en el


Instituto Tecnolgico.
Este inusual virus destructivo, programado para funcionar el 26 de
Abril, (13 aniversario del desastre nuclear de Chernobyl), trata de
borrar el disco rgido y escribir basura en algunos otros
componentes, evitando de este modo el futuro encendido de la
computadora.
KEVIN Y RONALD
Ronald y Kevin, con los nombres de guerra Makaveli y TooShort en el
ciberespacio, asaltaron los ordenadores del Pentgono en Marzo del
ao 1998, a la tierna edad de 17 aos. Estos dos forajidos virtuales,
con sus conocimientos y con un equipo bsico informtico, se
introdujeron en cuatro sistemas de la Marina y siete de las fuerzas
areas, relacionados con centros digitales en Estados Unidos y
Okinawa.
LA MACCHIA DAVID
En 1994 David La Macchia, estudiante de 20 aos del prestigioso y
serio MIT, reconoce que ha distribuido en Internet multitud de
programas informticos obtenidos sin licencia y por valor de un milln
de dlares. Para ofrecerlos a los cibernautas mont su propia BBS.
LEVIN VLADIMIR
Un matemtico ruso de 24 aos, penetr va Internet desde San
Petersburgo en los sistemas informticos centrales del banco
Citybank en Wall Street, Este pirata logr transferir a diferentes
cuentas de EE.UU., Rusia, Finlandia, Alemania, Israel, Holanda y
Suiza fondos por valor de 10 millones de dlares, segn el FBI.
Detenido en el Reino Unido a principios de 1995, Levin espera que

44

los tribunales britnicos se pronuncien sobre una demanda de


extradicin solicitada por EE.UU.
MITNICK KEVIN, EL CNDOR, EL CHACAL DE LA RED
Como hacker, la carrera de Mitnick tiene sus inicios en 1980 cuando
apenas contaba 16 aos y, obsesionado por las redes de
computadoras, rompi la seguridad del sistema administrativo de su
colegio, pero no para alterar sus notas, lo hizo solo para mirar. La
primera vez que lo detuvieron fue en 1981 por robar manuales de la
Pacific Telephone. La informacin robada tena un valor equivalente a
los 200 mil dlares y tuvo que cumplir una condena tres meses de
crcel y a un ao bajo libertad condicional. En 1983 intent ingresar
en las computadoras de la universidad de California del Sur y poco
despus penetr el sistema de la agencia de crditos TRW. En 1987
lo condenaron a treinta y seis meses de libertad condicional por robo
de soft, tras hackear los sistemas del Departamento de Defensa de
EE.UU. y la NASA. Un ao ms tarde fue arrestado de nuevo cuando
era estudiante de la Universidad del Sur de California. En esta
ocasin entr ilegalmente a ARPAnet (la predecesora de Internet) y
trat de acceder a la computadora del Pentgono. Lo sentenciaron a
seis meses de crcel en una prisin juvenil en California. Durante ese
tiempo le negaron el acceso a los telfonos y a lo largo de los doce
meses de rehabilitacin no pudo acercarse a una computadora. Ms
tarde, y ya en libertad, se apoder de 16 cdigos de seguridad de
MCI y junto a un amigo, Lenny DiCicco, entraron a la red del
laboratorio de investigaciones de Digital Corporation, conocida como
Easynet. Ambos hackers queran obtener una copia del prototipo del
nuevo sistema operativo de seguridad de Digital llamado VMS. El
personal de seguridad de Digital se dio cuenta inmediatamente del
ataque y dieron aviso al FBI, y comenzaron a rastrear a los hackers.
Mitnick fue arrestado en 1988 por invadir el sistema de Digital
Equipment. La empresa acus a Mitnick y a DiCicco ante un juez

45

federal de causarles daos por 4 millones de dlares en el robo de su


sistema operativo. Fue declarado culpable de un cargo de fraude en
computadoras y de uno por posesin ilegal de cdigos de acceso de
larga distancia. Adicional a la sentencia el fiscal obtuvo una orden de
la corte que prohiba a Mitnick el uso del telfono en la prisin
alegando que el prisionero podra obtener acceso a las computadoras
a travs de cualquier telfono. A peticin de Mitnick el juez lo autoriz
a llamar nicamente a su abogado, a su esposa, a su madre y a su
abuela y slo bajo supervisin de un oficial de la prisin. Este caso
produjo revuelo en los Estados Unidos, no slo por el hecho delictivo
sino por la tctica que utiliz la defensa. Su abogado convenci al
juez que Mitnick sufra de una adiccin por las computadoras
equivalente a la de un drogadicto, un alcohlico o un apostador.
Gracias a esta maniobra de la defensa Mitnick fue sentenciado a slo
un ao de prisin y al salir de all deba seguir un programa de seis
meses para tratar su adiccin a las computadoras. Durante su
tratamiento le fue prohibido tocar una computadora o un mdem y
lleg a perder ms de 45 kilos.
Para 1991 ya era el hacker que haba ocupado la primera plana del
New York Times y uno de sus reporteros, John Markoff, decidi
escribir un libro de estilo Cyberpunk narrando las aventuras de
Mitnick. Al parecer a Mitnick no le gust el libro ya que luego de salir a
la venta, la cuenta en Internet de Markoff fue invadida, cambiando su
nivel de acceso, de manera de que cualquier persona en el mundo
conectada a Internet poda ver su correo electrnico. En 1992, y
luego de concluir su programa, Mitnick comenz a trabajar en una
agencia de detectives. Pronto se descubri un manejo ilegal en el uso
de la base de datos y fue objeto de una investigacin por parte del
FBI quien determin que haba violado los trminos de su libertad
condicional. Se ofreci una recompensa de 1 milln de dlares a
quien arrestara a Mitnick.

46

Luego de convertirse en prfugo de la justicia cambi de tctica y


concluy que la mejor manera de no ser rastreado era utilizando
telfonos celulares. Luego de varios intentos infructuosos, en cuanto
a calidad de informacin, se encontr con la computadora de Tsutomu
Shimomura la cual invadi en la Navidad de 1994. Shimomura, fsico
computista y experto en sistemas de seguridad del San Diego
Supercomputer Center, era adems un muy buen hacker, pero era de
los chicos buenos, ya que cuando hallaba una falla de seguridad en
algn sistema lo reportaba a las autoridades, no a otros hackers.
Shimomura not que alguien haba invadido su computadora en su
ausencia, utilizando un mtodo de intrusin muy sofisticado y que l
nunca antes haba visto. El intruso le haba robado su correo
electrnico, software para el control de telfonos celulares y varias
herramientas de seguridad en Internet. All comenz la cuenta
regresiva para Mitnick. Shimomura se propuso como orgullo personal
atrapar al hacker que haba invadido su privacidad. Ms tarde, El 16
de febrero de 1995, Mitnick fue capturado, juzgado y condenado a 25
aos de prisin, lejos de computadoras y telfonos. Pero, el 22 de
marzo de 1999, se consigue un acuerdo con jueces y fiscales. Los
trminos concretos se desconocen, pero se sabe que en marzo de
2000 Mitnick quedara en libertad con la condicin irrevocable de no
poder acercarse a una computadora. Kevin Mitnick, este sencillo
nombre, oculta la verdadera identidad de uno de los mayores
crackers de la historia. Fue una de las mayores pesadillas del
Departamento de justicia de los Estados Unidos. Entr virtualmente
en una base de misiles, lleg a falsificar 20.000 nmeros de tarjetas
de crdito y a causar prdidas millonarias a varias empresas.
BARAM PAUL
Posiblemente el mayor hacker de la historia. Ya hackeaba Internet
antes de que existiera. El fu quien introdujo el concepto de hacker.

47

FARMER DAN
Trabaj con Spafford en la creacin de COPS (1991) y al mismo
tiempo con el famoso Computer Emergency Response Team (CERT).
Tiempo ms tarde Farmer gan gran notoriedad al crear el System
Administrator Tool for Analyzing Networks (SATAN). Una gran
herramienta para analizar vulnerabilidades en redes.
GATES BILL Y ALLEN PAUL
En sus tiempos de aprendices, estos dos hombres de Washington se
dedicaban a hackear software. Empezaron en los 80 y han creado los
mayores imperios de software de todo el mundo.
RITCHIE DENNIS, THOMSON KEN Y KERRIGHAN BRIAN
Programadores de los Laboratorios Bell. Son los desarrolladores de
UNIX y C. Se los considera los padres de la informtica masiva al
desarrollar el sistema operativo y el lenguaje ms poderosos de la
actualidad.
SPAFFORD EUGENE
Profesor de informtica. Colabor para crear el Computer Oracle
Password Security System (COPS) un sistema de seguridad
semiautomtico. Es un hombre muy respetado en el campo de la
seguridad.
STALLMAN RICHARD
Se uni al Laboratorio de inteligencia artificial de la MIT en 1971. Fue
ganador del premio McArthur por sus desarrollos de software. Fue
fundador de Free Software Foundation, creando aplicaciones y
programas gratis.
TORVALDS LINUS
48

Torvalds empez a conocer el UNIX y a tomar clases de


programacin en C sobre los 90. Un ao despus empez a escribir
un SO parecido al UNIX. Despus de otro ao, lo subi a Internet
pidiendo colaboracin; hoy es llamado LINUX.
VEHEMA WIETSE
Vehema viene de la Universidad de Tecnologa de Eindhoven, en los
Pases Bajos. Un gran programador, con un don para ello, adems de
tener un amplio historial en programas sobre seguridad. Es el coautor
del SATAN con Farmer. Vehema escribi el TCP Wrapper, uno de los
programas de seguridad ms usado en el mundo.

49

10. BIBLIOGRAFIA:

Revista

perspectiva

Seguridad

Publicacin

Virtual

www.microsoft.com/spain/enterprise/perspectivas/numero_5

Red Temtica Iberoamericana de Criptografa y Seguridad de la


Informacin www.criptored.upm.es

Seguridad en la web www.webtaller.com/maletin/articulos/seguridadweb.php

Tcnicas de Criptografa y de Proteccin de Datos Autor: Amparo


Fster Sabater, Dolores de la Gua Martnez, Luis Hernndez
Encinas, Fausto Montoya Vitini, Jaime Muoz Mosqu Editorial: Ra
Ma Edicin: 1997, Espaa

Seguridad y comercio en el Web Autor: Simson Garfinkel, Gene


Spafford Editorial: Mc Graw Hill

Transacciones electrnicas seguras www.mastercard.com/set/set.htm

Seguridad en redes y servidores:


www.scribd.com/doc/1739221/Seguridad-en-Redes-y-Servidores

Sitio de seguridad informtica http://www.virusprot.com

Reingeniera y Seguridad en el Ciberespacio Autor: J. A. Calle


Guglieri Editorial: Diaz de Santos Edicin: 1997, Espaa

Seguridad en Internet:
http://home.netscape.com/newsref/ref/Internet-security.html

50

51