Seguridad

Universidad Tecnolgica
Costarricense
Licenciatura en Ingeniera en Sistemas
Computacionales
Auditoria de Sistemas
Tema: Seguridad Informtica
Profesor: Lic. Eithel Corea
Alumnos:
Luis Borge Ortega
Csar Obando Soto
Oscar Soto Alvarado
22 de Octubre del 2011
Contenido
Introduccin-------------------------------------------------------------------------------------------4
Objetivos Generales--------------------------------------------------------------------------------5
Qu es la Seguridad Informtica?-------------------------------------------------------------6
Aspectos importantes sobre la Seguridad Informtica-----------------------------------7
Confidencialidad----------------------------------------------------------------------------------7
Integridad-------------------------------------------------------------------------------------------8
Disponibilidad--------------------------------------------------------------------------------------9
Que son Amenazas?-----------------------------------------------------------------------------10
Amenazas internas:----------------------------------------------------------------------------10
Amenazas externas:----------------------------------------------------------------------------11
Algunos de los delitos informticos de banca por internet----------------------------11
1.
El Phishing--------------------------------------------------------------------------------11
2.
El Pharming-------------------------------------------------------------------------------14
3.
El Malware--------------------------------------------------------------------------------15
4.
Los Virus Informticos-----------------------------------------------------------------15
5.
El Spyware--------------------------------------------------------------------------------17
6.
Los Caballos de Troya o Troyanos--------------------------------------------------17
7.
Key-Loggers-------------------------------------------------------------------------------18
8.
Adware-------------------------------------------------------------------------------------19
Medidas de seguridad para la banca por internet---------------------------------------21

Alternativas de seguridad--------------------------------------------------------------------22
Tecnologas------------------------------------------------------------------------------------------24
1.
La Criptografa o Encriptacin:-----------------------------------------------------24
2.
Protocolo SSL (Secured Socket Layer)--------------------------------------------26
3.
Sistemas de Deteccin/Prevencin de Intrusos (IDS/IPS)-------------------27
4.
Firewall (Cortafuegos/ Muros de Fuego)------------------------------------------28
5.
Firma digital y certificado digital---------------------------------------------------31
Medidas de seguridad actualmente----------------------------------------------------------35
Legislacin-------------------------------------------------------------------------------------------35
Conclusiones----------------------------------------------------------------------------------------40
Bibliografa-------------------------------------------------------------------------------------------41
Anexos------------------------------------------------------------------------------------------------42
Introduccin
El avance de la ciencia y la tcnica han facilitado las labores

diarias de una humanidad globalizada y moderna, pero tambin se han
convertido en un instrumento del que se valen muchos para cometer
acciones contrarias a los fines para los que dichas novedades han sido
creadas y as sacar provecho ilegtimo de ello.
Una de las diferentes ramas que posee la informtica y una de las
que ms ha ido evolucionando en los ltimos aos es el tema de la
Seguridad. Esto porque en la actualidad la informacin como tal ha
llegado a tener un alto grado de importancia y valor, al extremo de que
quin posea la informacin posee el control.
A nosotros como Ingenieros en Informtica nos es de mucha
importancia llegar a tener un alto grado de conocimiento de los sistemas
fsicos en los diferentes medios lgicos con que se cuenta para poder
salvaguardar la informacin.
Las empresas cada da dedican ms recursos en sistemas que
mantengan la integridad y la seguridad, esto con software cada vez ms
confiables, los cuales son probados y verificados cada da.
En nuestro caso la investigacin realizada se enfatiza al tema de
Seguridad en la Banca por Internet
buscando mostrar un poco este
mundo, as como la legislacin que se aplica en el pas, ampliando con

algunos ejemplos de cmo es la realidad de los sistemas de seguridad.
Objetivos Generales
Definir el trmino seguridad, su importancia y tipos.
Mostrar algunos dispositivos
y aplicaciones utilizadas por las
empresas en materia de Seguridad Informtica
Revisar la informacin sobre las polticas de Seguridad Informtica

que se aplican en el pas y el marco normativo que las regulan.
Ejemplarizar algunos casos en los cuales el uso eficiente de los

dispositivos de Seguridad a servido como medio de control.
Qu es la Seguridad Informtica?
Es el rea de la informtica que se enfoca en la proteccin de la
infraestructura computacional y todo lo relacionado con esta.
La Seguridad Informtica comprende software, bases de datos,
metadatos, archivos y todo lo que la organizacin valore (activo) y
signifique un riesgo si sta llega a manos de otras personas. Este tipo de
informacin se conoce como informacin privilegiada o confidencial.
Objetivos
La misma tiene una serie de objetivos primordiales a los cuales se
apega para el buen desempeo de sus funciones, dentro de ellos
tenemos:
1. Informacin Contenida
La Seguridad Informtica debe ser administrada segn los criterios
establecidos por los administradores y supervisores, evitando que
usuarios externos
y no autorizados puedan acceder a ella
sin
autorizacin.
Otra funcin de la seguridad informtica en esta rea es la de
asegurar el acceso a la informacin en el momento oportuno, incluyendo
respaldos de la misma en caso de que esta sufra daos o prdida
producto de accidentes, atentados o desastres.
2. Infraestructura Computacional (Contingencia)
La funcin de la Seguridad Informtica en esta rea es velar que los

equipos funcionen adecuadamente y prever en caso de falla planes de
robos, incendios, boicot, desastres naturales, fallas en el suministro
elctrico y cualquier otro factor que atente contra la infraestructura
informtica.
3. Usuarios
La
Seguridad
Informtica
debe
de
establecer
normas
procedimientos que minimicen el riesgo informacin o infraestructura

informtica.
Estas
normas
incluyen
horarios
de
funcionamiento,
restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de

usuario, planes de emergencia, protocolos y todo lo necesario que
permita un buen nivel de seguridad.
Aspectos importantes sobre la Seguridad Informtica
No existe un nico significado que se le pueda al trmino de

Seguridad Informtica, as como tampoco es un solo objetivo el que
busca cumplir, pero dentro de toda la gama de especificaciones hay 3
aspectos importantes que son importantes mencionar:
Confidencialidad
Se entiende por Confidencialidad el servicio de seguridad, o

condicin, que asegura que la informacin no pueda estar disponible o
ser descubierta por o para personas, entidades o procesos no
autorizados.
A su vez se le denominada secreto o privacidad, capacidad del

sistema para evitar que personas no autorizadas puedan acceder a la
informacin almacenada en l.
En entornos de negocios, la confidencialidad asegura la proteccin
en base a disposiciones legales o criterios estratgicos de informacin
privada, tal como datos de las nminas de los empleados, documentos
internos sobre estrategias, nuevos productos o campaas, contratos
laborales que especifican este tema, etc.
Este aspecto de la seguridad es particularmente importante
cuando hablamos de organismos pblicos, y ms concretamente
aquellos relacionados con la defensa. En estos entornos los otros dos
aspectos de la seguridad son menos crticos.
Algunos
de
los
mecanismos
utilizados
para
salvaguardar
la
confidencialidad de los datos son, por ejemplo:
El uso de tcnicas de control de acceso a los sistemas.
El cifrado de la informacin confidencial o de las comunicaciones.
Integridad
El concepto de Integridad es donde el sistema no debe modificar o

corromper la informacin que almacene, o permitir que alguien no
autorizado lo haga.
Esta propiedad permite asegurar que no se ha falseado la
informacin, ejemplo, que los datos recibidos o recuperados
son
exactamente los que fueron enviados o almacenados, sin que se haya

producido ninguna modificacin, adicin o borrado.
De hecho el problema de la integridad no slo se refiere a

modificaciones intencionadas, sino tambin a cambios accidentales o no
intencionados.
En el entorno financiero o bancario, este aspecto de la seguridad
es el ms importante. En los bancos, cuando se realizan transferencias
de fondos u otros tipos de transacciones, normalmente es ms
importante mantener la integridad y precisin de los datos que evitar
que sean interceptados o conocidos (mantener la confidencialidad).
Disponibilidad
Se entiende por Disponibilidad:
El grado en que un dato est en el lugar, momento y forma en que

es requerido por el usuario autorizado.
La situacin que se produce cuando se puede acceder a un SSI

(Servicios Socios Internet) en un perodo de tiempo considerado
aceptable.
Un sistema seguro debe mantener la informacin disponible para los

usuarios. Disponibilidad significa que el sistema, tanto hardware como
software, se mantienen funcionando eficientemente y que es capaz de
recuperarse rpidamente en caso de fallo.
Lo opuesto a disponibilidad, y uno de los posibles mtodos de ataque
a un sistema informtico, se denomina "denegacin de servicio" (denial
9
of service). Una denegacin de servicio significa que los usuarios no

pueden obtener del sistema los recursos deseados:
El ordenador puede estar estropeado o haber una cada del

Sistema Operativo.
No hay suficiente memoria para ejecutar los programas.
Los discos, cintas o impresoras no estn disponibles o estn llenos.
No se puede acceder a la informacin.
Que son Amenazas?
Las Amenazas Informticas son todos las posibles amenazas que

puedan poner en riesgo la plataforma informtica de una entidad,
existen diferentes tipo de riesgos conocidos algunos pueden ser de tipo
Fsico (hardware) o lgico (Software).
Existes 2 tipos
Amenazas internas:
Generalmente estas amenazas pueden ser ms serias que las
externas por varias razones como son:
Los usuarios conocen la red y saben cmo es su funcionamiento.

10
Tienen algn nivel de acceso a la red por las mismas necesidades

de su trabajo.
Los IPS y Firewalls son mecanismos no efectivos en amenazas

internas.
Porque no existe conocimiento relacionado con la planeacin de un

esquema de seguridad eficiente que proteja los recursos informticos de
las actuales amenazas combinadas.
El resultado es la violacin de los sistemas, provocando la prdida o
modificacin de los datos sensibles de la organizacin.
Amenazas externas:
Son aquellas amenazas que se originan de afuera de la red. Al no
tener informacin certera de la red, un atacante tiene que realizar
ciertos pasos para poder conocer qu es lo que hay en ella y buscar la
manera de atacarla.
La ventaja que se tiene en este caso es que el administrador de la
red puede prevenir una buena parte de los ataques externos, para ello
se debe de tener un adecuando protocolo de manejo de incidentes y
mantener una constante vigilancia.
Algunos de los delitos informticos de banca por

internet
11
Dentro de los delitos que ms han afectado a los usuarios de

Banca por Internet se encuentran los denominados fraudes por robo de
identidad, a continuacin se detallan los que han tenido ms incidencia
en la poblacin consumidora de servicios bancarios por Internet.
Robo de identidad se puede utilizar para describir el robo o la
asuncin de una identidad existente (o una parte significativa de la
misma), con o sin el consentimiento de la persona, y con independencia
de si sta est viva o muerta.
1. El Phishing
Se pueden encontrar varias definiciones para el trmino Phishing,
esto se debe principalmente a que se encuentra de forma constante en
evolucin. As las cosas, se considera como Phishing la accin
fraudulenta a travs de la cual se procura conseguir informacin
confidencial, como el nmero de tarjeta de crdito o la contrasea de las
cuentas bancarias, ya sea mediante la imitacin de un correo electrnico
de una institucin financiera legtima o mediante tcnicas un poco ms
avanzadas que logran que los usuarios ingresen a pginas electrnicas
en apariencia iguales a las del banco y desde las mismas revelen sus
datos personales.
El trmino Phishing proviene del vocablo en ingls fishing cuyo
significado en nuestra lengua sera pescando, esto porque se
considera que los responsables de este tipo de actividad se encuentran
pescando informacin personal; por su parte el ph se deriva de el
trmino Ingeniera Social ha sido utilizado con diversas acepciones, en
esta investigacin ser utilizado con relacin a los delitos informticos.
12
En trminos generales se puede considerar que la ingeniera social

se refiere a la manipulacin de las personas para que voluntariamente
realicen actos que por lo general no haran.
Los ataques denominados Phishing usan mensajes de correo
engaosos y servidores fraudulentos con la intencin de engaar a los
usuarios de servicios de Internet. En el caso de las entidades financieras,
el objetivo es intentar que los usuarios divulguen sus datos, como el
nmero de tarjeta de crdito o sus claves de acceso PIN. El objetivo es
engaar a la gente para que revele contraseas u otra informacin que
comprometa la seguridad del sistema.
En trminos de los empleados bancarios especialistas en este
tema, el objetivo de los crackers es atacar al eslabn dbil de la
relacin, a travs del engao y la manipulacin para que entreguen sus
contraseas y de esta manera se ingrese a la pgina del banco
suplantando la identidad del cliente, actuando como si fuera ste y
daando su patrimonio. Tambin se da la creacin de pginas de
Internet falsas, que es un fenmeno conocido como web spoofing, ello
con el fin de que los clientes bancarios ingresen a stas y suministren
sus datos confidenciales para realizar la estafa.
Para finalizar con la amplia definicin de Phishing se tom la que

ha sido conceptualizada por expertos en el tema de tecnologas de
seguridad de la siguiente manera:
El Phishing generalmente es un correo electrnico que le envan a las
personas en apariencia con un mensaje con una alerta mxima de algo
que est pasando en el banco, que tiene que ver con modificacin de
13
datos, ingreso a las cuentas, o con cancelacin de cuentas, un mensaje

alarmista que asuste a la persona y que la haga ingresar a una pgina
con apariencia similar a la del banco, por lo menos en colores tal vez
pero no en las tcnicas y usos, es una tcnica muy efectiva, es un
fraude muy sencillo por engao; con un engao muy sencillo y muy
trivial la gente da sus datos y con ello obtienen la identidad necesaria
para hacer un fraude. En Phishing envan el correo a cuentas que son
aleatorias, ellos toman un listado de cuentas con apellidos comunes en
Costa Rica como Alfaro, Rojas, Jimnez, empiezan a enviar todas las
combinaciones, empiezan con los nombres ms comunes en Costa Rica
como Mara, Carmen, y empiezan a unirlos con Jimnez, Rojas, etc. para
llegar a las cuentas. Para ellos tiene un costo importante de alrededor
de $3 000 pero estn dentro de la idea que pueden mandar todos los
mensajes que sean necesarios, incluso si el correo al que envan no
existe, en general para el atacante es igual mandar 1000 que 3 000,
siempre va a ser el mismo costo y por lo tanto la gente a veces se
cuestiona porqu ellos saban mi cuenta de correo, realmente ellos no
saban su cuenta de correo, lo mismo sucede con su cuenta bancaria,
ellos realmente no saban si usted tena o no cuenta en el banco, es
pura prueba y error, es cuestin de probabilidades.
2. El Pharming
El Pharming es otra de las modalidades delictivas que tambin han
afectado en gran medida a los usuarios de banca por Internet. Este
fraude informtico utiliza mtodos ms elaborados que el Phishing, es
14
por ello que se ha desarrollado como el siguiente paso para defraudar a

los clientes en el momento en el que el Phishing pierde fuerza por el
conocimiento de la poblacin de los casos relacionados con ste.
El Pharming es una prctica delictiva en la que un pirata informtico
desva el trfico de Internet de un sitio web hacia otro de apariencia
similar, con la finalidad de engaar a los usuarios, para obtener sus
nombres y contraseas de acceso, que se registrarn en la base de
datos del sitio falso. Esto se hace con el fin de robar los datos de
autenticacin y cometer estafas suplantando la identidad de los
usuarios.
El desvo del trfico de un sitio web a otro fraudulento se lleva a cabo
mediante la modificacin en los DNS (Servidor de Nombres de Dominio,
por sus siglas en ingls) datos que asocian la pgina verdadera con su
direccin IP (Protocolo de Internet), lo que hace que el usuario crea que
ha accedido a la web verdadera. El proceso de Pharming se hace
mediante el denominado envenenamiento de DNS, en el que el
atacante tiene acceso a alguna de las enormes bases de datos que
utilizan los proveedores de Internet para enrutar el trfico web y realiza
modificaciones para desviar a los usuarios hacia el sitio falso antes de
que stos tengan acceso a la pgina deseada.
Explicado en trminos de los expertos, el Pharming es cuando un
virus tipo troyano se instala en su equipo, modifica un archivo que los
que estamos en el tema de tecnologa sabemos que existe y es fcil de
modificar, entonces modifica ese archivo y lo redirecciona. Estos virus se
aprovechan
que
usted
es
el
administrador,
puede
modificar
la
configuracin de su equipo, puede instalar lo que sea y entonces lo

hace. Es una modalidad utilizada para engaar al cliente, porque
bsicamente es un engao lo que se les hace.
15
3. El Malware
Malware se refiere a una palabra genrica para describir cualquier
tipo de programa o archivo daino para el ordenador. Proviene de una
agrupacin de las palabras malicious software. Los tipos de Malware ms
conocidos son los virus, gusanos, troyanos, puertas traseras, exploits,
programas espas, ente otros.
Definicin de expertos:
Son cdigos que lo que hacen es leer el teclado o referenciar y buscar
dentro de los archivos los passwords y dems cosas que la gente tiene
guardada en su computadora, por eso no debe activarse la opcin de
recordar contrasea, con el malware se buscan esos archivos dentro del
sistema operativo para extraerlos. Generalmente se instala por medio
de virus o de descargas de archivos, en correos o redes sociales,
tambin por el Messenger.
4. Los Virus Informticos

Un Virus Informtico es un programa informtico que tiene la
capacidad de causar dao y su caracterstica ms relevante es que
puede replicarse a s mismo y propagarse.
Los virus se activan cuando se ejecuta el programa o archivo que lo
contiene, ejecutando al mismo tiempo el cdigo del virus. Esto provoca
los efectos o daos para los que estaba diseado el virus.
16
Los virus se encargan de destruir informacin que se tiene

almacenada en la computadora. Los daos que producen los virus
pueden afectar los programas (software) o las mquinas (hardware).
Dependiendo del tipo de virus as ser el dao que sea capaz de
provocar, adems de eso depender tambin su deteccin, pues al
tratarse de un tema que cambia de manera sumamente veloz, es muy
probable que para algunos virus no se haya desarrollado la vacuna o
antivirus que lo elimine.
Los virus se reproducen a partir de la existencia de un cdigo
padre, encargado de iniciar la epidemia vrica. Cada uno de los
segmentos de los virus son capaces de reproducirse infinidad de veces
en soportes magnticos. Cuando una computadora est infectada con
virus e intercambia informacin con otras, es muy probable que infecte a
esas otras computadoras, en el tanto estas no tengas el antivirus que
combata ese virus. Una vez que el virus est activado, puede
reproducirse copindose en discos duros, en programas, en discos
compactos, en ficheros que se envan a travs de Internet, correos
electrnicos, etc. Los virus tambin pueden residir en las partes del
disco duro que cargan y ejecutan el sistema operativo cuando se arranca
el ordenador, por lo que se ejecutan automticamente.
Existen varios sntomas para detectar si un equipo se encuentra
infectado con virus, por ejemplo el que se vuelvan ms lentos para
procesar informacin, algn tipo de mensaje de burla, y lo ms daino,
la prdida de la informacin e incluso inutilizacin del sistema de
manera parcial o total. Por ello, es importante obtener antivirus
actualizados,
de
buena
calidad
adecuado
posicionamiento
en
evaluaciones internacionales, con el fin de eliminar y prevenir cualquier

infeccin por virus.
17
Los sistemas de antivirus son programas especialmente diseados

para detectar, identificar y eliminar o inutilizar los virus. Para ello, las
empresas de antivirus estn constantemente trabajando en la bsqueda
y documentacin de cada nuevo virus que aparece. Muchas de estas
empresas actualizan sus bases de datos todos los das. Por lo tanto, lo
realmente importante en un programa antivirus es que el usuario lo
mantenga actualizado.
5. El Spyware
El Spyware es todo aquel software que recolecta y enva
informacin a los usuarios. Normalmente, trabajan y contaminan
sistemas como lo hacen los caballos de Troya (Troyanos). Puede venir
asociado a utilidades (reproductor mp3 o un juego) y, generalmente, se
ofrece como una clase de software sin cargo (gratuito). El problema es
que tiene, tambin, un segundo componente oculto, que recolecta
informacin sobre los hbitos informticos de los usuarios y enva la
informacin por Internet al creador del software. El hecho que esta
actividad suceda sin el conocimiento del usuario, hace que se les
denomine programas espas.
En un inicio, los Spyware fueron utilizados para rastrear los datos
que la persona iba generando en Internet con fines de marketing, como
por ejemplo, las tendencias de compra de productos o las preferencias
que mostraba. Sin embargo, posteriormente se ha utilizado con fines
delictivos.
El cuidado que debe tenerse para evitar la instalacin de Spyware
es descargar aplicaciones nicamente en sitios seguros, fiables y no
18
aceptar cualquier tipo de invitacin para abrir y descargar en el equipo

un archivo.
6. Los Caballos de Troya o Troyanos

Un programa denominado Caballo de Troya o Troyano es un
software daino disfrazado de software legtimo. As, el programa parece
ser inofensivo, sin embargo, de manera oculta contiene una seccin de
cdigo oculto, que al ser procesado se activa y provoca graves
distorsiones en los sistemas informticos.
El caballo de Troya es un mtodo de manipulacin en el
procesamiento de datos ingresados, y su nombre se deriva de la obra La
Ilada de Homero. Los caballos de Troya no son capaces de replicarse por
s mismos y, por lo tanto, son adjuntados con cualquier tipo de software
por un programador o puede contaminar a los equipos por medio del
engao.
Los troyanos son utilizados generalmente para espiar personas,
para ello, instalan un programa de acceso remoto que permite
monitorear lo que est haciendo, en cada momento el usuario, por
ejemplo, la captura de pulsaciones del teclado, las contraseas, la
recepcin de capturas de pantalla (muestran lo que el usuario ve).
La mejor manera de protegerse contra los troyanos es, en primer
lugar, utilizar un anti-malware actualizado, que como se coment supra,
consiste en un sistema que brinda mayor proteccin que los antivirus
pues detectan todo tipo de amenaza, incluidos los caballos de Troya.
Adems, no abrir, descargar o ejecutar nada de lo que se desconozca su
origen.
19
7. Key-Loggers
Los denominados Key-Loggers o registros de tecleo son programas
(malware) que estn diseados para instalarse en la computadora y
capturar cada una de las pulsaciones que se hacen en el teclado de la
computadora, recolectando as todas las contraseas que son utilizadas
para ingresar, por ejemplo, a un sitio bancario. Busca slo parejas de
usuario y contrasea, para luego enviarlas a otra computadora sin el
conocimiento ni autorizacin del usuario. Es un tipo particular de
software espa o Spyware.
Con respecto a su funcionamiento, se ha manifestado lo siguiente:
Hay dos tipos de Key-loggers, los fsicos y el software .Lo que hacen es
que descargan una aplicacin (en el caso de los software) o le ponen un
aparato a su computadora (el fsico), que es capaz de leer cada tecla
que escribe, hacen una bsqueda en el cdigo que se genera de esta
escritura y encuentran el acceso a las pginas de los bancos y las claves
que se utiliz, son lectores de las teclas.
8. Adware
Los programas de tipo Adware muestran publicidad asociada a
productos y/o servicios ofrecidos por los propios creadores o por
terceros.
Los anuncios emergentes aparecen durante la navegacin web en
el navegador como una ventana emergente. Esta publicidad es molesta
en algunos casos, pero lo que ms molesta es que deteriora el
rendimiento del sistema.
Algunas formas de prevenir el problema son las siguientes:
20
Activar las opciones de inmunizacin en el software antispyware y

antiadware.
Asegurarse que el software del sistema operativo, navegador y

correo electrnico tiene las actualizaciones ms recientes para
cubrir los agujeros de seguridad.
Tener activado el cortafuego (firewall) cuando se usa Internet.
Un ejemplo sobre casos de amenazas nos lo explica uno de los

encargaos del rea de Seguridad en Sistemas del BCR:
Son los casos pginas Phishing, cuando nos reportan un caso la
misma se enva a un proveedor que se encarga de buscar el sitio
publicado y se encargan de cerrarlo de inmediato.
Este proceso normalmente nos reportan, como mnimo una vez al
mes nos reportan. Una de las medidas es informar al cliente que debe
digitar la pgina del banco, y no utilizar ningn link de otra pgina que
21
apunte al banco, y que tengan cuidado con la informacin que le solicite

que el Banco nunca le solicita informacin al cliente.
Pantalla que le aparece al cliente:
Medidas de seguridad para la banca por internet

En el caso del Internet, el cambio es una constante, de ah que lo
que puede considerarse seguro un da, al da siguiente ya no lo es. Los
mtodos delictivos son cada vez ms elaborados y existe un gran inters
en vulnerar los sistemas de seguridad de los agentes dedicados al
comercio y prestacin de servicios por Internet, sobre todo por las
22
grandes cantidades de dinero que se manejan y por las ventajas que el

delincuente tiene en la red.
Por otro lado, existe la posicin de que cada banco debe mantener
su seguridad segn el sistema de banca por Internet que quiera prestar,
que cada uno debe encargarse de incorporar las medidas de seguridad
que
crea
necesarias.
As,
confan
ms
en
la
opcin
de
una
autorregulacin antes que una regulacin establecida por un ente

superior. Esta como al banco, debe establecerse un mnimo de medidas
con las que por obligacin toda entidad que quiera asumir la prestacin
del servicio deba necesariamente cumplir.
Volviendo en el punto de la confianza y la seguridad que las
transacciones por Internet deben asegurarle al usuario, se considera que
Internet es inherentemente inseguro, presenta riesgos que siempre
estarn presentes, al ser una red abierta, se encuentra disponible para
personas con variedad de intenciones, algunas veces no las mejores, es
tan grande el volumen de las transacciones que viajan por Internet, que
toda
transferencia
de
datos
puede
ser
potencialmente
leda
monitoreada por un tercero.

La seguridad de la informacin ha sido definida como aquellos
pasos preventivos que se toman para proteger tanto la informacin
como las capacidades. Se pretende proteger estos elementos de las
amenazas y que alguien pueda explotar alguna vulnerabilidad.
Alternativas de seguridad
23
Para asegurar al consumidor un adecuado manejo de sus

transacciones en Internet y brindarle un medio seguro que le genere
confianza existen distintas alternativas tecnolgicas que hoy funcionan
como mecanismos para proteger al usuario y a los sistemas de las
empresas.
Estas
alternativas
buscan
asegurar
los
cuatro
elementos
anteriormente mencionados que son la meta en el tema de seguridad,

en resumen: la autenticidad, la confidencialidad, la integridad y el no
repudio.
Los ataques que pueden generarse a la seguridad de los sistemas
pueden clasificarse en:
1) Ataques pasivos: en este tipo de ataques, el atacante no altera
la comunicacin,
sino que la monitorea o accede a ella con el fin de obtenerla, el objetivo
es interceptar la informacin y el anlisis del trfico. Estos ataques son
difciles de detectar, pues no provocan alteracin de los datos, pero s es
posible evitarlos mediante el cifrado de los mensajes, que ser explicado
adelante.
2) Ataques activos: en este tipo de ataques, el atacante s altera la
informacin. Se puede dividir en cuatro categoras: suplantacin de
identidad (el intruso se hace pasar por alguien ms), reactuacin (uno o
varios mensajes legtimos son capturados y repetidos Para producir un
efecto no autorizado), modificacin de mensajes (el atacante vara los
datos transmitidos) y degradacin fraudulenta del servicio (el intruso
intenta impedir que los entes dialogantes puedan realizar correctamente
su funcin, mediante la destruccin o
retardo de mensajes o la
introduccin de mensajes espurios con el fin de congestionar la red).

24
Para evitar que se lleven a cabo este tipo de ataques, es

importante utilizar una serie de mecanismos que se encuentran
disponibles en el mercado y aplicarlos al comercio electrnico, en
especial, a la Banca por Internet.
A continuacin, se presenta un cuadro que incluye las propuestas
de seguridad con la que debe contar un sitio web para considerarse,
actualmente, seguro en el comercio electrnico.
25
Tecnologas
1. La Criptografa o Encriptacin:
Este es uno de los instrumentos que mayormente se utilizan y su
objetivo es mantener las comunicaciones en forma privada, de acceso
slo para las partes, protegiendo su contenido de terceras personas. As,
la
informacin
es
slo
inteligible
por
las
partes
directamente
involucradas o aquellas que estn autorizadas, ya que se encuentra

cifrada. Se afirma que la criptografa es el arte de transformar los
contenidos de un mensaje en su forma original, a un mensaje que no
puede ser traducido ni decodificado por las partes, sino valindose de
una clave especial.
Entonces, la criptografa viene a ocultar o transformar un mensaje
para que solamente puedan leerlo y entenderlo las partes interesadas,
para todos los dems, el mensaje contiene una serie de datos sin
sentido que no pueden ser comprendidos, pues para descifrarlos es
necesario tener una clave dada para este fin.
Con este mecanismo se asegura el cumplimiento del elemento de
seguridad
Confidencialidad
Privacidad.
La
encriptacin
es
un
mecanismo general de seguridad, para permitir el manejo de datos en

Internet, en virtud del cual, el mensaje original se convierte en un
lenguaje construido con base en algoritmos basados en frmulas
matemticas, con lo cual si alguien lo intercepta en el camino,
desconoce directamente su contenido, pues es necesario descifrarlo a su
recibo en el lugar de destino.
26
Existen distintos tipos de Criptografa, por ejemplo la Criptografa

de Llave simtrica o privada y la criptografa de llave asimtrica o
pblica. Estas modalidades sern brevemente explicadas a continuacin.
a) Criptografa de Llave Simtrica o Privada:

Este tipo de encriptacin consiste en que, tanto el emisor como el
receptor de una comunicacin, van a necesitar de una llave o cifrador
que ambos deben conocer y utilizar. De este modo, para que un mensaje
sea elaborado por una parte y recibida por otra, el emisor debe cifrar el
mensaje con la llave y posteriormente el receptor va a utilizar la misma
llave para descifrar o desencriptar el mensaje.
As, se asegura que la informacin transmitida de una fuente a
otra
no
va
ser
vista
por
nadie
ms,
resguardando
as
la
confidencialidad de las comunicaciones. Esta tcnica es considerada

segura ante ataques cripto-analticos sencillos.
b) Criptografa de Llave Asimtrica:

En este tipo de encriptacin, se utilizan dos tipos de llaves, a
diferencia de la criptografa de llave simtrica, una denominada llave
privada que va a poseer de manera exclusiva una de las partes, y otra
llamada llave pblica, que se encontrar disponible para la otra parte y
que se adquiere a travs de un repositorio. As, cada persona va a
poseer un par de llaves, la llave pblica que se encuentra en el
27
repositorio al alcance de todo posible usuario, y la llave privada, que

slo posee la persona.
En este sistema, el nico requerimiento es que cada llave pblica
debe estar asociada a una identidad siguiendo un proceso de
reconocimiento fiable. Cada una de las llaves tiene la funcin de
codificar y descodificar el mensaje, por ejemplo, el emisor puede ser
quien posea la llave pblica, y la utiliza para cifrar un mensaje que enva
a un receptor; entonces este receptor debe utilizar la llave privada para
descifrar el mensaje enviado, ya que dichas llaves estn elaboradas para
que nicamente coincidan los algoritmos elaborados para su par. De
esta manera, el mensaje slo puede ser descifrado por quien posea el
otro juego de llave correspondiente a un par, y en el caso de un receptor
con llave privada, es l quien de modo exclusivo puede tener acceso al
contenido del mensaje, pues es quien tiene la herramienta para
desencriptarlo.
2. Protocolo SSL (Secured Socket Layer)

La informacin en Internet se maneja a travs de lo que se
denomina
como
protocolos.
El
protocolo
de
transferencia
de
hipertexto131 HTTP (Hyper Text Transfer Protocol) es el que se utiliza en

cada transaccin de la Web. Este tipo de protocolo utiliza, para poder
realizar sus aplicaciones, el protocolo TCP/IP, que permite el transporte y
el enrutamiento de la informacin.
El SSL (Secured Socket Layer) es un protocolo utilizado para
permitir que las comunicaciones enviadas por Internet sean manejadas
de forma segura. Este se aplica sobre el TCP/IP y debajo del HTTP. As,
28
realiza una codificacin de los mensajes antes de enviarlos por la red.

Una vez establecida la comunicacin, al momento en que se va a enviar
la informacin, la capa SSL la recoge y la codifica para luego enviarla;
posteriormente, el computador destino se encarga de decodificar el
mensaje y lo convierte nuevamente en texto original.
Este protocolo proporciona autenticacin y confidencialidad en las
comunicaciones por Internet, y una vez que es aplicado se muestra bajo
la denominacin, HTTPS, que implica que el protocolo HTTP est siendo
utilizado junto con el protocolo SSL.
3. Sistemas de Deteccin/Prevencin de Intrusos (IDS/IPS)

El IDS (Intrusion Detection System) es un programa que se utiliza
para detectar accesos no autorizados a una computadora o a una red.
Este mecanismo fue utilizado en inicios de la Banca por Internet por el
Banco de Costa Rica:
Cuando se contrat el servicio de Banca por Internet se contrat bajo el
sistema de llave en mano entonces el proveedor fue el que se encarg
de dar la opcin debidamente asegurada, un equipo de firewall de por
medio, lo que en aquel entonces se consideraba necesario, no existan
los famosos IPS como preventores de intrusos sino que existan los IDS
entonces
se
colocaron
IDS
el
sistema
de
autenticacin
era
bsicamente usuario y clave, que era lo que se consideraba seguro en

ese entonces.
29
Segn explica el Ingeniero en Sistemas Max Alvarado, los IDS son

elementos que se ponen de forma pasiva en una red, y lo que hacen es
que el trfico que est yendo del punto A al punto B se replique, para
que tambin llegue a este mdulo; entonces lo que los IPS hacen es ir
monitoreando la informacin que va pasando para darse cuenta si se
est dando un ataque, lo que pasa con ellos es que cuando se da cuenta
que se est dando un ataque, ste efectivamente ya se estaba dando,
ya era efectivo, entonces en realidad era post mortem. Se utilizaba para
saber cundo fue que se dio el ataque, cmo fue que se dio y tal vez
tratar de rastrear al causante del hecho.
Es por ello, que debi avanzarse dentro del esquema de seguridad
para incorporar un instrumento que ayudara a prevenir los ataques, en
lugar de nicamente detectarlos cuando ya haban sido consumados.
As, se implement el uso de los denominados IPS.
El IPS (Intrusion Prevention System) es un dispositivo que funciona
como prevencin de intrusos en el sistema, de modo tal que ejerce el
control de acceso en una red informtica para proteger a los sistemas
computacionales de ataques y abusos. La tecnologa de Prevencin de
Intrusos es considerada por algunos como una extensin de los Sistemas
de Deteccin de Intrusos (IDS), pero en realidad es otro tipo de control
de acceso, ms cercano a las tecnologas cortafuegos (firewall).
El
Ingeniero
Max
Alvarado,
explica
de
esta
manera
el
funcionamiento del IPS:

El IPS se coloca de una forma en la que el trfico de A a B tiene que
pasar a travs de l antes de llegar a B, entonces lleva un escaneo ms
en lnea. Antes que llegue al servidor de destino la informacin es
30
filtrada y cuando se detecta un ataque se bloquea en el momento, esto

es como seguir el patrn de los datos que estn llegando para
determinar si es un ataque o no, por ende requiere un proceso de
actualizacin, hay que estar como con el antivirus pendiente de nuevos
ataques, de estar actualizando las firmas para que se puedan hacer los
bloqueos. Efectivamente los IPS son bastante efectivos y eficientes para
detener ataques.
Este mecanismo es ahora utilizado por algunos bancos, como uno
de los instrumentos necesarios para una banca en lnea catalogada
como segura. Es para muchos, uno de los requisitos indispensables para
desarrollar un servicio por Internet de manera segura.
4. Firewall (Cortafuegos/ Muros de Fuego)

El Firewall (o cortafuegos) es una parte de un sistema o una red
que est diseado para bloquear el acceso no autorizado, permitiendo al
mismo tiempo comunicaciones autorizadas. Se trata de un dispositivo o
conjunto de dispositivos configurados para permitir, limitar, cifrar,
descifrar, el trfico entre los diferentes mbitos sobre la base de un
conjunto de normas y otros criterios.
Los firewall son dispositivos de control de acceso para la red y

pueden ayudar a proteger la red interna de una organizacin contra
ataques externos. Por su naturaleza, los firewall son productos de
seguridad de frontera, lo cual significa que estn en el lmite entre la red
interna y la red externa. Si son configurados de manera apropiada, los
muros
de
fuego
se
convierten
en
dispositivos
de
seguridad
31
indispensables. Sin embargo, un corta fuegos no evitar que un atacante

utilice una conexin permitida para atacar un sistema. Por ejemplo, si un
servidor web tiene permitido el acceso desde el exterior y es vulnerable
a un ataque en contra del software del servidor web, es probable que el
firewall permita pasar el ataque, pues se supone que el servidor web
debera poder recibir conexiones web. Los firewall tampoco protegern
a una organizacin de un usuario interno, puesto que dicho usuario ya se
encuentra en la red interna.
Los cortafuegos pueden ser implementados en hardware o
software, o una combinacin de ambos. Los cortafuegos se utilizan con
frecuencia para evitar que los usuarios de Internet no autorizados
tengan acceso a redes privadas conectadas a Internet, especialmente
intranets. Todos los mensajes que entren o salgan de la intranet pasan a
travs del cortafuegos, que examina cada mensaje y bloquea aquellos
que no cumplen los criterios de seguridad especificados.
Existen dos tipos generales de muros de fuego, los muros de fuego de
capa de aplicacin y los muros de fuego de filtrado de paquetes.
32
W.A.N. (Red de rea extensa): Red que abarca un rea geogrfica

ms amplia que una red de rea local (L.A.N.) sobre redes de
comunicaciones pblicas.
L.A.N. (Red de rea local): El trmino red de rea local (LAN) hace
referencia a una red local o un grupo de redes locales interconectadas
que estn bajo el mismo control administrativo. En los comienzos del
networking, las LAN se definan como redes pequeas que existan en
una nica ubicacin fsica. A pesar de que las LAN pueden ser una nica
red local instalada en una vivienda u oficina pequea, la definicin de
LAN ha evolucionado y ahora incluye redes locales interconectadas
compuestas por muchos cientos de hosts, instaladas en mltiples
edificios y ubicaciones.
33
5. Firma digital y certificado digital
Firma Digital
Es necesario, antes de abordar el tema de firma digital, diferenciar
entre firma electrnica y firma digital. Para ello, simplemente debe
anotarse que la firma electrnica es el gnero y la firma digital es la
especie. La firma electrnica es definida como cualquier mtodo o
smbolo basado en medios electrnicos utilizado o adoptado por una
parte con la intencin actual de vincularse o autenticar un documento,
cumpliendo todas o algunas de las funciones de la firma manuscrita. En
trminos sencillos, la firma electrnica es la que se introduce en un
documento electrnico148 con el fin de acreditarse su autora y que de
este modo se pueda identificar al titular de la firma con relacin con el
mensaje que se est enviando. Con la firma electrnica se permite hacer
una relacin o asociacin entre un documento electrnico y una
persona.
Dentro del concepto de firma electrnica se comprenden otras
formas de identificacin, entre ellas, como se mencion supra, la firma
digital. El concepto de firma digital se asocia con el desarrollo de
tecnologas PKI o ICP (Public Key Infrastructure o Infraestructura de Clave
o Llave Pblica, segn su denominacin en ingls o espaol), incluso, la
utilizacin de este tipo de tecnologas es lo que hace que la firma digital
sea distinta a la firma electrnica, en el tanto la primera utiliza la
criptografa de clave pblica y la segunda cualquier tipo de criptografa.
Las firmas digitales han sido clasificadas de la siguiente manera:
34
Blind Signature (Firma Ciega): es un protocolo de firmas

digitales que permite firmar un documento sin conocimiento de
los contenidos del mensaje.
Fail-stop Signature (Firma que detecta errores): le

permite al tenedor demostrar que una firma en un documento le
es falsamente atribuida, ya que es producto de un ataque.
Proxy Signature (Firma Proxy): es un protocolo que le

permite al firmante autorizar a otro para que firme en su nombre,
sin tener que revelar para esto su llave privada.
Undeniable Digital Signature (Firma Digital Innegable):

es un protocolo que no permite la verificacin de la firma sin el
consentimiento del signatario.
Para la utilizacin de la Firma Digital se requiere de dos tipos de

llaves: una llave pblica, accesible a cualquier persona y una llave
privada, que va a ser utilizada de forma exclusiva por el dueo, tal y
como se explic con la Criptografa de Llave Asimtrica. El fin principal
de la firma digital es brindar seguridad a las transacciones electrnicas,
protegiendo de esta manera la informacin, a travs del cifrado que se
genera con la utilizacin de llaves pblicas y llaves privadas para la
transmisin de la comunicacin. Tambin, se garantiza la identidad de
los sujetos, ya que se conoce quin es la persona que se atribuye un
mensaje y se puede identificar claramente.
Certificado Digital
35
La certificacin es una respuesta al problema de autenticidad, ya

que existen entidades dedicadas a esa labor y que brindan esa
credibilidad necesaria para el consumidor de servicios electrnicos. Los
certificados y claves de acceso son producto de la combinacin de un
mecanismo de creacin que se encuentra en poder del firmante y de un
mecanismo de verificacin que se encuentra en poder de un tercero de
confianza que certifica identidad y contenido, al que la ley denomina
certificador,
conocidos
tambin
como
Public
Key
Certificates
(Certificados de llave pblica).

A pesar de que, con la firma digital, se asegura que una clave
pblica del suscriptor corresponda a su clave privada, se hace necesario
que exista un ente que d mayor legitimacin a este par de nmeros y
con certeza afirme la asociacin de un par de llaves a una persona
determinada.
En el tema de seguridad, como se ha comentado, las tcnicas
deben garantizar el mximo de proteccin posible, previniendo fallas
que puedan provocar ataques. As, a pesar que la firma digital
proporciona muchas ventajas, si no existe un medio adecuado para su
utilizacin podra vulnerarse su nivel de seguridad. Es por ello, que debe
complementarse su uso con un tercer agente participante, que va a
administrar las claves y a emitir certificados individualizando y
relacionando una clave pblica con una persona determinada. La
presencia de un tercero es lo que permite sostener la plena seguridad e
inviolabilidad de las expresiones volcadas en este tipo de soporte.
Los certificados digitales son emitidos por una autoridad competente
que posee un registro en el que guarda la identidad de la persona que lo
posee, su vigencia, lugar de emisin, entre otros. Las entidades
certificadoras
administran
las
claves,
emiten
certificados
36
individualizando y relacionando una clave pblica con un tenedor

especfico.
Estos certificados son inscritos por la entidad certificadora en un registro
o receptorio, deben acompaar a los documentos o mensajes, de forma
tal que el que los recibe pueda, con la clave pblica del firmante,
corroborar la vigencia del mismo.
Las funciones de los certificados digitales pueden enumerarse de la

siguiente manera:
i)
otorgar certeza de determinadas circunstancias fcticas: por

ejemplo, certificando la identidad del signatario y dueo de la
ii)
clave privada.
determinar la eficacia de ciertos actos ejecutados por una
persona en particular: por ejemplo, la certificacin de un
contrato
de
mandato
para
la
realizacin
de
un
acto
determinado.
Pero la funcin bsica del Certificado Digital es vincular una clave

pblica con un tenedor determinado, lo que le permite al receptor
asegurarse que la clave pblica consta en el certificado y corresponde a
la clave privada utilizada para firmar el documento.
37
Medidas de seguridad actualmente
Legislacin
En la legislacin costarricense no existe una ley especfica que
regule el comercio electrnico o la actividad en Internet. Actualmente se
encuentra en la Asamblea Legislativa un Proyecto de Ley de Comercio
Electrnico. La finalidad de este proyecto es regular la actividad
comercial producida en medios electrnicos con el fin de brindar mayor
seguridad a las transacciones electrnicas.
Dicha ley promueve la utilizacin de mecanismos de seguridad de
alto grado tecnolgico en la actualidad, cuales son el Certificado Digital
y la Firma Digital. Se delega la administracin y supervisin del Sistema
38
de Certificacin a la Direccin de Certificadores de Firma Digital, que

pertenece al Ministerio de Ciencia y Tecnologa (MICYT).
Con esta ley, se faculta a las entidades pblicas y al Estado a
utilizar los certificados, firmas digitales y documentos electrnicos, y
dota de plena validez a los certificados expedidos por certificadores
registrados en la Direccin de Certificadores de
Firma Digital.
En el Reglamento a la Ley, se indican las atribuciones y
responsabilidades de los certificadores, dentro de las cuales destacan:
Expedir las claves, contraseas o dispositivos de identificacin a

sus suscriptores, en condiciones seguras y previa verificacin
fehaciente de su identidad. Lo mismo har respecto de sus
certificadores subordinados cuando los hubiere, los cuales tambin
debern registrarse ante la Direccin de Certificadores de Firma
Digital.
El certificador no podr copiar o conservar informacin relativa a la

clave privada de firma digital de un suscriptor y deber abstenerse
de
tomar
conocimiento
acceder
ella
bajo
ninguna
circunstancia.
Llevar
un
registro
completo
actualizado
de
todos
sus
suscriptores, para lo cual les requerir la informacin necesaria.
Expedir el certificado digital que respalde la firma digital de los

suscriptores de sus servicios y de sus certificadores subordinados,
as como suspenderlo o revocarlo bajo las condiciones previstas en
la Ley y el Reglamento.
39
Mantener un repositorio electrnico, permanentemente accesible

en lnea y publicado en Internet para posibilitar la consulta de la
informacin pblica relativa a los certificados digitales que haya
expedido y de su estado actual.
El funcionamiento del certificado y la firma digital se explic con

anterioridad, y se apega al procedimiento que se utiliza en la ley y el
reglamento costarricenses. El certificado digital se encontrar en un
dispositivo denominado Smart Card o Tarjeta inteligente, que consiste en
un plstico con un chip denominado placa de contactos y, un circuito
integrado que en algunos casos es un microprocesador, lo que le da el
carcter
de
inteligente169.
En
las
tarjetas
inteligentes
de
microprocesador, que son las utilizadas para certificados y firmas

digitales, se puede almacenar informacin sobre el dueo de la tarjeta,
su clave o llave privada, informacin sobre el certificado como la
vigencia, fecha de expedicin, entre otros datos.
40
Dentro de la Tarjeta inteligente se coloca el Certificado Digital, que

va
permitir
realizar
dos
funciones:
firmar
digitalmente
la
autenticacin. La tarjeta detectar la aplicacin que se quiera ejecutar

dependiendo del sitio o accin que se est realizando, por ejemplo, si se
ingresa a una pgina bancaria, la Smart Card desplegar la funcin de
autenticacin, mientras que si se ingresa a un procesador de texto, la
tarjeta iniciar la funcin de firma digital.
Para utilizar la Tarjeta Inteligente se requiere un lector de Tarjetas
Inteligentes o Smart Card reader que consiste en un hardware o
dispositivo fsico que se coloca en la computadora y que requiere
adems de la instalacin de un programa para lectores de tarjetas
inteligentes. El dispositivo puede ser insertado a travs de un puerto
USB, por ejemplo. Los lectores de tarjetas inteligentes estn diseados
para descargar o leer los datos de la tarjeta. Cuando una tarjeta inteligente
y un lector de tarjetas inteligentes entran en contacto, cada uno se identifica a
s mismo envindose y recibiendo informacin. Si el mensaje intercambiado no
concuerda, el proceso no va ms all. Entonces, a diferencia de las tarjetas
bancarias ordinarias, las tarjetas inteligentes pueden defenderse a s mismas
41
contra usuarios no autorizados y utiliza unos mecanismos de seguridad

innovadores.
Una vez que el usuario ingresa su tarjeta inteligente en el lector,

ste le va a solicitar una contrasea, que ser la que identifique en un
primer plano al usuario como dueo de la tarjeta, este paso es requerido
para que el lector proceda a leer la informacin de la tarjeta inteligente.
Debe aclararse que esta contrasea no corresponde a la clave privada,
pues sta ni siquiera es de conocimiento del usuario; la clave privada se
encuentra guardada dentro del chip de la tarjeta inteligente y no es
conocida por nadie. De esta manera se garantiza la confidencialidad y la
seguridad de la administracin de la clave.
Este tipo de tecnologa es lo que los bancos pretenden poner en
funcionamiento a muy corto plazo, adicionando estos mecanismos a la
42
seguridad que ofrecen al usuario. Algunos bancos van a incluir este

sistema y lo van a hacer de uso obligatorio, otros, sin embargo, lo van a
dejar como una opcin para el consumidor. La diferencia radica
bsicamente en una cuestin de costos, pues en el caso particular del
Banco Nacional, se ha manifestado que su ideologa de banca por
Internet siempre ha sido de compromiso social y con el fin de disminuir
la brecha digital, de modo que, el obligar a sus clientes a utilizar la firma
digital implicara el disminuirles las posibilidades de acceso a Internet
Banking a un alto porcentaje de la poblacin, que no cuenta con los
medios para cubrir los costos de un lector de tarjetas inteligentes, y
dems requisitos que son necesarios para la utilizacin de este sistema.
No obstante, la tecnologa de firma digital pretende extenderse y
la mayora de bancos lo ven como el siguiente paso. Incluso se perfila
que el certificado digital se encuentre dentro de la cdula de identidad.
43
Conclusiones
En la poca actual, la tecnologa y la ciencia avanzan a pasos
agigantados y con una enorme velocidad, dentro de las alternativas que
la tecnologa pone al alcance del ser humano se encuentra el Comercio
Electrnico, y como un elemento de ste se ha desarrollado la Banca por
Internet. Con ella se le brinda al cliente bancario accesar a sus cuentas
va Internet y realizar una amplia gama de transacciones desde su
computadora. Este sistema crea una atractiva opcin, que funciona con
las necesidades del usuario actual, quien necesita celeridad en sus
operaciones y facilidad en su ejecucin, opcin que con ajetreado da a
da en la era moderna, les resulta ideal a los consumidores. Aunado a lo
anterior, el movilizar cantidades considerables de dinero no resulta
seguro hoy, lo que le otorga un valor agregado a la Banca Online.
Para adquirir los servicios de Internet Banking de la entidad
bancaria de referencia Se firma un contrato que ha sido elaborado por el
Banco y se comprometen las partes al cumplimiento de las clusulas ah
establecidas. El contrato firmado es un contrato de adhesin, en el que
el cliente se limita a firmar y aceptar las disposiciones ah manifestadas,
sin posibilidad de negociacin. Este tipo de negociacin, sin embargo, no
viene a revolucionar el modo de contratacin ya establecido en las leyes
civiles y mercantiles, pues mantiene los mismos principios para su
elaboracin, validez y eficacia, la nica diferencia es el medio utilizado
para realizarse.
Como medida de prevencin y de proteccin, se han desarrollado
una serie de medidas de seguridad que resguarden los sistemas
44
bancarios y al cliente. Dentro de ellos se encuentra la criptografa o

encriptacin, el uso del protocolo SSL, los Firewall y antivirus, los IPS y
los dispositivos fsicos como las claves aleatorias, los Tokens y ms
recientemente los Certificados y Firmas Digitales. Adems de la
aplicacin de estos sistemas, se recomienda una constante evaluacin
de riesgos y una poltica de concientizacin a los usuarios.
Bibliografa
http://es.wikipedia.org/wiki/Hipertexto
http://es.wikipedia.org/wiki/Sistema_de_detecci%C3%B3n_de_intrusos
http://es.wikipedia.org/wiki/Sistema_de_Prevenci%C3%B3n_de_Intrusos
http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)
http://es.wikipedia.org/wiki/Cortafuegos_(inform%C3%A1tica)
http://es.wikipedia.org/wiki/Archivo:Gateway_firewall.svg
45
Anexos
Costa Rica, Lunes 5 de noviembre de 2007
/EL PAS
PRDIDAS PASARON DE 52 MILLONES A 700 MILLONES EN UN AO
Clientes bancarios indefensos ante saqueo electrnico

Bancos alegan que clientes dan mal uso a claves de seguridad en Internet
OIJ dice que nadie en el pas puede sentirse seguro ante este tipo de delito
OTTO VARGAS M. | ovargas@nacion.com
La maana del 11 de mayo, el abogado Luis Fernando Rodrguez encontr $4 en su cuenta del Banco Nacional en vez de los ms de sus
$18.000 que haba ahorrado.
Tres das antes, una banda de ladrones cibernticos transfiri mediante Internet el dinero a la cuenta de una vecina de Pavas y para eso
utiliz su clave de seguridad personal.
Pese a sus reclamos, el banco no se hizo cargo de la prdida porque el registro transaccional reconoci su clave.
La banda desarticulada luego por la Polica Judicial rob por medios electrnicos su pin.
Me vale que detuvieran a 13 personas. Yo no hice ningn negocio con ellos (con los ladrones); lo hice con el banco.
El sistema permiti que entregaran mis fondos sin mi permiso. Es triste saber que el dinero hubiera estado ms seguro bajo mi
almohada, lament.
Historias similares viven las ms de 400 personas 242 de ellas vecinas de San Jos que, de acuerdo con el Organismo de Investigacin
Judicial (OIJ), perdieron este ao su dinero a manos de saqueadores cibernticos.
Esa cifra supera en mucho las 120 denuncias del 2006.
Para desesperacin de las vctimas, los bancos acusan el mal uso de las claves de seguridad para no indemnizar.
Millones virtuales. El robo virtual pareciera fuera de control. Mientras que para el 2006 las prdidas ascendieron a 52 millones, para
agosto del presente ao el dinero sustrado asciende a ms de 700 millones, segn estima la seccin de Fraudes del OIJ.
Los investigadores temen que a fin de ao supere los 1.000 millones. La realidad es que nadie en este pas puede sentirse vacunado o
seguro. Estos fraudes pueden despedazar la economa de un pas, advirti un agente.
Recuperar algo es una utopa. Entre enero y mayo del presente ao, 41 clientes presentaron reclamos administrativos al Banco Nacional;
ninguno fue indemnizado.
Estos (los robos) fueron producto de ataques cibernticos contra los sistemas de seguridad de los clientes, sobre los que el banco no
puede asumir responsabilidad.
46
Los sistemas informticos ms sofisticados y seguros, cuando reciben los datos correctos, no pueden determinar si quien los ingresa es
el dueo, dijo Jos Francisco Araya, vocero del Banco Nacional.
La misma poltica aplica el Banco de Costa Rica. Ellos tampoco indemnizaron a 70 de sus clientes que reportaron saqueos entre enero y
agosto de este ao.
En este caso no se vulneran los sistemas del banco, sino que el cliente se precipita en el ardid que ejecuta el estafador y termina por
darle sus datos, dijo el subgerente Mario Rivera.
El Banco Popular, por su parte, no ha indemnizado. Esto refleja el estricto control de los procedimientos internos de seguridad, inform
Hazel Cepeda, gerente general corporativa. El viernes, la Fiscala de Fraudes detuvo en una sucursal de ese banco a dos particulares
quienes al parecer recibieron dinero ajeno mediante Internet.
Desprotegidos. Para la encargada de la Direccin de Proteccin al Consumidor, Cynthia Zapata, los clientes bancarios estn atados de
manos ante los robos, en especial al no existir una ley que regule el comercio electrnico.
Hay un vaco en la legislacin que deja al consumidor indefenso, pues no tiene la posibilidades tcnicas o materiales de probar que fue
vctima de un fraude.
Si las entidades financieras lo colocan en esa posicin, lo dejan indefenso. Debera ser responsabilidad del banco devolver al
consumidor el monto y luego emprender una accin penal y civil en contra de quien realiz el fraude, dijo.
Hazel Daz, de la Defensora del los Habitantes, considera que la relacin cliente banco cambia al descubrirse un saqueo.
Cuando al cliente le roban, pasa a ser un enemigo. Las vctimas esperan ayuda del banco. Las nuevas modalidades de fraude son ms
graves. Los clientes siempre llevan las de perder, concluy.
47
48
Costa Rica, Mircoles 13 de febrero de 2008
/EL PAS
BANCOS INCUMPLEN MEJORES ESTNDARES INTERNACIONALES
Prcticas de banca en lnea en Costa Rica son

inaceptables
Bancos en exterior tienen que probar culpa de cliente o reintegrar el dinero
Superintendente recomienda aplicar una medida similar en Costa Rica
HAZEL FEIGENBLATT | hfeigenblatt@nacion.com
Los bancos costarricenses someten a los usuarios de los servicios bancarios por Internet a prcticas inaceptables en pases desarrollados.
No hay ninguna ley o institucin pblica que los obligue a responder ante sus clientes por fraudes electrnicos, y ello les ha dado libertad
para negarse a aceptar responsabilidades que sus similares en otros pases s aceptan.
Aqu los bancos se niegan a reintegrar el dinero robado electrnicamente y les basta con decir que probablemente el fraude ocurri por
descuido del usuario.
Ello es inaceptable en Estados Unidos, en donde el banco debe reintegrar el dinero o probar que el usuario actu fraudulentamente o
incurri en un descuido.
Aunque aqu los bancos dicen cumplir los estndares internacionales de seguridad, muchos operan con solo un mecanismo de
verificacin de identidad.
Eso tambin es inaceptable en Estados Unidos, donde desde el 2005 las cinco autoridades financieras calificaron tal prctica como
inadecuada, y actualmente no la permiten si es el nico medio de autenticacin.
Adicionalmente, expertos informticos afirmaron a La Nacin que cada vez hay ms formas de robar la informacin bancaria hasta a los
usuarios ms cautos, y creen desproporcionado asignarle todo el riesgo al cliente.
Carga de la prueba. Hay casi 500 denuncias de fraude electrnico, con prdidas por ms de 800 millones, y los bancos se niegan a
reintegrar el dinero.
Ello difiere dramticamente de Estados Unidos, donde la ley ordena que el banco reintegre el dinero o pruebe que el usuario actu de
forma fraudulenta, o que de alguna forma permiti que la transferencia se realizara.
El presidente de la Asociacin Bancaria Costarricense, Mario Castillo, dijo: (A los bancos) no se les puede pedir que sean responsables
de algo por lo que no fueron responsables. Agreg que hay un vaco legal y que la Asociacin est dispuesta a colaborar en un eventual
proyecto de ley.
La ausencia de ley no fue excusa para los banqueros ingleses, quienes voluntariamente crearon el Cdigo Bancario. Este incluye una
norma similar a la de EE. UU.
Consultado sobre qu est haciendo la Superintendencia de Entidades Financieras (Sugef) al respecto, el superintendente, scar
Rodrguez, dijo que esta no tiene potestad legal para intervenir.
S opin que en Costa Rica debe hacerse una ley para que se aplique el mismo principio que en esos pases. Sera un incentivo muy
poderosos para que los bancos eleven los niveles de seguridad, dijo.
Aadi que hoy algunos bancos estn mucho ms preparados que otros en materia de seguridad, pero que tiene prohibicin legal para
revelar los detalles.
Los mejores estndares? Un argumento de los bancos costarricenses para rechazar los reclamos de los clientes perjudicados es que sus
sistemas de seguridad cumplen los estndares internacionales.
No obstante, aqu numerosos bancos aplican solo un mecanismo de verificacin de identidad del usuario (por ejemplo, nmero de cdula
y palabra clave).
Desde octubre del 2005, las cinco entidades financieras estadounidenses advirtieron que ese mecanismo es inadecuado.
El fraude bancario y el robo de identidad son frecuentemente resultado de la explotacin de sistemas de verificacin de un factor
(nmero de identidad y palabra clave), afirma una gua de acatamiento obligatorio emitida por el Consejo de Revisin de Instituciones
Financieras Federales.
49
La Oficina de Prensa de la entidad confirm a La Nacin que actualmente no se permite que los bancos operen de esa forma.
Un ejemplo de un banco que opera as en Costa Rica es el Banco Nacional, el cual tiene ms clientes y tambin ms casos de fraude.
Al cierre, no se recibi respuesta del gerente, William Hayden.
Ofrecen un segundo mecanismo de verificacin HSBC, BAC San Jos (aunque es opcional y con un costo extra) y, recientemente, el
Banco de Costa Rica (BCR).
El subgerente del BCR, Mario Rivera, asegur que desde diciembre se han entregado 25.000 claves dinmicas y ninguno de esos
usuarios ha sufrido fraude.
Luis Lieberman, gerente de Scotiabank, afirm que pronto lanzarn un segundo mecanismo y Banca Promrica lo ofrece solo para
algunos clientes.
Riesgo. Roberto Sasso, presidente del Club de Investigacin Tecnolgica, dijo que, an con los mejores sistemas de seguridad, ninguna
transaccin por Internet es 100% segura. Estim desproporcionado que todo el riesgo de la banca en lnea lo tenga que asumir la parte
contractual ms dbil: el usuario.
Carlos Melegatti, responsable del Sistema Nacional de Pagos Electrnicos (Sinpe), del Banco Central, coment que esa entidad no tiene
injerencia sobre los bancos. No obstante, coincidi con Sasso y recomend hacer una reforma legal. Los sistemas injustos no tienen
futuro, advirti.
De momento, los bancos no tienen que rendir cuentas a nadie. La Nacin envi preguntas a varios. El BAC San Jos dijo que es
imposible dar la informacin. No respondieron: HSBC, Popular, Banco Uno, Aval Card, Improsa y Cathay.
50
Robo de claves a usuarios cautos

Pharming
Se altera un servidor (por ejemplo, el de su trabajo) para que cuando usted escriba la direccin de su banco sea llevado a la de un sitio
web falso que parece el de banco. Ello lo puede hacer un virus nuevo o incluso la persona a quien usted le confa hacer esas cosas
tcnicas en su computadora.
Sniffers
Es un programa que se instala en una computadora y observa todo (hasta datos bancarios) lo que pasa por el segmento de la red que la
mquina comparte con otras (por medio de un cable coaxial o de fibra ptica). Es decir, observa las dems computadoras. Los antivirus
y antispyware reducen el riesgo, no lo elimina.
Robots
Un virus instala un programa en su computadora y le da control remoto sobre esta al criminal, que no solo puede obtener sus claves sino
hasta hacer transacciones desde su computadora. Se han descubierto ejrcitos de computadoras zombies de hasta medio milln de
ordenadores.
Keyloggers
Es un virus que se puede obtener con tan solo visitar un sitio web (incluso no bancario), el cual abre un programa que registra lo que
usted teclea y se lo enva al criminal. Aunque los antivirus disminuyen el riesgo, estos son posteriores a la creacin del virus.
51
Costa Rica, Viernes 10 de octubre de 2008
/EL PAS
SAQUEO DE CUENTA BANCARIA POR INTERNET
Banco Nacional recibe primera condena por

fraude en lnea
Joven universitario demand para recuperar 1,1 millones
BN estudiar en detalle la sentencia y valora acudir a otras instancias para apelar
El Banco Nacional (BN) fue condenado ayer por primera vez a reintegrarle el dinero a un cliente que
fue vctima de fraude por Internet.
La demanda fue planteada por el estudiante universitario Cristian Lora, quien el ao pasado perdi
ahorros por 1,1 millones que pensaba utilizar para terminar su licenciatura en Administracin de
Negocios.
Yo saba que se tena que hacer justicia. Se sent un precedente y puede beneficiar a otras personas
que estn en la misma situacin, coment Lora ayer tras escuchar la sentencia.
Se trata de la tercera condena contra un banco costarricense por el tema de fraudes electrnicos,
luego de que el Banco de Costa Rica (BCR) recibi dos sentencias similares en setiembre.
En el pas hay unas 600 vctimas de ese delito, en su mayora clientes del BN y del BCR.
Hay otras 10 demandas en proceso contra ambas entidades y una de ellas representa a ms de 120
usuarios, reunidos por la Asociacin de Consumidores Libres, a la cual an se pueden agregar ms
personas.
Ayer, la Oficina de Prensa del BN dijo: El Banco Nacional respeta pero no comparte el fallo del
Tribunal. Estudiar en detalle la sentencia, tanto por la forma como por el fondo, para definir si acude a
otras instancias. Es una posibilidad que est valorando.
En contraste, el BCR dijo hace algunos das que analiza la posibilidad de no apelar las dos condenas
recibidas e, incluso, podra conciliar con algunos clientes.
Responsabilidad. En el Banco Nacional se han reportado al menos 278 casos y la entidad ha
rechazado los reclamos de los perjudicados, pues estima que el acceso a la cuenta del cliente ocurre
solo si este, de alguna manera, lo facilit.
No lo ven as los tribunales.
Los tres jueces del Tribunal Contencioso Administrativo determinaron de forma unnime que el BN tuvo
responsabilidad objetiva por lo ocurrido.
Segn la ley, un proveedor puede ser responsable si el consumidor resulta perjudicado en razn de las
caractersticas propias del bien o servicio brindado, independientemente de que tenga culpa o no.
El abogado demandante, Guido Granados, afirm que en el juicio se demostr que el Banco Nacional
no tom medidas de seguridad que podan evitar los fraudes.
La Nacin public en febrero que bancos como el BN y el BCR lanzaron sus plataformas electrnicas
con solo un mecanismo de autenticacin de identidad, pese a que desde el 2005 se conoca que ello
era inadecuado e inseguro.
52
Segn Granados, qued demostrado que el BN fue alertado de ese hecho en un informe interno y no
tom ninguna decisin, sino hasta finales del 2007, cuando ya se haban producido cientos de fraudes.
Medidas de seguridad. El Banco acude a la Contralora para que le autorice una contratacin de
urgencia (para poner un mecanismo de doble autenticacin de identidad) y ah dice que es por
inseguridad del sistema, afirm Granados. Si lo hubieran hecho en el 2005, no hubiera pasado
nada, agreg.
El BN respondi ayer: Los casos se empezaron a presentar en Costa Rica en el 2007, y en ese mismo
ao el Banco Nacional tom medidas adicionales para proteger a los clientes, como fue la restriccin
de transferencias solo a cuentas favoritas.
Sobre la medida de poner topes al monto que poda ser transferido electrnicamente, Granados dijo
que en el juicio se demostr que, en el caso de Lora, el tope no impidi el fraude. El banco nunca le
dijo (a Lora) que ese tope no serva para nada, coment.
Con esta sentencia queda claro que la poltica aplicada hasta ahora por los bancos no se ajusta al
marco legal del pas.
Pese a ello, ninguno ha anunciado un cambio de poltica. En la prctica, esto significa que se les
traslada la responsabilidad de resolver, caso por caso, a los jueces contencioso-administrativos.
La Nacin intent conocer la posicin de la Cmara de Bancos e Instituciones Financieras y de la
Asociacin Bancaria Costarricense sobre la primera sentencia contra el BN, pero no respondieron.
El BCR puso doble autenticacin en diciembre del ao pasado, y el BN, apenas el mes pasado.
El abogado Guido Granados y su cliente, el universitario Cristian Lora (de camisa azul), recibieron la sentencia con agrado. Granados llev el caso porque Lora
trabaja en su bufete. Mario Rojas
Demanda se proces en 10 meses

Aunque muchas demandas tardan aos en resolverse en los tribunales, la demanda contra el Banco
Nacional solo requiri 10 meses para llegar a una sentencia.
Algo similar ocurri con las dos demandas planteadas contra el Banco de Costa Rica y ello se debe al
nuevo Cdigo Procesal Contencioso Administrativo, que empez a regir este ao.
La nueva normativa da a los jueces ms herramientas para obligar a las instituciones pblicas a
corregir actuaciones o, incluso, a actuar ante sus omisiones.
La demanda y la contestacin de la parte demandada son escritas, pero otras fases del proceso se
resuelven en audiencias frente al juez, para las cuales se puede citar a las partes mediante recursos
tecnolgicos ms giles.
El abogado que plante la demanda contra el Banco Nacional, Guido Granados, coment que le gust
el nuevo sistema porque, aun cuando el banco intent jugar con el papeleo, los jueces podan
ponerle plazos.
53
Por ejemplo, para aportar una traduccin, le dieron un mximo de tres das. Para otro documento le
dieron 24 horas (...). Ahora s se siente que hay justicia oportuna, coment. Falta ver cunto tiempo
durara en resolverse la apelacin, si el Banco la presenta.
El nuevo cdigo tambin da legitimacin procesal a quienes invocan la defensa de intereses difusos
(que afectan a todos los usuarios de la banca) o colectivos (a un nmero especfico de usuarios).
Ello permiti a la Asociacin de Consumidores Libres presentar una demanda colectiva en
representacin de ms de 120 vctimas de fraude por Internet contra los bancos Nacional, de Costa
Rica y Popular.
La demanda se present en junio y actualmente se encuentra en proceso.
54
Costa Rica, Jueves 25 de septiembre de 2008
/EL PAS
JUECES CONSIDERARON QUE EL BANCO NO OFRECI SUFICIENTE SEGURIDAD
BCR condenado a reintegrar dinero de

fraude por Internet a cliente
BCR descartara apelar decisin y no deshecha posibles conciliaciones
Ms de 120 personas tienen demandas similares en proceso
El Tribunal Contencioso Administrativo y Civil de Hacienda conden el viernes al Banco de Costa Rica (BCR) a reintegrar el
dinero a una clienta que fue vctima de fraude bancario por Internet, dos veces el ao pasado.
El BCR confirm que es la primera sentencia que se produce en el pas contra un banco por negarse a reponer el dinero
desaparecido por va electrnica.
Cuatro demandas ms estn en proceso contra el BCR, una de las cuales se resolver esta semana y otra que cubre
reclamos de 120 usuarios.
En total, en ese Banco se han presentado 290 fraudes.
Menos estricto. Para el Tribunal, qued demostrado que el sistema de seguridad del BCR no fue suficientemente seguro,
pues era ms estricto hacia lo interno del banco que hacia afuera. La parte externa se refiere a los mecanismos de
seguridad para permitir el acceso por Internet a las cuentas.
Una investigacin de este diario revel en febrero que la mayora de bancos en Costa Rica, entre ellos el BCR, lanz el
servicio de banca en lnea con solo un mecanismo de autenticacin de identidad, pese a que desde el 2005 las autoridades
financieras de Estados Unidos haban advertido que ello es inadecuado e inseguro.
En rigor, deba ser objeto de particular atencin (por parte del banco) ofrecer a sus clientes la suficiente seguridad para
evitar los previsibles y reiterados ataques de delincuentes cibernticos, dijeron los jueces Roberto Gutirrez Freer, Ana
Isabel Vargas Vargas y Joaqun Villalobos Soto.
Al no hacerlo o hacerlo tardamente, el hecho de estos terceros (los ladrones) no permite eximir al banco de su clara
responsabilidad, agregaron.
Fue hasta a finales del 2007 que el BCR ofreci un segundo sistema de verificacin de identidad llamado Clave Dinmica.
Casi un ao despus, ni un solo usuario de la Clave Dinmica ha sido vctima de fraude, y desde el 17 de este mes su uso es
obligatorio para todos los clientes del banco.
La sentencia indica que la seguridad requiere de actualizacin constante y debe ser extremada, pues ello colabora para
minimizar el riesgo que deriva del servicio de banca electrnica, catalogado como riesgoso per se.
Cambio de actitud. Aunque el BCR tena la poltica de rechazar los reclamos, ayer el gerente, Mario Rivera, dijo que la
entidad no tiene definido si va a presentar recurso de casacin, y que no descarta ir a conciliaciones.
Explic que por ser una entidad del Estado, el banco consideraba estar sujeto a la Ley general de la Administracin pblica y
no a la Ley de proteccin y defensa efectiva del consumidor , pero que ser respetuoso de los fallos.
Sobre cmo se tratarn otros reclamos, dijo que el Banco no puede ignorar los precedentes que se emitan en estas
primeras sentencias.
El fallo ordena al BCR a reintegrarle a Arroyo $4.379 y 1,4 millones, ms los intereses y las costas procesales.
Yo dej mi plata en un banco, no en una alcanca. Tal vez no sea mucha plata, pero yo confo en el sistema judicial
costarricense y haba que sentar un precedente, coment la demandante.
Hasta ahora los bancos han rechazado los reclamos de sus clientes con base en la suposicin de que su sistema es muy
seguro y de que si hay un fraude de alguna manera es por culpa del usuario.
Carga invertida. No obstante, los jueces advirtieron que no se puede revertir la carga de la prueba y que es a los bancos a
quienes les corresponde probar que no son responsables del incidente.
El BCR no solo no pudo probar que la parte externa de su sistema hubiera sido suficientemente segura, sino que tampoco
pudo probar que su cliente fuera descuidada con las claves.
55
Por ello, el tribunal consider que los argumentos del banco caen por su propio peso y que aplica la responsabilidad
objetiva, segn la cual un proveedor es responsable si el consumidor resulta perjudicado en razn del bien o servicio,
independientemente de que tenga culpa o no.
Marielos Arroyo, duea de la empresa de alquiler y venta de vestidos Mussel, dijo que
acudi a los tribunales porque dej su dinero en un banco, no en una alcanca, y porque
haba que sentar un precedente. Jorge Castillo
56
Costa Rica, Mircoles 18 de junio de 2008
/EL PAS
NOVEDOSA DEMANDA COLECTIVA PRESENTADA POR ASOCIACIN DE CONSUMIDORES
70 vctimas de fraude por Internet demandan a

3 bancos
Usuarios perdieron 300 millones y piden pago de daos y perjuicios a bancos Bancos Nacional y
Popular rechazan alegatos; BCR estudia la demanda
Setenta vctimas de fraude por Internet demandaron a los bancos Nacional, de Costa Rica y Popular,
mediante la novedosa figura de la demanda por intereses colectivos.
Los perjudicados perdieron, entre todos, 300 millones que tenan depositados en esas entidades
bancarias, pues el dinero fue sustrado por terceros que ingresaron a sus cuentas.
Bandas organizadas utilizan diversos programas e instrumentos informticos para robar la informacin
de acceso a las cuentas de los usuarios. Los bancos han negado tener responsabilidad alguna en esos
hechos.
Los 70 afectados piden al Tribunal Contencioso Administrativo ordenarle a los bancos el reintegro del
dinero robado y el pago de daos y perjuicios.
En el pas se han denunciado ms de 500 casos de fraude por Internet, que ascienden a ms de 800
millones, segn el Organismo de Investigacin Judicial. Ayer no fue posible obtener los datos ms
recientes.
La demanda fue presentada por la Asociacin de Consumidores Libres (ACL), en representacin de las
vctimas.
Nueva normativa. La abogada de ACL, Adriana Rojas, explic que la demanda es posible gracias al
nuevo Cdigo Procesal Contencioso Administrativo.
Dicho cdigo da legitimacin procesal a quienes invocan la defensa de intereses difusos (que afectan a
todos los usuarios de la banca) o colectivos (en este caso las 70 vctimas del fraude).
Ayer, los bancos Nacional y Popular rechazaron tener cualquier tipo de responsabilidad por los fraudes.
El Banco de Costa Rica (BCR) no emitir una posicin al respecto mientras analiza la demanda.
Alegatos. ACL alega que los bancos violaron los derechos de los consumidores a la seguridad, a los
intereses econmicos y a la informacin.
Ello por cuanto comenzaron a ofrecer el servicio en lnea desde el 2004 y no fue sino hacia finales del
2007 que empezaron a advertir a los usuarios de los riesgos que corran con ese mecanismo.
Mientras, en el 2006 se reportaron prdidas por 52 millones, en el 2007 esa cifra ascendi a 700
millones.
A pesar del conocimiento de los ataques virtuales del ao 2006, las entidades bancarias continuaron
ocultando esta lamentable situacin a sus usuarios de servicios en lnea, vulnerando el derecho de
informacin a los consumidores, indica el documento de la demanda.
La campaa de informacin al pblico se inici a finales del 2007, y ACL considera que los bancos
incurrieron en publicidad engaosa.
57
Los mensajes publicitarios le decan al usuario Hacerlo seguro (el servicio en lnea) depende de
usted, sin hacer referencia a que la banca electrnica nunca va a ser 100% segura, sostiene ACL.
Derecho a la proteccin. Tambin se alega que se viol el derecho a la proteccin de datos, pues los
bancos invitaron a utilizar un sistema nuevo sin garantizar la proteccin de la informacin bancaria de
los clientes.
La Nacin public en febrero pasado que en Costa Rica, en ese momento, muchos bancos tenan solo
un mecanismo de verificacin de la identidad.
En Estados Unidos, desde el 2005, las cinco autoridades financieras calificaron tal prctica como
inadecuada, y actualmente no la permiten como nico medio de autenticacin.
La demanda pide al Tribunal ordenar a los bancos mejorar sus sistemas informticos y mantenerse al
da con los avances tecnolgicos en ese campo.
Los bancos de Costa Rica y Popular informaron que ya instalaron un paso adicional de verificacin de
identidad y que no se han vuelto a presentar fraudes.
Los demandantes estiman que es pertinente el pago de una indemnizacin porque los demandados
ofrecieron un servicio sin tener las medidas de seguridad idneas.
Al tolerar esas vulnerabilidades del sistema se incurri en una omisin que fue aprovechada por
terceros para robar el dinero, prosigue la demanda de ACL.
En ese sentido, se cita la responsabilidad objetiva prevista en la Ley de Promocin de la Competencia y
Defensa Efectiva del Consumidor. De acuerdo con el artculo 35, el productor, el proveedor y el
comerciante deben responder concurrente e independientemente de la existencia de culpa, si el
consumidor resulta perjudicado por razn del bien o el servicio.
Clusulas abusivas. Finalmente, se pide al Tribunal anular las clusulas abusivas de los
contratos, por ser un abuso del Derecho.
Estas son diferentes en cada banco, pero obligan al usuario a expresar conformidad con las medidas
de seguridad elegidas por la entidad y a aceptar la responsabilidad por las consecuencias.
Se exime al verdadero responsable por el uso fraudulento por parte de terceras personas del servicio
de Internet, que la entidad bancaria ofrece al pblico sin proteccin, seala la demanda.
Tales clusulas han servido a los bancos para rechazar los reclamos de las vctimas, alegando que los
fraudes ocurren porque el cliente ha hecho caso omiso a las advertencias del banco.
Esto pese a que en diversos casos se ha confirmado que los clientes nunca se registraron en lnea, o
no saban cmo utilizar computadoras y, menos an, Internet.
58
Mecanismos inseguros
La Nacin public en febrero pasado que muchos bancos en el pas utilizaban prcticas de banca en
lnea y proceso de los reclamos que en otros pases se consideran inaceptables.
Una prctica es que, al menos en ese entonces, los bancos permitan el acceso electrnico a las
cuentas bancarias con solo un mecanismo de verificacin de identidad. Esa prctica en Estados Unidos
se consider inadecuada desde el 2005 y actualmente no es permitida.
Sin embargo, en Costa Rica ninguna autoridad financiera considera que le corresponde supervisar las
prcticas en lnea de los bancos y ninguna ley o reglamento regula los aspectos de seguridad. Ello
permite a los bancos dar el servicio en los trminos que desee, sin rendir cuentas a nadie, y los
clientes no tienen dnde acudir, ms que la Corte.
En otros pases, los bancos deben reintegrar el dinero a las vctimas del fraude o probar que este
ocurri por culpa del usuario. Aqu, los bancos pueden rechazar los reclamos de los usuarios con solo
suponer que el fraude de alguna forma fue provocado por ellos mismos.
59
Costa Rica, Sbado 27 de diciembre de 2008
/EL PAS
SENTENCIAS ORDENAN REINTEGRAR DINERO A CLIENTES PERJUDICADOS
BN y BCR apelaron condenas por fraudes bancarios

por Internet
BN ha recibido seis condenas y BCR, dos; hay ms demandas en proceso
Ola de fraudes del 2007 se redujo con las nuevas medidas de seguridad
Los bancos Nacional (BN) y de Costa Rica (BCR) apelaron las sentencias que los condenaron a reintegrar el dinero a clientes
vctimas de fraudes bancarios por Internet, y descartaron la posibilidad de hacer conciliacin alguna.
Durante el segundo semestre de este ao, al menos ocho procesos judiciales terminaron en condenas contra ambas
entidades, y las responsabilizaron de las prdidas econmicas sufridas por sus clientes.
Se trat de las primeras sentencias relacionadas con la ola de fraudes electrnicos registrada en el pas entre el 2007 y el
2008, y en todos los casos la decisin de los jueces se bas en el principio de responsabilidad objetiva.
Responsabilidad. De acuerdo con este, un proveedor puede ser responsable si el consumidor resulta perjudicado en razn
de las caractersticas propias del bien o servicio dado, aunque no tenga la culpa.
En estos primeros juicios se determin que terceros se apropiaron de las claves bancarias de los clientes y transfirieron el
dinero a otras cuentas, de donde luego retiraron el efectivo.
Los jueces confirmaron que los sistemas de banca electrnica de esas instituciones no fueron suficientemente seguros.
Ambas entidades bancarias lanzaron sus plataformas electrnicas con solo un mecanismo de autenticacin de identidad,
pese a que desde el 2005 se conoca que ello era inadecuado e inseguro.
A lo largo del 2008, los dos bancos generalizaron el uso de ms mecanismos de autenticacin y sus representantes aseguran
que no se han presentado nuevos casos.
A casacin. Aunque en setiembre, tras conocer la primera condena, el BCR anunci que estaba analizando la posibilidad de
no apelar, este mes el gerente, Mario Rivera, inform de que ya se plantearon los recursos de casacin correspondientes a
las dos sentencias recibidas.
El Banco de Costa Rica ha continuado con el trmite de los procesos (judiciales) y en ningn caso se ha iniciado o planeado
iniciar una conciliacin, coment.
El BN, que ha sido condenado en seis ocasiones, tambin acudi a casacin.
El Banco Nacional decidi recurrir en todos los casos a casacin. En estos momentos se han presentado seis condenas en
primera instancia. Cuatro ya tienen casacin presentada y dos se encuentran en perodo de elaboracin, inform la
Direccin Jurdica.
Esa entidad considera que el pago o la conciliacin sern procedentes solo cuando existan dos sentencias condenatorias
contra el banco, ratificadas en casacin.
El problema de la conciliacin radica en que somos una institucin pblica, y no es prudente pagar dinero (fondos pblicos)
sin que exista una clara certeza de que el Banco Nacional debe hacerse responsable y pagar dichos montos. Mientras el
asunto no sea fallado en definitiva por las mximas instancias judiciales del pas, el Banco no debe proceder a su pago,
indic la Direccin Jurdica.
Las primeras demandas presentadas por fraudes electrnicos se resolvieron en cuestin de meses debido a que el nuevo
Cdigo Procesal Contencioso Administrativo agiliza los procesos. Est por verse si la misma agilidad se dar con los casos
que vayan a casacin.
En total se denunciaron ms de 600 casos de fraude electrnico en todo el pas y varias demandas se encuentran en
proceso. Una de ellas aglutina ms de 120 casos, puede incorporar a ms personas y tiene demandados al BCR, BN y Banco
Popular.
Ms seguridad. Actualmente, la banca en lnea del pas opera de forma un poco ms segura. La mayora de los bancos
verifica la identidad de los clientes con ms de un mecanismo antes de permitir el acceso a las cuentas.
Aunque ningn sistema en lnea es 100% seguro, hoy los usuarios tienen ms informacin para protegerse de los
mecanismos ms comunes de robo de claves secretas, como key loggers (programas que se instalan en la computadora sin
60
que el usuario lo sepa y registran todo lo que este teclea) y phishing (envo de correos electrnicos que parecen venir del
banco y solicitan informacin personal).
Adems, con el uso de segundos mecanismos de autenticacin las claves ya no son suficientes para tener acceso a las
cuentas, pues tambin se requiere un cdigo diferente cada vez que se hace la conexin. El delincuente tendra que robar
fsicamente el dispositivo que contiene tales cdigos.
Por su parte, el Organismo de Investigacin Judicial ha desarticulado varias bandas dedicadas a cometer este tipo de delito.
61

Seguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Seguridad

Cargado por

Copyright:

Formatos disponibles

Universidad Tecnolgica

Profesor: Lic. Eithel Corea

Csar Obando Soto

Oscar Soto Alvarado

22 de Octubre del 2011

Los Virus Informticos-----------------------------------------------------------------15

Los Caballos de Troya o Troyanos--------------------------------------------------17

Medidas de seguridad para la banca por internet---------------------------------------21

Protocolo SSL (Secured Socket Layer)--------------------------------------------26

Sistemas de Deteccin/Prevencin de Intrusos (IDS/IPS)-------------------27

Firewall (Cortafuegos/ Muros de Fuego)------------------------------------------28

Firma digital y certificado digital---------------------------------------------------31

Medidas de seguridad actualmente----------------------------------------------------------35

El avance de la ciencia y la tcnica han facilitado las labores

buscando mostrar un poco este

mundo, as como la legislacin que se aplica en el pas, ampliando con

Definir el trmino seguridad, su importancia y tipos.

Mostrar algunos dispositivos

y aplicaciones utilizadas por las

empresas en materia de Seguridad Informtica

Revisar la informacin sobre las polticas de Seguridad Informtica

Ejemplarizar algunos casos en los cuales el uso eficiente de los

y no autorizados puedan acceder a ella

2. Infraestructura Computacional (Contingencia)

La funcin de la Seguridad Informtica en esta rea es velar que los

procedimientos que minimicen el riesgo informacin o infraestructura

restricciones a ciertos lugares, autorizaciones, denegaciones, perfiles de

Aspectos importantes sobre la Seguridad Informtica

No existe un nico significado que se le pueda al trmino de

Se entiende por Confidencialidad el servicio de seguridad, o

A su vez se le denominada secreto o privacidad, capacidad del

confidencialidad de los datos son, por ejemplo:

El uso de tcnicas de control de acceso a los sistemas.

El cifrado de la informacin confidencial o de las comunicaciones.

El concepto de Integridad es donde el sistema no debe modificar o

exactamente los que fueron enviados o almacenados, sin que se haya

De hecho el problema de la integridad no slo se refiere a

El grado en que un dato est en el lugar, momento y forma en que

La situacin que se produce cuando se puede acceder a un SSI

Un sistema seguro debe mantener la informacin disponible para los

of service). Una denegacin de servicio significa que los usuarios no

El ordenador puede estar estropeado o haber una cada del

No hay suficiente memoria para ejecutar los programas.

Los discos, cintas o impresoras no estn disponibles o estn llenos.

No se puede acceder a la informacin.

Que son Amenazas?

Las Amenazas Informticas son todos las posibles amenazas que

Los usuarios conocen la red y saben cmo es su funcionamiento.

Tienen algn nivel de acceso a la red por las mismas necesidades

Los IPS y Firewalls son mecanismos no efectivos en amenazas

Porque no existe conocimiento relacionado con la planeacin de un

Algunos de los delitos informticos de banca por

Dentro de los delitos que ms han afectado a los usuarios de

En trminos generales se puede considerar que la ingeniera social

Para finalizar con la amplia definicin de Phishing se tom la que

datos, ingreso a las cuentas, o con cancelacin de cuentas, un mensaje

por ello que se ha desarrollado como el siguiente paso para defraudar a

configuracin de su equipo, puede instalar lo que sea y entonces lo

4. Los Virus Informticos

Los virus se encargan de destruir informacin que se tiene

evaluaciones internacionales, con el fin de eliminar y prevenir cualquier

Los sistemas de antivirus son programas especialmente diseados

aceptar cualquier tipo de invitacin para abrir y descargar en el equipo

6. Los Caballos de Troya o Troyanos