E-commerce & e-business

El mundo de los negocios electrnicos

Qu es una buena seguridad

en el comercio electrnico?
Dimensiones de la seguridad
Amenazas de seguridad en el
entorno de comercio
electrnico

La tienda en lnea paga

Por qu no son aplicables los procedimientos de

seguridad fsicos de las tarjetas de crdito en un ambiente
en lnea?
Qu nuevas tcnicas estn disponibles para las tiendas
que reduciran fraudes por tarjeta de crdito?
Por qu debera la tienda asumir el riesgo de compras en
lnea? Por qu no los bancos?
Qu otros pasos estn tomando las tiendas para reducir
fraudes en sus sitios web?
Por qu no quieren las tiendas aadir medidas
adicionales de seguridad?

El alcance del problema

Ataques DoS, DDoS

Troyanos
Suplantacin de identidad o phishing
Robo de datos / identidad
Fraude con tarjetas de crdito
Spyware.
Fraude en subastas
Fraude de productos no entregados

Difcil estimar la cantidad de delitos real.

El mercado de la economa subterrnea

Qu es una buena seguridad en el

comercio electrnico?

Al hacer una transaccin, hay riesgo de perder privacidad.

Como consumidor, el riesgo es no obtener aquello por lo
que he pagado
Como tienda, no recibir el pago por lo vendido.
Se requieren leyes y estndares industriales para hacer
cumplir los mecanismos de pago.
La seguridad no es absoluta.
El candado a menudo es ms fuerte que las llaves

El entorno de seguridad en el comercio

electrnico

Es multinivel
Debe tomar en cuenta: la nueva tecnologa, polticas, procedimientos, leyes
y estndares industriales.

Datos

Soluciones de
tecnologa
Polticas y procedimientos
organizacionales
Leyes y estndares industriales

Dimensiones de la seguridad en el ECommerce

Integridad: capacidad de asegurar que la informacin que

se muestra en un sitio Web, o que se transmite o recibe a
travs de Internet, no haya sido alterada de ninguna
manera por una parte no autorizada.
No repudiacin: capacidad de asegurar que los
participantes del e-commerce no desconozcan o
rechacen sus acciones en lnea
Autenticidad: capacidad de identificar la identidad de una
persona o entidad con la que se est tratando en Internet.

Dimensiones de la seguridad en el ECommerce

Confidencialidad: capacidad de asegurar que los mensajes

y los datos estn disponibles solo para quienes estn
autorizados para verlos.
Privacidad: habilidad de controlar el uso de la informacin
que proporciona un cliente sobre s mismo a un
comerciante en lnea.
Disponibilidad: capacidad de asegurar que un sitio de
comercio electrnico siga funcionando como se espera

Perspectivas cliente y comerciante sobre

dimensiones de la seguridad

Ejemplo no repudiacin

Tensin entre seguridad y otros valores

Seguridad versus la facilidad de uso: mientras ms medidas

de seguridad se tomen, ms difcil es usar un sitio, y
mientras ms difcil de usar es ms lento se hace.
Seguridad vs el deseo de las personas de actuar
annimamente.

Organizaciones criminales tambin lo hacen

Al-Qaeda.
NSA??
http://es.wikipedia.org/wiki/PRISM

Amenazas de seguridad en el
entorno de comercio
electrnico

Amenazas de seguridad
Las amenazas ms comunes:
Ataques DoS, DDoS
Troyanos
Suplantacin de identidad o phishing
Robo de datos / identidad
Fraude con tarjetas de crdito
Spyware.
Fraude en subastas
Fraude de productos no entregados
Difcil estimar la cantidad de delitos real.

Amenazas de seguridad
Existen tres puntos de vulnerabilidad:
Cliente
Servidor
Canal de comunicaciones

Una transaccin normal de E-commerce

Puntos vulnerables en una transaccin

de e-commerce

Al hacer una transaccin, hay riesgo de perder privacidad.

Como consumidor, el riesgo es no obtener aquello por lo
que he pagado
Como tienda, no recibir el pago por lo vendido.
Se requieren leyes y estndares industriales para hacer
cumplir los mecanismos de pago.
La seguridad no es absoluta.
El candado a menudo es ms fuerte que las llaves

Puntos vulnerables en una transaccin

de e-commerce

Cdigo Malicioso

Virus: programa de computadora que tiene la habilidad

de duplicarse replicar y esparcirse a otros archivos; la
mayora tienen un carga til de algn tipo (que puede
ser destructivo o benigno).

Macro Virus especficos de aplicaciones, por ejemplo de

Word, Excel.
Virus que infectan archivos ejecutables (archivos que
terminan en .exe, .dll, .com, .drv. Al ejecutar un programa se
replican
Virus de secuencia de comandos (script), con extensiones
.vbs o .js

En el mejor de los casos, muestran una imagen en el

peor, sobreescriben informacin, el disco duro

Cdigo Malicioso

Gusanos: diseados para esparcirse de computadora a

computadora.

Diferencia con el virus, que se expande de archivo a archivo.;

no necesariamente necesita ser ejecutado para duplicarse.
Gusano Slammer infect en 10 minutos el 90% de
computadoras en el mundo.

Caballo troyano: parece ser benigno , pero hace algo

diferente a lo esperado.

No se duplican, pero es una puerta abierta para que se

introduzcan virus y otros ejemplos de cdigos maliciosos

Cdigo Malicioso

Bots: se instalan calladamente en las computadoras, y

responden a comandos externos enviados por el
atacante.
Red de Bots, conjunto de computadoras atacadas.

Cdigo Malicioso

Phishing

Es cualquier intento de un tercero de obtener

informacin confidencial, generalmente con el fin de
obtener dinero
El tipo ms popular es por correo electrnico.
La forma ms rpida de crecimiento del crimen en
comercio electrnico.
Ojo: no solo bancos, sino todo lugar que requiera
contrasea.

Facebook,Yahoo, Hotmail.
Blackberry, Whats up.

Phishing

Phishing

Phishing

Phishing

Hackeo y Cibervandalismo

Hacker: es una persona que intenta ganar acceso no

autorizado a sistemas de computacin.
Cibervandalismo: Trastorno, desfiguracin, o destruccin
de un sitio de manera intencional.
Algunos tipos de hackers:

Sombrero blanco Hacker bueno que ayuda a la organizacin a

identificar fallas de seguridad
Sombrero negro Hacker que acta con la intencin de hacer
dao
Sombrero gris. Hacker que piensa que est haciendo bien al
irrumpir en un sistema para revelar sus fallas.

Hackeo y Cibervandalismo

Fraude de tarjeta de crdito

Sigue siendo un problema grande, el miedo que se roben

informacin de la tarjeta de crdito frena las
transacciones en lnea.
Los hackers buscan los archivos con informacin de las
tarjetas de crdito en los servidores de los comercios.
Usan informacin falsa para crear una identidad y usar el
crdito.
Nuevos mecanismos para verificar la identidad.

Pharming Sitios Web de falsificacin

Es un ataque que permite a un atacante redirigir un

nombre de dominio (domain name) a otra mquina
distinta. De esta forma, un usuario que introduzca un
determinado nombre de dominio que haya sido redirigido,
acceder en su explorador de internet a la pgina web
que el atacante haya especificado para ese nombre de
dominio.
Amenaza la integridad del sitio; la autenticidad.

Pharming Sitios Web de falsificacin

DoS y dDOS

Ataque de denegacin de servicio: los hackers inundan un sitio web con

trfico basura para inundar y saturar la red.
Ataque distribuido de denegacin de servicio: Los hackers utilizan numerosas
computadoras para atacar redes desde mltiples sitios.

Otras amenazas

Sniffing o husmeo: es un tipo de programa que escucha

sin autorizacin y captura la informacin que viaja por
una red; permite a los hackers robar informacin de
cualquier lugar en la red.
Trabajos en el interior: Es la amenaza financiera ms
grande.
Software cliente y servidor pobremente diseado. El
incremento en la complejidad del software ha contribuido
a ms vulnerabilidades que pueden explotar los hackers.

Soluciones

Proteger las comunicaciones por Internet (encriptacin).

Asegurar los canales de comunicacin (SSL, S-HTTP,
VPNs)
Proteger las redes (firewalls)
Proteger los servidores y clientes.