E-commerce & e-business

El mundo de los negocios electrnicos

Cifrados, certificados
Proteccin de redes, servidores
y clientes

Soluciones de Tecnologa
Las amenazas ms comunes:
Proteger las comunicaciones de Internet (cifrado o
encriptacin)
Asegurar los canales de comunicacin (SSL, S-HTTP,
VPNs)
Proteger a las redes (firewalls)
Proteger Servidores y Clientes.

Protegiendo las comunicaciones de

Internet: cifrado

Cifrado: Es el proceso de transformar texto simple o

datos en un texto cifrado que no puede ser ledo por
nadie ms que por el emisor y el receptor

Propsito: asegurar la informacin guardada y la

transmisin de informacin

Un buen sistema de cifrado pone toda la seguridad en la

clave y ninguna en el algoritmo

Protegiendo las comunicaciones de

Internet: cifrado
Debe llegar a proveer:
Integridad del mensaje El mensaje no ha sido alterado
No repudiacin Evita que el usuario niegue que envi el
mensaje
Autenticidad Verificacin de la identidad de quin enva
el mensaje
Confidencialidad El mensaje no fue ledo por otros

Cifrado de clave simtrica

Tambin conocido como la encriptacin o cifrado de clave

secreta o de una clave
Tanto el receptor como el emisor usan la misma clave digital
para cifrar y decifrar el mensaje.
Requiere un grupo diferente de claves para cada transaccin.
Data Encryption Standard (DES): Es el cifrado de clave
simtrica ms usado; utiliza una clave de cifrado de 56 bits; 2
elevado a 56 claves posibles (72.057.594.037.927.936 claves)
Otros tipos usan claves de 128 bits hasta 2048 bits.
Triple DES Uso comn en la banca

Cifrado de clave pblica o de dos claves

El cifrado de clave pblica soluciona el problema de la clave

simtrica de tener que intercambiar una clave secreta.
Utiliza dos claves digitales matemticamente relacionadas La
clave pblica, ampliamente diseminada, y la clave privada (que
se mantiene secreta por su dueo)
Ambas llaves se usan para cifrar y decifrar el mensaje
Una vez que la clave ha sido usada para encriptar el mensaje, la
misma clave no puede ser usada para decifrar el mensaje.
Por ejemplo: el emisor usa la clave pblica del receptor para
cifrar un mensaje; el receptor usa su llave privada para
decifrarlo. Si el receptor lo cifra con la clave privada,
cualquiera puede descifrarlo utilizando su clave pblica

Cifrado de clave pblica o de dos claves

Una analoga con el cifrado de clave pblica es la de un

buzn con una ranura de correo. La ranura de correo
est expuesta y accesible al pblico; su ubicacin (la
direccin de la calle) es, en esencia, la clave pblica.
Alguien que conozca la direccin de la calle puede ir a la
puerta y colocar un mensaje escrito a travs de la ranura;
sin embargo, slo la persona que posee la clave puede
abrir el buzn de correo y leer el mensaje.
Una analoga para firmas digitales es el sellado de un
sobre con un sello personal. El mensaje puede ser abierto
por cualquier persona, pero la presencia del sello
autentifica al remitente.

Ejemplo cifrado clave pblica

Cifrado de clave pblica por medio de

firma digital y resmenes de mensaje

Aplicaciones de la funcin hash (es un algoritmo

matemtico que produce un resumen del mensaje) por el
emisor antes del cifrado produce un resumen que el
receptor puede usar para verificar la integridad de la
informacin.
Doble cifrado con la clave privada del emisor (firma
digital) asegura la autenticidad y la no repudiacin.

Ejemplo cifrado clave pblica con

resumen de mensaje y firma digital

Sobre digital cifrado hbrido

Se encarga de las debilidades del cifrado con clave pblica

y de las debilidades del cifrado con clave simtrica.
Utiliza cifrado de clave simtrica para encriptar el
documento pero un cifrado de clave pblica para cifrar y
enviar la clave simtrica.

Sobre digital - ejemplo

Certificados digitales
Un certificado digital es un documento que incluye:
Nombre del sujeto o compaa
Clave pblica del sujeto
Nmero serial del certificado digital
Fecha de expiracin
Fecha de emisin
Firma digital de una Autoridad de Certificacin AC (en
ingls, Certification Authority, CA, es una institucin
externa de confianza que emite el certificado)
Otra informacin de identificacin.

Infraestructura de clave pblica (Public

Key Infrastructure PKI)

Infraestructura de clave pblica (Public Key Infrastructure

PKI): se refiere a las Autoridades de Certificacin y los
procedimientos de certificacin digital que son aceptadas
por todas las partes.

Certificados digitales y Autoridades de

Certificacin

Lmites a soluciones de cifrado

PKI se aplica principalmente para proteger mensajes en

trnsito
PKI no es efectivo contra gente que trabaja de adentro
La proteccin de claves privadas por individuos puede
tener riesgos
No hay garanta que la computadora de verificacin del
comercio es segura.
Los ACs no son regulados, son independientes

Asegurando los canales de

comunicacin

SSL (Secure Sockets Layer): Es la forma ms comn de

asegurar los canales de comunicacin; es usada para
establecer una sesin segura negociada (sesin cliente
servidor en la que el URL del documento y su contenido
est cifrado.
S-HTTP: Es un mtodo alternativo, que provee un
protocolo seguro de comunicaciones orientado a
mensajes a ser usado en conjunto con HTTP.
Red Privada Virtual (Virtual Private Networks VPNs):
Permite que los usuarios remotos puedan entrar con
seguridad en redes internas a travs del Internet, usando
el protocolo Point-to-Point Tunneling Protocol (PPTP)

Asegurando los canales de

comunicacin

Protegiendo las redes: Firewalls y

Servidores Proxy

Firewall: Hardware o Software filtra paquetes de

comunicacin y evita que algunos paquetes entren a la
red, basados en una poltica de seguridad.
Proxy servers: Servidores de Software que manejan todas
las comunicaciones que se originan desde o son enviadas
al Internet.

Protegiendo las redes: Firewalls y

Servidores Proxy

Protegiendo Servidores y Clientes

Controles del sistema operativo: autenticacin y

mecanismos de control de acceso (contrasea de entrada,
bloqueos, etc)
Software antivirus: lo ms fcil y menos caro para
prevenir amenazas a la integridad de los sistemas.

Un plan de seguridad: Polticas de

manejo
Pasos para desarrollar un plan de seguridad:
Realizar una valoracin del riesgo y puntos de
vulnerabilidad
Desarrollar una poltica de seguridad: un grupo de reglas
priorizando los riesgos de informacin, identificando
objetivos de riesgo aceptables e identificar mecanismos
para conseguirlo
Desarrollar un plan de implementacin: Pasos que se
necesitan para conseguir las metas del plan de seguridad

Un plan de seguridad: Polticas de

manejo
Pasos para desarrollar un plan de seguridad:
Crear una organizacin de seguridad: a cargo de la
seguridad, educa y entrena a los usuarios, alerta
problemas, administra accesos, procedimientos de
autenticacin y polticas de autorizacin.
Realizar una auditora de seguridad: Revisin de las
prcticas y procedimientos de seguridad

Deber
Describir, para cada una, los pasos necesarios para
usar/cmo funciona Secure Code de Mastercard y Verified
by Visa
Recursos:
http://www.visanet.com.pe/verified/demovisanetweb/madre.html
http://www.visa.com.ar/socios_seguridad-proteccion.aspx
http://www.mastercard.com/us/personal/es/servicios/codi
godeseguridad/demostracion.html
Google