Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Seguridad en El Comercio Electronico PDF
Seguridad en El Comercio Electronico PDF
TEMA:
SEGURIDAD EN EL COMERCIO ELECTRÓNICO
ESTUDIANTES:
FECHA: 29 – 08 – 17
1
Índice:
I. INTRODUCCIÓN .......................................................................................................3
II. SEGURIDAD EN EL COMERCIO ELECTRÓNICO. ................................................4
III. LOS RIESGOS Y LA SEGURIDAD ......................................................................5
1. ¿A qué riesgos está expuesto al conectarse a la red Internet? .........................5
2. Los Atacantes ...........................................................................................................8
2.1. Atacantes internos ...............................................................................................8
2.2. Atacantes externos ............................................................................................ 10
3. Las formas de ataque ............................................................................................ 12
3.1. Los virus .............................................................................................................. 12
3.2. Gusanos .............................................................................................................. 12
3.3. Caballo de Troya ................................................................................................. 13
3.4. Bombas de Relojería .......................................................................................... 14
3.5. Introducción de datos falsos ............................................................................ 14
3.6. Técnica de Salami .............................................................................................. 14
4. Las vías de ataque ................................................................................................. 14
4.1. Software bugs ..................................................................................................... 14
4.2. Privilegios............................................................................................................ 15
4.3. Instalacion del Sistema Operativo ................................................................... 16
4.4. Managament Remoto ......................................................................................... 16
4.5. Transmisiones .................................................................................................... 16
4.6. Cookies ................................................................................................................ 16
5. Los daños................................................................................................................ 17
5.1. Interrupción ......................................................................................................... 17
5.2. Interceptación ..................................................................................................... 17
5.3. Modificación ........................................................................................................ 17
5.4. Fabricación.......................................................................................................... 17
6. La importancia de la seguridad y la confianza ................................................... 18
6.1. La confianza ........................................................................................................ 18
6.2. Confianza On Line .............................................................................................. 20
6.3. La Seguridad ....................................................................................................... 22
6.3.1. Seguridad en la empresa ............................................................................... 22
6.3.2. Mecanismo de Seguridad .............................................................................. 25
6.3.3. Tipos de Seguridad ........................................................................................ 26
6.4. ¿Cómo acceder a una página web segura? .................................................... 29
6.5. Transacción segura............................................................................................ 30
6.6. Seguridad Jurídica de Tipo Penal: Delito Informático ................................... 30
7. Conclusiones .......................................................................................................... 33
8. Webgrafía ................................................................................................................ 34
9. Bibliografía .............................................................................................................. 34
2
I. INTRODUCCIÓN
La seguridad busca desde el punto de vista de los usuarios, generar un
ambiente de confianza tanto en los consumidores como en las empresas el
cual permitirá que se desarrolle el comercio electrónico. Ya que el Internet
es una red muy amplia y abierta genera mucha inseguridad en los usuarios
porque pueden estar expuestos ante el mundo cibernético, es por ello que
es de suma importancia la necesidad de generar confianza y que coincidan
todas las asociaciones empresariales que al usar el comercio electrónico van
a generar mayor ganancia y estarán seguros.
3
II. SEGURIDAD EN EL COMERCIO ELECTRÓNICO.
4
III. LOS RIESGOS Y LA SEGURIDAD
Cuando nos referimos a los riesgos, lo primero que se nos viene a la mente
es la eventualidad de ocurrencia de un evento y sus consecuencias
negativas. Los factores que lo componen son la amenaza y la vulnerabilidad.
c. Scam. Los Scam son engaños o estafas, que se llevan a cabo a través de
Internet. Se realizan de diversas formas como, por ejemplo, a través de
correos no solicitados (spam), así como también a través de técnicas de
Ingeniería Social. Estas últimas, intentan convencer al usuario de la
prestación de un servicio cuando en realidad sólo quieren acceder a
5
información confidencial. Un ejemplo son los mensajes falsos solicitando
nuestra contraseña y clave de redes sociales a través de Internet.
d. Ciberacoso. Es una conducta hostil que puede ser practicada hacia los
niños. La víctima de este tipo de acosos, es sometida a amenazas y
humillaciones de parte de sus pares en la web, cuyas intenciones son
atormentar a la persona y llevarla a un quiebre emocional. Estas prácticas
pueden ser realizadas a través de Internet, así como también, teléfonos
celulares y videoconsolas. También denominado en inglés, cyberbullying, no
siempre son realizadas por adultos, sino también son frecuentes entre
adolescentes.
g. Robo de información. Toda la información que viaja por la web, sin las
medidas de precaución necesarias, corre el riesgo de ser interceptada por
un tercero. De igual modo, existen también ataques con esta finalidad. La
información buscada, normalmente apunta a los datos personales. Un paso
en falso ante este tipo de incidentes, puede exponer al menor de edad a la
pérdida de dinero familiar o al robo de identidad.
6
➢ Riesgos en el comercio electrónico
Para repeler un ataque hay que conocer al enemigo, razón por la cual,
resulta de vital importancia introducir los riesgos a que está expuesto el
comercio electrónico y, presentar así los mecanismos que los
contrarresten.
Cuando Usted se conecta a través del Network a Internet, se están
corriendo varios riesgos, entre los cuales pueden mencionarse los
siguientes:
7
✓ Las infiltraciones: se dirigen al interior de los sistemas
operativos, el modus operandi consiste en descifrar las
contraseñas de los usuarios para acceder al escritorio del
computador, donde se podrá acceder a cualquier sistema
operativo e inclusive a los demás equipos que se encuentren
conectados a través de red interna, que en la gran mayoría se
divide por áreas. En este aspecto, es importante que las claves
que utilice no sean: nombre, apellido, dirección, teléfono, fecha
cumpleaños etc., lo cual genera una exposición mayor del
sistema.
✓ El código maligno: abarca los virus y los gusanos.
2. Los Atacantes
8
¿Cómo prevenir o defendernos de los atacantes internos?
En una empresa, una norma básica sería verificar el curriculum de
cualquier aspirante a nuevo miembro (no simplemente leerlo y darlo por
bueno, sino comprobar los datos y directamente descartar al aspirante si
se detecta una mentira); si buscamos algo más de seguridad, por
ejemplo, también es recomendable investigar el pasado de cada
aspirante a pertenecer a la organización, buscando sobre todo espacios
en blanco durante los que no se sabe muy bien qué ha hecho o a qué se
ha dedicado esa persona (quién nos asegura que ese paréntesis de tres
años durante los que el aspirante asegura que estuvo trabajando para
una empresa extranjera no los pasó realmente en la cárcel por delitos
informáticos). Si siguiendo ejemplos como estos podemos asegurar la
integridad de todos los que entran a formar parte del equipo, habremos
dado un importante paso en la prevención de ataques internos.
9
pueda seguir operando los sistemas mientras una nueva persona
sustituye a su compañero.
➢ Rotación de funciones
Quizás la mayor amenaza al conocimiento parcial es la potencial
complicidad que los dos responsables de cierta tarea puedan llegar a
establecer, de forma que entre los dos sean capaces de ocultar las
violaciones de seguridad que nuestros sistemas puedan sufrir; incluso
puede suceder lo contrario, que ambas personas sean enemigos y esto
repercuta en el buen funcionamiento de la política de seguridad
establecida. Para evitar ambos problemas, una norma común es rotar -
siempre dentro de unos límites a las personas a lo largo de diferentes
responsabilidades, de forma que a la larga todos puedan vigilar a todos;
esto también es muy útil en caso de que alguno de los responsables
abandone la organización, ya que en este caso sus tareas serán
cubiertas más rápidamente.
➢ Separación de funciones
No es en absoluto recomendable que una sola persona (o dos, si
establecemos un control dual) posea o posean demasiada información
sobre la seguridad de la organización; es necesario que se definan y
separen correctamente las funciones de cada persona, de forma que
alguien cuya tarea es velar por la seguridad de un sistema no posea él
mismo la capacidad para violar dicha seguridad sin que nadie se percate
de ello.
10
➢ Los hackers: su denominación es inglesa y su nombre se
generalizó a nivel mundial, la intención de estos personajes es
demostrar su habilidad ingresando a sistemas y programas de
forma ilegal, alterándolos y dañándolos. Técnicamente están muy
bien dotados y no siempre su intención es demostrar su habilidad,
pueden estar detrás de información confidencial o buscando
beneficios económicos ilícitos. Ubicarlos es una tarea bastante
difícil y por lo general buscan sistemas operativos can falencias de
seguridad.
11
3. Las formas de ataque
Las formas de ataque, pueden definirse como los instrumentos de ataque que
penetran en los sistemas alterándolos, modificándolos, o borrándolos; en
términos más comunes, “infectándolos”. Entre las formas de ataque más
importantes pueden mencionarse:
3.2. Gusanos
Un gusano informático (también llamado IWorm por su apócope en
inglés, "I" de Internet, Worm de gusano) es un malware que tiene la
propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes
automáticas de un sistema operativo que generalmente son invisibles al
usuario. A diferencia de los virus, los gusanos no infectan archivos.
12
¿Qué hacen los Gusano Informáticos?
13
3.4. Bombas de Relojería
Son muy parecidos a los caballos de Troya, pero su forma de ataque está
regulada en el tiempo, de manera que se activan en el momento preciso
en el cual pueden causar un mayor daño.
14
Estos se introducen en el software, permitiendo al intruso atacar la
estructura o columna vertebral de los ordenadores de los Network. Esta
es la vía común de los hackers y de los vándalos. Esta vía de ataque,
pone en evidencia las deficiencias de seguridad de los softwares. Cada
deficiencia es potencialmente una vía de acceso.
4.2. Privilegios
La gran mayoría de los sistemas operativos de computación, utilizan un
sistema de seguridad denominado privilegios, el cual consiste en proveer
al usuario una identificación, generalmente una clave, que le permite ser
identificado.
Este sistema es muy vulnerable y al ser conocido por los atacantes, estos
pueden hacerse pasar por el usuario dueño del privilegio y afectar tanto
la legalidad de la comunicación como las transacciones efectuadas. En
la actualidad se utiliza el correo electrónico como medio para obtener
contraseñas y nombres de usuarios, los pescadores, como se les conoce,
envían un mensaje de una entidad oficial ofreciendo promociones o
enviando información importante, con el fin que el usuario proporcione su
user name y su password.
15
4.3. Instalacion del Sistema Operativo
La gran expansión del mercado de computadores, ha generado la
necesidad de un mercado de fácil acceso, tanto en el acceso como en la
manipulación. Esta accesibilidad hace que los sistemas operativos sean
vulnerables.
4.6. Cookies
Cookie (informática) Una cookie, galleta o galleta informática es una
pequeña información enviada por un sitio web y almacenada en el
navegador del usuario, de manera que el sitio web puede consultar la
actividad previa del usuario.
16
5. Los daños
Las formas de ataque pueden producir significativos daños, que pueden
enmarcarse como lo dice el Dr. Font (Seguridad y Certificación en el Comercio Electrónico. 2002
pág. 27 y 28) en cuatro clases genéricas:
5.1. Interrupción
Una vez se ha producido el ataque uno de los inconvenientes y
consecuencias que se produce es la interrupción de los programas, lo
cual puede reflejarse en la denegación del acceso al mismo, la lentitud
del sistema, procesamiento errado de las ordenes, bloqueo del sistema.
5.2. Interceptación
Esta se produce cuando el atacante accede sin autorización al Network
y obtiene información confidencial y privilegiada. En la mayoría de los
casos el acceso se produce en información que está siendo transmitida.
5.3. Modificación
Está ligada a la interceptación en la medida en que cuando se produce
la interceptación en la mayoría de los casos se produce la modificación
de la información que ha sido interceptada. En este caso la interceptación
tiene como único fin la modificación de la información.
5.4. Fabricación
Consiste en la introducción de nuevos elementos que son dañinos y
afectan el network.
17
6. La importancia de la seguridad y la confianza
La seguridad puede enfocarse desde varios escenarios. El jurídico, entendido
como la cualidad del ordenamiento jurídico, que envuelve, entre otras, tanto la
certeza de sus normas como la no ambigüedad de sus significados y,
consecuentemente, la fácil aplicación.
El social, que implica dos ámbitos: público o privado; en el primero interviene la
organización estatal, que dedica sus esfuerzos a evitar la violencia, el terrorismo,
a atender necesidades económicas y sanitarias con miras a mejorar la calidad
de vida de sus asociados y proveer un orden social revestido de legitimidad.
El segundo se divide en el empresarial o de las personas jurídicas y, el familiar
y de las personas naturales.
El primero dedica sus esfuerzos en dispositivos de seguridad (empresas de
vigilancia, cámaras de seguridad, puertas de acceso restringidas, capacitación
en prevención de riesgos catastróficos de carácter natural, seguridad
computacional: claves, cortafuegos, restricciones etc.).
El segundo, consiste en la implementación de mecanismos domésticos con
apoyo estatal, para evitar daños a los miembros del grupo familiar y sus bienes
(cerraduras de seguridad, cinturón de seguridad, rutas alternas con el fin de
evitar persecuciones; a nivel computacional, anti virus, claves etc.).
6.1. La confianza
La confianza es el elemento esencial de toda relación jurídico –
comercial, ha jugado un papel fundamental en la historia mercantil,
política, militar y espiritual de la humanidad.
El término confianza se refiere a la opinión favorable en la que una
persona o grupo es capaz de actuar de forma correcta en una
determinada situación. La confianza es la seguridad que alguien tiene en
otra persona o en algo. Es una cualidad propia de los seres vivos,
especialmente los seres humanos, ya que, aunque los animales la
posean, estos lo hacen de forma instintiva, al contrario que los humanos,
que confían conscientemente. Al ser algo que se hace consciente y
voluntariamente, supone trabajo y esfuerzo conseguirla. A pesar de que
sea costoso llegar a ella, se caracteriza por ser una emoción positiva.
18
Según Laurence Cornu, doctora en filosofía: “la confianza es una
hipótesis sobre la conducta futura del otro. Es una actitud que concierne
el futuro, en la medida en que este futuro depende de la acción de otro.
Es una especie de apuesta que consiste en no inquietarse del no-control
del otro y del tiempo”.
1. No sabe / no responde: 9%
2. Sí: 3%
3. No: 88%
19
6.2. Confianza On Line
En España existe un sistema de autorregulación de ámbito nacional
llamado Confianza On Line el cual está bajo una forma jurídica de
asociación sin ánimo de lucro. Los promotores de este sistema son la
Asociación para la Autorregulación de la Comunicación Comercial y la
Asociación Española de la Economía Digital, que son los socios
preferentes de Confianza Online.
20
❖ Fiabilidad: La fiabilidad consiste en un sistema operativo
ágil y confiable.
❖ Escalabilidad: Consiste en la posibilidad de ampliar el
sistema operativo por razones de saturación, agregando
más procesadores para fortalecer el sistema.
❖ Interoperatividad: Consiste en la posibilidad de
vinculación con otros sistemas operativos para
comunicarse con otras computadoras e intercambiar
información.
❖ Seguridad: El aspecto más importante para el comercio
electrónico es la seguridad, sistemas confiables harán del
sistema operativo (hardware y software) un sistema que
garantizará credibilidad.
21
6.3. La Seguridad
La seguridad informática tiene diferentes campos de acción: claves de
acceso para acceder a los diferentes softwares del sistema operativo,
mecanismos de seguridad para el intercambio de información a través de
las diferentes redes de comunicación, acceso restringido a la información
de bases de datos etc. Ahora bien, la movilidad es uno de los aspectos
de más relevancia y utilidad en cuento a redes se refiere. Sin embargo,
dicha movilidad representa un riesgo significativo en la medida que
implica la posibilidad de ser interceptada y utilizada de modo fraudulento.
Es importante resaltar que existe la intención por parte de los agentes del
comercio electrónico, en desarrollar e implementar mecanismos de
seguridad. Ahora bien, para adelantar un programa de seguridad
informática, deben conocerse las debilidades del sistema y las
implicaciones que puede generar un ataque o un fraude electrónico.
22
necesarias, según las necesidades de la empresa, para salvaguardar
la integridad de su sistema operativo, software, hardware, página
web, imagen etc.
Los ataques externos, ya mencionados, tiene su inicio en las redes
de área amplia. Si la red de la empresa está conectada a Internet,
cualquier persona está en capacidad de entrar a la red de la empresa,
irrumpir la seguridad del sistema y causar daños. La seguridad en la
red es uno de los elementos más importantes en la seguridad de los
sistemas operacionales de la empresa. La potencialidad de este tipo
de ataques es evidente si se tiene en cuenta que cualquier
computador conectado a la red externa Internet y que se encuentre
interconectado con la red interna de la empresa, puede “infectar” o
transportar el ataque a través de todos los computadores que se
encuentren conectados por la red interna.
La seguridad en la red busca mantener el equilibrio entre Internet y la
red de la empresa. El equilibrio se conseguirá si se tiene un sistema
de seguridad que dificulte la irrupción de las formas de ataque en el
sistema operativo. Si la seguridad de red, que posee la empresa, no
garantiza la invulnerabilidad, mi conexión a Internet será insegura,
poniendo en riesgo la red de la empresa y en general los sistemas
operacionales.
a. Información
La información es un fenómeno que proporciona significado o
sentido a las cosas. En sentido general, la información es un
conjunto organizado de datos procesados, que constituyen un
mensaje sobre un determinado ente o fenómeno.
23
La información es definitivamente uno de los aspectos más
relevantes y de mayor importancia en el mundo, tanto a nivel
privado como público. Hoy en día la gran mayoría, por no decir
que la totalidad de las empresas manejan sus negocios a través
de sistemas de computación. Perder la información o perder
control sobre la información y, que está sea conocida por la
competencia, genera pérdidas inimaginables.
b. Actividad
Es el conjunto de acciones que se llevan a cabo para cumplir las
metas de un programa o subprograma de operación, que consiste
en la ejecución de ciertos procesos o tareas (mediante la
utilización de los recursos humanos, materiales, técnicos, y
financieros asignados a la actividad con un costo determinado), y
que queda a cargo de una entidad administrativa de nivel
intermedio o bajo.
24
Dependiendo del tipo de actividad que se desarrolle, se generan
diversos niveles de riesgo:
➢ La primera fase para prevenir los riegos consiste en identificarlos.
➢ Una vez identificados deben implementarse las medidas necesarias
de prevención que impidan que el riesgo se ejecute.
c. Acceso
El acceso se refiere tanto a la persona que accede al network,
que quien acceda es quien dice ser. En conclusión, el acceso
consiste en que sólo tengan acceso a la información quien está
autorizado, y que al acceder sólo se realice la actividad que le es
permitida. Controlar este aspecto, genera confianza y prestigio.
Se crea un sentimiento interno, de control y vigilancia, lo que es
altamente positivo como mecanismo de prevención de ataques
internos.
25
a. Seguridad de Tránsito
La seguridad de tránsito regula el flujo de tránsito en la red. La
función más importante de este nivel de seguridad, es detener a
los atacantes externos para que no penetren la red interna. La
seguridad de tránsito cumple la función de alarma, avisa a los
operadores y técnicos de la red, cuando hay algo fuera de lo
común a nivel de aplicaciones.
Este tipo de seguridad, se ubica en el fondo de la red, es decir,
son sistemas operativos de software o hardware que han sido
instalados como seguridad de la red. Ejemplos de estos serían
los Proxy Server, los Pocket Filtering o los cortafuegos o firewalls.
b. Seguridad de Usuario
Este tipo de seguridad utiliza un software que obliga al usuario a
identificarse para poder acceder a los diferentes programas
operativos del computador. El ejemplo más conocido de este tipo
de seguridad son las claves.
26
b. Secure Sockets Layer (SSL)
El estándar desarrollado por Netscape que utiliza tecnología de
encriptación para las comunicaciones entre los navegadores y los
servidores.
El SET a diferencia del SSL, además de asegurar la integridad de
las comunicaciones identifica a las partes contratantes, lo cual
evita el repudio de la transacción. La desventaja del SET es que
se requiere que tanto vendedor como comprador estén
registrados y tengan instalado el sistema.
a. Seguridad en el host
La seguridad en el host es la forma de seguridad más común,
se aplica individualmente a cada ordenador y tiene gran
acogida en empresas pequeñas.
Este sistema utiliza tres programas de seguridad:
27
➢ Firewalls individuales: Controlan la emisión y recepción
de información.
➢ Sandbox: Es un área segura no conectada al network
cuya función es probar los programas antes de su
incorporación.
➢ Scanning: Este programa se encarga de comprobar que
los programas y los discos duros no tengan virus.
b. Seguridad en el network
Este sistema controla desde el network el acceso a los hosts,
para lo cual utiliza diversos mecanismos entre los cuales
pueden mencionarse:
28
6.4. ¿Cómo acceder a una página web segura?
Algunas páginas Web utilizan una conexión segura entre éstas y tu
navegador. Esto es muy importante, por ejemplo, si deseas pagar en
línea utilizando una tarjeta de crédito y deberás ingresar información
personal.
29
El envío de datos mediante el protocolo HTTPS está protegido mediante
el protocolo de seguridad de la capa de transporte (TLS), que proporciona
las tres capas clave de seguridad siguientes:
30
Resulta procedente manifestar que los ataques que afectan el comercio
electrónico pueden ser contrarrestados desde dos ópticas diferentes:
jurídica y técnica. La primera tiene dos ámbitos, el comercial y el penal,
el primero es el que refiere a la Entidades de Certificación, Certificados
Digitales y Firmas Digitales.
El segundo, se precisa de la siguiente manera, con el propósito de tener
una visión global sobre el tema. Puede decirse que el uso indebido del
software, la apropiación indebida de datos, las interferencias de datos
ajenos, la manipulación indebida de datos, la introducción de datos
falsos, entre otras,
31
Entre los delitos computacionales pueden mencionarse los siguientes:
32
7. Conclusiones
33
8. Webgrafía
➢ http://www.geocities.ws/leandrojpachec/hwct/T4/comercio_electronico.html
➢ http://www.monografias.com/trabajos15/comercio-electronico/comercio-
electronico.shtml
➢ http://www.grin.com/es/e-book/55405/seguridad-en-el-comercio-electronico
➢ http://www.ciifen.org/index.php?option=com_content&view=category&layout
=blog&id=84&Itemid=336&lang=es
➢ http://elordenmundial.com/2015/02/02/introduccion-al-concepto-de-
seguridad/
➢ peligros-en-internet/
➢ https://www.ibiblio.org/pub/linux/docs/LuCaS/Manuales-LuCAS/doc-
unixsec/unixsec-html/node50.html
➢ https://www.gcfaprendelibre.org/tecnologia/curso/virus_informaticos_y_antiv
irus/los_virus_informaticos/1.do
➢ http://www.pandasecurity.com/peru/homeusers/security-info/classic-
malware/worm/
➢ https://www.ecured.cu/Caballo_de_Troya_(Inform%C3%A1tica)
➢ https://es.wikipedia.org/wiki/Error_de_software
➢ https://confias.wordpress.com/que-es-la-confianza/
➢ https://es.wikipedia.org/wiki/Confianza_Online
➢ https://support.google.com/webmasters/answer/6073543?hl=es
9. Bibliografía
34