Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Negocios
Electrónicos
Sesión 09: Sistemas de Seguridad y
Pagos en el Comercio Electrónico
I.S. César Augusto Guzmán Valle / cguzmanv@unprg.edu.pe
Ciclo 2020-II – Modalidad No Presencial
SLIDE 5-11
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Código malicioso (malware, exploits)
Las puertas traseras introducen virus, gusanos, etc. que
permiten a un atacante acceder de forma remota a una
computadora
Las botnets son una colección de bots o zombis capturados
que se utilizan para enviar spam, ataques DDoS, robar
información de los equipos y almacenar el tráfico de red
para su posterior análisis.
Los bots, como en los robots, son códigos maliciosos que se
pueden instalar de forma encubierta en una computadora
cuando se conecta a Internet. Una vez instalados, responden
a comandos externos del atacante.
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Programas potencialmente no deseados (PUP)
Ejemplo Vista antispyware 2013 infecta equipos que ejecutan Vista
Los parásitos del navegador cambian la configuración de su computadora
El adware muestra llamadas a anuncios emergentes cuando visita sitios
El software espía se puede utilizar para obtener información como
pulsaciones de teclas, correo electrónico, mensajería instantánea, etc.
Suplantación de identidad
La ingeniería social se basa en la curiosidad, la codicia y la credulidad
humanas para engañar a los usuarios para que tomen medidas que
resulten en la descarga de malware.
Estafas por correo electrónico
Los mensajes de spear-phishing parecen provenir de una fuente confiable
Fraude / robo de identidad
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Hackear
Los piratas informáticos obtienen acceso no autorizado
• La función del sombrero blanco es ayudar a identificar y corregir
vulnerabilidades
• Sombrero negro con la intención de causar daño
• Sombrero gris irrumpe para exponer fallas e informarlas sin
interrumpir la empresa. Incluso pueden intentar sacar provecho del
evento.
Los crackers tienen intención criminal
Los hacktivistas tienen motivaciones políticas (Green
Peace)
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Cibervandalismo:
Interrumpir, desfigurar o destruir un sitio web
Filtración de datos
Entregar el control de la información corporativa a
personas ajenas
Caso Playstation Network
(Lectura 01)
¿Qué fallos organizativos y técnicos
provocaron la filtración de datos en
PlayStation Network?
¿Hay beneficios sociales positivos del
hacktivismo?
¿Usted o alguien que conoce ha sufrido
violaciones de datos o cibervandalismo?
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Fraude / robo de tarjetas de crédito
La suplantación implica intentar ocultar una verdadera identidad
utilizando el correo electrónico o la dirección IP de otra persona.
Pharming que dirige automáticamente un enlace web a una dirección falsa
Los sitios web de spam (basura) (granjas de enlaces) prometen ofrecer
productos pero están llenos de anuncios
El fraude / robo de identidad implica el uso no autorizado / ilegal de los
datos de otra persona
Ataque de denegación de servicio (DoS) Los piratas informáticos inundan
el sitio con tráfico inútil para abrumar la red
Ataque distribuido de denegación de servicio (DDoS)
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Fraude / robo de tarjetas de crédito
La suplantación implica intentar ocultar una verdadera identidad utilizando el
correo electrónico o la dirección IP de otra persona.
Pharming que dirige automáticamente un enlace web a una dirección falsa
Los sitios web de spam (basura) prometen ofrecer productos pero están llenos de
anuncios
El fraude / robo de identidad implica el uso no autorizado/ilegal de los datos de
otra persona
Ataque de denegación de servicio (DoS) Los piratas informáticos inundan el sitio
con tráfico inútil para abrumar la red
Ataque distribuido de denegación de servicio (DDoS) utiliza numerosas
computadoras para lanzar ataques en sitios o sistemas informáticos. El ataque
proviene de varios lugares
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Sniffing, un sniffer es un tipo de programa de escucha que monitorea la
información que viaja a través de una red.
Ataques internos causados por empleados
El software de cliente y servidor mal diseñado conduce a ataques de
inyección SQL al aprovechar aplicaciones mal codificadas que no validan
los datos ingresados por los usuarios web
Vulnerabilidad Día cero Cuando un proveedor de software saca al
mercado un nuevo producto con alguna brecha de seguridad de la que no
son conscientes
Problemas de seguridad de las redes sociales, como olvidarse de cerrar
sesión, conectarse con extraños, exponer demasiada información
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Problemas de seguridad de la plataforma móvil
Vishing funciona como el phishing pero no siempre ocurre a través de
Internet y se lleva a cabo mediante tecnología de voz. Un ataque
vishing puede realizarse mediante correo electrónico de voz, VoIP (voz
sobre IP) o teléfono fijo o celular.
Smishing explota los mensajes de texto/SMS que pueden contener
enlaces y otra información personal que puede ser explotada
Madware es una aplicación de apariencia inocente que contiene
adware que lanza anuncios emergentes y mensajes de texto en su
dispositivo móvil (móvil + adware = madware)
Ejemplo de problemas de seguridad en la nube, los ataques
DDoS amenazan la disponibilidad y viabilidad de los servicios
en la nube
¿Cree que su Smartphone es seguro?
(Lectura 02)
¿Qué tipo de amenazas enfrentan los
teléfonos inteligentes?
¿Existe alguna vulnerabilidad particular para
este tipo de dispositivo?
¿Es más o menos probable que las
aplicaciones móviles estén sujetas a
amenazas que los programas de software
tradicionales para PC?
Soluciones tecnológicas
Protección de las comunicaciones por Internet
Cifrado que modifica el texto sin formato para que no pueda
ser leído por nadie más que el remitente y el receptor
Proporciona seguridad para 4 de 6 dimensiones de
seguridad.
Integridad al garantizar que los mensajes no hayan sido manipulados
No repudio al evitar que los usuarios nieguen haber enviado el
mensaje
Autenticación mediante la verificación de la identidad de la persona
o la computadora que envía el mensaje
Confidencialidad al garantizar que otros no lean el mensaje
Tipos de Encriptación
Cipher es una forma disfrazada de escritura; un código donde las
letras del mensaje se reemplazan sistemáticamente por otra letra
Cifrado de transporte ordenando las letras de alguna manera
sistemática, por ejemplo, en orden inverso o 2 letras por delante
La clave simétrica tanto el remitente como el receptor utilizan la
misma clave para cifrar y descifrar el mensaje. La clave se envía a
través de una línea segura o se intercambia en persona
Estándares de cifrado de datos desarrollados por IBM y NSA;
ahora tenemos cifrado de 128, 192 y 256 bits
Google sale con claves de 2048 bits
Cifrado de clave simétrica
El remitente y el receptor utilizan la misma clave digital para cifrar y
descifrar el mensaje
Requiere mecanismos sofisticados para distribuir de forma segura la clave
secreta a ambas partes
Requiere un juego de claves diferente para cada transacción
Fuerza del cifrado
Longitud de la clave binaria utilizada para cifrar datos
Estándar de cifrado de datos (DES)
Estándar de cifrado avanzado (AES)
El cifrado de clave simétrica más utilizado
Utiliza claves de cifrado de 128, 192 y 256 bits
Otros estándares usan claves con hasta 2048 bits
Formas habituales de envío de claves
El establecimiento de claves simétricas se puede realizar de varias formas:
El Acuerdo de clave autenticada (KA) es la capacidad de construir una clave,
acordarla y luego validarla.
Envío de una clave cifrada (autenticada), también conocida como envoltura de
claves
Derivación de una clave base utilizando una función de derivación de clave
(KDF), utilizando otros datos como entrada, por ejemplo, un número único. Si
la derivación se utiliza para varios dispositivos, a menudo se la denomina
diversificación clave.
Formas de enviar o intercambiar claves,
por una llamada telefónica anterior
enviando una carta
reunirse en un bar (entregar una memoria USB u otro soporte de datos)
Creación de una clave a partir de piezas clave en poder de diferentes personas
Cifrado de clave pública mediante
firmas digitales y resúmenes de hash
La función hash es cualquier función que se pueda utilizar para
asignar datos de tamaño arbitrario a datos de tamaño fijo. Los
valores devueltos por una función hash se denominan valores
hash, códigos hash, resúmenes o simplemente hash. La salida suele
ser más corta que la entrada.
El resumen de hash del mensaje se envía al destinatario junto con
un mensaje para verificar la integridad
Resumen de hash y mensaje encriptados con la clave pública del
destinatario
Ejemplo de algoritmo hash:
http://www.metamorphosite.com/one-way-hash-encryption-sha1-data-software
Cifrado de clave pública mediante
firmas digitales y resúmenes de hash
Luego, todo el texto cifrado se cifra con la clave privada
del destinatario, creando una firma digital, para
autenticidad y no rechazo.
La firma digital es un tipo de firma electrónica que
encripta documentos con códigos digitales que son
particularmente difíciles de duplicar.
Ejemplo de generador WEP:
http://www.andrewscompanies.com/tools/wep.asp
Hashing
Posibles dos funciones hash diferentes generan valores hash idénticos
pero extremadamente improbables
Slide 5-40
Certificados digitales y autoridades de certificación
Límites de las soluciones de cifrado
Software antivirus
La forma más fácil y económica de prevenir amenazas
a la integridad del sistema
Requiere actualizaciones diarias
Políticas de gestión, procedimientos
comerciales y leyes públicas
En todo el mundo, las empresas gastan más de $ 65
mil millones en hardware, software y servicios de
seguridad.
La gestión del riesgo incluye:
Tecnología
Políticas de gestión eficaces
Leyes públicas y aplicación activa
Un plan de seguridad: políticas de
gestión
Evaluación de riesgos
Política de seguridad
Plan de Implementación
Organización de seguridad
Controles de acceso
Procedimientos de autenticación, incluida la biometría
Políticas de autorización, sistemas de gestión de
autorizaciones
La auditoría de seguridad brinda la capacidad de auditar
los registros de acceso en busca de violaciones de
seguridad y uso no autorizado
Desarrollar un plan de seguridad de comercio
electrónico
El papel de las leyes y las políticas
públicas
Leyes que brindan a las autoridades herramientas para identificar,
rastrear y enjuiciar a los ciberdelincuentes:
Ley de protección de la infraestructura de información nacional de 1996
Ley Patriota de EE. UU.
Ley de seguridad nacional
Cooperación privada y público-privada
Centro de Coordinación del Equipo Comunitario de Respuesta a
Emergencias (CERT)
Equipo de respuesta a emergencias informáticas de EE. UU. (US-CERT)
Políticas y controles gubernamentales sobre software de cifrado
OCDE, G7 / G8, Consejo de Europa, Acuerdo Wassener
2. SISTEMAS DE PAGO
Tipos de Sistemas de Pago
Efectivo
Forma de pago más común
Convertible instantáneamente en otras formas de valor
Sin fluctuación
Transferencia de Cheques
Segunda forma de pago más común en Estados Unidos
Tarjeta de crédito
Asociaciones de tarjetas de crédito (VISA, Mastercard)
Bancos emisores
Los centros de procesamiento son cámaras de compensación.
Tipos de Sistemas de Pago
Valor almacenado
Fondos depositados en la cuenta, de los cuales se pagan o
retiran los fondos según sea necesario (PayPal)
Tarjetas de débito, certificados de regalo
Sistemas de pago de igual a igual (PayPal)
Saldo acumulativo
Cuentas que acumulan gastos y a las que los
consumidores realizan pagos mensuales
Servicios públicos, teléfono, cuentas American Express
Grupos de Interés en los Sistemas
de Pago
Consumidores
Bajo riesgo, bajo costo, refutable, conveniencia,
confiabilidad
Comerciantes
Bajo riesgo, bajo costo, irrefutable, seguro, confiable
Intermediarios financieros
Seguro, de bajo riesgo, maximizando las ganancias
Reguladores gubernamentales
Seguridad, confianza, protección de los participantes y
ejecución de informes
Sistemas de Pago en el comercio
electrónico
Tarjetas de crédito
42% de los pagos online en 2013 (Estados Unidos)
Tarjetas de débito
29% pagos online en 2013 (Estados Unidos)
Limitaciones del pago con tarjeta de crédito en línea
Seguridad, riesgo comercial
Costo
Igualdad Social
Cómo funciona una transacción de crédito en línea
Sistemas alternativos de pago en
línea
Sistemas de valor almacenado en línea:
Según el valor almacenado en la cuenta bancaria,
corriente o de tarjeta de crédito de un consumidor
Ejemplo: PayPal
Otras alternativas:
Pagos de Amazon
Google Checkout
Bill Me Later
WUPay, Dwolla, Stripe
Sistemas de pago móvil
Uso de teléfonos móviles como dispositivos de pago
establecidos en Europa, Japón, Corea del Sur
Comunicación de campo cercano (NFC)
Inalámbrico de corto alcance (2") para compartir datos entre
dispositivos
Expandiéndose en Estados Unidos
Google Wallet
Aplicación móvil diseñada para trabajar con chips NFC
PayPal
Square
Mercado Pago
Yape
Efectivo digital y monedas virtuales
Efectivo digital
Basado en un algoritmo que genera tokens únicos que se
pueden usar en el mundo "real"
Ejemplo: Bitcoin
Monedas virtuales
Circulante dentro del mundo virtual interno
Ejemplo: Linden Dollars en el mundo virtual llamado Second
Life, Créditos de Facebook
Presentación y pago de facturas
electrónicas
Sistemas de pago online para facturas mensuales
50% de todos los pagos de facturas
Dos modelos comerciales en competencia:
Facturador directo (modelo dominante)
Consolidador o tercero como su banco
Ambos modelos son compatibles con proveedores de
infraestructura para presentación y pago de facturas
electrónicas.
Bitcoin
¿Cuáles son algunos de los beneficios de
utilizar una moneda digital?
¿Cuáles son los riesgos que implica para el
usuario?
¿Cuáles son las repercusiones políticas y
económicas de una moneda digital?
¿Alguna vez usted o alguien que conoce ha
usado Bitcoin?