Aplicaciones de

Negocios
Electrónicos
Sesión 09: Sistemas de Seguridad y
Pagos en el Comercio Electrónico
I.S. César Augusto Guzmán Valle / cguzmanv@unprg.edu.pe
Ciclo 2020-II – Modalidad No Presencial

Dpto. de Ingeniería de Sistemas

Universidad Nacional Pedro Ruíz Gallo
1. SISTEMAS DE SEGURIDAD
Cyberwar: MAD 2.0
¿Cuál es la diferencia entre piratería
informática y guerra cibernética?
¿Por qué la guerra cibernética se ha vuelto
potencialmente más devastadora en la última
década?
¿Por qué Google ha sido blanco de tantos
ciberataques?
¿Es posible encontrar una solución política a
MAD 2.0?
El entorno de seguridad del comercio electrónico
 Dimensiones de la seguridad del
comercio electrónico
• La integridad garantiza que la información enviada y
recibida no haya sido alterada por una parte no autorizada
• No reconocimiento capacidad para garantizar que los
participantes no nieguen (reconozcan) sus acciones en línea
• Autenticidad capacidad para identificar la identidad de la
persona con la que está tratando a través de Internet.
• Confidencialidad autorizada para ser vista por quienes
deben verla
• Privacidad capacidad para controlar quién ve su
información
• Disponibilidad el sitio de comercio electrónico de funciona
según lo previsto
 La tensión entre la seguridad y otros
valores
Facilidad de uso
• Cuantas más medidas de seguridad se agreguen, más
difícil será el uso de un sitio y más lento se volverá
• La seguridad cuesta dinero y demasiada puede reducir
la rentabilidad
Seguridad pública y usos delictivos de Internet
• Uso de la tecnología por parte de los delincuentes
para planificar delitos o amenazar al estado-nación
Amenazas de seguridad en el entorno
de comercio electrónico
Tres puntos clave de vulnerabilidad en el
entorno del comercio electrónico:
• Cliente
• Servidor
• Canal de comunicaciones (canales de
comunicación de Internet)
Una transacción normal de comercio electrónico
Puntos vulnerables en una transacción de comercio
electrónico
Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Código malicioso (malware, exploits)
Drive-by downloads malware que viene con un archivo
descargado que el usuario solicita intencionalmente o no
Virus
Los gusanos se propagan de la computadora a la computadora sin
intervención humana
Ransomware (scareware) que se utiliza para solicitar dinero a los
usuarios bloqueando su navegador o archivos y mostrando avisos
falsos del FBI o del IRS, etc.
Los caballos de Troya parecen benignos pero son una forma de
introducir virus en un sistema informático
Amenazas tanto a nivel de cliente como de servidor

SLIDE 5-11
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Código malicioso (malware, exploits)
 Las puertas traseras introducen virus, gusanos, etc. que
permiten a un atacante acceder de forma remota a una
computadora
 Las botnets son una colección de bots o zombis capturados
que se utilizan para enviar spam, ataques DDoS, robar
información de los equipos y almacenar el tráfico de red
para su posterior análisis.
 Los bots, como en los robots, son códigos maliciosos que se
pueden instalar de forma encubierta en una computadora
cuando se conecta a Internet. Una vez instalados, responden
a comandos externos del atacante.
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Programas potencialmente no deseados (PUP)
 Ejemplo Vista antispyware 2013 infecta equipos que ejecutan Vista
 Los parásitos del navegador cambian la configuración de su computadora
 El adware muestra llamadas a anuncios emergentes cuando visita sitios
 El software espía se puede utilizar para obtener información como
pulsaciones de teclas, correo electrónico, mensajería instantánea, etc.

Suplantación de identidad
 La ingeniería social se basa en la curiosidad, la codicia y la credulidad
humanas para engañar a los usuarios para que tomen medidas que
resulten en la descarga de malware.
 Estafas por correo electrónico
 Los mensajes de spear-phishing parecen provenir de una fuente confiable
 Fraude / robo de identidad
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
 Hackear
 Los piratas informáticos obtienen acceso no autorizado
• La función del sombrero blanco es ayudar a identificar y corregir
vulnerabilidades
• Sombrero negro con la intención de causar daño
• Sombrero gris irrumpe para exponer fallas e informarlas sin
interrumpir la empresa. Incluso pueden intentar sacar provecho del
evento.
 Los crackers tienen intención criminal
 Los hacktivistas tienen motivaciones políticas (Green
Peace)
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
 Cibervandalismo:
 Interrumpir, desfigurar o destruir un sitio web
 Filtración de datos
 Entregar el control de la información corporativa a
personas ajenas
 Caso Playstation Network
(Lectura 01)
 ¿Qué fallos organizativos y técnicos
provocaron la filtración de datos en
PlayStation Network?
 ¿Hay beneficios sociales positivos del
hacktivismo?
 ¿Usted o alguien que conoce ha sufrido
violaciones de datos o cibervandalismo?
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
 Fraude / robo de tarjetas de crédito
 La suplantación implica intentar ocultar una verdadera identidad
utilizando el correo electrónico o la dirección IP de otra persona.
 Pharming que dirige automáticamente un enlace web a una dirección falsa
 Los sitios web de spam (basura) (granjas de enlaces) prometen ofrecer
productos pero están llenos de anuncios
 El fraude / robo de identidad implica el uso no autorizado / ilegal de los
datos de otra persona
 Ataque de denegación de servicio (DoS) Los piratas informáticos inundan
el sitio con tráfico inútil para abrumar la red
 Ataque distribuido de denegación de servicio (DDoS)
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
 Fraude / robo de tarjetas de crédito
 La suplantación implica intentar ocultar una verdadera identidad utilizando el
correo electrónico o la dirección IP de otra persona.
 Pharming que dirige automáticamente un enlace web a una dirección falsa
 Los sitios web de spam (basura) prometen ofrecer productos pero están llenos de
anuncios
 El fraude / robo de identidad implica el uso no autorizado/ilegal de los datos de
otra persona
 Ataque de denegación de servicio (DoS) Los piratas informáticos inundan el sitio
con tráfico inútil para abrumar la red
 Ataque distribuido de denegación de servicio (DDoS) utiliza numerosas
computadoras para lanzar ataques en sitios o sistemas informáticos. El ataque
proviene de varios lugares
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
Sniffing, un sniffer es un tipo de programa de escucha que monitorea la
información que viaja a través de una red.
Ataques internos causados por empleados
El software de cliente y servidor mal diseñado conduce a ataques de
inyección SQL al aprovechar aplicaciones mal codificadas que no validan
los datos ingresados por los usuarios web
Vulnerabilidad Día cero Cuando un proveedor de software saca al
mercado un nuevo producto con alguna brecha de seguridad de la que no
son conscientes
Problemas de seguridad de las redes sociales, como olvidarse de cerrar
sesión, conectarse con extraños, exponer demasiada información
 Amenazas de seguridad más comunes
en el entorno del comercio electrónico
 Problemas de seguridad de la plataforma móvil
 Vishing funciona como el phishing pero no siempre ocurre a través de
Internet y se lleva a cabo mediante tecnología de voz. Un ataque
vishing puede realizarse mediante correo electrónico de voz, VoIP (voz
sobre IP) o teléfono fijo o celular.
 Smishing explota los mensajes de texto/SMS que pueden contener
enlaces y otra información personal que puede ser explotada
 Madware es una aplicación de apariencia inocente que contiene
adware que lanza anuncios emergentes y mensajes de texto en su
dispositivo móvil (móvil + adware = madware)
 Ejemplo de problemas de seguridad en la nube, los ataques
DDoS amenazan la disponibilidad y viabilidad de los servicios
en la nube
 ¿Cree que su Smartphone es seguro?
(Lectura 02)
 ¿Qué tipo de amenazas enfrentan los
teléfonos inteligentes?
 ¿Existe alguna vulnerabilidad particular para
este tipo de dispositivo?
 ¿Es más o menos probable que las
aplicaciones móviles estén sujetas a
amenazas que los programas de software
tradicionales para PC?
 Soluciones tecnológicas
 Protección de las comunicaciones por Internet
 Cifrado que modifica el texto sin formato para que no pueda
ser leído por nadie más que el remitente y el receptor
 Proporciona seguridad para 4 de 6 dimensiones de
seguridad.
 Integridad al garantizar que los mensajes no hayan sido manipulados
 No repudio al evitar que los usuarios nieguen haber enviado el
mensaje
 Autenticación mediante la verificación de la identidad de la persona
o la computadora que envía el mensaje
 Confidencialidad al garantizar que otros no lean el mensaje
 Tipos de Encriptación
 Cipher es una forma disfrazada de escritura; un código donde las
letras del mensaje se reemplazan sistemáticamente por otra letra
 Cifrado de transporte ordenando las letras de alguna manera
sistemática, por ejemplo, en orden inverso o 2 letras por delante
 La clave simétrica tanto el remitente como el receptor utilizan la
misma clave para cifrar y descifrar el mensaje. La clave se envía a
través de una línea segura o se intercambia en persona
 Estándares de cifrado de datos desarrollados por IBM y NSA;
ahora tenemos cifrado de 128, 192 y 256 bits
 Google sale con claves de 2048 bits
 Cifrado de clave simétrica
 El remitente y el receptor utilizan la misma clave digital para cifrar y
descifrar el mensaje
 Requiere mecanismos sofisticados para distribuir de forma segura la clave
secreta a ambas partes
 Requiere un juego de claves diferente para cada transacción
 Fuerza del cifrado
 Longitud de la clave binaria utilizada para cifrar datos
 Estándar de cifrado de datos (DES)
 Estándar de cifrado avanzado (AES)
 El cifrado de clave simétrica más utilizado
 Utiliza claves de cifrado de 128, 192 y 256 bits
 Otros estándares usan claves con hasta 2048 bits
 Formas habituales de envío de claves
 El establecimiento de claves simétricas se puede realizar de varias formas:
 El Acuerdo de clave autenticada (KA) es la capacidad de construir una clave,
acordarla y luego validarla.
 Envío de una clave cifrada (autenticada), también conocida como envoltura de
claves
 Derivación de una clave base utilizando una función de derivación de clave
(KDF), utilizando otros datos como entrada, por ejemplo, un número único. Si
la derivación se utiliza para varios dispositivos, a menudo se la denomina
diversificación clave.
 Formas de enviar o intercambiar claves,
 por una llamada telefónica anterior
 enviando una carta
 reunirse en un bar (entregar una memoria USB u otro soporte de datos)
 Creación de una clave a partir de piezas clave en poder de diferentes personas
 Cifrado de clave pública mediante
firmas digitales y resúmenes de hash
 La función hash es cualquier función que se pueda utilizar para
asignar datos de tamaño arbitrario a datos de tamaño fijo. Los
valores devueltos por una función hash se denominan valores
hash, códigos hash, resúmenes o simplemente hash. La salida suele
ser más corta que la entrada.
 El resumen de hash del mensaje se envía al destinatario junto con
un mensaje para verificar la integridad
 Resumen de hash y mensaje encriptados con la clave pública del
destinatario
 Ejemplo de algoritmo hash:
http://www.metamorphosite.com/one-way-hash-encryption-sha1-data-software
 Cifrado de clave pública mediante
firmas digitales y resúmenes de hash
Luego, todo el texto cifrado se cifra con la clave privada
del destinatario, creando una firma digital, para
autenticidad y no rechazo.
La firma digital es un tipo de firma electrónica que
encripta documentos con códigos digitales que son
particularmente difíciles de duplicar.
Ejemplo de generador WEP:
http://www.andrewscompanies.com/tools/wep.asp
 Hashing
Posibles dos funciones hash diferentes generan valores hash idénticos
pero extremadamente improbables

Por ejemplo, en Java, el código hash es un entero de 32 bits.

 Tipos de Encriptación
 Clave pública hay dos claves relacionadas matemáticamente,
una clave pública y una clave privada. Clave privada guardada
en secreto por el propietario y clave pública difundida al
público. Ambas claves se utilizan para cifrar y descifrar el
mensaje. Una vez que se utilizan las claves, ya no se pueden
utilizar para desencriptar el mensaje. Son funciones
irreversibles unidireccionales.
 La función hash crea un número de longitud fija que
reemplaza el mensaje original, luego el hash se usa para
recrear el mensaje en el lado del destinatario
 La firma digital es un texto cifrado firmado que se envía a
través de Internet.
 Tipos de Encriptación
 La envoltura digital utiliza encriptación simétrica para documentos
grandes
 El certificados digitales (DC) se emite por parte de un tercero de
confianza conocido como autoridad de certificación que contiene (el
nombre del sujeto, la clave pública, el número de serie del certificado
digital, la fecha de vencimiento, la fecha de emisión y la firma digital)
 Hay varios tipos de certificados (personal, institucional, servidor web, publicación
de software y autoridad de certificación (CA))
 Verisign, oficina de correos, certificados de emisión de Fed Reserve
 Infraestructura clave (PKI) cuando inicia sesión en un sitio seguro, ve la
"s" o el candado, lo que significa que el sitio tiene un certificado digital
emitido por una CA
 Soluciones tecnológicas
 Asegurar los canales de comunicación
 Capa de conexión segura (SSL); una sesión negociada
segura es una sesión cliente-servidor en la que la URL del
documento solicitado, su contenido y las cookies se cifran a
través de una serie de handshakes de comunicación entre
computadoras. Se elige una clave de sesión de cifrado
simétrico única para cada sesión
 Las VPN permiten que las computadoras se comuniquen de
manera segura a través de túneles al agregar envoltorios
encriptados invisibles alrededor de los mensajes para
ocultar su contenido
 Soluciones tecnológicas
 Protección de redes
 Los firewalls ya sean de hardware/software filtran los
paquetes de comunicaciones y evitan el acceso no
autorizado.
 Filtran el tráfico basado en paquetes, dirección IP, tipo de
servicio http, www, nombre de dominio, etc.
 2 formas de validar el tráfico
 Los filtros de paquetes examinan si están destinados a un puerto
prohibido o si se originan en uno.
 La puerta de enlace de la aplicación filtra el tráfico en función de la
aplicación que se solicita
 Soluciones tecnológicas
 Protección de redes
Los servidores proxy son servidores de software que
manejan las comunicaciones actuando como portavoces y
guardaespaldas de la organización. Para las computadoras
locales, los servidores proxy se conocen como puerta de
enlace, pero para los servidores externos se conocen como
servidor de correo. Los servidores proxy se ubican entre los
usuarios y los sistemas de back-end. Pueden utilizarse para
restringir el acceso de los empleados.
 Soluciones tecnológicas
 Protección de redes
 Los sistemas de detección de intrusos IDS monitorean el
tráfico en busca de patrones o reglas preconfiguradas que
puedan indicar un ataque.
 IPS (prevención) previene ataques tomando medidas para
bloquear el ataque
Herramientas disponibles para lograr la
seguridad del sitio
Criptografía de clave pública: un caso sencillo
Criptografía de clave pública con firmas digitales
Creación de una envoltura digital

Slide 5-40
Certificados digitales y autoridades de certificación
Límites de las soluciones de cifrado

 No protege el almacenamiento de la clave privada

 PKI no es eficaz contra personas con información
privilegiada, empleados.
 La protección de las claves privadas por parte de las
personas puede ser vulnerada.
 No hay garantía de que la computadora de verificación del
comerciante sea segura.
 Las CA son organizaciones no reguladas que se
seleccionan a sí mismas.
Sesiones negociadas seguras mediante SSL / TLS
Firewalls y Servidores Proxy
Protegiendo Clientes y Servidores

 Mejoras en la seguridad del sistema operativo

 Actualizaciones, parches

 Software antivirus
 La forma más fácil y económica de prevenir amenazas
a la integridad del sistema
 Requiere actualizaciones diarias
 Políticas de gestión, procedimientos
comerciales y leyes públicas
 En todo el mundo, las empresas gastan más de $ 65
mil millones en hardware, software y servicios de
seguridad.
 La gestión del riesgo incluye:
 Tecnología
 Políticas de gestión eficaces
 Leyes públicas y aplicación activa
 Un plan de seguridad: políticas de
gestión
 Evaluación de riesgos
 Política de seguridad
 Plan de Implementación
 Organización de seguridad
 Controles de acceso
 Procedimientos de autenticación, incluida la biometría
 Políticas de autorización, sistemas de gestión de
autorizaciones
 La auditoría de seguridad brinda la capacidad de auditar
los registros de acceso en busca de violaciones de
seguridad y uso no autorizado
Desarrollar un plan de seguridad de comercio
electrónico
El papel de las leyes y las políticas
públicas
 Leyes que brindan a las autoridades herramientas para identificar,
rastrear y enjuiciar a los ciberdelincuentes:
 Ley de protección de la infraestructura de información nacional de 1996
 Ley Patriota de EE. UU.
 Ley de seguridad nacional
 Cooperación privada y público-privada
 Centro de Coordinación del Equipo Comunitario de Respuesta a
Emergencias (CERT)
 Equipo de respuesta a emergencias informáticas de EE. UU. (US-CERT)
 Políticas y controles gubernamentales sobre software de cifrado
 OCDE, G7 / G8, Consejo de Europa, Acuerdo Wassener
2. SISTEMAS DE PAGO
 Tipos de Sistemas de Pago
 Efectivo
 Forma de pago más común
 Convertible instantáneamente en otras formas de valor
 Sin fluctuación
 Transferencia de Cheques
 Segunda forma de pago más común en Estados Unidos
 Tarjeta de crédito
 Asociaciones de tarjetas de crédito (VISA, Mastercard)
 Bancos emisores
 Los centros de procesamiento son cámaras de compensación.
 Tipos de Sistemas de Pago
 Valor almacenado
 Fondos depositados en la cuenta, de los cuales se pagan o
retiran los fondos según sea necesario (PayPal)
 Tarjetas de débito, certificados de regalo
 Sistemas de pago de igual a igual (PayPal)
 Saldo acumulativo
 Cuentas que acumulan gastos y a las que los
consumidores realizan pagos mensuales
 Servicios públicos, teléfono, cuentas American Express
 Grupos de Interés en los Sistemas
de Pago
 Consumidores
 Bajo riesgo, bajo costo, refutable, conveniencia,
confiabilidad
 Comerciantes
 Bajo riesgo, bajo costo, irrefutable, seguro, confiable
 Intermediarios financieros
 Seguro, de bajo riesgo, maximizando las ganancias
 Reguladores gubernamentales
 Seguridad, confianza, protección de los participantes y
ejecución de informes
 Sistemas de Pago en el comercio
electrónico
 Tarjetas de crédito
 42% de los pagos online en 2013 (Estados Unidos)
 Tarjetas de débito
 29% pagos online en 2013 (Estados Unidos)
 Limitaciones del pago con tarjeta de crédito en línea
 Seguridad, riesgo comercial
 Costo
 Igualdad Social
Cómo funciona una transacción de crédito en línea
 Sistemas alternativos de pago en
línea
 Sistemas de valor almacenado en línea:
 Según el valor almacenado en la cuenta bancaria,
corriente o de tarjeta de crédito de un consumidor
 Ejemplo: PayPal
 Otras alternativas:
 Pagos de Amazon
 Google Checkout
 Bill Me Later
 WUPay, Dwolla, Stripe
 Sistemas de pago móvil
 Uso de teléfonos móviles como dispositivos de pago
establecidos en Europa, Japón, Corea del Sur
 Comunicación de campo cercano (NFC)
 Inalámbrico de corto alcance (2") para compartir datos entre
dispositivos
 Expandiéndose en Estados Unidos
 Google Wallet
 Aplicación móvil diseñada para trabajar con chips NFC
 PayPal
 Square
 Mercado Pago
 Yape
 Efectivo digital y monedas virtuales
 Efectivo digital
 Basado en un algoritmo que genera tokens únicos que se
pueden usar en el mundo "real"
 Ejemplo: Bitcoin
 Monedas virtuales
 Circulante dentro del mundo virtual interno
 Ejemplo: Linden Dollars en el mundo virtual llamado Second
Life, Créditos de Facebook
 Presentación y pago de facturas
electrónicas
 Sistemas de pago online para facturas mensuales
 50% de todos los pagos de facturas
 Dos modelos comerciales en competencia:
Facturador directo (modelo dominante)
Consolidador o tercero como su banco
 Ambos modelos son compatibles con proveedores de
infraestructura para presentación y pago de facturas
electrónicas.
Bitcoin
 ¿Cuáles son algunos de los beneficios de
utilizar una moneda digital?
 ¿Cuáles son los riesgos que implica para el
usuario?
 ¿Cuáles son las repercusiones políticas y
económicas de una moneda digital?
 ¿Alguna vez usted o alguien que conoce ha
usado Bitcoin?