Comercio Electrónico y Aspectos Prácticos de Implementación

5.
SEGURIDAD EN LOS NEGOCIOS ELECTRÓNICOS Y

OTROS ASPECTOS JURIDICOS
Debido a la vital importancia que tiene la seguridad en cualquier modelo
de comercio electrónico, en este capítulo tratamos este tema,
comentando con cierto nivel de profundidad cada uno de los aspectos
que le atañe en el ámbito de negocio electrónico y lo complementamos
con los diferentes medios de pago que se utilizan. Finalmente,
comentaremos algunos aspectos de carácter jurídico que se deben de
tener en cuenta en caso disputa en las transacciones electrónicas,
aunque estas consideraciones de orden legal que han evolucionado a lo
largo del tiempo.
5.1 Seguridad Informática

Es la disciplina que busca proteger la información ante eventos adversos
Se basa en 3 principios básicos:
• Confidencialidad: La información sólo es revelada a los
individuos o procesos autorizados.
• Integridad: La información no debe ser modificada de manera
Copyright © 2015. Servicio de Publicaciones. Universidad de Alcalá. All rights reserved.
accidental o maliciosa.
• Disponibilidad: Los recursos de información son accesibles en
todo momento.
Por ello, es recomendable que tanto el usuario como el administrador de

la red de un equipo que trabaje con comercio electrónico como medida
de prevención tome en cuenta ciertas recomendaciones.
El usuario de la red deberá seguir estas recomendaciones:
• La utilización de los antivirus es importante, ejecutar por lo
menos una vez al día.
• Si su equipo está desatendido colocar el Protector de pantalla
protegido con contraseña.
• Si maneja información secreta lo mejor es mantenerla encriptada
en su disco duro.
• Para compartir información en la red, colocar los permisos
estrictamente necesarios.
• Abstenerse de instalar programas no autorizados en la red.
• Procurar que su equipo encuentre en óptimas condiciones.
191 prácticos de implementación con Magento,

Castillo, Sequera, José Luis, and Huerga, Miguel Ángel Navarro. Comercio electrónico y aspectos
Servicio de Publicaciones. Universidad de Alcalá, 2015. ProQuest Ebook Central, http://ebookcentral.proquest.com/lib/biblioemisp/detail.action?docID=3430601.
Created from biblioemisp on 2018-09-20 16:06:46.
COMERCIO ELECTRÓNICO Y ASPECTOS PRÁCTICOS DE
IMPLEMENTACIÓN CON MAGENTO
___________________________________________________
• Recordar realizar copias de respaldo actualizadas de la
información vital.
• Mantener la información de la empresa en la misma.
• Asegurarse de seguir cada uno de los mandamientos.
El administrador de la red deberá seguir estas recomendaciones

• Seguir. respaldar y auditar cada uno de los 10 Mandamientos
del usuario de la Red.
• Establecer políticas de seguridad apropiadas para la red
computacional de la empresa.
• Implementar sistemas de seguridad para la red en cada uno de
los servidores, Firewalls, proxy.
• Responder inmediatamente a cualquier sugerencia o queja con
respecto a la seguridad..
• Procurar no sobrecargar los servidores asignándoles muchos
servicios.
• El manejo de los puertos es fundamental a la hora de auditar
posibles huecos de seguridad.
• Implementar estrategias para la creación de copias de respaldo.

• Leer diariamente los logs (Archivo de que muestra la utilización
del equipo).
• El acceso al centro de cómputo debe ser completamente
restringido y auditado.
• Verificar la seguridad, conviértase en el Hacker de su empresa.
Podemos encontrarnos con diferentes tipos de vulnerabilidades en

nuestro sistema, las cuales se pueden presentar de la siguiente forma:
• INTERRUPCION: el ataque ocasiona que un recurso del sistema
deje de estar disponible.
• INTERSECCION: el atacante produce la captura no autorizada
de la información en el medio de transmisión.
• FALSIFICACION: el ataque produce que una entidad no
autorizada inserte mensajes falsos en el sistema.
• MODIFICACION: no solo se da el acceso no autorizado a un
recurso sino también la capacidad de manipularlo.

___________________________________________________
Comentaremos a continuación algunas formas que permiten lograr dicha

seguridad, tales como:
• Autenticación
• Contraseña de un solo uso o OTP (One-Time Password)
• Tokens de autenticación.
• Token de autenticación móvil. “Mobile Token o Token Celular”
• Seguridad Biométrica
• Criptografía.
• Firmas digitales
• Firmas electrónicas
5.2 Autenticación.
Proceso de validación de la identidad de un usuario final para asegurar

que es quien dice ser. El método más común es usando un nombre y
una contraseña, pero... .....aun por tan fuerte que sea la contraseña,
este puede ser robado y ser usado sin aviso al legítimo propietario.
La autenticación permite:
 Identificar al usuario que desea tener acceso a los servicios de
cómputo (Web server, etc).
 Monitorear el flujo de paquetes y verificar que pertenecen a un
usuario y a un servicio autorizado.
 Identificar Software intruso, Verificar que su funcionalidad esté
autorizada, libres de virus.
Las técnicas que se pueden aplicar para autenticar pueden ser:

 Contraseña y/o Funciones compendio
 Firma digital
Sin embargo es destacable aquellas técnicas que son de carácter

Biométricas, como por ejemplo:
 Reconocimiento de voz
 Reconocimiento de la mano
 Huella digital
 Reconocimiento del iris (muy confiable)

___________________________________________________
5.2.1 Autenticación con contraseña de un solo uso o OTP (One-

Time Password)
La autenticación con contraseña de un solo uso o OTP (One-Time

Password) es una variación de la autenticación con usuario/contraseña.
En este método de autenticación se dificulta el acceso no autorizado
haciendo que cada contraseña sea válida para una única sesión. Se
tiene que usar una contraseña nueva para cada sesión, de esta forma se
imposibilita que un atacante que capture el usuario y la contraseña
usado, la pueda reutilizar. También hace al sistema más resistente frente
ataques de “fuerza bruta” ya que cada vez que cambia la contraseña los
intentos realizados anteriormente para romper la anterior contraseña no
sirven para nada y hay que empezar desde cero.
El funcionamiento interno entre el Smart card y el servidor con el OTP se
muestra en la siguiente figura
Figura 5.1 Ejemplo de cómo funciona el “One Time Password” (OTP)

___________________________________________________
5.2.2 Token de autenticación o token criptográfico.
Es un dispositivo electrónico que se le da a un usuario autorizado de un

servicio computarizado para facilitar el proceso de autenticación. Se
caracteriza por:
 Los tokens electrónicos tienen un tamaño pequeño y son

normalmente diseñados para atarlos a un llavero.
 Los tokens electrónicos se usan para almacenar claves
criptográficas como firmas digitales, o datos biométricos como
las huellas digitales. Algunos diseños se hacen a prueba de
alteraciones, otro pueden incluir teclados para la entrada de un
PIN.
 Existen más de una clase de tokens de autenticación, tenemos
los bien conocidos generadores de contraseñas dinámicas
"OTP" y la que comúnmente denominamos tokens USB, los
cuales no solo permiten almacenar contraseñas y certificados,
sino que permiten llevar la identidad digital de la persona.
Figura 5.2 Token de autenticación
5.2.3 Token de autenticación móvil. “Mobile Token o Token Celular”
Constituye una solución de Seguridad Robusta y Accesible con amplia

distribución, concebido para sustituir los actuales dispositivos de
hardware y tarjetas existentes en el mercado. Ofrece la misma facilidad y
el mismo nivel de seguridad
Presenta estas características:
 Está concebido para ser ejecutado en los celulares y PDAs
remotos de los usuarios finales de las instituciones, con bajo
costo y gran facilidad de distribución.

___________________________________________________
 Puede ser utilizado como mecanismo adicional de seguridad en
aplicaciones de Banking (Internet Banking, retiros en ATMs, etc.)
así como en aplicaciones genéricas de comercio electrónico que
requieren señas de una única utilización - One Time Passwords.
 Disponibles para las tecnologías BREW (CDMA), J2ME
(GSM/CMDA), WindowsMobile (GSM/CDMA), JavaCard y SIM
Browsing. El Mobile Token es ideal para su distribución entre los
usuarios finales - over the air (OTA) o a través del SIM Cards -
utilizando cualesquiera de las Operadoras de Telefonía Móvil del
país y aumentando significativamente la seguridad de sus
aplicativos remotos.
 Utiliza técnicas en Criptografía de última generación.
Figura 5.3 Token de autenticación móvil

En el siguiente esquema se comenta los beneficios de este método
Figura 5.4 Beneficios del SIM OTP

___________________________________________________
5.3 Seguridad Biométrica
La biometría (del griego bios vida y metron medida) es el estudio de

métodos automáticos para el reconocimiento único de humanos
basados en uno o más rasgos conductuales o rasgos físicos
intrínsecos.
En las TI, la «autentificación biométrica» o «biometría informática» es la
aplicación de técnicas matemáticas y estadísticas sobre los rasgos
físicos o de conducta de un individuo, para su autentificación, es decir,
“verificar” su identidad.
Las huellas dactilares, la retina, el iris, los patrones faciales o la
geometría de la palma de la mano, representan ejemplos de
características físicas (estáticas), mientras que entre los ejemplos de
características del comportamiento se incluye la firma, el paso y el tecleo
(dinámicas). La voz se considera una mezcla de características físicas y
del comportamiento, pero todos los rasgos biométricos comparten
aspectos físicos y del comportamiento. Un ejemplo que podemos
comentar es la de Password que comentamos a continuación:
Password Biométrico. Se caracteriza porque:
 Utiliza el patrón de conducta de tipeo sobre el teclado para

identificar al usuario.
 Cada persona posee su propia y única cadencia de tipeo sobre
las teclas teclado.
 Posee un 99,7 por ciento de efectividad.
 La biometría es una solución de fácil aplicación, menor costo y
alta seguridad.
 Opera a partir de la captura y comparación de un patrón de
conducta del usuario sobre el teclado, garantizando su
funcionamiento simultáneo y complementario a otros desarrollos
destinados a la seguridad informática y sin modificar los hábitos
del usuario.
 No conlleva la instalación de hardware adicional sobre los
existentes, de modo que su implementación no implica costos
adicionales.

___________________________________________________
Figura 5.5 Password Biométrico

El nivel de seguridad biométrico es un “seteo” que permite a los usuarios
afinar la sensibilidad de ritmos de tipeo para la comparación en el
software, estos son grabados para perfiles de usuario lo que hace al
software más riguroso aceptando o rechazando los patrones de tipeo del
usuario.
5.4 Criptografía
La criptografía es una necesidad, ya que el desarrollo de las

comunicaciones electrónicas hace posible la transmisión y
almacenamiento de información confidencial que es necesario proteger .
La criptografía es una parte de la criptología, la cual viene del griego

criptos=ocultos y logos=tratado, ciencia,. Además, la criptología se
compone de:
 Criptografía: procedimientos para cifrar, o enmascarar
información de carácter confidencial.
 Criptoanálisis: procedimientos para descifrar y recuperar
la información original.
Proceso Criptográfico
Figura 5.6 Proceso Criptográfico

___________________________________________________
5.4.1 Encriptación
Proceso mediante el cual el mensaje llano se transforma en un mensaje

cifrado mediante una función compleja y una llave de codificación
especial.
Figura 5.7 Proceso de Encriptación

5.4.2 Desencriptación
Proceso inverso, en el cual el texto cifrado se convierte nuevamente en

el texto llano original mediante una función compleja y una llave de
desencriptación.
Figura 5.8 Proceso de Desencriptación

___________________________________________________
Un buen sistema criptográfico será aquel que ofrezca un descifrado

imposible pero un encriptado sencillo. Por tanto, la finalidad es doble:
o Mantener la confidencialidad del mensaje.
o Garantizar la autenticidad tanto del mensaje como del
par remitente/destinatario.
5.5 Cifrado
Es el mecanismo para proporcionar confidencialidad a través de

funciones matemáticas
Tipos
• Simétricos o de Llave Privada (DES).
• Asimétricos o de Llave Pública (RSA).
• Protocolo (SSL).
Las ventajas que ofrece el cifrado son:
 Protege la información almacenada en la computadora contra

accesos no autorizados
 Protege la información mientras transita de un sistema de

cómputo a otro
 Puede detectar y evitar alteraciones accidentales o intencionales
a los datos
 Puede verificar si el autor de un documento es realmente quien
se cree que es
Sin embargo, también se tiene desventajas, entre otros podemos citar:
 No puede prevenir que un agresor borre intencionalmente todos

los datos.
 Encontrar la forma de que no se tuviera conocimiento
previamente.
 Acceder al archivo antes de que sea cifrado o después de
descifrar.
Podemos indicar que los elementos comunes del cifrado son:
 Algoritmo cifrador (cifra y descifra datos)

 Claves de cifrado

___________________________________________________
 Longitud de clave (claves largas)
 Texto en claro (información a cifrar)
 Texto cifrado (información después de cifrar)
Los algoritmos criptográficos que se pueden aplicar son:
 Criptografía de clave privada - simétrica: Ambos participantes
comparten una clave (Ejemplo DES, IDEA)
 Criptografía de clave pública: Cada participante tiene una clave
privada no compartida y una clave pública que todos conocen
El mensaje se encripta usando la llave pública y el participante
descifra el mensaje con su clave privada (Ejemplo RSA de
Rivest, Shamir y Adleman)
 Función Hash:
o No involucran el uso de claves
o Determina una suma de verificación única (checksum)
criptográfica sobre el mensaje
o El algoritmo más usado es el MD5 (Message Digest
versión 5)
Los “algoritmos de llave privada” presentan las siguientes ventajas:
 El descifrado utiliza el mismo algoritmo pero con las llaves en

orden inverso
 Se requieren 1500 años para hallar la clave o 6 meses si se usan
300 PCs en paralelo
 Estándar ampliamente utilizado en la industria, donde para
mayor seguridad se encripta 3 veces (3DES), usando tres claves
diferentes
Pero estos algoritmos también tienen las siguientes desventajas:
 Quedan algunas incógnitas por resolver

 Ya cumplió con su ciclo de vida
 Puede romperse por fuerza bruta
 Como todo algoritmo simétrico, tiene el problema de la
distribución de la llave

___________________________________________________
En los “algoritmos de llaves públicas” se utiliza una llave para encriptar el
mensaje y otra para desencriptarlo.
La llave de encriptación se conoce como llave pública, mientras que la
llave de desencriptación se conoce como llave privada o secreta. Entre
los más comunes tenemos:
 Intercambio de llaves Diffie-Helman.
 RSA. (Rivest Shamir Adleman)
 EL GAMAL.
 DSS. (Digital Signature Estándar)
Por tanto, todos los usuarios tienen una llave pública y una privada. Si
alguien envía un mensaje, lo cifra con tu llave pública y sólo se descifra
con la clave secreta. La seguridad depende de la confidencialidad de la
llave secreta.
Figura 5.9 Proceso de Confidencialidad/Autenticación/Integridad/No Repudio/Seguridad

___________________________________________________
5.5.1 Criptosistemas Hibridos público/privado
La criptografía de llave pública se puede utilizar en conjunción con la

criptografía de llave privada para obtener los beneficios de ambos, es
decir; las ventajas de seguridad de los sistemas de llave pública y las
ventajas de velocidad de los sistemas de llave privada.
En estos sistemas, la criptografía de llave pública, más lenta, se utiliza
para intercambiar una llave de sesión, que se usa entonces como base
para un algoritmo de llaves simétricas.
5.6 La Criptografía y la Seguridad en la Web
Los aspectos de seguridad a considerarse para participar en comercio

electrónico son los siguientes:
Por tanto, existen cuatro criterios claves que se utilizan para describir
todas las funciones que tiene la encriptación en los sistemas de
información modernos.
 CONFIDENCIALIDAD.
 AUTENTICACION.
 INTEGRIDAD.
 NO REPUDIACION.
CONFIDENCIALIDAD.- “Evitar la exposición innecesaria de la

información sensible”.
La encriptación se utiliza para ocultar la información enviada a través de
Internet y almacenarla en servidores, de forma que cualquiera que
intente interceptarlas no pueda tener acceso al contenido de los datos.
AUTENTICACION.- “Validar la autenticidad de los participantes”
Las firmas digitales sirven para identificar al autor de un mensaje; las
personas que reciben el mensaje pueden comprobar la identidad de
quien lo firmó.
INTEGRIDAD.- “Garantizar la inalterabilidad de la información”
Su propósito es verificar que un mensaje no ha sido modificado en
tránsito.
NO REPUDIACION.- “Asegurar la aceptación de responsabilidades de
los integrantes del proceso”

___________________________________________________
Mediante la encriptación se crean recibos de forma que el autor de un

mensaje no pueda negar falsamente su envío.
Los sistemas criptográficos se componen de protocolos de red utilizados

para proporcionar confidencialidad, autenticación, integridad y no
repudiación en un ambiente de red.
Algunos sistemas populares son:
 PGP
 SSL
 PCT
 S-HTTP
 SET y Cyber Cash
 DNSSEC
 Ipsec e IPv6
 Kerberos.
 SSH
PGP (Pretty Good Privacy). Privacía bastante segura, es un sistema

completo para la protección de correo electrónico y archivos. También
es un conjunto de estándares que describen los formatos de los
mensajes encriptados, llaves y firmas digitales.
SSL (Secure Sockets Layer). El Nivel de Conexiones Seguras, es un
protocolo criptográfico de propósito general para asegurar canales de
comunicación bidireccionales.
SSL ofrece confidencialidad mediante algoritmos de encriptación
especificados por el usuario; integridad, mediante funciones Hash
criptográficas especificadas por el usuario, y no repudiación, mediante
mensajes firmados criptográficamente. Se sabe que el servidor es
seguro si en el navegador aparece una llave o un candado.
• http aparece ahora como httpa
• Sólo protege transacciones entre dos puntos: servidor Web y
navegador del cliente o emisor de tarjeta.
• No protege al comprador del uso fraudulento de su tarjeta de
crédito.

___________________________________________________
• Los vendedores corren el riesgo de que les sea proporcionado
un número de tarjeta no autorizada.
PCT (Private Comunications Technology). Tecnología de
Comunicaciones Seguras, es un protocolo de seguridad de nivel de
transporte similar a SSL. Fue desarrollado en respuesta a los problemas
asociados a SSL 2.0.
S-HTTP es un sistema para firmar y encriptar información enviada
mediante el protocolo HTTP del Web.
SET (Secure Electronic Transactions). Transacciones Electrónicas
Seguras, es un protocolo criptográfico diseñado para envío de números
de tarjetas de crédito por Internet. Nace de la alianza de IBM, Microsoft,
Netscape, Visa y Mastercard. Se caracteriza por:
• No es adecuado para micropagos (< US$10)
• Garantiza la autenticación de todas las partes: cliente, vendedor,
bancos emisor y adquiriente.
• Alta confidencialidad, el vendedor no tiene acceso al número de
tarjeta y el banco no accesa a los pedidos.
• Permite la gestión de la actividad comercial, registros,
autorizaciones y liquidaciones.
Este protocolo (Transacción Electrónica Segura) es un sistema para

garantizar la seguridad de las transacciones financieras en Internet. Se
inició en un principio por Mastercard, Visa, Microsoft, Netscape y otros.
Con SET, un usuario tiene una cartera electrónica (certificado digital) y
una transacción que es conducida y verificada utilizando una
combinación de certificados digitales y de firmas digitales entre el cliente,
el vendedor y el banco, de forma que quede garantizada la privacidad y
confidencialidad. SET utiliza la Red de Seguridad de Netscape (SSL), de
la Tecnología de Transacciones Seguras de Microsoft (STT), y del
Protocolo del Sistema de Seguridad de Transferencias de Hipertexto de
Terisa (S-HTTP). Sin embargo, SET utiliza solo algunos y no todos los
aspectos de una infraestructura de clave pública (PKI).
Por su relevancia en la mayoría de los medios de pago, es importante
conocer su funcionamiento.
Funcionamiento del SET
Suponiendo que un cliente tenga un navegador SET por ejemplo
Netscape o Microsoft Internet Explorer y que la transacción solicitada
(banco, almacén, etc) tiene un servidor SET.
1. El cliente abre una cuenta en un banco MasterCard o Visa. Cualquier
emisor de una tarjeta de crédito es algún tipo de banco.

___________________________________________________
2. El cliente recibe un certificado digital. El fichero electrónico funciona

como una tarjeta de crédito para pedidos online y otras transacciones.
Incluye una clave pública con una fecha de expiración. Ha sido firmada
digitalmente por el banco para asegurar su validez.
3. En tercer lugar, los vendedores también reciben certificados del
banco. Estos certificados incluyen la clave pública de los vendedores y la
clave pública del banco.
4. El cliente hace un pedido en una página web, por teléfono, o de
alguna otra forma.
5. El servidor del cliente recibe y confirma el certificado del vendedor de
que dicho vendedor es real.
6. El servidor envía la información del pedido. Este mensaje es
codificado con la clave pública del vendedor, la información de pago, que
es codificada con la clave pública del banco (que no puede ser leída por
el vendedor), y la información que asegura el pago sólo puede ser
utilizada con este pedido particular.
7. El vendedor verifica al cliente comprobando la firma digital en el
certificado del cliente. Esto se debe hacer consultando el certificado con
el banco o con un tercero verificador.

8. El vendedor envía el mensaje de pedido al banco. Esto incluye la
clave pública del banco, la información de pago del cliente (que el
vendedor no puede decodificar) y el certificado del vendedor.
9. El banco verifica el vendedor y el mensaje. El banco utiliza la firma
digital en el certificado con el mensaje y verifica la parte de pago del
mensaje.
10. El banco firma digitalmente y envía la autorización al vendedor, que
puede entonces completar el pedido.
Cyber cash (Ciber efectivo) es un protocolo de pagos electrónicos de

propósito similar al de SET.
DNSSEC (Domain Name System Security). El estándar de seguridad del
Sistema de Nombres de Dominios crea una infraestructura paralela de
llaves públicas sobre el sistema de DNS. A cada dominio del DNS se le
asigna una llave pública.
IPsec e IPv6. IPsec es un protocolo criptográfico diseñado para
proporcionar confidencialidad de principio a fin. IPv6 incluye Ipsec.

___________________________________________________
KERBEROS: Se basa en códigos simétricos y en secretos compartidos
entre el servidor de Kerberos y cada usuario, quien tiene su propia clave
de acceso. Para operar un sistema con Kerberos, cada sitio debe tener
un servidor de Kerberos que se encuentre físicamente seguro.
SSH (Secure shell) es el intérprete de comandos seguros. Proporciona
operaciones protegidas de terminal virtual (Telnet) y transferencia de
archivos (ftp).
A continuación, en la siguiente figura hacemos una comparación de
todos estos sistemas criptográficos, indicando en qué consiste, qué
algoritmos utiliza y que proporciona desde el punto de vista de seguridad
en el ámbito de comercio electrónico
COMPARACION ENTRE LOS SISTEMAS CRIPTOGRÁFICOS

Figura 5.10 Comparación entre los diferentes Sistemas Criptográficos

___________________________________________________
5.7 Firmas digitales

Las firmas digitales funcionan de manera inversa al proceso de cifrado
normal. La firma digital utiliza la llave privada en algunos bloques de
datos y el receptor descifra esos datos con la llave pública que está
disponible y es conocida.
5.7.1 Proceso de firma digital.

Un usuario aplica una función de transformación del código al mensaje,
la cual lo reduce a un tamaño de 128 bits. El compendio resultante del
mensaje se cifra con la clave privada del usuario y este proceso crea la
firma digital.
5.7.2 Autoridades emisoras de certificados
Siempre existe la posibilidad de un fraude en cualquier infraestructura de

llave pública. Con el uso de las firmas digitales, se puede estar seguro
de que alguien firmó el documento, pero se necesita un tercero para
asegurarse de que la firma es legítima. Ese es el papel de la
AUTORIDAD EMISORA DE CERTIFICADOS (CA): asegurar que esa
persona es quien dice ser.

La llave pública, una pieza única de identificación de usuario, y una
identificación particular de la CA forman el certificado sin firma. La CA
firma la información de la siguiente manera: la CA transforma el código
del certificado sin firma, luego toma el código transformado y lo cifra
junto con su clave privada, al final adjunta esta firma al certificado
original para crear el certificado.
5.7.3 Proceso de Certificación
El proceso de certificación incluye servicios de registro, "naming",

autenticación, emisión, revocación y suspensión de los certificados.
VeriSign ofrece tres niveles de servicios de certificación de acuerdo a las
necesidades del usuario.
Certificado digital Clase 1
Son emitidos y comunicados electrónicamente a personas físicas, y

relacionan en forma indubitable el nombre del usuario o su "alias" y su
dirección de E-mail con el registro llevado por VeriSign.

___________________________________________________
No autentican la identidad del usuario. Son utilizados fundamentalmente

para Web Browsing y E-mail, afianzando la seguridad de sus entornos.
No son para uso comercial.
Certificado digital Clase 2:
Son emitidos a personas físicas, y confirman la veracidad de la

información aportada en el acto de presentar la aplicación y que ella no
difiere de la que surge de alguna base de datos de usuarios reconocida.
Es utilizado para realizar comunicaciones vía E-mail; transacciones
comerciales de bajo riesgo, validación de software y suscripciones on-
line.
Certificado digital Clase 3:
Son emitidos a personas físicas y organizaciones públicas y privadas. En

el primer caso, asegura la identidad del suscriptor, requiriendo su
presencia física ante una LRA o un notario.
En el caso de organizaciones asegura la existencia y nombre mediante

el cotejo de los registros denunciados con los contenidos en bases de
datos independientes.
Son utilizados para determinadas aplicaciones de comercio electrónico

como ‘Electronic banking' y Electronic Data Interchange (EDI).
5.8 Firma electrónica
Por Firma Electrónica se entiende "aquel conjunto de datos en forma

electrónica, anexos a otros datos electrónicos o asociados
funcionalmente con ellos, utilizados como medio para identificar
formalmente al autor o a los autores del documento que la recoge”.
Permite la identificación del signatario y detectar cualquier modificación a
datos. Tiene iguales efectos jurídicos que en la firma manuscrita.

___________________________________________________
5.9 El pago electrónico
Se puede definir como: “Cualquier pago realizado por medios

electrónicos”.
Está constituido por los siguientes elementos:
• Titular de la marca del medio de pago electrónico
• Emisor/gestor del medio de pago.
• Titular del medio de pago.
• Acreedor (establecimiento comercial).
Se caracteriza porque permite:
• Evitar desembolsos inmediatos
• Aportar fluidez en las operaciones
• Generar confianza en las partes
Una empresa que integra una aplicación de Comercio electrónico tiene

que definir la forma de pago, que es hoy en día uno de los desafíos más
comunes. Formas de pago - pros y contras
- Tarjetas de crédito
- Dinero electrónico al contado (Digicash, Mondex, Visa Cash)
- Cheques
Mercados para pagos por Internet
- Pedidos medios y grandes

- Dinero electrónico al contado (Digicash, Mondex, Visa Cash)
- Pedidos privados
Muchos de estas formas de pago utilizan el SET (Transacciones

electrónicas seguras), protocolo para realizar los pagos

___________________________________________________
5.9.1 Las tarjetas de Crédito y la Web
En las transacciones de comercio electrónico, el sistema de tarjetas de

crédito funcionará más o menos como lo hace habitualmente. El cliente
podrá utilizar su tarjeta de crédito, si lo desea, para pedir artículos
directamente del vendedor. La principal diferencia es que la mayoría de
las compañías proveedoras de tarjetas de crédito utilizan la codificación
standard llamada Transacción Electrónica Segura (SET). Con esa
codificación, el vendedor no recibe tu número de tarjeta de crédito. En su
lugar, reciben uno facilitado, que se le pasa al banco el cuál lo utiliza
para obtener el verdadero número, autoriza o rechaza la transacción y
entonces envía al vendedor un número autorizado. El vendedor se
asegura así de que la tarjeta sea buena, y completa la transacción. Todo
esto se hace con una codificación clave oficial para asegurar la
autenticidad de los interesados. También, con el SET el consumidor
recibe un recibo digital certificado por la transacción.
Las ventajas de esta forma de pago son:
- El dinero está seguro en el banco: en caso de que pierda la

tarjeta, la cuenta está todavía ligada a su nombre. Por lo tanto, a
diferencia de los sistemas en metálico, hay una forma en que el

banco puede verificar su balance de cuenta y que el dinero no se
ha perdido.
- No hay necesidad de abrir una nueva cuenta: a diferencia de

los sistemas en metálico, que requieren que el usuario abra una
nueva cuenta con un banco que funcione con este tipo de
transacciones, con el sistema de tarjetas de crédito, el cliente
puede mantener la cuenta y la tarjeta de crédito que ya tiene. Es
un factor muy importante en las etapas de comienzo de una web
comercial.
La principal desventaja de esta forma de pago es:
- La falta de privacidad: a diferencia del dinero electrónico que

es anónimo, las transacciones con tarjetas de crédito vinculan su
nombre a la cuenta. Por lo tanto, el cliente no podrá mantener el
anonimato de la transacción. Además corre el riesgo de que su
nombre se añada a una base de datos.
Por su relevancia como medio de pago, es importante comentar lo que
constituye las tarjetas Visa y Mastercard a continuación:

___________________________________________________
5.9.2 VISA & MASTERCARD

VISA es una Tarjeta de crédito internacional (T.C.I.) y MASTERCARD
otra distinta. Cada T.C.I. ordena su funcionamiento interno como si de
una cooperativa se tratara, en la que sus miembros (las entidades
financieras adscritas a la misma) son, al mismo tiempo, socios y usuarios
del sistema.
Estas T.C.I. distribuyeron el mundo por áreas geográficas y en cada una
de ellas crearon una T.C.I. REGIONAL (T.C.I. REG.). Cada T.C.I. REG.
promovió, a su vez, la creación de sociedades de ámbito nacional (T.C.I.
PAÍS) que nacieron de la unión de todas las entidades de crédito que
decidieron pasar a formar parte de ella.
Las T.C.I. PAÍS forman parte del Consejo de las T.C.I. REG. y la suma
de T.C.I. REG. dan lugar al Consejo de la T.C.I. INTERNACIONAL, que
se sitúa en la cúspide de la pirámide.
La T.C.I. INTERNACIONAL es la titular de los derechos de propiedad de
los productos.
Por su parte, las T.C.I. REG. velan porque se apliquen las normas en su
región y por realizar las compensaciones necesarias supranacionales

entre las entidades de su región.
La T.C.I. PAÍS desempeña el mismo papel que las T.C.I. REG., pero en
el ámbito de su país y son las que gestionan la entrada de las entidades
de crédito interesadas en ello, tramitando su solicitud a T.C.I.
Figura 5.11 Tarjetas de crédito internacionales

___________________________________________________
5.9.2.1 Clases de tarjetas
Por el emisor:
• Tarjetas bancarias: las emitidas por una entidad de crédito.
• Tarjetas no bancarias: las emitidas por establecimientos
comerciales. Ejemplo: Tarjetas. de El Corte Inglés.
Por la titularidad de la marca:
• Tarjetas de marca propia: El emisor es el propietario de la marca.
Ejemplo Cortefiel.
• Tarjetas de marca compartida. El emisor comparte la marca con
otros emisores. Tarjeta 6000.
• Tarjetas compartidas por varias marcas: Aquí dos marcas figuran
como emisores de la tarjeta, Desarrolladas especialmente por
compañías aéreas. Ej. T. TWA VISA.
Por su ámbito de aplicación:
• Tarjetas de ámbito local. Tarjeta Unicuenta (sólo para Madrid);
Carte D’Or (sólo para París).
• Tarjetas de ámbito nacional.

• Tarjetas de ámbito internacional.
Por los elementos personales que intervienen:

• Tarjetas bilaterales. Ejemplo El Corte Inglés.
• Tarjetas trilaterales. Ejemplo Tarjetas. Bancarias.
• Tarjetas familiares.
• Tarjetas de empresa.
Por la función que realizan:

• Tarjetas de crédito.
• Tarjetas de débito.
• Tarjetas de pago.

___________________________________________________
5.9.3 Dinero metálico electrónico
Algunos sistemas (que comentaremos más adelante) tales como

Digicash y Net Cash permiten al cliente depositar dinero en metálico en
una cuenta bancaria y después utilizarlo para pedir artículos por Internet.
Los clientes de Digicash reciben un número codificado de 64-bit para
cada conversión en dinero metálico, que después se transfiere a los
usuarios del disco duro. A continuación, el cliente puede transferir el
dinero metálico a los vendedores a través de Internet (siempre que el
vendedor acepte esta forma de pago). El vendedor devuelve entonces el
dinero electrónico al banco que lo canjea por dinero real.
Las ventajas de este sistema de pago son:
- Privacidad: el dinero electrónico no es identificable. El banco no

vincula el número a una persona particular, de esta forma es
imposible vincular el pago con el pagador. El cliente no tiene que
preocuparse por ser añadido en docenas de bases de datos para
recibir mailings si no lo ha ordenado así, en lugar de información
que puede ser enviada desde internet.
- Responsabilidad limitada: un cliente sólo puede perder el

dinero que utilice. La gente debería estar más inclinada a
trabajar con dinero electrónico y arriesgar 20 € de su cartera
electrónica que enviar su tarjeta oro con 5.000 € a través de la
red.
La principal desventaja de este tipo de transacción es:
- Los euros digitales no están asegurados: por ejemplo, si su

disco duro se estropease, su banco electrónico quebraría.
Además, si algunos hackers consiguiesen decodificar sus
números, no habría forma de recuperar su dinero perdido (como
si se le hubiese caído un billete de 20€ en la calle). Ya que el
banco no vincula el dinero a su nombre, no habría manera de
reembolsárselo. Sin embargo, el dinero electrónico se puede
recuperar si su disco duro se rompe. En este caso el cliente
tendría que abandonar su anonimato para recuperar el dinero
electrónico del banco.

___________________________________________________
5.9.4 Cheques
Los esquemas para transferir cheques a través de la web no se han

desarrollado como las otras formas de transferencia de fondos. Los
cheques podrían ser algo tan simple como enviar un mensaje por e-mail
a un vendedor para autorizarle la toma de fondos de nuestra cuenta, con
firma digital y certificado adjunto. De todas formas un sistema de
cheques se trata de un compromiso entre un sistema de tarjeta de
crédito y un sistema al contado. CheckFree, NetCheque y Netchex son
las firmas más conocidas en el mercado de los cheques.
Las ventajas de este tipo de sistema son las siguientes:
- Tratamiento: los cheques electrónicos pueden ser procesados

igual que se tratan los cheques normales, a través de Automated
Clearing House. Parecen distintos, pero son cheques.
- Hacer cambios: El dinero electrónico no puede ser tomado de
ninguna cuenta. Si tomas 25 € de tu NetCash (cuenta de dinero
electrónico) y quieres comprar algo por 5 € tienes que enviar tu
número a NetBank y pedir cambio. Ellos entonces te envían 5 €
y 20 €. Un sistema de cheques permitiría al usuario especificar la

cifra exacta de la transacción.
- El dinero está seguro en el banco: los clientes no tienen que
preocuparse por perder dinero como podría suceder en un
sistema en metálico.
La principal desventaja de este tipo de sistema es:
- Falta de privacidad: a pesar de que este sistema no es tan

malo en este sentido como las tarjetas de crédito, los cheques
todavía revelarían algunos datos del cliente.
5.9.5 Mercados
Hay tres tipos de mercados para pagos electrónicos:
- Pedidos grandes y medios: Esto incluye artículos que los

clientes normalmente piden con tarjetas de crédito en los
almacenes. Pueden ordenar pedidos desde menos de 10 € hasta
miles de euros. Este mercado estará dominado principalmente
por las tarjetas de crédito. Los pedidos son suficientemente

___________________________________________________
grandes como para garantizar el relativo alto coste por
transacción de una tarjeta de crédito.
- Pedidos pequeños: Esto incluye pago a la vista de artículos e

información, acceso de páginas comerciales, o pago de
honorarios por software. Estos cargos pueden ser de un euro o
menos. Estos pedidos son demasiado pequeños para garantizar
los gastos de una transacción con tarjeta de crédito. First Virtual
es el líder en micropagos. Desarrollos en esta área han dado
lugar al Protocolo para transferencias de Micropagos (MPTP) de
la W3C.
- Pedidos privados: Esto puede incluir todo los pedidos de

algunas personas preocupadas por el fenómeno “Gran
Hermano”, o regalos especiales que un cliente no quiere que vea
su esposa/marido. Hay una variedad de razones y ocasiones en
que la gente puede querer mantener su pedido en secreto. Para
estos casos hay una variedad de dinero electrónico que
mantiene el anonimato. La mayoría de los propietarios de
sistemas están enfocando hoy en día a la privacidad.
5.10 Formas de pago electrónico
Se pueden aplicar dos formas:

• Formas de pago electrónico. basados en estructura tripolar
• Formas de pago electrónico. NO basados en estructura tripolar
5.10.1 Formas de pago electrónico basadas en una estructura

tripolar
Podemos señalar las siguientes formas:
La tarjeta de crédito y la tarjeta de débito:
Su operatoria consiste en pasar la tarjeta por el T.P.V. La entidad de

crédito del establecimiento envía lo datos a VISA España y VISA los
reenvía a la entidad de crédito del cliente. Si ésta última la autoriza, VISA
España los envía de vuelta a la entidad de crédito del establecimiento y
éste se lo comunica por el T.P.V.

___________________________________________________
La tarjeta inteligente (“Smart Card”):
• Multifuncionalidad.
• Puede estar basadas en una estructura trilateral o no estarlo
(monedero electrónico).
• Operativa similar en la transmisión de la información.
• Evolución de la banda magnética a un chip.
• Clases: de contacto (“normales”) o sin contacto (pago de peajes,
autoservicios)
Pago desde el teléfono móvil
En España, han existido las siguientes iniciativas: Móvilpago, que es un
proyecto de pago electrónico nacido de la colaboración del BBVA y de
Telefónica; Pagomóvil, fruto de la unión entre BSCH y Caixamóvil, que
aúna los esfuerzos de la Caixa y VISA; y Paybox que ha entrado en
España de la mano de Deutsche Bank.
Esta modalidad está destinada a cubrir un mercado no cubierto todavía
por otros medios electrónicos de pago como es el de las pequeñas
compras (cine, taxis, pan, etc.)
Es coincidente a todos ellos, autoriza o deniega la operación una

entidad de crédito y que operan sobre una tarjeta de crédito o de débito.
Forma de realizar un pago desde el móvil:
1. El cliente le propone al establecimiento comercial pagar por medio del
móvil y le da el número de ese móvil. Los dos pertenecen al sistema.
2. El establecimiento envía la información a la entidad de crédito.
3. La entidad de crédito seguidamente llama al teléfono móvil del usuario
para que, si confirma que verdaderamente da el visto bueno a la
operación de compra, introduzca el PIN que se le solicita. Prestación de
consentimiento.
4. Una vez que el cliente ha introducido el PIN y se lo ha enviado a la
entidad de crédito, ésta comprueba que tiene saldo suficiente (si la
tarjeta es de débito) o se ratifica en que entra dentro del crédito
concedido (si la tarjeta asociada a ese móvil es de crédito) y autoriza la
operación comunicándoselo, de nuevo, tanto al cliente como al
establecimiento comercial.

___________________________________________________
Monedero electrónico
Viene a sustituir al dinero conocido como “calderilla”. Puede ir contenido

en una tarjeta inteligente.
Operatoria: En el chip que va inserto en la tarjeta monedero se carga
una determinada cantidad de dinero (cuyo límite máximo se suele situar
en 60 euros) desde cualquier Cajero Automático. Cuando se quiera
utilizar en un establecimiento comercial con el ánimo de pagar una
compraventa realizada, se introduce en el T.P.V. de ese establecimiento,
“descargando” la cantidad deseada. No existe intermediación bancaria
ni necesita la autorización de la entidad de crédito.
Dinero digital
La entidad emisora de dinero digital crea billetes digitales por la cantidad
que el cliente requiera. Cada billete está formado por una secuencia de
15 dígitos que opera en Internet mediante un software específico para él.
El particular sólo podrá utilizarlos desde su ordenador personal si tiene el
hardware y software especial y necesario para ello. Se requiere que el
ordenador personal tenga una tarjeta inteligente (similar a la tarjeta de
red o a la tarjeta de televisión) llamada “wallet”, que será en la que se
almacene el dinero digital hasta que su propietario decida utilizarlo.
La diferenciación entre los conceptos de dinero digital y de dinero

electrónico radica en que mientras que el dinero electrónico puede ser
entendido, en sentido amplio, como aquel dinero destinado a ser
intercambiado de forma electrónica, el dinero digital sólo es una clase de
dinero electrónico, que se identifica con la asignación de un valor
económico a una serie de dígitos y que ha sido creado para operar
exclusivamente en internet.
Existe una directiva comunitaria (La Dir. 2000/46/CE) que regula el
acceso a la prestación de servicios de dinero digital por parte de las
entidades que deseen dedicarse a ello. Según su artículo 1.4 podrán
hacerlo:
• Entidades cuya actividad consista en recibir del público depósitos

u otros fondos reembolsables y en conceder créditos por cuenta
propia o,
• Entidades de dinero electrónico (siendo ésa su finalidad

principal).
Las preocupaciones de esta forma de uso son:

___________________________________________________
• El funcionamiento eficaz de estos medios de pago,
• La confidencialidad de las transacciones.
• La protección de los consumidores y comerciantes.
• La protección frente a delitos
5.10.2 Otras formas existentes de realizar un pago electrónico
Podemos citar las siguientes otras formas de realizar pagos electrónicos,

algunas de las cuales operan en otros países:
• F.S.C.T. (Financial Services Technology Consertium
• CheckFree
• First Virtual
• NetMarket
• NetBill
• Cybercash
5.10.2.1 F.S.C.T. (Financial Services Technology Consertium)

FSCT es un consorcio americano de bancos, organizaciones
gubernamentales y empresas tecnológicas creado en 1995. Uno de los
proyectos promovidos por este consorcio es la creación de un sistema de
cobro de Cheques Electrónicos.

El pagador debe contar con un procesador seguro, que se implementa
en forma de tarjeta inteligente. Este procesador es el encargado de
generar los cheques que consisten, simplemente en órdenes de pago
firmadas digitalmente. Los cheques se trasmiten al comerciante que los
acepta firmándolos digitalmente y los envía al banco, que los hará
efectivos a través de la una red ACH clásica.

___________________________________________________
Figura 5.12 Esquema FSCT

5.10.2.2 CheckFree
Checkfree Corporation es una entidad financiera americana que lleva

realizando transacciones electrónicas y cobros con tarjetas de crédito
desde 1983. Sus clientes son tanto empresas como particulares,
quienes deben poseer una cuenta en la entidad.
Para realizar un pago electrónico, el usuario debe conectarse vía módem

(sin pasar por Internet) a Checkfree y enviar una orden de pago.
Dependiendo del tipo de pago, Checkfree utilizará la U.S. Reserva
Federal o el sistema RPS de MasterCard para realizar la transferencia
electrónica de fondos. Para el pago por Internet, Checkfree ha decidido
utilizar la tecnología de Cybercash de encriptación y autorización.
Figura 5.13 Esquema CheckFree

___________________________________________________
5.10.2.3 First Virtual
El consumidor primero debe registrarse en el sistema, tras lo que

obtiene un identificador de First Virtual. Para ello debe enviar un número
de tarjeta de crédito, VISA o MasterCard, por medio off-line (teléfono o
fax). Tras registrarse, recibe un mail con una clave de doce dígitos, y un
número de teléfono donde confirmarlo. Para realizar un pago bastará con
presentar el Virtual PIN al comerciante, quien se conectará a un servidor
First Virtual para comprobar si el pago es correcto y enviar la mercancía.
Para realizar un pago al comerciante, First Virtual, envía un e-mail al
consumidor en el que le indica la operación y le pregunta si desea pagar
o no. Mediante este sistema el comerciante no llega nunca a saber el
número de tarjeta del consumidor, ni ésta llega nunca a viajar por la red.
Figura 5.14 Esquema First Virtual
5.10.2.4 NetMarket
Es un sistema de fácil funcionamiento en el que el único requerimiento

que se exige es que tanto el usuario del sistema como el establecimiento
pertenezcan a NetMarket. Consiste en un intercambio de correos
electrónicos en el que el consumidor le da una orden de pago a
NetMarket y esta compañía, a su vez, le devuelve con otro correo
electrónico su intención de autorizar o denegar la operación.
En la operatoria de este sistema también se exige que el usuario del
sistema haya facilitado previamente un número de tarjeta de crédito a
cuyo cargo se anotará el importe de las compras efectuadas. La
confidencialidad de los datos se logra mediante el modelo Pretty Good

___________________________________________________
Privacy para encriptar los números de tarjeta de crédito que van en los
mensajes.
Figura 5.15 Esquema Netmarket
5.10.2.5 NetBill
NetBill es un sistema prepago, es decir, todos los usuarios deben crear

una cuenta antes de realizar cualquier compra.
El usuario selecciona la información que desea y la recoge del servidor a
cambio envía una orden de pago al Vendedor. Éste remite la orden de
pago al Servidor NetBill que deberá autorizar la compra realizando una

transferencia de la cuenta del comprador a la del comerciante. Tanto la
orden de pago como la información adquirida se encuentran cifradas.
Tras aceptar la compra, el Servidor NetBill realiza la transferencia y
envía la Clave de cifrado al usuario que le permitirá descifrar los datos
adquiridos.
Figura 5.16 Esquema NetBill

___________________________________________________
5.10.2.6 Cybercash
El cliente elabora un pedido. El software del comerciante envía "la
factura proforma" al "wallet“ del cliente. La factura proforma es firmada
digitalmente y en ella figura una descripción de la compra así como las
tarjetas de crédito aceptadas. A su recepción, el software "wallet" da a
elegir al usuario entre aquellas tarjetas que tiene registradas y le pide
autorización para realizar el pago. Previa confirmación del usuario, el
software "wallet" del cliente genera un mensaje de pago y lo envía la
comerciante. A la recepción del mensaje, el comerciante, que no puede
descifrarlo, simplemente añade la información al pedido y lo remite a
CyberCash.
Figura 5.17 Esquema CyberCash

___________________________________________________
5.11 Pasarela de Pagos

La pasarela de pago constituye la última etapa de la tienda virtual.
Mediante la contratación de una pasarela de pago con tarjeta de crédito,
los clientes podrán realizar comprar en la tienda virtual.
Es ideal que esta trabaje en servidor seguro SSL con VISA,
MASTERCARD, AMERICAN EXPRESS y la mayor cantidad de marcas
posibles.
5.11.1 ALIGNET Merchant Solution (AMS)

En la jerga bancaria, se emplea el término tarjetahabiente. No se refiere
únicamente al usuario de tarjetas de crédito, sino a cualquier cliente del
banco que posee una tarjeta (de crédito o de débito).
El 3D Secure es un estándar mundial de seguridad para Comercio
Electrónico que es común para la línea de pago seguro con Visa y
MasterCard., hace posible que tus compras sean seguras en Internet y
te autentifica como legítimo titular de la tarjeta.
AMS Es una solución para adquirentes y comercios desarrollada por
ALIGNET que consiste en una plataforma integral que brinda el soporte
adecuado para procesar, autenticar y controlar de forma segura

transacciones de pago de comercio electrónico.
Esta plataforma denominada “ALIGNET Merchant Solution”, integra
diferentes módulos especializados en tareas de procesamiento de
transacciones de Comercio Electrónico:
• El módulo Virtual POS encargado de la recepción de pagos
electrónicos firmados digitalmente por cada comercio, que
integra al Plug-in que requiere el comercio.
• El módulo VERIFIKA MPI Express que cumple con los
estándares del protocolo 3-D Secure para autenticación desde el
punto de vista adquirente.
• El módulo de administración de pagos, Virtual Payment (V-
Payment) que incluye la interfaz de conexión con el procesador
y los módulos de administración del adquirente y de cada
comercio, cumpliendo los estándares del protocolo “3-D Secure”
para Verified by Visa y SecureCode.

___________________________________________________
AMS: Características:
• Solución de Autenticación Adquirente MPI certificada por Visa

Internacional y Mastercard: realiza la Autenticación de la
transacción por el lado Adquirente cumpliendo los estándares del
protocolo “3 D Secure” para Verified by Visa y SecureCode.
• Plug-in de Comercio: el Plug-in del comercio es el software que
permite conectar de manera segura el site del comercio a la
Solución “AMS” a través del componente V-POS.
• Módulo de Captura de Datos de Pago: VIRTUAL POS “V-POS”,
permite al comercio integrarse a la plataforma de comercio
electrónico y realizar la captura centralizada de la información de
pago requerida para los procesos de autenticación y prevención
de fraude de manera totalmente segura.
• V-Admin/Adquirente: es el módulo de administración vía WEB
que se proporciona al comercio y al adquirente para realizar la
gestión de administración de las transacciones de e-Commerce.
• Interfaz de Integración al Banco: el producto puede manejar
distintos tipos de interfaz de integración con la plataforma de

comercio electrónico que trabaja con El Banco.
• V-Payment: es un módulo de la solución de AMS que permite
dirigir las transacciones de comercio electrónico hacia las
aplicaciones del banco o hacia las redes de las marcas VISA y
MasterCard.
En los siguientes gráficos, haremos una descripción técnica de cada uno
de los componentes anteriormente señalados, paso a paso, indicando en
que momento intervienen cuando realizamos un pago con nuestra tarjeta
en la pasarela de pago.

___________________________________________________
Figura 5.18 Tarjetahabiente –presiona el botón “Comprar” en la Tienda Electrónica

invoca al Plug-in que encripta la información
Figura 5.19 El Plug-In integra la página web con el AMS utilizando Triple-Des y RSA
para proteger la información

___________________________________________________
Figura 5.20 El Plug-In se conecta al V-POS para procesar los datos sensibles e iniciar los
flujos de autenticación y autorización
Figura 5.21 El VPOS inicia el flujo de autenticación conectándose con el MPI

___________________________________________________
Figura 5.22 El protocolo 3D interactúa con un conjunto de servidores seguros para

autenticar la tarjetahabiente
e
Figura 5.23 El ACS del emisor solicita la autenticación de la tarjetahabiente

___________________________________________________
Figura 5.24 El VPOS tiene el control y redirige el flujo hacia el módulo STP de la
pasarela de pago para validar las transacciones en base a las reglas del negocio
Figura 5.25 El módulo SMT intercambia los mensajes financieros con la procesadora del
adquiriente.

___________________________________________________
Figura 5.25 El PTA arma el archivo de autorización, que es enviado a Visa, Mastercard,
etc según los esquemas convenidos.
Figura 5.26 El PTA armado el archivo de autorización, recibe la respuesta de

autorización o denegación en línea al V-POS. Para comunicárselo al Tarjetahabiente

___________________________________________________
Figura 5.27 El módulo SAC permite realizar búsquedas de operaciones de autenticación

tanto por los códigos del comercio o por el número de pedido.
Figura 5.28 El V-Admin permite definir las políticas administrativas y gestionar la

plataforma AMS.

___________________________________________________
Figura 5.29 El GAT está encargado de armar/recolectar lotes liquidados y generar su

archivo de liquidación a ser procesado por el adquiriente.
Figura 5.30 El HSM encripta la información en los ámbitos interno y externo de la

plataforma.

___________________________________________________
5.12 Fraude en el Mundo Físico

Debemos tener en cuenta, que se pueden presentar los siguientes tipos
de fraude:
• Tarjeta Presente.- La banda magnética es leída, al ingresar PIN.
• Falsificación / Clonación.- Una tarjeta Falsificada (Clonada) es
una tarjeta impresa, embozada o codificada sin permiso del
emisor, o una que ha sido válidamente emitida y después
alterada o recodificada.
• Robo de Identidad.- El robo de ID en tarjetas de crédito ocurre
cuando el criminal usa información personal obtenida
fraudulentamente para abrir o acceder a cuentas de tarjetas de
crédito en nombre del usuario original.
• Fraude en las cajas registradoras.- Aunque no se le conoce
como fraude realmente esta modalidad describe la ubicación
donde ocurre el fraude.
• Fraude por no recibo de correspondencia.- Este tipo de fraude
envuelve a las tarjetas que son robadas en el tránsito de envió
después de que el emisor la envía a los tarjetahabientes.
Además, existen otros tipos de amenazas Online que debemos tener

presente, como por ejemplo:
• Phishing.- Intento de adquirir información sensible, como
passwords y detalles de tarjetas de credito fingiendo ser una
persona o empresa confiable mediante una comunicación
electrónica (canales web e e-mail)
• Ataques.-Transmisión de data válida maliciosamebte repetida.
• Pharming.- Redirección automática de un website a otro website
(maligno) modificando la configuración de la pc atacada con
archivos (malwares) o atacando la infraestructura del DNS.
• Spyware.- Software malicioso que recolecta información
personal del usuario sin su consentimiento (troyanos, gusanos,
virus, keyloggers, etc)
• Rootkit.- Software que intenta correr procesos, archivos o data
del sistema operativo usado por spywares para evitar su
detección.
• Man-in-the-middle (MITM).- Ataque en donde el atacante puede
leer, insertar y modificar a voluntad mensajes entre dos partes
sin que ninguna lo sepa.

___________________________________________________
5.13. Aspectos legales del Comercio Electrónico
En una compra en la WEB se pueden presentar varios problemas entre

el cliente y el proveedor, como por ejemplo:
 El comprador paga pero el vendedor no hace su parte.
 El cliente paga pero el dinero no llega al comerciante.
 El consumidor paga pero el vendedor entrega con defecto,

equivocado, etc.
Estas son algunas de las situaciones que ocasionan una disputa legal. El
problema se complica cuando el comprador está en un país, el vendedor
en otro, y el servidor en uno diferente a los dos primeros.
Las leyes que se aplicaran serán las del sitio donde se ubica el
vendedor, sin importar donde se encuentre el servidor
5.13.1 Controversias Típicas de los negocios electrónicos.

Nombres de dominios.
Cualquier persona o empresa que desee estar activa en internet (WEB)

debe buscar un domicilio, una dirección que sea identificable desde
cualquier equipo conectado a la Red. Además es necesario que cada
agente tenga su dirección única.
Debido a que los usuarios de internet pueden tener dificultad para
acceder a una dirección concreta sin conocer el nombre del dominio, las
empresas frecuentemente registran el dominio de sus nombres o
marcas.
El hecho de que sea muy sencillo registrar un dominio, ha ocasionado
controversias legales y demandas por la pugna de los nombres del
dominio.
Los nombres de dominio se componen de dos elementos:
 El dominio del nivel superior y el dominio del segundo nivel:
El dominio del nivel superior hace referencia al dominio del sitio en
donde se encuentra el servidor, por ejemplo:
.pe (Perú), .fr (Francia), .es (España).

___________________________________________________
El dominio de segundo nivel describe una marca, una abreviatura u otra

frase que se desee.
Dado que el dominio no es lo mismo que una marca registrada,
empresas y/o personas registran sus dominios. Por ejemplo; Como
anécdota, una persona registró el dominio ¨”panavision.com”, luego
cuándo la compañía panavisión quiso registrarlo, no fue posible;
después de llegar a los tribunales, el dominio tuvo que ser cedido a la
compañía.
Esta práctica de robo de dominio ha dado mucho dinero a quienes se
adelantaron y registraron un dominio que contiene nombres de marcas
reconocidas. Este problema es tan grave que ha afectado a grandes
compañías.
Algunos ejemplos similares en Estados Unidos son los siguientes:
 La compañía de cosméticos AVON enfrentó a Carnetta Wong,
que registro el dominio avon.com.
 Adam Curry, empleado de la MTV, registro el dominio de
mtv.com. MTV no mostro mucho interés por el dominio hasta
que Curry dejo de trabajar para ellos.
 Joshua Quittner, escritor de la revista Wired, registro el dominio
mcdonalds.com para demostrar los problemas con el sistema de

asignación de dominios.
5.13.2 Relaciones jurídicas electrónicas internacionales
Se aplica los principios de la Conferencia de La Haya de Derecho

Internacional Privado:
 Los principios y procedimientos existentes: deben aplicarse por
medio de la interpretación.
 Normas sancionadas: deben ser neutrales tecnológicamente.
 Jurisdicción y ley aplicable a los contratos on-line:
oCumplimiento de la obligación principal fuera de la red:
se deberían aplicar las reglas existentes de derecho
internacional privado que se refieren al lugar de
cumplimiento.
o Cumplimiento de la obligación principal en la red: se
deben aplicar las reglas del lugar en que se encuentran
las partes involucradas.
 Transacciones electrónicas entre empresas: Principio general
sobre jurisdicción y ley aplicable: Autonomía de la voluntad.

___________________________________________________
Además, para las transacciones entre empresas y consumidores: deben

establecerse reglas de protección a los consumidores, y debe haber:
 Necesidad de identificación de las partes en la red.
 Jurisdicción por hechos ilícitos: deben mantenerse los puntos de
conexión del foro de la residencia habitual de la víctima o del
demandado
 Protección de datos: deben evitarse los sistemas que no aceptan
estándares generales y aquellos que exigen un marco rígido
para la recolección y transferencia de datos
 Sistemas de seguridad: la necesaria confidencialidad no debe
impedir el uso de formas electrónicas de transmisión
 Mecanismos de resolución de disputas on-line
5.13.3 Resolución de Conflictos en el Comercio Electrónico

Se puede acudir a:
 Tribunales judiciales o arbitrales.
 Métodos alternativos del ICANN (Internet Corporation for

Assigned Names and Numbers).
 Cyberarbitraje
5.14 Otros aspectos a tener en cuenta en caso de disputa
Propiedad Intelectual en el Comercio Electrónico
Aplicado a:
 Conflictos entre el derecho marcario y el registro de dominios de
Internet (“cybersquatting”)
 Difusión no autorizada en Internet de música y videos
(webcasters – caso Napster)
 E- Books

___________________________________________________
Problemas Tributarios en el Comercio Electrónico
Se puede presentar:
 Conflictos de jurisdicción tributaria - Situaciones de doble
imposición o de ausencia de imposición
 Los principios clásicos del derecho tributario internacional no son
aplicables al comercio electrónico: identificación precisa de las
partes, existencia de territorios con límites claros, existencia de
intermediarios que controlan y retienen los tributos, necesidad de
registros comerciales precisos, aplicación de tributos sobre
bienes físicos.
 Elaboración de las “Condiciones Tributarias Marco” y el
“Programa de Trabajo” del Comité de Asuntos Fiscales de la
Organización para la Cooperación y Desarrollo Económico
 Evasión fiscal por Internet
5.15 Comercio Electrónico, dificultades técnicas y jurídicas

Existen dificultades técnicas y jurídicas para la implantación del

Comercio Electrónico
Regulación:
 -- La firma electrónica y las Infraestructuras de clave pública
 -- La Directiva sobre Comercio Electrónico
 -- Los sellos de calidad
En lo que corresponde a la implantación de internet, un reciente informe
del “Mobile Web Watch 2012” refleja que un 61% de los internautas
acceden a Internet a través del smartphone, un 37 % lo hace a través de
ordenadores portátiles y un 22% a través de tablets. De esta forma se
confirma el liderazgo de los dispositivos inteligentes.
Dificultades técnicas
 Identificación de los usuarios de las comunicaciones

telemáticas: No es fácil saber quién los envía, a quién se envían
ni cuándo se envían

___________________________________________________
 Integridad de los mensajes: Los mensajes pueden ser
modificados por otra persona
 Confidencialidad de los mensajes: Pueden ser vistos por
otras personas
 Confianza en las transacciones: Basada en la implantación de
nuevas instituciones (empresas y entidades públicas):
proveedores de servicios de fiabilidad
Dificultades jurídicas
En los temas de:

 Seguridad jurídica
 La dignidad de la persona
 Protección de datos personales
 Secreto de las comunicaciones
 Libertad de mercado
 Defensa de los consumidores y usuarios
 Acción policial
Comentaremos algunos casos:

Seguridad jurídica (Cons. art.9.3): no existe cuando hay "un escrito
aparecido en un expediente municipal del que se ignora quién lo
presenta, cuándo lo presenta, en nombre de quien lo presenta y para
qué lo presenta..." (TS 3.ª S, 17 Jul. 1987. -Ponente: Sr. Martín Herrero),
de la misma forma no existe cuando los mensajes electrónicos, que
consisten en una simple testificación electrónica de su mera emisión y
recepción, no son fiables.
Dignidad de la persona y sus derechos inviolables que le son

inherentes (Cons. art. 10): no se pueden respetar cuando no se conocen
los datos reales del emisor o el receptor del mensaje.
Protección de datos personales

Intimidad y privacidad (Cons. art. 18): "implican la existencia de un
ámbito propio y reservado frente a la acción y conocimiento de los
demás, necesario según las pautas de nuestra cultura para mantener
una calidad mínima de vida humana"(TC 2.ª S, 231/1988 de 2 Dic.-
Ponente: Sr. López Guerra).

___________________________________________________
Secreto de las comunicaciones
Constitución art. 18.3

Este principio no se respeta cuando los mensajes pueden ser vistos e
incluso modificados por terceros.
El principio también puede ser vulnerado cuando se establecen
soluciones para paliar los defectos de Internet que radican la tutela del
secreto en instituciones que no ofrecen suficientes garantías.
Libertad de mercado
Libertad de empresa (Cons. art. 38): no se puede ejercitar cuando no

hay seguridad en el tráfico mercantil y no se conoce, con certeza, a los
compradores ni, por tanto, hay garantía con respecto a su capacidad de
pago.
Defensa de consumidores y usuarios (Cons. art. 51), no se puede

realizar cuando no se conoce quienes son los consumidores o los
vendedores.
La acción policial en las funciones de "averiguación del delito y

descubrimiento y aseguramiento del delincuente" (Cons. art. 126), no se
puede poner en práctica en el caso de que no existan previsiones para la
interceptación legal de las comunicaciones cifradas.
5.15.1 Soluciones jurídicas
Derecho comparado:
 Directrices para una política criptográfica de la OCDE (1997)
 Ley de firma digital del Estado de Utah (1995). Regulación sobre
firma electrónica por el Congreso y el Senado USA (2000)
 Ley alemana destinada a regular las condiciones generales de
los servicios de Información y Comunicación (1997)
 Regulación italiana sobre los criterios y modalidades para la
formación, el archivo y la transmisión de documentos con
instrumentos informáticos y telemáticos (1998)
 Regulación francesa sobre criptografía (1998 y 1999)

___________________________________________________
 Reino Unido.- Regulación sobre comunicaciones electrónicas,
criptografía especialmente: Regulation of Investigatory Powers
Act 2000
 Iniciativas de la Unión Europea (desde 1997): Directivas sobre
firma y Comercio Electrónico (enero y julio 2000)
Regulación jurídica (española)
 Firma electrónica e infraestructuras de clave pública

 Sobre Internet
 Sobre Comercio Electrónico
5.15.2 Firma e infraestructuras de clave pública
Tiene por objetivo: Establecer mecanismos básicos precisos para un uso

seguro y confiable de las telecomunicaciones
Regulación:
Real Decreto Ley 14/1999 de 17 de Septiembre sobre firma
electrónica
 Directiva 1999/93/CE por la que se establece un marco
comunitario para la firma electrónica, aprobada por el
Parlamento y el Consejo de la Unión Europea el 13 de diciembre
de 1999
 Ley 1/2000 de 7 de enero, de Enjuiciamiento Civil
 Orden de 21 de Febrero de 2000, Ministerio de Fomento. Se
aprueba el Reglamento de acreditación de prestadores de
servicios de certificación y de certificación de determinados
productos de firma electrónica
 Real Decreto 1906/99, de 17de diciembre de 1999 por el que se
regula la contratación telefónica o electrónica con condiciones
generales
Principios básicos de la regulación
 Cifrado
 Infraestructura de clave pública
 Vocabulario jurídico (a partir de la regulación española

___________________________________________________
5.15.3 Directiva sobre Comercio Electrónico (julio 2000)
 El mercado interior: el libre establecimiento en la UE de servicios

de la sociedad de la información
 Establecimiento de prestadores de servicios: requisitos
 Comunicaciones comerciales: características
 Contratos por vía electrónica
 Responsabilidad de los intermediarios: proveedores de acceso a
las comunicaciones
 Códigos de conducta
 Acuerdos extrajudiciales para la solución de litigios
 Recursos judiciales
 Cooperación entre los Estados miembros
Normativa prevista: materias

 Régimen de establecimiento de los prestadores de servicios*

 Comunicaciones comerciales
 Contratación por vía electrónica*
 Responsabilidad de los prestadores de servicios, incluidos los
intermediarios
 Códigos de conducta: promoción por asociaciones
 Resolución judicial y extrajudicial de los conflictos*
 Infracciones y sanciones
Prestador de servicios*
La persona física o jurídica que suministra un servicio de la sociedad de

la información como la contratación de bienes o servicios en línea, la
organización de mercados virtuales, la realización de comunicaciones
comerciales, el suministro de información en línea, el ofrecimiento de
instrumentos de búsqueda, acceso y recopilación de datos, el
alojamiento de información, aplicaciones o servicios, la distribución de
contenidos bajo demanda o la transmisión de información a través de
una red de comunicación.

___________________________________________________
Régimen jurídico del prestador*

 Libre competencia
 Registro de prestadores en el Ministerio de Ciencia y Tecnología
 Obligación de supervisar el contenido de los datos e
informaciones objeto de servicio
 Obligación de informar sobre sus datos identificativos
 Régimen de responsabilidad ajustado a las características del
servicio prestado
5.15.4 Contratos por vía electrónica*
 Plena validez (abril 2013, cambia según ley)

 Se aplican la regulación sobre contratos y, particularmente, la
relativa a firma electrónica
 Requisitos de información a satisfacer por el prestador de
servicios*
 Procedimiento para realizar una petición*

 Lugar de celebración de contrato: se presume que lo es el del
establecimiento del prestador.
5.15.4.1 Contrato Electrónico

Presentamos algunas definiciones:
 “El contrato electrónico es el intercambio telemático de
información entre personas que da a una relación comercial,
consistente en la entrega en línea de bienes intangibles o en un
pedido electrónico de bienes tangibles”.
 “Se denomina contratación electrónica o por medios
informáticos, a la que se realiza mediante la utilización de algún
elemento electrónico, con influencia decisiva, real y directa sobre
la formación de la voluntad, el desenvolvimiento o la
interpretación de un acuerdo”.

___________________________________________________
Aspectos Generales sobre los Contratos Electrónicos

 Contrato celebrado por medios electrónicos: es ante todo un
contrato (art. 1137 del Código Civil).
 Contratos de adhesión.
 Son plenamente aplicables las normas referentes a los contratos
civiles, comerciales y de consumo.
 Clases de contratos electrónicos: contratos entre empresas,
contratos entre empresas y consumidores, y contratos entre
consumidores.
 Contratos electrónicos totales o parciales.
Elementos del Contrato Electrónico:

 Presupuesto de validez: Capacidad
 Consentimiento Online
 Objeto
 Causa
 Forma
Capacidad:
Problema: dificultad para identificar a las partes
 Sistemas de identificación:
(i) la tarjeta magnética (existe riesgo que sea utilizado por otro
sujeto);
(ii) la clave magnética;
(iii) el número de código (puede ser utilizado por otro sujeto);
(iv) la palabra de orden;
(v) el reconocimiento del timbre de la voz (si se lo combina con otros
métodos);
(vi) la impresión digital;
(vii) el reconocimiento y memorización de la firma del usuario; y
(viii) la firma digital, con los efectos jurídicos que produce en nuestro
derecho presumiendo la autoría del mensaje (ley 25.506).

___________________________________________________
 Contratos internacionales: Norma de conflicto aplicable

determina el derecho que rige la capacidad de la persona.
Derecho argentino: se regula por la ley de domicilio de la
persona (art. 6 y 7 Código. Civil.)
Consentimiento Online:
 Oferta y Aceptación: Manifestaciones de la voluntad suelen ser
expresadas por medios digitales entre personas comunicadas
por sistemas informáticos interconectados.
 Diferencias entre la oferta y la invitación a ofertar.
 Perfeccionamiento del consentimiento por correo electrónico: se
utilizan las reglas aplicables a los contratos entre ausentes.
Contratos celebrados entre computadoras o dispositivos

automáticos
Diversas alternativas teóricas:

 Tratar al ordenador como una persona jurídica
 Asignarle el carácter de una mera máquina:

o Exceptuar el requisito de la voluntad del agente
o Ficción que las comunicaciones entre computadoras
derivan realmente de un controlador humano
o Negar la validez de tales transacciones
Caso norteamericano “Star Farm Mutual Auto Ins. Co. v. Bockhurst” (453
F2d. 533 – 1th Cir. 1972): Se resolvió que una compañía de seguros se
obliga por la respuesta automática otorgada a la solicitud de renovación
de la póliza, ya que el ordenador obra de acuerdo con la información y
las instrucciones de su operador.
Objeto del Contrato Electrónico
 Lícito
 No sea contrario a la moral y a las buenas costumbres
 Material y jurídicamente posible
 Prestaciones:
o materiales (si el contrato sólo es electrónico en cuanto a
la formación del consentimiento)
o electrónicas (bienes o servicios electrónicos)

___________________________________________________
Forma de los Contratos Electrónicos

 Principio general: Libertad de Formas.
 Ciertos contratos requieren una forma especial en carácter ad
probationem o ad solemnitatem.
 Contratos internacionales:
o Necesidad de una forma determinada: determinado por
la lex contractus.
o Validez de la forma adoptada: dependerá de la locus
regit actum.
Prueba de los Contratos Electrónicos
 Contratos firmados electrónicamente: equiparados a un

documento particular no firmado.
 Contratos firmados digitalmente: equiparados a un documento
privado (art. 6 de la ley 25.506)
5.15.4.2 Contrato Informático
Es un contrato cuyo objeto consiste en un bien y/o servicio informático.

 Bienes Informáticos: Incluye todos los elementos materiales del
Hardware (todo lo que configura el soporte físico del ordenador),
y todos los bienes inmateriales que conforman el Software (datos
o procedimientos que conforman el elemento lógico del soporte
informático)
Solución extrajudicial y judicial de conflictos*
En estas situaciones:
 Cabe acudir al arbitraje (ley de arbitraje, ley de defensa de
consumidores y usuarios, ley de condiciones generales de
contratación...)
 Cabe establecer una cláusula en los contratos electrónicos que
permita emplear medios telemáticos en el arbitraje
 Cabe acudir a los tribunales ordinarios

___________________________________________________
5.15.4.3 Sellos de calidad

Su objetivo es aplicar las Prácticas e instituciones que facilitan la puesta
en acción de la regulación sobre Internet y el Comercio Electrónico
Un Sello Calidad Web es un sistema de autorregulación sin ánimo de
lucro cuya misión es analizar, verificar y garantizar los contenidos de una
página web que desee certificarlos como contenidos representativos,
creíbles, eficaces, y desprovistos de elementos nocivos.
El objetivo es verificar la calidad, la confianza online y la seguridad en

web y en Internet, mediante la supervisión basada en un código ético de
regulación, y la concesión de Sellos Calidad.
Sus ámbitos de actuación son:

 La promoción de la regulación y la fiabilidad de los contenidos en
la página web y en Internet
 La verificación de la calidad de los contenidos de cualquier
soporte con formato digital.
 La concesión de un sello de certificación de calidad de las
páginas web que lo exhiben.
Los Sellos de Calidad pretenden extender la tarea de regulación de

contenidos de sitios en Internet a todos los sectores, centrando su
atención especialmente en la protección de menores y adolescentes, al
mismo tiempo que en todos los aspectos referentes a la accesibilidad y
la usabilidad, proporcionando toda la información relativa a nuestro
sistema de autorregulación, así como de las empresas adheridas al
sistema.
El sello de calidad*
 El sello como certificado de calidad
 Aporta conocimientos actualizados y buenas prácticas sobre
Comercio Electrónico
 Garantiza la reparación de transacciones imperfectas
 Otorga fiabilidad a las comunicaciones comerciales
 Se puede consultar automáticamente


Comercio Electrónico y Aspectos Prácticos de Implementación

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Comercio Electrónico y Aspectos Prácticos de Implementación

Cargado por

Copyright:

Formatos disponibles

5.

SEGURIDAD EN LOS NEGOCIOS ELECTRÓNICOS Y

5.1 Seguridad Informática

Por ello, es recomendable que tanto el usuario como el administrador de

191 prácticos de implementación con Magento,

El administrador de la red deberá seguir estas recomendaciones

• Implementar estrategias para la creación de copias de respaldo.

Podemos encontrarnos con diferentes tipos de vulnerabilidades en

192 prácticos de implementación con Magento,

Comentaremos a continuación algunas formas que permiten lograr dicha

Proceso de validación de la identidad de un usuario final para asegurar

Las técnicas que se pueden aplicar para autenticar pueden ser:

Sin embargo es destacable aquellas técnicas que son de carácter

193 prácticos de implementación con Magento,

5.2.1 Autenticación con contraseña de un solo uso o OTP (One-

La autenticación con contraseña de un solo uso o OTP (One-Time

Figura 5.1 Ejemplo de cómo funciona el “One Time Password” (OTP)

194 prácticos de implementación con Magento,

5.2.2 Token de autenticación o token criptográfico.

Es un dispositivo electrónico que se le da a un usuario autorizado de un

 Los tokens electrónicos tienen un tamaño pequeño y son

Figura 5.2 Token de autenticación

5.2.3 Token de autenticación móvil. “Mobile Token o Token Celular”

Constituye una solución de Seguridad Robusta y Accesible con amplia

195 prácticos de implementación con Magento,

Figura 5.3 Token de autenticación móvil

En el siguiente esquema se comenta los beneficios de este método

Figura 5.4 Beneficios del SIM OTP

196 prácticos de implementación con Magento,

5.3 Seguridad Biométrica

La biometría (del griego bios vida y metron medida) es el estudio de

 Utiliza el patrón de conducta de tipeo sobre el teclado para

197 prácticos de implementación con Magento,

Figura 5.5 Password Biométrico

La criptografía es una necesidad, ya que el desarrollo de las

La criptografía es una parte de la criptología, la cual viene del griego

Figura 5.6 Proceso Criptográfico

198 prácticos de implementación con Magento,

Proceso mediante el cual el mensaje llano se transforma en un mensaje

Figura 5.7 Proceso de Encriptación

Proceso inverso, en el cual el texto cifrado se convierte nuevamente en

Figura 5.8 Proceso de Desencriptación

199 prácticos de implementación con Magento,

Un buen sistema criptográfico será aquel que ofrezca un descifrado

Es el mecanismo para proporcionar confidencialidad a través de

 Protege la información almacenada en la computadora contra

 Protege la información mientras transita de un sistema de

Sin embargo, también se tiene desventajas, entre otros podemos citar:

 No puede prevenir que un agresor borre intencionalmente todos

 Algoritmo cifrador (cifra y descifra datos)

200 prácticos de implementación con Magento,

Los “algoritmos de llave privada” presentan las siguientes ventajas:

 El descifrado utiliza el mismo algoritmo pero con las llaves en

Pero estos algoritmos también tienen las siguientes desventajas:

 Quedan algunas incógnitas por resolver

201 prácticos de implementación con Magento,

Figura 5.9 Proceso de Confidencialidad/Autenticación/Integridad/No Repudio/Seguridad

202 prácticos de implementación con Magento,

5.5.1 Criptosistemas Hibridos público/privado

La criptografía de llave pública se puede utilizar en conjunción con la

5.6 La Criptografía y la Seguridad en la Web

Los aspectos de seguridad a considerarse para participar en comercio

CONFIDENCIALIDAD.- “Evitar la exposición innecesaria de la

203 prácticos de implementación con Magento,