Seguridad en Comercio Electrónico

 Menacho Terrazas José Luis

 Colque López José

 Camacho Lino Keyla

 Vargas Rivera Fernando

 Ayala Antelo Viviana

Ingeniería Comercial, Facultad de Ciencias Económicas y

Empresariales, Universidad Autónoma Gabriel Rene Moreno

Sistema de Información Gerencial

Grupo “A”

Ing. Leoncio Fernando Menacho Postigo

Santa Cruz 16 de abril de 2023

1.- Presentación

Este es un trabajo de investigación el cual se explica brevemente y de forma adecuada el tema

de la Seguridad en el Comercio Electrónico, en el cual se resalta puntos importantes como ser

el sistema de seguridad para transacciones por internet, requisitos para mantener la seguridad,

tipos de fraudes y los servidores seguros; el cual se pone en práctica el día a día en cada

transacción que se realiza.

2.- Resumen

En este trabajo de investigación se analiza cada punto relevante que interviene en una

transacción mediante el comercio electrónico. Se presenta información de diferentes fuentes

confiables en el cual nos dan pautas sobre la seguridad en el comercio electrónico y las partes

que intervienes; los posibles tipos de riesgos y fraudes más frecuentes. Se trabajó de manera

minuciosa para averiguar los procesos a seguir de una manera segura y eficaz. Una de las

formas más efectivas de conseguir la máxima seguridad en el comercio electrónico es con un

cifrado de datos. El cifrado ofrece un medio para demostrar la autenticidad y el origen de la

información.
 Seguridad en el Comercio Electrónico

3. Sistema de seguridad para transacciones por internet

El sistema de seguridad permitirá orientar al empresario sobre los elementos necesarios

para mantener la seguridad en sus transacciones de comercio electrónico.

3.1 La encriptación

Es el proceso mediante el cual cierta información o texto sin formato es grabado deforma que el

resultado sea ilegible a menos que se conozcan los datos necesarios para su interpretación. Es

una medida de seguridad utilizada para que al momento de almacenar o transmita información

sensible ésta no pueda ser obtenida con facilidad por terceros. Opcionalmente puede existir

además un proceso de desencriptación a través del cual la información puede ser interpretada

de nuevo a su estado original, aunque existen métodos de encriptación que no pueden ser

revertidos. El término encriptación es traducción literal del inglés y no existe en el idioma

español. La forma más correcta de utilizar este término seria bloqueado

3.2 Firma digital

Es una herramienta tecnológica y normativa que permite garantizar la autoría, integridad y no

repudio de los documentos digitales (Ej.: correo electrónico, documento en Word, declaración

de mercancías en el SUMA). De esta forma, estos documentos gozan de características que

únicamente eran propias de los documentos en papel. En nuestro país la Firma Digital tienen

validez jurídica y probatoria, por lo cual es equivalente a la firma manuscrita.

Una firma digital es un conjunto de datos asociados a un documento digital que permite

garantizar la identidad del firmante y la integridad del documento. En su versión de una huella
digital electrónica que está incrustada en un documento. El proceso incorpora un algoritmo que

encripta la firma para generar un certificado digital único. Este certificado es un recibo que

asocia de forma segura a un firmante con cualquier interacción dentro del documento y un

firmante debe tener este certificado para estar asociado con un documento específico. Esto

hace que la manipulación indebida sea prácticamente imposible y garantiza la integridad y

seguridad de sus documentos digitales.

Básicamente la Firma Digital cumple tres funciones:

 Autenticación: garantiza la integridad del firmante del documento, es decir, que el

documento ha sido firmado por la persona que dice haberlo firmado.

 Integridad: asegura la integridad del mensaje, esto es, que la información contenida en

el documento digital no ha sido modificada luego de su firma.

 No repudio: garantiza que el firmante no pueda negar el contenido del documento o la

veracidad de la firma.

3.3 Firmas electrónicas

Con la llegada del comercio electrónico se hizo necesaria la implementación de mecanismos de

seguridad que otorgaran certidumbre a las transacciones comerciales, siendo la firma

electrónica uno de los más utilizados hasta día de hoy.

Es una indicación, pero en formato electrónico de la intención de una persona de aceptar el

contenido de un documento o un conjunto de datos con los que se relaciona la firma.

Al igual que su contraparte manuscrita, una firma electrónica es un concepto legal que captura

la intención del signatario de quedar obligado por los términos del documento firmado.

Una firma electrónica, es una forma eficiente de firmar digitalmente sus documentos. Es un

método legalmente viable para obtener la aprobación o el consentimiento de los documentos

digitales. Una firma electrónica se puede utilizar en cualquier caso en el que se utilice su firma

física y es el equivalente en línea de su firma. La definición formal de una firma electrónica es

"un sonido, símbolo o proceso electrónico adjunto o asociado lógicamente con un registro...

adoptado por una persona con la intención de firmar el registro".

3.3.1 Funcionamiento de la firma electrónica

El funcionamiento de la firma electrónica se basa en un par de números "la llave pública y la

llave privada" con una relación entre ellos. La llave privada se resguarda por parte del firmante

en tanto que la clave pública, en cambio, se distribuye junto con el mensaje o documento

firmado.

Diferencia entre firma electrónica y digital

Propósito: una firma digital se usa con la intención de proteger un documento y se usa con

frecuencia cuando los documentos digitales deben cumplir con los requisitos reglamentarios,

como, entre otros, la recopilación de pruebas en casos judiciales, así como documentos de

litigios, informes de investigación médica o documentos que requieren sellos profesionales. Las

firmas electrónicas, por otro lado, se utilizan para verificar un documento e indicar el

consentimiento en nombre del firmante. Por lo general, se utilizan con documentos digitales

menos confidenciales, como facturas y contratos.

Seguridad: se crea y aplica una firma digital mediante el uso de algoritmos criptográficos en el

cifrado y descifrado de documentos digitales. La firma digital está regulada y verificada por las

autoridades de certificación, y para que sea verificada es necesario proporcionar una prueba de

identidad. Con la firma electrónica no se utilizan algoritmos.

Cómo se representa: con las firmas digitales, la "huella digital" se incrusta en el documento

firmado con la creación del certificado digital. Una firma electrónica se puede representar de
innumerables formas, no se limita a la versión electrónica de su firma manuscrita, sino a una

contraseña, un código pin o cualquier otra forma de confirmación o consentimiento.

3.4 Certificados de autenticidad: Esta seguridad dota de funcionalidad e integridad y

autenticidad de los datos del remitente de los mensajes para que estos estén garantizados

mediante firma electrónica, pero no permite que el remitente cambie la identidad del mismo

utilizando su clave pública. Para evitar esto, las claves públicas deben compartirse a través de

canales seguros, con certificados originales obtenidos por autoridades de certificación. En

efecto, SET utiliza dos conjuntos de claves asimétricas, y cada parte tiene dos certificados raíz,

uno para el intercambio de claves simétricas y otro para procedimiento de firma electrónica.

3.5 Criptografía: Es la ciencia que trata del enmascaramiento de la comunicación de modo

que sólo resulte inteligible para la persona que posee la clave, o método para averiguar el

significado oculto, mediante el criptoanálisis de un texto aparentemente incoherente. En su

sentido más amplio, la criptografía abarca el uso de mensajes encubiertos, códigos y cifras.

La palabra criptografía se limita a veces a la utilización de cifras, es decir, métodos de

transponer las letras de mensajes (no cifrados) normales o métodos que implican la sustitución

de otras letras o símbolos por las letras originales del mensaje, así como diferentes

combinaciones de tales métodos, todos ellos conforme a sistemas predeterminados. Hay

diferentes tipos de cifras, pero todos ellos pueden encuadrarse en una de las dos siguientes

categorías: transposición y sustitución.

3.6 Protocolo SET: Secure Electronic Transactions es un conjunto de especificaciones

desarrolladas por VISA y MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft,

Netscape, SAIC, Terisa y Verisign, que da paso a una forma segura de realizar transacciones

electrónicas, en las que están involucrados: usuario final, comerciante, entidades financieras,

administradoras de tarjetas y propietarios de marcas de tarjetas.

SET constituye la respuesta a los muchos requerimientos de una estrategia de implantación del

comercio electrónico en Internet, que satisface las necesidades de consumidores,

comerciantes, instituciones financieras y administradoras de medios de pago.

Por lo tanto, SET dirige sus procesos a:

· Proporcionar la autentificación necesaria.

· Garantizar la confidencialidad de la información sensible.

· Preservar la integridad de la información.

· Definir los algoritmos criptográficos y protocolos necesarios para los servicios anteriores.

3.7 Los Certificados SSL: representan un componente esencial del proceso de cifrado de

datos que hace que las transacciones en Internet sean seguras. Son pasaportes digitales que

proporcionan autenticación para proteger la confidencialidad y la integridad de la comunicación

del sitio web con los navegadores.

El certificado SSL permite iniciar sesiones seguras mediante protocolo SSL. No puede

establecer conexiones seguras sin un certificado SSL que conecte digitalmente la información

de la empresa con una clave criptográfica.

Cualquier organización que se dedique al comercio electrónico debe contar con un certificado

SSL en su servidor para proteger información de clientes, información de la empresa y

transacciones financieras.
4. REQUISITOS PARA MANTENER LA SEGURIDAD

Es mantener y actualizar la seguridad es una prioridad fundamental para cualquier

empresa que trabaje con las nuevas tecnologías, ya sea en Internet o no. Cuando hablamos de

seguridad en el comercio electrónico destacamos cuatro aspectos básicos:

• Autentificación. Es una herramienta importante para garantizar que la persona adecuada

acceda a tus recursos. Evita el acceso no autorizado y garantiza que tu personal de seguridad,

y nadie más, acceda a tu sistema cuando inician sesión y Consiste en verificar la identidad de

los agentes participantes en una comunicación o intercambio de información. Las formas más

comunes de autentificarse son las basadas en claves, las basadas en direcciones y la

criptografía. Esta última es la más segura, ya que, en las otras dos, existe la posibilidad de que

alguien intercepte la información y pueda suplantar la identidad del emisor.

• Confidencialidad. Este aspecto de la seguridad permite mantener en secreto la información y

que sólo los usuarios autorizados puedan manipularla. Para mantener la confidencialidad se

utilizan técnicas de encriptación o codificación de datos.

• Integridad. Es el pilar de la seguridad de la información que se refiere al mantenimiento de la

precisión y consistencia de los datos, así como de los otros sistemas corporativos durante los

procesos o el ciclo de vida del negocio. Se consigue mediante el uso de firmas digitales.

• No repudio. Este aspecto consiste en comprobar que los participantes en la transmisión de

información realmente han participado en ella. Con esto conseguimos, a ambos lados de la

comunicación, que quien ha mandado el mensaje no pueda renegar de él.

5. TIPOS DE FRAUDES MÁS FRECUENTES EN EL COMERCIO ELECTRÓNICO

Según la Comisión Federal de Comercio de Estados Unidos, los fraudes más

Frecuentes en el comercio electrónico son:

•Fraude de triangulación .Una técnica de fraude reciente ha hecho furor en el mundo del

comercio electrónico. Se denomina fraude de triangulación y consiste en un cliente legítimo,

una tienda online legítima y una tienda online falsa operada por un estafador que tiene acceso

a los datos de la tarjeta de crédito robada.

• Subastas. Mayor mente en los mercados virtuales ofrecen una amplia variedad de productos

a precios muy bajos. Una vez que el consumidor ha enviado el dinero puede ocurrir que

reciban algo con menor valor de lo que creían, o peor todavía, que no reciban nada.

• Acceso a servicios de Internet. El consumidor recibe una oferta de servicios gratuitos. La

aceptación lleva implícita el compromiso de contrato a largoplazo con altas penalizaciones en

caso de cancelación.

• Tarjetas de crédito. Consiste en un engaño al comerciante en la compra de un producto sin

que se ejecute el pago, y se usan tarjetas de crédito que simulan la transacción aprobada En

algunos sitios de Internet, especialmente para adultos

• Servicios gratuitos. Se dan a conocer una página personalizada y gratuita durante un

período de 30 días. Los consumidores descubren que se les ha cargado facturas a pesar de no

haber pedido una prórroga en el servicio.

• Ventas piramidales. Consiste en ofrecer a los usuarios falsas promesas de ganar dinero de

manera fácil sólo por vender determinados productos a nuevos compradores que estos deben

buscar.

• Viajes y vacaciones. Determinadas páginas de Internet ofrecen destinos maravillosos de

vacaciones a precios de ganga, que a menudo encubren una realidad completamente diferente

o inexistente.
• Oportunidades de negocio. En la Red abundan las ofertas para ganar fortunas invirtiendo en

una aparente oportunidad de negocio que acaba convirtiéndose en una estafa.

• Inversiones. Las promesas de inversiones que rápidamente se convierten en grandes

beneficios no suelen cumplirse y comportan, grandes riesgos para los usuarios. Como norma

general, no es , recomendable fiarse de las páginas que garantizan inversiones con ,seguridad

del 100%.

6. SERVIDORES SEGUROS

Un servidor seguro es un servidor de datos o aplicaciones al que se le han

aplicado configuraciones para resistir mejor ataques de terceros desde Internet (hardening). Así

se consigue mitigar intrusiones remotas, ataques man in the middle, inyecciones de código

malicioso, ataques DOS y DDOS, etc.

También se considera como servidores seguros a aquellos que usan un certificado SSL/TLS

para encriptar la información utilizando algoritmos especializados aseguran el tránsito de los

datos entre el cliente y servidor web.

Todos los servidores deberían asegurarse contra ataques externos e internos, pero cobran

especial atención aquellos que son utilizados para alojar información sensible de personas,

empresas u organizaciones, tales como:

 Datos personales como direcciones, nombres o teléfonos

 Datos digitales como email, usuarios y contraseñas

 Información de tarjetas de crédito, bancos y otras entidades financieras.

El funcionamiento de un servidor seguro es el siguiente: un cliente accede a,

un sitio web a través de la dirección y, una vez establecida la conexión,

solicita, una conexión segura. Entonces, si se trata de un servidor seguro,

éste responderá a la solicitud enviándole un certificado electrónico, en el cual

vendrá integrada una clave de la autoridad de certificación. Después, el

cliente generará una clave encriptada y se la enviará al servidor. A partir de

aquí, ambos podrán establecer una comunicación segura basada en las

claves que sólo ellos conocen.

El uso de servidores seguros es un elemento imprescindible en todos

aquellos, servicios que utilicen información confidencial, como operaciones,

bancarias en línea, compras por Internet, acceso a servidores de datos

sensibles, etc.

Los clientes sabrán que se encuentra en un servidor seguro porqué la

dirección, de la página web comenzará por "https", en vez por "http". Además,

en la parte, inferior derecha de la ventana del navegador aparecerá un

candado cerrado.

VIRUS

Es un programa malicioso desarrollado por programadores que infecta un sistema para realizar

alguna acción determinada.

Puede dañar el sistema de archivos, robar o secuestrar información o hacer copias de sí mismo

e intentar esparcirse a otras computadoras utilizando diversos medios.

El término usado para englobar todos estos códigos es "malware", formado por la unión de las

palabras malicious y software, es decir, software maléfico.

Aunque existen muchas definiciones, un virus es sencillamente un programa

con capacidad de reproducirse por sí mismo, cuyo objetivo es propagarse.

Una de las principales formas de propagación de los virus consiste en la

utilización del correo electrónico, generalmente en forma de archivos anexos

al mensaje de correo. El virus infecta un archivo, y cuando éste es enviado

por correo y el destinatario lo abre, el virus se empieza a extender por su

equipo.

Una modalidad más inteligente de este tipo de contagio es cuando el virus es

capaz de acceder a la libreta de direcciones del programa de correo, ya que

entonces, la mayor parte de las veces sin necesidad de intervención del

usuario, el virus empieza a enviar e-mails a las direcciones presentes en la

libreta, enviando a la vez el archivo infectado, con lo que el proceso de

contaminación continúa.

Para evitar que un virus infecte nuestro ordenador, es necesario utilizar un

antivirus. Los antivirus son programas que analizan los archivos, localizando

los virus y eliminándolos. Sin embargo, aparecen virus nuevos todos los días,

por lo que resulta imprescindible actualizar permanentemente nuestro

antivirus.

Para mantener la seguridad en las redes, es decir, impedir el acceso no

autorizado, existen los denominados cortafuegos o firewalls.

Un cortafuego es un sistema diseñado para impedir el acceso no autorizado

a una red interna o desde una red interna. Lo que hace un cortafuegos es

controlar la información que circula por las redes, de manera que cada

paquete de datos vaya donde tenga que ir, desde la red

Internet a nuestra red privada y viceversa, al mismo tiempo que contiene la

política de seguridad especificada por el administrador del sistema.

La política de seguridad de un cortafuego es una parte esencial de su

efectividad y permiten definir la manera en que cada organización ve la

seguridad de la red interna.

El administrador del sistema puede, a través del cortafuego:

• Definir qué usuarios tienen la palabra clave de acceso autorizada

• Definir a qué aplicaciones y datos tiene acceso cada usuario

• Llevar un registro de los accesos realizados por cada usuario

autorizado

• Evitar que la intrusión pueda cambiar la configuración de la aplicación

residente

• Controlar los accesos entre la red privada y el servidor como punto de

entrada

• Llevar un registro de todas las incidencias que se produzcan

7. CONSEJOS PARA AUMENTAR Y TRANSMITIR SEGURIDAD

1) Ofrecer información clara y concisa sobre los productos y sus condiciones.

2) Usar un servidor seguro para alojar las páginas del comercio.

3) Añadir políticas de seguridad al servidor del comercio para aumentar la confianza

de los clientes en las compras.

4) Cuidar la privacidad de los datos del cliente. Solicitar sólo los datos necesarios.

5) Aportar a los clientes información sobre la política de privacidad de la empresa.

6) Ofrecer varias alternativas de pago.

Bibliografía

https://www.academia.edu/8322242/QU%C3%89_ES_LA_ENCRIPTACI%C3%93N#:~:text=Encriptaci
%C3%B3n%20es%20el%20proceso%20mediante,datos%20necesarios%20para%20su%20interpretaci
%C3%B3n

https://www.aduana.gob.bo/infosuma/firma.php#:~:text=Una%20firma%20digital%20es%20un,y%20la
%20integridad%20del%20documento

https://www.sign.plus/es/blog/difference-between-digital-signature-electronic-signature

http://web.uaemex.mx/fise/0_1_inciso.html#:~:text=El%20funcionamiento%20de%20la%20firma,el
%20mensaje%20o%20documento%20firmado
https://www.google.com/search?q=integridad+
+de+sefuridad&ei=WBo8ZPfENauR1sQPj5CEyAM&ved=0ahUKEwj30JrI4a7-
AhWriJUCHQ8IATkQ4dUDCA8&uact=5&oq=integridad+
+de+sefuridad&gs_lcp=Cgxnd3Mtd2l6LXNlcnAQAzIHCAAQDRCABDIGCAAQHhANMggIABAFEB4QDTIICAA
QBRAeEA0yCggAEAUQHhANEA8yCAgAEAgQHhANMgoIABAIEB4QDRAPOgoIABBHENYEELADOggIABAeEA
0QDzoICAAQBxAeEAo6CwgAEAcQHhDxBBAKOgoIABAIEAcQHhAKOg0IABAIEAcQHhDxBBAKOg0IABAIEB4
QDRAPEPEEOggIABCJBRCiBDoFCAAQogRKBAhBGABKBQhAEgExUJkSWL5YYM9daARwAXgAgAFxiAGeEZIB
BDI0LjKYAQCgAQHIAQjAAQE&sclient=gws-wiz-serp

https://seon.io/es/recursos/fraudes-del-comercio-electronico/

https://www.banesco.com/seguridad/banca-por-internet-y-banca-movil/tipos-de-fraude-que-ocurren-
en-la-banca-electronica

https://www.entrust.com/es/resources/certificate-solutions/learn/how-does-ssl-work

https://sites.google.com/site/webcelectronico/-en-que-consiste-el-comercio-electronico/
seguridad-en-el-comercio-electronico

https://www.academia.edu/8322242/QU%C3%89_ES_LA_ENCRIPTACI

%C3%93N#:~:text=Encriptaci%C3%B3n%20es%20el%20proceso%20mediante,datos

%20necesarios%20para%20su%20interpretaci%C3%B3n

https://www.aduana.gob.bo/infosuma/firma.php#:~:text=Una%20firma%20digital%20es

%20un,y%20la%20integridad%20del%20documento

https://www.sign.plus/es/blog/difference-between-digital-signature-electronic-signature

http://web.uaemex.mx/fise/0_1_inciso.html#:~:text=El%20funcionamiento%20de%20la

%20firma,el%20mensaje%20o%20documento%20firmado

https://www.entrust.com/es/resources/certificate-solutions/learn/how-does-ssl-work

https://sites.google.com/site/webcelectronico/-en-que-consiste-el-comercio-electronico/

seguridad-en-el-comercio-electronico

https://www.google.com/search?q=integridad+

+de+sefuridad&ei=WBo8ZPfENauR1sQPj5CEyAM&ved=0ahUKEwj30JrI4a7-
AhWriJUCHQ8IATkQ4dUDCA8&uact=5&oq=integridad+

+de+sefuridad&gs_lcp=Cgxnd3Mtd2l6LXNlcnAQAzIHCAAQDRCABDIGCAAQHhANMggI

ABAFEB4QDTIICAAQBRAeEA0yCggAEAUQHhANEA8yCAgAEAgQHhANMgoIABAIEB

4QDRAPOgoIABBHENYEELADOggIABAeEA0QDzoICAAQBxAeEAo6CwgAEAcQHhDxB

BAKOgoIABAIEAcQHhAKOg0IABAIEAcQHhDxBBAKOg0IABAIEB4QDRAPEPEEOggIA

BCJBRCiBDoFCAAQogRKBAhBGABKBQhAEgExUJkSWL5YYM9daARwAXgAgAFxiAG

eEZIBBDI0LjKYAQCgAQHIAQjAAQE&sclient=gws-wiz-serp

https://seon.io/es/recursos/fraudes-del-comercio-electronico/

https://www.banesco.com/seguridad/banca-por-internet-y-banca-movil/tipos-de-fraude-

que-ocurren-en-la-banca-electronica