Universidad Politécnica de

Honduras

Protección de la Información en Medios

Electrónicos
Seguridad de la Información
Ing. Sindy Yanely Barahona Izaguirre
Introducción

 El comercio electrónico necesita garantizar una seguridad

técnica y jurídica que impida un anormal funcionamiento del
negocio o una desconfianza en el medio utilizado para
comerciar.
 En este sentido se han aportado una serie de soluciones,
propuestas por los organismos de normalización, para evitar los
posibles peligros u operaciones ilegales a los que puede estar
sometida Internet. 
Protocolos de Seguridad

 Son un conjunto de reglas que gobiernan dentro de la

transmisión de datos entre la comunicación de dispositivos para
ejercer una confidencialidad, integridad, autenticación y el no
repudio de la información.
 Son soluciones tecnológicas que buscan asegurar que los datos
relativos a una transacción comercial puedan ser transmitidos al
comerciante de forma segura.
Protocolos de Seguridad

 Se componen de:

Criptografía (Cifrado de datos): Lógica (Estructura y Identificación (Autenticación):

Se ocupa del cifrado de mensajes secuencia): Es una validación de
un mensaje es enviado por el Llevar un orden en el cual se identificación es la técnica
emisor lo que hace es mediante la cual un proceso
transposicionar o ocultar el
agrupan los datos del mensaje comprueba que el compañero de
mensaje hasta que llega a su el significado del mensaje y comunicación es quien se supone
destino y puede ser descifrado por saber cuando se va enviar el que es y no se trata de un
el receptor. mensaje. impostor.
SSL (Secure Socket Layer)

 Permite mantener segura una conexión a Internet, así como para

proteger cualquier información confidencial que se envía entre
dos sistemas e impedir que los delincuentes lean y modifiquen
cualquier dato que se transfiera, incluida información que
pudiera considerarse personal.
 El protocolo TLS (Transport Layer Security, Seguridad de la
Capa de Transporte) es solo una versión actualizada y más segura
de SSL que utilizan algoritmos de cifrado ECC, RSA o DSA.
SSL (Secure Socket Layer)

SSL ofrece:
1. Autenticación: ya que asegura la identidad del servidor participante en la
comunicación.
2. Confidencialidad: ya que asegura que la información transmitida en la
comunicación entre el cliente y el servidor sólo sea legible por estas dos entidades.
3. Integridad: ya que asegura que la información transmitida en la comunicación entre
el cliente y el servidor no haya sido alterada en su viaje por la red.
Para poder ofrecer estos servicios de seguridad, SSL hace uso de la criptografía y de los
certificados digitales 40 bits (criptografía simple) o certificados de 128 bits (criptografía
robusta).
SET (Secure Electronic Translation)

 Es un protocolo estandarizado y respaldado por la industria, diseñado para

salvaguardar las compras pagadas con tarjeta a través de redes abiertas,
incluyendo Internet.

 El protocolo SET sirve para realizar pagos seguros con tarjeta de crédito a
través de Internet ofrece una solución para reducir costos de operación para
el vendedor, aumentar la seguridad frente a otras tecnologías más
extendidas como SSL a la vez que reduce el fraude y expandir las fronteras
de negocio de los comerciantes hacia nuevos mercados globales.
SET (Secure Electronic Translation)

SET ofrece:
1. Autenticación: Todas las partes involucradas en la transacción económica (el cliente, el
comerciante y los bancos, emisor y adquiriente) pueden verificar mutuamente sus
identidades mediante certificados digitales. Se evitan así fraudes debidos a usos ilícitos de
tarjetas y a falsificaciones de comercios en Internet, que imitan grandes web comerciales.
2. Confidencialidad: La información de pago se cifra para que no pueda ser espiada
mientras viaja por las redes de comunicaciones. El número de tarjeta de crédito es cifrado
por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes.
Si se quiere cifrar el resto de datos de la compra, como por ejemplo qué artículos se han
comprado o a qué dirección deben enviarse, debe recurrirse a un protocolo de nivel
inferior como SSL.
SET (Secure Electronic Translation)

SET ofrece:
3. Integridad: Garantiza que la información intercambiada, como el número
de tarjeta, no podrá ser alterada de manera accidental o maliciosa durante
su transporte a través de redes telemáticas. Para lograrlo se utilizan
algoritmos de firma digital, capaces de detectar el cambio de un solo bit.
4. Intimidad: El banco emisor de la tarjeta de crédito no puede acceder a
información sobre los pedidos del titular, por lo que queda incapacitado
para elaborar perfiles de hábitos de compra de sus clientes.
SET (Secure Electronic Translation)

SET ofrece:
5. Verificación Inmediata: Proporciona al comerciante una verificación inmediata, antes de
completarse la compra, de la disponibilidad de crédito y de la identidad del cliente. De
esta forma, el comerciante puede realizar los pedidos sin riesgo de que posteriormente se
invalide la transacción.
6. No Repudio: Para resolución de disputas la mayor ventaja de SET frente a otros sistemas
seguros es la adición al estándar de certificados digitales (X.509v3), que asocian la
identidad del titular y del comerciante con entidades financieras y los sistemas de pago de
Visa, MasterCard, etc. Estos certificados previenen fraudes para los que otros sistemas no
ofrecen protección, proporcionando a los compradores y vendedores la misma confianza
que las compras convencionales usando las actuales redes de autorización de créditos de
las compañías de tarjetas de pago.
SET (Secure Electronic Translation)

Inconvenientes más importantes:

 No resulta fácil de implantar, por lo que su despliegue está siendo muy lento.
SET exige software especial, tanto para el comprador (aplicación de cartera
electrónica) como para el comerciante (aplicación POST o TPV), y los bancos
(software de autoridad de certificación, pasarela de pagos, etc.).
 Aunque los productos anteriores cumplan con el estándar SET, esto no implica
necesariamente que sean compatibles.
 Se añade el problema de la revocación de certificados, la portabilidad de los
mismos cuando el usuario trabaja en distintas máquinas y las cadenas de
certificación.  
SSH (Secure Shell)

 Es un protocolo de administración remota que le permite a los usuarios

controlar y modificar sus servidores remotos a través de Internet mediante
autenticación.
 Encripta cada sesión de conexión, haciendo imposible que alguien pueda
obtener contraseñas no encriptadas.
 Cualquier usuario de Linux o macOS puede usar SSH en su servidor remoto
directamente desde la ventana del terminal.
 Los usuarios de Windows pueden aprovechar los clientes SSH como
Putty. Se pueden ejecutar comandos shell de la misma manera si se
estuviera operando físicamente en el equipo remoto.
SSH (Secure Shell)

 SSH funciona mediante el uso de un modelo cliente-servidor para permitir la

autenticación de dos sistemas remotos y el cifrado de los datos que pasa entre
ellos.
 El cliente debe iniciar la conexión SSH iniciando el protocolo TCP con el
servidor, asegurando una conexión simétrica segura, verificando si la identidad
mostrada por el servidor coincide con los registros anteriores y presenta las
credenciales de usuario necesarias para autenticar la conexión.
 Hay dos etapas para establecer una conexión: primero ambos sistemas deben
acordar estándares de cifrado para proteger futuras comunicaciones, y segundo,
el usuario debe autenticarse. Si las credenciales coinciden, se concede acceso al
usuario.
IPSec (Internet Protocol Security)

 Está compuesto por varios protocolos de seguridad diferentes y está diseñado para garantizar
que los paquetes de datos enviados a través de una red permanezcan invisibles e inaccesibles
para terceros.
 Permite mejorar la seguridad a través de algoritmos de cifrado robustos y un sistema de
autentificación más exhaustivo. IPsec posee dos métodos de encriptado, modo transporte y
modo túnel. Asimismo, soporta encriptado de 56 bit y 168 bit (triple DES).
 Es completamente invisible en su funcionamiento, por lo que es la opción ideal para las VPN.
 Se requieren claves públicas seguras. Si su clave se ve comprometida o tiene una gestión
deficiente de la clave, puede experimentar problemas.
 Para la transmisión de paquetes de pequeño tamaño, IPSec puede ser una forma ineficiente de
encriptar datos.
EDI (Intercambio Electrónico de Datos)

 Es un sistema de comunicación que permite el envío y la recepción de

documentos electrónicos en un formato normalizado entre los sistemas
informáticos de quienes intervienen en una relación comercial.
 El modelo de trabajo EDI implica la realización de acciones comerciales
sin papeles, de forma electrónica, mediante una estructura específica y
sobre un estándar internacional.
 El EDI, permite documentos como los pedidos, las guías de remisión, las
facturas, los inventarios, entre otros pueden ser intercambiados
electrónicamente a través de un lenguaje común.
EDI (Intercambio Electrónico de Datos)

 El EDI ha tenido una gran

implantación en sectores
donde la cadena de suministro
es esencial para su actividad,
debido al intercambio de
documentos imprescindibles
dentro de una relación
comercial como el pedido, la
guía de remisión, la
confirmación de recepción de
mercancía y la factura.
EDI (Intercambio Electrónico de Datos)

 Cada departamento o unidad

en la entidad tiene interés en
unos documentos concretos,
por ejemplo, la factura para
finanzas, la guía de remisión
para el almacén, el pedido
para compras.
EDI (Intercambio Electrónico de Datos)

Beneficios
 Mejora la comunicación con clientes y proveedores: Aumenta la colaboración y relación
clientes/proveedores.
 Acorta la cadena de suministro, al enviar y recibir información con gran exactitud, mejorar la
información oportuna (visibilidad de la demanda, situación de stocks, avisos de entregas) y
ofrecer mayor rapidez (acortar ciclo de pedido, sincronización).
 Mejora el seguimiento de las transacciones.
 Disminuye errores y costos administrativos de tratamiento de la información, así como de
costos de archivo y extravíos de documentación.
 Toma de decisiones oportuna.
EMV (Europay, MasterCard, y Visa)

 Es una tecnología de chip inteligente que se está convirtiendo en el estándar

global para el procesamiento de pagos con tarjeta de crédito y débito.
 EMV ayuda a reducir tanto el fraude de tarjetas de crédito como consecuencia de
la falsificación como el número de tarjetas perdidas y robadas. Esto se debe a la
información de pago EMV tarjetas de tienda en un chip de seguridad en lugar de
en una banda magnética, y la personalización de tarjetas EMV se hace usando las
teclas-emisor específico.
 La falsificación de tarjetas de banda magnética son fáciles de hacer, pero es
prácticamente imposible para crear una tarjeta EMV falsa que pueda ser utilizado
para llevar a cabo con éxito una transacción EMV.
DNIe (Documento de Identidad Electrónico)

 El DNIe es un documento que además de acreditar físicamente la identidad personal de

su titular permite:
 Acreditar electrónicamente y de forma inequívoca su identidad.
 Firmar digitalmente documentos electrónicos, otorgándoles una validez
jurídica equivalente a la que les proporciona la firma manuscrita.
 El DNIe incorpora un pequeño circuito integrado (chip), que contiene los mismos datos
que aparecen impresos en la tarjeta (datos personales, fotografía, firma digitalizada y
huella dactilar digitalizada) junto con los certificados de autenticación y de firma
electrónica.
 Con ella se pueden realizar múltiples gestiones online de forma segura con empresas
públicas y privadas, y con otros ciudadanos.
Gracias por su Atención