Sesión 3

Hasta ahora...
„ ¿Cómo vamos?
„ ¿Ideas principales?
„ ¿Dudas?
„ ¿Sugerencias?

Seguridad

1
¿Qué se debe cuidar?
„ Datos
„ Información
„ Datos técnicos / información técnica
„ Datos de prueba

Definición de políticas de
seguiridad
„ Enfoque de las 4 P’s:
… Paranóico: Nada está permitido (Sin conexión
a Internet)
… Prudente: Lo que no está expresamente
permitido, está prohibido.
… Permisivo: Lo que no está expresamente
prohibido, está permitido
… Promiscuo: Todo está permitido

Jerarquía de seguridad
De misión crítica

Confidencial
del
departamento

Confidencial de la
empresa

Información pública

2
Firewalls
„ Colección de componentes colocados entre dos
redes, para controlar el tráfico de la red privada
hacia Internet y viceversa
„ Bloquea el tráfico no confiable y autoriza el
aprobado
„ Filtra paquetes de información
„ No protege de ataques de datos ejecutados
dentro de la misma red.

Control anti-virus

Ejemplo

Internet
Internet

Ruteador Ruteador
selectivo selectivo

Zona
desmilitarizada
Zona
militarizada

3
¿De quién se debe cuidar?
„ Los hackers
„ Los crackers
„ Los scripters
„ Los keyloggers
„ Phishing
„ Cartas Nigerianas

Hackers
„ Origen del término: Finales de los ’60
„ Programador con alto dominio de su profesión,
capaz de solucionar problemas a través de
hacks (segmentos de código muy ingeniosos).
„ Verdaderos conocedores de la tecnología de
cómputo y telecomunicaciones.
„ La búsqueda de conocimiento siempre fue su
fuerza impulsora.
„ Kevin Mitnick

Cracker
„ Persona que en forma persistente realiza
intentos hasta obtener acceso a sistemas
computacionales. Una vez logrado el
acceso produce daños a los recursos del
sistema atacado.
„ No necesariamente tiene el mismo nivel
de conocimientos del hacker.

4
Scripters
„ Gente con la capacidad de buscar un programa
en la red y ejecutarlo.
„ No hay una meta fija
„ Necesidad de pertenencia, aunque sea al
inframundo.
„ No hay preocupación por las consecuencias
reales de sus actos.
„ Se sienten muy “tesos”

Keyloggers
„ Son piezas de software que se instalan en
computadoras públicas y que almacenan
los datos que un usuario escribe desde su
teclado. Posteriormente los datos
almacenados son enviados a un ladrón
por Internet.
„ Solución: Teclados virtuales.

5
Phishing
„ Es un modelo de “pesca” electrónica, que
se realiza vía correo electrónico. Se le
comunica a los usuarios una supuesta
validación de datos que está haciendo una
entidad bancaria. Se le solicita al usuario
visitar un sitio Web para re-ingresar los
datos de logueo y estos son enviados a
una base de datos de un delincuente.

6
7
8
Cartas nigerianas
„ …I discovered an abandoned sum of$30million
USD(THIRTYmillion US dollars)only , in an account that belongs to
one of our
foreign customers who died along with his entire family in a plane
crash
that took place in Kenya,East Africa,the Late DR. GEORGE
BRUMLEY,a citizen
of Atlanta,United States of America but naturalised in
Burkinafaso,West
Africa…
„ http://www.cnn.com/2003/WORLD/africa/07/20/kenya.crash/index.ht
ml

„ Texto original

Estadísticas...

Fue penetrada por

usuarios externos No está seguro
22% 20%

No estuvo
comprometida
14%

Fue penetrada por

usuarios internos
44%

Elementos de una transacción

segura
„ Privacidad
„ Integridad
„ Autenticación
„ No repudio
„ Disponibilidad

9
Privacidad
„ Asurar que la información que se
transmite por Internet no ha sido
capturada o entregada a un tercero sin el
consentimiento del remitente.

Integridad
„ Asegurar que la información que se envía
o recibe no ha sido alterada.

Autenticación
„ ¿Cómo se verifican las identidades del
emisor de un mensaje o iniciador de una
transacción y el destinatario?

10
No repudio
„ Probar que un mensaje o una transacción
fue enviada o recibida, de manera que
ninguno de los participantes en ella pueda
argumentar que no la hizo.

Disponibilidad
„ Garantizar que la red a través de la cual
se hace la transacción está operando
continuamente, para que se pueda
realizar la transacción.

Seguridad en Internet
„ Ha sido muy mal posicionada
„ Es un medio seguro si cumple con ciertos
requisitos
„ Es más inseguro movilizar el dinero físicamente
„ Quiénes son los ladrones?
„ Encriptación
„ Certificados digitales

11
Criptografía
„ Es construir códigos secretos
„ Son las técnicas utilizadas para alterar los
símbolos de información, sin alterar el
contenido, de tal forma que sólo quien
conoce las técnicas utilizadas pueda
acceder al contenido real.

Criptografía
„ Se han desarrollado técnicas desde la
antigüedad.
„ Hoy se utilizan diferentes algoritmos para
encriptar / desencriptar la información.

12
Procedimientos clásicos de
encripción
„ Sustitución:
… Se definen correspondencias entre las letras
del alfabeto en que está escrito el mensaje y
otro conjunto que puede ser o no del mismo
alfabeto. (murciélago, aurelio, etc.)
„ Transposición:
… “barajar”los símbolos del mensaje original,
colocándolos en un orden diferente que los
hace incomprensibles.

Ejemplo de Sustitución
… CUÁNDO SERÁ ESE CUANDO,
… ESA DICHOSA MAÑANA
… QUE NOS LLEVEN A LOS DOS
… EL DESAYUNO A LA CAMA

„ MURCIELAGO =12345678910
… 428ND 10 S638 6S6 428ND 10,
… 6S8 D54H 10S8 18Ñ8N8
… Q26 N 10S 776V6N 8 7 10S D 10S
… 67 D6S8Y2N 10 8 78 4818

Ejemplo de transposición
„ La escítala lacedemonia
„ Dos varas idénticas, alrededor de una de
ellas se envolvía un pergamino
„ El mensaje se escribía a lo largo del
bastón, se retiraba la cinta y se enviaba.
„ El destinatario tenía la segunda vara
„ La cinta por sí sola, no era más que una
sucesión de símbolos del alfabeto griego,
ordenados de manera ininteligible.

13
Métodos criptográficos
„ Simétricos
… Llave encriptado coincide con la de
descifrado
… La llave tiene que permanecer secreta
… Emisor y receptor se han puesto de acuerdo
previamente o existe un centro de distribución
de las llaves.

Métodos criptográficos
„ Asimétrico
… Llave de encriptado es diferente a la de
decriptado.
… Llave encriptado es conocida por el público,
mientras que la de decriptado sólo por el
usuario

Llaves públicas / privadas

Fuente: Internet and the World Wide Web how to program. Deitel, Deitel y Nieto

14
Protocolo Seguro
„ SSL (Secure Socket Layer)
… Servidores certificados
… Sesiones seguras
… Información encriptada al salir del cliente
… El servidor desencripta la información
… El cliente no se tiene que certificar
… Utiliza claves para autenticarse
… HTTPS://

Cómo funciona?

Hablemos de manera segura. Acá están

los protocolos y criptogramas que manejo

Escojo este protocolo y criptograma. Acá

va mi llave pública, un certificado digital y
un número random.

Usando tu llave pública encripté una llave

simétrica aleatoria

Comunicación encriptada con la llave

enviada por el cliente y una función hash
para autenticación de mensajes.

¿Cómo se identifica?
„ HttpS://
„ Candado
„ Verisign
„ Información de Sitio
seguro
„ “La confianza se
gana”

15
16
Medios de pago
electrónicos

17
¿Qué son los medios de pago para
Internet?
„ Según FeLaBan:
… Es la utilización de instrumentos como
efectivo, tarjetas de crédito, tarjetas débito,
cheques, en actividades de índole comercial,
bien sea para la adquisición de bienes o
servicios, utilizando para ello la red de redes
(Internet), con las mismas características de
uso que en un ambiente de relaciones
comerciales tradicionales.

Medios de pago para Internet

„ Tarjetas de crédito
„ Tarjetas débito
„ Tarjetas prepagadas
„ Sistemas MOTO (Mail Or Telephone
Orders)
„ E-check (Pagos diferidos, semejantes a
débito): Locales, ACH, Centralizados

ACH
„ Compensan las transacciones de
diferentes actores financieros.
„ Operaciones en batch.
„ Pueden servir de “gateway” financiero.
„ En Colombia los bancos son sus dueños.
„ Sirve de red interbancaria.

18
Categorías medios de pago

„ Micro pagos
… Inferiores a $5 dólares

„ Pagos de
Consumidores
… Transacciones entre $5 y
$500 dólares

„ Pagos de Negocios
… Transacciones por encima
de $500 dólares

Características Medios de
Pago
„ Seguro
… Integridad
(La información enviada no puede ser
modificada)
… Autenticidad
(Las partes que están intercambiando la
información, son quienes dicen ser)
… Confidencialidad
(Solo las partes que están intercambiando
la información tienen acceso a ella)
… No Repudiación
(El autor del mensaje no puede negar
posteriormente el haberlo enviado)

Características Medios de
Pago
„ Ampliamente
aceptado
Por las “tiendas virtuales”,
usuarios e intermediarios (Bancos
y franquicias).

„ Portable

„ Ubicuo

19
Comercio electrónico (1)
Banco del
merchant

Intermediario Banco del

cliente

Comercio electrónico (2)

Banco del
merchant

Banco del
cliente

Medios de Pago Disponibles en

Colombia (1)
„ Tarjetas de Crédito
… Con aprobación en línea: NINGUNA
… Requiere que el comercio u operador del sitio web,
envíe los datos de la transacción a las redes
(Credibanco / Redeban) bajo tres esquemas validos:
1. Llenando una planilla que se envía al banco adquiriente
cada x tiempo
2. Mandando un archivo plano configurado en forma especial.
3. A través acceso vía web al sistema de Credibanco si el
número de transacciones lo amerita (Redeban no ofrece
esta opción).

20
Medios de Pago Disponibles en
Colombia (2)
„ Tarjetas Prepago
… Es una combinación entre TDC y débito sin
presencia del plástico.
… La persona carga la tarjeta en el sitio web del banco
con fondos de su cta. corriente o de ahorros y luego
va a la tienda web y realiza su compra como si fuera
una TDC normal.
… Ejem. Tarjeta e-Prepago Bancolombia MasterCard

Medios de Pago Disponibles en

Colombia (3)
„ Transferencia de Fondos
… 9 bancos en Colombia permiten hacer transferencias de fondos
entre las cuentas del “usuario pagador” y el comercio u
operador del sitio web.
… Condición: Las cuentas de ambos deben ser de la misma
entidad.
… El dueño de la cuenta pagadora responde en casos de repudio.
… Muy fácil utilización para el pagador.

Medios de Pago Disponibles en

Colombia (4)
„ Aspectos a evaluar por una empresa al implementar
este tipo de servicios:
… Donde se debe tener la cuenta recaudadora
… Costos y tarifas
… Contrato
… Requerimientos técnicos del servidor de la tienda virtual para el
manejo de la transacción.
… Información requerida por el banco, que deba ser suministrada
por la tienda virtual, para realizar la transacción. (Ej. Valor y
Referencia)
… Masa de clientes del banco y condiciones de uso ante el banco
… Mecanismos de conciliación y verificación de los pagos

21
Realidad del Fraude On-Line
„ Entiéndase por fraude una violación a
alguna de las tres reglas de seguridad (1.
Integridad, 2. Autenticidad, o 3.
Confidencialidad)
„ Con los últimos desarrollos en tecnologías
de encripción, las violaciones a las reglas
1 y 3 son muy escasas.

Realidad del Fraude On-Line

„ En Colombia y en el mundo, la más frecuente violación
es a la regla de autenticidad.
… “Las partes que están intercambiando la información NO son
quienes dicen ser”.
„ El comprador impostor obtiene datos de una TDC en el mundo
físico (no en el virtual) y la usa en Internet para que otro pague por
sus compras.
„ Las leyes y las franquicias de TDC, protegen en primera
instancia a los tarjeta-habientes y luego a los comercios.
… En caso de repudio a tiempo por parte del comprador, el valor
de la compra se le devuelve y se le quita al comercio.
… OJO Æ Existen formas de evitar el repudio y detectar
impostores.

Realidad del Fraude On-Line

„ Que es “dulce” para el fraude:
… Electrodomésticos
… Computadores
… PINes de Tarjetas Prepago de Celular o
Larga Distancia
… En general... Lo caro y que se pueda
revender fácil!!!

22
Realidad del Fraude On-Line
„ Soluciones (sobretodo para venta con TDC)
… Limitar las TDC aceptadas (Ej. sólo nacionales)
… Pero... existe la malicia indígena!!!
„ Dudar de pedidos por cantidades inusuales de un mismo
ítem.
„ Dudar de compras individuales que se salen del promedio.
„ Dudar de una compra pequeña con un # de TDC y al poco
tiempo, una del mismo usuario, más grande pero con otra
TDC.

Realidad del Fraude On-Line

… ...
… Si tiene alguna sospecha, no envíe la transacción a la
red y solicite a esta que le ayude a verificar los datos
del comprador
...No se deje llevar por la ambición ... d’eso tan
bueno, no dan todos los días!!!
… Vender sólo con transferencia de fondos (se limita
mucho el espectro de compradores).
… Implementar Verified-By-VISA, único sistema en que
el comercio no asume el riesgo en compras con TDC.
„ Inconveniente: puede resultar más costoso que asumir el
riesgo.

Realidad del Fraude On-Line

„ Conclusión:
… Al igual que en el comercio tradicional, el
riesgo de fraude no se puede eliminar, pero
SI se puede REDUCIR mucho.
Transferencia TDC TDC
de Fondos Expedida en Col. Internacional
Bajo Alto
Riesgo Riesgo
-Se pueden verificar
los datos del cliente
con el banco emisor.
-NO se pueden verificar
- En caso de fraude, el los datos del cliente
comercio responde con el banco emisor.
-- En
En caso
caso de
de fraude,
fraude, el
el
usuario
usuario eses responsable
responsable - En caso de fraude, el
por
por el
el uso
uso de
de su
su clave
clave yy comercio responde
datos
datos personales.
personales.

-- El
El comercio
comercio no
no pierde.
pierde.

23
24