La seguridad en el comercio electrnico Desde el negocio

Objetivos de Seguridad en E-Business

Identificar y confirmar la veracidad de la identidad de la otra persona o parte del trato u transaccin. Determinar que las actividades que estn siendo comprometidas o asignadas a una persona o mquina son proporcionales con el nivel de autorizacin asignadas a la misma. Poder confirmar ante un tercero que las acciones tomadas por una persona o sistema, en realidad fueron hechas por sta. Proteger la informacin de alteraciones, ya sea mientras est en trnsito o si est almacenada. Estar seguro de que slo entidades autorizadas tienen acceso a la informacin. Asegurarse de que cada componente de la infraestructura del negocio virtual esta disponible cuando es requerido. Ser capaz de auditar y rastrear todas las transacciones para su verificacin.

1.Amenazas al Comercio Electrnico

Se entiende por amenaza a una accin o condicin del entorno a personas, mquinas, sucesos o ideas) que, dada una oportunidad, podra dar lugar a que se produjese una violacin en la seguridad

Vandalismo y sabotaje en Internet

En internet este ataque consiste en rescribir la pgina web de alguien mas, generalmente de forma ilegal, para cambiar el contenido de esa pgina dejando un mensaje propio del saboteador.

Violacin a la seguridad o privacidad

En la red, los mensajes son transmitidos a travs de un nmero de intermediarios antes de llegar a su destino, estos son generalmente Routers, cualquiera de estos puede copiar, modificar o borrar los mensajes. Es por esta razn que no se debe asumir que las comunicaciones de datos son privadas a menos que se utilice un mecanismo de encripcin para protegerlas(Applets de Java)

Robo y fraude en Internet

Los robos y fraudes en la Internet tienen lugar cuando las personas son engaadas para que confen en sitios web, con los que no han tenido relaciones previas. Los consumidores son engaados para entregar sus nmeros de tarjetas de crdito para pagar por productos o servicios que nunca son entregados.

Violacin a la integridad de los datos

Los ataques a la integridad de los datos que se envan a travs de las redes son casi siempre accidentales, pero existe la posibilidad de que los datos sean alterados intencionalmente para hacer algn dao. Existen mecanismos para detectar si los datos han sido modificados, pero al igual que con los mtodos de encripcin, no se han implantado tan ampliamente como deberan.

Negacin de servicio
Es cierto que el potencial que tiene este tipo de ataques para causar daos o perdidas aumenta cada da, mientras se automatizan ms servicios y se conducen cada vez ms negocios de manera electrnica. El defenderse de este tipo de ataques es particularmente difcil, porque para realizar este tipo de ataques los atacantes se apoyan en debilidades estructurales de los protocolos de comunicacin ms utilizados, como el Internet Protocol (IP).

2.Componentes de la Seguridad del Comercio Electrnico

El modelo de seguridad en el comercio electrnico se puede dividir en cuatro componentes principales que hay que proteger; el software del cliente interno, el transporte de los datos, el software del servidor Web y el sistema operativo del servidor.

Seguridad del software cliente

Los dos grandes riesgos de este componente son las vulnerabilidades de los navegadores y los componentes Web activos.

Seguridad en el transporte de los datos

Es el aspecto del comercio electrnico que ha recibido la mayor concentracin de recursos para asegurar su seguridad.

Seguridad del servidor Web SW Cliente

El software del servidor se instala en el sper usuario o root, que tiene todos los derechos y puede acceder a cualquier archivo del sistema. Como los programas del servidor son propiedad del sper usuario estos se ejecutan con sus privilegios. Esto es necesario debido a que solo los programas con este nivel de privilegio pueden abrir el puerto 80 (http) o el puerto 443 (SSL) y escribir en los archivos de log.

Seguridad del servidor Web CGI

Una de las preocupaciones con los scripts CGI es que estos pueden actuar maliciosamente en respuesta a peticiones web de posibles atacantes.

Riesgos CGI
Ver, remplazar, modificar o remover archivos. Enviar archivos al atacante va mail a travs de Internet. Ejecutar programas previamente cargados en el servidor, como recolectores de contraseas o un servidor para brindar acceso no autorizado va telnet. Lanzar un ataque de negacin de servicio sobrecargando el CPU con trabajos de computo intensivo.

Solucion a CGI
Testear cuidadosamente los scripts antes de ponerlos en produccin para asegurarse de que no contengan vulnerabilidades que sean aprovechadas por los atacantes. Configurar el servidor web para reducir sus privilegios de ejecucin. Configurar el servidor para que solamente ejecute los CGI que se encuentren en un directorio especifico. Se deben establecer restricciones de acceso al directorio donde residen los cdigos fuente de los scripts

Seguridad del servidor Web (BD)

Los encargados de los programas de bases de datos deben estar restringidos a los usuarios internos autorizados para operar las bases de datos, esto para evitar el abuso interno de la informacin contenida en las bases de datos y se deben emplear mecanismos de identificacin de usuarios a nivel de las bases de datos. Para las interfaces web se puede restringir el acceso a la base de datos con los mismos mecanismos utilizados por el servidor web.

Seguridad en el sistema operativo

Las fallas son bien conocidas y se pueden solucionar cambiando parmetros de configuracin de los mismos para evitar las opciones por defectos de las que se aprovechan la mayora de los ataques a los sistemas operativos. Podemos citar las siguientes 5 categoras.

Seguridad en el sistema operativo Opciones por defecto

Usuario guest que no requieren contrasea, haciendo fcil la tarea de entrar en el sistema sin autorizacin.

Seguridad en el sistema operativo Vulnerabilidades en el software de red

Los problemas de seguridad en esta categora provienen de los mecanismos de autenticacin utilizados para iniciar las sesiones de red y compartir recursos entre diferentes equipos conectados a travs de la red.

Seguridad en el sistema operativo Ataques de negacin de servicio

Este tipo de ataque se presenta en dos formas diferentes. La primera evita que los usuarios tengan acceso a los servicios ofrecidos por un servidor. La segunda consume los recursos de un equipo o hace que su sistema colapse. Lo hace a estos ataques peligrosos es que son relativamente fciles de realizar y las herramientas para llevarlos a cabo estn disponibles en Internet.

Seguridad en el sistema operativo Autenticacin dbil

El principal problema es la escogencia de las contraseas por los usuarios, que llevan al problema de autenticacin dbil.

Seguridad en el sistema operativo Hoyos en el sistema operativo

Hay un gran nmero de programas conocidos como software del sistema, que brinda servicios al sistema operativo. Las vulnerabilidades del software de sistema pueden ser aprovechadas por los usuarios no autorizados para escalar privilegios.

Mecanismos de seguridad
Encripcin Encripcin de llave privada Encripcin de llave pblica Firmas digitales Certificados Digitales SSL (Capa conexin segura) S-HTTP (Transmite los datos de forma segura) Firewalls

4.Otras consideraciones
PHISHING Es la denominacin que recibe la estafa cometida a travs de medios telemticos mediante la cual el estafador intenta conseguir, de usuarios legtimos, informacin confidencial (contraseas, datos bancarios, etc.) de forma fraudulenta. CDIGOS MALICIOSOS (MALWARE) Se aprecia una nueva tendencia que refleja que las tcnicas de fraude a travs de Internet se estn desplazando, desde aquellas basadas en la ingeniera social, hacia aquellas que se basan en la inyeccin de cdigo malicioso o malware.

Carding y Skimming Consisten en el uso fraudulento de tarjetas (carding) y la copia de las bandas magnticas (skimming).Ello permite el acceso a cuentas bancarias, a nmeros de tarjeta robados, a vuelcos de bandas magnticas as como a perfiles personales. Pharming Mediante un troyano es posible que un atacante se infiltre entre la direccin IP y el nombre del servidor al que responde. Es una tcnica sumamente peligrosa dado que la vctima cree estar visitando un sitio web legtimo.

Crimeware Incluyen ladrones de contraseas, capturadores de pulsaciones que registran los datos del teclado, realizan capturas de video, o toman imgenes de la pantalla y envan los datos a los sitios del ladrn. Clickjacking Esta tcnica, conocida tambin por secuestro de clic es una vulnerabilidad que afecta a navegadores y otros productos web.

5.MTODOS SEGUROS DE PAGO

POR INTERNET
Pago con tarjeta En este sentido, el pago con tarjeta de crdito o dbito es un sistema rpido que ofrece seguridad y garantas, ya que si el usuario recibe un cargo fruto de una equivocacin o fraude, dispone de tres meses para anularlo. Pago contra-reembolso Consiste en pagar en efectivo en el momento de recibir la compra en el punto de entrega.

Transferencia bancaria Consiste en ingresar el importe de la compra en la cuenta del vendedor mediante una operacin bancaria. La ventaja principal que presenta este mtodo de pago es la no revelacin de los datos asociados a la cuenta corriente. Pago mediante intermediarios En la Red existen intermediarios que permiten evitar tener que facilitar los datos bancarios a un vendedor desconocido, que es lo que sucede cuando se paga mediante tarjeta de crdito a una empresa en la Red que no dispone de una pasarela de pago con una entidad bancaria.

6.PASOS PARA REALIZAR UNA

COMPRA SEGURA
En primer lugar se debe utilizar un ordenador personal, y no uno de acceso pblico. 1. Recuerde : i. Eliminar las cookies. ii. Eliminar los archivos temporales del navegador web. iii.Cerrar la sesin de usuario.

 Comprobar que el ordenador es seguro 1. Actualizaciones de software: mantener actualizado el equipo, tanto el sistema operativo como cualquier aplicacin que est instalada, incluido el navegador, para que los cdigos maliciosos no puedan encontrar un punto dbil en el equipo. Igualmente se deben activar las actualizaciones automticas. 2. Utilizar software con licencia que ofrezca garanta y soporte. 3. Cuentas de usuario: utilizar siempre una cuenta de usuario con privilegios limitados para realizar comercio electrnico.

Imagen 1: Barra de direccin del navegador Internet Explorer cuando accedemos a una pgina Web que posee un certificado SSL

Imagen 2: Comunicacin segura y no segura segn el indicativo del protocolo utilizado en la comunicacin

 Comparar y analizar el servicio de la tienda online. 1. Una vez se tienen todos los datos, comparar el artculo y el servicio de la web de compra en los diferentes portales especializados que permiten valorar el servicio de las tiendas online. 2. Tambin es recomendable acceder a comunidades o foros en la Red que renan opiniones imparciales de los consumidores as como informacin actualizada de los precios y productos ofrecidos por los anunciantes. 3. Visitar la web oficial del fabricante donde se puede comprobar que las caractersticas tcnicas del producto son las mismas que indica el comerciante.

 Comprobar las condiciones de compra 1. Las caractersticas esenciales del producto. 2. El precio total (incluidos los impuestos). 3. Los gastos de entrega y transporte.

 Confirmacin de la compra y acuse de recibo de la misma (fase contractual) 1. Mediante una pgina web resumen de la transaccin, siempre que permita almacenar o imprimir una copia como comprobante de compra. 2. Realizando el envo de un acuse de recibo por correo electrnico u otro medio de comunicacin electrnica equivalente a la direccin que el consumidor haya sealado, en el plazo de las 24 horas siguientes a la recepcin de la aceptacin.

Resumen
Proteccin fsica

Tecnolgicos, Legales y Psicolgicos.

Proteccin jurdica Sensacin de proteccin

tecnolgicos, legales y psicolgicos.

Podemos realizar transacciones Podemos realizar transacciones ms protegidas que con cualquier ms protegidas que con cualquier otra forma de comunicacin. otra forma de comunicacin. Hay un amplio desarrollo legal en la Hay un amplio desarrollo legal en la UE y otros pases sobre firmas UE y otros pases sobre firmas electrnicas, etc. electrnicas, etc. Las encuestas y el acelerado Las encuestas y el acelerado aumento del volumen de aumento del volumen de transacciones electrnicas transacciones electrnicas muestra que las barreras muestra que las barreras psicolgicas han cado. psicolgicas han cado.

Aspectos tecnolgicos
Frente a destruccin Frente a intrusos

Ms fcil y barato que la proteccin del papel

Seguridad en el almacenamiento de datos

Solucin: Antivirus y Solucin: Antivirus y copias de seguridad copias de seguridad

Seguridad en la transmisin de los datos

Integridad Privacidad No repudio

Aspectos tecnolgicos
Seguridad en el

Ms fcil y barato que la proteccin del papel almacenamiento de datos

Frente a destruccin Solucin: Firewalls y otras Frente a intrusos Solucin: Firewalls y otras

Seguridad en la transmisin de los datos

Integridad Privacidad No repudio

Aspectos tecnolgicos
Seguridad en el almacenamiento de datos
Frente a destruccin Frente a intrusos
Ms fcil y barato que la proteccin del papel

Seguridad en la transmisin de los datos

Integridad Privacidad No repudio Solucin: Funciones Hash Solucin: Funciones Hash

Aspectos tecnolgicos
Seguridad en el almacenamiento de datos
Frente a destruccin Frente a intrusos

Seguridad en la transmisin de los datos

Integridad Privacidad No repudio Solucin: Claves Solucin: Claves asimtricas asimtricas

Muchsimo ms fcil y barato que las garantas en papel

Aspectos tecnolgicos
Seguridad en el almacenamiento de datos
Frente a destruccin Frente a intrusos

Seguridad en la transmisin de los datos

Integridad Privacidad No repudio

Bibliografa

Joan Bannan, Extracto del libro Intranet Document Management, Intranet Design Magazine, http://idm.internet.com/features/docmgmt9a1.shtml , 2001. http://www.asociacionesenred.com/files/36c82dd3937a77fa0ff83f52f407aeb5.P

http://www.cavecom-e.org.ve/bin_cavecome/main/templates/seccion.asp?seccid http://www.eniac.com/notiedi.htm http://www.petrolatin.com/ci/legislacion/leyes/2162870.asp http://www.xpaces.com/ce/