viernes, 11 de abril de 2014

4. SEGURIDAD EN EL COMERCIO ELECTRÓNICO



    Muchas de las empresas basadas en Internet que propiciaron el crecimiento de "la burbuja" tecnológica han sufrido numerosas pérdidas, y otras han tenido incluso que cerrar. ¿Se debe esto al poco uso del comercio electrónico?
    Los usuarios no se han lanzado a comprar en Internet como se esperaba. Sí bien se hacen muchas transacciones, no son las que todos los proveedores y anunciantes esperaban. Y lo cierto es que existe un factor fundamental para explicar por qué no se utiliza Internet para comprar.
    En Internet hay de todo. Se pueden comprar objetos de consumo, software, incluso hacer donaciones altruistas. Pero también hay peligros: hackers, virus, robo de información, etc., si bien, mirándolo objetivamente, no hay más peligros que los que pueden acecharnos cuando vamos a comprar a un centro comercial. 
    La seguridad en el comercio electrónico y específicamente en las transacciones comerciales es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a través del cual toda la información confidencial es encriptado y viaja de forma segura, ésto brinda confianza tanto a proveedores como a compradores que hacen del comercio electrónico su forma habitual de negocios.
    Al igual que en el comercio tradicional existe un riesgo en el comercio electrónico, al realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales (nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.
    Por tales motivos se han desarrollado sistemas de seguridad para transacciones por Internet: Encriptación, Firma Digital y Certificado de Calidad, que garantizan la confidencialidad, integridad y autenticidad respectivamente.
    Con la encriptación la información transferida solo es accesible por las partes que intervienen (comprador, vendedor y sus dos bancos).
    La firma digital, evita que la transacción sea alterada por terceras personas sin saberlo.
    El certificado digital, que es emitido por un tercero, garantiza la identidad de las partes.

    Seguridad en el comercio electrónico: ¿SSL o SET?
    Comenzando con SSL
    SSL
    es un protocolo que corre sobre     TCP
    (protocolo de transporte punto a punto de Internet). Este se compone de dos
    • Capas y funciona de la siguiente manera: La primera capa se encarga de encapsular los protocolos de nivel más alto.
    • La segunda capa que se llama SSL Handshake Protocol se encarga de la negociación de los algoritmos que van a encriptar y también la autenticación entre el cliente y el servidor.
    Cuando se realiza una conexión inicial el cliente lo primero que hace es enviar una información con todo los sistemas de encriptación que soporta, el primero de la lista es el que prefiere utilizar el cliente. Entonces el servidor responde con una clave certificada
    e información sobre los sistemas de encriptación que este soporta.
    Entonces el cliente seleccionará un sistema de encriptación, tratará de desencriptar el mensaje y obtendrá la clave pública del servidor.
    Este método de seguridad es de lo mejor ya que por cada conexión que se hace el servidor envía una clave diferente. Entonces si alguien consigue desencriptar la clave lo único que podrá hacer es cerrarnos la conexión que corresponde a esa clave.
    Cuando se logra el este primer proceso que es la sesión solamente, los que actuarán ahora son los protocolos de capa 7 del OSI o sea la capa de Aplicación, claro que todo lo que se realice a partir de que tenemos una sesión SSL establecida estará encriptado con SSL.
    Tipos de Amenazas
    Los sistemas pueden estar expuestos a distintos tipos de amenazas o ataques, cuando se dice sistema se refiere a un servicio disponible en una red de comunicación como lo es Internet. Los usuarios y los propietarios de estos servicios son víctimas de cierto tipo de amenazas o ataques, ellos cuales pueden ser clasificados en varios tipos.
    • Eavesdropping, este término pudiera significar literalmente en el ámbito telefónico, como escuchar una conversación sin autorización, para nuestros efectos significa interceptar y leer mensajes de o para una tienda virtual o un servicio de comercio electrónico.
    • Masquerading o enmascarado, este término se refiere al envío o recepción de mensajes utilizando la identidad de una tienda virtual o un servicio de comercio electrónico.
    • Message tampering, este término se utilice cuando se interceptan y se modifican mensajes que son dirigidos hacia una tienda virtual o un servicio de comercio electrónico.
    • Replaying como su término lo indica no es mas que la utilización de mensajes previamente enviados para engañar y obtener privilegios de una tienda virtual o un servicio de comercio electrónico.
    • Infiltración, este término se refiere al abuso de una tienda virtual o un servicio de comercio electrónico para ejecutar programas maliciosos u hostiles en la máquina del comprado
    • Traffic analysis, este término se refiere al observar el tráfico de y hacia una tienda virtual o un servicio de comercio electrónico
    • Denial-of-service, este término se refiere a impedir a una tienda virtual o un servicio de comercio electrónico acceder a algunos de sus recursos.
    Servicios de Seguridad
    Al realizar un análisis de los riesgos que implica el comercio electrónico, se debe definir un política de seguridad donde se especifique cuál debe ser la información a asegurar. Una política de seguridad no cubre todos los posibles riesgos de un sistema, pero si cubre razonablemente la mayoría de las brechas entre los riesgos y los recursos disponibles. Los servicios son implementados por mecanismos de seguridad que son realizados por algoritmos de criptografía y protocolos de seguridad.
    La organización Internacional para la Estandarización (ISO) define los servicios de seguridad básicos de la siguiente forma:

    Mecanismos de Seguridad
    • Los siguientes mecanismos de seguridad son los utilizados para implementar los servicios de seguridad: Mecanismos de Encriptación, protegen la confidencialidad de la información utilizando una clave disponible solo para una determina persona o grupo.
    • Mecanismos de Firma Digital :La cual no es lo mismo que la firma electrónica y es motivo para muchas dudas al respecto. La firma digital no es otra cosa que la utilización de un sistema de encriptación asimétrico en el cual existen dos “llaves”, que consisten en una clave privada y una clave pública. La primera sólo es conocida por el particular, y la segunda es la clave que identifica públicamente a ese particular, de manera que sólo utilizando su clave pública el mensaje enviado por el interesado podrá ser desencriptado y por tanto legible.
    • Mecanismos de Control de acceso, están relacionados con la autenticación. Cada tienda virtual o servicio de comercio electrónico tiene asignado una serie de permisos de accesos.
    • Mecanismos de Integridad de la Información, protegen la información de modificaciones no autorizadas, pudiendo utilizar diversos métodos como firmas digitales o algún otro.
    • Mecanismos de Intercambio de Autenticación, esta está basada en mecanismos de encriptación entendibles entre las partes involucradas.
    • Mecanismos de Confrontación de Tráfico, estos ofrecen protección contra el análisis del tráfico. Muchas veces se pueden sacar conclusiones del solo hecho de observar el tráfico entre dos tiendas virtuales o de servicio de comercio electrónic
    • Mecanismos de Confrontación de ruteo, este hace posible establecer una ruta específica para enviar la información a través de la red.
    • Mecanismos de Notarización, estos son provistos por terceras personas, las cuales deben ser confiables para todos los participantes. El notario puede asegurar integridad, origen, fecha, hora y destino de la información.

    Seguridad en el Pago Electrónico
    El pago electrónicamente no es nada nuevo. El dinero electrónico ha sido utilizado entre los bancos en forma de transferencias desde 1960. Desde casi ese mismo tiempo los clientes han podido realizar retiros de dinero de Cajeros Automáticos.
    La seguridad en el pago electrónico se puede dividir en tres grupos dependiendo en el instrumento de pago utilizado. El primer grupo se refiere a todos los sistemas de pagos electrónicos y a los instrumentos de pago.
    Transacciones de Pago, estas son la ejecución de un protocolo por el cal una cantidad de dinero es timada de un comprador y se la suministra a un vendedor. Los mecanismos de seguridad que se implementan en las transacciones de pago son las siguientes:
    • Anonimidad del usuario, protege la identidad del usuario en una transacción en la red.
    • Despistaje de rastreo de lugar de la transacción, protege de que descubran el lugar donde la transacción es originada.
    • Oportunidad del Comprador, protege la identidad del comprador en una transacció
    • No-rastreo de transacción de pago, protege contra el enlace de dos transacciones de pago diferentes que incluyan al mismo cliente.
    • Confidencialidad de la información de la transacción de pago, la cual protege selectivamente partes de la transacción de pago para que puedan ser vistas por las personas autorizada.
    • El no rechazo de mensajes de transacciones de pago, protege contra el reenvío de mensajes de transacciones de pago.
    • Refrescamiento de mensajes de transacciones de pago, protege contra la respuesta a mensajes de transacciones de pago.
    El próximo grupo de servicios es típico de sistemas de pagos que utilizan dinero digital como instrumento de pago.
    Dinero Electrónico, esta representa relativamente un nuevo instrumento de pago para el comercio electrónico la cual exige el desarrollo de diversas técnicas de seguridad como lo son:
    • Protección contra el doble gasto, este previene la utilización del dinero electrónico en múltiples instancias.
    • Protección contra dinero falso, previene la producción de dinero electrónico falso por parte de vendedores no autorizados.
    • Protección contra robo de dinero electrónico, esta previene el gasto de dinero electrónico por parte de personas no autorizadas .
    El tercer grupo está basado en las técnicas de pago específicas que utilizan cheques como formas de pago.

    • Cheques Electrónicos
    Esto son documentos electrónicos que contienen la misma información que los queches tradicionales de papel. Al utilizarlos electrónicamente se debe pasar por un mecanismo de seguridad para que pueda ser efectivo el pago, como lo es:
    • Autorización de transferencia de pago, esta es la que hace posible la autorización de la transferencia del pago de un vendedor a otra persona autorizada por este.
    Protocolos de Seguridad
    Existen diversos protocolos de seguridad utilizados para realizar las transacciones electrónicas, pero lo mas utilizados son los siguientes:
    • SSL/TLS. Es un protocolo de seguridad para cualquier aplicación de Internet y, por lo tanto, se puede utilizar en el comercio electrónico. Está muy extendido y actualmente todos los navegadores comerciales lo implementan.
    • SET. Es un protocolo especialmente diseñado para el comercio electrónico con tarjetas de crédito. 

    Publicado por en

    No hay comentarios:

    Publicar un comentario

    Suscribirse a: Enviar comentarios (Atom)