Académique Documents
Professionnel Documents
Culture Documents
Introducción
• Disponibilidad
Los clientes pueden acceder al sitio
en el momento en que lo requieran.
Es necesario que el sitio tenga la habilidad
y responsabilidad para asegurar su
funcionamiento, considerando:
• Las acciones para mantener en operación al sitio.
• Las tecnologías, que apoyan el balance de cargas
para el hardware y software ofrecen una garantía
para la disponibilidad continua.
Amenazas y vulnerabilidad
de los negocios
Una amenaza es una eventualidad
que representa un peligro para cualquier
bien o valor del negocio, tales como:
• Bienes tangibles: computadoras y las redes
de comunicación.
• Bienes intangibles: datos de los clientes,
claves de acceso, firmas digitales, marcas,
información privada de la empresa, entre otros.
La vulnerabilidad se produce por una
debilidad en la seguridad del sitio.
Amenazas y vulnerabilidad
de los negocios
Categorías:
1. Hacker. Intenta un acceso a un sitio con fines
no delictuosos. Cuando el acceso con fines delictuosos,
se le conoce como cracker.
Ataques.
• Obtienen el acceso a un sistema computacional
encontrando puntos débiles del sitio Web.
• Normalmente utilizan aplicaciones de Internet por la
facilidad de uso y el ambiente abierto de las transacciones.
• Las intrusiones pueden ser motivadas por el robo
de productos o información.
• En ocasiones realizan las acciones solo como un reto
a sus habilidades.
• Si sus intenciones son interrumpir el funcionamiento
de un sitio, destruirlo o afectar su imagen, se considera
cyber vandalismo.
Amenazas y vulnerabilidad
de los negocios
2. Código malicioso (Malware). Es la ejecución
no autorizada de programas que producen daños
en la información, tales como virus y worms,
caballos de Troya y applets malignos.
• Han generado la creación de anti-virus para
contrarrestar y eliminar el efecto de los virus.
• Un virus es un programa que tiene la posibilidad
de replicarse o autocopiarse para distribuirse
en otros programas.
• Los virus tienen dos componentes:
Un mecanismo de propagación.
El efecto producido cuando se ejecuta el código.
• Una clasificación de los virus llamada macro virus está
orientada a aplicaciones específicas como MS Word y
sólo a ellas las afectan, cuando se abre un archivo
infectado,
el virus se copia a las plantillas de la aplicación
y se reproduce en nuevos archivos.
Amenazas y vulnerabilidad
de los negocios
• El funcionamiento de los macro virus hace que
el código malicioso se disemine fácilmente a través
de medios de comunicación como el correo electrónico:
Amenazas y vulnerabilidad
de los negocios
Un worm es otra forma de software
malicioso que está diseñado para distribuirse
de computadora a computadora en lugar
de hacerlo en archivos.
• La principal diferencia entre un worm y un
virus es que el worm se propaga entre
sistemas, normalmente a través de una red y el
virus
se propaga localmente en el sistema.
• Los macro worms normalmente se ejecutan
cuando se abre una aplicación o se realiza un
procedimiento, por ejemplo, cuando se ejecuta
una macro de Excel, una hoja de cálculo
o un mensaje de correo.
Amenazas y vulnerabilidad
de los negocios
Un caballo de Troya aparenta ser un programa
benigno pero realiza otras acciones diferentes
a las esperadas.
http://securityresponse.symantec.com/avcenter/venc/auto/index/indexA
.html
Los applets malignos están relacionados
con el concepto cliente servidor.
Amenazas y vulnerabilidad
de los negocios
http://securityresponse.symantec.
com
Amenazas y vulnerabilidad
de los negocios
Cuando se accede a un sitio dudoso,
el usuario podrá recibir mensajes como:
Amenazas y vulnerabilidad
de los negocios
Fraude y robo de información
En el comercio tradicional el fraude por mal
uso de tarjetas de crédito se debe a:
• La pérdida o el robo de las tarjetas físicas.
• El robo de los datos por parte de los empleados
de los negocios.
• La suplantación de identidades.
En el ambiente del comercio electrónico, se agregan
otras características, como:
• La pérdida o el acceso no autorizado a los datos
de las tarjetas de crédito almacenados en los servidores
del negocio.
• El robo de datos no solamente enfocados a las tarjetas
de crédito sino a la información personal con el fin de
establecer identidades falsas y obtener créditos con ella.
Amenazas y vulnerabilidad
de los negocios
Spoofing
Se refiere al uso de falsas identidades en las
transacciones por Internet o al redireccionamiento
de accesos de un sitio a otro con fines que benefician
al hacker.
Ataques DoS
Este tipo de ataques es llamado denegación del
servicio por su nombre en inglés Denial of Service y
consiste en acceder a un sitio con tráfico inútil para
imposibilitar el acceso.
Esto puede ocasionar la paralización del sitio y como
consecuencia, costos muy altos, ya que mientras el
sitio no funcione, no se pueden realizar las ventas.
Amenazas y vulnerabilidad
de los negocios
Cuando un sitio está inactivo, también se afecta
su reputación.
Algunos ataques utilizan robots de verificación del
funcionamiento del sitio mediante solicitudes PING
que obtiene en forma abierta la dirección IP de un
sitio.
Sniffing
Este proceso consiste en la revisión de los mensajes
que viajan por una red, a través de programas que
detectan información importante que utilizarán
los hackers para sus propósitos.
La búsqueda realiza detecciones de mensajes
de correos, archivos privados de las compañías
y reportes confidenciales.
Amenazas y vulnerabilidad
de los negocios
Riesgos No Técnicos
Se derivan de la vulnerabilidad de la
tecnología y se relacionan con las personas y
se conocen como no técnicos:
• Ataques internos: No todos los ataques a la
seguridad de la empresa provienen de
entidades externas, una importante cantidad
proviene de las personas de la misma empresa
en forma directa o inconsciente.
• Ingeniería social: El atacante utiliza métodos
de persuasión para que las personas le
revelen información importante y con ella
realizar acciones que comprometen la
seguridad del sitio.
Protección de las
comunicaciones
Criptografía –Encripción-
La criptografía es un método de codificación
matemática utilizado para transformar los
mensajes de tal forma que sean ilegibles por
otras personas que no sean los destinatarios.
La encripción consiste en el proceso de
convertir el contenido del mensaje en un texto
cifrado.
Los resultados del proceso de encripción
son mensajes no descifrables (ciphertext)
que requieren de un proceso similar al que
los codificó para poderlos leer e interpretar.
Protección de las
comunicaciones
El beneficio de la encripción se relaciona
con la integridad, con la no negación, con
la autenticidad y con la confidencialidad
del mensaje.
El proceso de encripción se logra mediante
una llave de encripción o cifrador que consiste
en cualquier método para la conversión del
código.
La encripción de clave pública fue
desarrollada para resolver el problema
del intercambio de claves. Utiliza dos claves
matemáticas relacionadas llamadas clave
o llave pública y clave o llave privada.
Protección de las
comunicaciones
El proceso consiste en lo siguiente:
• El emisor crea un mensaje que incluye la clave
pública del receptor. La clave la obtiene
mediante
un directorio publico de claves.
• Con la clave publica del receptor, se crea
un cifrado en el mensaje que es enviado
con el mismo a través de la red.
• El receptor utiliza su clave privada para
descifrar
el mensaje.
Protección de las
comunicaciones
mensaje
ENCRIPCIÓN codificado
servidor
+
je ón
+
n sa a do isi
me cif nsm
r
a je tra
s la
en en
m d
r ida
gu
se
mensaje
Compendio del mensaje decodificado
servidor
+ + compendio
+ +
mensaje compendio mensaje
decodificado
autenticidad
servidor
+ +
compendio
+ +
mensaje compendio
+ mensaje
decodificado
No negación
Sobres digitales
Los procesos de encripción pueden resultar
en un incremento del proceso para descifrar
mensajes y en una disminución de las
velocidades de transmisión.
Protección de las
comunicaciones
Para evitar estos problemas se utiliza un sistema
más eficiente de encripción simétrica para el
documento, combinado con la encripción
pública para encriptar y enviar la clave simétrica
creando un sobre digital.
Certificados digitales
Un certificado digital es un documento emitido
por una autoridad certificadora que contiene:
• Nombre del usuario o compañía.
• Su clave pública.
• Número de serie que lo certifica.
• Fecha de emisión del certificado.
• Fecha de expiración del certificado.
• La firma digital de la autoridad certificadora.
Protección de las
comunicaciones
• Información adicional para la identificación.
Las autoridades certificadoras son instituciones
que mediante procedimientos establecidos
establecen la confianza en el sitio.
Protección de las
comunicaciones
Al mismo tiempo, el sitio que está
certificado como seguro, colocará
el logotipo de la autoridad en su página:
Protección de las
comunicaciones
Otros certificados están relacionados con
la privacidad y confidencialidad de los datos:
Protección de los medios
de comunicación
La forma más común de asegurar
los medios de comunicación es a través
del concepto SSL Secure Socket Layer
del protocolo TCP/IP que establece una sesión
de comunicación segura mediante:
• La autenticación del servidor.
• La integridad del mensaje en la conexión
TCP/IP.
• El método más poderoso de encripción usando
niveles desde 40 bits a 128 bits.
Protección de los medios
de comunicación
www.sanborns.com.mx
Protección de los medios
de comunicación
El S-http -Secure http- es un protocolo
de seguridad orientado a las comunicaciones
seguras de mensajes, está diseñado para
utilizarse en conjunto con el protocolo http
y sus características son las siguientes:
• Está diseñado para enviar mensajes
individuales seguros.
• No es posible utilizarlo en todos los buscadores.
• Con este protocolo, cualquier mensaje puede
ser firmado, autenticado, encriptado o utilizar
cualquier combinación según las necesidades.
Protección de los medios
de comunicación
shttp://www.librosademanda.com/
Protección de los medios
de comunicación
Redes virtuales privadas VPN
Utilizan un protocolo PTP (Point-to- Point
Tunneling Protocol) que es un mecanismo
de codificación que permite a una red local
conectarse a otra:
• Utiliza una red pública de Internet para enviar
la información.
• Cuando un usuario utiliza el servicio de un ISP,
el protocolo PTP hace una conexión con la red en
forma transparente, es decir, como si el usuario
la hubiera solicitado directamente. Esta es la
razón por la que se le da el nombre de virtual
ya que se percibe como si el usuario tuviera
una línea segura constantemente, cuando
en realidad, es temporal.
Protección de los medios
de comunicación
Redes virtuales privadas VPN
http://www.proyectaenred.com
Protección en las redes
Proxy Servers
Normalmente son servidores de software
que controlan todas las comunicaciones
originadas o enviadas por el Internet.
• Limitan el acceso de clientes internos
a servidores externos.
• Poseen dos interfases en la red.
• Permite restringir el acceso a ciertos sitios.
• Las páginas de mayor acceso son almacenadas
localmente por el servidor para ahorrar costos
y tiempos de acceso.
Protección en las redes
Proxy Servers
http://www.pymes.com/wingate.htm
Protección en las redes
Firewalls
Los firewalls intentan construir una muralla
alrededor de la red y los servidores y clientes
del negocio.
• Son aplicaciones que actúan como filtros entre
la red del negocio y el Internet protegiéndolos
de ataques.
• Un firewall debe poseer las siguientes
características:
Todo el tráfico debe ser revisado por este
sistema.
Sólo el tráfico autorizado tendrá permiso
de pasar a través del firewall.
El sistema mismo debe ser inmune a la
penetración.
Protección en las redes
Firewalls
Los firewalls deben ser considerados
componentes de la seguridad total de la empresa,
no la única
solución.
EJERCICIO:
http://www.verisign.com/media/networkSecurity/index.html
Protección en las redes
Sistemas de detección de intrusos
Existen dos tipos de estos sistemas
de detección:
• Sistemas basados en la computadora
anfitriona (Host).
http://www.symantec.com/region/mx/product/ids/hostids/
Protección en las redes
Sistemas de detección de
intrusos
• Sistemas basados en las redes.
Su actividad se realiza por dos aplicaciones:
• Una aplicación de software llamada monitor
que revisa la red.
• Agentes de software que residen en varias
computadoras anfitrionas y proporcionan
información al programa monitor.
También pueden realizar acciones precisas
cuando detectan ataques, como:
• Concluir la conexión.
• Reconfigurar los dispositivos de red como firewalls
y ruteadores, basándose en reglas preestablecidas.
Protección en las redes CE-04
http://www.symantec.com/region/mx/product/ids/decoy/
Pagos electrónicos
Introducción
http://www.todito.com
Cartera electrónica
http://www.gator.com/home2.html
Cartera electrónica
http://www.gator.com
Cartera electrónica
http://www.passport.net
Efectivo electrónico
www.paypal.com
Efectivo electrónico … Nuevos
sistemas
http://www.e-paid.net/sites/TODITOMX
Efectivo electrónico
http://www.celebrandotuboda.com
Cheques electrónicos
http://www.echeck.org/
Cheques electrónicos
http://www.echeck.org/library/wp/ArchitectualOverview.pdf
Tarjeta de crédito
http://www.visa.com.mx/
Tarjeta de crédito
http://www.visa.com.mx
Tarjeta de crédito
http://www.verisign.com/products
Sistemas de valores en línea
Stored Value
Estos sistemas permiten a los clientes hacer
pagos en línea utilizando valores
almacenados en una cuenta en línea.
http://www.moneybookers.com
Sistemas de valores en línea
Stored Value
Tarjetas inteligentes.
Las tarjetas inteligentes smart cards
constituyen otra forma de almacenar valor.
El proceso consiste en el uso de tarjetas
similares a las de crédito que tienen un chip
para almacenar la información personal con
capacidad 100 veces mayor que las tarjetas
de crédito.
Actualmente existen dos tipos de tarjetas
inteligentes:
Sistemas de valores en línea
Stored Value
• Con contacto.
Para que puedan ser leídas se requiere
insertarlas en un lector, tal como se hace en las
tarjetas
telefónicas.
http://kalysis.com/content
Sistemas de valores en línea
Stored Value
• Sin contacto.
Tienen una antena integrada para habilitar
una transmisión de datos sin un contacto directo
pero leído por un sensor remoto.
http://www.ezpass.com
Sistemas de valores en línea
Stored Value
Un ejemplo de estas tarjetas fue creado
por American Express, la llamada
American Express Blue.
http://www10.americanexpress.com
Sistemas de balance
acumulado digital
Los sistemas de balance acumulado digital
permiten a los usuarios hacer micropagos
y compras en la red acumulando un débito
que será cobrado al final del mes.
www.bitpass.com
Sistemas de balance
acumulado digital
Una vez que el cliente obtiene su tarjeta,
puede utilizarla en diferentes compras, por
ejemplo:
http://www.virtualparks.org/places
Protocolo SET
http://www.mastercardintl.com/newtechnology/set//
Protocolo SET
www.visa.com.mx
Protocolo SET
http://www.todito.com
Protocolo SET
Protocolo SET
Protocolo SET
https://buy.entrust.net