Seguridad del Sitio

Introducción

 El comercio electrónico ha abierto también

posibilidades para cometer delitos y
fraudes.
 La facilidad del anonimato, ha ocasionado
que se realicen ataques como:
• Fraudes en órdenes de compra.
• Robo de información.
• Problemas en los sitios por ataques y código
maligno.
Introducción

 Los delitos dan como resultado pérdidas

económicas debidas a:
• Pérdida de tiempo.
• Uso de recursos para las reparaciones.
• Daño a la reputación del sitio Web.

 Los clientes y los negocios han tenido

que adquirir y operar tecnología y procesos
de seguridad en el comercio electrónico.
Introducción

Riesgos al acceder a un sitio Web:

 Riesgos para el cliente:
• Falta de privacidad.
• Diferencias entre el producto o servicio
esperado
y el que se recibe.
• Robo de datos personales o de tarjetas
de crédito.
 Riesgos para el negocio:
• Fraudes en las compras al recibir pagos con
tarjetas de crédito robadas o efectivo
falsificado.
• Negación de la acción por parte del cliente.
• Destrucción maliciosa.
 Introducción

 Los problemas de seguridad están

relacionados con los siguientes aspectos:
• Falta de una estrategia correcta de
seguridad
por parte del negocio.
• Contacto presencial nulo o limitado de
los negocios con los clientes en Internet.
• Falta de estructuras legales para penalizar a
las personas que realizan fraudes por Internet.
• Estandarización limitada del manejo de
firmas
Paraycada una dedigitales.
certificados las áreas de seguridad pueden
comprarse o desarrollarse soluciones tecnológica
Áreas de la seguridad

 Los datos que se generan en la comunicación

de los clientes con los negocios deben
protegerse desde diferentes perspectivas,
como son:
• Integridad.
 Asegurar que la información que fluye por el
Internet o que se presenta en un sitio es íntegra.
• Privacidad.
 Derecho de las personas para controlar
la información que les pertenece.
• No rechazo.
 Asegurar que los participantes en una
transacción electrónica responderán por sus
actos.
Áreas de la seguridad

• Disponibilidad
 Los clientes pueden acceder al sitio
en el momento en que lo requieran.
 Es necesario que el sitio tenga la habilidad
y responsabilidad para asegurar su
funcionamiento, considerando:
• Las acciones para mantener en operación al sitio.
• Las tecnologías, que apoyan el balance de cargas
para el hardware y software ofrecen una garantía
para la disponibilidad continua.
Amenazas y vulnerabilidad
de los negocios
 Una amenaza es una eventualidad
que representa un peligro para cualquier
bien o valor del negocio, tales como:
• Bienes tangibles: computadoras y las redes
de comunicación.
• Bienes intangibles: datos de los clientes,
claves de acceso, firmas digitales, marcas,
información privada de la empresa, entre otros.
 La vulnerabilidad se produce por una
debilidad en la seguridad del sitio.
Amenazas y vulnerabilidad
de los negocios
 Categorías:
 1. Hacker. Intenta un acceso a un sitio con fines
no delictuosos. Cuando el acceso con fines delictuosos,
se le conoce como cracker.
Ataques.
• Obtienen el acceso a un sistema computacional
encontrando puntos débiles del sitio Web.
• Normalmente utilizan aplicaciones de Internet por la
facilidad de uso y el ambiente abierto de las transacciones.
• Las intrusiones pueden ser motivadas por el robo
de productos o información.
• En ocasiones realizan las acciones solo como un reto
a sus habilidades.
• Si sus intenciones son interrumpir el funcionamiento
de un sitio, destruirlo o afectar su imagen, se considera
cyber vandalismo.
Amenazas y vulnerabilidad
de los negocios
 2. Código malicioso (Malware). Es la ejecución
no autorizada de programas que producen daños
en la información, tales como virus y worms,
caballos de Troya y applets malignos.
• Han generado la creación de anti-virus para
contrarrestar y eliminar el efecto de los virus.
• Un virus es un programa que tiene la posibilidad
de replicarse o autocopiarse para distribuirse
en otros programas.
• Los virus tienen dos componentes:
 Un mecanismo de propagación.
 El efecto producido cuando se ejecuta el código.
• Una clasificación de los virus llamada macro virus está
orientada a aplicaciones específicas como MS Word y
sólo a ellas las afectan, cuando se abre un archivo
infectado,
el virus se copia a las plantillas de la aplicación
y se reproduce en nuevos archivos.
Amenazas y vulnerabilidad
de los negocios
• El funcionamiento de los macro virus hace que
el código malicioso se disemine fácilmente a través
de medios de comunicación como el correo electrónico:
Amenazas y vulnerabilidad
de los negocios
 Un worm es otra forma de software
malicioso que está diseñado para distribuirse
de computadora a computadora en lugar
de hacerlo en archivos.
• La principal diferencia entre un worm y un
virus es que el worm se propaga entre
sistemas, normalmente a través de una red y el
virus
se propaga localmente en el sistema.
• Los macro worms normalmente se ejecutan
cuando se abre una aplicación o se realiza un
procedimiento, por ejemplo, cuando se ejecuta
una macro de Excel, una hoja de cálculo
o un mensaje de correo.
Amenazas y vulnerabilidad
de los negocios
 Un caballo de Troya aparenta ser un programa
benigno pero realiza otras acciones diferentes
a las esperadas.

http://securityresponse.symantec.com/avcenter/venc/auto/index/indexA
.html
Los applets malignos están relacionados
con el concepto cliente servidor.
Amenazas y vulnerabilidad
de los negocios

http://securityresponse.symantec.
com
Amenazas y vulnerabilidad
de los negocios
 Cuando se accede a un sitio dudoso,
el usuario podrá recibir mensajes como:
Amenazas y vulnerabilidad
de los negocios
Fraude y robo de información
 En el comercio tradicional el fraude por mal
uso de tarjetas de crédito se debe a:
• La pérdida o el robo de las tarjetas físicas.
• El robo de los datos por parte de los empleados
de los negocios.
• La suplantación de identidades.
 En el ambiente del comercio electrónico, se agregan
otras características, como:
• La pérdida o el acceso no autorizado a los datos
de las tarjetas de crédito almacenados en los servidores
del negocio.
• El robo de datos no solamente enfocados a las tarjetas
de crédito sino a la información personal con el fin de
establecer identidades falsas y obtener créditos con ella.
Amenazas y vulnerabilidad
de los negocios
Spoofing
 Se refiere al uso de falsas identidades en las
transacciones por Internet o al redireccionamiento
de accesos de un sitio a otro con fines que benefician
al hacker.
Ataques DoS
 Este tipo de ataques es llamado denegación del
servicio por su nombre en inglés Denial of Service y
consiste en acceder a un sitio con tráfico inútil para
imposibilitar el acceso.
 Esto puede ocasionar la paralización del sitio y como
consecuencia, costos muy altos, ya que mientras el
sitio no funcione, no se pueden realizar las ventas.
Amenazas y vulnerabilidad
de los negocios
 Cuando un sitio está inactivo, también se afecta
su reputación.
 Algunos ataques utilizan robots de verificación del
funcionamiento del sitio mediante solicitudes PING
que obtiene en forma abierta la dirección IP de un
sitio.
Sniffing
 Este proceso consiste en la revisión de los mensajes
que viajan por una red, a través de programas que
detectan información importante que utilizarán
los hackers para sus propósitos.
 La búsqueda realiza detecciones de mensajes
de correos, archivos privados de las compañías
y reportes confidenciales.
Amenazas y vulnerabilidad
de los negocios
Riesgos No Técnicos
 Se derivan de la vulnerabilidad de la
tecnología y se relacionan con las personas y
se conocen como no técnicos:
• Ataques internos: No todos los ataques a la
seguridad de la empresa provienen de
entidades externas, una importante cantidad
proviene de las personas de la misma empresa
en forma directa o inconsciente.
• Ingeniería social: El atacante utiliza métodos
de persuasión para que las personas le
revelen información importante y con ella
realizar acciones que comprometen la
seguridad del sitio.
Protección de las
comunicaciones
Criptografía –Encripción-
 La criptografía es un método de codificación
matemática utilizado para transformar los
mensajes de tal forma que sean ilegibles por
otras personas que no sean los destinatarios.
 La encripción consiste en el proceso de
convertir el contenido del mensaje en un texto
cifrado.
 Los resultados del proceso de encripción
son mensajes no descifrables (ciphertext)
que requieren de un proceso similar al que
los codificó para poderlos leer e interpretar.
Protección de las
comunicaciones
 El beneficio de la encripción se relaciona
con la integridad, con la no negación, con
la autenticidad y con la confidencialidad
del mensaje.
 El proceso de encripción se logra mediante
una llave de encripción o cifrador que consiste
en cualquier método para la conversión del
código.
 La encripción de clave pública fue
desarrollada para resolver el problema
del intercambio de claves. Utiliza dos claves
matemáticas relacionadas llamadas clave
o llave pública y clave o llave privada.
Protección de las
comunicaciones
 El proceso consiste en lo siguiente:
• El emisor crea un mensaje que incluye la clave
pública del receptor. La clave la obtiene
mediante
un directorio publico de claves.
• Con la clave publica del receptor, se crea
un cifrado en el mensaje que es enviado
con el mismo a través de la red.
• El receptor utiliza su clave privada para
descifrar
el mensaje.
Protección de las
comunicaciones
mensaje
ENCRIPCIÓN codificado

servidor
+
je ón

+
n sa a do isi
me cif nsm
r
a je tra
s la
en en
m d
r ida
gu
se

mensaje
Compendio del mensaje decodificado

 Debe verificarse que quien envió el mensaje,

es el emisor válido, es decir, debe haber
una autenticación del mismo.
Protección de las
comunicaciones
 El uso más sofisticado de la clave pública
permite verificar la confiabilidad del mensaje
mediante una función que es usada primero
para dividir el mensaje:
• El algoritmo utiliza varios métodos para
producir un número de longitud fija llamado
compendio
–message digest– que cuenta la cantidad de
bits 1’s y 0’s del mensaje.
• El resultado es enviado por el emisor al
receptor,
quien verifica que se produzca el mismo
resultado que fue enviado con el mensaje.
• Por lo tanto, cuando el emisor envía un
mensaje,
Protección de las
comunicaciones
AUTENTICIDAD

servidor
+ + compendio

+ +
mensaje compendio mensaje
decodificado
autenticidad

 Además del uso de las claves, se debe tener

en cuenta que la verdadera fortaleza del
servicio que proporciona confidencialidad
puede depender de otros factores asociadas
con la encriptación.
Protección de las
comunicaciones
• El protocolo de seguridad.
• La seguridad en la plataforma.
• El algoritmo de encripción.
• La longitud de la llave.
• El protocolo para administrar y generar las
llaves.
• El almacenamiento seguro de las llaves secretas.
 Actualmente algunos países están realizando
esfuerzos para definir estándares sobre el
tamaño de la llave de este proceso y para
solucionar algunas controversias sobre los
siguientes aspectos:
• El tamaño de la llave que el gobierno de ese país
permitirá exportar al exterior.
• La clase de privilegios de acceso, para reforzar
las leyes.
Protección de las
comunicaciones
Firmas digitales
 Para asegurar la autenticidad del mensaje
y la responsabilidad de quien lo envía,
el emisor encripta nuevamente el bloque
entero utilizando su llave privada.
 Esto produce una firma digital o firma
cifrada
que puede ser enviada con el mensaje.
 La firma del emisor es única y al combinarse
con el compendio del mensaje se convierte
en única para cada documento que se envíe.
Protección de las
comunicaciones
 El receptor de un texto cifrado y firmado
realiza el siguiente procedimiento:
• Primero utiliza la llave pública del emisor
para verificar la autenticidad del mensaje.
• Usa su llave privada para obtener el compendio

del mensaje y el mensaje original.

• Finalmente aplica la misma función del
compendio al mensaje original y compara el
resultado con el resultado enviado por el
emisor. Si es el mismo, el mensaje es íntegro.
Protección de las
comunicaciones
NO NEGACIÓN

servidor
+ +
compendio

+ +
mensaje compendio
+ mensaje
decodificado

No negación

Sobres digitales
 Los procesos de encripción pueden resultar
en un incremento del proceso para descifrar
mensajes y en una disminución de las
velocidades de transmisión.
Protección de las
comunicaciones
 Para evitar estos problemas se utiliza un sistema
más eficiente de encripción simétrica para el
documento, combinado con la encripción
pública para encriptar y enviar la clave simétrica
creando un sobre digital.
Certificados digitales
 Un certificado digital es un documento emitido
por una autoridad certificadora que contiene:
• Nombre del usuario o compañía.
• Su clave pública.
• Número de serie que lo certifica.
• Fecha de emisión del certificado.
• Fecha de expiración del certificado.
• La firma digital de la autoridad certificadora.
Protección de las
comunicaciones
• Información adicional para la identificación.
 Las autoridades certificadoras son instituciones
que mediante procedimientos establecidos
establecen la confianza en el sitio.
Protección de las
comunicaciones
 Al mismo tiempo, el sitio que está
certificado como seguro, colocará
el logotipo de la autoridad en su página:
Protección de las
comunicaciones
 Otros certificados están relacionados con
la privacidad y confidencialidad de los datos:
Protección de los medios
de comunicación
 La forma más común de asegurar
los medios de comunicación es a través
del concepto SSL Secure Socket Layer
del protocolo TCP/IP que establece una sesión
de comunicación segura mediante:
• La autenticación del servidor.
• La integridad del mensaje en la conexión
TCP/IP.
• El método más poderoso de encripción usando
niveles desde 40 bits a 128 bits.
Protección de los medios
de comunicación

www.sanborns.com.mx
Protección de los medios
de comunicación
 El S-http -Secure http- es un protocolo
de seguridad orientado a las comunicaciones
seguras de mensajes, está diseñado para
utilizarse en conjunto con el protocolo http
y sus características son las siguientes:
• Está diseñado para enviar mensajes
individuales seguros.
• No es posible utilizarlo en todos los buscadores.
• Con este protocolo, cualquier mensaje puede
ser firmado, autenticado, encriptado o utilizar
cualquier combinación según las necesidades.
Protección de los medios
de comunicación

shttp://www.librosademanda.com/
Protección de los medios
de comunicación
Redes virtuales privadas VPN
 Utilizan un protocolo PTP (Point-to- Point
Tunneling Protocol) que es un mecanismo
de codificación que permite a una red local
conectarse a otra:
• Utiliza una red pública de Internet para enviar
la información.
• Cuando un usuario utiliza el servicio de un ISP,
el protocolo PTP hace una conexión con la red en
forma transparente, es decir, como si el usuario
la hubiera solicitado directamente. Esta es la
razón por la que se le da el nombre de virtual
ya que se percibe como si el usuario tuviera
una línea segura constantemente, cuando
en realidad, es temporal.
Protección de los medios
de comunicación
Redes virtuales privadas VPN

http://www.proyectaenred.com
Protección en las redes
Proxy Servers
 Normalmente son servidores de software
que controlan todas las comunicaciones
originadas o enviadas por el Internet.
• Limitan el acceso de clientes internos
a servidores externos.
• Poseen dos interfases en la red.
• Permite restringir el acceso a ciertos sitios.
• Las páginas de mayor acceso son almacenadas
localmente por el servidor para ahorrar costos
y tiempos de acceso.
Protección en las redes
Proxy Servers

http://www.pymes.com/wingate.htm
Protección en las redes
Firewalls
 Los firewalls intentan construir una muralla
alrededor de la red y los servidores y clientes
del negocio.
• Son aplicaciones que actúan como filtros entre
la red del negocio y el Internet protegiéndolos
de ataques.
• Un firewall debe poseer las siguientes
características:
 Todo el tráfico debe ser revisado por este
sistema.
 Sólo el tráfico autorizado tendrá permiso
de pasar a través del firewall.
 El sistema mismo debe ser inmune a la
penetración.
Protección en las redes
Firewalls
 Los firewalls deben ser considerados
componentes de la seguridad total de la empresa,
no la única
solución.

 Existen firewalls de dos categorías:

• Estáticos.
• Dinámicos.

 Al diseñar un firewall se deben considerar

los siguientes factores:
• Capacidad de negar el acceso.
Protección en las redes
Firewalls
• Filtros.
• Políticas de seguridad.
• Dinámica.
• Autenticación.
• Filtros flexibles.
• Reconocimiento de servicios peligrosos.
• Filtrar accesos mediante teléfono.
• Reportes de auditoria.
• Versiones actualizadas.
• Documentación.
Protección en las redes
Firewalls

EJERCICIO:
http://www.verisign.com/media/networkSecurity/index.html
Protección en las redes
Sistemas de detección de intrusos
 Existen dos tipos de estos sistemas
de detección:
• Sistemas basados en la computadora
anfitriona (Host).

http://www.symantec.com/region/mx/product/ids/hostids/
Protección en las redes
Sistemas de detección de
intrusos
• Sistemas basados en las redes.
 Su actividad se realiza por dos aplicaciones:
• Una aplicación de software llamada monitor
que revisa la red.
• Agentes de software que residen en varias
computadoras anfitrionas y proporcionan
información al programa monitor.
 También pueden realizar acciones precisas
cuando detectan ataques, como:
• Concluir la conexión.
• Reconfigurar los dispositivos de red como firewalls
y ruteadores, basándose en reglas preestablecidas.
Protección en las redes CE-04

Sistemas de detección de intrusos

http://www.symantec.com/region/mx/product/ids/decoy/
Pagos electrónicos
Introducción

 Una de las actividades más importantes

del comercio electrónico es recibir y
procesar
los pagos de los clientes.
 En el comercio electrónico se deben ofrecer
formas de pago y opciones iguales que en el
mundo físico, además de agregar necesidades
como:
• Confiabilidad en las transacciones.
• Uso de sistemas innovadores.
• Diferentes alternativas para negocios B2B y
B2C.
Introducción

 Como en el mundo real, según el valor

del pedido de compra se han establecido
tres tipos de pagos en Internet:
• Micropagos.
• Pagos de consumidor.
• Pagos comerciales.
Sistemas electrónicos de pago

http://www.todito.com
Cartera electrónica

 La cartera electrónica –digital wallet–

es utilizada en la mayor parte de los
sistemas actuales de pago.

 La cartera digital permite realizar los pagos

electrónicos de manera segura y almacenar
las transacciones realizadas.
Cartera electrónica

http://www.gator.com/home2.html
Cartera electrónica

 Existen dos categorías de carteras

digitales:
• Cartera digital basada en el cliente.

http://www.gator.com
Cartera electrónica

• Cartera digital basada en el servidor.

http://www.passport.net
Efectivo electrónico

 El efectivo electrónico e-cash fue una de

las primeras formas de pago desarrolladas
para el comercio electrónico.
 Presenta el problema de que no existen
emisores para el mismo.
 Actualmente se maneja formas de
almacenamiento e intercambio de valores
con muy poca facilidad para convertirse
a otras formas y requiere de intermediarios.
 Algunos de sus principios se encuentran
en formas electrónicas actuales de pago,
como los sistemas P2P (Peer to Peer).
Efectivo electrónico … Nuevos
sistemas

www.paypal.com
Efectivo electrónico … Nuevos
sistemas

http://www.e-paid.net/sites/TODITOMX
Efectivo electrónico

 Otra forma considerada dentro del efectivo

electrónico es el manejo de puntos
o certificados de regalo.

http://www.celebrandotuboda.com
Cheques electrónicos

 En los cheques tradicionales, se transfieren

fondos directamente de la cuenta del
consumidor a otra persona o negocio.
 Constituyen la segunda forma de pago
más popular para las transacciones, aunque
típicamente no aplican a los micropagos.
 eCheck es un sistema sofisticado que intenta
reemplazar a los sistemas
tradicionales de cheques y extender la
transferencia electrónica de fondos entre las
instituciones y las empresas y consumidores.
Cheques electrónicos

http://www.echeck.org/
Cheques electrónicos

 La operación de los cheques electrónicos requiere

una inversión significativa en nueva
infraestructura.

http://www.echeck.org/library/wp/ArchitectualOverview.pdf
Tarjeta de crédito

 Extienden la funcionalidad de las tarjetas

de crédito tradicionales para usarse como
un sistema de pago en línea.
 La nueva funcionalidad incluye acciones para
evitar la falta de autenticación, la negación
de cargos y los fraudes.
 Algunos otros factores de mejora son:
 Minimizar la desconfianza de los clientes al tener
que revelar la información personal en múltiples
sitios.
 Disminuir el costo de las transacciones.
Tarjeta de crédito

http://www.visa.com.mx/
Tarjeta de crédito

 Constituyen la forma más común de los

pagos electrónicos y su diferencia con las
formas tradicionales es que:
 El vendedor nunca ve la tarjeta que está siendo
usada.
 No se tiene un comprobante físico.
 No se valida la firma.

 Los sistemas de pago comerciales ofrecen

actualmente la posibilidad de administrar
las cuentas y procesar la compra en línea.
Tarjeta de crédito

http://www.visa.com.mx
Tarjeta de crédito

 La empresa VeriSign actualmente es líder en

ofrecer servicios seguros en Internet y
sistemas
de pago.

http://www.verisign.com/products
Sistemas de valores en línea
Stored Value
 Estos sistemas permiten a los clientes hacer
pagos en línea utilizando valores
almacenados en una cuenta en línea.

 Algunos de estos sistemas requieren hacer

uso de una cartera digital mientras que otros
permiten las transacciones con una firma
y la transferencia de valores de su tarjeta
de crédito a la cuenta en línea.
Sistemas de valores en línea
Stored Value

http://www.moneybookers.com
Sistemas de valores en línea
Stored Value
Tarjetas inteligentes.
 Las tarjetas inteligentes smart cards
constituyen otra forma de almacenar valor.
 El proceso consiste en el uso de tarjetas
similares a las de crédito que tienen un chip
para almacenar la información personal con
capacidad 100 veces mayor que las tarjetas
de crédito.
 Actualmente existen dos tipos de tarjetas
inteligentes:
Sistemas de valores en línea
Stored Value
• Con contacto.
 Para que puedan ser leídas se requiere
insertarlas en un lector, tal como se hace en las
tarjetas
telefónicas.

http://kalysis.com/content
Sistemas de valores en línea
Stored Value
• Sin contacto.
 Tienen una antena integrada para habilitar
una transmisión de datos sin un contacto directo
pero leído por un sensor remoto.

http://www.ezpass.com
Sistemas de valores en línea
Stored Value
 Un ejemplo de estas tarjetas fue creado
por American Express, la llamada
American Express Blue.

http://www10.americanexpress.com
Sistemas de balance
acumulado digital
 Los sistemas de balance acumulado digital
permiten a los usuarios hacer micropagos
y compras en la red acumulando un débito
que será cobrado al final del mes.

 Estos sistemas son preferentemente

orientados a la compra de productos digitales
como
música, literatura y artículos.
Sistemas de balance
acumulado digital

www.bitpass.com
Sistemas de balance
acumulado digital
 Una vez que el cliente obtiene su tarjeta,
puede utilizarla en diferentes compras, por
ejemplo:

http://www.virtualparks.org/places
Protocolo SET

 Trata de resolver el problema de la seguridad

de las transacciones de pago a través del
desarrollo de un nuevo estándar llamado
SET (Secure Electronic Transaction
Protocol).

http://www.mastercardintl.com/newtechnology/set//
Protocolo SET

 Es un complemento al protocolo SSL ya que

este no provee la autenticación de las partes
involucradas en la transacción ni la protección
a la negación de las transacciones.

www.visa.com.mx
Protocolo SET

 No ha sido completamente utilizado

por los vendedores quienes utilizan los
procedimientos tradicionales de las tarjetas
de crédito.

http://www.todito.com
Protocolo SET
Protocolo SET
Protocolo SET

https://buy.entrust.net