FORO: COMERCIO ELECTRONICO

SUB-TEMA: SEGURIDAD EN EL COMERCIO ELECTRONICO

 

1. Introducción

2. Tipos de Amenazas

3. Servicios de Seguridad

4. Mecanismos de Seguridad

5. Seguridad en el Pago Electrónico

6. Protocolos de Seguridad

    6.1 SSL (Secure Sockets Layer) y TLS (Transport Layer Security)

        6.1.1 Características del SSL

        6.1.2 Protocolo SSL

        6.1.3 Protocolo de registro en SSL

        6.1.4 Protocolo Handshake en SSL

        6.1.5 Protocolo TLS

    6.2 SET (Secure Electronic Transaction)

        6.2.1 Características

        6.2.2 Agentes del comercio electrónico de SET

        6.2.3 Módulos de programación

        6.2.4 Firma dual

        6.2.5 Transacción de compra

        6.2.6 Fraudes

Infografía       

 

 

1. Introducción

La seguridad, tanto desde el punto de vista técnico (algoritmos de cifrado, longitud de claves, etc.) como desde el punto de vista de percepción de los usuarios, es un aspecto clave para generar en las empresas y en los consumidores la confianza necesaria para que el comercio electrónico se desarrolle. La necesidad de generar confianza, en la que coinciden prácticamente todas las asociaciones de la industria, administraciones, etc. es especialmente importante debido al hecho de que Internet es una red abierta y a la sensación de inseguridad (quizá a veces excesiva) que este hecho genera en los usuarios.

Sin embargo, la seguridad de la red, en este caso Internet, es solo uno de los factores que intervienen en la seguridad del comercio electrónico en conjunto. La resistencia de los usuarios a, por ejemplo, enviar los datos de su tarjeta de crédito a través de Internet para efectuar un pago se menciona frecuentemente como una de las barreras iniciales para el crecimiento del comercio electrónico. Aunque esta barrera puede ser todavía importante en algunos países, en Estados Unidos por ejemplo (donde existe una mayor familiarización con el comercio electrónico y, de hecho, con la venta a distancia en general) se empieza a observar un cambio en las preocupaciones de los usuarios. Más que de la seguridad del pago, los usuarios empiezan a preocuparse sobre todo de problemas como ¿es el vendedor fiable?, ¿podré devolver el producto si no me gusta?, ¿utilizará mis datos personales para enviarme publicidad que no deseo?, ¿cederá esos datos a otras empresas?, en el caso de empresas ¿cuál es la validez de un pedido, factura, etc. hechos electrónicamente?

Así, aunque las características de seguridad de las redes y sistemas de comercio electrónico son, obviamente, muy importantes, el hecho de que los usuarios consideren el comercio electrónico como suficientemente seguro probablemente depende menos de los detalles técnicos, y más de otras cuestiones como la confianza que inspiren las empresas vendedoras, financieras, etc.; la existencia y difusión de normas que, por ejemplo, limiten la responsabilidad del usuario en caso de uso indebido de una tarjeta de crédito y que garanticen su derecho a devolver un producto comprado electrónicamente; la creación de códigos éticos de comportamiento de las empresas y de procedimientos efectivos de solución de conflictos; etc.

Como es bien conocido, los medios de pago tradicionales sufren numerosos problemas de seguridad: falsificación de billetes, falsificación de firmas, cheques sin fondo, etc. Por otro lado, los medios de pago electrónicos, además de estar sujetos a los mismos problemas anteriores, presentan riesgos adicionales, pues a diferencia del papel, los documentos digitales pueden ser copiados perfectamente y cuantas veces se desee, las firmas digitales pueden ser falsificadas por cualquiera que conozca la clave privada del firmante, la identidad de una persona puede ser asociada de forma inequívoca con la información relacionada en cada pago, etc.

Es por ello que es necesario establecer nuevos mecanismos de seguridad para los nuevos medios de pago electrónicos, si se quiere que tanto las entidades bancarias como los usuarios finales acepten de forma generalizada estos nuevos medios de pago. Por otro lado, si los sistemas de pago electrónicos son bien diseñados, pueden proporcionar una mayor seguridad y flexibilidad de uso que la ofrecida por los medios de pago tradicionales

Volver al Indice

2. Tipos de Amenazas

Los sistemas pueden estar expuestos a distintos tipos de amenazas o ataques, cuando se dice sistema se refiere a un servicio disponible en una red de comunicación como lo es Internet. Pudiera ser un servicio en línea ofrecido por un computador que se está ejecutando bajo un determinado sistema operativo, o una pagina Web de una tienda virtual. Los usuarios y los propietarios de estos servicios son víctimas de cierto tipo de amenazas o ataques, ellos cuales pueden ser clasificados en varios tipos.

 

Volver al Indice

 

3. Servicios de Seguridad

Al realizar un análisis de los riesgos que implica el comercio electrónico, se debe definir un política de seguridad donde se especifique cuál debe ser la información a asegurar. Una política de seguridad no cubre todos los posibles riesgos de un sistema, pero si cubre razonablemente la mayoría de las brechas entre los riesgos y los recursos disponibles. Los servicios son implementados por mecanismos de seguridad que son realizados por algoritmos de criptografía y protocolos de seguridad.
La organización Internacional para la Estandarización (ISO) define los servicios de seguridad básicos de la siguiente forma:

 

Volver al Indice

 

4. Mecanismos de Seguridad

Los siguientes mecanismos de seguridad son los utilizados para implementar los servicios de seguridad:

Volver al Indice

 

5. Seguridad en el Pago Electrónico

El pago electrónicamente no es nada nuevo. El dinero electrónico ha sido utilizado entre los bancos en forma de transferencias desde 1960. Desde casi ese mismo tiempo los clientes han podido realizar retiros de dinero de Cajeros Automáticos
La seguridad en el pago electrónico se puede dividir en tres grupos dependiendo en el instrumento de pago utilizado. El primer grupo se refiere a todos los sistemas de pagos electrónicos y a los instrumentos de pago

Transacciones de Pago, estas son la ejecución de un protocolo por el cal una cantidad de dinero es timada de un comprador y se la suministra a un vendedor. Los mecanismos de seguridad que se implementan en las transacciones de pago son las siguientes:

El próximo grupo de servicios es típico de sistemas de pagos que utilizan dinero digital como instrumento de pago.

Dinero Electrónico, esta representa relativamente un nuevo instrumento de pago para el comercio electrónico la cual exige el desarrollo de diversas técnicas de seguridad como lo son:

El tercer grupo está basado en las técnicas de pago específicas que utilizan cheques como formas de pago

Cheques Electrónicos, esto son documentos electrónicos que contienen la misma información que los queches tradicionales de papel. Al utilizarlos electrónicamente se debe pasar por un mecanismo de seguridad para que pueda ser efectivo el pago, como lo es:

Volver al Indice

 

6. Protocolos de Seguridad

Existen diversos protocolos de seguridad utilizados para realizar las transacciones electrónicas, pero lo mas utilizados son los siguientes:

6.1 SSL (Secure Sockets Layer) y TLS (Transport Layer Security)

6.1.1 Características del SSL

El SSL es un protocolo seguro de Internet inventado por la empresa Netscape. No es exclusivo del comercio electrónico sino que sirve para cualquier comunicación vía Internet y, por lo tanto, también para transacciones económicas. Está implementado por defecto en todos los navegadores de Netscape para Webs, o sea, para el protocolo http. Sustituye los sockets del sistema operativo. Los sockets son el interficie entre las aplicaciones y el protocolo TCP/IP del sistema operativo (Ver Figura 6.1.1).

Figura 6.1.1 – Ubicación de SSL en la pila TCP/IP

Para diferenciar las páginas dentro de una zona de servidor SSL, Netscape utiliza la denominación https y se conecta mediante el puerto 443.

El SSL puede realizar las funciones:

Se utilizan certificados X.509v3 para la transmisión de las claves públicas.

6.1.2 Protocolo SSL

El protocolo SSL se divide en dos capas complementarias (ver Figura 6.1.2):

        Figura 6.1.2 - Protocolos de SSL

El protocolo SSL se comporta como una máquina de estados, durante el intercambio de información siempre hay un estado de escritura activo y otro pendiente y un estado de lectura activo y otro pendiente. Para cambiar del estado activo al pendiente se utiliza un subprotocolo del Handshake llamado Change Cipher Spec.
Entre dos entidades cliente y servidor se pueden abrir varias sesiones SSL, aunque no es habitual, y dentro de cada sesión se pueden mantener varias conexiones SSL. Las conexiones se abren o cierran a través del protocolo de Handshake.

Un estado de sesión incluye los siguientes elementos:

Un estado de conexión incluye los siguientes elementos:

6.1.3 Protocolo de registro en SSL

El protocolo de registro realiza las funciones de seguridad sobre los mensajes que llegan de la capa de Handshake o de las aplicaciones (HTTP, FTP,...). Para ello utiliza los parámetros de conexión que se han negociado antes mediante la capa de Handshake.
En la Figura 6.1.3 se pueden ver las funciones realizadas por orden de actuación en el emisor.

Figura 6.1.3 - Protocolo de registro de SSL

 

La fragmentación divide los mensajes mayores de 214 bytes en bloques más pequeños.
La compresión se realiza utilizando el algoritmo que se ha negociado en la fase inicial, puede ser algoritmo nulo (Null) si no se comprimen los mensajes.
La autenticación e integridad se realiza calculando un resumen del mensaje concatenado con un número secreto y el número de secuencia (Ver Figura 6.1.4). El resultado de este resumen es el MAC y se añade al mensaje. La autenticación se puede comprobar con el número secreto, que sólo comparten el cliente y el servidor, y mediante el número de secuencia que nunca viaja en claro. La integridad se realiza mediante la función Hash.

Figura 6.1.4 - Integridad en el protocolo de registro de SSL

 

La confidencialidad se realiza encriptando con un algoritmo simétrico mediante la clave secreta negociada en el Handshake. Las encriptaciones pueden ser de:

6.1.4 Protocolo Handshake en SSL

Se encarga de establecer, finalizar y mantener las conexiones SSL. Durante el Handshake se negocian los parámetros generales de la sesión y los particulares de cada conexión. Hay dos subprotocolos anexos:

Figura 6.1.5 - Protocolo Handshake de SSL

 

Los mensajes llevan la siguiente información:

6.1.5 Protocolo TLS

Su origen es el SSL versión 3 pero se aparta de éste para mejorar algunas cosas y, sobre todo, porque SSL es propiedad de una empresa privada: Netscape. Así el TLS puede ser el estándar mundial para todo el software de cliente y servidor. El TLS permite compatibilidad con SSLv3, el cliente y el servidor definen el protocolo utilizado durante el Handshake.

Las diferencias más importantes son sobre los siguientes aspectos:

Volver al Indice

 

6.2 SET (Secure Electronic Transaction)

6.2.1 Características

El SET es un protocolo inventado exclusivamente para realizar comercio electrónico con tarjetas de crédito. Fue impulsado por las empresas de tarjetas de crédito Visa y MasterCard, las más extendidas e importantes del mundo. Han colaborado en su desarrollo las empresas más significativas del mundo de la telemática: GTE, IBM, Microsoft, SAIC, Terisa, Verisign, etc... La participación de estas empresas tan importantes y especialmente el impulso de las marcas de tarjetas Visa y MasterCard hacen que este protocolo tenga muchas posibilidades de convertirse en el futuro sistema de comercio electrónico seguro.
Es un sistema abierto y multiplataforma, donde se especifican protocolos, formatos de mensaje, certificados, etc... sin limitación de lenguaje de programación, sistema operativo o máquina. El formato de mensajes está basado en el estándar definido por la empresa SA Data Security Inc. PKCS-7, como los protocolos S-MIME y SSL.
La especificación del SET v1.0 está contenida en 3 volúmenes publicados en mayo de 1997 y es de libre distribución en la Web. El organismo SETco homologa los módulos de programación y los certificados desarrollados por empresas privadas, después de pasar unos tests técnicos y pagar unos derechos. El software homologado por SETco tiene derecho a llevar el logotipo de SET.
El protocolo SET se puede transportar directamente en TCP, mediante correo electrónico con SMTP o MIME y en Webs con HTTP.

6.2.2 Agentes del comercio electrónico de SET

En SET se definen 5 agentes que pueden intervenir en transacciones comerciales:

Dos agentes relacionados pero que no actúan directamente en las transacciones son:

Se relacionan entre ellos como marca la Figura 6.2.1.

Figura 6.2.1 - Agentes del SET

6.2.3 Módulos de programación

Para poder utilizar el SET se deben incorporar unos módulos de software que adaptan los programas existentes al protocolo. Se han definido 4 módulos:

Los 4 módulos se pueden homologar por separado en la entidad SETco, actualmente ya hay varias empresas que ofrecen productos comerciales de alguno de los módulos con sello SET.

 

6.2.4 Firma dual

La firma dual es un concepto nuevo de firma inventado por el SET, para dos documentos relacionados resuelve el compromiso entre su privacidad mutua frente a la necesidad de demostrar que están relacionados comercialmente.

En una transacción SET:

Pero los documentos con la información bancaria y la del producto deben estar ligados por la misma firma, de manera que se pueda comprobar que han sido generados por la misma persona y para el mismo fin. En las transacciones del SET el comprador genera dos documentos:

La firma dual del OI y el PI se realiza concatenando los resúmenes de los dos y después
encriptandolos con la clave privada del comprador (ver Figura 6.2.2).

Figura 6.2.2 - Firma dual en SET

 

El comprador no se conecta directamente con la pasarela de pagos, envía al vendedor todos los documentos pero la información para la pasarela se encripta con la clave pública de la pasarela. Cuando el vendedor ha comprobado la información dirigida a él, envía la parte encriptada a la pasarela.

 

Figura 6.2.3 - Tratamiento de los mensajes PI y OI en SET

6.2.5 Transacción de compra

En la transacción de compra actúan el comprador, el vendedor y la pasarela a través de Internet y la pasarela se comunica con los bancos por medio de la red bancaria. El comprador siempre se relaciona con la pasarela a través del vendedor, nunca directamente. La seguridad se gestiona de la siguiente manera:

Los documentos utilizados son:

Todos los documentos llevan el identificador único de la transacción (ID). La transacción puede realizarse con o sin firma dual, mediante un protocolo inicial los agentes deciden el tipo de transacción.

6.2.6 Fraudes

 

 

 

Volver al Indice

 

INFOGRAFÍA

  DIRECCIONES

URL LOCAL

1 Breve explicación sobre SSL, llaves publicas y certificados http://www.maestrosdelweb.com/editorial/segecom/

[local]

2 trabajo sobre comercio electrónico donde explica brevemente algunas de sus ventajas y desventajas, leyes, seguridad y comercio electrónico en Venezuela
http://www.monografias.com/trabajos15/comercio-electronico/comercio-electronico.shtml#SEGURIDAD
[local]
3 Artículo donde se compara los protocolos  SSL y SET http://www.iec.csic.es/criptonomicon/susurros/susurros08.html [local]
4 documento que explica las bases de los dos protocolos más utilizados para proporcionar seguridad en el comercio electrónico: SSL y SET http://www.criptored.upm.es/guiateoria/gt_m013c.htm [local]
5 Artículo sobre las barreras del comercio electrónico http://www.instisec.com/publico/verarticulo.asp?id=47 [local]
6 Artículo sobre Seguridad en los nuevos medios de pago en el comercio electrónico http://www.iec.csic.es/criptonomicon/articulos/expertos30.html [local]
7 Artículo sobre la seguridad en la banca a distancia
http://www.iec.csic.es/criptonomicon/articulos/expertos76.html
[local]
8 Artículo sobre Seguridad en Tarjetas con Microprocesador: Procedimientos de Evaluación y Consecución de Estándares http://www.iec.csic.es/criptonomicon/articulos/expertos47.html [local]
9 Artículo sobre problematica del protocolo SET http://www.iec.csic.es/criptonomicon/articulos/expertos61.html [local]
10 Resumen de los sistemas de seguridad en Internet http://www.microsoft.com/latam/technet/hoy/comercio/art03/art038.asp [local]
11 Estudio de situación del comercio electrónico en España, pero se tocan temas de ámbito general http://www.internautas.org/documentos/pista.htm [local]
12 Artech House - Security Fundamentals for E-Commerce 2001.pdf
ed2k://|file|(eBook) Artech House - Security Fundamentals for E-Commerce 2001.pdf|4084836|C8A3813FF700204FB4B76150FF928346|h=NY5EZ7HRZPCUKKIGUU3ARQMN2J45LUBZ|/
[local]
13 Idea Group - IT Solutions Series - E-Commerce Security Advice from Experts
ed2k://|file|Idea Group - IT Solutions Series - E-Commerce Security Advice from Experts.chm|343512|0E5E5A24B06679F40EB49A5A60047B2F|h=NV742YL2QWWDK6SUMAQ7I4BZFY4AFQEJ|/
[local]
14 Gordon Smith - Control And Security Of E-Commerce (Wiley, 2004)
ed2k://|file|Gordon Smith - Control And Security Of E-Commerce (Wiley, 2004).chm|1396371|9E32D90492A9CD96E3876C849E41FE16|h=TURU6EKFGUAGAY2JSGM2OELTG6KNS6AP|/
[local]
15 Resumen sobre seguridad en el comercio electrónico donde explica brevemente el funcionamiento de los protocoles SSL y SET http://www.euskalnet.net/apetxebari/segu/comercio.htm [local]
16 Trabajo bastante completo donde se explica a detalle lo que es la firma electrónica desde sus inicios http://descargas.cervantesvirtual.com/servlet/SirveObras/01159852653479324108813/008469_6.pdf  [local]
17 Breve explicación de lo que se denomina una coxexión segura para transacciones electrónicas así como algunos de los protocolos http://digisign.50megs.com/conexionsegura.html  [local]
18 Explicación de como se autentica la firma digital en las transacciones electrónicas http://digisign.50megs.com/firmadigital.html  [local]
19 Trabajo de Comercio Electrónico que toca temas básicos de este, así como la estructura para crear un negocio electrónico, y algunas de las mejores paginas para comprar libros en la red http://html.rincondelvago.com/comercio-electronico_5.html  [local]
20 Explicación sobre los certificados de clave pública, como se utilizan y como se emiten. http://digisign.50megs.com/info050.html  [local]
Hosted by www.Geocities.ws

1