FORO N° 1
SEGURIDAD EN EL
COMERCIO ELECTRÓNICO,
PIRATERÍA, SET/SSL, CERTIFICACIÓN, CRIPTOGRAFÍA.
INFOGRAFÍAS
RESUMEN
El comercio electrónico, o e-commerce, es el proceso que permite establecer acuerdos y llevar a cabo transacciones online con clientes y socios.
La
seguridad de un sitio electrónico tiene que ser confiable para que el mismo
tenga éxito. Muchas de las empresas basadas en Internet que
propiciaron el crecimiento de "la burbuja" tecnológica han sufrido numerosas
pérdidas, y otras han tenido incluso que cerrar.
En Internet hay de todo. Se pueden comprar objetos de consumo, software,
incluso hacer donaciones altruistas. Pero también hay peligros: hackers,
virus, robo de información, etc., si bien, mirándolo objetivamente, no hay
más peligros que los que pueden acecharnos cuando vamos a comprar a un
centro comercial.
Afortunadamente, existen medios de evitar que el usuario se vea expuesto a
fraudes en Internet, como el código de seguridad de las tarjetas.
Podemos decir que la piratería informática consiste en la distribución y/o reproducción ilegales de software. Comprar software significa en realidad comprar una licencia para usar el software, y esta licencia especifica la forma legal de usar dicho software. Cualquier uso que se haga del software más allá de lo estipulado en la licencia constituye una violación de ésta y posiblemente, de las leyes que amparan los derechos de propiedad intelectual. La piratería informática es ilegal y sancionable según la ley, tanto si es deliberada como si no.
Aspectos de Seguridad en el Comercio Electrónico
El modelo de seguridad en el comercio
electrónico se puede dividir en cuatro componentes principales que hay que
proteger; el software del client-side, el transporte de los datos, el
software del servidor Web y el sistema operativo del servidor. Es importante
hacer un esfuerzo para que la seguridad de estos componentes sea
consistente, ya que si uno de ellos presentara una debilidad obvia, sería
blanco de la mayoría de los ataques, y debido a su debilidad muchos de esos
ataques serían exitosos.
Para asegurar las transacciones de
comercio electrónico es necesario que se cumplan los siguientes
requerimientos básicos:
Privacidad.
Es la habilidad de controlar quien puede (o no puede) ver la información.
Las transacciones deben permanecer privadas e inviolables en el sentido de
que entidades no autorizadas no puedan descifrar el contenido de los
mensajes.
Integridad. Es la seguridad de
que los datos almacenados o transmitidos no son alterados. Se debe asegurar
que las transmisiones no son alteradas o interferidas.
Autenticidad. Es la habilidad
de determinar la identidad de las partes que se comunican.
No repudiación. No debe ser
posible que un emisor de un mensaje pueda alegar que no envió una
comunicación segura o que no realizo una compra.
Facilidad: que las partes
que intervienen en la transacción no encuentren dificultad al hacer la
transacción.
Para cumplir con estos requerimientos
se han desarrollado mecanismos
de seguridad para transacciones por Internet como son : Encriptación, Firma
Digital y Certificado de calidad, que garantizan la confidencialidad,
integridad y autenticidad respectivamente.
La
encriptación: es el
conjunto de técnicas que intentan hacer inaccesible la información a
personas no autorizadas, se basa en una clave, sin la cual la información no
puede ser descifrada o sea
garantiza que la información no es inteligible para individuos, entidades o
procesos no autorizados (privacidad). La encripción es la mutación de la
información a una forma solo entendible con una clave de descripción. Una
clave o llave es un número muy grande, en forma de una cadena de unos y
ceros.
Existen dos tipos de encripción, la
encripción de “llave privada” o “llave simétrica” y la encripción de “llave
pública” o “llaves asimétricas”.
La encripción de llave privada o
llave simétrica utiliza una sola llave compartida por el emisor y el
receptor que sirve para los procesos de encripción y decripción. Uno de los
algoritmos de encripción de llave privada más conocido es el DES (Data
Encription Estándar).
Aunque este proceso de encripción es
muy útil, tiene limitaciones. Debido a que este proceso utiliza la misma
llave para los procesos de encripción y decripción, si las partes
involucradas en la transmisión de datos seguros no han tenido contacto
previo es un problema acordar la clave. Además, las claves deben ser
transmitidas a través de un medio seguro y guardadas cuidadosamente, ya que
si alguien no autorizado obtiene la clave secreta, esa persona podría
descifrar todas las comunicaciones encriptadas con esa llave.
El problema de la distribución y
almacenamiento seguro de las claves se agrava cuando crece el número de
personas con las que es necesario comunicarse, ya que el número de llaves
crece con el cuadrado del número de personas con el que se debe mantener una
comunicación segura.
La encripción de llave pública o
llaves asimétricas utiliza dos llaves diferentes: una para el proceso de
encripción y otra para el de decripción. Estas llaves están matemáticamente
relacionadas de manera que la información encriptada con una de ellas solo
puede ser decriptada con la otra . Estas llaves tienen la propiedad de que a
partir del conocimiento de una de ellas no puede determinarse la otra. El
algoritmo de encripción de llave pública más conocido es el RSA (por la
iniciales de sus inventores Rivest, Shamir y Adleman).
En la encripción de llave pública una
llave (la pública) se da a conocer a todas las personas con las que se
necesite mantener comunicaciones seguras, la llave privada se mantiene
secreta.
Si se desea enviar mensajes
confidenciales a una persona , se utiliza la llave pública de esa persona
para encriptar el mensaje. Así el mensaje solo podrá ser decriptado con la
llave privada que está en posesión del destinatario de la comunicación
garantizando de esta manera la privacidad.
Si lo que se desea es garantizar la
autenticidad o integridad del mensaje se le encripta con la llave privada
del emisor, así si el mensaje se decripta con la llave pública del emisor se
tiene la seguridad de la autoría del mismo y de que este no fue modificado.
Estos dos métodos se pueden combinar para garantizar la privacidad,
autenticidad e integridad de los mensajes.
La encripción de llave pública no
tiene el problema de distribución de llaves que tiene el sistema de
encripción de llave privada. El proceso de encripción de llave pública es
mucho más lento que el de llave privada y no es apropiado para encriptar
grandes volúmenes de datos. Este sistema es útil para los casos en los que
no se conoce a la persona con la cual se va establecer una comunicación
segura o no se comparten llaves comunes con esa persona. Este es el caso de
la mayoría de las transacciones de comercio electrónico.
El
certificado digital:
Un certificado es un documento electrónico, emitido por una Entidad
Certificadora, que identifica de forma segura al poseedor del mismo,
evitando la suplantación de identidad por terceros.
Una firma digital: es un mecanismo criptográfico que realiza una función similar a la de las firmas escritas. Se utiliza para verificar la identidad del emisor del mensaje y de que el contenido del mensaje no ha sido alterado.
Utilizando los certificados digitales conjuntamente con el sistema de encriptación, se proporciona una completa solución en cuanto a la seguridad, por cuanto es posible asegurar que todas las partes involucradas en una transacción son quien dicen ser.
El crecimiento del comercio electrónico, se ha visto enmarcado por las posibilidades que ofrece tanto para las empresas ya establecidas, conocidas o desconocidas, como para nuevas, grandes o pequeñas. Los factores de éxito no tienen que ver con estos parámetros, sino con el valor que el buen uso de la tecnología agregue al negocio. Hay quienes subestiman las posibilidades del comercio electrónico por temor a la inseguridad de las transacciones a través de las tarjetas de crédito; pero esto es consecuencia, de la desinformación al respecto. Existen tiendas virtuales que no implementan políticas de seguridad en sus transferencias, implicando un gran riesgo para el cliente. La base de la seguridad de los programas usados en las transacciones electrónicas es la criptografía de los datos suministrados por el tarjetahabiente, de manera que puedan viajar confidencialmente a través de la red, evitando que sean manipulados fraudalentemente por terceros.
Se han desarrollado varios protocolos para garantizar la seguridad en las transacciones electrónicas. Sus principales objetivos consisten en garantizar tanto la transmisión como la autentificación del servidor o comerciante. Dentro de estos protocolos se encuentra el SET/SSL. SET (Secure Electronic Transaction) es un protocolo transaccional orientado a las aplicaciones de comercio electrónico a través de tarjetas de crédito. SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator. Protocolos abordados, en estas infografías para la realización del foro, Seguridad en el Comercio Electrónico..
FORISTA: MARLENY TUBIÑEZ
1.- Seguridad
- Privacidad: que las transacciones no sean visualizadas por nadie.
- Integridad: que los datos o transacciones como números de tarjeta de créditos o pedidos no sean alterados.
- No Repudio: posibilita que el que generó la transacción se haga responsable de ella, y brinda la posibilidad de que este no la niegue.
- Autenticación: que los que intervienen en la transacción sean leales y válidas.
- Facilidad: que las partes que intervienen en la transacción no encuentren dificultad al hacer la transacción.
2.- La seguridad en el comercio electrónico
http://www1.monografias.com/trabajos15/comercio-electronico/comercio-electronico.shtml#SEGURIDAD
La seguridad en el comercio electrónico y específicamente en las transacciones comerciales es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a través del cual toda la información confidencial es encriptada y viaja de forma segura, esto brinda confianza tanto a proveedores como a compradores que hacen del comercio electrónico su forma habitual de negocios.
Al igual que en el comercio tradicional existe un riesgo en el comercio electrónico, al realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales (nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.
Por tales motivos se han desarrollado sistemas de seguridad para transacciones por Internet: Encriptación, Firma Digital y Certificado de calidad, que garantizan la confidencialidad, integridad y autenticidad respectivamente
.3.- Internet no es un medio seguro ni íntimo
http://personales.mundivia.es/astruc/temsea06.htm
Piratas informáticos, fraudes con tarjetas de crédito, agujeros en los sistemas de seguridad y otros muchos horrores que nos asaltan desde grandes titulares en la prensa.
Se han aportado una serie de soluciones, propuestas por los organismos de normalización, para evitar los posibles peligros u operaciones ilegales a los que puede estar sometida Internet. Básicamente se trataría de garantizar cuatro principios.
1. Principio de
autenticidad:
que la persona o empresa que dice estar al otro lado de la red es quién dice
ser.
2. Principio de
integridad:
que lo transmitido a través de la red no haya sido modificado.
3. Principio de
intimidad:
que los datos transmitidos no hayan sido vistos durante el trasiego
telemático.
4. Principio de no
repudio:
que lo transmitido no pueda ser repudiado o rechazado.
5.- Comercio electrónico
La seguridad, es un aspecto clave para generar en las empresas y en los consumidores la confianza necesaria para que el comercio electrónico se desarrolle. La necesidad de generar confianza, es especialmente importante debido al hecho de que Internet es una red abierta y a la sensación de inseguridad (quizá a veces excesiva) que este hecho genera en los usuarios.
Las condiciones que debe
reunir una comunicación segura a través de Internet (o de otras redes) son
en general las siguientes:
Confidencialidad: evita que un tercero pueda acceder a la información
enviada.
Integridad: evita que un tercero pueda modificar la información enviada sin
que lo advierta el destinatario.
Autenticación: permite a cada lado de la comunicación asegurarse de que el
otro lado es realmente quien dice ser.
No repudio o irrefutabilidad: Permite a cada lado de la comunicación probar
fehacientemente que el otro lado ha participado en la comunicación. En el
caso de no repudio de origen, el remitente del mensaje no puede negar
haberlo enviado. En el caso de no repudio de destino, el destinatario del
mensaje no puede negar haberlo recibido.
6.- Piratería en el Comercio Electrónico
http://www.monografias.com/trabajos14/sisteinform/sisteinform2.shtml#PIRATA
No puede pasarse por alto un grave problema actual y latente, como constituye la Piratería o copia de las obras intelectuales que en la mayoría de las veces se la intenta justificar bajo la común versión de que la obra copiada va a ser encaminada para el exclusivo uso personal.
El delito de la piratería, se encuentra afectando además de los intereses de su autor a las leyes del comercio legítimo porque toda producción intelectual significa inversiones y divisas para el estado y en base a ello debería propenderse a proteger y garantizar los derechos de autor en realidad.
7.- Piratería
El término "piratería de software" cubre diferentes actividades: copiar ilegalmente programas, falsificar y distribuir software - incluso compartir un programa con un amigo.
La piratería en Internet se refiere al uso del Internet para copiar o distribuir ilegalmente software no autorizado. Los infractores pueden utilizar el Internet para todas o algunas de sus operaciones, incluyendo publicidad, ofertas, compras o distribución de software pirata.
8.- Tipos de piratería informática
1) Usuarios de empresa o usuarios finales:
-
informar de un número inferior al real de las instalaciones de software adquiridas mediante acuerdos de compra de gran volumen,
-
hacer copias adicionales del software sin tener el número de licencias necesario para ello; por ejemplo, se dispone de 1 copia con licencia, pero se hacen cinco copias adicionales.
-
Servidor: instalar el software en un servidor al que todo el personal tiene acceso ilimitado (sin mecanismos de bloqueo, contadores, etc.)..
2) Licencias de
suscripción: usar software de licencia de suscripción más allá de la
fecha de vencimiento.
3) Piratería por Internet: puede adoptar muchos aspectos diferentes.
Entre ellos:
-
Dar acceso al software, generadores de claves, claves de activación, números de serie y similares que permitan instalar el software, mediante descarga, desde CD grabados o desde el soporte original
-
se facilitan enlaces a herramientas, o se distribuyen herramientas, que subvierten o socavan las protecciones contra copia o las funciones de agotamiento de plazo del software.
4) Falsificación:
cuando se intenta copiar el producto y su presentación de forma que parezca
original de McAfee.
5) Carga en el disco duro: es el caso de ciertos proveedores poco
escrupulosos que instalan software ilegalmente para vender mejor sus
equipos. Si bien son muchos los proveedores autorizados a instalar productos
en los equipos que venden, los proveedores honrados suministran el software
mediante acuerdos con los proveedores de dicho software.
9.- E-comerce
El ritmo de cambio en la tecnología y en las aplicaciones del comercio electrónico exige una nueva manera de resolver problemas, guiada por los líderes de las empresas y la industria. Un ejemplo instructivo: Microsoft y Netscape unieron sus talentos y recursos para asegurar que el uso de la Internet no invite a cometer violaciones de la intimidad personal tales como crear acceso no deseado a documentos o redes.
Esta es la manera en que debe evolucionar y administrarse el comercio electrónico, porque se trata de la empresa que tiene más en juego en el éxito del comercio electrónico, y eso sólo puedo ocurrir si la empresa le da a los consumidores de todo el mundo la confianza y la fe necesarias para hacer transacciones en la Internet.
Una nueva guerra comercial se está llevando a cabo en los tribunales con el explosivo crecimiento de Internet. La disputa entre los propietarios de una marca y los que se adelantan a comprar el dominio respectivo. El fallo final no es tan fácil de dar como se piensa, hay muchas variables en el camino...
La práctica del llamado "cybersquatting", o piratería de nombres de dominio va desde el registro como nombre de dominio de una marca comercial famosa, hasta casos de apropiación indebida de marcas que se utilizan activamente, aunque no entren en la categoría de marcas notorias. También incluye la apropiación de nombres sociales, slogans y frases publicitarias protegidas como marcas. Esto se realiza mediante la apropiación de los meta-tags insertos en el código fuente del html de las correspondientes páginas Web.
FORISTA: NEIDA BRICEÑO
1.- Seguridad en el comercio electrónico: ¿SSL o SET?. SSL (Secure Sockets Layer).
http://www.iec.csic.es/criptonomicon/susurros/susurros08.html
Hoy constituye la solución de seguridad implantada en la mayoría de los servidores web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar con su banco las compras. El canal seguro lo proporciona SSL. SET (Secure Electronic Transaction) La gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc . SET es un elefante de gran tamaño y fuerza, pero de movimientos extraordinariamente pesados. SSL es una liebre que le ha tomado la delantera hace años. No es tan perfecto, no ofrece su seguridad ni sus garantías, pero funciona.
2.-"Seguridad en las Transacciones On-Line". Protocolos de seguridad.
http://www.ipr-helpdesk.org/docs/docs.ES/securityOLTransactions.html#N1010B
3.-
Transacciones seguras (VI).Moreno en este artículo diserta sobre "Protocolos Secure Socket Layer.- Secure Socket Layer es un sistema de protocolos de carácter general diseñado en 1994 por la empresa Netscape Communcations Corporation, y está basado en la aplicación conjunta de Criptografía Simétrica, Criptografía Asimétrica (de llave pública), certificados digitales y firmas digitales para conseguir un canal o medio seguro de comunicación a través de Internet. SSL implementa un protocolo de negociación para establecer una comunicación segura a nivel de socked (nombre de máquina más puerto), de forma transparente al usuario y a las aplicaciones que lo usan. Actualmente es el estándar de comunicación segura en los navegadores web más importantes (protocolo HTTP), como Netscape Navigator e Internet Explorer.
4.- Comercio electrónico. Protocolos de seguridad.
http://www.wikilearning.com/comercio_electronico-wkccp-3625-10.htm
Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y actividades programadas que cumplen con un objetivo especifico y que usan esquemas de seguridad criptográfica. El ejemplo más común es SSL (Secure Sockets Layer) (que vemos integrado en el navegador de Netscape y hace su aparición cuando el candado de la barra de herramientas se cierra y también sí la dirección de Internet cambia de http a https, otro ejemplo es PGP que es un protocolo libre ampliamente usado de intercambio de correo electrónico seguro, uno más es el conocido y muy publicitado SET que es un protocolo que permite dar seguridad en las transacciones por Internet usando tarjeta de crédito, IPsec que proporciona seguridad en la conexión de Internet a un nivel más bajo.
http://www.iec.csic.es/criptonomicon/articulos/expertos61.html
SET (Secure Electronic Transaction) es un protocolo transaccional orientado a las aplicaciones de comercio electrónico a través de tarjetas de crédito. A diferencia de otros protocolos seguros de carácter general como SSL (Secure Sockets Layer), SET fue expresamente diseñado para el comercio electrónico y no sirve para ninguna otra cosa, por eso no supone ninguna mejora en cuanto a la seguridad en la comunicación propiamente dicha, pero mejora las condiciones en las que el proceso de comercio electrónico tiene lugar. SET es un protocolo robusto y que ofrece un nivel de seguridad suficiente pero a costa de hacerlo muy pesado y complejo de utilizar. La implantación de SET está siendo bastante lenta, a día de hoy la mayoría de los comerciantes y bancos interesados en hacer negocio por la red optan por soluciones basadas en SSL.
SSL (Secure Sockets Layer) fue diseñado y propuesto en 1994 por Netscape Communications Corporation junto con su primera versión del Navigator como un protocolo para dotar de seguridad a las sesiones de navegación a través de Internet. Sin embargo, no fue hasta su tercera versión, conocida como SSL v3.0 que alcanzó su madurez, superando los problemas de seguridad y las limitaciones de sus predecesores. En su estado actual proporciona los siguientes servicios: Cifrado de datos, Autenticación de servidores, Integridad de mensajes, Opcionalmente, autenticación de cliente. SSL proporciona sus servicios de seguridad sirviéndose de dos tecnologías de cifrado distintas: criptografía de clave pública (asimétrica) y criptografía de clave secreta (simétrica). También se explica, como funciona , limitaciones y problemas y ventajas de SSL.
El protocolo SET ofrece una serie de servicios que convierten las transacciones a través de Internet en un proceso seguro y fiable para todas la partes implicadas: Autenticación: todas las partes involucradas en la transacción económica (el cliente, el comerciante y los bancos, emisor y adquiriente) pueden verificar mutuamente sus identidades mediante certificados digitales, Confidencialidad: la información de pago se cifra para que no pueda ser espiada mientras viaja por las redes de comunicaciones. Solamente el número de tarjeta de crédito es cifrado por SET, de manera que ni siquiera el comerciante llegará a verlo, para prevenir fraudes, Integridad: : garantiza que la información intercambiada, como el número de tarjeta, no podrá ser alterada de manera accidental o maliciosa durante su transporte a través de redes telemáticas. Para lograrlo se utilizan algoritmos de firma digital, capaces de detectar el cambio de un solo bit., Intimidad: el banco emisor de la tarjeta de crédito no puede acceder a información sobre los pedidos del titular, por lo que queda incapacitado para elaborar perfiles de hábitos de compra de sus clientes, Verificación inmediata: proporciona al comerciante una verificación inmediata, antes de completarse la compra, de la disponibilidad de crédito y de la identidad del cliente. De esta forma, el comerciante puede cumplimentar los pedidos sin riesgo de que posteriormente se invalide la transacción.
8.- El pago mediante dinero electrónico.
http://www.ieid.org/congreso/ponencias/Rico%20Carrillo,%20Mariliana.pdf
Rico C. nos comenta en este artículo sobre los Sistemas de seguridad en los pagos con tarjetas. El masivo uso de las tarjetas en Internet y la sensación de inseguridad en el usuario al transmitir sus datos a través de una red abierta, provocó gran preocupación en las empresas emisoras y gestoras de las tarjetas creando distintos sistemas de seguridad a objeto de solucionar estos problemas y fomentar su uso, uno de los protocolos creado específicamente para realizar estos pagos es el protocolo SET, diseñado por Visa y Masterd Card en conjunto con las grandes empresas informáticas. El protocolo SET funciona mediante el cifrado del mensaje, el uso de la firma electrónica y los certificados digitales, todas las partes intervinientes en el proceso deben estar certificadas, lo cual implica la intervención de un prestador de servicios de certificación. En el pago mediante tarjetas con el uso del protocolo SET, además de la entidad emisora, la entidad negociadora o adquirente, el titular de la tarjeta y el comerciante, interviene una parte adicional denominada la "pasarela de pagos" (Gateway) se trata de una institución financiera que proporciona soporte a los comerciantes, cuya función consiste en procesar los pagos actuando como intermediario entre los diferentes bancos que participan en la transacción y el vendedor. En el sistema operativo, una vez que el comerciante recibe los datos de la tarjeta los envía directamente a la pasarela de pagos, (que también debe estar certificada), con la finalidad de obtener la correspondiente autorización o rechazo de la transacción. Debido a la complejidad del sistema SET, en la actualidad el protocolo de seguridad más utilizado es el SSL. SSL proporciona servicios de seguridad cifrando los datos intercambiados entre el servidor y el cliente mediante un algoritmo de cifrado simétrico. A diferencia del protocolo SET, el sistema SSL carece de capacidad para verificar la validez del número de tarjeta, autorizar la transacción y procesar la operación con el banco adquirente; la entidad emisora sólo asegura que mientras viajan los datos desde el navegador hasta el servidor no serán modificados, pero una vez que lleguen allí, los datos pueden ser manipulados.
9.- ¿Puedo confiarle mi tarjeta de crédito a Internet?
En el comercio electrónico, los consumidores desconfían a la hora de tener que dar sus números de tarjeta a través de un sistema que, a primera vista, ofrece pocas garantías de seguridad. El protocolo SET incorpora la firma digital, un conjunto de caracteres encriptados que además de verificar al emisor y al receptor contiene una fecha de validez lo que imposibilita una manipulación posterior del documento además de asegurar la irrenunciabilidad. Este sistema también incorpora la posibilidad de mantener en secreto los datos no necesarios para las distintas partes. Con el protocolo SSL, las autoridades de certificación solo verifica al vendedor pero la incorporación del protocolo SET permitirá también la identificación del cliente. En España también se utilizan otras como Verisign, IPS (Internet Publishing Services) o FESTE. También las entidades financieras como es el caso de Banesco otorgan certificados. Con todas estas garantías de seguridad nuestro pedido llegará al comerciante junto con las instrucciones de pago. Posteriormente, utilizando también la encriptación, el comerciante realiza una solicitud a la entidad financiera del comprador para que reembolse el dinero. Todos estos procesos están garantizados por las autoridades de certificación.
10.- SSL. ¿es realmente seguro?
|
Articulo publicado en la revista PC World Venezuela, por Sánchez-Jaimes. "El comercio electrónico tiene en el Secure Sockets Layer (SSL) el sistema de encriptamiento más difundido para dar seguridad al intercambio comercial a través de Internet. Fue el recurso pionero que demostró, y aún lo hace, el potencial de la economía digital. el SSL muestra rasgos de seguridad que se centran en el encriptamiento de sus datos de tarjeta de crédito a la hora de solicitar un producto en una página comercial. El SSL no libera de riesgos a la información que el consumidor envía al comercio, una vez que reside en los servidores del oferente de bienes y servicios en Internet. "Un hacker puede acceder estos datos y cometer fraude", afirmó el funcionario de Visa. Sánchez-Jaimes, como buen evangelizador pro SET, eleva a este protocolo como bandera y destaca su principal ventaja: la certificación. Y es que está comprobado que este sistema al ser adoptado por los eslabones de la cadena comercial instituciones financieras y entes comerciales supone la emisión de una identidad digital que viaja con los paquetes de información encriptada durante la operación electrónica, librándola de riesgos y fraudes.
|
FORISTA: CLARA GUZMÁN
http://www1.monografias.com/trabajos15/comercio-electronico/comercio-electronico.shtml#LEYES
Al realizar una
transacción por Internet, el comprador teme por la posibilidad de que sus
datos personales sean interceptados y sea suplantada su identidad; de igual
forma el vendedor necesita asegurarse de que los datos enviados sean de
quien dice serlos, por lo que se han desarrollado sistemas de seguridad
para transacciones por Internet: Encriptación, Firma Digital y Certificado
de calidad, que garantizan la confidencialidad, integridad y autenticidad
respectivamente.
https://digitalid.ace.es/server/server/about/aboutFAQ.htm#whatIs
Los Certificados
Digitales son la contraparte electrónica de los documentos personales de
identidad, se presenta un Certificado Digital electrónico para probar la
identidad o su derecho a acceder a información o servicios en línea.
Técnicamente, los Certificados Digitales asocian una identidad con un par de
claves electrónicas, que pueden utilizarse para encriptar y firmar
digitalmente información. El Certificado Digital hace posible la
verificación de la petición para usar la clave otorgada, evitando el uso de
claves falsas que suplanten a otros usuarios. Utilizando los Certificados
Digitales conjuntamente con el sistema de encriptación, se proporciona una
completa solución en cuanto a la seguridad, por cuanto es posible asegurar
que todas las partes involucradas en una transacción son quien dicen ser.
http://www.lamalla.net/especials/comercelectronic/seguro.htm
La seguridad de las
transacciones electrónicas es uno de los principales factores disuasivos de
la compra on line, es que la seguridad es uno de los factores
claves, junto con el marco legal, para que se produzca el esperado boom del
comercio electrónico, Por esta razón, las entidades financieras, las
empresas de tecnología y los diversos colectivos empresariales implicados
trabajan para desarrollar sistemas que garanticen la seguridad en las
transacciones electrónicas.
http://www.iec.csic.es/criptonomicon/articulos/expertos76.html
Un certificado es un documento
electrónico, emitido por una Entidad Certificadora, que identifica de forma
segura al poseedor del mismo, evitando la suplantación de identidad por
terceros. Es el componente esencial de la firma electrónica, recientemente
regulada en España.
Es una herramienta que garantiza la identidad de los participantes en una transacción que requiera altos niveles de seguridad. Es nuestro DNI unívoco en Internet. Mediante él demostramos a la máquina que recibe nuestra conexión que somos quién realmente decimos ser. Esto se conoce con el nombre de autenticación.
http://www.iec.csic.es/criptonomicon/articulos/expertos53.html
La mayor traba a la
expansión del comercio electrónico a través de redes abiertas es la
sensación de inseguridad que experimentan los consumidores y usuarios a la
hora de transmitir datos confidenciales, en especial los números de sus
cuentas bancarias o tarjetas de crédito. Técnicas como la firma electrónica,
de la que ya se ha hablado en varias ocasiones en Criptonomicón, suponen un
avance en lo relativo a la seguridad on-line.
http://www.iec.csic.es/criptonomicon/articulos/expertos51.html
Una posible
solución es la utilización de un certificado digital que es fichero digital
intransferible y no modificable, emitido por una tercera parte de confianza
(AC), que asocia a una persona o entidad una clave pública.
http://www.iec.csic.es/criptonomicon/articulos/expertos44.html
Cuando las redes de
comunicaciones informáticas eran privilegio de unos pocos, estos podían
intercambiar información entre ellos de un modo seguro utilizando lo que hoy
conocemos como sistemas de clave simétrica. Para ello cuando dos usuarios
quieren mantener una comunicación segura estos deben compartir una clave
secreta que tan solo ambos conocen. Esta clave se utiliza tanto para cifrar
la información como para descifrarla luego, permitiendo de este modo obtener
un canal de comunicación seguro.
http://www.iec.csic.es/criptonomicon/articulos/expertos32.html
Los esquemas de
autenticación sirven para confirmar tanto la validez del mensaje emitido
como la legitimidad del emisor. Íntimamente relacionado con este concepto
nos encontramos con la idea de firma digital, que, además de lo anterior,
asegura que el firmante de un mensaje no puede posteriormente negar haberlo
firmado.
http://www.iec.csic.es/criptonomicon/seguridad/mecanism.html
No existe un único mecanismo capaz de
proveer todos los servicios anteriormente citados, pero la mayoría de ellos
hacen uso de técnicas criptográficas basadas en el cifrado de la
información.
En estas páginas
nos centraremos en la seguridad en la comunicación a través de redes,
especialmente Internet, consistente en prevenir, impedir, detectar y
corregir violaciones a la seguridad durante la transmisión de información,
más que en la seguridad en los ordenadores, que abarca la seguridad de
sistemas operativos y bases de datos. Consideraremos la información
esencialmente en forma digital y la protección se asegurará mayormente
mediante medios lógicos, más que físicos.
La
seguridad de un sitio electrónico tiene que ser confiable para que el mismo
tenga éxito.
A esto
debe la confiabilidad que están brindando los sitios de comercio
electrónico.
La seguridad en un ambiente de comercio electrónico involucra las siguientes partes.....:
