1.- SERVICIOS DE SEGURIDAD
Para hacer frente a las amenazas a la seguridad del sistema se definen una serie
de servicios para proteger los sistemas de proceso de datos y de transferencia
de información de una organización. Estos servicios hacen uso de uno o varios
mecanismos de seguridad. Una clasificación útil de los servicios de seguridad
es la siguiente:
http://www.iec.csic.es/criptonomicon/seguridad/servicio.html
2.- SEGURIDAD EN INTERNET
Las posibilidades de protección de las comunicaciones electrónicas son mucho mayores que las que permiten los medios tradicionales. Hay programas de ordenador gratuitos y muy fáciles de usar que permiten a cualquier usuario la encriptación de sus mensajes de forma que queda plenamente garantizado que sólo el destinatario podrá entenderlos. Los certificados y firmas electrónicas garantizan la identidad de los sujetos con mucha mayor garantía que cualquier fedatario tradicional. Los sistemas de almacenamiento de datos y su protección frente a accidentes fortuitos o ataques intencionados son más fáciles, baratos y seguros que las cajas fuertes o cámaras de seguridad.
Lo que ocurre es que no hay una “cultura” de la seguridad en Internet. La sociedad en que vivimos nos ha enseñado desde que éramos niños unas reglas básicas de protección de nuestras propiedades. El gesto de cerrar la puerta de casa, los límites que nos imponemos a la cantidad de efectivo que llevamos en el bolsillo, la forma en que reaccionamos cuando nos aborda un extraño por la calle, son comportamientos que hemos aprendido a lo largo de nuestra vida. En cambio nuestra experiencia con Internet es muy breve y ni nuestros padres ni nuestros profesores nos dijeron nunca cómo debíamos comportarnos en el ciberespacio.
La protección legal del comercio electrónico ha requerido también la elaboración de nuevas normas. La protección frente a la publicidad indeseada cuyo coste de transmisión recae sobre el consumidor requiere ahora un tratamiento diferente que cuando el coste recaía exclusivamente sobre el anunciante. El reconocimiento jurídico de las firmas electrónicas y del arbitraje electrónico en los países de la Unión Europea ha establecido un marco legal que garantiza la calidad de los certificados y agiliza los trámites judiciales. Los gobiernos de todo el mundo están interesados en promover el desarrollo del comercio electrónico por lo que están impulsando reformas legales y fiscales que permiten y agilicen las transacciones a través de Internet.
La seguridad en Internet y las leyes que la protegen, están basadas principalmente en los sistemas de encriptación. Esos sistemas son los que permiten que las informaciones que circulan por Internet sean indescifrables, ininteligibles, para cualquier persona que no sea aquella a la que va destinada.
http://www.eumed.net/cursecon/ecoinet/seguridad/
3.-VISA DESARROLLA SISTEMA DE SEGURIDAD
De acuerdo con un comunicado de prensa, la entidad ha señalado que los criterios de seguridad especificados por Visa deberán cumplirlos a partir del 1 de noviembre próximo todos los participantes en operaciones de comercio electrónico con Visa.
Entre las normas de seguridad, que incluye aspectos tecnológicos y físicos, la empresa de medios de pago ha destacado el incremento de las restricciones para acceder a datos; otorgar a cada persona una identificación exclusiva y efectuar comprobaciones de seguridad rutinarias.
Para facilitar la adaptación de los bancos y comerciantes asociados al sistema de comercio electrónico, Visa les ofrecerá una lista de expertos en seguridad para que puedan mejorar la protección de sus datos. EFE
http://www.finanzas.com/id.2635799/noticias/noticia.htm
4.- INSTITUTO SEGURIDAD DE INTERNET
El comercio electrónico es un servicio de la tecnología que permite la realización de operaciones de negocios y la compraventa de bienes y servicios mediante la utilización de sistemas electrónicos, como por ejemplo los ordenadores personales, hoy ya tan habituales en muchos hogares. En definitiva, este nuevo mercado electrónico nos permite tener en nuestro domicilio una gran galería comercial por la que podemos pasear de forma fácil y rápida con el ratón de nuestro ordenador, y todo ello sin movernos de casa.
El comercio electrónico no es algo totalmente nuevo, si se tiene en cuenta que desde hace ya más de una década existe un protocolo denominado EDI (Electronic Data Interchange) para el intercambio electrónico de documentos. Existen muchas otras variantes de comercio electrónico, como por ejemplo el denominado home-banking, que permite al usuario realizar operaciones en sus cuentas bancarias igualmente desde su ordenador personal.
Todo lo anterior se hace posible gracias a la existencia de grandes redes digitales de comunicación a nivel mundial, que facilitan las transacciones entre las partes implicadas. Entre ellas merece especial mención la red Internet, la cual da cobertura a millones de usuarios: personas, negocios, empresas, revistas y todo tipo de sociedades.
Las ventajas del comercio electrónico son evidentes. El comprador puede ver de manera rápida todo el escaparate electrónico y no tiene que ir tienda por tienda en busca del producto deseado. Se optimiza también el tiempo de atención al cliente, que no tiene que esperar largas colas para ser atendido. Por su parte, el vendedor también se beneficia, puesto que puede ofertar sus productos sin necesidad de mostrarlos físicamente al comprador. Otras ventajas del comercio electrónico son las siguientes:
Reduce los retrasos gracias a la velocidad de
transmisión
Disminuye el ciclo de producción, creando
mercados más competitivos
Hace posible la igualdad de trato a los clientes
independientemente de sus características individuales: nacionalidad, lugar de
residencia, etc.
Amplía de forma considerable el mercado potencial
de las empresas
Faculta a las pequeñas y medianas empresas el acceso a mercados que de otra manera tendrían vetados por su elevado coste
Pese a todo, también es cierto que este tipo de comercio presenta sus inconvenientes, algunos de ellos potencialmente peligrosos y todavía por solucionar. Entre ellos, el más importante es la falta de seguridad en los procesos de compraventa. En el caso del comercio tradicional, como se ha indicado anteriormente, las mayoría de transacciones se efectúan cara a cara, por teléfono o por correo. Todas estas actividades pueden considerarse intrínsecamente seguras. Sin embargo, en el caso del comercio electrónico, la interacción entre comprador y vendedor se realiza a través de una red abierta (Internet), que no puede considerarse un canal de comunicación seguro a menos que se adopten ciertas medidas de protección.
El estudio y desarrollo de estas medidas de protección es precisamente uno de los objetivos fundamentales de la criptografía. Ésta proporciona al comercio electrónico las herramientas necesarias para garantizar, dado el caso, el carácter secreto de la información intercambiada (confidencialidad), así como la no manipulación de la misma entre el origen y el destino (integridad).
Sin embargo, el problema de la identificación de las partes (autenticación) todavía no está del todo resuelto. A este respecto, conviene señalar que una de las situaciones más preocupantes actualmente es la publicación de los datos personales y confidenciales del comprador (como por ejemplo el número de su tarjeta de crédito) en un medio totalmente abierto como es Internet. Otro tema pendiente de resolver es el de cómo obtener los resguardos que permitan realizar posteriores reclamaciones tanto al comprador como al vendedor en el caso de que alguno de ellos se sienta perjudicado por el otro una vez concluida la transacción.
Hoy día existen diferentes protocolos como el SET (Secure Electronic Transaction) o el SSL (Secure Sockets Layer) que se ocupan de que este tipo de transacciones a través de redes informáticas sean lo más seguras posibles. Sin embargo, ninguno de ellos ofrece todavía una seguridad completa, ya que únicamente son capaces de solucionar de forma parcial los problemas antes apuntados, con lo que tanto el comprador como el vendedor pueden todavía engañar. Así, por ejemplo, puede darse la situación de que el comprador pague un producto y posteriormente no lo reciba, o bien que el vendedor entregue un producto y posteriormente no pueda cobrarlo. Además, lo que es más peligroso, sin que ninguno pueda demostrar que ha sido engañado por el otro.
Después de todo lo dicho, es indudable que uno de los factores que ha contribuido en mayor medida al éxito y desarrollo del mundo empresarial en los últimos años ha sido la implantación del comercio electrónico. Esto hace pensar que su protagonismo en el futuro será incluso mayor que el que tiene hoy en día. Es igualmente cierto que la evolución futura de este tipo de comercio dependerá de forma directa de la capacidad de garantizar su seguridad mediante la criptografía, pero tampoco es conveniente que la psicosis de inseguridad electrónica nos lleve a frenar el despegue de este comercio en Internet. En definitiva, sería conveniente que empezásemos a considerar el problema del comercio electrónico no tanto como un problema de inseguridad sino más bien de confianza.
http://www.instisec.com/publico/verarticulo.asp?id=45
5.- la Seguridad en Entornos de Comercio Electrónico
La seguridad de un sitio electrónico
tiene que ser confiable para que el mismo tenga éxito.
Siendo franco, el índice de personas que compran en línea ha crecido bastante en
los últimos 2 años. Y esto se debe a la confiabilidad que están brindando los
sitios de comercio electrónico.
La seguridad en un ambiente de comercio electrónico involucra las siguientes
partes:
Privacidad: que las transacciones no sean visualizadas por nadie.
Integridad: que los datos o transacciones como números de tarjeta de créditos o pedidos no sean alterados.
No Repudio: posibilita que el que generó la transacción se haga responsable de ella, y brinda la posibilidad de que este no la niegue.
Autenticación: que los que intervienen en la transacción sean leales y válidas.
Facilidad: que las partes que intervienen en la transacción no encuentren dificultad al hacer la transacción.
Herramientas
para proteger un sitio de E-commerce
Las estructuras de seguridad de un sitio de e-commerce no varía con las de un
sitio tradicional, pero si se implementa el protocolo SSL en la mayoría de los
casos para tener un canal seguro en las transacciones.
Punto1:
Usuario conectándose a Punto2 (un sitio de e-commerce como amazon.com)
utilizando un navegador Internet Explorer compatible con el protocolo SSL.
Punto2: El Punto2 como nombramos es un
sitio de e-commerce tradicional (compra / venta) que establece conexiones
seguras utilizando SSL para la transacciones, y también posee un Firewall para
hacer filtrado de paquetes (Packet Filtering)
Punto3: Este punto es la autoridad que emite los
Certificados de Autenticidad, en inglés Certificate Authority (CA) que por
seguridad y es recomendable que sea una tercera empresa el emisor del
certificado no sea interno.
Firewalls (Corta Fuegos)
El Firewall es una herramienta preventiva contra ataques, que realiza un
inspección del tráfico entrante y saliente. Esto impide que servicios o
dispositivos no autorizados accedan a ciertos recursos y de esta manera
protegernos contra ataques de denegación de servicios por ejemplo (DoS)
El Firewall puede ser por Software o Hardware o bien combinaciones de estos pero
que no serán tratados aquí por que va más allá de este artículo.
SSL es un protocolo que corre sobre TCP (protocolo de transporte punto a punto de Internet). Este se compone de dos capas y funciona de la siguiente manera:
La primera capa se encarga de encapsular los protocolos de nivel más alto
La segunda capa que se llama SSL Handshake Protocol se encarga de la negociación de los algoritmos que van a encriptar y también la autenticación entre el cliente y el servidor.
Cuando se realiza una conexión
inicial el cliente lo primero que hace es enviar una información con todo los
sistemas de encriptación que soporta, el primero de la lista es el que prefiere
utilizar el cliente. Entonces el servidor responde con una clave certificada e
información sobre los sistemas de encriptación que este soporta.
Entonces el cliente seleccionará un sistema de encriptación, tratará de
desencriptar el mensaje y obtendrá la clave pública del servidor.
Este método de seguridad es de lo mejor ya que por cada conexión que se hace el
servidor envía una clave diferente. Entonces si alguien consigue desencriptar la
clave lo único que podrá hacer es cerrarnos la conexión que corresponde a esa
clave.
Cuando se logra el este primer proceso que es la sesión solamente, los que
actuarán ahora son los protocolos de capa 7 del OSI o sea la capa de Aplicación,
claro que todo lo que se realice a partir de que tenemos una sesión SSL
establecida estará encriptado con SSL.
Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite
certificados. Si el CA es una empresa externa que emite certificados de
autenticidad de clientes o empresas. Por ejemplo:
Versign.com
Que es lo que tiene un certificado?
Un certificado contiene la siguiente información:
Dominio para el que se expidió (por ejemplo http://www.segurired.com/)
Dueño del Certificado
Domicilio del Dueño
Y la fecha de validez del mismo.
Un ejemplo es cuando compramos un
libro de amazon.com por ejemplo
Me conectaré a
http://www.amazon.com/
Estamos en un sitio común, la barra de estado del
Internet Explorer nos indica que estamos en un sitio de Zona Internet y la
dirección en que estamos ubicados comienza con http://........
Ahora la siguiente pantalla nos mostrará cuando quiero hacer el Check Out o Pago
de los libros que compré.
Ahora un pequeño candado me indica que estoy en un
servidor seguro, y que puedo incluir mis datos. Otro indicador es la dirección
de web que ahora comienza con https://.... y no con http://....
Pero si no confiamos, podemos hacer doble clic sobre el candado amarillo y
obtendremos información sobre el certificado del servidor amazon.com
Esta es la información básica del certificado, que
nos confirma que si estamos conectados al servidor correcto que es amazon.com y
el certificado fue emitido por un CA que es Verisign o sea una tercera empresa
que no tiene que ver nada con la empresa de donde estamos haciendo compras.
Haciendo clic en la pestaña Detalles podremos tener más información técnica
sobre el Certificado:
El algoritmo utilizado, la versión de SSL, el
algoritmo de identificación, la fecha de valides que posee, entre otros.
La fuerza de cifrado que esta utilizando RSA(1024bits) que es un cifrado muy
fuerte.
Volviendo a nuestro gráfico de cómo funcionaba un sitio de e-commerce,
identifiquemos los 3 puntos:
El Punto1: el usuario soy yo, me conecto al sitio Punto2 que es
Amazon.com
Punto2: me muestra los productos, que voy a comprar, yo los
selecciono y proceso a ir al sitio seguro. Entonces el Punto2 me contacta con el
Punto3, el cual me envía la dirección del certificado para el Punto2, donde me
dice si es válido o no.
Utilizar SSL tiene beneficios grandes, ya que es un estándar no hace falta
instalar ningún software adicional de lado del cliente, y tampoco de lado del
servidor, ya que la mayoría de los servidores web como son IIS (Internet
Information Server) y Apache ya poseen soporte para SSL conexiones seguras. Los
navegadores de Internet más populares como lo son el Internet Explorer y el
Netscape también ya poseen soporte para SSL.
También da una prueba de que su servidor web es su servidor web, es decir que
está protegiendo la identidad de su sitio web.
El 95% de los pagos de Internet se realizan utilizando hoy en día SSL.
SSL no depende de ningún sistema operativo, es independiente, puede ser
utilizado sobre cualquier plataforma, independiente.
Como se negocia con SSL?
El protocolo http normal “escucha” en el puerto 80, el puerto SSL por defecto
“escucha” en el puerto 443 del servidor.
Luego cuando el cliente se conecta al puerto 443 del servidor comienzan las
primeras “negociaciones” de los protocolos, que ya hemos explicado más arriba en
este texto. Toda esta comunicación es encriptada, hasta que se cierre la misma.
Aparte de SSL existen otros protocolos como el SET creado por Mastercard y Visa
junto con lideres de la informática como Microsoft, Verisign y otras empresa
más. Junto con el CyberCash son soluciones creadas para la venta por Internet.
Infraestructura de Clave Pública o Public Key
Insfrastructure (PKI)
Esta basada en criptografía de clave pública, que permite la gestión de
certificados.
Una PKI es una fusión de soluciones dadas en hardware, software y políticas de
seguridad. PKI como nombré anteriormente está dada por la utilización de
Certificados Digitales o bien un documento digital que identifica cualquier
transacción.
Que provee PKI:
Confidencialidad (Privacidad)
Integridad de los Mensajes (no modificaciones en el trayecto)
Autenticación
No repudio (No poder denegar una acción en el mensaje emitido por un remitente)
Control de Acceso: Solo usuarios autorizados pueden acceder.
Componentes:
Política de Seguridad: establece la manera en que una organización ejecutará procesos de gestión de claves públicas y privadas.
Autoridad Certificante (CA): del inglés Certificate Authority, se encarga de generar los Certificados Digitales, usando una clave privada para firmarlos. Otras funciones de una CA son:
Emitir Certificados
Revocar certificados y crear CRLs (Certificate Revocation List) que son listas de certificados ya no válidos.
Autoridad de Registro (RA): es la entidad encargada de gestionar altas y bajas de las peticiones de certificación como así también de la revocación. Entonces un usuario que desea solicitar un certificado de clave pública se debe dirigir a una RA autorizada por una CA.
Autoridad de Validación (VA): proporciona información sobre el estado de los certificados. Realiza las consultas de todas las CRLs necesarias para saber el estado del certificado que se le ha pasado en una petición de validación.
Sistema de Distribución de Certificados: El sistema de distribución puede ser variado, esto depende ya de la estructura PKI que utilicemos.
Aplicaciones habilitadas por PKI:
Comunicación entre servidores
Correo Electrónico
EDI (Intercambio Electrónico de Datos)
Transacciones con tarjeta de Créditos
Redes Virtuales Privadas (VPN)
En esta imagen presenta la misma función en un sitio de Internet que el CA cumple de VA, y RA, dado que es una Empresa Certificadora Externa.

El Número 3 es nuestro CA que se encarga de:
Emitir el Certificado
Validar la autenticidad del Emisor y Receptor (Punto 1 y 2)
Mantener una base de datos con los certificados válido y los removimos.
Esta sesión por lo tanto es privada, Integra, soporta no repudio y también autenticación.
Esto es todo por lo menos en la parte teórica.
En el próximo artículo espero hablar
de soluciones reales, como instalar un certificado digital en el servidor como
Activar SSL, y pedir un certificado de Prueba a Verisign. Con esto montaremos un
servidor seguro con SSL.
http://www.maestrosdelweb.com/editorial/segecom/
6.- FIRMAS EN INTERNET
Me comentaban en Barcelona, hace algunas fechas, los problemas de una Sociedad de Valores y Bolsa cuando se encontró que un cliente negaba haber dado la orden de adquirir unas acciones. Este problema es derivado de la inseguridad legal de las transacciones que se realizan en Internet utilizando medios como la simple identificación por medio de un nombre de usuario y una contraseña. Circunstancias como ésta, demasiado frecuentes y muy temidas por todas las empresas, nos enseñan una primera lección: el desarrollo del comercio electrónico está íntimamente asociado con la seguridad de las aplicaciones desarrolladas.
Imaginemos ahora el caso de una Administración
Pública, por ejemplo un Ayuntamiento. Si para algunas aplicaciones, como la
simple consulta de datos fiscales, parece aceptable que los ciudadanos accedan a
la información con un sistema de usuario y contraseña, en otros casos
(presentación de reclamaciones oficiales a la Administración, o inicio de
trámites administrativos de importantes repercusiones) este sistema es
insuficiente.
Estos ejemplos nos enseñan un segundo aprendizaje: aplicaciones para diversos
propósitos deben tener diferentes exigencias en lo que a seguridad se refiere.
Como respuesta a estas situaciones, desconocidas antes de la explosión de
Internet, surgen los certificados digitales. Estos certificados no son sino un
par de claves, una pública y una privada, que dotan de seguridad a las
transacciones. El caso más conocido por el público es el de la presentación de
la Declaración de la Renta: una autoridad de certificación proporciona al
usuario un certificado. A partir de entonces, usando el certificado, el usuario
puede presentar su declaración sin tener que personarse en la Administración
Tributaria. En el caso de que un usuario pierda su certificado, o ya no quiera
seguir usándolo, tendría que revocar el mismo, mediante una comunicación
(llamada a un call center, vía WEB, etc.) a la autoridad de certificación que lo
emitió. La ley Europea (Directiva 1999/93/CE) y española (RD. 14/1999) exigen
que esta revocación se pueda hacer a tiempo real, de forma que la seguridad en
la transacción sea elevada. Surge un tercer aprendizaje: los poderes públicos
están apostando por reformas legales que posibiliten la implantación de entornos
virtuales seguros. Este es un caso claro de entorno legal favorable, tan
estudiado en los temarios de Investigación de Mercados.
Con el uso masivo de certificados digitales y la posibilidad de revocación on
line se asegura que los usuarios son quien dicen ser, que los mensajes que
mandan no han sido modificados, y que nadie puede leer mensajes si no está
autorizado para ello (por medio de métodos criptográficos). Esto es un avance
esencial que posibilitará el impulso de las transacciones electrónicas respecto
a la situación anterior. Existen varios métodos para guardar los certificados,
como las tarjetas inteligentes o
Smart Cards que tienen
capacidad auto-generadora del certificado, con las que los usuarios pueden
identificarse de forma segura desde cualquier punto de acceso a Internet.
Los campos en los que los certificados se usarán de manera más intensa son: e-government
- facilitando así la implantación de conceeptos tales como la ventanilla única- y
e-commerce -asegurando el buen fin de operaciones comerciales-. Los mercados de
las telecomunicaciones y el financiero son especialmente propicios al uso de
certificados. ¿No se sentiría usted mucho más seguro si accediese a su cuenta
bancaria con el sistema de certificados, en vez de escribir un simple login y
password, que además puede guardarse en la memoria del ordenador posibilitando
que terceras personas accedan a su información?
El principal problema que se plantea en este nuevo escenario es el del coste.
Por un lado, para una empresa resulta complicado elaborar aplicaciones que
acepten certificados de diferentes autoridades de certificación (como la Fábrica
Nacional de Moneda y Timbre, Camerfirma -autoridad de certificación de las
Cámaras de Comercio-, Autoridad de Certificación de la Generalitat Valenciana,
etc). Por otro lado, para las Autoridades de Certificación resulta muy caro
poder dar un servicio 24x7 a los usuarios para que puedan revocar sus
certificados. Proyectos como
CertiVeR,
liderado por SchlumbergerSema y cofinanciados por la Comisión Europea, pretenden
dar una solución ágil a estos problemas, posibilitando soluciones económica y
técnicamente viables en la nueva era del comercio electrónico.
http://www.kriptopolis.com/more.php?id=P72_0_1_0
7.- SEGURIDAD EN EL COMERCIO ELECTRÓNICO
El comercio electrónico siempre ha querido ser uno
de los grandes impulsores del uso de Internet. La Red, creada en sus principios
como instrumento de comunicación militar y universitario, necesitaba un
aliciente para que las empresas entraran en ella y los usuarios se aprovecharan
de las ventajas de la conexión global.
Muchas de las empresas basadas en Internet que propiciaron el crecimiento de "la
burbuja" tecnológica han sufrido numerosas pérdidas, y otras han tenido incluso
que cerrar. ¿Se debe esto al poco uso del comercio electrónico?
Los usuarios no se han lanzado a comprar en Internet como se esperaba. Sí bien
se hacen muchas transacciones, no son las que todos los proveedores y
anunciantes esperaban. Y lo cierto es que existe un factor fundamental para
explicar por qué no se utiliza Internet para comprar.
En Internet hay de todo. Se pueden comprar objetos de consumo, software, incluso
hacer donaciones altruistas. Pero también hay peligros: hackers, virus, robo de
información, etc., si bien, mirándolo objetivamente, no hay más peligros que los
que pueden acecharnos cuando vamos a comprar a un centro comercial.
Desde que salimos de casa (nos conectamos a Internet) y vamos al centro
comercial (navegamos por varias páginas web buscando el producto), pueden
robarnos en muchos puntos distintos (tenemos el ordenador amenazado). Una vez
que estamos en el centro comercial nos dirigimos a la tienda que nos ofrece
confianza (en la página web en la que vamos a comprar) y allí elegimos el
producto y lo compramos. Y este es el detalle más importante: tenemos que
confiar en la tienda, en sus dependientes... Si la página web en la que estamos
no es fiable, no deberíamos comprar allí.
Ese es el único obstáculo que debemos vencer a la hora de hacer transacciones
comerciales por Internet. Debemos pensar que el método de pago es una tarjeta de
crédito, y que su uso puede ser fraudulento. Pero esto no sólo sucede en
Internet, también ocurre en una tienda normal. Paradójicamente, mucha gente
tiene miedo a escribir su número de tarjeta de crédito en una página web,
mientras que dejan su tarjeta a un camarero en un restaurante sin preocuparse
siquiera de mirarle a la cara. Sin embargo, esa tarjeta de crédito puede
utilizarse fraudulentamente tanto en el restaurante como en una página web.
Afortunadamente, existen medios de evitar que el usuario se vea expuesto a
fraudes en Internet, como el código de seguridad de las tarjetas Visa, que está
impreso sobre el panel de firma y son tres dígitos con caracteres inclinados
hacia la izquierda. En caso de tenerlo, será requerido por el operador al
momento de la autorización de la compra. También en esa línea, los usuarios de
American Express no tienen ninguna responsabilidad sobre los cargos fraudulentos
que se realicen con algunas de sus tarjetas.
Pero aparte de este código de seguridad, en Internet podemos saber hasta qué
punto es seguro el sitio en el que estamos comprando. Para que la comunicación
entre dos ordenadores sea confidencial, se han desarrollado varios sistemas de
cifrado de la información entre ordenadores. El más usado, sobre todo en este
tipo de comunicaciones (las compras en Internet), es el llamado Secure Sockets
Layer (SSL).
El SSL consiste, a grandes rasgos, en establecer unas claves entre el ordenador
que se conecta y el servidor que se utiliza para que la información viaje
cifrada entre los dos sistemas. De esta manera, si en algún punto de la
comunicación hay algún elemento "espiando", la transacción será completamente
ininteligible. Únicamente los ordenadores en los que se haya llevado a cabo el
proceso denominado "handshake" (literalmente, apretón de manos) tienen la
posibilidad de descifrar esa información.
Aunque el servidor al que nos conectemos sea completamente seguro, debemos tener
en cuenta que también nuestro ordenador debe ser seguro. De nada nos sirve
exigir que nuestras compras en una tienda clásica sean de confianza si luego
perdemos nuestra tarjeta de crédito en el autobús. Numerosos virus, troyanos,
etc. son capaces de "robar" al usuario sus datos simplemente guardando las
pulsaciones de teclas que hagan los usuarios, o buscando ficheros en el disco.
Para poder evitar este problema existe una solución altamente efectiva, simple y
económica: instalar un antivirus. Estos programas se encargan de monitorizar la
actividad del sistema, para que en el caso de que haya algún virus o similar sea
detectado y neutralizado antes de que llegue a afectar al trabajo habitual.
Además de los posibles robos por códigos maliciosos en el sistema, hay que tener
en cuenta que en una conexión a Internet podemos ser víctimas de un ataque de un
"hacker" que, a través de distintos sistemas, puede conseguir acceso a nuestro
ordenador. Para ello se vuelve imprescindible la instalación de un firewall
personal, que controle quién y cómo está intentando entrar en nuestro ordenador,
consiguiendo evitar intrusiones dañinas.
No obstante, hay que tener en cuenta que el trabajo de estos dos sistemas -el
antivirus y el firewall- debe estar perfectamente coordinado, ya que podrían
crearse incompatibilidades entre ellos que perjudiquen seriamente sus funciones
de protección. En definitiva, tanto el antivirus como el firewall personal deben
estar plenamente integrados y funcionar conjuntamente de modo correcto.
Una vez tomadas estas medidas y utilizando sitios que nos ofrezcan un mínimo de
confianza, podremos disfrutar de las compras en Internet tanto como de las
efectuadas a la manera tradicional.
http://www.vsantivirus.com/comercio-electronico.htm
8.- COMPRAR EN INTERNET YA ES 100% SEFURO.
A las ya conocidas ventajas de la compra de productos en la Red (comodidad, precios, especialización), la nueva generación de tarjetas añade la ventaja definitiva: seguridad 100% en el pago.
Pese a que desde su aparición el comercio electrónico no ha parado de crecer en
volumen de ventas, aún existía cierto temor en los compradores a la inseguridad
en el pago con tarjetas. Pero eso ha pasado a la historia. Tarjetas como la
American Express Blue aseguran al 100% cualquier contingencia que
pueda surgir en las compras online, además de un buen número de ventajas
añadidas que la hacen imprescindible:
- En caso de uso fraudulento de la tarjeta, tu responsabilidad será nula si
avisas del robo o la pérdida y limitada a 25€ si no lo haces.
- Garantía de devolución del importe de la compra hasta 30 días después de
hacerla.
- Seguro de rotura hasta 90 días después de la compra.
- Seguro de viaje hasta 300.000 €
- Seguro de reemplazo de la tarjeta en 24 horas en cualquier lugar del mundo y
gratis.
Con esta nueva generación de
tarjetas, comprar por Internet es incluso más seguro y fiable que
hacerlo del modo tradicional. Y además ahorrarás tiempo, dinero y podrás hacerlo
desde donde quieras cuando te apetezca.
http://www.telecinco.es/dn_3403.htm
9.- CONSUMIDORES PIDEN MEJORAR MEDIDAS DE SEGURIDAD EN COMERCIO INTERNET
El portavoz de la Federación de Consumidores en Acción (FACUA), Rubén Sánchez, reclamó un mayor "control por parte de la Administración para garantizar que las transacciones se realicen por medios seguros", ya que, según afirmó, "en caso contrario se produce una situación de desprotección del usuario".
Para hacer frente a esta desprotección, la Confederación Española de Consumidores y Usuarios (CECU) reivindicó también la posibilidad de que la resolución de litigios de contratación por Internet se produzca en el lugar de realización de las compras.
La presidenta de la FUCI, Agustina Laguna, consideró que es competencia de las Administraciones la creación de "responsables subsidiarios" en caso de que se produzcan incumplimientos por parte de los proveedores en las operaciones comerciales que se desarrollan a través de la red.
No obstante, la Asociación de Usuarios de la Comunicación (AUC) y ante la situación de vulnerabilidad del comprador, recomendó al internauta que "sea consciente de a quién da sus datos y para qué finalidad y que utilice servidores seguros".
Asimismo, aconsejó utilizar "mecanismos de cifrado, disponibles en la propia red, -algunos gratuitos-, para intercambiar información confidencial" y que "en las transacciones a través de la red usen sistemas de dinero electrónico que preserven el anonimato".
En 1969, la Agencia de Proyectos para la Investigación Avanzada, -ARPA en sus siglas en inglés-, del Departamento de Defensa de los Estados Unidos, conectó cuatro sistemas geográficamente distantes en una red que se conoció como ARPANET, cuya misión era mantener las comunicaciones en caso de guerra.
Pronto, este sistema conectaría todas las agencias y proyectos del Departamento de Defensa, y para 1972 se habían integrado ya cincuenta universidades y centros de investigación distribuidos por los Estados Unidos.
Desde entonces, la aplicación más conocida de Internet ha sido la World Wide Web, cuyas siglas, -www-, encabezan la inmensa mayoría de las páginas integradas en la red y que nació como una respuesta a la necesidad de la comunidad científica de nuevos sistemas de distribución y transmisión de la información.
Internet, al margen de los beneficios para la comunicación de los usuarios y la obtención de información, tiene otra asignatura pendiente en el acceso de ciudadanos de determinadas zonas, -principalmente rurales-, a la red de comunicación.
Según indicó la presidenta de FUCI, "el acceso a las nuevas tecnologías, tiene mucho que ver con la democratización de la sociedad".
El portavoz de la FACUA coincidió con esta opinión al afirmar que "en primer lugar y antes que nada, -en referencia a la adopción de otras medidas que afecten a los internautas-, tiene que garantizarse el acceso de todos aquellos ciudadanos que quieran incorporarse a la sociedad de la información".
Desde la CECU quisieron denunciar "la imposibilidad de acceso a Internet por parte de numerosos usuarios en todo el territorio nacional, -sobre todo en zonas rurales-" y reivvindicaron la "entrada" en la red "como un servicio básico de todos los ciudadanos".
"Lamentablemente", apuntó la máxima responsable de FUCI, "sigue habiendo ciudadanos de primera, de segunda y de tercera y no debe existir una discriminación negativa en este sentido". EFE
http://www.finanzas.com/id.7832974/noticias/noticia.htm
10.- SEGURIDAD Y PROVACIDAD
La Institución «Fernando el Católico» de la Diputación de Zaragoza tiene contratado un servicio de comercio seguro en Internet con el BSCH que, por un lado, comprueba la validez de la tarjeta y su operatividad, y, por otro, avala la existencia del soporte electrónico http://ifc.dpz.es y de la dirección de correo electrónico de Ventas, [email protected], y certifica la transacción.
El intercambio de datos entre cliente y la tienda virtual de la IFC se encuentra codificado, bajo el protocolo SET (Transacciones Electrónicas Seguras) a través de la Pasarela de Pagos Internet (PPI 4B).
Este protocolo es universalmente soportado por los principales navegadores, y garantiza al comprador:
La identidad del receptor de sus datos (no suplantación del vendedor).
La confidencialidad de la información por él suministrada.
La integridad (no manipulación) de la información por él suministrada.
En la comunicación entre la IFC y el BSCH para la autorización de las transacciones se utiliza también el protocolo de Transacciones Electrónicas Seguras (SET), y tanto el Banco como la Institución delegan en la entidad especializada Sistema 4B, S.A. la gestión del certificado digital SET (Transacciones Electrónicas Seguras) mediante la Pasarela de Pagos Internet (PPI 4B).
De este modo sus datos se utilizan para hacerle llegar su compra, y se conservan hasta que finaliza el proceso. La información relativa a la tarjeta de crédito es separada del resto y no reside en los servidores de la Web (es decir queda a salvo frente a posibles ataques a éste).
http://www.dpz.es/ifc/ecommerce2/privacidad.asp
11.- COMERCIO ELECTRÓNICO (Especial Seguridad)
Para los efectos de este documento, entendemos por comercio electrónico, todas las transacciones comerciales realizadas a través de Internet en las que intervengan personas físicas.
1.1 Rastro del dinero electrónico.
Sin duda, una de las formas que tiene un individuo de preservar su intimidad en el comercio tradicional, es comprar los bienes o servicios que desee con dinero en efectivo. Esta forma de pago, evita que el vendedor necesite, en modo alguno, conocer la identidad del comprador. Sin embargo, en las compras a través de Internet, normalmente debemos suministrar nuestros datos personales (nombre, dirección, etc.) junto con un número de tarjeta de crédito. Al suministrar esta información estamos expuestos a que se vincule nuestra identidad con el tipo de bienes o servicios que adquirimos. Esta información puede ser alquilada o vendida por el proveedor a otras compañías que se dediquen, por ejemplo, a la publicidad directa. Sin embargo, existen sistemas que permiten realizar compras a través de Internet o de cualquier otra red de comunicaciones de forma anónima, tal y como funciona el dinero de papel en el pago al contado. Tales sistemas se engloban bajo el nombre de "dinero o monedero electrónico" (digital cash/electronic wallet).
Recomendación:
En la medida en que lo estime conveniente, utilice sistemas de dinero
electrónico que preserven el anonimato de sus compras en Internet.
1.2 Inseguridad en las transacciones electrónicas.
Otra de las preocupaciones del usuario de Internet cuando realiza transacciones comerciales no anónimas, es asegurarse de que los datos que suministra en la transacción, por ejemplo, su nombre, dirección, número de tarjeta de crédito, etc., no son capturados en la transmisión por alguien distinto del proveedor con el que quiere realizar la transacción, y que posteriormente, pudiera suplantar su identidad. Por otro lado, el proveedor o vendedor debe asegurarse de que quien efectúa el pedido o la orden de compra es verdaderamente quien dice ser, ya sea el consumidor final o un intermediario.
Las características que definen a un sistema de transacciones seguras son:
Garantizar, mediante el cifrado, la
confidencialidad de las transacciones comerciales electrónicas, de manera que
los datos contenidos en dichas transacciones sólo sean accesibles a las partes
que intervienen.
Garantizar, mediante el uso de firmas digitales, la integridad de las
transacciones, de tal manera que su contenido no pueda ser alterado por
terceros ajenos, sin ser descubiertos.
Garantizar, mediante el uso de la firma digital y la certificación, la autenticidad tanto del titular del medio de pago, como del proveedor. La firma digital garantiza la integridad de la transacción. La certificación por parte de un tercero (notario electrónico) garantiza la identidad de las partes que intervienen en la transacción.
Recomendación:
No realice transacciones comerciales electrónicas
a través de proveedores con sistemas "inseguros" o no fiables.
Su navegador es capaz de reconocer cuándo se conecta a un servidor que admite
transacciones seguras. Consulte el manual de su navegador para averiguar cómo
informa de la conexión a un servidor Web seguro.
1.3 Envío de publicidad no solicitada a través del
correo electrónico.
Esta forma de publicidad requiere, lógicamente, el conocimiento de la dirección de correo electrónico del receptor del mensaje. Adicionalmente, una dirección de correo electrónico puede tener asociada información de carácter personal, tal como la organización donde trabaja o a la que pertenece una persona, lo que puede ser de gran interés para una empresa que se dedique a la publicidad directa. Las formas más habituales de obtener direcciones de correo sin el conocimiento del usuario son:
Listas de distribución y grupos de news
Captura de direcciones en directorios de correo
electrónico.
Venta, alquiler o intercambio de direcciones de
correo por parte de los proveedores de acceso.
Entrega de la dirección de correo, por parte de
los programas navegadores, al conectar a los servidores Web.
Recepción de mensajes de correo requiriendo
contestación a una dirección determinada y pidiendo la máxima difusión de los
mismos.
Recomendación:
Cuando incluya su dirección de correo electrónico
en un directorio o lista de distribución, considere la posibilidad de que la
misma pueda ser recogida por terceros para enviarle mensajes no deseados.
Averigüe la política de alquiler, venta o
intercambio de datos que han adoptado tanto su proveedor de acceso a Internet
como los administradores de los directorios y listas de distribución donde
esté incluido.
Si no quiere publicar su dirección de correo
electrónico, configure su navegador para que no deje su dirección de correo en
los servidores Web a los que accede.
1.4 Elaboración de perfiles.
En Internet, el comportamiento del consumidor puede ser "observado" por el
proveedor, el cual, puede acumular información personal sobre gustos,
preferencias y comportamiento del mismo, sin que éste tenga conocimiento de
ello. Este acopio de datos se realiza registrando la información sobre los
servidores Web a los que accede un usuario, en qué páginas se detiene más
tiempo, y qué temas busca de manera habitual. De esta forma es posible realizar
un perfil del usuario muy completo sin su conocimiento.
Existen medios para evitar recogidas de datos personales, y entre ellos, quizá uno de los que más éxito está teniendo entre los usuarios es el uso de servidores que permiten navegar por Internet de forma anónima. El sistema consiste en que el usuario accede en primer lugar a un servidor especializado en este cometido, que le proporciona una identidad nueva a través de la cual puede acceder a otros servidores. De esta forma, los servidores Web a los que se accede no podrán obtener la auténtica identidad del usuario.
Recomendación:
Cuando navegue por Internet, sea consciente de que los servidores Web que visita
pueden registrar tanto las páginas a las que accede como la frecuencia y los
temas o materias por las que busca, aunque no le informen de ello. En el caso de
que no desee dejar constancia de sus actividades, utilice servidores que
preserven el anonimato.
http://www.delitosinformaticos.com/especial/seguridad/comercio.shtml
12.- COMERCIO ELECTRÓNICO - COMPRAR CON SEGURIDAD
Las transacciones por Internet presentan significativas ventajas sobre las tradicionales en muchos aspectos: la posibilidad de comprar fácilmente productos o servicios que por su lejanía geográfica no se podrían adquirir de otra manera, y el poder pagar cuentas desde la comodidad de su casa u oficina, sin tener que someter a nadie a horas de filas en bancos y otras entidades.
Pero a pesar de la comodidad y beneficios de hacer transacciones por Internet, muchas personas no lo hacen por simple y físico miedo. Las transacciones realizadas a través de Internet se perciben como peligrosas.
La verdad sea dicha, es menos peligroso comprar con una tarjeta de crédito en el ciberespacio que pagar con la misma tarjeta en una tienda del mundo real.
Precauciones al Comprar o Efectuar Transacciones por Internet
1.- Tener el PC libre de virus y con las últimas actualizaciones de software. A este respecto, véase el artículo Higiene Informática.
2.- Emplear una tarjeta débito o crédito virtual. Se trata de tarjetas sin plástico, que brindan total seguridad debido a que su número se puede modificar y se carga por el monto deseado. Se recomienda mantenerla con el mínimo permitido, y cuando se vaya a comprar por Internet, cargarla previamente por un valor algo mayor (por las tasas de cambio y las comisiones bancarias).
En Colombia por ejemplo, están disponibles las tarjetas virtuales e-Prepago e e-Card (Bancolombia), e-Money (Colpatria) y Virtual Conavi (Conavi).
3.- Comprar o hacer transacciones solamente en sitios web de empresas serias y reconocidas. Cuando se van a ingresar datos de pago en el sitio de comercio, se debe asegurar primero que la conexión con el sitio sea segura, (SSL) lo cual se verifica por la

presencia de un candado cerrado en la parte inferior derecha del navegador, tal como se observa en la gráfica de la izquierda.
Una vez efectuada la compra, imprimir y conservar la página de resultado de la transacción. Ésta sirve como comprobante de la operación para referencia futura o en caso de algún reclamo.
4.- Nunca enviar datos bancarios (claves, nºs de tarjeta, etc.) que sean solicitados por correo electrónico o por teléfono. Una creciente modalidad de estafa en Internet consiste en enviar e-Mails supuestamente a nombre de entidades bancarias o tiendas en línea, y solicitarle al usuario que ingrese sus datos bancarios en una página aparentemente del banco o tienda en línea, pero que resulta ser un sitio ficticio montado por el estafador para hacerse a sus datos financieros.
Tomando las precauciones necesarias, comprar por Internet es tan seguro como comprar en efectivo en un almacén.
http://www.redsegura.com/Temas/CEcomseg.html
13.- LSSI, UN AÑO DESPUES
El próximo 12 de octubre se cumplirá un año de la entrada en vigor de la LSSI (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico), una ley que según el Gobierno que la impulsó, traería seguridad y confianza a la Red española, potenciaría el comercio electrónico y acabaría con la plaga del correo electrónico no solicitado. Lo cierto es que si examinamos lo ocurrido en los últimos doce meses, podemos observar que ninguna de las promesas gubernamentales se han cumplido. Como se encargan de demostrar las estadísticas policiales, han aumentando los fraudes por vía informática. El comercio electrónico continúa estancado. Y en cuanto al spam, mejor no hablar: es simplemente ofensivo pensar que en ese terreno la LSSI ha servido para algo.
La seguridad jurídica brilla por su ausencia.
Incluso entre los jueces encargados de interpretarla se producen resoluciones
contradictorias, como hemos tenido ocasión de comprobar en dos recientes casos
judiciales a cuenta de la legalidad de los hiperenlaces (2 y 3). Los
registradores mercantiles han puesto curiosas trabas a las empresas que
pretendían cumplir con la obligación de inscribir su nombre de dominio: algunos
de ellos comprueban en el "Whois" si el titular del dominio coincide con quien
insta la notificación, denegando la inscripción en caso contrario, aunque ni la
LSSI ni ninguna otra norma les autoriza para ello. Una situación que sería
cómica de no ser porque la falta de inscripción, obligatoria a partir del 12 de
octubre de 2003, comporta una sanción de hasta 30.000 euros.
El peligro que la LSSI representa para las libertades no se ha conjurado: aún
está pendiente el desarrollo del reglamento sobre retención de datos de
navegación previsto en el artículo 12 de la Ley. Una redacción a cargo del
Ministerio de Ciencia y Tecnología, cuyas actuaciones inspectoras y
sancionadoras en materia de LSSI comenzaron hace tiempo.
La falta de noticias sobre la aplicación de la LSSI, cuando no su escandalosa
ocultación a cargo de los medios de comunicación, ha hecho cundir la especie de
que la LSSI no se aplicaba, no siendo sancionado su incumplimiento. No es
cierto: según le consta a Kriptópolis, el Ministerio de Ciencia y Tecnología ya
ha incoado diversos expedientes sancionadores, por hechos como la falta de
identificación en Internet, que lleva aparejada una multa de hasta 150.000
euros.
Kriptópolis ha tenido acceso a una de las primeras resoluciones de la Secretaría
de Estado de Telecomunicaciones, que hoy publicamos en exclusiva (4), habiendo
eliminado de la misma cualquier dato que permita la identificación de las
empresas implicadas. En el asunto comentado, el motivo del inicio del expediente
sancionador era que en la web indicada, a juicio del Ministerio, no se
facilitaban datos que permitieran identificar a su titular, ni se recogía una
dirección de correo electrónico o cualquier otro dato que permitiera establecer
con dicho titular una comunicación de forma directa y efectiva. Dicha
circunstancia, en opinión del instructor del expediente, podía suponer una
violación del artículo 10.1 de la LSSICE, sancionable con hasta 150.000 euros de
multa. Sin embargo, muestra de la ineficacia de la LSSI y del Ministerio
encargado de su aplicación, el expediente sancionador no se dirigió frente a la
empresa que estaba utilizando la página de forma efectiva, sino contra la que
aparecía en el "whois" como registradora del dominio. Un dominio que había
cedido hacía tiempo a la empresa que actualmente lo explotaba, y cuyos datos sí
que aparecían en la página web.
La empresa denunciada alegó y probó la efectiva cesión del uso, y la Secretaría
de Estado de Telecomunicaciones se vio obligada a retirar los cargos imputados,
procediéndose al archivo del expediente. En conclusión: un ciudadano, el
denunciante, que no obtuvo justicia. Otro ciudadano, el denunciado, que tuvo que
hacer frente a los gastos de su defensa a causa de una imputación errónea. Y
finalmente, 40 millones de ciudadanos cuyos recursos públicos han sido
malgastados.
Seguridad y confianza, decían.
http://www.kriptopolis.com/more.php?id=A114_0_1_0_M
14.- LA SEGURIDAD EN EL ASPECTO JURÍDICO DE INTERNET Y EL COMERCIO ELECTRÓNICO
El mundo moderno se ha transformado de manera acelerada en los últimos 10 años. Transformación que no solo ha cambiado la rutina de los hombres, la economía de las naciones, el poderío mismo de ellas, sino también la forma de hacer negocios y realizar transacciones, y en especial la forma como se soportan tales actividades. Ordinariamente la celebración de contratos y realización de transacciones comerciales ha requerido de DOCUMENTOS ESCRITOS y FIRMAS AUTÓGRAFAS. Tales requisito como prueba fundamental que contiene o bien una oferta, su aceptación, un contrato de compraventa, o u titulo Valor. Documentos sin los cuales no se podría alegar la existencia de alguna de tales circunstancia, o por lo menos la demostración de su existencia será muy engorrosa.
En la actualidad se ha generado una tendencia universal a darle valor a los documentos llamados ELECTRÓNICOS, documentos generados por medio electrónicos y que quedan dentro de un sistema de información con la posibilidad de ser apreciado por los mismos medios. Esta tendencia no es solo de teorías, doctrinas o jurisprudencias, sino de las mismas legislaciones, propiciadas por la LEY MODELO DE COMERCIO ELECTRONICO DE LA UNCITRAL.
Esta ley modelo establece como los documentos electrónicos tienen el mismo efecto jurídico que los documentos físicos. En Colombia tal situación se ha establecido por medio de la ley 527 de 1999 "Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones". Aunque el tema no ha sido desarrollado plenamente, esta ley es un inicio de lo que debe ser la reglamentación de los documentos informaticos.
Pero definitivamente el tema de los documentos electrónicos no es novedoso, aunque si desconocido.
En el año de 1982 el gobierno expide el DEC. 2328 (Agosto 2) "por medio del cual se dictan normas sobre el servicio de transmisión o recepción de información codificada (datos) entre equipos informaticos, es decir, computadoras y/o terminales en el territorio nacional", y en el año de 1984 el DEC. 148 (enero 24) "por el cual se dictan normas sobre los servicios de transmisión de información codificada 8datos) para correspondencia publica y se reglamentan parcialmente los artículos 184 y 186 del decreto-ley 222 de 1983". Ya desde la década de los 80 se hace mención a los servicios de transmisión de información codificada (datos - hoy mensajes de datos), inclusive se habla de correo electrónico.
Pese a ello aun no existe una verdadera voluntad política que
plantee la regulación y reglamentación de los temas informáticos y en especial
del derecho infromatico, consecuencia de ellos la falta de divulgación y
conocimiento del tema de los documentos electrónicos y las firmas digitales, y
aun mas grave es que la rama jurisdiccional del estado aun no toma la suficiente
conciencia de los efectos que estas leyes traen dentro de los tramites
procesales.
se hace urgente pues que el gobierno nacional que se ponga mas atención a los
temas que ya no son del futuro sino del presente, y propicie campañas de
capacitación y actualización en todas las ramas del poder a fin de que su
Aplicabilidad no se vea frenada por el desconocimiento de la misma. No basta con
expedir la llamada "LEY DE COMERCIO ELECTRONICO", es necesario que de ella
salgan nuevas normas que la reglamenten.
Los abogados que se están formando en las escuelas de derecho, los litigantes,
juristas y tratadistas, estamos en la obligación de avanzar al ritmo de la
tecnología a fin de poder suministrar u servicio eficiente, confiable y vigente.
15.- SEGURIDAD DEL SET.
Teóricamente, el elevado nivel de seguridad del SET está a prueba de bombas. Con una clave pública RSA de 1.024 bits, la seguridad de su implantación intrachip (onchip) parece total, o al menos muy superior a los sistemas burlados hasta ahora. Thian Yee Chua, presidente de Gemplus Japón, avanza que "durante el segundo semestre de 1997, Gemplus/MasterCard piensa evaluar este tipo de cifrado de tarjetas en Japón y Taiwán".
Según Bob Hepple, uno de los responsables de Visa Internacional en Sinpapur, Visa no empleará esta modalidad de cifrado intrachip en Asia hasta 1998. En sus pruebas iniciales, Visa confiará en el cifrado basado en software, ha explicado Hepple.
El cifrado basado en software suele ser más rápido que el RSA. El Data Encryption Algorithm (DEA) que emplean Netscape y otros vendedores para el comercio Internet también es significativamente más rápido que los algoritmos con base RSA. Sin embargo, este algoritmo es fácil de forzar, como ha demostrado recientemente Greenberg, de la University of California-Berkeley. Un código de cifrado DEA de 56 bits, que actualmente está en fase de desarrollo, será 65.000 veces más difícil de desarmar.
Sin embargo, ¿será suficiente con esto?. En teoría, Geenberg tardaría 22 años en forzar un código Netscape de 56 bits. Pero ¿y si se creara una sede Web tan atractiva que miles de personas ofrecieran sus CPU Pentium para resolver el algoritmo de seguridad? Si la oferta fuera lo sufucientemente sugestiva para conseguir varios miles de intentos al día, las CPU prestadas, operando en paralelo, podrían resolver el problema en poco más de un año. Evidentemente, esto no puede catalogarse como un sistema de seguridad a largo plazo.
¿Estarán dispuestos los consumidores, comerciantes y bancos a arriesgar 100 millones, 100.000 dólares, o incluso 100 dólares, en un sistema de seguridad potencialmente vulnerable?. Probablemente, sí. Las amenazas de seguridad al comercio Internet son innumerables, pero la industria está maniobrando con rapidez para ofrecer a los consumidores un mecanismo seguro.
http://www.geocities.com/CapeCanaveral/2566/set/seguri.html
16.- LA SEGURIDAD EN INTERNET NO ES COSA DE JUEGOS
Es indiscutible que las nuevas
tecnologías de información, las telecomunicaciones y los grandes avances de
comunicación como la web, han traído a nuestras vidas beneficios casi
inimaginables, pero lo cierto es también, que nos ha hecho un tanto más
vulnerables y debemos tomar precauciones al respecto.
Actualmente, sabemos por experiencia colectiva o propia que la inseguridad en
Internet no sólo se refiere a la entrada de virus informáticos a nuestros
sistemas, sino también a las visitas de agentes extraños a nuestras redes o
servidores. Para todos es claro, que estas visitas facilitan la intromisión de
ajenos a bases de datos confidenciales, información privilegiada o simplemente
facilitan el paso a archivos que saturan nuestros equipos.
Como en la mayoría de los países, la
seguridad en Internet es ya un asunto de negocios. Es muy importante
mencionar que a diferencia de otras situaciones, en el caso de la informática,
la enfermedad y el remedio suceden prácticamente al mismo tiempo.
Una gran cantidad de empresas como
Panda Software, Check Point, Symantec, McAffee, Via Networks y muchísimas más,
se encargan constantemente de crear vacunas para los virus que salen al mercado,
firewalls para evitar intromisiones extrañas, aplicaciones y proyectos que
vigilan la seguridad de los usuarios tanto domésticos como empresariales de las
tecnologías de información.
En empresas que se dedican al
comercio electrónico, las medidas de seguridad son indispensables, puesto que de
ellas depende, la integridad de sus usuarios y datos que indudablemente
representan un valor competitivo y estratégico. Al respecto, cabe destacar que
los costos de inversión en este rubro, no tienen comparación con lo que podría
costar no adoptarlos.
Según datos arrojados por la División
de Servicios de Enterprise Risk Deloitte & Touche en 1998, el promedio de costo
anual por violaciones de seguridad osciló entre los 12 y los 21 mil millones de
dólares en países como Estados Unidos.
Actualmente, en el entorno e-business entre otros, se han establecido diferentes plataformas para hacer negocios de manera confiable. Este es el caso del ISO BS7799, que asegura las transacciones de muchas organizaciones convirtiéndolo en un requisito obligatorio y en un estándar desde el año 2000.
Internet y los equipos tecnológicos
son ya parte esencial de nuestra vida cotidiana. La tecnología, nos brinda
excelentes oportunidades de intercambio y comunicación, interesantes nichos de
mercado y grandes posibilidades de hacer negocio.
http://www.cybercenter.cl/html_cyber2/novedades/seguridad.php
17.- COMERCIO ELECTRÓNICO Y SEGURIDAD DE SU TRANSACCIÓN
En libros-electronicos.net usamos el sistema de protección más avanzado para la protección de sus datos, el sistema SSL.
Para mayor seguridad, la introducción de esos datos bancarios no se realiza en nuestra páginas, sino en las páginas del servidor seguro de la pasarela de pagos 4b, de fiabilidad reconocida internacionalmente. Ni siquiera nosotros tenemos constancia de tus datos
Internet se despliega ante usted como un arco iris, lleno de tentadoras oportunidades, pero usted recela de comprar algo. Desconfía porque las páginas son anónimas y por los truculentos rumores que circulan sobre ruinas causadas por ceder datos bancarios a indeseables.
No seremos nosotros los que animemos a dar números de tarjeta Visa a casinos virtuales, páginas de pornografía infantil u otros lugares en que ya es evidente su falta de escrúpulo.
Pero ¿se ha preguntado alguna vez el peligro que supone perder de vista su tarjeta de crédito cuando paga en un comercio normal? Le pueden copiar sus números y fecha de caducidad. Pero claro, usted confía en el dependiente o camarero. Pueden recoger sus datos depués de arrojar al suelo el recibo del cajero automático o de pagar una cuenta de un restaurante. Y esto lo hacemos a diario sin darle importancia.
Y para obtener estos datos tan accesibles por otros métodos, con el sistema SSL se tendrían que interceptar números que viajan ya codificados, infiltrarse en ordenadores con sistemas de protección de datos o descerrajar sistemas de transacciones seguras de Bancos. Pero es que además los participantes en las transacciones electrónicas son los más interesados en seguridad porque tienen que darse a conocer.
Nuestra opinión es que no comprar en Internet es semejante a no comprar en la tienda más barata que se acaba de abrir en el barrio por no conocer todavía al dueño.
¿Sigue desconfiando? Pues no se arriesgue y manténgase
al margen de las ventajas.
http://www.libros-electronicos.net/comercio_electronico.asp
18.- SEGURIDAD GESTIONADA
La seguridad gestionada nace de la necesidad de realizar servicios de seguridad de forma eficiente por terceros, ingenieros especialistas en seguridad informática. Consiste, por tanto, en realizar una externalización de determinados servicios específicos.
La gestión de servicios de seguridad requieren un nivel alto de conocimiento técnico, así como especialización y dedicación constante. La complejidad de los sistemas de información aumenta y la tarea de administrar los sistemas de seguridad resulta engorrosa para las áreas de explotación de las empresas. La mayoría de estas empresas no pueden permitirse adquirir o formar un equipo de expertos en seguridad informática.
G2 Security le ofrece servicios de seguridad gestionada por especialistas en seguridad de la información. Mediante una gestión externa, permitimos que su empresa se dedique exclusivamente a su actividad principal, dedicando sus recursos a su negocio.
Objetivo
Nuestro objetivo es dotar a las empresas de un conjunto de servicios de gestión, análisis, soporte, monitorización y revisión de los sistemas de seguridad, que permita alcanzar los niveles de seguridad exigidos y realizados por técnicos especializados de forma continuada.
Estos servicios cubren las siguientes áreas principales:
Gestión y monitorización continua de firewalls y detectores de intrusos.
Soporte y gestión de incidentes: respuesta inmediata y aplicación de solución.
Monitorización de disponibilidad de aplicaciones y servicios.
Informes de gestión: diarios, semanales, mensuales y basados en eventos.
Auditoría y análisis de vulnerabilidades continuo.
Protección antivirus e inspección de contenidos.
Acceso inmediato a noticias de vulnerabilidades y agujeros de seguridad.
Se ofrece la opción de contratar servicios de 5 días / 8 horas ó integrales de 24 x 7. Todo el servicio de soporte se realiza remotamente desde nuestro centro de gestión seguro en nuestras oficinas centrales.
Ventajas
Cualquier estudio sobre la valoración de las ventajas e inconvenientes de la
seguridad gestionada demuestra claramente el valor añadido de la externalización
de dichos servicios:
La
empresa no tiene necesidad de invertir en la formación de un equipo técnico
experto.
La
explotación de la seguridad se delega en un equipo de expertos en seguridad
dedicados en exclusividad.
Los
sistemas de seguridad se mantienen siempre actualizados (parches,
recomendaciones, alertas, virus, etc...)
Se
consigue una infraestructura flexible y a un coste económico.
Integración transparente con los sistemas de información ya existentes.
Gestión y monitorización 24 x 7.
Se maximizan los beneficios del comercio electrónico minimizando los riesgos.
http://www.g2security.com/servicios_seguridad.cfm
19.- MAYOR SEGURIDAD PARA EL DESARROLLO DEL COMERCIOELECTRONICO
El desarrollo de sistemas de pago en Internet seguros, fiables y con respaldo legal es uno de los puntos clave para el crecimiento del comercio electrónico. Para la aceptación de los nuevos medios por parte de productores y consumidores es necesario que se produzcan avances en tres dimensiones:
Tecnología
Un entorno seguro debe basarse en el uso intensivo de la firma electrónica avanzada. Este es un concepto que aúna aspectos tecnológicos y legales para resolver los requisitos necesarios que garanticen la seguridad de las transacciones en la red: Autenticación, no-repudio e integridad de los datos.
La autenticación es necesaria para que en una transacción proveedor y comprador puedan comprobar que son quienes dicen ser. No-repudio implica que las transacciones realizadas comprometen a todos los participantes en la misma de modo que no pueden rechazarla. Y por último la integridad de los datos se refiere a la imposibilidad de alterar los documentos que forman parte de todo el proceso.
Tecnológicamente estos requisitos se resuelven mediante una infraestructura de PKI . Una PKI es un conjunto de políticas, prácticas, estándares y leyes que emergen de tecnología de clave pública. Esta tecnología, se basa en la criptografía asimétrica, donde se emplean un par de claves electrónicas: Una para la codificación (clave privada) y la otra para la descodificación (clave pública) de documentos. La infraestructura se completa con la figura de la Autoridad de Certificación (CA) de quien es responsabilidad asegurar la autenticidad de las claves públicas, como se muestra en la figura.
Usuarios
En tecnologías como la descrita se apoyan una serie de medios de pago distintos: Sistemas basados en tarjetas, como VISA Cash o Mondex; sistemas software; sistemas de puntos o sistemas e-mail money.
Lamentablemente estos medios se han desarrollado para satisfacer los aspectos tecnológicos y económicos. El beneplácito del usuario, muy necesario, ha sido dejado de lado en muchas ocasiones. El intento de imposición de algunos sistemas por parte de las entidades financieras, como las tarjetas monedero, ha llevado al rechazo sistemático de los consumidores, dificultando que los usuarios puedan llegar a apreciar los servicios de valor añadido que aportan los nuevos medios.
Para aplacar esta situación, los prestadores de servicios están creando agrupaciones destinadas a promocionar el comercio electrónico mediante el establecimiento de unos requisitos que garanticen la satisfacción del consumidor. Un ejemplo de esto es la agrupación de empresas Atiendes. Creada para garantizar la satisfacción del consumidor en sus compras on-line, Atiendes está orientada a negocios de venta de productos por Internet, tipo tiendas virtuales y similares, en España.
Marco legal
Junto a la evolución de los aspectos tecnológicos, otro de los requisitos es la convergencia del marco legal hacia los nuevos escenarios. Este marco legal incluye las últimas directivas del Parlamento Europeo y del Consejo de la Unión Europea. En ellas se fijan unos contenidos mínimos de información con el fin de poder salvaguardar mejor los derechos de los consumidores y usuarios de Internet. Fijando los requerimientos de contenidos mínimos exigibles a los prestadores de servicios y los requerimientos de la firma electrónica avanzada.
Una firma electrónica avanzada, según la Directiva Europea del 13/12/1999, cumple los siguientes requerimientos legales: Identifica al firmante de manera única y se crea usando métodos bajo el control del firmante, de manera que queda vinculada a él mismo y a los datos a los que se refiere, lo que permite detectar cualquier modificación ulterior de éstos.
Es decir, en un documento firmado con una firma electrónica avanzada, se combinan en la firma la integridad del contenido y la autenticidad del autor. La firma electrónica, siempre que esté basada en un certificado reconocido, expedido por un prestador de servicios de certificación autorizado, tiene el mismo valor jurídico que la manuscrita. Otra cosa es su aplicación de los Tribunales.
Una solución será de amplia aceptación cuando cuente con un respaldo legal sólido y no sea una iniciativa basada en acuerdos bilaterales entre la entidad y el cliente, con complicados documentos legales de descargo.
Iniciativa
Para conseguir la aceptación completa y la transición paulatina de los consumidores a nuevos medios de pago se debe, además de generar la requerida confianza en la firma electrónica, facilitar el paso a los nuevos sistemas. Para conseguir este efecto facilitador, resulta preferible la desmaterialización de medios existentes que inventar medios nuevos y revolucionarios, pero absolutamente desconocidos para el usuario.
Adaptar medios cotidianos al mundo virtual exige que estos se adhieran a una nueva reglamentación que favorezca la manipulación de éstos en Internet, garantías y facilidad de uso que los usuarios buscan. Dentro de este ámbito el Ministerio de Ciencia y Tecnología, a través de su iniciativa PISTA, conduce la construcción de una plataforma segura que permita operar con títulos cambiarios electrónicos: El proyecto FIRMA.
Multidisciplinar
La propia naturaleza del proyecto requiere que el trabajo en el campo tecnológico este acompañado por un trabajo en el campo jurídico que permita a los legisladores responder con agilidad a las exigencias del nuevo entorno. Este trabajo conjunto pretende paliar las limitaciones manifestadas anteriormente, que se dan cuando el avance no contempla este esfuerzo de convergencia. Intentando aportar beneficios en todos los campos.
Aportación jurídica sobre otros medios
Actualmente existen los instrumentos necesarios para un consentimiento electrónico eficaz. Aun así el rápido avance de la sociedad de la información y del comercio electrónico, que se está desarrollando muy por encima de las previsiones, causa que cualquier medida legislativa parezca estar dotada de cierta provisionalidad.
Para evitar esta sensación de lentitud del sistema jurídico en reaccionar ante la realidad social, la iniciativa propone un desarrollo multidisciplinar que aúna los esfuerzos en el marco tecnológico y jurídico con el fin de conseguir una convergencia de forma ágil.
Esta convergencia debe producirse a dos niveles:
La Ley cambiaria y del cheque, que apoya la gestión de este tipo de documentos, debería ajustarse al nuevo escenario.
El anteproyecto de Ley de firma electrónica debería recoger nuevas definiciones que permitieran la comprobación de la vigencia de las firmas en distintos plazos de tiempo. Requisito para procesos complejos como son los negocios jurídicos de la operativa cambiaria.
En este sentido, se propone establecer la definición de firma electrónica completa como la firma electrónica junto con sus datos de validación, que permite la validación de la misma a medio y largo plazo, es decir cuando los datos de creación de la firma del firmante hayan dejado de estar vigentes.
La razón por la que conviene diferenciar firma electrónica completa y distinguirlo de firma electrónica avanzada es que firma electrónica avanzada no incluye necesariamente los datos de validación. Y éstos son imprescindibles en el caso de que sea necesario validar una firma después de la revocación del certificado que avala los datos de verificación de la misma.
Aportación tecnológica sobre otros medios.
El entorno cuya construcción impulsa el proyecto añade a las funcionalidades de una infraestructura PKI prestaciones adicionales concebidas para garantizar la unicidad de documentos, además del no repudio y la integridad.
Estas funcionalidades están destinadas a suplir la carencia de la firma digital avanzada cuando es necesario ir más allá de la firma de documentos estancos, y se requiere modelar transacciones que llevan asociadas consigo intercambios de documentos. Al trasladar los procesos de la operativa de los títulos cambiarios nos encontramos con la necesidad de disponer de una tercera parte de confianza que garantice la unicidad de los documentos vía su intervención en las transacciones.
Necesidad que se presenta en diversos estadios del ciclo de vida de los títulos cambiarios. Pero el ejemplo que resulta más gráfico es la presentación al pago de los mismos. Imaginemos un documento electrónico perfectamente firmado que obliga al lector en el pago de una deuda con el que suscribe. Una vez se ha cobrado éste, y marcado como tal, el que suscribe (astutamente) intenta presentar al pago una copia del documento original. Esto es lo que se resuelve mediante la tercera parte de confianza. Pues es quien tiene la potestad última sobre la validez o no de un título.
El objetivo del Ministerio de Ciencia y Tecnología, y la respuesta que da Tecsidel en este sentido son en primer lugar: Definir unos estándares y crear un entorno interoperable bajo la custodia de una entidad reconocida al que se incorporarán progresivamente entidades prestadoras del servicio de gestión de títulos cambiarios electrónicos. En segundo lugar se pretende reducir el coste de implantación de la infraestructura necesaria para incorporarse al sistema. Las entidades financieras parecen ser candidatos ideales para proveer a sus clientes de este servicio.
La adopción de este medio para realizar transacciones por Internet dependerá en gran medida de los costes por transacción y éstos de la cantidad y frecuencia de los pagos a los que estén destinados. A priori, y considerando la capacidad de estos medios de ser dotados de poder ejecutivo, parecen convertirles en el medio ideal para pagos B2B. El propio desarrollo del piloto prevé un estudio de viabilidad comercial que decidirá la implicación de las entidades mas allá del piloto.
Aportación a los usuarios
El uso de títulos cambiarios, letras, cheques o pagarés, para realizar pagos es algo común en el mundo físico. El proyecto FIRMA pretende la trascripción de los títulos a formato electrónico, con la construcción y despliegue de un entorno que permita estudiar las posibilidades, sobretodo del marco legal, y hasta que punto la tecnología está preparada. Por eso se escoge un escenario complejo como el de los títulos.
Trasladar la operativa cambiaria al mundo virtual aporta una serie de ventajas:
Procesamiento inmediato.
Reducción de costes por desaparición del papel.
Evitar los errores derivados del proceso manual.
Disminución del tiempo de resolución de conflictos.
Evitar la falsificación. (que se da especialmente en el caso de los cheques)
Adicionalmente supone un avance en el sector financiero, pues aporta al campo de los medios de pago un sistema seguro, reconocido en el marco jurídico y apoyado por instituciones públicas. Lo que permitirá rescatar unos medios de pago que por sus desventajas (coste, tiempo de proceso, etc.) han caído en desuso. Cediendo terreno a alternativas electrónicas pero basadas en acuerdos contractuales entre la entidad y el cliente.
Conclusiones
El desarrollo de proyectos como los enmarcados dentro de la iniciativa PISTA suponen un avance en el desarrollo de la sociedad de la información al tiempo que acercan a los usuarios a las nuevas tecnologías desde un enfoque que trata de convencer de sus beneficios.
El desarrollo del proyecto FIRMA, que trae consigo el uso intensivo de la firma electrónica, debería de sentar las bases para que otras iniciativas de desmaterializar la información entre proveedor y cliente puedan acogerse a los estándares de seguridad resultado de este proyecto. En esta línea encontramos ya diversas iniciativas alrededor de la facturación electrónica, impulsadas con la aprobación del Directiva Europea (20/12/2001).
Los siguientes retos son el cobro de impuestos on-line y otras formas de relación entre usuarios y proveedores, o entre administración y ciudadanos. Proporcionados bajo una plataforma segura en la que pueda ocurrir cualquier intercambio de documento.
En definitiva el objetivo del proyecto FIRMA. y de las iniciativas que le sigan, no deberían limitarse a eliminar procesos manuales por un ahorro en su coste. Sino a convencer al usuario y a despejar incertidumbre sobre seguridad, creando estándares con el respaldo de instituciones públicas.
http://www.comunicacionymedios.com/Reflexion/tecno/comercio.htm
20.- VISA MEJORARÁ SEGURIDAD DEL COMERCIO ELECTRONICO
Visa Internacional anunció el 19 de junio una nueva iniciativa de comercio electrónico que hará de las compras por Internet algo mejor y más seguro tanto para compradores como para quienes venden por el Web.
A
medida que el volumen de ventas online crezca, la iniciativa va a mejorar el
sistema de pagos de Visa a nivel global, y se espera además que reduzca en un 50
por ciento las disputas generadas por transacciones en el Internet.
La
Iniciativa de Seguridad de Comercio Electrónico de Visa representa un
mejoramiento de la tecnología, redundando en mejores prácticas que proveerán de
un nivel aún mayor de seguridad y autenticación a los usuarios del comercio
electrónico en todo el mundo. "Como líder global en pagos por online, Visa está
absolutamente comprometida a colaborar para que el Web alcance la totalidad de
su potencial como nuevo canal de comercio", declaró Malcolm Williamson,
presidente y jefe ejecutivo de Visa International.
"Estimamos que esta iniciativa representa un aporte para lograr esto, combinando la tecnología más avanzada con estándares globales y con los mejores procedimientos, además de la promesa que constituye la marca Visa".
La iniciativa global incluye dos componentes principales. El primero, es el Payment Authentication Program (Programa de Autenticación de Pagos), diseñado para reducir el riesgo del uso no autorizado de la cuenta del poseedor de una tarjeta, y también para mejorar el servicio que los vendedores dan a sus clientes. El segundo es el Global Data Security Program (Programa de Seguridad Global de Datos) que establecerá mejores estándares y procedimientos para los comerciantes de comercio electrónico, permitiéndoles asegurar de mejor manera la autenticidad de los datos del dueño de la tarjeta en sus respectivos sitios Web.
En el fondo lo que queremos es despertar una nueva y mayor confianza en el Internet ofreciendo para ello una mejor medida de seguridad', señaló Philip Yen, vicepresidente ejecutivo del grupo Visa Internet and Access Channels. "Esta iniciativa contribuye a las muchas medidas de seguridad y autenticación que ya hemos incorporado en el Web".
http://www.diarioti.com/noticias/2000/jun2000/15193168.htm