Seguridad Del Sitio Y Pagos

Seguridad del Sitio

Introducción  El comercio electrónico ha abierto también posibilidades para cometer delitos y fraudes.  La facilidad del anonimato, ha ocasionado que se realicen ataques como: • Fraudes en órdenes de compra. • Robo de información. • Problemas en los sitios por ataques y código maligno.

Introducción  Los delitos dan como resultado pérdidas económicas debidas a: • Pérdida de tiempo. • Uso de recursos para las reparaciones. • Daño a la reputación del sitio Web.

 Los clientes y los negocios han tenido que adquirir y operar tecnología y procesos de seguridad en el comercio electrónico.

Introducción Riesgos al acceder a un sitio Web:  Riesgos para el cliente: • Falta de privacidad. • Diferencias entre el producto o servicio esperado y el que se recibe. • Robo de datos personales o de tarjetas de crédito.

 Riesgos para el negocio: • Fraudes en las compras al recibir pagos con tarjetas de crédito robadas o efectivo falsificado. • Negación de la acción por parte del cliente. • Destrucción maliciosa.

Introducción  Los problemas de seguridad están relacionados con los siguientes aspectos:

• Falta de una estrategia correcta de seguridad por parte del negocio. • Contacto presencial nulo o limitado de los negocios con los clientes en Internet. • Falta de estructuras legales para penalizar a las personas que realizan fraudes por Internet. • Estandarización limitada del manejo de firmas Paraycada una dedigitales. las áreas de seguridad pueden certificados comprarse o desarrollarse soluciones tecnológica

Áreas de la seguridad  Los datos que se generan en la comunicación de los clientes con los negocios deben protegerse desde diferentes perspectivas, como son: • Integridad.  Asegurar que la información que fluye por el Internet o que se presenta en un sitio es íntegra.

• Privacidad.  Derecho de las personas para controlar la información que les pertenece.

• No rechazo.  Asegurar que los participantes en una transacción electrónica responderán por sus actos.

Áreas de la seguridad • Disponibilidad  Los clientes pueden acceder al sitio en el momento en que lo requieran.  Es necesario que el sitio tenga la habilidad y responsabilidad para asegurar su funcionamiento, considerando: • Las acciones para mantener en operación al sitio. • Las tecnologías, que apoyan el balance de cargas para el hardware y software ofrecen una garantía para la disponibilidad continua.

Amenazas y vulnerabilidad de los negocios  Una amenaza es una eventualidad que representa un peligro para cualquier bien o valor del negocio, tales como: • Bienes tangibles: computadoras y las redes de comunicación. • Bienes intangibles: datos de los clientes, claves de acceso, firmas digitales, marcas, información privada de la empresa, entre otros.

 La vulnerabilidad se produce por una debilidad en la seguridad del sitio.

Amenazas y vulnerabilidad de los negocios  Categorías:  1. Hacker. Intenta un acceso a un sitio con fines no delictuosos. Cuando el acceso con fines delictuosos, se le conoce como cracker. Ataques. • Obtienen el acceso a un sistema computacional encontrando puntos débiles del sitio Web. • Normalmente utilizan aplicaciones de Internet por la facilidad de uso y el ambiente abierto de las transacciones. • Las intrusiones pueden ser motivadas por el robo de productos o información. • En ocasiones realizan las acciones solo como un reto a sus habilidades. • Si sus intenciones son interrumpir el funcionamiento de un sitio, destruirlo o afectar su imagen, se considera cyber vandalismo.

Amenazas y vulnerabilidad de los negocios

 2. Código malicioso (Malware). Es la ejecución no autorizada de programas que producen daños en la información, tales como virus y worms, caballos de Troya y applets malignos. • Han generado la creación de anti-virus para contrarrestar y eliminar el efecto de los virus. • Un virus es un programa que tiene la posibilidad de replicarse o autocopiarse para distribuirse en otros programas. • Los virus tienen dos componentes:  Un mecanismo de propagación.  El efecto producido cuando se ejecuta el código.

• Una clasificación de los virus llamada macro virus está orientada a aplicaciones específicas como MS Word y sólo a ellas las afectan, cuando se abre un archivo infectado, el virus se copia a las plantillas de la aplicación y se reproduce en nuevos archivos.

Amenazas y vulnerabilidad de los negocios • El funcionamiento de los macro virus hace que el código malicioso se disemine fácilmente a través de medios de comunicación como el correo electrónico:

Amenazas y vulnerabilidad de los negocios  Un worm es otra forma de software malicioso que está diseñado para distribuirse de computadora a computadora en lugar de hacerlo en archivos. • La principal diferencia entre un worm y un virus es que el worm se propaga entre sistemas, normalmente a través de una red y el virus se propaga localmente en el sistema. • Los macro worms normalmente se ejecutan cuando se abre una aplicación o se realiza un procedimiento, por ejemplo, cuando se ejecuta una macro de Excel, una hoja de cálculo o un mensaje de correo.

Amenazas y vulnerabilidad de los negocios

 Un caballo de Troya aparenta ser un programa benigno pero realiza otras acciones diferentes a las esperadas.

http://securityresponse.symantec.com/avcenter/venc/auto/index/indexA .html

Los applets malignos están relacionados con el concepto cliente servidor.

Amenazas y vulnerabilidad de los negocios

http://securityresponse.symantec. com

Amenazas y vulnerabilidad de los negocios  Cuando se accede a un sitio dudoso, el usuario podrá recibir mensajes como:

Amenazas y vulnerabilidad de los negocios Fraude y robo de información  En el comercio tradicional el fraude por mal uso de tarjetas de crédito se debe a: • La pérdida o el robo de las tarjetas físicas. • El robo de los datos por parte de los empleados de los negocios. • La suplantación de identidades.

 En el ambiente del comercio electrónico, se agregan otras características, como: • La pérdida o el acceso no autorizado a los datos de las tarjetas de crédito almacenados en los servidores del negocio. • El robo de datos no solamente enfocados a las tarjetas de crédito sino a la información personal con el fin de establecer identidades falsas y obtener créditos con ella.

Amenazas y vulnerabilidad de los negocios Spoofing  Se refiere al uso de falsas identidades en las transacciones por Internet o al redireccionamiento de accesos de un sitio a otro con fines que benefician al hacker.

Ataques DoS  Este tipo de ataques es llamado denegación del servicio por su nombre en inglés Denial of Service y consiste en acceder a un sitio con tráfico inútil para imposibilitar el acceso.  Esto puede ocasionar la paralización del sitio y como consecuencia, costos muy altos, ya que mientras el sitio no funcione, no se pueden realizar las ventas.

Amenazas y vulnerabilidad de los negocios  Cuando un sitio está inactivo, también se afecta su reputación.  Algunos ataques utilizan robots de verificación del funcionamiento del sitio mediante solicitudes PING que obtiene en forma abierta la dirección IP de un sitio.

Sniffing  Este proceso consiste en la revisión de los mensajes que viajan por una red, a través de programas que detectan información importante que utilizarán los hackers para sus propósitos.  La búsqueda realiza detecciones de mensajes de correos, archivos privados de las compañías y reportes confidenciales.

Amenazas y vulnerabilidad de los negocios Riesgos No Técnicos  Se derivan de la vulnerabilidad de la tecnología y se relacionan con las personas y se conocen como no técnicos: • Ataques internos: No todos los ataques a la seguridad de la empresa provienen de entidades externas, una importante cantidad proviene de las personas de la misma empresa en forma directa o inconsciente. • Ingeniería social: El atacante utiliza métodos de persuasión para que las personas le revelen información importante y con ella realizar acciones que comprometen la seguridad del sitio.

Protección de las comunicaciones Criptografía –Encripción La criptografía es un método de codificación matemática utilizado para transformar los mensajes de tal forma que sean ilegibles por otras personas que no sean los destinatarios.  La encripción consiste en el proceso de convertir el contenido del mensaje en un texto cifrado.  Los resultados del proceso de encripción son mensajes no descifrables (ciphertext) que requieren de un proceso similar al que los codificó para poderlos leer e interpretar.

Protección de las comunicaciones  El beneficio de la encripción se relaciona con la integridad, con la no negación, con la autenticidad y con la confidencialidad del mensaje.  El proceso de encripción se logra mediante una llave de encripción o cifrador que consiste en cualquier método para la conversión del código.  La encripción de clave pública fue desarrollada para resolver el problema del intercambio de claves. Utiliza dos claves matemáticas relacionadas llamadas clave o llave pública y clave o llave privada.

Protección de las comunicaciones  El proceso consiste en lo siguiente: • El emisor crea un mensaje que incluye la clave pública del receptor. La clave la obtiene mediante un directorio publico de claves. • Con la clave publica del receptor, se crea un cifrado en el mensaje que es enviado con el mismo a través de la red. • El receptor utiliza su clave privada para descifrar el mensaje.

Protección de las comunicaciones servidor

ENCRIPCIÓN

+

je sa

ón

do isi a n r if nsm me c je tra a s la en en m d ida r gu se

Compendio del mensaje

mensaje codificado

+

mensaje decodificado

 Debe verificarse que quien envió el mensaje, es el emisor válido, es decir, debe haber una autenticación del mismo.

Protección de las comunicaciones

 El uso más sofisticado de la clave pública permite verificar la confiabilidad del mensaje mediante una función que es usada primero para dividir el mensaje: • El algoritmo utiliza varios métodos para producir un número de longitud fija llamado compendio –message digest– que cuenta la cantidad de bits 1’s y 0’s del mensaje. • El resultado es enviado por el emisor al receptor, quien verifica que se produzca el mismo resultado que fue enviado con el mensaje. • Por lo tanto, cuando el emisor envía un mensaje,

Protección de las comunicaciones servidor

AUTENTICIDAD

+ +

mensaje

compendio

+ +

compendio

mensaje decodificado

autenticidad

 Además del uso de las claves, se debe tener en cuenta que la verdadera fortaleza del servicio que proporciona confidencialidad puede depender de otros factores asociadas con la encriptación.

Protección de las comunicaciones • • • • •

El protocolo de seguridad. La seguridad en la plataforma. El algoritmo de encripción. La longitud de la llave. El protocolo para administrar y generar las llaves. • El almacenamiento seguro de las llaves secretas.

 Actualmente algunos países están realizando esfuerzos para definir estándares sobre el tamaño de la llave de este proceso y para solucionar algunas controversias sobre los siguientes aspectos: • El tamaño de la llave que el gobierno de ese país permitirá exportar al exterior. • La clase de privilegios de acceso, para reforzar las leyes.

Protección de las comunicaciones Firmas digitales  Para asegurar la autenticidad del mensaje y la responsabilidad de quien lo envía, el emisor encripta nuevamente el bloque entero utilizando su llave privada.  Esto produce una firma digital o firma cifrada que puede ser enviada con el mensaje.  La firma del emisor es única y al combinarse con el compendio del mensaje se convierte en única para cada documento que se envíe.

Protección de las comunicaciones  El receptor de un texto cifrado y firmado realiza el siguiente procedimiento: • Primero utiliza la llave pública del emisor para verificar la autenticidad del mensaje. • Usa su llave privada para obtener el compendio del mensaje y el mensaje original. • Finalmente aplica la misma función del compendio al mensaje original y compara el resultado con el resultado enviado por el emisor. Si es el mismo, el mensaje es íntegro.

Protección de las comunicaciones servidor

NO NEGACIÓN

+ +

mensaje

+

compendio

+

+

compendio

mensaje decodificado

No negación

Sobres digitales  Los procesos de encripción pueden resultar en un incremento del proceso para descifrar mensajes y en una disminución de las velocidades de transmisión.

Protección de las comunicaciones

 Para evitar estos problemas se utiliza un sistema más eficiente de encripción simétrica para el documento, combinado con la encripción pública para encriptar y enviar la clave simétrica creando un sobre digital. Certificados digitales  Un certificado digital es un documento emitido por una autoridad certificadora que contiene: • • • • • •

Nombre del usuario o compañía. Su clave pública. Número de serie que lo certifica. Fecha de emisión del certificado. Fecha de expiración del certificado. La firma digital de la autoridad certificadora.

Protección de las comunicaciones • Información adicional para la identificación.

 Las autoridades certificadoras son instituciones que mediante procedimientos establecidos establecen la confianza en el sitio.

Protección de las comunicaciones  Al mismo tiempo, el sitio que está certificado como seguro, colocará el logotipo de la autoridad en su página:

Protección de las comunicaciones  Otros certificados están relacionados con la privacidad y confidencialidad de los datos:

Protección de los medios de comunicación  La forma más común de asegurar los medios de comunicación es a través del concepto SSL Secure Socket Layer del protocolo TCP/IP que establece una sesión de comunicación segura mediante: • La autenticación del servidor. • La integridad del mensaje en la conexión TCP/IP. • El método más poderoso de encripción usando niveles desde 40 bits a 128 bits.

Protección de los medios de comunicación

www.sanborns.com.mx

Protección de los medios de comunicación  El S-http -Secure http- es un protocolo de seguridad orientado a las comunicaciones seguras de mensajes, está diseñado para utilizarse en conjunto con el protocolo http y sus características son las siguientes: • Está diseñado para enviar mensajes individuales seguros. • No es posible utilizarlo en todos los buscadores. • Con este protocolo, cualquier mensaje puede ser firmado, autenticado, encriptado o utilizar cualquier combinación según las necesidades.

Protección de los medios de comunicación

shttp://www.librosademanda.com/

Protección de los medios de comunicación Redes virtuales privadas VPN  Utilizan un protocolo PTP (Point-to- Point Tunneling Protocol) que es un mecanismo de codificación que permite a una red local conectarse a otra:

• Utiliza una red pública de Internet para enviar la información. • Cuando un usuario utiliza el servicio de un ISP, el protocolo PTP hace una conexión con la red en forma transparente, es decir, como si el usuario la hubiera solicitado directamente. Esta es la razón por la que se le da el nombre de virtual ya que se percibe como si el usuario tuviera una línea segura constantemente, cuando en realidad, es temporal.

Protección de los medios de comunicación Redes virtuales privadas VPN

http://www.proyectaenred.com

Protección en las redes Proxy Servers  Normalmente son servidores de software que controlan todas las comunicaciones originadas o enviadas por el Internet. • Limitan el acceso de clientes internos a servidores externos. • Poseen dos interfases en la red. • Permite restringir el acceso a ciertos sitios. • Las páginas de mayor acceso son almacenadas localmente por el servidor para ahorrar costos y tiempos de acceso.

Protección en las redes Proxy Servers

http://www.pymes.com/wingate.htm

Protección en las redes Firewalls  Los firewalls intentan construir una muralla alrededor de la red y los servidores y clientes del negocio. • Son aplicaciones que actúan como filtros entre la red del negocio y el Internet protegiéndolos de ataques. • Un firewall debe poseer las siguientes características:  Todo el tráfico debe ser revisado por este sistema.  Sólo el tráfico autorizado tendrá permiso de pasar a través del firewall.  El sistema mismo debe ser inmune a la penetración.

Protección en las redes Firewalls  Los firewalls deben ser considerados componentes de la seguridad total de la empresa, no la única solución.

 Existen firewalls de dos categorías: • Estáticos. • Dinámicos.

 Al diseñar un firewall se deben considerar los siguientes factores: • Capacidad de negar el acceso.

Protección en las redes Firewalls • • • • • • • • • •

Filtros. Políticas de seguridad. Dinámica. Autenticación. Filtros flexibles. Reconocimiento de servicios peligrosos. Filtrar accesos mediante teléfono. Reportes de auditoria. Versiones actualizadas. Documentación.

Protección en las redes Firewalls

EJERCICIO: http://www.verisign.com/media/networkSecurity/index.html

Protección en las redes Sistemas de detección de intrusos  Existen dos tipos de estos sistemas de detección:

• Sistemas basados en la computadora anfitriona (Host).

http://www.symantec.com/region/mx/product/ids/hostids/

Protección en las redes Sistemas de detección de intrusos • Sistemas basados en las redes.  Su actividad se realiza por dos aplicaciones: • Una aplicación de software llamada monitor que revisa la red. • Agentes de software que residen en varias computadoras anfitrionas y proporcionan información al programa monitor.

 También pueden realizar acciones precisas cuando detectan ataques, como: • Concluir la conexión. • Reconfigurar los dispositivos de red como firewalls y ruteadores, basándose en reglas preestablecidas.

CE-04 Protección en las redes Sistemas de detección de intrusos

http://www.symantec.com/region/mx/product/ids/decoy/

Pagos electrónicos

Introducción  Una de las actividades más importantes del comercio electrónico es recibir y procesar los pagos de los clientes.  En el comercio electrónico se deben ofrecer formas de pago y opciones iguales que en el mundo físico, además de agregar necesidades como: • Confiabilidad en las transacciones. • Uso de sistemas innovadores. • Diferentes alternativas para negocios B2B y B2C.

Introducción  Como en el mundo real, según el valor del pedido de compra se han establecido tres tipos de pagos en Internet: • Micropagos. • Pagos de consumidor. • Pagos comerciales.

Sistemas electrónicos de pago

http://www.todito.com

Cartera electrónica  La cartera electrónica –digital wallet– es utilizada en la mayor parte de los sistemas actuales de pago.  La cartera digital permite realizar los pagos electrónicos de manera segura y almacenar las transacciones realizadas.

Cartera electrónica

http://www.gator.com/home2.html

Cartera electrónica  Existen dos categorías de carteras digitales: • Cartera digital basada en el cliente.

http://www.gator.com

Cartera electrónica • Cartera digital basada en el servidor.

http://www.passport.net

Efectivo electrónico  El efectivo electrónico e-cash fue una de las primeras formas de pago desarrolladas para el comercio electrónico.  Presenta el problema de que no existen emisores para el mismo.  Actualmente se maneja formas de almacenamiento e intercambio de valores con muy poca facilidad para convertirse a otras formas y requiere de intermediarios.  Algunos de sus principios se encuentran en formas electrónicas actuales de pago, como los sistemas P2P (Peer to Peer).

Efectivo electrónico … Nuevos sistemas

www.paypal.com

Efectivo electrónico … Nuevos sistemas

http://www.e-paid.net/sites/TODITOMX

Efectivo electrónico  Otra forma considerada dentro del efectivo electrónico es el manejo de puntos o certificados de regalo.

http://www.celebrandotuboda.com

Cheques electrónicos  En los cheques tradicionales, se transfieren fondos directamente de la cuenta del consumidor a otra persona o negocio.  Constituyen la segunda forma de pago más popular para las transacciones, aunque típicamente no aplican a los micropagos.  eCheck es un sistema sofisticado que intenta reemplazar a los sistemas tradicionales de cheques y extender la transferencia electrónica de fondos entre las instituciones y las empresas y consumidores.

Cheques electrónicos

http://www.echeck.org/

Cheques electrónicos  La operación de los cheques electrónicos requiere una inversión significativa en nueva infraestructura.

http://www.echeck.org/library/wp/ArchitectualOverview.pdf

Tarjeta de crédito  Extienden la funcionalidad de las tarjetas de crédito tradicionales para usarse como un sistema de pago en línea.  La nueva funcionalidad incluye acciones para evitar la falta de autenticación, la negación de cargos y los fraudes.  Algunos otros factores de mejora son:  Minimizar la desconfianza de los clientes al tener que revelar la información personal en múltiples sitios.  Disminuir el costo de las transacciones.

Tarjeta de crédito

http://www.visa.com.mx/

Tarjeta de crédito  Constituyen la forma más común de los pagos electrónicos y su diferencia con las formas tradicionales es que:  El vendedor nunca ve la tarjeta que está siendo usada.  No se tiene un comprobante físico.  No se valida la firma.

 Los sistemas de pago comerciales ofrecen actualmente la posibilidad de administrar las cuentas y procesar la compra en línea.

Tarjeta de crédito

http://www.visa.com.mx

Tarjeta de crédito  La empresa VeriSign actualmente es líder en ofrecer servicios seguros en Internet y sistemas de pago.

http://www.verisign.com/products

Sistemas de valores en línea Stored Value  Estos sistemas permiten a los clientes hacer pagos en línea utilizando valores almacenados en una cuenta en línea.  Algunos de estos sistemas requieren hacer uso de una cartera digital mientras que otros permiten las transacciones con una firma y la transferencia de valores de su tarjeta de crédito a la cuenta en línea.

Sistemas de valores en línea Stored Value

http://www.moneybookers.com

Sistemas de valores en línea Stored Value Tarjetas inteligentes.  Las tarjetas inteligentes smart cards constituyen otra forma de almacenar valor.  El proceso consiste en el uso de tarjetas similares a las de crédito que tienen un chip para almacenar la información personal con capacidad 100 veces mayor que las tarjetas de crédito.  Actualmente existen dos tipos de tarjetas inteligentes:

Sistemas de valores en línea Stored Value • Con contacto.

 Para que puedan ser leídas se requiere insertarlas en un lector, tal como se hace en las tarjetas telefónicas.

http://kalysis.com/content

Sistemas de valores en línea Stored Value • Sin contacto.

 Tienen una antena integrada para habilitar una transmisión de datos sin un contacto directo pero leído por un sensor remoto.

http://www.ezpass.com

Sistemas de valores en línea Stored Value  Un ejemplo de estas tarjetas fue creado por American Express, la llamada American Express Blue.

http://www10.americanexpress.com

Sistemas de balance acumulado digital  Los sistemas de balance acumulado digital permiten a los usuarios hacer micropagos y compras en la red acumulando un débito que será cobrado al final del mes.  Estos sistemas son preferentemente orientados a la compra de productos digitales como música, literatura y artículos.

Sistemas de balance acumulado digital

www.bitpass.com

Sistemas de balance acumulado digital  Una vez que el cliente obtiene su tarjeta, puede utilizarla en diferentes compras, por ejemplo:

http://www.virtualparks.org/places

Protocolo SET  Trata de resolver el problema de la seguridad de las transacciones de pago a través del desarrollo de un nuevo estándar llamado SET (Secure Electronic Transaction Protocol).

http://www.mastercardintl.com/newtechnology/set//

Protocolo SET  Es un complemento al protocolo SSL ya que este no provee la autenticación de las partes involucradas en la transacción ni la protección a la negación de las transacciones.

www.visa.com.mx

Protocolo SET  No ha sido completamente utilizado por los vendedores quienes utilizan los procedimientos tradicionales de las tarjetas de crédito.

http://www.todito.com

Protocolo SET

Protocolo SET

Protocolo SET

https://buy.entrust.net