CAPITULO5-6

102
SEGURIDAD EN LÍNEA Y SISTEMAS DE PAGO Capítulo 5

description

presentacion

Transcript of CAPITULO5-6

  • SEGURIDAD EN LNEA Y

    SISTEMAS DE PAGO

    Captulo 5

  • EL ENTORNO DE SEGURIDAD DEL

    COMERCIO ELECTRNICO

    Internet ha creado formas nuevas de robar

    Es menos riesgoso

    Provee Anonimato

    Cul es la razn de tanto riesgo de seguridad en el internet?

    Symantec: el crimen ciberntico aument a partir de 2006

    IC3: Procesa las quejas de la delincuencia en Internet

    Encuesta de CSI: reporta las violaciones de seguridad y prdidas financieras como resultado

    Mercado de economa subterrnea: ofrece la venta de informacin robada y est en crecimiento

  • El cibercrimen es dinmico

    Cul es el principal riesgo como consumidor y

    comerciante en el comercio electrnico?

  • EL ENTORNO DE SEGURIDAD EN EL

    COMERCIO ELECTRNICO

  • DIMENSIONES DE LA SEGURIDAD EN

    EL COMERCIO ELECTRNICO

    Integridad

    No repudiacin

    Autenticidad

    Confidencialidad

    Privacidad

    Disponibilidad

  • INTEGRIDAD

    Capacidad de asegurar que la informacin que se

    muestra en un sitio web, o que se transmite o recibe

    a travs del internet, no haya sido alterada de

    ninguna manera por una parte no autorizada

  • NO REPUDIACIN

    Capacidad de asegurar que los participantes en el

    comercio electrnico no desconozcan sus acciones

    en lnea

  • AUTENTICIDAD

    Capacidad de identificar la identidad de una

    persona o empresa con la que se est tratando en

    internet

  • CONFIDENCIALIDAD

    Capacidad de asegurar que los mensajes y los

    datos estn disponibles slo para quienes estn

    autorizados a verlos

  • PRIVACIDAD

    Se refiere a la habilidad de controlar el uso de la

    informacin que proporciona un cliente sobre s

    mismo a un comerciante de comercio electrnico

    Polticas de privacidad de ebay

    ../Varios Capitulo 5/Poltica de Privacidad ebay.doc

  • DISPONIBILIDAD

    Capacidad de asegurar que un sitio de comercio

    electrnico siga funcionando como se espera

  • LA TENSIN ENTRE LA SEGURIDAD Y

    OTROS VALORES

    Seguridad vrs. facilidad de uso: cuantas ms

    medidas de seguridad, ms difcil de usar es el

    sitio y se vuelve ms lento

    Seguridad vrs. el deseo de los individuos a actuar

    de forma annima

  • USOS CRIMINALES DE INTERNET

    Los terroristas son apasionados usuarios del internet

    Constituye una de las mayores amenazas y el reto

    ms grande del siglo XXI en la sociedad moderna

    Su principal uso

    Internet como medio propagandstico: el acceso simple,

    annimo y global del internet permite a los grupos

    terroristas un escenario cmodo para actuar sin ser

    identificados.

  • AMENAZAS DE SEGURIDAD EN EL ENTORNO DEL

    COMERCIO ELECTRNICO

    Tres puntos claves de la vulnerabilidad:

    Cliente

    Servidor

    Canal de comunicacin

  • UNA TRANSACCIN NORMAL DE COMERCIO

    ELECTRNICO

  • PUNTOS VULNERABLES EN UNA

    TRANSACCIN DE COMERCIO ELECTRNICO

  • II PARTE

  • AMENAZAS MS COMUNES DE SEGURIDAD

    EN EL COMERCIO ELECTRNICO

    Los cdigos maliciosos (virus, gusanos, troyanos, bots)

    Los programas no deseados (Adware, Spyware, parsito de

    navegador)

    Phishing o suplantacin de identidad / Spoofing

    Hacking y cibervandalismo

    El fraude o robo con tarjetas de crdito

    Pharming (Falsificacin) / spam (Basura)

    Ataques DoS y DDoS

    Sniffing (Husmeo)

    Ataques internos

    software de servidor y cliente mal diseado

  • CDIGO MALICIOSO (Malware)

    Virus: Tienen la capacidad de replicarse y

    propagarse a otros archivos, la mayora tambin

    ofrecen una "carga til" de algn tipo (destructiva o

    benigna), incluyen:

    macro virus

    virus que infectan archivos

    virus de secuencia de comandos

    Gusano: Diseado para propagarse de una

    computadora a otra

  • MELISSA

    From: (nombre del usuario infectado)

    *Asunto: Importante Mensaje de "Nombre del remitente

    To: (50 nombres de la agenda)

    Texto del Mensaje: Aqu est ese documento que usted solicit...

    no mostrar a nadie;-)

    Archivo adjunto: LIST.DOC

  • Caballo de Troya: Parece ser benigno, pero

    hace algo inesperado

    Bomba Lgica

    Bomba de Tiempo

  • LOSE

  • Bots: puede ser descargado en el equipo,

    responde a comandos externos enviados por

    el atacante

    Pastor de Bots

    Computadoras Zombie

    video/Seguridad Informtica/YouTube - Botnet IRC joins.flv

  • SEALES DE QUE ES ZOMBIE

    El ventilador arranca a toda marcha cuando el equipo est inactivo

    Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente

    Observar una lista de post en su muro de Facebook que no ha enviado

    Las aplicaciones andan muy lentas

    No se pueden descargar las actualizaciones del sistema operativo y antivirus

  • El acceso a Internet es muy lento

    Sus amigos y familiares han recibido mensajes de correo electrnico que usted no envi

    Se abren ventanas emergentes y anuncios, incluso cuando no se est usando un navegador web

    El Administrador de tareas de Windows muestra programas con nombres o descripciones extraas

  • PROGRAMAS INDESEABLES

    Se instalan sin el consentimiento del usuario

    Parsito de navegador: puede monitorear y cambiar la configuracin del navegador de un usuario. WebSearch

    Adware: se utiliza para llamar anuncios emergentes que aparecen cuando el usuario visita ciertos sitios. ZangoSearch, PurityScan

    Spyware: Se utilizan para obtener informacin, tales como pulsaciones de teclado del usuario, correo electrnico, mensajes instantneos, etc. SpySheriff

    Keylogger

    Screenlogger

    http://www.youtube.com/watch?v=vKYi1X7G7ic

    http://www.youtube.com/watch?v=vKYi1X7G7icvideo/Seguridad Informtica/YouTube - AGT Informatica (invasores).flv

  • SUPLANTACIN DE IDENTIDAD

    (PHISHING)

    Cualquier intento engaoso en lnea por parte de un tercero para obtener informacin confidencial a cambio de una ganancia econmica

    implica el envo de mensajes de correo electrnico semejantes a los de las empresas autnticas para solicitar a los usuarios datos confidenciales.

    Tipo ms popular: la estafa de la Carta de Nigeria

    http://www.youtube.com/watch?v=g3jBlkN676k

    Una de las formas de ms rpido crecimiento de la delincuencia e-comercio

    http://www.youtube.com/watch?v=g3jBlkN676kvideo/Seguridad Informtica/YouTube - Casos Phishing en Segu-Info.flv

  • SPOOFING

  • PIRATERA INFORMTICA Y

    CIBERVANDALISMO

    Hacker: Persona que tiene la intencin de obtener acceso no autorizado a sistemas informticos

    Cracker: Hacker con intencin criminal (dos trminos a menudo utilizados indistintamente)

    Cibervandalismo: alterar, mutilar o destruir un sitio Web intencionalmente

    Tipos de hackers son:

    Sombreros blancos

    Sombreros Negro

    Sombreros Grises

  • HACKERS

    http://www.youtube.com/watch?v=I4z1eGvaFWk

    http://www.youtube.com/watch?v=8YLMcZmvx0k

    http://www.youtube.com/watch?v=I4z1eGvaFWkhttp://www.youtube.com/watch?v=8YLMcZmvx0kvideo/Seguridad Informtica/YouTube - Robo ciberntico de 130 millones de datos.flv

  • FRAUDE O ROBO DE TARJETAS DE

    CRDITO

    El temor de que la informacin de sus tarjetas de

    crdito se vea comprometida evita que los usuarios

    realicen compras en lnea

    Una solucin: Nuevos mecanismos de verificacin de

    identidad

    http://www.youtube.com/watch?v=tugD_Oxncp8

    Lector de Tarjetas de Crdito

    http://www.youtube.com/watch?v=tugD_Oxncp8http://www.youtube.com/watch?v=tugD_Oxncp8../Varios Capitulo 5/Presentado lector de tarjetas de crdito USB.docvideo/Seguridad Informtica/YouTube - Robo de tarjetas de credito - Seguridad de la Informacion.avi

  • El SmartSwipe

    No deja ninguna informacin en el sistema ni en el

    dispositivo, garantizando as que las transacciones

    sean totalmente seguras

    Su coste $35

    Es compatible con Visa, MasterCard, American

    Express y Discover

  • SITIOS WEB DE FALSIFICACIN

    (PHARMING) Y SPAM (BASURA)

    Pharming: Falsificacin de un sitio web donde un

    vnculo redirige a una direccin distinta de la

    original, y el sitio se enmascara como si fuera el

    original

    Amenaza a la integridad y autenticidad del sitio

  • Spam (basura): sitios Web que promete ofrecer

    ciertos productos o servicios, pero son un conjunto

    de anuncios para otros sitios, que contienen cdigos

    maliciosos

    Redirigen el trfico a los dominios de redireccin de

    spam

  • ATAQUES DOS Y DDOS

    Denegacin de servicio (DoS): Los hackers hacen inundacin del sitio Web con trfico intil para saturar la red

    http://www.youtube.com/watch?v=eHYvaEjdm3E

    Denegacin de servicio distribuido (DDoS): Los hackers utilizan numerosas computadoras para atacar la red de destino desde numerosos puntos de lanzamiento

    http://www.youtube.com/watch?v=3hfOXPI220Q

    http://www.youtube.com/watch?v=eHYvaEjdm3Ehttp://www.youtube.com/watch?v=3hfOXPI220Qvideo/Seguridad Informtica/YouTube - Ataque de denegacin de servicio en plan casero.flvvideo/Seguridad Informtica/YouTube - ataque de denegacion de servicio.flv

  • HUSMEO (SNIFFING)

    Tipo de programa de espionaje que monitorea la

    informacin que viaja sobre una red, permite a los

    hackers robar informacin confidencial de cualquier

    parte de una red

    http://www.youtube.com/watch?v=IwfrsQTON0I

    http://www.youtube.com/watch?v=IwfrsQTON0Ivideo/Seguridad Informtica/YouTube - El robo digital mas grande del mundo..flv

  • ATAQUES INTERNOS

    Son las amenazas financieras ms grandes

    http://www.youtube.com/watch?v=H4gvDk0q_OM

    http://www.youtube.com/watch?v=H4gvDk0q_OMvideo/Seguridad Informtica/YouTube - Fraudes Bbva Bancomer Canal 2.flv

  • SOFTWARE DE SERVIDOR Y CLIENTE

    MAL DISEADO

    El aumento de la complejidad de los programas de

    software ha contribuido a aumentar la

    vulnerabilidad que los hackers pueden explotar

  • III PARTE

  • SOLUCIONES TECNOLGICAS

    Existen dos formas de defensa:

    Soluciones de tecnologa

    Soluciones de polticas

  • SOLUCIONES DE TECNOLOGA

    La proteccin de las comunicaciones de Internet

    (cifrado)

    La proteccin de los canales de comunicacin (SSL,

    VPN)

    La proteccin de las redes (firewalls, servidores

    proxy)

    La proteccin de servidores y clientes (Sistema

    operativo, Antivirus)

  • PROTECCIN DE LAS

    COMUNICACIONES EN INTERNET

    Cifrado: proceso de transformacin de texto o datos en texto que no puede ser ledo por cualquiera que no sea el emisor y el receptor

    Objetivo: Proteger la informacin almacenada y la transmisin de informacin

    Proporciona :

    Integridad de los mensajes

    No rechazo

    Autenticacin

    Confidencialidad

  • TCNICAS DE CIFRADO

    Cifrado por sustitucin: cada ocurrencia de una

    letra dada se sustituye sistemticamente por otra

    letra. Ejemplo: Amor

    Cifrado por trasposicin: cambio sistemtico del

    orden de las letras en cada palabra. Ejemplo:

    Amor

  • TIPOS DE CIFRADO

    Cifrado por clave simtrica

    Cifrado de clave pblica

    Cifrado de clave pblica por medio de firmas

    digitales y resmenes de mensaje

    Envolturas digitales

    Certificados digitales e infraestructuras de clave

    pblica (PKI)

  • CIFRADO POR CLAVE SIMTRICA

    Tambin conocido como cifrado de clave secreta

    Tanto el emisor y el receptor utilizan la misma clave

    digital para cifrar y descifrar mensajes

    Requiere un conjunto diferente de claves para cada

    transaccin

  • CIFRADO DE CLAVE PBLICA

    Resuelve el problema de cifrado de la clave simtrica de la necesidad de intercambio de las claves secretas

    Utiliza dos claves matemticamente relacionadas - la clave pblica (ampliamente difundida) y la clave privada (mantenida en secreto por el propietario)

    Ambas claves utilizadas para cifrar y descifrar el mensaje

    Una vez utilizada la clave para cifrar el mensaje, no puede ser utilizada para descifrarlo

  • CIFRADO DE CLAVE PBLICA POR MEDIO DE

    FIRMAS DIGITALES Y RESMENES DE MENSAJES

  • ENVOLTURAS DIGITALES

    Solucin a la encriptacin de clave pblica y el

    cifrado de clave simtrica

    Utiliza el cifrado de clave simtrica para cifrar el

    documento, pero el cifrado de clave pblica para

    cifrar y enviar la clave simtrica

  • CRIPTOGRAFA DE CLAVE SEGURA:

    CREACIN DE UNA ENVOLTURA DIGITAL

  • CERTIFICADOS DIGITALES E

    INFRAESTRUCTURAS DE CLAVE PBLICA (PKI)

    Certificado digital: Es un

    documento digital emitido

    por una autoridad de

    certificacin. Es nico para

    cada entidad en el mundo

    Nombre de la empresa

    Clave pblica

    Nmero serial de certificado digital

    Fecha de vencimiento

    Fecha de emisin

    Firma digital de la AC (usando la

    clave privada de AC)

  • Tipos de Certificados Digitales:

    Personales ($19.95)

    Institucionales ($695 $2,695)

    Servidor web ($495)

    Editor de software (Microsoft, Java, Adobe, W. Mobile,

    Android, etc $895 )

    Infraestructura de Clave Pblica (PKI): Se refiere

    a las Autoridades de Certificacin y los

    procedimientos de certificados digitales que son

    aceptables por todas las partes

  • Autoridad de Certificacin: Empresas de confianza

    que emiten certificados digitales.

  • ASEGURAMIENTO DE CANALES DE

    COMUNICACIN

    SSL (Niveles de Socket): genera el protocolo

    HTTPS

    Es una sesin cliente servidor en la que la URL del

    documento solicitado junto con el contenido y las

    cookies intercambiadas, estn cifradas.

    Solo garantiza una autenticacin del lado del servidor

    SET (Protocolo de Transaccin Electrnica Segura):

    Requiere que todas las partes en una transaccin

    utilicen certificados digitales

  • VPN (Redes Privadas Virtuales): Permite a los

    usuarios remotos el acceso seguro a las redes

    internas a travs del internet utilizando el protocolo

    de Tnel Punto a Punto (PPTP)

    La informacin que viaja a travs del protocolo est

    protegida por la envoltura cifrada del PPTP

  • PROTECCIN DE REDES

    Firewall: Se refiere al hardware o software que filtra

    los paquetes de comunicacin

    y evita que ciertos paquetes

    entren a la red, con base en

    una poltica de seguridad.

    Pueden filtrar el trfico en

    base a:

    La direccin IP de origen

    El tipo de servicio (http,

    ftp, etc)

    El nombre de dominio

  • Hay dos mtodos para validar el trfico:

    Filtros de Paquetes: Examinan si el paquete est

    destinado a un puerto prohibido o se originan de una

    IP prohibida

    Puertas de enlace de Aplicaciones: Filtran la

    comunicacin en base a la aplicacin

  • Servidor Proxy: Su principal funcin es limitar el

    acceso de los clientes internos a los servidores de

    internet externos

  • LA PROTECCIN DE SERVIDORES Y CLIENTES

    Antivirus: Actualizaciones diarias

    $36.07 $39 $32 $39.99

    $23 $32 $39.95

  • Antivirus Gratuitos 2014

  • Antivirus Comerciales 2014

  • Sistemas Operativos: Actualizaciones de seguridad

    automticas

  • POLTICAS

    Polticas de Seguridad: Estatutos que asignan

    prioridad a los riesgos de informacin,

    identificando los objetivos de riesgo aceptable y

    los mecanismos para alcanzar esos objetivos

    Polticas de Autorizacin: Determinan los distintos

    niveles de acceso a los bienes de informacin para

    los distintos niveles de usuario

  • IV PARTE

  • TIPOS DE SISTEMAS DE PAGO

    Efectivo

    Transferencia de cheques

    Tarjeta de crdito

    Valor almacenado

    Saldo acumulado

  • EFECTIVO

    Moneda de curso legal, definida por una

    autoridad nacional para representar un valor

    Es la forma ms comn de pago en trminos

    de nmero de transacciones

    Porttil, no requiere autenticacin

    Gratuito" (sin gastos de transaccin)

    Es annimo y difcil de rastrear

  • LIMITACIONES DEL EFECTIVO

    Puede robarse con facilidad

    Limitado a pequeas transacciones

    No ofrece ningn perodo flotante

  • TRANSFERENCIA DE CHEQUES

    Fondos transferidos directamente a travs de

    cheque firmado de la cuenta de cheques de un

    consumidor a un comerciante / otro individuo

    Es la forma ms comn de pago en trminos de

    cantidad que se gasta

    Puede ser utilizado para las transacciones grandes

    y pequeas

    Tienen cierto perodo flotante

  • No annimo, requiere la intervencin de terceros

    (bancos)

    Presenta riesgos de seguridad para los

    comerciantes (falsificaciones, cancelacin, rebotar)

  • TARJETA DE CRDITO

    Representa una cuenta que extiende crdito a los

    consumidores, y les permite adquirir artculos

    difiriendo su pago y realizar pagos a diferentes

    proveedores al mismo tiempo

    Las asociaciones de tarjetas de crdito:

    asociaciones sin fines de lucro (Visa, MasterCard)

    que establecen los estndares para los bancos

    emisores

    Los bancos de emisin: emiten las tarjetas de

    crdito y procesan las transacciones

  • Los centros de procesamiento (cmaras de

    compensacin): Controlan la verificacin de las

    cuentas y los saldos

    Ventajas para consumidores:

    Realizar compras pequeas y grandes

    Reducen el riesgo de robo

    Ofrecen un perodo flotante

    Ventajas y desventajas para comerciante:

    Aumento del gasto del consumidor

    Pago de cuota por transaccin del 3 al 5%

  • VALOR ALMACENADO

    Cuentas creadas al depositar fondos en una cuenta

    y de la que se pagan o retiran fondos, segn se

    requiera

    Ejemplos:

    Las tarjetas de dbito

    certificados de regalo

    tarjetas prepagadas

    tarjetas inteligentes

  • SALDO ACUMULADO

    Cuentas que acumulan los gastos y para la cual los

    consumidores realizan pagos peridicos

    Ejemplos: servicios pblicos, telfono

  • PREGUNTAS

    9. Mencione 3 tipos de pagos en el comercio

    tradicional

    10. Menciones 2 ejemplos de saldo acumulado

    11. Mencione las 3 instituciones que intervienen en el

    uso de tarjetas de crdito

    12. Mencione 2 limitantes del efectivo

  • SISTEMAS DE PAGO DEL

    COMERCIO ELECTRNICO

    Tarjetas de Crdito en lnea

    Carteras digitales

    Efectivo digital

    Valor almacenado en lnea

    Saldo acumulado digital

    Cheques digitales

    Sistemas de pago inalmbricos

  • TARJETAS DE CRDITO EN LNEA

    Las tarjetas de crdito son una de las formas

    dominantes de pago en lnea

  • LIMITACIONES DE LAS TARJETAS

    DE CRDITO

    Seguridad: los consumidores no pueden ser

    plenamente autentificados

    Se les conoce como transacciones CNP

    Costo: para los comerciantes, alrededor de 3,5%

    del precio de compra ms 20 a 30 centavos por

    transaccin

    La equidad social: muchas personas no tienen

    acceso a tarjetas de crdito

  • TRANSACCIN DE TARJETA DE

    CRDITO EN LNEA

  • AUTHORIZE.NET

  • CARTERAS DIGITALES

    Trata de emular la funcionalidad de la cartera

    tradicional

    Funciones ms importantes:

    Autenticar a los consumidores mediante el uso de

    certificados digitales o mtodos de encriptacin

    Almacenar y transferir un valor

    Proceso de pago seguro de los consumidores a los

    comerciantes

    Los primeros intentos de popularizarlo no se han

    logrado

    El esfuerzo ms reciente: Google Checkout

  • EFECTIVO DIGITAL

    Una de las primeras formas de los sistemas de

    pago alternativos

    No es realmente "efectivo": consiste en tokens

    numricos en lnea basados en depsitos bancarios

    o en cuentas de tarjetas de crdito

    La mayora de los primeros ejemplos han

    desaparecido

    Algunas conocidas son: e-gold, GoldMoney

  • E-GOLD

  • SISTEMAS DE VALOR

    ALMACENADO EN LNEA

    Permite a los consumidores hacer pagos

    instantneamente a los comerciantes y otras

    personas, sobre la base de un valor

    almacenado en una cuenta en lnea

    Puede ser un valor almacenado en el banco de

    un consumidor, cuenta corriente o tarjeta de

    crdito

    El Sistema PayPal es el de ms xito

    Tambin incluye las tarjetas inteligentes

  • PAYPAL

  • TARJETAS INTELIGENTES

    Se basan en una tarjeta de plstico del tamao de

    una tarjeta de crdito, con un chip incrustado que

    almacena informacin personal.

    Hay dos tipos de tarjetas inteligentes:

    Contacto

    Sin contacto (tecnologa RFID)

    Ejemplos de tarjetas inteligentes:

    Mondex

    Octopus

  • MONDEX Y OCTOPUS (Tarjetas

    Inteligentes)

  • RFID

    video/b5f89e241f39406445694a5e47666118.mov

  • SALDO ACUMULADO DIGITAL

    Permite a los usuarios hacer micropagos y comprar

    en la Web, acumulando un saldo por el cual se

    recibe una factura al final del mes

    Ejemplos:

    PaymentsPlus de Valista

  • PAGOS DIGITALES DE CHEQUES

    Extiende la funcionalidad de las cuentas de

    cheques existentes para su uso como herramienta

    de compras de pago en lnea

    Ejemplo: PayByCheck

  • PAYBYCHECK

  • SISTEMAS DE PAGO INALMBRICOS

    El uso de los telfonos mviles como dispositivos de

    pago son muy comunes en Europa, Japn y Corea

    del Sur

    No est muy bien establecido todava en EE.UU.,

    pero con el crecimiento de Wi-Fi y 3G y los

    sistemas de telfono celular, esto est empezando a

    cambiar

  • FELICA

  • PRESENTACIN Y PAGO DE LAS

    FACTURAS ELECTRNICAS (EBPP)

    Los sistemas que permiten la entrega y pago en

    lnea de las facturas mensuales

    Modelos de negocio principales en el mercado de

    EBPP incluyen:

    Directo del emisor

    Consolidador

    Estn apoyados por los proveedores de

    infraestructuras EBPP