CAPITULO5-6
-
Upload
guillermo-lopez -
Category
Documents
-
view
6 -
download
0
description
Transcript of CAPITULO5-6
-
SEGURIDAD EN LNEA Y
SISTEMAS DE PAGO
Captulo 5
-
EL ENTORNO DE SEGURIDAD DEL
COMERCIO ELECTRNICO
Internet ha creado formas nuevas de robar
Es menos riesgoso
Provee Anonimato
Cul es la razn de tanto riesgo de seguridad en el internet?
Symantec: el crimen ciberntico aument a partir de 2006
IC3: Procesa las quejas de la delincuencia en Internet
Encuesta de CSI: reporta las violaciones de seguridad y prdidas financieras como resultado
Mercado de economa subterrnea: ofrece la venta de informacin robada y est en crecimiento
-
El cibercrimen es dinmico
Cul es el principal riesgo como consumidor y
comerciante en el comercio electrnico?
-
EL ENTORNO DE SEGURIDAD EN EL
COMERCIO ELECTRNICO
-
DIMENSIONES DE LA SEGURIDAD EN
EL COMERCIO ELECTRNICO
Integridad
No repudiacin
Autenticidad
Confidencialidad
Privacidad
Disponibilidad
-
INTEGRIDAD
Capacidad de asegurar que la informacin que se
muestra en un sitio web, o que se transmite o recibe
a travs del internet, no haya sido alterada de
ninguna manera por una parte no autorizada
-
NO REPUDIACIN
Capacidad de asegurar que los participantes en el
comercio electrnico no desconozcan sus acciones
en lnea
-
AUTENTICIDAD
Capacidad de identificar la identidad de una
persona o empresa con la que se est tratando en
internet
-
CONFIDENCIALIDAD
Capacidad de asegurar que los mensajes y los
datos estn disponibles slo para quienes estn
autorizados a verlos
-
PRIVACIDAD
Se refiere a la habilidad de controlar el uso de la
informacin que proporciona un cliente sobre s
mismo a un comerciante de comercio electrnico
Polticas de privacidad de ebay
../Varios Capitulo 5/Poltica de Privacidad ebay.doc
-
DISPONIBILIDAD
Capacidad de asegurar que un sitio de comercio
electrnico siga funcionando como se espera
-
LA TENSIN ENTRE LA SEGURIDAD Y
OTROS VALORES
Seguridad vrs. facilidad de uso: cuantas ms
medidas de seguridad, ms difcil de usar es el
sitio y se vuelve ms lento
Seguridad vrs. el deseo de los individuos a actuar
de forma annima
-
USOS CRIMINALES DE INTERNET
Los terroristas son apasionados usuarios del internet
Constituye una de las mayores amenazas y el reto
ms grande del siglo XXI en la sociedad moderna
Su principal uso
Internet como medio propagandstico: el acceso simple,
annimo y global del internet permite a los grupos
terroristas un escenario cmodo para actuar sin ser
identificados.
-
AMENAZAS DE SEGURIDAD EN EL ENTORNO DEL
COMERCIO ELECTRNICO
Tres puntos claves de la vulnerabilidad:
Cliente
Servidor
Canal de comunicacin
-
UNA TRANSACCIN NORMAL DE COMERCIO
ELECTRNICO
-
PUNTOS VULNERABLES EN UNA
TRANSACCIN DE COMERCIO ELECTRNICO
-
II PARTE
-
AMENAZAS MS COMUNES DE SEGURIDAD
EN EL COMERCIO ELECTRNICO
Los cdigos maliciosos (virus, gusanos, troyanos, bots)
Los programas no deseados (Adware, Spyware, parsito de
navegador)
Phishing o suplantacin de identidad / Spoofing
Hacking y cibervandalismo
El fraude o robo con tarjetas de crdito
Pharming (Falsificacin) / spam (Basura)
Ataques DoS y DDoS
Sniffing (Husmeo)
Ataques internos
software de servidor y cliente mal diseado
-
CDIGO MALICIOSO (Malware)
Virus: Tienen la capacidad de replicarse y
propagarse a otros archivos, la mayora tambin
ofrecen una "carga til" de algn tipo (destructiva o
benigna), incluyen:
macro virus
virus que infectan archivos
virus de secuencia de comandos
Gusano: Diseado para propagarse de una
computadora a otra
-
MELISSA
From: (nombre del usuario infectado)
*Asunto: Importante Mensaje de "Nombre del remitente
To: (50 nombres de la agenda)
Texto del Mensaje: Aqu est ese documento que usted solicit...
no mostrar a nadie;-)
Archivo adjunto: LIST.DOC
-
Caballo de Troya: Parece ser benigno, pero
hace algo inesperado
Bomba Lgica
Bomba de Tiempo
-
LOSE
-
Bots: puede ser descargado en el equipo,
responde a comandos externos enviados por
el atacante
Pastor de Bots
Computadoras Zombie
video/Seguridad Informtica/YouTube - Botnet IRC joins.flv
-
SEALES DE QUE ES ZOMBIE
El ventilador arranca a toda marcha cuando el equipo est inactivo
Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente
Observar una lista de post en su muro de Facebook que no ha enviado
Las aplicaciones andan muy lentas
No se pueden descargar las actualizaciones del sistema operativo y antivirus
-
El acceso a Internet es muy lento
Sus amigos y familiares han recibido mensajes de correo electrnico que usted no envi
Se abren ventanas emergentes y anuncios, incluso cuando no se est usando un navegador web
El Administrador de tareas de Windows muestra programas con nombres o descripciones extraas
-
PROGRAMAS INDESEABLES
Se instalan sin el consentimiento del usuario
Parsito de navegador: puede monitorear y cambiar la configuracin del navegador de un usuario. WebSearch
Adware: se utiliza para llamar anuncios emergentes que aparecen cuando el usuario visita ciertos sitios. ZangoSearch, PurityScan
Spyware: Se utilizan para obtener informacin, tales como pulsaciones de teclado del usuario, correo electrnico, mensajes instantneos, etc. SpySheriff
Keylogger
Screenlogger
http://www.youtube.com/watch?v=vKYi1X7G7ic
http://www.youtube.com/watch?v=vKYi1X7G7icvideo/Seguridad Informtica/YouTube - AGT Informatica (invasores).flv
-
SUPLANTACIN DE IDENTIDAD
(PHISHING)
Cualquier intento engaoso en lnea por parte de un tercero para obtener informacin confidencial a cambio de una ganancia econmica
implica el envo de mensajes de correo electrnico semejantes a los de las empresas autnticas para solicitar a los usuarios datos confidenciales.
Tipo ms popular: la estafa de la Carta de Nigeria
http://www.youtube.com/watch?v=g3jBlkN676k
Una de las formas de ms rpido crecimiento de la delincuencia e-comercio
http://www.youtube.com/watch?v=g3jBlkN676kvideo/Seguridad Informtica/YouTube - Casos Phishing en Segu-Info.flv
-
SPOOFING
-
PIRATERA INFORMTICA Y
CIBERVANDALISMO
Hacker: Persona que tiene la intencin de obtener acceso no autorizado a sistemas informticos
Cracker: Hacker con intencin criminal (dos trminos a menudo utilizados indistintamente)
Cibervandalismo: alterar, mutilar o destruir un sitio Web intencionalmente
Tipos de hackers son:
Sombreros blancos
Sombreros Negro
Sombreros Grises
-
HACKERS
http://www.youtube.com/watch?v=I4z1eGvaFWk
http://www.youtube.com/watch?v=8YLMcZmvx0k
http://www.youtube.com/watch?v=I4z1eGvaFWkhttp://www.youtube.com/watch?v=8YLMcZmvx0kvideo/Seguridad Informtica/YouTube - Robo ciberntico de 130 millones de datos.flv
-
FRAUDE O ROBO DE TARJETAS DE
CRDITO
El temor de que la informacin de sus tarjetas de
crdito se vea comprometida evita que los usuarios
realicen compras en lnea
Una solucin: Nuevos mecanismos de verificacin de
identidad
http://www.youtube.com/watch?v=tugD_Oxncp8
Lector de Tarjetas de Crdito
http://www.youtube.com/watch?v=tugD_Oxncp8http://www.youtube.com/watch?v=tugD_Oxncp8../Varios Capitulo 5/Presentado lector de tarjetas de crdito USB.docvideo/Seguridad Informtica/YouTube - Robo de tarjetas de credito - Seguridad de la Informacion.avi
-
El SmartSwipe
No deja ninguna informacin en el sistema ni en el
dispositivo, garantizando as que las transacciones
sean totalmente seguras
Su coste $35
Es compatible con Visa, MasterCard, American
Express y Discover
-
SITIOS WEB DE FALSIFICACIN
(PHARMING) Y SPAM (BASURA)
Pharming: Falsificacin de un sitio web donde un
vnculo redirige a una direccin distinta de la
original, y el sitio se enmascara como si fuera el
original
Amenaza a la integridad y autenticidad del sitio
-
Spam (basura): sitios Web que promete ofrecer
ciertos productos o servicios, pero son un conjunto
de anuncios para otros sitios, que contienen cdigos
maliciosos
Redirigen el trfico a los dominios de redireccin de
spam
-
ATAQUES DOS Y DDOS
Denegacin de servicio (DoS): Los hackers hacen inundacin del sitio Web con trfico intil para saturar la red
http://www.youtube.com/watch?v=eHYvaEjdm3E
Denegacin de servicio distribuido (DDoS): Los hackers utilizan numerosas computadoras para atacar la red de destino desde numerosos puntos de lanzamiento
http://www.youtube.com/watch?v=3hfOXPI220Q
http://www.youtube.com/watch?v=eHYvaEjdm3Ehttp://www.youtube.com/watch?v=3hfOXPI220Qvideo/Seguridad Informtica/YouTube - Ataque de denegacin de servicio en plan casero.flvvideo/Seguridad Informtica/YouTube - ataque de denegacion de servicio.flv
-
HUSMEO (SNIFFING)
Tipo de programa de espionaje que monitorea la
informacin que viaja sobre una red, permite a los
hackers robar informacin confidencial de cualquier
parte de una red
http://www.youtube.com/watch?v=IwfrsQTON0I
http://www.youtube.com/watch?v=IwfrsQTON0Ivideo/Seguridad Informtica/YouTube - El robo digital mas grande del mundo..flv
-
ATAQUES INTERNOS
Son las amenazas financieras ms grandes
http://www.youtube.com/watch?v=H4gvDk0q_OM
http://www.youtube.com/watch?v=H4gvDk0q_OMvideo/Seguridad Informtica/YouTube - Fraudes Bbva Bancomer Canal 2.flv
-
SOFTWARE DE SERVIDOR Y CLIENTE
MAL DISEADO
El aumento de la complejidad de los programas de
software ha contribuido a aumentar la
vulnerabilidad que los hackers pueden explotar
-
III PARTE
-
SOLUCIONES TECNOLGICAS
Existen dos formas de defensa:
Soluciones de tecnologa
Soluciones de polticas
-
SOLUCIONES DE TECNOLOGA
La proteccin de las comunicaciones de Internet
(cifrado)
La proteccin de los canales de comunicacin (SSL,
VPN)
La proteccin de las redes (firewalls, servidores
proxy)
La proteccin de servidores y clientes (Sistema
operativo, Antivirus)
-
PROTECCIN DE LAS
COMUNICACIONES EN INTERNET
Cifrado: proceso de transformacin de texto o datos en texto que no puede ser ledo por cualquiera que no sea el emisor y el receptor
Objetivo: Proteger la informacin almacenada y la transmisin de informacin
Proporciona :
Integridad de los mensajes
No rechazo
Autenticacin
Confidencialidad
-
TCNICAS DE CIFRADO
Cifrado por sustitucin: cada ocurrencia de una
letra dada se sustituye sistemticamente por otra
letra. Ejemplo: Amor
Cifrado por trasposicin: cambio sistemtico del
orden de las letras en cada palabra. Ejemplo:
Amor
-
TIPOS DE CIFRADO
Cifrado por clave simtrica
Cifrado de clave pblica
Cifrado de clave pblica por medio de firmas
digitales y resmenes de mensaje
Envolturas digitales
Certificados digitales e infraestructuras de clave
pblica (PKI)
-
CIFRADO POR CLAVE SIMTRICA
Tambin conocido como cifrado de clave secreta
Tanto el emisor y el receptor utilizan la misma clave
digital para cifrar y descifrar mensajes
Requiere un conjunto diferente de claves para cada
transaccin
-
CIFRADO DE CLAVE PBLICA
Resuelve el problema de cifrado de la clave simtrica de la necesidad de intercambio de las claves secretas
Utiliza dos claves matemticamente relacionadas - la clave pblica (ampliamente difundida) y la clave privada (mantenida en secreto por el propietario)
Ambas claves utilizadas para cifrar y descifrar el mensaje
Una vez utilizada la clave para cifrar el mensaje, no puede ser utilizada para descifrarlo
-
CIFRADO DE CLAVE PBLICA POR MEDIO DE
FIRMAS DIGITALES Y RESMENES DE MENSAJES
-
ENVOLTURAS DIGITALES
Solucin a la encriptacin de clave pblica y el
cifrado de clave simtrica
Utiliza el cifrado de clave simtrica para cifrar el
documento, pero el cifrado de clave pblica para
cifrar y enviar la clave simtrica
-
CRIPTOGRAFA DE CLAVE SEGURA:
CREACIN DE UNA ENVOLTURA DIGITAL
-
CERTIFICADOS DIGITALES E
INFRAESTRUCTURAS DE CLAVE PBLICA (PKI)
Certificado digital: Es un
documento digital emitido
por una autoridad de
certificacin. Es nico para
cada entidad en el mundo
Nombre de la empresa
Clave pblica
Nmero serial de certificado digital
Fecha de vencimiento
Fecha de emisin
Firma digital de la AC (usando la
clave privada de AC)
-
Tipos de Certificados Digitales:
Personales ($19.95)
Institucionales ($695 $2,695)
Servidor web ($495)
Editor de software (Microsoft, Java, Adobe, W. Mobile,
Android, etc $895 )
Infraestructura de Clave Pblica (PKI): Se refiere
a las Autoridades de Certificacin y los
procedimientos de certificados digitales que son
aceptables por todas las partes
-
Autoridad de Certificacin: Empresas de confianza
que emiten certificados digitales.
-
ASEGURAMIENTO DE CANALES DE
COMUNICACIN
SSL (Niveles de Socket): genera el protocolo
HTTPS
Es una sesin cliente servidor en la que la URL del
documento solicitado junto con el contenido y las
cookies intercambiadas, estn cifradas.
Solo garantiza una autenticacin del lado del servidor
SET (Protocolo de Transaccin Electrnica Segura):
Requiere que todas las partes en una transaccin
utilicen certificados digitales
-
VPN (Redes Privadas Virtuales): Permite a los
usuarios remotos el acceso seguro a las redes
internas a travs del internet utilizando el protocolo
de Tnel Punto a Punto (PPTP)
La informacin que viaja a travs del protocolo est
protegida por la envoltura cifrada del PPTP
-
PROTECCIN DE REDES
Firewall: Se refiere al hardware o software que filtra
los paquetes de comunicacin
y evita que ciertos paquetes
entren a la red, con base en
una poltica de seguridad.
Pueden filtrar el trfico en
base a:
La direccin IP de origen
El tipo de servicio (http,
ftp, etc)
El nombre de dominio
-
Hay dos mtodos para validar el trfico:
Filtros de Paquetes: Examinan si el paquete est
destinado a un puerto prohibido o se originan de una
IP prohibida
Puertas de enlace de Aplicaciones: Filtran la
comunicacin en base a la aplicacin
-
Servidor Proxy: Su principal funcin es limitar el
acceso de los clientes internos a los servidores de
internet externos
-
LA PROTECCIN DE SERVIDORES Y CLIENTES
Antivirus: Actualizaciones diarias
$36.07 $39 $32 $39.99
$23 $32 $39.95
-
Antivirus Gratuitos 2014
-
Antivirus Comerciales 2014
-
Sistemas Operativos: Actualizaciones de seguridad
automticas
-
POLTICAS
Polticas de Seguridad: Estatutos que asignan
prioridad a los riesgos de informacin,
identificando los objetivos de riesgo aceptable y
los mecanismos para alcanzar esos objetivos
Polticas de Autorizacin: Determinan los distintos
niveles de acceso a los bienes de informacin para
los distintos niveles de usuario
-
IV PARTE
-
TIPOS DE SISTEMAS DE PAGO
Efectivo
Transferencia de cheques
Tarjeta de crdito
Valor almacenado
Saldo acumulado
-
EFECTIVO
Moneda de curso legal, definida por una
autoridad nacional para representar un valor
Es la forma ms comn de pago en trminos
de nmero de transacciones
Porttil, no requiere autenticacin
Gratuito" (sin gastos de transaccin)
Es annimo y difcil de rastrear
-
LIMITACIONES DEL EFECTIVO
Puede robarse con facilidad
Limitado a pequeas transacciones
No ofrece ningn perodo flotante
-
TRANSFERENCIA DE CHEQUES
Fondos transferidos directamente a travs de
cheque firmado de la cuenta de cheques de un
consumidor a un comerciante / otro individuo
Es la forma ms comn de pago en trminos de
cantidad que se gasta
Puede ser utilizado para las transacciones grandes
y pequeas
Tienen cierto perodo flotante
-
No annimo, requiere la intervencin de terceros
(bancos)
Presenta riesgos de seguridad para los
comerciantes (falsificaciones, cancelacin, rebotar)
-
TARJETA DE CRDITO
Representa una cuenta que extiende crdito a los
consumidores, y les permite adquirir artculos
difiriendo su pago y realizar pagos a diferentes
proveedores al mismo tiempo
Las asociaciones de tarjetas de crdito:
asociaciones sin fines de lucro (Visa, MasterCard)
que establecen los estndares para los bancos
emisores
Los bancos de emisin: emiten las tarjetas de
crdito y procesan las transacciones
-
Los centros de procesamiento (cmaras de
compensacin): Controlan la verificacin de las
cuentas y los saldos
Ventajas para consumidores:
Realizar compras pequeas y grandes
Reducen el riesgo de robo
Ofrecen un perodo flotante
Ventajas y desventajas para comerciante:
Aumento del gasto del consumidor
Pago de cuota por transaccin del 3 al 5%
-
VALOR ALMACENADO
Cuentas creadas al depositar fondos en una cuenta
y de la que se pagan o retiran fondos, segn se
requiera
Ejemplos:
Las tarjetas de dbito
certificados de regalo
tarjetas prepagadas
tarjetas inteligentes
-
SALDO ACUMULADO
Cuentas que acumulan los gastos y para la cual los
consumidores realizan pagos peridicos
Ejemplos: servicios pblicos, telfono
-
PREGUNTAS
9. Mencione 3 tipos de pagos en el comercio
tradicional
10. Menciones 2 ejemplos de saldo acumulado
11. Mencione las 3 instituciones que intervienen en el
uso de tarjetas de crdito
12. Mencione 2 limitantes del efectivo
-
SISTEMAS DE PAGO DEL
COMERCIO ELECTRNICO
Tarjetas de Crdito en lnea
Carteras digitales
Efectivo digital
Valor almacenado en lnea
Saldo acumulado digital
Cheques digitales
Sistemas de pago inalmbricos
-
TARJETAS DE CRDITO EN LNEA
Las tarjetas de crdito son una de las formas
dominantes de pago en lnea
-
LIMITACIONES DE LAS TARJETAS
DE CRDITO
Seguridad: los consumidores no pueden ser
plenamente autentificados
Se les conoce como transacciones CNP
Costo: para los comerciantes, alrededor de 3,5%
del precio de compra ms 20 a 30 centavos por
transaccin
La equidad social: muchas personas no tienen
acceso a tarjetas de crdito
-
TRANSACCIN DE TARJETA DE
CRDITO EN LNEA
-
AUTHORIZE.NET
-
CARTERAS DIGITALES
Trata de emular la funcionalidad de la cartera
tradicional
Funciones ms importantes:
Autenticar a los consumidores mediante el uso de
certificados digitales o mtodos de encriptacin
Almacenar y transferir un valor
Proceso de pago seguro de los consumidores a los
comerciantes
Los primeros intentos de popularizarlo no se han
logrado
El esfuerzo ms reciente: Google Checkout
-
EFECTIVO DIGITAL
Una de las primeras formas de los sistemas de
pago alternativos
No es realmente "efectivo": consiste en tokens
numricos en lnea basados en depsitos bancarios
o en cuentas de tarjetas de crdito
La mayora de los primeros ejemplos han
desaparecido
Algunas conocidas son: e-gold, GoldMoney
-
E-GOLD
-
SISTEMAS DE VALOR
ALMACENADO EN LNEA
Permite a los consumidores hacer pagos
instantneamente a los comerciantes y otras
personas, sobre la base de un valor
almacenado en una cuenta en lnea
Puede ser un valor almacenado en el banco de
un consumidor, cuenta corriente o tarjeta de
crdito
El Sistema PayPal es el de ms xito
Tambin incluye las tarjetas inteligentes
-
PAYPAL
-
TARJETAS INTELIGENTES
Se basan en una tarjeta de plstico del tamao de
una tarjeta de crdito, con un chip incrustado que
almacena informacin personal.
Hay dos tipos de tarjetas inteligentes:
Contacto
Sin contacto (tecnologa RFID)
Ejemplos de tarjetas inteligentes:
Mondex
Octopus
-
MONDEX Y OCTOPUS (Tarjetas
Inteligentes)
-
RFID
video/b5f89e241f39406445694a5e47666118.mov
-
SALDO ACUMULADO DIGITAL
Permite a los usuarios hacer micropagos y comprar
en la Web, acumulando un saldo por el cual se
recibe una factura al final del mes
Ejemplos:
PaymentsPlus de Valista
-
PAGOS DIGITALES DE CHEQUES
Extiende la funcionalidad de las cuentas de
cheques existentes para su uso como herramienta
de compras de pago en lnea
Ejemplo: PayByCheck
-
PAYBYCHECK
-
SISTEMAS DE PAGO INALMBRICOS
El uso de los telfonos mviles como dispositivos de
pago son muy comunes en Europa, Japn y Corea
del Sur
No est muy bien establecido todava en EE.UU.,
pero con el crecimiento de Wi-Fi y 3G y los
sistemas de telfono celular, esto est empezando a
cambiar
-
FELICA
-
PRESENTACIN Y PAGO DE LAS
FACTURAS ELECTRNICAS (EBPP)
Los sistemas que permiten la entrega y pago en
lnea de las facturas mensuales
Modelos de negocio principales en el mercado de
EBPP incluyen:
Directo del emisor
Consolidador
Estn apoyados por los proveedores de
infraestructuras EBPP