SEGURIDAD EN LNEA Y

SISTEMAS DE PAGO

Captulo 5

EL ENTORNO DE SEGURIDAD DEL

COMERCIO ELECTRNICO

Internet ha creado formas nuevas de robar

Es menos riesgoso

Provee Anonimato

Cul es la razn de tanto riesgo de seguridad en el internet?

Symantec: el crimen ciberntico aument a partir de 2006

IC3: Procesa las quejas de la delincuencia en Internet

Encuesta de CSI: reporta las violaciones de seguridad y prdidas financieras como resultado

Mercado de economa subterrnea: ofrece la venta de informacin robada y est en crecimiento

El cibercrimen es dinmico

Cul es el principal riesgo como consumidor y

comerciante en el comercio electrnico?

EL ENTORNO DE SEGURIDAD EN EL

COMERCIO ELECTRNICO

DIMENSIONES DE LA SEGURIDAD EN

EL COMERCIO ELECTRNICO

Integridad

No repudiacin

Autenticidad

Confidencialidad

Privacidad

Disponibilidad

INTEGRIDAD

Capacidad de asegurar que la informacin que se

muestra en un sitio web, o que se transmite o recibe

a travs del internet, no haya sido alterada de

ninguna manera por una parte no autorizada

NO REPUDIACIN

Capacidad de asegurar que los participantes en el

comercio electrnico no desconozcan sus acciones

en lnea

AUTENTICIDAD

Capacidad de identificar la identidad de una

persona o empresa con la que se est tratando en

internet

CONFIDENCIALIDAD

Capacidad de asegurar que los mensajes y los

datos estn disponibles slo para quienes estn

autorizados a verlos

PRIVACIDAD

Se refiere a la habilidad de controlar el uso de la

informacin que proporciona un cliente sobre s

mismo a un comerciante de comercio electrnico

Polticas de privacidad de ebay

../Varios Capitulo 5/Poltica de Privacidad ebay.doc

DISPONIBILIDAD

Capacidad de asegurar que un sitio de comercio

electrnico siga funcionando como se espera

LA TENSIN ENTRE LA SEGURIDAD Y

OTROS VALORES

Seguridad vrs. facilidad de uso: cuantas ms

medidas de seguridad, ms difcil de usar es el

sitio y se vuelve ms lento

Seguridad vrs. el deseo de los individuos a actuar

de forma annima

USOS CRIMINALES DE INTERNET

Los terroristas son apasionados usuarios del internet

Constituye una de las mayores amenazas y el reto

ms grande del siglo XXI en la sociedad moderna

Su principal uso

Internet como medio propagandstico: el acceso simple,

annimo y global del internet permite a los grupos

terroristas un escenario cmodo para actuar sin ser

identificados.

AMENAZAS DE SEGURIDAD EN EL ENTORNO DEL

COMERCIO ELECTRNICO

Tres puntos claves de la vulnerabilidad:

Cliente

Servidor

Canal de comunicacin

UNA TRANSACCIN NORMAL DE COMERCIO

ELECTRNICO

PUNTOS VULNERABLES EN UNA

TRANSACCIN DE COMERCIO ELECTRNICO

II PARTE

AMENAZAS MS COMUNES DE SEGURIDAD

EN EL COMERCIO ELECTRNICO

Los cdigos maliciosos (virus, gusanos, troyanos, bots)

Los programas no deseados (Adware, Spyware, parsito de

navegador)

Phishing o suplantacin de identidad / Spoofing

Hacking y cibervandalismo

El fraude o robo con tarjetas de crdito

Pharming (Falsificacin) / spam (Basura)

Ataques DoS y DDoS

Sniffing (Husmeo)

Ataques internos

software de servidor y cliente mal diseado

CDIGO MALICIOSO (Malware)

Virus: Tienen la capacidad de replicarse y

propagarse a otros archivos, la mayora tambin

ofrecen una "carga til" de algn tipo (destructiva o

benigna), incluyen:

macro virus

virus que infectan archivos

virus de secuencia de comandos

Gusano: Diseado para propagarse de una

computadora a otra

MELISSA

From: (nombre del usuario infectado)

*Asunto: Importante Mensaje de "Nombre del remitente

To: (50 nombres de la agenda)

Texto del Mensaje: Aqu est ese documento que usted solicit...

no mostrar a nadie;-)

Archivo adjunto: LIST.DOC

Caballo de Troya: Parece ser benigno, pero

hace algo inesperado

Bomba Lgica

Bomba de Tiempo

LOSE

Bots: puede ser descargado en el equipo,

responde a comandos externos enviados por

el atacante

Pastor de Bots

Computadoras Zombie

video/Seguridad Informtica/YouTube - Botnet IRC joins.flv

SEALES DE QUE ES ZOMBIE

El ventilador arranca a toda marcha cuando el equipo est inactivo

Su equipo tarda mucho tiempo para apagarse, o no lo hace correctamente

Observar una lista de post en su muro de Facebook que no ha enviado

Las aplicaciones andan muy lentas

No se pueden descargar las actualizaciones del sistema operativo y antivirus

El acceso a Internet es muy lento

Sus amigos y familiares han recibido mensajes de correo electrnico que usted no envi

Se abren ventanas emergentes y anuncios, incluso cuando no se est usando un navegador web

El Administrador de tareas de Windows muestra programas con nombres o descripciones extraas

PROGRAMAS INDESEABLES

Se instalan sin el consentimiento del usuario

Parsito de navegador: puede monitorear y cambiar la configuracin del navegador de un usuario. WebSearch

Adware: se utiliza para llamar anuncios emergentes que aparecen cuando el usuario visita ciertos sitios. ZangoSearch, PurityScan

Spyware: Se utilizan para obtener informacin, tales como pulsaciones de teclado del usuario, correo electrnico, mensajes instantneos, etc. SpySheriff

Keylogger

Screenlogger

http://www.youtube.com/watch?v=vKYi1X7G7ic

http://www.youtube.com/watch?v=vKYi1X7G7icvideo/Seguridad Informtica/YouTube - AGT Informatica (invasores).flv

SUPLANTACIN DE IDENTIDAD

(PHISHING)

Cualquier intento engaoso en lnea por parte de un tercero para obtener informacin confidencial a cambio de una ganancia econmica

implica el envo de mensajes de correo electrnico semejantes a los de las empresas autnticas para solicitar a los usuarios datos confidenciales.

Tipo ms popular: la estafa de la Carta de Nigeria

http://www.youtube.com/watch?v=g3jBlkN676k

Una de las formas de ms rpido crecimiento de la delincuencia e-comercio

http://www.youtube.com/watch?v=g3jBlkN676kvideo/Seguridad Informtica/YouTube - Casos Phishing en Segu-Info.flv

SPOOFING

PIRATERA INFORMTICA Y

CIBERVANDALISMO

Hacker: Persona que tiene la intencin de obtener acceso no autorizado a sistemas informticos

Cracker: Hacker con intencin criminal (dos trminos a menudo utilizados indistintamente)

Cibervandalismo: alterar, mutilar o destruir un sitio Web intencionalmente

Tipos de hackers son:

Sombreros blancos

Sombreros Negro

Sombreros Grises

HACKERS

http://www.youtube.com/watch?v=I4z1eGvaFWk

http://www.youtube.com/watch?v=8YLMcZmvx0k

http://www.youtube.com/watch?v=I4z1eGvaFWkhttp://www.youtube.com/watch?v=8YLMcZmvx0kvideo/Seguridad Informtica/YouTube - Robo ciberntico de 130 millones de datos.flv

FRAUDE O ROBO DE TARJETAS DE

CRDITO

El temor de que la informacin de sus tarjetas de

crdito se vea comprometida evita que los usuarios

realicen compras en lnea

Una solucin: Nuevos mecanismos de verificacin de

identidad

http://www.youtube.com/watch?v=tugD_Oxncp8

Lector de Tarjetas de Crdito

http://www.youtube.com/watch?v=tugD_Oxncp8http://www.youtube.com/watch?v=tugD_Oxncp8../Varios Capitulo 5/Presentado lector de tarjetas de crdito USB.docvideo/Seguridad Informtica/YouTube - Robo de tarjetas de credito - Seguridad de la Informacion.avi

El SmartSwipe

No deja ninguna informacin en el sistema ni en el

dispositivo, garantizando as que las transacciones

sean totalmente seguras

Su coste $35

Es compatible con Visa, MasterCard, American

Express y Discover

SITIOS WEB DE FALSIFICACIN

(PHARMING) Y SPAM (BASURA)

Pharming: Falsificacin de un sitio web donde un

vnculo redirige a una direccin distinta de la

original, y el sitio se enmascara como si fuera el

original

Amenaza a la integridad y autenticidad del sitio

Spam (basura): sitios Web que promete ofrecer

ciertos productos o servicios, pero son un conjunto

de anuncios para otros sitios, que contienen cdigos

maliciosos

Redirigen el trfico a los dominios de redireccin de

spam

ATAQUES DOS Y DDOS

Denegacin de servicio (DoS): Los hackers hacen inundacin del sitio Web con trfico intil para saturar la red

http://www.youtube.com/watch?v=eHYvaEjdm3E

Denegacin de servicio distribuido (DDoS): Los hackers utilizan numerosas computadoras para atacar la red de destino desde numerosos puntos de lanzamiento

http://www.youtube.com/watch?v=3hfOXPI220Q

http://www.youtube.com/watch?v=eHYvaEjdm3Ehttp://www.youtube.com/watch?v=3hfOXPI220Qvideo/Seguridad Informtica/YouTube - Ataque de denegacin de servicio en plan casero.flvvideo/Seguridad Informtica/YouTube - ataque de denegacion de servicio.flv

HUSMEO (SNIFFING)

Tipo de programa de espionaje que monitorea la

informacin que viaja sobre una red, permite a los

hackers robar informacin confidencial de cualquier

parte de una red

http://www.youtube.com/watch?v=IwfrsQTON0I

http://www.youtube.com/watch?v=IwfrsQTON0Ivideo/Seguridad Informtica/YouTube - El robo digital mas grande del mundo..flv

ATAQUES INTERNOS

Son las amenazas financieras ms grandes

http://www.youtube.com/watch?v=H4gvDk0q_OM

http://www.youtube.com/watch?v=H4gvDk0q_OMvideo/Seguridad Informtica/YouTube - Fraudes Bbva Bancomer Canal 2.flv

SOFTWARE DE SERVIDOR Y CLIENTE

MAL DISEADO

El aumento de la complejidad de los programas de

software ha contribuido a aumentar la

vulnerabilidad que los hackers pueden explotar

III PARTE

SOLUCIONES TECNOLGICAS

Existen dos formas de defensa:

Soluciones de tecnologa

Soluciones de polticas

SOLUCIONES DE TECNOLOGA

La proteccin de las comunicaciones de Internet

(cifrado)

La proteccin de los canales de comunicacin (SSL,

VPN)

La proteccin de las redes (firewalls, servidores

proxy)

La proteccin de servidores y clientes (Sistema

operativo, Antivirus)

PROTECCIN DE LAS

COMUNICACIONES EN INTERNET

Cifrado: proceso de transformacin de texto o datos en texto que no puede ser ledo por cualquiera que no sea el emisor y el receptor

Objetivo: Proteger la informacin almacenada y la transmisin de informacin

Proporciona :

Integridad de los mensajes

No rechazo

Autenticacin

Confidencialidad

TCNICAS DE CIFRADO

Cifrado por sustitucin: cada ocurrencia de una

letra dada se sustituye sistemticamente por otra

letra. Ejemplo: Amor

Cifrado por trasposicin: cambio sistemtico del

orden de las letras en cada palabra. Ejemplo:

Amor

TIPOS DE CIFRADO

Cifrado por clave simtrica

Cifrado de clave pblica

Cifrado de clave pblica por medio de firmas

digitales y resmenes de mensaje

Envolturas digitales

Certificados digitales e infraestructuras de clave

pblica (PKI)

CIFRADO POR CLAVE SIMTRICA

Tambin conocido como cifrado de clave secreta

Tanto el emisor y el receptor utilizan la misma clave

digital para cifrar y descifrar mensajes

Requiere un conjunto diferente de claves para cada

transaccin

CIFRADO DE CLAVE PBLICA

Resuelve el problema de cifrado de la clave simtrica de la necesidad de intercambio de las claves secretas

Utiliza dos claves matemticamente relacionadas - la clave pblica (ampliamente difundida) y la clave privada (mantenida en secreto por el propietario)

Ambas claves utilizadas para cifrar y descifrar el mensaje

Una vez utilizada la clave para cifrar el mensaje, no puede ser utilizada para descifrarlo

CIFRADO DE CLAVE PBLICA POR MEDIO DE

FIRMAS DIGITALES Y RESMENES DE MENSAJES

ENVOLTURAS DIGITALES

Solucin a la encriptacin de clave pblica y el

cifrado de clave simtrica

Utiliza el cifrado de clave simtrica para cifrar el

documento, pero el cifrado de clave pblica para

cifrar y enviar la clave simtrica

CRIPTOGRAFA DE CLAVE SEGURA:

CREACIN DE UNA ENVOLTURA DIGITAL

CERTIFICADOS DIGITALES E

INFRAESTRUCTURAS DE CLAVE PBLICA (PKI)

Certificado digital: Es un

documento digital emitido

por una autoridad de

certificacin. Es nico para

cada entidad en el mundo

Nombre de la empresa

Clave pblica

Nmero serial de certificado digital

Fecha de vencimiento

Fecha de emisin

Firma digital de la AC (usando la

clave privada de AC)

Tipos de Certificados Digitales:

Personales ($19.95)

Institucionales ($695 $2,695)

Servidor web ($495)

Editor de software (Microsoft, Java, Adobe, W. Mobile,

Android, etc $895 )

Infraestructura de Clave Pblica (PKI): Se refiere

a las Autoridades de Certificacin y los

procedimientos de certificados digitales que son

aceptables por todas las partes

Autoridad de Certificacin: Empresas de confianza

que emiten certificados digitales.

ASEGURAMIENTO DE CANALES DE

COMUNICACIN

SSL (Niveles de Socket): genera el protocolo

HTTPS

Es una sesin cliente servidor en la que la URL del

documento solicitado junto con el contenido y las

cookies intercambiadas, estn cifradas.

Solo garantiza una autenticacin del lado del servidor

SET (Protocolo de Transaccin Electrnica Segura):

Requiere que todas las partes en una transaccin

utilicen certificados digitales

VPN (Redes Privadas Virtuales): Permite a los

usuarios remotos el acceso seguro a las redes

internas a travs del internet utilizando el protocolo

de Tnel Punto a Punto (PPTP)

La informacin que viaja a travs del protocolo est

protegida por la envoltura cifrada del PPTP

PROTECCIN DE REDES

Firewall: Se refiere al hardware o software que filtra

los paquetes de comunicacin

y evita que ciertos paquetes

entren a la red, con base en

una poltica de seguridad.

Pueden filtrar el trfico en

base a:

La direccin IP de origen

El tipo de servicio (http,

ftp, etc)

El nombre de dominio

Hay dos mtodos para validar el trfico:

Filtros de Paquetes: Examinan si el paquete est

destinado a un puerto prohibido o se originan de una

IP prohibida

Puertas de enlace de Aplicaciones: Filtran la

comunicacin en base a la aplicacin

Servidor Proxy: Su principal funcin es limitar el

acceso de los clientes internos a los servidores de

internet externos

LA PROTECCIN DE SERVIDORES Y CLIENTES

Antivirus: Actualizaciones diarias

$36.07 $39 $32 $39.99

$23 $32 $39.95

Antivirus Gratuitos 2014

Antivirus Comerciales 2014

Sistemas Operativos: Actualizaciones de seguridad

automticas

POLTICAS

Polticas de Seguridad: Estatutos que asignan

prioridad a los riesgos de informacin,

identificando los objetivos de riesgo aceptable y

los mecanismos para alcanzar esos objetivos

Polticas de Autorizacin: Determinan los distintos

niveles de acceso a los bienes de informacin para

los distintos niveles de usuario

IV PARTE

TIPOS DE SISTEMAS DE PAGO

Efectivo

Transferencia de cheques

Tarjeta de crdito

Valor almacenado

Saldo acumulado

EFECTIVO

Moneda de curso legal, definida por una

autoridad nacional para representar un valor

Es la forma ms comn de pago en trminos

de nmero de transacciones

Porttil, no requiere autenticacin

Gratuito" (sin gastos de transaccin)

Es annimo y difcil de rastrear

LIMITACIONES DEL EFECTIVO

Puede robarse con facilidad

Limitado a pequeas transacciones

No ofrece ningn perodo flotante

TRANSFERENCIA DE CHEQUES

Fondos transferidos directamente a travs de

cheque firmado de la cuenta de cheques de un

consumidor a un comerciante / otro individuo

Es la forma ms comn de pago en trminos de

cantidad que se gasta

Puede ser utilizado para las transacciones grandes

y pequeas

Tienen cierto perodo flotante

No annimo, requiere la intervencin de terceros

(bancos)

Presenta riesgos de seguridad para los

comerciantes (falsificaciones, cancelacin, rebotar)

TARJETA DE CRDITO

Representa una cuenta que extiende crdito a los

consumidores, y les permite adquirir artculos

difiriendo su pago y realizar pagos a diferentes

proveedores al mismo tiempo

Las asociaciones de tarjetas de crdito:

asociaciones sin fines de lucro (Visa, MasterCard)

que establecen los estndares para los bancos

emisores

Los bancos de emisin: emiten las tarjetas de

crdito y procesan las transacciones

Los centros de procesamiento (cmaras de

compensacin): Controlan la verificacin de las

cuentas y los saldos

Ventajas para consumidores:

Realizar compras pequeas y grandes

Reducen el riesgo de robo

Ofrecen un perodo flotante

Ventajas y desventajas para comerciante:

Aumento del gasto del consumidor

Pago de cuota por transaccin del 3 al 5%

VALOR ALMACENADO

Cuentas creadas al depositar fondos en una cuenta

y de la que se pagan o retiran fondos, segn se

requiera

Ejemplos:

Las tarjetas de dbito

certificados de regalo

tarjetas prepagadas

tarjetas inteligentes

SALDO ACUMULADO

Cuentas que acumulan los gastos y para la cual los

consumidores realizan pagos peridicos

Ejemplos: servicios pblicos, telfono

PREGUNTAS

9. Mencione 3 tipos de pagos en el comercio

tradicional

10. Menciones 2 ejemplos de saldo acumulado

11. Mencione las 3 instituciones que intervienen en el

uso de tarjetas de crdito

12. Mencione 2 limitantes del efectivo

SISTEMAS DE PAGO DEL

COMERCIO ELECTRNICO

Tarjetas de Crdito en lnea

Carteras digitales

Efectivo digital

Valor almacenado en lnea

Saldo acumulado digital

Cheques digitales

Sistemas de pago inalmbricos

TARJETAS DE CRDITO EN LNEA

Las tarjetas de crdito son una de las formas

dominantes de pago en lnea

LIMITACIONES DE LAS TARJETAS

DE CRDITO

Seguridad: los consumidores no pueden ser

plenamente autentificados

Se les conoce como transacciones CNP

Costo: para los comerciantes, alrededor de 3,5%

del precio de compra ms 20 a 30 centavos por

transaccin

La equidad social: muchas personas no tienen

acceso a tarjetas de crdito

TRANSACCIN DE TARJETA DE

CRDITO EN LNEA

AUTHORIZE.NET

CARTERAS DIGITALES

Trata de emular la funcionalidad de la cartera

tradicional

Funciones ms importantes:

Autenticar a los consumidores mediante el uso de

certificados digitales o mtodos de encriptacin

Almacenar y transferir un valor

Proceso de pago seguro de los consumidores a los

comerciantes

Los primeros intentos de popularizarlo no se han

logrado

El esfuerzo ms reciente: Google Checkout

EFECTIVO DIGITAL

Una de las primeras formas de los sistemas de

pago alternativos

No es realmente "efectivo": consiste en tokens

numricos en lnea basados en depsitos bancarios

o en cuentas de tarjetas de crdito

La mayora de los primeros ejemplos han

desaparecido

Algunas conocidas son: e-gold, GoldMoney

E-GOLD

SISTEMAS DE VALOR

ALMACENADO EN LNEA

Permite a los consumidores hacer pagos

instantneamente a los comerciantes y otras

personas, sobre la base de un valor

almacenado en una cuenta en lnea

Puede ser un valor almacenado en el banco de

un consumidor, cuenta corriente o tarjeta de

crdito

El Sistema PayPal es el de ms xito

Tambin incluye las tarjetas inteligentes

PAYPAL

TARJETAS INTELIGENTES

Se basan en una tarjeta de plstico del tamao de

una tarjeta de crdito, con un chip incrustado que

almacena informacin personal.

Hay dos tipos de tarjetas inteligentes:

Contacto

Sin contacto (tecnologa RFID)

Ejemplos de tarjetas inteligentes:

Mondex

Octopus

MONDEX Y OCTOPUS (Tarjetas

Inteligentes)

RFID

video/b5f89e241f39406445694a5e47666118.mov

SALDO ACUMULADO DIGITAL

Permite a los usuarios hacer micropagos y comprar

en la Web, acumulando un saldo por el cual se

recibe una factura al final del mes

Ejemplos:

PaymentsPlus de Valista

PAGOS DIGITALES DE CHEQUES

Extiende la funcionalidad de las cuentas de

cheques existentes para su uso como herramienta

de compras de pago en lnea

Ejemplo: PayByCheck

PAYBYCHECK

SISTEMAS DE PAGO INALMBRICOS

El uso de los telfonos mviles como dispositivos de

pago son muy comunes en Europa, Japn y Corea

del Sur

No est muy bien establecido todava en EE.UU.,

pero con el crecimiento de Wi-Fi y 3G y los

sistemas de telfono celular, esto est empezando a

cambiar

FELICA

PRESENTACIN Y PAGO DE LAS

FACTURAS ELECTRNICAS (EBPP)

Los sistemas que permiten la entrega y pago en

lnea de las facturas mensuales

Modelos de negocio principales en el mercado de

EBPP incluyen:

Directo del emisor

Consolidador

Estn apoyados por los proveedores de

infraestructuras EBPP