Leyes

Código Penal Federal

Debemos destacar que en el Derecho Positivo Mexicano,

el Código Penal Federal, es la Ley federal en la

Legislación Mexicana que tipifica con mayor

abundamiento a los delitos informáticos y electrónicos,

por lo tanto, considero ˙tal y necesario establecer el texto

tal y como en dicha ley se encuentra, a fin de comprobar

lo establecido en el Capítulo primero de esta

investigación.

Libro Segundo

Título Noveno. Revelaciones secretos y acceso ilícito a

sistemas y equipos de informática

Capítulo II: acceso ilícito a sistemas y equipos de

informática

Artículo 211 bis 1: Al que sin autorización modifique,

destruya o provoque pérdida de información contenida

en sistemas o equipos de informática protegidos por

algún mecanismo de seguridad, se le impondrá· de seis

meses a dos años de prisión y de 100 a 300 días multa.

Al que sin autorización conozca o copia información

contenida en sistemas fue equipos de informática

protegidos por algún mecanismo la, se le impondrá· de

tres meses a un año de prisión y de 50 a 150 días multa.

Artículo 211 bis 2: Al que sin autorización modifique,

destruya o provoque pérdida de información contenida

en sistemas o equipos de informática del Estado,

protegidos por algún mecanismo de seguridad, se le

impondrán de cuatro años de prisión y de doscientos a

seiscientos días de multa.

Al que sin autorización conozca o copie información

contenida en sistemas o equipos de informática del

Estado, protegidos por algún mecanismo de seguridad,

se le impondrán de seis meses a dos años de prisión y de

cien a trescientos días multa.

Artículo 211bis 3: Al que estando autorizado para acceder

a sistemas y equipos de informática del Estado,

indebidamente modifique, destruya o provoque pérdida

de información que contengan, se le impondrán de dos a

ocho años de prisión y de trescientos a novecientos días

multa.

Al que estando autorizado para acceder a sistemas y

equipos de informática del Estado, indebidamente copie

información que contengan, se le impondrán de uno a

cuatro años de prisión y de ciento cincuenta a

cuatrocientos cincuenta días multa.

Debido a la incompleta tipificación de los delitos

informáticos y electrónicos en el Código Penal Federal, el

17 de Mayo de 1999, el legislador considera algunos

Artículos a fin de esclarecer un poco las sanciones

aplicables para determinado tipo de conductas

relacionadas con los tipos penales anteriormente

descritos, quedando así de la siguiente manera:

Reformas al Código Penal Federal publicadas en el Diario

Oficial de la Federación el 17 de mayo del año 1999,

Artículo 167.- Se impondrán de uno a cinco años de

prisión y de cien a diez mil días multa:

II. Al que destruya o separe uno o más postes, aisladores,

alambres, máquinas o aparatos, empleados en el servicio

de telégrafos; cualquiera de los componentes de la red

pública de telecomunicaciones, empleada en el servicio

telefónico, de conmutación o de radio comunicación, o

cualquier componente de una instalación de producción

de energía magnética o electromagnética o sus medios

de transmisión.

VI. Al que dolosamente o con fines de lucro, interrumpa o

interfiera las comunicaciones, alámbricas, inalámbricas o

de fibra Óptica, sean telegráficas, telefónicas o

satelitales, por medio de las cuales se transfieran señales

de audio, de video o de datos.

Artículo 168-bis.- Se impondrán de seis meses a dos

años de prisión y de trescientos a tres mil días multa, a

quien sin derecho:

Internet: su ley aplicable y competencia

Se considera conveniente la aplicación de la ley del lugar

en el cual se producen los efectos ya sea esta de tipo

penal o civil.

Es claro que para toda norma penal, su fin es un

desarrollo teórico de normas penales que dependen de la

aplicación de la política criminal de cada entidad

federativa, lo ideal sería lograr el acuerdo internacional

que permitiera la persecución penal de los delitos

cometidos en la Red, posiblemente con la intervención de

la Organización Mundial de la Propiedad Intelectual pero

hasta que esta situación ocurra, sería recomendable

adoptar normas similares a las descritas anteriormente

para combatir las posibles violaciones de derechos

intelectuales de Internet que se encuentran de moda y

que no hacen otra cosa que disminuir la creatividad por

falta de incentivos reales y sensación de falta de

protección a los autores y creadores. Así mismo no dejo

de señalar que tanto en la Ley de Instituciones de Crédito

como en la Ley Federal de Derechos de Autor se han

tenido que realizar reformas y adiciones, a fin de tipificar

un poco sobre los delitos informáticos y electrónicos en

México.

-

-

-

- Ejemplos

- Por ejemplo, en la ley Federal del Derecho de Autor

publicada por decreto de 18 de diciembre de 1996, la

cual entre en vigor el 18 de marzo de 1997î6, en su

Capítulo IV se regula todo lo relativo a la protección

de los programas de computación, a las bases de

datos y a los derechos autorales relacionados con

ambos, en ella se define: lo que es un programa de

computación, su protección, sus derechos

patrimoniales, de arrendamiento, casos en los que el

usuario podrá· realizar copias del programa que

autorice el autor del mismo, las facultades de

autorizar o prohibir la reproducción, la autorización

del acceso a la información de carácter privado

relativa a las personas contenida en las de datos, la

publicación, reproducción, divulgación,

comunicación publica y transmisión de dicha

información, establece las infracciones y sanciones

que en materia de derecho de autor deben ser

aplicadas cuando ocurren ilícitos relacionados con

los citados programas, las bases de datos etcétera”.

- El mejor ejemplo es el ataque de denegación de

Servicios (Denial of Servicies o Distributed Denial of

Services), cuyo objetivo no es modificar, destruir o

provocar pérdida de información como

reiteradamente lo establece el Código Penal Federal,

sino simplemente imposibilitar o inhabilitar un

servidor temporalmente para que sus páginas o

contenidos no puedan ser vistos los cibernautas

mientras el servidor esta caído.

- Otro ejemplo podrían ser los virus, donde el

diseñador no tiene acceso directo a ninguna

computadora, ya que desencadena el daño enviando

el virus por correo electrónico o de maneras

similares.

SEGURIDAD PRIVADA

Según se indica en el preámbulo de la ley, la seguridad

de la información y las comunicaciones aparece por

primera vez configurada “no como actividad específica

de seguridad privada, sino como actividad compatible

que podrá ser desarrollada tanto por empresas de

seguridad como por las que no lo sean, y que, por su

incidencia directa en la seguridad de las entidades

públicas y privadas, llevará implícito el sometimiento a

ciertas obligaciones por parte de proveedores y

usuarios”.

En el artículo 6.6, dedicado a las “Actividades

compatibles”, se incluye una de las principales

novedades: “a las empresas, sean o no de seguridad

privada, que se dediquen a las actividades de seguridad

informática, entendida como el conjunto de medidas

encaminadas a proteger los sistemas de información a fin

de garantizar la confidencialidad, disponibilidad e

integridad de la misma o del servicio que aquellos

prestan, por su incidencia directa en la seguridad de las

entidades públicas y privadas, se les podrán imponer

reglamentariamente requisitos específicos para

garantizar la calidad de los servicios que presten”.

La seguridad pública es un servicio que debe brindar el

Estado para garantizar la integridad física de los

ciudadanos y sus bienes.

De esta forma, las fuerzas de seguridad del Estado se

encargan de prevenir la comisión de delitos y de

perseguir a los delincuentes, con la misión de

entregarlos al Poder Judicial. Este organismo tiene la

misión de aplicar los castigos que estipula la ley, que

pueden ir desde una multa económica hasta la pena de

muerte, según el país y la gravedad del delito.

ENCRIPTAMIENTO

Encriptar es una manera de codificar la información para

protegerla frente a terceros.

Por lo tanto la encriptación informática sería la

codificación la información de archivos o de un correo

electrónico para que no pueda ser descifrado en caso de

ser interceptado por alguien mientras esta información

viaja por la red.

Es por medio de la encriptación informática como se

codifican los datos. Solamente a través de un software de

descodificación que conoce el autor de estos

documentos encriptados es como se puede volver a

decodificar la información.

Por lo que la encriptación informática es simplemente la

codificación de la información que vamos a enviar a

través de la red (Internet). Para poder descodificarla

como dijimos es necesario un software o una clave que

sólo conocen el emisor y el receptor de esta información.

Ejemplos de tipos de encriptamiento:

Algunos de los usos más comunes de la encriptación son

el almacenamiento y transmisión deinformación sensible como contraseñas, números de

identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones

privadas, entre otros. Como sabemos, en un Sistema de Comunicación de

Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad,

integridad, confidencialidad y el no repudio de la misma entre otros aspectos.

Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación

de Datos.

Métodos de Encriptación

Para poder Encriptar un dato, se pueden utilizar tres

procesos matemáticos diferentes:

Los algoritmos HASH, los simétricos y los asimétricos.

1. Algoritmo HASH:

Este algoritmo efectúa un cálculo matemático sobre los

datos que constituyen el documento y da como resultado

un número único llamado MAC. Un mismo documento

dará siempre un mismo MAC.

2. Criptografía de Clave Secreta o Simétrica

Utilizan una clave con la cual se encripta y desencripta el

documento. Todo documento encriptado con una clave,

deberá desencriptarse, en el proceso inverso, con la

misma clave. Es importante destacar que la clave debería

viajar con los datos, lo que hace arriesgada la operación,

imposible de utilizar en ambientes donde interactúan

varios interlocutores.

Los criptosistemas de clave secreta se caracterizan

porque la clave de cifrado y la de descifrado es la misma,

por tanto la robustez del algoritmo recae en mantener el

secreto de la misma.

Sus principales características son:

Rápidos y fáciles de implementar

Clave de cifrado y descifrado son la misma

Cada par de usuarios tiene que tener una clave secreta

compartida

Una comunicación en la que intervengan múltiples

usuarios requiere muchas claves secretas distintas

Actualmente existen dos métodos de cifrado para

criptografía de clave secreta, el cifrado de flujo y el

cifrado en bloques.

Cifrado de flujo

El emisor A, con una clave secreta y un algoritmo

determinístico (RKG), genera una secuencia binaria (s)

cuyos elementos se suman módulo 2 con los

correspondientes bits de texto claro m, dando lugar a los

bits de texto cifrado c, Esta secuencia (c) es la que se

envía a través del canal. En recepción, B, con la misma

clave y el mismo algoritmo determinístico, genera la

misma secuencia cifrante (s), que se suma módulo 2 con

la secuencia cifrada (c), dando lugar a los bits de texto

claro m.

Los tamaños de las claves oscilan entre 120 y 250 bits

Cifrado en bloque

Los cifrados en bloque se componen de cuatro

elementos:

- Transformación inicial por permutación.

- Una función criptográfica débil (no compleja) iterada r

veces o "vueltas".

- Transformación final para que las operaciones de

encriptación y des encriptación sean simétricas.

- Uso de un algoritmo de expansión de claves que tiene

como objeto convertir la clave de usuario, normalmente

de longitud limitada entre 32 y 256 bits, en un conjunto de

subclaves que puedan estar constituidas por varios

cientos de bits en total.

3. Algoritmos Asimétricos (RSA):

Requieren dos Claves, una Privada (única y personal,

solo conocida por su dueño) y la otra llamada Pública,

ambas relacionadas por una fórmula matemática

compleja imposible de reproducir. El concepto de

criptografía de clave pública fue introducido por Whitfield

Diffie y Martin Hellman a fin de solucionar la distribución

de claves secretas de los sistemas tradicionales,

mediante un canal inseguro. El usuario, ingresando su

PIN genera la clave Pública y Privada necesarias. La

clave Pública podrá ser distribuida sin ningún

inconveniente entre todos los interlocutores. La Privada

deberá ser celosamente guardada. Cuando se requiera

verificar la autenticidad de un documento enviado por

una persona se utiliza la Clave Publica porque el utilizó

su Clave Privada.

Hacker

Para otros usos de este término, véase Hacker

(desambiguación).

En informática, un hacker,1 es una persona que pertenece a

una de estas comunidades o subculturas distintas pero no completamente independiente.

Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como

Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y

a los de moral ambigua como son los "Grey hats".

Una comunidad de entusiastas programadores y

diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de

Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT.2 Esta

comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide

Web e Internet en sí misma son creaciones de hackers.3 El RFC 13924 amplia este significado

como "persona que se disfruta de un conocimiento

profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"

La comunidad de aficionados a la informática doméstica,

centrada en el hardware posterior a los setenta y en el software (juegos de computadora, crackeo de software,

la demoscene) de entre los ochenta/noventa.

Características de los Hackers

· Persona que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus

posibilidades; al contrario que la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible.

· El que programa de forma entusiasta (incluso obsesiva).

· Persona capaz de apreciar el valor del hackeo.

· Persona que es buena programando de forma rápida.

· Experto en un programa en particular, o que realiza

trabajo frecuentemente usando cierto programa; como en «es un hacker de Unix.»

· La creencia en que compartir información es un bien

poderoso y positivo, y que es tarea ética de los hackers compartir sus experiencias escribiendo código abierto

(«open source») y facilitando el acceso a la información y los recursos de computación siempre que sea posible

· La creencia de que romper sistemas por diversión y exploración está éticamente bien siempre que el hacker

no cometa un robo, un acto de vandalismo o vulnere la confidencialidad.

CONSECUENCIAS DE LOS HACKERS

- El hacking suele ser la puerta de entrada para el robo de datos, información o secretos comerciales

de las empresas, de sus clientes, proveedores o

personal. - Pero, es muy importante que las empresas se

concienticen que existen y que les permiten prevenir los diferentes daños; caso que estos se hayan

producido adoptar correctivos para reducirlos.

- lo cual implica saber claramente lo que se hace, excluyéndose los casos de acceso accidental. No se

exige, en cambio, daño concreto alguno (vgr., borrado de datos, daño a los archivos o al sistema o

copia de obras intelectuales).

CONSECUENCIAS DE LOS VIRUS

Las consecuencias que se pueden presentar en los equipos dependerán del tipo de Virus cada uno de ellos

tiene las siguientes características:

Auto-Reproducirse para poder obtener copia de ellos

mismos sin que el usuario brinde su autorización

Poder para alojarse en algunos programas no

necesariamente dentro del que lo portaba.

Dañar disquetes o discos pues tienden a

sobrecalentarlos para que estos disminuyan su tiempo de vida.

Memoria RAM Baja

Lentitud en el equipo.

Impiden que se ejecuten ciertos archivos.

Perdida de archivos o bases de datos.

Pueden aparecer archivos extraños que no se

encontraban antes del contagio.

Es necesario Reiniciar los equipos a menudo.

Los virus se identifican por ser Software diminutos pues

también pueden camuflarse de esta forma es muy difícil

de detectar y más fácil para ellos expenderse en la

computadora, estos pueden permanecer cierto tiempo

inactivo esperando un evento para la replicación de el

mismo.

DERECHOS Y OBLIGACIONES DE LOS PRESTATARIOS

DE SERVICIOS EN INTERNET

Con la publicación de la LSSI, Ley 34/2002, de 11 de

julio, de servicios de la sociedad de la información y

de comercio electrónico aparecen nuevos derechos y

obligaciones para los prestatarios de los mismos. Estos

son los más importantes:

Los prestadores de servicios deben indicar en su página

web:

Su nombre o denominación social y datos de

contacto: Domicilio, dirección de correo electrónico y

cualquier otro dato que permita una comunicación

directa y efectiva, como por ejemplo un teléfono o un

número de fax.

Si la empresa está registrada en el Registro Mercantil

o cualquier otro registro público, deberá señalar

también el número de inscripción que le corresponda.

Su NIF.

Información sobre el precio de los productos,

indicando si incluye o no los impuestos aplicables,

gastos de envío y cualquier otro dato que deba

incluirse en cumplimiento de normas autonómicas

aplicables.

En el caso en que la actividad que se ejerza precise de

una autorización administrativa previa, los datos

relativos a la misma y los identificativos del órgano

encargado de su supervisión.

Si se ejerce una profesión regulada, los datos del

Colegio profesional y el número de colegiado, el título

académico y el Estado de la Unión Europea en que se

expidió y la correspondiente homologación, en su

caso.

Los códigos de conducta a los que esté adherido, en

su caso, y la forma de consultarlos electrónicamente.

Cuando los prestadores de servicios empleen

dispositivos de almacenamiento y recuperación de

datos en equipos terminales, informarán a los

destinatarios de manera clara y completa sobre su

utilización y finalidad, ofreciéndoles la posibilidad de

rechazar el tratamiento de los datos mediante un

procedimiento sencillo y gratuito.

Lo anterior no impedirá el posible almacenamiento o

acceso a datos con el fin de efectuar o facilitar

técnicamente la transmisión de una comunicación por

una red de comunicaciones electrónicas o, en la

medida que resulte estrictamente necesario, para la

prestación de un servicio de la sociedad de la

información expresamente solicitado por el

destinatario.

Los prestadores de servicios de intermediación no

tienen obligación de supervisar los contenidos que

alojan, transmiten o clasifican en un directorio de

enlaces, pero deben colaborar con las autoridades

públicas cuando se les requiera para interrumpir la

prestación de un servicio de la sociedad de la

información o para retirar un contenido de la Red.

Los prestadores de servicios de intermediación, no

son, en principio, responsables por los contenidos

ajenos que transmiten, alojan o a los que facilitan

acceso.

Pueden incurrir en responsabilidad si toman una

participación activa en su elaboración o si,

conociendo la ilegalidad de un determinado material,

no actúan con rapidez para retirarlo o impedir el

acceso al mismo.

A partir del 29 de marzo de 2008, los proveedores de

acceso a Internet están obligados a informar a sus

usuarios sobre los medios técnicos que permitan la

protección frente a las amenazas de seguridad en

Internet (virus informáticos, programas espías, spam)

y sobre las herramientas para el filtrado de contenidos

no deseados.

Asimismo, se obliga a dichos prestadores, así como a

los prestadores de servicios de correo electrónico, a

informar a sus clientes sobre las medidas de

seguridad que apliquen en la provisión de sus

servicios.

Los proveedores de acceso a Internet deberán

también informar a sus clientes sobre las posibles

responsabilidades en que puedan incurrir por el uso

de Internet con fines ilícitos.

Las anteriores obligaciones de información se darán

por cumplidas si el prestador incluye dicha

información en su página o sitio principal de Internet.

Transacción electrónica segura

Transacción electrónica segura o SET (del inglés, Secure

Electrónica Transacción) es un protocolo estándar para

proporcionar seguridad a una transacción con tarjeta de

crédito en redes de computadoras inseguras, en especial

Internet.

SET surge de una solicitud de estándar de seguridad por

VISA y MasterCard en febrero de 1996 y la especificación

inicial involucró a un amplio rango de compañías, tales

como GTE, IBM, Microsoft, Netscape, RSA y VeriSign.

SET utiliza técnicas criptográficas tales como

certificados digitales y criptografía de clave pública para

permitir a las entidades llevar a cabo una autenticación

entre sí y además intercambiar información de manera

segura.

SET fue muy publicitado a finales de la década de 1990

como el estándar de facto para el uso de tarjetas de

crédito. Sin embargo, no logró el éxito anunciado, debido

a la necesidad de instalar software cliente (por ejemplo,

una eWallet), y el costo y la complejidad de los

vendedores para ofrecer soporte.

A partir del año 2000, las compañías de tarjetas de

crédito comenzaron a promocionar un nuevo estándar

para reemplazar SET, denominado 3-D Secure.

Por otro lado las implementaciones actuales de e-

commerce que solo utilizan el protocolo SSL presentan

un bajo costo y simplicidad en su implementación sin

ofrecer la misma calidad de servicios criptográficos que

las nuevas alternativas.

Tipos de transacción

"Business to business" (entre empresas): las

empresas pueden intervenir como compradoras o

vendedoras, o como proveedoras de herramientas o

servicios de soporte para el comercio electrónico,

instituciones financieras, proveedores de servicios

de Internet, etc.

"Business to consumers" (Entre empresa y

consumidor): as empresas venden sus productos y

prestan sus servicios a través de un sitio Web a

clientes que los utilizarán para uso particular.

"Consumers to consumers" (Entre consumidor y

consumidor): es factible que los consumidores

realicen operaciones entre sí, tal es el caso de los

remates en línea.

"Consumers to administrations" (Entre consumidor

y administración): los ciudadanos pueden

interactuar con las Administraciones Tributarias a

efectos de realizar la presentación de las

declaraciones juradas y/o el pago de los tributos,

obtener asistencia informativa y otros servicios.

"Business to administrations" (Entre empresa y

administración): las administraciones públicas

actúan como agentes reguladores y promotores del

comercio electrónico y como usuarias del mismo.

VENTAJAS DEL COMERCIO ELECTRÓNICO

Para las Empresas

Reducción de costo real al hacer estudio de mercado.

Desaparecen los límites geográficos y de tiempo. Disponibilidad las 24 horas del día, 7 días a la semana,

todo el año. Reducción de un 50% en costos de la puesta en marcha

del comercio electrónico, en comparación con el comercio tradicional.

Hacer más sencilla la labor de los negocios con sus clientes.

Reducción considerable de inventarios. Agilizar las operaciones del negocio.

Proporcionar nuevos medios para encontrar y servir a clientes.

Incorporar internacionalmente estrategias nuevas de

relaciones entre clientes y proveedores. Reducir el tamaño del personal de la fuerza.

Menos inversión en los presupuestos publicitarios. Reducción de precios por el bajo coste del uso de

Internet en comparación con otros medios de promoción, lo cual implica mayor competitividad.

Cercanía a los clientes y mayor interactividad y personalización de la oferta.

Desarrollo de ventas electrónicas. Globalización y acceso a mercados potenciales de

millones de clientes. Implantar tácticas en la venta de productos para crear

fidelidad en los clientes.

Para los clientes

Abarata costos y precios

Da poder al consumidor de elegir en un mercado global

acorde a sus necesidades

Un medio que da poder al consumidor de elegir en un mercado global acorde a sus necesidades.

Brinda información pre-venta y posible prueba del producto antes de la compra.

Inmediatez al realizar los pedidos. Servicio pre y post-venta on-line.

Reducción de la cadena de distribución, lo que le permite adquirir un producto a un mejor precio.

Mayor interactividad y personalización de la demanda. Información inmediata sobre cualquier producto, y

disponibilidad de acceder a la información en el momento que así lo requiera.

Permite el acceso a más información.

DESVENTAJAS DEL COMERCIO ELECTRÓNICO

Desconocimiento de la empresa. No conocer la empresa que vende es un riesgo del comercio

electrónico, ya que ésta puede estar en otro país o en el mismo, pero en muchos casos las "empresas" o

"personas-empresa" que ofrecen sus productos o servicios por Internet ni siquiera están constituidas

legalmente en su país y no se trata más que de gente que esta "probando suerte en Internet".

Forma de Pago. Aunque ha avanzado mucho el comercio electrónico, todavía no hay una transmisión

de datos segura el 100%. Y esto es un problema pues nadie quiere dar sus datos de la Tarjeta de Crédito por

Internet. De todos modos se ha de decir que ha

mejorado mucho. Intangibilidad. Mirar, tocar, hurgar. Aunque esto no sea

sinónimo de compra, siempre ayuda a realizar una compra.

El idioma. A veces las páginas web que visitamos están

en otro idioma distinto al nuestro; a veces, los avances

tecnológicos permiten traducir una página a nuestra lengua materna. Con lo cual podríamos decir

que éste es un factor "casi resuelto". (Hay que añadir que las traducciones que se obtienen no son

excelentes ni mucho menos, pero por lo menos nos ayudan a entender de que nos están hablando o que

nos pretenden vender). Conocer quien vende. Ya sea una persona o conocer de

qué empresa se trata. En definitiva saber quién es, como es, etc. Simplemente es una forma inconsciente

de tener más confianza hacia esa empresa o persona y los productos que vende.

Poder volver (post y pre-venta). Con todo ello podemos reclamar en caso de ser necesario o pedir

un servicio "post-venta". Al conocerlo sabemos dónde poder ir. El cliente espera recibir una atención "pre-

venta" o "post-venta".

Privacidad y seguridad. La mayoría de los usuarios no confía en el Web como canal de pago. En la actualidad,

las compras se realizan utilizando el número de la tarjeta de crédito, pero aún no es seguro introducirlo en

Internet sin conocimiento alguno. Cualquiera que transfiera datos de una tarjeta de crédito mediante

Internet, no puede estar seguro de la identidad del vendedor. Análogamente, éste no lo está sobre la del

comprador. Quien paga no puede asegurarse de que su número de tarjeta de crédito no sea recogido y sea

utilizado para algún propósito malicioso; por otra parte, el vendedor no puede asegurar que el dueño de la

tarjeta de crédito rechace la adquisición. Resulta irónico que ya existan y funcionen correctamente

los sistemas de pago electrónico para las grandes

operaciones comerciales, mientras que

los problemas se centren en las operaciones pequeñas,

que son mucho más frecuentes.

RIESGOS ELECTRONICOS

La mayor cantidad de fraudes por manipulación que

sufren en este momento las empresas se originan en la

debilidad de los procesos de aseguramiento de la

integridad de la información contenida en los formatos

para el trámite de pagos, matrícula de proveedores,

modificaciones en los archivos maestros, etc. Rara vez

las organizaciones consideran que las áreas de Control

Interno o de Auditoría deban involucrarse en este tipo de

actividades; lo cual resulta siendo un costoso error.

Siempre hemos sugerido que en la etapa de diseño de los

procedimientos y documentos para la automatización de

procesos relacionados con la administración de recursos

financieros, se cuente con el apoyo de las dependencias

de Control Interno o de personas con conocimientos

acerca de los riesgos que se corren al depositar excesiva

confianza en los procesos de transferencia electrónica de

fondos, como los ofrecidos por las entidades bancarias.

El procedimiento para efectuar pagos por transferencia

electrónica, usualmente comienza con la matrícula de las

cuentas del beneficiario de dichos pagos en el sistema de

la empresa deudora. Para ello, basta con digitar los datos

del beneficiario, como son nombre, NIT, número de

cuenta y nombre de la entidad bancaria correspondiente.

Una vez hecho lo anterior, la persona autorizada prepara

una relación con los pagos a realizar, para que otra

persona diferente sea quien los apruebe y ordene la

distribución de los fondos entre las cuentas de cada

beneficiario de pagos.

Ejemplos de seguridad y confianza

La autenticación es el proceso mediante el cual se

confirma que quien se conecta y solicita acceso a un

servicio es realmente quien dice ser, es decir, el legítimo

usuario. Los siguientes elementos son los principales

encargados de autenticar el proceso desde su inicio (tras

la conexión con el servidor destino).

La elección de unos u otros dependerá siempre de la

infraestructura proporcionada por el comercio o banco

online y las posibilidades de la conexión o dispositivo

mediante el que se realice el proceso.

Claves de acceso

Hasta ahora, el elemento más utilizado para comprobar la

legitimidad del usuario que solicita realizar la transacción

ha sido el uso de claves de acceso. Existen multitud de

mecanismos que se han ido mejorando y adoptando lo

largo de los años, los ejemplos más significativos son:

• PIN (Personal Identification Number), número de

identificación personal o contraseña

• El número de identificación personal es la medida más

sencilla y clásica de identificación: el banco o tienda

online facilita una clave numérica o código alfanumérico

para identificarnos, que deberá ser introducido en el

formulario correspondiente en el momento de la

autenticación

.TAN (Transaction Autenticarían Number) o número de

autenticación de transacción Instituto Nacionalde

Tecnologías de la Comunicación. Se trata de una

evolución del PIN. Está formado por una lista o tabla de

códigos que, en función de las circunstancias, pueden

haber sido previamente generados y distribuidos de

manera física (papel o tarjetas) o distribuirse instantes de

la transacción a través de medios digitales o dispositivos

electrónicos. Encada transacción se solicitará una clave

distinta. Algunas variantes de este sistema son:

O mTAN: Antes de la transacción el banco envía el

número de identificación a través del móvil del cliente, en

un SMS por ejemplo.

o iTAN: Tabla de códigos que utiliza índices y que se

corresponde con las conocidas tarjetas de coordenadas

bancarias que facilitan las entidades para realizar la

confirmación de pagos o transacciones. Por ejemplo, se

puede solicitar introducir la clave correspondiente con la

fila C columna 2.

o iTANplus: Nueva variante que añade al proceso. Los

CAPTCHAS son imágenes con información en su interior

que se supone solo podrán ser leídas por humanos y no

por programas automatizados. El CAPTCHA mostrado

puede identificar el TAN a introducir, o utilizarse como

método de comprobación de identidad (mostrando por

ejemplo la fecha de nacimiento del usuario).