Sesión 01

SEGURIDAD EN E-

COMMERCE

Docente: Ing. Haybert Escobedo Neyra

ihaybert@gmail.com

Contenido

Sesión 02

Mecanismos de

Seguridad

Herramientas

de

Autenticación

Simulación de

Carrito de

Compras

Mecanismos de Seguridad en un Medio de Pago

• En todo método de pago, tanto el comprador como la tienda deben identificarse para comprobar que no existe fraude. En un sistema de pago a través de TPV, existe una entidad certificadora que durante la operación de pago garantiza la autenticidad de la transacción validando la información de tarjeta de crédito y titular de la misma.

• La autentificación de otros datos que puedan afectar a la legalidad de la compra realizada se garantiza gracias a protocolos criptográficos de autentificación.

Autenticación de los Datos

• Una característica fundamental de los sistemas

electrónicos de pago es la alta disponibilidad y

fiabilidad de las operaciones.

• Es un elemento clave en el proceso de pago de una transacción, ya que

en ese instante no puede existir una pérdida del servicio.

• No obstante, podría producirse algún fallo en el sistema, y una

peculiaridad de las transacciones es que o se realizan correctamente o

no se realizan.

• No hay un punto intermedio de recuperación o estado intermedio. De

esta forma, la fiabilidad del sistema es total.

• Por tanto, un sistema fiable y disponible no solo depende de que sus

transacciones lo sean, sino de que toda la arquitectura y elementos del

sistema cumplan los mismos requisitos.

Disponibilidad y Fiabilidad

• Otro aspecto importante en todo

sistema de pago electrónico es la

integridad de los datos

intercambiados entre los actores.

• Es decir, no puede haber forma de

manipular la información o

alterarla mientras se realiza una

transacción electrónica.

• Para ello existen mecanismos de

seguridad como son códigos de

autentificación, firma digital,

comunicación segura, etc.

Integridad de los Datos

• Los datos que se envían en una operación electrónica no pueden

ser visibles para terceros, de ahí que se empleen técnicas de

encriptado y cifrado de la información por parte de los actores

implicados en la transacción.

• En este sentido, el comercio se dota de un Certificado de

Seguridad emitido por una entidad colaboradora certificadora,

que permite el cifrado, encriptado y envío de la información de

forma segura, empleando un canal de comunicación seguro (SSL).

• Únicamente los extremos de la transacción, comercio y

destinatario (entidad bancaria,

autentificadora, etc) son conocedores de la

información de forma clara tras un proceso

inverso de desencriptado.

Confidencialidad de los Datos

SSL

(Sec

ure

So

cket

s La

yer

);

Cap

a d

e co

nex

ión

seg

ura

Certificados basados en Autenticaciones

Uso de protocolo HTTPS en Facebook

• Tarjeta Presente La banda magnética es leída, se ingresa PIN.

• Falsificación / Clonación Una tarjeta Falsificada (Clonada) es una tarjeta impresa, embozada o codificada sin permiso del emisor, o una que ha sido válidamente emitida y después alterada o recodificada.

• Robo de Identidad El robo de ID en tarjetas de crédito ocurre cuando el criminal usa información personal obtenida fraudulentamente para abrir o acceder a cuentas de tarjetas de crédito en nombre del usuario original.

• Fraude en las cajas registradoras.- Aunque no se le conoce como fraude realmente esta modalidad describe la ubicación donde ocurre el fraude.

• Fraude por no recibo de correspondencia.- Este tipo de fraude envuelve a las tarjetas que son robadas en el transito de envió después de que el emisor la envía a los tarjetabientes.

Riesgos por fraude Electrónico – Fraude en el Mundo Físico

• Phishing Intento de adquirir información sensible, como passwords y detalles de tarjetas de credito fingiendo ser una persona o empresa confiable mediante una comunicación electrónica (canales web e e-mail)

• Ataques Transmisión de data válida maliciosamente • Pharming Redirección automática de un website a otro website

(maligno) modificando la configuración de la pc atacada con archivos (malwares) o atacando la infraestructura del DNS.

• Spyware Software malicioso que recolecta información personal del usuario sin su consentimiento (troyanos, gusanos, virus, keyloggers, etc)

• Rootkit Software que intenta correr procesos, archivos o data del sistema operativo usado por spywares para evitar su detección.

• Man-in-the-middle (MITM) Ataque en donde el atacante puede leer, insertar y modificar a voluntad mensajes entre dos partes sin que ninguna lo sepa.

Riesgos por fraude Electrónico – Amenazas Online

• “Cualquier uso que haga una empresa de la

tecnología de la información y de las

comunicaciones que le ayude a mejorar sus

interacciones con clientes o proveedores”

Fuente: Agencia de Estados Unidos para el Desarrollo

Internacional (USAID).

Definiciones de e-commerce (Cont…)

Herramientas de Autenticación

One Time Password (OTP) ¿Cómo funciona?

Herramientas de Autenticación Tokens

• Dispositivo electrónico que se le da a un usuario autorizado de un servicio computarizado para facilitar el proceso de autenticación.

• Los tokens electrónicos tienen un tamaño pequeño y son

normalmente diseñados para atarlos a un llavero.

• Los tokens electrónicos se usan para almacenar claves criptográficas como firmas digitales, o datos biométricos como las huellas digitales. Algunos diseños se hacen a prueba de alteraciones, otro pueden incluir teclados para la entrada de un PIN.

• Existen más de una clase de token de autenticación, tenemos los bien conocidos generadores de contraseñas dinámicas "OTP" y la que comúnmente denominamos tokens USB, los cuales no solo permiten almacenar passwords y certificados, sino que permiten llevar la identidad digital de la persona.

Herramientas de Autenticación Mobile Token o Token Celular

• Solución de Seguridad Robusta y Accesible con amplia distribución.

• Concebido para sustituir los actuales dispositivos de hardware y tarjetas existentes en el mercado.

• Ofrece la misma facilidad y el mismo nivel de seguridad para ser ejecutado en los celulares y PDAs remotos de los usuarios finales de las instituciones, con bajo costo y gran facilidad de distribución.

• Puede ser utilizado como mecanismo adicional de seguridad en aplicaciones de Banking (Internet Banking, retiros en ATMs, etc.) así como en aplicaciones genéricas de comercio electrónico que requieren señas de una única utilización - One Time Passwords.

• Disponibles para las tecnologías BREW (CDMA), J2ME (GSM/CMDA), WindowsMobile (GSM/CDMA), JavaCard y SIM Browsing,

• Técnicas en Criptografía de última generación.

• Según el último estudio publicado por FutuLabs en el año 2012 en Perú, los compradores prefiere npagar sus compras online a través de la tarjeta de crédito.

• Los métodos tradicionales u offline están entre los tres primeros métodos más utilizados por la población, por los que los últimos métodos de pago online como SafetyPal tienen aún un largo recorrido para su aceptación en la sociedad de la información.

Tendencias en los Medios de Pago

Taller de Casos de Comercio Electrónico (e-commerce)

Simulación Carrito de Compras

Abrir una Tienda Online

Gracias

¡Vea las diapositivas desde cualquier lugar!