Republica Bolivariana De Venezuela

Universidad Yacambu

Especialización En Gerencia de Sistemas de Información

Asignatura: Sistemas de Información Gerencia

Profesor: Yaros Pérez

SUBTEMA: RIESGOS EN EL E-COMERCE

Realizado por: Aris Mateo C.I. 9.587.458

Riesgos

Introducción:

El presente trabajo va a tratar sobre el comercio electrónico enfocándonos en sus riesgos, controles y seguridad.

Existen diferentes tipos de riesgos adicionales a los de seguridad de la información que deben ser tomados en cuenta por las empresas, pero que en la mayoría de casos no son muy considerados.

1. El Comercio Electrónico y el Control Interno

El comercio electrónico puede resultar de alto beneficio para la reducción de los costos de las organizaciones y en sus negocios, y crear oportunidades en nuevos y mejores servicios a los clientes. Sin embargo, los sistemas electrónicos y la infraestructura que le da soporte al comercio electrónico son susceptibles de situaciones de abuso, mal uso y fallas en muchas de sus formas. Un gran perjuicio puede ocurrir a cualquiera de las partes que intervienen en las transacciones por comercio electrónico, incluyendo a comerciantes, entidades financieras, proveedores de servicios, y clientes particulares. Desde la perspectiva del negocio, las consecuencias más comunes del abuso, el mal uso y las fallas, pueden incluir:

· Pérdidas financieras como resultado de un fraude: alguien puede transferir fondos, en forma fraudulenta, de una cuenta a otra, o destruir importantes registros financieros.

· Pérdidas de información confidencial de valor: una intrusión puede revelar información a partes no autorizadas para su conocimiento, resultando en un daño muy importante.

· Pérdidas de oportunidad de negocio a través de discontinuidad del servicio: los servicios comerciales, electrónicamente dependientes, pueden ser interrumpidos por largos o inaceptables períodos de tiempo, como resultado de ataques deliberados o eventos accidentales. El costo puede ser catastrófico.

· Utilización no autorizada de los recursos: un ataque externo puede generar acceso a los recursos no autorizados, y hacer uso de la información para el beneficio propio.

· Pérdida de confidencia o respeto del cliente: una organización puede sufrir significantes pérdidas como resultado de la publicidad negativa de una intrusión o falla.

Algunas de estas consecuencias pueden ser minimizadas por adecuadas y sanas prácticas en los controles internos de la tecnología informática dentro de la organización. Un ejemplo: para disminuir las posibles pérdidas por discontinuidad de servicios, podría ser tomar medidas de planificación de contingencias y de seguridad física. No obstante, el escenario en el cual se desenvuelven las transacciones del comercio electrónico es global, va mas allá de los entornos de las organizaciones involucradas, y los riesgos no siempre pueden ser minimizados con los tradicionales métodos de seguridad y/o prevención.

Para dar respuesta a estos y otros factores críticos dentro de la estrategia de implantación del comercio electrónico, el papel y responsabilidad de las empresas de medios de pago, las instituciones financieras, y los comerciantes es crucial para establecer especificaciones que permitan, mínimamente, los objetivos de:

· Proporcionar confidencialidad en las comunicaciones. · Autenticar todas las partes involucradas. · Garantizar la integridad de las instrucciones de pago. · Autenticar la identidad del usuario y el comerciante.

1.1. Administración de riesgos

Para que el auditor pueda identificar el ambiente de control, es necesario que pueda definir como se considera la existencia de los riegos, como se los evalúa y que medidas de detección y coerción se aplican. La seguridad en el comercio electrónico es difícilmente absoluta, mientras más medidas de seguridad se utilicen, menor es el riesgo que se corre. Se debe reducir el riesgo tanto como sea posible y planear las medidas para recuperarse rápidamente de un incidente de seguridad. La seguridad Web no es fácil ni barata pero la inseguridad puede ser aún más costosa. La seguridad no es un producto que pueda comprarse, es parte integral de una organización y de sus componentes.

1.2. Razones de querer atacar al sitio de comercio electrónico:

Algunas de las razones del porque los atacantes querrían introducirse y atacar en un servidor de comercio electrónico: Publicidad: Un sitio de comercio electrónico es la cara visible de una empresa al mundo, y el violar la seguridad de un espacio visitado por cientos de miles de personas en pocas horas, es atractivo para atacantes ideológicos. Comercio: Muchos servidores Web están relacionados con el comercio y con dinero. Por esta razón los protocolos criptográficos integrados a diferentes navegadores fueron originalmente incluidos para permitir a los usuarios enviar números de tarjetas de crédito por Internet sin preocuparse de que fueran interceptados. Así los servidores de comercio electrónico se han convertido en repositorios de información financiera confidencial, blanco interesante para los atacantes. Sabotaje: Ex empleados descontentos pueden querer perjudicar a la organización donde prestaron servicio.

Vil competencia: En un mundo en recesión, el capitalismo atravesando su mayor crisis es altamente probable que se genere un ambiente muy competitivo que pueda generar una desleal carrera para perjudicar a otros negocios pares que ingresan o residen gracias al comercio electrónico.

1.3. Lo que debe saber el Auditor de E-Commerce

A continuación describiremos los 5 puntos clave que debe conocer el auditor antes de comenzar a elaborar un plan de auditoría en un entorno de Comercio Electrónico:

1. El riesgo de las transacciones vía Web. Las transacciones de comercio electrónico usualmente requieren números de tarjeta de crédito, direcciones, números telefónicos entre otra información necesaria para completar la transacción. La información puede viajar por la Web en forma encriptada o sin encriptar. Si no esta encriptada, los datos pueden ser interceptados por cualquiera con acceso a la red entre la computadora del usuario y el servidor Web.

2. ¿Cuáles son las formas de pago utilizadas en el comercio electrónico? Si bien la forma tradicional es hacer pagos vía tarjeta de crédito, hay otras posibilidades de pagos que lentamente van logrando la aceptación. Las formas alternativas de pagos surgen para responder una variedad de preocupaciones y problemas que aparecen en el comercio electrónico. Algunas de estas son: · Fraude · Falta de autenticación segura del usuario · Falta de voluntad de realizar transacciones en forma electrónica. · Cobros de cargos adicionales por el procesamiento electrónico.

Soluciones a estos problemas varían dependiendo el problema que se quiera atender. A continuación describimos algunas formas de pagos: o Transferencia bancaria: Es la forma más tradicional y tediosa de realizar pagos mediante giro, transferencia o deposito bancario. Si bien hoy en día las transferencias se pueden hacer vía e-banking esto facilita la realización. Como desventaja las transferencias bancarias tienen alrededor de 24 a 72 horas dependiendo si son locales, internacionales y también del banco que opera. Debido a este tiempo de demora puede llegar a ser no eficiente cuando se requiere pago o cobro inmediato. o Pagos a través de "proveedores de servicios proxy": Con un servicio de pago "proxy", un cliente abre una cuenta con el proveedor del servicio y le provee información sobre su tarjeta de crédito o cuenta de ahorro o cuenta corriente. Cuando el cliente desea hacer un pago, se loguea en el sitio Web del proveedor e ingresa la información de la venta (monto, cuanta a debitar el monto, ect.). El proveedor proxy luego provee al vendedor el pago sin revelar la información de la cuenta personal del cliente, eliminando también al vendedor la necesidad de almacenar los números de las tarjetas de crédito y demás detalles. o Letra de crédito: Usualmente se usa en las transacciones internacionales para asegurar que el pago va a ser emitido. Es una carta del banco que garantiza que el pago del comprador va a ser realizado por el monto correcto y en tiempo correspondiente. La desventaja es que este medio de pago incrementa los costos. También hay que realizar un exhaustivo checklist para comprobar que la "letra de crédito" es legítima y provee el tipo de pago y seguridad que el vendedor espera. Por ejemplo, se debe preguntar si la misma es revocable (sujeta a una cancelación sin previo aviso) o irrevocable, etc. o Servicios financieros de Escrow: El servicio de Escrow puede ayudar a asegurar los pagos. El proveedor de Escrow es una tercera parte imparcial que opera para facilitar las compras y las ventas en red garantizando seguridad, confianza y conveniencia a ambas partes. El Escrow reduce los riesgos de fraude a quien compra o vende en Internet, en el caso de que se trate de una transacción consumer-to-consumer, business-to-consumer o business-to-business. El esquema de Escrow es como sigue: · el Comprador paga al proveedor de Escrow · el Vendedor envía la mercancía · el Comprador aprueba la compra · el Vendedor recibe el pago Es un sistema seguro para vender y comprar on-line. El Comprador controla la calidad de la mercancía antes de autorizar el pago y permite disfrutar al Vendedor de un modo seguro para aceptar los pagos.

3. Se pueden asegurar los pagos por las transacciones electrónicas de compra - venta? Si compra productos o servicios en Internet, sabe cuáles son los peligros potenciales con los que se puede encontrar al comprar a vendedores desconocidos. Si vende mercancías en subastas en red, en páginas web reservadas, web pages personales o a través de Internet newsgroup, los compradores también son desconocidos. En cualquiera de estos casos si se puede asegurar razonablemente la transacción. Y de este modo se protege tanto al comprador que recibe el producto o servicio como al vendedor que debe recibir el dinero por el producto o servicio brindado. Algunas de las opciones son

4. Es legitimo el sitio Web? Incluso si el sitio Web dispone de la información apropiada de la compañía, esto no significa que el sitio sea legítimo. Que pasaría si el autor de un sitio no legal o falso ha copiado el sitio de una compañía legal? Este seria un sitio Web troyano preguntando por información para su posterior uso indebido. A estos métodos se los denomina también "Fishing" (pescando). Hay técnicas para falsear la URL en la barra de direcciones y en la barra de estado aprovechando vulnerabilidades y/o "funcionalidades" del navegador. Estos ataques suelen estar destinados a usuarios de sitios bancarios. El delincuente envía miles y miles de mail vía spam, el engaño consiste en crear una ventana emergente justo en la posición donde aparece la URL, de forma que se superpone y oculta la dirección real del servidor Web del atacante donde realmente se encuentra el usuario, mostrando en su lugar la URL de la entidad bancaria. A efectos prácticos, el usuario recibe un mensaje, aparentemente de la entidad bancaria, donde le invita a visitar el sitio de la entidad con alguna excusa, normalmente relacionada con la seguridad. El mensaje incluye un enlace que supuestamente le dirige a la Web de la entidad. Si el usuario pincha en el enlace, puede observar como aparece la Web de la entidad y que en la barra de direcciones del navegador aparece la URL correcta, incluyendo el prefijo https:// como si estuviera en una conexión segura. En realidad el usuario está navegando en el servidor Web del atacante, que ha copiado los contenidos de la Web de la entidad, y ha aprovechado la vulnerabilidad del navegador para falsear la dirección en el navegador y que el usuario no sospeche. Si el usuario introduce las claves para acceder a su cuenta, éstas son enviadas directamente al atacante, que podrá utilizarlas para suplantar la identidad del usuario legítimo y entrar en su cuenta. Dado el auge del Fishing, las entidades también deberían plantearse el implantar nuevos sistemas para mitigar este tipo de fraudes. Los ataques Fishing no deben contemplarse únicamente como una responsabilidad del cliente, ya que existen numerosas estrategias y tecnologías que pueden desplegarse desde la entidad para asegurar las conexiones de sus usuarios. En el caso de las entidades financieras un método para evitar los fraudes vía fishing podría ser que la entidad financiera para la autenticación del cliente utilice o bien una lista de cancelación de claves de modo que una vez utilizada no se pueda volver a utilizar o algún método de tarjeta u otra combinación de formas para autenticar al usuario.

5. Control de las comunicaciones para un negocio montado sobre E-Commerce

El comercio electrónico puede comprender el uso de intercambio electrónico de datos (EDI), correo electrónico y transacciones en línea a través de redes públicas como Internet. El comercio electrónico es vulnerable a diversas amenazas anteriormente descriptas, que pueden tener como resultado actividades fraudulentas, divulgación o modificación de información. En consecuencia, el auditor debe verificar la aplicación de los siguientes controles para proteger al comercio electrónico de dichas amenazas: · Existencia de un área de comunicaciones con administradores de red que estén monitoreando los distintos eventos que se produzcan como consecuencia de la interacción entre la organización y los clientes. · Deben existir adecuadas protecciones físicas en las redes internas y externas de la organización, que cumpla con la norma EIA/TIA-568-A sobre el tendido y protección físico-ambiental del cableado estructurado. · Utilización de técnicas criptográficas para proteger la información de la organización y del cliente que circula por la red de telecomunicaciones con acceso a redes ya se trate de internet, intranet o extranet. · Todas las conexiones entre las redes de la organización y terceras partes sobre IP deben hacerse vía firewall. · Los firewalls deben configurare para rechazar todo, solo aceptando aquellos protocolos que se requieren explícitamente. · Se recomienda el uso de doble indemnización, en la implementación de firewalls, en la cual se utilizan dos tecnologías diferentes para asegurar que la debilidad en uno no comprometa al otro. · Deben grabarse los siguientes detalles y mantenerse seguramente por los administradores de firewalls : 1. Redes y routers conectados a los firewalls. 2. Localización de los firewalls. 3. Nombre del dispositivo, e IP del firewall. 4. Propietario de firewall. 5. Que es lo que se permite y porqué. 6. Quien autorizó y firmo la conexión y configuración. · Implementación de Firma digital, como medio de protección de la autenticidad e integridad de los documentos electrónicos. · Supervisión permanente de los logs y de las informaciones depositadas por los dispositivos de protección y de operaciones de las redes instaladas. · Utilizar protocolos de seguridad - SSL, SET - para la protección de la información proporcionada por el cliente y la organización.

2. Seguridad en el Comercio Electrónico

La seguridad en el comercio electrónico y específicamente en las transacciones comerciales es un aspecto de suma importancia. Para ello es necesario disponer de un servidor seguro a través del cual toda la información confidencial es encriptada y viaja de forma segura, ésto brinda confianza tanto a proveedores como a compradores que hacen del comercio electrónico su forma habitual de negocios.

Al igual que en el comercio tradicional existe un riesgo en el comercio electrónico, al realizar una transacción por Internet, el comprador teme por la posibilidad de que sus datos personales (nombre, dirección, número de tarjeta de crédito, etc.) sean interceptados por "alguien", y suplante así su identidad; de igual forma el vendedor necesita asegurarse de que los datos enviados sean de quien dice serlos.

Por tales motivos se han desarrollado sistemas de seguridad para transacciones por Internet: Encriptación, Firma Digital y Certificado de Calidad, que garantizan la confidencialidad, integridad y autenticidad respectivamente.

* La encriptación: es el conjunto de técnicas que intentan hacer inaccesible la información a personas no autorizadas. Por lo general, la encriptación se basa en una clave, sin la cual la información no puede ser descifrada. Con la encriptación la información transferida solo es accesible por las partes que intervienen (comprador, vendedor y sus dos bancos).

* La firma digital, evita que la transacción sea alterada por terceras personas sin saberlo. El certificado digital, que es emitido por un tercero, garantiza la identidad de las partes. Encriptación.

* Protocolo SET: Secure Electronic Transactions es un conjunto de especificaciones desarrolladas por VISA y MasterCard, con el apoyo y asistencia de GTE, IBM, Microsoft, Netscape, SAIC, Terisa y Verisign, que da paso a una forma segura de realizar transacciones electrónicas, en las que están involucrados: usuario final, comerciante, entidades financieras, administradoras de tarjetas y propietarios de marcas de tarjetas.

SET constituye la respuesta a los muchos requerimientos de una estrategia de implantación del comercio electrónico en Internet, que satisface las necesidades de consumidores, comerciantes, instituciones financieras y administradoras de medios de pago.

Por lo tanto, SET dirige sus procesos a:

Proporcionar la autentificación necesaria.

Garantizar la confidencialidad de la información sensible.

Preservar la integridad de la información.

Definir los algoritmos criptográficos y protocolos necesarios para los servicios anteriores.

* Firmas electrónicas: las relaciones matemáticas entre la clave pública y la privada del algoritmo asimétrico utilizado para enviar un mensaje, se llama firma electrónica (digital signatures).

Quien envía un mensaje, cifra su contenido con su clave privada y quien lo recibe, lo descifra con su clave pública, determinando así la autenticidad del origen del mensaje y garantizando que el envío de la firma electrónica es de quien dice serlo.

* Certificados de autenticidad: como se ha visto la integridad de los datos y la autenticidad de quien envía los mensajes es garantizada por la firma electrónica, sin embargo existe la posibilidad de suplantar la identidad del emisor, alterando intencionalmente su clave pública. Para evitarlo, las claves públicas deben ser intercambiadas mediante canales seguros, a través de los certificados de autenticidad, emitidos por las Autoridades Certificadoras.

Para el efecto SET utiliza dos grupos de claves asimétricas y cada una de las partes dispone de dos certificados de autenticidad, uno para el intercambio de claves simétricas y otro para los procesos de firma electrónica.

* Criptografía: Es la ciencia que trata del enmascaramiento de la comunicación de modo que sólo resulte inteligible para la persona que posee la clave, o método para averiguar el significado oculto, mediante el criptoanálisis de un texto aparentemente incoherente. En su sentido más amplio, la criptografía abarca el uso de mensajes encubiertos, códigos y cifras.

La palabra criptografía se limita a veces a la utilización de cifras, es decir, métodos de transponer las letras de mensajes (no cifrados) normales o métodos que implican la sustitución de otras letras o símbolos por las letras originales del mensaje, así como diferentes combinaciones de tales métodos, todos ellos conforme a sistemas predeterminados. Hay diferentes tipos de cifras, pero todos ellos pueden encuadrarse en una de las dos siguientes categorías: transposición y sustitución.

* Los Hackers: Son usuarios muy avanzados que por su elevado nivel de conocimientos técnicos son capaces de superar determinadas medidas de protección. Su motivación abarca desde el espionaje industrial hasta el mero desafío personal. Internet, con sus grandes facilidades de conectividad, permite a un usuario experto intentar el acceso remoto a cualquier máquina conectada, de forma anónima. Las redes corporativas u ordenadores con datos confidenciales no suelen estar conectadas a Internet; en el caso de que sea imprescindible esta conexión, se utilizan los llamados cortafuegos, un ordenador situado entre las computadoras de una red corporativa e Internet. El cortafuegos impide a los usuarios no autorizados acceder a los ordenadores de una red, y garantiza que la información recibida de una fuente externa no contenga virus.

3. La seguridad total es muy cara.

Hoy es imposible hablar de un sistema 100% seguro, porque el costo de la seguridad total es muy alto. Por eso las empresas, en general, asumen riesgos: deben optar entre perder un negocio o arriesgarse a ser hackeadas. La cuestión es que, en algunas organizaciones puntuales, tener un sistema de seguridad muy acotado les impediría hacer más negocios.

La solución a medias, entonces, sería acotar todo el espectro de seguridad, en lo que hace a plataformas, procedimientos y estrategias. De esta manera se puede controlar todo un conjunto de vulnerabilidades, aunque no se logre la seguridad total. Y esto significa ni más ni menos que un gran avance con respecto a unos años atrás.

4. Algunos posibles ataques son: - Accesos no autorizados mediante ataques de piratas informáticos. - Accesos por fuerza bruta

4.1 Los ataques silenciosos de los piratas de la nueva era:

Aunque no debe tomarse a la ligera esta denominación. De acuerdo con las prácticas de los Hackers y los objetivos de las acciones desarrolladas por éstos, pueden ser divididos en tres categorías: Hackers, Crackers y Piratas informáticos.

El Hacker, es aquel que se reconoce por ingresar en los sistemas informáticos obteniendo claves de acceso privadas por medio de diferentes herramientas, para obtener información sobre el funcionamiento de dichos sistemas y acceder a información que de manera legal no puede ser encontrada; sobre éste pesa la responsabilidad dictada por una especie de ética Hacker que no admite el vandalismo y que erige como la finalidad de estas prácticas sentar una voz de protesta ante la segmentación de la información y propender por el libre acceso a las herramientas de la Web.

Como Cracker, es identificado aquel que teniendo conocimientos tal vez inferiores a los de un hacker los utiliza para generar caos, para saquear información como claves de tarjetas de crédito o claves de acceso organizacionales o atacar el funcionamiento de plataformas informáticas para desestabilizarlas. En gran cantidad de los casos el Cracker busca demostrar la destreza lograda para aprovecharse de la inestabilidad de algunos sistemas, concibiéndose esta actividad como un tipo de vandalismo virtual.

Por último, los Piratas informáticos son aquellos que buscan obtener códigos de acceso para la utilización de Software comercial evitando el pago de licencias, poniéndolos en la Web para que estas utilidades sean descargadas libremente de Internet.

4.2. Accesos por fuerza bruta:

En criptografía, se denomina ataque de fuerza bruta a la forma de recuperar una clave probando todas las combinaciones posibles de caracteres hasta encontrar aquella que permite el acceso.

También se define al procedimiento en el que a partir del conocimiento del algoritmo de cifrado empleado y de un par texto plano/texto cifrado, probando el cifrado (respectivamente, descifrado) de uno de los miembros del par con cada una de las posibles combinaciones de clave, hasta obtener el otro miembro del par. El esfuerzo requerido para que la búsqueda sea exitosa con probabilidad mejor que la par será 2n − 1 operaciones, donde n es la longitud de la clave (también conocido como el espacio de claves).

Otro factor determinante en el coste de realizar un ataque de fuerza bruta es el juego de caracteres que se pueden utilizar en la clave. Contraseñas que sólo utilicen dígitos numéricos serán más fáciles de descifrar que aquellas que incluyen otros caracteres como letras.

Los ataques por fuerza bruta, dado que utilizan el método de prueba y error, son muy costosos en tiempo computacional.

5. La empresa debe adquirir un Certificado de Seguridad - SSLCertificate (Verign, Thawte, etc )

5.1 Security Certificate

(Certificado de Seguridad) -- Es una serie de datos (por lo regular almacenados como archivo de texto) que son usados por el protocolo SSL para establecer una conexión segura. Los Certificados de Seguridad contienen información sobre el propietario, sobre quién lo publicó, un número de serie único o alguna otra información específica, fechas válidas y una "huella digital" encriptada que puede ser utilizada para corroborar el contenido del certificado. Para que una conexión SSL sea creada, se requiere que en ambos lados de la conexión se tenga un Certificado de Seguridad válido.

5.2 SSL

(Secure Sockets Layer) -- Es un protocolo diseñado por Netscape Communications para habilitar las comunicaciones de manera encriptada y autenticada a través del Internet. SSL es usado principalmente (aunque no de manera exclusiva) en comunicaciones entre browsers y web servers. Todos los URL's que inician con "https" indican que se está usando una conexión SSL. El SSL brinda 3 cosas importantes: Privacidad, Autentificación e Integridad en los Mensajes. Para que una conexión SSL sea creada, se requiere que en ambos lados de la conexión se tenga un Certificado de Seguridad válido. De esta manera, se encripta todo lo que se envía en cada extremo utilizando la información contenida en el Certificado de ambos, asegurando que sólo el destinatario deseado pueda descifrarlo. De igual manera, el extremo receptor puede asegurarse que los datos provienen del lugar a dónde se están solicitando y que el mensaje no ha sido alterado o manipulado por ajenos.

A la luz de los riesgos asociados al comercio electrónico y la comunicación en línea, es importante no sólo utilizar tecnología de cifrado seguro cuando se realizan negocios en Internet, sino también probar la propia identidad y desarrollar relaciones de confianza con socios y clientes.

Para poder establecer estas relaciones en línea, es necesaria la autenticación de una tercera parte de confianza, así como recibir un certificado SSL (Secure Sockets Layer) firmado por esa tercera parte. El cifrado es el proceso de transformación de la información que la hace ininteligible para todos excepto para el destinatario original y sienta la base para la integridad de datos y la privacidad imprescindibles para el comercio electrónico. Sin embargo, sin la autenticación, la tecnología de cifrado no es suficiente para proteger a los usuarios de estos servicios electrónicos. Es necesario utilizar la autenticación junto con el cifrado para proporcionar:

• Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.

• Confirmación de que la empresa nombrada en el certificado es una entidad legal.

• Confirmación de que la persona que solicitó el certificado SSL en nombre de la organización había sido autorizada a hacerlo.

Algunas autoridades de certificación (Certificate Authorities, CA) creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Pero de hecho, hay una diferencia entre certificados autenticados (“alta seguridad”), que nos dan confianza y seguridad, y los certificados no autenticados (“baja seguridad”), que socavan la confianza del cliente y vulneran la seguridad en la red. Además de utilizar la tecnología de cifrado, es de vital importancia que el sitio web esté autenticado, lo que aumentará la confianza de los internautas que visiten su sitio web y su negocio.

5.3 Descripción general

Hasta muy recientemente, la mayoría de los certificados SSL podían clasificarse como certificados de seguridad media a alta que proporcionaban los siguientes tres servicios de seguridad: confidencialidad, autenticación e integridad. Los certificados digitales sólo identifican a sitios web e individuos y permiten comunicaciones seguras y confidenciales. Por desgracia, algunos proveedores de certificados SSL han preferido proporcionar certificados SSL de baja seguridad, para así poder disminuir los costes y acelerar el proceso de solicitud. Esto entra en conflicto con los métodos generalmente aceptados por el sector, socava la confianza del cliente y crea confusión entre los visitantes de los sitios web.

Los certificados SSL de “baja seguridad” proporcionan confidencialidad e integridad, pero no autenticación. En el pasado, el icono de candado que aparecía en el navegador del usuario se consideraba un signo fiable de autenticación. Ahora, los usuarios se ven obligados a examinar el propio certificado SSL para poder distinguir entre certificados autenticados de alta seguridad y certificados sin autenticar de baja seguridad.

Por ejemplo, si un usuario intenta comunicarse de forma segura con un sitio web que cuente con un certificado SSL con el nombre comercial de “ABC Inc.”, dicho usuario deberá comprobar si el certificado está autenticado por una tercera parte. El certificado SSL intenta transmitir la confianza de que el sitio web que se está visitando (como www.abc-incorporated.com) es definitivamente un sitio de “ABC Inc.” y no cualquier otra entidad que simula serlo para engañar a los visitantes del sitio web y obtener beneficios a su costa.

Una autenticación rigurosa es la única prueba que una empresa puede presentar a clientes y socios para probar que el sitio web es auténtico y tiene derecho a utilizar el nombre de dominio que aparece en el certificado.

5.4. ¿Por qué es necesario contar con certificados SSL autenticados?

Las nociones de identidad y autenticación son conceptos fundamentales en cualquier mercado. Los individuos y las instituciones deben conocerse mejor y tener confianza en el otro antes de poder realizar negocios. En el comercio tradicional, la gente se basaba en los documentos físicos (como una licencia comercial o una carta de crédito) para probar su identidad y asegurar a la otra parte su capacidad para realizar una transacción.

En la edad del comercio electrónico, los certificados SSL autenticados proporcionan la indispensable identidad y seguridad en línea que ayuda a establecer una relación de confianza entre las partes involucradas en transacciones electrónicas en redes digitales. Independientemente de si el negocio se realiza en el mundo digital o el físico, las partes involucradas deben poder responder a las siguientes preguntas:

• ¿Quién eres? (Requisito de identidad).

• ¿A qué comunidad perteneces? ¿Eres un miembro de confianza? (Respaldo de una asociación).

• ¿Cómo puedes probar tu identidad? (Validación de la identidad).

Los clientes deben tener la certeza de que el sitio web con el que se están comunicando es auténtico y de que la información que envíen mediante su navegador web seguirá siendo privada y confidencial.

5.5. Cifrado

Internet presenta una gama única de problemas relativos a la seguridad, problemas que los negocios deben superar desde el principio para minimizar riesgos. Los clientes envían información y adquieren productos o servicios a través de Internet sólo si se sienten seguros de que la información personal, como los números de sus tarjetas de crédito o sus datos financieros, está segura. La solución para los negocios que se toman el comercio electrónico en serio es implementar una infraestructura segura basada en tecnologías de cifrado. El cifrado es el proceso de transformación de la información que la hace ininteligible para todos excepto para el destinatario original y sienta la bases para la integridad de datos y la privacidad que son imprescindibles para el comercio electrónico.

5.6. Autenticación

Algunas autoridades de certificación creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Sin embargo, el cifrado no es suficiente, siendo necesario que el sitio web también esté autenticado, lo que mejorará la confianza que los internautas tienen en el sitio web que visitan.

Estar autenticado significa que una entidad de confianza puede probar que eres quien dices ser. Para probar que su negocio es auténtico, su sitio web debe estar asegurado por métodos de autenticación y una tecnología de cifrado de la mejor calidad.

5.7. Certificados digitales

Un certificado digital es un archivo electrónico que identifica de forma exclusiva a individuos y sitios web en Internet y permite establecer comunicaciones confidenciales y seguras.

Los certificados digitales funcionan como una forma de credencial o pasaporte digital.

5.8. Los certificados SSL autenticados permiten al visitante del sitio web:

• Comunicarse de forma segura con el sitio web, de manera que la información suministrada por el visitante no pueda ser interceptada durante la transmisión (confidencialidad) ni alterada sin que nadie lo detecte (integridad).

• Comprobar que el sitio que el usuario está visitando realmente pertenece a la compañía, y que no ha sido suplantada (autenticación).

• Se compruebe la identidad y se confirme que la organización es una entidad legal.

• Se confirme que tiene derecho a utilizar el nombre de dominio que se incluye en el certificado.

• Se compruebe que la persona que solicitó el certificado SSL en nombre de la organización había sido autorizada a hacerlo.

5.9. Riesgos de los certificados SSL sin autenticar

En la actualidad los navegadores no distinguen entre certificados SSL de alta seguridad (autenticados) y los de baja seguridad (sin autenticar).

Generalmente, el usuario confía automáticamente en el certificado SSL cuando la autoridad de certificación lo emite y el nombre del dominio del certificado coincide con el dominio del sitio web visitado.

El icono de candado del navegador del usuario aparecerá indistintamente, tanto si el sitio en particular está utilizando un certificado SSL de alta seguridad autenticado como sin autenticar.

Hasta hace muy poco tiempo, este sencillo método había funcionado adecuadamente, y ha facilitado la expansión del comercio electrónico. Sin embargo, los últimos cambios en el mercado de los certificados SSL suponen una amenaza potencial para la confianza del cliente, y un riesgo para la seguridad de las transacciones en línea. Uno de los mayores riesgos de los certificados SSL sin autenticar es la técnica de las intrusiones ilícitas, también denominada "spoofing". El bajo coste del diseño de un sitio web y la sencillez con la que pueden copiarse las páginas existentes simplifican la creación de sitios falsos que parecen ser seguros y pertenecer a organizaciones establecidas. De hecho, hay casos de expertos del fraude que han conseguido números de tarjetas de crédito estableciendo tiendas de aspecto profesional que imitaban negocios legales, utilizando un nombre de dominio muy similar y presentando contenidos engañosos que hacían que la víctima tomara una decisión que ponía en peligro su seguridad.

5.10. Hay otras razones por las que la autenticación es importante.

El fraude en Internet sigue constituyendo una gran barrera para el gasto de los consumidores, y un importante número de estafas se debe a que los clientes realizan transacciones con entidades de las que tienen muy poca o ninguna información.

A continuación se incluyen algunos datos relacionados con el fraude en Internet:

• Según GartnerG2, en 2001 se perdieron por fraude más de 700 millones de dólares en transacciones electrónicas, lo que representa el 1,14 por ciento de los 61.800 millones de ventas anuales en línea. En el año 2001, las pérdidas por fraude fueron 19 veces más altas en las transacciones electrónicas que en las ventas no electrónicas.

• Según Gartner Group, el fraude en Internet está causando pérdidas cuantiosas en el sector de los vendedores a través de Internet. Gartner estudió más de 160 empresas y descubrió que existe 12 veces más fraude en las transacciones a través de Internet que en la venta al por menor tradicional. Y lo que es más, los vendedores en línea deben asumir la responsabilidad y los costes en caso de fraude, mientras que en el caso de las transacciones tradicionales son las empresas de tarjetas de crédito las que se hacen cargo de dichos costes, siempre y cuando el vendedor siga los procedimientos y cuente con un recibo firmado.

• Las investigaciones llevadas a cabo por Jupiter Media Metrix han demostrado que es más habitual el miedo al fraude en línea que las situaciones de fraude real que se producen.

“La prensa crea una mala imagen de las compras en línea, pero en la mayoría de los casos se trata de empresas que no han utilizado los medios de seguridad adecuados”, asegura Harry Wolhanlder, vicepresidente de Market Research en ActivMedia.

“Los negocios en Internet que aplican medios adecuados para comprobar la información de los clientes apenas se ven afectados por este problema y las pérdidas por fraude en este caso se limitan a un 1% aproximadamente. El control del fraude en línea es perfectamente posible, pero hay muchas empresas que no emplean rigurosas medidas de prevención y comprobación”.

5.11 Cómo saber si un sitio web es auténtico

Antes de enviar información o adquirir productos de un vendedor en línea, debe saber que la empresa con la que está realizando la transacción es quien dice ser. Aunque los sitios web pueden comprar certificados de servidor de muchas autoridades de certificación, los navegadores de Internet están configurados para que sólo confíen en los certificados de servidor que provengan de empresas de buena reputación. Cuando visita un negocio en línea que está asegurado por VeriSign, por ejemplo, puede estar seguro de que el sitio es auténtico.

Aunque muchos consumidores y empresarios no comprenden totalmente el exhaustivo método de los servicios de autenticación de VeriSign, saben que pueden tomar el sello Secured Seal de VeriSign como prueba de que una empresa es real y que constituye un lugar seguro en el que comprar.

Todas las empresas web autenticadas obtienen un sello con su solución de certificado para aumentar la confianza de los clientes en su sitio.

Los navegadores Netscape Navigator y Microsoft Internet Explorer incorporan mecanismos de seguridad que impiden que los usuarios envíen involuntariamente información confidencial a través de canales poco seguros. Si un usuario intenta enviar información a un sitio no seguro (un sitio sin un certificado SSL autenticado), el navegador mostrará de forma predeterminada un mensaje de advertencia, indicando que el proceso de compra puede suponer un riesgo.

6. Los riesgos a los cuales están expuestas las instituciones financieras

Riesgos

La incorporación de nuevas tecnologías ha supuesto grandes transformaciones para la actividad financiera y bancaria, que benefician altamente a los clientes, pero que suponen cambios para las entidades bancarias. La banca por Internet no origina nuevos riesgos, sino que más bien enfatiza los ya existentes en un banco. Cabe señalar que existen diferentes tipos de riesgos adicionales a los de seguridad de la información que deben ser tomados en cuenta por los bancos, pero que en la mayoría de casos no son muy considerados.

Los riesgos a los cuales están expuestas las instituciones financieras están clasificados en tres perfiles dependiendo del tipo de servicios de banca por Internet que ofrezcan:

Riesgo Bajo:

Informativas: Corresponde a las instituciones financieras que ofrecen información acerca de los productos y servicios del banco

Riesgo Moderado:

Comunicativas: Se refiere a las instituciones financieras que ofrecen información relacionada con cuentas de ahorros, y actualización de datos como domicilio, teléfono, entre otros. Como en este caso el usuario está ingresando a los sistemas principales del banco, el riesgo es material.

Riesgo Mayor:

Transaccionales: Corresponde a las instituciones financieras que permiten a sus clientes realizar transacciones financieras por lo que implican un mayor riesgo.

7. Recomendaciones

7.1 Rastro del dinero electrónico.

Sin duda, una de las formas que tiene un individuo de preservar su intimidad en el comercio tradicional, es comprar los bienes o servicios que desee con dinero en efectivo. Esta forma de pago, evita que el vendedor necesite, en modo alguno, conocer la identidad del comprador. Sin embargo, en las compras a través de Internet, normalmente debemos suministrar nuestros datos personales (nombre, dirección, etc.) junto con un número de tarjeta de crédito. Al suministrar esta información estamos expuestos a que se vincule nuestra identidad con el tipo de bienes o servicios que adquirimos. Esta información puede ser alquilada o vendida por el proveedor a otras compañías que se dediquen, por ejemplo, a la publicidad directa. Sin embargo, existen sistemas que permiten realizar compras a través de Internet o de cualquier otra red de comunicaciones de forma anónima, tal y como funciona el dinero de papel en el pago al contado. Tales sistemas se engloban bajo el nombre de "dinero o monedero electrónico" (digital cash/electronic wallet).

Recomendación:

En la medida en que lo estime conveniente, utilice sistemas de dinero electrónico que preserven el anonimato de sus compras en Internet.

7.2 Inseguridad en las transacciones electrónicas.

Otra de las preocupaciones del usuario de Internet cuando realiza transacciones comerciales no anónimas, es asegurarse de que los datos que suministra en la transacción, por ejemplo, su nombre, dirección, número de tarjeta de crédito, etc., no son capturados en la transmisión por alguien distinto del proveedor con el que quiere realizar la transacción, y que posteriormente, pudiera suplantar su identidad. Por otro lado, el proveedor o vendedor debe asegurarse de que quien efectúa el pedido o la orden de compra es verdaderamente quien dice ser, ya sea el consumidor final o un intermediario.

Las características que definen a un sistema de transacciones seguras son:

Garantizar, mediante el cifrado, la confidencialidad de las transacciones comerciales electrónicas, de manera que los datos contenidos en dichas transacciones sólo sean accesibles a las partes que intervienen.

Garantizar, mediante el uso de firmas digitales, la integridad de las transacciones, de tal manera que su contenido no pueda ser alterado por terceros ajenos, sin ser descubiertos.

Garantizar, mediante el uso de la firma digital y la certificación, la autenticidad tanto del titular del medio de pago, como del proveedor. La firma digital garantiza la integridad de la transacción. La certificación por parte de un tercero (notario electrónico) garantiza la identidad de las partes que intervienen en la transacción.

Recomendación:

No realice transacciones comerciales electrónicas a través de proveedores con sistemas "inseguros" o no fiables.

Su navegador es capaz de reconocer cuándo se conecta a un servidor que admite transacciones seguras. Consulte el manual de su navegador para averiguar cómo informa de la conexión a un servidor Web seguro.

7.3 Envío de publicidad no solicitada a través del correo electrónico.

Esta forma de publicidad requiere, lógicamente, el conocimiento de la dirección de correo electrónico del receptor del mensaje. Adicionalmente, una dirección de correo electrónico puede tener asociada información de carácter personal, tal como la organización donde trabaja o a la que pertenece una persona, lo que puede ser de gran interés para una empresa que se dedique a la publicidad directa. Las formas más habituales de obtener direcciones de correo sin el conocimiento del usuario son:

Listas de distribución y grupos de news

Captura de direcciones en directorios de correo electrónico.

Venta, alquiler o intercambio de direcciones de correo por parte de los proveedores de acceso.

Entrega de la dirección de correo, por parte de los programas navegadores, al conectar a los servidores Web.

Recepción de mensajes de correo requiriendo contestación a una dirección determinada y pidiendo la máxima difusión de los mismos.

Recomendación:

Cuando incluya su dirección de correo electrónico en un directorio o lista de distribución, considere la posibilidad de que la misma pueda ser recogida por terceros para enviarle mensajes no deseados.

Averigüe la política de alquiler, venta o intercambio de datos que han adoptado tanto su proveedor de acceso a Internet como los administradores de los directorios y listas de distribución donde esté incluido.

Si no quiere publicar su dirección de correo electrónico, configure su navegador para que no deje su dirección de correo en los servidores Web a los que accede.

7.4 Elaboración de perfiles.

En Internet, el comportamiento del consumidor puede ser "observado" por el proveedor, el cual, puede acumular información personal sobre gustos, preferencias y comportamiento del mismo, sin que éste tenga conocimiento de ello. Este acopio de datos se realiza registrando la información sobre los servidores Web a los que accede un usuario, en qué páginas se detiene más tiempo, y qué temas busca de manera habitual. De esta forma es posible realizar un perfil del usuario muy completo sin su conocimiento.

Existen medios para evitar recogidas de datos personales, y entre ellos, quizá uno de los que más éxito está teniendo entre los usuarios es el uso de servidores que permiten navegar por Internet de forma anónima. El sistema consiste en que el usuario accede en primer lugar a un servidor especializado en este cometido, que le proporciona una identidad nueva a través de la cual puede acceder a otros servidores. De esta forma, los servidores Web a los que se accede no podrán obtener la auténtica identidad del usuario.

Recomendación:

Cuando navegue por Internet, sea consciente de que los servidores Web que visita pueden registrar tanto las páginas a las que accede como la frecuencia y los temas o materias por las que busca, aunque no le informen de ello. En el caso de que no desee dejar constancia de sus actividades, utilice servidores que preserven el anonimato.

Conclusión

Debemos ser conscientes de que Internet es, por propia naturaleza, un medio de comunicación global no seguro, por lo que es de especial importancia para todo desarrollador de aplicaciones basadas en la gran red el conocer las limitaciones que puede encontrar y que van a afectar a su trabajo.

Los riesgos que puede llegar a tener un sitio de comercio electrónico es larga. Algunos posibles ataques son: - Accesos no autorizados mediante ataques de piratas informáticos. - Accesos por fuerza bruta.

Es impresionante descubrir que los proveedores que prestan sus servicios en la red, es la industria en Internet con mayor número de reclamaciones.

Estos proveedores de software fácil de usar de eCommerce, redtienda, ofrecen la facilidad de obtener rápidamente más clientes y aumentar tus ventas vendiendo sus productos en el Internet por medio de tu propia tienda en línea, y al mismo tiempo trabajar más efectivamente para que puedan pasar más tiempo haciendo cosas que te gusten.

Hoy en día el E-Commerce se parte de una definición genérica como cualquier forma de transacción o intercambio de información comercial basada en la transmisión de datos sobre redes de comunicación como Internet.

El principal problema u obstáculo que hace que no podamos hablar de E-Commerce directo, obviamente a parte de la entrega, es el tema del pago.

Éste constituye el mayor eslabón tanto técnico como psicológico que debe ser superado para que se produzca el despegue definitivo del E-Commerce. Si no hay confianza por parte de los usuarios, si no hay conocimiento de las diversas formas de pagos existentes en la red y de su seguridad técnica no podremos hablar de un E-Commerce propiamente dicho en el que todos sus transacciones se materialicen a través de medios electrónicos.

A la luz de los riesgos asociados al comercio electrónico y la comunicación en línea, es importante no sólo utilizar tecnología segura cuando se realizan negocios en Internet, sino también probar la propia identidad y desarrollar relaciones de confianza con socios y clientes.

Los certificados SSL sin autenticar proporcionan confidencialidad e integridad, pero carecen de la autenticación de terceras partes tan necesaria para:

• Comprobar que el sitio que el usuario está visitando realmente pertenece a la compañía y no a un suplantador.

• Permitir al destinatario de un mensaje digital estar seguro tanto de la identidad del emisor como de la integridad del mensaje.

• Garantizar transacciones electrónicas seguras que protejan a los clientes y a su negocio.

Por estas razones, es de vital importancia que su sitio web esté autenticado, lo que aumentará la confianza que los visitantes de la Web depositan en su sitio y en su negocio.

Por otra parte, si hay partes sin autorizar que emiten certificados, la veracidad de éstos suele verse mermada.

Al requerir que se compruebe el derecho que tiene un solicitante de certificado para realizar dicha solicitud (por ejemplo, si está empleado en la empresa nombrada en el certificado) se evita el riesgo de emitir un certificado para un individuo con intenciones fraudulentas que no esté empleado en la empresa.

INFOGRAFIA

1. El Comercio Electrónico y el Control Interno, Administración de riesgos, Razones de querer atacar al sitio de comercio electrónico y Lo que debe saber el Auditor de E-Commerce