Seguridad en las

transacciones
comerciales
Conceptos
bsicos
ESET Latinoamrica: Av. Del Libertador 6250, 6to.
Piso - Buenos Aires, C1428ARS, Argentina. Tel.
+54 (11) 4788 9213 -
Fax. +54 (11) 4788 9629 - info@eset-la.com, www.eset-la.com
 Seguridad en las transacciones comerciales
en lnea

ndic
e
Introduccin................................................. 3

Definiciones............................................. 4
 3

Introduccin
El comercio electrnico, o e-commerce, define al uso de las tecnologas de
comunicacin, como lo es Internet (aunque pueden ser otras), para realizar
la gestin de negocios y transacciones comerciales, ya sea en parte o
completamente.

Entre estos negocios pueden estar: compra/venta de productos y servicios,

establecimiento de contactos y socios de negocio, aseguramiento, trmites,
impuestos, realizacin de marketing, rastreo y seguimiento de productos,
cobros, etc. Es decir, que las redes de comunicacin son una herramienta
que sirve de base para realizar cualquier contacto que antes poda
establecerse en el mundo fsico.

As como en el mundo fsico, en el virtual existen diversos modelos que son considerados:

El Comercio entre Empresas (B2B)

El Comercio entre Empresas y Consumidores (B2C)
El Comercio entre Empresas y Gobierno (B2G)
El Comercio entre Consumidores (C2C)
El Comercio entre Consumidores y Gobierno (C2G)

Por su parte, la banca electrnica o Home-banking se define como aquel

sistema que pone a disposicin del cliente todos los medios para la
realizacin de transacciones bancarias va Internet.

Es normal que este tipo de acciones genere desconfianza y suspicacias en

el pblico, ya que suelen desconocerse los medios de seguridad brindados
por los bancos/empresas, as como el nivel de privacidad con el cual es
manejada la informacin, adems de las regulaciones legales vigentes en
los pases donde realiza la transaccin.

Proteger los datos, las comunicaciones, las transacciones y la informacin

(ya sea en trnsito o almacenada) es de vital importancia, ya que algunas
de las amenazas a las que se puede estar expuestos son:

La informacin puede ser interceptada, leda o modificada por

personas ajenas a la transaccin involucrada.
Un usuario puede asumir la identidad de otra persona (robo de identidad).
Una de las partes puede vulnerar el sistema para evitar ciertas validaciones del
mismo.
Informacin confidencial puede ser obtenida con posterioridad a la
realizacin de las transacciones.
Como puede verse, la mayora de los ataques tienen fines ilcitos, pero que
muchas veces son difciles de comprobar por las autoridades o profesionales
competentes.
 4

Es muy comn cometer el error de pensar que todas estas

vulnerabilidades y soluciones son inherentes a la tecnologa. Todo lo
contrario, el ser humano es el principal punto vulnerable.

El factor humano, del que muchas veces no se habla, es una fuente

inagotable de recursos para los atacantes a un servicio determinado y por lo
que se lo debe considerar desde el momento en que se disea un sistema
de comercio electrnico. No sirve de nada desarrollar una plataforma
sofisticada que cumpla con los mayores estndares de seguridad
internacional para que luego el usuario anote su clave de acceso debajo del
teclado.

Como en el mundo fsico, conocer las distintas formas de realizar

transacciones comerciales virtuales, as como las posibilidades de ser
engaado (defraudado, estafado, etc), es fundamental para manejarse
comercialmente en forma correcta.

Nota Importante: en el desarrollo del presente y slo a fines de una

simplificacin, se llama Transaccin Comercial o Financiera a cualquier
intercambio de informacin en el que se involucren dos partes que tenga
como objetivo la manipulacin de dinero (sea este fsico o virtual). Es decir
que se incluyen en esta categora:

Compra/venta/remate/oferta/demanda de productos (fsicos o virtuales)

Home-Banking

Definiciones
Cuando se realiza una transaccin comercial en lnea, deben contemplarse
ciertas definiciones, todas ellas referidas a la seguridad de la informacin.

1
A continuacin, se definen los tres principios bsicos (trada CIA ) a ser
tenidos en cuenta. Es recomendable que Ud. tambin maneje otras
2
definiciones disponibles en nuestro curso de Seguridad .

La Confidencialidad de la informacin es la necesidad de que la misma slo

sea conocida por personas autorizadas. En las transacciones comerciales es
fundamental que slo las partes involucradas tengan acceso a la
informacin.
1
Para ms informacin consulte la Gua bsica de utilizacin de medios Informticos en
forma segura de ESET en http://edu.eset-la.com
2
dem
 5

La Integridad de la informacin es la caracterstica que hace que su

contenido permanezca inalterado a menos que sea modificado por personal
autorizado. Esta propiedad garantiza la exactitud de la informacin.

La Disponibilidad de la informacin es su capacidad de estar siempre

disponible para ser procesada por las personas autorizadas cuando estas
personas lo requieran. Dejar de estar en lnea para un negocio virtual, es
equivalente a cerrar las puertas al pblico.

Otros conceptos importantes a la hora de realizar transacciones comerciales son:

Identificacin: todo usuario del servicio (en cualquiera de sus partes) debe
informar quin es al sistema.

Autenticacin: el usuario identificado debe verificar y probar su identidad

proveyendo informacin extra al sistema. En otras palabras, existen tres
formas de autenticar a un usuario:

Por algo que sabe: por ejemplo una clave o contrasea

3
Por algo que tiene: por ejemplo una tarjeta o token
Por algo que es: por ejemplo identificacin de huella digital.

Se llama autenticacin fuerte cuando se utilizan dos de los mtodos

anteriores en forma conjunta. Por ejemplo, estampa su huella digital y
escribe su clave.

Autorizacin: es el proceso por el cual el sistema otorga distintos niveles de

permisos a los usuarios autenticados para acceder a determinados recursos
del mismo.

Auditoria o Trazabilidad: es el mtodo de control que asegura poder

determinar en todo momento quin hizo qu en el sistema (ingreso al
sistema, otorgamiento o denegacin de permisos o acceso, autenticacin,
modificacin, eliminacin, ingreso de datos, salida del sistema, etc).

Autenticidad de los datos y de su origen: se debe confirmar que la informacin

proviene del origen que dice y del cual debe provenir y que la misma cumple
con las triada CIA.

No repudio: se debe asegurar que el origen o el destino nieguen haber

recibido o haber enviado informacin.
3
Ms informacin: http://es.wikipedia.org/wiki/Token_de_seguridad
 6

Si bien todas estas definiciones pueden parecer complejas y complicadas

cada una de ellas asegura el funcionamiento del sistema virtual y si se lo
extrapola al mundo fsico se encontrarn las similitudes apropiadas:

1. Un comprador se presenta y se identifica delante del un vendedor

diciendo su nombre y nmero de documento.
2. El comprador se autentica presentando su cdula o una tarjeta
(algo que tiene). As mismo el comprador tambin se identifica y
autentica contra el sistema fiscal o un organismo de control.
3. El vendedor verifica los datos y habilitando al comprador a realizar
ciertas transacciones, lmites de montos, intereses, etc.
(permisos).
4. Una venta es registrada en un recibo de pago, un remito, una
factura, un libro, etc. Es decir que la transaccin es registrada.

Los principios aplicados son los mismos y la tecnologa involucrada

simplemente es una herramienta para realizar cada uno de los pasos.

Obviamente, como en este mundo virtual tambin aplican las leyes bajo
las cuales se puede llevar adelante un hecho delictivo o por el cual una
transaccin puede no llegar a trmino o beneficiar a terceros no
autorizados. Por ello, en el prximo mdulo se analizarn las formas ms
comunes de estafas en lnea.
 7

Copyright 2012 por ESET, LLC y ESET, spol. s.r.o. Todos los derechos reservados.

Las marcas registradas, logos y servicios distintos de ESET, LLC y ESET, spol.
s.r.o., mencionados en este curso, son marcas registradas de sus respectivos
propietarios y no guardan relacin con ESET, LLC y ESET, spol. s.r.o.

ESET, 2012

Acerca de ESET

Fundada en 1992, ESET es una compaa global de soluciones de software

de seguridad que provee proteccin de ltima generacin contra amenazas
informticas. La empresa cuenta con oficinas centrales en Bratislava,
Eslovaquia y oficinas de coordinacin regional en San Diego, Estados Unidos;
Buenos Aires, Argentina y Singapur. Tambin posee sedes en Londres (Reino
Unido), Praga (Repblica Checa), Cracovia (Polonia), San Pablo (Brasil) y
Distrito Federal (Mxico).

Adems de su producto estrella ESET NOD32 Antivirus, desde el 2007 la

compaa ofrece ESET Smart Security, la solucin unificada que integra la
multipremiada proteccin proactiva del primero con un firewall y anti-spam.
Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno
de la inversin (ROI) de la industria como resultado de una alta tasa de
productividad, velocidad de exploracin y un uso mnimo de los recursos.

Desde el 2004, ESET opera para la regin de Amrica Latina en Buenos

Aires, Argentina, donde dispone de un equipo de profesionales capacitados
para responder a las demandas del mercado en forma concisa e inmediata y
un laboratorio de investigacin focalizado en el descubrimiento proactivo de
variadas amenazas informticas.

La importancia de complementar la proteccin brindada por tecnologa lder

en deteccin proactiva de amenazas con una navegacin y uso responsable
del equipo, junto con el inters de fomentar la concientizacin de los
usuarios en materia de seguridad informtica, convierten a las campaas
educativas en el pilar de la identidad corporativa de ESET, cuya Gira
Antivirus ya ha adquirido renombre propio.

Para ms informacin, visite www.eset-la.com