Documente Academic
Documente Profesional
Documente Cultură
5
CAPITULO I.....................................................................................................6
Introducción................................................................................................6
Objetivo General.........................................................................................7
Objetivos específicos...................................................................................7
Antecedentes del tema...............................................................................8
Planteamiento del problema.....................................................................10
Justificación...............................................................................................11
Alcances y limitaciones.............................................................................12
CAPITULO II...................................................................................................13
Marco teórico ...........................................................................................13
Definición del comercio electrónico..........................................................13
Características del comercio electrónico...................................................14
Tipos de comercio electrónico...................................................................15
Modelos básicos de comercio electrónico.................................................16
Ventajas del comercio electrónico............................................................19
Desventajas del comercio electrónico.......................................................19
Criptografía...............................................................................................20
La escítala.................................................................................................22
El cifrado César.........................................................................................22
Seguridad..................................................................................................24
CAPITULO III..................................................................................................26
Desarrollo del proyecto.............................................................................26
La seguridad en el comercio electrónico...................................................26
Los riesgos en el comercio electrónico......................................................32
La importancia de la seguridad y la confianza..........................................41
Mecanismos de seguridad.........................................................................43
Seguridad de tránsito y de usuario:..........................................................43
Tipos de seguridad....................................................................................44
Certificados digitales.................................................................................46
Firmas digitales.........................................................................................47
Características de las firmas digitales.......................................................48
El sistema pki............................................................................................49
Funcionamiento del sistema.....................................................................51
Objetivos de la pki.....................................................................................52
Diferenciación en los tipos de seguridad...................................................52
Smart card................................................................................................54
Software wallets........................................................................................55
Conclusión y recomendación.....................................................................56
Referencias bibliográficas............................................................................57
Prólogo
Introducción
Por lo tanto con el presente trabajo se pretende recabar información que nos
ayude a buscar los mejores sistemas de seguridad en el comercio electrónico,
de forma que el lector entienda de una manera más sencilla cuáles son los
diferentes métodos utilizados en esta práctica electrónica.
6
Objetivo General
Objetivos específicos
7
Antecedentes del tema
“El origen del comercio electrónico se dio en los años 70’s con la introducción
de las transferencias electrónicas de fondos (Electronic Funds Transfer – EFT)
entre los bancos para el mejor aprovechamiento de los recursos
computacionales que existen en la época. Mediante redes privadas y seguras,
se optimizaron los pagos electrónicos. Se incluyeron servicios como puntos de
venta (Points Of Sales – POS) en tiendas y almacenes para pagos con tarjetas
de débito y pagos de la nómina a los empleados de las empresas utilizando
cheques en sustitución de efectivo”.1
Estos nuevos medios de ventas son el auge actual, y esto se debe a los
diversos sistemas distribuidos que hoy en día se aplican en nuestra vida
cotidiana, desde el cajero automático donde retiramos dinero, hasta en el
momento de realizar una recarga en nuestro celular.
1
KABA 2006
8
La utilización de instrumentos electrónicos de comunicación como el teléfono, o
el fax para facilitar las negociaciones comerciales, ha sido la precursora del
actual comercio electrónico que se realiza en Internet. Otras formas de
comunicación como el correo electrónico, las páginas Web con catálogos de
productos y tiendas virtuales, la telefonía a través de la red, el mercadeo en
línea y, más recientemente, la firma digital de contratos con valor legal han
revolucionado las formas de vender y comprar.
9
Planteamiento del problema
10
Justificación
Se realizó el presente trabajo para dar un panorama general a los usuarios del
comercio electrónico que no conozcan sobre el tema y poder tener una mayor
confianza al momento de aplicar este medio de compra/venta.
11
Alcances y limitaciones
Alcances
Limitaciones
12
CAPITULO II
Marco teórico
13
la manera común de hacer negocios, porque entonces los beneficios serán
limitados.
A distancia,
Con un mínimo manejo y/o traslado de documentos
Menor o nula intervención del personal de la empresa
Alto grado de automatización, e implica una redefinición dentro de la
empresa.
Estratégicamente,
En el proceso de negocio, y
En el desarrollo de tecnología
14
negocios en el ámbito mundial están cambiando tanto su organización como
sus operaciones. Lo que se transforma en una nueva economía que se
caracteriza por:
prestigio
calidad de los productos
calidad del servicio
publicidad y mercadotecnia
confort
15
Modelos básicos de comercio electrónico
a) Tiendas electrónicas
b) Abastecimiento electrónico
c) Subasta electrónica
16
d) Centros Comerciales Electrónicos
e) Comunidades Virtuales
17
f) Servicios de Abastecimiento
Estos servicios añaden valor al enorme volumen de datos que se vende en las
redes de trabajo abiertas. A menudo se trata de actividades empresariales,
tales como búsqueda de información (ejemplo. Yahoo), creación de perfiles de
clientes, ocasiones empresariales en el mercado, consejos de inversión, etc.
18
Ventajas del comercio electrónico
19
usuarios conectados. La red de tecnologías se desarrolla rápidamente,
pero la necesidad de mayor amplitud en cobertura y consecuentemente
a la velocidad en las conexiones, se han ido incrementando a un ritmo
todavía muy lento.
Criptografía
20
Criptología se divide en Criptoanálisis y Criptografía, como se muestra en la
siguiente figura:
21
La escítala
Figura 2.Escítala
El cifrado César
22
A continuación se muestra el alfabeto y la transformación que realiza este
cifrador por sustitución de caracteres para el alfabeto castellano de 27 letras.
Figura 3 Alfabeto
Para descifrar
23
Seguridad
En este punto hay que hacer una breve pausa para aclarar el hecho de que
actualmente los términos de seguridad, “seguridad de la información” y de
“seguridad informática” han sido empleados de diversas maneras y se les han
dado diversos significados de acuerdo al contexto. Los siguientes párrafos son
definiciones que tratan de ilustrar uno de los significados más comunes a cada
término.
a) Seguridad
• Cualidad de seguro.
24
• Dicho de un mecanismo: Que asegura algún buen funcionamiento,
precaviendo que este falle, se frustre o se violente.
b) Seguridad de la Información
c) Seguridad Informática
25
CAPITULO III
Desarrollo del proyecto
Los usuarios deben conocer los ataques que rondan la red, para tomar las
medidas de seguridad pertinentes y, prevenir así, que su computadora o el
sistema de computadoras de su empresa se vea afectado. Las violaciones de
seguridad pueden tener diversos efectos, desde la inoperatividad del sistema
hasta la pérdida de reputación de una empresa. Esta peligrosa realidad tiene
importantes efectos técnicos y jurídicos. La búsqueda de responsables, será
tema de discusión en varios escenarios, sin embargo, la pesquisa que debe
primar es la difusión de la condición de inseguridad, con el objetivo de crear
conciencia.
26
comercio es el comerciante, quien de acuerdo con nuestra legislación es
aquella persona que profesionalmente se ocupa de alguna de las actividades
que la misma ley considera como mercantiles.
Hoy en día, esta concepción está siendo revalidada, básicamente, por las
diferentes opciones que ofrece el mercado, en particular, por el comercio
electrónico.
Las computadoras han tenido un constante desarrollo desde sus inicios. Bill
Gates y Paul Allen fundaron MICROSOFT en 1975. La empresa se dedicaba a
la fabricación de sistemas operativos - software -. Un año después, se terminó
de construir el APPLE I, por uno de los ingenieros de Hewlett Packard, quien
fundaría APPLE COMPUTER. Otro importante avance en los sistemas
operativos, que terminó con las maquinas de escribir, fueron los procesadores
de palabras, que salieron al mercado en el siguiente orden: WORDSTAR,
WORDPERFECT, WORD.
Los sistemas operativos han sido desarrollados para ofrecer sistemas íntegros
y ágiles, tecnológicamente hablando, facilitando la labor del usuario. A pesar de
las grandes ventajas que ofrecen los sistemas operativos, la inseguridad en las
redes de información, ha generado desconfianza en el sistema, sin embargo,
ha generado conciencia en los empresarios que desarrollan los sistemas
operativos; la búsqueda se concentra cada vez más en el desarrollo de
sistemas seguros.
27
por el contrario propagar el conocimiento de la seguridad en los medios
electrónicos; el mecanismo más adecuado para difundir el sentimiento de
confianza, es sin duda, la transmisión de la información y del conocimiento, ya
que si bien es cierto que la inseguridad está presente, así mismo existen
mecanismos para contrarrestarla, el obstáculo es que no se conocen estos
mecanismos.
• Permitir que se puedan enviar mensajes desde una computadora hacia otro
ubicado en cualquier lugar del mundo.
28
• Almacenar archivos para que puedan ser leídos por una persona en otro lugar del
mundo.
• Permitir que los usuarios se puedan conectar con computadores ubicados en sitios
remotos, tal y como si estuviesen en el mismo lugar.
Internet, es sin duda, la red de redes, que permite comunicación en tiempo real,
intercambio de información, celebración de contratos, almacenamiento de
datos, entre otros. Es una herramienta inherente al comercio electrónico. Se
podría decir que el comercio electrónico debe entenderse como toda forma de
transacción comercial (compra - venta, pago - cobro) a través de medios
electrónicos.
29
La posibilidad de transmitir digitalmente de manera descentralizada, el desarrollo
de Internet a finales de los años sesenta y el perfeccionamiento de sus servicios desde la
aparición de la red de redes en los años ochenta, se constituyeron en los pilares básicos
para el despegue del comercio electrónico. En la actualidad el desarrollo del comercio
electrónico a nivel mundial es un hecho innegable e irreversible. No sólo es así, sino que
se prevé, seguirá en crecimiento en los próximos años generando grandes ingresos a
través de la red, el cual innegablemente causa un impacto sobre la actividad económica,
social y jurídica en donde éstas tienen lugar.
A pesar de no haber madurado aún, el comercio electrónico crece a gran velocidad e
incorpora nuevos logros dentro del ciclo de producción. A nivel general, todo parece
indicar que este nuevo medio de intercambio de información, al eliminar las barreras y
permitir un contacto en tiempo real entre consumidores y vendedores, producirá mayor
eficiencia en el ciclo de producción aparejado a un sinnúmero de beneficios como la
reducción de costos, eliminación de intermediarios en la cadena de comercialización, etc.
trayendo importantes e invaluables beneficios a los empresarios que estén dotados de
estas herramientas.2
El crecimiento del comercio electrónico es una realidad, y los usuarios crecen
exponencialmente. Ahora bien, sin perjuicio del auge del Internet, el comercio
electrónico, entendido como la negociación de mercaderías a través de medios
electrónicos, no ha tenido el impacto que se esperaba, como quedó antedicho,
por razones de inseguridad.
2
Citado por la Corte Constitucional Sala Plena. Sentencia C- 662 de junio 8 de 2000.
Magistrado Ponente: Dr. Fabio Morón Díaz. Expediente: D-2693.
30
Objetivamente cualquier sujeto con acceso a la red es un potencial agresor, los
delincuentes se infiltran cómo un usuario común y su ubicación, es difícil de
detectar. Sin perjuicio de analizar más adelante los mecanismos de seguridad,
puede decirse que ésta, tiene dos áreas de acción - lógica y física -. La primera
consiste en implementar mecanismos a nivel hardware y software, que impidan
la entrada ilegal de usuarios a las redes tecnologías de la información (IT) de la
empresa. Estos dispositivos deben ser implementados luego de un análisis de
vulnerabilidad de la compañía. La segunda consiste en garantizar la integridad
de los centros de cómputo, ante cualquier riesgo, como por ejemplo
movimientos telúricos, incendios, sobrecargas de energía etc. La complejidad
de la seguridad tiene un sin número de explicaciones entre las cuales puede
mencionarse: - el tiempo que demanda realizar una efectiva protección de
dichas actividades; - los costos de operación en sistemas seguros; - la
vulnerabilidad de los sistemas de seguridad más comunes y económicos. Sin
embargo, implementar medidas preventivas siempre será menos costoso que
reparar los daños.
31
Desaparecer los límites geográficos para los negocios en general.
• Estar disponibles las 24 horas del día.
• Reducción de un porcentaje importante en los costos de la transacción.
• Se facilita la labor de los negocios entre empresario y cliente.
• Reducción considerable de inventarios.
• Agiliza las operaciones del negocio.
• Proporcionar nuevos medios para encontrar y servir a los clientes.
• Incorporar estrategias de nivel internacional para optimizar las relaciones
empresa - cliente.
• Reducir el tamaño del personal y consecuentemente los costos de
nómina.
• Reducción de costos de publicidad, generando mayor competitividad.
• Cercanía a los clientes y mayor interactividad y personalización de la
oferta.
• Desarrollo de ventas electrónicas.
• Globalización y acceso a mercados potenciales de millones de clientes.
• Implantar tácticas en la venta de productos para crear fidelidad en los
clientes.
• Bajo riesgo de inversión.
• Rápida actualización en información de productos y servicios de la
empresa (promociones, ofertas, etc.).
3
SARMIENTO. GARCIA, Manuel Guillermo. Responsabilidad Civil. Universidad Externado de
Colombia. 2002. P. 180 y 181.
32
“La idea de riesgo se presenta entonces sustitutiva de la idea de culpa como
fundamento de la responsabilidad civil, lo cual implica el desconocimiento total del
dogma milenario heredado del derecho romano, según el cual no hay
responsabilidad sin culpa comprobada”, en el que se basa toda la teoría tradicional
de la responsabilidad y donde el elemento culpa se constituye en presupuesto de
existencia de la obligación de indemnizar”4
Así por ejemplo, los contratos que celebra VISA - Reglamento del Servicio
Electrónico de Pagos -, establecen en la cláusula vigésima quinta se la
responsabilidad del banco en los siguientes términos:
4
SARMIENTO. GARCIA. Ibid. p. 182.
33
La causa del perjuicio es difícil de probar, los riesgos son muchos y la
inseguridad siempre es asumida por el usuario, el Banco, como se observó,
sólo responde por conductas negligentes derivadas de su labor pero no por los
perjuicios derivados de la inseguridad – alteración, modificación, uso
fraudulento etc.
Para repeler un ataque hay que conocer al enemigo, razón por la cual, resulta
de vital importancia introducir los riesgos a que está expuesto el comercio
electrónico y, presentar así los mecanismos que los contrarresten.
5
Las tres categorías que se mencionan son expuestas por Robert D. Austin y Crhristopher
A.R. Darby en el artículo EL MITO DE LOS SISTEMAS DE IT SEGUROS. Harvard Business
Review. Junio de 2003.
34
• Ataques de red: son aquellos que se efectúan a través de la red
Internet. Ocasionan un lento desempeño en el sistema operativo de
cada uno de los computadores de la empresa, afectan el correo
electrónico y las redes internas, sin que necesariamente se afecten o
dañen los sistemas operativos. Un ejemplo de este tipo de ataques es el
DOS -Denial of Service -, que consiste en remitir una gran cantidad de
correos electrónicos que producen el agotamiento de los sistemas. “En
febrero de 2000, los ataque DOS que se dirigieron contra blancos de alto
perfil tales como Yahoo, eBay, CNN y el FBI, causaron daños por más
de US$100 millones”6.
• Las infiltraciones: se dirigen al interior de los sistemas operativos, el
modus operandi consiste en descifrar las contraseñas de los usuarios
para acceder al escritorio del computador, donde se podrá acceder a
cualquier sistema operativo e inclusive a los demás equipos que se
encuentren conectados a través de red interna, que en la gran mayoría
se divide por áreas. En este aspecto, es importante que las claves que
utilice no sean: nombre, apellido, dirección, teléfono, fecha cumpleaños
etc., lo cual genera una exposición mayor del sistema. Es claro que no
existe conciencia sobre la vulnerabilidad de los sistemas y, mayor aún
sobre el grado de compromiso que deben tener cada uno de los
empleados para reducir al máximo los ataques de red y las infiltraciones.
• El código maligno: abarca los virus y los gusanos.
Los Atacantes
35
su capacidad como programadores. Sin embargo, su uso más extendido (e
incorrecto, según los propios hackers) es el de delincuente informático, o
cracker.
Uno de los piratas informáticos - Kevin Mitnik - escribió: The Art of Deception
(El arte de la decepción). Mitnik fue acusado por robo de software y alteración
de datos de Motorola, Novell, Nokia, Sun Microsystems y de la Universidad de
California durante los años ochenta y noventa.
Mitnik es conocido por ser unos de los hombres más buscados por el FBI
durante tres años. En 1995 fue capturado en un apartamento en Raleigh,
gracias a la ayuda de un experto académico en seguridad. Pese a su condición
de delincuente informático, es considerado un héroe en la comunidad hacker.
Si bien es cierto que los hacker son los atacantes más conocidos y peligrosos,
no son los únicos; como se verá, cualquier empleado, por ejemplo, es un
potencial atacante y, representa un riesgo para un sistema computacional.
Atacantes Internos
Las vías de acceso pueden ser internas o externas. Los ataques internos son
aquellos que se encuentran dentro de la misma empresa - empleados directos
-Este factor ha sido atribuido entre otros a la inestabilidad laboral; hoy en día la
gran mayoría de contratos que celebran las empresas son a término fijo, las
empresas evitan al máximo compromisos laborales de largo tiempo que le
signifiquen una carga en prestaciones altas y una liquidación costosa, en caso
de retiro voluntario o forzado. La pérdida de lealtad, es un factor que, sin duda
alguna, contribuye a que los empleados no tengan remordimiento en causar
daño a su empresa y generarle pérdidas. Un empleado bancario descontento,
lanzó un ataque DOS contra el sistema operativo de su compañía, el cual se
interconectaba con todas las oficinas. Previendo que el personal de sistemas
estaría preocupado por interconectar el sistema entre el computador central y
las oficinas, inició un segundo ataque, que fue muy efectivo, gracias a que
conocía el software con el que operaba el banco. Para iniciar su ataque
investigó en Internet y bajó un programa hacker, que pueden bajarse en diez
36
minutos desde cualquier computador conectado a la red a través de fibra
óptica. No aplacado, creo una ruta para que los usuarios al entrar en la página
web del banco fueran remitidos a una dirección de páginas pornográficas7.
Los ataques internos son difíciles de prevenir y, dependen del nivel de lealtad y
confianza entre empleador y trabajador; un empleado que quiera su empresa y
respete la organización seguramente no intentará éste tipo de maniobras. Por
esta razón, el tema de la inseguridad debe abarcar políticas empresariales que
vayan desde la creación de niveles de acceso al sistema operativo a través de
claves, como también, programas - cursos, conferencias y entornos de trabajo
cordiales.
Atacantes Externos
Los ataques externos, tienden a ser más peligrosos aunque menos frecuentes.
La prevención, depende en gran medida de los sistemas de seguridad que
utilice la empresa y, de los mecanismos de seguridad que emplee en sus
transacciones y actividades en general.
Los atacantes externos pueden ser de diversa índole, así como, los motivos
que los impulsan. A continuación se mencionan los atacantes más relevantes
de las redes:
7
Este hecho fue narrado en Harvard Business Review. Volumen 81. Número 6. Junio 2003.
p. 89.
37
mayoría de los casos estas personas suelen ser ex empleados que
buscan venganza, o sujetos que están en contra del sistema y
simplemente buscan desestabilizarlo generar caos y daños importantes,
en las empresas estatales o privadas de alto perfil.
• Otra forma de ataque son los gusanos, que están diseñados para
infiltrarse en los programas de tratamiento de texto y destruir la
información, a diferencia de los virus no poseen la capacidad de
reproducirse, lo que los hace fáciles de destruir.
• Los caballos de Troya, son programas que están camuflados dentro de
programas en sí mismo inofensivos. “Consiste en introducir rutinas en un
programa para que actúe en forma distinta a como estaba previsto”. Los
virus y los gusanos pueden esconderse dentro de los trojan horses”.
8
Ibid. p. 25 a 29.
38
• Las bombas de relojería son muy parecidos a los caballos de troya,
pero su forma de ataque está regulada en el tiempo, de manera que se
activan en el momento preciso en el cual pueden causar un mayor daño.
• La introducción de datos falsos, es otra de las formas de ataque,
consiste en la manipulación de datos de entrada o salida de los sistemas
operativos generando error en la transmisión o recepción de mensajes
de datos, con el fin de inducir a error con fines económicos o no.
• La Técnica de Salami es utilizada en el sistema financiero en particular
en las transferencias de cuentas corrientes, cuentas de ahorro y
productos de ahorro, consistente en la transferencia automática de los
centavos de las transacciones realizadas a una cuenta determinada.
Los atacantes y los medios que utilizan requieren vías de acceso para
introducirse en el sistema y producir el daño esperado.
Para que un ataque sea efectivo es necesario contar con una vía de acceso, lo
cual se produce en la mayoría de los casos por las deficiencias y puntos
vulnerables de un sistema operativo.
El desarrollo de los sistemas operativos y sus deficiencias en particular
suscitan a los atacantes para exhibir sus habilidades y demostrar que no hay
sistema impenetrable e invulnerable. Las formas más conocidas de vías de
ataque son las siguientes:
39
Management remoto: Para poder conectarse a Internet es necesario contratar
un servidor que sirva de puente. Esta gestión puede hacerse de varias
maneras, desde el mismo sitio del servidor, desde otro ordenador e incluso
desde Internet, lo cual evidencia claros riesgos.
Los daños: Las formas de ataque pueden producir significativos daños, que
pueden enmarcarse como lo dice el Dr. Font9 en cuatro clases genéricas:
9
FONT, Andrés. Seguridad y Certificación en el Comercio Electrónico. Madrid : Editorial
Fundación Retevisión. 2002. p. 27 y 28.
40
modificación de la información que ha sido interceptada. En este caso la
interceptación tiene como único fin la modificación de la información.
4. Fabricación: Consiste en la introducción de nuevos elementos que son
dañinos y afectan el sistema operativo.
41
público o privado; en el primero interviene la organización estatal, que dedica
sus esfuerzos a evitar la violencia, el terrorismo, a atender necesidades
económicas y sanitarias con miras a mejorar la calidad de vida de sus
asociados y proveer un orden social revestido de legitimidad.
La Confianza
Ofrecer bienes y/o servicios en cualquier mercado, implica un gran reto; más
aún si no se tiene la confianza y el respaldo jurídico. Posicionarse en el
mercado, generar confianza en los consumidores y forjar una buena imagen es
una tarea que deben emprender los establecimientos de comercio que buscan
ofertar sus bienes y servicios en la red Internet.
42
Mecanismos de seguridad
La seguridad que implemente la empresa, debe proteger todos los flancos, con
un especial énfasis en los focos vulnerables. Existen diversos mecanismos de
seguridad, su implementación, implica un estudio de riesgos y su aplicación
debe hacerse de acuerdo con los requerimientos que arroje el estudio. Lo
importante es detectar las debilidades del sistema, de lo contrario, se estarían
situando los mecanismos de seguridad en lugares no requeridos.
43
La autenticación permite identificar al usuario. La autorización es la lista de
permisos y de accesos a que tiene derecho ese usuario que ha sido
previamente identificado. La contabilidad es la parte que lleva los registros de
la seguridad del usuario. Se sigue los pasos del usuario durante su estadía en
la red lo que le permite al empleador saber en que gasta el tiempo su
trabajador.
Tipos de seguridad
44
El SET a diferencia del SSL, además de asegurar la integridad de las
comunicaciones identifica a las partes contratantes, lo cual evita el repudio de
la transacción. La desventaja del SET es que se requiere que tanto vendedor
como comprador estén registrados y tengan instalado el sistema.
Indiscutiblemente, el protocolo SET es el sistema de seguridad adecuado para
las instituciones financieras, teniendo en cuenta que el servicio que prestan es
público.
1. Seguridad en el host
2. Seguridad la Red
2. Este sistema controla desde la red el acceso a los host, para lo cual utiliza
diversos mecanismos entre los cuales pueden mencionarse:
45
• Firewalls: A través de programas de software y hardware se crea un
sistema de puertas que controlan la entrada y salida a la red.
• Passwords: Consiste en un sistema de claves de identificación que sólo
son conocidas por las personas autorizadas para ello, generando
seguridad al acceso de programas confidenciales y a la red en general.
• Encriptación: Es un sistema que sirve para convertir un texto legible en
indescifrable a través de la criptografía.
• Proxy Server: Es un sistema de bloqueo que controla la entrada de los
virus a través de hacer las veces de intermediario entre las peticiones
que se realicen desde la red hacia Internet. Una vez reconocida la
petición y si el programa acepta la petición se establece la transmisión y
se hace efectiva la petición.
• Packet Filtering: Este es un sistema de filtros que analiza los packets
Como se puede ver existen diversas formas de controlar a nuestros datos con
mecanismos que podemos utilizar para asegurar nuestra integridad.
Certificados digitales
CERTIFICADO DIGITAL
Tipo de Certificado
Número del Certificado
Algoritmo de la Firma Digital
12
La palabra certificado de acuerdo con el Diccionario de la Lengua Española es la carta o
paquete que se certifica. En términos jurídicos la certificación implica que dicho documento
está avalado por el emisor.
46
Período de Validez
Nombre del titular
Titular:
Clave Pública:
Autoridad de Certificación
Identificador del Titular
Firma Digital de la Autoridad de Certificación
Firmas digitales
Nombre y apellido, o título de una persona, que esta pone con rúbrica al pie de un
documento escrito de mano propia o ajena, para darle autenticidad, y para expresa
que se aprueba su contenido, o para obligarse a lo que es él se dice.
La firma digital no se aleja del concepto básico de firma, pero si es una especie
particular con características propias.
47
Transformación de un mensaje empleando un criptosistema asimétrico tal, que una
persona que posea el mensaje inicial y la clave pública del firmante pueda determinar con
certeza:
48
• Son únicas.
• Están bajo el control exclusivo del emisor y receptor, aunque en el
sistema de clave pública una de las claves es de acceso público y puede
ser conocida por cualquier persona.
• Cada transacción que se realice debe utilizar una clave nueva, creada
para un único mensaje de datos.
• Son susceptibles de ser verificadas por la entidad de certificación que las
creó.
• Van adjuntas al documento de forma tal que pueda verificarse si el
mensaje ha sido alterado después de ser encriptado.
• Para que tengan garantía legal deben ser creadas por entidades
autorizadas para tal fin.
El sistema pki
a) Sistema simétrico: Existe una sola clave que es utilizada por el remitente
y el receptor. Esta clave es utilizada tanto para encriptar como para
49
desencriptar o descifrar el mensaje. Este sistema se denomina “de clave
compartida”.
b) Sistema asimétrico: este sistema utiliza dos claves; una pública la cual
es de libre acceso y puede ser conocida por cualquier persona; y una
privada, que es de uso exclusivo y privativo del usuario. La clave pública
50
es transmitida a través de medios inseguros - del emisor al receptor o de
la entidad al receptor - o simplemente está disponible en la página web
de la entidad certificadora. Esta transferencia no necesita de seguridad
alguna, ya que la clave puede ser conocida por cualquier persona sin
que se afecte la seguridad del sistema. La clave privada del emisor es
entregada personalmente al emisor de manera que se garantiza la
privacidad de la clave privada y consecuentemente la seguridad del
mensaje de datos transmitido. De esta manera el sistema es altamente
seguro y confiere a las transacciones electrónicas la seguridad que
requieren.
La solución podría ser utilizar cuatro claves, dos privadas y dos públicas. Tanto
el iniciador del mensaje como el receptor tienen dos claves: pública y privada.
El iniciador, con su clave privada encripta el mensaje de datos y con la clave
pública del receptor lo vuelve a encripte, una vez recibido, el receptor con la
51
clave pública del iniciador lo desencripta y con su clave privada lo vuelve a
desencriptar para obtener el mensaje original, garantizando así la autenticidad
y el no repudio.
Objetivos de la pki
52
gratis. Así finalmente, las transacciones mediante SSL sólo requieren el
diligenciamiento de un formulario, datos personales y bancarios del usuario,
que son cifrados mediante criptografía simétrica. El receptor del mensaje al
recibir los datos los desencripta y hace efectiva la transacción.
53
Como respuesta a las tradicionales formas de pago, y a la desconfianza que
generan las mismas aparecen los denominados “digital cash”. Existen
básicamente dos formas: las smart cards y los software wallets.
Las tarjetas inteligentes poseen grandes ventajas, entre las cuales la más
sobresaliente es la seguridad, y los grandes obstáculos a superar, entre los
cuales el más trascendental es la reducción de costos operacionales y la
capacidad de memoria, toda vez que entre mayor memoria, mayor seguridad,
sin embargo, los piratas informáticos prefieren sistemas complejos con gran
memoria para poner en funcionamiento sus sistemas, igualmente complejos,
razón por la cual, una memoria reducida puede ser un punto a favor de la
seguridad.
Smart card
Los Smart Cards son una tarjeta de plástico del tamaño de una tarjeta de
crédito, que en lugar de utilizar una banda magnética utiliza un microchip con
capacidad de encriptación y memoria. Para poder hacer uso de la smat card es
necesario conocer el PIN o clave secreta para acceder a ella. La smart card
contiene dos claves criptográficas; una que es guardada en el ordenador del
Banco o de la Entidad de Certificación, la otra está almacenada en la tarjeta,
ésta es privada y ni siquiera la conoce su titular. Cuando la smart card pasa a
través de un lector y se digita correctamente el PIN, la clave privada encripta la
información requerida y la envía a su destinatario quien con la clave del Banco
o de la Entidad desencripta el mensaje.
Un punto a favor de las smart card está relacionado con la seguridad, gracias a
su limitada capacidad de memoria impide posibles ataques de hackers, toda
vez que el sistema rechaza el programa del hacker, que de acuerdo con los
estudios de seguridad son sistemas operativos complejos, al no poder operar
en un “campo” con tan poca memoria.
54
Software wallets
55
Conclusión y recomendación
56
Se recomienda antes de realizar alguna compra por comercio electrónico
verificar los diferentes medios de seguridad con los que cuenta, para darle un
mejor servicio y el cliente quede satisfecho y con la seguridad de que puede
repetir el proceso de una manera confiable.
Referencias bibliográficas
57
Elsenpeter, Robert. Velte, Joby (2002). Fundamentos De Comercio
Electrónico. Estados Unidos: Mc Graw Hill.
58