• Dimensiones de seguridad en comercio electrónico
Integridad: capacidad de asegurar que
La información que se muestra en un sitio web, o que se transmite o se recibe a
Través de Internet, no ha sido alterada de ninguna manera por una parte no
Autorizada.
/ No repudicación: capacidad de asegurar
Que los participantes en el e-commerce no nieguen o desconozcan sus acciones
On-line.
/ Autenticidad:
Capacidad de chequear la identidad de una persona o entidad con la que
Se está tratando en Internet.
/ Confidencialidad:
Capacidad de asegurar que los mensajes y los datos estén disponibles sólo para
Quienes están autorizados a verlos.
/ Privacidad:
Capacidad de controlar el uso de la información acerca de uno mismo.
/ Disponibilidad: capacidad de asegurar que un sitio de
Comercio electrónico siga funcionando como se espera.
• Aspectos Básicos de Seguridad: Autorización:
Es un proceso que asegura que una persona tiene derecho para acceder a determinados
Recursos ofrecidos.
/ Auditoría:
Proceso de recolectar información sobre intentos de acceder a recursos
Determinados, usar determinados privilegios o realizar algunas acciones
Relacionadas con la seguridad de un sitio web.
• Tipos de Amenezas y Ataques:
Ataque no ético: es un tipo de acción
De distracción o engaño que intenta lograr que el usuario desprevenido revele
Información confidencial, con el objeto de valerse de esos datos para afectar
La seguridad de un acceso web.
/ Ataque
“negar-servicio” (denial-of-service -DoS): es un tipo de ataque a un sitio web
Donde el atacante usa un tipo de soft especial para inundar con envíos a un
Sitio determinado con el objeto de bloquear el posible acceso a éste, por
Saturación de sus recursos.
/ Ataque
“negar-servicio-distribuído” (
Distributed denial-ofservice-DDoS): es un ataque tipo DoS donde el atacante
Adquiere acceso ilegal a tantas computadoras en Internet como le sea posible, y
Usa esta “artillería” de recursos, para inundar con envíos a un sitio
Determinado con el objeto de bloquear el posible acceso a éste, por saturación
De sus recursos.
/ Malware
(malicious software): Incluyendo a: virus, gusanos, caballos de Troya y bots.
-Virus: programa de computadora que se incorpora por si
Mismo en un programa “anfitrión” no protegido, incluso en el sistema operativo,
Para propagarse. Para poder actuar requiere que el programa anfitrión esté
Corriendo o sea activado.
Gusano
(worm): un programa de soft que corre independientemente, consumiendo recursos
De su programa anfitrión para automantenerse, y que es capaz de propagar una
Versión completa de si mismo (clon) hacia otra máquina. Está diseñado para
Expandirse de pc a pc.
– Caballo de
Troya: parece ser benigno, pero luego
Hace más de lo esperado. A veces es la puerta de entrada para otros códigos
Maliciosos.
– Bot: se puede instalar de manera encubierta en una
Pc cuando se conecta a Internet. Una vez instalado el bot responde a los
Comandos externos enviados por el atacante.
• Errores comunes en el manejo de Riesgos de seguridad
Información desactualizada /
Límites
De seguridad muy bajos (accesibles)
/
Sistemas de seguridad “reactivos” /
Insuficiencia
De comunicaciones sobre seguridad.
• Programas indeseables:
Parásito de navegador: programa que
Puede monitorear y modificar la configuración del navegador de un usuario.
/ Spyware: programa que se utiliza para
Obtener información como las pulsaciones de tecla de un usuario, correo
Electrónico, mensajes instantáneos, etc.
/
Phishing: cualquier intento engañoso en línea por parte de un tercero de
Obtener información confidencial a cambio de una ganancia financiera.
• Seguridad en Comercio Electrónico: Control de Acceso: mecanismo que
Determina quien está autorizado para usar legítimamente un recurso en la red.
/ Sistemas Biométricos: sistemas de
Autenticación que identifican a las personas usando medidas y carácterísticas
Biológicas (huellas dactilares, patrones en el iris, razgos faciales o voz).
/ Sistemas Fisiológicos: medidas
Derivadas de las diferentes partes del cuerpo (tamaño de la mano, rostro,
Etc.).
/ Biométricas
Comportamentales: medidas derivadas de las acciones indirectas de las partes
Del cuerpo (inflexión de la voz, etc.)
• Seguridad por etapas:
Firewall: es un nodo en la red que
Cuenta con soft y hard capaz de aislar una red privada de una red pública.
/ Paquetes (packets): segmentos de
Datos y requerimientos enviados de una computadora a otra, sobre Internet, que
Consiste en la ID de ambas computadoras más otra información identificatoria
Que permite distinguir un paquete de otro.
/
Filtros de paquetes (packet filters): reglas que permiten aceptar o
Rechazar paquetes entrantes en base a las direcciones de origen y de destino y
La otra información de identificación del remitente.
/ Servidor proxy: servidor de software que se encarga de todas las
Comunicaciones que se originan de o se envía a Internet, actuando como un
Vocero o guardaespaldas para la empresa.
/
Switch: dispositivo digital de lógica de interconexión de redes de
Computadores que opera en la capa 2 (nivel de enlace de datos). Su función es
Interconectar dos o más segmentos de red, de manera similar a los puentes
(bridges), pasando datos de un segmento a otro de acuerdo con la dirección de
Destino de las tramas en la red.
/ Router:
Es un dispositivo de hardware para interconexión de red de pcs que opera en la
Capa tres (nivel de red). Asegura el enrutamiento de paquetes entre redes determinando la ruta que debe tomar el
Paquete de datos.
• Seguridad en Internet: Red virtual
Privada: es una red que usa Internet para mover información, pero permanece
Privada al usar encriptación en sus comunicaciones, autenticación para asegurar
Que la información no sea interferida y control de acceso para verificar la
Identidad de cualquiera que intente usar la red.
/ Tunel de protocolo: método usado para asegurar confidencialidad
E integridad de los datos transmitidos en Internet, al encriptar los paquetes
De datos, enviarlos por Internet y desencriptarlos al llegar a destino.
/ Sistemas de Detección de Intrusos: son
Categorías especiales de soft que son capaces de monitorear actividades menores
En la red o en una computadora, observar las actividades sospechosas y tomar
Acciones automáticamente en base a lo que el programa está observando.
• Tipos de atacantes:
Hacker:
Es una persona con abundantes conocimientos de informática y redes, que explora
(o penetra en) sistemas por puro reto. Intenta obtener acceso no autorizado a
Un sistema de computadoras. Penetra en sistemas en beneficio propio (monetario,
Social o por pura diversión destructiva).
/
Cracker: Es una persona con
Conocimientos extensos de seguridad que rompe códigos de protección (“cracks”).
/ Script Kiddies / Lamers: Es una
Persona conocimientos mínimos, nulos de seguridad. Pueden causar graves daños
(herramientas precocinadas).
/
Sombreros blancos: Hackers buenos que
Ayudan a las organizaciones a localizar y corregir las fallas de seguridad.
/ Sombreros negros: Hackers que actúan
Con la intención de ocasionar daños.
/ Sombreros
Grises: Hackers que creen que están buscando algún bien mayor al irrumpir y
Revelar las fallas en un sistema.
• Posibles daños:
Robo de Información,
Pérdida de datos, Denegación de servicio, Pérdida de imagen, Posible
Responsabilidad legal.