lunes, 22 de noviembre de 2010

Seguridad informática

La seguridad informática es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La seguridad informática comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial.



Tal y como avanzan las tecnologías cada vez es más frecuente encontrarnos con portales que nos ofrecen productos y servicios a través de la Red. Y poco a poco los usuarios empezamos a dar uso a este tipo de servicios, aunque todavía nos sentimos reticentes a revelar nuestros datos privados y bancarios así como así.Esto puede deberse a la falta de seguridad que en unos casos está ausente y en otros no sabemos hasta qué punto es fiable.

La seguridad, hasta ahora, nunca ha sido uno de los principales puntos a la hora de tener en cuenta el desarrollo y la evolución de Internet. Parece que este detalle tiende a cambiar, y que la seguridad enfocada al comercio electrónico busca la seguridad de los datos de sus usuarios. La incorporación de mecanismos, técnicas y algoritmos adecuados para realizar transacciones electrónicas se hace necesaria para evitar los riesgos a los que nos exponemos. Se puede hablar en este sentido de cuatro aspectos básicos de seguridad: autentificación, confidencialidad, integridad y el no-repudio.

·         Autentificación:
La autentificación es el proceso de verificar formalmente la identidad de las entidades participantes en una comunicación o intercambio de información. Por entidad se entiende tanto personas, como procesos o computadoras.

Existen varias formas de poder autentificarse:


- basada en claves
- basada en direcciones
- criptográfica

De estas tres posibilidades la más segura es la tercera, ya que en el caso de las dos primeras es posible que alguien escuche la información enviada y pueden suplantar la identidad del emisor de información.

Desde otro punto de vista se puede hablar de formas de autentificarse, como puede ser a través de la biometría (huellas digitales, retina del ojo, la voz…), por medio de passwords o claves, y por último utilizando algo que poseamos, como un certificado digital. Se llama autentificación fuerte a la que utiliza al menos dos de las tres técnicas mencionadas en el párrafo anterior, siendo bastante frecuente el uso de la autentificación biométrica, que como se indicó antes se basa en la identificación de personas por medio de algún atributo físico.

·         Confidencialidad:
      confidencialidad es la propiedad de la seguridad que permite mantener en secreto la información y solo los usuarios autorizados pueden manipularla. Igual que antes, los usuarios pueden ser personas, procesos, programas…


Para evitar que nadie no autorizado pueda tener acceso a la información transferida y que recorra la Red se utilizan técnicas de encriptación o codificación de datos. Hay que mantener una cierta coherencia para determinar cuál es el grado de confidencialidad de la información que se está manejando, para así evitar un esfuerzo suplementario a la hora de decodificar una información previamente codificada.

·         Integridad:
La integridad de la información corresponde a lograr que la información transmitida entre dos entidades no sea modificada por un tercero y esto se logra mediante la utilización de firmas digitales. Mediante una firma digital se codifican los mensajes a transferir, de forma que una función, denominada hash, calcula un resumen de dicho mensaje y se añade al mismo.

La validación de la integridad del mensaje se realiza aplicándole al original la misma función y comparando el resultado con el resumen que se añadió al final del mismo cuando se calculo por primera vez antes de enviarlo. Mantener la integridad es importante para verificar que en el tiempo de viaje por la Red de la información entre el sitio emisor y receptor nadie no autorizado ha modificado el mensaje.

·         No-repudio:
Los servicios de no-repudio ofrecen una prueba al emisor de que la información fue entregada y una prueba al receptor del origen de la información recibida. Con este aspecto conseguimos que una vez que alguien ha mandado un mensaje no pueda renegar de él, es decir, no pueda negar que es el autor del mensaje.

Para el comercio electrónico es importante ya que garantiza la realización de las transacciones para las entidades participantes.Se aplica en ambos lados de la comunicación, tanto para no poder rechazar la autoría de un mensaje, como para negar su recepción.

Es necesario identificar la información que debe conocer cada una de las entidades participantes en el proceso de comercio electrónico y con ello permitir la privacidad de forma fraccionada a las partes autorizadas para su uso.

Como conclusión indicar que la combinación de estos cuatro aspectos mencionados, que son la autentificación, confidencialidad, integridad y no-repudio, garantiza en cierto grado la seguridad en las transacciones electrónicas. Conocer y aplicar conceptos, técnicas y algoritmos para implementar un sistema de seguridad es imprescindible para minimizar riesgos y así poder asegurar al usuario que el comercio electrónico es un mecanismo seguro en el cual puede confiar siempre que se trate con la delicadeza que requiere.

Sistema de pago electrónico

Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta dentro del comercio electrónico.

El comercio electrónico por Internet se ofrece como un nuevo canal de distribución sencillo, económico y con alcance mundial las 24 horas del día todos los días del año, y esto sin los gastos y limitaciones de una tienda clásica: personal, local, horario, infraestructura, etc.

¿Cómo funciona?

En el pago con tarjeta, la pasarela de pago valida la tarjeta y organiza la transferencia del dinero de la cuenta del comprador a la cuenta del vendedor.

El monedero electrónico, sin embargo, almacena el dinero del comprador en un formato electrónico y lo transfiere al sistema durante el pago. El sistema de pago valida el dinero y organiza la transferencia a la cuenta del vendedor. También existe la posibilidad de que el sistema de pago transfiera el dinero electrónico al monedero electrónico del vendedor actuando en este caso como un intermediario entre ambos monederos electrónicos.

El pago a través de la banca electrónica, enlaza un número de operación o venta realizada en el comercio o tienda virtual con la cuenta bancaria del cliente en el mismo site del banco. Esto, reduce el riesgo de fraude al no transmitir información financiera personal por la red.

Dentro de los posibles mercados de pago se distinguen tres modalidades de compras:

Encontrar clientes y negocios que se arriesguen en un producto que está todavía en las primeras fases de introducción. Se trata del mayor reto y ha provocado un efecto de "la gallina y el huevo": los Bancos/Compañías de Software no pueden obtener clientes sin vendedores, y a la inversa.
Garantizar la seguridad. Este es quizás el mayor problema para la gente interesada en realizar compras electrónicas. La mayor parte de la gente teme dar su número de tarjeta de crédito, número de teléfono o dirección porque no sabe si alguien será capaz de utilizar esa información sin su consentimiento. Es interesante comprobar que la mayoría de la gente no se lo piensa dos veces antes de comprar cosas por teléfono, pero les incomoda hacerlo a través de su PC. El estándar SET está alejando este miedo mediante un cifrado de los datos de la tarjeta, de forma que sólo el banco y el cliente puedan leerlos.
Garantizar el anonimato. Este es también un factor importante en algunos tipos de pago, en concreto en el pago mediante dinero electrónico. Sin embargo, gran parte de la gente se ha acomodado a las tarjetas de crédito y débito. El dinero electrónico anónimo tiene un mercado potencial, pero puede no ser tan grande como se espera.

Los sistemas de pago empleados en Internet pueden englobarse en dos categorías:

Cajeros Electrónicos:

Se trata de sistemas en los cuales los clientes abren unas cuentas con todos sus datos en unas entidades de Internet. Estas entidades les proporcionan algún código alfanumérico asociado a su identidad que les permita comprar en los vendedores asociados a las entidades.

Dinero Electrónico (Anónimo e Identificado):

El concepto de dinero electrónico es amplio, y difícil de definir en un medio tan extenso como el de los medios de pago electrónicos (EPS). A todos los efectos se definirá el dinero electrónico como aquel dinero creado, cambiado y gastado de forma electrónica. Este dinero tiene un equivalente directo en el mundo real: la moneda. El dinero electrónico se usará para pequeños pagos (a lo sumo unos pocos miles de euros).

El dinero electrónico puede clasificarse en dos tipos:

Dinero on-line:

Exige interactuar con el banco (vía módem, red o banca electrónica) para llevar a cabo el pago de una transacción con una tercera parte (comercio o tienda online). Existen empresas que brindan esta triangulacion con los bancos como SafetyPay y también existen monedas puramente electrónicas como e-gold.

Dinero offline:

Se dispone del dinero en el propio ordenador, y puede gastarse cuando se desee, sin necesidad de contactar para ello con un banco. Estos sistemas de dinero electrónico permiten al cliente depositar dinero en una cuenta y luego usar ese dinero para comprar cosas en Internet.

Cheques Electrónicos:

Los métodos para transferir cheques electrónicos a través de Internet no están tan desarrollados como otras formas de transferencia de fondos. Los cheques electrónicos podrían consistir algo tan simple como enviar un email a un vendedor autorizándole a sacar dinero de la cuenta, con certificados y firmas digitales asociados. Un sistema de cheques puede ser considerado como un compromiso entre un sistema de tarjetas de crédito y uno de micropagos o dinero electrónico.

Tarjetas de Crédito:


Los sistemas de tarjetas de crédito en Internet funcionarán de forma muy similar a como lo hacen hoy en día. El cliente podrá usar si lo desea su tarjeta de crédito actual para comprar productos en una tienda virtual. La principal novedad consiste en el desarrollo del estándar de cifrado SET (Secure Electronic Transaction) por parte de las más importantes compañías de tarjetas de crédito.

E-Bussiness


Negocio electrónico o e-business, se refiere al conjunto de actividades y prácticas de gestión empresariales resultantes de la incorporación a los negocios de las tecnologías de la información y la comunicación (TIC) generales y particularmente de Internet, así como a la nueva configuración descentralizada de las organizaciones y su adaptación a las características de la nueva economía. El e-business, que surgió a mediados de la década de los años 1990, ha supuesto un notable cambio en el enfoque tradicional del capital y del trabajo, pilares fundamentales de la empresa, y en sus prácticas productivas y organizacionales. Las actividades que ponen en contacto clientes, proveedores y socios como el marketing y ventas, la producción y logística, gestión y finanzas tienen lugar en el e-business dentro de [[redes informáticas que permiten a su vez una descentralización en líneas de negocio. El e-bussiness es un concepto general que abarca a su vez términos particulares como el e-commerce, con el que a veces es confundido, e-payment, e-logistics,front-and-back-office entre otros, y que comprende el uso de tecnologías EDI, CRM o ERP, así como la adopción de formas o modelos de negocio en red como B2B o B2C, y su integración mediante nuevas actividades estratégicas como Business Intelligence o Knowledge Management.

¿Que es el comercio electrónico?


  • Es la aplicación de la avanzada tecnología de información para incrementar la eficacia de las relaciones empresariales entre socios comerciales”.
  • “La disponibilidad de una visión empresarial apoyada por la avanzada tecnología de información para mejorar la eficiencia y la eficacia dentro del proceso comercial.”
  • “Es el uso de las tecnologías computacional y de telecomunicaciones que se realiza entre empresas o bien entre vendedores y compradores, para apoyar el comercio de bienes y servicios.”

Consiste en la compra y venta de productos o de servicios a través de medios electrónicos, tales como Internet y otras redes informáticas. Originalmente el término se aplicaba a la realización de transacciones mediante medios electrónicos tales como el intercambio electrónico de datos, sin embargo con el advenimiento de la Internet y la World Wide Web a mediados de los años 90 comenzó a referirse principalmente a la venta de bienes y servicios a través de Internet, usando como forma de pago medios electrónicos, tales como las tarjetas de crédito.

La cantidad de comercio llevada a cabo electrónicamente ha crecido extraordinariamente debido a la propagación de Internet. Una gran variedad de comercio se realiza de esta manera, estimulando la creación y utilización de innovaciones como la transferencia de fondos electrónica, la administración de cadenas de suministro, el marketing en Internet, el procesamiento de transacciones en línea (OLTP), el intercambio electrónico de datos (EDI), los sistemas de administración del inventario, y los sistemas automatizados de recolección de datos.

La mayor parte del comercio electrónico consiste en la compra y venta de productos o servicios entre personas y empresas, sin embargo un porcentaje considerable del comercio electrónico consiste en la adquisición de artículos virtuales (software y derivados en su mayoría), tales como el acceso a contenido "premium" de un sitio web.