Autor: Pedro Martnez Jimnez

DCM_07_01581_01

SEGURIDAD EL COMERCIO ELECTRNICO

La seguridad en Internet es un tema muy controvertido, ya que, por una parte, es necesaria para que diferentes aplicaciones, como el comercio electrnico, puedan ejecutarse sin tropiezos y, por otra parte, para limitar en algunos casos las libertades de los usuarios de la Red.

Conceptos bsicos El problema principal de la seguridad en Internet es que la base tecnolgica de la Red, es decir, el protocolo TCP/IP, no se dise para ofrecer las propiedades de seguridad suficientes en muchas aplicaciones. Por este motivo, se han ido desarrollando diferentes mecanismos para dotar de seguridad a determinadas aplicaciones que utilizan Internet. Para entender qu papel juega la seguridad en las redes de comunicaciones, como Internet, es necesario en primer lugar establecer diferentes conceptos que fijan distintos niveles de seguridad de la informacin. Si tomamos como ejemplo la compra de un libro en un establecimiento en lnea, realizando el pago con tarjeta de crdito convencional, podemos identificar los cuatro conceptos clave de seguridad de la informacin: Confidencialidad: es necesario garantizar que ningn otro individuo o empresa que no sea el establecimiento pueda acceder a los datos de la tarjeta de crdito. Autentificacin: es preciso que la identidad del establecimiento en lnea no pueda ser suplantada, es decir, se debe asegurar que ninguna persona o sociedad pueda publicar una pgina web igual a la de un establecimiento conocido para hacer creer que se compra all. Integridad: es preciso que la informacin de la transaccin de la compra que viaje por la Red no se pueda modificar ni alterar sin que se detecte. No repudio: evitar que, habiendo dado el visto bueno a la compra de un producto, el cliente retroceda respecto a los compromisos adquiridos y el establecimiento no pueda probar lo que haban acordado. Internet es una red intrnsecamente insegura, lo cual no implica que no sea posible realizar transacciones con la mayor seguridad

Para concretar ms, podemos definir estos conceptos de la siguiente manera: La confidencialidad es la propiedad que asegura que slo aquellos que estn autorizados tendrn acceso a la informacin. A menudo, esta propiedad se conoce tambin con el nombre de privacidad.

pg. 1
CLASE EJECUTIVA 2007- 2008 Pedro Martnez Jimnez Clase Ejecutiva, S.L. Todos los derechos reservados. De uso exclusivo para los alumnos de Clase Ejecutiva. Prohibida la
reproduccin total o parcial del documento y su distribucin por cualquier medio impreso o electrnico sin la autorizacin escrita de Clase Ejecutiva.

Autor: Pedro Martnez Jimnez

DCM_07_01581_01

La integridad es la propiedad que asegura la no alteracin de la informacin. Esta alteracin puede consistir en la insercin, el borrado o la sustitucin de la informacin. La autentificacin es la propiedad que hace referencia a la identificacin. Es el nexo de unin entre la informacin y el emisor de sta. El no repudio es la propiedad que preserva que alguna de las partes niegue algn compromiso o accin tomada con anterioridad.

Con el fin de obtener estas propiedades bsicas de la seguridad de la informacin, la herramienta bsica que se utiliza es la criptografa, de la cual introduciremos algunos conceptos ms adelante. Los sistemas de autentificacin La propiedad de autentificacin es la ms importante, ya que no sirve de nada tener la certeza de que nadie podr ver o modificar los datos que enviamos (confidencialidad e integridad) si no tenemos la certeza de que el receptor de estos datos es quien dice ser. Existen diferentes sistemas de autentificacin con diferentes niveles de seguridad. Una clasificacin a la que se acostumbra a recurrir para los sistemas de autentificacin se basa en la utilizada para autentificar al usuario. As, un usuario se puede autentificar a partir de lo que es, de lo que tiene o de lo que sabe. Autentificacin del usuario a partir de lo que es Como es evidente, el mecanismo de autentificacin ms seguro que hay es el que autentifica a los usuarios por lo que son (de hecho, por quines son!). En un establecimiento fsico, se autentifica un usuario que paga con tarjeta porque se le puede pedir el documento de identificacin (DNI) y comprobar que los datos coinciden con los de la tarjeta, y que la fotografa es efectivamente la suya. En este caso, las caractersticas inherentes de su fisonoma lo autentifican mediante el DNI. Esta tcnica no se puede utilizar en un establecimiento virtual ya que, de momento, hoy por hoy, no resulta factible. Autentificacin del usuario a partir de lo que se tiene Los procesos de autentificacin que involucran la posesin de algn dispositivo (ya sea tarjeta de crdito, certificado digital con su clave privada asociada o telfono mvil) se incluyen en la categora de lo que se tiene. Para que el usuario se pueda autentificar, es preciso que posea el dispositivo adecuado.
pg. 2
CLASE EJECUTIVA 2007- 2008 Pedro Martnez Jimnez Clase Ejecutiva, S.L. Todos los derechos reservados. De uso exclusivo para los alumnos de Clase Ejecutiva. Prohibida la
reproduccin total o parcial del documento y su distribucin por cualquier medio impreso o electrnico sin la autorizacin escrita de Clase Ejecutiva.

La autentificacin del usuario por sistemas basados en nombre de usuario y contrasea es la tcnica ms empleada en el comercio electrnico

Autor: Pedro Martnez Jimnez

DCM_07_01581_01

Este tipo de sistemas de autentificacin han de contar con la disponibilidad de los dispositivos por parte de los posibles clientes. Autentificacin con el telfono mvil: Es evidente que hay muchos ms usuarios de telfono mvil que con certificado digital (pensemos en el segmento de los adolescentes, por ejemplo). Ahora bien, la mayora de las veces, los sistemas de autentificacin que utilizan telfono mvil necesitan que ste est dado de alta en la operadora de telecomunicaciones del pas del comerciante. Eso puede reducir el mercado potencial de la empresa a los clientes potenciales de un mbito geogrfico concreto. Es importante destacar, tambin, que en los entornos digitales, la posesin de un dispositivo fsico a menudo es difcil de demostrar (podemos enviar una fotografa nuestra al lado del dispositivo, pero acostumbra a ser poco efectivo). De hecho, esta tcnica se suele combinar con la que utiliza lo que se sabe. Autentificacin del usuario a partir de lo que sabe Finalmente, la tcnica ms utilizada es la que utiliza lo que sabe. Los sistemas basados en nombre de usuario y contrasea estn incluidos dentro de esta categora. Como cabe deducir, esta tcnica, a pesar de ser la ms extendida, es tambin la ms insegura, ya que la cantidad de informacin que los usuarios saben o pueden recordar es muy limitada. La razn es que, en la mayora de los sistemas, la cantidad de informacin que el usuario tiene que saber para autentificarse es reducida, por ejemplo 4 nmeros (hecho que ayuda a que los usuarios no la olviden). Adems, la posibilidad de adivinar esta informacin es elevada, ya que, adems de ser reducida, los usuarios acostumbran a escogerla entre datos que recuerdan por otros motivos (fechas de nacimiento, nmeros de telfono, etc.). Algunos sistemas tienen reglas asociadas a las palabras de paso, a fin de que stas no sean fcilmente predecibles.

La autentificacin del usuario por sistemas basados en nombre de usuario y contrasea es la tcnica ms empleada en el comercio electrnico

pg. 3
CLASE EJECUTIVA 2007- 2008 Pedro Martnez Jimnez Clase Ejecutiva, S.L. Todos los derechos reservados. De uso exclusivo para los alumnos de Clase Ejecutiva. Prohibida la
reproduccin total o parcial del documento y su distribucin por cualquier medio impreso o electrnico sin la autorizacin escrita de Clase Ejecutiva.