EL ENTORNO DE

SEGURIDAD DEL
COMERCIO
ELECTRNICO

 Internet contiene la promesa de un enorme y conveniente mercado

global que proporciona acceso a las personas, artculos negocios en
todo el mundo, a precio de oferta.
Sin embargo para los criminales internet ha creado completamente
nuevas formas de robar a los mas de 1 mil millones de consumidores en
el mundo por internet.

Internet hace posible robar a las personas de manera remota y casi

annima.
Las acciones de los cibercriminales son costosas tanto para los negocios
como para los consumidores, que estn a su vez a precios mas altos y
medidas de seguridad adicionales.

EL ALCANCE DEL PROBLEMA

El cibercrimen se esta convirtiendo en un problema significativo para
las organizaciones.
Las redes de bots
La suplantacin de identidad
Phishing ( obtener informacin financiera en forma fraudulenta).
Robo de datos
Fraude con tarjeta de crdito.

CATEGORIA DE QUEJAS CONTRA DELITOS EN INTERNET

REPORTADAS AL IC3

Centro de Quejas contra Delitos en

Internet (IC3) una sociedad entre el
Centro Nacional contra delitos de
Cuello Blanco y la Agencia Federal
de Investigaciones.

fraude de computadora

fraude de tarjetas de credito

fraude de cheques

Datos tiles para medir los tipos de

delitos de crmenes de comercio
electrnico.

productos no entregados

fraude en las subastas

0%

10%

20%

30%

40%

50%

 El promedio de perdidas por ao fue aproximadamente de $ 350 000.

Las categoras mas costosas de ataques fueron el fraude financiero
($21 millones), los virus ($ 8 millones) y la penetracin de extraos en el
sistema.

Se publica semestralmente un reporte de amenazas de seguridad en

internet, basado en 40,000 sensores que supervisan la actividad en
internet en mas de 180 pases.

EL MERCADO DE LA ECONOMA
SUBTERRNEA: EL VALOR DE LA
INFORMACIN ROBADA.
Servidores de la economa subterrnea vender informacin a
terceras personas.

No todos los cibercriminales buscan ganancias econmicas, en

muchos casos solo buscan alterar, daar o transformar un sitio Web,
en vez de robar artculos o servicios.
El cibercrimen contra los sitios de comercio electrnico es dinmico y
esta cambiando todo el tiempo, por lo cual aparecen nuevos riesgos
con frecuencia.

 QU ES UNA BUENA SEGURIDAD EN EL

COMERCIO ELECTRNICO?
La reduccin de los riesgos en el comercio electrnico
es un proceso complejo que involucra

Nuevas tecnologas
polticas y procedimientos organizacionales
Nuevas leyes y estndares industriales que facultan a los
oficiales representantes de la ley a investigar y procesar
a los delincuentes.

Leyes y estndares
industriales

Polticas y
procedimientos
organizacionales

Soluciones de
tecnologa

Datos

 La seguridad es una cadena que se rompe con mas frecuencia en el

eslabn mas dbil. Nuestros candados son a menudo mas fuertes que
el manejo que damos a las llaves.

DIMENSIONES DE LA SEGURIDAD EN
EL COMERCIO ELECTRNICO
Integridad
No repudiacin

Autenticidad
Confidencialidad
Privacidad
Disponibilidad

 Integridad: capacidad de
asegurar que la informacin
que se muestra en un sitio
Web, no haya sido alterada
de ninguna manera por una
parte no autorizada.

No repudiacin: capacidad
de
asegurar
que
los
participantes en el comercio
electrnico no nieguen sus
acciones en lnea.

Autenticidad: capacidad
de identificar la identidad
de una persona o entidad
con la que se esta
tratando en internet.

Confidencialidad: capacidad
de asegurar que los mensajes
y los datos estn disponibles
solo para ver quienes estn
autorizados a verlos.

Amenazas de Seguridad en el
Entorno de Comercio Electrnico
Cliente
Servidor
Canalizacin de comunicaciones

Cdigo Malicioso
(Malvare) incluye varias amenazas como virus,
gusanos, caballos de Troya y bots.

Malvare
Virus

Intencin
Programa para
computadora que tiene la
capacidad de duplicarse,
(Eliminacin de archivos
formateo de disco duro o
que los programas se
ejecuten de manera
inapropiada.

Tipos de Virus
Macro virus

Especficos para cada aplicacin, El virus solo afecta a la

aplicacin para que se escribi. Se esparcen con facilidad
por correo electrnico.

Virus que
Archivos

infectan Infectan archivos ejecutables como: .com .exe .drv y .dll, Se

activa cada vez que se ejecuta el archivo infectado, se
esparcen por correo electrnico con facilidad.

Virus de secuencias escritos en lenguajes de programacin de secuencias de

de comandos
comandos como Visual Basic Script y Java Script. Los virus
se activan al hacer doble clic en un archivo .vbs o .js
infectado. El virus ILOVEYOU (insecto del amor)
sobrescribe archivos .jpg y .mp3

Los virus van combinados de gusanos ya que

estos generan mayor ganancia econmica y a su
vez pueden propagarse muy rpidamente de una
computadora a otra.
El gusano no necesariamente necesita ser
activado por un usuario o programa para que se
pueda duplicar a si mismo.

Cdigo
Malicioso

Caracterstica

Caballo de no se duplica pero es una va para que se introduzcan

Troya
virus y otro tipo de cdigo malicioso como los bots o
rootkits El caballo de Troya puede ser disfrazado como
un juego pero en realidad oculta un programa para
robar contraseas y enviarlas por correo electrnico.
Bots

Se puede instalar de manera encubierta en la

computadora de un usuario cuando este se conecta a
internet. El atacante convierte a la computadora en un
zombie controlada por un tercero.

Programas Indeseables

Aplicaciones instaladas sin consentimiento, una vez

instaladas son muy difciles de eliminar.

Parasito de navegador

Es un programa que puede monitorear y modificar la

configuracin del navegador de un usuario. (Pagina de
inicio)

Spyware

es utilizada para el robo de identidad junto con el

SPYSHERIFF (combate Spyware)

Suplantacin y Robo
de Identidad
Suplantacin de Identidad: es
todo intento engaoso para
robar
datos
personales
realizndolo de manera directa
(tcnicas de Ingeniera social).
Todo comienza cuando a la
victima se le hace llegar una
carta de estafas de correo
electrnico.

Por ejemplo: un ex ministro

petrolero rico de Nigeria
busca una cuenta bancaria
para atesorar millones de
dlares por un corto periodo
de tiempo. Posteriormente
pide al usuario su numero
de cuenta en donde se le
pueda depositar el dinero
hacindole la promesa de
que se le depositara un
milln de pesos a cambio.
(conocida como carta de
Nigeria).

En muchas ocasiones los suplantadores

crean una pagina web falsa que
aparente ser una institucin financiera
legitima y engaan a los usuarios para
proporcionar informacin financiera, los
suplantadores de identidad usan la
informacin
para
cometer
actos
fraudulentos.

Piratera Informtica y Cibervandalismo

Hacker: individuo que tiene intenciones criminales.
Tipo de
Hacker

Misin

Sombreros
Blancos
(buenos)

Ayudan a las organizaciones a localizar y corregir fallas en la

seguridad. Estos realizan su trabajo por contrato, con un acuerdo de
los clientes segn el cual no sern perseguidos por sus esfuerzos
por entrar en los sistemas.

Sombreros
Negros
(malos)

Se involucran en los mismos tipos de actividades, pero sin recibir

paga ni acuerdos con la organizacin de destino, y con la intencin
de ocasionar daos irrumpen en sitios web y revelan la informacin
confidencial o propietaria que encuentran.

Sombreros
Grises

Pretenden hacer un bien al irrumpir en los sistemas y revelar sus

fallas. Descubren las debilidades en la seguridad de un sistema y
despus publican la debilidad sin daar el sitio ni tratar de
beneficiarse de sus hallazgos. Su recompensa es el prestigio de
descubrir la debilidad, sin embargo son sospechosas. (al facilitar
informacin)

Fraude o Robo de Tarjetas de Crdito

Robo
Extravi
Los comerciantes se encargan de pagar los costos en
caso de recibir tarjetas robadas por no checar las listas
invalidas.
Caso mas frecuente de robo de tarjetas e informacin
de las mismas es la piratera informtica sistemtica y el
saqueo de un servidor corporativo, (almacena
informacin de compras con tarjeta de crdito).

Sitios Web de Falsificacin (Pharming) y

Spam (Basura)
Hackers que falsifican su verdadera identidad falsifican su
informacin utilizando direcciones de correo electrnico
falsas o hacindose pasar por alguien mas.

Falsificacin de un sitio web se le conoce como Pharming,

donde un vinculo se dirige a una direccin diferente a la
original el destino es enmascarado. (contiene informacin
diferente a la solicitada, amenazando integridad del original)

Sitios Web de basura

o
spam:
ofrece
productos o servicios
y al abrirla contiene
promocin de otros
productos y contiene
cdigo malicioso.

Ataques de denegacin de servidor (DOS) y

Denegacin de Servicio Distribuido (DDOS)
DOS

DDOS

Los hackers inundan un sitio

Web con peticiones de paginas
intiles
que
saturan
los
servidores del sitio Web.
Implica el uso de redes de bots.

Uso de muchas computadoras para

atacar la red de destino desde
numerosos puntos de lanzamiento.

Provocan que el sitio Web

cierre y los clientes no puedan
ingresar mas. (Reputacin)

No destruyen informacin, ni
acceden a reas restringidas.
Soborno.

Amenaza que puede provocar la

quiebra de una empresa.

Husmeo
Es un tipo de programa el cual monitorea la informacin que viaja
a travs de una red si se utiliza legtimamente pueden ayudar a
identificar puntos problemticos y potenciales en una red, pero
cuando se usan para fines criminales son dainos y difciles de
detectar.
Los husmeadores permiten a los hackers robar informacin
propietaria de cualquier parte de una red (correos, informes,
archivos.)
Amenaza de la informacin ya que se pude hacer publica.

Ataques Internos

Los mismos empleados roban informacin de los clientes.

SOLUCIONES
TECNOLOGICAS

SOLUCIONES TECNOLOGICAS
Existen dos lneas de defensa contra las amenazas de seguridad
para el comercio electrnico.
Soluciones de tecnologa: conjunto de herramientas que pueden
dificultar a los externos el proceso de invadir o destruir un sitio.

Soluciones de polticas.

HERRAMINETAS PARA PROTEGER LA SEGURIDAD

DE LAS COMUNICACIONES EN INTERNET
CIFRADO (ENCRIPTACION): Es el proceso de transformar texto simple o
datos en texto cifrado que no puede ser ledo por nadie mas que el emisor
y el receptor.
Tiene como propsito: a) asegurar la informacin almacenada y
b) asegurar la transmisin de la informacin.

El cifrado proporciona
Integridad del mensaje: asegura que el mensaje no se haya alterado
No repudiacin: evita que el usuario niegue que envi el mensaje
Autenticidad: de la verificacin de la entidad de la persona que esta
enviando el mensaje
Confidencialidad: asegura que el mensaje no fue ledo por otros.

 CERTIFICADO DIGITAL: documento digital emitido por una autoridad de

certificacin, que contiene el nombre del sujeto o empresa, la clave
publica del sujeto, un numero serial de certificado digital y dems
informacin de identificacin.

HERRAMIENTAS PARA LA
PROTECCION DE LAS REDES
FIREWALLS: se refiere al hardware o software que filtra los paquetes de
comunicacin y evita que ciertos paquetes entren en la red, con
base en una poltica de seguridad.
El firewalls controla el trafico de y hacia servidores y clientes,
prohibiendo las comunicaciones de fuentes no confiables y
permitiendo que se lleve a cabo las comunicaciones de fuentes de
confianza.

 SERVIDORES PROXY: son servidores de software que se encargan de

todas las comunicaciones que se originan de (o se envidian) internet,
actuando como vocero o guardaespaldas para la organizacin.

-Principal funcin: limitar el acceso de los clientes internos a los

servidores de internet externos.
-Los servidores proxy protegen una red local de los
intrusos de
internet y evitan que los clientes visiten servidores Web prohibidos.

PROTECCION DE SERVIDORES Y
CLIENTES
Las caractersticas del sistema operativo y el software antivirus
pueden ayudar a proteger aun mas los servidores y clientes de
ciertos tipos de ataques.
MEJORAS DE SEGURIDAD DEL SISTEMA OPERATIVO: una manera de
proteger a los servidores y clientes son las actualizaciones de
seguridad automticas de Microsoft y Apple para corregir con
parches las vulnerabilidades descubiertas por los hackers.

 SOFTWARE ANTIVIRUS: son programas cuya funcin es detectar y eliminar

virus informticos y otros programas maliciosos

POLTICAS ADMINISTRATIVAS,
PROCEDIMIENTOS DE
NEGOCIOS Y LEYES PBLICAS

 Las empresas de negocios y agencias gubernamentales invierten cerca del

10 % de sus presupuestos de tecnologa de la informacin en hardware,
software y servicios de seguridad.
Este gasto explica el por qu disminuyeron un poco los ciber-ataques.

ATAQUES VIRTUALES
Ataques contra sitios web por acceso y
robo de informacin.

Ataques contra clientes y sitios web por

identidades falsas.

PLAN DE SEGURIDAD: POLTICAS

ADMINISTRATIVAS
Realizar una
valoracin de
riesgo

Realizar una
auditoria de
seguridad

Crear una
organizacin de
seguridad

Desarrollar una
poltica de
seguridad

Desarrollar un
plan de
implementacin

VALORACIN DE RIESGO
Tasacin de los riesgos y puntos de vulnerabilidad.
Qu informacin esta en riesgo?

Clientes, diseos, actividades, procesos, datos, programas, precios

Valuar cada tipo de informacin
Probabilidad de que ocurra una perdida

POLTICAS DE SEGURIDAD
Conjunto de instrucciones que asignan prioridad a los riesgos de la
informacin, identificando los objetivos de riesgo aceptables y los
mecanismos para alcanzar estos objetivos.

PLAN DE IMPLEMENTACIN
Pasos de accin que debe llevar a cabo para lograr a cabo los objetivos
del plan de seguridad.

ORGANIZACIN DE SEGURIDAD
Educa y capacita a los usuarios, mantiene la administracin al tanto de las
amenazas y las fallas de seguridad, y conserva las herramientas elegidas
para implementar la seguridad.

CONTROLES DE ACCESO
Determina quien puede obtener acceso legitimo a una red.
Externos: Firewalls y servidores proxy.

Internos: Nombres de usuario, contraseas y cdigos de acceso.

PROCEDIMIENTOS DE
AUTENTIFICACIN
Incluye el uso de firmas digitales, certificados de autoridad y la
infraestructura de claves pblicas.

BIOMETRA
Estudio de las caractersticas biolgicas o fsicas que se pueden medir.
Existen dispositivos biomtricos que junto con las firmas digitales para
verificar atributos fsicos.
Huella digital.
Exploracin de retina.
Reconocimiento por voz.

POLTICAS DE AUTORIZACIN
Determinan los distintos niveles de acceso a los bienes de informacin para
los distintos niveles de usuarios.

SISTEMAS DE ADMINISTRACIN DE
LA AUTORIZACIN
Establece cundo y donde se permite a un usuario que acceda a ciertas
partes de un sitio Web.

AUDITORA DE SEGURIDAD
Implica la revisin rutinaria de los registros de acceso (que identifican la
manera en que los individuos externos utilizan el sitio, as como la forma en
que los internos acceden a los activos del sitio).

ALMACENAMIENTO HIPPIE DE
CLEVERSAFE
Tres copias para asegurar los documentos en dispositivos externos.
Conocido como LOCKSS.

LOCKSS= +dispositivos de almacenamiento +costoso

GOOGLE
Por ejemplo:
Almacena tanta informacin que se vio obligada a crear una de las
instalaciones de almacenamiento mas grandes del mundo
68,000 m2 de unidades de disco y Pcs.
Dalles, Oregn, a orillas del rio Columbia.
5 exabytes = 37,000 Bibliotecas del Congreso estadounidense.

Se duplica cada tres aos.

CLEVERSAFE
Empresa de software de cdigo fuente abierto.
Mientras que Google pretende organizar, Cleversafe desea almacenar.

El mtodo costa de un algoritmo de dispersin.

Divide la informacin en piezas, cifrarlas y distribuirlas en diferentes
servidores.

CENTRO DE COORDINACIN DEL

CERT
Monitorea y rastrea la actividad criminal en lnea que le reportan
corporaciones privadas y agencias gubernamentales que le piden su
ayuda.

LEGISLACIN DE SEGURIDAD DEL

COMERCIO ELECTRNICO

Ley de Abuso y Fraude por computadora (1986)

Ley de Privacidad para las Comunicaciones Electrnicas (1986)
Ley de Proteccin Nacional de la Infraestructura de la Informacin (1996)
Ley de Seguridad Electrnica en el Ciberespacio (2000)
Ley de Mejora de a la Seguridad Computacional (2000)
Ley de Firmas Electrnicas (2000)
Ley USA PATRIOT (2001)
Ley de seguridad del Territorio Nacional (2002)
Ley CAN-SPAM (2003)
Ley U.S. SAFE WEB (2006)

ELEMENTOS CLAVES
Piratera
informtica
oficial

Acceso Legal y
divulgacin
forzosa

Restringir la
exportacin de
los sistemas de
seguridad solidos

Esquemas de
custodia/recupe
racin clave

INTERNET
25 Aniversario el 12 de Marzo.
Internet no es una ventana a la realidad, pero si nos puede mostrar su lado
ms oscuro.
La naturaleza humana no est cambiando: hay pereza, intimidacin,
acoso, estupidez, pornografa, trucos sucios, delitos y aquellos que los
practican tienen una nueva capacidad para hacer miserable la vida de los
dems.

2025: mayor conectividad y la privacidad solo ser de la elite

POLTICAS Y LEYES EN INTERNET

Daisys Destruction

GRACIAS
El que no posee el don de maravillarse ni de entusiasmarse ms le valdra
estar muerto, porque sus ojos estn cerrados.