Post on 21-Jul-2015
Leyes
Código Penal Federal
Debemos destacar que en el Derecho Positivo Mexicano,
el Código Penal Federal, es la Ley federal en la
Legislación Mexicana que tipifica con mayor
abundamiento a los delitos informáticos y electrónicos,
por lo tanto, considero ˙tal y necesario establecer el texto
tal y como en dicha ley se encuentra, a fin de comprobar
lo establecido en el Capítulo primero de esta
investigación.
Libro Segundo
Título Noveno. Revelaciones secretos y acceso ilícito a
sistemas y equipos de informática
Capítulo II: acceso ilícito a sistemas y equipos de
informática
Artículo 211 bis 1: Al que sin autorización modifique,
destruya o provoque pérdida de información contenida
en sistemas o equipos de informática protegidos por
algún mecanismo de seguridad, se le impondrá· de seis
meses a dos años de prisión y de 100 a 300 días multa.
Al que sin autorización conozca o copia información
contenida en sistemas fue equipos de informática
protegidos por algún mecanismo la, se le impondrá· de
tres meses a un año de prisión y de 50 a 150 días multa.
Artículo 211 bis 2: Al que sin autorización modifique,
destruya o provoque pérdida de información contenida
en sistemas o equipos de informática del Estado,
protegidos por algún mecanismo de seguridad, se le
impondrán de cuatro años de prisión y de doscientos a
seiscientos días de multa.
Al que sin autorización conozca o copie información
contenida en sistemas o equipos de informática del
Estado, protegidos por algún mecanismo de seguridad,
se le impondrán de seis meses a dos años de prisión y de
cien a trescientos días multa.
Artículo 211bis 3: Al que estando autorizado para acceder
a sistemas y equipos de informática del Estado,
indebidamente modifique, destruya o provoque pérdida
de información que contengan, se le impondrán de dos a
ocho años de prisión y de trescientos a novecientos días
multa.
Al que estando autorizado para acceder a sistemas y
equipos de informática del Estado, indebidamente copie
información que contengan, se le impondrán de uno a
cuatro años de prisión y de ciento cincuenta a
cuatrocientos cincuenta días multa.
Debido a la incompleta tipificación de los delitos
informáticos y electrónicos en el Código Penal Federal, el
17 de Mayo de 1999, el legislador considera algunos
Artículos a fin de esclarecer un poco las sanciones
aplicables para determinado tipo de conductas
relacionadas con los tipos penales anteriormente
descritos, quedando así de la siguiente manera:
Reformas al Código Penal Federal publicadas en el Diario
Oficial de la Federación el 17 de mayo del año 1999,
Artículo 167.- Se impondrán de uno a cinco años de
prisión y de cien a diez mil días multa:
II. Al que destruya o separe uno o más postes, aisladores,
alambres, máquinas o aparatos, empleados en el servicio
de telégrafos; cualquiera de los componentes de la red
pública de telecomunicaciones, empleada en el servicio
telefónico, de conmutación o de radio comunicación, o
cualquier componente de una instalación de producción
de energía magnética o electromagnética o sus medios
de transmisión.
VI. Al que dolosamente o con fines de lucro, interrumpa o
interfiera las comunicaciones, alámbricas, inalámbricas o
de fibra Óptica, sean telegráficas, telefónicas o
satelitales, por medio de las cuales se transfieran señales
de audio, de video o de datos.
Artículo 168-bis.- Se impondrán de seis meses a dos
años de prisión y de trescientos a tres mil días multa, a
quien sin derecho:
Internet: su ley aplicable y competencia
Se considera conveniente la aplicación de la ley del lugar
en el cual se producen los efectos ya sea esta de tipo
penal o civil.
Es claro que para toda norma penal, su fin es un
desarrollo teórico de normas penales que dependen de la
aplicación de la política criminal de cada entidad
federativa, lo ideal sería lograr el acuerdo internacional
que permitiera la persecución penal de los delitos
cometidos en la Red, posiblemente con la intervención de
la Organización Mundial de la Propiedad Intelectual pero
hasta que esta situación ocurra, sería recomendable
adoptar normas similares a las descritas anteriormente
para combatir las posibles violaciones de derechos
intelectuales de Internet que se encuentran de moda y
que no hacen otra cosa que disminuir la creatividad por
falta de incentivos reales y sensación de falta de
protección a los autores y creadores. Así mismo no dejo
de señalar que tanto en la Ley de Instituciones de Crédito
como en la Ley Federal de Derechos de Autor se han
tenido que realizar reformas y adiciones, a fin de tipificar
un poco sobre los delitos informáticos y electrónicos en
México.
-
-
-
- Ejemplos
- Por ejemplo, en la ley Federal del Derecho de Autor
publicada por decreto de 18 de diciembre de 1996, la
cual entre en vigor el 18 de marzo de 1997î6, en su
Capítulo IV se regula todo lo relativo a la protección
de los programas de computación, a las bases de
datos y a los derechos autorales relacionados con
ambos, en ella se define: lo que es un programa de
computación, su protección, sus derechos
patrimoniales, de arrendamiento, casos en los que el
usuario podrá· realizar copias del programa que
autorice el autor del mismo, las facultades de
autorizar o prohibir la reproducción, la autorización
del acceso a la información de carácter privado
relativa a las personas contenida en las de datos, la
publicación, reproducción, divulgación,
comunicación publica y transmisión de dicha
información, establece las infracciones y sanciones
que en materia de derecho de autor deben ser
aplicadas cuando ocurren ilícitos relacionados con
los citados programas, las bases de datos etcétera”.
- El mejor ejemplo es el ataque de denegación de
Servicios (Denial of Servicies o Distributed Denial of
Services), cuyo objetivo no es modificar, destruir o
provocar pérdida de información como
reiteradamente lo establece el Código Penal Federal,
sino simplemente imposibilitar o inhabilitar un
servidor temporalmente para que sus páginas o
contenidos no puedan ser vistos los cibernautas
mientras el servidor esta caído.
- Otro ejemplo podrían ser los virus, donde el
diseñador no tiene acceso directo a ninguna
computadora, ya que desencadena el daño enviando
el virus por correo electrónico o de maneras
similares.
SEGURIDAD PRIVADA
Según se indica en el preámbulo de la ley, la seguridad
de la información y las comunicaciones aparece por
primera vez configurada “no como actividad específica
de seguridad privada, sino como actividad compatible
que podrá ser desarrollada tanto por empresas de
seguridad como por las que no lo sean, y que, por su
incidencia directa en la seguridad de las entidades
públicas y privadas, llevará implícito el sometimiento a
ciertas obligaciones por parte de proveedores y
usuarios”.
En el artículo 6.6, dedicado a las “Actividades
compatibles”, se incluye una de las principales
novedades: “a las empresas, sean o no de seguridad
privada, que se dediquen a las actividades de seguridad
informática, entendida como el conjunto de medidas
encaminadas a proteger los sistemas de información a fin
de garantizar la confidencialidad, disponibilidad e
integridad de la misma o del servicio que aquellos
prestan, por su incidencia directa en la seguridad de las
entidades públicas y privadas, se les podrán imponer
reglamentariamente requisitos específicos para
garantizar la calidad de los servicios que presten”.
La seguridad pública es un servicio que debe brindar el
Estado para garantizar la integridad física de los
ciudadanos y sus bienes.
De esta forma, las fuerzas de seguridad del Estado se
encargan de prevenir la comisión de delitos y de
perseguir a los delincuentes, con la misión de
entregarlos al Poder Judicial. Este organismo tiene la
misión de aplicar los castigos que estipula la ley, que
pueden ir desde una multa económica hasta la pena de
muerte, según el país y la gravedad del delito.
ENCRIPTAMIENTO
Encriptar es una manera de codificar la información para
protegerla frente a terceros.
Por lo tanto la encriptación informática sería la
codificación la información de archivos o de un correo
electrónico para que no pueda ser descifrado en caso de
ser interceptado por alguien mientras esta información
viaja por la red.
Es por medio de la encriptación informática como se
codifican los datos. Solamente a través de un software de
descodificación que conoce el autor de estos
documentos encriptados es como se puede volver a
decodificar la información.
Por lo que la encriptación informática es simplemente la
codificación de la información que vamos a enviar a
través de la red (Internet). Para poder descodificarla
como dijimos es necesario un software o una clave que
sólo conocen el emisor y el receptor de esta información.
Ejemplos de tipos de encriptamiento:
Algunos de los usos más comunes de la encriptación son
el almacenamiento y transmisión deinformación sensible como contraseñas, números de
identificación legal, números de tarjetas de crédito, reportes administrativo-contables y conversaciones
privadas, entre otros. Como sabemos, en un Sistema de Comunicación de
Datos, es de vital importancia asegurar que la Información viaje segura, manteniendo su autenticidad,
integridad, confidencialidad y el no repudio de la misma entre otros aspectos.
Estas características solo se pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación
de Datos.
Métodos de Encriptación
Para poder Encriptar un dato, se pueden utilizar tres
procesos matemáticos diferentes:
Los algoritmos HASH, los simétricos y los asimétricos.
1. Algoritmo HASH:
Este algoritmo efectúa un cálculo matemático sobre los
datos que constituyen el documento y da como resultado
un número único llamado MAC. Un mismo documento
dará siempre un mismo MAC.
2. Criptografía de Clave Secreta o Simétrica
Utilizan una clave con la cual se encripta y desencripta el
documento. Todo documento encriptado con una clave,
deberá desencriptarse, en el proceso inverso, con la
misma clave. Es importante destacar que la clave debería
viajar con los datos, lo que hace arriesgada la operación,
imposible de utilizar en ambientes donde interactúan
varios interlocutores.
Los criptosistemas de clave secreta se caracterizan
porque la clave de cifrado y la de descifrado es la misma,
por tanto la robustez del algoritmo recae en mantener el
secreto de la misma.
Sus principales características son:
Rápidos y fáciles de implementar
Clave de cifrado y descifrado son la misma
Cada par de usuarios tiene que tener una clave secreta
compartida
Una comunicación en la que intervengan múltiples
usuarios requiere muchas claves secretas distintas
Actualmente existen dos métodos de cifrado para
criptografía de clave secreta, el cifrado de flujo y el
cifrado en bloques.
Cifrado de flujo
El emisor A, con una clave secreta y un algoritmo
determinístico (RKG), genera una secuencia binaria (s)
cuyos elementos se suman módulo 2 con los
correspondientes bits de texto claro m, dando lugar a los
bits de texto cifrado c, Esta secuencia (c) es la que se
envía a través del canal. En recepción, B, con la misma
clave y el mismo algoritmo determinístico, genera la
misma secuencia cifrante (s), que se suma módulo 2 con
la secuencia cifrada (c), dando lugar a los bits de texto
claro m.
Los tamaños de las claves oscilan entre 120 y 250 bits
Cifrado en bloque
Los cifrados en bloque se componen de cuatro
elementos:
- Transformación inicial por permutación.
- Una función criptográfica débil (no compleja) iterada r
veces o "vueltas".
- Transformación final para que las operaciones de
encriptación y des encriptación sean simétricas.
- Uso de un algoritmo de expansión de claves que tiene
como objeto convertir la clave de usuario, normalmente
de longitud limitada entre 32 y 256 bits, en un conjunto de
subclaves que puedan estar constituidas por varios
cientos de bits en total.
3. Algoritmos Asimétricos (RSA):
Requieren dos Claves, una Privada (única y personal,
solo conocida por su dueño) y la otra llamada Pública,
ambas relacionadas por una fórmula matemática
compleja imposible de reproducir. El concepto de
criptografía de clave pública fue introducido por Whitfield
Diffie y Martin Hellman a fin de solucionar la distribución
de claves secretas de los sistemas tradicionales,
mediante un canal inseguro. El usuario, ingresando su
PIN genera la clave Pública y Privada necesarias. La
clave Pública podrá ser distribuida sin ningún
inconveniente entre todos los interlocutores. La Privada
deberá ser celosamente guardada. Cuando se requiera
verificar la autenticidad de un documento enviado por
una persona se utiliza la Clave Publica porque el utilizó
su Clave Privada.
Hacker
Para otros usos de este término, véase Hacker
(desambiguación).
En informática, un hacker,1 es una persona que pertenece a
una de estas comunidades o subculturas distintas pero no completamente independiente.
Gente apasionada por la seguridad informática. Esto concierne principalmente a entradas remotas no autorizadas por medio de redes de comunicación como
Internet ("Black hats"). Pero también incluye a aquellos que depuran y arreglan errores en los sistemas ("White hats") y
a los de moral ambigua como son los "Grey hats".
Una comunidad de entusiastas programadores y
diseñadores de sistemas originada en los sesenta alrededor del Instituto Tecnológico de
Massachusetts (MIT), el Tech Model Railroad Club (TMRC) y el Laboratorio de Inteligencia Artificial del MIT.2 Esta
comunidad se caracteriza por el lanzamiento del movimiento de software libre. La World Wide
Web e Internet en sí misma son creaciones de hackers.3 El RFC 13924 amplia este significado
como "persona que se disfruta de un conocimiento
profundo del funcionamiento interno de un sistema, en particular de computadoras y redes informáticas"
La comunidad de aficionados a la informática doméstica,
centrada en el hardware posterior a los setenta y en el software (juegos de computadora, crackeo de software,
la demoscene) de entre los ochenta/noventa.
Características de los Hackers
· Persona que disfruta con la exploración de los detalles de los sistemas programables y cómo aprovechar sus
posibilidades; al contrario que la mayoría de los usuarios, que prefieren aprender sólo lo imprescindible.
· El que programa de forma entusiasta (incluso obsesiva).
· Persona capaz de apreciar el valor del hackeo.
· Persona que es buena programando de forma rápida.
· Experto en un programa en particular, o que realiza
trabajo frecuentemente usando cierto programa; como en «es un hacker de Unix.»
· La creencia en que compartir información es un bien
poderoso y positivo, y que es tarea ética de los hackers compartir sus experiencias escribiendo código abierto
(«open source») y facilitando el acceso a la información y los recursos de computación siempre que sea posible
· La creencia de que romper sistemas por diversión y exploración está éticamente bien siempre que el hacker
no cometa un robo, un acto de vandalismo o vulnere la confidencialidad.
CONSECUENCIAS DE LOS HACKERS
- El hacking suele ser la puerta de entrada para el robo de datos, información o secretos comerciales
de las empresas, de sus clientes, proveedores o
personal. - Pero, es muy importante que las empresas se
concienticen que existen y que les permiten prevenir los diferentes daños; caso que estos se hayan
producido adoptar correctivos para reducirlos.
- lo cual implica saber claramente lo que se hace, excluyéndose los casos de acceso accidental. No se
exige, en cambio, daño concreto alguno (vgr., borrado de datos, daño a los archivos o al sistema o
copia de obras intelectuales).
CONSECUENCIAS DE LOS VIRUS
Las consecuencias que se pueden presentar en los equipos dependerán del tipo de Virus cada uno de ellos
tiene las siguientes características:
Auto-Reproducirse para poder obtener copia de ellos
mismos sin que el usuario brinde su autorización
Poder para alojarse en algunos programas no
necesariamente dentro del que lo portaba.
Dañar disquetes o discos pues tienden a
sobrecalentarlos para que estos disminuyan su tiempo de vida.
Memoria RAM Baja
Lentitud en el equipo.
Impiden que se ejecuten ciertos archivos.
Perdida de archivos o bases de datos.
Pueden aparecer archivos extraños que no se
encontraban antes del contagio.
Es necesario Reiniciar los equipos a menudo.
Los virus se identifican por ser Software diminutos pues
también pueden camuflarse de esta forma es muy difícil
de detectar y más fácil para ellos expenderse en la
computadora, estos pueden permanecer cierto tiempo
inactivo esperando un evento para la replicación de el
mismo.
DERECHOS Y OBLIGACIONES DE LOS PRESTATARIOS
DE SERVICIOS EN INTERNET
Con la publicación de la LSSI, Ley 34/2002, de 11 de
julio, de servicios de la sociedad de la información y
de comercio electrónico aparecen nuevos derechos y
obligaciones para los prestatarios de los mismos. Estos
son los más importantes:
Los prestadores de servicios deben indicar en su página
web:
Su nombre o denominación social y datos de
contacto: Domicilio, dirección de correo electrónico y
cualquier otro dato que permita una comunicación
directa y efectiva, como por ejemplo un teléfono o un
número de fax.
Si la empresa está registrada en el Registro Mercantil
o cualquier otro registro público, deberá señalar
también el número de inscripción que le corresponda.
Su NIF.
Información sobre el precio de los productos,
indicando si incluye o no los impuestos aplicables,
gastos de envío y cualquier otro dato que deba
incluirse en cumplimiento de normas autonómicas
aplicables.
En el caso en que la actividad que se ejerza precise de
una autorización administrativa previa, los datos
relativos a la misma y los identificativos del órgano
encargado de su supervisión.
Si se ejerce una profesión regulada, los datos del
Colegio profesional y el número de colegiado, el título
académico y el Estado de la Unión Europea en que se
expidió y la correspondiente homologación, en su
caso.
Los códigos de conducta a los que esté adherido, en
su caso, y la forma de consultarlos electrónicamente.
Cuando los prestadores de servicios empleen
dispositivos de almacenamiento y recuperación de
datos en equipos terminales, informarán a los
destinatarios de manera clara y completa sobre su
utilización y finalidad, ofreciéndoles la posibilidad de
rechazar el tratamiento de los datos mediante un
procedimiento sencillo y gratuito.
Lo anterior no impedirá el posible almacenamiento o
acceso a datos con el fin de efectuar o facilitar
técnicamente la transmisión de una comunicación por
una red de comunicaciones electrónicas o, en la
medida que resulte estrictamente necesario, para la
prestación de un servicio de la sociedad de la
información expresamente solicitado por el
destinatario.
Los prestadores de servicios de intermediación no
tienen obligación de supervisar los contenidos que
alojan, transmiten o clasifican en un directorio de
enlaces, pero deben colaborar con las autoridades
públicas cuando se les requiera para interrumpir la
prestación de un servicio de la sociedad de la
información o para retirar un contenido de la Red.
Los prestadores de servicios de intermediación, no
son, en principio, responsables por los contenidos
ajenos que transmiten, alojan o a los que facilitan
acceso.
Pueden incurrir en responsabilidad si toman una
participación activa en su elaboración o si,
conociendo la ilegalidad de un determinado material,
no actúan con rapidez para retirarlo o impedir el
acceso al mismo.
A partir del 29 de marzo de 2008, los proveedores de
acceso a Internet están obligados a informar a sus
usuarios sobre los medios técnicos que permitan la
protección frente a las amenazas de seguridad en
Internet (virus informáticos, programas espías, spam)
y sobre las herramientas para el filtrado de contenidos
no deseados.
Asimismo, se obliga a dichos prestadores, así como a
los prestadores de servicios de correo electrónico, a
informar a sus clientes sobre las medidas de
seguridad que apliquen en la provisión de sus
servicios.
Los proveedores de acceso a Internet deberán
también informar a sus clientes sobre las posibles
responsabilidades en que puedan incurrir por el uso
de Internet con fines ilícitos.
Las anteriores obligaciones de información se darán
por cumplidas si el prestador incluye dicha
información en su página o sitio principal de Internet.
Transacción electrónica segura
Transacción electrónica segura o SET (del inglés, Secure
Electrónica Transacción) es un protocolo estándar para
proporcionar seguridad a una transacción con tarjeta de
crédito en redes de computadoras inseguras, en especial
Internet.
SET surge de una solicitud de estándar de seguridad por
VISA y MasterCard en febrero de 1996 y la especificación
inicial involucró a un amplio rango de compañías, tales
como GTE, IBM, Microsoft, Netscape, RSA y VeriSign.
SET utiliza técnicas criptográficas tales como
certificados digitales y criptografía de clave pública para
permitir a las entidades llevar a cabo una autenticación
entre sí y además intercambiar información de manera
segura.
SET fue muy publicitado a finales de la década de 1990
como el estándar de facto para el uso de tarjetas de
crédito. Sin embargo, no logró el éxito anunciado, debido
a la necesidad de instalar software cliente (por ejemplo,
una eWallet), y el costo y la complejidad de los
vendedores para ofrecer soporte.
A partir del año 2000, las compañías de tarjetas de
crédito comenzaron a promocionar un nuevo estándar
para reemplazar SET, denominado 3-D Secure.
Por otro lado las implementaciones actuales de e-
commerce que solo utilizan el protocolo SSL presentan
un bajo costo y simplicidad en su implementación sin
ofrecer la misma calidad de servicios criptográficos que
las nuevas alternativas.
Tipos de transacción
"Business to business" (entre empresas): las
empresas pueden intervenir como compradoras o
vendedoras, o como proveedoras de herramientas o
servicios de soporte para el comercio electrónico,
instituciones financieras, proveedores de servicios
de Internet, etc.
"Business to consumers" (Entre empresa y
consumidor): as empresas venden sus productos y
prestan sus servicios a través de un sitio Web a
clientes que los utilizarán para uso particular.
"Consumers to consumers" (Entre consumidor y
consumidor): es factible que los consumidores
realicen operaciones entre sí, tal es el caso de los
remates en línea.
"Consumers to administrations" (Entre consumidor
y administración): los ciudadanos pueden
interactuar con las Administraciones Tributarias a
efectos de realizar la presentación de las
declaraciones juradas y/o el pago de los tributos,
obtener asistencia informativa y otros servicios.
"Business to administrations" (Entre empresa y
administración): las administraciones públicas
actúan como agentes reguladores y promotores del
comercio electrónico y como usuarias del mismo.
VENTAJAS DEL COMERCIO ELECTRÓNICO
Para las Empresas
Reducción de costo real al hacer estudio de mercado.
Desaparecen los límites geográficos y de tiempo. Disponibilidad las 24 horas del día, 7 días a la semana,
todo el año. Reducción de un 50% en costos de la puesta en marcha
del comercio electrónico, en comparación con el comercio tradicional.
Hacer más sencilla la labor de los negocios con sus clientes.
Reducción considerable de inventarios. Agilizar las operaciones del negocio.
Proporcionar nuevos medios para encontrar y servir a clientes.
Incorporar internacionalmente estrategias nuevas de
relaciones entre clientes y proveedores. Reducir el tamaño del personal de la fuerza.
Menos inversión en los presupuestos publicitarios. Reducción de precios por el bajo coste del uso de
Internet en comparación con otros medios de promoción, lo cual implica mayor competitividad.
Cercanía a los clientes y mayor interactividad y personalización de la oferta.
Desarrollo de ventas electrónicas. Globalización y acceso a mercados potenciales de
millones de clientes. Implantar tácticas en la venta de productos para crear
fidelidad en los clientes.
Para los clientes
Abarata costos y precios
Da poder al consumidor de elegir en un mercado global
acorde a sus necesidades
Un medio que da poder al consumidor de elegir en un mercado global acorde a sus necesidades.
Brinda información pre-venta y posible prueba del producto antes de la compra.
Inmediatez al realizar los pedidos. Servicio pre y post-venta on-line.
Reducción de la cadena de distribución, lo que le permite adquirir un producto a un mejor precio.
Mayor interactividad y personalización de la demanda. Información inmediata sobre cualquier producto, y
disponibilidad de acceder a la información en el momento que así lo requiera.
Permite el acceso a más información.
DESVENTAJAS DEL COMERCIO ELECTRÓNICO
Desconocimiento de la empresa. No conocer la empresa que vende es un riesgo del comercio
electrónico, ya que ésta puede estar en otro país o en el mismo, pero en muchos casos las "empresas" o
"personas-empresa" que ofrecen sus productos o servicios por Internet ni siquiera están constituidas
legalmente en su país y no se trata más que de gente que esta "probando suerte en Internet".
Forma de Pago. Aunque ha avanzado mucho el comercio electrónico, todavía no hay una transmisión
de datos segura el 100%. Y esto es un problema pues nadie quiere dar sus datos de la Tarjeta de Crédito por
Internet. De todos modos se ha de decir que ha
mejorado mucho. Intangibilidad. Mirar, tocar, hurgar. Aunque esto no sea
sinónimo de compra, siempre ayuda a realizar una compra.
El idioma. A veces las páginas web que visitamos están
en otro idioma distinto al nuestro; a veces, los avances
tecnológicos permiten traducir una página a nuestra lengua materna. Con lo cual podríamos decir
que éste es un factor "casi resuelto". (Hay que añadir que las traducciones que se obtienen no son
excelentes ni mucho menos, pero por lo menos nos ayudan a entender de que nos están hablando o que
nos pretenden vender). Conocer quien vende. Ya sea una persona o conocer de
qué empresa se trata. En definitiva saber quién es, como es, etc. Simplemente es una forma inconsciente
de tener más confianza hacia esa empresa o persona y los productos que vende.
Poder volver (post y pre-venta). Con todo ello podemos reclamar en caso de ser necesario o pedir
un servicio "post-venta". Al conocerlo sabemos dónde poder ir. El cliente espera recibir una atención "pre-
venta" o "post-venta".
Privacidad y seguridad. La mayoría de los usuarios no confía en el Web como canal de pago. En la actualidad,
las compras se realizan utilizando el número de la tarjeta de crédito, pero aún no es seguro introducirlo en
Internet sin conocimiento alguno. Cualquiera que transfiera datos de una tarjeta de crédito mediante
Internet, no puede estar seguro de la identidad del vendedor. Análogamente, éste no lo está sobre la del
comprador. Quien paga no puede asegurarse de que su número de tarjeta de crédito no sea recogido y sea
utilizado para algún propósito malicioso; por otra parte, el vendedor no puede asegurar que el dueño de la
tarjeta de crédito rechace la adquisición. Resulta irónico que ya existan y funcionen correctamente
los sistemas de pago electrónico para las grandes
operaciones comerciales, mientras que
los problemas se centren en las operaciones pequeñas,
que son mucho más frecuentes.
RIESGOS ELECTRONICOS
La mayor cantidad de fraudes por manipulación que
sufren en este momento las empresas se originan en la
debilidad de los procesos de aseguramiento de la
integridad de la información contenida en los formatos
para el trámite de pagos, matrícula de proveedores,
modificaciones en los archivos maestros, etc. Rara vez
las organizaciones consideran que las áreas de Control
Interno o de Auditoría deban involucrarse en este tipo de
actividades; lo cual resulta siendo un costoso error.
Siempre hemos sugerido que en la etapa de diseño de los
procedimientos y documentos para la automatización de
procesos relacionados con la administración de recursos
financieros, se cuente con el apoyo de las dependencias
de Control Interno o de personas con conocimientos
acerca de los riesgos que se corren al depositar excesiva
confianza en los procesos de transferencia electrónica de
fondos, como los ofrecidos por las entidades bancarias.
El procedimiento para efectuar pagos por transferencia
electrónica, usualmente comienza con la matrícula de las
cuentas del beneficiario de dichos pagos en el sistema de
la empresa deudora. Para ello, basta con digitar los datos
del beneficiario, como son nombre, NIT, número de
cuenta y nombre de la entidad bancaria correspondiente.
Una vez hecho lo anterior, la persona autorizada prepara
una relación con los pagos a realizar, para que otra
persona diferente sea quien los apruebe y ordene la
distribución de los fondos entre las cuentas de cada
beneficiario de pagos.
Ejemplos de seguridad y confianza
La autenticación es el proceso mediante el cual se
confirma que quien se conecta y solicita acceso a un
servicio es realmente quien dice ser, es decir, el legítimo
usuario. Los siguientes elementos son los principales
encargados de autenticar el proceso desde su inicio (tras
la conexión con el servidor destino).
La elección de unos u otros dependerá siempre de la
infraestructura proporcionada por el comercio o banco
online y las posibilidades de la conexión o dispositivo
mediante el que se realice el proceso.
Claves de acceso
Hasta ahora, el elemento más utilizado para comprobar la
legitimidad del usuario que solicita realizar la transacción
ha sido el uso de claves de acceso. Existen multitud de
mecanismos que se han ido mejorando y adoptando lo
largo de los años, los ejemplos más significativos son:
• PIN (Personal Identification Number), número de
identificación personal o contraseña
• El número de identificación personal es la medida más
sencilla y clásica de identificación: el banco o tienda
online facilita una clave numérica o código alfanumérico
para identificarnos, que deberá ser introducido en el
formulario correspondiente en el momento de la
autenticación
.TAN (Transaction Autenticarían Number) o número de
autenticación de transacción Instituto Nacionalde
Tecnologías de la Comunicación. Se trata de una
evolución del PIN. Está formado por una lista o tabla de
códigos que, en función de las circunstancias, pueden
haber sido previamente generados y distribuidos de
manera física (papel o tarjetas) o distribuirse instantes de
la transacción a través de medios digitales o dispositivos
electrónicos. Encada transacción se solicitará una clave
distinta. Algunas variantes de este sistema son:
O mTAN: Antes de la transacción el banco envía el
número de identificación a través del móvil del cliente, en
un SMS por ejemplo.
o iTAN: Tabla de códigos que utiliza índices y que se
corresponde con las conocidas tarjetas de coordenadas
bancarias que facilitan las entidades para realizar la
confirmación de pagos o transacciones. Por ejemplo, se
puede solicitar introducir la clave correspondiente con la
fila C columna 2.
o iTANplus: Nueva variante que añade al proceso. Los
CAPTCHAS son imágenes con información en su interior
que se supone solo podrán ser leídas por humanos y no
por programas automatizados. El CAPTCHA mostrado
puede identificar el TAN a introducir, o utilizarse como
método de comprobación de identidad (mostrando por
ejemplo la fecha de nacimiento del usuario).