Tecnologías Emergentes y los Negocios

Unidad 3 – Seguridad en Internet

E-Security• Es la tarea de proteger los datos y la información almacenada

en los equipos de computo que viaja a través del Internet.• El comercio electrónico provee mayores ganancias y canales

de venta a las empresas, pero a su vez también genera alguno riesgos de seguridad de la información, como lo son:– Instalar software malicioso o virus que pueda robar información o

degradar el comportamiento del equipo de computo.– Interceptar transacciones financieras y robar datos de TDC (VISA/Master

Card)– Hackear sitios web.– Robar información confidencial.

• Objetivo: Identificar las amenazas de seguridad que afectan a las empresas y proporcionar soluciones (procesos, tecnología, operación)

Seguridad Informatica• Es el área de la informática que se enfoca en la protección de

la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida).

• Para minimizar los posibles riesgos a la infraestructura o a la información existen una serie de:– estándares, – protocolos, – métodos, – reglas, – herramientas y – leyes

• Comprende software, bases de datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas.

Gestión de Claves• Contraseña/Password/PIN: clave de acceso un sistema;

recomendaciones:– Mínimo 8 caracteres, máximo 15 caracteres.– Utilizar mayúsculas, minúsculas, números y signos de puntuación.– Utilizar claves semejantes para diferentes sistemas, no la misma para

todos.– Actualizarla al menos cada 6 meses.

Confidencialidad

• No compartir passwords Evitar mal uso.• Password encriptado por las empresas (algoritmo

& key)• No permitir recuperar password cambiarlo.• No comercializar datos o poner a disposición de un

3ro.• VISA / Mastercard• Paypal

Imposibilidad de Repudio

• Proporciona protección contra la interrupción, por parte de alguna de las entidades implicadas en la comunicación, de haber participado en toda o parte de la comunicación.

• No Repudio de origen: El emisor no puede negar que envío, porque el destinatario tiene pruebas del envío, el receptor recibe una prueba infalsificable del origen del envío, lo cual evita que el emisor, de negar tal envío, tenga éxito ante el juicio de terceros.

Imposibilidad de Repudio

• No Repudio de destino: El receptor no puede negar que recibió el mensaje porque el emisor tiene pruebas de la recepción. Este servicio proporciona al emisor la prueba de que el destinatario legítimo de un envío, realmente lo recibió, evitando que el receptor lo niegue posteriormente. En este caso la prueba irrefutable la crea el receptor y la recibe el emisor.

• El no repudio evita que el emisor o el receptor nieguen la transmisión de un mensaje.

Integridad

• Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas.

• Es el mantener con exactitud la información tal cual fue generada, sin ser manipulada o alterada por personas o procesos no autorizados.

Integridad

• La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad.

• La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información

Autenticación• Es el proceso de intento de verificar la identidad digital del

remitente de una comunicación como una petición para conectarse.

• Es un modo de asegurar que los usuarios son quién ellos dicen que ellos son - que el usuario que intenta realizar funciones en un sistema es de hecho el usuario que tiene la autorización para hacer así.

• Métodos:– Sistemas basados en algo conocido. Ejemplo, un password (Unix) o

passphrase (PGP).– Sistemas basados en algo poseído. Ejemplo, una tarjeta de identidad,

una tarjeta inteligente(smartcard), dispositivo usb tipo epass token, smartcard o dongle criptográfico.

– Sistemas basados en una característica física del usuario o un acto involuntario del mismo: Ejemplo, verificación de voz, de escritura, de huellas, de patrones oculares.

Autenticación• El proceso general de autenticación consta de los siguientes

pasos:– El usuario solicita acceso a un sistema.

– El sistema solicita al usuario que se autentique.– El usuario aporta las credenciales que le identifican y

permiten verificar la autenticidad de la identificación.– El sistema valida según sus reglas si las credenciales

aportadas son suficientes para dar acceso al usuario o no.

• ** Registro **

Certificado Digital• Es un documento digital mediante el cual un tercero

confiable (una autoridad de certificación) garantiza la vinculación entre la identidad de un sujeto o entidad (por ejemplo: nombre, dirección y otros aspectos de identificación) y una clave pública.

• Se emplea para comprobar que una clave pública pertenece a un individuo o entidad. La existencia de firmas en los certificados aseguran por parte del firmante del certificado que la información de identidad y la clave pública perteneciente al usuario o entidad referida en el certificado digital están vinculadas.

Firma Digital• Es un esquema matemático que sirve para demostrar la

autenticidad de un mensaje digital, que puede ser por ejemplo un documento electrónico.

• Brinda al destinatario seguridad de que el mensaje fue creado por el remitente (autenticidad de origen), y que no fue alterado durante la transmisión (integridad).

• Las firmas digitales se utilizan comúnmente para la distribución de software, transacciones financieras y en otras áreas donde es importante detectar la falsificación y la manipulación.

Firma Digital• PROPIEDADES:

• Únicas: Las firmas deben poder ser generadas solamente por el firmante y por lo tanto infalsificable. Por tanto la firma debe depender del firmante

• Infalsificables: Para falsificar una firma digital el atacante tiene que resolver problemas matemáticos de una complejidad muy elevada, es decir, las firmas han de ser computacionalmente seguras. Por tanto la firma debe depender del mensaje en sí.

• Verificables: Las firmas deben ser fácilmente verificables por los receptores de las mismas y, si ello es necesario, también por los jueces o autoridades competentes.

• Innegables: El firmante no debe ser capaz de negar su propia firma.

• Viables: Las firmas han de ser fáciles de generar por parte del firmante.

Firma Digital

Protocolo de Seguridad (SSL)

El protocolo SSL es un sistema de seguridad desarrollado etscape y utilizado actualmente por la mayoría de empresas que comercian a través de Internet. Es un sistema de seguridad ideado para acceder a un servidor garantizando la confidencialidad de los datos mediante técnicas de encriptación modernas.

Características:• Confidencialidad: Mediante el uso de la Encriptación se garantiza que los datos

enviados y recibidos no podrán ser interpretados inguna otra persona que no sea ni el emisor ni el receptor.

• Integridad: Se garantiza que los datos recibidos son exactamente iguales a los datos enviados, pero no se impide que al receptor la posibilidad de modificar estos datos una vez recibidos.

• Autentificación: El vendedor se autentifica utilizando un Certificado Digital emitido por una empresa llamada Autoridad Certificadora, este documento es totalmente infalsificable y garantiza que el Vendedor es quien dice ser.

Protocolo de Seguridad (SSL)

Protocolo de Seguridad (SSL)

Protocolo de Seguridad (SET)

• El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard, con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape.

• La gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente, el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas criptográficas robustas, que impiden que el comerciante acceda a la información de pago (eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos (previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

Protocolo de Seguridad (SET)