Securidad En Comercio Electronico

1. ENTORNO DE SEGURIDAD DEL COMERCIO ELECTRÓNICO

Para los criminales, el internet ha creado formas completamente nuevas de robar a los más de 1 mil millones de consumidores en el mundo por internet. Desde los productos y servicios al efectivo y la información, todo está ahí para tomarlo de Internet.

Además es menos riesgoso robar en línea. En vez de robar un banco en persona, Internet hace posible robar a las personas de manera remota y casi anónima. En vez de robar un CD en una tienda de discos local, en Internet se puede descargar la misma música en forma gratuita y casi sin riesgo. El potencial de anonimato en Internet cubre a muchos criminales con identidades de apariencia legitima, lo que les permite realizar pedidos fraudulentos con comerciantes en línea, robar información al interceptar correo electrónico, simplemente cerrar sitios de comercio electrónico utilizando virus de software y ataques en tropel.

El Alcance del Problema:

El cibercrimen se está convirtiendo en un problema más significativo para las organizaciones y los consumidores. Las redes de bots, los ataques Dos y DDos (que se describen en el caso de apertura), los Troyanos, la suplantación de identidad o phishing (obtener información financiera en forma fraudulenta de una víctima, por lo general a través del correo electrónico), el robo de datos y de identidad, el fraude con tarjetas de crédito y el spyware son solo algunas de las amenazas que aparecen a ocho columnas en los diarios.

El mercado de la economía subterránea:

El valor de la información robada: Los criminales que roban información en Internet no siempre la utilizan ellos mismos sino que derivan su valor al vender la información a otros, en lo que se denomina "servidores de la economía subterránea". Hay varios millones de servidores de economía subterránea conocidos alrededor del mundo, que venden información robada.

Que es una buena seguridad en el comercio electrónico:

La reducción de los riesgos en el comercio electrónico es un proceso complejo que involucra nuevas tecnologías, políticas y procedimientos organizacionales, además de nuevas leyes y estándares industriales que facultan a los oficiales representantes de la ley a investigar y procesar a los delincuentes, protegiendo a los individuos y organizaciones y organizaciones contra el comportamiento inesperado en el mercado del comercio electrónico.

Dimensiones de la Seguridad en el Comercio Electrónico:

Hay seis dimensiones para la seguridad:

1. La Integridad: Capacidad de asegurar que la información que se muestra en un sitio Web, o que se transmite o recibe a través de Internet, no haya sido alterada de ninguna manera por una parte no autorizada.

2. .La No Repudiación: La capacidad de asegurar que los participantes en el comercio electrónico no desconozcan sus acciones en línea.

3. La Autenticidad: Es la capacidad de identificar la identidad de una persona o entidad con la que se está tratando en Internet.

4. La Confidencialidad: Es la capacidad de asegurar que los mensajes y los datos estén disponibles solo para quienes estén autorizados a verlos.

5. La Disponibilidad: Se refiere a la capacidad de asegurar que un sitio de comercio electrónico siga funcionando como se espera.

6. Facilidad: Que las partes que intervienen en la transacción no encuentren dificultad al hacer la transacción.

La Tensión entre la Seguridad y otros Valores:

La seguridad en las computadoras agrega sobrecarga y gastos a las operaciones de negocios, e incluso da a los criminales nuevas oportunidades de ocultar sus intenciones y sus delitos.

1. Facilidad de Uso: Hay tensiones inevitables entre la seguridad y la facilidad de uso. Cuantas más medidas de seguridad se agreguen a un sitio de comercio electrónico, mas difícil será utilizarlo y se volverá más lento. La seguridad es una sobrecarga tecnológica y de negocios que puede restar valor a la realización de negocios. Demasiada seguridad puede dañar la rentabilidad, en tanto que la falta de seguridad le puede dejar potencialmente fuera de su negocio.

2. La Seguridad Publica y los usos criminales de Internet: También hay una tensión inevitable entre el deseo de las personas de actuar en forma anónima y la necesidad de los oficiales de mantener la seguridad pública que se puede ver amenazada por criminales o terroristas.

2. AMENAZAS DE SEGURIDAD EN EL ENTORNO DE SEGURIDAD DEL COMERCIO ELECTRÓNICO

Se entiende por amenaza a una acción o condición del entorno de redes (persona, máquina, suceso o idea) que, dada una oportunidad, podría dar lugar a que se produjese una violación en la seguridad (confidencialidad, integridad, disponibilidad o uso legitimo). 

Las amenazas a la seguridad de los sistemas de comercio electrónico pueden ser clasificadas como internas y externas. La amenaza interna es la que tiene más probabilidad de ocurrir, es la más difícil de combatir o controlar y sin embargo es la que más se pasa por alto . Este tipo de amenazas es difícil de combatir ya que muy pocos sistemas brindan protección contra acciones maliciosas ejecutadas por usuarios que estén autorizados en el sistema. Es por esto que la mejor manera de combatir esta amenaza es con una combinación de políticas de seguridad estrictas y un esquema de acceso a información privilegiada que solo le permita el acceso a aquellas personas que deban tenerlo. 

Sin embargo, las amenazas a la seguridad a las que más se les da importancia es a las externas. Tanto los ejecutivos de las compañías como los administradores de los sistemas sienten un temor especial a los intrusos desconocidos que estando fuera de las barreras de la organización puedan tener acceso a información privilegiada. Parte de esta preocupación está bien fundada, ya que la Internet le da a los comerciantes la posibilidad de llegar a los consumidores potenciales en cualquier parte del mundo, pero al mismo tiempo permite que todos los usuarios mal intencionados, hackers y espías corporativos en todo el mundo puedan tener acceso a la información de la compañía.

Las categorías generales de amenazas o ataques al comercio electrónico son las siguientes: 

a) Vandalismo y sabotaje en Internet 

El vandalismo o sabotaje en el web es tal vez el ataque que ha recibido más atención de los medios de comunicación. Este ataque consiste en rescribir la página web de alguien mas, generalmente de forma ilegal, para cambiar el contenido de esa página dejando un mensaje propio del saboteador. Este ataque generalmente está motivado por razones políticas o por el ego del saboteador que muestra que pudo romper las medidas de seguridad de un sitio web. 

Aunque este ataque está dirigido al servidor web, el resto de los programas o información contenidas en la máquina que fue blanco del ataque también pueden estar comprometidas, como también otros recursos de red que estuvieran conectados a esa máquina, ya que el atacante pudo tener acceso a ellas tan fácilmente como lo hizo con los archivos de las páginas web. 

Este tipo de ataques es muy perjudicial para la imagen de la compañía que sufre el ataque. La página web es la imagen de la compañía ante el mundo, y si esta es saboteada, la organización completa se verá vulnerable.

b) Violación a la seguridad o privacidad 

En la Internet, los mensajes son transmitidos a través de un número de intermediarios antes de llegar a su destino, los intermediarios son generalmente Routers, cualquiera de los cuales puede copiar, modificar o borrar los mensajes. Es por esta razón que no se debe asumir que las comunicaciones de datos son privadas a menos que se utilice un mecanismo de encriptación para protegerlas. El mayor temor de los consumidores en la Internet es el de revelar sus números de tarjetas de crédito, actualmente se han desarrollado un número de sistemas de transacciones de pago seguras para proteger la privacidad de las transacciones. 

El “romper” las claves de los sistemas de encriptación actuales es muy difícil, por lo que es poco probable que se pueda comprometer la seguridad de las transacciones que utilizan estos sistemas. Sin embargo, los componentes web activos pueden presentar riesgos a la seguridad en el client-side. Los componentes activos son programas que se descargan y ejecutan automáticamente desde el navegador web cuando un usuario entra en un sitio web que los tiene como parte de su código. Ejemplo de estos componentes son los controles ActiveX, Applets de Java, JavaScripts, VBScripts y ciertos archivos multimedia que se ejecutan vía plug-ins. Los plug-ins son aplicaciones que se ejecutan automáticamente cuando el navegador descarga archivos de un determinado formato. 

c) Robo y fraude en Internet 

El robo y fraude en la Internet tienen lugar cuando las personas son engañadas para que confíen en sitios web (y sus operadores), con los que no han tenido relaciones previas. La mayoría de los fraudes son resultado de realizar transacciones comerciales con sitios web establecidos por criminales que se hacen pasar por sitios que llevan a cabo negocios legítimos, cuando en realidad son una fachada para actividades criminales. Los consumidores son engañados para entregar sus números de tarjetas de crédito para pagar por productos o servicios que nunca son entregados. 

d) Violación a la integridad de los datos 

Los ataques a la integridad de los datos casi

...