Dimensiones de Seguridad en Comercio Electrónico
Integridad: capacidad de asegurar que la información que se muestra en un sitio web, o que se transmite o se recibe a través de Internet, no ha sido alterada de ninguna manera por una parte no autorizada.
No repudicación: capacidad de asegurar que los participantes en el e-commerce no nieguen o desconozcan sus acciones en línea.
Autenticidad: capacidad de chequear la identidad de una persona o entidad con la que se está tratando en Internet.
Confidencialidad: capacidad de asegurar que los mensajes y los datos estén disponibles solo para quienes están autorizados a verlos.
Privacidad: capacidad de controlar el uso de la información acerca de uno mismo.
Disponibilidad: capacidad de asegurar que un sitio de comercio electrónico siga funcionando como se espera.
Aspectos Básicos de Seguridad
Autorización: es un proceso que asegura que una persona tiene derecho para acceder a determinados recursos ofrecidos.
Auditoría: proceso de recolectar información sobre intentos de acceder a recursos determinados, usar determinados privilegios o realizar algunas acciones relacionadas con la seguridad de un sitio web.
Tipos de Amenazas y Ataques
Ataque no ético: es un tipo de acción de distracción o engaño que intenta lograr que el usuario desprevenido revele información confidencial, con el objeto de valerse de esos datos para afectar la seguridad de un acceso web.
Ataque “negar-servicio” (denial-of-service – DoS): es un tipo de ataque a un sitio web donde el atacante usa un tipo de software especial para inundar con envíos a un sitio determinado con el objeto de bloquear el posible acceso a este, por saturación de sus recursos.
Ataque “negar-servicio-distribuido” (distributed denial-of-service – DDoS): es un ataque tipo DoS donde el atacante adquiere acceso ilegal a tantas computadoras en Internet como le sea posible, y usa esta “artillería” de recursos para inundar con envíos a un sitio determinado con el objeto de bloquear el posible acceso a este, por saturación de sus recursos.
Malware (malicious software): incluye virus, gusanos, caballos de Troya y bots.
- Virus: programa de computadora que se incorpora por sí mismo en un programa “anfitrión” no protegido, incluso en el sistema operativo, para propagarse. Para poder actuar requiere que el programa anfitrión esté corriendo o sea activado.
- Gusano (worm): un programa de software que corre independientemente, consumiendo recursos de su programa anfitrión para automantenerse, y que es capaz de propagar una versión completa de sí mismo (clon) hacia otra máquina. Está diseñado para expandirse de PC a PC.
- Caballo de Troya: parece ser benigno, pero luego hace más de lo esperado. A veces es la puerta de entrada para otros códigos maliciosos.
- Bot: se puede instalar de manera encubierta en una PC cuando se conecta a Internet. Una vez instalado, el bot responde a los comandos externos enviados por el atacante.
Errores Comunes en el Manejo de Riesgos de Seguridad
- Información desactualizada
- Límites de seguridad muy bajos (accesibles)
- Sistemas de seguridad “reactivos”
- Insuficiencia de comunicaciones sobre seguridad
Programas Indeseables
- Parásito de navegador: programa que puede monitorear y modificar la configuración del navegador de un usuario.
- Spyware: programa que se utiliza para obtener información como las pulsaciones de tecla de un usuario, correo electrónico, mensajes instantáneos, etc.
- Phishing: cualquier intento engañoso en línea por parte de un tercero de obtener información confidencial a cambio de una ganancia financiera.
Seguridad en Comercio Electrónico
Control de Acceso: mecanismo que determina quién está autorizado para usar legítimamente un recurso en la red.
Sistemas Biométricos: sistemas de autenticación que identifican a las personas usando medidas y características biológicas (huellas dactilares, patrones en el iris, rasgos faciales o voz).
Sistemas Fisiológicos: medidas derivadas de las diferentes partes del cuerpo (tamaño de la mano, rostro, etc.).
Biométricas Comportamentales: medidas derivadas de las acciones indirectas de las partes del cuerpo (inflexión de la voz, etc.).
Seguridad por Etapas
Firewall: es un nodo en la red que cuenta con software y hardware capaz de aislar una red privada de una red pública.
Paquetes (packets): segmentos de datos y requerimientos enviados de una computadora a otra, sobre Internet, que consisten en la ID de ambas computadoras más otra información identificatoria que permite distinguir un paquete de otro.
Filtros de paquetes (packet filters): reglas que permiten aceptar o rechazar paquetes entrantes en base a las direcciones de origen y de destino y la otra información de identificación del remitente.
Servidor proxy: servidor de software que se encarga de todas las comunicaciones que se originan de o se envían a Internet, actuando como un vocero o guardaespaldas para la empresa.
Switch: dispositivo digital de lógica de interconexión de redes de computadoras que opera en la capa 2 (nivel de enlace de datos). Su función es interconectar dos o más segmentos de red, de manera similar a los puentes (bridges), pasando datos de un segmento a otro de acuerdo con la dirección de destino de las tramas en la red.
Router: es un dispositivo de hardware para interconexión de red de PCs que opera en la capa tres (nivel de red). Asegura el enrutamiento de paquetes entre redes determinando la ruta que debe tomar el paquete de datos.
Seguridad en Internet
Red Virtual Privada: es una red que usa Internet para mover información, pero permanece privada al usar encriptación en sus comunicaciones, autenticación para asegurar que la información no sea interferida y control de acceso para verificar la identidad de cualquiera que intente usar la red.
Túnel de Protocolo: método usado para asegurar confidencialidad e integridad de los datos transmitidos en Internet, al encriptar los paquetes de datos, enviarlos por Internet y desencriptarlos al llegar a destino.
Sistemas de Detección de Intrusos: son categorías especiales de software que son capaces de monitorear actividades menores en la red o en una computadora, observar las actividades sospechosas y tomar acciones automáticamente en base a lo que el programa está observando.
Tipos de Atacantes
- Hacker: es una persona con abundantes conocimientos de informática y redes, que explora (o penetra en) sistemas por puro reto. Intenta obtener acceso no autorizado a un sistema de computadoras. Penetra en sistemas en beneficio propio (monetario, social o por pura diversión destructiva).
- Cracker: es una persona con conocimientos extensos de seguridad que rompe códigos de protección (“cracks”).
- Script Kiddies / Lamers: es una persona con conocimientos mínimos o nulos de seguridad. Pueden causar graves daños (herramientas precocinadas).
- Sombreros blancos: hackers buenos que ayudan a las organizaciones a localizar y corregir las fallas de seguridad.
- Sombreros negros: hackers que actúan con la intención de ocasionar daños.
- Sombreros grises: hackers que creen que están buscando algún bien mayor al irrumpir y revelar las fallas en un sistema.
Posibles Daños
- Robo de información
- Pérdida de datos
- Denegación de servicio
- Pérdida de imagen
- Posible responsabilidad legal