Equipo 7 Página 1

Equipo 7 Página 2

INDICE

Introducción……………………………………………………………..………………………….…3

Sistemas de pago para el comercio electrónico…………………………………………………...4

Pago con tarjeta TPV Virtual…………………………………………………………..…...4

Pago con Tarjeta de Crédito………………………………………………………….….…5

E-Cash…………………………………………………..…………………..………….……6

Millicent……………………………………………………………………………….……....7

Cybercash…………………………………………………………………………………….8

Seguridad Para El Comercio Electrónico……………………………………………………………8

Amenazas de seguridad para el comercio electrónico……………………………………………..9

Implementación de condiciones de seguridad para el comercio electrónico…………………….9

Criptografía y autentificación………………………………………………………………..9

Criptografía……………………………………………………………………………………9

Autentificación……………………………………………………………………………….10

Seguridad interna………………………………………………………………….………..10

Protocolos de Seguridad…………………………………………………………………………….11

Protocolo SSL……………………………………………………………………………….11

Protocolo SET……………………………………………………………………………….12

Firma digital……………………………………………………………………………………………13

Referencias…………………………………………………………………………………………….14

Equipo 7 Página 3

INTRODUCCION

Uno de los servicios que cada día cobra más importancia y que promete un cambio radical para las

empresas es el comercio electrónico en Internet, pero tradicionalmente las empresas relacionadas

con el turismo sólo han empleado la red para darse a conocer y ofertar sus productos. La razón

esencial es la desconfianza que existe sobre la seguridad de las transacciones llevadas a cabo en la

red. La criptografía de clave pública proporciona servicios adecuados para garantizar la seguridad de

esas transacciones.

Equipo 7 Página 4

SISTEMAS DE PAGO PARA EL COMERCIO ELECTRÓNICO

Un sistema de pago electrónico realiza la transferencia del dinero entre comprador y vendedor en

una compra-venta electrónica. Es, por ello, una pieza fundamental en el proceso de compra-venta

dentro del comercio electrónico.

El comercio electrónico por Internet se ofrece como un nuevo canal de distribución sencillo,

económico y con alcance mundial las 24 horas del día todos los días del año, y esto sin los gastos y

limitaciones de una tienda clásica: personal, local, horario, infraestructura, etc. Los principales retos

que presentan los EPS (sistemas de pago electrónicos) en Internet son:

Pago con tarjeta TPV Virtual

Pago directo con tarjeta

Dinero electrónico o e-cash

Cybercash

Millicent

Otras formas de pago

Pago con tarjeta TPV Virtual

Los TPV (Terminal Punto de Venta) son los contratos normales que se establecen entre un

comerciante y la entidad financiera con la que trabaje habitualmente para poder aceptar el pago con

tarjeta de los clientes. Todos los usuarios de tarjetas conocemos este sistema. El comerciante

dispone de una pequeña máquina, comunicada con la pasarela de pago por vía telefónica, por la

que pasa la banda magnética de nuestra tarjeta y recibe la autorización para la venta tras

comprobarse la validez de la tarjeta y la disponibilidad de fondos asociados a la misma.

El TPV Virtual es el sistema más seguro para la utilización de las tarjetas de crédito en Internet. Este

sistema no solo garantiza que los datos de la tarjeta viajarán, encriptados, directamente del

comprador al banco intermediario sino que además, no serán conocidos en ningún momento por el

vendedor. Las entidades bancarias son siempre más fiables en la protección de los datos de sus

clientes. El sistema es igualmentetransparente y ágil para el comprador.

Equipo 7 Página 5

Pago con Tarjeta de Crédito

La opción más utilizada por los comercios electrónicos es sin duda el cobro a través de una tarjeta

de crédito.

En Internet para poder cobrar de esta forma es necesario instalar una plataforma segura de pago

(gateway de pago) que le permita al comerciante electrónico verificar, y luego debitar de la tarjeta de

crédito del cliente, un determinado importe en forma segura.

Debido al costo elevado de este sistema, surgieron empresas denominadas Merchant banks, que

nos facilitan esta plataforma cobrándonos una comisión por transacción y en algunos casos, además

se cobra un mantenimiento mensual y el setup. Entre ellas, podemos mencionar a:

Vantage Service

Internet Secure Inc.

World Pay

Cybercash (tiene una serie de productos para resolver el pago online y offline, aunque

orientados al mercado de los EEUU)

Geomerchant

Equipo 7 Página 6

E-Cash

eCash constituye es un sistema de pago que emula las propiedades de los pagos realizados en

efectivo, como conservar el anonimato del comprador. eCash es un sistema de pago basado en

software que permite a sus usuarios enviar dinero electrónico en pago de las compras realizadas,

desde cualquier ordenador a cualquier otro ordenador, utilizando cualquier red de comunicación de

datos, incluyendo Internet.

Para usar eCash, tanto el comprador como el vendedor necesitan antes tener una cuenta abierta en

alguno de los bancos que emiten dinero electrónico eCash. Una vez que se posee la cuenta

bancaria, cada banco instruirá a sus clientes acerca de los pasos que deben seguir para obtener una

cuenta de dinero electrónico. El propio banco le facilita gratuitamente el software de cartera, junto

con un identificador de la cuenta y una contraseña.

En eCash el dinero aparece representado en forma de cupones criptográficos que pueden ser

retirados de cuentas bancarias, ingresados en cuenta, o transferidos entre distintas personas (como

el dinero normal). El usuario puede almacenar tanto dinero electrónico (cupones) en su cartera como

dinero disponga en la cuenta bancaria. A partir del momento en que su cartera tiene efectivo, puede

utilizarlo para pagar servicios o productos o incluso para transferirlo a otros usuarios sin necesidad

de mediar una relación comercial de compra-venta. Un rasgo fundamental de eCash es que

preserva el anonimato de la persona que paga con él, gracias a una firma digital ciega.

La responsabilidad de "acuñar" dinero electrónico recae sobre el usuario, cuyo software de cartera

se encarga de generar para cada moneda que se desea acuñar un número de serie aleatorio,

suficientemente largo para que la probabilidad de repetición tienda a cero. En sí mismo, este número

de serie que representa una moneda no posee valor monetario alguno, por lo que requiere la firma

del banco, confiriéndole su valor nominal. Sin embargo, si se gasta esta moneda respaldada por la

firma del banco, éste sería capaz de seguir su pista precisamente porque fue firmada por él. Bastaría

con que registrase su número de serie y cuando algún comerciante acudiera al banco para hacer

efectivo el pago que recibió en moneda electrónica, podría saber en qué se gastó y por quién. Para

evitarlo, antes de enviar la moneda para que la firme el banco, se multiplica el número de serie por

un factor, conocido como factor ciego, cuyo cometido es disfrazar el verdadero número de serie del

Equipo 7 Página 7

dinero. Ahora sí, el usuario firma el nuevo número (el resultado de multiplicar el número aleatorio

original por el factor ciego) y se lo envía al banco.

El banco examina la firma digital para asegurarse de la identidad del cliente. En este punto, se le

asigna el valor a la moneda acuñada por el usuario. Si éste solicitó una moneda de cien pesetas, el

banco la firmará con la firma que posee para monedas de cien pesetas. Si el usuario acuñó una

moneda de quinientas pesetas, entonces el banco utilizará su firma para monedas de quinientas

pesetas, etc. Al mismo tiempo, el banco retirará una cantidad equivalente de la cuenta que el usuario

posee con él. Cuando el usuario recibe la moneda firmada por el banco, verifica la autenticidad de la

firma y extrae el número de serie original dividiendo por el factor ciego. De esta forma, ahora posee

una moneda firmada por el banco, pero cuyo número de serie desconoce el banco. Puede gastarla

sin problemas, y cuando el receptor de la moneda acuda con la moneda al banco a hacerla efectiva,

éste no será capaz de relacionarla con el usuario, ya que firmó un número de serie distinto,

preservándose así la privacidad.

Millicent

Millicent es un protocolo ligero y seguro para el comercio electrónico a través de Internet. Está

diseñado para apoyar las compras que cuestan menos de un centavo. Se basa en la validación

descentralizada de dinero electrónico en el servidor del proveedor sin ninguna comunicación

adicional, cifrado caro, o el tratamiento en línea.

Las innovaciones clave de Millicent son el uso de intermediarios y de los vales. Corredores de

hacerse cargo de la gestión de cuentas, facturación, mantenimiento de la conexión, y el

establecimiento de cuentas con los proveedores. Scrip es de dinero digital que sólo es válido para un

proveedor específico. El proveedor local valida la alforja para evitar el fraude de los clientes, tales

como el gasto doble.

Equipo 7 Página 8

CyberCash

Constituye un mecanismo de pago muy similar a SET, que ofrece a los comerciantes una solución

rápida y segura para procesar los pagos con tarjeta de crédito a través de Internet.

Al igual que en SET, el usuario necesita utilizar un software de cartera que reside permanentemente

en su máquina, como en el caso de Microsoft Wallet o de carteras propietarias de casas de medios

de pago o bancos, o bien residen en el servidor de CyberCash, como la cartera de InstaBuy. Por su

parte, el comerciante necesita instalar un software en su servidor, Merchant Connection Kit (MCK),

parte del sistema global llamado CashRegister 3 Service, que puede adquirirse registrándose en

CyberCash e incluye guiones, plantillas y bibliotecas para que los servidores de los comerciantes se

conecten al servidor de CyberCash. De esta forma, el comerciante no necesita adquirir un sistema

de back-office para el procesamiento de las operaciones de venta con tarjeta, puesto que es el

servidor de CyberCash, y no el del comerciante, el que gestiona con el banco todas las complejas

operaciones de pago.

Desde el punto de vista del cliente, esta estrategia le concede mayor seguridad, al implicar que su

número de tarjeta nunca llega a ser conocido por el comerciante, sino solamente por el servidor de

CyberCash y, por supuesto, por los bancos participantes.

Seguridad Para El Comercio Electronico

Un sistema es seguro si se puede confiar en él y se comporta de acuerdo a lo esperado. La

seguridad se basa en conceptos como la confianza y el acuerdo. La seguridad es un conjunto de

soluciones técnicas, métodos, planes, etc. con el objetivo de que la información que trata nuestro

sistema informático sea protegida. Lo más importante es establecer un plan de seguridad en el cual

se definan las necesidades y objetivos en cuestiones de seguridad.

El término seguridad es muy amplio y comprende distintos aspectos:

• Confidencialidad: la información sólo puede ser accedida por aquel que esté autorizado.

• Integridad: La información no puede ser eliminada o modificada sin permiso.

•Disponibilidad: La información tiene que estar disponible siempre que sea necesario, evitando por

tanto, ataques externos que puedan reducir esta disponibilidad o incluso una caída del servicio.

Equipo 7 Página 9

•Consistencia: Hay que asegurar que las operaciones que se realizan sobre la información se

comporten de acuerdo a lo esperado. Esto implica que los programas realicen correctamente las

tareas encomendadas.

• Control: Es importante regular y controlar el acceso a la información de la empresa.

Amenazas de seguridad para el comercio electrónico

Unas de las preguntas que debemos hacernos a la hora de diseñar y analizar un sistema son:

¿qué quiero proteger?

¿quién podría entrar en mi sistema?

¿y cómo?

También hay que identificar los posibles riesgos: virus informáticos, intrusos en la red (hackers),

empleados malintencionados, pérdidas de backups, etc.

Implementación de condiciones de seguridad para el comercio electrónico

Criptografía y autentificación

Como elementos indispensables para implementar un sistema seguro está la criptografía y los

mecanismos de autentificación. La criptografía es una disciplina muy antigua cuyo objeto es la de

ocultar la información a personas no deseadas. La base de la criptografía ha sido el cifrado de

textos.

Criptografía

El cifrado es el proceso por el que un texto es transformado en otro texto cifrado usando una función

matemática (también denominado algoritmo de encriptación) y una clave. El descifrado es el proceso

inverso. El objetivo de la criptografía se puede resumir en asegurar la:

Confidencialidad: el mensaje no puede ser leído por personas no autorizadas.

Integridad: el mensaje no puede ser alterado sin autorización.

Autentificación: se puede verificar que el mensaje ha sido enviado por una persona, y

recibido por otra.

No repudio: significa que después de haber enviado un mensaje, no se puede negar que el

mensaje no es tuyo.

Equipo 7 Página 10

El cifrado es necesario entre otras funciones para:

• Proteger la información almacenada en un ordenador

• Proteger la información transmitida desde un ordenador a otro.

• Asegurar la integridad de un fichero.

El cifrado también tiene sus límites ya que no puede prevenir el borrado de información, el acceso al

documento antes de su cifrado, por lo que un plan de seguridad no se puede basar simplemente en

el cifrado de la información.

No todas las formas de cifrado tienen la misma seguridad. Hay cifrados muy simples que son fáciles

de romper (se denomina romper un cifrado a la obtención del mensaje cifrado o la clave) y otros

muchos más complejos que requieren de técnicas muy complejas para su descifrado. Hay que

comentar que no existen mecanismos de cifrado totalmente seguros, ya que con un ordenador lo

suficientemente potente (o muchos a la vez) y el tiempo necesario (años o siglos) siempre será

posible romper el cifrado. Por lo tanto, el objetivo de la criptografía es obtener mecanismos de

cifrado que sean lo suficientemente complejos para evitar su descifrado usando la tecnología actual.

Hay dos tipos básicos de algoritmos de encriptación:

• Clave secreta (o clave simétrica): utiliza la misma clave para cifrar y descifrar un mensaje. Estos

métodos de cifrado se usan principalmente para proteger información que se almacena en un disco

duro o para transmisión de datos entre ordenadores. El algoritmo de encriptación más usado de este

tipo es el DES (Data Encryption Standard) que usa una clave de 56-bits. Un mensaje cifrado con

este algoritmo es bastante seguro aunque ya puede ser descifrado con máquinas muy potentes en

menos de un día, por lo que su uso está restringido a ámbitos civiles. Otros algoritmos común-

mente usados son el RC2, RC4, RC5 e IDEA. La mayoría de estos algoritmos tienen patente,

aunque su uso público está permitido.

• Clave pública (o clave asimétrica): que utiliza una clave pública para cifrar el mensaje y una

clave privada para descifrarlo. De esta forma cualquiera puede cifrar un mensaje pero sólo quien

tenga la clave privada puede descifrarlo. Esto sirve para poder enviar un mensaje a un determinado

destino sin que otro pueda descifrarlo. El objeto de estos métodos es el de asegurar la integridad y

Equipo 7 Página 11

la autentificación del origen de los datos (por ejemplo, usando firmas digitales). RSA es el algoritmo

de encriptación más conocido de clave pública. RSA utiliza una clave pública que es usada para

cifrar el mensaje y una clave privada que es empleada para descifrar el mensaje.

Seguridad interna

En la seguridad interna (o centralizada) se pueden engoblar todos los mecanismos que aseguran el

sistema frente a riesgos procedentes del interior de una organización o empresa. Muchos de estos

mecanismos sirven también para afrontar riesgos procedentes del exterior.

Autentificación

Hay que asegurar que cualquier persona que entre en nuestro sistema informático esté autorizado y

sólo pueda acceder a la información permitida en función de su cargo o función. La forma habitual de

autorizar a una persona es por medio de un identificador de usuario y una clave, y asociando a este

usuario una serie de permisos. Por ello, es de vital importancia que estos usuarios y sus claves sean

custodiados de forma adecuada. De nada vale implantar un sistema informático de alta seguridad si

los usuarios y claves son fácilmente accesibles.

Protocolos de seguridad

Un protocolo de seguridad es la parte visible de una aplicación, es el conjunto de programas y

actividades programadas que cumplen con un objetivo especifico y que usan esquemas de

seguridad criptográfica.

El ejemplo más común es SSL (Secure Sockets Layer) que vemos integrado en el Browser de

Netscape y hace su aparición cuando el candado de la barra de herramientas se cierra y también sí

la dirección de Internet cambia de http a https, otro ejemplo es PGP que es un protocolo libre

ampliamente usado de intercambio de correo electrónico seguro, uno más es el conocido y muy

publicitado SET que es un protocolo que permite dar seguridad en las transacciones por Internet

usando tarjeta de crédito, IPsec que proporciona seguridad en la conexión de Internet a un nivel más

bajo.

Equipo 7 Página 12

Protocolo SSL

SSL (Secure Sockets Layer) es un protocolo de propósito general para establecer comunicaciones

seguras, propuesto en 1994 por Netscape Communications Corporation junto con su primera versión

del Navigator. Hoy constituye la solución de seguridad implantada en la mayoría de los servidores

web que ofrecen servicios de comercio electrónico. Para pagar, el usuario debe rellenar un

formulario con sus datos personales (tanto para el caso del envío de los bienes comprados, como

para comprobar la veracidad de la información de pago), y los datos correspondientes a su tarjeta de

crédito (número, fecha de caducidad, titular). Esta arquitectura no exige que el servidor disponga de

capacidades especiales para el comercio. Basta con que se utilice como mínimo un canal seguro

para transmitir la información de pago y el comerciante ya se ocupará manualmente de gestionar

con su banco las compras. El canal seguro lo proporciona SSL. Sin embargo, este enfoque, aunque

práctico y fácil de implantar, no ofrece una solución comercialmente integrada ni totalmente segura

(al menos en España, debido a que los navegadores utilizan 40 bits de longitud de clave, protección

muy fácil de romper). SSL deja de lado demasiados aspectos para considerarse la solución

definitiva:

Sólo protege transacciones entre dos puntos (el servidor web comercial y el navegador del

comprador). Sin embargo, una operación de pago con tarjeta de crédito involucra como

mínimo tres partes: el consumidor, el comerciante y el emisor de tarjetas.

No protege al comprador del riesgo de que un comerciante deshonesto utilice ilícitamente su

tarjeta.

Los comerciantes corren el riesgo de que el número de tarjeta de un cliente sea fraudulento

o que ésta no haya sido aprobada.

Son demasiados problemas e incertidumbres como para dejar las cosas como están. Se hacía

necesaria la existencia de un protocolo específico para el pago, que superase todos los

inconvenientes y limitaciones anteriores, motivo por el que se creó SET.

Protocolo SET

El estándar SET (Secure Electronic Transaction) fue desarrollado en 1995 por Visa y MasterCard,

con la colaboración de gigantes de la industria del software, como Microsoft, IBM y Netscape. La

gran ventaja de este protocolo es que ofrece autenticación de todas las partes implicadas (el cliente,

el comerciante y los bancos, emisor y adquiriente); confidencialidad e integridad, gracias a técnicas

Equipo 7 Página 13

criptográficas robustas, que impiden que el comerciante acceda a la información de pago

(eliminando así su potencial de fraude) y que el banco acceda a la información de los pedidos

(previniendo que confeccione perfiles de compra); y sobre todo gestión del pago, ya que SET

gestiona tareas asociadas a la actividad comercial de gran importancia, como registro del titular y del

comerciante, autorizaciones y liquidaciones de pagos, anulaciones, etc.

Entonces, si todo son alabanzas, ventajas y puntos fuertes, ¿por qué SET no termina de

implantarse? ¿Por qué no goza de la popularidad de SSL, si se supone mejor adaptado? En primer

lugar, su despliegue está siendo muy lento. Exige software especial, tanto para el comprador

(aplicación de monedero electrónico) como para el comerciante (aplicación POST o terminal de

punto de venta), que se está desarrollando con lentitud. En segundo lugar, aunque varios productos

cumplan con el estándar SET, esto no significa necesariamente que sean compatibles. Este es un

problema que exige mayores esfuerzos de coordinación y más pruebas a escala mundial para

asegurar la interoperabilidad. Sus puntos fuertes son también su talón de Aquiles: la autenticación

de todas las partes exige rígidas jerarquías de certificación, ya que tanto los clientes como

comerciantes deben adquirir certificados distintos para cada tipo de tarjeta de crédito, trámites que

resultan engorrosos, cuando no esotéricos, para la mayoría de los usuarios.

En definitiva, SET es un elefante de gran tamaño y fuerza, pero de movimientos extraordinariamente

pesados. SSL es una liebre que le ha tomado la delantera hace años. No es tan perfecto, no ofrece

su seguridad ni sus garantías, pero funciona. Y lo que es más: ¡el usuario de a pie no tiene que

hacer nada! Entretanto, mientras SET llega a la meta o muere por el camino, eso sí, no olvide pagar

todas sus compras usando SSL.

Firma digital

La firma digital es un mecanismo utilizado para asegurar la integridad del mensaje y la autenticación

del emisor. Este método consiste en la obtención de un valor hash (concepto explicado más

adelante) del mensaje y su posterior encriptación con la clave privada del emisor. En recepción se

desencripta el hash con la clave pública del emisor y se compara con otro valor hash obtenido en

recepción de forma independiente a partir del mensaje recibido.

La firma digital permite soportar el no repudio, característica esencial en entornos

de comercio electrónico, ya que la verificación de la firma garantiza que ésta sólo puede haber sido

generada por el poseedor de la clave privada; o sea, su usuario legítimo.

Equipo 7 Página 14

Equipo 7 Página 15

Referencias

“Departamento de Tratamiento de la Información y Codificación”

Seguridad en el comercio electrónico. (1999) Recuperado de

http://www.iec.csic.es/criptonomicon/susurros/susurros08.html

“Wikipedia”

Firma Ditigal (2010). Recuperado el 23 may 2010 De. http://es.wikipedia.org/wiki/Firma_digital

“Google Docs”

Metodos de cifrado y criptografia para Marketing (2010). Recuperado de

http://docs.google.com/viewer?a=v&q=cache:2au7o23h7eEJ:www.acta.es/index.php%3Foption%

3Dcom_jdownloads%26Itemid%3D19%26task%3Dfinish%26cid%3D329%26catid%3D15+Metodos

+de+cifrado+y+criptografia+para+Marketing&hl=es&gl=mx&pid=bl&srcid=ADGEESg6nQP5uvpdILG

ijmO9Lc1EO66f49HrSfu4dViWIkVzDWtzl_dtAjGTJJ8vc7BFVj-

RXyS55Fc4t7dqBTo1IrNir2DHri3pSpMkFTW474o_m-

5QUC5KTbmyMLj9d0WKcts7Up46&sig=AHIEtbTAlG27fQmB-4zFSPRdeaFyb_Xd6g