Los Riesgos en Transacciones Electrónicas en Línea y la

Transcripción

Los Riesgos en Transacciones
Electrónicas en Línea y la Criptografía
Como Modelo de Seguridad
Informática
Msc. Orlando Philco A. y Msc. Luis Rosero
Resumen
Summary
Los clientes, usuarios, consumidores, etc., de bienes
o servicios en línea no tiene plena seguridad de las
transacciones comerciales que efectúan, pues la
información personal es susceptible de ser interceptada
por expertos en informática, los números de tarjetas de
Customers, users, consumers, etc., of goods
or services online does not have full security
of business transactions made, for personal
information via the Internet is always risky,
2013, registra a 2.321 ecuatorianos, que presentaron
denuncias por fraudes informáticos. Aun así no existen
que pierden las víctimas por estos delitos, que originan
pérdidas económicas a clientes y los mismos empresarios.
Este trabajo académico utiliza el método analítico
para investigar el objeto de estudio, para plantear un
modelo de procedimiento de seguridad informática de
transacciones comerciales en el país. Muchas empresas
deben implementar infraestructuras seguras para brindar
línea, una de esas estrategias puede ser el cifrado en
sus transacciones en línea. Los informes estadísticos de
fraude informático en el país, se concluyen que se debe
can be tracked by computer experts. In the
prosecution of the country between January
2012 and August 2013, recorded at 2,321
economic amount is lost by the victims of
these crimes , which cause economic losses
to customers and entrepreneurs themselves.
This academic work using the analytical
method to investigate the object of study,
to propose a model method for computer
security of commercial transactions in the
country. Many companies should implement
secure infrastructure for the user or consumer
con el uso de protocolos de seguridad robustos, además
los usuarios deben adoptar una cultura de seguridad
informática.
of these strategies can be encrypted online
transactions. Statistical reports of computer
fraud in the country, it is concluded that to trust
and use portals with solid encryption standards,
adopt a culture of security.
Palabras Claves: comercio electrónico, virus, cifrado, SSL, DES.
Keywords: e-commerce, virus, encryption, SSL, DES.
Introducción
Hoy en día es posible realizar compras y pagos vía online, y muchas pymes (pequeña y mediana empresa) e incluso
etc., y las operaciones de compra o pago se efectúan con tarjetas de crédito.
Existen diversas formas de vulnerar la privacidad en correos electrónicos, captura de datos o información relevante
que se transmite en comunicaciones electrónicas, por este motivo es fundamental potenciar mecanismos de
protección en la red. La Superintendencia de Bancos en el 2012 en la resolución JB-2012-2090, pidió a las instituciones
2013 se denunciaron dos mil operaciones de retiros fraudulentos de dinero a clientes de bancos en el Ecuador.
Santiago Acurio, experto en fraude informático, comenta que aún no existen garantías concretas para evitar los
fraudes o estafa informática y cuando este ocurre es demorado el tiempo de investigación o respuesta de la entidad
respuestas” asegura que algunos perjudicados denuncian en la Superintendencia de Bancos y las investigaciones
que realiza la institución demora varios meses hasta que se pronuncie dictamen.
Los Riesgos en Transacciones Electrónicas en Línea
y la Criptografía como Modelo de Seguridad Informática
45
de la vida social, han surgido una serie de comportamientos fraudulentos antes impensables y en algunos
perjudicados, no es completa, pues muchos clientes reciben cantidades menores a la que perdieron.
¿QUIÉNES VULNERAN LOS SISTEMAS INFORMÁTICOS?
(Corletti, 2011, pág. 485) Indica que, la persona con gran habilidad para acceder a tecnología informática,
protocolos de comunicación y que puede causar daños o perjuicios por el acceso no autorizado a un
computador mediante un usuario remoto, se conoce como “intruso informático”.
ganar notoriedad y/o divulgar las debilidades de sus sistemas de seguridad, se los conoce como hackers.
Su código de ética incluye no dañar la información de los equipos en los que consigue entrar ni revelar
a terceros la información obtenida. Sin embargo, se cuestiona su ética y por ello algunos autores, para
diferenciar sus acciones, señalan que existe el hacker malo y hacker ético.
de introducirse de forma no autorizada a sistemas
informáticos y que además cause daño a los sistemas
que invadió. El cracker utiliza la “ingeniería inversa”
y con ello ofrece públicamente números de series,
cracks o generadores de claves de programas
comerciales. Al cracker también se lo llama pirata
informático pues sus acciones tienen ánimo de lucro.
El Phreaker, es el individuo que tiene experiencia
en telecomunicaciones y su objeto de estudio son
los desbloqueos de teléfonos celulares y fraudes en
redes telefónicas (ejemplo, bypass telefónico).
El Script Kiddie, es el usuario de Internet, sin
conocimientos sobre hack o el crack”. Son los
usuarios que buscan programas de Hacking en la
red y después ejecutan sin leer primero los archivos
“readme” de cada aplicación.
LOS VIRUS INFORMÁTICOS
además se conoce que existen ataques a sistemas operativos de teléfonos inteligentes o dispositivos móviles.
Un virus informático también suele llamarse malware; este término es un acrónimo de software malicioso o no
deseado. (Acosta & Negrete, 2012, pág. 6). Los virus informáticos son similares a sus homólogos biológicos, ya
que son capaces de auto-replicarse. El principal objetivo de un virus, además de causar daño, es clonarse
a sí mismo en otro huésped de modo que se puede propagar. Si un virus causa daño es más probable
que se detecten, y por esta razón los creadores de virus emplean técnicas de ocultación para mantenerlo
desapercibido. Un buen virus tiene un tamaño muy pequeño y puede permanecer sin detectarse durante
un tiempo muy largo.
Cuando se aceptan aplicaciones no seguras y
las instalan o ejecutan en la computadora, los
virus informáticos pueden activarse y propagarse
en el equipo y la red local, lo que causará que
ciertas funciones de los equipos se vean afectadas
(Velázquez, 2012). La activación del virus también
podría efectuarse en una fecha programada y
podría tomar el control de la maquina afectada, sin
que el usuario lo advierta.
Existen diferencias entre los virus informáticos,
46
dependiendo del modo en que se instalan y
propagan:
Gusano.- Se diferencia del virus porque este se
propaga de forma automática, y no necesita
servicios encargados de la transmisión de datos para
tomar su control. El gusano es catalogado como
una aplicación maliciosa que es capaz de replicarse
a sí mismo (Díaz, Alzorris, Sancristobal, & Castro, 2014,
pág. 132). Cuando un gusano infecta un sistema,
creará copia de sí mismo en la memoria del computador y se extenderá a otros equipos conectado a la
misma red.
Troyano.- O caballo de Troya, su propósito es ocultarse en el interior de un software que parece genuino. Por
ejemplo, dentro de un juego aparentemente inofensivo. Los troyanos también vienen ocultados en vídeos,
imágenes e incluso paquetes de aplicaciones legítimas. En cada caso, dicha acción de ocultamiento es
creado para incitar al usuario la ejecución del programa que lo activará. Los delincuentes informáticos
suelen utilizar virus, troyanos y gusanos juntos.
Bot.- También conocido como robot web. Los Bot
maliciosos son troyanos que actúan como zombie;
no suele recoger información del computador. En
su lugar, sólo se instala y quedan a la espera de las
órdenes del hacker. Los delincuentes informáticos
pueden infectar decenas de miles de computadores,
convirtiéndolos en máquinas zombies. Los equipos
infectados estarán a disposición de la hacker que,
por lo general, emite órdenes para que todos ellos
envíen instantáneamente solicitudes de red a un host
ataque de denegación de servicio y generalmente
es efectiva, incluso en contra de las organizaciones
más grandes de Internet.
Figura 1.Esquema de una red de bots
Fuente: (Aguilera, 2010, pág. 104)
creará copia de sí mismo en la memoria del computador y se extenderá a otros equipos conectado a la
misma red.
Troyano.- O caballo de Troya, su propósito es ocultarse en el interior de un software que parece genuino. Por
ejemplo, dentro de un juego aparentemente inofensivo. Los troyanos también vienen ocultados en vídeos,
imágenes e incluso paquetes de aplicaciones legítimas. En cada caso, dicha acción de ocultamiento es
creado para incitar al usuario la ejecución del programa que lo activará. Los delincuentes informáticos
suelen utilizar virus, troyanos y gusanos juntos.
Un bot, puede activarse deliberadamente sin que
el dueño o usuario del computador se dé cuenta.
Algunas de las acciones que puede realizar un
bot son las siguientes:
• Remitir spam y virus.
• Publicar denegación de acceso a
determinadas páginas web.
Spyware o programa espía.- Es un código malicioso
que tiene una funcionalidad adicional, diseñada
para monitorear en secreto sus actividades
realizadas por un usuario en un computadora
(Aguilera, 2010, pág. 105). Una vez que el software
espía se instala correctamente, comenzará la
recopilación de datos. Es muy común que tipo de
programas registre datos sensibles como: claves
de usuarios, datos bancarios, números de tarjetas
de crédito; para enviarlas posteriormente a los
estafadores vía Internet. Este tipo de spyware se
llama keylogger y captura cada golpe de tecla,
por lo que los correos electrónicos completos,
documentos y chats pueden ser leídos por el
hacker malicioso.
que se enganchan por sí mismos a la interfaz de
red y desvían todos los datos que son transmitidos
desde y hacia la computadora infectada a través
de la red. Esto permite al hacker capturar sesiones
de red completas y acceder a los archivos,
VULNERABILIDADES DEL CORREO ELECTRÓNICO
Las dos grandes debilidades que sufre el correo electrónico es la vulnerabilidad a la privacidad y seguridad.
La privacidad es quebrantada puesto que el correo electrónico viaja como texto plano, es decir cuando no
datos o información vital como: estados de cuenta, contraseñas, etc.
En Internet se pueden encontrar una gran
variedad de programas especialmente creados
para inspeccionar una red, extraer y guardar la
información transmitida en ella y luego, analizar la
información más importante como contraseñas
introducidas, las páginas web consultadas, los
documentos compartidos en la red, los e-mails
enviados, información esencial sobre la empresa que
el pirata informático desea obtener, estos programas
se denominan “packet sniffer”.
Dentro de una red, todos los paquetes de datos
que son enviados de una pc a otra son recibidos
de forma sistemática por las demás computadoras.
Cuando un computador ha recibido un paquete
de datos, inspecciona la dirección del computador
que lo envió y realiza una comparación con su
propia dirección. De esta manera únicamente el
computador con la dirección de lo recibirá y podrá
contestar.
Con este sistema de envió de datos por medio de la
red se puede observar que un computador recibirá
un paquete independientemente, sea o no el
destinatario. Considerando esto un pirata informático
utilizaría un programa de espionaje para recibir estos
datos, pudiendo guardarlos y leerlos para obtener la
información deseada sin importa que estos paquetes
de datos no estén destinados para su computador.
De esta manera todas las máquinas recibirán este
podrá espiarlas a placer. No se recomienda utilizar
una hub (concentrador para compartir una red de
datos) en la red de una organización; es mejor un
conmutador de red. Cuando el conmutador de red
recibe un paquete de datos sobre un puerto, sólo lo
enviará a la máquina de destino, el hub en cambio
lo enviará a todos los puertos. De esta manera se
puede evitar el envío de información a terminales
que no la requieren; de esta forma se logra mayor
seguridad a la red de la empresa.
La utilización de switches o conmutadores es clave
para mantener un mayor control sobre la información
que se transmite en la red de la empresa. Además,
si ellos transmiten datos encriptados, se asegurará el
La seguridad es atacada con dos técnicas puntuales;
las bombas de correo (varias copias de un mismo mail
a un solo destino) y el Spam (correo no autorizado).
TIPOS DE SPAM
El spam se puede propagar por muchas formas: correo electrónico, mensajería instantánea (ejemplo twits),
mensajes cortos de texto (sms), VoIP (Voz sobre protocolo IP), etc.
Los spam son distribuidos con mayor frecuencia a
través de correo electrónico. Algunos tipos son:
Comercial.- Son los que anuncian productos como:
farmacéuticos, software, productos bancarios, venta
de lotería, etc. Todos ellos de dudosa legalidad.
Spam africano.- Su nombre se debe a que proviene
de ese país; este tipo de spam anuncia que el
al dar clic y “conectarse” con dicha página, tendrá
que suministrar números de cuenta y contraseñas.
El delincuente informático, de esta forma,
ha
aprehendido los datos y podrá suplantar la identidad
de la persona, para realizar transacciones bancarias
o comerciales.
de una herencia o fortuna en cierto país africano
(ejemplo; Nigeria). A través de este mensaje se pide
un número de cuenta corriente para transferir dicha
herencia.
Phishing.- Intentan hacer que el destinario suministre
supuestos correos enviados por la agencia bancaria
del destinatario, donde se pide la actualización
de sus datos debido a supuestos problemas de
seguridad.
Este mensaje de correo tiene un
hipervínculo que hace un redireccionamiento a una
página web falsa de la agencia bancaria. El cliente
48
Un informe de (LACNIC, 2014) reporta que en el 2013,
el fraude en el comercio electrónico en América
Latina y el Caribe alcanza los 430 millones de dólares
al año. La técnica del phishing fue la más utilizada
y el país de la región más afectado por el delito
informático es Brasil, lo siguen Colombia, Argentina,
México y Chile.
que un correo electrónico de phishing estándar, el
mensaje podría ser de un empleador o de un colega
que podría enviar un mensaje de correo electrónico
a todos los miembros de la compañía, en un intento
de obtener información de acceso. Los fraudes de
spear phishing trabajan para obtener acceso a todo
el sistema informático de una empresa.
Una variante actual, es el spear phishin; técnica
utilizada para dar a los correos electrónicos
maliciosos la apariencia de genuinos; se envían
a todos los empleados o miembros de una
determinada empresa u organización. Al igual
El objetivo de estos fraudes es estafar a las personas,
como el esquema tipo “gane dinero desde casa”
SANCIONES A DELITOS INFORMÁTICOS
MODALIDADES DE DELITOS INFORMÁTICOS EN
ECUADOR
El nuevo Código Orgánico Integral Penal (COIP) del
Ecuador, en su artículo 190, dice:
“Apropiación fraudulenta por medios electrónicos.La persona que utilice fraudulentamente un
sistema informático o redes electrónicas y de
telecomunicaciones para facilitar la apropiación
de un bien ajeno o que procure la transferencia no
consentida de bienes, valores o derechos en perjuicio
funcionamiento de redes electrónicas, programas,
sistemas informáticos, telemáticos y equipos
terminales de telecomunicaciones, será sancionada
con pena privativa de libertad de uno a tres años”.
Incluye además el descifrado de claves secretas
o encriptados, la alteración de datos de identidad
en programas informáticos, clonación de páginas
electrónicas o tarjetas de crédito, débito, pago o
similares. Estas violaciones según el COIP, se castigarán
con sentencias de tres a cinco años de cárcel.
establecer “pirámides” que prometen triplicar las
inversiones (Alvarez, 2009, pág. 45)
La Superintendencia de Bancos, en su página
que consiste en la recepción de un mensaje de
correo electrónico que parece provenir de una
persona, organización o empresa legítima. El
phishing es, por lo tanto, una forma de ataque de
ingeniería social que explota una debilidad humana,
el phishing puede ser efectuado a través de correo
electrónico, pero también se puede llevar a cabo
a través de mensajes instantáneos de mensajería,
publicaciones en el blog, y pharming.
El pharming es la explotación de una vulnerabilidad
en el servicio de nombres de dominio (Domain Name
System, DNS) de software de servidor que permite a un
sitio web. Los servidores DNS son las computadoras
encargadas de encontrar los nombres de Internet en
sus direcciones IP y se utilizan cada vez que un usuario
escribe el nombre de un sitio web en su navegador e
intenta acceder a él.
49
Los ataques pharming, a nivel de servidor DNS, obligan a este que vuelva a dirigir al sitio de un delincuente
informático, todo cuando se escriba en la dirección web de una empresa.
Otra modalidad de delito informático en el Ecuador, es la de “intervenir” cajeros automáticos de entidades
bancarias. Existen bandas de delincuentes nacionales y extranjeros que implementan el scanning o skimming.
En esta modalidad, el delincuente copia o escanea los datos del cliente mediante diminutos dispositivos
de captura de datos, cuando un usuario introduce
su tarjeta en el lector de los cajeros automáticos;
donde previamente se ha instalado un dispositivo de
duplicado que “leerá” los datos almacenados en la
banda magnética de la tarjeta.
Generalmente, un dispositivo de duplicado se utiliza
en conjunto con un dispositivo de captura de PIN.
Este último puede ser un falso teclado de PIN o una
cámara estratégicamente colocado a un lado o en
2. Se representa los pasos del skimming.
Por lo regular estos dispositivos de duplicado o de
captura de datos de tarjetas de débito son removidos
en menos de 24 horas. Luego el delincuente
descarga a través de un computador portátil los
Figura 2. Representación de skimming
datos y puede crear tarjetas clonadas. También los
Fuente: (Anti Skimming Eye, 2013)
delincuentes utilizan tecnología de comunicaciones
inalámbricas para transmitir datos de la tarjeta, desde el momento que su tarjeta se ha introducido en
un lector pirata (acondicionado con el original del cajero automático), se utiliza tecnología Bluetooth o
tecnología celular.
EL CIFRADO COMO MODELO DE SEGURIDAD EN TRANSACCIONES EN LINEA
El arte de la protección de la información mediante su transformación (cifrado de ella) en un formato
ilegible se denomina cifrado. Sólo aquellos que poseen un clave secreta pueden descifrar el mensaje en
texto sin formato. Los mensajes cifrados a veces se pueden romper por el criptoanálisis, también llamado
codebreaking, aunque las técnicas de criptografía moderna son prácticamente irrompibles.
los datos para evitar una interpretación precisa por
el cifrado para aumentar la seguridad de los datos
transmitidos a través de Internet. En esencia el cifrado
es el proceso de transformación de la información
para que sea ininteligible para todas las partes
no autorizadas, excepto el destinatario deseado;
constituye la base de la integridad de los datos y
la privacidad que es necesaria para el comercio
único que recibe en forma inteligible la información
A menos que el “destinatario” se haya autenticado
, se podría obviar el procedimiento de cifrado. Aun
así, estándares de “seguridad alta” recomiendan
procesos integrales, es decir complementos de
autenticación y cifrado.
El algoritmo de clave simétrica más común es el
estándar de cifrado de datos (DES), creado por IBM
50
en 1977. Se utiliza con mayor frecuencia para la
banca y los cajeros automáticos.
Una versión moderna es triple DES, el mensaje real
se divide en numerosos bloques; cada bloque es
encriptado y re-encriptado varias veces. Hoy en
día DES, se puede romper con la tecnología actual
como resultado de ello, el Instituto Nacional de
Estándares y Tecnología considera DES vulnerables
y por ello fue aprobado desde el 2002, el Advanced
Encryption Standard (AES), que de cierta forma está
vigente.
El tipo y la longitud de las claves utilizadas dependen
del algoritmo de cifrado y la cantidad de seguridad
de cifrado simétrico, asimétrico y hash.
En el cifrado simétrico convencional se usa una
sola clave. Con esta clave, el remitente puede
cifrar un mensaje y un destinatario puede descifrar
el mensaje, Sin embargo, la seguridad de la clave
puede ser vulnerada.
Figura 3. Tipos de cifrado
Fuente: (Woodbury, 2007)
La investigadora (Woodbury, 2007) indica que, los algoritmos de claves simétricas utilizan la misma clave tanto
para cifrar y descifrar datos. Ellos son generalmente más rápido que los algoritmos de claves asimétricas y se
utilizan a menudo para cifrar grandes bloques de datos. Estos algoritmos incluyen; DES, Triple DES, RC5 y AES
(el estándar para el gobierno norteamericano). Ya sea el Triple DES o AES, son requeridos para el cifrado de
los números de tarjetas de crédito almacenados.
En el caso de los algoritmos de clave asimétrica,
son necesarias dos claves de cifrado: una para
cifrar los datos y la otra para descifrar los datos.
Estos algoritmos se utilizan normalmente para la
autenticación; por ejemplo, durante una SSL o
una “clave de sesión” se intercambia por el
cliente y el servidor, y el cifrado de clave simétrica
se utiliza para la transmisión de datos real. Los
tipos de algoritmo de clave asimétrica incluyen
RSA .
Los algoritmos hash producen un resultado que
Existen otras técnicas para la seguridad electrónica,
criptografía cuántica, la esteganografía, entre otras.
integridad de un mensaje u otros datos utilizando
criptografía de clave pública. Al igual que las
pueden ser utilizados para autenticar la identidad
puesto que ellos pueden asegurar que los datos en
sí no han sido alterados.
comparación de dos valores para asegurarse
si alguien cambia el importe de la cantidad escrita
en el cheque, un sello de “no válido” se hace visible
en la cara del cheque.
sido alterado. Debido a que un valor hash no
puede devolver el valor original, este método
proporciona la forma más segura para almacenar
datos y es el método más apropiado cuando no
se requiere la forma original (sin cifrar). MD5 y
SHA-1 son dos ejemplos de algoritmos hash.
para la gestión de la seguridad de la transmisión de
es el Secure Sockets Layer (SSL). El SSL utiliza una
capa ubicado entre el Protocolo de Transferencia
de Hipertexto (HTTP) y el Protocolo de Control de
Transporte (TCP). El SSL utiliza el sistema de cifrado
51
de clave pública y privada de RSA, que también
de alojamiento web de los navegadores web y web
que se conectan a ella. Esto asegura que nadie
se envía entre el sitio y los usuarios - por ejemplo,
números de tarjetas de crédito, nombres de usuario
y contraseñas, e información personal.
operan los sitios web. Esto ayuda a los usuarios/
clientes para asegurarse de que están tratando con
un verdadero negocio en el mundo real y no una
página web falsa.
La última versión de SSL es también conocida
como TLS (seguridad de la capa de transacción).
Una variación de TLS, Wireless TLS o TLS inalámbrico,
ha sido optimizada para los teléfonos celulares.
Normalmente, la mayoría de los navegadores
muestran un símbolo de un candado o una barra
de direcciones verde para indicar que están
actualmente protegidas por SSL. Además, un
sitio web con SSL para el cifrado suele tener su
URL comienza con https:// en lugar de http://
originales. Si un cliente desea comprar en línea,
debe cerciorarse de tales direcciones.
Con SSL activado, el usuario o comprador sentirá
una sensación de seguridad, por lo que estarán
para efectuar las transacciones comerciales que
deseen.
POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD
deben incorporar la seguridad informática en sus operaciones básicas. (Korper, & Ellis, 2010) Recomiendan
Internet. Estas políticas deben abarcar la actividad del equipo humano, tanto a nivel de usuario y el nivel de
administrador del sistema.
A nivel de usuario, una de las primeras tareas es la
de proponer la “cultura de seguridad informática”.
Por ejemplo, cada usuario debe solicitar una
contraseña para acceder al sistema informático de
la empresa. Las contraseñas deben tener al menos
ocho caracteres e incluir letras, números y símbolos.
Otra buena política es exigir frecuentemente a
contraseñas, y la desactivación inmediata de
las contraseñas cuando los empleados ha dejan
de trabajar en la empresa. Los administradores
también deben permitir el acceso a Internet sólo a
aquellos empleados que necesiten realizar alguna
transacción en línea. Es posible bloquear el acceso
a los juegos, grupos de noticias, sitios para adultos
y páginas de descarga de software, videos, música
y otros recursos potencialmente peligrosos. Los
administradores deben controlar y monitorear los
destinos de Internet visitados por los empleados;
utilizando software de apoyo que generen informes
periódicos.
al sistema informático, los administradores deben
los proveedores y clientes. La instalación de un
cortafuego, para proteger la red interna de acceso
desde el exterior, es un requerimiento importante de
seguridad en la actualidad.
Algunas buenas prácticas pueden reducir los riesgos
de fraude informático; que incluyen:
• Solicitar pagos con tarjeta de crédito utilizando
siempre software de cifrado. Publicar política
de privacidad, los niveles de cifrado, y otras
características de seguridad en un sitio web.
• Informar a los clientes, que no solicita a través
de correos electrónicos contraseñas, ni claves
personales.
•
Proporcionar a los clientes información de
cómo reportar correos electrónicos y sitios web,
sospechosos.
• No realizar transacciones en línea en redes de
conexión a internet de centros comerciales o de
empresas que ofrecen internet gratuito.
CONCLUSIONES
Los peligros y riesgos de fraude informático siempre
van a existir y es fundamental proteger los datos o
futuros.
La seguridad ante riesgos de fraude electrónico
debe ser integral, es decir no solo a nivel lógico,
también a nivel físico.
El cifrado puede proteger los datos al nivel más
simple mediante la prevención de otras personas de
la lectura de los datos. La autenticación debe ser
una política empresarial o comercial; así se impide
que personas no autorizadas accedan a datos,
por medio de la suplantación de identidad, desde
cualquier computador remoto.
Se debe cuidar no solo los componentes de la red a
nivel lógico, sino también proteger las credenciales
o contraseñas que manejan los usuarios en las
empresas y en sus hogares.
Los expertos en seguridad se preguntan cuánto
tiempo pasará antes de que la criptografía cuántica
se convierta en una tecnología práctica. El sistema
de cifrado RSA no es necesariamente un sistema de
e-mails, archivos y documentos. Esta tecnología
proporciona una prueba del origen de los
Para las transacciones comerciales vía web, es
primordial proteger a los consumidores; para
fortalecer los negocios en línea es muy necesario el
SSL privado.
Inevitablemente, las pequeñas empresas que
participan en el comercio electrónico son los más
vulnerables a las amenazas de seguridad de Internet.
El Banco Central del Ecuador ha planteado la
implementación del sistema de billetera móvil, que
generará mayores ventajas para el ciudadano, pero
a la vez, mayores riesgos. Por esta razón, los usuarios
deberán estar más informados para prevenir posibles
robos de este tipo.
BIBLIOGRAFÍA
Acosta, D., & Negrete, E. (2012). LA SEGURIDAD DE LA
INFORMACIÓN EN LAS EMPRESAS. Contribuciones a
la economía, 1-13.
Aguilera, P. (2010). Seguridad informática. Madrid:
Editex.
Alvarez, G. (2009). Cómo protegernos de los peligros
de Internet. Madrid: Catarata.
Corletti, A. (2011). Seguridad por niveles. Madrid:
DarFE.
Diario El Comercio. (11 de Abril de 2014). Víctimas
de robos informáticos piden respuestas. Obtenido
de
http://elcomercio.com/seguridad/tarjetas_
clonadas-denuncia-fraude_informatico-entidades_
Diario Hoy. (4 de oCTUBRE de 2010). Cinco delitos
informáticos cada día. Obtenido de http://www.
hoy.com.ec/noticias-ecuador/cinco-delitosinformaticos-cada-dia-433373.html
DELITOS%20INFORMATICOS%20EN%20ECUADOR%20
Y%20ADMINISTRACION%20DE%20JUSTICIA.pdf
Velázquez, D. E. (2012). LA SEGURIDAD DE LA
INFORMACIÓN EN LAS EMPRESAS. eumed, 3.
Woodbury, C. (Abril de 2007). Your Guide to a
Successful Encryption Project. Recuperado el 1
de Abril de 2014, de MC Press online: http://www.
mcpressonline.com/security/ibm-i-os400-i5os/yourguide-to-a-successful-encryption-project.html
CODIGO ORGANICO INTEGRAL PENAL (2014)
Revista Judicial DerechoEcuador.com. Recuperado
el 29 abril de 2014. Disponible:http://www.
derechoecuador.com/articulos/detalle/archive/
legislacion/codigos/2014/02/24/codigo-organicointegral-penal
Autor
Orlando Philco
[email protected]
Díaz, G., Alzorris, I., Sancristobal, E., & Castro, M. (2014).
PROCESOS Y HERRAMIENTAS PARA LA SEGURIDAD DE
REDES. Madrid: UNED.
Emery, V. (2009). Cómo hacer crecer su
negocio en Internet. Obtenido de http://www.
referenceforbusiness.com/small/Inc-Mail/InternetSecurity.html
Korper,, S., & Ellis, J. (2010). E-Commerce: Aumento
de la E-Imperio. Obtenido de http://www.
referenceforbusiness.com/small/Inc-Mail/InternetSecurity.html
Es Master en Telecomunicaciones, su especialidad,
los enlaces inalambricos y la seguridad en redes
inalámbricas, las TIC. Docente de la carrera
Ingeniería Informatica de Gestión desde Marzo
del 2014, imparte las catedras de; Innovación
Tecnológica y Tecnología de la información.
LACNIC. (25 de Febrero de 2014). Fraudes en intenet
se duplican en Latinoamérica. Obtenido de http://
www.debate.com.mx/eldebate/noticias/default.
asp?IdArt=14097864&IdCat=17281
Autor
Luis Rosero
[email protected]
Pino, S. A. (2010). Delitos Informáticos: Generalidades.
Obtenido de http://www.oas.org/juridico/spanish/
cyb_ecu_delitos_inform.pdf.
Romero, M. (2007). Medidas de seguridad informatica
para empresa Promix C.A. Obtenido de http://
repositorio.espe.edu.ec/bitstream/21000/501/1/TESPE-014084.pdf
Ingeniero Informático de Gestión. Magister
en Gestión Informática y Nuevas Tecnologías.
Coordinador de la Carrera Ingeniería Informática de
Gestión.
Sivianes, F., Sánchez, G., Ropero, J., Rivera, O.,
Benjumea, J., Barbancho, J., . . . Romero, M. (2010).
Servicios en Red. Madrid: Paraninfo.
Docente de la Universidad Santa María, Campus
Guayaquil y, de la Universidad de Guayaquil.
Ureta, L. (2009). RETOS A SUPERAR EN LA
ADMINISTRACION
DE
JUSTICIA
ANTE
LOS
DELITOS
INFORMÁTICOS
EN
EL
ECUADOR.
Obtenido
de
http://www.dspace.espol.edu.
ec/bitstream/123456789/5792/5/TESIS%20-%20
54

Los Riesgos en Transacciones Electrónicas en Línea y la

Transcripción

Documentos relacionados

Grupo de Seguridad de las Tecnologías de la Información y

Transmisión de información por medios convencionales o informáticos