Los Riesgos en Transacciones Electrónicas en Línea y la
Transcripción
Los Riesgos en Transacciones Electrónicas en Línea y la
Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía Como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero Resumen Summary Los clientes, usuarios, consumidores, etc., de bienes o servicios en línea no tiene plena seguridad de las transacciones comerciales que efectúan, pues la información personal es susceptible de ser interceptada por expertos en informática, los números de tarjetas de Customers, users, consumers, etc., of goods or services online does not have full security of business transactions made, for personal information via the Internet is always risky, 2013, registra a 2.321 ecuatorianos, que presentaron denuncias por fraudes informáticos. Aun así no existen que pierden las víctimas por estos delitos, que originan pérdidas económicas a clientes y los mismos empresarios. Este trabajo académico utiliza el método analítico para investigar el objeto de estudio, para plantear un modelo de procedimiento de seguridad informática de transacciones comerciales en el país. Muchas empresas deben implementar infraestructuras seguras para brindar línea, una de esas estrategias puede ser el cifrado en sus transacciones en línea. Los informes estadísticos de fraude informático en el país, se concluyen que se debe can be tracked by computer experts. In the prosecution of the country between January 2012 and August 2013, recorded at 2,321 economic amount is lost by the victims of these crimes , which cause economic losses to customers and entrepreneurs themselves. This academic work using the analytical method to investigate the object of study, to propose a model method for computer security of commercial transactions in the country. Many companies should implement secure infrastructure for the user or consumer con el uso de protocolos de seguridad robustos, además los usuarios deben adoptar una cultura de seguridad informática. of these strategies can be encrypted online transactions. Statistical reports of computer fraud in the country, it is concluded that to trust and use portals with solid encryption standards, adopt a culture of security. Palabras Claves: comercio electrónico, virus, cifrado, SSL, DES. Keywords: e-commerce, virus, encryption, SSL, DES. Introducción Hoy en día es posible realizar compras y pagos vía online, y muchas pymes (pequeña y mediana empresa) e incluso etc., y las operaciones de compra o pago se efectúan con tarjetas de crédito. Existen diversas formas de vulnerar la privacidad en correos electrónicos, captura de datos o información relevante que se transmite en comunicaciones electrónicas, por este motivo es fundamental potenciar mecanismos de protección en la red. La Superintendencia de Bancos en el 2012 en la resolución JB-2012-2090, pidió a las instituciones 2013 se denunciaron dos mil operaciones de retiros fraudulentos de dinero a clientes de bancos en el Ecuador. Santiago Acurio, experto en fraude informático, comenta que aún no existen garantías concretas para evitar los fraudes o estafa informática y cuando este ocurre es demorado el tiempo de investigación o respuesta de la entidad respuestas” asegura que algunos perjudicados denuncian en la Superintendencia de Bancos y las investigaciones que realiza la institución demora varios meses hasta que se pronuncie dictamen. Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero 45 de la vida social, han surgido una serie de comportamientos fraudulentos antes impensables y en algunos perjudicados, no es completa, pues muchos clientes reciben cantidades menores a la que perdieron. ¿QUIÉNES VULNERAN LOS SISTEMAS INFORMÁTICOS? (Corletti, 2011, pág. 485) Indica que, la persona con gran habilidad para acceder a tecnología informática, protocolos de comunicación y que puede causar daños o perjuicios por el acceso no autorizado a un computador mediante un usuario remoto, se conoce como “intruso informático”. ganar notoriedad y/o divulgar las debilidades de sus sistemas de seguridad, se los conoce como hackers. Su código de ética incluye no dañar la información de los equipos en los que consigue entrar ni revelar a terceros la información obtenida. Sin embargo, se cuestiona su ética y por ello algunos autores, para diferenciar sus acciones, señalan que existe el hacker malo y hacker ético. de introducirse de forma no autorizada a sistemas informáticos y que además cause daño a los sistemas que invadió. El cracker utiliza la “ingeniería inversa” y con ello ofrece públicamente números de series, cracks o generadores de claves de programas comerciales. Al cracker también se lo llama pirata informático pues sus acciones tienen ánimo de lucro. El Phreaker, es el individuo que tiene experiencia en telecomunicaciones y su objeto de estudio son los desbloqueos de teléfonos celulares y fraudes en redes telefónicas (ejemplo, bypass telefónico). El Script Kiddie, es el usuario de Internet, sin conocimientos sobre hack o el crack”. Son los usuarios que buscan programas de Hacking en la red y después ejecutan sin leer primero los archivos “readme” de cada aplicación. LOS VIRUS INFORMÁTICOS además se conoce que existen ataques a sistemas operativos de teléfonos inteligentes o dispositivos móviles. Un virus informático también suele llamarse malware; este término es un acrónimo de software malicioso o no deseado. (Acosta & Negrete, 2012, pág. 6). Los virus informáticos son similares a sus homólogos biológicos, ya que son capaces de auto-replicarse. El principal objetivo de un virus, además de causar daño, es clonarse a sí mismo en otro huésped de modo que se puede propagar. Si un virus causa daño es más probable que se detecten, y por esta razón los creadores de virus emplean técnicas de ocultación para mantenerlo desapercibido. Un buen virus tiene un tamaño muy pequeño y puede permanecer sin detectarse durante un tiempo muy largo. Cuando se aceptan aplicaciones no seguras y las instalan o ejecutan en la computadora, los virus informáticos pueden activarse y propagarse en el equipo y la red local, lo que causará que ciertas funciones de los equipos se vean afectadas (Velázquez, 2012). La activación del virus también podría efectuarse en una fecha programada y podría tomar el control de la maquina afectada, sin que el usuario lo advierta. Existen diferencias entre los virus informáticos, 46 dependiendo del modo en que se instalan y propagan: Gusano.- Se diferencia del virus porque este se propaga de forma automática, y no necesita servicios encargados de la transmisión de datos para tomar su control. El gusano es catalogado como una aplicación maliciosa que es capaz de replicarse a sí mismo (Díaz, Alzorris, Sancristobal, & Castro, 2014, pág. 132). Cuando un gusano infecta un sistema, Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero creará copia de sí mismo en la memoria del computador y se extenderá a otros equipos conectado a la misma red. Troyano.- O caballo de Troya, su propósito es ocultarse en el interior de un software que parece genuino. Por ejemplo, dentro de un juego aparentemente inofensivo. Los troyanos también vienen ocultados en vídeos, imágenes e incluso paquetes de aplicaciones legítimas. En cada caso, dicha acción de ocultamiento es creado para incitar al usuario la ejecución del programa que lo activará. Los delincuentes informáticos suelen utilizar virus, troyanos y gusanos juntos. Bot.- También conocido como robot web. Los Bot maliciosos son troyanos que actúan como zombie; no suele recoger información del computador. En su lugar, sólo se instala y quedan a la espera de las órdenes del hacker. Los delincuentes informáticos pueden infectar decenas de miles de computadores, convirtiéndolos en máquinas zombies. Los equipos infectados estarán a disposición de la hacker que, por lo general, emite órdenes para que todos ellos envíen instantáneamente solicitudes de red a un host ataque de denegación de servicio y generalmente es efectiva, incluso en contra de las organizaciones más grandes de Internet. Figura 1.Esquema de una red de bots Fuente: (Aguilera, 2010, pág. 104) creará copia de sí mismo en la memoria del computador y se extenderá a otros equipos conectado a la misma red. Troyano.- O caballo de Troya, su propósito es ocultarse en el interior de un software que parece genuino. Por ejemplo, dentro de un juego aparentemente inofensivo. Los troyanos también vienen ocultados en vídeos, imágenes e incluso paquetes de aplicaciones legítimas. En cada caso, dicha acción de ocultamiento es creado para incitar al usuario la ejecución del programa que lo activará. Los delincuentes informáticos suelen utilizar virus, troyanos y gusanos juntos. Un bot, puede activarse deliberadamente sin que el dueño o usuario del computador se dé cuenta. Algunas de las acciones que puede realizar un bot son las siguientes: • Remitir spam y virus. • Publicar denegación de acceso a determinadas páginas web. Spyware o programa espía.- Es un código malicioso que tiene una funcionalidad adicional, diseñada para monitorear en secreto sus actividades realizadas por un usuario en un computadora (Aguilera, 2010, pág. 105). Una vez que el software espía se instala correctamente, comenzará la recopilación de datos. Es muy común que tipo de programas registre datos sensibles como: claves de usuarios, datos bancarios, números de tarjetas de crédito; para enviarlas posteriormente a los estafadores vía Internet. Este tipo de spyware se llama keylogger y captura cada golpe de tecla, por lo que los correos electrónicos completos, documentos y chats pueden ser leídos por el hacker malicioso. que se enganchan por sí mismos a la interfaz de red y desvían todos los datos que son transmitidos desde y hacia la computadora infectada a través de la red. Esto permite al hacker capturar sesiones de red completas y acceder a los archivos, VULNERABILIDADES DEL CORREO ELECTRÓNICO Las dos grandes debilidades que sufre el correo electrónico es la vulnerabilidad a la privacidad y seguridad. La privacidad es quebrantada puesto que el correo electrónico viaja como texto plano, es decir cuando no datos o información vital como: estados de cuenta, contraseñas, etc. En Internet se pueden encontrar una gran variedad de programas especialmente creados para inspeccionar una red, extraer y guardar la información transmitida en ella y luego, analizar la información más importante como contraseñas introducidas, las páginas web consultadas, los documentos compartidos en la red, los e-mails enviados, información esencial sobre la empresa que el pirata informático desea obtener, estos programas se denominan “packet sniffer”. Dentro de una red, todos los paquetes de datos que son enviados de una pc a otra son recibidos de forma sistemática por las demás computadoras. Cuando un computador ha recibido un paquete de datos, inspecciona la dirección del computador que lo envió y realiza una comparación con su propia dirección. De esta manera únicamente el computador con la dirección de lo recibirá y podrá contestar. Con este sistema de envió de datos por medio de la red se puede observar que un computador recibirá un paquete independientemente, sea o no el destinatario. Considerando esto un pirata informático utilizaría un programa de espionaje para recibir estos datos, pudiendo guardarlos y leerlos para obtener la información deseada sin importa que estos paquetes de datos no estén destinados para su computador. De esta manera todas las máquinas recibirán este podrá espiarlas a placer. No se recomienda utilizar una hub (concentrador para compartir una red de datos) en la red de una organización; es mejor un conmutador de red. Cuando el conmutador de red recibe un paquete de datos sobre un puerto, sólo lo enviará a la máquina de destino, el hub en cambio lo enviará a todos los puertos. De esta manera se puede evitar el envío de información a terminales que no la requieren; de esta forma se logra mayor seguridad a la red de la empresa. La utilización de switches o conmutadores es clave para mantener un mayor control sobre la información que se transmite en la red de la empresa. Además, si ellos transmiten datos encriptados, se asegurará el La seguridad es atacada con dos técnicas puntuales; las bombas de correo (varias copias de un mismo mail a un solo destino) y el Spam (correo no autorizado). TIPOS DE SPAM El spam se puede propagar por muchas formas: correo electrónico, mensajería instantánea (ejemplo twits), mensajes cortos de texto (sms), VoIP (Voz sobre protocolo IP), etc. Los spam son distribuidos con mayor frecuencia a través de correo electrónico. Algunos tipos son: Comercial.- Son los que anuncian productos como: farmacéuticos, software, productos bancarios, venta de lotería, etc. Todos ellos de dudosa legalidad. Spam africano.- Su nombre se debe a que proviene de ese país; este tipo de spam anuncia que el al dar clic y “conectarse” con dicha página, tendrá que suministrar números de cuenta y contraseñas. El delincuente informático, de esta forma, ha aprehendido los datos y podrá suplantar la identidad de la persona, para realizar transacciones bancarias o comerciales. de una herencia o fortuna en cierto país africano (ejemplo; Nigeria). A través de este mensaje se pide un número de cuenta corriente para transferir dicha herencia. Phishing.- Intentan hacer que el destinario suministre supuestos correos enviados por la agencia bancaria del destinatario, donde se pide la actualización de sus datos debido a supuestos problemas de seguridad. Este mensaje de correo tiene un hipervínculo que hace un redireccionamiento a una página web falsa de la agencia bancaria. El cliente 48 Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero Un informe de (LACNIC, 2014) reporta que en el 2013, el fraude en el comercio electrónico en América Latina y el Caribe alcanza los 430 millones de dólares al año. La técnica del phishing fue la más utilizada y el país de la región más afectado por el delito informático es Brasil, lo siguen Colombia, Argentina, México y Chile. que un correo electrónico de phishing estándar, el mensaje podría ser de un empleador o de un colega que podría enviar un mensaje de correo electrónico a todos los miembros de la compañía, en un intento de obtener información de acceso. Los fraudes de spear phishing trabajan para obtener acceso a todo el sistema informático de una empresa. Una variante actual, es el spear phishin; técnica utilizada para dar a los correos electrónicos maliciosos la apariencia de genuinos; se envían a todos los empleados o miembros de una determinada empresa u organización. Al igual El objetivo de estos fraudes es estafar a las personas, como el esquema tipo “gane dinero desde casa” SANCIONES A DELITOS INFORMÁTICOS MODALIDADES DE DELITOS INFORMÁTICOS EN ECUADOR El nuevo Código Orgánico Integral Penal (COIP) del Ecuador, en su artículo 190, dice: “Apropiación fraudulenta por medios electrónicos.La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos en perjuicio funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años”. Incluye además el descifrado de claves secretas o encriptados, la alteración de datos de identidad en programas informáticos, clonación de páginas electrónicas o tarjetas de crédito, débito, pago o similares. Estas violaciones según el COIP, se castigarán con sentencias de tres a cinco años de cárcel. establecer “pirámides” que prometen triplicar las inversiones (Alvarez, 2009, pág. 45) La Superintendencia de Bancos, en su página que consiste en la recepción de un mensaje de correo electrónico que parece provenir de una persona, organización o empresa legítima. El phishing es, por lo tanto, una forma de ataque de ingeniería social que explota una debilidad humana, el phishing puede ser efectuado a través de correo electrónico, pero también se puede llevar a cabo a través de mensajes instantáneos de mensajería, publicaciones en el blog, y pharming. El pharming es la explotación de una vulnerabilidad en el servicio de nombres de dominio (Domain Name System, DNS) de software de servidor que permite a un sitio web. Los servidores DNS son las computadoras encargadas de encontrar los nombres de Internet en sus direcciones IP y se utilizan cada vez que un usuario escribe el nombre de un sitio web en su navegador e intenta acceder a él. Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero 49 Los ataques pharming, a nivel de servidor DNS, obligan a este que vuelva a dirigir al sitio de un delincuente informático, todo cuando se escriba en la dirección web de una empresa. Otra modalidad de delito informático en el Ecuador, es la de “intervenir” cajeros automáticos de entidades bancarias. Existen bandas de delincuentes nacionales y extranjeros que implementan el scanning o skimming. En esta modalidad, el delincuente copia o escanea los datos del cliente mediante diminutos dispositivos de captura de datos, cuando un usuario introduce su tarjeta en el lector de los cajeros automáticos; donde previamente se ha instalado un dispositivo de duplicado que “leerá” los datos almacenados en la banda magnética de la tarjeta. Generalmente, un dispositivo de duplicado se utiliza en conjunto con un dispositivo de captura de PIN. Este último puede ser un falso teclado de PIN o una cámara estratégicamente colocado a un lado o en 2. Se representa los pasos del skimming. Por lo regular estos dispositivos de duplicado o de captura de datos de tarjetas de débito son removidos en menos de 24 horas. Luego el delincuente descarga a través de un computador portátil los Figura 2. Representación de skimming datos y puede crear tarjetas clonadas. También los Fuente: (Anti Skimming Eye, 2013) delincuentes utilizan tecnología de comunicaciones inalámbricas para transmitir datos de la tarjeta, desde el momento que su tarjeta se ha introducido en un lector pirata (acondicionado con el original del cajero automático), se utiliza tecnología Bluetooth o tecnología celular. EL CIFRADO COMO MODELO DE SEGURIDAD EN TRANSACCIONES EN LINEA El arte de la protección de la información mediante su transformación (cifrado de ella) en un formato ilegible se denomina cifrado. Sólo aquellos que poseen un clave secreta pueden descifrar el mensaje en texto sin formato. Los mensajes cifrados a veces se pueden romper por el criptoanálisis, también llamado codebreaking, aunque las técnicas de criptografía moderna son prácticamente irrompibles. los datos para evitar una interpretación precisa por el cifrado para aumentar la seguridad de los datos transmitidos a través de Internet. En esencia el cifrado es el proceso de transformación de la información para que sea ininteligible para todas las partes no autorizadas, excepto el destinatario deseado; constituye la base de la integridad de los datos y la privacidad que es necesaria para el comercio único que recibe en forma inteligible la información A menos que el “destinatario” se haya autenticado , se podría obviar el procedimiento de cifrado. Aun así, estándares de “seguridad alta” recomiendan procesos integrales, es decir complementos de autenticación y cifrado. El algoritmo de clave simétrica más común es el estándar de cifrado de datos (DES), creado por IBM 50 en 1977. Se utiliza con mayor frecuencia para la banca y los cajeros automáticos. Una versión moderna es triple DES, el mensaje real se divide en numerosos bloques; cada bloque es encriptado y re-encriptado varias veces. Hoy en día DES, se puede romper con la tecnología actual como resultado de ello, el Instituto Nacional de Estándares y Tecnología considera DES vulnerables y por ello fue aprobado desde el 2002, el Advanced Encryption Standard (AES), que de cierta forma está vigente. El tipo y la longitud de las claves utilizadas dependen del algoritmo de cifrado y la cantidad de seguridad de cifrado simétrico, asimétrico y hash. En el cifrado simétrico convencional se usa una sola clave. Con esta clave, el remitente puede cifrar un mensaje y un destinatario puede descifrar el mensaje, Sin embargo, la seguridad de la clave puede ser vulnerada. Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero Figura 3. Tipos de cifrado Fuente: (Woodbury, 2007) La investigadora (Woodbury, 2007) indica que, los algoritmos de claves simétricas utilizan la misma clave tanto para cifrar y descifrar datos. Ellos son generalmente más rápido que los algoritmos de claves asimétricas y se utilizan a menudo para cifrar grandes bloques de datos. Estos algoritmos incluyen; DES, Triple DES, RC5 y AES (el estándar para el gobierno norteamericano). Ya sea el Triple DES o AES, son requeridos para el cifrado de los números de tarjetas de crédito almacenados. En el caso de los algoritmos de clave asimétrica, son necesarias dos claves de cifrado: una para cifrar los datos y la otra para descifrar los datos. Estos algoritmos se utilizan normalmente para la autenticación; por ejemplo, durante una SSL o una “clave de sesión” se intercambia por el cliente y el servidor, y el cifrado de clave simétrica se utiliza para la transmisión de datos real. Los tipos de algoritmo de clave asimétrica incluyen RSA . Los algoritmos hash producen un resultado que Existen otras técnicas para la seguridad electrónica, criptografía cuántica, la esteganografía, entre otras. integridad de un mensaje u otros datos utilizando criptografía de clave pública. Al igual que las pueden ser utilizados para autenticar la identidad puesto que ellos pueden asegurar que los datos en sí no han sido alterados. comparación de dos valores para asegurarse si alguien cambia el importe de la cantidad escrita en el cheque, un sello de “no válido” se hace visible en la cara del cheque. sido alterado. Debido a que un valor hash no puede devolver el valor original, este método proporciona la forma más segura para almacenar datos y es el método más apropiado cuando no se requiere la forma original (sin cifrar). MD5 y SHA-1 son dos ejemplos de algoritmos hash. para la gestión de la seguridad de la transmisión de es el Secure Sockets Layer (SSL). El SSL utiliza una capa ubicado entre el Protocolo de Transferencia de Hipertexto (HTTP) y el Protocolo de Control de Transporte (TCP). El SSL utiliza el sistema de cifrado Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero 51 de clave pública y privada de RSA, que también de alojamiento web de los navegadores web y web que se conectan a ella. Esto asegura que nadie se envía entre el sitio y los usuarios - por ejemplo, números de tarjetas de crédito, nombres de usuario y contraseñas, e información personal. operan los sitios web. Esto ayuda a los usuarios/ clientes para asegurarse de que están tratando con un verdadero negocio en el mundo real y no una página web falsa. La última versión de SSL es también conocida como TLS (seguridad de la capa de transacción). Una variación de TLS, Wireless TLS o TLS inalámbrico, ha sido optimizada para los teléfonos celulares. Normalmente, la mayoría de los navegadores muestran un símbolo de un candado o una barra de direcciones verde para indicar que están actualmente protegidas por SSL. Además, un sitio web con SSL para el cifrado suele tener su URL comienza con https:// en lugar de http:// originales. Si un cliente desea comprar en línea, debe cerciorarse de tales direcciones. Con SSL activado, el usuario o comprador sentirá una sensación de seguridad, por lo que estarán para efectuar las transacciones comerciales que deseen. POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD deben incorporar la seguridad informática en sus operaciones básicas. (Korper, & Ellis, 2010) Recomiendan Internet. Estas políticas deben abarcar la actividad del equipo humano, tanto a nivel de usuario y el nivel de administrador del sistema. A nivel de usuario, una de las primeras tareas es la de proponer la “cultura de seguridad informática”. Por ejemplo, cada usuario debe solicitar una contraseña para acceder al sistema informático de la empresa. Las contraseñas deben tener al menos ocho caracteres e incluir letras, números y símbolos. Otra buena política es exigir frecuentemente a contraseñas, y la desactivación inmediata de las contraseñas cuando los empleados ha dejan de trabajar en la empresa. Los administradores también deben permitir el acceso a Internet sólo a aquellos empleados que necesiten realizar alguna transacción en línea. Es posible bloquear el acceso a los juegos, grupos de noticias, sitios para adultos y páginas de descarga de software, videos, música y otros recursos potencialmente peligrosos. Los administradores deben controlar y monitorear los destinos de Internet visitados por los empleados; utilizando software de apoyo que generen informes periódicos. al sistema informático, los administradores deben los proveedores y clientes. La instalación de un cortafuego, para proteger la red interna de acceso desde el exterior, es un requerimiento importante de seguridad en la actualidad. Algunas buenas prácticas pueden reducir los riesgos de fraude informático; que incluyen: • Solicitar pagos con tarjeta de crédito utilizando siempre software de cifrado. Publicar política de privacidad, los niveles de cifrado, y otras características de seguridad en un sitio web. • Informar a los clientes, que no solicita a través de correos electrónicos contraseñas, ni claves personales. • Proporcionar a los clientes información de cómo reportar correos electrónicos y sitios web, sospechosos. • No realizar transacciones en línea en redes de conexión a internet de centros comerciales o de empresas que ofrecen internet gratuito. CONCLUSIONES Los peligros y riesgos de fraude informático siempre van a existir y es fundamental proteger los datos o futuros. La seguridad ante riesgos de fraude electrónico debe ser integral, es decir no solo a nivel lógico, también a nivel físico. El cifrado puede proteger los datos al nivel más simple mediante la prevención de otras personas de la lectura de los datos. La autenticación debe ser una política empresarial o comercial; así se impide que personas no autorizadas accedan a datos, por medio de la suplantación de identidad, desde cualquier computador remoto. Se debe cuidar no solo los componentes de la red a nivel lógico, sino también proteger las credenciales o contraseñas que manejan los usuarios en las empresas y en sus hogares. Los expertos en seguridad se preguntan cuánto tiempo pasará antes de que la criptografía cuántica se convierta en una tecnología práctica. El sistema de cifrado RSA no es necesariamente un sistema de e-mails, archivos y documentos. Esta tecnología proporciona una prueba del origen de los Para las transacciones comerciales vía web, es primordial proteger a los consumidores; para fortalecer los negocios en línea es muy necesario el SSL privado. Inevitablemente, las pequeñas empresas que participan en el comercio electrónico son los más vulnerables a las amenazas de seguridad de Internet. El Banco Central del Ecuador ha planteado la implementación del sistema de billetera móvil, que generará mayores ventajas para el ciudadano, pero a la vez, mayores riesgos. Por esta razón, los usuarios deberán estar más informados para prevenir posibles robos de este tipo. BIBLIOGRAFÍA Acosta, D., & Negrete, E. (2012). LA SEGURIDAD DE LA INFORMACIÓN EN LAS EMPRESAS. Contribuciones a la economía, 1-13. Aguilera, P. (2010). Seguridad informática. Madrid: Editex. Alvarez, G. (2009). Cómo protegernos de los peligros de Internet. Madrid: Catarata. Corletti, A. (2011). Seguridad por niveles. Madrid: DarFE. Diario El Comercio. (11 de Abril de 2014). Víctimas de robos informáticos piden respuestas. Obtenido de http://elcomercio.com/seguridad/tarjetas_ clonadas-denuncia-fraude_informatico-entidades_ Diario Hoy. (4 de oCTUBRE de 2010). Cinco delitos informáticos cada día. Obtenido de http://www. hoy.com.ec/noticias-ecuador/cinco-delitosinformaticos-cada-dia-433373.html DELITOS%20INFORMATICOS%20EN%20ECUADOR%20 Y%20ADMINISTRACION%20DE%20JUSTICIA.pdf Velázquez, D. E. (2012). LA SEGURIDAD DE LA INFORMACIÓN EN LAS EMPRESAS. eumed, 3. Woodbury, C. (Abril de 2007). Your Guide to a Successful Encryption Project. Recuperado el 1 de Abril de 2014, de MC Press online: http://www. mcpressonline.com/security/ibm-i-os400-i5os/yourguide-to-a-successful-encryption-project.html CODIGO ORGANICO INTEGRAL PENAL (2014) Revista Judicial DerechoEcuador.com. Recuperado el 29 abril de 2014. Disponible:http://www. derechoecuador.com/articulos/detalle/archive/ legislacion/codigos/2014/02/24/codigo-organicointegral-penal Autor Orlando Philco [email protected] Díaz, G., Alzorris, I., Sancristobal, E., & Castro, M. (2014). PROCESOS Y HERRAMIENTAS PARA LA SEGURIDAD DE REDES. Madrid: UNED. Emery, V. (2009). Cómo hacer crecer su negocio en Internet. Obtenido de http://www. referenceforbusiness.com/small/Inc-Mail/InternetSecurity.html Korper,, S., & Ellis, J. (2010). E-Commerce: Aumento de la E-Imperio. Obtenido de http://www. referenceforbusiness.com/small/Inc-Mail/InternetSecurity.html Es Master en Telecomunicaciones, su especialidad, los enlaces inalambricos y la seguridad en redes inalámbricas, las TIC. Docente de la carrera Ingeniería Informatica de Gestión desde Marzo del 2014, imparte las catedras de; Innovación Tecnológica y Tecnología de la información. LACNIC. (25 de Febrero de 2014). Fraudes en intenet se duplican en Latinoamérica. Obtenido de http:// www.debate.com.mx/eldebate/noticias/default. asp?IdArt=14097864&IdCat=17281 Autor Luis Rosero [email protected] Pino, S. A. (2010). Delitos Informáticos: Generalidades. Obtenido de http://www.oas.org/juridico/spanish/ cyb_ecu_delitos_inform.pdf. Romero, M. (2007). Medidas de seguridad informatica para empresa Promix C.A. Obtenido de http:// repositorio.espe.edu.ec/bitstream/21000/501/1/TESPE-014084.pdf Ingeniero Informático de Gestión. Magister en Gestión Informática y Nuevas Tecnologías. Coordinador de la Carrera Ingeniería Informática de Gestión. Sivianes, F., Sánchez, G., Ropero, J., Rivera, O., Benjumea, J., Barbancho, J., . . . Romero, M. (2010). Servicios en Red. Madrid: Paraninfo. Docente de la Universidad Santa María, Campus Guayaquil y, de la Universidad de Guayaquil. Ureta, L. (2009). RETOS A SUPERAR EN LA ADMINISTRACION DE JUSTICIA ANTE LOS DELITOS INFORMÁTICOS EN EL ECUADOR. Obtenido de http://www.dspace.espol.edu. ec/bitstream/123456789/5792/5/TESIS%20-%20 54 Los Riesgos en Transacciones Electrónicas en Línea y la Criptografía como Modelo de Seguridad Informática Msc. Orlando Philco A. y Msc. Luis Rosero