UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE REPONSABILIDAD

Tamaño: px
Comenzar la demostración a partir de la página:

Download "UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE REPONSABILIDAD"

Transcripción

1 II UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE REPONSABILIDAD Yo, Ing. Marco Lituma, certifico que la Sra. Jenny Marítza León Sangurima con CC, Nº realizó la presente tesina con el título Criptografía: Funciones Hash como alternativa de seguridad en Transacciones Online para Organizaciones o Empresas, y que es autor intelectual del mismo, que es original, auténtico y personal. Ing. Marco Lituma

2 III UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS ACTA DE CESIÓN DE DERECHOS Yo, JENNY MARITZA LEÓN SANGURIMA, estudiante de SISTEMAS INFORMATICOS declaro conocer y aceptar las disposiciones del Programas de Estudio de Ingeniería Informática, que en lo pertinente dice: Es patrimonio de las Universidad Tecnológica Israel, todos los resultados provenientes de investigaciones, de trabajos artísticos o de creación artísticas o científicos o técnicos o tecnológicos, y de tesis o trabajos de grado que se realicen a través o con el apoyo de cualquier tipo de la Universidad Tecnológica de la Universidad Israel. Esto significa la cesión de los derechos de propiedad intelectual a la Universidad Tecnológica Israel. Jenny Marítza León Sangurima

3 IV UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE AUTORÍA El documento de tesina con título Criptografía: Funciones Hash como alternativa de seguridad en Transacciones Online para Organizaciones o Empresas, ha sido desarrolla por Jenny Marítza León Sangurima C.C. Nº persona que posee los derechos de autoría y responsabilidad, restringiéndose la copia o utilización de cada uno de los productos de esta tesina sin previa autorización. Jenny Marítza León Sangurima

4 V DEDICATORIA Nuestra vida es un constante caminar de luchas y batallas, que se hace sencillo cuando se cuenta con la compañía de seres maravillosos que nos brindan lo mejor en cada instante; en mi vida he tenido el privilegio de contar con muchos de ellos; Dios el mejor de mis amigos, la luz que ilumina mi camino en momentos de oscuridad, y me da la fe, fuerza y fortaleza, que me hace continuar en la construcción de mis sueños y mis anhelos; mis padres Luis León y Guadalupe Sangurima quienes con su ejemplo, esfuerzo, dedicación, amor y ternura infinitos me enseñan el verdadero significado de la vida y me muestran que los esfuerzos tienen siempre mayores recompensas: a mi esposo Germán, quien con su apoyo incondicional me brindan la seguridad e inspiración para luchar juntos por un porvenir mejor, con quien comparto el sentimiento sincero de que a pesar de la distancia nuestros corazones y almas siempre estarán unidos. A mis amigas(os), profesores y conocidos, personas maravillosas con las que hemos construido sueños e historias que vivirán y alimentarán para siempre mi mente y corazón. Para todos ellos mil bendiciones y agradecimientos infinitos.

5 VI AGRADECIMIENTO A mi Padre Celestial Dios y a la vida que me ha llevado paso a paso por el camino del aprendizaje constante, brindándome la oportunidad de conocer personas maravillosas, que han contribuido con la formación integral de cada uno de nosotros en momentos cruciales de nuestra vida. Al Ingeniero de la carrera de Ingeniería de Sistemas Marco Lituma le agradezco su apoyo y acompañamiento en la realización de esta investigación. Al ingeniero Hugo Abril, agradezco su trato amable y cordial durante el transcurso de esta carrera, especialmente su interés, colaboración y apoyo en el desarrollo de los estudiantes como personas y futuros profesionales. Al ingeniero Leopoldo Pauta coordinador de proyectos de grado, le agradezco por el don de enseñarnos y guiarnos durante este procesos de aprendizaje, ya que muchas veces me alentó y me dio ánimos para continuar con el proyecto. Además de sus sabios consejos y enseñanzas. A todos los docentes de la Universidad Tecnológica Israel extensión Cuenca, por sus enseñanzas y contribuciones con mi formación profesional y personal. Y en general a todas las personas que contribuyeron con la elaboración suministrándome la información necesaria para el desarrollo de este proyecto.

6 VII RESUMEN El trabajo de investigación que se presenta se centra en analizar una herramienta fundamental que es la criptografía, son las funciones hash para garantizar la seguridad transaccional online, dentro de una empresa u organización a través de una pagina web, son usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen. En concreto, a través de este proyecto se pretende mejorar la seguridad de las transacciones online, hacen uso de la tecnología, funciones hash y del Internet, pero hay un elemento de suma importancia que las empresas no pueden ignorar: la confianza. Muchos consideran que es muy difícil construir confianza en ambiente online, pues las transacciones se dan de manera impersonal, anónimas, y automáticas. El grado de confianza que un usuario deposite al realizar transacciones online en la página web de la empresa, dependerá en gran medida de seguridades de ésta, de la imagen que tenga. Muchas personas ven en internet el modelo para sus negocios futuros; sin embargo antes de que eso ocurra, los usuarios tienen que sentirse seguros, sobre el hecho de manejar información personal, y financiera a través de la red, debido a que pasa por muchos computadores a lo largo de su camino, presentándose la posibilidad de que alguien pueda manipular o apropiarse de ella. En todos estos aspectos de seguridad y privacidad esta la confianza; si los mecanismos que implementa internet, para la autentificación, autorización, privacidad, integridad y no rechazo, no aparecen en forma contundente para los usuarios, estos dudaran en usarlos, dado lo cual, se presenta uno de los problemas más grades de confianza sobre internet, esto es la falta de conocimiento y comprensión, constituyendo una barrera crítica que debe superarse.

7 VIII SUMMARY The research presented focuses on analyzing a critical tool is cryptography, hash functions are to secure online transaction within a business or organization through a website, are used mainly to solve the problem of message integrity and authenticity of messages and their origin. Specifically, through this project is to improve the security of online transactions, make use of technology and internet hash functions, but there is an element of paramount importance that companies can not ignore: "trust." Many consider it very difficult to build trust in online environment, since the transactions are so impersonal, anonymous, and automatic. The degree of trust a user places to make online transactions on the website of the company depends heavily on assurances of this, the image you have. Many people see the Internet business model for their future, but before that happens, users have to feel safe, the fact of handling personal information and financial information via the network, because passes through many computers along the way, presenting the possibility that someone could manipulate or appropriate it. In all these aspects of security and privacy is confidence, if that implements internet mechanisms for authentication, authorization, privacy, integrity and non-repudiation, not conclusively shown to users, they hesitate to use them, given that, presents one of the most degrees of confidence about the Internet, this is the lack of knowledge and understanding, constituting a critical barrier to overcome.

8 IX ÍNDICE DE CONTENIDOS CAPITULO I 1 INTRODUCCIÓN Planteamiento del Problema Sistematización Diagnóstico Pronóstico Control del Pronóstico Objetivos Objetivo General Objetivos Específicos Justificación Justificación Teórica Justificación Práctica Justificación Metodológica 4 CAPITULO II 2 MARCO DE REFERENCIA Marco Teórico Conceptos Básicos de la Criptografía Tipos de Criptografía Criptografía Simétrica Criptografía Asimétrica Metas de la Criptografía Integridad Confidencialidad Autenticación No Repudio Usos de la Criptografía.. 6

9 X Correo Electrónico Servicios Web Comercio Electrónico Red de trabajo Ataques Criptográficos Ataque por Fuerza Bruta Ataques Analíticos Estadísticos Implantación Ataque al Texto Cifrado Solamente Texto Plano Conocido Texto Plano Seleccionado Texto Cifrado Seleccionado Función Criptográfica de Hash Conceptos Básicos de las Funciones Hash Funcionamiento del Hash Función de Hash MD SHA RIPEMD Aplicación de las Funciones de Hash Contraseñas Firmas Digitales Integridad y Autenticación Conceptos Básicos de las Transacciones Online Tipos de Transacciones Online B2B B2C C2C Marco Conceptual Marco Espacial / Temporal Marco Legal.. 12

10 XI CAPITULO III 3 METODOLOGÍA Metodología de la Investigación Unidad de Análisis Tipo de Investigación Métodos Técnicas Cronograma.. 19 CAPITULO IV 4 TRES FUNCIONES DE HASH MAS UTILIZADAS COMO ES EL MD5, SHA 1, RIPEMD La Criptografía Definición Funciones de Resumen Hash Función de Hash MD Definición Historia Seguridad Aplicaciones Ventajas y Desventajas de MD La Ventaja Principal de MD La Desventajas de MD Características de MD Colisiones en MD Codificación de MD Algoritmo MD Encriptar contraseñas con MD

11 XII 4.4 Función de hash SHA Definición Historia Ataques Contra SHA Ventajas y desventajas de SHA Las Ventajas de SHA Las Desventajas de SHA Características de SHA Implementación Aplicaciones Seguridad Codificación de SHA Colisiones en SHA Buena Noticia Algoritmo SHA Función de Hash RIPEMD Definición Historia Característica de RIPEMD Desventajas de RIPEMD Codificación RIPEMD Seguridad CAPITULO V 5. COMPARACIÓN DE LAS FUNCIONES DE HASH MD5, SHA-1, RIPEMD Comparativa entre MD5, SHA Pasos y Tasas de Cifra en MD5, SHA Diferencia entre MD5, SHA Diferencia entre MD5, SHA-1, RIPEMD

12 XIII CAPITULO VI 6 FUNCIONALIDAD DE LAS TRANSACCIONES ONLINE La Criptografía en Nuestra Vida Cotidiana Funciones de Resumen Hash Que es SSL Como Funciona SSL Definición de las Transacciones Online Tipos de Transacciones Online B2B B2C C2C Ventajas y Desventajas de las Transacciones Online Ventajas las Transacciones Online Comodidad Reducción de costos Rapidez Desventajas de las Transacciones Online Sobre las Seguridad Sobre los Costos La Confianza Procesos para Realizar una Transacción Online Los Riesgos Hábitos Inteligentes Que es Paypal Para qué sirve Paypal Paypal es un Método Seguro para Realizar Pagos y Transferencias de Dinero. 52

13 XIV CAPITULO VII 7 PROPUESTA DE SOLUCIÓN PARA MEJORAR LA SEGURIDAD EN LAS TRANSACCIONES ONLINE Estrategias de Solución para Evitar ser Víctima de un Robo en Internet Utilice una Computadora Segura Escanear la Computadora Regularmente en Busca de Virus Conocer bien la Pagina en donde Realiza las Transacciones Electrónicas Verificar la URL Revisar los certificados de seguridad Verifique que el Protocolo se https No responder correos falsos No divulgar información personal Mantenga su sistema operativo actualizado Un seguro contra robos no esta por demás Usar una banca online conveniente y segura Aumentar las seguridad de sus compras online Para tarjetas de crédito Recomendaciones banca móvil transacciones seguras desde su celular Aumentar la confianza en la empresa para proteger e impulsar el negocio en internet Beneficios para su empresa Atracción al cliente Recomendaciones para los bancos con los usuarios Respaldo y respuesta Unidad Especializada Confidencialidad Información Seguridad Administración de Riesgos... 64

14 XV CAPITULO VIII 8 CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones. 66 BIBLIOGRAFÍA.. 67 ANEXOS 70

15 XVI LISTA DE ANEXOS Anexo 1: Cifrado MD5 Anexo 2: Cifrado SHA 1 Anexo 3: Cifrado RIPEMD 160 Anexo 4: Anexo 5: Anexo 6: Anexo 7: Ejemplo usando MD5, SHA-1, RIPEMD-160 cuando una comunicación está bajo SSL. Transacciones Online Pago directo con tarjeta Banca móvil

16 XVII LISTA DE CUADROS Y GRÁFICOS FIGURA 1 Algoritmo MD5. FIGURA 2 Algoritmo SHA-1. FIGURA 3 Comparativa Entre MD5 y SHA-1 FIGURA 4 Pasos y Tasas de Cifra en MD5 y SHA-1 FIGURA 5 Diferencias Entre MD5 y SHA-1.. FIGURA 6 Diferencias Entre MD5, SHA-1 y RIPEMD-160. FIGURA 7 Transacciones Online. FIGURA 8 Hábitos Inteligentes.. FIGURA 9 Paypal.... FIGURA 10 Propuestas de solución para mejorar la seguridad en las transacciones online

17 XVIII CAPÍTULO I 1 Introducción Una de las aplicaciones más interesantes de la criptografía es la posibilidad real de incluir en un mensaje una firma digital. Todo esto comienza en el año 1976 cuando Diffie y Hellman presentan un modelo de cifrado asimétrico con clave pública. Con los sistemas de clave simétrica esto era inviable. No obstante, dado que los sistemas de clave pública son muy lentos, en vez de firmar digitalmente el mensaje completo, en un sistema criptográfico se incluirá como firma digital una operación con la clave privada sobre un resumen o hash de dicho mensaje representado por sólo una centena de bits. Las Funciones HASH es uno de los tipos de funciones que existen para poder hacer uso del procedimiento de autentificación del mensaje, además podemos expresar que son funciones públicas las cuales se encargan del mapeo de un mensaje de cualquier largo sobre un valor HASH de longitud finita cuyo servicio sea con el autentificador. Con las transacciones en línea se dará mayor confiabilidad y mejor protección de la privacidad, evitaremos costosos delitos, renovaremos la confianza de las empresas y los consumidores, e impulsaremos el crecimiento y la innovación Se propone la creación de identidades en línea seguras y confiables disponibles para los consumidores que quieran utilizarlas. Algunas empresas y usuarios necesitan contar con mecanismos de seguridad para proteger sus transacciones online a nivel mundial. 1.2 Planteamiento del Problema Problema Principal Afectará negativamente un ataque cibernético a los sistemas de procesamiento de transacciones online, parando las operaciones y el negocio de la empresa? Problemas Secundarios

18 XIX Necesitara el procesamiento de transacciones online, más recursos para su protección, que se propaga por la red y puede integrar a más de una empresa o cliente? Ayudará la investigación de mecanismos o maneras alternas a que las transacciones online sean más confiables y seguras ante nuevos ataques tecnológicos. 1.3 Sistematización Diagnóstico Causas: Algunas empresas implantan las tecnologías de seguridad sin previamente haber realizado un proceso de determinación de las necesidades en cuanto a la seguridad. Por la falta de protección en las transacciones online, las organizaciones o empresas se ven afectadas a varios ataques en la red. Efectos: La no implementación de seguridades en los sistemas, en muchas ocasiones termina en fracaso, lo cual implica un alto costo para la empresa y la pérdida de recursos económicos Actualmente existen muchas amenazas en las transacciones online de una empresa, en cuanto a la seguridad de las contraseñas utilizadas, para realizar transacciones, en los cuales se ve afectada la privacidad del cliente Pronóstico Por la falta de protección en las transacciones online, las organizaciones o empresas se ven afectadas a varios ataques en la red, ya que actualmente

19 XX existen muchas amenazas en cuanto a la seguridad de las contraseñas utilizadas para realizar transacciones online Control del Pronóstico Se pretende entregar una buena estrategia de seguridad para las transacciones en línea, se necesita unos hábitos inteligentes y herramientas sólidas como puede ser las funciones hash, para garantizar su confiabilidad al momento de realizar las transacciones online. 1.4 Objetivos Objetivo General Investigar soluciones, para mejorar la seguridad en las transacciones online, haciendo uso de las funciones hash Objetivos Específicos Estudiar las tres funciones hash más utilizadas como es el MD5, SHA1, RIPEMD160. Realizar una comparación, de las funciones hash MD5, SHA1, RIPEMD160. Analizar la funcionalidad de las transacciones online. Plantear las propuestas de solución para mejorar la seguridad en las transacciones online. 1.5 Justificación Justificación Teórica. Se pretende mejorar el funcionamiento de las transacciones en línea haciendo uso de las funciones hash, aportando los conocimientos investigados, que pueden ser útiles y dar mejores alternativas de solución, para que exista una

20 XXI mejor seguridad cuando se vaya a realizar una transacción online ya sea de la empresa o cliente Justificación Práctica. Con esta propuesta se pretende brindar mejores alternativas de seguridad en cuanto a las transacciones online que usted y su empresa pueden realizar. Se han logrado dar varias alternativas de seguridad, en otros países, a dado buenos resultados en cuanto a las seguridades online, tanto para los clientes y las empresas involucradas, reduciendo así las vulnerabilidades de los riesgos existentes. Es importante que todo negocio online sea capaz de asegurar los datos de sus transacciones electrónicas. Debe ser capaz de asegurar el resguardo de la comunicación del total de los datos que intervienen en las transacciones electrónicas. Ésta es una cualidad esencial tanto para tus clientes como para su empresa Justificación Metodológica. Con las funciones hash se brindara varias alternativas de solución, a las empresas y sus usuarios que trabajan a través del internet en cuanto a seguridades online. Con una buena estrategia, se garantizaría la seguridad al momento de realizar las transacciones en línea. Para realizar este proyecto, en cuanto a la seguridad actual, que existen en las transacciones online, se usa como fuente principal el internet, y se tiene un conocimiento referente al tema establecido.

21 XXII 2 Marco de Referencia. CAPITULO II 2.1 Marco Teórico Conceptos Básicos de la Criptografía Es el arte y la ciencia que estudia las comunicaciones secretas, en términos más específicos, se refiere a estudiar los métodos más apropiados para proteger la confidencialidad de la información. (Conceptos-basicos-de-criptografa.html publicado septiembre2008). La criptografía protege los documentos y datos a través de cifras o códigos secretos que circulan en internet o redes locales, evitando así la alteración en las seguridades, como puede ser fraudes en línea, robo de identidades, etc Tipos de Criptografía Criptografía simétrica: Es la que resuelve los problemas de confidencialidad e integridad, lo hace principalmente con un algoritmo simétrico. Esta clave es utilizada para la encriptación y desencriptación del mensaje Criptografía asimétrica: Es la parte de la criptografía que resuelve los problemas de autenticidad y no rechazo, lo hace principalmente con un algoritmo de clave pública. Esta clave puede desencriptar lo que la otra ha encriptado Metas de la Criptografía: Los profesionales en seguridad de la información utilizan la criptografía para alcanzar cuatro objetivos fundamentales: Integridad: Toda modificación a datos o información es realizada por personas autorizadas de manera autorizada.

22 XXIII La integridad se consigue combinando criptografía, funciones hash y firmas digitales Confidencialidad: La información es accedida solo por personal autorizado y de manera autorizada. Esto es fundamental para la empresa y el negocio, donde se asegura que ninguna persona ajena a la transacción puede tener acceso a los datos de la misma Autenticación: Es la propiedad que permite asegurar el origen de la información, validando al emisor de la misma. Debe estar seguro de que la persona con la que se establece comunicación es realmente quien dice ser. De lo contrario, los datos íntimos pueden terminar en poder de una persona o entidad no deseada. La Autenticidad se consigue mediante el uso de los certificados y firmas digitales No repudio: Es la propiedad que evita que cualquier entidad que envió o recibió información alegue, ante terceros, que no realizó dicho envío o recepción. Debe ser que al finalizar la transacción quedara algo que compruebe como puede ser, un recibo de compra o factura firmado por todas las partes implicadas. El no repudio se consigue mediante los certificados y la firma digital Usos de la Criptografía: Correo Electrónico: es un servicio de red que permite a los usuarios enviar y recibir mensajes y archivos rápidamente mediante sistemas de comunicación electrónicos. Este permite compartir mensajes con otras personas Servicios Web: Conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones. (wikipedia.org/wiki/servicio_web).

23 XXIV Comercio Electrónico (E-Commerce): consiste en la compra y venta de productos o de servicios a través de medios electrónicos Red de trabajo (Networking): Es un conjunto de equipos informáticos conectados entre sí por medio de dispositivos físicos que envían y reciben impulsos eléctricos, con la finalidad de compartir información y recursos. (Wikipedia.org/wiki/Red de computadoras9) Ataques Criptográficos: Los ataques específicos a los distintos sistemas criptográficos, suelen ser los siguientes: Ataque por Fuerza bruta: es la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso Ataques analíticos: es la utilización de algoritmos y manipulación algebraica para reducir la complejidad del ataque Estadísticos: Utilizan debilidades estadísticas del diseño del sistema Implantación: No se ataca el algoritmo de encriptación / des encriptación sino cómo fue implantado Ataque al texto cifrado solamente, Ciphertext-Only Attack (COA): El atacante intenta desencriptar el texto cifrado directamente Texto Plano conocido, Known-Plaintext Attack (KPA): El atacante intenta desencriptar el texto cifrado conociendo parte del texto plano.

24 XXV Texto Plano seleccionado, Chosen-Plaintext Attack (CPA): El atacante obtiene texto cifrado correspondiente a un texto plano conocido Texto Cifrado seleccionado, Chosen-Ciphertext Attack (CCA): El atacante obtiene texto plano correspondiente a un texto cifrado predeterminado Función Criptográfica de Hash Las funciones Hash criptográficas típicamente producen valores Hash de 128 bits o más. El número de valores Hash diferentes que se obtienen, 2^128, es mucho más amplio que el número de mensajes diferentes que se pueden intercambiar en todo el mundo. (Autor Cristian Borghello publicado 2000). Una función criptográfica de Hash hace que sea difícil conocer el mensaje a partir del valor Hash. Las Funciones criptográficas de Hash son usadas en varios contextos, por ejemplo para calcular el resumen del mensaje al firmar digitalmente un documento Conceptos Básicos de las Funciones Hash. Función hash o algoritmo hash es una función para identificar un gran conjunto de información. (org/wiki/funci%c3%b3n_%28programaci%c3%b3n%29). Es una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash Funcionamiento del Hash Se define como una operación que se realiza sobre un conjunto de datos de cualquier tamaño de tal forma que se obtiene como resultado, otro conjunto de datos denominado resumen. El resumen tiene un tamaño fijo e

25 XXVI independiente del tamaño original, que además tiene la propiedad de estar asociado unívocamente a los datos iniciales. Es prácticamente imposible encontrar dos mensajes distintos que tengan un resumen hash idéntico, aunque esto está relacionado directamente con la función de Hash elegida. (Tutorial en pdf autor: ing. PABLO TAMAYO) Funciones de Hash Entre las Funciones de Hash más utilizadas, encontramos: MD5: (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5): Es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Es muy empleado en numerosas aplicaciones actuales. ( esat.kuleuven.ac.be/~bosselae/ripemd160.html autor Antoon Bosselaers publicado en marzo 2010) SHA-1: (Secure Hash Algorithm - Algoritmo seguro de Hash: también SHS - Secure Hash Standard): es un algoritmo criptográfico de Hash publicado por el gobierno de los Estados Unidos RIPEMD-160: (acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash). Desarrollada por un grupo de investigadores europeos, entre los que se encuentra Hans Dobbertin) y otros investigadores. Son consideradas seguras. Maneja claves muy robustas, normalmente de 160 bits. Es muy rápido, no está patentado y su código fuente es abierto, de libre acceso Aplicaciones de las Funciones del Hash: Las aplicaciones principales de las Funciones de Hash, suelen ser fundamentalmente tres:

26 XXVII Contraseñas: Las funciones hash son ampliamente usadas para almacenar contraseñas. Por su característica de irreversibilidad, almacenar un valor hash de una contraseña es más seguro que almacenarla en forma criptográfica. Las contraseñas son claves secretas Firmas Digitales: Son una solución que ofrece la criptografía para verificar, la integridad de documentos, la procedencia de documentos. (mipagina/tesis/node30.html autor Edgar Murguía Gutiérrez publicado ). Sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico Integridad y Autenticación: Un mensaje puede ser considerado íntegro si su valor hash ya fue calculado antes de cualquier transmisión. Este valor es comparado con el valor hash del mensaje recibido. (mipagina/tesis/node30.html autor Edgar Murguía Gutiérrez publicado ). Integridad que la información no debe ser alterada. Autenticación asegurar el origen de la información Conceptos Básicos de las Transacciones online. Procesamiento de Transacciones En Línea (OnLine Transaction Processing). Es un tipo de sistemas que facilitan y administran aplicaciones transaccionales, usualmente para entrada de dato, recuperación y procesamiento de transacciones (gestor transaccional). Los paquetes de software para OLTP se basan en la arquitectura cliente-servidor ya que suelen ser utilizados por empresas con una red informática distribuida. (universidad nacional del nordeste, 2006) Son sistemas conocidos como transacciones en línea, son transacciones que se realizan en tiempo real a un negocio (cliente empresa dentro de portal web), contienen estructuras de datos optimizadas para la introducción y a la adicción de los datos.

27 XXVIII Tipos de Transacciones Online: B2B (Business to Business o Empresa a Empresa): Este tipo de Comercio Electrónico se refiere a las operaciones de intercambio comercial entre empresas. Estas pueden ser: colocar pedidos, verificar inventarios, planificar producción, etc B2C (Business to Consumer o Negocio a Consumidor): Es el sitio web tradicional a través del cual una empresa ofrece sus productos y servicios a los consumidores C2C (Consumer to Consumer o Consumidor a Consumidor): En este tipo de comercio electrónico, un consumidor ofrece productos y servicios a otros consumidores en forma directa, a través de su propio sitio o mediante sitios establecidos por terceros. 2.2 Marco Conceptual Criptografía: La criptografía es la técnica que protege documentos y datos. Funciona a través de la utilización de cifras o códigos para escribir algo secreto en documentos y datos confidenciales que circulan en redes locales o en internet. Su utilización es tan antigua como la escritura. Funciones Criptográficas de Hash: Las Funciones criptográficas de Hash son usadas en varios contextos, por ejemplo para calcular el resultado del mensaje al firmar digitalmente un documento. Una función Hash "comprime" los bits del mensaje a un valor Hash de tamaño fijo, de manera de distribuir uniformemente los posibles mensajes en los posibles valores Hash. Una función criptográfica de Hash hace esto de manera tal que se hace extremadamente difícil conocer el mensaje a partir del valor Hash.

28 XXIX Seguridad de transacciones online: tipo de sistemas que facilitan y administran aplicaciones transaccionales en la web, usualmente para entrada de datos y recuperación y procesamiento de transacciones en las que realizan los clientes y hasta la misma empresa. 2.3 Marco Espacial / Temporal Este proyecto se desarrollara en la ciudad de Cuenca, está dirigido a aquellas empresas y personas que comercializan sus productos a través de la web, ya sea con tarjetas de crédito, firmas digitales, código, etc. La duración del proyecto se estima realizar en el tiempo aproximado de cuatro meses, este tiempo incluye investigación y propuesta de alternativas de solución para usuarios y empresas. 2.4 Marco Legal Este proyecto toma en primera instancia como referencia la CONSTITUCIÓN POLÍTICA DE LA REPUBLICA DEL ECUADOR. Artículo 57.- Infracciones Informáticas.- Se considerarán infracciones informáticas, las de carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la presente Ley. Reformas al Código Penal Artículo 58.- A continuación del Art. 202, inclúyanse los siguientes artículos innumerados: Artículo...- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica.

29 XXX Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los E tados Unidos de Norteamérica. La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o industriales, será sancionada con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Si la divulgación o la utilización fraudulenta se realiza por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Artículo...- Obtención y utilización no autorizada de Información.- La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica. Artículo 59.- Sustitúyase el Art. 262 por el siguiente: Art Serán reprimidos con tres a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en razón de su cargo.

30 XXXI Artículo 60.- A continuación del Art. 353, agréguese el siguiente artículo innumerado: Art.- Falsificación electrónica.- Son reos de falsificación electrónica la persona o personas que con ánimo de lucro o bien para causar un perjuicio a un tercero, utilizando cualquier medio, alteren o modifiquen mensajes de datos, o la información incluida en éstos, que se encuentre contenida en cualquier soporte material, sistema de información o telemático, ya sea: 1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter formal o esencial; 2. Simulando un mensaje de datos en todo o en parte, de manera que induzca a error sobre su autenticidad; 3. Suponiendo en un acto la intervención de personas que no la han tenido o atribuyendo a las que han intervenido en el acto, declaraciones o manifestaciones diferentes de las que hubieren hecho. El delito de falsificación electrónica será sancionado de acuerdo a lo dispuesto en este Capítulo. Artículo 61.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes artículos innumerados: Art...- Daños informáticos.- El que dolosamente, de cualquier modo o utilizan cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica. La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos

31 XXXII contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional. Art....- Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica.. Artículo 62.- A continuación del Art. 549, introdúzcase el siguiente artículo innumerado: Art... Apropiación ilícita.- Serán reprimidos con prisión de seis meses a cinco años y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, los que utilizaren fraudulentamente sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de ésta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos. Art..- La pena de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica, si el delito se hubiere cometido empleando los siguientes medios: 1. Inutilización de sistemas de alarma o guarda; 2. Descubrimiento o descifrado de claves secretas o encriptadas; 3. Utilización de tarjetas magnéticas o perforadas; 4. Utilización de controles o instrumentos de apertura a distancia; y, 5. Violación de seguridades electrónicas, informáticas u otras semejantes.

32 XXXIII Artículo 63.- Añádase como segundo inciso del artículo 563 del Código Penal el siguiente: Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, el que cometiere el delito utilizando los medios electrónicos o telemáticos Artículo 64.- A continuación del numeral 19 del Art. 606 añádase el siguiente: Los que violaren el derecho a la intimidad, en los términos establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. La ley de comercio electrónico, firmas electrónicas y mensajes de datos del Ecuador. conatel/index.php?option=com co tent&view=article&catid=48:normas-del-sector&id=98ley-de-comercioelectronico-firmas-electronicas-y-mensaje-de-datos&itemid=103

33 XXXIV CAPITULO III 3 Metodología 3.1 Metodología de la Investigación El área principal para realizar esta investigación como propuesta, para mejorar la seguridad en las transacciones online será a través del internet y sus derivados, como fuente de información principal, con el fin de encontrar alternativas de solución en cuanto a la seguridad de las transacciones online Unidad de Análisis La unidad de análisis inicial serán los análisis y estudio de documentos, aquella que nos permita conocer las actividades y estrategias que se seguirán para dar validación a esta investigación que se realizará Tipo de Investigación El tipo de investigación a utilizar será documental basándonos en la información que nos proporcione el internet, dentro de este están los libros virtuales, artículos, y todo lo relacionado que tenga que ver con la web Métodos Para la obtención de la información requerida, como parte, para llevar a cabo este proyecto, se hace necesario realizar un estudio de diferente páginas web, que están relacionadas con las transacciones online, ya sea esta para compra y venta de productos o transferencias bancarias a través de la red, mediante las tarjetas de crédito u otra herramienta electrónica. Recopilación de información, para esto se utilizara el método, cuantitativo cualitativo, haciendo uso de las técnicas de análisis de documentos, para el desarrollo de esta investigación, con el fin de encontrar alternativas de solución en cuanto a la seguridad de las transacciones online.

34 XXXV Cuantitativa En esta investigación cuantitativa se recogerá y se analizara los datos que se necesite para mejorar la seguridad en las transacciones online. La investigación cuantitativa trata de determinar la fuerza de asociación entre variables, la generalización y objetivación de los resultados a través de una muestra para hacer inferencia a una población de la cual toda muestra procede. Cualitativa En la investigación cualitativa se hará registros narrativos de los fenómenos que son estudiados mediante técnicas como la observación y la investigación a través del internet, libros, artículos, etc. Tras este estudio se pretende, a su vez hacer referencia, que explique el porqué de las cosas que suceden o no, de una forma determinada Técnicas Recolección de información hace referencia al uso de una gran variedad de técnicas que son utilizadas para buscar varias alternativas en cuanto a las seguridades de transacciones online, se realizara por medio de libros, artículos, internet, análisis de documentos. Este instrumento se aplicará en un momento de buscar información que será útil a una investigación en común.

35 XXXVI 3.2 Cronograma Meses/Semanas 2011 ACTIVIDAD AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE Fase 1: análisis y desarrollo anteproyecto del Planteamiento del tema Aprobación del tema Investigación Teórica. Desarrollo anteproyecto del Fase 2: Desarrollo del marco teórico Conceptos básicos de criptografía Funciones hash Seguridades transacciones online de Fase 3: Análisis y diseño del proyecto Informe de la investigación. Procesar la información. Análisis de resultados Presentación de la Tesis

36 XXXVII CAPITULO IV 4. Tres Funciones Hash más Utilizadas como es el MD5, SHA- 1, RIPEMD La Criptografía Definición Es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que solo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. Para encriptar información se utiliza complejas fórmulas como son las funciones hash. Dentro de esta se encuentra la firma digital hace referencia, en la transmisión de mensajes telemáticos y la gestión de documentos electrónicos, aun método criptográfico que identifica la identidad de la persona. 4.2 Funciones Resumen Hash Estas funciones producen resúmenes de textos, es decir, dado un mensaje una función hash produce un resumen del mismo. Para que este tipo de funciones sean útiles, criptográficamente, deben cumplir: El resumen es de longitud fija. Calcular el resumen de un mensaje es fácil. Dado un resumen es computacionalmente imposible calcular el mensaje que lo genero. (tiempo exponencial) Es prácticamente imposible obtener dos mensajes que generen el mismo resumen.

37 XXXVIII Se recomienda utilizar signaturas de al menos 128 bits. El tamaño más usado para signaturas es de 160 bits. 4.3 Función de Hash MD Definición (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Toma como entrada un mensaje de longitud arbitraria y produce como salida un 128- bits "huella digital" o "compendio del mensaje" de la entrada. Es computacionalmente imposible producir dos mensajes que tengan el mismo resumen de mensaje, o para producir cualquier mensaje con un determinado objetivo predefinido resumen del mensaje Historia MD5 es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachussets Institute of Technology, Instituto Tecnológico de Masachusets). Cuando un análisis analítico indicó que el algoritmo MD4 era inseguro, se decidió a programar el MD5 para sustituirlo en Las debilidades en MD4 fueron descubiertas por Hans Dobbertin. En 1996 Dobbertin anunció una colisión de Hash de la función de compresión del MD5. Esto no era un ataque contra la función de hash del MD5, pero hizo que los criptógrafos empezasen a recomendar el reemplazo de la codificación MD5 a otras como SHA-1 o RIPEMD-160. En Agosto de 2004 unos investigadores chinos encontraron también colisiones hash en el MD5. Actualmente el uso de MD5 es muy amplio y se desconoce cómo afectarán estos problemas a su uso y a su futuro Seguridad

38 XXXIX MD5 ha sido ampliamente usado, y originalmente se pensaba que era criptográficamente seguro. No obstante, ciertas investigaciones han destapado vulnerabilidades que hacen cuestionable un futuro uso del MD5. El 17 de Agosto del año 2004 Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron que habían descubierto colisiones de hash para MD5. Su ataque sólo llevó una hora de cálculo con un clúster IBM P690. Aunque dicho ataque era analítico, el tamaño del hash (128 bits) es lo suficientemente pequeño como para que resulte vulnerable frente a ataques de «fuerza bruta» o cumpleaños Aplicaciones El MD5 se utiliza en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores. Esto protege al usuario contra los 'Caballos de Troya' o 'Troyanos' y virus que algún otro usuario malicioso pudiera incluir en el software. La comprobación de un archivo descargado contra su suma MD5 no detecta solamente los archivos alterados de una manera maliciosa, también reconoce una descarga corrupta o incompleta. En sistemas UNIX y GNU/Linux se utiliza el algoritmo MD5 para calcular el hash de las claves de los usuarios. En el disco se guarda el resultado del MD5 de la clave que se introduce al dar de alta al usuario y cuando éste quiere entrar en el sistema, se compara el hash MD5 de la clave introducida con el hash que ha guardado en el disco duro. Si coinciden, es la misma clave y el usuario será autenticado.

39 XL Usado principalmente en comprobación de ficheros en internet El MD5 también se puede usar para comprobar que los correos electrónicos no han sido alterados usando claves públicas y privadas. MD5 se utilizan para almacenar las firmas de las contraseñas y para firmar documentos Ventajas y Desventajas de md La Ventaja Principal de MD5 La ventaja de este tipo de algoritmos es la imposibilidad de reconstruir la cadena original a partir del resultado, y también la imposibilidad de encontrar dos cadenas de texto que generen el mismo resultado. Esto nos permite usar el algoritmo, para transmitir contraseñas a través de un medio inseguro, simplemente se cifra la contraseña, y se envía de forma cifrada. En el punto de destino, para comprobar si el password es correcto, se cifra de la misma manera y se comparan las formas cifradas La Desventaja de MD5 Actualmente se considera que MD5 con 128 bits no es suficientemente segura, se recomienda usar SHA-1 en su lugar, ya que este cuenta con 160 bits (el siguiente múltiplo de 32) Características de MD5 Su fácil implementación y su gran popularidad le hacen uno de los principales algoritmos de hash en la red. MD5 es un algoritmo de hash, esto quiere decir que el resultado es no reversible y de largo fijo.

40 XLI MD5 permita obtener una suma de control de largo de 128 bits sin importar el largo de la entrada. MD5 es ideal para hacer checksum. Una función de hash es segura si se requiere un alto costo computacional para encontrar un string que produzca un hash determinado Colisiones en MD5 En Marzo del 2004, se lanzó MD5CRK el cual proponía encontrar colisiones en MD5 a través de un ataque de cumpleaños. El ataque de cumpleaños consiste en buscar dentro de un grupo de gente la probabilidad de que dos personas tengan cumpleaños el mismo día, específicamente la probabilidad de que una función aleatoria tenga el mismo resultado para dos entradas distintas. En agosto del año 2004 se logró un método para obtener colisiones de modo más rápido que el método del cumpleaños, se realizó un ataque analítico que tomo aproximadamente una hora en una IBM p690. MD5, con solo 128 bits de salida para representar a las infinitas posibilidades de entrada, hace tiempo que se considera obsoleto y roto en todos los sentidos, aunque se sigue usando en multitud de ámbitos. MD5 ha sufrido varios reveces a lo largo de los años, el último a finales de 2008, cuando se consideró inválido para ser usado por las autoridades certificadoras Codificación de MD5

41 XLII La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida: MD5 ("Esto si es una prueba de MD5") = e07186fbff6107d0274af02b8b930b65 Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el "si" por un "no". MD5 ("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034 Otro ejemplo sería la codificación de un campo vacío: MD5 = d41d8cd98f00b204e ecf8427e Algoritmo MD5 Figura Nº 1 MD5 consiste en 64 de estas operaciones, agrupadas en cuatro grupos de 16 operaciones. K es una constante diferente para cada operación, y M es un fragmento de 32 bits de la entrada. La función del bloque F cambia en cada bloque de operaciones.

42 XLIII El fragmento de la entrada que se elige no es secuencial, hay una función que la elige. A, B, C y D son bloques iniciales con valores predeterminados. Los lugares que desplace la rotación también es una variable que cambia en cada operación Encriptar Contraseñas con MD5 Si en nuestra página web tenemos un sistema de usuarios y queremos proteger las contraseñas para prevenir posibles vulnerabilidades en nuestro servidor, es una medida eficaz encriptar las contraseñas, de manera que si alguien puede acceder a ellas no pueda ver la contraseña si no su encriptación. Para mejorar este sistema, lo que haremos es usar un algoritmo de encriptación de un solo sentido, es decir que no se puede desencriptar de ninguna manera, como por ejemplo md5. Para guardar la contraseña encriptada en md5, usaremos la función md5 de PHP: <? $contraseña = md5 ($contraseña);?> Ya podemos guardar la contraseña en nuestra base de datos o fichero, Encriptaremos la contraseña que escribe el visitante de la misma manera que hemos encriptado la contraseña del usuario en el momento de su registro, ahora ya podremos comparar la contraseña enviada con la almacenada en el servidor, si la encriptación coincide es que la contraseña es correcta. Pero si no usamos una transmisión segura (SSL Secure Sockets Layer - Protocolo de Capa de Conexión Segura) sigue habiendo un problema, cuando el usuario envía los datos al servidor, la contraseña es enviada sin encriptar, y en ese momento puede ser capturada por un tercero.

43 XLIV 4.4 Función de Hash SHA Definición (Secure Hash Algorithm Algoritmo seguro de Hash) es un algoritmo de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). Toma una entrada de cualquier longitud y produce una salida de 160 bits Historia El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA-0 como el Secure Hash Standard, por el gobierno de los EE.UU. la Agencia de Normas NIST (Instituto Nacional de Estándares y Tecnología). Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. SHA-1 se diferencia de SHA-0 sólo por una sola rotación de bits en el programa de mensajes de su función de compresión, lo que se ha hecho, de acuerdo con la NSA, para corregir un error en el algoritmo original, que redujo su seguridad criptográfica. Sin embargo, la NSA no proporcionó ninguna explicación o identificar el defecto que se corrigió. Debilidades posteriormente se han reportado tanto en SHA y SHA-1. SHA-1 parece proporcionar una mayor resistencia a los ataques, el apoyo a la afirmación de la NSA que el cambio de un aumento de la seguridad Ataques contra SHA-1 La resistencia del algoritmo SHA-1 se ha visto comprometida a lo largo del año Después de que MD5, entre otros, quedara seriamente comprometido en el 2004 por parte de un equipo de investigadores chinos, el tiempo de vida de SHA-1 quedó visto para sentencia.

44 XLV El mismo equipo de investigadores chinos, compuesto por Xiaoyun Wang, Yiqun Lisa Yin y Hongbo Yu (principalmente de la Shandong University en China), ha demostrado que son capaces de romper el SHA-1 unas 2000 veces más rápido que un ataque de fuerza bruta (que requeriría. Los últimos ataques contra SHA-1 han logrado debilitarlo. Según el NIST: «Este ataque es de particular importancia para las aplicaciones que usan firmas digitales tales como marcas de tiempo y notarías. Sin embargo, muchas aplicaciones que usan firmas digitales incluyen información sobre el contexto que hacen este ataque difícil de llevar a cabo en la práctica.» A pesar de que se supone aún un número alto de operaciones, se encuentra dentro de los límites de las capacidades actuales de cálculos, y es previsible que con el paso del tiempo romper esta función sea trivial, al aumentar las capacidades de cálculo y al ser más serios los ataques contra SHA-1. La importancia de la rotura de una función hash se debe comprender de la siguiente manera: Un hash permite crear una huella digital, en teoría única, de un archivo. Si un hash fuese roto podría haber otro documento con la misma huella. La similitud podría ser que hubiese personas que compartiesen las mismas huellas digitales, o peor aún, el mismo ADN: No habría manera de poder diferenciarlos usando estos medios de discriminación Ventajas y Desventajas de SHA Las Ventajas de SHA- 1 Es ligeramente más lento que md5, pero también es computacionalmente más complejo y su salida es de mayor longitud por lo que se considera de forma global más segura.

45 XLVI Es considerado lo suficientemente seguro para aplicaciones prácticas, pero hay disponibles versiones como, SHA-256, SHA-384 y SHA-512 que generan valores Hash de 256, 384 y 512 bits respectivamente, estas versiones reemplazaran a SHA-1 mientras se siga trabajando sobre ellas. El SHA1 es un método muy bueno de criptografía que convierte una cadena de texto en otra de 40 caracteres sin importa la longitud de la cadena original, y cifrándola de manera que se hace más difícil poder obtenerla ya que SHA1 no tiene método de reversa para obtener la clave original a partir de una ya cifrada Las Desventajas de SHA- 1 Recientemente, tres investigadores chinos han conseguido realizar un ataque al algoritmo de manera más rápida que los ataques convencionales que se venían realizando a dicho algoritmo. El ataque fue presentado en la pasada Crypto conference (Santa Barbará, California), y permite crear dos documentos que devuelven el mismo SHA-1 como huella digital. Este ataque además necesita mucho menos tiempo de procesador y recursos para conseguir su propósito que anteriores estrategias de ataque contra este algoritmo. Se ha demostrado que el algoritmo Sha1 no es irreversible realmente, simplemente es muy complejo desencriptarlo. Bruce Schneier comenta como un grupo de seguridad chino ha logrado reducir la complejidad del ataque. Por lo tanto resulta obvio que hace falta proteger mejor las contraseñas Características de SHA_1 Genera un compendio de mensaje de 160 bits, funciona igual que el MD5, pero con un buffer de 160 bits.

46 XLVII Es más seguro que el MD5, debido sobre todo a que utiliza un mayor número de bits que el MD5, pero como es normal también será más lento Implementación El SHA-1 puede ser implementado en software, firmware, hardware, o cualquier combinación de éstos Aplicaciones Uno de los algoritmos más usados para firmar documentos electrónicos, guardar contraseñas encriptadas, y en general cualquier tipo de huella digital. Se puede utilizar en el correo electrónico, transferencia electrónica de fondos, distribución de software, almacenamiento de datos y otras aplicaciones que requieren la garantía de integridad de datos y la autenticación del origen de datos. Utilizada en la revisión de control distribuido de sistemas como Git, Mercurial y Monotone para identificar a las revisiones, así como para detectar la corrupción de datos o la manipulación. El algoritmo se ha utilizado también en Nintendo Wii, la consola de juegos para la verificación de firmas, pero un error de implementación significativa permite a un atacante eludir esquema de seguridad del sistema.

47 XLVIII SHA-1 requerido por la ley para el uso en el Gobierno de los EE.UU, para las aplicaciones, incluyendo el uso en otros algoritmos criptográficos y protocolos para la protección de la información no confidencial sensible. SHA-1 es usado por las organizaciones privadas y comerciales Seguridad En 1998, se encontró una vulnerabilidad en SHA-0 pero esta no afectaba a SHA1 del cual no se ha encontrado ningún ataque efectivo. En 2004 fueron publicados una serie de ataques sobre hash parecidos al que genera SHA-1 planteándose por lo tanto dudas sobre la seguridad que este aporta. Se necesita proteger mejor las contraseñas de este algoritmo Codificación de SHA_1 Estos son ejemplos de SHA-1 digiere. ASCII se utiliza la codificación para todos los mensajes. SHA1 (" La cigüeña tocaba el saxofón sobre el perro perezoso ") = 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12 Incluso un pequeño cambio en el mensaje, con una probabilidad abrumadora, resultado de un hash completamente diferente debido a los efectos de la avalancha. Por ejemplo, el cambio dog a la cog produce un hash con diferentes valores para 81 de los 160 bits: SHA1 ("La cigüeña tocaba el saxofón en los perezosos og c") = De9f2c7f d25e1b3a fad3e85a 0bd17d9b 100db4b3 La codificación hash vacía o cadena de longitud cero para SHA-1 corresponde a: SHA1 ("") = da39a3ee 5e6b4b0d 3255bfef afd80709

48 XLIX Colisiones en SHA1 Unos investigadores australianos acaban de dar con una nueva combinación de métodos para provocar colisiones en el algoritmo de hash SHA1 de forma mucho más rápida. Sólo se necesitarían 252 intentos. Esto podría resultar en ataques prácticos posibles a este sistema de hash. SHA1 es un sistema criptográfico de cálculo de hash heredero de MD5. Cualquier entrada de datos que se introduzca en la función, es reducida a una secuencia de 160 bits (2160 posibilidades). Pero el enemigo natural de los hashes son las colisiones: la posibilidad de encontrar por fuerza bruta un identificador que no sea único, esto es, que un mismo SHA1 represente a dos flujos de datos entrantes diferentes. Como la entrada es infinita, por definición existen las colisiones, pero se confía en que sean tan complejas de calcular (que se necesite tanto tiempo) que la fuerza bruta sea poco práctica. Pero si se reduce el cálculo de esa fuerza bruta. Cuanta más cantidad de bits de salida de la función, será más complicado encontrar colisiones. Se sabe, según la paradoja del cumpleaños, que al menos son necesarios varios cálculos para encontrar con una probabilidad mayor al 50% colisiones en una función con bits de salida. En el caso de la función de hash SHA1, se necesitaría calcular el hash de 280 mensajes cualesquiera para tener más del 50% de probabilidad de encontrar dos de ellos con el mismo hash (una colisión). Una función hash se considera rota si se puede calcular esta colisión en menos pasos. Pero lo peor, el mayor enemigo de las funciones hash, es que se pueda manipular un flujo de entrada para que se obtenga de él un hash deseado. Esto es mucho más grave. SHA1 también se consideraba "tocado". No es la primera vez que SHA1 se ve dañado por investigaciones matemáticas que reducen

49 L considerablemente el tiempo de fuerza bruta necesario para crear una colisión. Las posibilidades son muchas: validación de ficheros, autenticación, certificados en cualquier ámbito en el que se use la criptografía de clave pública, encontramos funciones hash SHA1 donde un ataque por colisión tendría un serio impacto. Lo bueno es que aun así, llevar a la práctica este tipo de ataque recién descubierto lleva una buena cantidad de fuerza bruta asociada y es todavía complejo que tenga probabilidades para logar su objetivo Buena Noticia La buena noticia es que aun así, de llevar a la práctica este tipo de ataque recién descubierto lleva una buena cantidad de fuerza bruta asociada y en la vida real es todavía complejo que tenga utilidad. Además el National Institute of Standards and Technology (NIST) hace ya tiempo que lanzó un concurso para determinar qué algoritmo será conocido como SHA3 y se usará como estándar en Algoritmo SHA-1

50 LI Figura Nº 2 Una iteración dentro de la función SHA-1 de compresión: A, B, C, D y E son de 32 bits es decir del Estado; F es una función no lineal que varía; n representa un giro a la izquierda por lugares poco n; n varía para cada operación; W t es el mensaje palabra más amplia de todo t; K t es la constante de vuelta de la ronda t; denota la adición módulo Función de Hash RIPEMD Definición (Acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) Se trata de una función criptográfica de hash que acepta una entrada un mensaje de cualquier longitud y devuelve como salida una cadena de 160bits Historia Desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, publicado en 1996.Su primera versión adolecía de las mismas debilidades que

51 LII MD4, produciendo colisiones, pero las versiones mejoradas actuales son consideradas seguras. Maneja claves muy robustas, normalmente de 160 bits, aunque existen versiones de 128 y se están planteando nuevas de 256 y 320 bits. Es muy rápido, no está patentado y su código fuente es abierto, de libre acceso Características de RIPEMD-160 Es uno de los algoritmos de revoltillo más rápidos, no está patentado. Su código fuente es de libre acceso. Por el momento, se le considera seguro. Similar a MD5 y SHA-1. Resistente contra los ataques de criptoanálisis conocidos. Resistente a ataque de fuerza bruta. Es usado con menos frecuencia. RIPEMD-160 produce un hash de la misma longitud que SHA1, pero es un 15% más lento que sha Desventajas RIPEMD-160 no es muy conocido por ser limitado por ninguna patente. No es muy popular y tampoco ha sido muy estudiada por criptólogos Codificación RIPEMD-160 Se suelen representar como de 40 dígitos hexadecimales números. A continuación se muestra una de 43 bytes ASCII de entrada y el correspondiente hash de ripemd-160: RIPEMD-160 ("El zorro marrón rápido salta sobre el perro perezoso") = 37f332f68db77bd9d7edd ad671cf9dd3b Incluso un pequeño cambio en el mensaje dan como resultado un hash completamente diferente, por ejemplo, cambio de D a C:

52 LIII RIPEMD-160 ("El zorro marrón rápido salta sobre el perezoso og c") = df eb8b6ad0b77e7b6f14acad7 El hash de una cadena de longitud cero es: RIPEMD-160 ("") = 9c1185a5c5e9fc ee8f548b2258d31 RIPEMD-160 se encuentran en aumentó a 160 bits (cinco palabras de 32 bits), el número de rondas se ha aumentado de tres a cinco, y las dos líneas se hacen más diversas (no sólo las constantes se modifican, sino también el orden de las palabras del mensaje) Seguridad RIPEMD-160 es el de superar los problemas planteados con menor número de cambios posibles a la estructura original para maximizar en la confianza adquirida con anterioridad RIPEMD y sus predecesores y MD4 MD5 Ofrece un alto nivel de seguridad, en lugar de empujar los límites de rendimiento con el riesgo de un rediseño de algunos años a partir de ahora. Hemos propuesto RIPEMD-160, que es una versión mejorada de RIPEMD. El diseño se realiza de tal manera que la confianza construida con RIPEMD se transfiere que el nuevo algoritmo. El aumento significativo de la seguridad se produce en el costo de una reducción del rendimiento, pero la velocidad resultante es todavía aceptable. Prevemos que en los próximos años será posible atacar a una de las dos líneas y un máximo de tres rondas de las dos líneas paralelas, pero que la combinación de las dos líneas paralelas se resiste a ataques.

53 LIV CAPITULO V 5. Comparación de las Funciones Hash MD5, SHA1, RIPEMD160. Md5 genera una salida de 128 bits, mientras que Sha-1 genera una salida de 160bits y de Ripemd-160 genera una salida de 160bits. Md5 y Sha-1 tienen ataque de colisión, mientras que Ripemd-160 se desconoce de sus ataques por el momento.

54 LV MD5 y SHA-1 son las funciones más empleadas hoy día a nivel mundial, en la firma digital de documentos para todo tipo de transacciones y online. El MD5 es el principal algoritmo de hash usado por el sistema bancario. MD5 y SHA1 sirve para comprobar la integridad de un fichero. Esta diferencia de 16 bits a favor de SHA-1 lo convierte en más seguro y resistente a ataques por fuerza bruta que el algoritmo MD5, aunque es más lento que MD5, SHA-1 es hoy el estándar como función HASH. La longitud máxima del mensaje para SHA-1 debe ser menor de 264 bits mientras que MD5 no tiene limitaciones de longitud. RIPEMD-160 realiza un mayor número de pasos de 160 comparados con los de SHA-1 realiza 80 pasos y MD5 64 pasos. SHA-1 debe procesar 160 bits de buffer en comparación con los 128 bits de MD5. Por estos motivos la ejecución del algoritmo SHA-1 es más lenta que la de MD5 usando un mismo hardware. RIPEMD160 es un algoritmo del resumen del mensaje de 160 bits. En seguridad y funcionamiento es mejor que sha1 y md5 RIPEMD-160 es un diseño menos popular que md5 y sha1 porque no se encuentra patentada por alguna organización y su código fuente es abierto, de libre acceso. 5.1 Comparativa entre MD5 y SHA-1 MD5 SHA-1

55 LVI Genera sólo 128 bits de longitud. La dificultad de generar un mensaje que tenga un resumen dado es del orden de 2128 operaciones. La dificultad de generar dos mensajes aleatorios distintos y que tengan el mismo resumen (ataques basados en paradoja del cumpleaños) es del orden de 264 operaciones. SHA-1 genera una salida de 160 bits de longitud. La dificultad de generar un mensaje que tenga un resumen dado es del orden de 2160 operaciones. La dificultad de generar dos mensajes aleatorios distintos y que tengan el mismo resumen (ataques basados en paradoja del cumpleaños) es del orden de 280 operaciones. Esta diferencia de 16 bits a favor de SHA-1 lo convierte en más seguro y resistente a ataques por fuerza bruta que el algoritmo MD5, aunque es más lento que MD5. Figura Nº Pasos y Tasas de Cifra en MD5 y SHA-1. Ambos algoritmos procesan bloques de 512 bits y emplean 4 funciones primitivas para generar el resumen del mensaje, pero... MD5 Realiza menor número de pasos: 64 Debe procesar 128 bits de buffer en comparación SHA-1 Realiza un mayor número de pasos: 80 Debe procesar 160 bits de buffer en comparación Por estos motivos la ejecución del algoritmo SHA-1 es más lenta que la de MD5 usando un mismo hardware. Una tasa del orden de 20 Mbits/seg para SHA-1 y para MD5 esta tasa llegaba a los

56 LVII 60 Mbits/seg. Figura Nº Diferencias entre MD5 y SHA-1 MD5 MD5 no tiene limitaciones de longitud. Emplea 64 constantes (una por cada paso). Se basa en la arquitectura little-endian. SHA-1 La longitud máxima del mensaje para SHA-1 debe ser menor de 264 bits. Sólo emplea 4. (una para cada 20 pasos). Se basa en la arquitectura big-endian. Figura Nº Diferencias entre MD5, SHA-1 y RIPEMD-160 DIFERENCIAS MD5 SHA-1 RIPEMD-160 Tamaño resumen. del 128bits 160bits 160bits Tamaño de 512bits 512bits 512bits

57 LVIII procesamiento. Número de pasos. 64 pasos 80 pasos 160 pasos Tamaño máximo de mensaje. Infinito 2^64 bit Infinito Ataques de colisión. Existe Existe No existe Seguridad. Mediana Mediana Alta Funcionamiento. Veloz Mediana Baja Diseño. Popular popular Menos popular Empleados. A nivel mundial A nivel mundial Menos empleado Utilizado con más frecuencia. En el sistema bancario En diferentes ámbitos En diferentes ámbitos Figura Nº 6 CAPITULO VI 6. Funcionalidad de las Transacciones Online. 6.1 La Criptografía en Nuestra Vida Cotidiana

58 LIX En la Internet es relativamente fácil realizar este tipo engaño, pues uno nunca puede estar seguro de si el correo electrónico realmente proviene del remitente o si nos estamos comunicando realmente con nuestro banco o con otro sitio apócrifo que aparenta ser el banco, por ello es que el uso de algoritmos criptográficos es muy necesario. A un así la criptografía por sí sola no resuelve todos los problemas, es necesario utilizar toda una infraestructura que le dé fortaleza, para evitar el engaño y asegurar autenticidad e integridad. Actualmente sobre la Internet viaja mucha información cifrada, debido a que resuelve los problemas que hemos mencionado anteriormente; sin embargo, para que esto suceda, hay que saber al menos un poco acerca de la organización de la infraestructura que respalda algunos algoritmos criptográficos. 6.2 Funciones de Resumen Hash Una herramienta fundamental en la criptografía, son las funciones hash, son usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen. Una función hash es también ampliamente usada para la firma digital, ya que los documentos a firmar son en general demasiado grandes, la función hash les asocia una cadena de longitud 160 bits que los hace más manejables para el propósito de firma digital. Ese tipo de funciones se llaman funciones de resumen o funciones de hash, son operaciones que se le aplican al mensaje para extraer una pequeña parte de él, y dependen totalmente del mensaje, si cambia el mensaje, cambia el resultado de la operación (aunque el mensaje cambie muy poco, el resultado cambiará mucho). Basta entonces, para garantizar autenticidad, cifrar el resultado de la función de resumen con la llave privada. Si el mensaje es auténtico, entonces tendrá el mismo resultado de la función de resumen y se compara con el resumen descifrado con la llave pública, si son iguales se garantizan dos cosas: el mensaje es auténtico (lo envió quien dice enviarlo) y es íntegro (no se

59 LX modificó). Si no son iguales entonces puede suceder dos cosas: el mensaje no lo envió quien dice enviarlo (no es auténtico) o alguien lo modificó en el camino, de cualquier manera, sabemos que no podemos confiar en esa información. A éste proceso de utilizar la función de resumen y aplicarle cifrado asimétrico con la llave privada se le llama firma digital o firma electrónica. Todavía las contraseñas quedan expuestas y probablemente se pudieran desencriptar y obtener sus valores originales. La utilización de una función hash hace posible que las contraseñas no queden expuestas a vulnerabilidades. Cuando un usuario desea acceder al sistema, se le aplica una función hash a la contraseña dada por él y el valor hash obtenido se compara con el valor almacenado en la base de datos, si son iguales, el usuario tiene acceso. Si la contraseña almacenada en la base de datos estuviera ``comprometida'', sería difícil obtener la contraseña dada por el usuario. Al utilizar las funciones de hash solas, para enviar números de tarjetas de crédito por Internet no significa que sea inviolable. En el caso de que alguien logre acceder a la computadora con fines delictivos, podría instalar programas en el servidor y así obtener los números de tarjeta de crédito una vez decodificados. Obteniendo estos números, podría utilizados para cometer fraudes. Hay que utilizar también protocolos de seguridad, de manera tal que al enviar un número de tarjeta de crédito por Internet, se codifica de modo que no pueda ser interceptado. Las funciones de HASH no viajan solas necesitan de un protocolo de seguridad como es el SSL (Secure Sockets Layer - protocolo para comunicaciones seguras ) para garantizar la confiabilidad de los datos, a que lleguen íntegros. Se utiliza un sofisticado sistema de encriptación de la información llamado SSL (Secure Sockets Layer), aceptado por la mayoría de navegadores. Todos los

60 LXI datos que teclea el cliente en el momento de hacer una compra en internet incluyendo el número de tarjeta de crédito, nombre, domicilio, etc. se encriptan bajo un método muy sofisticado de las funciones hash que codifica los datos con un cifrado de 128 bits, 160bits y puede que hoy día se esté trabajando en niveles más altos. Haría falta miles de años para que el ordenador más potente pudiera descifrar la información encriptada, lo que garantiza que si se da el caso de que alguien intercepte la información será muy difícil que pueda descifrarla. 6.3 Que es SSL (Secure Sockets Layer) SSL es un protocolo para comunicaciones seguras. Fue diseñado por Netscape en 1994 con el propósito de mejorar la seguridad de las comunicaciones a través de Internet. Hoy en día es un estándar. Ofrece los siguientes servicios: Encriptación de datos. Integridad de mensajes. (MD5, SHA1, RIPEMD160). Autenticación tanto del servidor de destino, como del cliente Como funciona SSL Una comunicación mediante SSL tiene varias etapas: Ambas partes se ponen de acuerdo en los algoritmos que van a utilizar y la longitud de claves pública. Autenticación. El servidor se identifica con un certificado (suministrando su clave) y si hay autenticación de cliente el navegador solicita el certificado al cliente. Se establece la clave de sesión que será utilizada posteriormente con un algoritmo simétrico para establecer la comunicación. El cliente manda una clave inicial encriptada con la clave pública del servidor y a partir de esa clave se genera la clave de sesión.

61 LXII Se verifica la autenticidad de los datos, que el canal es seguro y se puede empezar la transmisión. SSL es un protocolo que se instala entre los niveles de transporte y de aplicación, con lo cual puede ser utilizado con pequeñas modificaciones en los programas que utilizan protocolos de red. Una transacción económica mediante una tarjeta de crédito involucra a más de dos entidades (cliente, comerciante, bancos). 6.4 Definición de las Transacciones Online Procesamiento de Transacciones En Línea (On Line Transaction Processing) es un tipo de sistemas que facilitan y administran aplicaciones transaccionales, usualmente para entrada de datos, recuperación y procesamiento de transacción. Suelen ser utilizados por empresas con una red informática distribuida. Transacciones electrónicas son actividades que involucran la transferencia de información electrónica para propósitos específicos. Las transacciones electrónicas involucran el intercambio de bienes y servicios, entre dos o más partes usando herramientas y técnicas electrónicas. También se ha utilizado para referirse a la transformación en la que el sistema responde de inmediato a las peticiones del usuario. Un cajero automático de un banco es un ejemplo de una aplicación de procesamiento de transacciones comerciales. Esta tecnología se utiliza en innumerables aplicaciones, como en banca electrónica, procesamiento de pedidos, comercio electrónico, supermercados o industria, tarjetas de crédito, etc. 6.5 Tipos de Transacciones Electrónicas:

62 LXIII B2B (Business to Business o Empresa a Empresa): Este tipo de Comercio Electrónico se refiere a las operaciones de intercambio comercial entre empresas, como: colocar pedidos, verificar inventarios, planificar producción, etc B2C (Business to Consumer o Empresa a Consumidor): Es el sitio web tradicional a través del cual una empresa ofrece sus productos y servicios a los consumidores C2C (Consumer to Consumer o Consumidor a Consumidor): En este tipo de comercio electrónico, un consumidor ofrece productos y servicios a otros consumidores en forma directa, a través de su propio sitio o mediante sitios establecidos por terceros. 6.6 Ventajas y Desventajas de las Transacciones Online Ventajas de las Transacciones Online Comodidad: es la posibilidad de ahorrar tiempo y evitar molestias al realizar las operaciones desde su empresa u oficina, teniendo una computadora con acceso a Internet Reducción del costo: Otra de las grandes ventajas que tiene este sistema electrónico es la económica, puesto que las instituciones financieras no operan directamente nuestras transacciones, se reducen los costos de las comisiones, lo cual se traduce en mayores ganancias y puede causar la disminución en precios o aumento en los rendimientos al cliente Rapidez: También es conveniente notar que realizar las operaciones por Internet nos permite tener un control inmediato de nuestras finanzas. Si monitoreamos los movimientos del mercado desde la red, también podemos tomar decisiones al instante sobre nuestras inversiones y realizar los cambios

63 LXIV pertinentes sin la necesidad de esperar a contar con el tiempo para acudir a la sucursal. El procesamiento de transacciones en línea tiene dos claros beneficios: la simplicidad y la eficiencia. Sobre la simplicidad: Permite ahorrar mucho tiempo, papel y molestias Puede comprobar su saldo, transferir dinero y pagar facturas, todo desde la comodidad de su empresa, oficina. Con cada vez más empresas que ofrecen servicios online, puede utilizar Internet para gestionar sus inversiones, seguros de salud y otras actividades importantes. Sobre la eficiencia: Amplía la base de consumidores para una organización. Los procesos individuales se ejecutan mucho más rápido Desventajas de las Transacciones Online Figura Nº 7

64 LXV Sobre la seguridad: En las transacciones online se utilizan algunos de nuestros datos financieros y personales más delicados. Si bien la mayoría de las empresas utilizan la encriptación para asegurarse de que los datos que enviamos a sus sitios Web estén protegidos, los delincuentes cibernéticos aún son capaces de ingeniárselas para capturar nuestra información privada. El phishing y el pharming son claros ejemplos de ello. En estos intentos de fraude, los delincuentes cibernéticos utilizan páginas Web o mensajes de correo electrónico falsos para inducir a las personas a suministrar números de cuentas, contraseñas o incluso los números de sus documentos de identidad. Si esta información llega a sus manos, les bastan unos clics del ratón para saquear sus cuentas o apropiarse de su identidad para cometer fraudes. Los delincuentes cibernéticos también han desarrollado software que registra las pulsaciones del teclado y otros tipos de crimeware para robar la información personal. El software de registro de pulsaciones del teclado captura todo lo que se escribe en el equipo (ya sea un nombre de usuario, una contraseña o un número de cuenta) y después transmite estos datos a los delincuentes cibernéticos Sobre los costos: En las transacciones B2B, las empresas deben ir fuera de línea para completar ciertos pasos de algunos procesos, causando que los compradores y proveedores pierdan algunos de los beneficios de eficiencia que el sistema proporciona.

65 LXVI Tan simple como es un sistema OLTP, la más simple perturbación en el sistema tiene el potencial de causar una gran cantidad de problemas, que a su vez pueden causar una pérdida de tiempo y dinero. Otro coste económico es la posibilidad de que se produzcan fallos en el servidor, esto puede causar retrasos en el servicio e incluso la perdida de gran cantidad de información importante. Para eliminar este riesgo o, al menos mitigarlo, se debe invertir en mecanismos de seguridad. 6.7 La Confianza Las transacciones online hacen uso de la tecnología y del Internet, pero hay un elemento de suma importancia que las empresas no pueden ignorar: la confianza. Muchos autores consideran que es muy difícil construir confianza en ambiente online, pues las transacciones se dan de manera impersonal, anónimas, y automáticas. El grado de confianza que un usuario deposite al realizar transacciones online en la página web de la empresa, dependerá en gran medida de los antecedentes de ésta, de la imagen que tenga, de los comentarios que haya escuchado, en general de cómo sea percibida. 6.8 Proceso para Realizar una Transacción Online Que la persona tenga una tarjeta electrónica debidamente certificada por el banco emisor. Esta tarjeta contiene la identidad del usuario, su llave pública e información sobre su cuenta. Todos estos datos están encriptados en forma de un certificado que es único por cada tarjeta habiente. Cuando decida realizar una compra, llene el formulario y lo firma usando su llave privada. A este pedido le adjunta su certificado. Luego genera una llave al azar con la que encripta todos estos

66 LXVII datos. Luego necesita ubicar la llave pública del comerciante, que le servirá para encriptar la llave. Así, el comerciante recibe dos mensajes encriptados: uno de una llave que él podrá descifrar pues fue generado con su llave pública y otro que contiene los datos del pedido, que decodificará usando la llave que desencriptó con su llave pública. Posteriormente se sigue el mismo proceso, pero entre el comerciante y la cámara de compensación para completar la transacción. 6.9 Los Riesgos En las transacciones online se utilizan algunos de nuestros datos financieros y personales más delicados. Si bien la mayoría de las empresas utilizan la encriptación para asegurarse de que los datos que enviamos a sus sitios Web estén protegidos, los delincuentes cibernéticos aún son capaces de ingeniárselas para capturar nuestra información privada Hábitos Inteligentes La seguridad de las transacciones comerciales en línea comienza con estos hábitos: Figura Nº 8

67 LXVIII Realice sus conexiones y transacciones en sitios encriptados - Las páginas encriptadas cifran las contraseñas, nombres de usuario y números de tarjetas de crédito antes de enviarlos. Las direcciones de los sitios Web habilitados con encriptación suelen comenzar por https. La mayoría de los navegadores también muestran un icono de candado cerrado en la ventana cuando la encriptación está activada. Use sitios autenticados - En un sitio autenticado puede tener la certeza de que no está accediendo a una página falsa. Dedique el tiempo necesario a conocer las funciones de autenticación de su navegador para saber cómo indica si un sitio es auténtico. Utilice tarjetas de crédito para las compras en Internet - Nunca compre en Internet con efectivo ni con tarjetas de débito. Las limitaciones de responsabilidad de las tarjetas de débito no suelen ser iguales que las de las tarjetas de crédito. Monitoree sus cuentas - Acostúmbrese a comprobar regularmente sus tarjetas de crédito y sus cuentas bancarias y de inversiones para detectar posibles operaciones extrañas o transacciones no autorizadas. Adopte nombres de usuario y contraseñas difíciles de averiguar. Para crear nombres de usuario y contraseñas difíciles de averiguar, combine números, letras y símbolos; no utilice su número de teléfono, nombre o fecha de nacimiento. Además, mantenga en secreto sus contraseñas y números de identificación (PIN), y cámbielos con frecuencia. Proteja su identidad - No revele nunca el número de un documento identificativo u otra información personal por Internet, por mucho que quien lo solicite le resulte conocido.

68 LXIX Atención a las ventas fraudulentas No negocie con instituciones benéficas o empresas cuya confiabilidad no pueda verificar fuera de sus sitios Web. Si es una organización con la que nunca ha tratado, llámela para cerciorarse de su legitimidad. Tenga cuidado con las subastas en línea. Si un vendedor le pide que transfiera dinero a una cuenta en el extranjero o sugiere cualquier otra transacción inusual, insista en utilizar otra forma de pago. En las compras por subasta, tenga como norma utilizar métodos de pago confiables únicamente, como PayPal por ejemplo. Si se van a utilizar programas relacionados con la criptografía asegúrese de que dichos programas soporten encriptaciones fuertes, y en caso de no soportar busque otro software que le dé más garantías de seguridad Paypal Figura Nº 9 PayPal es una empresa del sector de las transacciones electrónicas o comercio electrónico, cuyo sistema permite a sus usuarios realizar pagos y transferencias a través de Internet sin compartir la información financiera con el destinatario, con el único requerimiento de que estos dispongan de

69 LXX correo electrónico. Es un sistema rápido y seguro para enviar y recibir dinero. Paypal procesa transacciones para particulares, compradores y vendedores online, sitios de subastas y otros usos comerciales. La mayor parte de su clientela proviene del sitio de subastas online ebay, compañía que compró Paypal en Octubre de Para qué sirve Paypal Pagar las compras realizadas por Internet. Cobrar las ventas realizadas por Internet. Enviar y Recibir dinero entre familiares, amigos o particulares Paypal es un Método Seguro para Realizar Pagos y Transferencias de Dinero. PayPal es un método seguro para realizar pagos y transferencias de dinero porque usa tecnología de encriptación SSL de 128 bits para proteger toda la información confidencial y el destinatario nunca recibe datos financieros como el número de tarjeta o cuenta bancaria ni información personal. Además, ofrece programas de protección, donde el comprador puede pedir la devolución total o parcial de su dinero. PayPal ofrece hasta euros de protección para: Artículos no recibidos. Artículos muy diferentes a la descripción del vendedor. Transacciones no autorizadas realizadas desde tu cuenta Paypal.

70 LXXI CAPITULO VII 7. Propuestas de Solución para Mejorar la Seguridad en las Transacciones Online. Figura N 10 Realizar transacciones a través de internet es cada vez más común, trámites bancarios, pagar las cuentas y comprar vía on line hoy son cosas comunes. De la mano con el crecimiento de este comportamiento han surgido estafadores que se dedican a tratar de vulnerar la seguridad de los sitios para tener acceso a los datos de los usuarios y finalmente a su dinero. Mediante la criptografía podemos establecer comunicaciones seguras con otras personas. 7.1 Estrategias de Solución para Evitar ser Víctima de un Robo en Internet Las transacciones electrónicas son cada vez más frecuentes en todas partes del mundo. Esto ha generado un mayor interés por parte de los ciberdelincuentes en intentar obtener nuestros números de tarjetas de crédito y

71 LXXII claves de seguridad para robar el dinero de nuestras cuentas bancarias. La mayoría de personas acostumbradas a navegar por internet, no están al tanto de este potencial peligro y desconocen las precauciones necesarias para evitar ser víctimas de un robo en internet. La mayoría de técnicas empleadas por los delincuentes cibernéticos consisten en obtener información confidencial de sus víctimas (números de tarjetas de crédito, claves de seguridad, información personal, etc.) mediante engaños. Muchas veces estos engaños se valen de la tecnología y la suplantación de identidades para obtener su cometido. Lo principal es estar alerta ante cualquier irregularidad y conocer algunos detalles que nos permitirán estar más seguros cuando realicemos transacciones por internet Utilice una Computadora Segura Cuando vaya a realizar cualquier transacción electrónica, es preferible utilizar una computadora de confianza. Por ejemplo, nuestra computadora de la oficina. Siempre y cuando estemos al tanto de que el sistema no esté infectado con virus ni troyanos, y que tenga instalado un antivirus y un firewall actualizados. De preferencia utilizar la red Ethernet (por cable), ya que la red Wi-fi es más sensible a ser atacada. No es recomendable realizar transacciones electrónicas en cabinas públicas o mediante redes Wi-fi desconocidas, ya que el riesgo de exponerse a algún tipo de ataque informático es alto. Por ejemplo, el dispositivo conocido como Newstweek es capaz de distorsionar noticias en redes Wi-fi públicas sin que uno lo note. Ahora imagina la información que podrían obtener sin uno quisiera realizar alguna compra online Escanear la Computadora Regularmente en Busca de Virus Mantener el antivirus y el firewall de la computadora siempre actualizados. Y realizar cada cierto tiempo un análisis de nuestros archivos en busca de virus. También es recomendable tener instalado

72 LXXIII una aplicación antimalware como el Malwarebytes para mantener libre de bichos a su computadora Conocer Bien la Página en donde Realiza las Transacciones Online. Los delincuentes cibernéticos tratan de suplantar las páginas que utilizamos regularmente para realizar las transacciones electrónicas. Dicha suplantación casi nunca es idéntica al original. Es mejor estar alerta ante cualquier pequeña y sutil diferencia que encuentre, y evitar realizar transacciones online hasta estar seguro/a de que no es una suplantación Verificar la URL Las páginas fraudulentas tienen una dirección web distinta a la página original en donde realizamos nuestras transacciones (bancos o tiendas online). Pero suelen ser tan parecidas al original que muchas veces al leer rápidamente nos parece que es la verdadera cuando no lo es. Basta con que una sola letra del nombre de dominio de una página web sea distinta para que se trate de una web suplantada. Así que mucho ojo con la URL Revisar los Certificados de Seguridad Cuando vaya a realizar una transacción online, asegúrese de revisar la validez de los certificados de seguridad. Estos certificados nos permiten identificar de manera segura a un sitio web, es decir, nos aseguran que un sitio web es quien dice ser y no un sitio impostor. Las páginas en donde se realizan transacciones electrónicas deben tener necesariamente un certificado de seguridad. Si se da cuenta que la página no tiene certificado, posiblemente se trate de una suplantación.

73 LXXIV Verifique que el Protocolo sea https Otro aspecto que tiene que ver con los certificados de seguridad es que además le darnos información sobre la verdadera identidad de una página web, además nos asegura que las comunicaciones serán cifradas para evitar que un tercero pueda interceptar nuestros datos (números de tarjeta de crédito, claves, información personal). Para cerciorarnos de que la comunicación es segura, debemos verificar que la dirección web empiece por https y no http solamente. Es decir, verifique que tenga la letra s al final. La https significa Hyper Text Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto) lo que significa que toda la información transmitida y recibida por la página web será segura No Responder Correos Falsos Nunca responda correos electrónicos en donde le pidan sus contraseñas, ya que en estos casos están tratando de robar información. El robo del correo electrónico es el primer paso para el robo de identidad de una persona, ya que con él se pueden hacer pasar por usted y acceder a todos los servicios que estén relacionados a su cuenta de correo. La mayoría de correos falsos suelen tener faltas ortográficas o gramaticales, además suelen aparecer en la bandeja de correo no deseado. Así que procure ignorarlos. Por ejemplo, hay casos de mensajes de correo falsos en donde se hacen pasar por su banco informándole sobre algún premio. Le dejan un enlace para que lo visite, el cual le lleva a un clon de la página original del banco y le piden ingresar su número de cuenta y clave.

74 LXXV No divulgar información personal Esto es muy importante sobre todo para quienes suelen usar las redes sociales, ya que muchas veces las claves que suelen utilizar las personas se relacionan con datos personales como cumpleaños, teléfonos, etc. Así que mientras menos información privada comparta en la web, más protegido estará. En todo caso, es mejor que las claves que utiliza para sus transacciones electrónicas no se relacionen con nada personal. No divulgue por teléfono sus datos personales, si es que no ha sido usted quien ha iniciado la llamada. Ya que no sería posible verificar la identidad de una persona que le llama y se hace pasar por funcionario de un banco Mantenga su sistema operativo actualizado Cualquiera sea el sistema operativo que use, procure mantenerlo actualizado. Cada cierto tiempo se liberan actualizaciones y parches de seguridad para corregir errores en el sistema operativo que podrían ser aprovechados por los ciber-delincuentes para robar nuestra información. Configure su sistema para que instale regularmente las actualizaciones o descarga manualmente los parches de seguridad Un seguro contra robos no está demás Ningún consejo es infalible. Los ciber-delincuentes pueden mejorar sus estrategias con el tiempo, así que nada está 100% garantizado. Para minimizar el riesgo puede adquirir por intermedio de su banco, un seguro contra robos y fraudes informáticos. 7.2 Usar una Banca Online Conveniente y Segura

75 LXXVI Tener un banco nunca ha sido tan fácil como hoy día. La banca online le permite acceder a su banco en cualquier momento de día o de noche sin ninguna fila. Acceder al banco vía internet en cualquier momento; pero establecer reglas sobre los días y horas para que la transacciones online sean efectivas más rápidamente. La computadora tiene opciones que le permiten guardar las contraseñas, aunque esto permite que cualquiera que use su computadora pueda acceder a su cuenta de banco. Es mejor usar un servicio como Last Password para guardarlas o aprenderlas de memoria y tener una versión escrita en papel en un lugar seguro por si se le olvida. La mayoría de los bancos online le permiten cambiar la contraseña. Esta es una buena idea y es algo que se recomienda hacer regularmente. Por supuesto, deberá recordar la contraseña, si se le olvida tendrá que pedirle al banco que le de una nueva y eso se le cobrará de su cuenta; así que es mejor recordarla. Acceder a una cuenta bancaria es fácil y muy conveniente. Pero recuerde cerrar la sesión, aunque usualmente los sitios web de los bancos cierran la sesión automáticamente, pero es mejor no confiarse para evitar que otra persona utilice la computadora. Tenga cuidado de recibir correos electrónicos que piden que entre en un enlace para verificar tus detalles de banca online. Estos sitios lucen auténticos pero son probablemente falsos. Esto se llama Phishing, y el objeto es robarte sus datos y así entrar a su cuenta

76 LXXVII online. Un banco jamás solicita estos cambios por correo electrónico. Si recibe un correo como este, llame inmediatamente a su banco. Si no tiene computadora en su casa o en oficina, es mejor no utilizar banca online. Una computadora segura es aquella que la usan personas de tu confianza o que casi nadie usa. Especialmente computadoras con antivirus, anti-phishing y otras características para evitar que le roben sus datos. Las computadoras de librerías y de internet alquilados no son seguras, hay casos de robo en ellas. Siempre asegúrese que cuando este ingresando su usuario y contraseña en el sitio de su banca online, el sitio tenga https con s al final. Ejemplo: https://www.tubanco.com. Si la dirección de su sitio dice sin la s al final del http, ese sitio es falso y no es real. Otra forma de asegurar que este en el sitio web correcto es buscar un candado en el navegador que usualmente aparece en los buenos bancos https, donde al hacer clic al candado aparece un certificado de seguridad digital que muestra la autenticidad del banco y del sitio web. 7.3 Aumentar la Seguridad de sus Compras Online Muchas empresas, personas, etc, realizan compras online cada cierto tiempo. Pero la mayoría de la empresa o personas tiene cierta preocupación o miedo ante el fraude online al momento de realizar una transacción online. Sin embargo, hay algunas medidas que podemos tomar para evitar los fraudes, antes de realizar nuestro próximo clic de compra: Asegure su espacio. Compruebe que haya asegurado su computadora con la protección adecuada de un antivirus, que ayude a prevenir la posibilidad de que alguien lo hackeé. Protege además su computadora y su conexión de Wi-Fi con buenas contraseñas.

77 LXXVIII Fíjese en donde hace clic. Al hacer una compra, asegúrese de que sea una web en la que confíe. Los sitios inseguros pueden dejar su información personal desprotegida. Busque sitios que tengan un certificado Secure Sockets Layer (SSL), el cuál puede encriptar información sensible durante las transacciones online. Conozca al vendedor. Conocer al retailer es una parte importante de realizar compras online seguras. Retailers conocidos y de marca, suelen tener sitios seguros para transacciones, pero también es importante leer los reviews del vendedor para determinar la credibilidad de terceros, en sitios mayores, como ocurre con frecuencia. Crédito, no debitado. Use una tarjeta de crédito en vez de débito. Hay más probabilidad de que las compañías de crédito le reembolsen en caso de fraude. Por ley, los emisores de crédito sólo pueden responsabilizarle con una cierta cantidad de dinero ante la primera transacción fraudulenta, pero la mayoría de las compañías omite eso. Nunca compre en un sitio dónde le pidan que le envíe dinero o le hagan transferencias electrónicas. Revise su estado de cuenta Si ocupa un banco online, aprovecha y revisa su extracto regularmente, no sólo a fin de mes. Revíselos, buscando actividades inusuales, para poder prevenir cualquier tipo de peligro a tiempo. Se inteligente. Use el sentido común a la hora de comprar online. No entregue información innecesaria, como la cédula de identidad. Además, dese cuenta cuándo un trato es demasiado bueno para ser verdad; los estafadores y timadores suelen tentar a los compradores con negocios que son poco prácticos.

78 LXXIX Mantenga el equipo informático seguro y actualizado, el navegador debe ser la última versión (para asegurarnos de que tiene todos los protocolos perfectamente actualizados) y el antivirus también debe estar actualizado para que pueda combatir las últimas amenazas. 7.4 Para Tarjetas de Crédito Las tarjetas de crédito son la forma más popular para pagar servicios u objetos en la Web en la actualidad, por ello en lugar de intentar buscar un sistema que la sustituya, la mayoría de los sistemas de compra en Internet, utilizan las tarjetas de crédito. El número de su tarjeta de crédito puede ser interceptado y utilizado para hacer fraudes, de lo cual el sujeto no se percataría hasta que reciba su estado de cuenta o hasta que su tarjeta quede sobregirada. Al igual que cuando vamos al cajero automático por primera vez, no dejar la tarjeta de crédito dentro y las claves marcadas no debemos dejar nunca la sesión abierta e irnos del ordenador. Siempre se debe de cerrar la sesión. Uso de las contraseñas, lo mejor es utilizar aleatorias y cambiarlas periódicamente. Nunca debemos utiliza contraseñas fáciles de averiguar, como pueda ser nuestra fecha de nacimiento, etc. Además si las apuntamos no se deben dejar a la vista, así como debemos de guardar la tarjeta con las claves en un lugar seguro. Los contratos de banca online (que firmamos con nuestro banco) suelen decir que las contraseñas equivale a nuestra firma encriptada con las funciones HASH, que viajan junto con un protocolo seguro como es el SSL.

79 LXXX Dependiendo de nuestro banco podemos limitar las cantidades y tipos de operaciones que podemos hacer por Internet, no obstante tampoco se trata de que no hagamos nada por miedo. Por último repetir que la máxima medida es el sentido común, y en caso de duda dejarlo para otro momento después de preguntar en nuestra sucursal, donde seguro que estarán encantados de ayudarnos. 7.5 Recomendaciones Banca móvil: Transacciones seguras desde su celular. Podemos realizar numerosas transacciones de manera segura, sin preocupaciones y lo mejor, de manera fácil desde el teléfono celular. Estas transacciones no dependen de la terminal, no se tiene que contar con el último teléfono inteligente, lo único que se necesita es un teléfono con SIM card. La SIM card puede funcionar como el canal por medio del cual nos comuniquemos con nuestro banco, ingresemos a nuestra cuenta y realicemos pagos, recargas al celular e incluso, extraer dinero de un cajero electrónico sin necesidad de tener una cuenta con la entidad bancaria. Utilizar las mismas recomendaciones de seguridad que se usan con las tarjetas electrónicas o de crédito. Cuidar que sus claves no estén guardadas en la memoria de su celular. Evitar que extraños transacción electrónica. le observen teclear mientras realiza una En caso de robo informar a la entidad bancaria, con el fin de poder registrar su próxima SIM Card y su cuenta.

80 LXXXI Por lo demás se trata de vencer el miedo y la inseguridad, asesorarse bien acerca del uso y las políticas con las que cuenta su banco y disfrutar de una vida con menos visitas a sus sucursales. 7.6 Aumentar la Confianza en la Empresa para Proteger e Impulsar el Negocio en Internet Es necesario utilizar la autenticación junto con el cifrado para proporcionar: Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado. Confirmación de que la empresa nombrada en el certificado es una entidad legal. Confirmación de que la persona que solicitó el certificado, en nombre de la organización había sido autorizada a hacerlo. Algunas autoridades de certificación creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Pero los certificados autenticados de alta seguridad, nos dan confianza y seguridad, Además de utilizar la tecnología de cifrado, es de vital importancia que el sitio web esté autenticado, lo que aumentará la confianza de los internautas que visiten su sitio web y su negocio. 7.8 Beneficios para su Empresa Atracción de Clientes Cuando establezca un sitio web seguro, podrá beneficiarse de una gran variedad de opciones para mejorar aún más sus operaciones de comercio electrónico. Con el sello Secure Seal de VeriSign, podrá utilizar la marca de seguridad número uno en Internet para dar a sus clientes la confianza necesaria para comunicarse y realizar transacciones comerciales en su sitio. Los clientes tendrán la seguridad de que envían su información personal a una empresa legal y no a un impostor. Por su parte, sabrá que su

81 LXXXII empresa recibe información precisa que el cliente no podrá denegarse a esta. 7.9 Recomendaciones para los bancos con los usuarios Respaldo y respuesta: Es muy importante que los usuarios, antes de realizar cualquier transacción online, se cercioren de que quienes dicen representar a un banco o ser empleados del mismo, lo sean realmente. Hay que estar muy atentos para notar a posibles impostores, puesto que es la única manera de ejercer el derecho a obtener una respuesta por parte del banco Unidad Especializada: Cuando tengamos dudas, consultas o quejas sobre cualquier servicio proporcionado por el banco, debemos preguntar por la Unidad Especializada para que nos las resuelvan de manera oportuna Confidencialidad: Los bancos están obligados a proteger los datos personales de sus clientes y beneficiarios a través de la web. No deberán revelar información sobre estados de cuenta, domicilio, trabajo u otros datos similares, más que al cliente mismo, a sus depositarios, deudores, beneficiarios o representantes legales Información: El banco deberá informarle sobre las comisiones por el uso de tarjetas de débito y crédito, apertura de cuenta, retiros, consulta de saldo, banca por Internet, entre otros Seguridad: Contar con unas buenas herramientas de seguridad tecnológicas, para salvaguardar la información confidencial del banco y de sus usuarios ante posibles ataques Administración de Riesgos La seguridad en la Web es difícilmente absoluta, mientras más medidas de seguridad se utilicen, menor es el riesgo que se corre. Se debe reducir el riesgo

82 LXXXIII tanto como sea posible y planear las medidas para recuperarse rápidamente de un incidente de seguridad. La seguridad Web no es fácil ni barata pero la inseguridad puede ser aún más costosa. La seguridad no es un producto que pueda comprarse, es parte integral de una organización y de la mentalidad de sus componentes. 8 Conclusiones y recomendaciones CAPITULO VIII 8.1 Conclusiones A través de la elaboración de este proyecto hemos analizado que tan seguros son los sistemas transaccionales en línea, y hemos obtenido algunos conocimientos sobre la seguridad al momento de realizar una transacción electrónica. Además estos sistemas están en evolución aceleradamente, por lo tanto hay que estar en constante aprendizaje y actualización, ya que así como crece el internet, también crecerán los conocimientos y estos a su vez pueden ser mal utilizados con la intención de hacer daño a la empresa u compañía y también a las personas. Es muy importante que todo negocio o empresa que funcione vía online sea capaz de asegurar el resguardo de la comunicación del total de los datos que intervienen en las transacciones electrónicas. Esto es muy importante tanto para la empresa y sus usuarios.

83 LXXXIV 8.2 Recomendaciones Para minimizar el riesgo en cualquier transacción online se recomienda seguir algunos consejos como: usar un explorador seguro para navegar en la red, verificar que los comercios en línea hayan implementado las normas de seguridad de la industria, conocer la empresa, la política de devolución y reembolso del establecimiento antes de realizar la transacción, buscar la declaración de privacidad, mantener la contraseña en secreto y guardar una copia impresa de las transacciones online. Realice sus conexiones y transacciones en sitios encriptados - Las páginas encriptadas cifran las contraseñas, nombres de usuario y números de tarjetas de crédito antes de enviarlos. Use sitios autenticados - En un sitio autenticado puede tener la certeza de que no está accediendo a una página falsa. Utilice tarjetas de crédito para las compras en Internet - Nunca compre en Internet con efectivo ni con tarjetas de débito.

84 LXXXV Tenga cuidado con las subastas en línea. Si un vendedor le pide que transfiera dinero a una cuenta en el extranjero o sugiere cualquier otra transacción inusual, insista en utilizar otra forma de pago. Monitoree sus cuentas - Acostúmbrese a comprobar regularmente sus tarjetas de crédito y sus cuentas bancarias y de inversiones para detectar posibles operaciones extrañas o transacciones no autorizadas. BIBLIOGRAFÌA Funciones hash en criptografía Mejorar las seguridades transaccionales Sistemas de procesamiento en línea Asegura las transacciones en tu negocio online s

85 LXXXVI Sistema transaccional en línea Funciones hash Conceptos básicos de criptografía (reprasol.blogspot.com/2008/09/conceptos-bsicos-de-criptografa.html) Criptografía simétrica asimétrica (web_documents/ criptografía _simétrica y asimétrica.pdf) Criptografía y otros temas relacionados (Tutorial pdf autor: Ing. PABLO TAMAYO.) Correo electrónico (http://es.wikipedia.org/wiki/correo_electr%c3%b3nico). Criptografía (www.segu-info.com.ar/proyectos/p1_criptografia.html) Funciones hash (www.esat.kuleuven.ac.be/~bosselae/ripemd160.html) Funciones hash (www.fismat.umich.mx/~emurguia/mipagina/tesis/node30.html) Transacciones online (www.exa.unne.edu.ar/depar/areas/informatica/sistemasoperativos/ola PMonog.pdf)

86 LXXXVII Transacciones online (www.promonegocios.net/venta/venta-online.html). Arthur D. Little Inc., Transacciones electrónicas. [en línea]. Disponible: [consulta: 3 Septiembre 2002]. Asociación Española de Comercio Electrónico (AECE), Aspectos Fiscales del Comercio Electrónico. Propuesta de Regulación. Documento de trabajo. [en línea]. Disponible: [consulta: 9 Septiembre 2002]. Asociación Española de Comercio Electrónico AECE, II Estudio sobre el Comercio Electrónico en España. [en línea]. Disponible: [consulta: 15 Septiembre 2002].

87 ANEXOS LXXXVIII

88 LXXXIX Anexo1 CIFRADO MD5 Anexo 2

89 XC CIFRADO SHA 1 Anexo 3 CIFRADO RIPEMD 160

90 XCI Anexo 4 Con SSL se pueden usar diferentes algoritmos para las diferentes aplicaciones, por ejemplo usa MD5, SHA-1, RIPEMD-160 cuando una comunicación esta bajo SSL la información que es cifrada es:

91 XCII Anexo 5 TRANSACCIONES ONLINE

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS

Cuaderno de notas del OBSERVATORIO CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación CÓMO COMPROBAR LA INTEGRIDAD DE LOS FICHEROS Comprobar la integridad de un fichero consiste en averiguar si algún

Más detalles

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License.

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 3.0 Unported License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/3.0/ Hugo

Más detalles

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012

Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 Profesor Ing. Juan N. Mariñas R. Marzo 2012 Julio 2012 1. Certificados Digitales 1. Formatos 2. Autoridades de Certificación 2. Firmas Digitales 3. Comercio Electrónico 1. Participantes 2. Elementos 4.

Más detalles

Comercio Electrónico. Desafíos del Derecho y la Informática. Dr. Diego Sánchez Ing. Hugo Carrión

Comercio Electrónico. Desafíos del Derecho y la Informática. Dr. Diego Sánchez Ing. Hugo Carrión Comercio Electrónico Desafíos del Derecho y la Informática Dr. Diego Sánchez Ing. Hugo Carrión Contenido Taller 1: 8h30 El Comercio Electrónico en la Sociedad de la Información Taller 2: 10h30 Marco Jurídico

Más detalles

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue

CRIPTOGRAFIA. Qué es, usos y beneficios de su utilización. Universidad Nacional del Comahue CRIPTOGRAFIA Qué es, usos y beneficios de su utilización Introducción Antes, computadoras relativamente aisladas Hoy, computadoras en redes corporativas conectadas además a Internet Transmisión de información

Más detalles

Seguridad del Protocolo HTTP

Seguridad del Protocolo HTTP Seguridad del Protocolo HTTP - P R O T O C O L O H T T P S. - C O N E X I O N E S S E G U R A S : S S L, TS L. - G E S T IÓN D E C E R T IF I C A D O S Y A C C E S O --S E G U R O C O N H T T P S Luis

Más detalles

e-commerce Objetivo e-commerce

e-commerce Objetivo e-commerce Presenta: UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE CONTADURIA Y ADMINISTRACIÓN Sitios web comerciales Tema II Comercio Electrónico 2.4 Elementos del e-commerce y seguridad. ING. y M.A. RENÉ

Más detalles

COMERCIO ELECTRÓNICO SEGURO Paraguay

COMERCIO ELECTRÓNICO SEGURO Paraguay Ing. Lucas Sotomayor Director de Comercio Electrónico Dirección General de Firma Digital y Comercio Electrónico Sub Secretaría de Estado de Comercio Ministerio de Industria y Comercio COMERCIO ELECTRÓNICO

Más detalles

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada

La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada La seguridad en la red: verdades, mentiras y consecuencias Aproximación práctica a la criptografía aplicada 1 2 Aproximación práctica a la criptografía aplicada 1- Qué es la criptografía aplicada 2- Propiedades:

Más detalles

Semana 14: Encriptación. Cifrado asimétrico

Semana 14: Encriptación. Cifrado asimétrico Semana 14: Encriptación Cifrado asimétrico Aprendizajes esperados Contenidos: Características y principios del cifrado asimétrico Algoritmos de cifrado asimétrico Funciones de hash Encriptación Asimétrica

Más detalles

Redes de comunicación

Redes de comunicación UNIVERSIDAD AMERICANA Redes de comunicación Unidad IV- Sistemas de Autenticación y firmas digitales Recopilación de teoría referente a la materia Ing. Luis Müller 2011 Esta es una recopilación de la teoría

Más detalles

Seguridad en Internet

Seguridad en Internet Seguridad en Internet. Resumen Cuando se realizan pagos en Internet y acceso a sitios Web que requieren certificado, intervienen dos protocolos seguros SSL y SET, ofreciendo confidencialidad, identificación,

Más detalles

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB

SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB SERVICIOS DE RED E INTERNET TEMA 4: INSTALACIÓN Y ADMINISTRACIÓN DE SERVICIOS WEB Nombre: 1. Protocolo HTTPS Hyper Text Transfer Protocol Secure (en español: Protocolo seguro de transferencia de hipertexto),

Más detalles

QUÉ ES BAJO LLAVE? POR QUÉ SER CLIENTE DE BAJO LLAVE?

QUÉ ES BAJO LLAVE? POR QUÉ SER CLIENTE DE BAJO LLAVE? QUÉ ES BAJO LLAVE? Bajo Llave es una caja de seguridad electrónica, una aplicación de alta seguridad que usa cifrado de datos y que permite almacenar información personal y profesional, perfectamente clasificada

Más detalles

Los virus informáticos

Los virus informáticos SEGURIDAD DE LA INFORMACIÓN Es el estudio de los métodos y medios de protección de los sistemas de información y comunicaciones frente a amenazas de los siguientes tipos: - Sin intervención humana Amenazas

Más detalles

Capítulo 5. CRIPTOGRAFÍA

Capítulo 5. CRIPTOGRAFÍA Capítulo 5. CRIPTOGRAFÍA Autor: Índice de contenidos 5.1. PRINCIPIOS DE CRIPTOGRAFÍA 5.2. TIPOS DE ALGORITMOS DE CIFRADO 5.2.2. Criptografía a simétrica 5.2.3. Criptografía a de clave asimétrica 5.2.4.

Más detalles

Transferencia segura de Datos en Línea con SSL

Transferencia segura de Datos en Línea con SSL Transferencia segura de Datos en Línea con SSL Guía para comprender los certificados SSL, cómo funcionan y su aplicación 1. Aspectos generales 2. Qué es SSL? 3. Cómo saber si un sitio web es seguro 4.

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Seguridad de la información

Seguridad de la información Seguridad de la información Se entiende por seguridad de la información a todas aquellas medidas preventivas y reactivas del hombre, de las organizaciones y de los sistemas tecnológicos que permitan resguardar

Más detalles

Cifrado de la información. Guía corporativa

Cifrado de la información. Guía corporativa Cifrado de la información Guía corporativa La encriptación de datos en las empresas 1. Introducción 3 Guía corporativa de encriptación de datos 1. Introducción La información es uno de los recursos más

Más detalles

Seguridad de la información en SMart esolutions

Seguridad de la información en SMart esolutions Seguridad de la información en SMart esolutions Índice Qué es SMart esolutions? Qué es la seguridad de la información? Definiciones Opciones de seguridad de SMart esolutions Preguntas frecuentes 04/05/2005

Más detalles

Métodos Encriptación. Tópicos en Sistemas de Computación Módulo de Seguridad

Métodos Encriptación. Tópicos en Sistemas de Computación Módulo de Seguridad Métodos Encriptación Tópicos en Sistemas de Computación Módulo de Seguridad Temario Introducción Breve historia Algoritmos simétricos Algoritmos asimétricos Protocolos seguros Ejemplos Introducción Porqué

Más detalles

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA

SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA SERVICIO SaaS DE FIRMA ELECTRONICA AVANZADA matedi 2014. TITULO 1 ÍNDICE 1. ANTECEDENTES. 2.CONSULTORÍA. 3. VALORACIÓN. 4. RESUMEN. matedi 2015. 2 1. ANTECEDENTES. Las empresas llevan a cabo una serie

Más detalles

comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito.

comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito. comercio electrónico en la Región de Murcia www.cecarm.com Guía de Seguridad en la Compra Virtual con Tarjeta de Crédito. Es seguro comprar con tarjetas de crédito a través de Internet? El Comercio Electrónico

Más detalles

Seguridad en la transmisión de Datos

Seguridad en la transmisión de Datos Seguridad en la transmisión de Datos David Peg Montalvo Santiago de Compostela Noviembre 2005 Índice 01 Seguridad. Ámbito de aplicación 02 Control de acceso 03 Conceptos básicos de criptografía 04 PKI

Más detalles

5. En qué procesos se realiza el mejoramiento en la manera de comerciar de las empresas? Abastecimiento y en su organización

5. En qué procesos se realiza el mejoramiento en la manera de comerciar de las empresas? Abastecimiento y en su organización INTRODUCCION AL COMERCIO ELECTRONICO TEMA 1 1. Mediante que herramienta se intercambian los documentos de las actividades empresariales entre socios comerciales? Mediante el comercio electrónico. 2. Cuáles

Más detalles

Red de área local. Administración y gestión (cuarta parte) Autor: Editorial McGraw-Hill

Red de área local. Administración y gestión (cuarta parte) Autor: Editorial McGraw-Hill Red de área local. Administración y gestión (cuarta parte) Autor: Editorial McGraw-Hill 1 Presentación del curso Curso de informática sobre redes, administración de servidores y transmisión de datos en

Más detalles

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS

Delitos. Informáticos GUÍA DE USUARIO DELITOS INFORMÁTICOS GUÍA DE USUARIO DELITOS INFORMÁTICOS El uso de Internet, además de darnos mucha información, también nos ofrece algunos peligros. Al igual que nuestro mundo real, en el mundo virtual también hay gente

Más detalles

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014

cfj Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Centro de Formación Judicial C.A.B.A. Uso Seguro de Internet Año 2014 Esquema de una organización Esquema de mi hogar, bar, la plaza, mi auto Pág. 1 Esquema de una organización o de mi dispositivo personal Pág. 2 Tecnologías de (TI) y de las Comunicaciones (TIC) Cuál es

Más detalles

CAPITULO III APLICACIÓN:

CAPITULO III APLICACIÓN: CAPITULO III APLICACIÓN: CONSTRUYENDO UNA INFRAESTRUCTURA CONFIABLE DE E-COMMERCE Los negocios que pueden administrar y procesar transacciones comerciales a través de Internet pueden ganar en competitividad,

Más detalles

Certificados Digitales. Versión 1.0. Sistemas / SHF 1 26/11/2003. Versión 1.0

Certificados Digitales. Versión 1.0. Sistemas / SHF 1 26/11/2003. Versión 1.0 SOCIEDAD HIPOTECARIA FEDERAL, S.N.C. MANUAL DE CERTIFICADOS DIGITALES Sistemas / SHF 1 26/11/2003 ÍNDICE INTRODUCCIÓN... 3 MARCO TEORICO... 4 CRIPTOGRAFÍA...4 CRIPTOGRAFÍA SIMETRICA...5 CRIPTOGRAFÍA ASIMETRICA...5

Más detalles

2.3.5 Capa de sesión. Protocolos

2.3.5 Capa de sesión. Protocolos 2.3.5 Capa de sesión Protocolos RPC El RPC (del inglés Remote Procedure Call, Llamada a Procedimiento Remoto) es un protocolo que permite a un programa de computadora ejecutar código en otra máquina remota

Más detalles

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA

CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA CRIPTOGRAFÍA SIMÉTRICA Y ASIMÉTRICA Para generar una transmisión segura de datos, debemos contar con un canal que sea seguro, esto es debemos emplear técnicas de forma que los datos que se envían de una

Más detalles

Criptografía y Seguridad

Criptografía y Seguridad 11 de noviembre de 2005 versión 1.0 slide 1 Criptografía y Seguridad Ing. Horacio A. Navarro G. 11 de noviembre de 2005 versión 1.0 Seminario de Software slide 2 Agenda Definición de seguridad informática

Más detalles

VULNERABILIDADES CRIPTOGRÁFICAS. Por Alexandre Ramilo Conde y Pablo Prol Sobrado

VULNERABILIDADES CRIPTOGRÁFICAS. Por Alexandre Ramilo Conde y Pablo Prol Sobrado VULNERABILIDADES CRIPTOGRÁFICAS Por Alexandre Ramilo Conde y Pablo Prol Sobrado 1. Cifrado Simétrico a. DES b. AES Índice 2. Cifrado Asimétrico a. RSA b. DSA 3. Funciones Hash a. MD5 b. SHA-0 y SHA-1 c.

Más detalles

Introducción. Algoritmos

Introducción. Algoritmos Introducción La firma digital es una herramienta que permite garantizar la autoría e integridad de los documentos digitales, posibilitando que éstos gocen de una característica que únicamente era propia

Más detalles

Cuaderno de notas del OBSERVATORIO

Cuaderno de notas del OBSERVATORIO Cuaderno de notas del OBSERVATORIO Instituto Nacional de Tecnologías de la Comunicación k MEDIDAS DE SEGURIDAD PARA TRANSACCIONES ONLINE Utilizar Internet para realizar transacciones económicas tanto gestiones

Más detalles

Certificados Digitales y su utilización en Entornos Clínicos

Certificados Digitales y su utilización en Entornos Clínicos La Informática de la Salud: Punto de Encuentro de las Disciplinas Sanitarias Certificados Digitales y su utilización en Entornos Clínicos Reche Martínez, D.; García Linares, A.J.; Richarte Reina, J.M.

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Cuando hablamos de Informática nos referimos a todos los recursos que están relacionados con el manejo de la información y, como es de todos conocido la información viene a representar

Más detalles

1.264 Tema 17. Seguridad Web: Encriptación (clave pública) SSL/TLS Firmas ciegas (SET)

1.264 Tema 17. Seguridad Web: Encriptación (clave pública) SSL/TLS Firmas ciegas (SET) 1.264 Tema 17 Seguridad Web: Encriptación (clave pública) SSL/TLS Firmas ciegas (SET) Premisas de seguridad Web Navegador-red-servidor son los 3 componentes clave. Premisas del usuario (navegador): El

Más detalles

Criptografía. Por. Daniel Vazart P.

Criptografía. Por. Daniel Vazart P. Criptografía Por. Daniel Vazart P. Que es? La finalidad de la criptografía es, en primer lugar, garantizar el secreto en la comunicación entre dos entidades (personas, organizaciones, etc.) y, en segundo

Más detalles

Seguridad SSL Número: 18 Sección: Artículos.

Seguridad SSL Número: 18 Sección: Artículos. Seguridad SSL Número: 18 Sección: Artículos. Es un hecho de todos conocido que Internet constituye un canal de comunicaciones inseguro, debido a que la información que circula a través de esta vasta red

Más detalles

Es posible obtener acceso a huellas digitales en epassports con el PKD?

Es posible obtener acceso a huellas digitales en epassports con el PKD? Preguntas frecuentes (23 de agosto de 2013) i. Qué es el Directorio de claves públicas (PKD)? El PKD de la OACI es la plataforma central para administrar el intercambio de certificados y listas de revocación

Más detalles

Ing. Cynthia Zúñiga Ramos

Ing. Cynthia Zúñiga Ramos Ing. Cynthia Zúñiga Ramos Criptografía Criptografía Datos Datos Encriptación ase4bhl Desencriptación Datos cifrados Confidencialidad en las comunicaciones Algoritmos Hash de una dirección Algoritmos

Más detalles

Introducción a las Tecnologías web. Luis Marco Giménez Madrid 2003

Introducción a las Tecnologías web. Luis Marco Giménez Madrid 2003 Introducción a las Tecnologías web Luis Marco Giménez Madrid 2003 Arquitectura Arquitectura clásica CLIENTE - SERVIDOR CLIENTES Petición http Respuesta http (html, pdf, gif, ) INTERNET Petición http Respuesta

Más detalles

AVISO DE PRIVACIDAD. Página 1 de 5. El Aviso de Privacidad forma parte del uso del sitio web www.eseecia.com

AVISO DE PRIVACIDAD. Página 1 de 5. El Aviso de Privacidad forma parte del uso del sitio web www.eseecia.com Página 1 de 5 AVISO DE PRIVACIDAD El Aviso de Privacidad forma parte del uso del sitio web www.eseecia.com El presente Aviso de Privacidad rige la prestación de los servicios que brinda ESEECIA CONSULTING,

Más detalles

Política de Privacidad

Política de Privacidad Política de Privacidad POLÍTICA DE PRIVACIDAD DE SERVICIOS DE PROGRMACION DE CHIHUAHUA, S.C. 1.INTRODUCCIÓN 1. Nuestra política de privacidad y nuestros términos de uso (denominados de ahora en adelante

Más detalles

Criptografía. Kerberos PGP TLS/SSL SSH

Criptografía. Kerberos PGP TLS/SSL SSH Criptografía Kerberos PGP TLS/SSL SSH Kerberos Kerberos - Características Protocolo de autenticación. Pensado para cliente-servidor. Acceso a servicios distribuidos en una red no segura. Provee autenticación

Más detalles

Reglamento General de la Red Universitaria de Cómputo

Reglamento General de la Red Universitaria de Cómputo La Red Universitaria (RUC), es un sistema de comunicación entre computadoras, que da servicio, a investigadores, profesores, alumnos y empleados universitarios, a través de los equipos con los que cuenta

Más detalles

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que

1. INTRODUCCION. -ATAQUES A LA SEGURIDAD: Qué acciones pueden comprometer la seguridad de la información que TEMA 7: TECNOLOGIAS Y SERVICIOS DE SEGURIDAD EN INTERNET 1. INTRODUCCION Los requisitos en seguridad de la información manejada dentro de una organización han evolucionado sustancialmente en las últimas

Más detalles

(CAST5, BLOWFISH,AES, AES192, AES256, TWOFISH)

(CAST5, BLOWFISH,AES, AES192, AES256, TWOFISH) Unidad 2 2.2 Criptografia Simetrica 2.2.1 Sistema de Encriptamiento de Información (DES) y 3DES 2.2.2 Practicas de encriptación con algoritmos simetricos (CAST5, BLOWFISH,AES, AES192, AES256, TWOFISH)

Más detalles

Política de privacidad

Política de privacidad Política de privacidad Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus

Más detalles

www.gacetafinanciera.com

www.gacetafinanciera.com Qué es un cheque electrónico? Artículos informativos. Dic. 11/2010 Es una versión electrónica de un cheque impreso. Al igual que el documento de control, el cheque electrónico es un documento jurídicamente

Más detalles

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013

Seguridad Web. Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Seguridad Web Presentación basada en el curso dictado por el Profesor Ernst Leiss en la EVI 2013 Lista de contenidos Seguridad de los datos Autenticación Integridad Malware Spam Denegación de servicio

Más detalles

Facturación Electrónica

Facturación Electrónica Facturación Electrónica Introducción...2 Beneficios de la Facturación electrónica...3 Requisitos para poder emitir facturas electrónicas....4 Formato FacturaE...5 Funcionamiento de los Certificados Digitales...6

Más detalles

Aviso de Privacidad. El Aviso de Privacidad forma parte del uso del sitio web www.nomilinea.mx

Aviso de Privacidad. El Aviso de Privacidad forma parte del uso del sitio web www.nomilinea.mx Aviso de Privacidad El Aviso de Privacidad forma parte del uso del sitio web www.nomilinea.mx La presente Aviso de Privacidad rige la prestación de los servicios que brinda Desarrollos Administrativos

Más detalles

Autenticación de usuarios

Autenticación de usuarios ASI - Autenticación de usuarios,1 Autenticación de usuarios Curso 2013/14 Grado Asignatura Gestión Informática Empresarial Auditoría y Seguridad Informática Profesores Alfredo Cuesta Infante alfredo.cuesta@ajz.ucm.es

Más detalles

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones.

Proporciona cifrado de datos, autorización de servidores, integridad de mensajes y, opcionalmente, autorización de clientes para conexiones. Servidores seguros Un servidor seguro es un servidor de páginas web especialmente configurado para establecer una conexión transparente con el/la cliente consiguiendo que la información que circule entre

Más detalles

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet

Guía para principiantes. sobre los certificados SSL. Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad en Internet WHITE PAPER: Guía PARA principiantes sobre los certificados SSL White paper Guía para principiantes sobre los certificados SSL Cómo tomar la mejor decisión a la hora de considerar sus opciones de seguridad

Más detalles

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines:

I. Los Datos Personales que nos proporcionará serán recolectados y su tratamiento manual y/o automatizado obedece a los siguientes fines: Su privacidad y confianza son muy importantes para nosotros. Por ello, queremos asegurarnos que conozca cómo salvaguardamos la integridad, confidencialidad y disponibilidad, de sus datos personales, en

Más detalles

Sistema de comunicación móvil con cifrado de seguridad. Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES

Sistema de comunicación móvil con cifrado de seguridad. Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES Qué es Hermes? Hermes es un SISTEMA de COMUNICACIÓN CIFRADA para MÓVILES Para qué sirve Hermes? Hermes nos permite comunicarnos con nuestros contactos con la garantía de que nuestra privacidad no está

Más detalles

Seguridad Wi-Fi. Seguridad Wi-Fi

Seguridad Wi-Fi. Seguridad Wi-Fi Cuando Ud. se comunica a través de Internet usando una conexión cableada o inalámbrica, querrá asegurar que sus comunicaciones y ficheros tienen privacidad y están protegidos. Si sus transmisiones no son

Más detalles

Encriptación: de lo básico a lo estratégico

Encriptación: de lo básico a lo estratégico Encriptación: de lo básico a lo estratégico Los datos siempre están en riesgo de perderse o de que sean robados, aparte de que nunca falta quien olvide la clave para acceder a ellos, por lo cual las compañías

Más detalles

SEGURIDAD EN LA WEB.

SEGURIDAD EN LA WEB. SEGURIDAD EN LA WEB. - ELEMENTOS DE PROTECCIÓN: Firewall Elemento de protección que sirve para filtrar paquetes (entrada o salida) de un sistema conectado a una red, que puede ser Internet o una Intranet.

Más detalles

Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos

Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos Redes de comunicaciones actuales permiten la conectividad de un gran número de usuarios. Explosión de servicios que necesitan la transmisión de datos por estas redes: necesidad de protección de la información.

Más detalles

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS

PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS PONTIFICIA UNIVERSIDAD CATÓLICA DEL ECUADOR FACULTAD DE INGENIERÍA ESCUELA DE SISTEMAS DISERTACIÓN PREVIA A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS Y COMPUTACIÓN GUÍA DE APLICACIÓN DE TECNOLOGÍAS

Más detalles

Política de Privacidad. Diciembre 2013

Política de Privacidad. Diciembre 2013 Política de Privacidad Diciembre 2013 RESPONSABLES ELABORADO POR: Certificación y Seguridad REVISADO POR: - Gerente de Certificación y Seguridad - Consultora Ingenia Global. APROBADO POR: Gerente General

Más detalles

Comercio Electrónico. e-commerce. Seguridad. www.cadacual.com

Comercio Electrónico. e-commerce. Seguridad. www.cadacual.com e-commerce Comercio Electrónico e-commerce www.cadacual.com Seguridad Contenido Introducción Medios de Pago Los medios de pago en Internet se postulan en este escenario como uno de los elementos críticos

Más detalles

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web

Unidad 4 Criptografía, SSL/TLS y HTTPS. Despliegue de aplicaciones web Unidad 4 Criptografía, SSL/TLS y HTTPS Índice Introducción. Criptografía Introducción Algoritmos criptográficos Introducción. Clave secreta. Clave pública. Funciones resumen (hash). 2 Índice Firma digital.

Más detalles

Lección 9: Introducción al protocolo SSL

Lección 9: Introducción al protocolo SSL Lección 9: Introducción al protocolo SSL Dr. Alfonso Muñoz amunoz@diatel.upm.es Universidad Politécnica de Madrid R&D Security Researcher. T>SIC Group UPM SSL (Secure Sockets Layer) La empresa Netscape

Más detalles

UNIVERSIDAD TÉCNICA DEL NORTE

UNIVERSIDAD TÉCNICA DEL NORTE UNIVERSIDAD TÉCNICA DEL NORTE FACULTAD DE INGENIERÍA EN CIENCIAS APLICADAS ESCUELA DE INGENIERÍA EN SISTEMAS COMPUTACIONALES TESIS PREVIA A LA OBTENCIÓN DEL TÍTULO DE INGENIERO EN SISTEMAS COMPUTACIONALES

Más detalles

INSTALACIÓN CERTIFICADO DE SEGURIDAD DEL SITIO WEB

INSTALACIÓN CERTIFICADO DE SEGURIDAD DEL SITIO WEB INSTRUCTIVO INSTALACIÓN CERTIFICADO DE SEGURIDAD DEL SITIO WEB Elaborado por: María Fernanda Olivos Lloreda Analista de Tecnología Fecha 08/02/2010 Código: GTI-I-SU-03 Versión: 01 Revisado por: Erika Bracho

Más detalles

TÉRMINOS Y CONDICIONES DE USO

TÉRMINOS Y CONDICIONES DE USO TÉRMINOS Y CONDICIONES DE USO Importante: Lea atentamente este documento antes de utilizar el sitio Web. No utilice este sitio Web si no está de acuerdo con los Términos y Condiciones de este documento.

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

UNIVERSIDAD DE GUAYAQUIL

UNIVERSIDAD DE GUAYAQUIL II UNIVERSIDAD DE GUAYAQUIL Facultad de Ciencias Matemáticas y Físicas Carrera de Ingeniería en Sistemas Computacionales Desarrollo de una VPN / Firewall de Software con Administración Vía Web TESIS DE

Más detalles

Banco de la República Bogotá D. C., Colombia

Banco de la República Bogotá D. C., Colombia Banco de la República Bogotá D. C., Colombia Departamento de Seguridad Informática SUBGERENCIA DE INFORMÁTICA MECANISMOS DE SEGURIDAD DE LOS SERVICIOS INFORMÁTICOS USI-ASI-1 Junio de 2007 Versión 3 CONTENIDO

Más detalles

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0

PROCEDIMIENTO ESPECÍFICO. Código G022-02 Edición 0 Índice 1. TABLA RESUMEN... 2 2. OBJETO... 2 3. ALCANCE... 2 4. RESPONSABILIDADES... 3 5. ENTRADAS... 3 6. SALIDAS... 3 7. PROCESOS RELACIONADOS... 3 8. DIAGRAMA DE FLUJO... 4 9. DESARROLLO... 5 9.1. COMPONENTES

Más detalles

4. Protección del nivel de transporte: SSL/TLS/WTLS.

4. Protección del nivel de transporte: SSL/TLS/WTLS. 58 Mecanismosde protección 4. Protección del nivel de transporte: SSL/TLS/WTLS. Tal y como hemos visto en el apartado anterior, el uso de un protocolo seguro a nivel de red puede requerir la adaptación

Más detalles

MUSSAP consigue con Assureon un control total de los ficheros y una seguridad extrema de toda la información. CASO DE ÉXITO

MUSSAP consigue con Assureon un control total de los ficheros y una seguridad extrema de toda la información. CASO DE ÉXITO MUSSAP consigue con Assureon un control total de los ficheros y una seguridad extrema de toda la información. CASO DE ÉXITO QUÉ ES MUSSAP? Aunque actualmente Mussap es una de las principales aseguradoras

Más detalles

REGLAMENTO PARA EL USO DE LOS LABORATORIOS DE RADIO Y TELEVISIÓN

REGLAMENTO PARA EL USO DE LOS LABORATORIOS DE RADIO Y TELEVISIÓN REGLAMENTO PARA EL USO DE LOS LABORATORIOS DE RADIO Y TELEVISIÓN El presente Documento tiene la finalidad de establecer los criterios de operación y de procedimientos que operan en las instalaciones de

Más detalles

Condiciones Generales de Uso de Faccil

Condiciones Generales de Uso de Faccil Condiciones Generales de Uso de Faccil 1. Objeto Sobre este documento El presente documento contiene el texto íntegro de las Condiciones Generales de Uso de los Servicios de Faccil (https://www.faccil.com).

Más detalles

Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web. Servicios de autenticación VeriSign.

Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web. Servicios de autenticación VeriSign. Documento técnico Cómo elegir una autoridad de certificación que aumente la seguridad de su sitio web TM Resumen ejecutivo La confianza es fundamental en Internet. Si un sitio web o un servicio en línea

Más detalles

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones:

Seguridad en la red. Fuga o robo de información a causa de las siguientes razones: Seguridad en la red A continuación se presentan algunos de los riesgos inherentes al medio de comunicación, cuya mitigación dependerá del uso adecuado que el suscriptor le dé a su equipo terminal móvil:

Más detalles

SSL. Secure Sockets Layer

SSL. Secure Sockets Layer SSL Secure Sockets Layer 1 Certificado Digital Documento digital que verifica que una llave pública pertenece a una determinada persona o entidad. Criptografía de clave pública. Firma digital. Elementos

Más detalles

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores

Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores Capítulo 4 Protocolos y técnicas alternativas al WEP. En este capítulo se presentan algunos protocolos y técnicas que ofrecen mayores garantías en seguridad en redes inalámbricas, eliminando las debilidades

Más detalles

Seminario Internet y Buscadores NAVEGACIÓN SEGURA Y HERRAMIENTAS DE MOTORES DE BUSQUEDA

Seminario Internet y Buscadores NAVEGACIÓN SEGURA Y HERRAMIENTAS DE MOTORES DE BUSQUEDA Seminario Internet y Buscadores NAVEGACIÓN SEGURA Y HERRAMIENTAS DE MOTORES DE BUSQUEDA Santa Cruz de la Sierra, Bolivia Realizado por: Ing. Juan Carlos Castro Chávez 1 Indice Navegacion segura Criptografía

Más detalles

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL)

Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Tutorial Redes Privadas Virtuales (VPNs sobre ADSL) Cuando su empresa cuenta con más de una sucursal o mantiene intercambio constante de información entre sus proveedores y clientes, es vital encontrar

Más detalles

ESCUELA POLITECNICA DEL EJERCITO

ESCUELA POLITECNICA DEL EJERCITO ESCUELA POLITECNICA DEL EJERCITO Carrera de Ingeniería a de Sistemas e Informática Desarrollo de una aplicación Sign On en Smart Cards Vinicio Ramirez M. SEGURIDAD INFORMÁTICA La Seguridad Informática

Más detalles

TRATAMIENTO DE LAS SOLUCIONES TECNOLÓGICAS DEL COMERCIO ELECTRÓNICO EN EL ÁREA DE TECNOLOGÍA

TRATAMIENTO DE LAS SOLUCIONES TECNOLÓGICAS DEL COMERCIO ELECTRÓNICO EN EL ÁREA DE TECNOLOGÍA TRATAMIENTO DE LAS SOLUCIONES TECNOLÓGICAS DEL COMERCIO ELECTRÓNICO EN EL ÁREA DE TECNOLOGÍA AUTORES: Mª de los Ángeles Vilches Amado, DNI: 75744033L Begoña Lainez Sanz, DNI: 31336591B Juana María Álvarez

Más detalles

Servidor Criptográfico Software. CRIPTOlib/RSA V3.0. Servidor Criptográfico Software. Indra Diciembre de 2.002

Servidor Criptográfico Software. CRIPTOlib/RSA V3.0. Servidor Criptográfico Software. Indra Diciembre de 2.002 Servidor Criptográfico Software CRIPTOlib/RSA V3.0 Servidor Criptográfico Software Indra Diciembre de 2.002 Índice Índice Í N D I C E Pág. 1 INTRODUCCIÓN...4 2 EVOLUCIÓN DE LOS SISTEMAS DE SEGURIDAD...8

Más detalles

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente.

Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. Para nosotros la seguridad es muy importante. A continuación información de utilidad para usted como cliente. DEFINICIONES IMPORTANTES QUE DEBE CONOCER: Confidencialidad: hace referencia a que la información

Más detalles

Lección 10: Ataques al protocolo SSL

Lección 10: Ataques al protocolo SSL Lección 10: Ataques al protocolo SSL Luciano Bello - luciano@debian.org Chalmers University Dr. Alfonso Muñoz - amunoz@diatel.upm.es T>SIC Group. Universidad Politécnica de Madrid Seguridad del protocolo

Más detalles

Certificado Digital. www.certificadodigital.com.ar. Guía del Usuario. Versión 1.0

Certificado Digital. www.certificadodigital.com.ar. Guía del Usuario. Versión 1.0 Certificado Digital www.certificadodigital.com.ar Guía del Usuario Versión 1.0 Copyright 2000 Certificado Digital S.A. Buenos Aires - República Argentina Índice temático INTRODUCCIÓN... 2 A QUIÉNES ESTÁ

Más detalles

Firebird y Zebedee. Creado por Artur Anjos Trindade artur@arsoft.pt. Traducido por Santiago Russo

Firebird y Zebedee. Creado por Artur Anjos Trindade artur@arsoft.pt. Traducido por Santiago Russo Firebird y Zebedee Creado por Artur Anjos Trindade artur@arsoft.pt Traducido por Santiago Russo Uso de Zebedee con Firebird para cifrar y comprimir el tráfico de red Tabla de contenidos 1. Introducción

Más detalles

SEGURIDAD EN INTERNET. MALWARE

SEGURIDAD EN INTERNET. MALWARE 1 SEGURIDAD EN INTERNET. MALWARE En Internet, como en casi todos los ámbitos de la vida, la seguridad, entendida tal cual se recoge en la Real Academia de la Lengua, es prácticamente imposible de conseguir;

Más detalles

ADMINISTRACIÓN Y CONTROL DE INVENTARIOS PARA UNA FÁBRICA DE BLOQUES DE CONCRETO

ADMINISTRACIÓN Y CONTROL DE INVENTARIOS PARA UNA FÁBRICA DE BLOQUES DE CONCRETO UNIVERSIDAD DE SAN CARLOS DE GUATEMALA FACULTAD DE INGENIERÍA ESCUELA DE INGENIERÍA MECÁNICA INDUSTRIAL ADMINISTRACIÓN Y CONTROL DE INVENTARIOS PARA UNA FÁBRICA DE BLOQUES DE CONCRETO ROBERTO ANTONIO ALVAREZ

Más detalles

Mejores Prácticas de Autenticación:

Mejores Prácticas de Autenticación: Mejores Prácticas de Autenticación: Coloque el control donde pertenece WHITEPAPER Los beneficios de un Ambiente de Autenticación Totalmente Confiable: Permite que los clientes generen su propia información

Más detalles

7.1 Aspectos generales sobre el pago por Internet

7.1 Aspectos generales sobre el pago por Internet 1 Colección de Tesis Digitales Universidad de las Américas Puebla Zuñiga, Víctor Alejandro 7.1 Aspectos generales sobre el pago por Internet No cabe duda que uno de los elementos fundamentales en el comercio

Más detalles

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO)

Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Estándares para Sistemas de Tickets Entrantes/Salientes (TITO) Superintendencia de Casinos de Juego (SCJ) CHILE Santiago de Chile, marzo de 2015 Modificaciones a los Estándares para Sistemas de Tickets

Más detalles

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles