UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE REPONSABILIDAD

Transcripción

1 II UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE REPONSABILIDAD Yo, Ing. Marco Lituma, certifico que la Sra. Jenny Marítza León Sangurima con CC, Nº realizó la presente tesina con el título Criptografía: Funciones Hash como alternativa de seguridad en Transacciones Online para Organizaciones o Empresas, y que es autor intelectual del mismo, que es original, auténtico y personal. Ing. Marco Lituma

2 III UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS ACTA DE CESIÓN DE DERECHOS Yo, JENNY MARITZA LEÓN SANGURIMA, estudiante de SISTEMAS INFORMATICOS declaro conocer y aceptar las disposiciones del Programas de Estudio de Ingeniería Informática, que en lo pertinente dice: Es patrimonio de las Universidad Tecnológica Israel, todos los resultados provenientes de investigaciones, de trabajos artísticos o de creación artísticas o científicos o técnicos o tecnológicos, y de tesis o trabajos de grado que se realicen a través o con el apoyo de cualquier tipo de la Universidad Tecnológica de la Universidad Israel. Esto significa la cesión de los derechos de propiedad intelectual a la Universidad Tecnológica Israel. Jenny Marítza León Sangurima

3 IV UNIVERSIDAD TECNOLÓGICA ISRAEL FACULTAD DE SISTEMAS INFORMATICOS CERTIFICADO DE AUTORÍA El documento de tesina con título Criptografía: Funciones Hash como alternativa de seguridad en Transacciones Online para Organizaciones o Empresas, ha sido desarrolla por Jenny Marítza León Sangurima C.C. Nº persona que posee los derechos de autoría y responsabilidad, restringiéndose la copia o utilización de cada uno de los productos de esta tesina sin previa autorización. Jenny Marítza León Sangurima

4 V DEDICATORIA Nuestra vida es un constante caminar de luchas y batallas, que se hace sencillo cuando se cuenta con la compañía de seres maravillosos que nos brindan lo mejor en cada instante; en mi vida he tenido el privilegio de contar con muchos de ellos; Dios el mejor de mis amigos, la luz que ilumina mi camino en momentos de oscuridad, y me da la fe, fuerza y fortaleza, que me hace continuar en la construcción de mis sueños y mis anhelos; mis padres Luis León y Guadalupe Sangurima quienes con su ejemplo, esfuerzo, dedicación, amor y ternura infinitos me enseñan el verdadero significado de la vida y me muestran que los esfuerzos tienen siempre mayores recompensas: a mi esposo Germán, quien con su apoyo incondicional me brindan la seguridad e inspiración para luchar juntos por un porvenir mejor, con quien comparto el sentimiento sincero de que a pesar de la distancia nuestros corazones y almas siempre estarán unidos. A mis amigas(os), profesores y conocidos, personas maravillosas con las que hemos construido sueños e historias que vivirán y alimentarán para siempre mi mente y corazón. Para todos ellos mil bendiciones y agradecimientos infinitos.

5 VI AGRADECIMIENTO A mi Padre Celestial Dios y a la vida que me ha llevado paso a paso por el camino del aprendizaje constante, brindándome la oportunidad de conocer personas maravillosas, que han contribuido con la formación integral de cada uno de nosotros en momentos cruciales de nuestra vida. Al Ingeniero de la carrera de Ingeniería de Sistemas Marco Lituma le agradezco su apoyo y acompañamiento en la realización de esta investigación. Al ingeniero Hugo Abril, agradezco su trato amable y cordial durante el transcurso de esta carrera, especialmente su interés, colaboración y apoyo en el desarrollo de los estudiantes como personas y futuros profesionales. Al ingeniero Leopoldo Pauta coordinador de proyectos de grado, le agradezco por el don de enseñarnos y guiarnos durante este procesos de aprendizaje, ya que muchas veces me alentó y me dio ánimos para continuar con el proyecto. Además de sus sabios consejos y enseñanzas. A todos los docentes de la Universidad Tecnológica Israel extensión Cuenca, por sus enseñanzas y contribuciones con mi formación profesional y personal. Y en general a todas las personas que contribuyeron con la elaboración suministrándome la información necesaria para el desarrollo de este proyecto.

6 VII RESUMEN El trabajo de investigación que se presenta se centra en analizar una herramienta fundamental que es la criptografía, son las funciones hash para garantizar la seguridad transaccional online, dentro de una empresa u organización a través de una pagina web, son usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen. En concreto, a través de este proyecto se pretende mejorar la seguridad de las transacciones online, hacen uso de la tecnología, funciones hash y del Internet, pero hay un elemento de suma importancia que las empresas no pueden ignorar: la confianza. Muchos consideran que es muy difícil construir confianza en ambiente online, pues las transacciones se dan de manera impersonal, anónimas, y automáticas. El grado de confianza que un usuario deposite al realizar transacciones online en la página web de la empresa, dependerá en gran medida de seguridades de ésta, de la imagen que tenga. Muchas personas ven en internet el modelo para sus negocios futuros; sin embargo antes de que eso ocurra, los usuarios tienen que sentirse seguros, sobre el hecho de manejar información personal, y financiera a través de la red, debido a que pasa por muchos computadores a lo largo de su camino, presentándose la posibilidad de que alguien pueda manipular o apropiarse de ella. En todos estos aspectos de seguridad y privacidad esta la confianza; si los mecanismos que implementa internet, para la autentificación, autorización, privacidad, integridad y no rechazo, no aparecen en forma contundente para los usuarios, estos dudaran en usarlos, dado lo cual, se presenta uno de los problemas más grades de confianza sobre internet, esto es la falta de conocimiento y comprensión, constituyendo una barrera crítica que debe superarse.

7 VIII SUMMARY The research presented focuses on analyzing a critical tool is cryptography, hash functions are to secure online transaction within a business or organization through a website, are used mainly to solve the problem of message integrity and authenticity of messages and their origin. Specifically, through this project is to improve the security of online transactions, make use of technology and internet hash functions, but there is an element of paramount importance that companies can not ignore: "trust." Many consider it very difficult to build trust in online environment, since the transactions are so impersonal, anonymous, and automatic. The degree of trust a user places to make online transactions on the website of the company depends heavily on assurances of this, the image you have. Many people see the Internet business model for their future, but before that happens, users have to feel safe, the fact of handling personal information and financial information via the network, because passes through many computers along the way, presenting the possibility that someone could manipulate or appropriate it. In all these aspects of security and privacy is confidence, if that implements internet mechanisms for authentication, authorization, privacy, integrity and non-repudiation, not conclusively shown to users, they hesitate to use them, given that, presents one of the most degrees of confidence about the Internet, this is the lack of knowledge and understanding, constituting a critical barrier to overcome.

8 IX ÍNDICE DE CONTENIDOS CAPITULO I 1 INTRODUCCIÓN Planteamiento del Problema Sistematización Diagnóstico Pronóstico Control del Pronóstico Objetivos Objetivo General Objetivos Específicos Justificación Justificación Teórica Justificación Práctica Justificación Metodológica 4 CAPITULO II 2 MARCO DE REFERENCIA Marco Teórico Conceptos Básicos de la Criptografía Tipos de Criptografía Criptografía Simétrica Criptografía Asimétrica Metas de la Criptografía Integridad Confidencialidad Autenticación No Repudio Usos de la Criptografía.. 6

9 X Correo Electrónico Servicios Web Comercio Electrónico Red de trabajo Ataques Criptográficos Ataque por Fuerza Bruta Ataques Analíticos Estadísticos Implantación Ataque al Texto Cifrado Solamente Texto Plano Conocido Texto Plano Seleccionado Texto Cifrado Seleccionado Función Criptográfica de Hash Conceptos Básicos de las Funciones Hash Funcionamiento del Hash Función de Hash MD SHA RIPEMD Aplicación de las Funciones de Hash Contraseñas Firmas Digitales Integridad y Autenticación Conceptos Básicos de las Transacciones Online Tipos de Transacciones Online B2B B2C C2C Marco Conceptual Marco Espacial / Temporal Marco Legal.. 12

10 XI CAPITULO III 3 METODOLOGÍA Metodología de la Investigación Unidad de Análisis Tipo de Investigación Métodos Técnicas Cronograma.. 19 CAPITULO IV 4 TRES FUNCIONES DE HASH MAS UTILIZADAS COMO ES EL MD5, SHA 1, RIPEMD La Criptografía Definición Funciones de Resumen Hash Función de Hash MD Definición Historia Seguridad Aplicaciones Ventajas y Desventajas de MD La Ventaja Principal de MD La Desventajas de MD Características de MD Colisiones en MD Codificación de MD Algoritmo MD Encriptar contraseñas con MD

11 XII 4.4 Función de hash SHA Definición Historia Ataques Contra SHA Ventajas y desventajas de SHA Las Ventajas de SHA Las Desventajas de SHA Características de SHA Implementación Aplicaciones Seguridad Codificación de SHA Colisiones en SHA Buena Noticia Algoritmo SHA Función de Hash RIPEMD Definición Historia Característica de RIPEMD Desventajas de RIPEMD Codificación RIPEMD Seguridad CAPITULO V 5. COMPARACIÓN DE LAS FUNCIONES DE HASH MD5, SHA-1, RIPEMD Comparativa entre MD5, SHA Pasos y Tasas de Cifra en MD5, SHA Diferencia entre MD5, SHA Diferencia entre MD5, SHA-1, RIPEMD

12 XIII CAPITULO VI 6 FUNCIONALIDAD DE LAS TRANSACCIONES ONLINE La Criptografía en Nuestra Vida Cotidiana Funciones de Resumen Hash Que es SSL Como Funciona SSL Definición de las Transacciones Online Tipos de Transacciones Online B2B B2C C2C Ventajas y Desventajas de las Transacciones Online Ventajas las Transacciones Online Comodidad Reducción de costos Rapidez Desventajas de las Transacciones Online Sobre las Seguridad Sobre los Costos La Confianza Procesos para Realizar una Transacción Online Los Riesgos Hábitos Inteligentes Que es Paypal Para qué sirve Paypal Paypal es un Método Seguro para Realizar Pagos y Transferencias de Dinero. 52

13 XIV CAPITULO VII 7 PROPUESTA DE SOLUCIÓN PARA MEJORAR LA SEGURIDAD EN LAS TRANSACCIONES ONLINE Estrategias de Solución para Evitar ser Víctima de un Robo en Internet Utilice una Computadora Segura Escanear la Computadora Regularmente en Busca de Virus Conocer bien la Pagina en donde Realiza las Transacciones Electrónicas Verificar la URL Revisar los certificados de seguridad Verifique que el Protocolo se https No responder correos falsos No divulgar información personal Mantenga su sistema operativo actualizado Un seguro contra robos no esta por demás Usar una banca online conveniente y segura Aumentar las seguridad de sus compras online Para tarjetas de crédito Recomendaciones banca móvil transacciones seguras desde su celular Aumentar la confianza en la empresa para proteger e impulsar el negocio en internet Beneficios para su empresa Atracción al cliente Recomendaciones para los bancos con los usuarios Respaldo y respuesta Unidad Especializada Confidencialidad Información Seguridad Administración de Riesgos... 64

14 XV CAPITULO VIII 8 CONCLUSIONES Y RECOMENDACIONES Conclusiones Recomendaciones. 66 BIBLIOGRAFÍA.. 67 ANEXOS 70

15 XVI LISTA DE ANEXOS Anexo 1: Cifrado MD5 Anexo 2: Cifrado SHA 1 Anexo 3: Cifrado RIPEMD 160 Anexo 4: Anexo 5: Anexo 6: Anexo 7: Ejemplo usando MD5, SHA-1, RIPEMD-160 cuando una comunicación está bajo SSL. Transacciones Online Pago directo con tarjeta Banca móvil

16 XVII LISTA DE CUADROS Y GRÁFICOS FIGURA 1 Algoritmo MD5. FIGURA 2 Algoritmo SHA-1. FIGURA 3 Comparativa Entre MD5 y SHA-1 FIGURA 4 Pasos y Tasas de Cifra en MD5 y SHA-1 FIGURA 5 Diferencias Entre MD5 y SHA-1.. FIGURA 6 Diferencias Entre MD5, SHA-1 y RIPEMD-160. FIGURA 7 Transacciones Online. FIGURA 8 Hábitos Inteligentes.. FIGURA 9 Paypal.... FIGURA 10 Propuestas de solución para mejorar la seguridad en las transacciones online

17 XVIII CAPÍTULO I 1 Introducción Una de las aplicaciones más interesantes de la criptografía es la posibilidad real de incluir en un mensaje una firma digital. Todo esto comienza en el año 1976 cuando Diffie y Hellman presentan un modelo de cifrado asimétrico con clave pública. Con los sistemas de clave simétrica esto era inviable. No obstante, dado que los sistemas de clave pública son muy lentos, en vez de firmar digitalmente el mensaje completo, en un sistema criptográfico se incluirá como firma digital una operación con la clave privada sobre un resumen o hash de dicho mensaje representado por sólo una centena de bits. Las Funciones HASH es uno de los tipos de funciones que existen para poder hacer uso del procedimiento de autentificación del mensaje, además podemos expresar que son funciones públicas las cuales se encargan del mapeo de un mensaje de cualquier largo sobre un valor HASH de longitud finita cuyo servicio sea con el autentificador. Con las transacciones en línea se dará mayor confiabilidad y mejor protección de la privacidad, evitaremos costosos delitos, renovaremos la confianza de las empresas y los consumidores, e impulsaremos el crecimiento y la innovación Se propone la creación de identidades en línea seguras y confiables disponibles para los consumidores que quieran utilizarlas. Algunas empresas y usuarios necesitan contar con mecanismos de seguridad para proteger sus transacciones online a nivel mundial. 1.2 Planteamiento del Problema Problema Principal Afectará negativamente un ataque cibernético a los sistemas de procesamiento de transacciones online, parando las operaciones y el negocio de la empresa? Problemas Secundarios

18 XIX Necesitara el procesamiento de transacciones online, más recursos para su protección, que se propaga por la red y puede integrar a más de una empresa o cliente? Ayudará la investigación de mecanismos o maneras alternas a que las transacciones online sean más confiables y seguras ante nuevos ataques tecnológicos. 1.3 Sistematización Diagnóstico Causas: Algunas empresas implantan las tecnologías de seguridad sin previamente haber realizado un proceso de determinación de las necesidades en cuanto a la seguridad. Por la falta de protección en las transacciones online, las organizaciones o empresas se ven afectadas a varios ataques en la red. Efectos: La no implementación de seguridades en los sistemas, en muchas ocasiones termina en fracaso, lo cual implica un alto costo para la empresa y la pérdida de recursos económicos Actualmente existen muchas amenazas en las transacciones online de una empresa, en cuanto a la seguridad de las contraseñas utilizadas, para realizar transacciones, en los cuales se ve afectada la privacidad del cliente Pronóstico Por la falta de protección en las transacciones online, las organizaciones o empresas se ven afectadas a varios ataques en la red, ya que actualmente

19 XX existen muchas amenazas en cuanto a la seguridad de las contraseñas utilizadas para realizar transacciones online Control del Pronóstico Se pretende entregar una buena estrategia de seguridad para las transacciones en línea, se necesita unos hábitos inteligentes y herramientas sólidas como puede ser las funciones hash, para garantizar su confiabilidad al momento de realizar las transacciones online. 1.4 Objetivos Objetivo General Investigar soluciones, para mejorar la seguridad en las transacciones online, haciendo uso de las funciones hash Objetivos Específicos Estudiar las tres funciones hash más utilizadas como es el MD5, SHA1, RIPEMD160. Realizar una comparación, de las funciones hash MD5, SHA1, RIPEMD160. Analizar la funcionalidad de las transacciones online. Plantear las propuestas de solución para mejorar la seguridad en las transacciones online. 1.5 Justificación Justificación Teórica. Se pretende mejorar el funcionamiento de las transacciones en línea haciendo uso de las funciones hash, aportando los conocimientos investigados, que pueden ser útiles y dar mejores alternativas de solución, para que exista una

20 XXI mejor seguridad cuando se vaya a realizar una transacción online ya sea de la empresa o cliente Justificación Práctica. Con esta propuesta se pretende brindar mejores alternativas de seguridad en cuanto a las transacciones online que usted y su empresa pueden realizar. Se han logrado dar varias alternativas de seguridad, en otros países, a dado buenos resultados en cuanto a las seguridades online, tanto para los clientes y las empresas involucradas, reduciendo así las vulnerabilidades de los riesgos existentes. Es importante que todo negocio online sea capaz de asegurar los datos de sus transacciones electrónicas. Debe ser capaz de asegurar el resguardo de la comunicación del total de los datos que intervienen en las transacciones electrónicas. Ésta es una cualidad esencial tanto para tus clientes como para su empresa Justificación Metodológica. Con las funciones hash se brindara varias alternativas de solución, a las empresas y sus usuarios que trabajan a través del internet en cuanto a seguridades online. Con una buena estrategia, se garantizaría la seguridad al momento de realizar las transacciones en línea. Para realizar este proyecto, en cuanto a la seguridad actual, que existen en las transacciones online, se usa como fuente principal el internet, y se tiene un conocimiento referente al tema establecido.

21 XXII 2 Marco de Referencia. CAPITULO II 2.1 Marco Teórico Conceptos Básicos de la Criptografía Es el arte y la ciencia que estudia las comunicaciones secretas, en términos más específicos, se refiere a estudiar los métodos más apropiados para proteger la confidencialidad de la información. (Conceptos-basicos-de-criptografa.html publicado septiembre2008). La criptografía protege los documentos y datos a través de cifras o códigos secretos que circulan en internet o redes locales, evitando así la alteración en las seguridades, como puede ser fraudes en línea, robo de identidades, etc Tipos de Criptografía Criptografía simétrica: Es la que resuelve los problemas de confidencialidad e integridad, lo hace principalmente con un algoritmo simétrico. Esta clave es utilizada para la encriptación y desencriptación del mensaje Criptografía asimétrica: Es la parte de la criptografía que resuelve los problemas de autenticidad y no rechazo, lo hace principalmente con un algoritmo de clave pública. Esta clave puede desencriptar lo que la otra ha encriptado Metas de la Criptografía: Los profesionales en seguridad de la información utilizan la criptografía para alcanzar cuatro objetivos fundamentales: Integridad: Toda modificación a datos o información es realizada por personas autorizadas de manera autorizada.

22 XXIII La integridad se consigue combinando criptografía, funciones hash y firmas digitales Confidencialidad: La información es accedida solo por personal autorizado y de manera autorizada. Esto es fundamental para la empresa y el negocio, donde se asegura que ninguna persona ajena a la transacción puede tener acceso a los datos de la misma Autenticación: Es la propiedad que permite asegurar el origen de la información, validando al emisor de la misma. Debe estar seguro de que la persona con la que se establece comunicación es realmente quien dice ser. De lo contrario, los datos íntimos pueden terminar en poder de una persona o entidad no deseada. La Autenticidad se consigue mediante el uso de los certificados y firmas digitales No repudio: Es la propiedad que evita que cualquier entidad que envió o recibió información alegue, ante terceros, que no realizó dicho envío o recepción. Debe ser que al finalizar la transacción quedara algo que compruebe como puede ser, un recibo de compra o factura firmado por todas las partes implicadas. El no repudio se consigue mediante los certificados y la firma digital Usos de la Criptografía: Correo Electrónico: es un servicio de red que permite a los usuarios enviar y recibir mensajes y archivos rápidamente mediante sistemas de comunicación electrónicos. Este permite compartir mensajes con otras personas Servicios Web: Conjunto de protocolos y estándares que sirven para intercambiar datos entre aplicaciones. (wikipedia.org/wiki/servicio_web).

23 XXIV Comercio Electrónico (E-Commerce): consiste en la compra y venta de productos o de servicios a través de medios electrónicos Red de trabajo (Networking): Es un conjunto de equipos informáticos conectados entre sí por medio de dispositivos físicos que envían y reciben impulsos eléctricos, con la finalidad de compartir información y recursos. (Wikipedia.org/wiki/Red de computadoras9) Ataques Criptográficos: Los ataques específicos a los distintos sistemas criptográficos, suelen ser los siguientes: Ataque por Fuerza bruta: es la forma de recuperar una clave probando todas las combinaciones posibles hasta encontrar aquella que permite el acceso Ataques analíticos: es la utilización de algoritmos y manipulación algebraica para reducir la complejidad del ataque Estadísticos: Utilizan debilidades estadísticas del diseño del sistema Implantación: No se ataca el algoritmo de encriptación / des encriptación sino cómo fue implantado Ataque al texto cifrado solamente, Ciphertext-Only Attack (COA): El atacante intenta desencriptar el texto cifrado directamente Texto Plano conocido, Known-Plaintext Attack (KPA): El atacante intenta desencriptar el texto cifrado conociendo parte del texto plano.

24 XXV Texto Plano seleccionado, Chosen-Plaintext Attack (CPA): El atacante obtiene texto cifrado correspondiente a un texto plano conocido Texto Cifrado seleccionado, Chosen-Ciphertext Attack (CCA): El atacante obtiene texto plano correspondiente a un texto cifrado predeterminado Función Criptográfica de Hash Las funciones Hash criptográficas típicamente producen valores Hash de 128 bits o más. El número de valores Hash diferentes que se obtienen, 2^128, es mucho más amplio que el número de mensajes diferentes que se pueden intercambiar en todo el mundo. (Autor Cristian Borghello publicado 2000). Una función criptográfica de Hash hace que sea difícil conocer el mensaje a partir del valor Hash. Las Funciones criptográficas de Hash son usadas en varios contextos, por ejemplo para calcular el resumen del mensaje al firmar digitalmente un documento Conceptos Básicos de las Funciones Hash. Función hash o algoritmo hash es una función para identificar un gran conjunto de información. (org/wiki/funci%c3%b3n_%28programaci%c3%b3n%29). Es una función o método para generar claves o llaves que representen de manera casi unívoca a un documento, registro, archivo, etc., resumir o identificar un dato a través de la probabilidad, utilizando una función hash o algoritmo hash Funcionamiento del Hash Se define como una operación que se realiza sobre un conjunto de datos de cualquier tamaño de tal forma que se obtiene como resultado, otro conjunto de datos denominado resumen. El resumen tiene un tamaño fijo e

25 XXVI independiente del tamaño original, que además tiene la propiedad de estar asociado unívocamente a los datos iniciales. Es prácticamente imposible encontrar dos mensajes distintos que tengan un resumen hash idéntico, aunque esto está relacionado directamente con la función de Hash elegida. (Tutorial en pdf autor: ing. PABLO TAMAYO) Funciones de Hash Entre las Funciones de Hash más utilizadas, encontramos: MD5: (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5): Es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Es muy empleado en numerosas aplicaciones actuales. ( esat.kuleuven.ac.be/~bosselae/ripemd160.html autor Antoon Bosselaers publicado en marzo 2010) SHA-1: (Secure Hash Algorithm - Algoritmo seguro de Hash: también SHS - Secure Hash Standard): es un algoritmo criptográfico de Hash publicado por el gobierno de los Estados Unidos RIPEMD-160: (acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash). Desarrollada por un grupo de investigadores europeos, entre los que se encuentra Hans Dobbertin) y otros investigadores. Son consideradas seguras. Maneja claves muy robustas, normalmente de 160 bits. Es muy rápido, no está patentado y su código fuente es abierto, de libre acceso Aplicaciones de las Funciones del Hash: Las aplicaciones principales de las Funciones de Hash, suelen ser fundamentalmente tres:

26 XXVII Contraseñas: Las funciones hash son ampliamente usadas para almacenar contraseñas. Por su característica de irreversibilidad, almacenar un valor hash de una contraseña es más seguro que almacenarla en forma criptográfica. Las contraseñas son claves secretas Firmas Digitales: Son una solución que ofrece la criptografía para verificar, la integridad de documentos, la procedencia de documentos. (mipagina/tesis/node30.html autor Edgar Murguía Gutiérrez publicado ). Sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico Integridad y Autenticación: Un mensaje puede ser considerado íntegro si su valor hash ya fue calculado antes de cualquier transmisión. Este valor es comparado con el valor hash del mensaje recibido. (mipagina/tesis/node30.html autor Edgar Murguía Gutiérrez publicado ). Integridad que la información no debe ser alterada. Autenticación asegurar el origen de la información Conceptos Básicos de las Transacciones online. Procesamiento de Transacciones En Línea (OnLine Transaction Processing). Es un tipo de sistemas que facilitan y administran aplicaciones transaccionales, usualmente para entrada de dato, recuperación y procesamiento de transacciones (gestor transaccional). Los paquetes de software para OLTP se basan en la arquitectura cliente-servidor ya que suelen ser utilizados por empresas con una red informática distribuida. (universidad nacional del nordeste, 2006) Son sistemas conocidos como transacciones en línea, son transacciones que se realizan en tiempo real a un negocio (cliente empresa dentro de portal web), contienen estructuras de datos optimizadas para la introducción y a la adicción de los datos.

27 XXVIII Tipos de Transacciones Online: B2B (Business to Business o Empresa a Empresa): Este tipo de Comercio Electrónico se refiere a las operaciones de intercambio comercial entre empresas. Estas pueden ser: colocar pedidos, verificar inventarios, planificar producción, etc B2C (Business to Consumer o Negocio a Consumidor): Es el sitio web tradicional a través del cual una empresa ofrece sus productos y servicios a los consumidores C2C (Consumer to Consumer o Consumidor a Consumidor): En este tipo de comercio electrónico, un consumidor ofrece productos y servicios a otros consumidores en forma directa, a través de su propio sitio o mediante sitios establecidos por terceros. 2.2 Marco Conceptual Criptografía: La criptografía es la técnica que protege documentos y datos. Funciona a través de la utilización de cifras o códigos para escribir algo secreto en documentos y datos confidenciales que circulan en redes locales o en internet. Su utilización es tan antigua como la escritura. Funciones Criptográficas de Hash: Las Funciones criptográficas de Hash son usadas en varios contextos, por ejemplo para calcular el resultado del mensaje al firmar digitalmente un documento. Una función Hash "comprime" los bits del mensaje a un valor Hash de tamaño fijo, de manera de distribuir uniformemente los posibles mensajes en los posibles valores Hash. Una función criptográfica de Hash hace esto de manera tal que se hace extremadamente difícil conocer el mensaje a partir del valor Hash.

28 XXIX Seguridad de transacciones online: tipo de sistemas que facilitan y administran aplicaciones transaccionales en la web, usualmente para entrada de datos y recuperación y procesamiento de transacciones en las que realizan los clientes y hasta la misma empresa. 2.3 Marco Espacial / Temporal Este proyecto se desarrollara en la ciudad de Cuenca, está dirigido a aquellas empresas y personas que comercializan sus productos a través de la web, ya sea con tarjetas de crédito, firmas digitales, código, etc. La duración del proyecto se estima realizar en el tiempo aproximado de cuatro meses, este tiempo incluye investigación y propuesta de alternativas de solución para usuarios y empresas. 2.4 Marco Legal Este proyecto toma en primera instancia como referencia la CONSTITUCIÓN POLÍTICA DE LA REPUBLICA DEL ECUADOR. Artículo 57.- Infracciones Informáticas.- Se considerarán infracciones informáticas, las de carácter administrativo y las que se tipifican, mediante reformas al Código Penal, en la presente Ley. Reformas al Código Penal Artículo 58.- A continuación del Art. 202, inclúyanse los siguientes artículos innumerados: Artículo...- El que empleando cualquier medio electrónico, informático o afín, violentare claves o sistemas de seguridad, para acceder u obtener información protegida, contenida en sistemas de información; para vulnerar el secreto, confidencialidad y reserva, o simplemente vulnerar la seguridad, será reprimido con prisión de seis meses a un año y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica.

29 XXX Si la información obtenida se refiere a seguridad nacional, o a secretos comerciales o industriales, la pena será de uno a tres años de prisión y multa de mil a mil quinientos dólares de los E tados Unidos de Norteamérica. La divulgación o la utilización fraudulenta de la información protegida, así como de los secretos comerciales o industriales, será sancionada con pena de reclusión menor ordinaria de tres a seis años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Si la divulgación o la utilización fraudulenta se realiza por parte de la persona o personas encargadas de la custodia o utilización legítima de la información, éstas serán sancionadas con pena de reclusión menor de seis a nueve años y multa de dos mil a diez mil dólares de los Estados Unidos de Norteamérica. Artículo...- Obtención y utilización no autorizada de Información.- La persona o personas que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica. Artículo 59.- Sustitúyase el Art. 262 por el siguiente: Art Serán reprimidos con tres a seis años de reclusión menor, todo empleado público y toda persona encargada de un servicio público, que hubiere maliciosa y fraudulentamente, destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, de que fueren depositarios, en su calidad de tales, o que les hubieren sido encomendados en razón de su cargo.

30 XXXI Artículo 60.- A continuación del Art. 353, agréguese el siguiente artículo innumerado: Art.- Falsificación electrónica.- Son reos de falsificación electrónica la persona o personas que con ánimo de lucro o bien para causar un perjuicio a un tercero, utilizando cualquier medio, alteren o modifiquen mensajes de datos, o la información incluida en éstos, que se encuentre contenida en cualquier soporte material, sistema de información o telemático, ya sea: 1. Alterando un mensaje de datos en alguno de sus elementos o requisitos de carácter formal o esencial; 2. Simulando un mensaje de datos en todo o en parte, de manera que induzca a error sobre su autenticidad; 3. Suponiendo en un acto la intervención de personas que no la han tenido o atribuyendo a las que han intervenido en el acto, declaraciones o manifestaciones diferentes de las que hubieren hecho. El delito de falsificación electrónica será sancionado de acuerdo a lo dispuesto en este Capítulo. Artículo 61.- A continuación del Art. 415 del Código Penal, inclúyanse los siguientes artículos innumerados: Art...- Daños informáticos.- El que dolosamente, de cualquier modo o utilizan cualquier método, destruya, altere, inutilice, suprima o dañe, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de sesenta a ciento cincuenta dólares de los Estados Unidos de Norteamérica. La pena de prisión será de tres a cinco años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica, cuando se trate de programas, datos, bases de datos, información o cualquier mensaje de datos

31 XXXII contenido en un sistema de información o red electrónica, destinada a prestar un servicio público o vinculado con la defensa nacional. Art....- Si no se tratare de un delito mayor, la destrucción, alteración o inutilización de la infraestructura o instalaciones físicas necesarias para la transmisión, recepción o procesamiento de mensajes de datos, será reprimida con prisión de ocho meses a cuatro años y multa de doscientos a seis cientos dólares de los Estados Unidos de Norteamérica.. Artículo 62.- A continuación del Art. 549, introdúzcase el siguiente artículo innumerado: Art... Apropiación ilícita.- Serán reprimidos con prisión de seis meses a cinco años y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, los que utilizaren fraudulentamente sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de ésta o de un tercero, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos. Art..- La pena de prisión de uno a cinco años y multa de mil a dos mil dólares de los Estados Unidos de Norteamérica, si el delito se hubiere cometido empleando los siguientes medios: 1. Inutilización de sistemas de alarma o guarda; 2. Descubrimiento o descifrado de claves secretas o encriptadas; 3. Utilización de tarjetas magnéticas o perforadas; 4. Utilización de controles o instrumentos de apertura a distancia; y, 5. Violación de seguridades electrónicas, informáticas u otras semejantes.

32 XXXIII Artículo 63.- Añádase como segundo inciso del artículo 563 del Código Penal el siguiente: Será sancionado con el máximo de la pena prevista en el inciso anterior y multa de quinientos a mil dólares de los Estados Unidos de Norteamérica, el que cometiere el delito utilizando los medios electrónicos o telemáticos Artículo 64.- A continuación del numeral 19 del Art. 606 añádase el siguiente: Los que violaren el derecho a la intimidad, en los términos establecidos en la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. La ley de comercio electrónico, firmas electrónicas y mensajes de datos del Ecuador. conatel/index.php?option=com co tent&view=article&catid=48:normas-del-sector&id=98ley-de-comercioelectronico-firmas-electronicas-y-mensaje-de-datos&itemid=103

33 XXXIV CAPITULO III 3 Metodología 3.1 Metodología de la Investigación El área principal para realizar esta investigación como propuesta, para mejorar la seguridad en las transacciones online será a través del internet y sus derivados, como fuente de información principal, con el fin de encontrar alternativas de solución en cuanto a la seguridad de las transacciones online Unidad de Análisis La unidad de análisis inicial serán los análisis y estudio de documentos, aquella que nos permita conocer las actividades y estrategias que se seguirán para dar validación a esta investigación que se realizará Tipo de Investigación El tipo de investigación a utilizar será documental basándonos en la información que nos proporcione el internet, dentro de este están los libros virtuales, artículos, y todo lo relacionado que tenga que ver con la web Métodos Para la obtención de la información requerida, como parte, para llevar a cabo este proyecto, se hace necesario realizar un estudio de diferente páginas web, que están relacionadas con las transacciones online, ya sea esta para compra y venta de productos o transferencias bancarias a través de la red, mediante las tarjetas de crédito u otra herramienta electrónica. Recopilación de información, para esto se utilizara el método, cuantitativo cualitativo, haciendo uso de las técnicas de análisis de documentos, para el desarrollo de esta investigación, con el fin de encontrar alternativas de solución en cuanto a la seguridad de las transacciones online.

34 XXXV Cuantitativa En esta investigación cuantitativa se recogerá y se analizara los datos que se necesite para mejorar la seguridad en las transacciones online. La investigación cuantitativa trata de determinar la fuerza de asociación entre variables, la generalización y objetivación de los resultados a través de una muestra para hacer inferencia a una población de la cual toda muestra procede. Cualitativa En la investigación cualitativa se hará registros narrativos de los fenómenos que son estudiados mediante técnicas como la observación y la investigación a través del internet, libros, artículos, etc. Tras este estudio se pretende, a su vez hacer referencia, que explique el porqué de las cosas que suceden o no, de una forma determinada Técnicas Recolección de información hace referencia al uso de una gran variedad de técnicas que son utilizadas para buscar varias alternativas en cuanto a las seguridades de transacciones online, se realizara por medio de libros, artículos, internet, análisis de documentos. Este instrumento se aplicará en un momento de buscar información que será útil a una investigación en común.

35 XXXVI 3.2 Cronograma Meses/Semanas 2011 ACTIVIDAD AGOSTO SEPTIEMBRE OCTUBRE NOVIEMBRE Fase 1: análisis y desarrollo anteproyecto del Planteamiento del tema Aprobación del tema Investigación Teórica. Desarrollo anteproyecto del Fase 2: Desarrollo del marco teórico Conceptos básicos de criptografía Funciones hash Seguridades transacciones online de Fase 3: Análisis y diseño del proyecto Informe de la investigación. Procesar la información. Análisis de resultados Presentación de la Tesis

36 XXXVII CAPITULO IV 4. Tres Funciones Hash más Utilizadas como es el MD5, SHA- 1, RIPEMD La Criptografía Definición Es el arte o ciencia de cifrar y descifrar información mediante técnicas especiales y se emplea frecuentemente para permitir un intercambio de mensajes que solo puedan ser leídos por personas a las que van dirigidos y que poseen los medios para descifrarlos. Para encriptar información se utiliza complejas fórmulas como son las funciones hash. Dentro de esta se encuentra la firma digital hace referencia, en la transmisión de mensajes telemáticos y la gestión de documentos electrónicos, aun método criptográfico que identifica la identidad de la persona. 4.2 Funciones Resumen Hash Estas funciones producen resúmenes de textos, es decir, dado un mensaje una función hash produce un resumen del mismo. Para que este tipo de funciones sean útiles, criptográficamente, deben cumplir: El resumen es de longitud fija. Calcular el resumen de un mensaje es fácil. Dado un resumen es computacionalmente imposible calcular el mensaje que lo genero. (tiempo exponencial) Es prácticamente imposible obtener dos mensajes que generen el mismo resumen.

37 XXXVIII Se recomienda utilizar signaturas de al menos 128 bits. El tamaño más usado para signaturas es de 160 bits. 4.3 Función de Hash MD Definición (Message-Digest Algorithm 5, Algoritmo de Resumen del Mensaje 5) es un algoritmo de reducción criptográfico de 128 bits ampliamente usado. Toma como entrada un mensaje de longitud arbitraria y produce como salida un 128- bits "huella digital" o "compendio del mensaje" de la entrada. Es computacionalmente imposible producir dos mensajes que tengan el mismo resumen de mensaje, o para producir cualquier mensaje con un determinado objetivo predefinido resumen del mensaje Historia MD5 es uno de los algoritmos de reducción criptográficos diseñados por el profesor Ronald Rivest del MIT (Massachussets Institute of Technology, Instituto Tecnológico de Masachusets). Cuando un análisis analítico indicó que el algoritmo MD4 era inseguro, se decidió a programar el MD5 para sustituirlo en Las debilidades en MD4 fueron descubiertas por Hans Dobbertin. En 1996 Dobbertin anunció una colisión de Hash de la función de compresión del MD5. Esto no era un ataque contra la función de hash del MD5, pero hizo que los criptógrafos empezasen a recomendar el reemplazo de la codificación MD5 a otras como SHA-1 o RIPEMD-160. En Agosto de 2004 unos investigadores chinos encontraron también colisiones hash en el MD5. Actualmente el uso de MD5 es muy amplio y se desconoce cómo afectarán estos problemas a su uso y a su futuro Seguridad

38 XXXIX MD5 ha sido ampliamente usado, y originalmente se pensaba que era criptográficamente seguro. No obstante, ciertas investigaciones han destapado vulnerabilidades que hacen cuestionable un futuro uso del MD5. El 17 de Agosto del año 2004 Xiaoyun Wang, Dengguo Feng, Xuejia Lai y Hongbo Yu anunciaron que habían descubierto colisiones de hash para MD5. Su ataque sólo llevó una hora de cálculo con un clúster IBM P690. Aunque dicho ataque era analítico, el tamaño del hash (128 bits) es lo suficientemente pequeño como para que resulte vulnerable frente a ataques de «fuerza bruta» o cumpleaños Aplicaciones El MD5 se utiliza en el mundo del software para proporcionar la seguridad de que un archivo descargado de Internet no se ha alterado. Comparando una suma MD5 publicada con la suma de comprobación del archivo descargado, un usuario puede tener la confianza suficiente de que el archivo es igual que el publicado por los desarrolladores. Esto protege al usuario contra los 'Caballos de Troya' o 'Troyanos' y virus que algún otro usuario malicioso pudiera incluir en el software. La comprobación de un archivo descargado contra su suma MD5 no detecta solamente los archivos alterados de una manera maliciosa, también reconoce una descarga corrupta o incompleta. En sistemas UNIX y GNU/Linux se utiliza el algoritmo MD5 para calcular el hash de las claves de los usuarios. En el disco se guarda el resultado del MD5 de la clave que se introduce al dar de alta al usuario y cuando éste quiere entrar en el sistema, se compara el hash MD5 de la clave introducida con el hash que ha guardado en el disco duro. Si coinciden, es la misma clave y el usuario será autenticado.

39 XL Usado principalmente en comprobación de ficheros en internet El MD5 también se puede usar para comprobar que los correos electrónicos no han sido alterados usando claves públicas y privadas. MD5 se utilizan para almacenar las firmas de las contraseñas y para firmar documentos Ventajas y Desventajas de md La Ventaja Principal de MD5 La ventaja de este tipo de algoritmos es la imposibilidad de reconstruir la cadena original a partir del resultado, y también la imposibilidad de encontrar dos cadenas de texto que generen el mismo resultado. Esto nos permite usar el algoritmo, para transmitir contraseñas a través de un medio inseguro, simplemente se cifra la contraseña, y se envía de forma cifrada. En el punto de destino, para comprobar si el password es correcto, se cifra de la misma manera y se comparan las formas cifradas La Desventaja de MD5 Actualmente se considera que MD5 con 128 bits no es suficientemente segura, se recomienda usar SHA-1 en su lugar, ya que este cuenta con 160 bits (el siguiente múltiplo de 32) Características de MD5 Su fácil implementación y su gran popularidad le hacen uno de los principales algoritmos de hash en la red. MD5 es un algoritmo de hash, esto quiere decir que el resultado es no reversible y de largo fijo.

40 XLI MD5 permita obtener una suma de control de largo de 128 bits sin importar el largo de la entrada. MD5 es ideal para hacer checksum. Una función de hash es segura si se requiere un alto costo computacional para encontrar un string que produzca un hash determinado Colisiones en MD5 En Marzo del 2004, se lanzó MD5CRK el cual proponía encontrar colisiones en MD5 a través de un ataque de cumpleaños. El ataque de cumpleaños consiste en buscar dentro de un grupo de gente la probabilidad de que dos personas tengan cumpleaños el mismo día, específicamente la probabilidad de que una función aleatoria tenga el mismo resultado para dos entradas distintas. En agosto del año 2004 se logró un método para obtener colisiones de modo más rápido que el método del cumpleaños, se realizó un ataque analítico que tomo aproximadamente una hora en una IBM p690. MD5, con solo 128 bits de salida para representar a las infinitas posibilidades de entrada, hace tiempo que se considera obsoleto y roto en todos los sentidos, aunque se sigue usando en multitud de ámbitos. MD5 ha sufrido varios reveces a lo largo de los años, el último a finales de 2008, cuando se consideró inválido para ser usado por las autoridades certificadoras Codificación de MD5

41 XLII La codificación del MD5 de 128 bits es representada típicamente como un número de 32 dígitos hexadecimal. El siguiente código de 28 bytes ASCII será tratado con MD5 y veremos su correspondiente hash de salida: MD5 ("Esto si es una prueba de MD5") = e07186fbff6107d0274af02b8b930b65 Un simple cambio en el mensaje nos da un cambio total en la codificación hash, en este caso cambiamos dos letras, el "si" por un "no". MD5 ("Esto no es una prueba de MD5") = dd21d99a468f3bb52a136ef5beef5034 Otro ejemplo sería la codificación de un campo vacío: MD5 = d41d8cd98f00b204e ecf8427e Algoritmo MD5 Figura Nº 1 MD5 consiste en 64 de estas operaciones, agrupadas en cuatro grupos de 16 operaciones. K es una constante diferente para cada operación, y M es un fragmento de 32 bits de la entrada. La función del bloque F cambia en cada bloque de operaciones.

42 XLIII El fragmento de la entrada que se elige no es secuencial, hay una función que la elige. A, B, C y D son bloques iniciales con valores predeterminados. Los lugares que desplace la rotación también es una variable que cambia en cada operación Encriptar Contraseñas con MD5 Si en nuestra página web tenemos un sistema de usuarios y queremos proteger las contraseñas para prevenir posibles vulnerabilidades en nuestro servidor, es una medida eficaz encriptar las contraseñas, de manera que si alguien puede acceder a ellas no pueda ver la contraseña si no su encriptación. Para mejorar este sistema, lo que haremos es usar un algoritmo de encriptación de un solo sentido, es decir que no se puede desencriptar de ninguna manera, como por ejemplo md5. Para guardar la contraseña encriptada en md5, usaremos la función md5 de PHP: <? $contraseña = md5 ($contraseña);?> Ya podemos guardar la contraseña en nuestra base de datos o fichero, Encriptaremos la contraseña que escribe el visitante de la misma manera que hemos encriptado la contraseña del usuario en el momento de su registro, ahora ya podremos comparar la contraseña enviada con la almacenada en el servidor, si la encriptación coincide es que la contraseña es correcta. Pero si no usamos una transmisión segura (SSL Secure Sockets Layer - Protocolo de Capa de Conexión Segura) sigue habiendo un problema, cuando el usuario envía los datos al servidor, la contraseña es enviada sin encriptar, y en ese momento puede ser capturada por un tercero.

43 XLIV 4.4 Función de Hash SHA Definición (Secure Hash Algorithm Algoritmo seguro de Hash) es un algoritmo de funciones hash criptográficas relacionadas de la Agencia de Seguridad Nacional de los Estados Unidos y publicadas por el National Institute of Standards and Technology (NIST). Toma una entrada de cualquier longitud y produce una salida de 160 bits Historia El primer miembro de la familia fue publicado en 1993 es oficialmente llamado SHA-0 como el Secure Hash Standard, por el gobierno de los EE.UU. la Agencia de Normas NIST (Instituto Nacional de Estándares y Tecnología). Sin embargo, hoy día, no oficialmente se le llama SHA-0 para evitar confusiones con sus sucesores. Dos años más tarde el primer sucesor de SHA fue publicado con el nombre de SHA-1. SHA-1 se diferencia de SHA-0 sólo por una sola rotación de bits en el programa de mensajes de su función de compresión, lo que se ha hecho, de acuerdo con la NSA, para corregir un error en el algoritmo original, que redujo su seguridad criptográfica. Sin embargo, la NSA no proporcionó ninguna explicación o identificar el defecto que se corrigió. Debilidades posteriormente se han reportado tanto en SHA y SHA-1. SHA-1 parece proporcionar una mayor resistencia a los ataques, el apoyo a la afirmación de la NSA que el cambio de un aumento de la seguridad Ataques contra SHA-1 La resistencia del algoritmo SHA-1 se ha visto comprometida a lo largo del año Después de que MD5, entre otros, quedara seriamente comprometido en el 2004 por parte de un equipo de investigadores chinos, el tiempo de vida de SHA-1 quedó visto para sentencia.

44 XLV El mismo equipo de investigadores chinos, compuesto por Xiaoyun Wang, Yiqun Lisa Yin y Hongbo Yu (principalmente de la Shandong University en China), ha demostrado que son capaces de romper el SHA-1 unas 2000 veces más rápido que un ataque de fuerza bruta (que requeriría. Los últimos ataques contra SHA-1 han logrado debilitarlo. Según el NIST: «Este ataque es de particular importancia para las aplicaciones que usan firmas digitales tales como marcas de tiempo y notarías. Sin embargo, muchas aplicaciones que usan firmas digitales incluyen información sobre el contexto que hacen este ataque difícil de llevar a cabo en la práctica.» A pesar de que se supone aún un número alto de operaciones, se encuentra dentro de los límites de las capacidades actuales de cálculos, y es previsible que con el paso del tiempo romper esta función sea trivial, al aumentar las capacidades de cálculo y al ser más serios los ataques contra SHA-1. La importancia de la rotura de una función hash se debe comprender de la siguiente manera: Un hash permite crear una huella digital, en teoría única, de un archivo. Si un hash fuese roto podría haber otro documento con la misma huella. La similitud podría ser que hubiese personas que compartiesen las mismas huellas digitales, o peor aún, el mismo ADN: No habría manera de poder diferenciarlos usando estos medios de discriminación Ventajas y Desventajas de SHA Las Ventajas de SHA- 1 Es ligeramente más lento que md5, pero también es computacionalmente más complejo y su salida es de mayor longitud por lo que se considera de forma global más segura.

45 XLVI Es considerado lo suficientemente seguro para aplicaciones prácticas, pero hay disponibles versiones como, SHA-256, SHA-384 y SHA-512 que generan valores Hash de 256, 384 y 512 bits respectivamente, estas versiones reemplazaran a SHA-1 mientras se siga trabajando sobre ellas. El SHA1 es un método muy bueno de criptografía que convierte una cadena de texto en otra de 40 caracteres sin importa la longitud de la cadena original, y cifrándola de manera que se hace más difícil poder obtenerla ya que SHA1 no tiene método de reversa para obtener la clave original a partir de una ya cifrada Las Desventajas de SHA- 1 Recientemente, tres investigadores chinos han conseguido realizar un ataque al algoritmo de manera más rápida que los ataques convencionales que se venían realizando a dicho algoritmo. El ataque fue presentado en la pasada Crypto conference (Santa Barbará, California), y permite crear dos documentos que devuelven el mismo SHA-1 como huella digital. Este ataque además necesita mucho menos tiempo de procesador y recursos para conseguir su propósito que anteriores estrategias de ataque contra este algoritmo. Se ha demostrado que el algoritmo Sha1 no es irreversible realmente, simplemente es muy complejo desencriptarlo. Bruce Schneier comenta como un grupo de seguridad chino ha logrado reducir la complejidad del ataque. Por lo tanto resulta obvio que hace falta proteger mejor las contraseñas Características de SHA_1 Genera un compendio de mensaje de 160 bits, funciona igual que el MD5, pero con un buffer de 160 bits.

46 XLVII Es más seguro que el MD5, debido sobre todo a que utiliza un mayor número de bits que el MD5, pero como es normal también será más lento Implementación El SHA-1 puede ser implementado en software, firmware, hardware, o cualquier combinación de éstos Aplicaciones Uno de los algoritmos más usados para firmar documentos electrónicos, guardar contraseñas encriptadas, y en general cualquier tipo de huella digital. Se puede utilizar en el correo electrónico, transferencia electrónica de fondos, distribución de software, almacenamiento de datos y otras aplicaciones que requieren la garantía de integridad de datos y la autenticación del origen de datos. Utilizada en la revisión de control distribuido de sistemas como Git, Mercurial y Monotone para identificar a las revisiones, así como para detectar la corrupción de datos o la manipulación. El algoritmo se ha utilizado también en Nintendo Wii, la consola de juegos para la verificación de firmas, pero un error de implementación significativa permite a un atacante eludir esquema de seguridad del sistema.

47 XLVIII SHA-1 requerido por la ley para el uso en el Gobierno de los EE.UU, para las aplicaciones, incluyendo el uso en otros algoritmos criptográficos y protocolos para la protección de la información no confidencial sensible. SHA-1 es usado por las organizaciones privadas y comerciales Seguridad En 1998, se encontró una vulnerabilidad en SHA-0 pero esta no afectaba a SHA1 del cual no se ha encontrado ningún ataque efectivo. En 2004 fueron publicados una serie de ataques sobre hash parecidos al que genera SHA-1 planteándose por lo tanto dudas sobre la seguridad que este aporta. Se necesita proteger mejor las contraseñas de este algoritmo Codificación de SHA_1 Estos son ejemplos de SHA-1 digiere. ASCII se utiliza la codificación para todos los mensajes. SHA1 (" La cigüeña tocaba el saxofón sobre el perro perezoso ") = 2fd4e1c6 7a2d28fc ed849ee1 bb76e739 1b93eb12 Incluso un pequeño cambio en el mensaje, con una probabilidad abrumadora, resultado de un hash completamente diferente debido a los efectos de la avalancha. Por ejemplo, el cambio dog a la cog produce un hash con diferentes valores para 81 de los 160 bits: SHA1 ("La cigüeña tocaba el saxofón en los perezosos og c") = De9f2c7f d25e1b3a fad3e85a 0bd17d9b 100db4b3 La codificación hash vacía o cadena de longitud cero para SHA-1 corresponde a: SHA1 ("") = da39a3ee 5e6b4b0d 3255bfef afd80709

48 XLIX Colisiones en SHA1 Unos investigadores australianos acaban de dar con una nueva combinación de métodos para provocar colisiones en el algoritmo de hash SHA1 de forma mucho más rápida. Sólo se necesitarían 252 intentos. Esto podría resultar en ataques prácticos posibles a este sistema de hash. SHA1 es un sistema criptográfico de cálculo de hash heredero de MD5. Cualquier entrada de datos que se introduzca en la función, es reducida a una secuencia de 160 bits (2160 posibilidades). Pero el enemigo natural de los hashes son las colisiones: la posibilidad de encontrar por fuerza bruta un identificador que no sea único, esto es, que un mismo SHA1 represente a dos flujos de datos entrantes diferentes. Como la entrada es infinita, por definición existen las colisiones, pero se confía en que sean tan complejas de calcular (que se necesite tanto tiempo) que la fuerza bruta sea poco práctica. Pero si se reduce el cálculo de esa fuerza bruta. Cuanta más cantidad de bits de salida de la función, será más complicado encontrar colisiones. Se sabe, según la paradoja del cumpleaños, que al menos son necesarios varios cálculos para encontrar con una probabilidad mayor al 50% colisiones en una función con bits de salida. En el caso de la función de hash SHA1, se necesitaría calcular el hash de 280 mensajes cualesquiera para tener más del 50% de probabilidad de encontrar dos de ellos con el mismo hash (una colisión). Una función hash se considera rota si se puede calcular esta colisión en menos pasos. Pero lo peor, el mayor enemigo de las funciones hash, es que se pueda manipular un flujo de entrada para que se obtenga de él un hash deseado. Esto es mucho más grave. SHA1 también se consideraba "tocado". No es la primera vez que SHA1 se ve dañado por investigaciones matemáticas que reducen

49 L considerablemente el tiempo de fuerza bruta necesario para crear una colisión. Las posibilidades son muchas: validación de ficheros, autenticación, certificados en cualquier ámbito en el que se use la criptografía de clave pública, encontramos funciones hash SHA1 donde un ataque por colisión tendría un serio impacto. Lo bueno es que aun así, llevar a la práctica este tipo de ataque recién descubierto lleva una buena cantidad de fuerza bruta asociada y es todavía complejo que tenga probabilidades para logar su objetivo Buena Noticia La buena noticia es que aun así, de llevar a la práctica este tipo de ataque recién descubierto lleva una buena cantidad de fuerza bruta asociada y en la vida real es todavía complejo que tenga utilidad. Además el National Institute of Standards and Technology (NIST) hace ya tiempo que lanzó un concurso para determinar qué algoritmo será conocido como SHA3 y se usará como estándar en Algoritmo SHA-1

50 LI Figura Nº 2 Una iteración dentro de la función SHA-1 de compresión: A, B, C, D y E son de 32 bits es decir del Estado; F es una función no lineal que varía; n representa un giro a la izquierda por lugares poco n; n varía para cada operación; W t es el mensaje palabra más amplia de todo t; K t es la constante de vuelta de la ronda t; denota la adición módulo Función de Hash RIPEMD Definición (Acrónimo de RACE Integrity Primitives Evaluation Message Digest, primitivas de integridad del resumen del mensaje) es un algoritmo del resumen del mensaje de 160 bits (y función criptográfica de hash) Se trata de una función criptográfica de hash que acepta una entrada un mensaje de cualquier longitud y devuelve como salida una cadena de 160bits Historia Desarrollado en Europa por Hans Dobbertin, Antoon Bosselaers y Bart Preneel, publicado en 1996.Su primera versión adolecía de las mismas debilidades que

51 LII MD4, produciendo colisiones, pero las versiones mejoradas actuales son consideradas seguras. Maneja claves muy robustas, normalmente de 160 bits, aunque existen versiones de 128 y se están planteando nuevas de 256 y 320 bits. Es muy rápido, no está patentado y su código fuente es abierto, de libre acceso Características de RIPEMD-160 Es uno de los algoritmos de revoltillo más rápidos, no está patentado. Su código fuente es de libre acceso. Por el momento, se le considera seguro. Similar a MD5 y SHA-1. Resistente contra los ataques de criptoanálisis conocidos. Resistente a ataque de fuerza bruta. Es usado con menos frecuencia. RIPEMD-160 produce un hash de la misma longitud que SHA1, pero es un 15% más lento que sha Desventajas RIPEMD-160 no es muy conocido por ser limitado por ninguna patente. No es muy popular y tampoco ha sido muy estudiada por criptólogos Codificación RIPEMD-160 Se suelen representar como de 40 dígitos hexadecimales números. A continuación se muestra una de 43 bytes ASCII de entrada y el correspondiente hash de ripemd-160: RIPEMD-160 ("El zorro marrón rápido salta sobre el perro perezoso") = 37f332f68db77bd9d7edd ad671cf9dd3b Incluso un pequeño cambio en el mensaje dan como resultado un hash completamente diferente, por ejemplo, cambio de D a C:

52 LIII RIPEMD-160 ("El zorro marrón rápido salta sobre el perezoso og c") = df eb8b6ad0b77e7b6f14acad7 El hash de una cadena de longitud cero es: RIPEMD-160 ("") = 9c1185a5c5e9fc ee8f548b2258d31 RIPEMD-160 se encuentran en aumentó a 160 bits (cinco palabras de 32 bits), el número de rondas se ha aumentado de tres a cinco, y las dos líneas se hacen más diversas (no sólo las constantes se modifican, sino también el orden de las palabras del mensaje) Seguridad RIPEMD-160 es el de superar los problemas planteados con menor número de cambios posibles a la estructura original para maximizar en la confianza adquirida con anterioridad RIPEMD y sus predecesores y MD4 MD5 Ofrece un alto nivel de seguridad, en lugar de empujar los límites de rendimiento con el riesgo de un rediseño de algunos años a partir de ahora. Hemos propuesto RIPEMD-160, que es una versión mejorada de RIPEMD. El diseño se realiza de tal manera que la confianza construida con RIPEMD se transfiere que el nuevo algoritmo. El aumento significativo de la seguridad se produce en el costo de una reducción del rendimiento, pero la velocidad resultante es todavía aceptable. Prevemos que en los próximos años será posible atacar a una de las dos líneas y un máximo de tres rondas de las dos líneas paralelas, pero que la combinación de las dos líneas paralelas se resiste a ataques.

53 LIV CAPITULO V 5. Comparación de las Funciones Hash MD5, SHA1, RIPEMD160. Md5 genera una salida de 128 bits, mientras que Sha-1 genera una salida de 160bits y de Ripemd-160 genera una salida de 160bits. Md5 y Sha-1 tienen ataque de colisión, mientras que Ripemd-160 se desconoce de sus ataques por el momento.

54 LV MD5 y SHA-1 son las funciones más empleadas hoy día a nivel mundial, en la firma digital de documentos para todo tipo de transacciones y online. El MD5 es el principal algoritmo de hash usado por el sistema bancario. MD5 y SHA1 sirve para comprobar la integridad de un fichero. Esta diferencia de 16 bits a favor de SHA-1 lo convierte en más seguro y resistente a ataques por fuerza bruta que el algoritmo MD5, aunque es más lento que MD5, SHA-1 es hoy el estándar como función HASH. La longitud máxima del mensaje para SHA-1 debe ser menor de 264 bits mientras que MD5 no tiene limitaciones de longitud. RIPEMD-160 realiza un mayor número de pasos de 160 comparados con los de SHA-1 realiza 80 pasos y MD5 64 pasos. SHA-1 debe procesar 160 bits de buffer en comparación con los 128 bits de MD5. Por estos motivos la ejecución del algoritmo SHA-1 es más lenta que la de MD5 usando un mismo hardware. RIPEMD160 es un algoritmo del resumen del mensaje de 160 bits. En seguridad y funcionamiento es mejor que sha1 y md5 RIPEMD-160 es un diseño menos popular que md5 y sha1 porque no se encuentra patentada por alguna organización y su código fuente es abierto, de libre acceso. 5.1 Comparativa entre MD5 y SHA-1 MD5 SHA-1

55 LVI Genera sólo 128 bits de longitud. La dificultad de generar un mensaje que tenga un resumen dado es del orden de 2128 operaciones. La dificultad de generar dos mensajes aleatorios distintos y que tengan el mismo resumen (ataques basados en paradoja del cumpleaños) es del orden de 264 operaciones. SHA-1 genera una salida de 160 bits de longitud. La dificultad de generar un mensaje que tenga un resumen dado es del orden de 2160 operaciones. La dificultad de generar dos mensajes aleatorios distintos y que tengan el mismo resumen (ataques basados en paradoja del cumpleaños) es del orden de 280 operaciones. Esta diferencia de 16 bits a favor de SHA-1 lo convierte en más seguro y resistente a ataques por fuerza bruta que el algoritmo MD5, aunque es más lento que MD5. Figura Nº Pasos y Tasas de Cifra en MD5 y SHA-1. Ambos algoritmos procesan bloques de 512 bits y emplean 4 funciones primitivas para generar el resumen del mensaje, pero... MD5 Realiza menor número de pasos: 64 Debe procesar 128 bits de buffer en comparación SHA-1 Realiza un mayor número de pasos: 80 Debe procesar 160 bits de buffer en comparación Por estos motivos la ejecución del algoritmo SHA-1 es más lenta que la de MD5 usando un mismo hardware. Una tasa del orden de 20 Mbits/seg para SHA-1 y para MD5 esta tasa llegaba a los

56 LVII 60 Mbits/seg. Figura Nº Diferencias entre MD5 y SHA-1 MD5 MD5 no tiene limitaciones de longitud. Emplea 64 constantes (una por cada paso). Se basa en la arquitectura little-endian. SHA-1 La longitud máxima del mensaje para SHA-1 debe ser menor de 264 bits. Sólo emplea 4. (una para cada 20 pasos). Se basa en la arquitectura big-endian. Figura Nº Diferencias entre MD5, SHA-1 y RIPEMD-160 DIFERENCIAS MD5 SHA-1 RIPEMD-160 Tamaño resumen. del 128bits 160bits 160bits Tamaño de 512bits 512bits 512bits

57 LVIII procesamiento. Número de pasos. 64 pasos 80 pasos 160 pasos Tamaño máximo de mensaje. Infinito 2^64 bit Infinito Ataques de colisión. Existe Existe No existe Seguridad. Mediana Mediana Alta Funcionamiento. Veloz Mediana Baja Diseño. Popular popular Menos popular Empleados. A nivel mundial A nivel mundial Menos empleado Utilizado con más frecuencia. En el sistema bancario En diferentes ámbitos En diferentes ámbitos Figura Nº 6 CAPITULO VI 6. Funcionalidad de las Transacciones Online. 6.1 La Criptografía en Nuestra Vida Cotidiana

58 LIX En la Internet es relativamente fácil realizar este tipo engaño, pues uno nunca puede estar seguro de si el correo electrónico realmente proviene del remitente o si nos estamos comunicando realmente con nuestro banco o con otro sitio apócrifo que aparenta ser el banco, por ello es que el uso de algoritmos criptográficos es muy necesario. A un así la criptografía por sí sola no resuelve todos los problemas, es necesario utilizar toda una infraestructura que le dé fortaleza, para evitar el engaño y asegurar autenticidad e integridad. Actualmente sobre la Internet viaja mucha información cifrada, debido a que resuelve los problemas que hemos mencionado anteriormente; sin embargo, para que esto suceda, hay que saber al menos un poco acerca de la organización de la infraestructura que respalda algunos algoritmos criptográficos. 6.2 Funciones de Resumen Hash Una herramienta fundamental en la criptografía, son las funciones hash, son usadas principalmente para resolver el problema de la integridad de los mensajes, así como la autenticidad de mensajes y de su origen. Una función hash es también ampliamente usada para la firma digital, ya que los documentos a firmar son en general demasiado grandes, la función hash les asocia una cadena de longitud 160 bits que los hace más manejables para el propósito de firma digital. Ese tipo de funciones se llaman funciones de resumen o funciones de hash, son operaciones que se le aplican al mensaje para extraer una pequeña parte de él, y dependen totalmente del mensaje, si cambia el mensaje, cambia el resultado de la operación (aunque el mensaje cambie muy poco, el resultado cambiará mucho). Basta entonces, para garantizar autenticidad, cifrar el resultado de la función de resumen con la llave privada. Si el mensaje es auténtico, entonces tendrá el mismo resultado de la función de resumen y se compara con el resumen descifrado con la llave pública, si son iguales se garantizan dos cosas: el mensaje es auténtico (lo envió quien dice enviarlo) y es íntegro (no se

59 LX modificó). Si no son iguales entonces puede suceder dos cosas: el mensaje no lo envió quien dice enviarlo (no es auténtico) o alguien lo modificó en el camino, de cualquier manera, sabemos que no podemos confiar en esa información. A éste proceso de utilizar la función de resumen y aplicarle cifrado asimétrico con la llave privada se le llama firma digital o firma electrónica. Todavía las contraseñas quedan expuestas y probablemente se pudieran desencriptar y obtener sus valores originales. La utilización de una función hash hace posible que las contraseñas no queden expuestas a vulnerabilidades. Cuando un usuario desea acceder al sistema, se le aplica una función hash a la contraseña dada por él y el valor hash obtenido se compara con el valor almacenado en la base de datos, si son iguales, el usuario tiene acceso. Si la contraseña almacenada en la base de datos estuviera ``comprometida'', sería difícil obtener la contraseña dada por el usuario. Al utilizar las funciones de hash solas, para enviar números de tarjetas de crédito por Internet no significa que sea inviolable. En el caso de que alguien logre acceder a la computadora con fines delictivos, podría instalar programas en el servidor y así obtener los números de tarjeta de crédito una vez decodificados. Obteniendo estos números, podría utilizados para cometer fraudes. Hay que utilizar también protocolos de seguridad, de manera tal que al enviar un número de tarjeta de crédito por Internet, se codifica de modo que no pueda ser interceptado. Las funciones de HASH no viajan solas necesitan de un protocolo de seguridad como es el SSL (Secure Sockets Layer - protocolo para comunicaciones seguras ) para garantizar la confiabilidad de los datos, a que lleguen íntegros. Se utiliza un sofisticado sistema de encriptación de la información llamado SSL (Secure Sockets Layer), aceptado por la mayoría de navegadores. Todos los

60 LXI datos que teclea el cliente en el momento de hacer una compra en internet incluyendo el número de tarjeta de crédito, nombre, domicilio, etc. se encriptan bajo un método muy sofisticado de las funciones hash que codifica los datos con un cifrado de 128 bits, 160bits y puede que hoy día se esté trabajando en niveles más altos. Haría falta miles de años para que el ordenador más potente pudiera descifrar la información encriptada, lo que garantiza que si se da el caso de que alguien intercepte la información será muy difícil que pueda descifrarla. 6.3 Que es SSL (Secure Sockets Layer) SSL es un protocolo para comunicaciones seguras. Fue diseñado por Netscape en 1994 con el propósito de mejorar la seguridad de las comunicaciones a través de Internet. Hoy en día es un estándar. Ofrece los siguientes servicios: Encriptación de datos. Integridad de mensajes. (MD5, SHA1, RIPEMD160). Autenticación tanto del servidor de destino, como del cliente Como funciona SSL Una comunicación mediante SSL tiene varias etapas: Ambas partes se ponen de acuerdo en los algoritmos que van a utilizar y la longitud de claves pública. Autenticación. El servidor se identifica con un certificado (suministrando su clave) y si hay autenticación de cliente el navegador solicita el certificado al cliente. Se establece la clave de sesión que será utilizada posteriormente con un algoritmo simétrico para establecer la comunicación. El cliente manda una clave inicial encriptada con la clave pública del servidor y a partir de esa clave se genera la clave de sesión.

61 LXII Se verifica la autenticidad de los datos, que el canal es seguro y se puede empezar la transmisión. SSL es un protocolo que se instala entre los niveles de transporte y de aplicación, con lo cual puede ser utilizado con pequeñas modificaciones en los programas que utilizan protocolos de red. Una transacción económica mediante una tarjeta de crédito involucra a más de dos entidades (cliente, comerciante, bancos). 6.4 Definición de las Transacciones Online Procesamiento de Transacciones En Línea (On Line Transaction Processing) es un tipo de sistemas que facilitan y administran aplicaciones transaccionales, usualmente para entrada de datos, recuperación y procesamiento de transacción. Suelen ser utilizados por empresas con una red informática distribuida. Transacciones electrónicas son actividades que involucran la transferencia de información electrónica para propósitos específicos. Las transacciones electrónicas involucran el intercambio de bienes y servicios, entre dos o más partes usando herramientas y técnicas electrónicas. También se ha utilizado para referirse a la transformación en la que el sistema responde de inmediato a las peticiones del usuario. Un cajero automático de un banco es un ejemplo de una aplicación de procesamiento de transacciones comerciales. Esta tecnología se utiliza en innumerables aplicaciones, como en banca electrónica, procesamiento de pedidos, comercio electrónico, supermercados o industria, tarjetas de crédito, etc. 6.5 Tipos de Transacciones Electrónicas:

62 LXIII B2B (Business to Business o Empresa a Empresa): Este tipo de Comercio Electrónico se refiere a las operaciones de intercambio comercial entre empresas, como: colocar pedidos, verificar inventarios, planificar producción, etc B2C (Business to Consumer o Empresa a Consumidor): Es el sitio web tradicional a través del cual una empresa ofrece sus productos y servicios a los consumidores C2C (Consumer to Consumer o Consumidor a Consumidor): En este tipo de comercio electrónico, un consumidor ofrece productos y servicios a otros consumidores en forma directa, a través de su propio sitio o mediante sitios establecidos por terceros. 6.6 Ventajas y Desventajas de las Transacciones Online Ventajas de las Transacciones Online Comodidad: es la posibilidad de ahorrar tiempo y evitar molestias al realizar las operaciones desde su empresa u oficina, teniendo una computadora con acceso a Internet Reducción del costo: Otra de las grandes ventajas que tiene este sistema electrónico es la económica, puesto que las instituciones financieras no operan directamente nuestras transacciones, se reducen los costos de las comisiones, lo cual se traduce en mayores ganancias y puede causar la disminución en precios o aumento en los rendimientos al cliente Rapidez: También es conveniente notar que realizar las operaciones por Internet nos permite tener un control inmediato de nuestras finanzas. Si monitoreamos los movimientos del mercado desde la red, también podemos tomar decisiones al instante sobre nuestras inversiones y realizar los cambios

63 LXIV pertinentes sin la necesidad de esperar a contar con el tiempo para acudir a la sucursal. El procesamiento de transacciones en línea tiene dos claros beneficios: la simplicidad y la eficiencia. Sobre la simplicidad: Permite ahorrar mucho tiempo, papel y molestias Puede comprobar su saldo, transferir dinero y pagar facturas, todo desde la comodidad de su empresa, oficina. Con cada vez más empresas que ofrecen servicios online, puede utilizar Internet para gestionar sus inversiones, seguros de salud y otras actividades importantes. Sobre la eficiencia: Amplía la base de consumidores para una organización. Los procesos individuales se ejecutan mucho más rápido Desventajas de las Transacciones Online Figura Nº 7

64 LXV Sobre la seguridad: En las transacciones online se utilizan algunos de nuestros datos financieros y personales más delicados. Si bien la mayoría de las empresas utilizan la encriptación para asegurarse de que los datos que enviamos a sus sitios Web estén protegidos, los delincuentes cibernéticos aún son capaces de ingeniárselas para capturar nuestra información privada. El phishing y el pharming son claros ejemplos de ello. En estos intentos de fraude, los delincuentes cibernéticos utilizan páginas Web o mensajes de correo electrónico falsos para inducir a las personas a suministrar números de cuentas, contraseñas o incluso los números de sus documentos de identidad. Si esta información llega a sus manos, les bastan unos clics del ratón para saquear sus cuentas o apropiarse de su identidad para cometer fraudes. Los delincuentes cibernéticos también han desarrollado software que registra las pulsaciones del teclado y otros tipos de crimeware para robar la información personal. El software de registro de pulsaciones del teclado captura todo lo que se escribe en el equipo (ya sea un nombre de usuario, una contraseña o un número de cuenta) y después transmite estos datos a los delincuentes cibernéticos Sobre los costos: En las transacciones B2B, las empresas deben ir fuera de línea para completar ciertos pasos de algunos procesos, causando que los compradores y proveedores pierdan algunos de los beneficios de eficiencia que el sistema proporciona.

65 LXVI Tan simple como es un sistema OLTP, la más simple perturbación en el sistema tiene el potencial de causar una gran cantidad de problemas, que a su vez pueden causar una pérdida de tiempo y dinero. Otro coste económico es la posibilidad de que se produzcan fallos en el servidor, esto puede causar retrasos en el servicio e incluso la perdida de gran cantidad de información importante. Para eliminar este riesgo o, al menos mitigarlo, se debe invertir en mecanismos de seguridad. 6.7 La Confianza Las transacciones online hacen uso de la tecnología y del Internet, pero hay un elemento de suma importancia que las empresas no pueden ignorar: la confianza. Muchos autores consideran que es muy difícil construir confianza en ambiente online, pues las transacciones se dan de manera impersonal, anónimas, y automáticas. El grado de confianza que un usuario deposite al realizar transacciones online en la página web de la empresa, dependerá en gran medida de los antecedentes de ésta, de la imagen que tenga, de los comentarios que haya escuchado, en general de cómo sea percibida. 6.8 Proceso para Realizar una Transacción Online Que la persona tenga una tarjeta electrónica debidamente certificada por el banco emisor. Esta tarjeta contiene la identidad del usuario, su llave pública e información sobre su cuenta. Todos estos datos están encriptados en forma de un certificado que es único por cada tarjeta habiente. Cuando decida realizar una compra, llene el formulario y lo firma usando su llave privada. A este pedido le adjunta su certificado. Luego genera una llave al azar con la que encripta todos estos

66 LXVII datos. Luego necesita ubicar la llave pública del comerciante, que le servirá para encriptar la llave. Así, el comerciante recibe dos mensajes encriptados: uno de una llave que él podrá descifrar pues fue generado con su llave pública y otro que contiene los datos del pedido, que decodificará usando la llave que desencriptó con su llave pública. Posteriormente se sigue el mismo proceso, pero entre el comerciante y la cámara de compensación para completar la transacción. 6.9 Los Riesgos En las transacciones online se utilizan algunos de nuestros datos financieros y personales más delicados. Si bien la mayoría de las empresas utilizan la encriptación para asegurarse de que los datos que enviamos a sus sitios Web estén protegidos, los delincuentes cibernéticos aún son capaces de ingeniárselas para capturar nuestra información privada Hábitos Inteligentes La seguridad de las transacciones comerciales en línea comienza con estos hábitos: Figura Nº 8

67 LXVIII Realice sus conexiones y transacciones en sitios encriptados - Las páginas encriptadas cifran las contraseñas, nombres de usuario y números de tarjetas de crédito antes de enviarlos. Las direcciones de los sitios Web habilitados con encriptación suelen comenzar por https. La mayoría de los navegadores también muestran un icono de candado cerrado en la ventana cuando la encriptación está activada. Use sitios autenticados - En un sitio autenticado puede tener la certeza de que no está accediendo a una página falsa. Dedique el tiempo necesario a conocer las funciones de autenticación de su navegador para saber cómo indica si un sitio es auténtico. Utilice tarjetas de crédito para las compras en Internet - Nunca compre en Internet con efectivo ni con tarjetas de débito. Las limitaciones de responsabilidad de las tarjetas de débito no suelen ser iguales que las de las tarjetas de crédito. Monitoree sus cuentas - Acostúmbrese a comprobar regularmente sus tarjetas de crédito y sus cuentas bancarias y de inversiones para detectar posibles operaciones extrañas o transacciones no autorizadas. Adopte nombres de usuario y contraseñas difíciles de averiguar. Para crear nombres de usuario y contraseñas difíciles de averiguar, combine números, letras y símbolos; no utilice su número de teléfono, nombre o fecha de nacimiento. Además, mantenga en secreto sus contraseñas y números de identificación (PIN), y cámbielos con frecuencia. Proteja su identidad - No revele nunca el número de un documento identificativo u otra información personal por Internet, por mucho que quien lo solicite le resulte conocido.

68 LXIX Atención a las ventas fraudulentas No negocie con instituciones benéficas o empresas cuya confiabilidad no pueda verificar fuera de sus sitios Web. Si es una organización con la que nunca ha tratado, llámela para cerciorarse de su legitimidad. Tenga cuidado con las subastas en línea. Si un vendedor le pide que transfiera dinero a una cuenta en el extranjero o sugiere cualquier otra transacción inusual, insista en utilizar otra forma de pago. En las compras por subasta, tenga como norma utilizar métodos de pago confiables únicamente, como PayPal por ejemplo. Si se van a utilizar programas relacionados con la criptografía asegúrese de que dichos programas soporten encriptaciones fuertes, y en caso de no soportar busque otro software que le dé más garantías de seguridad Paypal Figura Nº 9 PayPal es una empresa del sector de las transacciones electrónicas o comercio electrónico, cuyo sistema permite a sus usuarios realizar pagos y transferencias a través de Internet sin compartir la información financiera con el destinatario, con el único requerimiento de que estos dispongan de

69 LXX correo electrónico. Es un sistema rápido y seguro para enviar y recibir dinero. Paypal procesa transacciones para particulares, compradores y vendedores online, sitios de subastas y otros usos comerciales. La mayor parte de su clientela proviene del sitio de subastas online ebay, compañía que compró Paypal en Octubre de Para qué sirve Paypal Pagar las compras realizadas por Internet. Cobrar las ventas realizadas por Internet. Enviar y Recibir dinero entre familiares, amigos o particulares Paypal es un Método Seguro para Realizar Pagos y Transferencias de Dinero. PayPal es un método seguro para realizar pagos y transferencias de dinero porque usa tecnología de encriptación SSL de 128 bits para proteger toda la información confidencial y el destinatario nunca recibe datos financieros como el número de tarjeta o cuenta bancaria ni información personal. Además, ofrece programas de protección, donde el comprador puede pedir la devolución total o parcial de su dinero. PayPal ofrece hasta euros de protección para: Artículos no recibidos. Artículos muy diferentes a la descripción del vendedor. Transacciones no autorizadas realizadas desde tu cuenta Paypal.

70 LXXI CAPITULO VII 7. Propuestas de Solución para Mejorar la Seguridad en las Transacciones Online. Figura N 10 Realizar transacciones a través de internet es cada vez más común, trámites bancarios, pagar las cuentas y comprar vía on line hoy son cosas comunes. De la mano con el crecimiento de este comportamiento han surgido estafadores que se dedican a tratar de vulnerar la seguridad de los sitios para tener acceso a los datos de los usuarios y finalmente a su dinero. Mediante la criptografía podemos establecer comunicaciones seguras con otras personas. 7.1 Estrategias de Solución para Evitar ser Víctima de un Robo en Internet Las transacciones electrónicas son cada vez más frecuentes en todas partes del mundo. Esto ha generado un mayor interés por parte de los ciberdelincuentes en intentar obtener nuestros números de tarjetas de crédito y

71 LXXII claves de seguridad para robar el dinero de nuestras cuentas bancarias. La mayoría de personas acostumbradas a navegar por internet, no están al tanto de este potencial peligro y desconocen las precauciones necesarias para evitar ser víctimas de un robo en internet. La mayoría de técnicas empleadas por los delincuentes cibernéticos consisten en obtener información confidencial de sus víctimas (números de tarjetas de crédito, claves de seguridad, información personal, etc.) mediante engaños. Muchas veces estos engaños se valen de la tecnología y la suplantación de identidades para obtener su cometido. Lo principal es estar alerta ante cualquier irregularidad y conocer algunos detalles que nos permitirán estar más seguros cuando realicemos transacciones por internet Utilice una Computadora Segura Cuando vaya a realizar cualquier transacción electrónica, es preferible utilizar una computadora de confianza. Por ejemplo, nuestra computadora de la oficina. Siempre y cuando estemos al tanto de que el sistema no esté infectado con virus ni troyanos, y que tenga instalado un antivirus y un firewall actualizados. De preferencia utilizar la red Ethernet (por cable), ya que la red Wi-fi es más sensible a ser atacada. No es recomendable realizar transacciones electrónicas en cabinas públicas o mediante redes Wi-fi desconocidas, ya que el riesgo de exponerse a algún tipo de ataque informático es alto. Por ejemplo, el dispositivo conocido como Newstweek es capaz de distorsionar noticias en redes Wi-fi públicas sin que uno lo note. Ahora imagina la información que podrían obtener sin uno quisiera realizar alguna compra online Escanear la Computadora Regularmente en Busca de Virus Mantener el antivirus y el firewall de la computadora siempre actualizados. Y realizar cada cierto tiempo un análisis de nuestros archivos en busca de virus. También es recomendable tener instalado

72 LXXIII una aplicación antimalware como el Malwarebytes para mantener libre de bichos a su computadora Conocer Bien la Página en donde Realiza las Transacciones Online. Los delincuentes cibernéticos tratan de suplantar las páginas que utilizamos regularmente para realizar las transacciones electrónicas. Dicha suplantación casi nunca es idéntica al original. Es mejor estar alerta ante cualquier pequeña y sutil diferencia que encuentre, y evitar realizar transacciones online hasta estar seguro/a de que no es una suplantación Verificar la URL Las páginas fraudulentas tienen una dirección web distinta a la página original en donde realizamos nuestras transacciones (bancos o tiendas online). Pero suelen ser tan parecidas al original que muchas veces al leer rápidamente nos parece que es la verdadera cuando no lo es. Basta con que una sola letra del nombre de dominio de una página web sea distinta para que se trate de una web suplantada. Así que mucho ojo con la URL Revisar los Certificados de Seguridad Cuando vaya a realizar una transacción online, asegúrese de revisar la validez de los certificados de seguridad. Estos certificados nos permiten identificar de manera segura a un sitio web, es decir, nos aseguran que un sitio web es quien dice ser y no un sitio impostor. Las páginas en donde se realizan transacciones electrónicas deben tener necesariamente un certificado de seguridad. Si se da cuenta que la página no tiene certificado, posiblemente se trate de una suplantación.

73 LXXIV Verifique que el Protocolo sea https Otro aspecto que tiene que ver con los certificados de seguridad es que además le darnos información sobre la verdadera identidad de una página web, además nos asegura que las comunicaciones serán cifradas para evitar que un tercero pueda interceptar nuestros datos (números de tarjeta de crédito, claves, información personal). Para cerciorarnos de que la comunicación es segura, debemos verificar que la dirección web empiece por https y no http solamente. Es decir, verifique que tenga la letra s al final. La https significa Hyper Text Transfer Protocol Secure (Protocolo seguro de transferencia de hipertexto) lo que significa que toda la información transmitida y recibida por la página web será segura No Responder Correos Falsos Nunca responda correos electrónicos en donde le pidan sus contraseñas, ya que en estos casos están tratando de robar información. El robo del correo electrónico es el primer paso para el robo de identidad de una persona, ya que con él se pueden hacer pasar por usted y acceder a todos los servicios que estén relacionados a su cuenta de correo. La mayoría de correos falsos suelen tener faltas ortográficas o gramaticales, además suelen aparecer en la bandeja de correo no deseado. Así que procure ignorarlos. Por ejemplo, hay casos de mensajes de correo falsos en donde se hacen pasar por su banco informándole sobre algún premio. Le dejan un enlace para que lo visite, el cual le lleva a un clon de la página original del banco y le piden ingresar su número de cuenta y clave.

74 LXXV No divulgar información personal Esto es muy importante sobre todo para quienes suelen usar las redes sociales, ya que muchas veces las claves que suelen utilizar las personas se relacionan con datos personales como cumpleaños, teléfonos, etc. Así que mientras menos información privada comparta en la web, más protegido estará. En todo caso, es mejor que las claves que utiliza para sus transacciones electrónicas no se relacionen con nada personal. No divulgue por teléfono sus datos personales, si es que no ha sido usted quien ha iniciado la llamada. Ya que no sería posible verificar la identidad de una persona que le llama y se hace pasar por funcionario de un banco Mantenga su sistema operativo actualizado Cualquiera sea el sistema operativo que use, procure mantenerlo actualizado. Cada cierto tiempo se liberan actualizaciones y parches de seguridad para corregir errores en el sistema operativo que podrían ser aprovechados por los ciber-delincuentes para robar nuestra información. Configure su sistema para que instale regularmente las actualizaciones o descarga manualmente los parches de seguridad Un seguro contra robos no está demás Ningún consejo es infalible. Los ciber-delincuentes pueden mejorar sus estrategias con el tiempo, así que nada está 100% garantizado. Para minimizar el riesgo puede adquirir por intermedio de su banco, un seguro contra robos y fraudes informáticos. 7.2 Usar una Banca Online Conveniente y Segura

75 LXXVI Tener un banco nunca ha sido tan fácil como hoy día. La banca online le permite acceder a su banco en cualquier momento de día o de noche sin ninguna fila. Acceder al banco vía internet en cualquier momento; pero establecer reglas sobre los días y horas para que la transacciones online sean efectivas más rápidamente. La computadora tiene opciones que le permiten guardar las contraseñas, aunque esto permite que cualquiera que use su computadora pueda acceder a su cuenta de banco. Es mejor usar un servicio como Last Password para guardarlas o aprenderlas de memoria y tener una versión escrita en papel en un lugar seguro por si se le olvida. La mayoría de los bancos online le permiten cambiar la contraseña. Esta es una buena idea y es algo que se recomienda hacer regularmente. Por supuesto, deberá recordar la contraseña, si se le olvida tendrá que pedirle al banco que le de una nueva y eso se le cobrará de su cuenta; así que es mejor recordarla. Acceder a una cuenta bancaria es fácil y muy conveniente. Pero recuerde cerrar la sesión, aunque usualmente los sitios web de los bancos cierran la sesión automáticamente, pero es mejor no confiarse para evitar que otra persona utilice la computadora. Tenga cuidado de recibir correos electrónicos que piden que entre en un enlace para verificar tus detalles de banca online. Estos sitios lucen auténticos pero son probablemente falsos. Esto se llama Phishing, y el objeto es robarte sus datos y así entrar a su cuenta

76 LXXVII online. Un banco jamás solicita estos cambios por correo electrónico. Si recibe un correo como este, llame inmediatamente a su banco. Si no tiene computadora en su casa o en oficina, es mejor no utilizar banca online. Una computadora segura es aquella que la usan personas de tu confianza o que casi nadie usa. Especialmente computadoras con antivirus, anti-phishing y otras características para evitar que le roben sus datos. Las computadoras de librerías y de internet alquilados no son seguras, hay casos de robo en ellas. Siempre asegúrese que cuando este ingresando su usuario y contraseña en el sitio de su banca online, el sitio tenga https con s al final. Ejemplo: Si la dirección de su sitio dice sin la s al final del http, ese sitio es falso y no es real. Otra forma de asegurar que este en el sitio web correcto es buscar un candado en el navegador que usualmente aparece en los buenos bancos https, donde al hacer clic al candado aparece un certificado de seguridad digital que muestra la autenticidad del banco y del sitio web. 7.3 Aumentar la Seguridad de sus Compras Online Muchas empresas, personas, etc, realizan compras online cada cierto tiempo. Pero la mayoría de la empresa o personas tiene cierta preocupación o miedo ante el fraude online al momento de realizar una transacción online. Sin embargo, hay algunas medidas que podemos tomar para evitar los fraudes, antes de realizar nuestro próximo clic de compra: Asegure su espacio. Compruebe que haya asegurado su computadora con la protección adecuada de un antivirus, que ayude a prevenir la posibilidad de que alguien lo hackeé. Protege además su computadora y su conexión de Wi-Fi con buenas contraseñas.

77 LXXVIII Fíjese en donde hace clic. Al hacer una compra, asegúrese de que sea una web en la que confíe. Los sitios inseguros pueden dejar su información personal desprotegida. Busque sitios que tengan un certificado Secure Sockets Layer (SSL), el cuál puede encriptar información sensible durante las transacciones online. Conozca al vendedor. Conocer al retailer es una parte importante de realizar compras online seguras. Retailers conocidos y de marca, suelen tener sitios seguros para transacciones, pero también es importante leer los reviews del vendedor para determinar la credibilidad de terceros, en sitios mayores, como ocurre con frecuencia. Crédito, no debitado. Use una tarjeta de crédito en vez de débito. Hay más probabilidad de que las compañías de crédito le reembolsen en caso de fraude. Por ley, los emisores de crédito sólo pueden responsabilizarle con una cierta cantidad de dinero ante la primera transacción fraudulenta, pero la mayoría de las compañías omite eso. Nunca compre en un sitio dónde le pidan que le envíe dinero o le hagan transferencias electrónicas. Revise su estado de cuenta Si ocupa un banco online, aprovecha y revisa su extracto regularmente, no sólo a fin de mes. Revíselos, buscando actividades inusuales, para poder prevenir cualquier tipo de peligro a tiempo. Se inteligente. Use el sentido común a la hora de comprar online. No entregue información innecesaria, como la cédula de identidad. Además, dese cuenta cuándo un trato es demasiado bueno para ser verdad; los estafadores y timadores suelen tentar a los compradores con negocios que son poco prácticos.

78 LXXIX Mantenga el equipo informático seguro y actualizado, el navegador debe ser la última versión (para asegurarnos de que tiene todos los protocolos perfectamente actualizados) y el antivirus también debe estar actualizado para que pueda combatir las últimas amenazas. 7.4 Para Tarjetas de Crédito Las tarjetas de crédito son la forma más popular para pagar servicios u objetos en la Web en la actualidad, por ello en lugar de intentar buscar un sistema que la sustituya, la mayoría de los sistemas de compra en Internet, utilizan las tarjetas de crédito. El número de su tarjeta de crédito puede ser interceptado y utilizado para hacer fraudes, de lo cual el sujeto no se percataría hasta que reciba su estado de cuenta o hasta que su tarjeta quede sobregirada. Al igual que cuando vamos al cajero automático por primera vez, no dejar la tarjeta de crédito dentro y las claves marcadas no debemos dejar nunca la sesión abierta e irnos del ordenador. Siempre se debe de cerrar la sesión. Uso de las contraseñas, lo mejor es utilizar aleatorias y cambiarlas periódicamente. Nunca debemos utiliza contraseñas fáciles de averiguar, como pueda ser nuestra fecha de nacimiento, etc. Además si las apuntamos no se deben dejar a la vista, así como debemos de guardar la tarjeta con las claves en un lugar seguro. Los contratos de banca online (que firmamos con nuestro banco) suelen decir que las contraseñas equivale a nuestra firma encriptada con las funciones HASH, que viajan junto con un protocolo seguro como es el SSL.

79 LXXX Dependiendo de nuestro banco podemos limitar las cantidades y tipos de operaciones que podemos hacer por Internet, no obstante tampoco se trata de que no hagamos nada por miedo. Por último repetir que la máxima medida es el sentido común, y en caso de duda dejarlo para otro momento después de preguntar en nuestra sucursal, donde seguro que estarán encantados de ayudarnos. 7.5 Recomendaciones Banca móvil: Transacciones seguras desde su celular. Podemos realizar numerosas transacciones de manera segura, sin preocupaciones y lo mejor, de manera fácil desde el teléfono celular. Estas transacciones no dependen de la terminal, no se tiene que contar con el último teléfono inteligente, lo único que se necesita es un teléfono con SIM card. La SIM card puede funcionar como el canal por medio del cual nos comuniquemos con nuestro banco, ingresemos a nuestra cuenta y realicemos pagos, recargas al celular e incluso, extraer dinero de un cajero electrónico sin necesidad de tener una cuenta con la entidad bancaria. Utilizar las mismas recomendaciones de seguridad que se usan con las tarjetas electrónicas o de crédito. Cuidar que sus claves no estén guardadas en la memoria de su celular. Evitar que extraños transacción electrónica. le observen teclear mientras realiza una En caso de robo informar a la entidad bancaria, con el fin de poder registrar su próxima SIM Card y su cuenta.

80 LXXXI Por lo demás se trata de vencer el miedo y la inseguridad, asesorarse bien acerca del uso y las políticas con las que cuenta su banco y disfrutar de una vida con menos visitas a sus sucursales. 7.6 Aumentar la Confianza en la Empresa para Proteger e Impulsar el Negocio en Internet Es necesario utilizar la autenticación junto con el cifrado para proporcionar: Confirmación de que la empresa nombrada en el certificado tiene derecho a utilizar el nombre de dominio que se incluye en el certificado. Confirmación de que la empresa nombrada en el certificado es una entidad legal. Confirmación de que la persona que solicitó el certificado, en nombre de la organización había sido autorizada a hacerlo. Algunas autoridades de certificación creen que el cifrado basta por sí mismo para garantizar la seguridad de un sitio web y promover la confianza de los clientes en dicho sitio. Pero los certificados autenticados de alta seguridad, nos dan confianza y seguridad, Además de utilizar la tecnología de cifrado, es de vital importancia que el sitio web esté autenticado, lo que aumentará la confianza de los internautas que visiten su sitio web y su negocio. 7.8 Beneficios para su Empresa Atracción de Clientes Cuando establezca un sitio web seguro, podrá beneficiarse de una gran variedad de opciones para mejorar aún más sus operaciones de comercio electrónico. Con el sello Secure Seal de VeriSign, podrá utilizar la marca de seguridad número uno en Internet para dar a sus clientes la confianza necesaria para comunicarse y realizar transacciones comerciales en su sitio. Los clientes tendrán la seguridad de que envían su información personal a una empresa legal y no a un impostor. Por su parte, sabrá que su

81 LXXXII empresa recibe información precisa que el cliente no podrá denegarse a esta. 7.9 Recomendaciones para los bancos con los usuarios Respaldo y respuesta: Es muy importante que los usuarios, antes de realizar cualquier transacción online, se cercioren de que quienes dicen representar a un banco o ser empleados del mismo, lo sean realmente. Hay que estar muy atentos para notar a posibles impostores, puesto que es la única manera de ejercer el derecho a obtener una respuesta por parte del banco Unidad Especializada: Cuando tengamos dudas, consultas o quejas sobre cualquier servicio proporcionado por el banco, debemos preguntar por la Unidad Especializada para que nos las resuelvan de manera oportuna Confidencialidad: Los bancos están obligados a proteger los datos personales de sus clientes y beneficiarios a través de la web. No deberán revelar información sobre estados de cuenta, domicilio, trabajo u otros datos similares, más que al cliente mismo, a sus depositarios, deudores, beneficiarios o representantes legales Información: El banco deberá informarle sobre las comisiones por el uso de tarjetas de débito y crédito, apertura de cuenta, retiros, consulta de saldo, banca por Internet, entre otros Seguridad: Contar con unas buenas herramientas de seguridad tecnológicas, para salvaguardar la información confidencial del banco y de sus usuarios ante posibles ataques Administración de Riesgos La seguridad en la Web es difícilmente absoluta, mientras más medidas de seguridad se utilicen, menor es el riesgo que se corre. Se debe reducir el riesgo

82 LXXXIII tanto como sea posible y planear las medidas para recuperarse rápidamente de un incidente de seguridad. La seguridad Web no es fácil ni barata pero la inseguridad puede ser aún más costosa. La seguridad no es un producto que pueda comprarse, es parte integral de una organización y de la mentalidad de sus componentes. 8 Conclusiones y recomendaciones CAPITULO VIII 8.1 Conclusiones A través de la elaboración de este proyecto hemos analizado que tan seguros son los sistemas transaccionales en línea, y hemos obtenido algunos conocimientos sobre la seguridad al momento de realizar una transacción electrónica. Además estos sistemas están en evolución aceleradamente, por lo tanto hay que estar en constante aprendizaje y actualización, ya que así como crece el internet, también crecerán los conocimientos y estos a su vez pueden ser mal utilizados con la intención de hacer daño a la empresa u compañía y también a las personas. Es muy importante que todo negocio o empresa que funcione vía online sea capaz de asegurar el resguardo de la comunicación del total de los datos que intervienen en las transacciones electrónicas. Esto es muy importante tanto para la empresa y sus usuarios.

83 LXXXIV 8.2 Recomendaciones Para minimizar el riesgo en cualquier transacción online se recomienda seguir algunos consejos como: usar un explorador seguro para navegar en la red, verificar que los comercios en línea hayan implementado las normas de seguridad de la industria, conocer la empresa, la política de devolución y reembolso del establecimiento antes de realizar la transacción, buscar la declaración de privacidad, mantener la contraseña en secreto y guardar una copia impresa de las transacciones online. Realice sus conexiones y transacciones en sitios encriptados - Las páginas encriptadas cifran las contraseñas, nombres de usuario y números de tarjetas de crédito antes de enviarlos. Use sitios autenticados - En un sitio autenticado puede tener la certeza de que no está accediendo a una página falsa. Utilice tarjetas de crédito para las compras en Internet - Nunca compre en Internet con efectivo ni con tarjetas de débito.

84 LXXXV Tenga cuidado con las subastas en línea. Si un vendedor le pide que transfiera dinero a una cuenta en el extranjero o sugiere cualquier otra transacción inusual, insista en utilizar otra forma de pago. Monitoree sus cuentas - Acostúmbrese a comprobar regularmente sus tarjetas de crédito y sus cuentas bancarias y de inversiones para detectar posibles operaciones extrañas o transacciones no autorizadas. BIBLIOGRAFÌA Funciones hash en criptografía Mejorar las seguridades transaccionales Sistemas de procesamiento en línea Asegura las transacciones en tu negocio online s

85 LXXXVI Sistema transaccional en línea Funciones hash Conceptos básicos de criptografía (reprasol.blogspot.com/2008/09/conceptos-bsicos-de-criptografa.html) Criptografía simétrica asimétrica (web_documents/ criptografía _simétrica y asimétrica.pdf) Criptografía y otros temas relacionados (Tutorial pdf autor: Ing. PABLO TAMAYO.) Correo electrónico ( Criptografía ( Funciones hash ( Funciones hash ( Transacciones online ( PMonog.pdf)

86 LXXXVII Transacciones online ( Arthur D. Little Inc., Transacciones electrónicas. [en línea]. Disponible: [consulta: 3 Septiembre 2002]. Asociación Española de Comercio Electrónico (AECE), Aspectos Fiscales del Comercio Electrónico. Propuesta de Regulación. Documento de trabajo. [en línea]. Disponible: [consulta: 9 Septiembre 2002]. Asociación Española de Comercio Electrónico AECE, II Estudio sobre el Comercio Electrónico en España. [en línea]. Disponible: [consulta: 15 Septiembre 2002].

87 ANEXOS LXXXVIII

88 LXXXIX Anexo1 CIFRADO MD5 Anexo 2

89 XC CIFRADO SHA 1 Anexo 3 CIFRADO RIPEMD 160

90 XCI Anexo 4 Con SSL se pueden usar diferentes algoritmos para las diferentes aplicaciones, por ejemplo usa MD5, SHA-1, RIPEMD-160 cuando una comunicación esta bajo SSL la información que es cifrada es:

91 XCII Anexo 5 TRANSACCIONES ONLINE