feliz Navidad y un fabuloso Año 2004

Transcripción

1 feliz Navidad y un fabuloso Año 2004 FICHA DE ADMISIÓN Fotografía Nombre Domicilio Población Tel. N.I.F. personal Lugar y fecha de nacimiento Empresa Dirección Población Tel. Empresa personal Empresa Página Web Cargo Antigüedad en el cargo part. Desea recibir las comunicaciones en: Domicilio particular Domicilio profesional Facturar a: Particular Empresa Fax Anote el nombre completo de dos socios de A.E.D.E.M.O. que Ud. conozca, para que avalen su solicitud. Nombre y firma del socio proponente 1 Nombre y firma del socio proponente 2 C.I.F. C.P. C.P. Socio n.º Presentado en Junta Directiva de fecha: Fecha aceptación: Fecha baja: Me adhiero al Código Internacional CCI/ESOMAR de prácticas legales en materia de mercado y de opinión. Firma del solicitante: 1 N O T I C I A S

2 ÍNDICE DE ANUNCIANTES A E D E M O - Pág. 71 LINK & PARTNER - Pág. 49 T N S - Págs. 21/23/25 CIMEC - MB - Pág. 5 MILLWARD BROWN - Contrap. TNS - DEMOSCOPIA - Págs. 21/23/25 E M E R + G f K - Pág. 45 O D E C - Pág. 2 TNS - AUDIENCIA DE MEDIOS Págs. 21/23/25 IPSOS-ECO CONSULTING - Pág. 37 R A N D O M - Pág. 14 IRI ESPAÑA - Pág. 11 T E S I - Pág. 40 Títulos Académicos Actividades a las que se dedica su empresa Otras Asociaciones a las que pertenece Cargos en anteriores empresas A cumplimentar por la Asociación: Socio Junior Menores de 26 años Socio Socio Senior Mayores de 65 años con 15 años de antigüedad Fecha Nº de cuenta para domiciliar el pago: Entidad: Oficina: D.C.: Nº de cuenta: Cuota única de entrada: % IVA Socio Pleno Derecho: % IVA Socio Junior: % IVA Socio Senior: % IVA N O T I C I A S 2

3 COMUNICADOS DE EMPRESA «LA JUVENTUD EUROPEA Y SUS MARCAS» MILLWARD BROWN ha realizado un estudio cualitativo amplio sobre «La juventud europea y sus marcas». Esta investigación se ha llevado a cabo en 10 países: Portugal, España, Francia, Italia, Alemania, Polonia, República Checa, Hungría, Turquía y Rusia. En cada país se han realizado 2 Reuniones de Grupo y 10 Entrevistas Etnográficas. Por lo tanto, se ha alcanzado un total de 20 Reuniones de Grupo y 100 Entrevistas Etnográficas con chicos y chicas universitarios de edades comprendidas entre 18 y 25 años. Aproximadamente 300 participantes. La investigación ha sido realizada por EUROQUAL, que es la red compuesta por todos los equipos de cualitativo de MILLWARD BROWN en los diferentes países de Europa. En la actualidad, EUROQUAL está presente en 17 países de Europa, está compuesto por un equipo de 200 personas que trabajan «full-time» y dispone de 40 salas repartidas por Europa y equipadas para hacer Reuniones de Grupo. MILLWARD BROWN SPAIN presentó esta investigación en Madrid ( ; Hotel Velada) y en Barcelona ( ; Hotel NH Podium) en dos foros abiertos a los profesionales de la investigación de mercados, el marketing, la publicidad, los medios, etc. Alrededor de 400 personas procedentes de unas 160 empresas asistieron a estos dos eventos. El paso siguiente es presentar esta investigación en las principales capitales europeas en las que se ha realizado el estudio. Si estás interesada/o en obtener más información sobre esta investigación puedes ponerte en contacto en Madrid con Pepe Martínez (Head of Euroqual) en el y en Barcelona con Bárbara Guinovart que es el contacto de Euroqual ( ). BECA DE COLABORACIÓN PARA LA ACTUALIZACIÓN DE LA PÁGINA WEB AEDEMO, dentro del plan de actualización de la página WEB, solicita la colaboración de algún socio o no socio para la búsqueda de información sobre páginas web, datos sociodemográficos, bibliografía, así como otro tipo de documentación que pueda ser de interés para los asociados de AEDEMO y que esté relacionada con la investigación de mercados y el marketing, con la finalidad de introducirla en la página de la Asociación. El acuerdo de colaboración estará subvencionado con Para más información contactar con: M.ª Isabel Fernández Soriano Secretaria Ejecutiva de AEDEMO al tel o aedemo@aedemo.es Los interesados deberán enviar su solicitud por escrito, acompañada de su curriculum vitae a la Secretaría de la Asociación antes del 30 de Enero de «VAMOS A REÍRNOS UN POCO» Es un proyecto dedicado a recoger, a modo de anecdotario, todas aquellas situaciones divertidas, inverosímiles extravagantes o esperpénticas que se han producido en nuestra profesión: «investigación, marketing y opinión». Todos tenemos más de un relato por contar (al menos es lo que a menudo hacemos en los postres de las cenas) por lo que os animamos a enviarnos las vuestras. Lo importante es la situación, los protagonistas y el firmante pueden ir con seudónimos. Las mejores anécdotas se publicarán en un libro. Las esperamos!. La coordinación correrá a cargo de Silvia Roca y Juanjo Ibáñez, las podéis enviar a: sroca1@infonegocio.com o jibanez@aedemo.es 3 N O T I C I A S

4 N U E V O S S O C I O S Jorge CUBAIN ARENAS Account Planner SAATCHI & SAATCHI, S.A. Pl. Santa Ana, MADRID Teléfono Fax jcubain@saatchi.es Isabel FERNÁNDEZ CABELLO Directora Gerente CIDES, ESTUDIOS DE MERCADO, S.L. Pl. Padre Fontova, 2, Entlo. B ALICANTE Teléfono Fax cides@cesser.com Cristina GARCÍA GIMÉNEZ Analista de Mercados ALMIRALL PRODESFARMA, S.A. Ronda Gral. Mitre, BARCELONA Teléfono Fax cgarciag@almirall.es Mª del Carmen GARCÍA HERRANZ Directora de Estudios INDECTA INVESTIGACIÓN DE MERCADO, S.L. Jorge Juan, 127, 1º Int. Dcha MADRID Teléfono Fax carmen_indecta@vodafone.es José Miguel GARCÍA RUIZ Director Ejecutivo MERCEDES TEROL ESTUDIOS DE MERCADO, S.L. Tarragona, 84-90, Desp. 2º 3ª BARCELONA Teléfono Fax jmiguel@mterol.com Eva Mª GIMÉNEZ LABRADOR Director de Estudios CHI-CUADRADO, S.L. Av. César Augusto, 45, 1º F ZARAGOZA Teléfono Fax chicuadr@public.ibercaja.es Elaine HERVELLO IBÁÑEZ Marketing Research FONT VELLA, S.A. Urgel, BARCELONA Teléfono Fax elaine.hervello@danone.com José Mª LARA ARIAS Free Lance larayarias@hotmail.com J. Fernando LÓPEZ VALDÉS Técnico de Estudios Cuantitativos TNS-DEMOSCOPIA Pl. Carlos Trías Bertrán, 7, 4º, Sollube «II» MADRID Teléfono Fax f.lopez@demoscopia.com Virginia MARTÍNEZ PEDRÓN Analista Técnico de Investigación de Mercados PHILIP MORRIS SPAIN, S.A. Pº de la Castellana, 216, 4º MADRID Teléfono Fax virginia.martinez@pimntl.com Pilar MUÑOZ HERRERO Técnico de Estudios de Mercado MEDIA FACTORY ESTUDIOS, S.L. Juan García Hortelano, VALLADOLID Teléfono Fax pilar.munoz@telecyl.com Manuel Fco. NADAL MATAIX Técnico Administrativo INSTITUTO NACIONAL DE ESTADÍSTICA Via Laietana, BARCELONA Teléfono Fax mnadal@mixmail.com Sandra ORSOLA DE LOS SANTOS Responsable de Proyectos STAFF CONSULTANTS, S.L. Aribau, 81, Pral. 2ª BARCELONA Teléfono Fax sorsola@staffconsultants.com Consuelo PERERA CABAÑAS Directora de Estudios TNS-DEMOSCOPIA Pl. Carlos Trías Bertrán, 7, 4º, Sollube «II» MADRID Teléfono Fax c.perera@demoscopia.com Miquel RAURELL ROCA Jefe Dpto. Proyectos e Informes de Mercado MERCK FARMA Y QUÍMICA, S.A. Crtra. N-152, Km. 19, Polígono Merck MOLLET DEL VALLÈS Teléfono Fax mraurell@merck.es Montse SANTAEUGENIA VALDÉS Directora Financiera STRATEGIC RACM, S.L. Provença, 278, 1º 1ª BARCELONA Teléfono Fax mseugenia@strategiconline.net Pepa SILVESTRE ROVIRA Marketing Research Manager FONT VELLA, S.A. Urgel, BARCELONA Teléfono Fax pepa.silvestre@danone.com Juan SOTO GÓMEZ Gestor Investigación de Mercados REPSOL YPF, S.A. Pº Castellana, MADRID Teléfono Fax jsotog@repsolypf.com Mercedes TEROL GARCÍA Directora Asociada MERCEDES TEROL ESTUDIOS DE MERCADO, S.L. Tarragona, 84-90, Desp. 2º 3ª BARCELONA Teléfono Fax mercedest@mterol.com José Juan TOHARIA CORTÉS Presidente TNS-DEMOSCOPIA Pl. Carlos Trías Bertrán, 7, 4º, Sollube «II» MADRID Teléfono Fax josejuan.toharia@demoscopia.com NUEVOS O T I C SOCIOS I A S 4

5 CURSO DE INICIACIÓN A INTERNET (XVI) Director: Julián Sánchez Montenegro. Profesorado: Jesús Cea Avión, Juan Antonio Fernández Rosado, José Pellicer Ballester y Ramón Sanz Redondo. Copyright Todos los derechos reservados. Ninguna parte de este manual puede reproducirse o transmitirse bajo ninguna forma o por ningún medio, electrónico ni mecánico, incluyendo fotocopiado y grabación, ni por ningún sistema de almacenamiento y recuperación de información, sin permiso por escrito de los autores. SEGURIDAD EN EL COMERCIO ELECTRÓNICO Resulta evidente que en el momento en que se crean flujos de dinero a través de Internet resulta prioritario evaluar los riesgos de seguridad que ello conlleva, y tomar las medidas apropiadas para protegerse en lo posible. Para facilitar la valoración de los riesgos, vamos a subdividir el estudio de este capítulo del curso en las siguientes partes: Seguridad en el cliente Seguridad en las comunicaciones entre el cliente y el servidor Seguridad en el servidor Métodos de pago y su seguridad Seguridad en el cliente La seguridad en el cliente tiene una importancia crucial, algo que no acostumbra a tenerse muy en cuenta. Hay que considerar el hecho de que toda transacción va a tener lugar utilizando una máquina a través de la que el usuario realiza las operaciones. Cuando se pone este hecho en su contexto, se observa claramente que el mal funcionamiento o los compromisos de seguridad en el sistema en el extremo del usuario puede poner en peligro la validez de toda la transacción. El caso más evidente son los caballos de Troya 1, los virus 2 y los gusanos 3. 1) Caballo de Troya: Es un programa aparentemente útil o interesante para el usuario, pero que dentro del código del mismo, de forma oculta, realiza operaciones maliciosas. 2) Virus: Programa informático que se propaga de forma autónoma y que, normalmente, persigue fines maliciosos (aunque esto no es siempre así). Aunque normalmente se considera que el principal problema de los virus es su capacidad destructiva típica, no hay nada que impida crear un virus cuyo fin sea más sutil y útil para el atacante. Un claro ejemplo de ello sería, por ejemplo, un virus que enviase por correo electrónico a su autor las claves de acceso o los certificados digitales de un usuario. De hecho existen ya varios caballos de Troya y gusanos diseñados específicamente para robar determinada información confidencial del usuario. Esto incluye tanto ficheros como, por ejemplo, comunicaciones a través de la red o pulsaciones en el propio teclado. Se debe considerar, entonces, que cualquier dato residente en la máquina del usuario es susceptible de ser capturada o modificada por un atacante. Esto incluye incluso las interfaces en sí con dispositivos hardware externos, como tarjetas inteligentes. Adicionalmente, un ordenador personal es un sistema relativamente proclive a fallos de software o de hardware, lo que puede ocasional la pérdida irreversible de cualquier dato contenido en él. Esto hay que tenerlo en cuenta para valorar, por ejemplo, los riesgos de almacenar certificados digitales en un ordenador. Una de las características de los virus es que utiliza «objetos» ajenos al mismo como forma de hospedaje y de propagación. 3) Gusano: Programa informático que se propaga de forma autónoma. Contrariamente a un virus, no infecta otros objetos ajenos. 4) DNS: Sistema de Nombres de Dominio (Domain Name System). Es el sistema que traduce un nombre a su dirección IP. 5 Seguridad en las comunicaciones entre el cliente y el servidor Una comunicación a través de Internet, como ya se ha explicado con detalle en capítulos previos, puede atravesar un buen número de sistemas intermedios. Docenas de ellos. Los riesgos son evidentes: Cualquier punto intermedio puede capturar información confidencial enviada por el cliente, como su número de tarjeta de crédito, su dirección física o su teléfono. Cualquier punto intermedio puede observar la información que el cliente consulta, con el consiguiente riesgo para la privacidad. Cualquier punto intermedio puede manipular, de forma arbitraria, la información que envía el cliente al servidor, o el servidor al cliente. Cuando el cliente se conecta para realizar una transacción, no puede estar seguro de estar conectándose realmente al servidor que desea, ya que cualquier punto intermedio puede canalizar dicho tráfico hacia cualquier otra máquina. Esto es especialmente relevante porque el sistema DNS 4 es un sistema de base de datos distribuida en la que, en este momento, se implementan muy pocos mecanismos de seguridad. Se hace necesario, por tanto, algún tipo de mecanismo que permita: Cifrar la comunicación entre el cliente y el servidor, en ambas direcciones. Asegurar al cliente que se está conectando realmente al servidor que desea. CURSO DE INICIACIÓN N O A INTERNET T I C I A S

6 Existe, desde hace años, una tecnología que soluciona ambos problemas: SSL Secure Socket Layer (SSL 5 ) SSL es una tecnología diseñada por Netscape, que cumple los siguientes objetivos: Permite cifrar la comunicación bidireccional entre un cliente y un servidor. Permite validar la identidad de un servidor, ante el cliente. Opcionalmente, permite también el validar la identidad del cliente ante el servidor. Cuando un usuario intenta realizar una conexión segura 6, su navegador le mostrará una ventana del tipo: Esta ventana informa al usuario de que va a establecerse una conexión segura, señalando este hecho de forma claramente explícita. Una vez establecida la sesión SSL, las páginas transferidas de forma cifrada serán marcadas con el icono de una llave o de un candado cerrado, según la versión de nuestro navegador: Mientras el candado esté «cerrado», estaremos navegando de forma segura. Si durante una sesión segura navegamos hacia una URL no segura o normal, nos aparecerá un aviso que nos 5) SSL: Nivel de enlace seguro («Secure Socket Layer»). 6) Conexión Segura: Una URL correspondiente a una conexión segura SSL se reconoce por empezar por «https», en vez del tradicional «http». indica que pasamos a estar desprotegidos: El candado pasará a su situación normal, o abierto: El protocolo SSL define dos mecanismos básicos: cifrado y certificados digitales. Cifrado Cuando el cliente se conecta a un servidor, se procede a negociar una serie de parámetros que van a definir las condiciones de seguridad de la conexión. En el caso concreto del cifrado, cliente y servidor se intercambian mutuamente los algoritmos de cifrado y hash 7 que soportan. La conexión final utilizará los mecanismos que sean el máximo común denominador de entre los soportados en el cliente y el servidor. Para conocer las características de la conexión segura, podemos pulsar sobre el icono del candado o llave de nuestro navegador, lo que nos mostrara una ventana semejante a 7) HASH: Función criptográfica de «dirección única». La ventana nos indica que se trata de una conexión protegida criptográficamente. Si pedimos información sobre la página en cuestión, nos saldrá algo parecido a: La página se ha cifrado utilizando el algoritmo RC4, con una robusted de 40 bits. Esta negociación dinámica entre el cliente y el servidor tiene una gran importancia a nivel de legislación, por ejemplo. Efectivamente, hasta no hace mucho la exportación de tecnología criptográfica segura fuera de EE.UU. era considerada ilegal. Esto implicaba que cuando un europeo intentaba establecer una conexión segura SSL con un servidor norteamericano, por ejemplo, la calidad del cifrado era de unos 40 bits. En cambio, cuando un ciudadano estadounidense intenta comprar en la misma tienda, empleará cifrado de 128 bits. El número de bits indica el número de claves posibles. Con 40 bits, tendremos 2 40 claves, aproximadamente un billón (un millón de millones) de claves. 128 bits suponen claves, o aproximadamente un uno seguido de 38 ceros. Para hacernos una idea de los órdenes de magnitud de los que hablamos, su suponemos un sistema capaz de analizar 2 40 claves en una millonésima de segundo, analizar claves le llevaría cerca de diez billones de años (diez millones de millones de años). Una diferencia tan enorme, como se comprenderá, tiene no pocas implicaciones prácticas. Dadas estas circunstancias, nos puede interesar saber qué calidad de cifrado CURSO N O T I DE C I INICIACIÓN A S A INTERNET 6

7 soporta nuestro navegador. Aunque la mayoría de los navegadores no muestran esa información directamente, existen servidores web 8 en Internet que intentan negociar una conexión SSL con nuestra máquina y nos informan de las características SSL disponibles. Por ejemplo: El cifrado no sólo garantiza que las comunicaciones sean opacas a cualquier atacante que intente interceptarlas, sino que también se detectará cualquier intento de modificar las comunicaciones de forma activa. Como ya se ha comentado, la calidad final del cifrado se negocia entre el cliente y el servidor. Aunque en la actualidad, con la relajación de las restricciones a la exportación de tecnología criptográfica por parte de EE.UU., la mayoría de los navegadores soportan una calidad de cifrado de 128 bits, la inmensa mayoría de los certificados emitidos para servidores, fuera de EE.UU. siguen siendo de 40 bits. Certificados Digitales Uno de los datos que se intercambian cliente y servidor cuando se establece la sesión SSL son los certificados digitales. Los certificados tienen una 8) 9) «man in the middle»: «hombre en medio». El atacante se sitúa entre el cliente y el servidor, estableciendo un canal cifrado independiente entre ambos extremos. Sin la existencia de certificados digitales o algún tipo de secreto compartido, el cliente y el servidor no tienen ninguna forma de saber con quien se comunican realmente. Si el atacante copia todo lo que recibe en el canal del cliente en el canal del servidor, y viceversa, el cliente y el servidor se estarán comunicando sin detectar el hecho de que sus transmisiones están siendo interceptadas por un atacante activo. importancia crucial, permiten que ambos extremos estén seguros de la identidad de la otra parte y, adicionalmente, evitan un ataque criptográfico conocido como «man in the middle» 3. El sistema SSL utiliza criptografía de clave pública o asimétrica para negociar una clave de sesión para un algoritmo de cifrado simétrico. La ventaja de este esquema es que incluso aunque un atacante tenga acceso a todas las comunicaciones entre un cliente y un servidor, con posibilidad tanto de leer como de escribir, la clave simétrica negociada será conocida exclusivamente por las partes cuyas claves públicas se estén empleando durante la negociación. Resulta tremendamente importante, por lo tanto, que estemos absolutamente seguros de que dichas claves se corresponden a las entidades que pretendemos comunicar. Éste es el rol de los certificados digitales. Un certificado digital asocia una clave pública a una dirección IP o a un nombre de dominio determinado. El certificado en sí se forma firmando digitalmente la concatenación de la clave pública de la entidad certificada, su nombre de dominio o dirección IP, fecha de emisión del certificado, fecha de expiración, capacidades criptográficas soportadas, etc., y firmando el conjunto con la clave privada de una entidad certificadora. Cuando un cliente se conecta a un servidor a través de SSL, el servidor envía al cliente el certificado digital de su clave. El cliente lo verifica comprobando que la firma de la entidad certificadora (normalmente conocida como «autoridad de certificación» o CA por sus siglas en inglés) es correcta para los datos firmados lo que confirma, entre otras cosas, que no han sido modificados de ninguna manera. Tras comprobar detalles como la «calidad criptográfica» soportada, la fecha de expiración del certificado, y que el nombre de dominio o dirección IP del certificado se corresponde con la dirección especificada en el navegador, se emplea la clave pública contenida en el mismo para generar una clave de sesión que será enviada al servidor y se utilizará para proteger el resto de las comunicaciones. De forma opcional, el cliente puede enviar al servidor también un certificado digital, que le identifica como poseedor de una determinada dirección de correo electrónica (lo más habitual) o, en los casos límite, autentifica todos un buen número de datos personales del usuario: nombre completo, dirección, teléfono, NIF, etc. En el proceso anterior hemos obviado un paso de gran importancia estratégica: quiénes son las entidades de registro o autoridades de certificación?. Cualquiera puede convertirse en una entidad de certificación. Existen multitud de soluciones software, muchas de ellas gratuitas, para generar certificados y gestionar claves. Pero no todas las autoridades de certificación son iguales. Para que los certificados de una CA sean aceptados por un navegador, es preciso que dicho navegador posea la clave pública de la CA y la reconozca como una entidad certificadora válida. Existen, pues, dos tipos de CA: aquellas reconocidas por los navegadores 7 CURSO DE INICIACIÓN N O A INTERNET T I C I A S

8 más habituales y aquellas que requieren que el usuario instale manualmente la clave pública de la misma, y la autorice a autentificar certificados de otros. Obviamente la segunda opción es mucho más barata y resulta perfectamente válida, por ejemplo, para uso interno de una gran organización. Como contrapartida, no resulta apropiada para un comercio virtual, por ejemplo. No tiene sentido verificar un certificado utilizando la clave de CA que nos hemos bajado del mismo lugar. El hecho de ser una CA reconocida por los navegadores más habituales sin necesidad de que el usuario instale nada especial, tiene, como se comprenderá, un valor económico importante. Veamos algunos ejemplos: Aquí se nos indica que tanto el certificado como la propia clave utilizada para la certificación, ha expirado. Por el contrario, aquí se nos indica que el certificado ha expirado pero, en cualquier caso, nuestro navegador no considera fiable a la entidad de certificación que lo emitió. En los siguientes gráficos vemos como una empresa española intenta enviarnos un certificado cuya entidad de certificación no es reconocida por nuestro navegador: Las entidades de certificación y los certificados que emiten Resulta muy curioso que la mayoría de las entidades de certificación, en particular todas las que son reconocidas por los navegadores habituales, apenas tienen control sobre los datos que están certificando: Típicamente, el certificado de un servidor lo vincula a un nombre de dominio o dirección IP determinada. Ese nombre de dominio y dirección IP no están bajo el control de la CA. De hecho si el comercio cambia de proveedor de conectividado pierde su dominio por algún tipo de disputa legal, su certificado será inservible. En el caso de las certificaciones de usuario, normalmente se autentifica exclusivamente la dirección de correo electrónico del mismo, ya que el procedimiento habitual consiste en enviar el certificado al buzón que se está certificando. Nuevamente, si el usuario cambia de proveedor cambiará su dirección de correo electrónico y, por tanto, su certificado perderá toda validez. Adicionalmente, el administrador de sistemas de ese proveedor puede solicitar miles de certificados para direcciones de correo que ha creado con el fin, por ejemplo, de proporcionarse anonimato. Es decir un certificado de cliente tal y como se están utilizando ahora, autentifica exclusivamente un buzón de , no a un individuo en particular. (continuará) CURSO N O T I DE C I INICIACIÓN A S A INTERNET 8