4.1 Introducción al Comercio
electrónico.
Hoy en día es ampliamente aceptado el hecho de que las
nuevas tecnologías, en particular el acceso a Internet, tienden a modificar la
comunicación entre los distintos participantes del mundo profesional,
especialmente:
- las relaciones entre la empresa y sus clientes,
- el funcionamiento interno de la empresa, que incluye las relaciones
entre la empresa y los empleados,
- la relación de la empresa con sus diversos socios y proveedores.
Por lo tanto, el término "comercio
electrónico" se refiere a la integración dentro de la empresa de
herramientas basadas en tecnologías de información y comunicación (denominadas
por lo general software empresarial con el fin de mejorar su funcionamiento y
crear valor para la empresa, sus clientes y sus socios.
El comercio electrónico ya no se aplica solamente a
empresas virtuales cuyas actividades están en su totalidad basadas en la Web,
sino también a empresas tradicionales (denominadas de ladrillos y cemento).
El término comercio electrónico, de hecho sólo cubre un
aspecto de los negocios electrónicos: la utilización de un soporte electrónico
para la relación comercial entre la empresa e individuos.
El propósito de este documento es presentar las
distintas "tecnologías" subyacentes (en realidad, modos organizativos
basados en tecnologías de información y comunicación) y los acrónimos asociados
a ellas.
4.2 Definición
de Comercio Electrónico.
El término comercio proviene del concepto
latino commercĭum y se refiere a la transacción que se lleva a cabo con el
objetivo de comprar o vender un producto. También se denomina comercio al local
comercial, negocio, botica o tienda, y al grupo social conformado por los
comerciantes.
El comercio, en otras palabras, es una
actividad social y económica que implica la adquisición y el traspaso de
mercancías. Quien participa de un acto de comercio puede comprar el producto
para hacer un uso directo de él, para revenderlo o para transformarlo. En
general, esta operación mercantil implica la entrega de una cosa para recibir,
en contraprestación, otra de valor semejante. El medio de intercambio en el
comercio suele ser el dinero.
No obstante, hay que subrayar que hasta la
aparición del dinero, las antiguas civilizaciones lo que hacían era llevar a
cabo el comercio mediante lo que se denominaba trueque. Esta operación
consistía en adquirir un producto en concreto de un vendedor al que se le
pagaba otorgándole otro producto que este necesitara.
De esta manera podríamos recalcar que dicha
operación comercial se basaba fundamentalmente en el intercambio de productos
de primera necesidad tales como podían ser los alimentos.
4.3 Legislación Informática
En este punto se
describen la regulación de las mejores prácticas de Auditoría en Informática
como administrar los riesgos en tecnología Informática, la auditoría en el
sector público en base a los organismos nacionales e internacionales.
Institute of System
Audit and Association, ISACA
La Information Systems
Audit and Control Association –Asociación de Auditoría y Control de Sistemas de
Información– ISACA, comenzó en 1967. En 1969, el grupo se formalizó,
incorporándose bajo el nombre de EDP Auditors Association –Asociación de
Auditores de Procesamiento Electrónico de Datos. En 1976 la asociación formó
una fundación de educación para llevar a cabo proyectos de investigación de
gran escala para expandir los conocimientos y el valor del campo de gobernación
y control de TI.
«Actualmente, los
miembros de ISACA –más de 28.000 en todo el mundo– se caracterizan
por su diversidad ya que están presentes en más de 100 países y cubren una
variedad de puestos profesionales relacionados con TI, como son los Auditores
de SI, Consultores, Educadores, Profesionales de Seguridad de SI, Reguladores,
Directores Ejecutivos de Información y Auditores Internos, por mencionar sólo
algunos.
»En las tres décadas
transcurridas desde su creación, ISACA se ha convertido en una
organización global que establece las pautas para los profesionales de
gobernación, control, seguridad y auditoría de información.
4.3.1 Legislación del comercio
Electrónico
Hablar de leyes que
regulen Internet se ha convertido en el último grito de la moda entre nuestros
legisladores, fenómeno que probablemente ha sido sólo superado por la magnitud
con que los medios han abordado este acontecimiento.
El tema pareciera
novedoso, pero la realidad es que lleva ya algún tiempo sobre la mesa. En mayo
de 2000 entraron en vigor una serie de reformas al hoy Código Civil Federal
(CC), Código de Comercio (CCom), Código Federal de Procedimientos Civiles
(CFPC) y Ley Federal de Protección al Consumidor (LFPC). Su finalidad era
habilitar la con-tratación electrónica, de manera que los acuerdos celebrados
por “medios electrónicos ópticos o cual-quier otra tecnología”1 pudieran
con-siderarse legalmente válidos y por consiguiente plenamente obligatorios y
exigibles entre las partes que concurrieron a su celebración.
El
texto de estas reformas estaba inspirado a su vez en la ley modelo de CNUDMI2
de diciembre de 1996. La adopción de un lenguaje universal y uniforme en
nuestra legislación nacional fue un acierto del legislador mexicano, pues sentó
las bases para lanzar una plataforma sostenible de negocios electrónicos mexicanos
en la arena global
4.3.2 Daño y robo a datos
Los daños a datos son
la alteración, destrucción o pérdida de mala fe a la estructura de un dato.
Para evitar los daños existe el Código Penal Federal, a continuación algunos
artículos que dice lo siguiente:
+Art. 211 (1). Dice
que al que sin autorización modifique, destruya o provoque pérdida de
información en sistemas de información protegidos, se le impondrán de seis
meces a dos años de prisión y de cien a trescientos días de multa.
+Art. 211 (2). Dice
que al que sin autorización modifique, destruya o provoque perdida de
información contenida en equipos de informática del Estado, se le impondrá de
uno a cuatro años de prisión y de doscientos a seiscientos días de multa.
Los robos a datos se
realizan con mayor frecuencia por parte del personal dentro de las
instituciones. A continuación algunos artículos que dicen lo siguiente:
+Art.210. Se impondrán
de treinta a doscientas jornadas de trabajo en favor de la comunidad, al que
sin justa causa y sin consentimiento del que pueda resultar perjudicado, revele
algún secreto o comunicación reservada que conoce o ha recibido con motivo de
su empleo.
+Art. 211. La sanción
será de uno a cinco años, multa de cincuenta a quinientos pesos y suspensión de
profesión, cuando la revelación sea hecha por persona que presta servicios
profesionales o técnicos o cuando el secreto revelado o publico sea de carácter
industrial.
4.3.3 Contratación: derechos y
Obliga-
ciones
Se puede decir que la legislación informática es un
conjunto de reglas jurídicas de carácter preventivo y correctivo derivadas del
uso de la informática.
Por otra parte, dicha reglamentación deberá contemplar
las siguientes problemáticas debidamente identificadas: Regulación de los
bienes informáticos. Ya que la información como producto informático requiere
de un tratamiento jurídico en función de su innegable carácter económico.
Protección de datos personales. Es decir, el atentado a los derechos
fundamentales de las personas provocado por el manejo inapropiado de
informaciones nominativas. Flujo de datos transfronterizos. Con el
favorecimiento o restricción en la circulación de datos a través de las
fronteras nacionales. Protección de los programas. Como resolución a los
problemas provocados por la llamada “piratería” o pillaje de programas de
cómputo. Delitos informáticos. Como la comisión de verdaderos actos ilícitos
4.3.4 Seguridad privada
(criptografía o
Encriptamiento)
La criptografía es
la técnica que protege documentos y datos. Funciona a través de la
utilización de cifras o códigos para escribir algo secreto en documentos y
datos confidenciales que circulan en redes locales o en internet. Su
utilización es tan antigua como la escritura. Los romanos usaban códigos para
ocultar sus proyectos de guerra de aquellos que no debían conocerlos, con el
fin de que sólo las personas que conocían el significado de estos códigos
descifren el mensaje oculto. A partir de la evolución de las computadoras, la
criptografía fue ampliamente divulgada, empleada y modificada, y se
constituyó luego con algoritmos matemáticos. Además de mantener la seguridad del usuario, la criptografía
preserva la integridad de la web, la autenticación del usuario así como
también la del remitente, el destinatario y de la actualidad del mensaje o
del acceso.
Las llaves pueden ser:
Simétricas: Es la utilización de determinados algoritmos para descifrar y encriptar (ocultar) documentos. Son grupos de
algoritmos distintos que se relacionan unos con otros para mantener la
conexión confidencial de la información.
Asimétrica: Es una fórmula matemática que utiliza dos llaves, una pública y
la otra privada. La llave pública es aquella a la que cualquier persona puede
tener acceso, mientras que la llave privada es aquella que sólo la persona
que la recibe es capaz de descifrar.
|
Un mensaje codificado
por un método de criptografía debe ser privado, o sea, solamente aquel que
envió y aquel que recibe debe tener acceso al contenido del mensaje. Además de
eso, un mensaje
debe poder ser suscrito, o sea, la persona que la recibió debe poder verificar
si el remitente es realmente la persona que dice ser y tener la capacidad de
identificar si un mensaje puede haber sido modificado.
Los métodos de criptografía actuales son seguros y eficientes y basan su uso en
una o más llaves. La llave es una secuencia de caracteres, que puede contener
letras, dígitos y símbolos (como una contraseña), y que es convertida en un
número, utilizada por los métodos de criptografía para codificar y decodificar
mensajes.
Actualmente, los métodos criptográficos pueden ser subdivididos en dos grandes
categorías, de acuerdo con el tipo de llave utilizado: criptografía
de llave única y la criptografía de llave pública y privada.
4.3.5 Amenazas potenciales:
virus y Hacker´s
Principales Amenazas
Las amenazas a la
seguridad de la información atentan contra su confidencialidad, integridad y
disponibilidad. Existen amenazas relacionadas con falla humanas, con ataques
malintencionados o con catástrofes naturales. Mediante la materialización de
una amenaza podría ocurrir el acceso modificación o eliminación de información
no autorizada; la interrupción de un servicio o el procesamiento de un sistema;
daños físicos o robo del equipamiento y medios de almacenamiento de
información.
Descripciones
Ingeniería Social
Consiste en utilizar
artilugios, tretas y otras técnicas para el engaño de las personas logrando que
revelen información de interés para el atacante, como ser contraseñas de
acceso. Se diferencia del resto de las amenazas básicamente porque no se
aprovecha de debilidades y vulnerabilidades propias de un componente
informático para la obtención de información.
Phishing
Consiste en el envío
masivo de mensajes electrónicos que fingen ser notificaciones oficiales de
entidades/empresas legítimas con el fin de obtener datos personales y bancarios
de los usuarios.
Escaneo de Puertos
Consiste en detectar
qué servicios posee activos un equipo, con el objeto de ser utilizados para los
fines del atacante.
Wardialers
Se trata de
herramientas de software que utilizan el acceso telefónico de una máquina para
encontrar puntos de conexión telefónicos en otros equipos o redes, con el
objeto de lograr acceso o recabar información.
Código Malicioso / Virus
Se define como todo
programa o fragmento del mismo que genera algún tipo de problema en el sistema
en el cual se ejecuta, interfiriendo de esta forma con el normal funcionamiento
del mismo. Existen diferentes tipos de código malicioso; a continuación mencionamos
algunos de ellos:
Bombas
Se encuentran diseñados para activarse ante la ocurrencia de un evento definido
en su lógica.
Troyanos
Suele propagarse como parte de programas de uso común y se activan cuando los
mismos se ejecutan.
Gusanos
Tienen el poder de auto duplicarse causando efectos diversos.
Cookies
Son archivos de texto con información acerca de la navegación efectuada por el
usuario en Internet e información confidencial del mismo que pueden ser
obtenidos por atacantes.
4.3.6 Ética del comercio
electrónico
Un delito electrónico
es aquel comportamiento no ético y no autorizado, basado en algún tipo de
fraude. Es el estudio de
los principios que las personas y las organizaciones pueden utilizar para
determinar correctas e incorrectas acciones.
Hay tres principios
básicos de ética:
+Responsabilidad. Las
personas, las organizaciones y las sociedades son responsables de las acciones
que realizan.
+Rendición de cuentas.
Las personas, las organizaciones y las sociedades deben ser responsables para
con los demás por las consecuencias de sus acciones.
+Responsabilidad
civil. Es una característica de los sistemas políticos en la cual hay un órgano
legal que permite a las personas recuperar los daños ocasionados por otros
actores, sistemas u organizaciones.
4.4 Transacciones
electrónicas
SET fue muy publicitado a finales de la década de 1990 como
el estándar de facto para el uso de tarjetas
de crédito. Sin embargo, no logró el éxito anunciado, debido a la necesidad de
instalar software cliente (por ejemplo, una eWallet), y
el costo y la complejidad de los vendedores para ofrecer soporte.
A partir del año 2000, las compañías de
tarjetas de crédito comenzaron a promocionar un nuevo estándar para reemplazar
SET, denominado 3-D Secure.
Por otro lado las implementaciones actuales de e-commerce que solo utilizan el
protocolo SSL presentan un bajo costo y
simplicidad en su implementación sin ofrecer la misma calidad de servicios
criptográficos que las nuevas alternativas.
Resumen de la unidad
Podemos definir el comercio electrónico (e-commerce) como la actividad
comercial consistente en la entrega de bienes, o servicios, a compradores que
usan sistemas de pagos electrónicos (EPS).
A partir de ello podemos inferir los requerimientos de secundad de los EPS:
autentiricación, integridad, autorización y confidencialidad.
La autentificación implica que ambas partes deben probar sus identidades,
que no tienen que ser necesariamente las reales. Es posible la autentificación
guardando el anonimato.
Los mecanismos de integridad son necesarios para salvaguardar los datos
implicados en las transacciones.
La autorización pretende garantizar que las transacciones deberán ser
manifiestamente consentidas por parte de su propietario.
La confidencialidad hace referencia al deseo de alguna o de todas las
partes de alcanzar la imposibilidad de rastrear la transacción o que su
identidad no sea asociada con la misma. Como ya hemos dicho, la autentificación
y la confidencialidad no son excluyentes.
DIAPOSITIVAS EN EQUIPO: