UNIVERSIDAD DON BOSCO VICERRECTORÍA DE ESTUDIOS DE POSTGRADO TRABAJO DE GRADUACIÓN SEGURIDAD EN LAS TRANSACCIONES EN LÍNEA DE COMERCIO ELECTRÓNICO PARA OPTAR AL GRADO DE MAESTRO EN SEGURIDAD Y GESTIÓN DE RIESGOS INFORMÁTICOS ASESOR: MAESTRO VIRGILIO ERNESTO REYES VÁSQUEZ PRESENTADO POR: RENÉ ALEXIS VILLATORO ALAS Antiguo Cuscatlán, La Libertad, El Salvador, Centroamérica. Febrero de 2015 LISTA DE GRAFICOS Gráfico 2.3 Proceso de inserción de virus en un computador ……………………….………………... 5 Gráfico 4.1 Diagrama de configuración de firewall con DMZ ……………….….…………………….... 8 Gráfico 4.2.1 Aplicación Cisco VPN Cliente …………………………………………….………………………… 9 Gráfico 4.3.1 Proceso de cifrado de datos simétricos ………………………….………….…………..... 11 Gráfico 4.4.1 Proceso de firma digital ……………………………………….…………….………………….... 16 Gráfico 4.5 Protección de transacciones por medio de SSL ……………….…………….………….... 17 Gráfico 4.5.1 Comprobación de validez de un certificado ……………………………...…….. 17 - 20 Gráfico 4.5.3 Proceso de solicitud del certificado …………………………….………….……………….. 21 Gráfico 4.6.1 Proceso de solicitud del certificado …………………………………….………….……….. 22 INDICE RESUMEN ...................................................................................................................................... 1 INTRODUCCION ............................................................................................................................. 2 ¿QUÉ ES LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO? ........................................................... 3 1. ELEMENTOS DE SEGURIDAD DE LA INFORMACIÓN DE COMERCIO ELECTRÓNICO ..................... 3 1.1 INTEGRIDAD ........................................................................................................................ 3 1.2 NO REPUDIO ........................................................................................................................ 3 1.3 AUTENTICIDAD .................................................................................................................... 4 1.4 CONFIDENCIALIDAD ............................................................................................................. 4 1.5 DISPONIBILIDAD .................................................................................................................. 4 2. PRINCIPALES PROBLEMAS DE SEGURIDAD EN EL COMERCIO ELECTRÓNICO ............................. 4 2.1 ATAQUES DE HACKERS ........................................................................................................ 4 2.2 DENEGACIÓN DE SERVICIO .................................................................................................. 5 2.3 VIRUS INFORMÁTICOS Y SU PROPAGACIÓN ........................................................................ 5 3. NORMAS DE SEGURIDAD DE DATOS DE LA PCI DSS EN TARJETAS DE CRÉDITO ......................... 5 3.1 CONSTRUIR Y MANTENER UNA RED SEGURA ...................................................................... 6 3.2 PROTEGER LOS DATOS DEL TITULAR DE LA TARJETA ........................................................... 6 3.3 MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES ...................................... 6 3.4 IMPLEMENTAR FUERTES MEDIDAS DE CONTROL DE ACCESO .............................................. 6 3.5 MONITOREAR REGULARMENTE Y HACER PRUEBAS EN LA RED ........................................... 6 3.6 MANTENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN ....................................... 7 4. TECNOLOGÍA DE SEGURIDAD DEL COMERCIO ELECTRÓNICO .................................................... 7 4.1 FIREWALLS ........................................................................................................................... 7 4.2 VPN ...................................................................................................................................... 8 4.2.1 PROTOCOLO RECOMENDADO (IPSEC) ........................................................................... 9 4.2.2 IMPORTANCIA DE UTILIZAR (IPSEC) .............................................................................. 9 4.3 TECNOLOGÍA DE CIFRADO DE DATOS ................................................................................ 10 4.3.1 CIFRADO DE DATOS SIMÉTRICOS ................................................................................ 10 4.3.1.1 ALGORITMOS COMUNES PARA CIFRADO DE DATOS SIMÉTRICOS ........................... 11 4.3.1.2 DES (DATA ENCRYPTION STANDARD) ...................................................................... 11 4.3.1.3 3DES (TRIPLE DATA ENCRYPTION STANDARD) ......................................................... 12 4.3.1.4 RC5 ........................................................................................................................... 12 4.3.1.5 IDEA (INTERNATIONAL DATA ENCRIPTIÓN ALGORITHM) ......................................... 12 4.3.1.6 AES (ADVANCED ENCRYPTION STANDARD) ............................................................. 13 4.3.2 CIFRADO DE DATOS ASIMÉTRICOS .............................................................................. 13 4.3.2.1 ALGORITMOS DE DATOS ASIMÉTRICOS ................................................................... 13 4.4 TECNOLOGÍA DE AUTENTICACIÓN ......................................................................................... 14 4.4.1 FIRMA DIGITAL............................................................................................................ 14 4.5 CERTIFICADO DIGITAL ............................................................................................................ 16 4.5.1 COMPROBACIÓN DE VALIDEZ DE UN CERTIFICADO ........................................................ 16 4.5.1.1 TRES CONDICIONES PARA QUE EL CERTIFICADO SEA VÁLIDO Y ACEPTADO POR EL NAVEGADOR ........................................................................................................................... 16 4.5.2 TIPOS DE CERTIFICADOS ................................................................................................. 20 4.5.3 CENTRO DE CERTIFICACIÓN DE CA (CERTIFICATE AUTHORITY) ....................................... 21 4.6 PROTOCOLO DE SEGURIDAD DE LAS TRANSACCIONES ......................................................... 21 4.6.1 CAPA DE SOCKETS SEGUROS (SECURE SOCKET LAYER, SSL) Y SEGURIDAD DE LA CAPA DE TRANSPORTE (TRANSPORT LAYER SECURITY, TLS) .................................................................. 22 4.7 RECOMENDACIONES PARA CIFRADO DE DATOS Y BUENAS PRÁCTICAS EN LA TECNOLOGIA DE AUTENTICACION.......................................................................................................................... 23 5. ANTECEDENTES LEGISLATIVOS DEL COMERCIO ELECTRONICO EN EL SALVADOR .................... 24 5.1 LEY DE BANCO ................................................................................................................... 25 5.1.1 OPERACIONES DE CRÉDITO ENTRE BANCOS ................................................................... 25 5.2 LEY DE IMPUESTO .............................................................................................................. 25 5.2.1 HECHOS GENERADORES.................................................................................................. 25 5.2.2 CAPÍTULO II RETENCIÓN DE IMPUESTO PARA EL CONTROL DE LA LIQUIDEZ .................. 26 5.3 LEY DE PROTECCIÓN .......................................................................................................... 26 5.3.1 PRÁCTICAS ABUSIVAS ..................................................................................................... 26 5.3.2 PLAZOS Y NOTIFICACIONES ............................................................................................. 27 5.4 EL COMERCIO ELECTRÓNICO SIN REGULACIÓN EN EL SALVADOR ..................................... 28 6. ACELERAR LA FORMACIÓN DE PROFESIONALES DE SEGURIDAD INFORMATICA ESPECIALIZADOS EN INFORMATICA FORENSE EN EL SALVADOR ................................................. 29 CONCLUSION ............................................................................................................................... 30 RECOMENDACIONES ................................................................................................................... 31 REFERENCIAS ............................................................................................................................... 33 ANEXOS ....................................................................................................................................... 35 GLOSARIO ................................................................................................................................... 60 1 RESUMEN El comercio electrónico es un modelo basado en Internet, pues a lo largo del tiempo se ha ido transformando en la principal fuente de comercialización en la red. Así mismo, es un medio de negociación entre las empresas y los usuarios, por consiguiente podemos lograr la igualdad de oportunidades dentro del mercado, en cuanto a brindar sus productos y servicios de manera más cómoda, de fácil acceso; pero también ayudándonos a reducir el factor tiempo y el empleo de muchos recursos. Este beneficio no solo se presta en una sino en varias organizaciones. No obstante, es importante pretender identificar, cuál es el inconveniente más grande que ocurre al momento de verificar, si el uso de este tipo de comercio se vuelve totalmente inseguro o con poca confiabilidad en su manejo. Esto lo analizamos al constatar, la vulnerabilidad que sufre el área empresarial cuando en su sistema de seguridad se compromete información confidencial almacenada en sus servidores tales como: números de tarjeta de crédito, número de cuenta bancaria, datos personales, etc. Cabe mencionar, que para resolver esta problemática tan eminente, es necesario tratar con los protocolos de seguridad porque con ellos resguardamos perfectamente la información de los usuarios, a través de: Cifrado de datos, métodos de autenticación, firewalls entre otros. PALABRAS CLAVE: comercio electrónico, cifrado de datos, firewalls, métodos de autenticación, protocolos de seguridad. ABSTRACT E-commerce is a model based on Internet, because over time is has been transformed into the main source of marketing on the net. Is also a means of negotiation between companies and users, therefore we can achieve equality of opportunity in the market, in terms of providing its products and services more comfortably, for easy access but also helping to reduce the time factor and the use of many resources. This benefit is paid not only once but several organizations. However, it is important to seek to identify, what is the largest problem that occurs at the time of check, if the use of this type of trade becomes totally unsafe or unreliability in its management. This analyzed it to confirm, the vulnerability affecting the business area when in your security system undertakes confidential information stored on their servers such as: numbers of credit card, bank account, personal data, etc. It is noteworthy, that to solve this problem so eminent, is necessary to deal with the security protocols because with them safeguard perfectly users, through information: encrypted data, authentication methods, including firewalls. KEYWORDS: e-commerce, firewalls, encryption data, firewalls, authentication methods, security protocols. 2 INTRODUCCION El presente trabajo de investigación se denomina “SEGURIDAD EN LAS TRANSACCIONES EN LINEA DE COMERCIO ELECTRÓNICO, por esta razón, primero nos vamos a referir a los principios básicos de la implementación de seguridad; en sistemas informáticos, para todos aquellos administradores de servidores, redes y oficiales. Esto con el fin de detectar, donde se encuentran las deficiencias y poder así ejecutarlos de la mejor manera posible. A continuación, mencionaremos los diferentes tipos de usuarios, para dar un mayor enfoque a la realización de los principios, estos se ejemplifican así: Están los que realizan transacciones en línea, sin fijarse en la protección que muestra el sitio web, también existen otros que no se percatan, si su información personal ha sido clonada y por último los que desconocen si dentro de la red han sido interceptados por un hacker. En segundo lugar, hoy en día se tiene que estar claro, acerca de las medidas de seguridad; porque permite determinar si dentro de este proceso se cuenta con sitios auténticos o no, a fin de preservar los datos sensibles, ya que de no revisarse, la delincuencia cibernética podría llegar aprovecharse de la falta de conocimientos de los usuarios al momento de efectuar la transacción. En tercer lugar, señalaremos los mecanismos criptográficos en los sistemas de seguridad tales como: Los datos cifrados, firmas y certificados digitales. Estos nos facilitan una guía en a cuanto su aplicación certera. Finalmente, analizaremos la consistencia que existe en la negociación vía Internet de todas las entidades involucradas. Sin esta indagación no podremos detallar la importancia de la confiabilidad que debe existir en el comercio electrónico debido a que la mayoría de personas optan por esta utilización y no por la modalidad tradicional. 3 ¿QUÉ ES LA SEGURIDAD EN EL COMERCIO ELECTRÓNICO? Es cuando se efectúan transacciones en línea de forma confiable sin que esta sea interceptada por cibercriminales. Muchas veces estos intercambios resultan inestables porque se exponen datos personales o cualquier otro tipo de información privada y los clientes se confían suponiendo que solamente en el modelo tradicional se cometen faltas o transgresiones en el proceso de comercialización. Es así como se complica el desarrollo de la mayoría de empresas y consumidores que ocupan esta modalidad de negociación. Por este motivo, las organizaciones deben adquirir nuevas tecnologías que estén a la vanguardia con el tema de la protección para salvaguardar toda la comunicación digital en su red y poder así evitar riesgos, de lo contrario; existirá el grave peligro que ocurran una cantidad de suplantaciones de identidad y estos sean usados en cuanto a la proliferación de crímenes en Internet, que son perpetrados a través de infraestructuras de redes inseguras. 1. ELEMENTOS DE SEGURIDAD DE LA INFORMACIÓN DE COMERCIO ELECTRÓNICO La seguridad de la información se ha mantenido sobre los siguientes pilares, ayudando a la construcción de un robusto control de seguridad: 1.1 INTEGRIDAD Se refiere a que se debe asegurar que los datos no se falsifican o alteran por usuarios no autorizados. Es un hecho que el comercio electrónico simplifica el trato, haciéndolo cada vez más eficaz pero es necesario precisar sobre el primer elemento, pues sin este, no podría existir rectitud en el manejo y se daría lugar a que hayan muestras de falsificaciones inesperadas cuando la información que ha sido ingresada por el cliente en el sitio web, transmite alteraciones o atracos por terceros, lo que provoca un bajo nivel de satisfacción en la ocupación de este modelo que no es el tradicional. 1.2 NO REPUDIO Se da cuando garantizamos que los beneficiarios del comercio electrónico no puedan negar el intercambio ya finalizado, una vez hayan ejercido cualquier proceso en línea. 4 1.3 AUTENTICIDAD Se refiere a la secuencia de pasos que tomamos en cuenta, para llegar a la total verificación de la real identidad de una persona o entidad, basándonos en que los datos que se han recibido del solicitante, correspondan al cliente u empresa sin que se encuentren intermediarios que se hagan pasar por ellos, (Suplantación de identidad). 1.4 CONFIDENCIALIDAD Es aquella donde aseguramos, la fiabilidad del empleo de la información que viaja en la red, ya sea la del usuario que ha solicitado el encargo o la de la empresa que recibe la solicitud del cliente que se ha beneficiado de sus servicios. 1.5 DISPONIBILIDAD Se refiere a la capacidad que un sitio de comercio electrónico tiene para ser flexible las 24 horas del día, omitiendo interrupciones y en función apropiada; sin importar el momento que se requiera la solicitud, con el fin de alcanzar la satisfacción de necesidades [1]. 2. PRINCIPALES PROBLEMAS DE SEGURIDAD EN EL COMERCIO ELECTRÓNICO Los principales problemas de seguridad que enfrenta el comercio electrónico se basan en tres áreas, la cuales son: Ataques de Hackers, denegación de servicios, virus informáticos y su propagación. Al enfocarnos en estas dificultades podemos prevenir riegos severos y es así como los analizaremos detalladamente. 2.1 ATAQUES DE HACKERS Son todas aquellas embestidas que actúan por medio de computadoras ya que son aprovechadas para transgredir a sus primordiales activos, esto lo construyen las personas que acceden a los sistemas sin previa autorización del cliente, haciendo una manipulación ilegal de los recursos de la red. Por ejemplo: estos individuos entran a los servicios de rutina o de monitoreo de tráfico de red con la intención de obtener el host de destino de su víctima, en la cual incluyen el tipo de versión del sistema operativo, escaneo de puertos abiertos en la PC, dirección de MAC, dirección de IP hasta monitorear el tráfico que pasa por la red, eludiendo el firewall [2]. 5 2.2 DENEGACIÓN DE SERVICIO Es aquel ataque, el cual, genera un gran número de peticiones de servicio o acceso a un sitio web, bombardeando el sistema hasta llegar al punto de colapsar y no responder adecuadamente en el tiempo requerido [4]. 2.3 VIRUS INFORMÁTICOS Y SU PROPAGACIÓN Un virus es un conjunto de códigos programables que son insertados en un programa para poder ingresar a un host de forma indebida, por lo que se distribuye en el ordenador con la finalidad de destruir, robar o compartir datos de forma ilegal. Estos son tan eficientes, que pueden auto-programarse y replicarse a sí mismo en una red u ordenador. El virus se puede difundir mediante el siguiente mecanismo: Cuando es creado por el programador, utilizando un lenguaje ensamblador, luego el usuario abre el programa contaminado y este es insertado en el ordenador, finalmente este se infecta, deshabilitando los dispositivos físicos y robando la información [3]. Véase figura 2.3. 3. NORMAS DE SEGURIDAD DE DATOS DE LA PCI DSS EN TARJETAS DE CRÉDITO Las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS) se desarrollaron para fomentar y mejorar la seguridad de los datos del titular de la tarjeta y facilitar la adopción de medidas de seguridad uniformes a nivel mundial. Las PCI DSS 6 proporcionan una referencia de requisitos técnicos y operativos desarrollados para proteger los datos de los titulares de tarjetas. Las PCI DSS se aplican a todas las entidades que participan en el procesamiento de tarjetas de pago, entre las que se incluyen comerciantes, procesadores, adquirientes, entidades emisoras y proveedores de servicios, como también todas las demás entidades que almacenan, procesan o transmiten CHD (datos del titular de la tarjeta) o SAD (datos de autenticación confidenciales). "A continuación, encontrará una descripción general de los 12 requisitos de las DSS de la PCI." [12] Norma de seguridad de datos de la PCI: Descripción general de alto nivel. 3.1 CONSTRUIR Y MANTENER UNA RED SEGURA • Instalar y mantener una correcta configuración del Firewall • No utilizar los valores predeterminados para las contraseñas del sistema y otros parámetros de seguridad 3.2 PROTEGER LOS DATOS DEL TITULAR DE LA TARJETA • Proteja los datos del titular de la tarjeta que fueron almacenados • Cifrar la transmisión de los datos del titular de la tarjeta en las redes públicas abiertas. 3.3 MANTENER UN PROGRAMA DE GESTIÓN DE VULNERABILIDADES • Usar software antivirus y actualizarlo periódicamente • Desarrollar y mantener programas y sistemas seguros 3.4 IMPLEMENTAR FUERTES MEDIDAS DE CONTROL DE ACCESO • Restringir el acceso a las partes clave del negocio • Asignar identificadores únicos para cada persona que tenga acceso a los datos de titulares de tarjetas • Restringir el acceso físico a los datos de los titulares de tarjetas 3.5 MONITOREAR REGULARMENTE Y HACER PRUEBAS EN LA RED • Rastrear y monitorear todo el acceso a los recursos de red y datos de titulares de tarjetas • Probar regularmente los sistemas y los procesos de seguridad 7 3.6 MANTENER UNA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN • Mantener una política que aborde la seguridad de la información para todo el personal 4. TECNOLOGÍA DE SEGURIDAD DEL COMERCIO ELECTRÓNICO Los métodos tecnológicos que se ocupan para poder proteger los sistemas informáticos de una empresa son: firewalls, VPN, cifrado de datos simétricos, cifrado de datos asimétricos, firma digital, escaneo de vulnerabilidades, entre otros. Muchas empresas establecen sus propias medidas de seguridad para proteger sus sistemas de ataques cibernéticos y de este modo alcanzan el aseguramiento de la información de los clientes. 4.1 FIREWALLS Su objetivo primordial es evitar la entrada no autorizada. Adicional a esto, es un mecanismo de control, que permite el fortalecimiento del tráfico de uno o más paquetes, a través de la red interna y externa con el propósito de encontrar más comunicación entre sí, configurando dispositivos de hardware y software que se resuelve entorno a las políticas de seguridad, construyendo de este modo una barrera en la red interna de la empresa, aislando los paquetes que no cumplen la condición de acceso [3]. En cuanto a las reglas de ingreso podríamos decir, que los protocolos de seguridad incluyen: acceso a la red, acceso a los servicios locales, autenticación de usuarios remotos tanto entrada o salida, regulaciones de cifrado de datos y medidas de protección a los sistemas de gestión. Estos permiten rechazar o aceptar el ingreso, puesto que adaptan dirección de IP de origen y destino y verifican la cabecera del paquete TCT/IP. Con todo esto se pueden reducir ataques cibernéticos y contrarrestar las vulnerabilidades en la red, proporcionando así una plataforma más asegurada en las transacciones de comercio electrónico. Además, otra solución para preservar la red de forma óptima, sería la de implementar una DMZ, Véase figura 4.1. El área que esta entre el firewall interno y el firewall externo se denomina zona desmilitarizada (DMZ) la cual, sirve para mantener la confiabilidad en la red. 8 En esta arquitectura, hay dos firewalls: uno entre Internet y el DMZ y el otro, interno entre la DMZ y la red interna. Todos los servidores públicos se colocan en el DMZ. Así es posible tener reglas de firewalls que admitan el acceso garantizado a los servidores públicos, porque el firewall interior puede restringir todas las conexiones de entrada [4]. 4.2 VPN Mejor conocido como la Red Virtual Privada, que sus siglas en inglés significan: “Virtual Private Network”. Esto atiende, a la infraestructura de red pública, por medio de la tecnología de "túnel", para lograr una red de transmisión segura de datos privados, con la diferencia que toda la información que viaja en este, está cifrada logrando la defensa en la transmisión de sus datos. Las organizaciones utilizan redes privadas virtuales (VPNs) para crear una conexión de red privada de extremo a extremo (túnel) sobre redes de terceros, tales como Internet o extranets. El túnel elimina la barrera de la distancia y permite que los usuarios remotos tengan acceso a recursos de la red central. Sin embargo, las VPNs no garantizan que la información se mantenga segura mientras atraviesa el túnel. Por este motivo, se aplican métodos criptográficos modernos a las VPNs, con el fin de establecer conexiones seguras de redes privadas de extremo a extremo. El VPN, utiliza los siguientes protocolos de autenticación: Punto a punto (PPP), por contraseña (PAP), Desafío Handshake, Authentication Protocol (CHAP), Autenticación de 9 contraseña de Shiva, por desafío mutuo Microsoft (MS-CHAP), Protocolo de autenticación (EAP), Microsoft Punto a Punto Algoritmo de cifrado (MPPE), Protocolo de seguridad de Internet (IPSec), Mecanismo de paquetes Protocolo (SPAP) [5] 4.2.1 PROTOCOLO RECOMENDADO (IPSEC) El protocolo IP Security (IPsec) proporciona el framework para configurar VPNs seguras y es utilizado con frecuencia a través de Internet para conectar sucursales de oficinas, empleados remotos y socios comerciales. Es una forma confiable de mantener la privacidad de las comunicaciones a la vez que se optimizan las operaciones, se reducen costos y se permite una administración flexible de la red. Es posible implementar VPNs de sitio a sitio seguras, entre un sitio central y uno remoto, utilizando el protocolo IPsec. IPsec puede también ser utilizado en túneles de acceso remoto, para el acceso de trabajadores a distancia. La aplicación Cisco VPN Client es un método para establecer una VPN de acceso remoto con IPsec. Además de IPsec, puede utilizarse el protocolo Secure Sockets Layer (SSL) para establecer conexiones de acceso remoto VPN. Véase figura 4.2.1 Las VPNs con SSL son apropiadas para poblaciones de usuarios que requieren control de acceso por aplicación o por servidor, o acceso desde estaciones de trabajo no provistas por la empresa. Las VPNs con SSL no son un reemplazo completo de las VPNs con IPsec. [13] 4.2.2 IMPORTANCIA DE UTILIZAR (IPSEC) IPSec provee la flexibilidad para soportar el acceso seguro de todos los usuarios, sin importar desde qué host intenten establecer la conexión. Esta flexibilidad permite que las 10 compañías extiendan sus redes empresariales seguras para cualquier usuario autorizado, proveyendo así conectividad de acceso remoto a recursos corporativos desde cualquier host conectado a Internet. Las VPNs con IPsec permiten un acceso seguro a todas las aplicaciones cliente-servidor de la organización. Además, las VPNs con SSL no soportan el mismo nivel de seguridad criptográfica soportado por las VPNs con IPsec. Mientras que las VPNs con SSL no pueden reemplazar a las VPNs con IPsec, en muchos casos son complementarias, ya que resuelven diferentes problemas. Este enfoque complementario permite que un solo dispositivo resuelva todos los requisitos de los usuarios de acceso remoto. 4.3 TECNOLOGÍA DE CIFRADO DE DATOS El cifrado de datos es la tecnología de hardware o software, que se utiliza para poder transformar la información en texto plano a texto cifrado, que puede ser leído únicamente por el emisor o el receptor del mensaje, para evitar que los documentos sean accedidos por terceros no autorizados. 4.3.1 CIFRADO DE DATOS SIMÉTRICOS El cifrado de datos simétricos, es un protocolo criptográfico donde tanto el emisor como el receptor manejan la misma llave para cifrar y descifrar la información de forma certera [1]. Para establecer la comunicación de forma fiable, el emisor y el receptor necesitan compartir su llave y conservarla en un lugar fiable, ya que si uno de ellos pierde la llave, les será difícil poder comunicarse. Véase figura 4.3.1 11 4.3.1.1 ALGORITMOS COMUNES PARA CIFRADO DE DATOS SIMÉTRICOS 4.3.1.2 DES (DATA ENCRYPTION STANDARD) Su arquitectura está basada en un sistema monoalfabético, donde un algoritmo de cifrado aplica sucesivas permutaciones y sustituciones al texto en claro. En un primer momento la información de 64bits se somete a una permutación inicial, y a continuación se somete a una permutación con entrada de 8 bits, y otra de sustitución de entrada de 5 bits, todo ello constituido a través de un proceso con 16 etapas de cifrado. [4]. El algoritmo DES usa una clave simétrica de 64bits, los 56 primeros bits son empleados para el cifrado, y los 8 bits restantes se usan para comprobación de errores durante el proceso. La clave efectiva es de 56 bits, por tanto, tenemos 2⁵⁶ combinaciones posibles, por lo que la fuerza bruta se hace casi imposible. VENTAJAS: • Es uno de los sistemas más empleados y extendidos, por tanto es de los más probados. • Implementación sencilla y rápida. DESVENTAJAS: • No se permite una clave de longitud variable, es decir, no se puede aumentar para tener una mayor seguridad. • Es vulnerable al criptoanálisis diferencial (2⁴⁷ posibilidades) siempre que se conozco un número suficiente de textos en claro y cifrados. • La longitud de clave de 56 bits es demasiado corta, y por tanto vulnerable, no es recomendable utilizarlo. Actualmente DES ya no es un estándar, debido a que una empresa española sin fines de lucro llamado Electronic Frontier Foundation (EFF) construyo en Enero de 1999 una máquina capaz de probar las 256 claves posibles en DES y romperlo sólo en tres días con fuerza bruta DES fue el algoritmo criptográfico estándar; pero en la actualidad hasta un PC de escritorio puede romperlo. Hoy en día se prefiere usar AES. 12 4.3.1.3 3DES (TRIPLE DATA ENCRYPTION STANDARD) Se basa en aplicar el algoritmo DES tres veces, la clave tiene una longitud de 128 bits. Si se cifra el mismo bloque de datos dos veces con dos llaves diferentes (de 64 bits), aumenta el tamaño de la clave. El 3DES parte de una llave de 128 bits, que es divida en dos llaves, A y B. Al recibir los datos, aplicamos el algoritmo DES con la llave A, a continuación se repite con la llave B y luego otra vez con la llave A (de nuevo). 3DES aumenta de forma significativa la seguridad del sistema de DES, pero requiere más recursos del ordenador. Existe una variante del 3DES, conocida como DES-EDE3, con tres claves diferentes y una longitud de 192bits, consiguiendo un sistema mucho más robusto. 4.3.1.4 RC5 Se aplican operaciones XOR sobre los datos, pudiendo ser de 32, 64 o 128 bits. Permite diferentes longitudes de clave, y un número variable de iteraciones (la seguridad del cifrado aumenta exponencialmente cuanto mayor número de iteraciones), también funciona como un generador de número aleatorios, sumándoles a los bloques de texto rotados mediante la XOR. 4.3.1.5 IDEA (INTERNATIONAL DATA ENCRIPTIÓN ALGORITHM) Aplica una clave de 128 bits sin paridad a bloques de datos de 64 bits, y se usa tanto para cifrar como para descifrar. Se alteran los datos de entrada en una secuencia de iteraciones parametrizadas, con el objetivo de producir bloques de salida de texto cifrado de 64 bits. IDEA combina operaciones matemáticas como XOR, sumas con acarreo de módulo 2¹⁶ y multiplicaciones de módulo 2¹⁶+1, sobre bloques de 16 bits. Según numerosos expertos criptográficos, IDEA es el mejor algoritmo de cifrado de datos existente en la actualidad ya que existen 2¹²⁸ claves privadas que probar mediante el ataque de fuerza bruta. 13 4.3.1.6 AES (ADVANCED ENCRYPTION STANDARD) Este algoritmo es el más conocido entre los usuarios de routers en la actualidad, ya que WPA opera con AES como método de cifrado. Este cifrado puede implementar tanto en sistemas hardware como en software. El sistema criptográfico AES opera con bloques y claves de longitudes variable, hay AES de 128bits, de 192 bits y de 256 bits. El resultado intermedio del cifrado constituye una matriz de bytes de cuatro filas por cuatro columnas. A esta matriz se le vuelve a aplicar una serie de bucles de cifrado basado en operaciones matemáticas (sustituciones no lineales de bytes, desplazamiento de filas de la matriz, combinaciones de las columnas mediante multiplicaciones lógicas y sumas XOR en base a claves intermedias). AES tiene 10 rondas para llaves de 128 bits, 12 rondas para llaves de 192 bits y 14 rondas para llaves de 256 bits. En el año 2006, los mejores ataques conocidos fueron el 7 rondas para claves de 128 bits, 8 rondas para llaves de 192 bits, y 9 rondas para claves de 256 bits. [13] 4.3.2 CIFRADO DE DATOS ASIMÉTRICOS Llamado también tecnología de clave pública. Es un algoritmo que requiere del manejo de dos claves relacionadas matemáticamente para leer la información. Sin embargo se compone de la siguiente manera: una llave pública PK y una llave privada SK. La primera, es la que está cifrada pues una vez el emisor envía al receptor la información, este utiliza la llave privada para descifrar los datos remitidos. Asimismo es públicamente disponible para cualquier persona. Cabe resaltar, que la segunda, es aquella que se encuentra descifrada y es exclusivamente adquirida por su propietario [6]. El algoritmo RSA (Rivest-Shamir-Adleman) fue creado en los setenta. El RSA abarca una llave de 1024 bits de cifrado, con una longitud de 512 bits. El problema al utilizar este tipo de algoritmo, es que al momento de cifrar y descifrar una gran cantidad de datos, lo realiza de forma lenta por la cantidad de paquetes enviados. Es recomendable utilizar RSA cuando se envía datos sensibles a través de una red insegura como Internet. 4.3.2.1 ALGORITMOS DE DATOS ASIMÉTRICOS De los algoritmos que usan llave pública o son asimétricos como también se le conocen entre los más populares se encuentran: 14 • Diffie-Hellman • ElGamal • Algoritmo de ordenamiento • DIFFIE-HELLMAN Fue el primer algoritmo de llave pública inventado. El algoritmo puede ser usado para la distribución de llaves, pero no para cifrar o descifrar mensajes. Su seguridad reside en la dificultad de calcular logaritmos discretos en un campo finito. • ELGAMAL Es un algoritmo, procedimiento o esquema de cifrado basado en problemas matemáticos de logaritmos discretos. Usado en la criptografía asimétrica. ElGamal consta de tres componentes: el generador de claves, el algoritmo de cifrado, y el de descifrado. • ALGORITMO DE ORDENAMIENTO Es un algoritmo que pone elementos de una lista o un vector en una secuencia dada por una relación de orden, es decir, el resultado de salida ha de ser una permutación o reordenamiento de la entrada que satisfaga la relación de orden dada. Las relaciones de orden más usadas son el orden numérico y el orden lexicográfico. Los ordenamientos eficientes son importantes para optimizar el uso de otros algoritmos (como los de búsqueda y fusión) que requieren listas ordenadas para una ejecución rápida. [14] 4.4 TECNOLOGÍA DE AUTENTICACIÓN 4.4.1 FIRMA DIGITAL Es un mecanismo criptográfico que sirve para demostrar la autenticidad de un mensaje digital o de un documento electrónico firmado a través de la red. Una firma digital da al destinatario seguridad en que el mensaje fue creado por el remitente, y que no fue alterado durante la transmisión, requiere del algoritmo HASH, porque contiene 128 bits para cifrar y descifrar la información del emisor y el receptor, de esta forma se puede verificar la autenticación e integridad y la ventaja es que no puede ser duplicada o falsificada [7]. 15 Ejemplo: La empresa “X” necesita enviar documentos que contienen la firma y sello del gerente a la organización “Y”, proyectándose a cerrar un contrato multimillonario, la compañía “X” desea asegurarse que la documentación que se trasladará por una red abierta insegura (Internet), llegue de cualquier forma a la empresa “Y” asegurando así la autenticación e integridad de la información, la empresa “X” tendrá que realizarlo. Véase figura 4.4.1 El procedimiento de la figura anterior se explica así: 1. El emisor adjunta el contracto, por medio del e-mail. 2. Se ingresa el correo electrónico en un programa que genera un algoritmo llamado, “Función HASH”, la cual convierte el mensaje en una cadena de dígitos (5d9f3f2a2a1c7c17dd082a7). 3. El emisor maneja su llave privada para cifrar el HASH o su firma digital creada, donde nadie puede falsificarla ya que necesita de ella para difundirla. 4. El emisor cifra el correo electrónico y la firma, disponiendo de la llave publica del receptor, originando de tal modo un sobre digital. 5. Este sobre es trasladado por un canal inseguro (Internet) al receptor. 6. El recibe el sobre del emisor, descifra la información enviada con su llave privada que contiene la firma. 7. El receptor ocupa la llave pública del emisor para descifrar la firma. 8. Se ingresa el correo electrónico a enviar en un programa creando un algoritmo llamado función HASH que descifra el mensaje. 16 9. El receptor compara la información, y si esta coincide significa que es auténtica e integra. Como segundo ejemplo tenemos: La modernización en El Salvador va evolucionando día con día, por tal motivo la Dirección General de Aduanas (DGRA), ha establecido un sistema de declaración virtual donde importadores y exportadores harán sus declaraciones desde cualquier parte del mundo aplicando su firma digital. Este sistema de cobró entró en vigencia el 28 de Enero de 2014 con el nombre de Sistema Teledespacho [8]. Véase Anexo. 4.5 CERTIFICADO DIGITAL Un certificado digital es un documento electrónico el cual valida la identidad de una entidad (persona, empresa, programa) y asocia esa identidad a una llave pública, que establece comunicación por medio de la red de datos entre dos autoridades, su función es similar a una identidad en la vida real. Véase figura 4.5 4.5.1 COMPROBACIÓN DE VALIDEZ DE UN CERTIFICADO 4.5.1.1 TRES CONDICIONES PARA QUE EL CERTIFICADO SEA VÁLIDO Y ACEPTADO POR EL NAVEGADOR 1. El nombre común CN (Common Name), debe coincidir con la dirección URL que el usuario digita en el navegador. 17 Si el CN no coincide con el certificado de seguridad del sitio web, mostrara una advertencia que informa que la conexión no es privada y que es posible que estén intentando robar su información. [15] 18 Se puede acceder al sitio web a pesar de la advertencia. Verificando el CN del certificado como usuario 19 2. El certificado debe estar firmado por una EC (Entidad Certificadora) válida Entidades certificadores registradas en el navegador Firefox: Preferencias → Avanzado → Cifrado → Ver Certificados 20 3. El periodo de validez del certificado Siguiendo estos pasos el usuario final puede comprobar la validez de un certificado digital. [15] 4.5.2 TIPOS DE CERTIFICADOS A. Los Personales; son aquellos que exclusivamente proporcionan certificados a un solo usuario, sirve para comprobar la identidad de una persona electrónicamente a la hora de realizar sus transacciones en línea. B. Los De Software; es aquel que las empresas utilizan para demostrar a sus clientes o proveedores que el software sea legítimo, legal y autorizado [9]. 21 4.5.3 CENTRO DE CERTIFICACIÓN DE CA (CERTIFICATE AUTHORITY) EL CA, es una entidad que emite y revoca certificados digitales, el personal puede ponerse en contacto con el CA para reconocer y comparar la verdadera identidad o si por el contrario es falsa [10]. Según la norma internacional CCITT X.509, el formato interno de un certificado incluye los siguientes puntos: Véase figura 4.5.3 1. Nombre del propietario. 2. Clave pública del propietario. 3. Número de serie y fecha de emisión y caducidad. 4. La identidad de la autoridad de certificación que lo ha emitido 5. La firma de la autoridad de certificación (Nombre de la autoridad certificadora, usando su clave privada) 6. El correo electrónico del titular (opcional). 4.6 PROTOCOLO DE SEGURIDAD DE LAS TRANSACCIONES Consiste en resguardar la información del usuario, por medio de algoritmos de protección de datos, para mantener seguro los canales de comunicación entre el emisor y el receptor. 22 4.6.1 CAPA DE SOCKETS SEGUROS (SECURE SOCKET LAYER, SSL) Y SEGURIDAD DE LA CAPA DE TRANSPORTE (TRANSPORT LAYER SECURITY, TLS) SSL/TLS sirven para cifrar la comunicación del cliente servidor, por lo que permite la seguridad en las transacciones de tarjetas de crédito e información personal, cambiando la URL de HTTP a HTTPS [11]. Asimismo, se necesitan en los navegadores web para completar las operaciones requeridas de trading, poniendo una clave pública y la otra clave de dos métodos de cifrado privado. El protocolo de seguridad SSL ofrece tres servicios principales: 1. Garantizar la legalidad del cliente y el servidor; ya que el uso de la tecnología y confiabilidad del certificado CA de terceros permite al cliente y al servidor que conozcan la identidad uno del otro, con el fin de verificar que el titular del certificado es el usuario legítimo. SSL requiere un titular del certificado digital para el intercambio del apretón de manos (handshakes) entre el servidor y el cliente. 2. Ocupa cifrado de datos; pues oculta la información que el cliente ingresa por medio del navegador web para ser almacenada en el servidor. El cliente y el servidor intercambian certificados digitales para garantizar la confidencialidad e integridad de sus datos y la autenticación sus certificados digitales. Véase figura 4.6.1 3. Mantener la integridad de los datos; el protocolo SSL utiliza las funciones Hash, para proporcionar un servicio de información segura que se establece entre el canal del cliente y del servidor por lo que transmite los datos certeramente. 23 Ejemplo de aplicaciones que utilizan SSL/TLS: • SSL VPN Client • Portal de Office 365 • FTP server • Telnet server • Directorio de Servicios Server (LDAP) • Los programas desarrollados con Developer Kit para aplicaciones Java y los clientes que utilizan Toolkit IBM para Java • Aplicativos web (cliente-servidor) que utilizan el protocolo HTTPS (puerto 443) • OpenVPN 4.7 RECOMENDACIONES PARA CIFRADO DE DATOS Y BUENAS PRÁCTICAS EN LA TECNOLOGIA DE AUTENTICACION En general, se deben seguir las siguientes recomendaciones al momento de utilizar algoritmos de cifrado: Para algoritmos simétricos: • Un tamaño de clave de 128 bits es suficiente para la mayoría de aplicaciones. • Considerar 168 o 256 bits para sistemas que realicen grandes transacciones financieras. Para algoritmos asimétricos: No usar tamaños de clave excesivos a menos que sepa que los necesitará, recuerde que entre más grande sea la clave, mayor es el procesamiento de la máquina. Tener en cuenta: • Para la mayoría de aplicaciones personales usar claves de 1280 bits. • Para aplicaciones seguras es aceptable una clave de 1536 bits. • Para aplicaciones altamente protegidas se debe usar claves de 2048 bits. Hashes: • Los tamaños de hash de 128 bits son suficientes para la mayoría de aplicaciones. • Considere 168 o 256 bits para sistemas altamente seguros. Recomendaciones según INTECO (Instituto Nacional de Tecnología de la Comunicación) respecto a las tecnologías de autenticación: [16] 24 Administradores: • Elección adecuada del tipo de credencial • Prevención frente a ataques de fuerza bruta • Sistemas secundarios seguros • Requisito de verificación de identidad real • Establecer una buena política de elección de identificadores de usuario • Exigir complejidad de las credenciales • Comprobación de credenciales en el registro • Establecer medidas de seguridad ante cambios de credenciales • Transmisión cifrada • No aportar más información de la debida sobre los usuarios • Autenticación basada en certificados Usuarios: • Utilizar contraseñas robustas • No compartir ni poner al alcance de otros las credenciales • Utilizar diferentes contraseñas para cada servicio • Modificar las contraseñas regularmente • Configurar adecuadamente las opciones de seguridad • Contactar con el administrador en caso de incidente • Gestión segura de certificados 5. ANTECEDENTES LEGISLATIVOS DEL COMERCIO ELECTRONICO EN EL SALVADOR En los temas como la imposición de gravámenes, regulaciones a la que debe estar sometida cualquier actividad comercial, la protección al consumidor, propiedad intelectual así como la legalidad de las transacciones, no son tratados en la legislación actual con referencias directas al comercio electrónico, sin embargo contemplan algunos aspectos que pueden convertirse en facilitadores o inhibidores del comercio electrónico, contenidos en: La ley de impuesto a la transferencia de bienes muebles y a la prestación de servicios, ley de banco y entidades financieras, ley de protección al consumidor. 25 5.1 LEY DE BANCO 5.1.1 OPERACIONES DE CRÉDITO ENTRE BANCOS Art. 60.- Las operaciones activas y pasivas que efectúen los bancos y otras instituciones a través de las cuentas que se manejen en el Banco Central, podrán realizarse mediante intercambio electrónico de datos. Para tal efecto, tendrán validez probatoria los registros o bitácoras contenidas en los sistemas informáticos, las impresiones que reflejen las transacciones efectuadas por los mismos registros de firmas digitales o de números de identificación personal de los participantes autorizados en dichos sistemas. Las certificaciones extendidas, por el funcionario autorizado por el Banco Central para llevar registros y controles de lo anteriormente referido, tendrán fuerza ejecutiva contra la parte que incumplió. Las instrucciones que dicten los bancos al Banco Central, serán de carácter irrevocable. 5.2 LEY DE IMPUESTO 5.2.1 HECHOS GENERADORES Art. 3.- Constituyen hechos generadores del impuesto, los débitos en cuentas de depósitos y las órdenes de pago o transferencias correspondientes a: a) Pagos de bienes y servicios mediante el uso de cheque y tarjeta de débito, cuyo valor de transacción u operación sea superior a US$ 750.00; b) Los pagos por medio de transferencias electrónicas cuyo valor de transacción u operación sea superior a US$ 750.00; c) Las transferencias a favor de terceros, bajo cualquier modalidad o medio tecnológico, cuyo valor de transacción u operación sea superior a US$ 750.00; d) Los desembolsos de préstamos de cualquier naturaleza, incluyendo los pagos o transferencias de fondos que por cuenta del tarjeta habiente se efectúen al comercio o institución afiliada al Sistema de Tarjeta de Crédito; e) Las operaciones realizadas entre las entidades del Sistema Financiero, en base a cualquier tipo de instrucción de sus clientes o por su propio interés. Los hechos generadores anteriores se entienden ocurridos y causado el impuesto cuando se efectúe el pago, transferencia o desembolso. Las transferencias de recursos al exterior estarán gravadas con el presente impuesto, las cuales se encuentran comprendidas en los literales b) y c) de este artículo. 26 5.2.2 CAPÍTULO II RETENCIÓN DE IMPUESTO PARA EL CONTROL DE LA LIQUIDEZ Art. 10.- Los sujetos mencionados en el artículo 6 de esta Ley efectuarán una retención en concepto de impuesto para el control de la liquidez del 0.25% o su equivalente del 2.5 por mil, sobre el monto de los depósitos, pagos y retiros en efectivo, cuyo valor por transacción individual o acumulación mensual exceda de US$ 5,000.00. Los hechos generadores anteriores se entienden ocurridos y causado el impuesto cuando se efectúe el depósito, pago o retiro en efectivo. Serán aplicables las obligaciones establecidas en el artículo 7 de la presente Ley; asimismo la exención de la retención de impuesto para el control de la liquidez para los sujetos y entidades citados en el artículo 4, literal e). Son sujetos pasivos en carácter de contribuyentes, los que realicen depósitos, pagos o retiros en efectivo. Los agentes de retención entregarán a los contribuyentes constancia del impuesto retenido individual o acumulado, de acuerdo a los requisitos y procedimientos que establezca la Administración Tributaria. Dicha constancia tendrá carácter de intransferible. La retención de impuesto por control de liquidez efectivamente enterada, será acreditable contra cualquiera de los impuestos que administra la Administración Tributaria dentro del plazo de dos años, contado a partir de la fecha de la respectiva retención. Para los efectos de la acreditación, las declaraciones se presentarán en medios electrónicos. El contribuyente que no acredite o compense el impuesto y el excedente del mismo, de acuerdo a lo dispuesto en el inciso anterior, perderá el derecho a hacerlo en los ejercicios posteriores. Los agentes de retención deberán retener la alícuota al sujeto que realice el depósito, pago o retiro del efectivo. En ningún caso se dejará de pagar el impuesto. 5.3 LEY DE PROTECCIÓN 5.3.1 PRÁCTICAS ABUSIVAS Art. 18.- Queda prohibido a todo proveedor: a) Condicionar la venta de un bien o la prestación de un servicio a la adquisición de otro, salvo que por la naturaleza de los mismos sean complementarios, que sean parte de las ofertas comerciales o que por los usos y costumbres sean ofrecidos en conjunto; b) Condicionar la contratación a que el consumidor firme en blanco letras de cambio, pagarés, facturas o cualquier otro documento de obligación, u otro considerado como anexo del contrato; salvo que, tratándose de títulos valores, los requisitos omitidos los presuma expresamente la ley. Para los efectos de este literal, las letras de cambio y pagarés deberán contener como mínimo el nombre del deudor, el monto de la deuda, la fecha y lugar de emisión. c) Efectuar cobros indebidos, tales como cargos directos a cuenta de bienes o servicios que no hayan sido previamente autorizados o solicitados por el consumidor. En ningún caso el silencio podrá ser interpretado por el proveedor como señal de aceptación del cargo de 27 parte del consumidor; d) Negar al consumidor servicios de mantenimiento o de repuestos de piezas de un bien, solamente por no haberlo adquirido en ese establecimiento; e) Discriminar al consumidor por motivos de discapacidad, sexo, raza, religión, edad, condición económica, social o política; f) Realizar gestiones de cobro difamatorias o injuriantes en perjuicio del deudor y su familia, así como la utilización de medidas de coacción físicas o morales para tales efectos; g) Compartir información personal y crediticia del consumidor, ya sea entre proveedores o a través de entidades especializadas en la prestación de servicios de información, sin la debida autorización del consumidor. h) Utilizar cualquier maniobra o artificio para la consecución de alza de precios o acaparamiento de: alimentos, artículos de primera necesidad y de servicios esenciales; (2) i) Negarse a detallar el destino de todo pago que efectúe el consumidor; j) Imputar o registrar los pagos hechos por el consumidor, con una fecha posterior a aquélla en la que efectivamente se hizo; k) Prorrogar o renovar automáticamente un contrato de plazo determinado sin el consentimiento del consumidor expresado por escrito; salvo que lo dispuesto en este literal ya esté regulado en otras leyes especiales; l) Cobrar cargos por pago extemporáneo, cuando en la fecha ultima de pago las oficinas o establecimientos del proveedor se encuentren cerradas por tratarse de días no hábiles, días feriados, caso fortuito, fuerza mayor o por cualquier otra circunstancia que sea responsabilidad del proveedor, como la falta de funcionamiento de los sistemas electrónicos de cobros; en todos los casos, la fecha de pago se prorrogará para el siguiente día hábil. m) Cobrar por servicios no prestados, salvo en el caso de los cobros mínimos de acceso a los servicios públicos. (2) Cuando se formalicen contratos en los cuales se utilicen letras de cambio, pagarés o cualquier otro documento de obligación, como una facilidad para reclamar el pago que deba efectuar el consumidor, deberá hacerse constar tal circunstancia en el instrumento respectivo. En estos casos, si el consumidor pagare no estando vencido el documento, el proveedor deberá deducir de su importe el descuento calculado al tipo de interés pactado en éste o al tipo de interés legal, en su caso. 5.3.2 PLAZOS Y NOTIFICACIONES Art. 104.- Los términos a que se refiere esta ley comprenderán solamente los días hábiles. Las notificaciones podrán realizarse utilizando cualquier medio técnico, sea electrónico, magnético o cualquier otro, que posibilite la constancia por escrito y ofrezca garantías de seguridad y confiabilidad. De la misma forma podrá citar, solicitar informes y en general efectuar toda clase de acto de comunicación procesal. El comercio electrónico, ya existe en El Salvador desde hace un buen tiempo atrás pero; lastimosamente no se contempla ninguna ley que ampare a la seguridad en las transacciones de dicho comercio, de este modo podemos decir, que a este tema no se le toma la suma importancia, puesto que si no existe alguna regulación que ampare las 28 instituciones gubernamentales o empresas privadas, esto se prestara cada da más a crímenes informáticos. Como podemos ver en la leyes anteriores, se muestran artículos que si bien es cierto no nos hablan detalladamente sobre el comercio electrónico, pero se deben realizar transacciones por medios electrónicos que sea capaces de ejecutar una trasferencia segura y confiable. Por lo que es necesario que se implementen procesos adecuados que nos permitan asegurar la calidad de los servicios y tengan la capacidad de detectar acciones fraudulentas que obstaculicen el excelente funcionamiento de los mismos. 5.4 EL COMERCIO ELECTRÓNICO SIN REGULACIÓN EN EL SALVADOR Según la nota publicada el 7 de Febrero de 2009 en el salvador.com, cita literalmente la siguiente información con respecto al tema del CE: “Algunos almacenes locales ya permiten hacer compras en línea; empresas de telefonía ofrecen recarga de saldo en sus páginas web y enviando mensajes de texto en donde autoriza el cobro de servicios como el envío de salmos, bromas, compra de ring-tones y participación en rifas y sorteos. Pero si quiere hacer un reclamo o no está satisfecho con lo que recibió, ¿quién podrá defenderlo?”. Salvo la Defensoría del Consumidor, que ha establecido límites y alcances de la actuación de las empresas locales, el comercio electrónico como tal no está regulado. Si quisiéramos llevar adelante un juicio mercantil, por una transacción que se realizó vía electrónica, ningún juez aceptará como válidos los documentos impresos de las comunicaciones, y mucho menos de los correos enviados y recibidos. Esas transacciones comerciales que ya pueden realizarse, aunque son legales, "falta regularlas adecuadamente", como reconoce Sigfredo Figueroa, director ejecutivo del programa ePaís, que lleva a cabo la Secretaría Técnica de la Presidencia de la República. Esta dependencia, con el apoyo de la Comisión Nacional para la Sociedad de la Información y consultores nacionales e internacionales, ha elaborado una “Estrategia Nacional”, para que el país desarrolle y aproveche sus potenciales informáticos. "Se definieron tres grandes líneas de trabajo: cómo se regulaba la comunicación y firma electrónica, la protección de datos y comercio electrónico. De todo eso, quizá lo más importante en este momento es el Anteproyecto de Ley de Comunicación y Firma Electrónica, porque eso le va a dar una legalidad a todas las operaciones electrónicas (...) Esa es la ley madre para que exista validez legal de todas las operaciones", destacó Figueroa. 29 6. ACELERAR LA FORMACIÓN DE PROFESIONALES DE SEGURIDAD INFORMATICA ESPECIALIZADOS EN INFORMATICA FORENSE EN EL SALVADOR Los delitos informáticos tales como: el robo de datos, el fraude bancario, la suplantación de identidad, el espionaje industrial, son una preocupación global que abarca desde usuarios finales hasta grandes empresa. Esta larga cadena de acciones la puede ejecutar cualquier individuo al momento de hacer una transacción final por Internet. Ahora en día existen nuevas formas de ataques informáticos, obtención de documentación digital, atraco de identidad fraude y hasta desgraciadamente terrorismo. Es por eso que surge la necesidad de determinar ¿Qué fue lo que paso?, ¿Cuándo paso?, ¿Por dónde entro?, ¿De dónde provino el ataque?, y principalmente, ¿Dónde está?. Del origen de estas preguntas nace de la pérdida o un acto consumado entonces es ahí cuando necesitamos de un forense informático, el cual debe poseer los conocimientos, metodologías, pericia y técnicas adecuadas para tratar las evidencias y ofrecer respuestas a las preguntas planteadas por los usuarios de los sistemas informáticos. Estos delitos conllevan a la necesidad de poder contar con profesionales del mundo de la informática y derecho que apliquen de forma práctica a la pericia, que sepan cómo realizar valoraciones, dictámenes y peritaciones, con el fin de colaborar en la resolución de litigios por medio de la extracción de la evidencia digital y presentarlas ante el juez. 30 CONCLUSION Este trabajo de investigación, nos demuestra que las empresas deben tener cierta preeminencia sobre el manejo correcto de los intercambios de negociación, desde que comienza toda la secuencia de pasos, hasta finalizarlo eficientemente y seguro. Para lograr que esto se cumpla, debemos acoplar todos aquellos componentes que estén relacionados con un buen diseño de políticas de seguridad, elementos propios de la empresa, métodos de protección y determinados requisitos; ya que si lo hacemos por sí solo y no lo tomamos en cuenta, no tendremos la habilidad de romper barreras que se interpongan al momento de ejecutar la tan esperada acción para los clientes. Es menester, que las organizaciones detecten donde están localizadas las deficiencias en los sistemas que utilizan, porque de lo contrario, no se podrá asegurar perfectamente la información, ya que se podría encontrar grandes riesgos que solo pueden ser resueltos con la verificación constante, de que estos cuenten con características de ser más confidenciales, íntegros, autenticados, con eficacia, no repudiados, entre otros, diariamente. Esto se necesita con el propósito, de estar bien preparados para responder con rapidez y positivamente contra los ataques que cada vez son más constantes hacia las instituciones públicas o privadas tanto dentro como fuera del país. En resumen, se espera que el análisis de esta investigación pueda abrir paso a nuevas ideas, que nos enriquezca aún más de conocimientos y de esta manera se pueda lograr combatir de raíz las graves amenazas a las que se exponen las empresas hoy en día puesto que la tecnología avanza a gran velocidad y los usuarios que la emplean no deben estar vulnerables ante tal problemática, sino más bien, vuelvan todos sus esfuerzos en contar con un amplio y mejorado sistema de seguridad, para que pueda existir un incremento en las ganancias de la organizaciones y colocarlas en un ambiente dinámico y competitivo. 31 RECOMENDACIONES Una vez finalizado este trabajo de Investigación, se considera significativamente que se analicen y se pongan en práctica, los siguientes detalles que se sugieren a continuación: • Usar medidas de seguridad informática a nivel empresarial, donde cada departamento debe estar conocedor de cómo se maneja la información dentro de la red para prevenir cualquier desestabilización en sus operaciones y no se generen altas pérdidas en el centro de costos de las mismas. • Evaluar el impacto de pérdida y los riesgos que causa el empleo de la información digital, para identificar que tan protegida se encuentra y con anticipación se puedan corregir los errores, creando de este modo nuevas oportunidades de mejora. • Implementar sistemas de aplicación integral, para impedir que los firewalls se vean afectados por los ataques masivos que destruyen y hacen que se pierda totalmente la fidelidad de todos los procesos que se hacen con los datos, en las diversas organizaciones que se benefician de este recurso tan necesario para su crecimiento. • Crear dentro de las empresas un área dentro del departamento de informática, que se dedique solamente al monitoreo y control de todos los intercambios que se realizan de los datos en la red ya que de no ser así, no se podrían descubrir cuáles son las vulnerabilidades que perjudican el buen desarrollo de las transacciones en los sistemas de seguridad. • Instalar y actualizar un antivirus periódicamente, ayuda a reducir amenazas peligrosas en los dispositivos que se utilizan de almacenamiento de datos o archivos descargados de Internet. • Instalar un Firewall, servirá para interrumpir las entradas sin permiso previo en la web. • Aplicar contraseñas seguras y modificarlas con frecuencia, permitirá que se dificulte el acceso no autorizado en los equipos, logrando así impedir el robo de información sumamente confidencial. • Verificar si las páginas web en las que se navega, contienen el certificado o sello para obviar que no se están realizando procedimientos sin confiabilidad o excelencia. 32 • Estudiar a profundidad acerca de nuevas técnicas de protección en los equipos informáticos, nos dará la certeza de caminar hacia la resolución más efectiva a estos problemas de inseguridad que cada vez más producen bajo crecimiento económico en las empresas. 33 REFERENCIAS [1] CISSP All-in-One Exam Guide, 6th Edition, Shon Harris, Feb 1, 2013. [2] Seguridad de la Información: Expectativas Riesgos y Técnicas de Protección, Vicente Aceituno Canal, Febrero 28, 2006. [3] CompTIA Security+ Certification Study Guide, Third Edition: Exam SY0-201 3E Paperback, August 11, 2009. [4] IPsec Virtual Private Network Fundamentals by James Henry Carmouche, July 19, 2006. [5] IPSec VPN Design By Vijay Bollapragada, Mohamed Khalid, Scott Wainner, April 07, 2005. [6] Data and Computer Communications (8th Edition) Williams Stallings, August 12, 2006. [7] Operating Systems: Internals and Design Principles (7th Edition), Williams Stallings, March 10, 2011. [8] LEY DE SIMPLIFICACIÓN ADUANERA, Asamblea Legislativa de El Salvador, Disponible en línea: http://www.asamblea.gob.sv/eparlamento/indice-legislativo/buscador-de- documentos-legislativos/ley-de-simplificacion-aduanera-teledespacho/ Verificado el 25 de diciembre de 2014. [9] Tipos de certificados SSL, Disponible en línea: https://www.globalsign.es/centro- informacion-ssl/tipos-de-certificado-ssl.html. Verificado el 25 de diciembre de 2014. [10] Computer Security -- ESORICS 2013: 18th European Symposium on Research in Computer Security, Egham, UK, September 9-13, 2013, Proceedings (Lecture Notes in Computer Science / Security and Cryptology) by Jason Crampton (Editor), Sushil Jajodia (Editor), Dr. Keith Mayes University of London (Editor), August 6, 2013. [11] Cryptography and Network Security Principles and Practice, 5th Edition, Williams Stallings, January 14, 2010. [12] PCI Security Standards Council, Disponible en línea: https://es.pcisecuritystandards.org/_onelink_/pcisecurity/en2es/minisite/en/docs/PCI_DS S_v3.pdf. Verificado el 29 de enero de 2015. [13] Protocols for Secure Electronic Commerce, Second Edition, Mostafa Hashem Sherif, Noviembre 24, 2003. [14] Network Security with OpenSSL, Pravir Chandra, Matt Messier, John Viega, June 27, 2002. 34 [15] Certificados digitales SSL y TLS, Disponible en línea: https://www.owasp.org/images/1/1f/6.OWASP_Day_Costa_Rica_Didier.pdf. Verificado el 29 de enero de 2015. [16] Guía sobre riesgos y buenas prácticas en autenticación online, Disponible en línea: https://www.incibe.es/CERT/guias_estudios/guias//Guia_Autenticacion. Verificado el 29 de enero de 2015. 35 ANEXOS Teledespacho, modernización de las aduanas Desde este 14 de febrero, el uso de Teledespacho es obligatorio para todos los importadores a la hora de declarar sus mercancías en las aduanas del país. Entérese cómo funciona este sistema y las empresas que brindan soporte técnico. Rhina Ventura El Diario de Hoy suplementos@elsalvador.com Como parte de la modernización de la Dirección General de Aduanas (DGRA), cobró vigencia el sistema de Teledespacho por Internet. San Bartolo y la Delegación de Aduanas de la Tres Torres fueron las primeras en dar este servicio desde el 28 de enero; para el 14 de febrero la medida es obligatoria. Por el momento no entrarán en Teledespacho por Internet, las operaciones realizadas a través del Formulario Aduanero Único Centroamericano (FAUCA) y las exportaciones. Se espera que la declaración de ambas se realicen vía Internet en la primera semana de marzo. El fin concreto del cambio es implementar un sistema de declaración virtual donde importadores y exportadores realicen sus declaraciones desde su casa y de cualquier parte del mundo utilizando su firma digital. Esta disposición establece que los oficiales aduaneros ya no tendrán que digitalizar la información requerida en el formulario de la Declaración de Mercancías, sino más bien verificar los datos requeridos. ¿Ventajas? Se sintezan en ahorro de tiempo y de recursos tanto para los usuarios como para la DGRA. Significa una disminución de al menos 30 minutos por cada cliente al llenar el formulario que contiene alrededor de 60 casillas. Lo mejor radica en la posibilidad de declarar las 24 horas los 365 días del año. 36 Un sistema seguro El Teledespacho es un sistema integrado de información entre clientes, bancos, aduanas e instituciones relacionadas, que permite establecer conexiones a través de una red privada VPN (Virtual Private Network). Significa que los clientes se conectan con Aduanas sin que otros usuarios de internet tengan acceso al paquete de datos. Los requerimientos tecnológicos para realizar los trámites aduanales con el Teledespacho son una Computadora Pentium 2 ó 3 o equivalente, tarjeta modem, IP pública (tipo de conexión con Aduanas), computadora con CD-ROM y 64 memoria RAM. Actualmente existen diez empresas que brindan soporte técnico a los usuarios de Teledespacho, va desde la instalación del software de comunicación y digitalización hasta la configuración del hardware para que puedan conectarse con las Aduanas. Según David Rodríguez, gerente de servicio al cliente de DIESCO, estas firmas son útiles, ya que los usuarios del Teledespacho con frecuencia tienen problemas de conexión de internet o muchas dudas para llenar los formularios. 37 LEY DE SIMPLIFICACIÓN ADUANERA, Asamblea Legislativa de El Salvador 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 GLOSARIO Ataques cibernéticos Es un método que una persona realiza para poder cometer un crimen en la red, intentando tomar el control de un computador cuyo fin principal es dañar otro sistema informático. CA Por sus siglas en ingles es llamado: certificate authority, pero es mejor conocido como: “Centro de Certificación” Y es una entidad la cual emite y revoca certificados digitales. Cibercriminales Es una persona que intencionalmente realiza un crimen por medio de internet. Cifrado de datos simétricos Es un algoritmo de seguridad que maneja la misma llave para cifrar y descifrar la información de forma segura. Cifrado de datos asimétricos Es un protocolo criptográfico que utiliza una llave pública para cifrar el mensaje y una llave privada para descifrarlo o viceversa DES (estándar de cifrado de datos) Es un protocolo de seguridad que ocupa una llave de 64 bits de cifrado, con una longitud de 56 bits, lo cual facilita su utilización y el cifrado de datos. Firewall Es un software o hardware basado en el control del tráfico saliente o entrante a la redes. Es el que autoriza o deniega todo paquete por medio de una política de seguridad configurada en el dispositivo. Firma digital Es un algoritmo que utiliza la criptografía con HASH de 128 bits, para cifrar y descifrar la información no solo del emisor sino también la del receptor y además verifica la autenticación e integridad del documento. Hacker Es una persona que obtiene acceso no autorizado a un computador. Llave pública Código cifrado que está disponible públicamente a las personas. 61 Llave privada Código cifrado que es conocido únicamente por su creador. Punto a punto (PPP) Es un protocolo que es manejado a nivel de enlace de datos para establecer conexión entre la LAN y la WAN. Suplantación de identidad Es una técnica de crimen informático, donde su finalidad está en falsificar la identidad de un individuo o empresa. Túnel Se refiere al encapsulamiento de un protocolo de red sobre otro. Virus Es un conjunto de códigos programables que es insertado en un programa para poder ingresar a un host de forma indebida, la cual se distribuye en nuestro ordenador con la finalidad de destruir, robar o compartir información de forma ilegal VPN Por sus siglas en inglés significa Virtual Private Network, pero también es mejor conocida como la Red Virtual Privada. Adicional a ello, ocupa el internet público que cifra su comunicación para asegurar que la información que viaja por internet no haya sido alterada en su trayectoria. Vulnerabilidad Debilidad en un software o en otro mecanismo que amenaza la confidencialidad, integridad o disponibilidad de un activo. Zona desmilitarizada (Demilitarized zone por sus siglas en inglés DMZ) es una red que se ubica entre la red interna de una organización y una red externa.