(Capítulo Nº 5)

1.  ¿Por qué es menos riesgoso robar en línea? Explique algunas de las formas en que los criminales engañan a los consumidores y comerciantes.

Es menos riesgoso robar en línea debido a que no es un robo cara a cara (en persona) sino de manera remota y casi anónima. El ladrón tiene más posibilidades de mantener su anonimato.

Algunas de las forman en la cuales los criminales engañan a los consumidores y comerciantes son las siguientes:

Por ejemplo un particular que desde su domicilio descarga música de forma gratuita. En este caso está violando el derecho de propiedad intelectual. Es un delito. En lugar de robar un CD en una tienda roba esa misma música desde su casa.Otra forma puede ser robando los datos de una tarjeta de crédito y con esta información apoderarse de la identidad del propietario de la tarjeta y realizar compras.Otra manera de delinquir puede ser crear un virus para cerrar un sito de comercio electrónico; aquí el fin no es obtener dinero sino perjudicar al dueño del sitio. Ver página 257

2.       Explique porque un sitio de comercio electrónico tal vez no quiera reportar ser objetivo de cibercriminales

Un sitio de comercio electrónico puede no desear reportar el que ha sido víctima del ataque de ciber criminales debido a que esto podría provocar la pérdida de la confianza que tienen sus clientes en la empresa. Esto naturalmente infundiría el temor de que comprar a través de medios electrónicos no es seguro. Ver página 258

3.       Proporcione un ejemplo de fugas de seguridad, según su relación con cada una de las seis dimensiones de la seguridad en el comercio electrónico. Por ejemplo ¿Cuál sería un incidente de privacidad?

Un incidente de privacidad podría ser cuando por ejemplo un cliente encarga un producto a una empresa determinada y lo hace por un medio electrónico, para lo cual debe brindar sus datos de nombre, dirección, teléfono…etc. y la empresa que ha recibido el pedido, después divulgue estos datos a terceros.

4.       ¿Cómo protegería a su empresa contra un ataque de Denegación de servicio?

No existe una forma específica de proteger a una empresa de una ataque de Denegación de Servicio. NO EXISTE LA SEGURIDAD TOTAL.Para lograr una mayor seguridad en el comercio electrónico hay que dictaminar buenas leyes que penen efectivamente a los delincuentes, que realizan este tipo de ataques; en lo que respecta a la empresa debe implementar procedimientos y políticas para intentar contrarrestar lo más posible (la seguridad total no existe) estos ataques. Naturalmente como herramienta para este fin se debe utilizar nuevas tecnologías.

5.       Explique cómo el gobierno estadounidense desea restringir la exportación de los sistemas de cifrado sólidos, y ¿Por qué en otros países estarían en contra de ello?

6.       Nombre los principales puntos de vulnerabilidad en una transacción ordinaria en línea.

□ El Cliente.□ El Servidor.□ La canalización de comunicaciones. Ver hoja 266

7.       ¿Cómo amenaza la falsificación (spoofing) a las operaciones de un sitio web?

A veces los suplantadores de identidad crean un sitio Web falso, queaparenta ser una institución financiera legítima y así engañan a los usuarios para que introduzcan información financiera. Con esta información comenten actos fraudulentos como comprar con las tarjetas de estas personas, retirar dinero de sus cuentas bancarias o robar su identidad. Ver página 272

También ocurre que a un vinculo Web lo redirigen a una dirección distinta de la original y así enmascaran al sitio, con una apariencia igual al del original. Esto amenaza la integridad del sitio ya que los Hackers pueden levantar y procesar pedidos, así le están robando el negocio al sitio verdadero. O quizás en vez de robar quieren destruir, entonces cambian los pedidos, aumentando la cantidad o encargando otro producto y después enviarlos al sito verdadero. Obviamente los clientes se sienten defraudados y la empresa tiene un problema en su stock, ya que ha producido cosas que realmente no le demandó nadie. Ver página 276

8.       ¿Por qué el adware o spyware se considera una amenaza de seguridad?

Porque es un programa que se instala por si mismo en una computadora para robar información e inclusive la identidad del usuario de los medios electrónicos. Ver página 271.

9.       ¿Cuáles son algunos de los pasos que puede llevar a cabo una empresa para acortar la actividad criminal desde el interior de un negocio?□ Realizar una valoración de los riesgos: Se cuantifican los riesgos e identifican los puntos vulnerables. Que información está en riesgo.Se calcula cual sería la pérdida en dinero si la información estuviera

Comprometida y después se multiplica ese monto por la probabilidad de que el hecho ocurra. Se clasifican los resultados por orden y así de esta forma se obtiene una lista de activos por orden de prioridad, según su valor para la empresa.□ Desarrollar una política de seguridad: Es un conjunto de estatutos que asignan prioridades a los riesgos de información. Se identifican cuales son los objetivos de riesgo y los mecanismos para alcanzarlos.

□ Desarrollar un plan de implementación: Los las acciones concretas para alcanzar los objetivos del Plan de Seguridad. Intervienen herramientas tecnológicas, políticas y procedimientos.

□ Crear una organización de seguridad: Educa y capacita a los usuarios, también mantiene a la administración al tanto de las amenazas y fallas de seguridad y conserva las herramientas elegidas para implementar la seguridad.

□ Realizar una auditoría de seguridad: Significa revisar rutinariamente la manera en que los individuos externos utilizan el sitio, como acceden a el, al igual que la forma en la cual los individuos internos acceden a los bienes del sitio.Hay que elaborar un informe mensual en el cual se especifique cuales son para los sistemas los procesos de rutina y cuáles no. También deben identificar patrones inusuales de actividades (actividades raras). Ver página 296

10.   Explique algunas de las fallas actuales asociadas con el cifrado. ¿Por qué el cifrado no es tan seguro ahora como lo era en un principio?Debido a que ahora las computadoras son tan poderosas y rápidas que los medios antiguos de cifrado (Cifrado por Sustitución y Cifrado por Transposición) se pueden quebrantar con rapidez.En el caso del Cifrado por Clave Simétrica, ambas partes deben compartir la misma clave. Es decir quién cifró el mensaje, debe mandarle la clave al receptor con la cual podrá descifrarlo, pero el riesgo está en el medio de envío que puede ser inseguro; se la pueden robar a la clave y descifrar un tercero el mensaje.También se complica la situación en el uso comercial en el cual no todos formamos parte del mismo equipo (no todos son de nuestra confianza) y por resto se necesitaría una clave secreta para cada una de las partes con las que se realiza alguna transacción. Esto demandaría una gran cantidad de claves lo cual no es práctico ni realmente manejable. Ver hoja 281

11.   Explique en forma breve cómo funciona la criptografía de clave pública.

En este método se utilizan dos claves digitales relacionadas en sentido matemático. Una clave pública y una clave privada. El propietario mantiene secreta la clave privada, mientras que la clave pública se distribuye. Ambas claves se pueden utilizar para cifrar y descifrar un mensaje. Sin embargo, una vez que se utiliza la clave para cifrar un mensaje, no se puede utilizar esa misma clave para descifrarlo.Aunque el mensaje no lo podrá leer alguien ajeno, en el cifrado de clave pública faltan algunos elementos de seguridad para asegurarse que no haya sido alterado de alguna forma en su camino. Por estos motivos se propone una función de hash o resumen de mensaje.

Al momento de recibirlo, el receptor aplica la función de hash al mensaje recibido y verifica que se produzca el mismo resultado. De ser así el mensaje no se ha alterado. Sin embargo se requiere un paso adicional para asegurar su

autenticidad. El emisor cifra una vez mas todo el bloque de texto, usando la clave privada del emisor, esto produce una firma digital o firma electrónica.

Pasos:

1_ El emisor crea un mensaje digital.2_ El emisor obtiene en un directorio público la clave pública del receptor, y la aplica al mensaje.3_ La aplicación de la clave del receptor produce un mensaje de texto cifrado.4_ El mensaje cifrado se envía a través de Internet.5_ El receptor utiliza su clave privada para descifrar el mensaje.

12.   Compare y contraste los firewalls con los servidores proxy y sus funciones de seguridad.Firewall, se refiere al hardware o software que filtra los paquetes de comunicación, evitando que algunos no deseados entren a la red. Esta herramienta de seguridad controla el tráfico de y hacia servidores y clientes, prohibiendo las comunicaciones de fuentes no confiables. Todo mensaje que se va a enviar o recibir de la red es procesado con el fin de determinar si cumplen con los lineamientos de seguridad establecidos.El firewall utiliza dos métodos para validar el tráfico. Filtros de paquetes: Examina los paquetes de datos para determinar si están destinados a un puerto o dirección de IP prohibidos. Puertas de enlace de aplicaciones: Son un tipo de firewall que filtra las comunicaciones con base en la aplicación que se está solicitando, en vez del origen o destino del mensaje. Estos ofrecen una mayor seguridad que los filtros de paquetes, pero pueden comprometer el rendimiento del sistema.Servidores Proxy, software que se encarga de todas las comunicaciones que se originan de Internet. Su principal función es limitar el acceso de los clientes internos a los servidores de Internet externos. Por otro lado también son utilizados para restringir el acceso a ciertos sitios de Internet, tales como, pornografía, subastas o compra - venta de acciones. Estos servidores mejoran el rendimiento Web al almacenar las páginas que se utilizan con más frecuencia. Por último, ocultan la dirección de red interna con lo cual es más difícil para los hackers monitorear.

13.   ¿Esta una computadora con software antivirus protegida contra los virus? ¿Por qué si o porque no?Los Software antivirus son herramientas económicas para identificar y erradicar los tipos mas comunes de virus que intentan entrar en el sistema, como también aquellos que se encuentran dentro del disco duro del equipo. Sin embargo no basta con instalar el software una vez, ya que cada día se desarrollan y liberan nuevos virus. Es necesario actualizar diariamente estos programas para poder estar protegido de nuevas amenazas.

14.   Identifique y analice los cinco pasos para desarrollar un plan de seguridad en el comercio electrónico.1- Realizar una valoración de los riesgos: Se debe realizar una tasación de los riesgos y puntos de vulnerabilidad. El primer paso consiste en realizar un inventario de los bienes de información y conocimiento del sitio de comercio E. Es importante realizar una lista de activos de información que deben contener; que información está en riesgo, la información del cliente, los diseños propietarios, las actividades de negocio, los procesos secretos o demás información interna. Para cada tipo de bien trate de estimar el valor en dólares y después multiplique esa cantidad por la probabilidad de que ocurra la perdida.

2- Desarrollar una política de seguridad: Es un conjunto de instrucciones que asignan prioridad a los riesgos de la información, identificando los objetivos de riesgo aceptables y los mecanismos para lograrlo.

3- Desarrollar un plan de implementación: Estos son los pasos de acción que deberá realizar para alcanzar los objetivos del plan de seguridad. Primero deber determinar cómo traducir los niveles de riesgo aceptable en un conjunto de herramientas, tecnologías, políticas y procedimientos. Luego debe decidir que nuevas tecnologías y procedimientos desplegará para lograr los objetivos.

4- Crear una organización de seguridad: Es fundamental educar y capacitar a los usuarios para mantenerlos al tanto de las amenazas y fallas de seguridad. La organización de seguridad, es la encargada de controlar los accesos, los procedimientos de autenticación y las políticas de autorización. (Controles de acceso, determina que individuos externos e internos pueden obtener acceso legítimo a sus redes).

5- Realizar una auditoría de seguridad: Implica la revisión rutinaria de los registros de acceso. Se debe producir un informe mensual que establezca los procesos de rutina, identificar los patrones inusuales de actividades, evaluar la solidez de los procedimientos de seguridad existentes.

15.   ¿Cómo ayudan los dispositivos biométricos a mejorar la seguridad? ¿Qué tipo específico de fuga de seguridad reducen en especial?Los dispositivos biométricos son utilizados junto a las firmas digitales para verificar los atributos físicos asociados con un individuo. (Huella digital, reconocimiento de voz, exploración de retina, etc. ). Estos sistemas reducen significativamente la oportunidad de falsificar, así como también es más difícil que los hackers irrumpan en sitios o instalaciones no autorizadas.

16.   ¿Qué son los equipos tigre, quien los utiliza y cuales son algunas de las tácticas que utilizan en su trabajo?

17.   ¿Cómo se impactan entre si los intereses de las partes interesadas en los cuatro sistemas de pago principales?

18.   Compare y contraste los sistemas de pago de valor almacenado con las transferencias de cheques.

Sistemas de pago de valor acumulado: Son creadas al depositar fondos en una cuenta, de las que también se pagan o retiran fondos. Algunos ejemplos son; las tarjetas de debito, los certificados de regalo, las tarjetas pre pagadas y las tarjetas inteligentes. Si analizamos el caso de las tarjetas de debito, podemos notar que éstas dependen de los fondos depositados en una cuenta bancaria permitiendo al consumidor realizar la compra sin la necesidad de escribir un cheque en papel. Por el otro lado notamos como una desventaja que este tipo de servicio no posee un periodo flotante (lapso de tiempo entre una compra y el pago en si por esa compra).

• Bajo costo para las transacciones grandes.• Resistente a alteraciones.• Requiere autenticación.• Tiene valor monetario inmediato.

Transferencia de cheques: En este caso, a través de una letra de cambio o cheque firmado se pueden transferir fondos de un consumidor a un comerciante u otra persona. Estos cheques se pueden utilizar tanto para grandes o pequeñas transacciones, tienen cierto período flotante y los saldos no gastados pueden obtener interés. Por el otro lado, éstos pueden falsificarse con facilidad, se pueden cancelar antes de liquidar la cuenta o volver rebotados si es que los fondos no son suficientes.

• Bajo costo para transacciones grandes.• Costos fijos bajos para el comerciante.• Se puede repudiar• Riesgo financiero para el comerciante.• Requiere autenticación.• El comprador mantiene un periodo flotante.

19.   ¿Por qué una tarjeta de crédito no se considera un sistema de pago de saldo acumulado? Las cuentas que acumulan gastos y para que los consumidores hagan pagos periódicos son sistemas de pago acumulado. Algunos ejemplos tradicionales son los servicios públicos, el teléfono y las cuentas de American Express, todos los cuales acumulan saldos, por lo general durante un periodo especificado (que casi siempre es un mes), y después reciben el pago completo al final del periodo.

20.   Nombre seis ventajas y seis desventajas de utilizar efectivo como una forma de pago.

Ventajas:

□ Se puede convertir de manera instantánea en otras formas de valor sin la intermediación de otra institución.□ Es portátil, no requiere autenticación y proporciona un poder instantáneo de compra para quienes lo poseen.□ Permite micro pagos (pagos en pequeñas cantidades).□ Es gratuito en cuanto a que ni los comerciantes ni los consumidores pagan una cuota por transacción para utilizarlo.□ El uso del efectivo no requiere activos complementarios, como hardware especial o la existencia de una cuenta.□ Es anónimo y difícil de rastrear.

Desventajas:

□ El efectivo está limitado a transacciones más pequeñas (no se puede comprar fácilmente un automóvil o una casa con efectivo).□ Se roba fácilmente.□ No proporciona ningún “periodo flotante” (lapso de tiempo entre la compra y el pago en si por esa compra)□ Cuando se gasta, desaparece.□ Con el efectivo, las compras tienden a ser finales e irreversibles (irrefutables) a menos que el vendedor acuerde otra cosa.

21.   Describa la relación entre las asociaciones de tarjetas de crédito y los bancos emisores.Las asociaciones de tarjetas de crédito como Visa y Máster Card son organismos sin fines de lucro que establecen los estándares para los bancos emisores (como Citibank) que emiten las tarjetas de crédito y procesan transacciones. Los bancos emisores de tarjetas de crédito actúan como intermediarios financieros, minimizando el riesgo para las partes que participan en las transacciones.

22.   ¿Qué es la regulación Z y como protege al consumidor?La regulación Z federal impone los riesgos de la transacción (como el fraude de tarjeta de crédito, el repudio de la transacción o la falta de pago) en gran parte en el comerciante y en el banco emisor de la tarjeta de crédito. La Regulación Z limita la responsabilidad del tarjetahabiente a $50 por transacciones no autorizadas que ocurran antes de notificar al emisor de la tarjeta. Una vez que la tarjeta se reporta como robada, los consumidores no son responsables de los cargos subsiguientes.Las tarjetas de crédito tienen menos finalidad que otros sistemas de pago, ya que los consumidores pueden rechazar o repudiar las compras en determinadas circunstancias, y limitan el riesgo para los consumidores al tiempo que lo elevan para los comerciantes y banqueros.

23.   Analice brevemente las desventajas de las tarjetas de crédito como un estándar para los pagos en línea. ¿Cómo es discriminatorio para algunos consumidores el que un comerciante requiera una tarjeta de crédito para pagar?

Hay varias limitaciones para el sistema de pagos con tarjeta de crédito. Las más importantes comprenden la seguridad, el riesgo del comerciante, el costo y la equidad social.El sistema existente ofrece una mala seguridad. Ni el comerciante ni el consumidor se pueden autenticar por completo. El comerciante podría ser una organización designada para recolectar números de tarjetas de créditos, y el consumidor podría ser un ladrón que utilice tarjetas de crédito robadas o fraudulentas. El riesgo al que se enfrentan los comerciantes es alto: los comerciantes pueden repudiar sus cargos, aun cuando se hayan enviado los artículos o se haya descargado el producto.

Las tarjetas de crédito no son muy democráticas, aunque parecen ubicuas. Millones de adultos jóvenes no tienen tarjetas de crédito, junto con casi 100 millones de otros estadounidenses adultos que no pueden costearse una tarjeta de crédito o que se consideran un mal riesgo debido a sus bajos ingresos.

24.   Describa los principales pasos implicados en una transacción con tarjeta de crédito en línea. □ El consumidor realiza la compra.□ SSL proporciona una conexión segura con el servidor del comerciante a través de Internet.□ El software mercantil se contacta con la cámara de compensación.□ La cámara de compensación verifica la cuenta y el saldo con el banco emisor.

□ El banco emisor acredita el monto de la cuenta mercantil.□ Se emite un estado de cuenta mensual con el debito por la compra.

25.   Compare y contraste las tarjetas inteligentes con las tarjetas de crédito tradicionales. Las tarjetas inteligentes son otro tipo de sistema de valor almacenado que se basa en tarjetas d plástico del tamaño de una tarjeta de crédito, con chips incrustados que almacenan información personal, la cual se puede utilizar para soportar pagos de comercio electrónico móviles inalámbricos. No se utilizan por lo general para pagar artículos de bajo costo pasando la tarjeta ante un lector, o deslizándola a través de este. Mientras que las tarjetas de crédito almacenan un solo número de cuenta de cargo en la tira magnética de la parte posterior, las tarjetas inteligentes pueden contener 100 veces más datos, incluyendo varios números de tarjetas de crédito e información relacionada con seguros de salud, transporte, identificación personal, cuentas de banco y programas de lealtad, como las cuentas de viajero frecuente.Las tarjetas inteligentes también pueden requerir una contraseña, a diferencia de las tarjetas de crédito, lo cual agrega otro nivel de seguridad.

26.   ¿Cómo se transfiere el dinero en las transacciones utilizando dispositivos inalámbricos? Los celulares japoneses soportan dinero electrónico (sistema de valor almacenado que se cargan mediante tarjetas de crédito o cuentas bancarias), tarjetas de crédito móviles (enlazadas a cuentas bancarias personales). Los teléfonos celulares japoneses actúan como carteras móviles, ya que contienen una variedad de mecanismos de pago. Los consumidores pueden pagar a los comerciantes con solo pasar su celular frente a un dispositivo de pago mercantil que puede aceptar pagos.

27.   Analice por que los sistemas EBPP se están haciendo cada vez más populares. Los sistemas de presentación y pago de facturas en línea (EBPP) son sistemas que permiten la entrega y el pago en línea de las facturas mensuales. Los servicios EBPP permiten a los consumidores ver las facturas en forma electrónica y pagarlas a través de transferencias de fondos electrónicas desde cuentas bancarias o tarjeta de crédito.Una de las principales razones del aumento del uso de EBPP es que las empresas están empezando de darse cuenta de cuánto dinero pueden ahorrar mediante la facturación el línea. No solo están los ahorros en franqueo y procesamiento, sino que los pagos se pueden recibir con más rapidez, con lo cual se mejora el flujo de efectivo.Las empresas están descubriendo que una factura es tanto una oportunidad de ventas como una oportunidad de retención de clientes, y que el medio electrónico proporciona muchas opciones más al tratarse de marketing y promoción. Las rebajas, las ofertas de ahorros, la venta cruzada y las ventas adicionales, todas son posibles en el reino digital

28.   ¿Qué similitudes y diferencias hay entre los dos tipos principales de sistemas EBPP? Directo del emisor: su propósito es facilitar a sus clientes el proceso de pago de sus facturas por servicios públicos de manera rutinaria en línea. Este modelo es el dominante.Modelo de consolidador: en este modelo, un tercero, como una institución financiera o un portal, reúne todas las facturas para los consumidores y en teoría permite el pago de facturas en una sola exhibición (pagar a todos). Dentro de este modelo hay dos sub modelos: consolidación gruesa y delgada.Gruesa: tanto el resumen de la factura como sus detalles se almacenan en el sitio del consolidador.Delgada: solo está disponible la información de resumen de la factura, y el consumidor debe hacer clic en el vínculo para acceder a una factura detallada que se almacena en otra ubicación, como el sitio del emisor de la factura o en cualquier otra parte.El modelo de consolidación implica un mayor retraso de tiempo entre la facturación y el pago, y también inserta un intermediario entre la empresa y su cliente.