Seguridad en sitio de comercio

electrnico
Introduccin
reas de riesgo
Amenazas y vulnerabilidad

INTEGRANTES
BECERRIL CRUZ LUIS GERARDO
BLAS SANCHEZ ANDREA PAMELA
LUNA ALVAREZ SERGIO JONATHAN
RAMIREZ SANCHEZ ALAN DAVID

Introduccin
El crecimiento de latecnologaen los ltimos aos, ha generado avances y

cambios en todos los aspectos. LaevolucindeInternetha sido uno de estos

grandes cambios. Internet ha influido en nuestras vidas y en nuestras costumbres,
en nuestra forma de buscarinformacin, de entretenernos, de comunicarnos y por
supuesto han aparecido nuevas formas de comprar y venderbienes.
Estos cambios traen grandes beneficios, por ejemplo hoy en da las personas se
comunican desde dos puntos muy distantes del planeta, ya sea a travs deltelfono
o de algunos de losmediosque ofrece Internet; as mismo, lasempresashan
encontrado grandes oportunidades en los desarrollos de lascomunicaciones,
destacando que loscostosde las comunicaciones se reducen y que estas tecnologas
estn al alcance tanto de grandes empresas como de pequeas empresas.
Eldesarrollode estas tecnologas y de lastelecomunicacionesha hecho que los
intercambios dedatoscrezcan a niveles extraordinarios.
Se considera "Comercio Electrnico" al conjunto de aquellas transacciones
comerciales y financieras realizadas a travs del procesamiento y la transmisin de
informacin, incluyendotexto,sonidoeimagen.
Existen diversas ventajas y desventajas que vienen con la alta tecnologa del
comercio electrnico, pero todo estoy lo hablaremos ms adelante en nuestrotrabajo,
as como tambin tocaremos interesantes puntos que van ligado al tema en cuestin.

Herramientas para proteger un sitio de

E-commerce
Las estructuras de seguridad de un sitio de

e-commerce no vara con las de un

sitio tradicional, pero si se implementa el
protocolo SSL en la mayora de los
casos para tener un canal seguro en las
transacciones.

Punto1:Usuario conectndose a Punto2 (un sitio de e-

commerce
como amazon.com) utilizando un navegador Internet
Explorer compatible con el protocolo SSL.
Punto2:El Punto2 como nombramos es un sitio de ecommerce tradicional (compra / venta)que establece
conexiones seguras utilizando SSL para la transacciones, y
tambin posee un Firewall para hacer filtrado de paquetes
(Packet Filtering)
Punto3:Este punto es la autoridad que emite los
Certificados de Autenticidad, en ingls Certificate Authority
(CA) que por seguridad y es recomendable que sea una
tercera empresa
el emisor del certificado no sea interno.

Conceptos extras
Firewalls (Corta Fuegos)
El Firewall es una herramienta preventiva contra ataques, que realiza un inspeccin
del trfico entrante y saliente. Esto impide que servicios o dispositivos no
autorizados accedan a ciertos recursos y de esta manera protegernos contra
ataques de denegacin de servicios por ejemplo (DoS)
El Firewall puede ser por Software o Hardware o bien combinaciones de estos
pero que no sern tratados aqu por que va ms all de este artculo.
Comenzando con SSL
SSL es un protocolo que corre sobreTCP
(protocolo de transporte punto a punto de Internet). Este se compone de dos
capas y funciona de la siguiente manera:
La primera capa se encarga de encapsular los protocolos de nivel ms alto
La segunda capa que se llamaSSL
Handshake Protocolse encarga de la negociacin de los algoritmos que van a
encriptar y tambin
la autenticacin entre el cliente y el servidor.
Certificados
Un Certificate Authority (CA) es generalmente una empresa que emite certificados.
Si el CA es una empresa externa que emite certificados de autenticidad de clientes
o empresas. Por ejemplo:
<a href="http://www.verisign.com/">Versign.com</a>

Que es lo que tiene un certificado

Un certificado contiene la siguiente informacin:
Dominio para el que se expidi (por ejemplo<a
href="http://www.segurired.com/">http://www.s
egurired.com/)</a
Dueo del Certificado
Domicilio del Dueo
Y la fecha de validez del mismo.

Proceso de e-comerce
El Punto1:el usuario soy
yo, me conecto al sitio
Punto2 que
es Amazon.com
Punto2:me muestra los
productos, que voy a
comprar, yo los
selecciono y proceso a ir al
sitio seguro. Entonces el
Punto2 me contacta con el
Punto3, el cual me enva la
direccin del certificado para
el Punto2, donde
me dice si es vlido o no.
Utilizar SSL tiene beneficios grandes, ya que es un estndar no hace
falta instalar
ningn software adicional de lado del cliente, y tampoco de lado del
servidor,
ya que la mayora de los servidores web como son IIS (Internet
Information Server)
y Apache ya poseen soporte para SSL conexiones seguras.

Una vez ya protegidos viene

El Nmero 3 es nuestro CA
que se encarga de:
Emitir el Certificado
Validar la autenticidad del
Emisor y Receptor (Punto 1
y 2)
Mantener una base de datos
con los certificados vlido y
los removimos.
Esta sesin por lo tanto es
privada, Integra, soporta no
repudio
y tambin
Proceso para una compra segura sin violar
ningun
proceso.
autenticacin.

Categoras del Comercio Electrnico

El comercio electrnico puede subdividirse

en cuatro categoras:
Compaia Compaa
Compaia Cliente
Compaia Administracin
Cliente

RIESGO
Un factor limitante para el crecimiento del
comercio electrnico es la falta del recurso e
iniciativas. Cabe la posibilidad de que muchas
empresas, sobre todo pequeas, se encuentren en
desventaja, lo que hara que simplemente queden
marginadas en este tipo de posibilidades y
oportunidades.

Riesgos
Falta de seguridad y fiabilidad:Es un punto clave a la hora de

decidir la compra a travs de Internet que la empresa est bien

identificada y sobre todo que ofrezca la posibilidad de contactar
directamente con ella.
Problemas de distribucin:Las incidencias logsticas (retrasos en la

recepcin, recepcin del pedido con desperfectos, no recibir el

producto) son otro de los principales inconvenientes del comercio
electrnico.

Problemas de pago:En la mayora de los casos, las compras a

travs de Internet se realizan utilizando el nmero de la tarjeta de

crdito del comprador, pero an no es 100% seguro introducirlo en la
Red sin conocimiento alguno
Perdida de privacidad en los datos:se brinda acceso a la

informacin a personas no autorizadas.

Prdida de servicio:el servicio se interrumpe como consecuencia de

las acciones de un hacker.

Amenaza y vulnerabilidad para los

sitios de comercio electrnico
La seguridad de un sitio web siempre es una de las tareas ms importantes de un

Administrador Web y muchas veces no se le presta la debida atencin a este aspecto, y ms

concretamente
las pginas dedicadas al comercio electrnico suelen encontrarse entre las ms atacadas de
Internet, ya que muchos usuarios optan por montar su tienda online utilizando aplicaciones
gratuitas de cdigo abierto, que por esta condicin, ya tienen un alto porcentaje de
vulnerabilidades y huecos de sobras conocidos por aquellos que aprovechan estas
vulnerabilidades para llevar a cabo sus actividades delictivas o ilcitas.

Inyecciones SQL: muchos portales de e-commerce usan bases de datos para guardar
informacin importante, y un ataque a una base de datos puede ser simplemente desastroso.
La inyeccin de SQL puede derivar en errores menores o bien puede garantizarle acceso
completo al atacante a ciertas reas importantes del servidor.

Manipulacin de precios: muchos sitios de e-commerce estn completamente automatizados

desde la visita inicial hasta que se realiza el pago. Algunos software pueden tener
vulnerabilidades que permitan a un atacante fijar un precio menor para un artculo y
esencialmente llevarse algo por un precio mucho menor al que en realidad cuesta.

Autenticacin insegura: normalmente un sitio e-commerce requiere que el usuario use algn
tipo de autenticacin, que normalmente suele ser registrar una cuenta de membresa en el
portal. Obviamente esta encriptacin debe pasar por debajo de un certificado SSL, o de lo
contrario un atacante podra hacerse con informacin importante del usuario.

Cmo prevenir estas vulnerabilidades?

Recuerda escanear tu sitio web y tu ordenador personal con

frecuencia utilizando distintos servicios de escaneo y deteccin

de virus, malware o accesos no autorizados a tu sistema.
Asimismo, recuerda mantener siempre actualizado todo el
software que utilices, tanto a nivel de tu sitio web cmo a nivel
de tu ordenador personal. (Muchas veces, los accesos no
autorizados o los ataques a un sitio web, comienzan en el
ordenador o sistema informtico del administrador o webmaster
del sitio web).
Utiliza siempre un certificado SSL en tu sitio web para garantizar
la confidencialidad de los datos intercambiados entre tu sitio
web y los usuarios que visiten tus pginas.
Mantn todas tus contraseas y datos de acceso en un lugar
seguro. Y si es posible, mejor que estn guardados en un
armario cerrado con llave que en tu ordenador personal o el
servidor de tu empresa.