Semana 5

Comercio Electrnico, e-Clientes
y Experiencia Web
Semana 5 Seguridad y medios de pago para el comercio electrnico

Amenazas a la seguridad del comercio electrnico. Medidas y pautas de seguridad
aplicadas a los sitios web y las transacciones electrnicas. Medios de pago electrnico.
Aspectos legales y ticos del comercio electrnico. Propiedad intelectual. Derecho del
consumidor. Contrato electrnico. Aspectos de privacidad.
Actividades Prcticas
Ha sido usted vctima de un delito informtico? Cules son los casos de fraude a travs
de Internet que ms se presenta en su pas? Realice un informe sobre el avance del marco
legal relativo a la seguridad del comercio electrnico en su pas.
En su organizacin, cul es la evolucin de las ventas on-line en los ltimos aos y la
proyeccin para los aos venideros? Describa los medios de pago en lnea ms utilizados en
su pas y las principales barreras al pago en lnea.
Semana 5- Seguridad y medios de pago para el comercio electrnico

y Experiencia Web
INTRODUCCIN
Un sitio de comercio electrnico necesita

ser confiable para ser exitoso. La
incertidumbre
y
la
desconfianza
inherentes a los intercambios de
informacin y transacciones en redes
abiertas es una de las principales barreras
al crecimiento del comercio electrnico.
Internet no fue diseado para ser un
mercado global con millones y millones
de usuarios. Es una red abierta y
vulnerable expuesta a nuevas formas de
cibercrmenes que representan una
barrera al desarrollo del comercio
electrnico.
Los sistemas de informacin estn
expuestos a contingencias que amenazan
la
disponibilidad,
integridad
y
confidencialidad de la informacin. Estas
amenazas pueden ser de origen natural
(terremotos, inundaciones, etc.), de origen
humano
(competencia,
problemas
laborales, etc.), o de origen tcnico (fallos
de hardware, de software, de suministro
de energa, etc.).
Redes de bots, ataques de denegacin de
servicio, suplantacin de identidad,
spywares, robo de datos confidenciales
con fines de fraude, etc. son las prcticas
delictivas ms comunes a los que se
exponen los consumidores en la web.
Un obstculo importante al comercio

electrnico en la regin relativo a la
seguridad de las transacciones es la
desconfianza en los medios de pago en
lnea.
La
pregunta
es,
cmo
lograr
transacciones comerciales seguras en
Internet?
La
implementacin
de
medios
alternativos de pago y de plataformas que
garanticen
la
seguridad
en
las
transacciones es una necesidad a la hora
de generar mayor confianza en los
usuarios, lo que se traducira en un mayor
volumen de transacciones.
Existen
tecnologas
que
pueden
ayudarnos a mejorar la seguridad de
nuestro sitio web. Habr que analizar y
decidir, en cada organizacin, cules de
ellas se requieren. Ya no hay recetas
aplicables a todos los casos.
Por otra parte, es necesario contar con un
buen marco legal que proteja a los
consumidores. Los pases de la regin
estn avanzando en el desarrollo y
aplicacin de normativas, si bien an se
encuentran falencias que dejan puertas
abiertas a la ciberdelincuencia.

y Experiencia Web
Anlisis de seguridad
La seguridad de las transacciones de comercio electrnico implica las siguientes
dimensiones:
Disponibilidad: que el sitio permanezca funcionando de la forma esperada.

Privacidad: que el cliente tenga control sobre el uso que se hace de sus datos.
Confidencialidad: que las transacciones no sean visualizadas por extraos.
Integridad: que los datos o transacciones no sean alterados.
Autenticacin: que la identidad de quienes intervienen en la transaccin sea vlida.
No Repudio: que quien gener una transaccin no pueda rechazar su autora y, por
consiguiente, su responsabilidad.
Tomar medidas de seguridad para el comercio electrnico requiere identificar los riesgos a
los que est expuesto y evaluar el potencial impacto de la ocurrencia de cada uno de ellos
para la organizacin. Los principales elementos a tener en cuenta para analizar los riesgos
son:
Activo: elemento del sistema que aporta valor a la organizacin y necesita ser protegido. Puede
tratarse de bienes como el hardware, software, datos, documentacin, etc. O pueden ser otros
valores como la imagen, la reputacin de la empresa, confianza de los clientes, etc.
Amenaza: elemento o suceso que representa un peligro para el sistema y cuya manifestacin u
ocurrencia menoscabara la confidencialidad, integridad o disponibilidad de un activo. Pueden ser
accidentales (desastres naturales, errores humanos, fallos de equipo, etc.) o intencionales (robo,
sabotaje, vandalismo, etc.)
Vulnerabilidad: fragilidad de un sistema sobre la que puede operar una amenaza. En caso de no
existir esa amenaza, la vulnerabilidad no requiere proteccin.
Impacto: consecuencia indeseable de la ocurrencia de una amenaza que afecta a los activos del
sistema y resulta una prdida para la organizacin. Por ejemplo:
- Indisponibilidad o destruccin de servicios o activos.
- Alteracin no autorizada del software o de los datos.
- Revelacin no autorizada de datos.
Riesgo: medida del grado de exposicin al que un sistema est sujeto. Es una funcin de:
- La probabilidad de la ocurrencia o manifestacin de una amenaza.
- El grado de vulnerabilidad del sistema que pueda ser aprovechado por una amenaza para causar
un impacto no deseado.
- El nivel de efecto adverso que la ocurrencia de la amenaza tendra en la organizacin.
Proteccin: medida tendiente a mejorar la seguridad del sistema, en alguna de las siguientes
formas:
- Transferir el riesgo.
- Reducir la probabilidad de ocurrencia de una amenaza.
- Reducir el nivel de vulnerabilidad
- Aminorar el impacto de la manifestacin de una amenaza.
- Reparar el impacto de la manifestacin de una amenaza.

y Experiencia Web
Requerimientos del plan de seguridad

El plan de contingencias y recuperacin debe apuntar a alcanzar una adecuada proteccin
de los sistemas de informacin y permitir su recuperacin, garantizando la
confidencialidad, integridad y disponibilidad de sta en el menor tiempo posible y a unos
costes razonables. Caer en excesos de controles y medidas puede afectar negativamente la
productividad de la empresa.
Objetivos del un plan

Reanudar con la mayor brevedad posible las funciones empresariales ms crticas,
con el fin de minimizar el impacto sobre los objetivos estratgicos de la empresa.
Evaluar los riesgos y costes de los procedimientos de seguridad requeridos, de
forma que slo se inviertan los recursos necesarios.
Optimizar los esfuerzos y recursos necesarios para enfrentar las contingencias de
manera oportuna y eficiente, definiendo las personas responsables de las actividades
a desarrollar.
Etapas del plan

Anlisis y valoracin de riesgos: Durante esta etapa se identifican los procesos
crticos o esenciales y sus repercusiones en caso de no estar en funcionamiento. Se
requiere:
o Realizar un adecuado estudio coste/beneficio entre el coste por prdida de
informacin y el coste de un sistema de seguridad.
o Clasificar la instalacin en trminos de riesgo (alto, mediano, bajo) e
identificar las aplicaciones que representen mayor riesgo.
o Cuantificar el impacto en el caso de suspensin del servicio.
o Determinar la informacin que pueda representar cuantiosas prdidas para la
organizacin o bien que pueda ocasionar un gran efecto en la toma de
decisiones.
Jerarquizacin de las aplicaciones: Es primordial definir anticipadamente cuales son
las aplicaciones primordiales para la organizacin. El plan debe estar asesorado y
respaldado por la direccin, de tal forma que permita minimizar las diferencias entre
los distintos departamentos y divisiones.
Difusin y mantenimiento: Cuando se disponga del plan definitivo ya probado, es
necesario hacer su difusin y capacitacin entre las personas encargadas de llevarlo
a cabo.

y Experiencia Web
Amenazas frecuentes en Internet

Describimos seguidamente algunas de las amenazas ms comunes a los sistemas
informticos en Internet.
Sealamos, en primer lugar, algunas distinciones semnticas pertinentes. Por un lado, cabe
mencionar la diferencia entre estos los trminos hackers y crackers. Los hackers son
expertos informticos que intentan acceder sin autorizacin a sistemas informticos, con el
fin de demostrar su destreza o sealar una vulnerabilidad. En cambio, se llaman crackers a
aquellos que realizan estas prcticas con intenciones de fraude o dao.
Respecto al cdigo malicioso, conocido como malware1 (del ingls, malicious software),
se trata de software cuyo objetivo es infiltrarse en el sistema sin el conocimiento de su
dueo, con finalidades muy diversas (en general, daar). Existen muchsimos tipos de
malware, aunque algunos de los ms comunes son los virus informticos, los gusanos, los
troyanos, los programas de spyware/adware o incluso ciertos bots.
Por su parte, se distingue el software criminal o crimeware2, como un tipo de software
maligno cuyo objetivo es el fraude financiero, mediante la suplantacin de personalidad y
el espionaje, siguiendo los movimientos del mouse o el tipeo en el teclado para con ello
conseguir nmeros de cuenta, identificaciones y datos personales con el objetivo de hacer
fraudes o mal uso de la informacin. A estos fines tambin se utiliza la llamada ingeniera
social, que consiste en conseguir la informacin confidencial brindada por el propio usuario
mediante engaos, como en el caso del phishing.
Virus informticos y gusanos
Esto dos tipos de programas tienen la capacidad para auto replicarse, con el fin de
contaminar a travs copias de s mismos. Se diferencian en la forma de propagacin,
mientras que un gusano opera a travs de una red, un virus lo hace a travs de archivos, en
particular los ejecutables, los documentos que contienen macros, y los sectores de arranque
de los discos.
Troyanos o Caballo de Troya
Un programa caballo de Troya o Troyano, es un software daino disfrazado de software
legtimo. Los caballos de Troya no son capaces de replicarse por s mismos y pueden ser
adjuntados con cualquier tipo de software por un programador y contaminar a los equipos
por medio del engao, usando un programa funcional para encubrirse y permanecer dentro
del computador.
http://es.wikipedia.org/wiki/Malware
El trmino fue ideado por Peter Cassidy, Secretario General del Anti-Phishing Working Group, para distinguir
este tipo de programas de otros malignos como malware, spyware, adwares, etc.
2

y Experiencia Web
Cookies
La cookie es un archivo de informacin que se guarda en el disco duro del navegante y que
puede hacer normalmente el seguimiento de las sesiones del usuario en Internet con la
finalidad de medir las preferencias de mercado. Esta informacin es recuperada en la
prxima sesin del usuario,
como lo muestra el esquema.
Si bien las organizaciones que
utilizan cookies suelen advertir
de ello al usuario indicando que
el fin es realizarle futuras
propuestas en funcin de sus
preferencias, la controversia
alrededor se plantea en torno a la
prdida de privacidad del
usuario.
Las cookies se pueden aceptar o
evitar en nuestros equipos, por
medio de la configuracin de privacidad de las opciones del navegador de Internet.
Fuente: Wikipedia
Cmo eliminar las cookies en Internet Explorer
Haga clic en el men Herramientas

Haga clic en el men Opciones de Internet
Haga clic en la ficha General
Haga clic en el botn Eliminar cookies
Haga clic en el botn OK
Haga clic en el botn Aceptar de nuevo
Cmo eliminar cookies en Firefox
Haga clic en el men Herramientas

Haga clic en el men Opciones
Haga clic en la ficha Privacidad
Haga clic en el botn Borrar al lado de la
palabra "Cookies"
Haga clic en el botn OK

y Experiencia Web
Spyware o husmeadores
Los spyware o programa espa, son aplicaciones que se instalan en nuestro equipo y se
dedican a recopilar informacin de nuestro sistema para luego enviarla a travs de Internet,
generalmente a alguna empresa de publicidad. En algunos casos lo hacen para obtener
direcciones de e-mail. Estos agentes espa, pueden ingresar a la PC por medio de otras
aplicaciones. Se enmascaran tras confusas autorizaciones al instalar programas de terceros,
por lo que rara vez el usuario es consciente de ello.
Adware
El adware es una aplicacin que
muestra publicidad y que suele
acompaar a otros programas. El
problema radica en los casos en los
cuales se recoge informacin sin el
conocimiento ni consentimiento del
usuario. Por ejemplo, cuando recibe
ofertas de software "gratuito" a cambio
de aceptar publicidad en su pantalla,
suele ocurrir que, al instalar el
programa, se instale junto con un
spyware sin que lo note.
Cabe aclarar que no toda aplicacin
que muestra algn tipo de publicidad
incluye adware.
Bots
Un bot es un programa robot que se encarga de realizar funciones rutinarias, que puede ser
usado, por ejemplo, para crear cuentas de e-mail gratuitos para luego, con estas cuentas,
realizar daos.
Otro uso de los bots es la generacin de ataques de denegacin de servicio distribuido,
inundando de pedidos a un servidor web con el fin de saturarlo a travs de rdenes enviadas
desde otra computadora controlan miles de computadoras clientes comprometidas a las que
se las convierte en "zombies". Yahoo y Microsoft han sufrido este tipo de ataques.

y Experiencia Web
Ataques de denegacin de servicios

En seguridad informtica, un ataque de denegacin de servicio, tambin llamado ataque
DoS (de las siglas en ingls Denial of Service), es un ataque a un sistema de computadoras
o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos.
Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de
banda de la red de la vctima, o sobrecarga los recursos computacionales de su sistema.
Se genera mediante la saturacin de los puertos
con flujos de informacin, haciendo que el
servidor se sobrecargue y no pueda seguir
prestando servicios. Esta tcnica es usada por los
llamados crackers para dejar fuera de servicio a
servidores objetivo.
El llamado DDoS (siglas en ingls de Distributed
Denial of Service, denegacin de servicio
distribuida) es una ampliacin del ataque DoS,
que se efecta con la instalacin de varios
agentes remotos en muchas computadoras que
pueden estar localizadas en diferentes puntos. El
invasor consigue coordinar esos agentes para
amplificar la saturacin de informacin,
pudiendo darse casos de un ataque desde cientos o millares de computadoras dirigido a una
mquina o red objetivo.
Pharming
Es el software maligno que suplanta el DNS (Domain Name System) en el host local, para
conducirnos a una pgina web falsa. Al intentar acceder a un determinado dominio desde
nuestro navegador, nos redirecciona a otro sitio controlado por el delincuente ciberntico o
cracker.
Para que este redireccionamiento suceda, previamente se han instalado en nuestro sistema
algunos programas malware ejecutables, recibidos va e-mail, descargas por Internet,
programas P2P, etc.
Phishing
Se identifica con este trmino la accin fraudulenta de conseguir (pescar) informacin
confidencial, va correo electrnico o pgina web. Esta prctica, tambin llamada de
Ingeniera Social, comnmente se realiza con el propsito de obtener acceso a cuentas
bancarias, tal como muestra el ejemplo de la siguiente figura.

y Experiencia Web
El phishing se basa en el envo de un mensaje electrnico o enlace de una empresa

supuestamente respetable. stas a menudo conducen a una pgina Web falsa pero en
apariencia prcticamente idntica a la original, con el fin de que el usuario introduzca su
contrasea y su informacin personal. Por ello, estas instituciones suelen advertir a sus
clientes que no realizan este tipo de solicitud de cambio de claves va email.
Cmo funciona el
Phishing?
Se informa al cliente con

supuestas fallas en su
informacin o en los
servidores que es urgente
atender.
Para dar confianza al
usuario se colocan
botones e imgenes que
le son conocidos por la
pgina real y las
advertencias usuales de la
pgina de acceso normal.
Para completar el engao,
advierte del envo de emails falsos, siendo en s
mismo uno de ellos.
El medio para entrar a la
pgina web suplantada
puede ser "http://" (en
lugar del real "https://")+
nombre de la pgina web
Generador de claves dinmicas

Un mtodo seguro para entrar a las pginas Web de los
bancos de algunos pases, es adquiriendo estos dispositivos
llamados generador de claves dinmicas (fabricados por las
compaas Aladdin y el RSA SecurID). Funcionan
introduciendo un pin, mediante el cual el generador
proporciona una clave para ingresar, siempre diferente, con
lo que se espera terminar con los Phishing.

y Experiencia Web
Ventanas emergentes/POP-UPS
Las ventanas pop-up son una forma
de publicidad en lnea. Se trata de
pequeas ventanas con anuncios,
como las que muestra la figura
adjunta, que se activan al acceder a
ciertos sitios web. Usualmente son
generadas con JavaScript.
Este tipo de publicidad suele ser
considerada molesta e invasiva por
parte de los cibernautas. En
ocasiones, aparecen debajo de la
ventana activa o fuera del rea
visual, con lo cual el usuario no se
percata cuando surge, sino hasta que
cierra su navegacin, con lo que difcilmente puede identificar junto a que pgina surgi.
Spam
Se le llama spam a los e-mails no solicitados,
que son enviados masivamente a direcciones
electrnicas compradas por empresas con la
finalidad de promocionar y vender sus
productos.
Se calcula que ms del 75% del correo
electrnico que circula en la red son spam,
pero podemos observar que tiene variaciones
mensualmente.3
Actualmente existen filtros que bloquean los
spam en la mayora de los servidores de
correo.
Asimismo, algunos pases de la regin como Mxico cuentan con leyes que prohben las
prcticas comerciales no solicitas por correo electrnico. Sin embargo, esto no evita que los
spam sean enviados desde otros pases para evadir estas y otras restricciones mundiales.
http://eval.symantec.com/mktginfo/enterprise/other_resources/SpamReport_March08.pdf
10

y Experiencia Web
Tecnologas para la seguridad del comercio electrnico

En esta seccin describimos algunas de las principales tecnologas aplicadas a la seguridad
del comercio electrnico. Las distinguimos segn se destinen a proteger las transmisiones
de datos, la red organizacional y los equipos y software de clientes y servidores.
Proteccin de la transmisin de datos
Protocolo SSL
Como sabemos, Internet funciona con medios de transmisin inherentemente inseguros.
SSL o Secure Sockets Layer (Protocolo de Capa de
Conexin Segura) es un protocolo criptogrfico que
proporciona comunicaciones seguras por una red,
comnmente Internet.
Esto implica, por ejemplo que durante una sesin segura en
la Web al solicitar el URL de un determinado documento, el
contenido del mismo y las cookies sern cifrados. Veremos
en la barra de navegacin que el protocolo de transmisin de hipertexto, HTTP, se
convierte a su versin segura, HTTPS.
Se utiliza el protocolo SSL para crear un canal seguro para la transmisin de informacin
entre el servidor y cliente. Para lograr esto, SSL utiliza de manera combinada los beneficios
de la criptografa de clave simtrica, la criptografa de clave pblica y los algoritmos de
resumen, descriptas ms abajo.4
SSL provee integridad y confidencialidad del mensaje mediante el cifrado de datos. Sin
embargo, slo garantiza una autenticacin del lado del servidor. La autenticacin del cliente
es opcional.
Por otra parte, SSL no puede otorgar la irrefutabilidad. Esto es, el consumidor podr negar
haber sido quien realiz la transaccin.
Aparte de SSL existen otros protocolos como el SET (Protocolo de Transmisin
Electrnica Segura) creado por MasterCard y Visa y otros lderes de la informtica como
Microsoft y Verisign. Junto con el CyberCash, son soluciones creadas para la venta por
Internet.
Este se compone de dos capas y funciona de la siguiente manera: 1. La primera capa se encarga de
encapsular los protocolos de nivel ms alto. 2. La segunda capa que se llama SSL Handshake Protocol se
encarga de la negociacin de los algoritmos que van a cifrar y tambin la autenticacin entre el cliente y el
servidor.
11

y Experiencia Web
Cifrado o encriptacin
La criptografa es el arte de transformar textos o datos de forma que no puedan ser ledos
por aquellos que no tienen la clave o cdigo que lo descifre. El cifrado de datos se ha
practicado desde tiempos muy remotos y existen distintos mtodos.
Veamos cmo funciona un mtodo muy sencillo:
El cifrado por desplazamiento, propone que cada letra del texto original sea reemplazada
por la letra que en el alfabeto aparece un cierto nmero de posiciones despus. Algunos
dicen que Julio Csar lo utiliz con un desplazamiento de 3 es decir, cada letra A es
reemplazada por una D, cada B por una
E y as sucesivamente. La cantidad de
caracteres que se desplaza en el alfabeto, es
considerada la clave del cifrado.
El algoritmo ROT13, es el mismo algoritmo
por desplazamiento con una clave 13, con la
particularidad que en un alfabeto de 26 letras,
el mismo algoritmo que cifra, descifra. Es
decir, correr 13 posiciones a la derecha da el
mismo resultado que correr 13 posiciones a la izquierda.
Hoy los sistemas de cifrado son digitales y existen algoritmos mucho ms sofisticados. La
fortaleza de la proteccin radica en la longitud de la clave binaria utilizada.
Criptografa de clave simtrica
La criptografa de clave simtrica o clave secreta, se basa en una nica clave compartida
exclusivamente por emisor y receptor del mensaje. El ejemplo de arriba, es de clave
simtrica.
Suponiendo que ambos extremos de la conexin conocen la clave y el algoritmo que se
usar para encriptar la informacin, es fcil entender que se logra la privacidad de la
comunicacin y la confidencialidad de la informacin.
En el caso de comunicaciones va Internet, el problema es que el envo de la clave se hara
por un medio no seguro, pudiendo ser captada por terceros durante la transmisin.
12

y Experiencia Web
Criptografa de Clave Pblica

La criptografa de clave pblica resuelve el problema del intercambio de claves. Esta
tecnologa plantea, para cada usuario, la creacin de un par de claves relacionadas
matemticamente. Una es pblica, es decir, de conocimiento pblico, y la otra privada, ya
que solo puede ser conocida por su propietario. Este propietario puede ser una persona
fsica, un dispositivo como una computadora, o un sitio web.
Los algoritmos matemticos utilizados para producir las claves se basan en funciones
irreversibles de una va, lo que supone que no podra derivarse una clave a partir de la otra.
Otro aspecto que agrega seguridad es la considerable longitud de las claves (128, 256 y 512
bits)
El algoritmo ms utilizado en la criptografa de clave pblica es el RSA (recibe su nombre
por sus creadores, Rivest, Shamir y Adleman), el cual realiza clculos sobre el texto a cifrar
en base al producto de dos nmeros primos, mayores que 10100, y una de las bases de su
fortaleza radica en la dificultad de factorizar nmeros grandes en producto de primos.
Algunas propiedades fundamentales del algoritmo RSA
- Un texto cifrado con la clave pblica, solo puede ser descifrado utilizando la clave privada del
mismo propietario (que slo l conoce).
- Un texto cifrado con una clave privada, solo puede ser descifrado utilizando la clave pblica del
mismo propietario.
Por un lado, si puedo descifrar un texto utilizando mi propia clave privada (que slo yo
conozco), estar seguro que, una vez cifrado el mensaje, nadie ms que el productor de la
informacin y yo podr acceder al contenido original. Por lo que, utilizada en este sentido,
la criptografa de clave pblica garantiza integridad y confidencialidad del mensaje.
Por otra parte, la segunda propiedad sealada implica en principio que, por ejemplo, si
podemos descifrar un texto utilizando la clave pblica de Juan, estaremos seguro que fue
Juan quien lo cifr con su clave privada (ya que slo l la conoce).
Sin embargo, la tecnologa en s misma no puede garantizar que el emisor sea quien
pensamos que es (que Juan es Juan). Esto es, no hay autenticacin del emisor y, por lo
tanto, el mismo podra repudiar el mensaje.
13

y Experiencia Web
Firma digital o PKI (Public Key Infraestructure)

Esta infraestructura provee integridad, autenticacin y no repudio de los mensajes. Para
ello combina la criptografa de clave pblica con los algoritmos de resumen, que
describimos seguidamente.
Algoritmos de Resumen
Un algoritmo de resumen es una funcin que toma como entrada un texto y devuelve una
cadena de una longitud fija. Los resultados de estas funciones, reciben los nombres de hash,
digesto, huella digital, suma de comprobacin, etc. Este resultado se enva junto con el
mensaje. El receptor aplica el mismo algoritmo al mensaje recibido y verifica su integridad
comprobando que el resumen o hash resultante sea idntico al enviado por el emisor.
Algunas propiedades deseables que debera cumplir un algoritmo de hash:
El algoritmo debe ser de una sola va, es decir que dado el digesto de un texto, es
imposible obtener el texto original.
Es imposible encontrar dos textos distintos que tengan el mismo digesto.
Un bit de diferencia en un texto, debe arrojar un digesto muy diferente.
Entre los algoritmos de hash ms conocidos podemos mencionar5:
MD5, (Message-Digest versin 5),

que devuelve un digesto de 128 bits,
generalmente expresado como un
nmero hexadecimal de 32 dgitos
de una entrada de longitud arbitraria
procesada en bloques de 512 bits.
SHA1, (Secure Hash Algorithm
versin 1), que genera un digesto de
160 bits generalmente expresado
como un nmero hexadecimal de 40
dgitos de una entrada de longitud
mxima de 264 bits
Por ejemplo, podemos calcular

MD5(hola) = 4d186321c1a7f0f354b297e8914ab240
MD5(Negocios en Internet) =
3ca0b02f0c1b91f7c7388d0432b59e8b
Es decir que sin importar la longitud del texto, el

digesto siempre tendr 128 bits
Por ejemplo, podemos calcular
SHA1(hola) =
99800b85d3383e3a2fb45eb7d0066a4879a9dad0
SHA1(Negocios en Internet) =
d4375bf6b5227549751ba85c39d40ff025f78e2f
Muchos sitios web nos permiten realizar

el clculo de una suma de comprobacin de un texto dado, como por ejemplo
http://www.mainake.org.
5
El algoritmo MD5 ya no es aceptable desde el punto de vista del criptoanlisis debido a que se conocen
ataques totalmente factibles de realizar, es decir, que dado un digesto, se puede encontrar un texto que lo
satisfaga. Para el algoritmo SHA1, hay ataques de 269 operaciones (590 trillones) y en la prctica, segn
afirman algunos, no es tan fcil de implementar.
14

y Experiencia Web
El proceso de firma digital de un documento

Para firmar un documento o mensaje, le calculamos una suma de comprobacin o hash y la
ciframos con nuestra clave privada (E(HASH,priv)), adosando esta informacin al
documento original.
La integridad del documento junto con la verificacin del firmante, pueden ser realizadas
calculando el hash del documento, descifrando la firma digital con la clave pblica del
firmante (D(Firma,pub)) y comprobando que ambos sean iguales.
Dijimos que con la firma digital podamos obtener:

Integridad, que sera equivalente a pedir que un documento firmado de manera
hologrfica solo sea vlido sin tachones ni enmiendas.
No repudio, que sera equivalente a poder determinar, mediante una pericia
caligrfica, si una persona firm en forma hologrfica un documento o no lo hizo.
Pero, el mecanismo hasta aqu descripto todava tiene una deficiencia. Por un lado, es claro
que matemticamente puede verificarse que si un mensaje puede ser descifrado con una
determinada clave pblica, slo pudo ser firmado con la clave privada hermana, del mismo
propietario. Sin embargo, cualquiera puede crear un par de claves publica y privada y
afirmar ser quien no es.
En este punto, se presenta la necesidad de la intervencin de un tercero certificante de
confianza (a modo de escribano pblico) que pueda garantizar la vinculacin de un par de
claves a una persona determinada. Estos terceros, son las autoridades certificantes emisoras
de los certificados digitales con los que se firma.
15

y Experiencia Web
Certificados Digitales
Un certificado digital es un documento digital emitido por una tercera persona o institucin
de confianza conocida como autoridad de certificacin (CA), que contiene informacin
que identifica al propietario (persona fsica u organizacin), su clave pblica y contiene la
firma digital de la CA emisora, quien garantiza la correlacin entre la identidad de un sujeto
o entidad y la clave pblica.
La CA se encarga de controlar la emisin y revocacin los certificados, as como de
mantener una base de datos con los certificados vlidos y los removidos.
Un certificado emitido por una entidad de certificacin autorizada, adems de estar firmado
digitalmente por sta, debe contener por lo menos lo siguiente:
Nombre, direccin y domicilio del suscriptor.

Identificacin del suscriptor nombrado en el certificado.
El nombre, la direccin y el lugar donde realiza actividades la entidad de
certificacin.
La clave pblica del usuario.
La metodologa para verificar la firma digital del suscriptor impuesta en el mensaje
de datos.
El nmero de serie del certificado.
Fecha de emisin y expiracin del certificado.
Varios pases de la regin estn avanzando en la implementacin de normativas legales

sobre firma digital. A nivel internacional, existen empresas privadas altamente reconocidas
que son autoridades certificantes, como Verisign.
Los certificados digitales pueden ser utilizados para:
Firmar digitalmente un documento proporcionando integridad y no repudio.
Cifrar informacin proporcionando confidencialidad e integridad.
Autenticar a equipos informticos como por ejemplo servidores web.
16

y Experiencia Web
Cmo se aplica la tecnologa de los certificados digitales

para aportar seguridad en las conexiones?
El protocolo SSL se encarga de arbitrar sta tarea. Consideramos 4 fases en su funcionamiento:
En la primera fase, llamada fase hola, cliente y servidor se ponen de acuerdo en el algoritmo de
clave simtrica que utilizarn para cifrar los datos a intercambiar. En esta negociacin el cliente
informa al servidor los algoritmos de los cuales dispone, y el servidor dispone cul ser utilizado.
En la segunda fase, llamada fase de autenticacin, el servidor enva su certificado digital al
cliente.
La tercera fase es llamada fase de creacin de clave de sesin, donde el cliente crea una
clave para el algoritmo simtrico que eligi el servidor en la primera fase y se la enva al servidor,
encriptada con su clave pblica (extrada del certificado que el servidor le envi en la segunda
fase).
La cuarta fase es llamada fase de verificacin. Aqu el cliente verifica la autenticidad del
servidor. El navegador controlar:
Que el certificado no haya caducado.
Que el sitio propietario del certificado sea el sitio que estamos queriendo navegar.
Buscar en su almacn de certificados el correspondiente a la autoridad certificante que
emiti el certificado del servidor, y corroborar la firma digital.
Por cada conexin que se hace el servidor enva una clave diferente. Entonces, si alguien consigue
descifrar la clave, lo nico que puede hacer es cerrar la conexin que corresponde a esa clave.
Si alguno de estos controles no es satisfactorio, informar al usuario para que l se responsabilice
por la verificacin.
Proteccin de la red organizacional

Firewalls
Un firewall o cortafuegos es un elemento de hardware o software utilizado en una red de
computadoras para controlar las comunicaciones, permitindolas o prohibindolas segn las
polticas de red que haya definido la organizacin responsable de la red.
La ubicacin habitual de un firewall es el punto de conexin de la red interna de la
organizacin con la red exterior, que normalmente es Internet. De este modo se protege la
red interna de intentos de acceso no autorizados desde Internet, que puedan aprovechar
vulnerabilidades de los sistemas de la red interna.
17

y Experiencia Web
Tambin es frecuente conectar al firewall una tercera red, llamada zona desmilitarizada o
DMZ, en la que se ubican los servidores de la organizacin que deben permanecer
accesibles desde la red exterior.
Se presentan cuatro tcnicas para controlar el acceso e imponer la poltica de seguridad del
sitio:
Control de servicio: Determina los tipos de servicios de Internet a los que se puede
acceder, interna o externamente. Para ello, puede:
o filtrar el trfico basndose en las direcciones IP.
o filtrar el trfico basndose en el nmero de puertos TCP.
o proporcionar software de proxy que reciba e interprete cada solicitud de servicio
antes de permitir su paso.
o alojar software del servidor, ejemplo, un servidor de correo o web.
Control de direccin: Determina en qu direccin se pueden iniciar las solicitudes
de servicios y en qu direccin se les permite el paso a travs del cortafuegos.
Control de usuario: Controla el acceso a un servicio en funcin de qu usuario est
intentando acceder (usuarios locales). Puede aplicarse al trfico entrante, lo cual
requiere algn tipo de tecnologa de autentificacin segura como IPSec.
Control del comportamiento: Controla cmo se utilizan los servicios particulares.
Puede filtrar el correo electrnico para eliminar el correo basura (spam).
Las ventajas ms significativas de un firewall son:
Protege de intrusiones. El acceso a ciertos segmentos de la red de una

organizacin, slo se permite desde mquinas autorizadas de otros segmentos de la
organizacin o de Internet.
Proteccin de informacin privada. Permite definir distintos niveles de acceso a
la informacin de manera que en una organizacin cada grupo de usuarios definido
tendr acceso slo a los servicios y la informacin que le son estrictamente
necesarios.
Optimizacin de acceso. Identifica los elementos de la red internos y optimiza que
la comunicacin entre ellos sea ms directa. Esto ayuda a reconfigurar los
parmetros de seguridad.
Entre las limitaciones ms relevantes de los firewalls, encontramos que no puede proteger
al sistema de:
Ataques cuyo trfico no pase a travs de l.

Amenazas a las que est sometido por ataques internos o usuarios negligentes.
Ataques de ingeniera social.
Ataques posibles a la red interna por virus informticos.
Fallos de seguridad de los servicios y protocolos de los cuales se permita el trfico.
18

y Experiencia Web
Proteccin de clientes y servidores

Antivirus
Existen paquetes de antivirus y programas individuales para eliminar programas o archivos
nocivos o indeseables como los virus, bots, adware, etc. Esos programas pueden ser
configurados para actuar automticamente y disparar alarmas al usuario.
El funcionamiento de un antivirus vara de uno a otro, aunque en general cuentan con una
lista de virus conocidos y su formas de reconocerlos (las llamadas firmas o vacunas), y en
funcin de esta lista chequean los archivos almacenados o transmitidos desde y hacia un
ordenador.
El objetivo primordial de cualquier antivirus es detectar la mayor cantidad de amenazas
informticas que puedan afectar un ordenador y bloquearlas antes de que la misma pueda
infectar un equipo, o poder eliminarla tras la infeccin. Deben actualizarse con frecuencia
ya que nuevos virus aparecen cada da, generando nuevas amenazas.
Preferencias de privacidad
P3P es la Plataforma para Preferencias de Privacidad patrocinada por el Consorcio W3C.
Funciona a travs del navegador del usuario, permitiendo que este decida sobre algunos
aspectos de la seguridad y privacidad de su sesin web, como el bloqueo de cookies.
El navegador lee las directivas de privacidad de los sitios visitados y advierte al usuario
cuando no cubre sus preferencias de seguridad. Vemos en la figura las opciones de
privacidad y seguridad de Explorer y Firefox.
Opciones de privacidad y seguridad de Firefox
Opciones de privacidad y seguridad de Explorer
19

y Experiencia Web
Medios de pago
Estudios realizados en Latinoamrica sealan la desconfianza en los medios de pago en
lnea como una de las principales barreras al desarrollo del comercio electrnico en la
regin. As lo ilustra el grfico adjunto (CEPAL, 2008).
Esta realidad nos lleva a poner ms nfasis en la seleccin de los medios de pago a ofrecer
en un sitio comercial, analizando las ventajas y desventajas de cada uno de ellos,
atendiendo las caractersticas socioeconmicas y culturales de los consumidores-meta.
Los hbitos nacionales y caractersticas especficas de cada industria respecto de la
utilizacin de los sistemas de pago en lnea marcan importantes diferencias por pases y
tipos de pago.
En Estados Unidos, por ejemplo, el principal medio de pago en lnea es la tarjeta de crdito
(70%), le siguen PayPal (14%), tarjetas de dbito (10%), los cheques (4%) y el pago contra
entrega (2%) segn datos de CyberSource Corporation (2007).
En los pases nrdicos (por ejemplo, Suecia, Finlandia) son notables los usuarios de los
pagos en lnea,. Asimismo, en Australia y Nueva Zelanda se ha producido una importante
tendencia a la adopcin de los pagos en lnea (BIS, 2004). Tambin en Alemania mtodos
de pago off-line, tales como dinero en efectivo contra entrega, han sido utilizados
frecuentemente para la compra en lnea.
20

y Experiencia Web
En contraste, en Japn los pagos en lnea son todava bajos a pesar del importante
crecimiento del comercio electrnico.
Caractersticas de los principales sistemas de pago
Un estudio de medios de pago on-line de la OCDE (2006), identifica las siguientes
caractersticas de seleccin de sistemas de pago en lnea, por parte de compradores y
vendedores:
Aplicabilidad
Disponibilidad (zona de cobertura/ puntos de venta),
Tamao de pago (micropagos/ grandes sumas de dinero)
Destino (por ejemplo, comerciantes, personas privadas).
Facilidad de obtener
La facilidad / complejidad de la inscripcin del comerciante y el cliente.
Fiabilidad y facilidad de uso
La simplicidad, transparencia y facilidad de uso para clientes y comerciantes.
Costo
Distribucin de costes entre los comerciantes y los usuarios;
Estructura de costos (cargo fijo/ porcentaje sobre las transacciones).
Seguridad
Confianza de los clientes y sostenibilidad econmica.
Mecanismos de transmisin de la informacin del comprador al vendedor.
Seguridad de la informacin (de cliente y vendedor) almacenada en el equipo.
Responsabilidad
Leyes y disposiciones de proteccin.
Cobertura de posibles prdidas.
El anonimato
Proteccin de datos personales.
Intercambios entre el anonimato y la trazabilidad del pago.
En trminos generales, podramos decir que:
Los consumidores se interesan principalmente en mecanismos de pago de bajo

costo, que se puedan refutar y que sean confiables.
Los comerciantes se interesan en mecanismos de bajo riesgo, bajo costo,

irrefutables, seguros y confiables.
Los intermediarios financieros se interesan en sistemas de pago seguros que

transfieran los riesgos a consumidores y comerciantes, a la vez que maximicen las
cuotas por transaccin.
21

y Experiencia Web
Pago en efectivo
Valor almacenado
El efectivo, ofrece las siguientes ventajas:

Porttil
No requiere autenticacin
Permite micropagos
Su uso no tiene costo
Su
uso
no
requiere
de
herramientas complementarias
Es annimo
Cuentas en las que se depositan y retiran

fondos.
Tarjetas de dbito: realizan un cargo
inmediato en una cuenta corriente o
caja de ahorro. Para retirar fondos no
se requiere emitir cheques
Certificados de regalo
Tarjetas prepagas
Sistemas
P2P:
como
PayPal,
requieren una cuenta con un valor
almacenado (cuenta corriente, tarjeta
de crdito con saldo disponible)
Y tambin algunas desventajas
Se roba fcilmente
No proporciona perodo flotante
Difcil de revertir o refutar
Cheques
Suponen la existencia de una cuenta en
una entidad financiera.
Ventajas:
Tienen un cierto periodo flotante.
Pueden aplicarse a cualquier
tamao de pago.
Minimizan el riesgo de robo.
Desventajas:
Pueden ser falsificados.
Pueden ser rebotados si la cuenta
no tiene suficiente dinero.
Valor acumulado
Cuentas
que
acumulan
gastos
peridicamente como los pagos de
servicios pblicos o de conexin a
Internet, por ejemplo, que se acumulan en
una cuenta que el consumidor paga
regularmente.
La tarjeta de crdito
Representa una cuenta que extiende el
poder de compra de los consumidores,
difiriendo el pago y fraccionndolo en
cuotas.
Las asociaciones de tarjetas de crdito
(como Visa) establecen los estndares
para los bancos que emiten las tarjetas y
procesan las transacciones, actuando
como intermediarios financieros.
Las cmaras de compensacin se
encargan de verificar los saldos de las
cuentas.
Se adaptan a pagos grandes y
pequeos (aunque no micropagos)
Ofrecen perodo flotante
Reducen el riesgo de robo
Pagan cuota por transaccin del 3 al
5%
Posible de revertir o refutar
22

y Experiencia Web
Pago en lnea con tarjetas de crdito

Las transacciones en lnea con tarjetas de crdito se asemejan a las de compras telefnicas o
por correo, en las que el tarjeta habiente no est presente.
Hay cinco partes involucradas en el circuito de pago, el cual funciona de la siguiente
manera:
1. El consumidor carga los productos a comprar en el carrito de compras.
2. Al momento de pagar, se crea un tunel seguro a travs de SSL para el envo de datos
(como n de tarjeta y clave) por la red.
3. El comerciante recibe los datos y consulta la validez del monto y la tarjeta
consultando a una cmara de compensacin o pasarela de pagos.
4. Este intermediario verifica los datos y se pone en contacto con el banco emisor de la
tarjeta.
5. El banco acredita el monto a la cuenta del comerciante.
6. El consumidor paga mensualmente todas las compras realizadas con la tarjeta.
Seguridad del pago en lnea con tarjeta de crdito

La desventaja que presentan las tarjetas de crdito en cuanto a seguridad es que los datos
utilizados para realizar el pago en lnea figuran en el mismo soporte plstico de forma que
no se autentica la identidad del usuario.
Para salvar este aspecto, VISA ofrece su servicio VERIFIED. Este
servicio adicional, solicita una identificacin extra al tarjeta-habiente en
cada compra. El tarjeta-habiente debe inscribirse en el servicio,
accediendo a VisaHome Socios, o al HomeBanking de su banco Emisor.
El protocolo 3D Secure sustenta a Verified by Visa para que los pagos
realizados por Internet sean validados. Desde el lado del comercio utiliza un Plug-In que
sirve para comunicar, verificar y autenticar, en lnea, a los participantes de una transaccin
de compra.
23

y Experiencia Web
Pasarelas de pago
Una pasarela de pago o gateway de pago es un proveedor de servicios de aplicacin de
comercio electrnico que autoriza pagos por medios electrnicos. Es el equivalente de una
TPV (Terminal Punto de Venta) fsica ubicada en la mayora de los almacenes al detalle.
Las pasarelas de pago cifran informacin sensible, tal como nmeros de tarjetas de crdito,
para garantizar que la informacin pasa en forma segura entre el cliente y el vendedor.
Entre las pasarelas ms conocidas, podemos mencionar a: PayPal, Internet Secure Inc.,
Autorize.net, Cybercash, Decidir.
Los costos de utilizar la pasarela rondan el 3,5% del valor de la transaccin para el
comerciante. Pueden a su vez, tener costos de apertura de cuenta, instalacin del software
requerido y de mantenimiento de cuenta (mensual)
Funcionamiento de las pasarelas de pago
1. El comerciante
informa al
servicio de
procesamiento de
pagos para
liquidar las
operaciones.
5. El banco
del
comerciante
acredita en
monto en su
cuenta
bancaria.
2. El servicio de
procesamiento de
transacciones de
pago las enva al
procesador.
3. El procesador
controla la
informacin, y la
enva a la asociacin
de tarjetas de
crditos y al banco
emisor de la tarjeta.
4. Las operaciones se
liquidan tarjeta-habientes
y los fondos se mueven
del banco del comprador
y el banco emisor. Los
fondos recibidos por estas
las transacciones se
envan a la cuenta
bancaria del comerciante.
6. Banco emisor
incluye el cargo
del comerciante en
la cuenta de tarjeta
de crdito del
cliente.
Ejemplo: PayPal1 como pasarela de pagos. Fuente: https://www.paypal.com/cybercash
24

y Experiencia Web
PayPal como sistema de valor almacenado en lnea

Este sistema de pago en lnea supone la existencia de una cuenta bancaria o tarjeta de
crdito con saldo acumulado. Es uno de los ms populares a nivel internacional. La ventaja
de sistemas como PayPal es que pueden aplicarse a pequeos montos y permiten acumular
saldos de varias ventas antes de retirar el dinero a una cuenta bancaria o por medio del
envo de un cheque. Otra ventaja es que vendedor y comprador no necesitan intercambiar
datos de tarjetas de crdito. Como desventaja encontramos el alto costo. Particularmente, en
nuestra regin existen dificultades a la hora de retirar el dinero del sistema.
Plataformas de pago latinoamericanas
Se trata de empresas que ofrecen servicios de intermediacin en el envo y recepcin de
dinero a travs de Internet y desde distintos medios de pago. Comerciante y consumidor
deben tener una cuenta de mail donde recibirn la informacin de los pagos recibidos y
efectuados.
Un comerciante puede recibir pagos mediante tarjetas de crdito y otros medios disponibles
en cada pas. Sin embargo, se deber advertir a los consumidores ya que, en el caso de pago
en cuotas, los costos suelen ser muy altos.
En el caso de Dinero Mail, la apertura de
cuenta, el envo de fondos no tienen cargo,
mientras que si se debe abonar por recibir y
retirar fondos.
Para el cobro con tarjetas de crdito, el
comerciante abona un costo del 5%, mientras
que para el consumidor la transaccin es sin
cargo en un solo pago, pero en varios pagos el
costo asciende al 10% (en 3 pagos), 15% (6
pagos), etc.
Los fondos recibidos pueden ser transferidos a
una cuenta bancaria o son enviados por cheque
o giro postal. El costo vara entre las distintas
alternativas.
Otro ejemplo de plataforma de pago en la regin es MercadoPago, el medio de pago de
Mercado Libre, que se aplica en Argentina, Brasil, Chile, Colombia, Mxico y Venezuela.
Por su parte, Xoom servicio de transferencias internacionales de dinero por Internet,
tambin est presente en ms de 40 pases. Los usuarios no necesitan tener una cuenta
25

y Experiencia Web
bancaria o conexin a Internet para recibir los fondos. Quienes envan pueden pagar la
transferencia de dinero con PayPal, una tarjeta de crdito o una cuenta bancaria.
Pago mvil
Dado que la tasa de penetracin de telefona celular es muy superior al nivel de
banacarizacin, existen sobrados intereses para desarrollar medios de pago mviles.
Veamos algunos de los avances que al respecto estn realizando importantes compaas del
sector de telecomunicaciones.
Nokia permitir realizar transacciones con el celular6
Nokia anunci un servicio financiero denominado Money; estar disponible a partir de 2010 y
permitir utilizar al telfono mvil como medio de pago y efectuar transferencias de dinero, incluso
para aquellos que no disponen de cuenta bancaria, ya que apunta a mercados con economas
emergentes
Nokia Money permitir que los usuarios puedan realizar envos de dinero a otra persona utilizando
el nmero de celular del destinatario. No obstante, estar limitado slo para pagar determinados
bienes, inform la empresa.
Telefnica, Sermepa, NFC y pago mvil7
Telefnica y Sermepa (empresa del sistema ServiRed) desarrollaron un proyecto piloto de solucin
global para aplicar la nueva tecnologa NFC (Near Field Communication) en los servicios de pago a
travs de telfonos mviles.
Esta nueva tecnologa de proximidad permite que un usuario con un terminal mvil NFC pueda
realizar pagos acercndolo al Terminal Punto de Venta de un comercio adaptado. As el mvil se
convierte en una billetera donde guardar las tarjetas. El usuario mantiene sus tarjetas financieras
en la SIM (Subscriber Identity Module) del telfono y mediante la Cartera o Billetera Mvil Virtual
puede elegir la tarjeta que utiliza y realizar el pago al acercar el mvil al Terminal Punto de Venta
con total seguridad. La idea es lograr la confianza del usuario, una de las mayores debilidades del
mobile payment.
Esta nueva tecnologa aplicada a los servicios de pago aporta importantes beneficios:
Facilidad y uso intuitivo de las tarjetas financieras desde el mvil y rapidez en el pago.
Inmediatez en disponer el usuario de la tarjeta financiera en el telfono mvil tras solicitud a la
entidad emisora.
Seguridad a travs de medidas que garantizan la privacidad e integridad de las tarjetas en la
SIM y de las transacciones de pago.
http://blogs.clarin.com/grupodeprofesores/2009/8/27/nokia-permitira-realizar-transacciones-con-celular-
http://www.movilsur.com/index.php/2009/03/24/telefonica-sermepa-nfc-y-pago-movil/
26

y Experiencia Web
Aspectos legales y ticos del comercio electrnico

Finalmente, en esta seccin abordamos algunos de los principales aspectos legales
vinculados al comercio electrnico.
Derecho a la informacin y aspectos de privacidad
Hemos visto que con fines de marketing los sitios web recolectan y analizan datos del
comportamiento y las preferencias de los visitantes, utilizando cookies, spyware y otras
tcnicas. El objetivo de los comerciantes es identificar quines son sus clientes y qu
estaran dispuestos a comprar. Incluso, las redes de publicidad hacen esfuerzos mayores
cada vez para asociar los datos de las sesiones en lnea con otros fuera de lnea.
Crean as perfiles de clientes y a partir de all segmentan y/o personalizan la publicidad y la
oferta, aumentando su efectividad. El alcance de la captura de datos y el poder de
manipulacin que otorgan las tecnologas actuales se enfrentan con el derecho de
privacidad de las personas.
En principio, los usuarios de Internet experimentaban la navegacin en la web de cmo una
prctica annima. Hasta que punto es legtimo que las empresas registren datos de los
consumidores? Estn de acuerdo los usuarios de Gmail, por ejemplo, que todos sus emails
sean ledos por los robots de Google a fines de colocar publicidad relevante en los
mrgenes?
Las leyes de Habeas Data suponen una accin constitucional o legal que tiene cualquier
persona que figura en un registro o banco de datos, de acceder a tal registro para conocer
qu informacin existe sobre su persona, y de solicitar la correccin de esa informacin si
le causara algn perjuicio. Quienes registren datos personales, deben declarar estas bases de
datos ante organismos oficiales, especificando el objetivo de la recopilacin, las
condiciones de seguridad bajo las cuales los datos son almacenados, etc. Se pone especial
nfasis en la proteccin de los datos sensibles que puedan derivar en discriminacin como
relacionados a las inclinaciones polticas, sexuales, aspectos de la salud, etc.
Pero no es claro que estas leyes protejan eficazmente el derecho a privacidad del cibernauta
dado que, en Internet, el navegante muchas veces no es consciente de que se estn
registrando datos sobre su comportamiento.
De all que una de las recomendaciones en pos de la privacidad del usuario es que se
requiera su consentimiento explcito (y no tcito). La obtencin el consentimiento del
usuario puede hacerse de dos formas:
por inclusin voluntaria llamada tambin opt-in , en este caso el consumidor es

consultado previamente y decide si sus datos pueden ser utilizados.
27

y Experiencia Web
por exclusin voluntaria u opt-out, este modelo prev que se recolecten los datos del
consumidor, dando la opcin al consumidor de evitarlo, por ejemplo,
deseleccionando una opcin en un formulario.
En la Unin Europea, la proteccin de la privacidad es mayor que en Estados Unidos

Existen, por ejemplo, disposiciones en funcin de las cuales se ha limitado el tiempo de
retencin de datos de los usuarios a los principales motores de bsqueda (Google, Yahoo,
MSN y ASk).
En la regin, mencionamos Resolucin N 21 del Grupo Mercado Comn del Mercado
Comn del Sur, de fecha 8 de octubre de 2004, relativa al Derecho de Informacin al
Consumidor en las Transacciones Comerciales Efectuadas por Internet. Esta resolucin fija
la obligacin de los proveedores de brindar en los sitios de Internet, informacin clara,
precisa y fcilmente advertible sobre las caractersticas de los bienes y servicios ofrecidos
como as tambin respecto de las condiciones de comercializacin de los mismos.
Contratacin por vas electrnicas

La mayor parte de los pases siguen las recomendaciones de los organismos
internacionales. En 1996, la Comisin de las Naciones Unidas para el Derecho Mercantil
Internacional (CNUDMI) estableci el modelo de ley sobre Comercio Electrnico.
Esta Ley Modelo define ciertas normas que permiten determinar el valor jurdico de todo
mensaje electrnico, estableciendo un equivalente funcional para la documentacin sobre
soporte electrnico de ciertos conceptos bsicos que se acuaron para la documentacin en
papel, tales como las nociones de escrito, firma y original.
Luego, en 2005 tuvo lugar la Convencin de las Naciones Unidas sobre la Utilizacin de
las Comunicaciones Electrnicas en los Contratos Internacionales8. La finalidad es
fomentar la seguridad jurdica y la previsibilidad comercial cuando se utilicen
comunicaciones electrnicas en la negociacin de contratos internacionales. En la
Convencin se regula:
la determinacin de la ubicacin de la parte en un entorno electrnico;

el momento y lugar de envo y de recepcin de las comunicaciones electrnicas;
la utilizacin de sistemas de mensajes automatizados para la formacin de contratos;
los criterios a que debe recurrirse para establecer la equivalencia funcional entre las
comunicaciones electrnicas y los documentos sobre papel, incluidos los
http://www.uncitral.org/uncitral/es/uncitral_texts/electronic_commerce/2005Convention.html
28

y Experiencia Web
documentos sobre papel "originales", as como entre los mtodos de autenticacin

electrnica y las firmas manuscritas.
En relacin a los mecanismos para la autenticacin y firma electrnica, en 2007 la
CNUDMI divulg el documento: Fomento de la confianza en el comercio electrnico:
cuestiones jurdicas de la utilizacin internacional de mtodos de autenticacin y firma
electrnicas.9
Propiedad intelectual
La propiedad intelectual est relacionada con derechos de propiedad intangibles, que son
creados y protegidos por ley. Los derechos de autor y derechos conexos protegen libros,
msica, expresiones visuales (pinturas, videos y pelculas), software, contenidos en
multimedia y bases de datos.
En el mundo digital, los costos de reproduccin y distribucin se reducen
extraordinariamente y en Internet las trasgresiones pueden ser difciles de detectar e
impedir a tiempo. Los principales tipos de propiedad intelectual son:
Copyright
El derecho de autor est ideado para proteger la expresin de las ideas, no las ideas mismas.
Prev la proteccin de libros, software, obras musicales, obras dramticas y obras artsticas,
etc. Suministra al propietario el derecho exclusivo de copiar la obra y distribuirla al
pblico.
El problema en Internet resulta difcil identificar al verdadero propietario de una obra, as
como determinar la cantidad del material que puede ser copiado, antes de que la violacin
tenga lugar.
La legislacin de derecho de autor vara entre pases, aunque existen algunas convenciones
internacionales que muchos pases respetan, como por ejemplo, la Convencin de Berna10.
Patentes
Las patentes resguardan los derechos exclusivos a su poseedor sobre una invencin por una
cierta cantidad de aos. Las patentes otorgan derechos de monopolio no solamente sobre
9
http://www.uncitral.org/pdf/spanish/publications/sales_publications/Promoting_confidenceS.pdf
http://www.wipo.int/treaties/es/ip/berne/trtdocs_wo001.html
10
29

y Experiencia Web
una idea, sino tambin conceden la exclusividad sobre una idea o invencin sin considerar
cmo sta se manifiesta. Puede tomar la forma de un dispositivo fsico o un mtodo o
proceso para hacer realidad a un dispositivo fsico. Esta proteccin es aplicable a
procedimientos de negocios. Por ejemplo, Amazon.com obtuvo una patente sobre su
procedimiento 1-Click ordering (Ordene en un click).
La obtencin de una patente debe ser aprobada por un organismo que juzga la validez del
reclamo en relacin a que sea nuevo, involucre un paso innovador y sea apto para la
aplicacin industrial. Existen tratados internacionales para facilitar la concesin y
cumplimiento de las patentes. Por ejemplo: Paris Union and the European Patent
Convention.
Marcas comerciales y nombres de dominio
Los signos grficos utilizados por las empresas para identificar sus artculos estn
protegidos por ley, siempre que sean registrados ante la autoridad apropiada. Las marcas no
registradas estn en muchos pases protegidas por leyes civiles que protegen la reputacin
de un intermediario financiero establecido a travs del uso de un logotipo que lo distingue.
El nombre de dominio de un sitio, por ejemplo Amazon en el caso de Amazon.com, toma
mucha relevancia para una empresa ya que es su nombre en Internet. Este puede ser
protegido con una marca si se cubren los criterios especificados. El conceder nombres de
dominios y extensiones de dominio est sujetos a un nmero de paneles internacionales: el
consorcio DISPutes.org y la OMPI (Organizacin Mundial de la Propiedad Intelectual).11
La propiedad de un nombre de dominio puede traer ciertos beneficios a los propietarios y el
uso errneo de ellos puede llevar a que el propietario sea demandado.
Por empezar, se debe elegir un dominio que est disponible. Puede verificarse si un nombre
de dominio ya ha sido registrado en: http://www.uwhois.com.
En segundo lugar, el nombre de dominio no debe coincidir con la marca de otra empresa,
ya que es en caso de reclamo deber transferir o anular el nombre de dominio, adems de
pagar daos y perjuicios. El registro de una marca ajena como nombre de dominio equivale
a la infraccin de una marca, conocida asimismo como "ciberocupacin".12
11
Puede acceder a las reglas para las disputas de nombres de dominio: http://www.wipo.int/amc/es/domains
La Poltica Uniforme de Solucin de Controversias, recomendada por la OMPI y aprobada por la ICANN.
Puede encontrarla en: http://arbiter.wipo.int/domains/
12
30

y Experiencia Web
Puede verificar si el nombre de dominio elegido es una marca registrada en algn pas en:
http://ecommerce.wipo.int/databases/trademark/index.html
Adems de las marcas, es aconsejable evitar los nombres de dominio que incluyen nombres
geogrficos (por ejemplo, Champagne, Beaujolais), nombres de personas famosas, nombres
genricos de sustancias farmacuticas, nombres de organizaciones internacionales.
Copyleft13
Copyleft es el trmino que se utiliza para designar el tipo de proteccin jurdica que
confieren determinadas licencias que garantizan el derecho de cualquier usuario a utilizar,
modificar y redistribuir un programa de software o sus derivados, siempre que se
mantengan estas mismas condiciones de utilizacin y difusin.
Esta palabra comenz a utilizarse en los aos setenta por oposicin a copyright para sealar
la libertad de difusin de determinados programas informticos que les otorgaban sus
creadores. Unos aos ms tarde se convirti en un concepto clave del denominado software
libre, que Richard Stallman plasm en 1984 en la General Public License (GPL, licencia
pblica general) de su proyecto GNU (u; estas siglas corresponden a Gnu is Not Unix).
El objetivo principal de esta licencia es impedir que el material que se acoge a ella pueda
quedar jurdicamente sujeto a derechos de autor (copyright).
Creative Commons14
Es una organizacin sin nimo de lucro que ofrece un sistema flexible de licencias copyleft
para el trabajo creativo.
Las licencias Creative Commons (cc) se ubican entre el copyright y las licencias de
dominio pblico (pd) y permiten copiar y distribuir las obras siempre y cuando se respeten
las condiciones escogidas.
Copyright
13
14
Creative Commons
Dominio Pblico
http://fundacioncopyleft.org
http://creativecommons.org/
31

y Experiencia Web
Existen bsicamente dos opciones a tener en cuenta:

(1) si se permiten usos comerciales de la obra y;
(2) si se permiten hacer obras derivadas de la obra original
y bajo qu condiciones.
Licencias Creative Commons (cc)
Garantiza la autora de la obra
Permite compartir Obras Derivadas
No Comercial
Sin Obras Derivadas
No Comercial Compartir Obras Derivadas
No Comercial Sin Obras Derivadas
32

Semana 5

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Semana 5

Enviado por

Direitos autorais:

Formatos disponíveis

Comercio Electrnico, e-Clientes

Semana 5 Seguridad y medios de pago para el comercio electrnico

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Un sitio de comercio electrnico necesita

Un obstculo importante al comercio

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Disponibilidad: que el sitio permanezca funcionando de la forma esperada.

Comercio Electrnico, e-Clientes

Requerimientos del plan de seguridad

Objetivos del un plan

Etapas del plan

Comercio Electrnico, e-Clientes

Amenazas frecuentes en Internet

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Cmo eliminar las cookies en Internet Explorer

Haga clic en el men Herramientas

Cmo eliminar cookies en Firefox

Haga clic en el men Herramientas

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Ataques de denegacin de servicios

Comercio Electrnico, e-Clientes

El phishing se basa en el envo de un mensaje electrnico o enlace de una empresa

Se informa al cliente con

Generador de claves dinmicas

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Tecnologas para la seguridad del comercio electrnico

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Criptografa de Clave Pblica

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Firma digital o PKI (Public Key Infraestructure)

Entre los algoritmos de hash ms conocidos podemos mencionar5:

MD5, (Message-Digest versin 5),

Por ejemplo, podemos calcular

Es decir que sin importar la longitud del texto, el

Muchos sitios web nos permiten realizar

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

El proceso de firma digital de un documento

Dijimos que con la firma digital podamos obtener:

Comercio Electrnico, e-Clientes

Nombre, direccin y domicilio del suscriptor.

Varios pases de la regin estn avanzando en la implementacin de normativas legales

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Cmo se aplica la tecnologa de los certificados digitales

Proteccin de la red organizacional

Semana 5- Seguridad y medios de pago para el comercio electrnico

Comercio Electrnico, e-Clientes

Protege de intrusiones. El acceso a ciertos segmentos de la red de una

Ataques cuyo trfico no pase a travs de l.

Semana 5- Seguridad y medios de pago para el comercio electrnico