A finales de los años 90 el comercio electrónico era una forma emergente de hacer negocios que no era muy utilizado por las empresas en las compras o ventas de productos on-line.
Como compañías pioneras del comercio electrónico de aquel entonces cabe destacar :
Amazon, como tienda de libros
eBay, como tienda de subastas electrónicas
Negocios que proporcionaban herramientas de búsqueda: Altavista, HotBot, Lycos y Yahoo!
La popularidad creciente de los portales de búsqueda permitió a Google cobrar tasas cada vez más altas para los espacios publicitarios en sus páginas Web. Google adoptó el modelo de oferta de palabras clave en el año 2000 y lo utilizó para vender anuncios pequeños de texto que aparecen en las páginas de los resultados de las búsquedas realizadas a través de su portal. Ejemplo:
Un concesionario de automóviles podría hacer una oferta en el precio de la palabra clave "coche" para las búsquedas a través del portal.
Supongamos que el concesionario de automóviles era el mejor postor con 10 céntimos de euro de coste para cada clic en los anuncios.
Esto significa que el concesionario pagaría por el anuncio a un razón de 12 céntimos de euro por cada visitante del sitio que clica en el anuncio.
Podemos situar el inicio del comercio electrónico a mediados de los años 1990s cuyas fases podían quedar establecidas en la siguiente cronología:
Primera ola del comercio electrónico. Creció rápidamente hasta el año 2000
Descenso importante. Del año 2000-2003 se pasó del "dot-com boom" al "dot-com bust"
Segunda ola del comercio electrónico. Recesión económica general en 2008: el e-Commerce resultó herido pero menos que la mayoría de los comercios tradicionales.
Tercera ola del comercio electrónico. La aparición de los dispositivos portátiles (teléfonos móviles inteligentes, tablets ...) ofrecen la posibilidad de una nueva evolución de los negocios online.
Comercio Electrónico
¿Qué es el comercio electrónico? son todas las actividades comerciales que utilizan las tecnologías de Internet (WWW, transmisiones inalámbricas, redes de telefonía móvil ...)
Figura 1.1. La Figura muestra los tres principales elementos del comercio electrónico. La figura representa los porcentajes aproximados del volumen de cada tipo de transaccionesActualmente, la tercera ola del comercio electrónico ha arrancado con el uso de los llamados Smartphones. Se trata del llamado Mobile Commerce: m-Commerce. Las características básicas de este tipos de teléfonos móviles son:
Navegador Web
Teclado completo
Sistema operativo identificable
Paquetes de software
Capacidad de transferencia de datos
Actualmente Internet ha pasado a estar prácticamente disponible en cualquier sitio: esto supone un cambio en el comportamiento de los posibles clientes del comercio electrónico.
Otro aspecto del comercio electrónico es el llamado Social Commerce: consiste en el uso de conexiones online interpersonales con el fin de promocionar o vender bienes y servicios. Estas interacciones sociales pueden ser usadas para promocionar o anunciar artículos. Alguno de los canales usados con este objetivo son Facebook, Twitter ...
Un aspecto esencial del comercio electrónico es su carácter transfronterizo. Cualquier negocio que se involucra en comercio electrónico, de forma instantánea se convierte en un negocio internacional. Todo ello conlleva nuevas oportunidades y expectativas. También cabe destacar algunos inconvenientes o dificultades:
Problemas de confianza en sitios remotos Web.
Ejemplo: Un banco español se puede establecer en la web y ofrecer servicios al resto del mundo. En cambio, ningún cliente potencial que visite la web de este banco puede determinar las dimensiones o lo bien establecido que pueda estar el banco simplemente a través de su página web.
Cuestiones culturales e idiomáticas
Una forma efectiva de hacer negociones en otras culturas es adaptarse a ellas: think globally, act locally.
Temas relacionados con aspectos legales e infraestructuras gubernamentales
Figura 1.2. Viñeta clásica del New York Times que ilustra el anonimato y los problemas de confianza en la Web (1993)
Mucha gente hoy en día utiliza Internet y la web a través de su ordenador. En 2001, Handspring presentó sus Treo phones y RIM introdujo sus teléfonos BlackBerry. Estos teléfonos móviles incluían teclado alfanumérico y una capacidad de almacenamiento y procesamiento más grande. Actualmente un número creciente de usuarios de Internet usan los smartphones y las tablets como dispositivos primarios de acceso a Internet. Los sitos Web se están rediseñado para poder dar a los usuarios de smartsphones una experiencia mejor en la navegación Web.
Figura 1.3. Las cifras de subscriciones de líneas móviles muestra como se ha generalizado el uso y la disponibilidad de Internet por todo el planeta
Modelo de negocio
Actualmente se han establecido varios tipos de modelos de negocio en los comercios online:
Catalogo Web,
Contenido Digital,
Ingresos a través de anuncios,
Modelo mixto de ingresos Anuncios-subscripciones,
Modelos basados en el pago de una tasa
Internet ofrece también un canal diferente de marketing. Esto significa que se puede llegar al consumidor a través de más de un canal (por ejemplo, tiendas al por menor para clientes urbanos y canales de venda por catálogo en Internet para clientes a distancia). Para favorecer la venta online muchas tiendas por catálogo en Internet tienen generosas políticas de retorno de artículos que no son tan frecuentes en el marketing directo. Otra forma de incentivar la venta por Internet es la propuesta de grandes ofertas online. Algunos ejemplos de este tipo de ofertas la podemos encontrar en sitios como Overstock, ClicPlan, Kelkoo, BestBuy, Bizrate entre otros.
Las compañías que basan su modelo de negocio en la venta de contenido digital venden el derecho al acceso de la información que almacenan mediante subscripciones individuales. Algunos ejemplos de negocios de contenido digital son:
Asesoría Legal, Academias y centros de educación, Contenido comercial y tecnológico
Libros electrónicos, periódicos y revistas
Música online
Vídeo online
Algunos de los negocios online ofrecen sus servicios y cobran una tasa basada en el número y/o el tamaño de las transacciones que lleva a cabo el usuario. Algunos ejemplos de este tipo de comercios electrónicos son:
Agencias de Viaje
Tickets para eventos: Ticketmaster, TicketsNow...
Banca Online y Servicios Financieros
Ofertas de automóviles: Autobytel, Edmunds ...
Agencias inmobiliarias y préstamos inmobiliarios
Actualmente está aumentando la oferta de compañías que ofrecen gran variedad de servicios en la Web a cambio del pago de una tasa. Esta tasa, lógicamente, depende del servicio proporcionado:
Juegos Online: MSN Games, Sony Online Entertainment ...
También ha aparecido un nuevo modelo de negocio digital: Free for Many, Fee for a Few. Este tipo de negocios tienen un modelo de ingresos basado en prestar gratuitamente un servicio base a muchos clientes, en cambio cobrar a los usuarios que quieren el mismo servicio pero con unas prestaciones mejoradas. Algunos ejemplos de este tipo de negocios son Spotify, Dropbox o Carbonite.
APARTADO 1.3. SEGURIDAD EN EL COMERCIO ELECTRÓNICO
Encuestas recientes indican que más de la mitad de los usuarios de Internet muestran una cierta preocupación acerca de la seguridad en las transacciones de comercio electrónico. Las grandes web empresariales y gubernamentales están constantemente bajo ataque de crackers que van desde estudiantes con ciertos conocimientos informáticos a profesionales del espionaje altamente entrenados y, en algunos casos, a sueldo de empresas competidoras o de otros gobiernos. Por ejemplo, el Pentágono de EE.UU. informa que sus computadoras son analizadas por software potencialmente atacante miles de veces cada hora.
La seguridad del correo electrónico es un aspecto a tener muy en cuenta. Un rival de negocios podría interceptar mensajes de correo electrónico para tener una ganancia competitiva sobre sus rivales. También, los supervisores de una empresa podrían leer la correspondencia no comercial de sus empleados, teniendo una repercusión negativa sobre la privacidad de estos empleados.
La seguridad juega un papel importante para dar confianza y expandir el uso del comercio electrónico en Internet. Por ejemplo, sin los protocolos adecuados de seguridad, los números de tarjetas de crédito pueden ser robados mientras viajan a través de la red. Si bien se producen escuchas telefónicas online, es mucho más probable que un número de tarjeta de crédito sea robado del equipo en el que se almacena después de ser transmitido a través de Internet.
Un factor que también preocupa a los usuarios de Internet, y que está asociado a la seguridad de los datos, es su privacidad. Por esto, a los usuarios les preocupa la información personal que proporcionan a las empresas a través de Internet. Cada vez más, la gente duda de que estas empresas tengan la voluntad y/o la capacidad para mantener de forma confidencial la información personal de sus clientes. Hay que tener en cuenta que Internet no fue diseñada para ser segura. Fue diseñada para proporcionar redundancia en caso de que una o más líneas de comunicación fueran cortadas. En otras palabras, el objetivo inicial del diseño de la conmutación de paquetes de Internet era proporcionar múltiples caminos alternativos en los que la información militar crítica podría viajar.
La seguridad informática consiste en la protección de los dispositivos y de la información que contienen, que eventualmente puede ser transmitida, frente al acceso, uso, alteración o destrucción no autorizada. La seguridad física incluye dispositivos de protección tangibles, tales como alarmas, guardias, puertas resistentes al fuego y vallas de seguridad. La seguridad lógica es la protección de la información que contienen los dispositivos utilizando medios no físicos. La criptografía juega un papel clave en la seguridad lógica.
Una Amenaza es cualquier acto u objeto que representa un peligro para los activos informáticos. Una Contramedida es el nombre general para denotar cualquier procedimiento, ya sea físico o lógico, que detecta, reduce o elimina una amenaza. Las amenazas que se consideran de bajo riesgo o poco probables pueden ser ignoradas cuando el costo para protegernos de estas excede el valor del activo protegido. Un Espía es una persona o dispositivo que puede escuchar, copiar o manipular las transmisiones por Internet.
Elementos de Seguridad Informática
Confidencialidad: se refiere a la protección contra la divulgación no autorizada de datos.
Autenticidad: garantizar la fuente u origen de los datos.
Integridad: se refiere a la prevención no autorizada de la modificación de datos.
Disponibilidad: se refiere a la prevención de los retrasos o denegaciones de datos (extracción de mensajes).
La confidencialidad es el elemento de la seguridad informática más conocido. Cada mes surgen noticias o se publican informes en los medios comunicación sobre posibles ataques a ordenadores que pueden conllevar el robo de información secreta o privada (como por ejemplo de números de tarjetas de crédito que posteriormente puedan ser utilizadas para comprar bienes de forma no legítima).
Política de Seguridad y Seguridad Integrada
Cualquier organización involucrada en comercio electrónico y preocupada por la protección de sus activos debe tener establecida una política de seguridad. La política de seguridad es una declaración escrita que describe qué activos se deben proteger y por qué están siendo protegidos, quien es el responsable de esta protección, y qué comportamientos son aceptables y cuáles no lo son.
Una política de seguridad integral debe abordar lo siguiente:
Autenticación: ¿Quién está tratando de acceder a este servidor?
Control de acceso: ¿A quién se le permite iniciar una sesión y acceder al servidor?
Secreto: ¿Quién tiene autorización para ver la información seleccionada?
Integridad de los datos: ¿Quién está autorizado a realizar modificaciones de los datos?
Auditoría: ¿Quién o qué hace que los eventos específicos que se produzcan, y cuándo?
Estos objetivos deben ser especificados en la política de seguridad para satisfacer la lista de requisitos para tener un servidor de comercio electrónico seguro: confidencialidad, integridad, disponibilidad, buena administración de claves, autenticidad y no-repudio. Los requisitos previos proporcionan un nivel mínimo de seguridad aceptable para la mayoría de las operaciones de comercio electrónico. Sin embargo, en algunos casos puede haber requisitos adicionales que se deban introducir en función de la aplicación concreta. También se debe de tener en cuenta que las definiciones de estos requisitos pueden cambiar ligeramente o alterarse para adaptarse a cada aplicación específica.
Algunos ejemplos de estos requisitos de seguridad que pueden ser exigidos a una aplicación específica son:
No-repudio de origen/de recepción: se aplica al correo electrónico certificado o en los protocolos de firma de contratos electrónicos.
Anonimato: aplicado por ejemplo en protocolos de votación electrónica o también en dinero electrónico.
Imposibilidad de vinculación: aplicado al eCash y en tíquets electrónicos anónimos.
Cookies y navegación anonima
Internet ofrece un tipo de conexión entre clientes Web y servidores llamado stateless connection. En una conexión sin estado (stateless), cada transmisión de información es independiente; es decir, no se mantiene una conexión continua entre cualquier cliente y el servidor (también puede ser llamada sesión abierta). Las cookies permiten que los servidores Web mantengan continuas sesiones abiertas con clientes. Las cookies se inventaron para resolver el problema de las conexiones sin estado ya que guardan la información de un usuario Web sobre un conjunto de intercambios de mensajes entre servidor-cliente para otra posible conexión. En un entorno de comercio electrónico, los clientes que se conectan a su tienda on-line a traves de una stateless connection requieren la realización de una serie de operaciones para llevar a cabo su actividad de compra on-line que, sin el uso de la cookies, no seria posible hacerlas. Por ejemplo, el uso del carrito de la compra y el software de procesamiento de pagos necesitan recuperar la información de los productos que ha seleccionado el cliente en otras conexiones.
Figura 1.4. DOUBLECLICK.com.También utilizan cookies las empresas que realizan publicidad contextual. DoubleClick (DOUBLECLICK.com) es una de las mayores redes de publicidad en banners en el mundo (en 2008 fue comprada por Google). DoubleClick o Google se encargan de la colocación de banners publicitarios en los sitios Web. Este tipo de empresas utilizan las llamadas cookies de terceras partes: pequeños archivos de texto ubicados en los equipos cliente Web, para identificar a los usuarios de la red e identificar qué otros sitios web han visitado. Este tipo de prácticas es un riesgo para la privacidad de los usuarios y plantea el dilema sobre qué cookies deberían ser aceptables. Los visitantes de la web de Amazon.com, por ejemplo, tiene cookies de Amazon.com guardadas en sus equipos para que el servidor Web de Amazon.com los reconozca cuando regresen. Esto puede ser útil, por ejemplo, cuando un visitante de la web, que ha colocado varios artículos en el carrito de compras antes de interrumpir su conexión, pueda volver a Amazon.com más tarde y encontrar el carro de compras intacto (ya que es identificado a través de las cookies que Amazon ha dejado en su navegador). El servidor Web puede leer las cookies del navegador del cliente y encontrar el carro de compras de la sesión anterior del cliente. El servidor de Amazon.com sólo puede leer sus propias cookies; no puede leer las cookies que hay en el equipo cliente depositadas por cualquier otro servidor Web.
Figura 1.5. Google Adwords y Adsense son las aplicaciones de Google para gestionar los anuncios en la Web.Hay dos diferencias importantes entre el escenario de Amazon.com y lo que sucede cuando DoubleClick o Google sirven un banner publicitario. En primer lugar, el visitante no suele saber que el anuncio del banner viene por ejemplo de DoubleClick y, por tanto, no sabe que el servidor de DoubleClick podría estar escribiendo una nueva cookie en el equipo del cliente. En segundo lugar, compañías como Google o DoubleClick sirven anuncios a través de los sitios Web de propiedad de miles de empresas. En la medida que los usuarios de Internet se mueven de un sitio Web a otro, el programa navegador de este usuario puede ir recogiendo muchas cookies de estas compañías que se dedican a este tipo de publicidad. Entonces, el servidor de Google, por ejemplo, puede leer la totalidad de sus cookies que ha coleccionado un usuario en su navegación por distintos sitios web. Recabando esta información puede decidir qué anuncios debe servir en los banners y sobre qué servidores deben servirlos. Por lo tanto, DoubleClick o Google pueden recoger una enorme cantidad de información acerca de los sitios web que han estado visitando los usuarios de Internet. Aunque esta recogida de información pueda no preocupar a ciertos usuarios, estas empresas pueden utilizar tal información para crear perfiles de usuarios que atenten contra su privacidad. No obstante, estos perfiles no pueden ser formalmente atribuibles a una persona, sino más bien a un dispositivo.
La forma más completa para que los usuarios de un sitio Web se protejan de la revelación de información privada o de ser rastreado por cookies es desactivar las cookies por completo. El problema de este enfoque es que quedan bloqueadas también las cookies que puedan ser útiles. Esto significa, por ejemplo, que los usuarios deben introducir la información cada vez que vuelven a visitar un sitio Web.
Seguridad en dispositivos móviles
Algunas de las cuestiones de seguridad relacionadas con los dispositivos móviles del cliente pueden ser simples, como la amenaza física de la pérdida de un teléfono móvil o tableta. Otros problemas de seguridad pueden ser más complejos, como el ataque de un troyano, un virus o una aplicación que comparte la información personal del usuario del dispositivo.
El primer paso a seguir para asegurar un dispositivo móvil es la creación de una contraseña para el acceso al teléfono. Esto puede prevenir, o al menos retrasar, la obtención de la información privada que el usuario almacenó en él por parte de un ladrón que haya robado su dispositivo. Casi todos los dispositivos móviles incluyen software que permite al propietario iniciar un barrido remoto (eliminando los datos) si el dispositivo es robado. Este borrado remoto elimina todos los datos personales almacenados en el dispositivo, incluidos los mensajes de correo electrónico, mensajes de texto, listas de contactos, fotos, vídeos y cualquier tipo de archivo o documento.
Las llamadas Rogue Apps contienen malware y pueden ser capaces de recopilar información desde el dispositivo móvil y lo remiten a los autores de la app. La Apple Store pone a prueba a las aplicaciones antes de que se autorice la venta para eliminar (filtrar en la medida de lo posible) estas rogue apps. En Google Play no se hace una exploración para detectar las rogue apps de forma tan extensa como en la Apple Store. Todas aplicaciones deberían pedir permiso a los usuarios para acceder a cualquier información específica almacenada en su dispositivo.
Navegación Anónima
Empresas como Anonymizer (Anonymizer.com) proporcionan un plug-in que los usuarios que se pueden descargar e instalar y, por una cuota anual, proporcionan una navegación anónima por Internet. También ShadowSurf.com o Anonymouse.org (Anonymouse.org) proporcionan servicios de navegación anónima online de forma gratuita.
Otros problemas de seguridad
Un tipo de ataque muy común es el llamado enmascaramiento o spoofing. En este tipo de ataque, el atacante pretender engañar o defraudar al usuario haciéndose pasar por alguien que, en realidad, no es. O también, representando que es un sitio Web como si fuese original cuando se trata de una falsificación del sitio web de otra compañía.
De entre los principales sitios web de comercio electrónico que han sido víctimas de este tipo de ataques en los últimos años se encuentran Amazon.com, AOL, eBay y PayPal. Algunos de estos sistemas de ataque se combinan con el spam. En estas situaciones, el atacante envía millones de correos electrónicos no deseados que parecen ser de una compañía respetable. Los correos electrónicos contienen un enlace a una página Web que está diseñada para verse exactamente como el sitio de la empresa. En el correo se anima a la víctima a revelar su nombre de usuario, contraseña, y, a veces, incluso la información de tarjetas de crédito. Estos ataques, que captura información confidencial del cliente, son llamados expediciones de phishing.
APARTADO 1.4. SISTEMAS DE PAGO EN EL COMERCIO ELECTRÓNICO
La forma más primitiva de pago se caracteriza por el intercambio directo de bienes y servicios. El mayor problema es conocido como la doble coincidencia de voluntades.
La segunda forma tradicional de pago es el uso del dinero para intercambiar bienes y servicios. La primera forma de dinero se designó como dinero mercancía. En este caso los productos que tenían un valor bien conocido eran utilizados como moneda de cambio. El siguiente paso fue el uso de tokens como los billetes, los cuales era respaldados por los depósitos de oro y plata del expendedor del billete. En la medida que la economía se traslada a gran escala y los gobiernos son entidades de confianza, el dinero en forma de tokens se transforma en lo que conocemos como moneda fiducitaria.
Pagos al contado
Es la forma más usada de pago, se caracteriza por ser:
Simple, portable, sin costes de transacción
Alto riesgo en la transferencia y en el deposito de dinero
Pagos con cheque
Para poder hacer una transacción las dos partes tienen que tener guardado dinero en cuentas bancarias. Se caracterizan por:
Fácil, seguro, y práctico para los usuarios
Costos transaccionales
Retraso en el cobro efectivo
Pago por giro o transferencia
Similar al pago por cheque. La mayor diferencia es que la transacción no puede ser iniciada a menos que los fondos estén disponibles. Es un sistema muy popular en Europa.
Pago con tarjetas
Existen tres tipos de tarjetas según el momento de pago:
Pagar antes de la transacción (monederos electrónicos)
Pagar en el momento (tarjetas de débito)
Pagar en diferido (tarjetas de crédito)
¿Qué es un sistema de pago?
Los sistemas y aplicaciones de comercio electrónico deben proporcionar un procesado del pago y un servicio de transacciones entre compradores y vendedores. Un sistema de pago, como parte de un sistema de comercio electrónico, es un sistema que soporta procesamiento seguro de los pagos dando un servicio fiable, seguro y eficiente. Los requisitos básicos de un sistema de pago son:
Proceso de la transacción seguro y confidencial
Autentificación y autorización de todas las partes involucradas
Asegurar la integridad de las instrucciones del pago por bienes y servicios
Disponibilidad, balance entre costo-eficiencia y fiabilidad
Fácil acceso global e internacional
Modelos de pago electrónico
Los sistemas directos de pago requieren de una interacción directa entre el cobrador y el pagador. En los sistema de pago efectivo, una cierta cantidad de dinero es substraída del pagador antes de que la compra sea hecha. No ocurre lo mismo en los sistemas de pago por cheque.
Figura 10. Sistema de pago en efectivo.
Figura 11. Sistema de pago por cheque.
Clasificación de los Sistemas de Pago Electrónico
Pago remoto con tarjetas de crédito
Dinero Electrónico
Sistemas de Micropago
Pago remoto con tarjetas de crédito
En estos momentos es el sistema de pago más usado. Actualmente muchos usuarios confían en las transmisiones cifradas a través de internet de los datos de sus tarjetas de crédito. En estos sistemas cabe destacar el problema de la confidencialidad de los datos (número de la tarjeta de crédito, cuenta bancaria ...) al que pueda tener acceso la tienda remota. Algunas soluciones a este problema pueden ser:
Confianza en grandes vendedores (Amazon, Apple)
Uso de pasarelas de pago como terceras partes de confianza (Paypal, FirstGate)
Los usuarios establecen una cuenta en estas organizaciones y guardan la información confidencial en ellas de tal forma que el vendedor no tenga acceso a ella. Estas empresas proporcionan una forma fácil de integración de las funciones de pago en las tiendas virtuales.
Protocolos utilizados para este tipo de pagos:
Tradicionalmente, el problema del pago con tarjeta de crédito a través de Internet era que los usuarios podían rechazar una supuesta compra on-line, porque no se llevaba a cabo la autentificación del usuario en el momento de la transacción. Para solucionar este problema, Visa y MasterCard introdujeron Verified by Visa y MasterCard SecureCode respectivamente. Ahora el responsable del pago es el propietario de la tarjeta ya que ahora se tiene que autentificar durante el proceso de pago. El expendedor de la tarjeta puede elegir el método de autentificación.
Firma Dual Aunque en protocolo SET actualmente no tiene implantación, sí que introduce algunos conceptos criptográficos interesantes como la Firma Dual. Esta operación criptográfica enlaza dos mensajes que emite el cliente (uno dirigido a la tienda y otro al banco) pero sólo permite a cada recipiente acceder a la información que hay en los mensajes que van dirigidos a él.
Figura 12. Esquema de firma dual.La operación de la firma dual se realiza de la siguiente manera:
Se calcula el hash (SHA-1) del mensaje de pago y del mensaje del pedido de productos o servicios que se realiza al comercio. Se concatenan los dos valores hash [H(PI) || H(OI)] y se vuelve a calcular el hash del resultado. Finalmente, el cliente cifra el hash final con su clave privada creando la firma dual: DS = EKRC [ H(H(PI) || H(OI)) ] tal y como se aprecia en la figura adjuntas.
Figura 13. Operación de firma dual.Para la verificación de la firma se realizan las siguientes operaciones: Verificación de la firma por parte del comercio
El comercio conoce la clave pública del cliente que se ha utilizado de su certificado
Ahora, el comercio puede calcular dos valores: H(PIMD || H(OI)) y DKUC[DS]
El primer valor representa el hash de la concatenación del valor de hash de la información de la orden de pago (mensaje con la información para el banco) y el cálculo del hash del mensaje de la información del pedido. El segundo valor representa el descifrado con la clave pública del cliente de la firma dual
La comprobación de la firma será correcta si los dos valores anteriormente calculados coinciden
Esto significa que el comercio puede comprobar la firma sin conocer la información que hay en la orden de pago (sólo necesita conocer el valor de su hash). En cambio, sí que puede comprobar el pedido está ligado a la orden de pago. Verificación de la firma por parte del banco
El banco conoce la clave pública del cliente a través de su certificado
Ahora, el banco puede calcular dos valores: H(H(PI) || OIMD) y DKUC[DS]
El primer valor representa el hash de la concatenación del cálculo del hash de la información de la orden de pago y el valor del hash del mensaje de información del pedido. El segundo valor representa el descifrado con la clave pública del cliente de la firma dual
La comprobación de la firma será correcta si los dos valores anteriormente calculados coinciden
¿Qué se consigue con esta técnica de firma dual durante el protocolo de pago con tarjeta SET?
El comercio ha recibido el pedido (OI) y ha podido verificar la firma
El banco ha recibido la orden de pago (PI) y ha verificado la firma del cliente
El cliente ha vinculado la OI a la PI y ha podido probar que ambos mensajes están unidos (se corresponden entre ellos). Además ha podido mantener confidencial la información de pago al comercio y la información del pedido al banco.
Pago a través de Intermediarios
En este tipo de pago se suelen utilizar tarjetas de crédito. No obstante, el pago es ejecutado a través de una tercera parte: el cliente envía los datos del pago encriptados al comercio. Luego el comercio añade su información y envía todos los datos a la tercera parte (como por ejemplo Paypal). Paypal
Paypal es una negocio de comercio electrónico que permite realizar pagos o transferencias monetarias a través de Internet. Sirve como alternativa a los métodos tradicionales de pago. Paypal ejecuta pagos para otros comercios online, para sitios de subastas online y otros usuarios corporativos. Paypal realiza estas operaciones de pago a cambio del cobro de una tasa a sus usuarios (habitualmente los comercios online).
Una moneda electrónica es un número (bit string) tratado criptográficamente para conseguir las mismas propiedades de seguridad que el dinero físico. Las características del pago con dinero electrónico serán tratadas en la siguiente lección de este curso.
Introducción En este artículo de Kerberos, se mostraran algunos ataques contra el protocolo. En caso de necesitar refrescar los conceptos en que se basan estos ataques, se recomienda leer primero la primera parte sobre teoría de Kerberos . El post se divide en una sección por ataque: Kerberos brute-force ASREPRoast Kerberoasting Pass the key Pass the ticket Silver ticket Golden ticket Los ataques están ordenados por el nivel de privilegios necesarios para realizarlos, de manera ascendiente. De este modo, para llevar a cabo los primeros ataques solo hace falta tener conectividad con el DC (Domain Controller), que en el caso de AD (Active Directory) es también el KDC (Key Distribution Center). Sin embargo, el último de los ataques requiere que se posean privilegios de Domain Administrator o similares. Como añadido, cada ataque se mostrará desde la perspectiva de 2 escenarios comunes: Máquina Linux : Desde un ordenador externo al dominio, controlado por el audito
El Modelado de Amenazas de Seguridad es un proceso para la evaluación y documentación de los riesgos de seguridad de un sistema. El Modelado permite comprender el perfil de amenazas a las que está expuesto un sistema, mediante una evaluación a través de los ojos de sus potenciales enemigos. Con técnicas tales como la identificación de puntos de entrada, fronteras de privilegios y árboles de amenazas, se pueden identificar estrategias para mitigar las posibles amenazas del sistema. El Modelado de Amenazas también permitirá la justificación de la implementación de las características de seguridad dentro de su sistema, o las prácticas de seguridad para utilizarlo, para la protección de los activos de la empresa. En el mundo de componentes distribuidos el compartir datos sensibles a través de las redes a significado un aumento de la exposición a los atacantes hambrientos por sus datos. Necesita crear un modelo de seguridad firme para beneficiarse de la visión de .NET de una informática tot
Nota editorial: La comparativa entre MPLS vs. Tecnología Ethernet ayuda a los ingenieros IT a evaluar las ventajas e inconvenientes de MPLS y Ethernet en cuanto a conectividad WAN. Las dos opciones más populares de conexión en área ancha (WAN) son MPLS y Carrier Ethernet. Los servicios MPLS se refieren a la Capa 3 de los servicios MPLS de VPN, mientras que los servicios de Carrier Ethernet incluyen los servicios de LAN virtual privada (VPLS) Gigabit y metro Ethernet. Dependiendo de dónde (o con qué) quiera conectarse su empresa, ya sea una sucursal alejada de su sede o un sitio de copia de seguridad, algunos servicios WAN ofrecen opciones más beneficiosas que otras. En este artículo consideramos las ventajas de usar conectividad Ethernet sobre WAN. Para ayudar a las empresas a analizar las diferencias entre estas opciones, la siguiente tabla comparativa de MPLS y Ethernet ofrece un resumen de las ventajas e inconvenientes de cada conectividad WAN: MPLS y Ethernet para WAN Cost
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios