sofi1303.files.wordpress.com€¦ · Web viewUNIVERSIDAD TÉCNICA DE AMBATO. CARRERA DE...

UNIVERSIDAD TÉCNICA DE AMBATO

FACULTAD DE CONTABILIDAD Y AUDITORÍA

CARRERA DE CONTABILIDAD Y AUDITORÍA

UNIVERSIDAD TÉCNICA DE AMBATOCARRERA DE CONTABILIDAD Y AUDITORIA

MODULO: E-BUSSINES

FECHA: 04 de Junio del 2014

TEMA: Seguridades y medios de pagos

INTRODUCCIÓN

SOFIA MUQUINCHE SEXTO SEMESTRE “C”

E-BUSSINESTEMA: Seguridades y medios de pagos

NOMBRE: Sofía Muquinche

NIVEL: Sexto “C”

DOCENTE: DR. Tito Mayorga


MODULO: E-BUSSINES

Hoy en día existe la necesidad de realizar transacciones financieras sin el intercambio físico de monedas ó papeles, sino a través de redes electrónicas, manteniendo la premisa de conservar anónima la identidad de quien paga, ofreciéndole mayor comodidad y seguridad física.

Por otro lado, es importante destacar que el comercio electrónico ha tomado auge y con ello han aumentado los ataques informáticos. En este contexto, conviene precisar que mucha gente teme dar sus datos privados como número de tarjeta de crédito, número telefónico o dirección, porque no sabe si alguien será capaz de utilizar esa información sin su consentimiento, o si al efectuar pagos con tarjeta ésta puede ser clonada para realizar operaciones ilegales con sus cuentas bancarias, más aún si la transacción se realiza a través de Internet.

INFRAESTRUCTURA DE SOPORTE

Actualmente, en el sistema bancario existe la posibilidad de efectuar pagos en línea a través de tarjetas de crédito / débito, empleando algún protocolo criptográfico.

A continuación mencionamos algunos ejemplos.

Protocolo SSL

El protocolo SSL, se deriva de las palabras en inglés: Secure Sockets Layer, fue diseñado y propuesto en 1994 por Netscape Communications Corporation. Se considera el protocolo de comunicación más conocido y usado para dotar de seguridad a las sesiones de navegación a través de Internet. En la arquitectura OSI se ubica entre los niveles de transporte y de aplicación, por lo que resulta muy flexible, ya que usa diferentes algoritmos criptográficos (DES, SHA-1, MD5, RSA, etc.). Se ha expuesto (Álvarez, 1999) que éste sistema proporciona sus servicios de seguridad sirviéndose de dos tecnologías de cifrado distintas: criptografía de clave secreta (simétrica) y criptografía de clave pública (asimétrica), para otorgar al usuario confidencialidad, autenticación e integridad en sus comunicaciones.

SET

El estándar SET es una abreviación de las palabras Secure Electronic Transaction, que significa Transacciones Electrónicas Seguras. Se asevera (Álvarez,Ó 1997-2000) que fue desarrollado en 1995 por las empresas Visa y MasterCard con la colaboración de otras compañías líderes en el mercado de las tecnologías de la información, como Microsoft, IBM, Netscape, RSA, VeriSign y otras. SET es un protocolo estándar respaldado por la� industria del comercio electrónico y diseñado para salvaguardar las compras pagadas con tarjeta a través de redes abiertas, incluyendo Internet. El objetivo de éste protocolo es proteger los datos sensibles de los compradores respetando la confidencialidad de los



MODULO: E-BUSSINES

datos y la identidad de todas las partes que intervienen. Para esto, SET utiliza un sistema de firmas y certificados digitales que asegura que el emisor es quien dice ser y que sólo puede leer el mensaje el receptor autorizado.

SET cubre las vulnerabilidades que presenta SSL mediante un cifrado más robusto de los datos de la tarjeta. Además permite dar seguridad tanto al cliente y al comerciante como al banco emisor de la tarjeta y al banco del comerciante.

MOSET

En un artículo de comercio electrónico (Fin-mall, 2001) se hace mención de un protocolo conocido como MOSET, derivado de las palabras: Merchant Only Secure Electronic Transactions, el cual es un híbrido o combinación de los protocolos SSL y SET. En este esquema la información de la solicitud de compra viaja cifrada bajo el protocolo SSL, mientras que la información de la transacción viaja a través de pagos en línea, bajo el Protocolo SET.

DINERO DIGITAL

La forma de pago actual, como ya se ha mencionado es con dinero digital, el cual puede definirse como una forma de pago generada como un sustituto electrónico de billetes y monedas del mundo real. El dinero digital es aceptado entre diversas entidades y su valor monetario se basa en tokens. Esto es, secuencias de bits que representan un cierto valor en sí mismas, que pueden almacenarse en un dispositivo específico como una tarjeta inteligente o simplemente como archivos en el disco de una computadora. Una característica muy importante es que estos tokens, no están ligados a una persona determinada, es decir, satisfacen la condición de anonimato del usuario.

Existen diversas clasificaciones del dinero digital (Chida et al., 2001; Santomá, 2001), Javier Santomá apunta en un artículo que una forma de hacerlo es en función del momento del pago efectivo o dependiendo el soporte que empleen.

En función del momento de pago, cabe destacar los medios de: Prepago, Pago Inmediato y Pago Diferido. Los medios de Prepago son aquellos en los que existe una conversión previa de dinero real a dinero electrónico antes de realizar transacciones, como por ejemplo, los monederos electrónicos. Los medios de Pago Inmediato, son aquellos en que la transacción se efectúa en tiempo real, es decir con dinero en efectivo. Los medios de Pago Diferido son aquellos en que el pago se realiza después de un determinado tiempo, como es el caso de pago con tarjeta de crédito.

En función del soporte que utilizan se distinguen dos tipos: el dinero almacenado en una tarjeta plástica (tarjetas inteligentes) y el dinero generado y almacenado a través de un formato de software.

Una opción dentro de los sistemas de dinero digital es el billete electrónico o digital, cuyo fin primordial es otorgar la no rastreabilidad de las transacciones. De igual forma, que en el mundo real, los billetes electrónicos permiten realizar pagos sin tener que dar la cantidad exacta del producto. Los billetes digitales pueden almacenarse en archivos de la computadora del cliente, o bien, pueden estar contenidos en el chip de una tarjeta inteligente. Tal es el caso de la propuesta de utilizar Tarjetas de Crédito Anónimas (Carracedo, 2001), ya que en ésta se destaca que las características de un billete



MODULO: E-BUSSINES

electrónico son semejantes a las del billete real, ya que contienen un identificador con una estructura bien definida, que se denomina Número de Identificación del Billete (NIB). Este número de identificación, se genera por una agencia externa confiable para las distintas partes involucradas en el proceso de compra. El valor monetario del billete está determinado por la clave privada monetaria con que lo haya firmado el banco. Por lo tanto, el banco dispone de un conjunto de pares de claves (pública y privada) como valores de billetes sean puestos en circulación. De tal forma que se dispondrá de una variedad de billetes que no necesariamente tienen que coincidir con las denominaciones reales en circulación.

Los billetes electrónicos están siendo utilizados por algunas compañías aéreas de Estados Unidos y España, pero al parecer sólo se encuentran disponibles para los residentes.

MEDIOS ELECTRÓNICOS DE PAGOS

En la actualidad existen varios medios electrónicos de pagos, cada uno con diferentes características que intentan consolidarse en el comercio electrónico, algunos de ellos son los siguientes:

First Virtual

Es una de las primeras empresas que ideó un sistema de pago para Internet, basado exclusivamente en el correo electrónico. El servicio de First Virtual fue una simple forma de procesar transacciones de tarjetas de crédito para los comerciantes y clientes. Este sistema prescindió por completo del cifrado, debido a que se basó en que las tarjetas de crédito del mundo real son enviadas por el correo convencional sin ninguna protección. La seguridad de este sistema no era fiable, el problema radicaba en el uso del correo electrónico, ya que inspiraba menos confianza al cliente por los antecedentes de posibles intrusiones y espionaje en Internet. A pesar de ser carente de cifrado, se caracterizaba por su facilidad de uso. El usuario solicitaba un número de identificación personal (PIN) y proporcionaba a la empresa, una sola vez por cualquier vía de comunicación, los datos reales de su tarjeta de crédito. Cuando el cliente decidía hacer un pago en Internet proporcionaba sólo ese PIN con fines de autenticación. El comercio comunicaba a First Virtual la operación y First Virtual pedía confirmación vía e-mail al usuario; si el cliente admitía la compra el importe era cargado por First Virtual a su tarjeta y transferido a la cuenta del vendedor.

Virtu@lCash



MODULO: E-BUSSINES

Es una solución creada por el banco español Banesto en 1998, que consiste en una tarjeta sin chip ni banda magnética, que es solicitada al banco a través de un formulario, donde se especifica el número de cuenta (en ese banco) a la que se cargarán en su momento los pagos efectuados. El solicitante recibe la tarjeta y número de identificación por correo, y podrá realizar compras en cualquier comercio adherido a Virtu@lCash, con solo teclear los datos de identificación de la tarjeta. Una de las características que ofrece este sistema es la seguridad, porque los datos sensibles del cliente no son accesibles en ningún momento al vendedor, lo que elimina la posibilidad de fraude por parte del vendedor y a su vez otorga anonimato en la compra.

CyberCash

Uno de los sistemas implantados en los Estados Unidos en 1994. Este sistema confía su seguridad a las firmas digitales más un algoritmo de cifrado, que genera y gestiona las claves necesarias para que los datos estén protegidos en todo momento. Para su uso se requiere que el futuro cliente descargue (gratis), registre (en línea) e instale en su computadora la denominada CyberCash Wallet, que consiste en un programa de monedero electrónico, en la cual habrá de introducir los datos de las tarjetas de crédito. La garantía que ofrece este sistema consiste en la emisión de un aviso cifrado de conformidad al cliente y al vendedor. Este último envía entonces el producto con la seguridad de poder cobrarlo. La característica del anonimato no es mayor que el de cualquier pago convencional mediante tarjeta.

Cibercoin

Pertenece a CyberCash y posee varias denominaciones de monedas que lo hace muy apropiado para la realización de pagos pequeños. De manera semejante al caso anterior, basa su seguridad en firmas digitales con funciones hash y claves secretas compartidas, que se calculan mucho más rápidamente que las firmas basadas en claves públicas. Al pagar, el cliente proporciona a la tienda un número de cuenta y una autorización para que se le cargue esa cantidad, con lo que se obtiene garantía de la transacción. El comerciante lo remite al servidor central de CyberCoin y allí se deduce esa cantidad de la cuenta del cliente.

Millicent

Es un sistema creado específicamente para realizar micropagos, desarrollado en l998 por la empresa Digital Equipment Corporation. Este sistema respalda su seguridad con firmas digitales basadas en funciones hash más una cadena secreta. El funcionamiento comienza descargando (gratis) e instalando el programa monedero, que es de fácil uso. Este sistema requiere un intermediario de libre elección, que proporciona una cierta cantidad de unidades de pago (denominadas "scrip" en la terminología Millicent), que se incorporarán al monedero electrónico. El intermediario es fundamental y debe entenderse como un puente entre el sistema de micropagos y el sistema banco-tarjeta tradicional. A él le corresponde suministrar las unidades de pago a los usuarios (respaldado por moneda real, que él se encargará luego de cobrar desde la cuenta bancaria o tarjeta de crédito suministrada por el cliente), así como convertir más tarde en dinero real las unidades de pago que le sean presentados por los comerciantes adscritos. Una desventaja que se presenta, es que las unidades de pago no son universales para este sistema, pues para cada comercio son diferentes. A pesar de esto, el anonimato en Millicent radica en que el



MODULO: E-BUSSINES

vendedor no conoce la identidad del cliente, pero el intermediario si; aunque desconoce lo que compra. Por lo que se le denomina como un esquema seudo-anónimo de pago.

eCash

David Chaum fundó en 1990 la empresa holandesa llamada Digicash, en la que ideó uno de los sistemas de mayor éxito: eCash. En este sistema se requiere tener una cuenta real en alguno de los bancos que trabajan con éste sistema para posteriormente solicitar la cuenta eCash. El propio banco proporciona el programa de monedero electrónico que es de fácil uso, un identificador y una contraseña (necesarios en la instalación del programa). El programa se conecta para verificar los fondos en la cuenta y desde ese momento se puede utilizar en los comercios asociados, pues posee rápida transferencia. eCash asegura la privacidad y ofrece el criptosistema para pagos más significativo, donde el anonimato consiste en ocultar los datos del comprador al comerciante, pero éste no goza del mismo anonimato que su cliente.

Mondex

Es un sistema de pago con tarjeta que se desarrolló en NatWest, el mayor banco del Reino Unido, en 1990. Ahora es propiedad de MasterCard. Este sistema se basa en una tarjeta inteligente que contiene dinero y puede transferirlo. Mondex es una tarjeta de débito dado que sólo puede ser usada para gastar el dinero que contiene. Su uso es relativamente sencillo, cuando se hace una compra el monto se transfiere de una tarjeta a otra, sin firmas ni autorizaciones. Además, se carga y descarga en forma electrónica, no hay necesidad de ir al banco. La tarjeta no solo almacena el total de dinero, sino también un registro de las transacciones. En cuanto a la seguridad, este sistema tiene la posibilidad de bloquear y desbloquear la tarjeta cuando se desee a través de una clave Mondex, la cual el cliente define y puede cambiar. Esto se realiza con el porta tarjetas Mondex que permite leer el saldo, bloquear y desbloquear su tarjeta, cambiar su clave Mondex y consultar las últimas diez transacciones.

Tarjetas Inteligentes

La primera tarjeta inteligente se desarrolló en 1974, por Roland Moreno. Una tarjeta inteligente es una tarjeta que tiene incluido un microprocesador y un chip de memoria, o sólo un chip de memoria con la lógica no-programable. El microchip es capaz de controlar las operaciones efectuadas, pero requiere un equipo terminal apropiado para la computadora. Cuando se realice una compra, el dinero sería transferido desde la tarjeta del comprador a la del vendedor; incluso a cualquier otra tarjeta si se deseará realizar una simple transferencia de dinero entre ambas. Un sencillo ejemplo de este sistema podría ser la tarjeta Visa Cash, de circulación en España, y con la que se pueden realizar pagos en cabinas de teléfono y algunos establecimientos. En México, este sistema es introducido por algunas empresas como Mastercard, Visa y sus bancos miembros (Bancomer, Serfin, Banamex, Bancrecer, Banorte).

La tabla 1, muestra las características que cumplen los medios electrónicos de pago.



MODULO: E-BUSSINES

Después de revisar las diferentes propuestas en torno a la definición de un estándar de dinero digital, creemos que las siguientes características deben de incorporarse en cualquier propuesta.

Universalidad: Todo dinero será válido y aceptado en todas partes de común acuerdo para pagar cualquier adquisición.

Facilidad de uso: Que no resulte tedioso su uso, sino que sea tan práctico y rápido como sacar monedas del bolsillo.

Seguridad: Se debe evitar que cualquier usuario pueda copiar, duplicar, reutilizar y falsificar el dinero, ya que todo lo digital es más propenso a éste tipo de detalles.

Anonimato: Constituye sin duda uno de los aspectos más debatibles de los sistemas, ya que mientras algunas personas creen que es su derecho a la privacidad, para otras podría constituir una puerta abierta a la delincuencia y el lavado de dinero. La tendencia es proteger la privacidad del comprador, evitando que se pueda saber quien ha usado el dinero y para que. Este aspecto ha sido descuidado en las tarjetas convencionales.

Divisibilidad: La unidad de moneda digital debería ser fácilmente fraccionable para hacer pagos exactos, grandes o pequeños según se desee, es decir, que se tendrán disponibles varias denominaciones.

Garantía: De la autenticidad del vendedor y que el pago no lo recibirá un tercero.

Acreditación del pago: El otorgar un recibo de una transacción sería fundamental para evitar que alguna de las partes se desdiga de alguna acción, y así mismo se respalde el pago por adquisición de un bien y/o servicio.

Transferibilidad: Que la persona que recibió el pago pueda utilizarlo inmediatamente si así lo requiere.



MODULO: E-BUSSINES

Los requisitos son tantos que aún no ha surgido ninguna solución prodigiosa que los satisfaga; las monedas, los billetes, los cheques, las tarjetas de plástico, todos estos tienen algún inconveniente e incumplen alguno de los requisitos ya mencionados. Por esto algunos sistemas de pago electrónico aparecen y desaparecen constantemente. Lo que conlleva a pensar que aún existen muchas dificultades a la hora de implantar un mínimo acuerdo en torno a la futura moneda digital, sus características y su utilización.

ESQUEMA DE PAGO ELECTRÓNICO

La mayoría de los sistemas de dinero electrónico que existen utilizan un proceso de prepago, tal como sucede en eCash. La figura 1 esquematiza por etapas el proceso actual de comercio electrónico según trabajos de Martínez (2002).



MODULO: E-BUSSINES

1. El comprador adquiere el dinero electrónico del banco o entidad emisora, esto significa que el banco carga en la cuenta del usuario la cantidad de dinero real correspondiente al dinero digital solicitado.

2. El dinero electrónico, lleva incorporado un número de identificación. Para certificar su valor, el banco emisor firma el dinero electrónico con su firma digital y lo entrega al usuario que lo ha pedido.

3. El comprador envía una copia de las monedas electrónicas al vendedor a través de un protocolo seguro, como por ejemplo SSL o SET.

4. El vendedor envía los datos de la transacción y el dinero electrónico al banco emisor, para que éste verifique la autenticidad del dinero electrónico.

5. El banco emisor realiza un proceso de autenticidad para la validación del dinero electrónico y anota su uso, es decir, registra el número de serie como usado.

6. El banco ha validado la transacción y abona la cuenta del vendedor.

7. El banco informa y confirma al vendedor el estado de la operación.

8. El vendedor, una vez que se ha asegurado de la autenticidad del dinero electrónico, hace el envío de la mercancía al cliente.

El dinero electrónico se convierte así en el equivalente digital de los billetes y monedas del mundo real, pero debe evitarse la posibilidad de falsificarlos o duplicarlos.

Analizando el proceso anterior resulta poco funcional el hecho de registrar por parte del banco cada número de serie de los billetes cada vez que se adquiera algo, debido al número posible de transacciones. Además, resultaría más práctico que cada usuario pudiera verificar por sí mismo la autenticidad de un billete tal como ocurre en la vida real.

MODELO DE BILLETE ELECTRÓNICO

De igual forma que en el mundo real, los billetes electrónicos permitirán a los usuarios realizar pagos sin tener que proporcionar el importe exacto del producto y evitan el problema de pérdida de privacidad. A diferencia de las tarjetas de cinta magnética, se imposibilita la reconstrucción de las transacciones, con lo que resultaría más complicado rastrear cuanto, quien y en qué se ha gastado el dinero. Con este grado de anonimato se protege el derecho de todo ciudadano a la privacidad.

El equivalente electrónico de un billete bancario será simplemente una secuencia de dígitos numéricos (bits) que puede almacenar el disco duro de una computadora; o bien, que puede estar contenida en el chip de una tarjeta inteligente. Dichas secuencias (billetes) deben cumplir con condiciones de autenticidad de origen y de no haber sido manipuladas posteriormente a su emisión.

El modelo que se propone se basa en los actuales elementos de seguridad dispuestos y validados oficialmente por el Banco de México (Banco de México, 2002), que permiten a cualquier individuo autenticar la validez de un billete común. Sin embargo, las



MODULO: E-BUSSINES

características que se consideran del papel moneda mexicano no resultan una limitante para llevarse a cabo en otras naciones, ya que solo se tiene que ajustar a las propiedades del papel moneda y a las políticas de cada país.

En la tabla 2 se muestra una comparación de los elementos de seguridad que contiene un billete oficial y los análogos requeridos en un billete electrónico.

La otra parte importante en este proceso es el algoritmo criptográfico asimétrico que se emplea. Se hace uso del esquema Rivest-Shamir-Adleman (RSA), debido a que es el más aceptado e implementado para propósito general por las características que posee (Stallings, 2003).

El proceso de generación de un billete electrónico se ha desarrollado como parte de una tesis de maestría en la que se incorporan mecanismos de seguridad criptográficos que permiten autenticar al billete electrónico y verificar su integridad.

El modelo del billete desarrollado se muestra en la figura 2 y puede resumirse en los siguientes pasos:

1. Establecer los datos base para el billete electrónico (DB).



MODULO: E-BUSSINES

2. Obtener la huella digital de los datos base, mediante una función hash (H(DB)).

3. Cada autoridad bancaria (Cajero Principal, Junta de Gobierno, Banco Nacional), empleando criptografía asimétrica cifra con su llave privada la huella digital obtenida. El resultado de este proceso es lo que se denomina firma digital (Ekp(H(DB))).

4. Se concatenan las tres firmas digitales a los datos base del billete.

5. Consecutivamente, para dotar de un código de no-falsificación a los datos, se les codifica a través de un algoritmo MAC (Código de Autenticación de Mensajes) y una llave de inicio.

6. La salida resultante es el billete electrónico.

Entonces, el billete electrónico estará conformado por una serie de campos diferentes, cada uno con características muy particulares que sólo en conjunto darán sentido al billete electrónico, y separadas no poseen valor alguno.

Para conformar cada uno de los campos del billete se utilizan distintos procesos y herramientas criptográficas. Como ejemplo de funcionamiento de la función hash SHA-1 en ambiente Matlab®, se muestra a continuación



MODULO: E-BUSSINES

BIBLIOGRAFIA:

Álvarez, G., Seguridad SSL, iWorld-Revista de Tecnología y Estrategia de Negocio en Internet, (en � �línea), (18), acceso libre,http://www.idg.es/iworld/articulo (1999) [ Links ]

Álvarez, G., CSIC, Transacciones Electrónicas Seguras (SET), Boletín del Criptonomicón, (en � �línea), acceso libre,http://www.iec.csic.es/ criptonomicon/comercio/set.html , (Copyright Ó 1997-2000) [ Links ]

Carracedo, J., Tarjetas de Crédito Anónimas, Memorias del I Congreso Iberoamericano� � de Seguridad Informática, (CD), Morelia, México, Febrero 19-22 (2002). [ Links ]

Chida, E., Mambo M. Y Shizuya H., Digital Money-A Survey, Interdisciplinary Information Sciences: � �7(2), 135-165, (2001). [ Links ]

CONDUSEF, Encuesta Telefónica Sobre Servicios Bancarios: La Seguridad en las Sucursales �Bancarias, Marzo (2002).� [ Links ]


http://www.iec.csic.es/criptonomicon/comercio/set.html

http://www.iec.csic.es/criptonomicon/comercio/set.html

http://www.idg.es/iworld/articulo

sofi1303.files.wordpress.com€¦ · Web viewUNIVERSIDAD TÉCNICA DE AMBATO. CARRERA DE...

Documents

Transcript of sofi1303.files.wordpress.com€¦ · Web viewUNIVERSIDAD TÉCNICA DE AMBATO. CARRERA DE...