Seguridad Comercio Electronico

28
Seguridad en el Comercio Electronico Felipe Barreras Villa

Transcript of Seguridad Comercio Electronico

Seguridad en el Comercio Electronico

Felipe Barreras Villa

Administración de seguridad

El objetivo de la administración de seguridad es lograr la

exactitud, integridad y protección de todos los procesos y

recursos de los sistemas de información. De este modo la

administración de seguridad minimiza errores, fraudes y pérdidas

en los sistemas de información que interconectan a las empresas

actuales, así como a sus clientes, proveedores y otras partes

interesadas.

TIPOS DE DEFENSAS DE SEGURIDAD

• CIFRADO

IMPLICA EL USO DE ALGORITMOS MATEMÁTICOS ESPECIALES, O LLAVES, PARA TRANSFORMAR

LOS DATOS DIGITALES EN CÓDIGOS CIFRADOS ANTES DE SER TRANSMITIDOS Y PARA

DESCIFRARLOS CUANDO SON RECIBIDOS. EL MÉTODO MÁS USADO ES EL LLAMADO, MÉTODO

DE LLAVE PÚBLICA, QUE ES EXCLUSIVAMENTE PARA EL RECEPTOR QUE ES CONOCIDA POR EL

TRANSMISOR.

PUEDE SER UN PROCESADOR DE COMUNICACIONES, POR LO COMÚN UN RUTEADOR, O UN

SERVIDOR DEDICADO, JUNTO CON SOFTWARE FIREWALL. SIRVE COMO UN SISTEMA DE

“PORTERO” QUE PROTEGE LAS INTRANETS DE UNA EMPRESA Y OTRAS REDES INFORMÁTICAS DE

LA INTRUSIÓN AL PROPORCIONAR UN FILTRO Y PUNTO DE TRANSFERENCIA SEGURO PARA EL

ACCESO A INTERNET Y OTRAS REDES.

Defensas contra la denegación de servicios

Los ataques de negación de servicios a través de Internet

dependen de 3 niveles de sistemas interconectados:

1. En el sitio Web de la víctima

2. En el proveedor de servicios de Internet

3. En las máquinas zombis

• LA INUNDACIÓN DE SYN .- ENVÍA UN FLUJO DE PAQUETES TCP/SYN

(VARIAS PETICIONES CON FLAGS SYN EN LA CABECERA), MUCHAS VECES

CON LA DIRECCIÓN DE ORIGEN FALSIFICADA.

• INUNDACIÓN ICMP (ICMP FLOOD).- LLAMADO EL PING MORTAL ES UNA

TÉCNICA DOS QUE PRETENDE AGOTAR EL ANCHO DE BANDA DE LA VÍCTIMA.

• EL PROTOCOLO DE MENSAJES DE CONTROL DE INTERNET O ICMP

(INTERNET CONTROL MESSAGE PROTOCOL).- ES EL SUB PROTOCOLO DE

CONTROL Y NOTIFICACIÓN DE ERRORES DEL PROTOCOLO DE INTERNET (IP).

Destacan algunos tipos de ataques como lo son:

• SMURF .- EXISTE UNA VARIANTE A ICMP FLOOD DENOMINADO ATAQUE

SMURF QUE AMPLIFICA CONSIDERABLEMENTE LOS EFECTOS DE UN ATAQUE

ICMP. EXISTEN TRES PARTES EN UN ATAQUE SMURF: EL ATACANTE, EL

INTERMEDIARIO Y LA VÍCTIMA (COMPROBAREMOS QUE EL INTERMEDIARIO

TAMBIÉN PUEDE SER VÍCTIMA)

• INUNDACIÓN UDP (UDP FLOOD).- BÁSICAMENTE ESTE ATAQUE

CONSISTE EN GENERAR GRANDES CANTIDADES DE PAQUETES UDP CONTRA

LA VÍCTIMA ELEGIDA.

• JAMMING.- ES UN MECANISMO UTILIZADO PARA ANULAR LAS SEÑALES DE

RADIO U ONDAS MEDIANTE LA DIFUSIÓN DE UNA SEÑAL MÁS FUERTE PARA

CONFUNDIR AL OBJETIVO DE ESA SEÑAL

• DEFENSA CONTRA VIRUS

MUCHAS EMPRESAS CREAN DEFENSAS CONTRA LA DISEMINACIÓN DE

VIRUS AL CENTRALIZAR LA DISTRIBUCIÓN Y ACTUALIZACIÓN DE SOFTWARE

DE ANTIVIRUS COMO RESPONSABILIDAD DE SUS DEPARTAMENTOS DE

SISTEMAS DE INFORMACIÓN.

Monitoreo del correo electrónico

PERMISOS DE ACCESO.

LA SEGURIDAD BASADA EN AUTENTIFICACIÓN DE USUARIO ES LA MÁS USADA,

NOS PERMITE ADMINISTRAR Y ASIGNAR DERECHOS A LOS USUARIOS DE LA RED.PERMITIENDO O DENEGANDO LOS ACCESOS A LOS RECURSOS A TRAVÉS DE

UNA BASE DE DATOS EN EL SERVIDOR.

EL TRABAJO DEL ADMINISTRADOR DEBERÁ INCLUIR LA ADMINISTRACIÓN DE

USUARIOS. OTRA MANERA DE ADMINISTRAR USUARIOS ES MEDIANTE EL USO DE

GRUPOS DE USUARIOS, EL CUAL NOS DA LA FACILIDAD DE APLICAR LAS

POLÍTICAS DE SEGURIDAD A GRUPOS ESPECÍFICOS LOS CUALES HEREDARAN

ESTAS A LOS MIEMBROS DE DICHO GRUPO.

• MEDIDAS ADICIONALES.

SE DEBE TOMAR EN CUENTA EL USO DE CORTAFUEGOS QUE PERMITA ADMINISTRAR EL

ACCESO DE USUARIOS DE OTRAS REDES ASÍ COMO EL MONITOREAR LAS ACTIVIDADES DE

LOS USUARIOS DE LA RED, PERMITIENDO EL TENER UNA BITÁCORA DE SUCESOS DE RED.

LAS BITÁCORAS SON DE GRAN UTILIDAD PARA APLICAR AUDITORIAS A LA RED.

LA REVISIÓN DE LOS REGISTROS DE EVENTOS DENTRO DE LA RED PERMITE VER LAS

ACTIVIDADES DE LOS USUARIOS DENTRO DE LA RED, ESTO PERMITE AL ADMINISTRADOR

DARSE CUENTA DE LOS ACCESOS NO AUTORIZADOS POR PARTE DE LOS USUARIOS Y

TOMAR LAS MEDIDAS QUE FACILITEN INCREMENTAR LA SEGURIDAD.

• LA SEGURIDAD DE ESTE TIPO DE REDES SE HA BASADO EN LA IMPLANTACIÓN

DE LA AUTENTICACIÓN DEL PUNTO DE ACCESO Y LOS CLIENTES CON

TARJETAS INALÁMBRICAS PERMITIENDO O DENEGANDO LOS ACCESOS A LOS

RECURSOS DE LA RED.

MECANISMOS DE SEGURIDAD PARA REDES

WLAN.• SSID (Identificador de Servicio): es una contraseña simple

que identifica la WLAN. Cada uno de los clientes deben

tener configurado el SSID correcto para acceder a la red

inalámbrica.

• Filtrado de direcciones MAC. Se definen tablas que

contienen las direcciones MAC de los clientes que

accesarán a la red.

• WEP (Privacidad Equivalente a Cable): es un esquema de

encriptación que protege los flujos de datos entre clientes y

puntos de acceso como se especifica en el estándar 802.11.

OTRAS AMENAZAS

Los virus informáticos son pequeños programas de computadora que al igual que un

virus biológico, infecta equipos de computo y se propaga a través de la red o utilizando

otros medios de transmisión como Memorias, disquetes, discos ópticos, etc.

El crecimiento de las redes y en especial de la Internet ha facilitado la propagación de

virus de forma acelerada.

Un método de propagación de virus común es el uso de correo electrónico. Al abrir un

correo infectado por virus puede infectar el equipo y puede ser capaza de reenviarse a

otros usuarios de correo utilizando la libreta de direcciones del usuario.

La Infraestructura de comunicaciones es la base sobre la que se garantiza el

aprovechamiento eficiente de la comunicación de una compañía, y es

determinante en el éxito de cualquier proyecto actual de negocio.

Contar con una excelente Infraestructura de red, y con la Arquitectura de red

adecuada, es la mejor manera de rentabilizar el resto de inversiones en

tecnologías de la información de su empresa.

Seguridad de los servidores

TODOS SUS PAGOS EN UN LUGAR

• PAGO DE APPLE: DE EXTREMO A EXTREMO

BRAINTREE OFRECE TODAS LAS HERRAMIENTAS QUE NECESITA, DESDE UNA SENCILLA

INTEGRACIÓN DE IOS A TRAVÉS V.ZERO DE BACK-END DE PROCESAMIENTO DE TOKENS

DE APPLE PAY ™.

• LA INTEGRACIÓN CYBERSOURCE CON APPLE PAY ™ LE PERMITE

ACEPTAR PAGOS EN LA APLICACIÓN DESDE TU ANDROID IOS EN EL

IPHONE 6, IPHONE 6 PLUS, IPAD AIR ™ 2 Y MINI IPAD ™ 3 POR LO

QUE ES MÁS FÁCIL Y MÁS SIMPLE PARA QUE LOS CONSUMIDORES

PAGAN, PUEDE CREAR EXPERIENCIAS DE MARCA MEJORADAS PARA

SUS CLIENTES Y MEJORAR LA FINALIZACIÓN DE COMPRA. LA

INTEGRACIÓN DE APPLE PAGA A TRAVÉS DE CYBERSOURCE HACE

QUE SEA MÁS FÁCIL DE GESTIONAR Y MANTENER DE APPLE PAY

JUNTO CON TODOS LOS OTROS MÉTODOS DE PAGO.