miércoles, 19 de noviembre de 2014
transacciones electronicas
ÉTICA EN EL COMERCIO ELECTRÓNICO
Se refiere a los principios de los correcto o lo incorrecto, que los individuos en su calidad de agentes morales libres emplean para normar su comportamiento.
Las dificultades éticas particulares del comercio electrónico normalmente giran alrededor de tres cuestiones: la intimidad o privacidad y la identidad, ambas referidas al comprador, y la no- reusabilidad de la transacción.
Sin embargo se puede añadir otra: la de allanamiento, intrusiones, entradas abusivas o no autorizadas en los equipos informáticos, páginas web, buzones electrónicos, etc.
Dentro de esta cuestión está el famoso “hacking” (secuestro informático), el cual atenta contra la misma computadora, contra un sistema informático particular o contra la red en general, en cuanto almacén de datos o medio de comunicación; pone en peligro la confidencialidad, la integridad o la disponibilidad de la información almacenada en computadoras o de los servicios que la computadora presta.
Anteriormente los actos de hacking se hacían a manera de broma, pero en la actualidad se llevan a cabo con malicia a fin de perjudicar a terceras personas, lo cual se ha constituido como un delito, ya que atentan contra la privacidad.
Así que teniendo en cuenta que la privacidad nunca puede ser absoluta, y que el grado de la misma para cada transacción virtual depende de múltiples factores, se recomienda observar algunos principios:
1.- AVISO: las empresas deben avisar en su pagina web si recogen o no información sobre el usuario, para qué sirve esa información y quién la va a utilizar.
2.- OPCIÓN: los consumidores deben de poder controlar sus datos personales y el uso que las empresas hacen de ellos. Por eso, se les
presentara la posibilidad de negarse (opt- out) a la recolección de sus datos.
3.- ACCESO: los consumidores han de poder acceder a los archivos que las empresas guardan de sus datos personales y revisarlos, para corregir errores, borrar, etc.
4.- SEGURIDAD: las empresas deben asumir la responsabilidad de la seguridad de los datos, y cuando esta no se respeta, deben someterse a sanciones y castigos proporcionados.
Se refiere a los principios de los correcto o lo incorrecto, que los individuos en su calidad de agentes morales libres emplean para normar su comportamiento.
Las dificultades éticas particulares del comercio electrónico normalmente giran alrededor de tres cuestiones: la intimidad o privacidad y la identidad, ambas referidas al comprador, y la no- reusabilidad de la transacción.
Sin embargo se puede añadir otra: la de allanamiento, intrusiones, entradas abusivas o no autorizadas en los equipos informáticos, páginas web, buzones electrónicos, etc.
Dentro de esta cuestión está el famoso “hacking” (secuestro informático), el cual atenta contra la misma computadora, contra un sistema informático particular o contra la red en general, en cuanto almacén de datos o medio de comunicación; pone en peligro la confidencialidad, la integridad o la disponibilidad de la información almacenada en computadoras o de los servicios que la computadora presta.
Anteriormente los actos de hacking se hacían a manera de broma, pero en la actualidad se llevan a cabo con malicia a fin de perjudicar a terceras personas, lo cual se ha constituido como un delito, ya que atentan contra la privacidad.
Así que teniendo en cuenta que la privacidad nunca puede ser absoluta, y que el grado de la misma para cada transacción virtual depende de múltiples factores, se recomienda observar algunos principios:
1.- AVISO: las empresas deben avisar en su pagina web si recogen o no información sobre el usuario, para qué sirve esa información y quién la va a utilizar.
2.- OPCIÓN: los consumidores deben de poder controlar sus datos personales y el uso que las empresas hacen de ellos. Por eso, se les
presentara la posibilidad de negarse (opt- out) a la recolección de sus datos.
3.- ACCESO: los consumidores han de poder acceder a los archivos que las empresas guardan de sus datos personales y revisarlos, para corregir errores, borrar, etc.
4.- SEGURIDAD: las empresas deben asumir la responsabilidad de la seguridad de los datos, y cuando esta no se respeta, deben someterse a sanciones y castigos proporcionados.
DEFINICION
DE TRANSACCION.
Del latín transactio, transacción es un término definido por el diccionario de la Real Academia Española (RAE) como la acción y efecto de transigir (acordar
voluntariamente con otra parte algún punto litigioso para compartir la
diferencia de la disputa, consentir a fin de terminar con una diferencia).
Para el comercio, una transacción es una operación de compra y venta. Cuando alguien vende un producto a un comprador, está
llevando a cabo una transacción. Retomando la definición original del término,
puede decirse que el vendedor acuerda entregar el producto al comprador y éste
acepta dar dinero al vendedor a modo de compensación.
TIPOS DE TRANSACCIONES ELECTRÓNICAS.
Los tipos de transacciones electrónicas que podemos
encontrarnos son:
- Transacciones entre las Administraciones y otras personas físicas o jurídicas (e-government). La aplicación de las TIC por las Administraciones Públicas da lugar a la Administración electrónica (e-Administración), que hace referencia a aquellos mecanismos electrónicos que permiten la prestación de servicios públicos de la Administración tanto a los ciudadanos como a las empresas. El servicio de e-Administración en España está accesible mediante www.060.es, y la idea es crear una “ventanilla virtual única” que permita la prestación de todos los servicios públicos haciendo uso de la interactividad, rapidez, eficiencia y personalización que ofrecen las nuevas tecnologías.
- Transacciones interorganizacionales (business-to-business). Las tecnologías del comercio electrónico hacen posible transmitir múltiples documentos entre empresas, como pedidos, facturas y notificaciones de entregas, y efectuar cobros y pagos a proveedores y distribuidores. El empleo de estas tecnologías da lugar a ahorro de tiempo y costes en actividades como el aprovisionamiento, expedición de pedidos y cobros. Por ejemplo, desde el sitio Web de Cisco, www.cisco.es, las empresas y operadoras de telecomunicaciones pueden comprar distintos equipos de datacom para sus redes y descargar manuales, información detallada sobre sus productos, parches sw, etc.
- Transacciones entre empresas y consumidores finales (business-to-consumer).Las tecnologías del comercio electrónico también hacen posible que los clientes finales contacten directamente con las empresas, consultando información sobre múltiples ofertas comerciales y estableciendo una relación de comunicación personalizada con los vendedores que derive en la compra de productos. Este sería el caso dewww.sonyericsson.es, el sitio Web de Sony Ericsson, desde el que los internautas pueden acceder a información detallada y comprar teléfonos móviles y accesorios.
- Transacciones entre particulares (consumer-to-consumer). Las redes de telecomunicación permiten que los particulares puedan comunicarse e intercambiar bienes y servicios, lo que hasta la aparición de Internet era bastante inusual. Por ejemplo, desdewww.eBay.es, se pueden poner en contacto distintos particulares para la venta de productos y posibles compradores.
- Transacciones entre las Administraciones y otras personas físicas o jurídicas (e-government). La aplicación de las TIC por las Administraciones Públicas da lugar a la Administración electrónica (e-Administración), que hace referencia a aquellos mecanismos electrónicos que permiten la prestación de servicios públicos de la Administración tanto a los ciudadanos como a las empresas. El servicio de e-Administración en España está accesible mediante www.060.es, y la idea es crear una “ventanilla virtual única” que permita la prestación de todos los servicios públicos haciendo uso de la interactividad, rapidez, eficiencia y personalización que ofrecen las nuevas tecnologías.
- Transacciones interorganizacionales (business-to-business). Las tecnologías del comercio electrónico hacen posible transmitir múltiples documentos entre empresas, como pedidos, facturas y notificaciones de entregas, y efectuar cobros y pagos a proveedores y distribuidores. El empleo de estas tecnologías da lugar a ahorro de tiempo y costes en actividades como el aprovisionamiento, expedición de pedidos y cobros. Por ejemplo, desde el sitio Web de Cisco, www.cisco.es, las empresas y operadoras de telecomunicaciones pueden comprar distintos equipos de datacom para sus redes y descargar manuales, información detallada sobre sus productos, parches sw, etc.
- Transacciones entre empresas y consumidores finales (business-to-consumer).Las tecnologías del comercio electrónico también hacen posible que los clientes finales contacten directamente con las empresas, consultando información sobre múltiples ofertas comerciales y estableciendo una relación de comunicación personalizada con los vendedores que derive en la compra de productos. Este sería el caso dewww.sonyericsson.es, el sitio Web de Sony Ericsson, desde el que los internautas pueden acceder a información detallada y comprar teléfonos móviles y accesorios.
- Transacciones entre particulares (consumer-to-consumer). Las redes de telecomunicación permiten que los particulares puedan comunicarse e intercambiar bienes y servicios, lo que hasta la aparición de Internet era bastante inusual. Por ejemplo, desdewww.eBay.es, se pueden poner en contacto distintos particulares para la venta de productos y posibles compradores.
SEGURIDAD DE LAS TRANSACCIONES.
El comercio electrónico necesita
garantizar una seguridad técnica y jurídica que impida un anormal
funcionamiento del negocio o una desconfianza en el medio utilizado para
comerciar.
En este sentido se han aportado una
serie de soluciones, propuestas por los organismos de normalización, para
evitar los posibles peligros u operaciones ilegales a los que puede estar
sometida Internet. Básicamente se trataría de garantizar cuatro principios.
1. Principio de autenticidad:
que la persona o empresa que dice estar al otro lado de la red es quién dice
ser.
2. Principio de integridad:
que lo transmitido a través de la red no haya sido modificado.
3. Principio de intimidad:
que los datos transmitidos no hayan sido vistos durante el trasiego
telemático.
4. Principio de no repudio:
que lo transmitido no pueda ser repudiado o rechazado.
En la actualidad, el comercio
electrónico no está garantizando completamente estos principios mencionados.
El principio de la intimidad se
consigue gracias a la implantación de un protocolo de comunicación seguro, como por ejemplo el SSL (Secure Sockets Layer). Los servidores seguros SSL los
podremos identificar porque en al esquina inferior izquierda del navegador (en
el caso de Netscape) cambia de un candado abierto a uno cerrado y además en la
URL o Location cambia de Http:// a Https:// (Hipertext Transport Protocol
Secure). Gracias a este protocolo de comunicación segura, se pueden transmitir
los datos de la tarjeta sin que nadie los pueda capturar. A pesar de la
seguridad en la comunicación, la utilización de este protocolo de comunicación
en el pago de los productos y servicios podría producir desconfianza en el
Cliente, ya que potencialmente el vendedor puede realizar cualquier tipo de
fraude con total impunidad al poseer su número de tarjeta y no quedar
garantizada la integridad del documento de pago. Sólo las empresas con muy
buena reputación podrían, a priori, contar con la confianza del consumidor.
Por otro lado, el consumidor que paga
con tarjeta puede negar la compra del producto y el banco estará obligado a
devolver el dinero si "no ha sido presentada directamente o identificada
electrónicamente. El problema surgiría sobre todo cuando se utilizase para
comprar bienes o servicios intangibles, es decir, bienes que no necesitan
traslado físico, ya que sería más difícil de probar donde ha ido a parar el
producto o servicio y por tanto si se comete el fraude. El perjudicado en este
caso es sin duda alguna el proveedor, ya que sería muy difícil recuperar el
servicio o producto vendido. Además, el posible fraude con números de tarjetas
robados, hace que las Entidades de Crédito añadan una comisión en las compras
bastante elevada (un 5% +/-) para compensar estas prácticas fraudulentas. Esto
hace que el precio de la compra se incremente considerablemente, lo que anula
el atractivo inicial de comprar por Internet: los precios bajos. Para
proporcionar mayor seguridad jurídica al comercio electrónico, se idea la
combinación del protocolo de comunicación seguro SSL con la firma electrónica,
garantizando entonces el efecto de no repudio, ya que al firmar la oferta de
compra existe una prueba con igual valor jurídico que la firma manuscrita(art.
3 del RDL 14/99 sobre Firma Electrónica), y por tanto en caso de negar la
compra del producto, el comerciante puede probar ante los tribunales que el
mismo fue comprado por el tenedor de dicha firma.
Existe otro problema a salvar que es
la posible obtención de la base de datos de números de tarjetas de los
clientes, ya que la misma esta en posesión del comercio para realizar los pagos
con el banco. Así se podría dar el caso que un fallo o agujero de seguridad en
nuestra web provoque la entrada de un empleado descontento o de un pirata
informático, apoderándose de las base de datos de tarjetas para utilizarla con
fines ilícitos. Para evitar esto, se han ideado los TPV virtuales que lanzan los servidores de los
bancos para que el pago lo haga directamente el comprador con el banco y no
tenga que pasar por el comercio el número de tarjeta, o bien el protocolo SET (Secure Electronic
Transaction)que garantiza íntegramente los principios antes
mencionados y un total anonimato por parte de las tres partes intervinientes,
de forma que el banco no conoce la compra que realiza el consumidor y el
comercio no conoce el número de tarjeta o de cuenta que tiene el comprador.
Medidas
de autenticación
La
autenticación es el proceso mediante el cual se confirma que quien se conecta y
solicita acceso a un servicio es realmente quien dice ser, es decir, el
legítimo usuario. Los siguientes elementos son los principales encargados de
autenticar el proceso desde su inicio (tras la conexión con el servidor
destino).
La
elección de unos u otros dependerá siempre de la infraestructura proporcionada
por el comercio o banco online y las posibilidades de la conexión o dispositivo
mediante el que se realice el proceso.
Claves
de acceso
Hasta
ahora, el elemento más utilizado para comprobar la legitimidad del usuario que solicita
realizar la transacción ha sido el uso de claves de acceso. Existen multitud de
mecanismos que se han ido mejorando y adoptando lo largo de los años, los
ejemplos más significativos son:
•
PIN (Personal Identification Number), número de identificación personal o contraseña
•El
número de identificación personal es la medida más sencilla y clásica de
identificación: el banco o tienda online facilita una clave numérica o código
alfanumérico para identificarnos, que deberá ser introducido en el formulario
correspondiente en el momento de la autenticación.
TAN
(Transaction Authentication Number) o número de autenticación de transacción
Instituto
Nacional de Tecnologías de la Comunicación. Se trata de una evolución del PIN.
Está formado por una lista o tabla de códigos que, en función de las
circunstancias, pueden haber sido previamente generados y distribuidos de
manera física (papel o tarjetas) o distribuirse instantes antes de la
transacción a través de medios digitales o dispositivos electrónicos.
Para
cada transacción se solicitará una clave distinta. Algunas variantes de este sistema
son:
Antes
de la transacción el banco envía el número de identificación a través del móvil
del cliente, en un SMS por ejemplo. Tabla de códigos que utiliza índices y que
se corresponde con las conocidas tarjetas de coordenadas bancarias que
facilitan las entidades para realizar la confirmación de pagos o transacciones.
Por ejemplo, se puede solicitar introducir la clave correspondiente con la fila
C columna 2.
Los
CAPTCHAS son imágenes con información en su interior que se supone solo podrán
ser leídas por humanos y no por programas automatizados. El CAPTCHA mostrado
puede identificar el TAN a introducir, o utilizarse como método de comprobación
de identidad (mostrando por ejemplo la fecha de nacimiento del usuario).
Completely
Automated Public Turing test to tell Computers and Humans Apart (Prueba de Turing
pública y automática para diferenciar máquinas y humanos). Un ejemplo son las
imágenes en las que se incluyen letras o números suficientemente distorsionados
como para que un software no puede reconocerlos de forma automática, mientras
que un ser humano sí podría identificarlos.
Dispositivos
electrónicos que generan los códigos según un patrón interno. Se hablará de
ellos en el apartado de tokens.
(One
Time Password) o contraseña de un solo uso. Se trata de una clave de un solo
uso, que generalmente es enviada por correo electrónico o SMS y que también
puede ser generada a través de dispositivos tokens.
El
código OTP deja de ser efectivo en el momento en el que se realiza la transacción.
Tokens
Son
dispositivos electrónicos independientes o con conexión USB a un PC. Permiten generar
claves privadas aleatorias según un patrón o mediante sincronización con un servidor
externo. En un momento dado el banco solicita que se introduzca la clave de acceso
generada por el token del cliente. Generalmente sólo se tendrá que activar un botón
para que se calcule.
Smartcards
También
conocidas como tarjetas inteligentes. Son dispositivos de identificación del mismo
tamaño que las tarjetas de crédito, que cuentan con un chip en el que guardan información.
Muchas de las nuevas tarjetas de crédito son en realidad smartcards, abandonando
progresivamente la obsoleta banda magnética para la identificación. Este tipo
de tarjetas necesitan lectores conectados al ordenador y permiten la identificación
cuando el software o web que se está utilizando lo necesite. Su potencial es la
capacidad de albergar información privada dentro del chip y, dependiendo del
tipo de chip utilizado, pueden ser reprogramados posteriormente para incorporar
o actualizar los datos internos.
Su
principal función es guardar los certificados personales de usuario. Un ejemplo
claro de smartcard es el actual DNI electrónico español.
Dispositivos
biométricos2
Los
dispositivos biométricos se basan en una cualidad e incorporan el factor de autenticación
“cómo se es", es decir, buscan una manera precisa e inequívoca de identificar
al usuario utilizando para ello partes de su cuerpo. Los más usados son:
•
Lectores de huellas dactilares.
•
Lectores de palma de la mano.
•
Lectores de retina.
•
Identificadores de voz.
Aunque
puedan parecer dispositivos destinados a grandes empresas y organismos, en realidad
están siendo adoptados a todos los niveles de forma gradual y ya existen iniciativas
bancarias para implementarlo como medida principal de identificación de usuario.
Teclados
virtuales
No
son un sistema de identificación en sí, sino un medio de introducir (de manera
más o menos segura) las credenciales de usuario, por ejemplo su PIN. Este
método está recibiendo una gran aceptación en muchas webs bancarias para los
formularios de introducción de contraseña o en el momento de solicitar las
coordenadas. Los teclados virtuales también existen dentro del sistema
operativo o el software antivirus como mecanismo de introducción de datos de
manera virtual sin utilizar el teclado físico. Su objetivo es evitar los
keyloggers o registradores de pulsaciones en el teclado.
Firmas
Digitales
Estas
firmas están destinadas a comprobar la integridad de los datos transferidos
durante una comunicación. Permiten comprobar si la comunicación sobre la
transacción ha sido alterada en algún momento en su paso por las redes que
separan origen y destino. Trabajan conjuntamente con los certificados digitales
y los diferentes sistemas de cifrado disponibles.
Certificados
digitales
Junto
a las firmas digitales, son un elemento imprescindible para iniciar una
conexión segura. Los certificados digitales son archivos que identifican
usuarios, empresas, organismos y, más comúnmente, la página a la que se accede.
En resumen, se trata de una serie de datos personales unidos a una clave
pública, y todo ello firmado por una entidad que les da validez. Normalmente
los certificados son expedidos por las CA, Autoridades de Certificación. Los
certificados se pueden utilizar:
•
A través de los navegadores, que utilizan los certificados digitales
(personales o corporativos) instalados en el equipo cuando los necesitan.
•
A través de smartcards o tarjetas inteligentes donde residen y que añaden una capa
física de seguridad.
Un
certificado típico está compuesto por:
•
Nombre completo de la persona u organismo a identificar.
•
Nombre de la autoridad CA.
•
Número de serie.
•
Firma digital de la CA.
Es
estándar tecnológico más usado por los certificados es el UIT-T X.509, que
regula su contenido antes de ser asignados por una CA.
martes, 4 de noviembre de 2014
Legislación y delitos informaticos
Legislación informática.
Se define como un conjunto
de ordenamientos jurídicos creados para regular el tratamiento de la
información. Las legislaciones de varios países han promulgado normas jurídicas
que se han puesto en vigor
dirigidas a proteger la utilización abusiva de la información.
Tienen las siguientes
características:
* Conductas
criminales de cuello blanco, sólo un determinado grupo de personas tiene esos
conocimientos.
* Son acciones ocupacionales.
* Son acciones de oportunidad.
* Ofrecen posibilidades de tiempo y espacio.
* Presentan grandes dificultades para su
comprobación.
En el contexto
internacional, son pocos los países que cuentan con una legislación apropiada.
Entre ellos, se destacan: Estados Unidos, Alemania, Austria, Gran Bretaña,
Holanda y muy recientemente México.
Delito informático.
Un delito informático o ciberdelincuencia es toda aquella acción, típica, antijurídica y culpable, que se
da por vías informáticas o que tiene como objetivo destruir y dañar ordenadores,
medios electrónicos y redes de Internet. Debido a que la informática se mueve
más rápido que la legislación, existen conductas criminales por vías
informáticas que no pueden considerarse como delito, según la "Teoría del delito", por lo cual se definen
como abusos informáticos, y parte de la criminalidad informática.
La criminalidad informática tiene un
alcance mayor y puede incluir delitos tradicionales como el fraude, el robo, chantaje,falsificación y la malversación de caudales públicos en los cuales ordenadores y redes han
sido utilizados como medio. Con el desarrollo de la programación y de Internet,
los delitos informáticos se han vuelto más frecuentes y sofisticados.
Existen actividades delictivas que se
realizan por medio de estructuras electrónicas que van ligadas a un sin número
de herramientas delictivas que buscan infringir y dañar todo lo que encuentren
en el ámbito informático: ingreso ilegal a sistemas, interceptado ilegal de
redes, interferencias, daños en la información (borrado, dañado, alteración o
supresión de datacredito), mal uso de artefactos, chantajes, fraude electrónico,
ataques a sistemas, robo de bancos, ataques realizados por crackers, violación de los derechos de autor, pornografía infantil, pedofilia en Internet, violación de información
confidencial y muchos otros.
Cinco ejemplos de delitos informáticos:
1. Un
estudiante del colegio usando los equipos de la institución, aun sabiendo que
tiene un archivo contaminado con un virus, un gusano o un troyano y mas grave
aun sabiendo el daño que hace lo envía a una lista de contactos ocasionando
graves daños a los equipos o a los archivos de ellos. Luego se mofa del mal
causado contándoles que lo hizo adrede
2. Un estudiante del colegio con el celular le toma una foto a una niña
que se encuentra en una situación no muy decorosa la sube a la pagina social
HI5 con el ánimo de dejarla en tela de juicio. La niña indignada pone la queja
al profesor de informática, este solo puede sugerir al joven que por favor
elimine la foto aunque ya debe estar en poder de muchos y la indignación ya está
causada.
3. Un estudiante estuvo atento cuando una de sus compañeros escribía la
contraseña de ingreso a su correo, la guardo y posteriormente literalmente le
robo el correo modificando la contraseña de entrada y la pregunta secreta. El joven
supo quien le robo el correo por información de un tercero y porque sus amigos
y contactos le reclamaban por la calidad de los mensajes que enviaba por lo
vulgares y groseros que eran.
4. Un padre de familia se queja ante el profesor de informática porque su
niña con frecuencia recibe mensajes obscenos y de pornografía y argumenta que
muy probablemente son estudiantes del mismo grupo o del colegio por la
familiaridad en que la tratan
5. Un estudiante entro a la carpeta de archivos de un compañero de otro
grupo con el que no tenía buenas relaciones y en forma descarada le elimino
todos los archivos que allí guardaba que sustentaban su trabajo y la nota para
el periodo.
En México los delitos de revelación de secretos
y acceso ilícito a sistemas y equipos de informática ya sean que estén
protegidos por algún mecanismo de seguridad, se consideren propiedad del Estado
o de las instituciones que integran el sistema financiero son hechos
sancionables por el Código Penal Federal en el título noveno capítulo I y II.
El artículo 167 fr.VI del Código Penal Federal sanciona con prisión y multa al que
intencionalmente o con fines de lucro, interrumpa o interfiera comunicaciones
alámbricas, inalámbricas o de fibra óptica, sean telegráficas, telefónicas o
satelitales, por medio de las cuales se transmitan señales de audio, de video o
de datos.
La reproducción no autorizada de
programas informáticos o piratería está regulada en la Ley Federal
del Derecho de Autor en el Título IV, capítulo IV.
También existen leyes locales en el
código penal del Distrito
Federal y el código
penal del estado de Sinaloa.
Derechos y obligaciones de los prestadores de servicios en internet
Con la publicación de la LSSI, (Ley de servicios de la sociedad de la información y de comercio electrónico) aparecen nuevos derechos y obligaciones para los prestatarios de los mismos. Estos son los más importantes:
Los prestadores de servicios deben indicar en su página web:
- Su nombre o denominación social y datos de contacto: Domicilio, dirección de correo electrónico y cualquier otro dato que permita una comunicación directa y efectiva, como por ejemplo un teléfono o un número de fax.
- Si la empresa está registrada en el Registro Mercantil o cualquier otro registro público, deberá señalar también el número de inscripción que le corresponda.
- Su NIF.
- Información sobre el precio de los productos, indicando si incluye o no los impuestos aplicables, gastos de envío y cualquier otro dato que deba incluirse en cumplimiento de normas autonómicas aplicables.
- En el caso en que la actividad que se ejerza precise de una autorización administrativa previa, los datos relativos a la misma y los identificativos del órgano encargado de su supervisión.
- Si se ejerce una profesión regulada, los datos del Colegio profesional y el número de colegiado, el título académico y el Estado de la Unión Europea en que se expidió y la correspondiente homologación, en su caso.
- Los códigos de conducta a los que esté adherido, en su caso, y la forma de consultarlos electrónicamente.
- Cuando los prestadores de servicios empleen dispositivos de almacenamiento y recuperación de datos en equipos terminales, informarán a los destinatarios de manera clara y completa sobre su utilización y finalidad, ofreciéndoles la posibilidad de rechazar el tratamiento de los datos mediante un procedimiento sencillo y gratuito.
- Lo anterior no impedirá el posible almacenamiento o acceso a datos con el fin de efectuar o facilitar técnicamente la transmisión de una comunicación por una red de comunicaciones electrónicas o, en la medida que resulte estrictamente necesario, para la prestación de un servicio de la sociedad de la información expresamente solicitado por el destinatario.
- Los prestadores de servicios de intermediación no tienen obligación de supervisar los contenidos que alojan, transmiten o clasifican en un directorio de enlaces, pero deben colaborar con las autoridades públicas cuando se les requiera para interrumpir la prestación de un servicio de la sociedad de la información o para retirar un contenido de la Red.
- Los prestadores de servicios de intermediación, no son, en principio, responsables por los contenidos ajenos que transmiten, alojan o a los que facilitan acceso.
- Pueden incurrir en responsabilidad si toman una participación activa en su elaboración o si, conociendo la ilegalidad de un determinado material, no actúan con rapidez para retirarlo o impedir el acceso al mismo.
- A partir del 29 de marzo de 2008, los proveedores de acceso a Internet están obligados a informar a sus usuarios sobre los medios técnicos que permitan la protección frente a las amenazas de seguridad en Internet (virus informáticos, programas espías, spam) y sobre las herramientas para el filtrado de contenidos no deseados.
- Asimismo, se obliga a dichos prestadores, así como a los prestadores de servicios de correo electrónico, a informar a sus clientes sobre las medidas de seguridad que apliquen en la provisión de sus servicios.
- Los proveedores de acceso a Internet deberán también informar a sus clientes sobre las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilícitos.
- Las anteriores obligaciones de información se darán por cumplidas si el prestador incluye dicha información en su página o sitio principal de Internet.
Seguridad privada, encriptamiento, hackers y virus
Qué es la seguridad privada
Seguridad
Privada es el conjunto de bienes y servicios brindados por entes privados, para
proteger a sus clientes de delitos, daños y riesgos.
En una definición más abarcativa, se define como Seguridad Privada al conjunto de bienes y servicios ofrecidos por personas físicas y jurídicas privadas, destinados a proteger a sus clientes- y a sus bienes y patrimonio - de daños y riesgos, a auxiliarlos en caso de delitos, siniestros o desastres, y a colaborar en la investigación de delitos que los involucren.
Los clientes pueden ser personas físicas o jurídicas, públicas o privadas.
La Seguridad Privada habitualmente trabaja en forma auxiliar y complementaria a la Seguridad Pública, y requiere previa autorización, licencia o permiso expedido por las autoridades competentes
En una definición más abarcativa, se define como Seguridad Privada al conjunto de bienes y servicios ofrecidos por personas físicas y jurídicas privadas, destinados a proteger a sus clientes- y a sus bienes y patrimonio - de daños y riesgos, a auxiliarlos en caso de delitos, siniestros o desastres, y a colaborar en la investigación de delitos que los involucren.
Los clientes pueden ser personas físicas o jurídicas, públicas o privadas.
La Seguridad Privada habitualmente trabaja en forma auxiliar y complementaria a la Seguridad Pública, y requiere previa autorización, licencia o permiso expedido por las autoridades competentes
Encriptación de datos.
Encriptación es el proceso
mediante el cual cierta información o texto sin formato es cifrado de forma que
el resultado sea ilegible a menos que se conozcan los datos necesarios para su
interpretación. Es una medida de seguridad utilizada para que al momento de
almacenar o transmitir información sensible ésta no pueda ser obtenida con
facilidad por terceros. Opcionalmente puede existir además un proceso de
desencriptación a través del cuál la información puede ser interpretada de
nuevo a su estado original, aunque existen métodos de encriptación que no
pueden ser revertidos. El término encriptación es traducción literal del inglés
y no existe en el idioma español. La forma más correcta de utilizar este
término sería cifrado.
Usos de la Encriptación
Algunos de los usos más comunes
de la encriptación son el almacenamiento y transmisión de información sensible
como contraseñas, números de identificación legal, números de tarjetas de
crédito, reportes administrativo-contables y conversaciones privadas, entre
otros.
Como sabemos, en un Sistema de
Comunicación de Datos, es de vital importancia asegurar que la Información
viaje segura, manteniendo su autenticidad, integridad, confidencialidad y el no
repudio de la misma entre otros aspectos.
Estas características solo se
pueden asegurar utilizando las Técnicas de Firma Digital Encriptada y la Encriptación
de Datos.
Métodos de Encriptación
Para poder Encriptar un dato, se
pueden utilizar tres procesos matemáticos diferentes:
Los algoritmos HASH, los
simétricos y los asimétricos.
1. Algoritmo HASH:
Este algoritmo efectúa un cálculo
matemático sobre los datos que constituyen el documento y da como resultado un
número único llamado MAC. Un mismo documento dará siempre un mismo MAC.
2. Criptografía de Clave Secreta
o Simétrica
Utilizan una clave con la cual se
encripta y desencripta el documento. Todo documento encriptado con una clave,
deberá desencriptarse, en el proceso inverso, con la misma clave. Es importante
destacar que la clave debería viajar con los datos, lo que hace arriesgada la
operación, imposible de utilizar en ambientes donde interactúan varios
interlocutores.
Los criptosistemas de clave
secreta se caracterizan porque la clave de cifrado y la de descifrado es la
misma, por tanto la robustez del algoritmo recae en mantener el secreto de la
misma.
Sus principales características
son:
*rápidos y fáciles de implementar
*clave de cifrado y descifrado
son la misma
*cada par de usuarios tiene que
tener una clave secreta compartida
Una comunicación en la que
intervengan múltiples usuarios requiere muchas claves secretas distintas
Actualmente existen dos métodos
de cifrado para criptografía de clave secreta, el cifrado de flujo y el cifrado
en bloques.
Cifrado de flujo
El emisor A, con una clave
secreta y un algoritmo determinístico (RKG), genera una secuencia binaria (s)
cuyos elementos se suman módulo 2 con los correspondientes bits de texto claro
m, dando lugar a los bits de texto cifrado c, Esta secuencia (c) es la que se
envía a través del canal. En recepción, B, con la misma clave y el mismo
algoritmo determinístico, genera la misma secuencia cifrante (s), que se suma
modulo 2 con la secuencia cifrada (c) , dando lugar a los bits de texto claro
m.
Los tamaños de las claves oscilan
entre 120 y 250 bits
Cifrado en bloque
Los cifrados en bloque se
componen de cuatro elementos:
- Transformación inicial por
permutación.
- Una función criptográfica débil
(no compleja) iterada r veces o "vueltas".
- Transformación final para que
las operaciones de encriptación y desencriptación sean simétricas.
- Uso de un algoritmo de
expansión de claves que tiene como objeto convertir la clave de usuario,
normalmente de longitud limitada entre 32 y 256 bits, en un conjunto de
subclaves que puedan estar constituidas por varios cientos de bits en total.
3. Algoritmos Asimétricos (RSA):
Requieren dos Claves, una Privada
(única y personal, solo conocida por su dueño) y la otra llamada Pública, ambas
relacionadas por una fórmula matemática compleja imposible de reproducir. El
concepto de criptografía de clave pública fue introducido por Whitfield Diffie
y Martin Hellman a fin de solucionar la distribución de claves secretas de los
sistemas tradicionales, mediante un canal inseguro. El usuario, ingresando su
PIN genera la clave Publica y Privada necesarias. La clave Publica podrá ser
distribuida sin ningún inconveniente entre todos los interlocutores. La Privada
deberá ser celosamente guardada. Cuando se requiera verificar la autenticidad
de un documento enviado por una persona se utiliza la Clave Publica porque el
utilizó su Clave Privada
Ventajas Ofrecidas por la Firma Digital
Integridad de la información: la
integridad del documento es una protección contra la modificación de los datos
en forma intencional o accidental. El emisor protege el documento,
incorporándole a ese un valor de control de integridad, el receptor deberá
efectuar el mismo cálculo sobre el documento recibido y comparar el valor
calculado con el enviado por el emisor
Autenticidad del origen del mensaje:
este aspecto de seguridad protege al receptor del documento, garantizándole que
dicho mensaje ha sido generado por la parte identificada en el documento como
emisor del mismo, no pudiendo alguna otra entidad suplantar a un usuario del
sistema.
No repudio del origen: el no repudio de
origen protege al receptor del documento de la negación del emisor de haberlo
enviado. Este aspecto de seguridad es más fuerte que los anteriores ya que el
emisor no puede negar bajo ninguna circunstancia que ha generado dicho mensaje,
transformándose en un medio de prueba inequívoco respecto de la responsabilidad
del usuario del sistema.
Hacker.
En informática, un hacker, es una
persona que pertenece a una de estas comunidades o subculturas distintas pero
no completamente independientes:
El emblema hacker, un proyecto
para crear un símbolo reconocible para la percepción de la cultura hacker.
Gente apasionada por la seguridad
informática. Esto concierne principalmente a entradas remotas no autorizadas
por medio de redes de comunicación como Internet ("Black hats"). Pero
también incluye a aquellos que depuran y arreglan errores en los sistemas
("White hats") y a los de moral ambigua como son los "Grey
hats".
Una comunidad de entusiastas
programadores y diseñadores de sistemas originada en los sesenta alrededor del
Instituto Tecnológico de Massachusetts (MIT), el Tech Model Railroad Club
(TMRC) y el Laboratorio de Inteligencia Artificial del MIT.2 Esta comunidad se
caracteriza por el lanzamiento del movimiento de software libre. La World Wide
Web e Internet en sí misma son creaciones de hackers.3 El RFC 13924 amplia este
significado como "persona que se disfruta de un conocimiento profundo del
funcionamiento interno de un sistema, en particular de computadoras y redes
informáticas"
La comunidad de aficionados a la
informática doméstica, centrada en el hardware posterior a los setenta y en el
software (juegos de computadora, crackeo de software, la demoscene) de entre
los ochenta/noventa.
Definición 1: Término para
designar a alguien con talento, conocimiento, inteligencia e ingenuidad,
especialmente relacionadas con las operaciones de computadora, redes,
seguridad, etc.
Definición 2: Persona que
disfruta aprendiendo detalles de los sistemas de programación y cómo extender
sus capacidades, tan intensamente como, al contrario, muchos usuarios prefieren
aprender sólo el mínimo necesario.
Según monografias.com: El
término hacker, se utiliza para identificar a los que únicamente acceden a un
sistema protegido como si se tratara de un reto personal sin intentar causar
daños.
Nótese que ninguna define al
Hacker como un criminal. En el mejor de los casos, son los incentivadores,
probadores y aprobadores de las mejores y más nuevas tecnologías. En el peor,
los Hackers pueden ser traviesos, perversos y delincuentes curiosos. Si
entendemos como Hacker al individuo que usa sus habilidades y recursos para
invadir sistemas informáticos ajenos, dejamos un hueco en la definición, pues
no es tan simple, un Hacker puede ser un niño travieso, un joven delincuente o
un gran profesional.
Consecuencias por hackear.
Penas privativas de la
libertad
Las penas de prisión por
piratería informática pueden ser muy duras, sobre todo si la seguridad nacional
se ha visto comprometida. Para los delitos muy graves, el gobierno de EE.UU.
está tratando de elevar penas a 20 años de prisión. En la mayoría de los casos,
no se consideran enfermedades mentales como el síndrome de Asperger en la
sentencia, si el delito es tan grave.
Perspectivas de empleo
Contrariamente a la creencia
popular, los hackers no suelen terminar en empleos lucrativos si han sido
capturados por las autoridades. Cualquier tipo de antecedentes penales tendrá
un impacto negativo en las perspectivas de empleo de un hacker. Además, el
tiempo pasado en la cárcel podría ser tiempo fuera de acceso regular a una
computadora, lo que puede significar que un hacker ya no esté familiarizado con
las últimas tecnologías.
Seguridad superior
El hacking causas que los
gobiernos y las organizaciones poderosas puedan ser un objetivo para que los
hackers aumenten su seguridad. Esto por lo general ralentiza los sistemas
operativos y conduce a más errores y problemas. Además, los usuarios inocentes
de las empresas que han sido hackeadas pueden encontrarse sujetos a estrictas
medidas de seguridad que se suman molestias innecesarias a las vidas ya
estresantes.
Menos libertad de
información
Los hackers y distribuidores
ilegales de datos personales tienen un impacto perjudicial sobre la forma en
que son los gobiernos nacionales y cómo funciona la diplomacia internacional.
La capacidad de hablar libremente sin preocuparse por la opinión pública es un
componente vital de cualquier Estado democrático. Los hackers alientan a las
personas poderosas para discutir temas sólo en persona, lo que reduce la
eficiencia, la eficacia y la honestidad del gobierno y la diplomacia.
Consecuencias de los virus.
Todos
los virus que se encuentran en nuestro medio pueden llegar a crear serios daños
en nuestras computadoras claro que unos mas que otros, por lo que es de suma
importancia estar debidamente protegidos por un Antivirus.
Generalmente estos virus entran por medio de Unidades De almacenamiento Móvil conocidas como USB, en la entrada de discos infectados, o al recibir correos electrónicos que solicitan la ejecución de algún archivo.
Las consecuencias que se pueden presentar en los equipos dependerán del tipo de Virus cada uno de ellos tiene las siguientes características:
Generalmente estos virus entran por medio de Unidades De almacenamiento Móvil conocidas como USB, en la entrada de discos infectados, o al recibir correos electrónicos que solicitan la ejecución de algún archivo.
Las consecuencias que se pueden presentar en los equipos dependerán del tipo de Virus cada uno de ellos tiene las siguientes características:
·
Auto-Reproducirse
para poder obtener copia de ellos mismos sin que el usuario brinde su
autorización
·
Poder
para alojarse en algunos programas no necesariamente dentro del que lo
portaba.
·
Dañar
disquetes o discos pues tienden a sobrecalentarlos para que estos disminuyan su
tiempo de vida.
·
Memoria
RAM Baja
·
Lentitud
en el equipo.
·
Impiden
que se ejecuten ciertos archivos.
·
Perdida
de archivos o bases de datos.
·
Pueden
aparecer archivos extraños que no se encontraban antes del contagio.
·
Es
necesario Reiniciar los equipos a menudo.
Suscribirse a:
Comentarios (Atom)