Correo y comercio electrónico seguros

Anuncio
Perspectiva Empresarial
Correo y comercio
electrónico seguros
nos segura que las redes privadas, los
esfuerzos por proporcionar una variedad de mecanismos de seguridad al
tráfico en Internet han progresado a
toda velocidad, de modo que hoy es
posible afirmar que puede ser tan segura como una red privada.
Algunas de las medidas de seguridad se están implementado en
LA SEGURIDAD EN INTERNET ES CUESTIÓN, MUCHAS
Internet para hacer de ella una red
VECES, MÁS DE APLICAR EL SENTIDO COMÚN QUE DE
buenos firewalls y antivirus, son las
INVERTIR GRANDES SUMAS DE DINERO
más segura, además de instalar unos
diferentes técnicas de cifrado de la
información, bien de clave privada o
pública (sistemas simétricos y
asimétricos) y otros mecanismos a
nivel de aplicación, como los que se
electrónico, para la realización de tran-
describen en este artículo.
sacciones electrónicas. Existen muchos
José Manuel
Huidobro
MIEMBRO DEL
CONSEJO EDITORIAL
DE
I
tipos diferentes de amenazas que pueden comprometer la seguridad del
Seguridad en el correo
correo y el comercio electrónico, pero
Se ha propuesto una variedad de
para contrarrestarlas se han desarro-
protocolos de seguridad para el correo
llado varios protocolos y aplicaciones
electrónico (e-mail) en Internet, pero
usando, entre otras, las técnicas
sólo uno o dos han tenido aceptación.
criptográficas.
El correo enriquecido con carácter
privado PEM (Privacy-Enhanced Mail)
nternet es una red descentralizada, a la que tiene acceso cualquier usuario que cuente con un
simple terminal y una línea de conexión, fija o móvil, de banda estrecha
o ancha. Ello hace que estemos expuestos a numerosos ataques, muchísimos más que si se tratase de una
red privada. Los más usuales son los
virus, troyanos, gusanos y otros códigos maliciosos, como el spyware,
phishing, etc. además de sufrir las
molestias del spam, hoax, adware,
es un estándar de Internet para ase-
Existen muchos tipos de
amenazas que pueden
comprometer la
seguridad del correo
y el comercio
electrónico
etc. Estos ataques pueden hacer que
gurar al correo electrónico usando
claves públicas o simétricas. En la
actualidad PEM se utiliza poco pues no
está diseñado para manejar el moderno correo electrónico multimedia soportado por S/MIME, además de que
requiere una jerarquía rígida de autoridades de certificación para emitir las
claves.
S/MIME (Secure/
MultipurposeIinternet Mail Extensions)
es un estándar del IETF (Internet
Engineering Task Force) basado en
lleguemos a perder la información o
Desde sus comienzos Internet de-
que esta sea accesible a extraños, o
pende de estándares abiertos y este
implementación de Infraestructura de
incluso dejar inutilizado el equipo,
apoyo a los estándares abiertos, junto
Clave Pública (PKI); proporciona fir-
aparte de ser una herramienta para
con el intercambio sin límites de infor-
mas digitales, no-rechazo y
cometer innumerables estafas, con
mación en Internet, puede hacer que
encriptación punto a punto. Este nue-
casi total impunidad, desde cualquier
se piense que seguridad e Internet son
vo estándar puede utilizar muchos de
rincón del mundo.
términos mutuamente excluyentes,
los algoritmos criptográficos más mo-
pero nada es menos cierto y aunque
dernos, pero depende de certificados
en el pasado Internet era mucho me-
digitales, por ello también depende de
Cada día es más frecuente utilizar
Internet, además de para el correo
nº 5 „ septiembre / octubre 2006
certificados X.509 y en una
Perspectiva Empresarial
algún tipo de autoridad de certificación, ya sea corporativa o global, para
asegurar la autenticación.
S/MIME es un protocolo de seguridad para correo electrónico desarrollado por RSA, Inc., valioso y ampliamente utilizado para certificar la identidad
del remitente, proteger los correos
electrónicos durante el proceso de
transmisión y para validar las credenciales del receptor. Las aplicaciones
Los mecanismos de
cifrado, junto con la firma
electrónica, sirven para
garantizar la
confidencialidad de los
mensajes y su
autenticidad
compatibles con S/MIME pueden enviar y recibir mensajes de correo electrónico seguros (con cifrado y firmado). Este protocolo ha sido adoptado
por un amplio número de compañías,
entre las que se incluyen Microsoft y
Netscape.
PGP (Pretty Good Privacy) es una
claves, sin requerir una jerarquía de
aplicaciones y SET (Secure Electronic
autoridades de certificación.
Transaction) va un paso más allá al
proporcionar seguridad a las transac-
aplicación desarrollada para asegurar
los mensajes y archivos que puede
emplear una gran variedad de
estándares de cifrado; así, los mensa-
Seguridad en el comercio
Los estándares se pueden clasificar
ciones de comercio electrónico.
S-HTTP y SSL proporcionan autentificación para servidores y
jes se pueden cifrar antes de usar un
de acuerdo a si proporcionan seguri-
navegadores, así como confidenciali-
programa de correo electrónico. Proba-
dad de conexión o de aplicación. Así,
dad e integridad de los datos para las
blemente sea la aplicación de seguri-
el estándar SSL (Secure Sockets
comunicaciones entre un servidor web
dad para correo electrónico en
Layer) está diseñado para mantener
y un navegador. S-HTTP está diseñado
Internet más utilizada. PGP está dispo-
comunicaciones seguras en Internet,
específicamente para soportar el pro-
nible de manera gratuita para la ma-
aunque SSL se usa primariamente con
tocolo de transferencia de hipertexto
yoría de los sistemas operativos im-
aplicaciones para la web. Por el contra-
HTTP, proporcionando la autorización y
portantes. PGP se diseñó alrededor del
rio, Secure HTTP (S-HTTP), está dirigi-
seguridad de los documentos. SSL
concepto de una red de confianza que
do a proporcionar autentificación y
ofrece métodos de protección simila-
permitía a los usuarios compartir sus
preservar el carácter privado de las
res, pero asegura el canal de comuni-
nº 5 „ septiembre / octubre 2006
Perspectiva Empresarial
caciones al operar a un nivel más bajo
Cifrado de datos
P
ara preservar la confidencialidad
de la información se recurre al
cifrado de los datos. Los algoritmos de
cifrado (encriptación) más comunes,
son:
„ DES (Data Encryption StandardEstándar) es un codificador de bloque creado por IBM, avalado por el
gobierno de los Estados Unidos en
1997. Usa una clave de 56 bits y ope-
ra en bloques de 64 bits. Relativamente rápido; se usa para cifrar
grandes cantidades de datos simultáneamente.
„ Triple DES basado en DES. Cifra
un bloque de datos tres veces, con
tres claves diferentes. Es una alternativa al DES y su uso se incrementa
día a día, pues existe la posibilidad
de violar el DES con facilidad y rapidez, mediante ataques de fuerza
bruta.
„ RC2 y RC4, diseñados por RSA
Data Security Inc. Codificadores de
tamaño de clave variable para cifrado
rápido. RC2 es un codificador de
(entre la capa de aplicación y las capas de red y transporte).
Los sistemas SSL y S-HTTP tienen
bloque mientras que RC4 es un
codificador de flujo y es 10 veces más
veloz que DES.
„ IDEA (International Data Encryption
Algorithm). Creado en 1991 y diseñado para ser eficaz. Ofrece un cifrado
muy poderoso, pues usa una clave de
128 bits.
„ RSA. Llamado así en honor de
Rivest, Shamir y Adelman, sus
diseñadores. Es un algoritmo de
clave pública que soporta una longitud de clave variable y del bloque de
texto a encriptar, que debe ser más
pequeño que la longitud de la clave.
Es muy lento, por lo que se suele
utilizar solo para el intercambio de
claves y la firma electrónica, empleándose DES u otro algoritmo
para el cifrado de la información
(texto simple).
„ Diffie-Hellman. El criptosistema
de llave pública más antiguo todavía
en uso. No soporta el cifrado ni las
firmas digitales. El sistema está diseñado para permitir que dos individuos se pongan de acuerdo en una
llave compartida, aunque sólo
intercambian mensajes en público.
la gran ventaja de la absoluta transparencia para el usuario, que no necesita
ningún tipo de preparación ni conocimiento previo, y garantizan plenamente la identidad del vendedor y que sólo
él recibirá los datos involucrados en la
transacción. En cambio presentan el
grave inconveniente de que no se garantiza la identidad del comprador, por
lo que puede aparecer el problema del
repudio. En la actualidad, la mayoría
de las empresas que venden en
Internet utilizan este sistema.
SET es un protocolo transaccional
orientado a las aplicaciones de comer-
Para contrarrestar las
amenazas existentes se
han desarrollado
protocolos y aplicaciones
usando, entre otras, las
técnicas criptográficas
cio electrónico a través de tarjetas de
„ DSA (Digital Signature Algorithm),
desarrollado por NIST con base en
el llamado algoritmo “El Gamal”. El
esquema de firma usa el mismo tipo
de llaves que Diffie-Hellman, y puede crear firmas más rápido que RSA.
crédito. A diferencia de otros protoco-
Estos mecanismos de cifrado,
junto con la firma electrónica que
proporcionan las autoridades de
certificación, sirven para garantizar
la confidencialidad de los mensajes y
su autenticidad, garantizando que el
remitente es quién dice ser.
mente dicha, pero mejora las condicio-
los seguros de carácter general como
SSL, SET fue expresamente diseñado
para el comercio electrónico y no sirve
para ninguna otra cosa, por eso no
supone ninguna mejora en cuanto a la
seguridad en la comunicación propianes en las que el proceso de comercio
electrónico tiene lugar. Es un protocolo
robusto y que ofrece un nivel de seguridad suficiente, pero a costa de hacerlo muy pesado y complejo de utilizar, por lo que su implantación está
siendo bastante lenta.
nº 5 „ septiembre / octubre 2006
Descargar