Web Tema 4

- Confidencialidad
- Integridad
- Autenticación
- No repudio

la información debe estar cifrada y no accesible a usuarios ajenos a la transacción.

los datos no pueden ser transformados ni manipulados tanto por emisor como receptor

las partes implicadas en la transacción deben ser las que dicen ser.

ninguno de los implicados puede negar que se realizó la transacción.

• Protocolo SSL

• Protocolo SET

Garantía de cifrado y confidencialidad por certificado digital

Creado 1997 Visa y MasterCard / Garantiza los cuatro requisitos de seguridad

Secure Sockets Layer

1994 – Netscape Communications Corporation, permite la transmisión segura de la información.

- La fase “Hola”, usada para ponerse de acuerdo sobre el conjunto de algoritmos para mantener la intimidad y la autenticación.
El navegador le informa al servidor de los algoritmos disponibles, se utilizarán los más fuertes que se puedan acordar entre las dos partes.
- La fase de autenticación, el servidor envía al navegador su certificado x.509v3 que contiene su clave pública y solicita a su vez al cliente su certificado X.509v3.
- La fase de creación de clave de sesión, en la que el cliente envía al servidor una clave maestra a
partir de la cual se generará la clave de sesión. El navegador envía cifrada esta clave maestra usando la clave pública del servidor que extrajo de su certificado en la fase 2. Posteriormente, ambos generarán idénticas claves de sesión a partir de la clave maestra generada por el navegador.
- la fase Fin, en la que se verifica la autenticidad de las partes implicadas y que el canal
seguro ha sido correctamente establecido. Una vez finalizada esta fase, ya se

SECURE ELECTRONIC TRANSACTION

Creado en 1997 Visa y MasterCard, garantiza los cuatro requisitos de seguridad.

Existe la Agencia de Certificación Española (ACE)

- Autenticación: de todas las partes implicadas
- Confidencialidad: cifrado seguro.
- Integridad: mantiene la información intercambiada.
- Gestión del pago: autorizaciones, registro, comerciante, liquidaciones, anulaciones.

- El banco emisor
- El banco adquiriente
- El titular de la tarjeta
- El comerciante
- La pasarela de pagos
- El procesador (redes de medios de pago)
- Autoridad de certificación

emite la tarjeta del cliente, extiende su crédito y es responsable de la facturación, recolección y servicio al consumidor.

establece una relación con el comerciante, procesando las transacciones con tarjeta y las autorizaciones de pago.

posee la tarjeta emitida por el banco emisor y realiza y paga las compras.

vende productos, servicios o información y acepta el pago electrónico, que es gestionado por su entidad financiera (adquirente).

mecanismo mediante el cual se procesan y autorizan las transacciones del comerciante. La pasarela puede pertenecer a una entidad financiera (adquirente) o a un operador de medio de pago, el cual procesa todas las transacciones de un conjunto de entidades.

proporciona servicios adicionales operando la infraestructura de telecomunicaciones sobre las que se realizan las transacciones.

certifica las claves públicas del titular de la tarjeta, del comerciante y de los bancos (en España, ACE).

- Máxima: el sistema de pago no debe impedir la transacción
- Se deben ofrecer mecanismos estándares y extendidos
- Se debe ofrecer seguridad en la red
- Debemos estar pendientes a las diferentes actualizaciones de los sistemas de pago (qué usan nuestros clientes).

● Tarjeta de crédito
● Transferencia bancaria
● Giro postal
● Contrareembolso
● Monederos electrónicos
● PayPal, Google Wallet, NFC, …
● Monedas electrónicas

- Medio de los más usados en reservas on-line
- Cómodo para el cliente
- Se usa una pasarela electrónica
- La pasarela electrónica es segura

50% abandona la compra por pagos no completados
- 31% compradores evita introducir nombre, dirección y tarjeta
- 48% prefieran formas de pago menos comprometidas
40% de los compradores están muy preocupados con la seguridad y protección de sus datos.
- Uso de las tarjetas virtuales (tarjetas monedero)
24% buscan alternativas para usar otros medios de pago.
- Incluso reembolso: turismo difícil.

Cifrado César (ROT2013) / Rueda (cifrado césar)

Forma de codificar (algoritmo) información a un formato indescifrable sin poseer la clave.
Clave es la información necesaria para cambiar la información de un formato cifrado a uno no cifrado y viceversa.

- Clave privada: se comparte una clave secreta entre las partes
- Clave pública: se emplean dos claves privada (asimétrica) y publica

● Una clave compartida para cifrar y descifrar
● Hay que tener una clave por cada par o compartirla con mucha gente
● Los participantes se comunican medio acuerdo

● Cada usuario posee dos claves (una pública y otra privada)
● Cualquiera cifra los mensajes con la clave pública del destinatario
● Solo el destinatario con su clave privada puede descifrar los mensajes
● Seguridad basada en que es de gran complejidad el descifrado (años…)
● Menor número de claves en juego para todas las comunicaciones

● Usar letras mayúsculas y minúsculas
● Números mezclados
● No usar palabras comunes
● No usar combinaciones demasiado fáciles “qwerty” “123456”
● Usar una clave lo suficientemente larga
● No fáciles de descifrar conociéndote
● Secuencias de palabras clave intercaladas con otros signos
● Uso de frases complejas

Un esquema o mecanismo de firma digital consiste en un algoritmo de generación de firma y su algoritmo de verificación asociado
● Firmar un documento
● Firmar al mismo nivel que otros (cofirmar)
● Firmar para certificar otras firmas (firmar en cascada)
● Validar una firma
● Visualizar una firma
● Cifrar datos

Centro Nacional de Referencia de Aplicación de las TIC basadas en fuentes abiertas

- Sistema de micropagos
- Se usa cuando el montante no es muy grande
- Permite la recarga
- Aísla las tarjetas de créditos y cuentas

- NFC Forum, fundado en 2004 por Nokia, Philips y Sony, tiene hoy más de 160 miembros.
- Pago por proximidad: campo electromagnético.
- ISO14443
- Puede estar en múltiples plataformas:
- Móvil: el sistema operativo lo debe soportar
- Consolas: Wii U
- Intercutáneo: integrado en tejido humano

- Basado en NFC
- Móviles de Google: Nexus
- Sistema operativo: Android
- Funcionamiento:
- La información se almacena cifrada en el Secure Element
- El servicio está bloqueado por el pin del móvil
- Google Wallet app necesita un pin adicional para activar la antena NFC
- El móvil debe tocar o estar muy cerca del dispositivo
- En cada transacción la antena se desactiva

ALIPAY • WECHAT • PAYPAL • SAMSUNG PAY • APPLE PAY • GOOGLE PAY

Medio de pago nacido en Internet para Internet

Basado en el registro de:

- Cuenta de email
- Tarjeta Bancaria (la tarjeta no es visible)

Según la ONTSI: “hombres jóvenes de 15 a 24 años usan PayPal como medio favorito, tamaños de hábitat y clase social media.

- Inicialmente un sistema de chat generalista
- Permite el comercio electrónico
- Es un sistema basado en multiaplicaciones
- Cada aplicaciones permite aumentar la funcionalidad del sistema
- Incluye sistema de pago