Sign in

Seguridad en Internet y Firma Digital

octubre 11, 2008 19:22 por b.simon

Seguridad en Internet y Firma Digital



El inmenso potencial que Internet ofrece día a día a la sociedad para su desarrollo y crecimiento, abre también un altísimo riesgo de violaciones y fraudes informáticos.

Hermes se une al reto de aportar soluciones informáticas que aminoren el alto riesgo en seguridad que ofrece la WEB, ofreciendo soluciones que implementan firma digital.

A continuación, aportamos un artículo, que describe la problemática de seguridad de los sistemas por Internet, como el robo de credenciales de autenticación para cometer fraudes vía Internet, contra sistemas bancarios en línea, y se explica el uso de la tecnología de firma digital como solución para lograr un uso totalmente seguro de los sistemas por Internet.

Al final se describen las características de los "Componentes de firma digital para Web que ofrece Hermes", con el cuál que permite implementar el uso de firma digital en los sistemas por Internet.



Descripción de la problemática de seguridad en Internet


La incidencia de fraudes electrónicos por Internet y el perjuicio económico que estos provocan es enorme. Según datos publicados por La Nación en Costa Rica durante el 2006 se dieron 71 denuncias de fraudes de este tipo y a junio del 2007 ya hay 77 denuncias que podrían superar en total los 200 millones de colones. La causa de esta masificación de fraudes por Internet es la facilidad con que los delincuentes pueden robar las credenciales (tales como nombre de usuario y palabra clave) que los usuarios legítimos utilizan para autenticarse en los sistemas por Internet.

El problema del robo de información personal en Internet es tan grande debido al sin fin de técnicas que los delincuentes tienen fácilmente a su disposición y al riesgo mínimo que realizar este tipo de delito conlleva. Uno de los objetivos preferidos de los ladrones de información confidencial en Internet son las credenciales para acceso a sistemas "online" tales como palabras clave, nombres de usuario y números de tarjeta de crédito ya que es de esta información de donde pueden obtener un beneficio económico.

Las técnicas preferidas por los delincuentes para robar credenciales de los usuarios son el uso de keyloggers y de técnicas de "phishing". Un "keylogger" es un tipo de "spyware" que captura sin autorización y subrepticiamente todo lo que el usuario digita en la computadora y lo envía por medio de Internet hacia un tercero para su posterior análisis. Otro tipo de "keylogger" es un dispositivo que el delincuente instala entre la conexión del teclado y la computadora. Este tipo de "keylogger" por hardware tiene la ventaja para el delincuente de no requerir instalar ningún software en la computadora, por lo que resulta ideal para robar información en computadoras que están supuestamente protegidas para que los usuarios no puedan descargar o instalar aplicaciones.

 El "phishing" es un tipo de timo que consiste en engañar a la víctima para que revele su nombre de usuario y palabra de acceso. Una de las formas más comunes de hacer esto es enviando un correo falso que parece haber sido enviado por el banco donde se le pide al usuario dirigirse a un sitio falso el cual se parece mucho a la página del banco. En el sitio falso le piden al usuario que digite su nombre de usuario y palabra clave.  Estos datos son registrados para su posterior uso.

 

Una vez que el delincuente logró obtener el nombre de usuario y la clave puede ingresar al sistema por Internet exactamente como si fuera el dueño legitimo de la cuenta.

El problema de fondo es que la autenticación con nombre de usuario y palabra clave típicamente utilizado en Internet es muy vulnerable e inseguro comparado con los mecanismos de autenticación por medios físicos que tradicionalmente se han utilizado tales como tarjeta + pin, o reconocimiento físico + documento de identidad. Los medios físicos de autenticación tienen varias ventajas: son difíciles de sustraer y reproducir, y el riesgo de hacerlo y cometer un fraude es muy alto. En cambio sustraer el nombre de usuario y clave de una persona ofrece varias ventajas para los delincuentes: es fácil de hacer y el riesgo es muy bajo porque tanto el hurto de las credenciales como el fraude se pueden hacer a larga distancia, anónimamente y sin dejar rastros.

El fraude electrónico mediante el uso de nombre de usuario y palabra clave robadas además tiene una característica especial: es imposible para el banco y para el usuario legítimo demostrar la falsedad o autenticidad de la transacción realizada. Desde el punto de vista del banco significa que no puede determinar con certeza si la supuesta transacción fraudulenta fue realmente realizada por un tercero o si es el mismo usuario que está fingiendo un fraude. Para la víctima esta incertidumbre significa que muy difícilmente puede demostrar que realmente hubo un fraude lo cual implica un lento proceso para poder recuperar el dinero sustraído.


Descripción de la solución al problema de seguridad en Internet


 
La firma digital es una técnica muy segura de autenticación de usuarios en sistemas digitales que reemplaza el uso del nombre de usuario y la palabra clave pero conservando todas las ventajas que ofrecen los sistemas por Internet. La firma digital incluso ofrece niveles de seguridad superiores a los mecanismos físicos tradicionales de autenticación como tarjeta + pin o identificación física + documento de identidad. Irónicamente la firma digital es usada ampliamente en el correo electrónico y no en los sistemas web que es donde más se necesita.

 Con la firma digital el usuario que desea realizar una transacción requiere tener un certificado digital y una llave privada que son emitidos por una autoridad certificadora confiable. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o apuntar en algún lado la llave privada ya que esta es un número muy grande que consiste de cientos de dígitos y el cual se guarda en un dispositivo seguro. La llave privada tiene ciertas características que lo hacen seguro: no hay dos llaves privadas iguales y es prácticamente imposible adivinar, derivar o encontrar una llave privada.

El certificado y la llave privada del usuario son guardados en un dispositivo removible llamado "token" el cual se conecta por medio del puerto USB de la computadora de forma muy similar a una  llave maya,   sin embargo  a diferencia de   una llave maya el contenido del token no puede ser leído. Este "token" usb es usado por el usuario para realizar transacciones desde la computadora de la misma forma que el usuario utilizaría una tarjeta de plástico para acceder un ATM, sin embargo el token usb tiene características de seguridad mucho mejores que los de una tarjeta de plástico. Una de estas características es que el token usb es "tamper-proof" esto significa que el certificado y la llave privada que están en el token no pueden ser copiados ni exportados. Además el token está protegido por una clave de manera que solo puede ser utilizado por el usuario.   La siguiente es la imagen de un token.

 El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSl permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente.

 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el token protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el token y la clave del usuario legitimo.

 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el token con la llave privada con que se generó la firma digital y este token está protegido por clave.

 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.

 

Hermes ofrece una solución tecnológica que permite a las empresas que brindan servicios por Internet habilitar el uso de la firma digital en sus sistemas y así ofrecer niveles de seguridad máximos a sus clientes y a la misma empresa. Entre las principales características de los componentes de firma digital para Web de Hermes se tiene:


  • Firmar digitalmente en la computadora del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor.
  • Validar en el servidor la firma digital del formulario, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento.
  • Generar en el servidor un recibo firmado digitalmente de una transacción enviada por un usuario.
  • Permite crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios.
  • Facilidad de integración con cualquier autoridad certificadora
  • Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET
  • El uso de firma digital es transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet.
  • Tecnología invulnerable a keyloggers o phishing



b.simon
octubre 11, 2008 19:22

Actualmente calificado con 5.0 por 2 personas

  • Currently 5/5 Stars.
  • 1
  • 2
  • 3
  • 4
  • 5
Tags: ,
Categorías: Firma Digital | General
Acciones: E-mail | Permalink | Comentarios (1) | Comment RSSRSS comment feed