Gracias al uso de la firma digital, el sistema de compras públicas por Internet, Comprared; realizan contrataciones sin utilizar papel. Este proceso va desde la solicitud de pedido hasta la orden de compra, pasando por todas las etapas del proceso de contratación pública.

Las empresas oferentes e inscritas en CompraRed pueden firmar digital en de Windows, Mac y Linux. Los usuarios pueden estampar su firma digital en ofertas, solicitudes de aclaraciones, subsanes y solicitudes de actualización del registro de proveedores.

Para firmar digitalmente se utilizan los certificados emitidos por la Autoridad Certificadora del SINPE y tarjetas inteligentes.

A continuación se muestra una secuencia de imágenes del proceso de firmar digitalmente una oferta digital en una computadora Mac con el sistema operativo OSX 10.6 y un certificado emitido por la autoridad certificadora del SINPE.  La aplicación utilizada para firmar los documentos es digisigner 1.3.1 para Mac.

Introducir el PIN del lector de tarjetas inteligentes

 
Certificado reconocido por digisigner

 

Oferta firmada vista en la aplicación digisigner

 

Detalle de las firmas

 


Confirmación de recepción en Comprared de oferta firmada digitalmente en Mac

Para esta prueba se utilizó un certificado digital emitido por la autoridad certificadora del SINPE y lector de tarjetas Athena ASEDRive IIIe.  Según las especificaciones del fabricante este lector es soportado en Windows 7, Windows Vista, XP, 2000, 2003 Server Me, 98, NT4*, Linux, MAC OS X 10.4 y superior (no requiere driver ).

Cada año se celebra, a nivel internacional, el Día del Internet Segura. Este 2011 se unen más de 60 países para promover un uso más responsable y seguro de la Web, sobretodo en niños y adolescentes.

 

Actualmente Facebook cuenta con alrededor de 600 millones de usuarios, millones de correos electrónicos viajan a diario por la Web y ahora es muy común realizar compras en línea.

La celebración y concientización tiene lugar el segundo día de la segunda semana del segundo mes del año.

Es por eso que hoy queremos compartir con ustedes importantes consejos sobre el uso de Internet y el comportamiento que se debe tener mientras navegamos:

1.    Evitar los enlaces sospechosos. Los enlaces pueden estar en correos electrónicos, ventanas de chat, mensajes en redes sociales. Usualmente lo invitan a ver fotos, videos u otras webs.
2.    No acceder a sitios web de dudosa reputación.
3.    Actualizar el sistema operativo y aplicaciones. Es muy importante proteger las vulnerabilidades del sistema operativo y otros programas utilizando parches de seguridad.

4.    Descargar aplicaciones desde sitios web oficiales.
5.    Utilizar tecnologías de seguridad. Antivirus, firewall y antispam: son aplicaciones importantes que debe utilizar para la protección de su equipo.
6.    Utilizar firma digital en sus documentos. La firma digital le permite mantener la integridad de los documentos, comprobar la identificación del firmante y sobre todo el firmante no puede negar que él realizó una transacción firmada digitalmente.
7.    Evitar el ingreso de datos personales en formularios dudosos.
8.    Tener precaución con los resultados arrojados por buscadores web. El llamado “Black Hat SEO” utiliza técnicas donde se posicionan entre los primeros lugares de los resultados de las búsquedas; sobre todo si son palabras claves muy utilizadas.
9.    Evitar la ejecución de archivos sospechosos. Si tiene duda sobre un archivo que le llega mediante mensajería instantánea, correo electrónico o sitios Web no lo ejecute. Sea precavido y piense dos veces los archivos que abre.
10.    Aceptar sólo contactos conocidos. Ya sea en mensajería instantánea o redes sociales, si no es un contacto conocido mejor no lo acepte. Por su seguridad interactúe solamente con contactos conocidos.
11.    Utilizar contraseñas fuertes. Mezcle caracteres, mayúsculas, minúsculas y hasta números. Cree contraseñas con al menos 8 caracteres. En la medida de lo posible no las guarde en su teléfono celular.
12.    Elegir cuidadosamente qué imágenes, vídeos e información publicar. De igual manera cuidado con lo que publica sobre los demás.

13.    Nunca ponga información delicada en tu perfil. La dirección, su número de identificación o datos financieros son información delicada que no debe compartir en la Web.
14.    Utilizar seudónimos. El uso de un seudónimo puede proteger su identidad y privacidad.
15.    Leer cuidadosa y completamente la política de privacidad y las condiciones de uso de las redes sociales que elija.
16.    Emplear las opciones de privacidad. Así usted elige qué van a ver sus contactos sobre usted.

** Imagen del MICIT para la promoción del Día Internacional del Internet Segura 2011

Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje.

La firma digital realizada con certificados emitidos por la autoridad certificadora del SINPE, es el único mecanismo que posee reconocimiento jurídico en el país para asegurar transacciones electrónicas. Varias organizaciones como el sector bancario han avanzado en la implementación de mecanismos de seguridad, sin embargo solo la firma digital tiene la propiedad de no repudio que garantiza la autenticidad (autoría) e  integridad (no modificación) de las transacciones.

Dentro de los productos y servicios que ofrece Hermes Soft está, precisamente, la Firma Digital.

Esta semana, el Ministerio de Ciencia y Tecnología (MICIT) presentó una serie de charlas relacionadas al tema. Entre otro detalles se expusieron algunos casos de éxito en el uso de la Firma Digital, destacando dos de nuestros clientes: el Colegio Federado de Ingenieros y Arquitectos (CFIA) y Compr@Red del Ministerio de Hacienda.

En el caso del CFIA, la meta principal fue proveer de un sistema informático, que permitiera la digitalización de los procesos, que el CFIA ofrece a sus miembros, los cuales pueden realizarse desde la comodidad de su casa u oficina, siendo éstos más ágiles, seguros y eficaces, disminuyendo los tiempos de respuesta.

“Administrador de proyectos de construcción” (como se le nombró) funciona para 18.000 miembros incorporados, con perfiles profesionales que van desde arquitectos, ingenieros civiles, electricistas, mecánicos, industriales, topógrafos y tecnólogos. Así como 22 Municipalidades asociadas para proyectos unifamiliares.

Los beneficios que se han obtenido a la hora de la implementación de la firma digital son muchos. En seguida mencionamos varios de ellos:
•    Cumplir con la misión del CFIA: brindar un servicio que apoye la excelencia del ejercicio profesional de los miembros del CFIA.
•    Reactivación económica del país: tramites rápidos y transparentes para el sector construcción que generan fuentes de trabajo.

•    Captar inversión extrajera: con trámites más rápidos y eficientes.

Por parte de Compr@Red, el objetivo primordial de la implementación de la Firma Digital en el sistema de compras públicas es promover la transparencia, eficiencia, eficacia e integración regional y mundial de las compras del estado costarricense.

Los beneficios que presenta la firma digital al sistema son:

•    Transparencia.
•    Capacidad de protección contra el monopolio.
•    Posibilidad de desarrollo de la economía regional y local, y de las pequeñas y medianas empresas.
•    Inversión pública más equilibrada y equitativa.
•    Reducción de los plazos requeridos por los procesos de adquisición, gracias a la simplificación.
•    Integración: Compatibilidad, estandarización y seguimiento de resultados.

En Julio pasado se llevó a cabo la primera oferta 100% electrónica con firma digital bajo el esquema de Convenio Marco para la adquisición de servicios de limpieza. Participaron 15 empresas, de las cuales 5 utilizaron Firma Digital. En el mes de setiembre se estará llevando a cabo la siguiente apertura de oferta electrónica para boletos aéreos con 50  empresas interesadas.

Para conocer sobre el único sistema de compras públicas que ya utiliza la Firma Digital puede accesar al sitio www.comprared.cr. 

Nuestro exitoso proyecto de la Firma Digital fue el foco de interés de dos reconocidos medios nacionales en la última semana.

Tanto La República como La Prensa Libre decidieron dedicarle un espacio en sus páginas para dar a conocer más de cerca todo lo que implica la Firma Digital.

En La República se explica los avances, objetivos y beneficios para los costarricenses de la Firma Digital. Gracias al apoyo de nuestro Gerente de Tecnología, Billy Simón; Ana Cristina Murillo (Gerente de Negocios) explicó ampliamente las ventajas, costos y alcances del sistema.

Para leer este artículo puede accesar la siguiente dirección: http://www.larepublica.net/app/cms/www/index.php?pk_articulo=35744

Por su parte La Prensa Libre destaca el uso de la Firma Digital en varias instituciones gubernamentales. “La empresa privada debería empezar a utilizar la firma digital para agilizar el comercio electrónico, en especial las empresas Pymes para aumentar su productividad”, dijo Murillo durante la entrevista.

Para conocer más sobre la nota en La Prensa Libre puede ingresar a: http://www.prensalibre.cr/pl/abanico/24153-firma-digital-avanza-en-el-pais-a-paso-lento.html

El periódico El Financiero destaca, en su edición del 11 al 17 de enero, uno de nuestros productos más fuertes.

 

Hablamos de la Firma Digital, la cual se empezó a comercializar en el 2009. Los primeros usuarios son el Banco de Costa Rica y la Aresep. Sin embargo, desde el 2003 el sistema de Compras Públicas llamado Compr@Red utiliza la Firma Digital.

 

El mercado al que va dirigido nuestro producto es todo aquel que requiera firmar un grupo de datos como un formulario WEB con el fin de darle validez legal al documento.

 

El paquete de Firma Digital incluye:

·         Componente que permite firmar en Internet Explorer y Firefox

·         Bitácora firmada digitalmente

·         Componente de timestamping

·         Componente de firma digital de agente electrónico

·         Aplicación de consultas de la bitácora

·         Asesoría en la integración con aplicaciones del cliente.

 

El proceso de utilización es sencillo:

 

1.    El paquete de Firma Digital se integra con el navegador para tener la posibilidad de firmar formularios utilizando certificados digitales emitidos por autoridades certificadoras acreditadas como el MICIT.

2.    Se integra con la aplicación web del cliente para validar la firma digital de las transacciones y mantener una bitácora de todas las transacciones y sus firmas digitales.

3.    Luego se incorpora con las listas de revocación de certificados (CRL) y servicio OCSP de la autoridad certificadora para revisar la revocación de los certificados.

4.    Se incorpora una estampa de tiempo a cada transacción. La estampa de tiempo es generada por el servicio de estampado de tiempo de la autoridad certificadora.

5.    Se permitir al usuario generar recibos firmados digitalmente de las transacciones utilizando un certificado de agente electrónico emitido por la autoridad certificadora acreditada por el MICIT.

 

Ver el artículo completo de El Financiero en la siguiente dirección:

 

http://www.elfinancierocr.com/ef_archivo/2010/enero/17/tecnologia2213769.html

El MICIT hace un llamado a la banca costarricense para que comience a utilizar la firma digital como un método para ofrecer mayor seguridad a los usuarios que realizan transacciones por Internet.

Óscar Solís, encargado de la Dirección de Certificadores de la de Firma Digital del Micit hizo este llamado durante su Chat en La Nación.

El BCCR ya trabaja con firma digital en su servicio de venta de bonos por Internet llamado Central Directo.

Otras instituciones ya se están preparando para dar el paso. Recientemente HERMES recibío la adjudicó de la contratación de Componentes de Autenticación y Firma Digital de uno de los bancos más importantes del país. Se espera que la implementación esté lista en 3 meses.

La tecnología a implementar ha sido desarrollada por más de 5 años por HERMES y ha sido utilizada exitosamente en otros proyectos como Comprared donde los proveedores pueden enviar ofertas firmadas digitalmente y a su vez recibir recibos también firmados digitalmente que aseguran el no repudio por ambas partes.

La principal ventaja de esta tecnología es que es la única que tiene sustento jurídico en el país por lo que se espera que en un futuro cercano todas las instituciones públicas y privadas comiencen a utilizarla.

La tecnología de HERMES es fácilmente adaptable tanto a sistemas web existentes como a nuevos desarrollos. Mediante el uso de webservices se garantiza la interoperatividad con las distintas plataformas y lenguajes de programación.

Como parte de los servicios de HERMES también se brinda la asesoría necesaria para la implantación de la tecnología en los sistemas de las organizaciones.

Para conocer más sobre las soluciones de firma digital de Hermes visite  "Soluciones de firma digital"

 Ver artículo completo de La Nación en http://www.nacion.com/ln_ee/2009/agosto/14/aldea2057946.html

 

El año 2009 ha sido especialmente exitoso para Hermes. Los nuevos negocios concretados con ha provocado la necesidad de contratar nuevo personal para reforzar el equipo que ya se ha consolidado.

La ampliación del contrato de Comprared, la adjudicación de implementación de firma digital en el sitio del Banco de Costa Rica, la adjudicación de desarrollos a la medida para el Ministerio de Trabajo y la Dirección de Geología y Minas así como varios proyectos internos son solo algunos ejemplos de los proyectos que ha venido manejando Hermes en un año donde muchas empresas más bien se contraen.

En medio de todo este trabajo Hermes realizó este sábado 8 de agosto su Convivio Empresarial 2009 con el fin de socializar los planes de la empresa y fomentar el trabajo en equipo.

La actividad se realizó en el Hotel Bouganvillea en Heredia y contribuyó a la generación de visión conjunta sobre los objetivos de la empresa.  

Flickr
Fotografías del evento en el perfil de HermesSoft en Flickr: http://www.flickr.com/photos/hermessoft/sets/72157622023486024/ 

¿Qué es firma digital?

Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas.

 

¿Para qué sirve la firma digital?

 

La firma digital con certificados oficiales es el único mecanismo jurídicamente válido en el país asegurar transacciones electrónicas. Varias organizaciones como el sector bancario han avanzado en la implementación de mecanismos de seguridad, sin embargo solo la firma digital tiene el poder de no repudio que garantiza la autenticidad (no modificación) y autoría de las transacciones.

 

Problemática de seguridad sin firma digital 

Más que teoría la ausencia de mecanismos de firma digital ha provocado y continúan provocando serios daños económicos a las organizaciones. Algunos ejemplos:

Bancos deberán reintegrar dinero robado a clientes por Internet “Pérdidas de usuarios ascenderían a ¢600 millones” “Alrededor de 700 denuncias se han presentado por sustracción de recursos mediante banca electrónica” Extractos de http://www.larepublica.net/app/cms/www/index.php?pk_articulo=27510

Se disparan estafas bancarias mediante Internet “En el 2007 se recibieron 71 denuncias pero este año ya van por 77 clientes de un banco público reportaron estafas por ¢120 millones.” “Los dineros, en montos de $3.000 a $10.000, o de ¢3 millones a ¢5 millones, son enviados a cuentas de personas jóvenes, especialmente, estudiantes, detectó la Policía. ” “El monto total de lo estafado en los 77 casos, pero mencionó que fácilmente supera los ¢200 millones.” Extractos de http://www.nacion.com/ln_ee/2007/junio/11/sucesos1125993.html

 

Ver más casos de Problemas que pueden evitarse con firma digital.

¿Cómo soluciona la firma digital estos problemas?

La firma digital reemplaza el uso del nombre de usuario y la clave que tradicionalmente se utiliza en los sistemas Web. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o peor aun apuntar en algún lado la llave privada ya que esta es un número de cientos de dígitos que se guarda en un dispositivo seguro (token o smart card).

Estos dispositivos son "tamper-proof" lo que significa que la llave privada no pueden ser copiados ni exportados; además el dispositivo está protegido por una clave de manera que solo puede ser utilizado por el usuario. 

El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSL permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente. 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el dispositivo protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el dispositivo y la clave del usuario legítimo. 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el dispositivo con la llave privada con que se generó la firma digital y este está protegido por clave. 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.

¿Cómo se implementa firma digital en un sistema web?

El uso básico de firma digital es reemplazar el esquema de autenticación tradicional de usuario y clave u otros que pese a ser un poco más seguros que este no son válidos jurídicamente (no son prueba en un juicio por ejemplo).

 

El segundo y más fuerte uso de la firma digital es dar confianza a ambas partes que participan en una transacción ya sea esta una operación bancaria, un trámite de servicios públicos, una denuncia judicial o en general cualquier trámite en el que:

 

-        la persona que envía desea estar segura que su transacción será realizara y que nadie más podrá hacerlo en su nombre o falsificar sus datos

 

-        la organización que recibe desea estar segura que la transacción proviene efectivamente de la persona dueña del certificado y que esta no podrá repudiar ninguna transacción hecha

 

La adaptación de sistemas existentes o nuevos para el uso de firma digital es sencilla mediante los componentes de firma digital de Hermes. La solución comprende varios componentes de software que permiten:

 

• Firmar digitalmente en la PC del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor. (no repudio) 
• Validar la firma digital del formulario en el servidor, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento. (confianza para la organización) 
• Generar un recibo firmado digitalmente en el servidor de una transacción enviada por un usuario.  (confianza para el usuario) 
• Crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios (confianza para ambas partes y prueba fehaciente en litigios) 

 

El siguiente diagrama describe gráficamente los componentes de la solución

Entre las ventajas de los componentes de firma digital de Hermes destacan: 

  

• Facilidad de integración con cualquier autoridad certificadora 
• Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET, PHP y Java. 
• Uso transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet. 
• Tecnología invulnerable a keyloggers o phishing

 

Aplicaciones de firma digital en Costa Rica

A la fecha en Costa Rica no existen muchas aplicaciones en producción que saquen provecho de la firma digital.

 

Posiblemente la más conocida es Comprared en donde los proveedores comerciales pueden enviar sus ofertas, aclaraciones, objeciones y un general todos los procesos de contratación administrativa de forma electrónica gracias al uso de certificado digitales. Comprared inició con certificados digitales generados por el Ministerio de Hacienda y ya realizó los cambios para usar también los generados por SINPE / MICIT. Actualmente Comprared está trabajando en la generación de facturas electrónicas firmadas digitalmente.

 

El CFIA también implementó firma digital en el Administrador de Planos de Construcción (APC). Mediante este sistema se realiza el visado digital de los planos evitando desplazamientos, disminuyendo tiempos del proceso y por tanto disminuyendo los tiempos asociados.

 

Actualmente Hermes trabaja en la implementación de su tecnología en uno de los principales bancos del Estado con el fin de reducir las problemáticas que los afectan.

  

Más información   firmadigital@hermes-soft.com

Sitios de información relacionada:  http://www.firmadigital.go.cr   http://es.wikipedia.org/wiki/Firma_digital

  

 

Aparece nuevo correo para estafar por ‘web’
 
“El monto obtenido por los estafadores asciende a más de $929 millones, según la firma de consultoría Gartner Group.” 

Extractos de http://www.nacion.com/ln_ee/2007/mayo/05/economia1085396.html

Nacional alerta sobre correo para robar clave a clientes 

“Esa modalidad de fraude, conocida como phishing , permite a los “pescadores de contraseñas” obtener la clave de las tarjetas de crédito o débito, entrar a las cuentas y robar el dinero.” 
 
Extractos de http://www.nacion.com/ln_ee/2009/marzo/20/economia1911054.html 

Firma digital reducirá inseguridad de banca en línea “Un sistema de firmas y certificados digitales que el Gobierno está preparando forzaría a los bancos a ofrecer un mejor mecanismo de verificación de identidad en línea, que reduciría sustancialmente el riesgo del “fraude electrónico”. ”

“Carlos Melegatti, director del SINPE, dijo que ese sistema hará “prácticamente imposible” cometer fraudes con phishing, pharming (el usuario es redireccionado a un sitio electrónico que parece del banco) y keyloggers (programas que registran lo tecleado y lo envían al estafador). ”“Aquí, muchos bancos utilizan solo un mecanismo (número de usuario y palabra clave) para verificar la identidad, pese a que desde el 2005 las cinco instituciones de supervisión financiera de EE. UU. advirtieron que es “inadecuado”. ”“En el 2007, casi 500 costarricenses fueron víctimas de fraude electrónico y perdieron más de ¢800 millones, pues los bancos le asignan todo el riesgo al usuario y no devuelven el dinero. ”“En países desarrollados, la carga de la prueba les corresponde a los bancos: deben probar que el fraude ocurrió por culpa del cliente o reintegrar el dinero.”

Extractos de http://www.nacion.com/ln_ee/2008/marzo/03/economia1444077.html  

BCR borró claves de 150.000 clientes 

“El mensaje era un intento de estafa electrónica conocida como phishing , con la cual se busca robar los datos de acceso de los usuarios . 
Extractos de http://www.nacion.com/ln_ee/2007/marzo/10/pais1025489.html  OIJ captura a 16 implicados en fraude bancario por Internet “Jorge Rojas expresó que al inicio los casos eran por sumas entre $3.000 (¢1,5 millones) y $10.000 (¢5,2 millones), pero recientemente recibieron una denuncia por una estafa de $200.000 (¢104 millones).” 

Extractos de http://www.nacion.com/ln_ee/2007/agosto/16/sucesos1205806.html  
 

BN y BCR apelaron condenas por fraudes bancarios por Internet

“BN ha recibido seis condenas y BCR, dos; hay más demandas en proceso” “Los jueces confirmaron que los sistemas de banca electrónica de esas instituciones no fueron suficientemente seguros.” 

Extractos de http://www.nacion.com/ln_ee/2008/diciembre/27/pais1823082.html

Seguridad en Internet y Firma Digital

El inmenso potencial que Internet ofrece día a día a la sociedad para su desarrollo y crecimiento, abre también un altísimo riesgo de violaciones y fraudes informáticos.

Hermes se une al reto de aportar soluciones informáticas que aminoren el alto riesgo en seguridad que ofrece la WEB, ofreciendo soluciones que implementan firma digital.

A continuación, aportamos un artículo, que describe la problemática de seguridad de los sistemas por Internet, como el robo de credenciales de autenticación para cometer fraudes vía Internet, contra sistemas bancarios en línea, y se explica el uso de la tecnología de firma digital como solución para lograr un uso totalmente seguro de los sistemas por Internet.

Al final se describen las características de los "Componentes de firma digital para Web que ofrece Hermes", con el cuál que permite implementar el uso de firma digital en los sistemas por Internet.

Descripción de la problemática de seguridad en Internet

La incidencia de fraudes electrónicos por Internet y el perjuicio económico que estos provocan es enorme. Según datos publicados por La Nación en Costa Rica durante el 2006 se dieron 71 denuncias de fraudes de este tipo y a junio del 2007 ya hay 77 denuncias que podrían superar en total los 200 millones de colones. La causa de esta masificación de fraudes por Internet es la facilidad con que los delincuentes pueden robar las credenciales (tales como nombre de usuario y palabra clave) que los usuarios legítimos utilizan para autenticarse en los sistemas por Internet.

El problema del robo de información personal en Internet es tan grande debido al sin fin de técnicas que los delincuentes tienen fácilmente a su disposición y al riesgo mínimo que realizar este tipo de delito conlleva. Uno de los objetivos preferidos de los ladrones de información confidencial en Internet son las credenciales para acceso a sistemas "online" tales como palabras clave, nombres de usuario y números de tarjeta de crédito ya que es de esta información de donde pueden obtener un beneficio económico.

Las técnicas preferidas por los delincuentes para robar credenciales de los usuarios son el uso de keyloggers y de técnicas de "phishing". Un "keylogger" es un tipo de "spyware" que captura sin autorización y subrepticiamente todo lo que el usuario digita en la computadora y lo envía por medio de Internet hacia un tercero para su posterior análisis. Otro tipo de "keylogger" es un dispositivo que el delincuente instala entre la conexión del teclado y la computadora. Este tipo de "keylogger" por hardware tiene la ventaja para el delincuente de no requerir instalar ningún software en la computadora, por lo que resulta ideal para robar información en computadoras que están supuestamente protegidas para que los usuarios no puedan descargar o instalar aplicaciones.

 El "phishing" es un tipo de timo que consiste en engañar a la víctima para que revele su nombre de usuario y palabra de acceso. Una de las formas más comunes de hacer esto es enviando un correo falso que parece haber sido enviado por el banco donde se le pide al usuario dirigirse a un sitio falso el cual se parece mucho a la página del banco. En el sitio falso le piden al usuario que digite su nombre de usuario y palabra clave.  Estos datos son registrados para su posterior uso.

 

Una vez que el delincuente logró obtener el nombre de usuario y la clave puede ingresar al sistema por Internet exactamente como si fuera el dueño legitimo de la cuenta.

El problema de fondo es que la autenticación con nombre de usuario y palabra clave típicamente utilizado en Internet es muy vulnerable e inseguro comparado con los mecanismos de autenticación por medios físicos que tradicionalmente se han utilizado tales como tarjeta + pin, o reconocimiento físico + documento de identidad. Los medios físicos de autenticación tienen varias ventajas: son difíciles de sustraer y reproducir, y el riesgo de hacerlo y cometer un fraude es muy alto. En cambio sustraer el nombre de usuario y clave de una persona ofrece varias ventajas para los delincuentes: es fácil de hacer y el riesgo es muy bajo porque tanto el hurto de las credenciales como el fraude se pueden hacer a larga distancia, anónimamente y sin dejar rastros.

El fraude electrónico mediante el uso de nombre de usuario y palabra clave robadas además tiene una característica especial: es imposible para el banco y para el usuario legítimo demostrar la falsedad o autenticidad de la transacción realizada. Desde el punto de vista del banco significa que no puede determinar con certeza si la supuesta transacción fraudulenta fue realmente realizada por un tercero o si es el mismo usuario que está fingiendo un fraude. Para la víctima esta incertidumbre significa que muy difícilmente puede demostrar que realmente hubo un fraude lo cual implica un lento proceso para poder recuperar el dinero sustraído.

Descripción de la solución al problema de seguridad en Internet

 
La firma digital es una técnica muy segura de autenticación de usuarios en sistemas digitales que reemplaza el uso del nombre de usuario y la palabra clave pero conservando todas las ventajas que ofrecen los sistemas por Internet. La firma digital incluso ofrece niveles de seguridad superiores a los mecanismos físicos tradicionales de autenticación como tarjeta + pin o identificación física + documento de identidad. Irónicamente la firma digital es usada ampliamente en el correo electrónico y no en los sistemas web que es donde más se necesita.

 Con la firma digital el usuario que desea realizar una transacción requiere tener un certificado digital y una llave privada que son emitidos por una autoridad certificadora confiable. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o apuntar en algún lado la llave privada ya que esta es un número muy grande que consiste de cientos de dígitos y el cual se guarda en un dispositivo seguro. La llave privada tiene ciertas características que lo hacen seguro: no hay dos llaves privadas iguales y es prácticamente imposible adivinar, derivar o encontrar una llave privada.

El certificado y la llave privada del usuario son guardados en un dispositivo removible llamado "token" el cual se conecta por medio del puerto USB de la computadora de forma muy similar a una  llave maya,   sin embargo  a diferencia de   una llave maya el contenido del token no puede ser leído. Este "token" usb es usado por el usuario para realizar transacciones desde la computadora de la misma forma que el usuario utilizaría una tarjeta de plástico para acceder un ATM, sin embargo el token usb tiene características de seguridad mucho mejores que los de una tarjeta de plástico. Una de estas características es que el token usb es "tamper-proof" esto significa que el certificado y la llave privada que están en el token no pueden ser copiados ni exportados. Además el token está protegido por una clave de manera que solo puede ser utilizado por el usuario.   La siguiente es la imagen de un token.

 El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSl permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente.

 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el token protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el token y la clave del usuario legitimo.

 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el token con la llave privada con que se generó la firma digital y este token está protegido por clave.

 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.

 

Hermes ofrece una solución tecnológica que permite a las empresas que brindan servicios por Internet habilitar el uso de la firma digital en sus sistemas y así ofrecer niveles de seguridad máximos a sus clientes y a la misma empresa. Entre las principales características de los componentes de firma digital para Web de Hermes se tiene:

• Firmar digitalmente en la computadora del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor.
• Validar en el servidor la firma digital del formulario, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento.
• Generar en el servidor un recibo firmado digitalmente de una transacción enviada por un usuario.
• Permite crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios.
• Facilidad de integración con cualquier autoridad certificadora
• Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET
• El uso de firma digital es transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet.
• Tecnología invulnerable a keyloggers o phishing