Como parte de nuestro servicio al cliente, hemos querido compartir con ustedes consejos importantes para mejorar su sitio Web.

 

Tendremos varias entregas, por lo que lo motivamos a que visite seguidamente nuestro blog para que le saque el mejor provecho a estas recomendaciones.

 

1.- Defina el contenido de su Web. Analice qué información debe tener y qué no. Cree texto de su autoría. Puede usar fuentes bibliográficas o Internet pero dele su propia redacción. No copie contenido de otros sitios.

 

2.- Ordene sus ideas en diferentes secciones, de manera que el menú quedé equilibrado y que ninguna sección tenga más información que otra. Evite ser repetitivo. Atrévase a dar nuevas ideas y clasifíquelas dentro de su menú.

 

3.- Antes de sentarse con nuestros diseñadores Carlos Morales y Jose Benavides esboce en una hoja su diseño de página principal. Así tendrá una mejor idea de cómo ordenar visualmente el menú, las imágenes y el texto.

 

4.- Si decide agregar publicidad hágalo con medida. Las ventanas emergentes como pop-up, banners y demás publicidad solo harán que el usuario no vuelva a su página.

 

5.- SIEMPRE piense como verá el usuario su sitio web. Por ejemplo si tiene una animación flash que dura más de 15 seg en cargar o hay excesiva publicidad o muchas ventanas emergentes, la navegación por el sitio será muy complicada. Es muy importante que si página sea accesible a todos los buscadores, pero sobre todo lograr que los usuarios la visiten frecuentemente.

 

6.- Actualice constantemente la información de su sitio, sobre todo la página principal. Si ésta no sufre modificaciones, el usuario no sabrá que hay contenido nuevo. Utilice colores nuevos, imágenes que llamen la atención, o títulos nuevos y refrescantes. Una buena página SIEMPRE está actualizada.

 

7.- Termine su sitio completamente antes de hacerlo público. No es conveniente que el usuario encuentre su página en un buscador y ésta aún no esté disponible.

 

8.- No está de más insertar algún tipo de servicios adicionales como buscador y noticias. No importa si los enlaces son pocos visitados, pero para las personas que les  interesen serán de gran ayuda.

 

9.- Antes de crear cualquier página dentro de su sitio utilizando nuestro producto Hermes Administrador de Sitios (HAS), no olvide ingresar el título de la página, una breve descripción sobre lo que el usuario encontrará en ella y las palabras claves separadas por comas. Esto le ayudará para que su sitio sea ubicado más fácilmente por los buscadores, generando más visitas de usuarios.

 

10.- Terminamos esta primera entrega con la regla de los 3 clicks. Ninguna información debe estar a más de 3 clicks de la página principal. Es por eso que el mapa de sitio le dará una idea de cómo estructura la información.

El pasado lunes 7 de setiembre se realizó el lanzamiento del nuevo sitio de la Asociación Solidarista de Empleados de la Compañía Nacional de Fuerza y Luz,  ASEFYL (www.asefyl.or.cr).

Con un rediseño fresco, elegante, vivaz y dinámico, esta nueva versión le permite a la Asociación actualizar los contenidos en el sitio WEB de forma fácil, amigable, independiente, segura y sin depender de técnicos o expertos en el lenguaje de Internet. 

Adicionalmente gracias a la tencnología utilizada ASEFYL puede obtener información estadística  para  la toma de decisiones y para seguir creciendo en el mundo de Internet.

Visitar el sitio de ASEFYL

 

SQL Server 2005 Features Comparison

http://www.microsoft.com/Sqlserver/2005/en/us/compare-features.aspx

¿Qué es firma digital?

Una firma digital es un conjunto de datos asociados a un mensaje que permite asegurar la identidad del firmante y la integridad del mensaje. La firma digital no implica que el mensaje esté encriptado, es decir, que este no pueda ser leído por otras personas.

 

¿Para qué sirve la firma digital?

 

La firma digital con certificados oficiales es el único mecanismo jurídicamente válido en el país asegurar transacciones electrónicas. Varias organizaciones como el sector bancario han avanzado en la implementación de mecanismos de seguridad, sin embargo solo la firma digital tiene el poder de no repudio que garantiza la autenticidad (no modificación) y autoría de las transacciones.

 

Problemática de seguridad sin firma digital 

Más que teoría la ausencia de mecanismos de firma digital ha provocado y continúan provocando serios daños económicos a las organizaciones. Algunos ejemplos:

Bancos deberán reintegrar dinero robado a clientes por Internet “Pérdidas de usuarios ascenderían a ¢600 millones” “Alrededor de 700 denuncias se han presentado por sustracción de recursos mediante banca electrónica” Extractos de http://www.larepublica.net/app/cms/www/index.php?pk_articulo=27510

Se disparan estafas bancarias mediante Internet “En el 2007 se recibieron 71 denuncias pero este año ya van por 77 clientes de un banco público reportaron estafas por ¢120 millones.” “Los dineros, en montos de $3.000 a $10.000, o de ¢3 millones a ¢5 millones, son enviados a cuentas de personas jóvenes, especialmente, estudiantes, detectó la Policía. ” “El monto total de lo estafado en los 77 casos, pero mencionó que fácilmente supera los ¢200 millones.” Extractos de http://www.nacion.com/ln_ee/2007/junio/11/sucesos1125993.html

 

Ver más casos de Problemas que pueden evitarse con firma digital.

¿Cómo soluciona la firma digital estos problemas?

La firma digital reemplaza el uso del nombre de usuario y la clave que tradicionalmente se utiliza en los sistemas Web. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o peor aun apuntar en algún lado la llave privada ya que esta es un número de cientos de dígitos que se guarda en un dispositivo seguro (token o smart card).

Estos dispositivos son "tamper-proof" lo que significa que la llave privada no pueden ser copiados ni exportados; además el dispositivo está protegido por una clave de manera que solo puede ser utilizado por el usuario. 

El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSL permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente. 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el dispositivo protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el dispositivo y la clave del usuario legítimo. 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el dispositivo con la llave privada con que se generó la firma digital y este está protegido por clave. 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.

¿Cómo se implementa firma digital en un sistema web?

El uso básico de firma digital es reemplazar el esquema de autenticación tradicional de usuario y clave u otros que pese a ser un poco más seguros que este no son válidos jurídicamente (no son prueba en un juicio por ejemplo).

 

El segundo y más fuerte uso de la firma digital es dar confianza a ambas partes que participan en una transacción ya sea esta una operación bancaria, un trámite de servicios públicos, una denuncia judicial o en general cualquier trámite en el que:

 

-        la persona que envía desea estar segura que su transacción será realizara y que nadie más podrá hacerlo en su nombre o falsificar sus datos

 

-        la organización que recibe desea estar segura que la transacción proviene efectivamente de la persona dueña del certificado y que esta no podrá repudiar ninguna transacción hecha

 

La adaptación de sistemas existentes o nuevos para el uso de firma digital es sencilla mediante los componentes de firma digital de Hermes. La solución comprende varios componentes de software que permiten:

 

• Firmar digitalmente en la PC del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor. (no repudio) 
• Validar la firma digital del formulario en el servidor, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento. (confianza para la organización) 
• Generar un recibo firmado digitalmente en el servidor de una transacción enviada por un usuario.  (confianza para el usuario) 
• Crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios (confianza para ambas partes y prueba fehaciente en litigios) 

 

El siguiente diagrama describe gráficamente los componentes de la solución

Entre las ventajas de los componentes de firma digital de Hermes destacan: 

  

• Facilidad de integración con cualquier autoridad certificadora 
• Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET, PHP y Java. 
• Uso transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet. 
• Tecnología invulnerable a keyloggers o phishing

 

Aplicaciones de firma digital en Costa Rica

A la fecha en Costa Rica no existen muchas aplicaciones en producción que saquen provecho de la firma digital.

 

Posiblemente la más conocida es Comprared en donde los proveedores comerciales pueden enviar sus ofertas, aclaraciones, objeciones y un general todos los procesos de contratación administrativa de forma electrónica gracias al uso de certificado digitales. Comprared inició con certificados digitales generados por el Ministerio de Hacienda y ya realizó los cambios para usar también los generados por SINPE / MICIT. Actualmente Comprared está trabajando en la generación de facturas electrónicas firmadas digitalmente.

 

El CFIA también implementó firma digital en el Administrador de Planos de Construcción (APC). Mediante este sistema se realiza el visado digital de los planos evitando desplazamientos, disminuyendo tiempos del proceso y por tanto disminuyendo los tiempos asociados.

 

Actualmente Hermes trabaja en la implementación de su tecnología en uno de los principales bancos del Estado con el fin de reducir las problemáticas que los afectan.

  

Más información   firmadigital@hermes-soft.com

Sitios de información relacionada:  http://www.firmadigital.go.cr   http://es.wikipedia.org/wiki/Firma_digital

  

 

Aparece nuevo correo para estafar por ‘web’
 
“El monto obtenido por los estafadores asciende a más de $929 millones, según la firma de consultoría Gartner Group.” 

Extractos de http://www.nacion.com/ln_ee/2007/mayo/05/economia1085396.html

Nacional alerta sobre correo para robar clave a clientes 

“Esa modalidad de fraude, conocida como phishing , permite a los “pescadores de contraseñas” obtener la clave de las tarjetas de crédito o débito, entrar a las cuentas y robar el dinero.” 
 
Extractos de http://www.nacion.com/ln_ee/2009/marzo/20/economia1911054.html 

Firma digital reducirá inseguridad de banca en línea “Un sistema de firmas y certificados digitales que el Gobierno está preparando forzaría a los bancos a ofrecer un mejor mecanismo de verificación de identidad en línea, que reduciría sustancialmente el riesgo del “fraude electrónico”. ”

“Carlos Melegatti, director del SINPE, dijo que ese sistema hará “prácticamente imposible” cometer fraudes con phishing, pharming (el usuario es redireccionado a un sitio electrónico que parece del banco) y keyloggers (programas que registran lo tecleado y lo envían al estafador). ”“Aquí, muchos bancos utilizan solo un mecanismo (número de usuario y palabra clave) para verificar la identidad, pese a que desde el 2005 las cinco instituciones de supervisión financiera de EE. UU. advirtieron que es “inadecuado”. ”“En el 2007, casi 500 costarricenses fueron víctimas de fraude electrónico y perdieron más de ¢800 millones, pues los bancos le asignan todo el riesgo al usuario y no devuelven el dinero. ”“En países desarrollados, la carga de la prueba les corresponde a los bancos: deben probar que el fraude ocurrió por culpa del cliente o reintegrar el dinero.”

Extractos de http://www.nacion.com/ln_ee/2008/marzo/03/economia1444077.html  

BCR borró claves de 150.000 clientes 

“El mensaje era un intento de estafa electrónica conocida como phishing , con la cual se busca robar los datos de acceso de los usuarios . 
Extractos de http://www.nacion.com/ln_ee/2007/marzo/10/pais1025489.html  OIJ captura a 16 implicados en fraude bancario por Internet “Jorge Rojas expresó que al inicio los casos eran por sumas entre $3.000 (¢1,5 millones) y $10.000 (¢5,2 millones), pero recientemente recibieron una denuncia por una estafa de $200.000 (¢104 millones).” 

Extractos de http://www.nacion.com/ln_ee/2007/agosto/16/sucesos1205806.html  
 

BN y BCR apelaron condenas por fraudes bancarios por Internet

“BN ha recibido seis condenas y BCR, dos; hay más demandas en proceso” “Los jueces confirmaron que los sistemas de banca electrónica de esas instituciones no fueron suficientemente seguros.” 

Extractos de http://www.nacion.com/ln_ee/2008/diciembre/27/pais1823082.html

Seguridad en Internet y Firma Digital

El inmenso potencial que Internet ofrece día a día a la sociedad para su desarrollo y crecimiento, abre también un altísimo riesgo de violaciones y fraudes informáticos.

Hermes se une al reto de aportar soluciones informáticas que aminoren el alto riesgo en seguridad que ofrece la WEB, ofreciendo soluciones que implementan firma digital.

A continuación, aportamos un artículo, que describe la problemática de seguridad de los sistemas por Internet, como el robo de credenciales de autenticación para cometer fraudes vía Internet, contra sistemas bancarios en línea, y se explica el uso de la tecnología de firma digital como solución para lograr un uso totalmente seguro de los sistemas por Internet.

Al final se describen las características de los "Componentes de firma digital para Web que ofrece Hermes", con el cuál que permite implementar el uso de firma digital en los sistemas por Internet.

Descripción de la problemática de seguridad en Internet

La incidencia de fraudes electrónicos por Internet y el perjuicio económico que estos provocan es enorme. Según datos publicados por La Nación en Costa Rica durante el 2006 se dieron 71 denuncias de fraudes de este tipo y a junio del 2007 ya hay 77 denuncias que podrían superar en total los 200 millones de colones. La causa de esta masificación de fraudes por Internet es la facilidad con que los delincuentes pueden robar las credenciales (tales como nombre de usuario y palabra clave) que los usuarios legítimos utilizan para autenticarse en los sistemas por Internet.

El problema del robo de información personal en Internet es tan grande debido al sin fin de técnicas que los delincuentes tienen fácilmente a su disposición y al riesgo mínimo que realizar este tipo de delito conlleva. Uno de los objetivos preferidos de los ladrones de información confidencial en Internet son las credenciales para acceso a sistemas "online" tales como palabras clave, nombres de usuario y números de tarjeta de crédito ya que es de esta información de donde pueden obtener un beneficio económico.

Las técnicas preferidas por los delincuentes para robar credenciales de los usuarios son el uso de keyloggers y de técnicas de "phishing". Un "keylogger" es un tipo de "spyware" que captura sin autorización y subrepticiamente todo lo que el usuario digita en la computadora y lo envía por medio de Internet hacia un tercero para su posterior análisis. Otro tipo de "keylogger" es un dispositivo que el delincuente instala entre la conexión del teclado y la computadora. Este tipo de "keylogger" por hardware tiene la ventaja para el delincuente de no requerir instalar ningún software en la computadora, por lo que resulta ideal para robar información en computadoras que están supuestamente protegidas para que los usuarios no puedan descargar o instalar aplicaciones.

 El "phishing" es un tipo de timo que consiste en engañar a la víctima para que revele su nombre de usuario y palabra de acceso. Una de las formas más comunes de hacer esto es enviando un correo falso que parece haber sido enviado por el banco donde se le pide al usuario dirigirse a un sitio falso el cual se parece mucho a la página del banco. En el sitio falso le piden al usuario que digite su nombre de usuario y palabra clave.  Estos datos son registrados para su posterior uso.

 

Una vez que el delincuente logró obtener el nombre de usuario y la clave puede ingresar al sistema por Internet exactamente como si fuera el dueño legitimo de la cuenta.

El problema de fondo es que la autenticación con nombre de usuario y palabra clave típicamente utilizado en Internet es muy vulnerable e inseguro comparado con los mecanismos de autenticación por medios físicos que tradicionalmente se han utilizado tales como tarjeta + pin, o reconocimiento físico + documento de identidad. Los medios físicos de autenticación tienen varias ventajas: son difíciles de sustraer y reproducir, y el riesgo de hacerlo y cometer un fraude es muy alto. En cambio sustraer el nombre de usuario y clave de una persona ofrece varias ventajas para los delincuentes: es fácil de hacer y el riesgo es muy bajo porque tanto el hurto de las credenciales como el fraude se pueden hacer a larga distancia, anónimamente y sin dejar rastros.

El fraude electrónico mediante el uso de nombre de usuario y palabra clave robadas además tiene una característica especial: es imposible para el banco y para el usuario legítimo demostrar la falsedad o autenticidad de la transacción realizada. Desde el punto de vista del banco significa que no puede determinar con certeza si la supuesta transacción fraudulenta fue realmente realizada por un tercero o si es el mismo usuario que está fingiendo un fraude. Para la víctima esta incertidumbre significa que muy difícilmente puede demostrar que realmente hubo un fraude lo cual implica un lento proceso para poder recuperar el dinero sustraído.

Descripción de la solución al problema de seguridad en Internet

 
La firma digital es una técnica muy segura de autenticación de usuarios en sistemas digitales que reemplaza el uso del nombre de usuario y la palabra clave pero conservando todas las ventajas que ofrecen los sistemas por Internet. La firma digital incluso ofrece niveles de seguridad superiores a los mecanismos físicos tradicionales de autenticación como tarjeta + pin o identificación física + documento de identidad. Irónicamente la firma digital es usada ampliamente en el correo electrónico y no en los sistemas web que es donde más se necesita.

 Con la firma digital el usuario que desea realizar una transacción requiere tener un certificado digital y una llave privada que son emitidos por una autoridad certificadora confiable. La llave privada es muy diferente a una clave de usuario empezando porque el usuario no debe recordar o apuntar en algún lado la llave privada ya que esta es un número muy grande que consiste de cientos de dígitos y el cual se guarda en un dispositivo seguro. La llave privada tiene ciertas características que lo hacen seguro: no hay dos llaves privadas iguales y es prácticamente imposible adivinar, derivar o encontrar una llave privada.

El certificado y la llave privada del usuario son guardados en un dispositivo removible llamado "token" el cual se conecta por medio del puerto USB de la computadora de forma muy similar a una  llave maya,   sin embargo  a diferencia de   una llave maya el contenido del token no puede ser leído. Este "token" usb es usado por el usuario para realizar transacciones desde la computadora de la misma forma que el usuario utilizaría una tarjeta de plástico para acceder un ATM, sin embargo el token usb tiene características de seguridad mucho mejores que los de una tarjeta de plástico. Una de estas características es que el token usb es "tamper-proof" esto significa que el certificado y la llave privada que están en el token no pueden ser copiados ni exportados. Además el token está protegido por una clave de manera que solo puede ser utilizado por el usuario.   La siguiente es la imagen de un token.

 El uso de firma digital para realizar transacciones por Internet garantiza la integridad, no repudio y autenticidad de las transacciones como se explica a continuación:

Integridad de la transacción: La firma digital permite determinar en todo momento que los datos de la transacción no han sido modificados. Aunque SSl permite garantizar la integridad de los datos durante su transmisión, la firma digital permite además garantizar la integridad de los datos una vez que estos son almacenados en el servidor, es decir la firma digital es persistente.

 

Autenticidad: La firma digital permite garantizar la identidad del emisor de la transacción ya que la firma digital es generada por una llave privada única que solo el usuario posee y que está almacenado en el token protegido con una clave. Todo esto garantiza que nadie más puede generar transacciones haciéndose pasar por el usuario ya que esa otra persona requeriría el token y la clave del usuario legitimo.

 

No repudio del usuario: El usuario no puede negar que el realizo una transacción firmada digitalmente ya que solo el posee el token con la llave privada con que se generó la firma digital y este token está protegido por clave.

 

No repudio del sistema: Es posible que el sistema genere un recibo firmado digitalmente de la transacción recibida. Este recibo le sirve al cliente para poder probar que él hizo la transacción.

 

Hermes ofrece una solución tecnológica que permite a las empresas que brindan servicios por Internet habilitar el uso de la firma digital en sus sistemas y así ofrecer niveles de seguridad máximos a sus clientes y a la misma empresa. Entre las principales características de los componentes de firma digital para Web de Hermes se tiene:

• Firmar digitalmente en la computadora del cliente los campos de un formulario html (incluyendo campos archivo) antes de que estos sean enviados al servidor.
• Validar en el servidor la firma digital del formulario, obtener información del certificado usado para firmar y acceder la firma digital para su almacenamiento.
• Generar en el servidor un recibo firmado digitalmente de una transacción enviada por un usuario.
• Permite crear una bitácora firmada digitalmente de las transacciones realizadas por los usuarios.
• Facilidad de integración con cualquier autoridad certificadora
• Facilidad de integración con aplicaciones existentes, especialmente aplicaciones ASP.NET
• El uso de firma digital es transparente para el usuario final y no interfiere con la experiencia normal de navegación por Internet.
• Tecnología invulnerable a keyloggers o phishing