Conceptos Clave de Criptografía y Seguridad en Transacciones Electrónicas

Fundamentos de Seguridad Informática

• Confidencialidad: Característica que previene contra la divulgación no autorizada de la información.
• Autenticación: Acto de establecer o confirmar que algo o alguien es auténtico.
• Integridad: Característica que previene contra la modificación o destrucción no autorizada de la información.
• Ataque: Materialización de una amenaza. Puede ser pasivo o activo.

Criptografía

Es el arte de escribir mensajes con una clave secreta o de modo enigmático (RAE). Es la rama de las matemáticas, y en la actualidad de la informática y la telemática, que hace uso de métodos y técnicas matemáticas con el objetivo principal de cifrar un mensaje o archivo por medio de un algoritmo y usando una o más claves. Este proceso da lugar a los llamados criptosistemas, y permite asegurar los aspectos fundamentales de la seguridad informática, que son la confidencialidad, integridad, disponibilidad y no repudio del emisor o receptor.

Cifrado Simétrico o de Clave Secreta

Utiliza la misma clave para cifrar que para descifrar. Algoritmos típicos: DES, IDEA, AES, RC4, RC5, Blowfish.

Ventajas

• Rapidez y cifrado de grandes volúmenes de datos.
• Están optimizados. No genera un archivo mucho más grande.

Inconvenientes

• Distribución de claves: es la forma de pasar la clave de forma segura.
• Gestión de claves: hay una clave por destinatario.

Cifrado Asimétrico o de Clave Pública

Utiliza dos claves distintas en lugar de una, estas claves son complementarias. Se basa en un esquema de funciones unidireccionales: permiten hacer algo, pero no deshacerlo. Para volver hacia atrás hay que cambiar de clave. La clave de cifrado es pública (conocida por todo el mundo) y la clave de descifrado es privada (solo conocida por el propietario). Algoritmos típicos son: RSA (Rivest Shamir Adleman) 1977, Diffie-Hellman 1976.

Ventajas

• Intercambio y gestión de claves

Inconvenientes

• Lentitud
• Tamaño de los mensajes cifrados

Cifrado Híbrido

Para realizar cualquier transacción, divide cualquier proceso de cifrado en 2 subprocesos:

• Cifra el mensaje mediante cifrado simétrico (clave k).
• Cifra la clave k mediante cifrado asimétrico.

Características

• Optimización en intercambio y gestión de claves.
• Rapidez y tamaño de mensajes adecuado.
• Mayor fortaleza frente a ataques criptoanalíticos.

Pasos para Firmar Digitalmente

1. Generar hash.
2. Cifrar hash con clave privada del emisor.
3. Enviar mensaje original y hash cifrado.

Pharming

Consiste en manipular las correspondencias DNS que utiliza el usuario. A través de esta acción los ladrones de datos consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas para recolectar datos confidenciales (sobre todo relacionados con la banca online). Los ataques pharming pueden llevarse a cabo directamente contra los servidores DNS, de forma que el cambio de direcciones afecte a todos los usuarios que lo utilicen mientras navegan en internet o bien de forma local.

SET (Secure Electronic Transactions)

Objetivos del Sistema

• Autenticación mediante cifrado asimétrico de todas las partes implicadas.
• Confidencialidad e integridad gracias a técnicas de cifrado y firma digital que impiden que el comerciante acceda a la información de pago y que el banco acceda a la información sobre los pedidos.
• Gestión global del pago.

Pasos de una Transacción SET

1. El cliente visita y navega por la web del vendedor.
2. Decisión de compra del cliente y arranque del software monedero.
3. Transmisión cifrada de la orden de pago.
4. Envío de la petición de pago al banco del comerciante.
5. Validación del cliente y del comerciante por el banco adquiriente.
6. Autorización del pago por el banco emisor o banco del cliente.
7. Envío al comerciante de un testigo de la transferencia de fondos.
8. Envío de un recibo a la cartera del cliente.
9. Entrega del testigo de transferencia de fondos para cobrar el importe de la transacción.
10. Cargo en la cuenta del cliente.