Comercio electrónico

AMENAZAS Y
RIESGOS
COMERCIO ELECTRÓNICO
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO
Cuando se hacen transacciones por medio de internet, las partes involucradas se pueden
enfrentar a los siguientes problemas:

Falta de contacto físico con el producto: Las transacciones que se realizan a través de Internet son de
carácter no presencial, lo que genera un cierto grado de incertidumbre. A su vez se omite tanto la
atención personal como el contacto físico con el artículo, factores que pueden influir de forma
determinante en la elección de un producto u otro.
En el caso del comercio electrónico, a fin de eliminar dicha desventaja se está produciendo la
incorporación de chats en directo o asistentes virtuales que ayudan a resolver dudas durante el proceso
de compra.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO

Falta de seguridad y fiabilidad: Es un punto clave a la hora de decidir la compra a través de Internet que
la empresa esté bien identificada y sobre todo que ofrezca la posibilidad de contactar directamente con
ella.
También es vital que disponga de información clara, completa y concisa tanto sobre temas contractuales
como sobre el producto/servicio y el precio, clarificando los gastos que van o no incluidos en la
transacción.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO

Problemas de distribución: Las incidencias logísticas (retrasos en la recepción, recepción del pedido con
desperfectos, no recibir el producto) son otro de los principales inconvenientes del comercio
electrónico.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO

Problema de reclamaciones y devoluciones: La principal problemática en las compras a través de la Red

es que el producto o servicio adquirido no responda a lo que se ofrecía en Internet. La inseguridad de a
quién dirigirse en caso de reclamación es otro de los problemas que conlleva el comercio electrónico.
AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO

Problemas de pago: En la mayoría de los casos, las compras a través de Internet se realizan utilizando el
número de la tarjeta de crédito del comprador, pero aún no es 100% seguro introducirlo en la Red sin
conocimiento alguno.

Perdida de integridad de los datos: un intruso crea, modifica o borra información.

Perdida de privacidad en los datos: se brinda acceso a la información a personas no autorizadas.

AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO

Problemas de pago: En la mayoría de los casos, las compras a través de Internet se realizan utilizando el
número de la tarjeta de crédito del comprador, pero aún no es 100% seguro introducirlo en la Red sin
conocimiento alguno.

Perdida de integridad de los datos: un intruso crea, modifica o borra información.

Perdida de privacidad en los datos: se brinda acceso a la información a personas no autorizadas.

AMENAZAS Y RIESGOS DEL
COMERCIO ELECTRÓNICO

Pérdida de servicio: el servicio se interrumpe como consecuencia de las acciones de un hacker.

Pérdida de control: personas o usuarios externos sin ningún control.

Además de los inconvenientes mencionados anteriormente, cuando se hacen transacciones comerciales

por medio de internet, las partes involucradas pueden estar expuestas a los siguientes ataques:
Phishing
Este término se refiere a uno de los métodos más utilizados por delincuentes cibernéticos para
estafar y obtener información confidencial de forma fraudulenta como puede ser una
contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la
víctima. El estafador, conocido como phisher, utiliza ingeniería social, haciéndose pasar por una
persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo
general un correo electrónico, o algún sistema de mensajería instantánea, redes sociales
SMS/MMS, a raíz de un software malicioso o incluso utilizando también llamadas telefónicas.
Los tipos de información que un phisher roba de sus víctimas son:
Datos personales: Dirección del correo electrónico, documento de identidad, datos de
localización y contacto, números de tarjetas de crédito, números de cuentas.
Contraseñas de cuentas de redes sociales, correo electrónico, tarjetas de crédito.
Ingeniería social
El término "ingeniería social" hace referencia al arte de manipular personas para eludir los sistemas
de seguridad. Esta técnica consiste en obtener información de los usuarios por teléfono, correo
electrónico, correo tradicional o contacto directo.
Los atacantes de la ingeniería social usan la fuerza persuasiva y se aprovechan de la inocencia del
usuario haciéndose pasar por un compañero de trabajo, un técnico o un administrador, etc.
En general, los métodos de la ingeniería social están organizados de la siguiente manera:

Una fase de acercamiento para ganarse la confianza del usuario, haciéndose pasar por un integrante de la
administración, de la compañía o del círculo o un cliente, proveedor, etc.
Una fase de alerta, para desestabilizar al usuario y observar la velocidad de su respuesta. Por ejemplo, éste
podría ser un pretexto de seguridad o una situación de emergencia;
Una distracción, es decir, una frase o una situación que tranquiliza al usuario y evita que se concentre en el
alerta. Ésta podría ser un agradecimiento que indique que todo ha vuelto a la normalidad, una frase hecha o,
en caso de que sea mediante correo electrónico o de una página Web, la redirección a la página Web de la
compañía.
Ingeniería social
La ingeniería social puede llevarse a cabo a través de una serie de medios:
Por teléfono,
Por correo electrónico,
Por correo tradicional,
Por mensajería instantánea,
etc.
¿Cómo puede protegerse?
La mejor manera de protegerse contra las técnicas de ingeniería social es utilizando el sentido
común y no divulgando información que podría poner en peligro la seguridad de la compañía.
Sin importar el tipo de información solicitada, se aconseja que:

Averigüe la identidad de la otra persona al solicitar información precisa (apellido, nombre, compañía,
número telefónico);
Si es posible, verifique la información proporcionada;
Pregúntese qué importancia tiene la información requerida.

En este contexto, puede ser necesario capacitar a los usuarios para que tomen conciencia acerca
de los problemas de seguridad.
Caso de estudio #1:
Caso de estudio #2:
Caso de estudio #3:
Spoofing
Este término se refiere a la falsificación de unos datos, modificándolos de algún modo para
obtener por ello un beneficio. Los ataques de seguridad en las redes a través de técnicas de
spoofing ponen en riesgo la privacidad de los usuarios que navegan por Internet, así como la
integridad de sus datos.
Pharming
En este tipo de ataque, los delincuentes redireccionan a sus víctimas a páginas web falsas
utilizando varios métodos, como por ejemplo correos electrónicos con asuntos llamativos para
que las víctimas los abran y sean atacadas; poniendo en peligro información privada.
Estafas de
ingeniería social
más nuevas
Los ingenieros sociales, esos
criminales que se aprovechan del
comportamiento humano para
obtener acceso a datos o infiltrarse en
los negocios, fueron quienes alguna
vez engañaban a la gente con ofertas
gratuitas o videos graciosos antes de
estafarlos. Hoy en día, las pandillas de
ingeniería social se han inclinado hacia
tácticas y técnicas de mano dura,
amenazas, crueldad emocional y
horribles ultimátums.
Phishing con nuevas variedades letales
de ransomware (captura de información)
El ransomware atrajo la atención de los negocios en el 2013 con Cryptolocker, el cual infectaba
las computadoras operadas con Microsoft Windows para encriptar todos los archivos que una
máquina contenía, así como los archivos de los servidores compartidos. Los extorsionadores
solicitaban luego un pago de rescate para entregar la clave que permite desencriptar el disco.
Este pago era de alrededor de unos 200 dólares en bitcoins, modeda virtual que no puede ser
rastreada. Mientras más se demoraba la víctima en pagar, el rescate aumentaba y se corría el
riesgo de que la información fuera borrada.
Este año, CryptoDefense ha sido mejorado y elige como blanco a textos, imágenes, videos, PDF y
archivos Office MS; los encripta con una poderosa clave RSA-2048, la cual es difícil de descifrar.
También limpia todas las Shadow Copies, las cuales son usadas por muchos programas
de backup.
Llamadas de robots para información de
la tarjeta de crédito
Sistemas de respuestas de voz interactivos y robocalls o llamadas de robots, juegan un papel muy
importante en las nuevas estafas de ingeniería social a la hora de buscar información sobre la tarjeta
de crédito o contraseñas. Las pandillas se roban miles de números telefónicos y usan las llamadas de
robots para llamar a los empleados desprevenidos. “Son completamente automatizadas”.
El mensaje es algo como: ‘Esta es su compañía de tarjetas de crédito. Estamos averiguando sobre un
cargo fraudulento a su tarjeta. ¿Usted compró una televisión de pantalla plana a 3.295 dólares?
Presione 1 si sí lo hizo y presione 2 si no’. Si la persona responde que no, se le pide que ingrese su
número de tarjeta de crédito, fecha de expiración y código de seguridad.
En algunos casos, los empleados se preocupan de que la compañía de la tarjeta de crédito haya sido
comprometida y que por ende, ellos se metan en algún problema, así que le siguen la corriente.
“Solo para hacerlo más malo, le dicen a la víctima que ponga su número de celular para que un
representante pueda llamarlo y revertir el cargo”, agrega.
Registros de salud por los ataques spear-
phishing
Por violaciones de datos masivas en el 2013, el elemento criminal ha llegado a un punto en el
que pueden tomar información de identificación personal y comenzar a fusionar o unir registros,
incluyendo los de salud.
Por ejemplo, un correo electrónico falso al parecer ha sido enviado por su empleador y su
proveedor de atención médica o servicio de salud, anunciando que han hecho algunos cambios
a su programa de salud. Están ofreciendo tasas de seguro preferenciales para los clientes que
tienen el número de hijos que usted tiene. Luego, invitan al que está leyendo el correo
electrónico a echarle un vistazo a un link que, al parecer, lo va a dirigir hacia la página web del
proveedor de los servicios de salud.
“Por el hecho de que el correo electrónico está cargado de toda la información personal del
lector, hay grandes posibilidades de que un clic sea suficiente -y que eso sea lo que se necesite
“para infiltrarse en los sistemas de las compañías”
Phishing con los funerales
Quizás, el más nuevo. Se ha detectado que algunas pandillas de ingeniería social envían correos
electrónicos del tipo phishing a la gente, haciéndose pasar como una casa funeraria y diciéndole al
remitente del correo que uno de sus amigos cercanos falleció y que la ceremonia de entierro va a ser
en tal fecha. Para hacer esto, ya penetraron y comprometieron previamente la página web de la casa
funeraria, así que justo en el momento en el cual el amigo confundido hace clic en la página web
comprometida, se le re direcciona al servidor de la pandilla.
Esta estafa de ingeniería social es penosa pero verdadera. “Hay unas cuantas historias de que este
tipo de estafa está siendo usada con éxito. La gente que da clic es cargada con los credenciales
cosechados por el estafador”.

En el sitio web falso, la pandilla suelta rápidamente una pieza de malware que con el tiempo destruye
mucha información. También suelta un troyano, y hace que la computadora se convierta en un
zombie capaz de ser partícipe de actos nefastos, como atacar otras computadoras y mandar spam.
Usos del
comercio
electrónico
Usos del comercio electrónico
El comercio electrónico puede utilizarse en cualquier entorno en el que se intercambien
documentos entre empresas: compras o adquisiciones, finanzas, industria, transporte, salud,
legislación y recolección de ingresos o impuestos. Ya existen compañías que utilizan el comercio
electrónico para desarrollar los aspectos siguientes:

Creación de canales nuevos de mercadeo y ventas.

Acceso interactivo a catálogos de productos, listas de precios y folletos publicitarios.
Venta directa e interactiva de productos a los clientes.
Soporte técnico ininterrumpido, permitiendo que los clientes encuentren por sí mismos, y fácilmente,
respuestas a sus problemas mediante la obtención de los archivos y programas necesarios para
resolverlos.
Usos del comercio electrónico
Mediante el comercio electrónico se intercambian los documentos de las actividades empresariales
entre socios comerciales. Los beneficios que se obtienen en ello son: reducción del trabajo
administrativo, transacciones comerciales más rápidas y precisas, acceso más fácil y rápido a la
información, y reducción de la necesidad de reescribir la información en las computadoras. Los tipos
de actividad empresarial que podrían beneficiarse mayormente de la incorporación del comercio
electrónico, son:
Sistemas de reservas. Centenares de agencias dispersas utilizan una base de datos compartida para
acordar transacciones.
Existencias comerciales. Aceleración a nivel mundial de los contactos entre mercados de existencias.
Elaboración de pedidos. Posibilidad de referencia a distancia o verificación por parte de una entidad
neutral.
Seguros. Facilita la captura de datos.
Empresas que suministran a fabricantes. Ahorro de grandes cantidades de tiempo al comunicar y
presentar inmediatamente la información que intercambian.
TECNOLOGIAS QUE EMPLEA
El comercio electrónico utiliza un amplio rango de tecnologías como son:

Intercambio Electrónico de Datos (EDI-Electronic Data Interchange)

Correo Electrónico (E-mail o Electronic Mail)
Transferencia Electrónica de Fondos (EFT- Electronic Funds Transfer)
Aplicaciones Internet: Web, News, Gopher, Archie
Aplicaciones de Voz: Buzones, Servidores
Transferencia de Archivos
Diseño y Fabricación por Computadora (CAD/CAM)
Multimedia
Tableros Electrónicos de Publicidad
Videoconferencia
TIPOS DE RELACIONES QUE PUEDEN
PRESENTARSE
El comercio electrónico es un método contemporáneo para la transacción empresarial que enfoca la
necesidad percibida, tanto por las empresas como por sus clientes, de disminuir los costos de los
bienes y servicios, manteniendo la cantidad e incrementando la velocidad de entrega. Las actividades
de manejo de la información que se realizan en el comercio electrónico mediante transacciones
empresariales pueden clasificarse en las siguientes categorías:

Transacciones entre una empresa y sus clientes mediante una red pública de telecomunicaciones
(teléfono+módem) con el propósito de realizar compras desde el hogar ("home shopping"), o el banco en su
casa ("home banking") utilizando técnicas de cifrado para manejar los aspectos de seguridad y dinero
electrónico.
 Transacciones para la obtención de información: investigación de mercados utilizando exploradores de
códigos de barras, tratamiento de información para la toma de decisiones directivas o la solución de
problemas organizativos, y la manipulación de información para la organización de operaciones, como la
administración de la cadena de proveedores de una empresa.
Transacciones para la distribución de información con clientes potenciales, tales como mercadeo, publicidad, y
ventas interactivas.
La conectividad entre los participantes es una cuestión esencial para la viabilidad del comercio electrónico, e
Internet lo consigue a un costo bajo.
CAMBIOS EN LAS EMPRESAS
El continuo avance en el mejoramiento de la infraestructura de las telecomunicaciones ha
proporcionado los medios para el intercambio casi instantáneo de los datos. El comercio
electrónico hace uso de estos flujos de datos de una forma eficaz. El intercambio eficiente de la
información determina el éxito de una empresa; cuando se logra asegurar que el personal de
una compañía consume más tiempo en la producción o venta de productos y servicios, en lugar
de reprocesar innecesariamente los datos, podemos decir que ha iniciado la optimización de su
potencial.
El comercio electrónico se introduce en las empresas en tres fases:

Sustitución de las operaciones manuales basadas en papel por alternativas electrónicas.

Replanteamiento y simplificación de los flujos de información.
Uso novedoso y dinámico de los flujos de información.
EFECTOS
Empresas virtuales.
◦ Es la oportunidad para utilizar socios comerciales externos sin una ubicación física, pues se establece una
relación basada en transacciones electrónicas.
Los vendedores pequeños acceden al mercado global.
◦ Tradicionalmente estos mercados que tan sólo han estado abiertos para las multinacionales, se vuelven
accesibles a las compañías más pequeñas debido a la escasa cantidad de recursos necesarios para funcionar
en el extranjero.
Transformación de tiendas de venta al menudeo.
◦ El crecimiento de las compras desde el hogar y de la venta directa por parte de los fabricantes provocará una
disminución en los precios, y en consecuencia, una reducción de las comisiones.
Presión sobre el servicio al cliente, el ciclo de desarrollo y los costos.
◦ Aumentará la necesidad de la entrega rápida y directa. La cadena de valor será cada vez menos tolerante con
la necesidad de inventarios y almacenamiento.
Será inevitable el incremento de la competencia, así como de la necesidad de dinero electrónico.
Ingeniería social: Tres ejemplos de
hacking humano
El CEO demasiado confiado
Deducción 1: No hay información, independientemente de su carácter personal o emocional, que esté fuera de
los límites de un ingeniero social que busca hacer daño
Deducción 2: Con frecuencia la persona que piensa que está más segura es la que posee la mayor vulnerabilidad.
Un consultor de seguridad dijo recientemente que los ejecutivos son los blancos más fáciles de ingeniería social.
El escándalo del parque temático
Conclusión 3: La política de seguridad es solo tan buena como lo es su aplicación
Conclusión 4: Los delincuentes suelen jugar con la naturaleza buena de un empleado y el deseo de ser útil.
El hacker es hackeado
Deducción 5: La ingeniería social puede ser parte de la estrategia de defensa de una organización
Deducción 6: Los delincuentes suelen ir a la fruta madura. Cualquiera puede ser un objetivo si la seguridad es
baja