The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.

Fundamentos De Comercio Electronico - Toby J. Velte

Discover the best professional documents and content resources in AnyFlip Document Base.
Search
Published by Marvin's Underground Latino USA, 2018-08-30 15:28:52

Fundamentos De Comercio Electronico - Toby J. Velte

Fundamentos De Comercio Electronico - Toby J. Velte

Fundamentos de comercio electrónico

ponerse en peligro. Por último, pensando en el cuadro completo de la seguridad en la red, recuerde
que es imperativo equilibrar la seguridad, la sencillez y el costo.

En el nivel de instalación práctica de la seguridad de la red, recuerde que las mejores opciones
de seguridad usan una combinación de seguridad de tránsito y de seguridad de usuario. Hay
disponibles varias selecciones para la seguridad de tránsito y de usuario en el mercado de hoy.
Recuerde que el sistema de seguridad de cada empresa es único, y que está creado para satisfacer
las necesidades de esa compañía.

www.FreeLibros.me

Infraestructura
de la llave pública

www.FreeLibros.me

Fundamentos de comercio electrónico

ste capítulo se centrará en la tecnología que está detrás de la seguridad de las transacciones
comerciales fuera de la red privada, y la manera en que las personas que nunca se ven cara a
cara logran establecer un nivel de confianza que les permite efectuar negocios.

UN TIPO DIFERENTE DE SEGURIDAD

Puesto que las empresas confían en la seguridad de sus redes personales, tienen que enfocarse en
la seguridad de cualquier transacción que entre o que salga de su red. Dado que la tecnología abre
muchas avenidas nuevas para el comercio electrónico, cada vez más compañías usan Internet co-
mo su primer método de comunicación por la conveniencia de velocidad y de acceso. Pero, como
lo hemos visto a lo largo de todo este libro, con los avances de la tecnología aparecen nuevos
requisitos de seguridad; en este caso, la necesidad de proteger la información confidencial fuera
de la red privada.

Qué hace falta proteger

Todas las comunicaciones por Internet necesitan de algún nivel de protección. Una buena herramienta
de medición básica es que el nivel de confidencialidad de una transacción determina el nivel de
seguridad necesario. La mayor parte de las transacciones comerciales en general requieren de algún
tipo de seguridad. Por ejemplo, los contratos entre la empresa y los clientes son muy confidenciales
y evidentemente tienen que estar a salvo. Los mensajes confidenciales de correo electrónico son otro
buen ejemplo de algo que contiene información sensible y que debe protegerse.

La expansión del comercio electrónico abre oportunidades para clientes y negocios, aumenta
la conveniencia de hacer negocios, pero crea varios riesgos de seguridad nuevos. La transferencia
electrónica de dinero es un ejemplo de una transacción específica del comercio electrónico que
exige medidas de seguridad especiales. Si los clientes se sienten cómodos buscando en un sitio web,
encontrando un artículo o un servicio que comprar, y luego enviando sus números de tarjetas de
crédito y sus números de seguridad social por Internet, el negocio tendrá éxito.

Por qué son importantes las transacciones seguras

Las transacciones seguras son importantes porque establecen confianza. En cualquier comunicación
comercial, hay cuatro aspectos que se deben verificar para establecer la confianza:

▼ La identidad de las partes en comunicación.
■ La garantía de confidencialidad de la transacción.
■ La certeza de que la transacción no se modificará.
▲ Que sea irrefutable el hecho de que la transacción se efectuó.

En el pasado, las comunicaciones comerciales referentes a la información confidencial estaban
seguras y a salvo porque se hacían frente a frente. No había motivos para desconfiar si se verificaban
personalmente los aspectos de confianza que acabamos de listar. Hay algo que es creíble y confiable
de forma innata en las cosas que podemos ver.

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

Por ejemplo, en el pasado se sabía con quién se hablaba porque en realidad se estaba en el mismo
lugar y se podía mirar a los ojos del socio comercial. Usted sabía que la transacción era
confidencial y que eso no se modificaría porque ustedes eran las dos únicas personas involucradas.
Tampoco había duda que la comunicación se había efectuado. Si la transacción era firmar un
contrato, comprar un producto, o transferir dinero al banco, la seguridad no representaba
problemas cuando se hacía cara a cara.

Sin embargo, en el mundo de hoy, es verdaderamente poco realista esperar que todas las
transacciones se efectúen frente a frente. Internet abre un mundo de oportunidades enorme. Las
empresas hacen negocios con personas que nunca han conocido, y que mucho menos han visto
cara a cara. El problema con la introducción de Internet es que la confianza que se daba por
sentada alrededor de las transacciones comerciales se ha reducido bastante. Por ejemplo, hay
demasiada gente en la que usted no confiaría que potencialmente entrará en la ecuación de la
transacción comercial.

Transacciones actuales entre las empresas

Hay cuatro amenazas principales para las transacciones por Internet: espionaje, robo de información
confidencial, suplantación de mensajes, y transacciones y negocios fraudulentos. Las cuatro deben
resolverse para lograr la confianza de clientes y de socios, y para asegurar el éxito del negocio
electrónico. Las cuatro minan la confianza en la relación comercial.

Confidencialidad

Asegurar la confidencialidad es la medida básica de seguridad más importante que debe tomar
cualquier empresa cuando inicia transacciones comerciales por Internet. Después de todo, Internet
es un lugar público, muy parecido a un restaurante grande en el que las personas se reúnen para
divertirse, con motivos de negocios, para tener citas amorosas, e incluso sólo para ocasionar
problemas. Cuando se envía un mensaje por correo electrónico por Internet, es como hablar alto
en este restaurante público. ¿Se imagina gritar detalles confidenciales de una futura unión entre
dos empresas en un restaurante atestado?

Para asegurar que hay confidencialidad durante las transacciones por Internet, las empresas
deben encontrar la manera de hablar en privado. Una manera de volver a tener este sentido de
confidencialidad es esconder o codificar la información que las empresas se envían entre ellas, para
que cualquiera que intercepte el mensaje no lo pueda leer.

Verifique la identidad

No sirve de nada tener comunicaciones confidenciales por Internet si no se sabe con quién se
está hablando. Saber con quién se está haciendo negocios es el segundo paso esencial para cons-
truir confianza en una relación comercial por Internet. Por ejemplo, es un hecho que en cualquier
relación comercial se pasa información privilegiada entre las partes. En realidad, la persona o
el negocio con quien usted está tratando puede ser cualquiera por Internet. Para asegurar que la
información confidencial sólo llegue a la persona indicada, es importante verificar quién es ésta.

www.FreeLibros.me

Fundamentos de comercio electrónico

Transacciones sin modificar

Una vez que haya establecido la identidad de la persona con quien está hablando, y que la
comunicación es confidencial, ha llegado el momento de cerciorarse que la comunicación no sea
interceptada y modificada de ninguna manera. Es muy fácil imaginarse la confusión que se tendría
si un pedido hecho por Internet fuese modificado con mala intención, y que el comprador acabase
con sólo la mitad de los materiales que necesita para terminar un proyecto. Igual de inquietante
es el pensamiento que la garantía o incluso el precio del producto enviado por el minorista sea
modificado, y que se pierda el negocio.

Aceptación

Por último, en cualquier escenario comercial es importante contar con la manera de probar que las
transacciones se efectuaron. La aceptación es un término que se refiere a la incapacidad de la em-
presa o del individuo a negar que la transacción se efectuó. Cualquier medida de seguridad buena
probará en forma legal que la transacción efectivamente ocurrió, y qué se comunicó exactamente
en ella.

INFRAESTRUCTURA DE LLAVE PUBLICA

La infraestructura de llave pública (PKI, Public Key Infrastructure) es un andamio de seguridad
para reforzar que las transacciones por el web sean tan confiables como lo fueron alguna vez las
interacciones cara a cara. Infraestructura de llave pública es un nombre general que se refiere a
las medidas de seguridad individuales que garantizan que las transacciones serán confidenciales, que
obligan a los socios comerciales a probar sus identidades, que evitan las modificaciones o el manoseo
de las transacciones y que legalmente refuerzan la aceptación. En breve, la infraestructura de llave
pública reintegra la confianza que las empresas colocan en las transacciones por Internet.

La infraestructura de llave pública está formada por cuatro partes diferentes que trabajan juntas
para crear el marco de seguridad:

▼ Cifrado de llave pública
■ Firma digital
■ Autoridad de certificación (CA, Certifícate Authority)
▲ Autoridad de registro (RA, Registration Authority)

Cuando examinemos todos los aspectos de la infraestructura de llave pública, identificare-
mos cómo cada una hace lo que le corresponde para permitir que la infraestructura de llave pública
como un todo satisfaga los cuatro requisitos para establecer confianza, y de esta manera desarrollar
una buena relación comercial por Internet.

Cómo proteger transacciones confidenciales

El problema de la confidencialidad siempre ha existido cuando se envían mensajes entre las personas
y los negocios, si las dos partes no se pueden reunir frente a frente. Si el mensaje es interceptado,
será leído, y la información será pública.

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

El uso de cifrado

Desde la primera transferencia de información, se implemento la idea de cifrado o de codificación
para resguardar el mensaje. Si el mensaje está escrito en código, estará seguro, aunque lo intercepten.
Los seres humanos en todos los siglos han conocido y contado con este hecho.

El sistema presente de enviar mensajes asegurados por Internet se basa en la misma idea general
de cifrado que se ha usado durante siglos, con un avance muy notorio.

La diferencia entre las formas presente y pasada de codificación se encuentra en la llave que
descifra la codificación. En el pasado, el receptor necesitaba la llave del código secreto para
transformar el mensaje a una forma legible. Este sistema funcionaba muy bien, porque en algún
punto las dos partes se reunían cara a cara e intercambiaban la llave para descifrar, cerciorándose de
que se mantuviera como máximo secreto. Si una reunión frente a frente no era posible, las dos partes
corrían el riesgo que el código secreto fuese interceptado y copiado.

Sin embargo, cuando se trabaja con transacciones por Internet, nunca se ve la cara de la otra
persona. La clave secreta se debe remitir con el mismo método del mensaje que se desea enviar
cifrado. Si a usted le preocupa que el mensaje original sea interceptado y leído, evidentemente cree
que se trata de una comunicación insegura, o no estaría considerando el uso de un código en primer
lugar. Respecto a Internet, es necesario un sistema de codificación diferente.

Criptografía de llave pública

El área de trabajo básica de la infraestructura de llave pública se basa en una tecnología denominada
criptografía de llave pública. Ésta es la solución tecnológica para el problema de las personas
que espían los mensajes confidenciales que se envían por Internet. Se trata de una codificación
matemática secreta en la que cada letra se cambia por una letra diferente, por un número o por
un símbolo, elaborando una página de tonterías y evitando que se lea el mensaje aún cuando
sea interceptado.

La criptografía de llave pública difiere del concepto de los códigos secretos históricos, y se usa
en Internet debido a que tiene dos llaves. Lo brillante de este sistema es que un algoritmo cifra
el mensaje y otro lo descifra. Por consiguiente, uno de los algoritmos puede hacerse público, y el
otro algoritmo se mantiene completamente en secreto. Es imposible que un individuo descifre la
llave privada a partir de la llave pública, y viceversa. Con este sistema de codificación, no tiene

www.FreeLibros.me

Fundamentos de comercio electrónico

importancia si la codificación es interceptada y leída, porque es pública. El único código que descifra
los mensajes cifrados es el que permanece en secreto.

NOTA: La llave pública y la privada se usan para cifrar o para descifrar el mensaje. Con este sistema,
cualquier parte envía o recibe el mensaje.

Avisos prácticos acerca del cifrado de llave pública

El cifrado de llave pública es un avance maravilloso para resguardar la comunicación por Internet.
Pero como todavía es un concepto relativamente nuevo, hay algunos problemas con las implicaciones
prácticas que deben ser tomados en cuenta. Por ejemplo, cifrar algo con la llave pública requiere
de mucho más tiempo que con un código secreto, porque los algoritmos deben ser mucho más
complejos para evitar que las contrapartes los descifren.

Debido al tiempo que se requiere para cifrar y descifrar un mensaje, se ha iniciado una práctica
alternativa donde se cifra el mensaje mismo con un código secreto, y luego se envía el código
secreto cifrado con la llave pública. El código secreto mismo por lo general es mucho más corto
para cifrar, y esto apresura el proceso.

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

Precauciones adicionales para la confidencialidad

Si cuenta con una codificación pública, muchas personas enviarán a su empresa mensajes cifrados
seguros, resolviendo así los problemas de confidencialidad por Internet. Sin embargo, hay que tener
en mente que el cifrado de llave pública sólo es tan seguro como la llave privada. Evidentemente, la
llave privada nunca debe viajar por Internet. Se debe mantener en un servidor privado y seguro al que
no se tenga acceso desde la red. También es importante considerar la seguridad de las instalaciones
en las que se guarda la llave privada. Si el servidor o la computadora personal donde se guarda
la llave tiene fácil acceso físico, la llave está menos segura que si estuviese en una habitación
con llave. La llave privada es parecida a una clave de acceso; mientras menos personas la conozcan,
más segura estará.

Cómo verificar la identidad

Cuando se ha establecido un método seguro para comunicarse por Internet, hay que centrarse en
la identidad de la parte con la que usted se comunica. Después de todo, el cifrado de llave pública
no sirve para nada si es enviado o interceptado por la persona equivocada, o usado para enviar
mensajes bajo un nombre falso. Otro peligro serio para la seguridad aparece si un individuo roba
una copia de la llave privada de la empresa, y no hay forma de verificar la verdadera identidad
del emisor.

www.FreeLibros.me

Fundamentos de comercio electrónico

Certificados

Es verdaderamente fácil esconder la identidad cuando se envían mensajes por Internet. Cualquiera
que haya estado alguna vez en un chat o que se haya inscrito en una dirección anónima de correo
electrónico sabe de primera mano lo fácil que es hacerse pasar por alguien más. Asumir un nombre
o una identidad diferentes es perfectamente aceptable en un chat, pero no lo es cuando se trata de
transacciones comerciales. Los certificados son instrumentos técnicos que garantizan la identidad
del emisor y, en consecuencia, aumentan la confianza entre las partes que se comunican por Internet.
El certificado se compone de dos partes: la llave pública, que ya discutimos, y la firma digital,
de la que hablaremos ahora.

Es importante conocer el formato del certificado. El certificado debe ser compatible con cualquier
software y con cualquier aplicación que encuentre. Que el certificado funcione para su empresa
no significa que funcione con sus clientes. La Organización Internacional de Estándares (ISO,
International Organization for Standarization) ha intervenido y ha desarrollado un certificado
estándar denominado X.509. Este formato está definido en términos de los campos en los que los
servidores buscan la información de compatibilidad.

Certificados de identificación Hay tres tipos distintos de certificados. El primero es el más común.
Se trata del certificado de identificación, que significa que formalmente une al emisor del certificado
con su clave pública. El certificado también garantiza la identidad del emisor. Toda esta información
es enviada en un mensaje electrónico por la autoridad de certificación a la persona identificada
en el certificado.

Certificados de autorización El certificado de autorización proporciona al receptor del mensaje
más información verificada sobre el individuo que envía el mensaje. Por ejemplo, un certificado de
autorización incluye información acerca de la dirección, la edad, y el lugar de trabajo del emisor.
Si el certificado de autorización es para toda la empresa, también incluye información acerca de la
posición empresarial de la compañía, de sus clientes anteriores, o de miembros de la corporación.
La autoridad de certificación debe investigar cuidadosamente toda la información contenida en el
certificado de autor, ya que es un compromiso legal.

Los certificados de autorización existen para que los emisores prueben la información acerca
de ellos mismos. Por ejemplo, si un médico se pone en contacto con un hospital y solicita informes
acerca de ciertos medicamentos, es preferible que el hospital esté completamente seguro que ese
individuo es un médico y no un impostor que hará mal uso de esa información. Otro ejemplo es
un individuo que compra un artículo cuya posesión es ilegal en ciertos lugares. Es importante para el
negocio que provee el producto conocer la dirección del individuo que solicita la mercancía.

Certificados de transacción El último tipo de certificado disponible es el de transacción. El
certificado de transacción provee al receptor del mensaje información acerca de la transacción misma.
Por ejemplo, el certificado de transacción prueba que alguien hizo un cargo o firmó un documento en
presencia de alguien más. Este tipo de certificado sólo sirve para una ocasión.

Se crea combinando una llave pública con una privada. Por ejemplo, si se debe firmar un
documento legal en presencia de un abogado, el individuo firma el documento y proporciona
una copia de su llave pública personal, y luego hace que un abogado cifre el mensaje completo

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

con la llave privada del abogado. Como verá, este tipo de certificado se usa principalmente para
asuntos legales.

En la tabla 12-1. se hace un resumen de los tres tipos diferentes de certificados con la información
que cada uno proporciona.

Firmas digitales

Las firmas digitales son uno de los atributos principales de la infraestructura de llave pública, que
hace que las transacciones sean más seguras por Internet. Son la marca de identidad en el mensaje
de Internet. Muy parecida a la firma manual en un documento legal, esta firma sirve para identificar
a quien la origina. Contiene la identidad verificada del sujeto, con atributos como nombre, lugar de
trabajo o dirección. Otra pieza de información muy importante que la firma digital contiene es la
parte que emitió el certificado, como discutiremos.

La firma digital es un compromiso legal si se usa en forma correcta, y se utiliza con confianza.
Por ejemplo, el gobierno de Estados Unidos acepta contratos firmados correctamente de esta manera.
El Instituto Nacional de Estándares y Tecnología (NIST, National Institute for Standards and
Technology) también ha establecido que una firma digital es legal. Sin embargo, hay que recordar
que hasta ahora no ha habido casos en las cortes que hayan establecido qué especificaciones deben
tener las firmas para que puedan ser aceptadas en un juicio. En general, las firmas digitales que
usan una llave de cifrado y que garantizan la identidad de las partes son compromisos legales. Se
especula que las firmas digitales algún día reemplazarán a las manuales en documentos importantes,
porque no sólo prueban que las dos partes están de acuerdo en el documento, sino que comprueban
exactamente lo que el documento decía en el momento de la firma. Gracias al cifrado, el documento
no puede ser descifrado si se le hace algún cambio, de manera que no existe la posibilidad de un
documento falso una vez que ha sido firmado.

Una forma de verificar la identidad cuando se considera la firma digital es contar con el principio
que sólo la llave privada descifra la llave pública. Por consiguiente, si usted confía en que la persona

Tipo de certificado Información proporcionada
Identificación
La identidad verificada del emisor, incluidos nombre y
Autorización compañía.

Transacción Nombre, dirección, edad, empresa, permisos especiales
o calificaciones del emisor.

Prueba de que el emisor firmó o modificó el mensaje en
presencia de una autoridad legal.

www.FreeLibros.me

Fundamentos de comercio electrónico

con quien desea comunicarse es la única que tiene acceso a la llave privada, es evidente que si
descifra el mensaje comprueba su identidad. De acuerdo con esta suposición, la firma digital
es simplemente la identidad del emisor, el nombre de la empresa y la dirección enviados en
código. Si la persona con la llave privada en realidad los mandó, sólo la llave pública descifrará
la información.

Sin embargo, en la mayor parte de las situaciones comerciales, la capacidad para cifrar y
descifrar no es suficiente. Una persona o una empresa envía un mensaje y su llave pública, al
solicitar información confidencial usando el nombre de otra compañía. En pocas palabras, el solo
hecho que la llave pública descifre el código no significa que la empresa con la que usted desea
comunicarse haya enviado el código en primer lugar.

Autoridades de certificación

En algún momento en la comunicación por Internet hay que confiar en alguien por completo. Una
parte extremadamente importante de la infraestructura de llave pública que permite que nuestra
plática anterior acerca de cifrado se efectúe, es la autoridad de certificación. La autoridad de
certificación (AC) es un tercero que actúa como una fuente fiable que garantiza las identidades
de las partes que tratan de comunicarse.

Una autoridad de certificación es muy parecida a la que emite licencias o pasaportes. Se trata de
documentos oficiales que comprueban a los demás que el propietario del certificado es en realidad
cierta persona. La autoridad de certificación emite y administra los certificados digitales.

Tareas y responsabilidades administrativas La primera responsabilidad de la autoridad de certifi-
cación es verificar la identidad de un individuo que utiliza formas tradicionales de identificación,
como licencias certificadas o registros de identificación y de la compañía. Cuando se ha establecido
la identidad, la autoridad de certificación emite un certificado digital que designa una llave pública y
una llave privada para el individuo. En consecuencia, es la autoridad de certificación quien garantiza
finalmente que la persona con la que usted se desea comunicar es en realidad quien piensa que es,
basándose en la propiedad del par de llaves pública y privada.

Cuando el certificado digital se encuentra en posesión del individuo verificado, la autoridad de
certificación respalda la identidad sólo durante cierto tiempo, o hasta que cualquier cosa cambia
dentro del significado, como el nombre de la persona, su puesto, o su jefe. Si el cambio ocurre,
o si se llega al límite de tiempo, el certificado caducará y la autoridad lo colocará en una lista
de caducados. La administración de los certificados es la tarea más importante de la autoridad de
certificación. El sistema en el que los certificados expiran con el tiempo o con los cambios refuerza
mucho la seguridad.

Cuando el certificado caduca, la autoridad de certificación lo suma a la lista de certificados
caducados, que se publica cada tres meses, de la misma forma que el reporte de los números de
tarjetas de crédito vencidas. Es responsabilidad de la parte individual revisar que los certificados que
llegan sean válidos. El problema más común que surge con este sistema es que no se puede saber
cuáles certificados han caducado y, por consiguiente, que ya no están certificados, hasta el siguiente
reporte. Como se trata de un probable problema de seguridad, varias autoridades de certificación han
instalado una base de datos que se actualiza continuamente, y el público tiene acceso a ella. Como
regla general, cuanto más reciente sea el certificado, más confianza se puede tener en él.

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública
Algunas precauciones con la autoridad de certificación Como la infraestructura de llave pública es
aún joven y el sistema de autoridades de certificación todavía no se perfecciona por completo, hay
varios asuntos que se deben tener en mente cuando se elige uno. Antes que nada, hay preguntas
acerca de la fiabilidad misma de la autoridad de certificación. Ambas partes deben estar seguras
que la autoridad de certificación es honesta y que ha efectuado las revisiones necesarias para
garantizar la identidad. Por ejemplo, una empresa o un individuo que desea tener acceso a los
mensajes privados de usted, puede hacerse pasar por una autoridad de certificación para tener una
copia de la llave de descifrado.

Para proteger a las empresas de estos impostores, y para asegurar la calidad de las autoridades de
certificación, la mayor parte de ellas tiene un certificado de autorización propio. Se puede pedir una
verificación más amplia a este segundo grupo. Evidentemente, ahora deberá confiar en la autoridad
de certificación que reporta sobre la autoridad de certificación con la que usted desea trabajar. El
proceso podría llegar al infinito. Se está estableciendo un diagrama que dice por fin "ésta es la
última capa de autoridades de certificación que existe": se trata de la máxima autoridad. Algunas
personas argumentan que esta última capa debe ser el gobierno; por el momento, sin embargo, no
hay ninguna estructura oficial instalada.

La mayor parte de las empresas busca autoridades de certificación que tengan una reputación
conocida y confiable para sus certificados personales, o para verificar los certificados que quieren.
Por ejemplo, puesto que las transacciones comerciales adicionales que no se efectuaban cara a
cara se enviaban a través del Servicio de Correos de Estados Unidos, los negocios confiaban en la
Oficina de Correos como su autoridad de certificación.

Cuando la autoridad de certificación otorga una firma digital, emite una declaración certificada
de práctica, que es un documento legal que explica con detalle la identidad del usuario, cuándo se
emitió el certificado, lo que la autoridad de certificación garantiza con él, y cuándo caduca. Esta
documentación se usa con frecuencia como una guía para que las empresas decidan hasta qué grado
pueden confiar en la autoridad de certificación.

www.FreeLibros.me

Fundamentos de comercio electrónico

Las autoridades de certificación también publican las políticas generales para certificación que
se envían con la firma digital. Estas políticas ayudan a las empresas a decidir la cantidad de
confianza que darán a la firma digital y a la autoridad de certificación de alguien más. Las políticas de
certificación listan las limitaciones y las condiciones posibles detrás de la firma digital.

Autoridades de registro

Las autoridades de registro son empresas separadas a las autoridades de certificación que se usan
para registrar o establecer usuarios nuevos en la infraestructura de llave pública. En otras palabras,
son los intermediarios que reciben las solicitudes para certificados de los usuarios, hacen toda la
investigación para garantizar la identidad del usuario, y luego se ponen en contacto con la autoridad
de certificación. Las autoridades de registro no dan firmas digitales.

Existen buenos motivos para usar autoridades de registro. En primer lugar, son por lo general
empresas individuales que actúan como eslabón entre usted y las autoridades de certificación. Esto
significa que a pesar que la autoridad de certificación detrás de la firma digital se encuentre en otro
país completamente diferente, las autoridades de registro están directamente en el otro lado de su
ciudad. Esto facilita la interacción de la empresa con la autoridad de registro, que incluye reuniones
cara a cara para verificar la identidad.

Otra ventaja clara es que las acciones de solicitar y verificar la identidad están totalmente
separadas de las de emitir el certificado. De nuevo, sólo se trata de otro paso de seguridad que
separa la información privada del certificado real.

Por último, el uso de las autoridades de registro libera el tiempo de las autoridades de certificación.
Las investigaciones respecto a la identidad de la empresa o del individuo son por mucho el aspecto
que más tiempo consume de la infraestructura de llave pública. Al eliminar esta tarea del trabajo de
las autoridades de autorización, les permite centrarse en los demás aspectos de la administración
de la infraestructura de llave pública.

Cómo asegurar que la transacción no se modifique

El tercer aspecto para establecer confianza es la capacidad de verificar que el mensaje no haya
sido modificado de cualquier modo durante su paso por Internet. La firma digital, que revisa la
identidad del emisor, también se usa como un mecanismo de rastreo para detectar si el mensaje
ha sido manipulado de alguna manera.

Asegurar la autenticidad del mensaje se basa en la misma teoría que verificar la identidad. Si se
identifica al usuario que es dueño de la llave privada que concuerda con la llave pública con la que
usted está cifrando, usted está seguro que sólo esa persona puede leer el mensaje. En forma muy
similar, si se agrega o se elimina algo del mensaje cifrado mientras se transfiere por Internet, no
se podrá descifrar. Las dos llaves trabajan únicamente juntas, y sólo sirven si nada ha cambiado
entre el cifrado y el descifrado.

Cómo comprobar la aceptación

La infraestructura de llave pública también permite que una empresa compruebe que se efectuó una
transacción. De nuevo, la misma tecnología que garantiza la identidad y que asegura confidencialidad

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

provee la aceptación. Una compañía o un individuo no puede negar haber enviado un mensaje si la
firma digital en el mensaje verifica la identidad del emisor.

La infraestructura de llave pública también presenta una opción que prueba que un mensaje
fue creado en cierta fecha a cierta hora. Esta función se llama sello digital. Con frecuencia, en
las transacciones comerciales es importante mostrar que los mensajes o avisos fueron elaborados
y enviados en un cierto tiempo especificado. La forma más fácil de hacerlo es remitir una copia
del mensaje en una forma que la autoridad de certificación no pueda leer. Luego, la autoridad
de certificación manda una copia del mensaje ilegible a la parte que debe recibir el mensaje. La
autoridad de certificación envía, además, un certificado que establece que recibieron este mensaje
en determinado día a tal hora.

EJEMPLO DE LA VIDA REAL

La infraestructura de llave pública es más fácil de entender si se utiliza un ejemplo paso a paso
de la manera en que una empresa usa el sistema de seguridad. En este ejemplo, dos individuos,
Mateo y Raúl, desean tener transacciones comerciales confiables y asegurarse que Jorge no robe
su información más secreta.

Mateo se pone en contacto con la autoridad de registro local y solicita una infraestructura de
llave pública. La autoridad de registro local verifica la identidad de Mateo utilizando las formas
de identificación tradicionales, como reuniones frente a frente, la licencia de manejo, y registros de
la empresa notariados. Cuando la autoridad de registro ha revisado con detalle a Mateo, envía esta
información y su aprobación a una autoridad de certificación internacional.

La autoridad de certificación elabora un certificado para Mateo, estableciendo su nombre, su
dirección, y la empresa para la cual trabaja. Anexan una copia de la llave pública designada para
Mateo, un vínculo de referencias con las condiciones bajo las que este certificado es válido, y sus
calificaciones personales para emitir el certificado. Envían a Mateo la copia de este certificado y
una copia de su llave privada.

Entonces Mateo envía a Raúl un mensaje por correo electrónico por Internet con una copia de
su certificado cifrado con su llave privada, y una copia de su llave pública. El certificado cifrado
es ahora la firma digital de Mateo que comprueba su identidad. Cuando recibe el mensaje, Raúl
descifra la firma digital con la llave pública que le enviaron. Como la autoridad de certificación
ha verificado que la llave pública fue entregada a Mateo, y la autoridad de registro ya verificó que
Mateo es en realidad Mateo, Raúl sabe que este código no sólo mantendrá privada la información
que envía, sino que la persona con la que se comunica es en realidad Mateo. Como se tomaron
todos estos pasos, Raúl confía en que no se está comunicando con Jorge, quien se podría hacer pasar
por Mateo, y enviar un segundo código público. Raúl revisa por última vez la seguridad del certificado
entrando en la base de datos de los certificados vencidos de la autoridad de certificación. Raúl se
cerciora que el certificado de Mateo sirve, y ahora Mateo y Raúl están listos para comunicarse.

Mateo envía a Raúl mensajes cifrados con su llave privada, y Raúl los descifra con la llave pública
que llegó en la firma digital de Mateo. Raúl lee el mensaje, lo responde, y cifra su mensaje con la
llave pública antes de enviarlo a Mateo. Cuando Mateo recibe el mensaje, usa la misma llave privada
que usó para cifrar el mensaje para Raúl a fin de descifrar el mensaje que Raúl le envía.

www.FreeLibros.me

Fundamentos de comercio electrónico

SEGURIDAD ESPECÍFICA PARA LAS VENTAS

POR INTERNET

En el caso del comercio electrónico, las empresas con frecuencia quieren que sus productos y
servicios se encuentren disponibles por Internet. En esta situación, la transacción comercial se
efectúa sin que las dos partes se reúnan jamás, y sin que hablen directamente entre ellos. Las ventas
por Internet son transacciones comerciales como cualquier otra, y también es importante establecer
confianza en esta situación. Los servicios de la infraestructura de llave pública también se aplican
a las situaciones de ventas por Internet.

Comercio por Internet desde el punto de vista del proveedor

Si su negocio proporciona bienes y servicios por Internet, hay tres cosas que la empresa debe
garantizar en forma realista antes de tomar parte en una transacción comercial. Los tres factores son
la identidad del comprador, la aceptación y la seguridad de pago.

Identidad del comprador

En las antiguas formas de venta, como las ventas frente a frente y por teléfono, era mucho más
fácil comprobar la identidad. Evidentemente, el contacto frente a frente establecía con claridad la
identidad, y el comprador no iba a alegar en el momento del pago que en realidad el comprador era
otra persona diferente. En el caso de las ventas por teléfono y por catálogo, alguien debe efectuar
la llamada, lo que deja un rastro hacia el comprador. En el comercio por Internet, ya hemos tratado
el problema de las identidades falsas.

El intercambio de un certificado de autorización evidentemente dará al comerciante toda la
información necesaria y la prueba de identidad. Sin embargo, conseguir un certificado consume
tiempo y es muy fastidioso. Es posible que desaliente a los compradores, y que no hagan la
compra.

En el mundo real, la mayor parte de las empresas no requiere que se use el certificado en las
compras menores, porque ahuyenta las ventas. Sin embargo, en el caso de compras importantes,
es posible requerir un certificado. También es posible solicitar uno si el producto que se vende es
ilegal en algunas áreas, o si requiere un permiso de algún tipo. Al final, se trata de una decisión
personal de la compañía.

La mayor parte de los consumidores que hace muchos negocios por Internet tiene sus llaves
públicas y sus certificados de identificación. Al final, tener estas seguridades beneficia y protege en
gran medida a los consumidores, y es lo que más les conviene.

Aceptación y seguridad de pago

En cuanto a las ventas por Internet, la verificación de pago y el concepto de aceptación van
de la mano. La mayor parte de las empresas no requiere prueba de identidad si tiene el pago
asegurado. El intercambio de dinero por Internet se hace muy frecuentemente con el uso de las
tarjetas de crédito.

El número de las tarjetas de crédito no se procesa de inmediato, ya que el costo de tener acceso
a cada número de tarjeta sería enorme. Sin embargo, en el momento en que los compradores

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

introducen su número de tarjeta de crédito, de alguna manera se están identificando. Es fácil
rastrear el número de tarjeta de crédito hasta el individuo que la posee. También es difícil que
alguien niegue haber comprado algo si el comerciante tiene el número de la tarjeta de crédito
del consumidor.

Comercio por Internet desde el punto de vista del consumidor

De la misma manera que al comerciante le preocupan las transacciones que ocurren cuando se
compra un producto en un sitio web, el consumidor también tiene problemas de confianza. Como la
meta de cualquier negocio electrónico es vender bienes y servicios, es increíblemente importante que
el consumidor tenga confianza en el comerciante. Los tres problemas que el consumidor tiene son
muy parecidos a los del comerciante: autorización de la compañía, aceptación y confidencialidad.

Autorización del comerciante y aceptación

Cuando los consumidores envían números de tarjetas de crédito por Internet, lo más importante que
desean asegurar es la identidad de la empresa a la que están mandando la información. La verificación
de la identidad de la compañía también ayuda a convencer a los consumidores que los bienes y
servicios que adquieren son exactamente lo que desean, y que serán de buena calidad.

La primera forma para establecer confianza con un consumidor es mediante los logotipos
visuales en su sitio en el Web. Si el sitio web da la impresión de ser oficial, el consumidor estará
mucho más tranquilo. La segunda forma en que un consumidor verifica la identidad del comerciante
es con el rastro de la tarjeta de crédito. El consumidor rastrea al comerciante de la misma manera que
el comerciante sigue la pista al consumidor. El seguimiento de la tarjeta de crédito también ayuda
al consumidor a comprobar que la transacción se efectuó. Por último, como se ha mencionado, la
mayor parte de los consumidores que hacen muchos negocios en Internet tienen su seguridad de
infraestructura de llave pública ya instalada.

Confidencialidad

La principal preocupación de los clientes nuevos que compran por Internet por primera ocasión es
el aspecto de la confidencialidad. Las personas temen que los números de sus tarjetas de crédito
sean interceptados. En realidad, no es una preocupación legítima. Es más fácil robar los números de
tarjetas de crédito de los recibos que son arrojados a la basura fuera de las tiendas, o espiando las
llamadas telefónicas. De nuevo, si los consumidores se preocupan demasiado por la confidencialidad,
invertirán en una llave pública y enviarán la información cifrada.

OPCIONES DE LA INFRAESTRUCTURA DE LLAVE PÚBLICA

PARA SU EMPRESA

En lo que se refiere a la infraestructura de llave pública, las empresas tienen muchas opciones en
el mercado actual. Ya que se puede fraccionar la infraestructura de llave pública en tantas piezas
pequeñas, hay varias soluciones de ésta que se pueden instalar. Al final, la elección se debe basar
en la solución en la que usted confíe más.

www.FreeLibros.me

Fundamentos de comercio electrónico

Cómo comprar

Al igual que con las demás soluciones de seguridad, es importante tener un plan cuando se compran
soluciones de infraestructura de llave pública. Revise muy bien los tipos de transacciones que hace
su empresa por Internet, qué tan seguras deben ser esas transacciones, y el nivel de confianza que la
empresa y los clientes poseen en la seguridad de esas transacciones.

Interoperabilidad

Hablando en forma cruda hoy, la interoperabilidad es el principal problema de la infraestructura
de llave pública. Como es una tecnología nueva, hay muy pocos estándares y, en consecuencia,
existen problemas. La mayor parte de las empresas tiene redes complejas que confían en diferentes
soluciones de software y de hardware para proporcionar la tecnología de transacción necesaria por
Internet. La solución de infraestructura de llave pública que escoja su empresa debe ser capaz de
trabajar con todos los medios diferentes que la red contenga.

Es menester que la solución de infraestructura de llave pública que elija también sea lo
suficientemente grande como para abarcar las diferentes necesidades de la compañía. Por ejemplo,
es especialmente importante para un negocio electrónico asegurar que la solución de infraestructura
de llave pública también se extiende a los usuarios del sitio web de la empresa. Así mismo, tal
infraestructura debe ser lo suficientemente flexible no sólo para cubrir estos clientes mientras
trabajan en su sitio web, sino para trabajar con los sistemas de ellos, incluidos otros sistemas
de infraestructura de llave pública, para garantizar la seguridad de las demás formas de comuni-
cación, como el correo electrónico. La mayor parte de las autoridades de certificación posee
un reporte detallado al que se tiene acceso y que proporciona las capacidades individuales de
interoperabilidad.

Por fortuna, mucho del software disponible incluye capacidades de infraestructura de llave
pública. Por ejemplo, Netscape Messenger y Microsoft Outlook poseen una característica que
habilita a los usuarios a agregar sus firmas digitales con un simple clic sobre un botón. La mayor
parte de las empresas también usa otro software listo para la infraestructura de llave pública que
cubre automáticamente sus sitios web, para que quienes compren productos en el sitio o envíen
dinero a la empresa tengan la más completa seguridad.

Evalúe la necesidad de infraestructura de llave pública

Otro paso importante en la elección de una solución de infraestructura de llave pública es evaluar
la necesidad de la empresa por tenerla. En el comercio electrónico, hay muy pocas dudas de si la
empresa necesita una solución de infraestructura de llave pública. Cuando se comunica información
confidencial fuera de la red segura, es importante garantizar esa información. La seguridad se reduce
a confianza. Es importante para los clientes potenciales confiar en su empresa y en su seguridad. Si
compran artículos en su sitio web, deben estar perfectamente convencidos que cualquier información
confidencial que introduzcan en realidad irá en forma directa hacia la empresa de usted sin que haya
espionaje ni modificaciones. Es preciso que los clientes también estén conscientes que cualquier
transmisión de su información confidencial dentro de la empresa será manejada con absoluta
seguridad. Por último, tanto usted como su cliente deben garantizar que se puede seguir el rastro de
las transacciones y verificarlas, para que ninguna parte se retracte del trato de negocios.

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública

Accesibilidad

La solución de infraestructura de llave pública que su empresa elija también debe ser suficientemente
sencilla para que las personas la usen. Esta infraestructura es un tema que confunde, y la solución
que se instale tiene que ser fácil de usar, y es preciso explicarla a las personas dentro de la empresa
y a los clientes de manera que la comprendan. Los clientes y los empleados de la empresa deben
conocer las ventajas de tener infraestructura de llave pública y del nuevo nivel de confianza que
poseen en las transacciones por Internet.

Dónde comprar

Hay muchos proveedores de infraestructura de llave pública en el mercado en esta época. El
mejor lugar para encontrar vendedores es en Internet. Muchas empresas compran pegándose a
los nombres grandes de la industria. De nuevo, su empresa debe tomar la decisión con base en
sus necesidades individuales. La tabla 12-2 lista varias autoridades de certificación grandes y
sus direcciones web.

Contratar el servicio contra administrar

La última decisión importante que deberá tomar mientras elabora su plan de infraestructura de llave
pública está relacionada con la confianza que tenga en que esta importante pieza de seguridad quede
en las manos de su personal. En realidad hay tres formas de establecer la infraestructura de llave
pública en su empresa: es posible ejecutar toda la infraestructura de llave pública de forma interna;
se puede traer a una autoridad de certificación a la empresa para que administre ese aspecto de la
infraestructura, o se pueden contratar completamente todos los aspectos de ésta.

Nombre de la empresa Sitio web
Verisign www.verisign.com
Cybertrust www.cybertrust.com
Entrust www.entrust.com
Xcert www.xcert.com
IBM www.internet.ibm.com / commercepoint

www.FreeLibros.me

Fundamentos de comercio electrónico

Ejecute su infraestructura de llave pública

Una opción para la empresa es ejecutar completamente la infraestructura de llave pública propia.
Esta opción implica que usted mismo ejecutará los aspectos de autoridad de certificación y de
autoridad de registro. Lo obliga a efectuar todas las investigaciones de los individuos que desean
comunicarse mediante su sistema de infraestructura de llave pública, a emitir las llaves públicas y
privadas, y a garantizar que las firmas digitales son legales y que obligan a compromiso.

La principal ventaja de ejecutar por completo su infraestructura de llave pública es que no debe
confiar en nadie más. El sistema es tan seguro como usted lo haga. La principal desventaja es que es
difícil de manejar. Hacen falta varias personas y muchas horas de trabajo para instalar y mantener
un sistema de infraestructura de llave pública que se ejecute completamente de manera interna.
Todos los individuos nuevos que soliciten un certificado deben ser verificados a conciencia. Y no sólo
tendrá que preocuparse por los individuos nuevos; como se mencionó antes, el certificado tiene un
periodo de vida. En el plan de infraestructura de llave pública más seguro, los certificados caducan
con frecuencia. Hay mucho trabajo manual para ejecutar tal infraestructura.

Contrate una autoridad de certificación para ejecutar la infraestructura
de llave pública dentro de la empresa

Otra opción para esta infraestructura es contratar una autoridad de certificación a fin de administrar
los certificados, pero contratarlos para que trabajen dentro de la empresa. Con este escenario, la
carga de hacer realmente el trabajo de investigación de los usuarios y el mantenimiento de los
certificados cae en los hombros de la autoridad de certificación, la cual está capacitada para trabajar
con la infraestructura de llave pública, y puede intervenir de inmediato y empezar a instalar la
solución desde el primer día. Se ahorra mucho tiempo y dinero en entrenamientos. Otra ventaja de
tener a la autoridad de certificación dentro de la empresa es que ésta todavía retiene una buena dosis
de control sobre todo el proceso. La seguridad de nuevo es la que la empresa prefiera implantar, de
acuerdo con los lineamientos generales de profesionistas contratados.

Contratar la infraestructura de llave pública

La última opción es contratar fuera todo el paquete de la infraestructura de llave pública. La ventaja
evidente de este método es que no se coloca ninguna carga ni trabajo adicional sobre la empresa, y
todo el trabajo es hecho por profesionales que ya conocen el material y que no es necesario que sean
capacitados. La desventaja de contratar completamente la infraestructura de llave pública es el factor
de confianza y de costo. La empresa debe decidir cuánto confía en la autoridad de certificación y en
la autoridad de registro. Por ejemplo, ¿sus investigaciones son lo suficientemente detalladas? Si es
así, ¿son sus instalaciones seguras, para que nadie pueda entrar y tener acceso a las llaves privadas
que están guardadas en ellas? Asegúrese de investigar a fondo para verificar que la autoridad de
certificación que está considerando tenga buena reputación, y que no se trata de otra manera en que
las compañías ilegítimas obtienen acceso a documentación privada.

En general, la decisión de contratar la infraestructura de llave pública casi siempre se balancea
en el aspecto de la confianza. La empresa debe confiar en tal infraestructura para que los clientes
confíen en la empresa. Cualquiera que sea la solución que la empresa escoja, la instalación de la
infraestructura de llave pública mejorará mucho la seguridad de las transacciones de Internet.

www.FreeLibros.me

Capítulo 12: Infraestructura de la llave pública
El aspecto más importante de construir una buena relación comercial de trabajo por Internet es
establecer confianza entre dos partes que se comunican, lo que se logra garantizando la identidad,
la confidencialidad, la autenticidad y el hecho que la transacción se haya efectuado. Las empresas
verifican todos los factores de confianza anteriores mediante la solución de infraestructura de
llave pública.

www.FreeLibros.me

www.FreeLibros.me

Cómo asegurar
los servidores para
comercio electrónico

www.FreeLibros.me

Fundamentos de comercio electrónico

espués de tener un plan para hacer la red privada segura, y un método para salvaguardar
las transacciones entre ésta y los socios comerciales, llega el momento de enfocarse en
el eslabón débil que conecta las entidades que usted controla con el resto del mundo:
el servidor web.
Este capítulo estudia con más detenimiento los peligros que rodean al servidor web. Discutiremos
en términos generales en que consiste su vulnerabilidad, y la manera en que genera oportunidades
para que los intrusos tengan acceso a la red privada. También revisaremos las transacciones que
ocurren por Internet en coordinación con el sitio web de su empresa, así como algunas pistas
específicas para protegerse aún más de los terroristas electrónicos.

SEGURIDAD DEL SERVIDOR WEB

El servidor que conecta la empresa con Internet, y viceversa, está en peligro constante. Es
indispensable tener una idea muy clara de los riesgos que rodean a este servidor, y de las medidas
de seguridad que se deben tomar para protegerlo.

Por qué es indispensable la seguridad del servidor

El término "terroristas electrónicos" pone los pelos de punta a los administradores de redes del
comercio electrónico, sólo por las historias muy difundidas que se publican continuamente en
forma de leyendas acerca de la computación. Aunque una buena parte de las exageraciones se
atribuyen a la paranoia, hay mucho de qué preocuparse en lo referente a la seguridad de los
servidores web.

En el capítulo 11 señalamos la seguridad básica de la red, y observamos que el servidor web es
la principal amenaza probable de seguridad para la red privada. Los usuarios en la empresa tienen
acceso a una infinidad de recursos de Internet a través de ese servidor. Es cierto que la red de redes ha
abierto las puertas a las oportunidades comerciales que no hubieran sido concebidas hace cincuenta
años, pero también es verdad que el mismo servidor abre la red privada de su empresa a cualquiera
en Internet que tenga malas intenciones.

A diferencia de los ataques a la seguridad de la red privada, en la que hay muchos problemas
que se deben a un error accidental de los usuarios, los embates en torno a los servidores web se
hacen con un propósito definido. Por ejemplo, hay millones de computadoras personales que tienen
acceso a Internet, y al igual que cualquier servidor, cada una de ellas corre el riesgo de ser invadida.
Sin embargo, hay muy pocos casos de terrorismo electrónico contra las computadoras personales
publicados en los medios, porque a nadie le interesa si son invadidas. La información no tiene
importancia para quien no sea el dueño. La mayoría de los agresores busca los servidores para su
terrorismo precisamente porque siempre hay información de valor en el servidor. Cuando alguien
atenta contra un servidor, nunca se trata de un accidente, porque el servidor es atacado con un
motivo específico, o sólo porque es un servidor.

Se atacan los servidores web por dos motivos. El primero es que una agresión de este tipo
proporciona al intruso información vital que usará después para lograr entrar en la red privada.
El segundo objetivo posible detrás del ataque al servidor web es obtener acceso a la interfaz con
Internet mismo, y cambiar la información publicada por Internet.

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico

Protección de los datos confidenciales

Como ya lo discutimos, si un intruso logra entrar en su red privada, usted tendrá varios problemas
de seguridad inmediatos. Desde dentro de la red, los malhechores roban los nombres de usuario y
las claves de acceso, e incluso elaboran su cuenta propia, lo que les garantiza el acceso a servidores
internos, disfrazados como usuarios autorizados. Si el atacante entra en la red privada con un
nombre de usuario y una clave de acceso, tendrá la capacidad de manipular las aplicaciones, por
lo que ocasiona problemas de acceso a los empleados que tienen la autoridad real de usarlas.
Este intruso también tiene la capacidad de robar datos confidenciales, o de cambiar los que ya
están guardados en la red, lo que pone en peligro la confidencialidad de la empresa. Por último,
el impostor puede enviar esta información confidencial o modificada a los clientes o a otras
empresas, quienes tienen la impresión de que proviene de un usuario legítimo dentro de la compañía
invadida.

Protección del sitio web

El segundo tipo de ofensiva de la que se debe proteger la empresa es un ataque sobre el servidor
web mismo. Algunos agresores no tratan de robar la información sensible de las empresas, y ni
siquiera tratan de llegar a la red privada. Algunos terroristas electrónicos invaden sencillamente por
el reto de fastidiar un servidor. Quizá la empresa de usted es muy conocida, y recibe muchas visitas
en su sitio web, lo que la convierte en un buen blanco para los terroristas electrónicos, quienes
desean invadir los servidores web y dejar su marca para probar sus habilidades en el terrorismo
electrónico. O tal vez el terrorista electrónico se molestó profundamente por algo que se publicó o
que se promocionó en la página web, e invade el servidor web para alterar el sitio como protesta.
Cualquiera que sea el caso, es indispensable proteger la integridad del sitio, y garantizar que la
información que se publica no puede ser manipulada.

Los motivos para hacer el sitio web seguro son muy evidentes. Si alguien irrumpe en tal
servidor, y el terrorista electrónico cambia la información en el sitio web, la información podría ser
reemplazada por una parodia obscena o por material ofensivo. Los clientes que se sientan ofendidos
por el sitio no comprarán nada, y ni siquiera se quedarán en él el tiempo suficiente como para
descubrir la verdad acerca de la empresa. Además, los clientes y los socios comerciales se sentirán
intimidados sencillamente por el hecho que un terrorista electrónico logró entrar en el servidor
web y pudo cambiar el sitio en Internet. Si las personas creen que a su empresa le falta seguridad,
no comprarán nada en su sitio, ni se sentirán cómodas con cualquier otra transacción comercial
relacionada con Internet. Por último, cualquier tiempo perdido que sufre el sitio debido a la
reconstrucción es costoso en términos de menoscabo del negocio y de la productividad.

Un ejemplo como advertencia

No obstante todas las advertencias que los expertos en seguridad emiten, los terroristas electrónicos
sí invaden los servidores web y cambian las presentaciones de los sitios todo el tiempo. Si usted
necesita convencerse de la necesidad de proteger la imagen de su empresa haciendo su sitio web
seguro, piense en lo que sucedió en un sitio de la CIA en 1996. Un terrorista electrónico invadió
el servidor web que contiene el sitio de la red, y efectuó algunos cambios para dar a conocer su

www.FreeLibros.me

Fundamentos de comercio electrónico

opinión personal respecto a la agencia. No hace falta decir que a la mañana siguiente, el sitio
estaba en reconstrucción.

Cómo proteger el servidor web y el sitio

Use un plan de seguridad para el servidor web con objeto de que el servidor web sea a prueba
de terroristas electrónicos, al evitar que entren en la red privada y que manipulen el sitio web.
Uno de estos planes bien diseñado toma en consideración la red que se tiene actualmente, la
tecnología de Internet que le gustaría instalar, y el nivel de seguridad que necesitará, considerando
la confidencialidad de las comunicaciones. Dadas estas calificaciones, el plan se centra en alguna
forma de proteger el servidor web, y para resguardar las comunicaciones que entran y salen
de él.

Ahora que hemos identificado los problemas que se suscitarán si el servidor llega a ser in-
tervenido, ha llegado el momento de revisar las medidas de seguridad que se colocan para detener
un ataque como éste. Existen muchas formas diferentes de aumentar la seguridad del servidor
web.

Políticas

La seguridad del servidor web es otro tema complejo de resguardo que se maneja mejor mediante
organización. Es más, lo más importante que usted puede hacer por su servidor y por su sitio es
establecer políticas claras respecto a la seguridad en el Web. Un plan comprensible ayuda al proceso
de seguridad de varias maneras:

▼ Un plan de políticas ayuda a definir dentro de la cabeza lo que se permite y lo que no
se permite. Aunque parezca extraño, es preferible tener lineamientos para saber si ha
ocurrido una violación.

■ Las políticas escritas también ayudarán a los demás a comprender cuáles son las medidas
de seguridad, y el motivo por el que usted las refuerza. Esta medida de seguridad interna
no sólo evitará que las personas dentro de su empresa rompan las políticas, sino que les
ayudará a identificar otras violaciones posibles.

▲ Las personas que usan el sitio utilizan las políticas escritas como guía. Esto ayuda a
establecer confianza, que resulta esencial para el negocio. Las políticas escritas sirven
también como advertencias públicas contra las violaciones de las políticas, y le ayudarán
legalmente contra los agresores.

Cuanto más claramente exponga sus políticas y los motivos para ellas, más fácil será para usted
y para sus usuarios instalar el sistema.

Cuando elabore estas políticas escritas, no es necesario que siga algún formato rígido; sin
embargo, debe incluir algunos puntos clave:

▼ Los permisos que cubren quién está autorizado para usar el sistema, cuándo se le permite
hacerlo, y qué puede hacer dentro del sistema.

■ Cuál es una conducta adecuada y cuál es inadecuada en el sistema.

■ Los procedimientos que se siguen para agregar o para eliminar el acceso de los usuarios
al sistema.

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico

■ Cuáles son los métodos para abrir las sesiones locales y remotas.
▲ Cuáles son los procedimientos de supervisión, y qué hacer cuando se encuentra una violación a

la seguridad.

Cómo elegir un servidor

Cuando la empresa ha desarrollado sus políticas, llega el momento de revisar el hardware que
estará implicado en el sistema. Aunque parezca tonto, la elección del servidor afectará sus trabajos
de seguridad para Internet. A largo plazo, tomar medidas de prevención es mucho menos costoso
que no estar preparado.

Una de las formas más fáciles de asegurar mejor a los servidores es recordar que mientras más
básicas son las características del servidor, es más problemático meterse en él. Por ejemplo, los
servidores más difíciles de atacar son los de especialidades. El razonamiento que sustenta esta
solución es que cuantas menos funciones ejecuta el servidor, menos agujeros habrá por donde los
terroristas electrónicos pueden entrar. Sin embargo, tenga en mente que, bueno, tener un servidor que
hace pocas cosas significa tener un servidor que hace pocas cosas. La mayor parte de las empresas
necesita y prefiere las ventajas de desempeño de servidor que ejecuta muchas cosas diferentes, de
manera que pedir un servidor simple es poco realista. Si tener un servidor básico no es posible en su
compañía, otro truco útil es: si no necesita alguna aplicación que se está ejecutando en el servidor
web, desconéctela. Es posible que su servidor siga ejecutando varias aplicaciones diferentes, pero
cuando menos no tiene funciones que sobran.

Hay varias plataformas diferentes (software de opciones de seguridad) disponibles para los
servidores web. Ningún paquete de software presenta una ventaja definida sobre los demás. Todas
las opciones conllevan riesgos particulares. En general, es conveniente elegir una empresa de
software que se mantenga al día con los nuevos parches y soluciones para los agujeros de seguridad
que se van descubriendo.

Ubicación del servidor

El servidor web es la llave de Internet. Ese servidor es la manera en que todos los usuarios de la
empresa tienen acceso al Web. También es la forma en que las demás computadoras personales
en Internet tienen acceso a su compañía.

www.FreeLibros.me

Fundamentos de comercio electrónico
Ya que este servidor es un punto trascendental, es muy importante pensar bien dónde se colocará

dentro de la red. El servidor web, como cualquier otro, evidentemente está en peligro de virus y
de ataques. Casi siempre, los servidores están protegidos detrás de un guardafuegos, que actúa
como filtro, observando cuidadosamente qué y quién tiene acceso a la red. Sin embargo, colocar un
servidor web detrás de un guardafuegos tiene implicaciones peligrosas.

Si el servidor web está detrás del guardafuegos, entonces cualquiera que tenga acceso a él
automáticamente tiene acceso a la parte de atrás del guardafuegos y, en consecuencia a la red
privada. Si el guardafuegos es el agente que actúa para mantener alejados a los intrusos de la
red privada, entonces un servidor web en la parte de adentro contrarresta el propósito del guardafuegos.
La mayoría de las personas considera que es menos complicado cuidar el servidor web de posibles
ataques o de riesgos de seguridad, y manejar las consecuencias a medida que efectúe mantenimiento
y búsqueda de ataques en toda la red privada. Tiene un costo mucho más efectivo arreglar el servidor
web que manejar todas las consecuencias de un problema de seguridad en la red privada.

Existe un punto intermedio afortunado entre sacrificar la red privada completa y efectuar
mantenimientos constantes al servidor web. La mayor parte de las empresas que han luchado
con este problema colocan los servidores web en la zona desmilitarizada para tratar de
proteger su red. La zona desmilitarizada, o DMZ, actúa como una pequeña red independiente.
Se crea cuando el servidor web se separa de la red privada, pero sigue estando detrás del
guardafuegos. Esta diminuta red está totalmente apartada de la red privada, como se muestra
en la figura 13-1.

La configuración de zona desmilitarizada utiliza un servidor de procuración para dividir
la red en dos mitades completamente independientes. Por una parte está la red privada,
que incluye a todos los usuarios y las bases de datos privadas. En la otra parte de la red,
directamente detrás del guardafuegos, están los servidores web y, en ocasiones, los servidores
de correos. En este modelo, quien busque tener acceso al servidor web debe pasar por el
guardafuegos. Pero, los usuarios que tienen acceso al servidor web no tienen rienda suelta
en la red privada. Es más, deben pasar por el servidor de procuración para llegar a la red

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico

privada. El servidor de procuración en este caso actúa como otro guardafuegos, decidiendo quién
y qué entra o sale de la red privada.

Hay varias ventajas definidas en la configuración de la zona desmilitarizada. Primero, separa la
red privada del servidor web, a la vez que permite que éste tenga la seguridad del guardafuegos. El
guardafuegos, como vimos en el capítulo 11, filtra la información que pasa, y decide lo que entra
y lo que no. La red pública nunca está asociada con el servidor web, de manera que si hay algún
tipo de ataque, la red privada permanece segura. Por último, esta configuración también ayuda a
supervisar el uso interno del servidor web. Todos los usuarios internos deben pasar por el servidor de
procuración para tener acceso al servidor web. El servidor de procuración se utiliza para autenticar
y autorizar el acceso de los empleados a Internet.

La desventaja de esta configuración es, evidentemente, el costo. Cuanto más hardware se usa,
más altos son los costos de la instalación. Pero, los beneficios de un servidor del web seguro
justifican rápidamente el dinero que se gasta. El tiempo sin conexión, la pérdida del acceso a
Internet, la reconfiguración y la limpieza después de un ataque es más costoso y podría suceder
más de una vez.

Restricciones configuradas en un servidor web

Un servidor web se configura para restringir ciertas conexiones de acuerdo con una información
programada de antemano. Se programa el servidor para que rechace por completo la conexión, o
para que la limite a ciertos archivos. Las dos restricciones más importantes son, por lo general, las

www.FreeLibros.me

Fundamentos de comercio electrónico

restricciones de la dirección del protocolo de Internet o de nombre de dominio, y las restricciones
de usuario y de claves de acceso. De nuevo, esta medida de seguridad es eficaz porque da al ad-
ministrador de la red más control sobre el servidor web. No cualquiera tiene libre acceso al servidor,
sino que está "cerrado" mediante ciertas restricciones. Aunque las restricciones son una buena forma
de controlar el acceso y el tránsito, no se deben usar como el único método de seguridad, ya que
hasta estas precauciones de seguridad son vencidas.

Restricciones de nombre de dominio o de dirección de protocolo de Internet Se colocan con
frecuencia para permitir que un usuario se conecte con el servidor web en primer lugar. Estas
restricciones están configuradas de manera que no permiten la conexión con ciertas direcciones del
protocolo de Internet. Este mecanismo de restricciones no es un método de seguridad a prueba de
novatos por varios motivos. Primero, un terrorista electrónico con experiencia puede "engañar"
la dirección del protocolo de Internet de donde proviene para hacerla parecer frente al servidor
como permitida. Por no mencionar el hecho que si alguien irrumpe físicamente en una computadora
personal que no está restringida, también podrá llegar hasta el servidor. Las restricciones también
ocasionan problemas a los usuarios que en realidad tienen permiso de acceso, dependiendo de
la manera en que aparezcan sus direcciones de protocolo de Internet después de pasar por el
servidor de procuración.

Restricciones de nombre y de Clave de acceso Algunos archivos dentro de un servidor web otorgan
acceso únicamente después de que el usuario introduce un nombre y una clave de acceso. Por
ejemplo, es posible conectarse con un sitio web, pero para ver la información que desea, deberá
registrarse o convertirse en miembro. En otras palabras, se instalan candados en algunos archivos.
El usuario debe proporcionar al servidor información personal para darle un nombre de usuario y
una clave de acceso que le permitan entrar.

Pero, en forma muy similar a la restricción de la dirección del protocolo de Internet, las
restricciones de nombre y de clave de acceso también presentan problemas de seguridad. Un
problema que disminuye la seguridad es que hay programas reales que ayudan a determinar las
claves de acceso, lo que facilita que el terrorista electrónico descubra la clave de acceso y entre.
Sin embargo, es más frecuente que los problemas de seguridad sean ocasionados por un error del
usuario. La mayoría de los usuarios escoge claves de acceso que son fáciles de adivinar, como sus
nombres, o sus fechas de nacimiento. Además, los usuarios usan frecuentemente las mismas claves
de acceso para varias aplicaciones, en las que es verdaderamente fácil entrar e identificarlas. Por
último, se sabe que los usuarios escriben sus claves de acceso y las pegan con cinta transparente
sobre sus computadoras personales, lo que facilita mucho la entrada.

Hotfix

No importa qué formato elija para ejecutar en su servidor web: siempre habrá orificios en la
seguridad. Todos los días se inventan nuevas formas de eludir o de evadir la seguridad. Cuando
estos métodos nuevos de terrorismo electrónico salen a la superficie, las empresas que producen el
software para los servidores web elaboran un arreglo rápido. Casi siempre, el arreglo es un aumento
sencillo, rápido y simple del software denominado hotfix. Los hotfixes son por lo general parches
pequeños que solucionan problemas específicos en el software de seguridad. Se encuentran con
frecuencia en la página web que el proveedor de software de seguridad tiene y, por lo general, la

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico

descarga no tiene costo. Los administradores de redes deben conocer la más reciente actualización
del software de seguridad, y qué agujero tapa en la seguridad.

En general, tenga cuidado

El último consejo para la seguridad es únicamente tener cuidado con lo que sucede en el sitio web y
en el servidor web. Si advierte alguna actividad que le parezca sospechosa, no la ignore. Es mucho
más fácil encontrar un problema o un intruso pronto y resolverlo, que manejar las dificultades
que ocasionará. Un buen lugar donde buscar es revisar los archivos de registro de los errores de
acceso. Si ve comandos del sistema que empiezan con "rm", "login", "/bin/sh/", o "perl", es muy
probable que un intruso esté tratando de entrar. También busque líneas muy largas que aparecen
en las solicitudes del localizador uniforme de recursos; con frecuencia esto indica que alguien está
tratando de adivinar una clave de acceso.

PROTECCIÓN CONTRA VIRUS

La protección contra virus es otro factor de riesgo importante que las empresas deben tomar en
cuenta cuando se conectan con Internet. En el pasado, los virus sólo se movían entre los discos. En
general, los usuarios recibían un disco de otra empresa, o de una fuente insegura, y éste contenía el
virus. Este virus dañaba sus computadoras personales, y luego pasaba a la red. Hoy, los virus están
más difundidos, gracias principalmente a Internet.

De qué se debe proteger

Es importante conocer los virus y la manera en que afectan a la red. La amenaza programada no
sólo daña la red, sino que abre puertas para muchos otros intrusos. No hay medida de seguridad
que compense las puertas abiertas creadas por las amenazas programadas. Como cualquier otra
amenaza a la seguridad, la mejor protección proviene de conocer los posibles ataques y tener un
plan de acción para resolver los posibles desafíos.

▼ Un virus es un bloque de codificación que no está completo en sí mismo, sino que ataca a
otro programa y luego se reproduce dentro de él. Los virus tienen varios efectos dañinos
diferentes en la red. Algunos virus se apropian del programa y no permiten que esté a
disposición de los usuarios. Otros virus corrompen un aspecto del programa, ocasionando
que éste funcione mal. Por último, los virus también trabajan ocasionando que el sistema
se atasque para que el desempeño falle. Se adueñan de los recursos, y restringen el acceso
a los usuarios que por lo general entran en las aplicaciones, y a veces los virus dañan los
datos directamente también.

■ Un gusano es un programa completo e independiente en sí mismo, que se copia y se
extiende por la red. Muy similar al virus, el gusano daña los datos con los que se pone en
contacto, pero es más peligroso por su capacidad de adueñarse de la red, restringir recursos,
e incluso apagar una red completa.

▲ Un caballo de Troya es una aplicación que aparenta ser útil y segura, pero que tiene dentro
otro programa que daña la computadora personal o la red. El caballo de Troya es como

www.FreeLibros.me

Fundamentos de comercio electrónico

un gusano en cuanto a que es un programa independiente y autocontenido. También tiene
los mismos efectos que el gusano.

Cómo proteger los servidores

Las herramientas de protección antivirus son lo mejor contra estos programas. Los programas
antivirus se compran dentro y fuera de línea, y se instalan directamente en computadoras personales
individuales o en servidores. Los programas de protección contra virus repasan el sistema buscando
y destruyendo las amenazas programadas antes de que se conviertan en un problema. Es importante
mantener actualizado el software antivirus porque todos los días se crean nuevas amenazas para la
seguridad. La mejor política es buscar con frecuencia en Internet la información y los programas
antivirus. La tabla 13-1 presenta algunos consejos rápidos para proteger la red de virus.

El software antivirus es una parte importante de la prevención de los virus. Hay muchos
vendedores de software antivirus diferentes, y muchas opciones de software distintas. La mejor idea
es comprar un paquete de software que busque varias señales diferentes de la existencia de virus.
Cuando elija el vendedor, recuerde que es preferible el software que se actualiza con facilidad,
puesto que los virus cambian constantemente. El vendedor estará dispuesto a explicarle las diferentes
actualizaciones, las tendrá disponibles de inmediato, y será una empresa de buena reputación. Por

Consejo Razonamiento

Busque con frecuencia Hay información nueva todos los días. La seguridad de la
por Internet para encon- red se encuentra constantemente en peligro, y después se
trar nuevas actualizacio- mejora.
nes para los antivirus.
Si un virus llega a su red, dañará el software para detectarlo
Mantenga fuera de línea con la misma facilidad que a cualquier otra aplicación. Una
el software para detectar copia fuera de línea es la mejor protección.
virus.
Los virus entran la mayor parte de las veces a las redes por
Mantenga a los usuarios las computadoras personales de los usuarios. Por ejemplo,
capacitados para que los usuarios abren programas o documentos de discos
identifiquen las posibles infectados, abren mensajes corrompidos de correo electró-
amenazas programadas. nico, o descargan programas de Internet que exponen a la
red a los virus.
Descargue el nuevo soft-
ware contra virus tan Como los virus cambian cuando encuentran un detector
pronto como pueda. de virus, es importante tener tan actualizado el software
antivirus como sea posible.

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico

ejemplo, a usted no le conviene gastar una buena cantidad de tiempo y de dinero instalando un
software contra virus de una empresa que está a punto de quebrar, y que en consecuencia no tendrá
actualizaciones. La tabla 13-2 lista varias empresas de software antivirus y sus direcciones web.

SEGURIDAD DE LAS TRANSACCIONES POR INTERNET

Cuando haya instalado la seguridad en el servidor web, llegó el momento de pasar la atención a las
transacciones que se efectuarán entre el servidor web y todas las demás computadoras personales
conectadas con Internet. No podemos enfatizar lo suficiente el hecho de que si los clientes y los
socios comerciales consideran que las transacciones por Internet no son seguras, no usarán su sitio
web. Cuanto mejor comprendidas y documentadas tenga las políticas de seguridad, más cómodos
se sentirán los clientes al efectuar negocios con su empresa.

Seguridad del protocolo de Internet

La seguridad del protocolo de Internet, o IPSec, es el andamio para la seguridad en las transacciones
por Internet que son implementadas en la capa de protocolo. IPSec garantiza que las transacciones
que entran y salen del servidor web son seguras. Por ejemplo, si alguien abre la sesión con su sitio
web e intenta hacer un pedido, IPSec es la seguridad que se aplica a esa transacción que garantiza
que llegue sin cambios, sin ser leída, y de la persona que dice estarla enviando.

¿Qué hace IPSec?

En los términos más simples, el andamio IPSec asegura al encerrar el paquete de información que
se envía en otro paquete antes de enviarlo por Internet. En el extremo del receptor, el dispositivo
que el emisor ha especificado descifra y lee el paquete.

Compañía detectora de virus Dirección web
SecureNet Technologies www.securenet.org
SafetyNet www.safetynet.com/default.asp
Network Associates (McAfee) www.nai.com
Cybersoft, Inc. www.cyber.com
ChekWARE www.chekware.com
Central Command www.avp.com
Alwil Software www.alwil.com/en/default.asp

www.FreeLibros.me

Fundamentos de comercio electrónico
IPSec está compuesto de tres mecanismos diferentes de seguridad: el encabezado de autenticación,

el encapsulamiento de seguridad de la carga útil, y la administración de las claves. Los tres
mecanismos se usan en coordinación entre ellos para mejores resultados en la seguridad.

Encabezado de autenticación El primer mecanismo es el encabezado de autenticación (AH,
authentication header), que se enfoca en garantizar al individuo que envió la información, y en
asegurar que no ha sido manipulada en el camino. El encabezado de autenticación se inserta
después del encabezado del protocolo de Internet, pero antes de cualquier otra información que
se deba autenticar.
Encapsulamiento de seguridad de la carga Útil El segundo mecanismo es el encapsulamiento de
seguridad de la carga útil (ESP, encapsulating security payload). También autentica la identidad del
usuario, pero además admite el cifrado de los datos. Hay diferentes niveles de encapsulamiento de
seguridad de la carga útil que se pueden adaptar a cualquier situación.

Para usar los encabezados de autenticación y el encapsulamiento de seguridad de la carga útil, el
emisor y el receptor se deben poner de acuerdo sobre una llave de cifrado, una llave de descifrado,
un método de autenticación y en los lineamientos para la sesión. En general, el encapsulamiento de
seguridad de la carga útil se aplica primero en la capa de transferencia en preparación para enviar
un mensaje. Luego se agrega el encabezado de autenticación en la parte superior, de manera que
sea lo primero que el receptor lea.
Protocolo para la administración de la llave de Internet Se dice que el protocolo para la administración
de la llave de Internet es el corazón de IPSec. Este mecanismo permite que las dos partes intercambien
sus llaves públicas, y que inicien una sesión segura. Después de canjear las llaves públicas, se define
un identificador para la sesión. Un identificador para la sesión es la definición de la relación de
Internet que tienen los dos grupos. Por ejemplo, el identificador para la sesión verifica la parte con la
que usted habla, y luego permite el uso de las instrucciones específicas que usted haya configurado

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico

para esta relación. Por ejemplo, si usted tiene una relación comercial casual con otra compañía,
el identificador para la sesión de cualquiera de las direcciones del protocolo de Internet dentro
de la empresa, ejecuta un cifrado que es más corto que el cifrado de llave pública que se emplea
para otros clientes. Esto aumentará la velocidad de la comunicación entre los dos grupos, a la
vez que mantiene la seguridad.

Hay dos formas diferentes en las que se intercambian las llaves entre dos partes distintas. La
primera es el intercambio de llaves manual. Este método requiere que los usuarios mecanografíen
en forma manual la llave que desean usar para comunicarse, junto con las llaves de todas las demás
personas con las que planean hacerlo. A pesar de que este método consume mucho tiempo, es el
método que más se usa. Funciona muy bien en ambientes pequeños en los que hay pocos grupos
en comunicación. El otro método en el que se intercambian las llaves se conoce como ISAKMP.
Esta herramienta para la administración de llaves no establece llaves para la sesión, pero cuando
se usa con diferentes herramientas para el establecimiento, se abre una conexión y se intercambian
las llaves sin que los usuarios se tengan que agregar en forma individual. Aunque ISAKMP es más
complejo, también ahorra mucho tiempo, y es igual de seguro.

¿Por qué hace falta IPSec?

IPSec es muy similar a la infraestructura de llaves públicas en la forma de establecer confianza entre
las partes. Como marco general, IPSec proporciona tres características de seguridad muy importantes
para las transacciones por Internet: condifencialidad, integridad y autenticación.

Confidencialidad IPSec garantiza que todas las transacciones son confidenciales de la misma manera
que lo hace el mecanismo de la infraestructura de llaves públicas. La función de encapsulamiento de
seguridad de la carga útil cifra los paquetes antes de enviarlos por Internet. Cuando la transacción
ha sido cifrada, sólo la descifra el servidor web. De este modo, aunque la información se llegase
a perder, no se podría descifrar.

Integridad El receptor, en este caso el servidor web, también se cerciora que los datos no hayan
sido manipulados ni cambiados de ninguna manera. Como la transacción se cifra antes de enviarla,
sólo se podrá descifrar si el mensaje no ha sido manipulado. De este modo, si hay algún cambio
en el mensaje, no se traducirá en material legible cuando llega al servidor web. El IPSec tiene una
función que también provee este servicio anexándose a los datos cifrados. Si hay algún problema
con el encabezado de autenticación, significa que es posible que los datos localizados debajo de
él también hayan sido manipulados.

Autenticación El receptor también autentica la fuente de donde provienen los paquetes, mediante
la información proporcionada por el encabezado. La autenticación es uno de los aspectos más
importantes de cualquier sistema de seguridad. No importa que tan estrictos sean los controles para
evitar la intercepción del mensaje cuando no se sabe quién lo manda en primer lugar.

Diferencias con la infraestructura de llave pública

A pesar de que IPSec parece muy similar al enfoque de infraestructura de llave pública que
discutimos en el capítulo anterior, hay un par de diferencias importantes que se deben señalar desde
el principio. Las otras medidas de seguridad para transacciones que hemos visto funcionan en la

www.FreeLibros.me

Fundamentos de comercio electrónico

capa de aplicación, mientras que IPSec opera en la capa de protocolo. Esto hace que IPSec sea
más fácil de usar porque las aplicaciones de las dos partes en comunicación no tienen que ser
compatibles. Además, IPSec permite que los usuarios se autentiquen y se comuniquen mediante
una sesión, en lugar de mensajes individuales. La infraestructura de llave pública es una medida
de seguridad maravillosa para los mensajes de correo electrónico; IPSec es más adecuada para
uso en Internet.

Otros beneficios de IPSec

Los beneficios evidentes de IPSec son que las transacciones por Internet ganan bastante confiden-
cialidad, integridad y autenticidad. Pero la sencillez es la principal ventaja que la empresa obtiene
cuando elige IPSec sobre las demás medidas de seguridad. Como IPSec está integrado en el nivel de
infraestructura, no hay cambios en las aplicaciones individuales ni en las computadoras personales
que se ejecutan en la red privada. Esta configuración evidentemente ahorra mucho tiempo y dinero.
Como IPSec no se usa en el nivel individual, no hace falta capacitar a todos los usuarios. Es más,
los usuarios no tienen ningún contacto con IPSec.

Usuarios remotos Otra gran ventaja que IPSec ofrece a las empresas es que proporciona una
forma para que las personas que no están en la oficina tengan acceso a materiales importantes pero

Característica Beneficio

Encabezado de autentica- Ofrece confidencialidad, integridad y autenticidad.
ción y encapsulamiento de
seguridad de la carga útil Conecta las sesiones sin que los usuarios se deban pre-
Protocolo para la admi- ocupar de la configuración de las comunicaciones indivi-
nistración de la llave de duales.
Internet
Identificador para la Permite que ciertas comunicaciones usen diferentes llaves
sesión de cifrado para variar el nivel de seguridad, y aumentar
así la velocidad de algunas transacciones.
Funciona en el nivel de
protocolo Permite que las soluciones de seguridad se instalen sin
que sea necesario configurar las aplicaciones o las com-
Solución estándar putadoras personales individualmente.

Es compatible con muchas aplicaciones para PC diferen-
tes, y con otras tecnologías, lo que facilita que todos lo
usen.

www.FreeLibros.me

Capítulo 13: Cómo asegurar los servidores para comercio electrónico
confidenciales. IPSec crea una solución maravillosa para los usuarios remotos, quienes elaboran un
túnel hasta la red privada al utilizar IPSec por Internet. Esto elimina el costo de las líneas privadas
y la preocupación de las medidas de seguridad para los usuarios remotos. Por ejemplo, en lugar
de comprar y asegurar un número enorme de módems para uso interno, la compañía logra que el
usuario remoto marque localmente al proveedor de Internet y que tenga así acceso a la red privada.
La seguridad de IPSec es mucho más amplia que las líneas de marcado individuales. La tabla 13-3
lista las características de IPSec y los beneficios que ofrecen.

Como hemos visto en los últimos tres capítulos, la seguridad es, en mucho, el aspecto más
difícil y que consume más tiempo cuando se configura una red. La seguridad que se instala en
el servidor web y en la página web misma no es una excepción. Pero, de manera muy similar a
las demás soluciones de seguridad que hemos examinado, la instalación irá sobre ruedas si la so-
lución está bien pensada, y si sigue un plan predeterminado y mantiene los objetivos de la empresa
claros.

Conectar la empresa con Internet parece demasiado complejo y cada vez más riesgoso. Sin
embargo, los beneficios superan mucho a los riesgos. Internet se convierte rápidamente en la
herramienta comercial de más éxito en la industria de hoy. El uso de Internet y otras tecnologías
sencillamente le obliga a usted a ser cauteloso y a tener cuidado. Con preparativos, perspicacia
y planeación adecuados, la seguridad del comercio electrónico será la columna vertebral de su
negocio electrónico.

www.FreeLibros.me

www.FreeLibros.me

Cómo ejecutar los
sistemas para el comercio

electrónico

www.FreeLibros.me

www.FreeLibros.me

Cómo conectar las
soluciones de comercio

electrónico

www.FreeLibros.me

Fundamentos de comercio electrónico

n un mundo perfecto, se podrían comprar un montón de servidores y clientes nuevos,
conectar una red ultra rápida, y abrir las puertas virtuales del negocio electrónico. Pero
esto sucede en muy raras ocasiones, ya que las finanzas y la infraestructura existente
obliga que las organizaciones partan de los fundamentos tecnológicos que ya tienen. Esto es
especialmente cierto si la organización debe usar el intercambio electrónico de datos (EDI,
electronic data interchange) para comunicarse con los demás negocios. Aunque el intercambio
electrónico de datos siempre ha sido dominado por las grandes empresas, Internet lo está llevando a
las compañías más pequeñas como un medio para modernizar las comunicaciones de negocio a
negocio.
En este capítulo, describiremos la manera en que el intercambio electrónico de datos ha encajado
tradicionalmente en los modelos comerciales, y señalaremos los problemas que lo rodean. Luego
discutiremos la forma en que Internet hace más accesible el intercambio electrónico de datos a las
organizaciones pequeñas y medianas, y las herramientas que hay disponibles para llevarlo a cabo.
Además, explicaremos cómo incluir la organización (sin importar su tamaño) en un sistema de
intercambio electrónico de datos, y la manera de integrar las nuevas aplicaciones para el comercio
electrónico en el sistema existente.

INTERCAMBIO ELECTRÓNICO DE DATOS

Hoy, los negocios hacen transacciones con sus socios comerciales de dos formas básicas:

1. La mayor parte de los negocios usan medios no automatizados para comunicar la información
relacionada con el comercio con sus socios comerciales; por ejemplo, correo, teléfono
y fax.

2. Un número pequeño de, principalmente, las empresas más grandes del mundo (menos de
50 000) conducen una parte importante de sus transacciones de manera automatizada; por
ejemplo, el intercambio electrónico de datos.

En el pasado, el intercambio electrónico de datos se conducía mediante líneas arrendadas, o
usualmente a través de redes de valor agregado (VAN, value-added network). Estos medios eran
costosos y complejos, lo que no los ponía al alcance de negocios más pequeños. Internet trae un
cambio radical a la automatización para el comercio. Como se muestra en la figura 14-1, dado que
Internet proporciona una red pública siempre presente y estándares para la comunicación, ayuda a los
negocios a bajar los costos en las transacciones del intercambio electrónico de datos.

De mayor importancia, Internet facilita que los negocios medianos y pequeños participen en las
transacciones comerciales automatizadas. Muchas empresas (pequeñas, medianas y grandes) envían
y reciben la mayor parte de sus pedidos de compra y facturas por Internet.

El intercambio electrónico de datos se describe como la transmisión y recepción de documentos
entre las computadoras en una forma que las máquinas pueden leer. Las transacciones de intercambio
electrónico de datos son muy populares porque tienen una integridad alta, son muy seguras, y
escalan a operaciones muy grandes. Estas transacciones transportan rutinariamente datos críticos
para la misión entre las organizaciones en contacto. En un escenario tradicional, las empresas usan
las redes de valor agregado para transmitir las transacciones de intercambio electrónico de datos,
pero la creciente popularidad de Internet está cambiando rápidamente este proceso.

www.FreeLibros.me

Capítulo 14: Cómo conectar las soluciones de comercio electrónico

¿Qué es el intercambio electrónico de datos?

El intercambio electrónico de datos es una tecnología simple que hace un mapa de la información en
una base de datos de una computadora en la información de la base de datos de otra computadora.
Maravilloso, estará pensando, pero de esto se tratan las computadoras y las transacciones de negocio
a negocio. Es interesante porque el intercambio electrónico de datos se ha empleado para las
transacciones de comercio a comercio desde su desarrollo en los años sesenta, décadas antes de que
Internet lograra que el comercio electrónico fuese una actividad común.

Las primeras transferencias electrónicas se basaban en formatos de propiedad acordados entre
los dos socios comerciales. Debido a los formatos diferentes de los documentos, era difícil que una
empresa intercambiara datos electrónicamente con diferentes socios comerciales. Para resolver este
problema, era necesario un formato estándar.

www.FreeLibros.me

Fundamentos de comercio electrónico

Raíces

En los años sesenta, un esfuerzo conjunto entre los grupos industriales produjo el primer intento de
desarrollar estos estándares. Como eran los primeros trabajos, los formatos sólo eran para compras,
transporte y datos financieros. Además, se usaban principalmente para las transacciones dentro de
la misma industria. No fue sino hasta finales de los años setenta que se empezó a trabajar en los
estándares nacionales para el intercambio electrónico de datos, que llegan hasta el intercambio
que conocemos hoy.

En esa época, los usuarios y los vendedores aportaron sus conocimientos para estándares que:

▼ Son independientes del hardware.
■ Pueden ser usados por todos los socios comerciales.
■ Reducen las tareas del intercambio de datos con mucha mano de obra (por ejemplo, volver

a mecanografiar los datos).
▲ Permiten al emisor de los datos administrar la transmisión, que incluye saber si la transmisión

ha sido recibida, y cuándo.

Tradicionalmente las empresas usan redes de valor agregado para el intercambio electróni-
co de datos, como GE Information Services, Advantis Network, de IBM, o AT&T. Además, las
redes de valor agregado no sólo conectan dos organizaciones. Algunas de ellas son muy grandes
(por ejemplo, GE Information Services cuenta con más de 40 000 suscriptores). Para los pagos por
tener acceso a la red de valor agregado, las organizaciones generalmente aportan de acuerdo con la
cantidad de datos que se transmiten por la red de valor agregado.

NOTA: Las facturas por el uso de la red de valor agregado se basan en kilocaracteres, o múltiplos de
mil caracteres. Evidentemente, si se envían menos datos por la red de valor agregado, hay que pagar

una factura más pequeña.

Beneficios

Los beneficios del intercambio electrónico de datos aparentemente son infinitos. El intercam-
bio electrónico de datos incluye la colocación de pedidos, los avisos electrónicos de embarque,
facturas electrónicas, y muchas otras transacciones comerciales que las computadoras en realidad
ejecutan en una forma más rápida y eficiente que las personas.

El intercambio electrónico de datos es benéfico por varios motivos.

▼ Mejora la exactitud y la velocidad de la información que se intercambia entre las
empresas.

■ Reduce los costos de operación de los clientes, proveedores y la organización.
■ Ayuda a las organizaciones a reducir el ciclo de tiempo para producir y entregar producto.
■ Mejora el servicio al cliente.
▲ Introduce a los clientes, proveedores y a la organización en un ambiente "sin papeles".

Además, es probable que los clientes exijan que se use el intercambio electrónico de datos,
porque así es como ellos hacen negocios. Se sabe que algunos clientes cobran cincuenta dólares

www.FreeLibros.me

Capítulo 14: Cómo conectar las soluciones de comercio electrónico
por una orden de compra en papel. Para algunas empresas, no usar el intercambio
electrónico de datos en sus cadenas de provisión representa miles de dólares de costos todos
los años. En el peor caso, algunos negocios sencillamente se rehúsan a hacer negocios si no es
mediante el intercambio electrónico de datos.

El intercambio electrónico de datos y el modelo comercial
"tradicional"

El intercambio electrónico de datos es un componente importante en el modelo de trabajo comercial
de muchas industrias. Reduce los errores, los tiempos de transmisión, y la cantidad de personal
que se requiere para procesar las transacciones. Por ejemplo, como se muestra en la figura 14-2,
una tienda usa el intercambio electrónico de datos para ajustar los niveles de inventario todas las
veces que un cajero registra el código de barras de un artículo. Con esta información, la tienda
responsabiliza a los proveedores por el nivel del almacén, pasándoles así la carga de rellenar los
anaqueles, y les paga de acuerdo con la rapidez con que los productos se venden en la tienda. Con
el intercambio electrónico de datos, los proveedores reciben una retroalimentación al instante de lo

www.FreeLibros.me

Fundamentos de comercio electrónico

bien que van sus productos. Esto permite que el proveedor desarrolle una relación de trabajo más
estrecha con sus grandes clientes minoristas.

Los minoristas con frecuencia usan el intercambio electrónico de datos en conjunto con la
transferencia electrónica de fondos (EFT, electronic funds transfer) para que acrediten dinero al
proveedor tan pronto como llega el producto nuevo de éste. La transferencia electrónica de fondos
es un tipo de intercambio electrónico de datos que usa formatos de archivo de propiedad para enviar
las transacciones de pago entre los bancos.

NOTA: La transferencia electrónica de fondos no garantiza que el dinero esté inmediatamente a la
disposición del proveedor. Los bancos implicados en las transacciones tienen sus reglamentos, que
regulan los depósitos y las transferencias de fondos.

De la misma manera en que los minoristas confían en el intercambio electrónico de datos para
mantener los anaqueles surtidos, los fabricantes de automóviles usan el intercambio electrónico de
datos como una parte clave de sus modelos comerciales para aplicar la producción justo a tiempo
(JIT, just in time). Todos los fabricantes de automóviles reciben miles de partes de varios cientos
de proveedores, y la línea de ensamblaje sólo tiene espacio para un inventario para dos o tres
días. Debido al bajo nivel de inventario de rutina, sería un desastre confiar en las facturas en
papel para tener a la mano todas estas partes. Los proveedores reciben las órdenes de compra
del fabricante mediante el intercambio electrónico de datos sin papeles, y luego surten las partes
como es necesario. Este acuerdo, igual que el del ejemplo de la tienda minorista, pasa la carga
del inventario de la tienda al proveedor. El fabricante de automóviles paga a los proveedores
por el inventario que usa en la línea de ensamblaje, pasando así los problemas de inventario a
los proveedores.

Negocios grandes

Como posiblemente intuirá de todo esto, el intercambio electrónico de datos en su forma tradicional
se adecua mejor a los grandes negocios. Después de todo, las formas estándares de transmisión de
una industria son elaboradas principalmente por la empresa que primero tiene la necesidad de una
forma en particular. Además, los costos relacionados con el intercambio electrónico de datos son
muy altos, y sólo los negocios más grandes los pueden pagar.

La capacidad de modernizar el proceso de procuración y de reducir el inventario ahorra a
las organizaciones grandes millones de dólares anualmente. Además, se piden, construyen y
embarcan artículos en una fracción del tiempo que requiere una organización sumergida en un
mar de papeleo.

Negocios pequeños

En la forma tradicional de funcionamiento del intercambio electrónico de datos, los negocios
pequeños y medianos no se ajustan muy bien. El mayor obstáculo es que el costo del intercambio
electrónico de datos es prohibitivo para virtualmente todos los negocios pequeños. Pero más allá de
los costos, los problemas con la mano de obra alejaron definitivamente el intercambio electrónico
de datos de los negocios pequeños y medianos. Las empresas grandes mantienen personal de tiempo
completo para el intercambio electrónico de datos, para la administración continua de los sistemas

www.FreeLibros.me

Capítulo 14: Cómo conectar las soluciones de comercio electrónico

de traducción y para la auditoría de la operación. Los sistemas de intercambio electrónico de datos
basados en las redes de valor agregado, debido a su complejidad y costos, excluyen a las empresas
pequeñas y medianas de la participación en las comunidades comerciales automatizadas.

Pero Internet cambia todo esto. No sólo se trata de una red que es omnipresente y que proporciona
conectividad barata, sino que las funciones del intercambio electrónico de datos ya vienen en paquetes
en mucho software para aplicaciones de negocio a negocio. Esto significa que la administración
sin papeles, y los pedidos y aprovisionamiento amigables al inventario están al alcance de muchos
negocios, sin importar su tamaño.

La parte brusca del intercambio electrónico de datos

Aunque el intercambio electrónico de datos representa un arreglo agradable, no es una panacea para
todos los negocios. El intercambio electrónico de datos en su forma tradicional en realidad está
dirigido a las organizaciones grandes que tienen los recursos para administrarlo. A pesar de que el
intercambio electrónico de datos es maravilloso para reducir los niveles de personal, requiere de
especialistas para tareas exclusivas, como:

▼ Manejo de las transacciones.
■ Negociar los estándares de comunicaciones con las organizaciones asociadas.
▲ Elaborar y mantener la infraestructura del intercambio electrónico de datos.

Pero la pared más grande del intercambio electrónico de datos es el costo. Crear un centro para
esta función cuesta aproximadamente un millón de dólares, y los radios cuestan alrededor de 45 000
dólares cada uno. Evidentemente, el intercambio electrónico de datos no acumula ahorros en los
ingresos en el corto plazo, ni está dirigido a los negocios pequeños o medianos.

Los detalles

Aunque el intercambio electrónico de datos ahorra mucho tiempo al final, se invierte una cantidad de
tiempo considerable desarrollando y ejecutando la solución para él. Se pasan varios meses hablando
con los socios comerciales hasta que las cosas empiezan a andar. Otro problema importante es que
hay muchas formas de propiedad y muchos modos generales para las transacciones del intercambio
electrónico de datos. La elaboración de mapas entre los socios comerciales es exclusiva, y no
necesariamente funciona con otros socios. Aunque el intercambio electrónico de datos se ha
estandarizado más en los últimos años, todavía existen muchas formas de propiedad.

NOTA: Adelante hablaremos más acerca de los estándares para el intercambio electrónico de
datos.

Otros problemas

Al igual que con los demás aspectos de unir los negocios con la tecnología, las funciones y
operaciones cotidianas no sólo son la responsabilidad del departamento técnico. El envío de las
transacciones del intercambio electrónico de datos entre las organizaciones normalmente es una

www.FreeLibros.me

Fundamentos de comercio electrónico
función comercial. Para una ejecución del intercambio electrónico de datos exitosa, los gerentes
comerciales deben estar involucrados y conocer el proyecto. Hablando desde el punto de vista
técnico, el intercambio electrónico de datos no es especialmente complejo ni retorcido, pero
muchos proyectos fallan cuando se lanza la responsabilidad totalmente sobre el personal del
departamento técnico.

El intercambio electrónico de datos es una buena solución para los negocios grandes que pueden
costear la inversión. Sin embargo, el nacimiento de Internet ocasiona que las facturas sin papeles
se conviertan en un proceso mucho más fácil de alcanzar.

Internet, intercambio electrónico de datos
y negocios modernos

Aunque las redes de valor agregado representan un gasto considerable para las organizaciones,
Internet proporciona una red de bajo costo y de largo alcance para la solución del intercambio
electrónico de datos. Como tal, está cambiando el modelo establecido usado tradicionalmente.
Debido a estos avances en la tecnología mundial, Internet ofrece a los negocios emocionantes
oportunidades nuevas para comunicarse con sus socios.

Mayor disponibilidad para los negocios pequeños
y medianos

El intercambio electrónico de datos por Internet lo hace más accesible para los negocios medianos
y pequeños, pero no es probable que desplace a las redes de valor agregado. Estas redes se usan
para intercambiar información de alto volumen. Por desgracia, como ya se discutió en este libro,
el propio Internet no garantiza el ancho de banda suficiente para que las organizaciones canjeen
tránsito de intercambio electrónico de datos de alto volumen. Además, no se puede predecir con
exactitud cuándo llegarán los datos enviados por Internet, de manera que los sistemas de auditoría
y de verificación son indispensables. También se requiere un mecanismo para garantizar una buena
calidad de servicio en la red para el intercambio electrónico de datos (para más información acerca
de la calidad de servicio, vea los capítulos 8 y 9). La tabla 14-1 muestra las compensaciones entre
las redes de valor agregado y las conexiones con Internet.

En el pasado, el desarrollo del intercambio electrónico de datos estaba principalmente en las
manos de los negocios que desarrollaban sus propias soluciones para el intercambio. Sin embargo,

www.FreeLibros.me

Capítulo 14: Cómo conectar las soluciones de comercio electrónico

en la era de Internet, el grupo de trabajo Intercambio Electrónico de Datos-Integración con Internet
(EDIINT, Electronic Data Interchange-Internet Integration), que forma parte de la Fuerza Laboral
de Ingeniería de Internet (IETF, Internet Engineering Task Forcé), está desarrollando la tecnología
para efectuar el intercambio electrónico de datos por Internet. EDIINT trabaja con problemas
que incluyen:

▼ La integridad del mensaje por Internet.

■ Confidencialidad.

■ Firmas digitales.

▲ Aceptación de la transferencia de datos.

En los próximos años, se espera que el modelo tradicional de la transferencia de datos represente
sólo una parte pequeña de los negocios efectuados por Internet. Como verá, el comercio por Internet
crece mucho más rápido que el intercambio electrónico de datos, y el mayor potencial para el
crecimiento del intercambio electrónico de datos se encuentra en Internet.

Desarrollar una solución para el intercambio electrónico de datos por Internet es tan simple y
directo como elaborar formas adecuadas para el Web para que los socios de la cadena de provisión
tengan acceso e introduzcan datos. Cuando un socio envíe una forma, será muy sencillo traducir los
datos en un producto para el intercambio electrónico de datos. La aplicación para la traducción está
incluida en el software, de manera que lo único que hace falta es un explorador web. El beneficio
de esta aproximación al intercambio electrónico de datos es que elimina la necesidad de aprender
y mantener software complejo, y la necesidad de suscribirse a una red privada que es cara, y que
los negocios pequeños y medianos usarían ocasionalmente.

Para las compañías grandes, la creciente popularidad de Internet ocasiona que las organizaciones
creen transacciones de intercambio electrónico de datos adecuadas para el Web, dejando intacto el
tránsito del intercambio electrónico de datos basado en las redes de valor agregado heredadas. La
mayor parte de las empresas que inician están ejecutando intranets vinculadas que admiten Internet
y el tránsito de las redes de valor agregado.

Intercambio electrónico de datos en acción

Commerce One es una empresa que habilita una forma nueva de conducir transacciones comerciales
de intercambio electrónico de datos. Con su Web de Comercio Global (un riesgo compartido con
varias empresas internacionales de telecomunicación), se crean los accesos para los mercados
mundiales, lo que permite que cualquier negocio que se suscriba compre de otro negocio suscriptor,
en cualquier momento, desde cualquier lugar. El comercio se efectúa por la red y mediante los
exploradores web, lo que permite el intercambio en una multitud de plataformas y desde cualquier
ubicación.

El Web de Comercio Global está compuesto por muchos mercados electrónicos que operan
entre ellos, que ejecutan la solución MarketSite Portal de Commerce One. Todos los mercados de
comercio electrónico son propiedad independiente, y son operados por un negocio líder en una región
o en una industria. Las empresas usan los sitios para sus compras propias, y ofrecen servicio a sus
clientes. La estandarización de los procedimientos comerciales permite que las empresas se pongan
en contacto con más facilidad mientras que desarrollan más sus sitios de procuración.

www.FreeLibros.me

Fundamentos de comercio electrónico
Los miembros comparten un promedio de un dólar por cada transacción conducida por los

portales. Diferentes aplicaciones de compra y de venta usan el Web de Comercio Global, incluido
BuySite de Commerce One, o las aplicaciones de Oracle, Intershop, RightWorks y SAP AG.

Un ejemplo de la red de Commerce One en acción es el fabricante de computadoras Compaq. El
servicio Commerce One MarketSite Global Trading Portal permite las funciones para el comercio
electrónico, desde las compras hasta las subastas.

Además de las necesidades de negocio a negocio de Compaq, la empresa también revende la
aplicación BuySite Enterprise Edition de Commerce One a los clientes que necesitan una aplicación
para compras internas. Asimisno, el acuerdo permite que los clientes exploren, pidan, reciban y
personalicen los escritorios, cuadernos, servidores y métodos de almacenamiento comerciales de
Compaq en un solo sitio. Además, acepta que se presten en el portal los servicios de contenidos
de los catálogos del proveedor y de subastas, lo que permite que los clientes de Compaq compren
productos y servicios a cientos de proveedores existentes y futuros.

Red privada virtual

Usar una red de valor agregado no es barato, pero una de las ventajas principales es que se usa
para asegurar las transmisiones del intercambio electrónico de datos, y los socios de la cadena de
provisión cifran y autentican el tránsito. Por el contrario, enviar las transmisiones del intercambio
electrónico de datos por Internet es muy barato, pero los paquetes están más expuestos a que
un malhechor los intercepte y los examine. Para asegurar esta información mientras pasa por
Internet, muchas organizaciones cifran y firman digitalmente el tránsito del intercambio electrónico
de datos.

Un enfoque para garantizar el tránsito del intercambio electrónico de datos es enviarlo por una red
privada virtual. Como se muestra en la figura 14-3, las redes privadas virtuales utilizan los túneles de
punto a punto para mantener alejados a los atacantes y eliminar la intercepción de datos.

Cuando se usa una red privada virtual, se comprimen y se cifran los datos recibidos y transmitidos.
Esencialmente, se elabora un túnel entre usted y su socio de la cadena de provisión al abrir un puerto
del protocolo de Internet nombrado en el receptor, pero sólo durante la transmisión.

www.FreeLibros.me

Capítulo 14: Cómo conectar las soluciones de comercio electrónico

NOTA: Si desea más información acerca de las redes privadas virtuales, regrese al capítulo 7.

¿Qué sigue para el intercambio electrónico de datos?

Si su organización desea seguir el intercambio electrónico de datos, encontrará muchos vendedores
independientes (entre ellos Microsoft, iPlanet y webMethods) que incorporan herramientas para el
intercambio electrónico de datos en los paquetes para el comercio electrónico. Además, muchas
organizaciones están elaborando tránsito de intercambio electrónico de datos que cruza Internet.
Debido a las limitaciones de ancho de banda de Internet, es muy posible que las redes de valor
agregado se queden con nosotros durante una buena temporada, especialmente en las organizaciones
establecidas. Sin embargo, las aplicaciones comerciales de Internet que admiten el intercambio
electrónico de datos quizá tendrán su mayor crecimiento futuro en el intercambio de documentos, en
especial en el tránsito de volumen bajo que requieren las empresas medianas y pequeñas.

COMPARTIR LOS DATOS

En el centro de todas las transacciones del intercambio electrónico de datos se encuentra la capacidad
de compartir los datos entre dos sistemas de cómputo distintos. Como se muestra en la figura 14-4,
el hardware individual es irrelevante. Si se cuenta con una estación de trabajo Sun, o si el socio
de la cadena de provisión usa una computadora personal es insustancial: la comunicación funciona
si las computadoras hablan el mismo idioma. Por el mismo tenor, es probable que ambos usen
computadoras personales, pero si no hablan el mismo idioma, el esfuerzo por compartir la información
comercial se fastidia.

En esta sección, hablaremos acerca de las diferentes maneras en que las computadoras hablan
con otras bajo el paraguas del intercambio electrónico de datos. La forma más básica de comunicarse
es a través de un conjunto de estándares. Estos estándares se desarrollaron hace décadas, pero siguen
siendo la piedra angular de las comunicaciones para el intercambio electrónico de datos. Sin embargo,
una nueva tecnología de Internet popular denominada lenguaje de marcación extensible (XLM)
hace que el procesamiento de las comunicaciones entre negocios sea más accesible. Revisemos
ahora cómo los estándares y el lenguaje de marcación extensible afectan las comunicaciones para
el intercambio electrónico de datos.

Estándares

Durante años, los datos comerciales han sido intercambiados electrónicamente de varias maneras,
incluidas las cintas y los discos, y entre las redes de cómputo. En cuanto las empresas se percataron
de los ahorros de tiempo y de dinero provenientes del intercambio de los datos entre las computadoras
en lugar de pilas de formas de requisición, las transacciones electrónicas entre clientes y proveedores
fueron cada vez más populares.

Aunque este acuerdo parezca cosa de niños, la simple transmisión de una solicitud a un proveedor
es complicada. Aunque el resultado final es de beneficio mutuo (uno vende algo y el otro recibe el

www.FreeLibros.me


Click to View FlipBook Version